El aumento de las operaciones bancarias personales por medios electrónicos, ha supuesto también un aumento de los delitos asociados, en los que, a través de un enlace notificado vía sms, correo electrónico o, también, a través de llamadas telefónicas, consiguen las claves de acceso a las cuentas bancarias de la víctima.

El método más habitual es hacerse pasar por el banco de la víctima y comunicarle que se ha realizado un acceso no permitido y que, para mayor seguridad, deben cambiarse las claves de acceso a través del enlace que los propios delincuentes proporcionan.

¿Se puede reclamar al banco para que se responsabilice del reintegro de las cuantías estafadas en estas operaciones?

A tener en cuenta

 En las operaciones bancarias, existen derechos y obligaciones tanto para la entidad bancaria como para el cliente, derivados del contrato suscrito entre ambas partes.

De la interpretación realizada por la jurisprudencia comunitaria, tanto de la normativa comunitaria como de la nacional sobre los servicios de pago*, se desprende que:

1º El usuario de servicios de pago debe adoptar todas las medidas de seguridad razonables para proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, deberá notificárselo inmediatamente a la entidad bancaria, tan pronto como tenga conocimiento de ello y dentro de los trece meses siguientes a la fecha de adeudo.

2º Ante una operación de pago no autorizada o ejecutada de manera incorrecta, si el usuario lo comunica sin demora, el banco deberá proceder a su rectificación y deberá reintegrar el importe de inmediato, salvo que que tenga fundadas sospechas de fraude, estando obligado en tal caso a informar por escrito al Banco de España.

3º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o que se hizo de manera incorrecta, será la entidad bancaria la que deba demostrar que la operación fue autenticada, registrada con exactitud y contabilizada; así como que no hubo ningún fallo técnico o cualquier otra deficiencia en el servicio prestado.

4º El mero registro de la utilización del instrumento de pago, no será prueba suficiente para demostrar que la operación fue autorizada por el usuario; ni, tampoco, de que haya actuado de manera fraudulenta o incumplido, deliberadamente o por negligencia grave, una o varias de sus obligaciones.

Operaciones no autorizadas y Deficiencias del servicio

Por «operaciones no autorizadas» deben entenderse aquellas que se han iniciado con las claves de usuario y contraseña y confirmadas con el código enviado por SMS al número de teléfono del usuario, siempre que éste niegue haberlas autorizado, debiendo demostrar la entidad bancaria, en tal caso, que la operación fue autenticada, registrada con exactitud, contabilizada y exenta de fallas en el servicio.

Por su parte, las «deficiencias del servicio» no solamente deben interpretarse como errores o fallos del sistema informático o técnicos, sino que dentro del término se engloba cualquier falta de diligencia o mala praxis en la prestación del servicio; exigiéndose un alto grado de diligencia por parte del banco, por la naturaleza y los riesgos que conlleva la prestación del servicio.

“[…] las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta…), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo. (STS de 9 de abril de 2025)

La normativa establece una responsabilidad cuasi objetiva de la entidad bancaria ante estos hechos.

Por ello, aunque la filtración o el conocimiento de las claves por un tercero no se le pueda imputar al banco, no le exime de responder por las cantidades sustraídas ni debe ser el cliente quien soporte su pérdida, ya que, además de tener que demostrar, como se ha dicho, que el servicio se prestó correctamente, debe demostrar el dolo o negligencia por parte del cliente.

Y el hecho de que un tercero haya accedido a las cuentas con las claves del cliente, no implica necesariamente que éste haya incurrido en negligencia.

Es más, si el cliente informa a la entidad bancaria acerca de movimientos en su cuenta no autorizados y ésta no adopta medidas tendentes a detectar y evitar maniobras fraudulentas, no puede razonarse que en el servicio prestado no hubo fallos.

“El solo hecho de ser engañado, de ser víctima, no implica la comisión de una grave negligencia. Al contrario, una vez corroborado el fraude, se disipa cualquier negligencia, y menos grave, porque en general nadie tiene culpa del engaño, salvo que sea patente o burdo, que no es aquí el caso. Los ciberdelincuentes, cada vez más astutos, suplantan la identidad de la empresa y el ciudadano confía en que sus ahorros están más protegidos en los bancos que en sus domicilios. En fin, aquí la víctima no puede ser el cliente, será en todo caso el banco, salvo negligencias extremas”. (SAP Badajoz, de 25 de junio de 2025)

En resumen

Ante una presunta estafa bancaria, el usuario deberá notificar al banco, lo antes posible, que se han producido operaciones bancarias sin su autorización.

El banco, por su parte, estará obligado a restituir las cantidades sustraídas al cliente, salvo que estime que hubo fraude en la reclamación, debiendo demostrar tal extremo.

El cliente deberá asumir la pérdida de las cantidades sustraídas, si el banco puede demostrar que las operaciones se han realizado correctamente, sin ningún tipo de fallo en el servicio y que las operaciones se han realizado por voluntad o con negligencia grave del cliente.

Para terminar, resultan especialmente ilustrativas las observaciones de la Audiencia Provincial de Badajoz:

“[…] la normativa de consumo aplicable y la naturaleza adhesiva del contrato ampara de antemano al cliente. Desde el momento en que los medios digitales se han implantado en el negocio de la actividad bancaria, el riesgo de los fraudes debe ser soportado con carácter general por las entidades financieras. El auge económico de las entidades financieras se explica justamente por el abandono cada vez mayor de la presencialidad. La banca digital ha permitido un crecimiento exponencial de los servicios financieros con un enorme ahorro de costes. Las entidades bancarias tienen la doble condición de beneficiarias y de generadoras del riesgo. No basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas con el fin de garantizar tanto la autenticidad, como la integridad y confidencialidad de los datos.

Para los consumidores en general y más para los que sufren la brecha digital, es difícil detectar el fraude porque la delincuencia va perfeccionando el engaño. Por supuesto, desde el punto de vista jurídico, no podemos poner en el mismo plano a los clientes que a los bancos. Los clientes son las víctimas y las entidades financieras deben responder como depositarias y custodios de los ahorros. Por eso, el fraude digital, con carácter general, debe ser soportado por quienes se lucran con dicha actividad.

Hacen falta comunicaciones seguras, más formación a los clientes, más inversión en seguridad para evitar la clonación de las páginas y, si es necesario, bloquear las cuentas para la mejor protección de los clientes. No podemos olvidar que el depositante tiene derecho a la indemnidad de sus ahorros”. (SAP Badajoz, de 25 de junio de 2025)

 * Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

En IURIS Abogados Bilbao somos abogados penalistas con más de 20 años de experiencia en la llevanza de procesos penales, en Bizkaia y en toda España.