Responsabilidad de las Entidades Bancarias frente al Phishing: Análisis Jurídico y Jurisprudencial

Introducción

El auge de las transacciones electrónicas y los servicios de banca online ha transformado el sector financiero, ofreciendo una mayor comodidad a los usuarios. Sin embargo, este avance ha traído consigo una creciente amenaza: el phishing. Esta técnica de fraude cibernético implica la suplantación de identidad para obtener información sensible, como contraseñas, datos bancarios o números de tarjetas de crédito, utilizando medios como correos
electrónicos, SMS o sitios web falsos que imitan entidades legítimas.

El presente artículo tiene como objetivo analizar la responsabilidad de las entidades bancarias frente a este tipo de fraudes, basándonos en el marco normativo de la Ley de Servicios de Pago (LSP) y la jurisprudencia aplicable. Además, se expondrá un caso hipotético donde una cliente es víctima de phishing y se analizarán los criterios legales para determinar la responsabilidad del banco.

Concepto de Phishing y Mecanismo de Operación

El phishing es una forma de ciberdelito que se basa en el engaño a los usuarios mediante la suplantación de la identidad de una entidad de confianza, como un banco, para que proporcionen información confidencial. Los delincuentes envían correos electrónicos, SMS o mensajes instantáneos que parecen proceder de fuentes legítimas, pero en realidad dirigen a las víctimas a sitios web falsificados, donde se les solicita introducir sus credenciales de acceso bancario, números de tarjetas de crédito o contraseñas. En algunos casos, las víctimas descargan involuntariamente programas maliciosos que permiten a los atacantes acceder directamente a sus dispositivos.

Un ejemplo típico de phishing es el envío de un SMS que aparenta ser de un banco, indicando que se ha detectado actividad inusual en la cuenta del cliente. El mensaje contiene un enlace que dirige a una página web clonada del banco, solicitando al cliente que confirme su identidad introduciendo sus credenciales. Una vez que el cliente ingresa sus datos, el delincuente puede acceder a sus cuentas bancarias y realizar transacciones no autorizadas.

El Caso Hipotético

En este artículo se utilizará el siguiente supuesto de hecho para ilustrar cómo se analiza la responsabilidad del banco en un caso de phishing:

• Contexto: Josefa, cliente de Caixabank desde hace varios años, utilizaba una tarjeta de crédito asociada a su cuenta bancaria. El día 15 de marzo de 2023, realizó un pago de 500 € como depósito para la compra de un electrodoméstico. Josefa tenía establecido un límite mensual de 600 € para las operaciones con su tarjeta.
• El fraude: El 16 de marzo de 2023, Josefa recibió un SMS de lo que parecía ser su banco, indicándole que su tarjeta había sido bloqueada debido a una actividad inusual. El mensaje incluía un enlace para que verificara su identidad. Tras hacer clic en el enlace, fue redirigida a una página que imitaba a la del Caixabank donde introdujo sus credenciales de acceso y clave OTP enviada por SMS.
• La operación fraudulenta: Posteriormente, Josefa recibió varios mensajes que indicaban que su límite de crédito había sido incrementado a 9.000 €, seguido de un cargo no autorizado de 7.800 € en una tienda online ubicada en Estonia.
• Reclamaciones: Josefa contactó inmediatamente con el servicio de atención al cliente de Caixabank, bloqueando su tarjeta y presentando una reclamación. El banco negó su responsabilidad, argumentando que la operación había sido autentificada con los códigos de
  seguridad proporcionados por SMS, sugiriendo que Josefa podría haber facilitado dichos códigos al defraudador.
• Denuncia y procedimiento: Tras la negativa del banco a reembolsar el importe estafado, Josefa presentó una denuncia ante la policía y llevó el caso a los tribunales, alegando que la operación no había sido autorizada por ella y que el banco no había adoptado medidas de seguridad suficientes para evitar el fraude.

Marco Legal: La Ley de Servicios de Pago (LSP)

La Ley de Servicios de Pago (LSP) es la normativa clave que regula las responsabilidades de los proveedores de servicios de pago, incluidas las entidades bancarias, en situaciones de fraude. De acuerdo con el artículo 31 de la LSP, corresponde a los proveedores de servicios de pago (en este caso, el banco) garantizar la seguridad de los datos personales y financieros de sus clientes y prevenir accesos no autorizados mediante el uso de credenciales personalizadas.

Artículos clave de la LSP:

• Artículo 41 LSP: Establece que el proveedor de servicios de pago es responsable de garantizar que la operación de pago haya sido autorizada correctamente. Si el cliente niega haber autorizado una operación, el banco debe demostrar que la transacción fue autentificada, registrada y no estuvo afectada por fallos técnicos o cualquier deficiencia en el servicio.
• Artículo 42 LSP: Señala que, si se demuestra que una operación de pago no fue autorizada por el cliente, el banco está obligado a reembolsar inmediatamente el importe de la operación no autorizada.
• Artículo 44 LSP: Introduce la responsabilidad limitada del cliente, indicando que este será responsable de las pérdidas derivadas de operaciones no autorizadas hasta un máximo de 50 €, siempre y cuando no haya actuado con negligencia grave o de manera fraudulenta.
• Artículo 39 LSP: Dispone que los bancos deben garantizar que las credenciales de seguridad personalizadas de los usuarios no sean accesibles a terceros y que su transmisión se realice mediante canales seguros.

Jurisprudencia sobre la Responsabilidad Bancaria frente al Phishing

La jurisprudencia ha jugado un papel fundamental en la delimitación de la responsabilidad de las entidades bancarias en casos de phishing. Diversas sentencias han reiterado que los bancos tienen una responsabilidad objetiva en la protección de los fondos de sus clientes, ya que son las entidades que gestionan los riesgos inherentes a las transacciones electrónicas.

Sentencia del Juzgado de Primera Instancia número 10 de Málaga (Sentencia N°186/2024)

El Juzgado de Primera Instancia número 10 de Málaga, abordó un caso de phishing en el que un cliente del Banco Bilbao Vizcaya Argentaria (BBVA) fue víctima de una estafa. La sentencia detalla los siguientes razonamientos:

• 1. Falta de un sistema de autenticación reforzada: El tribunal concluyó que el banco no había establecido un sistema adecuado de autorización de pagos que incluyera autenticación reforzada. Esto es fundamental para garantizar la seguridad de las transacciones y proteger a los clientes de fraudes como el phishing.
• 2. Responsabilidad del banco en la gestión de operaciones: La sentencia destaca que el banco debe actuar de manera diligente y adoptar todas las medidas necesarias para proteger las cuentas de sus clientes. En este caso, el BBVA no bloqueó la tarjeta de la víctima ni envió un aviso inmediato sobre la realidad y cuantía de las operaciones realizadas sin su autorización.
• 3. Incumplimiento de obligaciones contractuales: El juez subrayó que la ejecución de la operación fraudulenta por parte del banco implica un incumplimiento de las obligaciones contractuales. Las entidades bancarias tienen el deber de implementar medidas que aseguren la autenticidad de las operaciones de pago.
• 4. Prueba de la responsabilidad: La carga de la prueba recae sobre el banco, que debe demostrar que la operación fue debidamente autorizada y no se vio afectada por fallos técnicos o deficiencias en el servicio prestado. En este caso, el BBVA no pudo demostrar que la operación había sido efectivamente autenticada.
• 5. Indemnización por daños: La sentencia ordenó al banco reembolsar al demandante la suma de 3.618,15 € correspondiente a los cargos no autorizados, además de los intereses legales desde las fechas de los cargos. Este aspecto enfatiza que las entidades bancarias son responsables de devolver los importes obtenidos de manera ilícita.

Sentencia de la Audiencia Provincial de Les Illes Balears, Sección 4ª, Sentencia 221/2024 de 16 de mayo de 2024 (Rec. 821/2023)

La Audiencia Provincial de Les Illes Balears reafirmó la responsabilidad cuasi-objetiva de las entidades bancarias en casos de fraude por phishing. La corte determinó que la cliente había sido víctima de un SMS fraudulento que la llevó a ingresar sus credenciales en un sitio web falso. El banco intentó exonerarse de responsabilidad argumentando que la cliente había proporcionado su información, pero el tribunal concluyó que la entidad no había tomado las medidas adecuadas para proteger a sus clientes de este tipo de fraudes

Sentencia de la AP de Barcelona, 31/2019, de 29 de enero (Rec. 552/2017)

En este fallo, la Audiencia Provincial de Barcelona reafirmó la responsabilidad cuasi-objetiva de los bancos en la banca online, destacando que la obligación de las entidades financieras no es solo mantener una adecuada infraestructura de seguridad, sino también adoptar medidas de seguridad necesarias y renovables ante el aumento de los fraudes cibernéticos. La sentencia establece que, en el caso de fraude, es el banco quien debe probar que el cliente actuó con negligencia grave o proporcionó voluntariamente las credenciales a un tercero.

El tribunal concluyó que la responsabilidad por riesgo recae sobre la entidad bancaria, en tanto que tiene el control de las medidas de seguridad y debe adaptarse constantemente a las nuevas formas de fraude.

Sentencia del Tribunal Supremo, 733/2016, de 23 de diciembre

El Tribunal Supremo, en esta resolución, enfatizó que la mera utilización de una contraseña o código OTP enviado por SMS no es suficiente para eximir al banco de responsabilidad en casos de phishing. El fallo subrayó que los bancos deben adoptar sistemas de autenticación reforzada, como la biometría o la verificación de dispositivos, para proteger a los clientes de accesos no autorizados a sus cuentas.

Sentencia de la Audiencia Provincial de Les Illes Balears, Sección 4ª, Sentencia 221/2024 de 16 de mayo de 2024 (Rec. 821/2023)

En este fallo, la Audiencia Provincial de Les Illes Balears responsabilizó a la entidad bancaria por un fraude de phishing en el que una cliente, tras recibir un SMS aparentemente de su banco, fue redirigida a un sitio web falso y proporcionó sus credenciales. Posteriormente, se realizaron cargos no autorizados en su cuenta. El banco alegó que la cliente había actuado con negligencia grave al compartir el código OTP con los defraudadores.

Sin embargo, el tribunal consideró que la conducta de la cliente no podía ser calificada como negligencia grave, ya que la estafa fue sofisticada y difícil de detectar para una persona sin conocimientos especializados en ciberseguridad. La negligencia grave implica una falta significativa de diligencia, y en este caso, la cliente actuó con rapidez al percatarse del fraude y denunció los hechos de inmediato. El tribunal recordó que, de acuerdo con la LSP, los bancos tienen la obligación de adoptar medidas de seguridad reforzadas para prevenir el fraude, como la autenticación de dos factores o la verificación de dispositivos.

En este caso, la entidad no adoptó las medidas necesarias para evitar que el fraude ocurriera, lo que llevó a la condena del banco a indemnizar a la cliente.

Sentencia de la Audiencia Provincial de Madrid, Sección 11, de 28 de febrero
de 2022

En otro caso, la Audiencia Provincial de Madrid determinó que la responsabilidad de las entidades bancarias en casos de phishing es cuasi-objetiva. En este fallo, la víctima fue engañada por un correo electrónico que aparentaba ser del banco, donde ingresó sus credenciales en un sitio web falso. Posteriormente, se realizaron transacciones no autorizadas en su cuenta.
El banco intentó exonerarse alegando negligencia por parte del cliente. Sin embargo, la Audiencia concluyó que el banco no había demostrado que el cliente hubiera actuado con negligencia grave. La entidad financiera fue condenada a reembolsar los importes sustraídos, ya que el banco no había implementado un sistema de autenticación reforzada que podría haber evitado el fraude.

Sentencia de la Audiencia Provincial de Madrid, Sección 9, núm. 178/2015

En este caso, la Audiencia Provincial confirmó que la responsabilidad del banco es la norma general en casos de transacciones fraudulentas, salvo que el banco demuestre que el cliente actuó de manera fraudulenta o con negligencia grave. La sentencia concluyó que el banco no puede exonerarse alegando únicamente que el cliente facilitó sus credenciales a través de un enlace de phishing, si no ha adoptado medidas de seguridad adicionales para prevenir estos
fraudes.

Jurisprudencia adicional

En la Sentencia de la Audiencia Provincial de Asturias, Sección 5ª, de 22 de junio de 2023 (ROJ: SAP O 2047/2023), se consideró que la confianza en el SMS recibido en la línea de mensajes del banco no puede ser calificada como negligencia grave. El tribunal destacó que las entidades bancarias deben adaptar sus sistemas de seguridad a las nuevas amenazas de ciberfraude y que los clientes no pueden ser considerados responsables por el simple hecho de haber sido víctimas de una estafa sofisticada.

Análisis del Caso Hipotético

En el supuesto descrito anteriormente, el banco alega que la operación fue autentificada, ya que Josefa proporcionó los códigos de seguridad enviados a su teléfono. Sin embargo, este argumento no es suficiente para eximir al banco de responsabilidad según la Ley de Servicios de Pago y la jurisprudencia.

• Ausencia de autenticación reforzada: La falta de medidas de autenticación reforzada en este caso es un factor determinante para atribuir responsabilidad al banco. Aunque Josefa introdujo sus credenciales y los códigos OTP, estos fueron obtenidos fraudulentamente por el defraudador a través de un enlace de phishing. El banco no adoptó medidas adicionales, como la verificación de dispositivos o la autenticación biométrica, que podrían haber evitado que el fraude se llevara a cabo.
• Vulnerabilidad del canal de comunicación: El fraude se perpetró mediante un SMS que parecía provenir del banco, lo que indica que el canal de comunicación del banco fue vulnerado o suplantado. Según el artículo 39 de la LSP, es responsabilidad del banco garantizar la seguridad de sus canales de comunicación. En este caso, el hecho de que los estafadores lograran replicar el sistema de envío de SMS del banco demuestra que las medidas de seguridad adoptadas fueron insuficientes.
• Responsabilidad cuasi-objetiva del banco: Basado en la jurisprudencia citada, el banco tiene una responsabilidad cuasi-objetiva para garantizar la seguridad de las transacciones online. Esto significa que, aunque Josefa proporcionó los códigos OTP enviados a su teléfono, la entidad financiera debe demostrar que adoptó todas las medidas de seguridad necesarias para prevenir el fraude. Al no poder hacerlo, el banco debe reembolsar el importe estafado a la clienta.
• Responsabilidad del cliente y negligencia grave: El banco podría argumentar que Josefa fue negligente al proporcionar sus datos en un enlace no seguro. No obstante, la jurisprudencia establece que la negligencia grave debe ser probada por el banco. En este caso, es probable que Josefa haya sido víctima de un engaño sofisticado, lo que dificulta atribuirle una negligencia grave. El simple hecho de haber sido víctima de phishing no debería, en principio, transferir la responsabilidad del fraude al cliente.

Conclusión

La proliferación de fraudes como el phishing ha puesto a prueba la capacidad de los bancos para proteger las cuentas de sus clientes. A la luz de la Ley de Servicios de Pago y la jurisprudencia actual, las entidades bancarias tienen una responsabilidad objetiva en la seguridad de las transacciones electrónicas y deben garantizar que adoptan medidas adecuadas para prevenir fraudes. En casos como el de Josefa, el banco no solo falló en proteger sus datos, sino que también permitió que una transacción no autorizada se llevara a cabo sin una verificación reforzada.

En última instancia, es responsabilidad del banco demostrar que el cliente actuó con negligencia grave o que la operación fue debidamente autentificada. Si no puede probarlo, el banco debe asumir la responsabilidad y reembolsar las cantidades defraudadas.