Las estafas son cada vez más sofisticadas debido al uso de la inteligencia artificial (IA) y de técnicas avanzadas de ingeniería social, que permiten hacer el engaño más creíble y que las víctimas sigan instrucciones aparentemente legítimas que terminan conduciéndolas al fraude. En estos casos, cabe preguntarse quién debe asumir la responsabilidad: si el afectado o el banco.
El papel de la víctima. Ana M. Valero, abogada experta en delitos informáticos, explica a Newtral.es que la jurisprudencia española señala algunos ejemplos de negligencia grave del cliente al ser víctima de estafa como por ejemplo:
- Guardar las credenciales (contraseña, pin, clave, etc.) junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros.
- Que sea el propio cliente quien realiza la operación fraudulenta entrando personalmente en su banca electrónica, tramitando y autorizando las transferencias o los pagos.
- Que los SMS que contienen las claves para autenticar las operaciones informen claramente de la operación que se va a realizar y la cuantía de esta. En estos casos, puede entenderse que el cliente debería haber sospechado que estaba autorizando las operaciones.
- No informar al banco de la pérdida o sustracción de un instrumento de pago tan pronto tenga conocimiento de ello.
Aun en estos supuestos, la experta señala que en los casos en los que “el cliente facilita a un tercero credenciales de acceso a su banca electrónica […] sin saber que está autorizando una operación, este tendrá, a priori, buena acogida por parte de los órganos judiciales a la hora de considerar que el banco debe responder por dicho pago”.
El papel del banco. Valero señala que para que el banco quede exonerado de responsabilidad, la falta de diligencia del cliente debe ser grave y tiene que ser probada por el banco, no por la víctima.
La experta explica que si un cliente niega haber autorizado una operación bancaria, se parte de la base de que efectivamente no la autorizó. En ese caso, es el banco quien debe acreditar que la operación se realizó correctamente, que fue autenticada, registrada y sin errores técnicos. Aunque el hecho de que la operación aparezca simplemente registrada no es suficiente para probar que el cliente la autorizó ni para atribuir negligencia.
La verosimilitud de la estafa. Valero indica que se suelen considerar verosímiles todos los fraudes en los se suplanta la identidad del banco (ya sea por la creación de una página idéntica a la legítima o la alteración del indicador de llamadas o el remitente de los mensajes).
Algunas sentencias en esta materia son, por ejemplo, la STS 571/2025, del 9 de abril, por la que una entidad bancaria fue condenada a devolver cerca de 6.000 euros a una víctima de estafa bancaria.
- La clienta recibió llamadas y mensajes que simulaban proceder de la entidad, en los que se le instó a transferir sus fondos a una supuesta cuenta de su titularidad en el mismo banco para evitar un intento de usurpación. “La operativa fue tan completa en cuanto a su apariencia de autenticidad que no se le puede exigir a la actora una diligencia mayor”, señala la sentencia, que descarta la existencia de negligencia grave por parte de la usuaria.
Actuar con diligencia. El Consejo General de la Abogacía Española señala en su página web que “si eres víctima de un fraude y has actuado con responsabilidad, el banco está obligado a devolverte el dinero. No pueden culparte solo porque se usaron tus claves: tu consentimiento a las operaciones debe ser real, no asumido”.
- Asimismo, indican que “las entidades financieras deben contar con sistemas eficaces para detectar operaciones sospechosas e inusuales y reaccionar con rapidez”.
