El auge de la banca online ha conseguido innumerables ventajas para los usuarios, pero también ha abierto la puerta a nuevos riesgos, siendo el phishing bancario uno de los más graves y extendidos. En 2025, el fraude por phishing se ha disparado un 40% respecto al año anterior, impulsado por el uso de inteligencia artificial y técnicas cada vez más sofisticadas por parte de los ciberdelincuentes. Ante este escenario, conocer los derechos de los consumidores y las obligaciones de las entidades financieras es más importante que nunca.
En los últimos meses, el Tribunal Supremo ha sentado un precedente fundamental en la protección de los usuarios frente al phishing bancario. La Sala Civil del Supremo ha establecido que, salvo que el banco demuestre que el cliente actuó con negligencia grave o fraude, es la entidad la que debe asumir la responsabilidad y reembolsar las cantidades sustraídas mediante fraudes informáticos. Esta doctrina unifica criterios y aporta seguridad jurídica tanto a consumidores como a entidades financieras.
“Si un cliente pierde sus ahorros mediante una estafa de phishing y no hay pruebas de que la culpa sea de la víctima, la entidad tendrá que hacerse cargo del dinero, al menos hasta que el criminal sea encontrado y condenado”, explica la abogada Vanesa Fernández, experta en derecho de los consumidores.
La normativa europea y española, en especial el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, refuerzan esta protección: el banco debe devolver el dinero si el cliente niega haber autorizado la operación, salvo que pruebe negligencia grave o fraude por parte del usuario. Además, las cláusulas contractuales que pretenden exonerar a los bancos de esta responsabilidad carecen de validez legal.
Obligaciones de los bancos y medidas de seguridad: La jurisprudencia reciente pone de aliviar la responsabilidad activa de las entidades financieras como proveedores de servicios de pago. No basta con ofrecer herramientas de seguridad básicas; los bancos están obligados a implementar mecanismos eficaces para prevenir y detectar operaciones inusuales o sospechosas . Esto implica:
- Custodiar adecuadamente los datos e información confidencial de sus clientes.
- Reforzar la seguridad de las transacciones online mediante sistemas de autenticación robustos y encriptación avanzada.
- Promover prácticas seguras, como el uso de contraseñas fuertes y la verificación en dos pasos.
- Garantizar que las credenciales de seguridad no estén al alcance de terceros y que todas las operaciones se realicen a través de canales seguros.
En caso de detectar incidentes de phishing, las entidades deben comunicarlo de inmediato al Banco de España, facilitando una respuesta rápida y coordinada para mitigar riesgos y proteger a los clientes.
A pesar de los avances normativos, la realidad muestra que muchas entidades bancarias aún presentan carencias importantes en materia de ciberseguridad. Faltan recursos humanos y técnicos, y los protocolos de protección no siempre están a la altura de los riesgos actuales. Según la ANTPJI, las reclamaciones de usuarios víctimas de phishing, tarjetas revolving y otros fraudes bancarios siguen aumentando año tras año.
El sistema de doble autenticación, impuesto por la normativa europea, no ha logrado frenar la expansión del fraude bancario online. Además, nuevas técnicas como el duplicado de la tarjeta SIM, el envío de SMS maliciosos o las llamadas suplantando la identidad de la sucursal bancaria, han incrementado la vulnerabilidad de los usuarios. La sofisticación de estos fraudes hace que, en apenas minutos, los delincuentes puedan sustraer grandes sumas de dinero sin que el usuario tenga posibilidad real de defensa.
El papel de la justicia y los peritos: Frente a la pasividad o resistencia de algunas entidades, cada vez más jueces se alinean con la defensa de los consumidores. Magistrados como Francisco de Paula, del Juzgado de Instrucción Nº 7 de Zaragoza, han señalado la necesidad de que los bancos inviertan más y mejor en tecnología de seguridad. La reciente promoción de jueces comprometidos con la protección del consumidor, como Manuel Almenar a la Sala Civil del Supremo, refuerza esta tendencia.
Los informes periciales especializados están jugando un papel clave en la resolución de estos litigios. David Arcos, perito en fraude bancario, destaca la importancia de limitar el acceso a la banca electrónica a un solo dispositivo móvil y de analizar las conexiones IP para detectar movimientos sospechosos. “En muchos asuntos que ha llevado, la identificación de los accesos ha sido decisiva para que el tribunal falle a favor de la víctima, forzando a las entidades bancarias a mejorar sus medidas de seguridad”, explica Arcos.
Prácticas abusivas y la necesidad de un cambio de modelo
A menudo, los bancos intentan responsabilizar al cliente, alegando que la operación fue autorizada mediante doble factor de autenticación. Sin embargo, la justicia está corrigiendo esta tendencia y señalando que la comercialización de la banca electrónica no puede convertirse en una práctica abusiva. Obligar a personas mayores o sin formación tecnológica a operar exclusivamente online, sin ofrecer alternativas seguras y comprensibles, abre la puerta a que terceros acceden a sus cuentas y multiplica el riesgo de fraude.
Además, la estrategia de algunas entidades de litigar hasta agotar al cliente, esperando que desista por los costes judiciales, está siendo cada vez más cuestionada por los tribunales. El Supremo ha dejado claro que la responsabilidad es del banco, salvo prueba de negligencia grave del usuario.
¿Qué puede hacer el consumidor ante el phishing?
Si eres víctima de phishing bancario, es fundamental actuar con rapidez:
- Comunica de inmediato el fraude a tu banco y solicita el bloqueo de las cuentas afectadas.
- Presente una denuncia ante las autoridades y conserve toda la documentación relacionada.
- Acude a un Perito Informatico para exigir la devolución de las cantidades sustraídas, recordando que la ley y la jurisprudencia están de tu lado, salvo que el banco demuestre negligencia grave.
- Busca análisis legal especializado si la entidad se niega a asumir su responsabilidad.
La ley de servicios de pago y la reciente doctrina del Supremo refuerzan el derecho del consumidor a ser resarcido en caso de fraude, y obligan a los bancos a extremar las medidas de protección y vigilancia.
El futuro: innovación y responsabilidad compartida
El incremento de los fraudes online exige a las entidades bancarias una inversión decidida en ciberseguridad y en la formación de sus clientes. No basta con cumplir la mínima normativa: deben anticiparse a las nuevas amenazas y ofrecer sistemas de autenticación más seguros, como el uso de biometría o tecnologías blockchain para la verificación de identidad.
Los poderes públicos, por su parte, deben sancionar con mayor rigor las infracciones y exigir a las entidades un estándar de diligencia elevado. Mientras existen casos de phishing o fraude online, queda claro que hay margen de mejora en la protección de los consumidores.
La banca electrónica debe ser un servicio seguro y accesible para todos. Las entidades financieras, como proveedoras de estos servicios, tienen la obligación legal y ética de proteger a sus clientes y responder ante los fraudes. La justicia, la ley y la sociedad están avanzando en esa dirección.
Los jueces desempeñan un papel fundamental en la protección de los consumidores frente al phishing bancario, ya que son quienes interpretan y aplican la normativa vigente para determinar la responsabilidad de las entidades financieras en casos de fraude. En los últimos años, la tendencia judicial ha sido clara: los jueces se están alineando mayoritariamente con las víctimas de phishing, exigiendo a los bancos un estándar de diligencia elevado en la protección de los fondos y datos de sus clientes.
El Tribunal Supremo ha establecido recientemente que las entidades bancarias deben reembolsar las cantidades sustraídas mediante fraudes informáticos, salvo que consigan probar que el cliente actuó con negligencia grave o cometió fraude doloso. Esto significa que la simple existencia de un acceso fraudulento a la cuenta del usuario no implica automáticamente una negligencia por parte del cliente, y es el banco quien debe demostrar lo contrario para eludir su responsabilidad.
Además, los jueces han enfatizado que los bancos, como proveedores especializados de servicios de pago, no solo deben ofrecer herramientas de seguridad, sino también implementar mecanismos efectivos para la prevención y detección de operaciones inusuales o sospechosas. El incumplimiento de estos deberes suele inclinar la balanza a favor del consumidor, como demuestran numerosas sentencias recientes en las que las entidades han sido condenadas a devolver el dinero estafado por phishing.
En definitiva, la laboral judicial está consolidando una doctrina que refuerza los derechos de los consumidores en el ámbito digital y obliga a las entidades bancarias a asumir una mayor responsabilidad frente a los fraudes, aportando así mayor seguridad jurídica en un contexto de amenazas crecientes y cada vez más sofisticadas.
La responsabilidad de los bancos en casos de phishing se determina principalmente según la normativa española y europea, especialmente el Real Decreto-Ley 19/2018 de servicios de pago. Este marco legal establece un régimen de responsabilidad cuasi objetiva para las entidades financieras: los bancos deben reintegrar a los clientes las cantidades sustraídas en operaciones no autorizadas, salvo que puedan acreditar que el usuario actuó con negligencia grave o de manera fraudulenta.
La clave está en la carga de la prueba: si el cliente niega haber autorizado la operación, corresponde al banco demostrar que hubo negligencia grave por parte del usuario, como, por ejemplo, no proteger adecuadamente sus credenciales o retrasar la notificación del fraude. Sin esta prueba, el engaño sufrido por el usuario —dada la sofisticación de los fraudes actuales— excluye la negligencia grave y desplaza la responsabilidad al banco.
Además, la jurisprudencia reciente refuerza esta posición: los tribunales suelen considerar que la dificultad para detectar el phishing por parte del usuario libera a este de responsabilidad, salvo en casos excepcionales donde la conducta de la víctima sea manifiestamente imprudente o inexcusable. Por tanto, la responsabilidad bancaria se fundamenta en la obligación de custodiar los datos del cliente, implementar medidas de seguridad adecuadas y actuar proactivamente en la prevención y detección de fraudes.
En todos los casos, el banco será responsable de devolver el dinero sustraído por phishing salvo que pruebe que el cliente actuó con negligencia grave, y debe además adoptar medidas correctivas para prevenir futuros incidentes.
El Banco de España juega un papel clave tanto en la prevención como en la resolución de casos de phishing bancario en España. Su función se articula en varias áreas fundamentales:
- Supervisión y regulación: El Banco de España es el organismo encargado de supervisar que las entidades financieras cumplan con la normativa de servicios de pago y adopten medidas eficaces para prevenir el phishing, como la autenticación estricta, la protección de datos y la detección de operaciones sospechosas.
- Recepción y gestión de incidentes: Cuando un banco detecta o sospecha de un incidente de phishing, está obligado por ley a comunicarlo de inmediato al Banco de España. Esta comunicación permite que el organismo evalúe el caso y, si es necesario, adopte medidas adicionales para proteger a los clientes y mitigar los riesgos.
- Resolución de reclamaciones: Si un cliente afectado por phishing no recibe una respuesta satisfactoria de su entidad, puede acudir al Banco de España para presentar una reclamación formal. El organismo analizará el caso y podrá dictar resoluciones que, aunque no son vinculantes, suelen ser determinantes para que los bancos devuelvan el dinero sustraído y mejoren sus protocolos de seguridad.
- Educación y concienciación: A través de su Portal del Cliente Bancario y otras iniciativas, el Banco de España informa y educa a los usuarios sobre los riesgos del phishing, las mejores prácticas de seguridad y los pasos a seguir en caso de fraude.
En resumen, el Banco de España actúa como supervisor, mediador y educador, garantizando que los bancos adopten medidas preventivas, ayudando a los clientes afectados y contribuyendo a la reducción del fraude por phishing en el sistema financiero español.
