Imagina que recibes un correo que parece ser de tu banco, pero en realidad es una estafa de phishing: caes en ella, proporcionando sin querer a los ciberdelincuentes tus datos bancarios, y eso provoca que te roben una cantidad considerable de dinero de la cuenta…
Pero, legalmente hablando, ¿quién es responsable? ¿El banco, el usuario o ambos? Es decir, ¿puedes reclamarle al banco que restituya el dinero robado? ¿O la única forma de recuperarlo será esperar a que detengan a los culpables? Vamos a simplificar lo que la ley española dice al respecto.
La primera línea de defensa contra el phishing es, sin duda, el usuario. Tienes que ser cuidadoso y verificar siempre la autenticidad de los correos y páginas web antes de proporcionar cualquier información personal. Evita hacer clic en enlaces sospechosos y, si tienes dudas, siempre es buena idea contactar a tu banco directamente.
Sin embargo, ser víctima de un ataque de phishing no significa automáticamente que seas negligente. Si bien es crucial ser proactivo en proteger tus datos, hay veces que las trampas son tan sofisticadas que engañan incluso a los más precavidos.
Por ello, si te conviertes en víctima de un fraude, no todo está perdido. Según la legislación española, específicamente el Real Decreto-ley 19/2018, los bancos tienen una responsabilidad "cuasi objetiva" en estos casos. En otras palabras, si alguien realizó una transferencia de dinero sin tu autorización real, la responsabilidad recae en el banco, y tiene que devolverte el dinero.
Esto es así incluso si el banco no cometió ningún error o acto malintencionado. Sólo hay excepciones en casos muy específicos, como eventos de fuerza mayor o si el cliente actuó con gran negligencia o de forma fraudulenta.
En este último caso, recaer en el banco la tarea de demostrar tu negligencia. Para eximirse de responsabilidad, el banco debe presentar pruebas de que:
El artículo 45 de este decreto es claro: si hay una operación no autorizada, el banco debe devolver el importe de inmediato y, a más tardar, al final del siguiente día hábil.
Pero (y esto es importante) si eres víctima, debes informar al banco sobre la operación no autorizada lo antes posible: la ley sólo te da un plazo de 3 meses desde la fecha del acto fraudulento para hacerlo.
Entonces, ¿a quién tengo que denunciar para recuperar mi dinero? ¿Al estafador o al banco? Si bien puedes perseguir al delincuente a través de un proceso penal, no puedes reclamar el mismo monto tanto al estafador como al banco. Puedes, sin embargo, buscar la responsabilidad civil del banco mientras llevas al estafador a juicio penal.
Y es probable que tengas que terminar pleiteando contra el banco porque, pese a la claridad de la norma, estas entidades suelen valorar el concepto de negligencia grave de la manera más adecuada a sus intereses.
Recientemente, abordamos el caso de la entidad gallega Abanca, obligada a indemnizar a dos jubilados víctimas de una ciberestafa: alegaban que las víctimas realizaron "voluntariamente" los movimientos de sus cuentas (30.600 €)… pero, según el juez, fue el banco quien no adoptó medidas de seguridad adecuadas.
Un caso aún más reciente involucra el robo de 5.000 euros a un cliente del Santander a través de un SMS falso. Se demostró que la víctima actuó sin negligencia grave y la sentencia enfatizó la dificultad de detectar fraudes tan sofisticados. Estos veredictos sugieren una tendencia hacia la responsabilidad bancaria en casos de phishing.