Los informes oficiales sobre ciberseguridad destacan un alarmante y acelerado aumento de los delitos relacionados con las estafas informáticas. El phishing bancario es una modalidad de fraude en la que los ciberdelincuentes se hacen pasar por entidades bancarias para obtener información confidencial de las víctimas y acceder a sus cuentas y tarjetas.
El marco legal aplicable se encuentra en el Real Decreto Ley 19/2018, de 23 de noviembre, sobre servicios de pago. Este establece un régimen de responsabilidad casi objetiva, cuyo elemento central es la obligación de las entidades financieras de reembolsar las cantidades defraudadas, salvo que puedan demostrar que el consumidor incumplió deliberadamente o por negligencia grave sus obligaciones, como proteger adecuadamente sus credenciales de seguridad o notificar sin demora cualquier pago no autorizado.
Además, las entidades bancarias tienen la responsabilidad de garantizar la seguridad de las transacciones. Esto implica contar con tecnología adecuada e implementar medidas de seguridad efectivas. En caso de que estas medidas resulten insuficientes, las entidades bancarias deberán asumir las consecuencias derivadas de los fallos de seguridad del sistema. Es importante destacar que la jurisprudencia viene interpretando que para que las entidades bancarias cumplan esta obligación de dotarse de las herramientas antiphising no es suficiente con que adviertan de este tipo de prácticas en su página web, se requiere una acción proactiva para prevenir el fraude, es decir, una conducta activa y no simplemente informativa o divulgativa.
Al usuario, por su parte, se le exige que en el cumplimiento de sus obligaciones de custodia del instrumento de pago no incurra en negligencia grave, cuya calificación genera controversia, pues no existe una línea jurisprudencial pacífica.
La mayoría de las sentencias consultadas consideran que NO es constitutivo de negligencia grave el hecho de que el consumidor confíe en un SMS recibido en su móvil, pinche en un link e introduzca la clave para vincular el dispositivo a la banca digital (A título de ejemplo, la SAP Cantabria, Sec. 4.ª, 13-7-2024). Sin embargo, hay que prestar atención también a aquellas resoluciones que SÍ aprecian esa negligencia grave cuando el usuario facilita sus claves sin observar una diligencia mínima de lectura atenta del mensaje (SAP Zaragoza, Sec. 2.ª, 12-6-2024).
VI Congreso Nacional de Derecho de Consumo
En el marco del VI Congreso Nacional de Derecho de Consumo, que acoge el Colegio de la Abogacía de Madrid los días 28 y 29 de noviembre, la magistrada Alicia Visitación y el decano del ICAM y presidente AEDC, Eugenio Ribón, abordarán sobre ciberfraude al consumidor en una sesión moderada por el abogado Damián Vázquez Jiménez, vocal y socio fundador de la AEDC.
Más información e inscripciones
