Hay frases que, en pleno siglo XXI, empiezan a sonar peligrosas. Una de ellas es: “usted fue negligente”. Durante años ha sido el escudo perfecto para que bancos, plataformas y grandes sistemas tecnológicos se laven las manos cuando un ciudadano cae en una estafa digital. Pero algo está cambiando. Y una sentencia de la Audiencia Provincial de Oviedo acaba de marcar un punto de inflexión.
Una mujer, víctima de una suplantación de identidad a través de un mensaje de móvil, vio cómo en cuestión de minutos desaparecían casi cuatro mil euros de su cuenta. El juzgado de primera instancia culpó a la víctima: “actitud negligente”, dijo. La Audiencia, sin embargo, corrigió el rumbo y condenó a la entidad financiera a devolver el dinero con intereses. El mensaje es claro: en la era de la ingeniería social, la vulnerabilidad humana no puede convertirse en coartada institucional. No es solo un caso. Es un síntoma.
El fraude ya no entra forzando sistemas, sino emociones. No hackea servidores, hackea personas.
El SMS que recibió la víctima era una obra maestra de la manipulación psicológica:
“AVISO: Compra por 990,00 euros aprobada por defecto en 1 hora. Si no ha sido usted, cancele inmediatamente aquí…”
Urgencia. Miedo. Apariencia de legitimidad. Dominio casi idéntico al real. Llamadas posteriores para “ayudar”. Una coreografía perfecta diseñada para provocar una respuesta automática: obedecer.
Eso no es torpeza. Es ingeniería social. Es neurociberataque. Es explotación de sesgos cognitivos básicos: autoridad, urgencia, pérdida, pánico. Y funciona incluso en personas formadas, prudentes y acostumbradas a operar en entornos digitales.
El sistema lo sabe. Los delincuentes lo saben. Y ahora, por fin, algunos tribunales empiezan a entenderlo.
Durante años, la narrativa fue simple: si diste la contraseña, es tu culpa. Si pulsaste el enlace, es tu culpa. Si entregaste un código, es tu culpa. El banco cumplió con “medidas de seguridad suficientes”. Punto.
Pero esa lógica ignora una realidad incómoda: los sistemas financieros actuales están diseñados para operar a una velocidad y complejidad que superan la capacidad de verificación humana en situaciones de estrés. La autenticación reforzada, los códigos dinámicos, las notificaciones automáticas… todo eso, sin una capa de análisis de comportamiento y detección de fraude en tiempo real, se convierte en una ilusión de seguridad.
La Audiencia de Oviedo lo expresa con una frase que resuena más allá del caso concreto: la conducta de la víctima no alcanza un grado de negligencia suficiente como para desplazar la responsabilidad de la entidad bancaria.
Traducción: ser engañado profesionalmente no equivale a ser irresponsable.
El fraude como producto industrial
Los seis pagos de 490 euros mediante Halcash y la compra posterior con tarjeta no fueron casuales. Responden a patrones conocidos de “smurfing financiero”: fraccionamiento para evitar bloqueos automáticos, uso de sistemas de retirada inmediata, explotación de ventanas temporales antes de que el sistema de prevención reaccione.
Esto no es improvisación. Es una industria.
Grupos organizados, plataformas clandestinas, bases de datos de víctimas, guiones de llamadas, paneles de control para vaciar cuentas en minutos. Frente a eso, el ciudadano está solo con su móvil y un mensaje aparentemente legítimo.
¿De verdad podemos seguir llamando “negligencia” a no resistir una operación diseñada por especialistas en manipulación digital?
La sentencia que reequilibra la balanza
La Audiencia no solo reconoce la estafa. Reconoce algo más profundo: que el consentimiento no existe cuando está viciado por engaño técnico y psicológico. Que facilitar credenciales bajo una falsa apariencia de legitimidad no equivale a autorizar una operación. Que el banco, como custodio profesional del dinero, tiene un deber de protección que va más allá de entregar códigos.
Este enfoque conecta con una tendencia europea clara: la responsabilidad no puede descargarse sistemáticamente sobre el usuario cuando el ecosistema es asimétrico. Cuando una parte dispone de sistemas de monitorización, análisis de riesgo, inteligencia artificial antifraude y capacidad de bloqueo en segundos, y la otra solo tiene un teléfono y confianza.
La banca digital es uno de los mayores logros tecnológicos de las últimas décadas. Ha democratizado servicios, ha reducido costes, ha eliminado barreras. Pero también ha creado un entorno donde el error humano se convierte en vector de ataque.
La innovación real no es solo más apps, más códigos, más biometría. Es diseñar sistemas que asuman que el usuario puede ser engañado y que, aun así, lo protejan. Que detecten patrones anómalos, aunque las credenciales sean correctas. Que frenen operaciones atípicas, aunque el código sea válido. Que actúen no solo cuando hay intrusión técnica, sino cuando hay manipulación humana.
Eso ya es posible. Existen modelos de detección conductual, análisis de contexto, correlación de eventos en tiempo real. La pregunta es por qué no siempre se activan con la contundencia necesaria.
El giro cultural que empieza en los tribunales
Esta sentencia no solo devuelve 3.948,71 euros. Devuelve algo más valioso: dignidad jurídica a la víctima digital. Reconoce que el fraude moderno no es una cuestión de despiste, sino de asimetría de poder y sofisticación criminal.
Y lanza un mensaje al sector financiero: la ciberseguridad no termina en el login. Continúa en la protección activa del cliente incluso cuando este ha sido engañado.
Para los ciudadanos, es una llamada a denunciar, a no resignarse, a no aceptar automáticamente el relato de “usted se equivocó”. Para los profesionales de la innovación, es un recordatorio de que la tecnología sin responsabilidad social acaba volviéndose contra quienes debía proteger.
Cada caso como este contribuye a redefinir el contrato digital entre personas y sistemas. Un contrato donde la seguridad no es solo una lista de requisitos técnicos, sino una promesa de acompañamiento frente al fraude. Donde la inteligencia artificial no solo sirve para bloquear transacciones, sino para entender contextos humanos. Donde la innovación se mide también por su capacidad de cuidar.
La mujer de Oviedo recuperó su dinero. Pero, sobre todo, recuperó algo más: el reconocimiento de que fue víctima, no culpable. En un mundo donde los ataques son cada vez más invisibles, esa distinción es esencial.
Porque en la era digital, el verdadero progreso no consiste en hacer sistemas más rápidos, sino en hacerlos más justos.
