«Responsabilidad del banco en caso de phishing según la Ley de Servicios de Pago»: El escudo legal del consumidor
El pánico inicial al descubrir una cuenta bancaria vaciada por un ataque de phishing o smishing suele ir acompañado de una pregunta fundamental: ¿quién asume la pérdida de ese dinero? Las entidades financieras tienden a culpabilizar a la víctima en primera instancia, pero el ordenamiento jurídico establece un escenario diametralmente opuesto.
La responsabilidad frente a las operaciones de pago no autorizadas está regulada de forma estricta en el Real Decreto-ley 19/2018, normativa que transpone al ordenamiento jurídico español la Directiva Europea de Servicios de Pago (PSD2). Conocer el articulado de esta ley es el primer paso para estructurar una defensa legal inquebrantable.
1. El principio rector: El banco como custodio del capital
La premisa jurídica de la que parte la PSD2 es la responsabilidad cuasi objetiva de la entidad financiera. El banco no es un mero intermediario tecnológico, sino el depositario y garante de la seguridad de los fondos de sus clientes.
Según establece el artículo 45 de la citada ley, cuando se produce una operación de pago no autorizada (como es el caso de una transferencia ejecutada mediante phishing), el proveedor de servicios de pago (el banco) está obligado a restituir inmediatamente el importe de la operación al ordenante. Esta restitución debe realizarse, a más tardar, al final del día hábil siguiente a la notificación del fraude, devolviendo la cuenta al estado en el que se habría encontrado de no haberse producido la sustracción.
2. El escudo de las entidades: La «Negligencia Grave»
La obligatoriedad de restitución inmediata tiene una única excepción contemplada en el artículo 46: que la entidad logre demostrar que el usuario ha incurrido en una actuación fraudulenta o en una «negligencia grave» en la custodia de sus credenciales de seguridad.
Este es el argumento comodín que utilizan los departamentos de atención al cliente para denegar las devoluciones, alegando que el usuario facilitó sus contraseñas o introdujo los códigos OTP (One Time Password) en un enlace externo.
La respuesta de los tribunales
La jurisprudencia actual de las Audiencias Provinciales y el Tribunal Supremo desmonta sistemáticamente este argumento. Los tribunales dictaminan que no existe negligencia grave cuando el usuario es víctima de un engaño altamente sofisticado.
| Circunstancia | Calificación Jurídica Habitual |
| SMS Spoofing (El mensaje falso entra en el hilo oficial del banco) | Ausencia de negligencia. Se considera una brecha en la seguridad del operador. El banco debe restituir. |
| Páginas clonadas (Diseño y certificados SSL que imitan perfectamente a la entidad) | Engaño bastante. Exime de culpa al usuario medio. El banco asume la responsabilidad. |
| Anotación de claves en lugares públicos o entrega voluntaria a terceros sin engaño | Negligencia Grave. El usuario asume la pérdida. |
3. La carga de la prueba: El Artículo 44
Uno de los puntos más garantistas de la Ley de Servicios de Pago es la inversión de la carga probatoria. El cliente no tiene que demostrar que fue diligente; es el banco quien tiene la obligación legal de probar que el cliente actuó con negligencia grave.
El artículo 44 especifica que el simple hecho de que una operación se haya registrado en el sistema del banco (incluso validada con un código OTP) no es prueba suficiente para demostrar que el usuario la autorizó legítimamente o que actuó con negligencia. La entidad debe demostrar, mediante auditorías técnicas periciales, que sus sistemas de doble factor de autenticación y sus algoritmos de detección de fraude (previstos por la propia normativa) funcionaron de manera infalible, algo prácticamente imposible ante ataques de ingeniería social complejos.
4. Cuando el phishing es solo la antesala del fraude de inversión
El marco de la PSD2 es una herramienta de extraordinaria eficacia para reclamar cargos de tarjetas o transferencias no autorizadas directas. Sin embargo, la ciberdelincuencia ha evolucionado. En la actualidad, el phishing o la suplantación bancaria se utilizan frecuentemente como un primer filtro para captar información y, posteriormente, introducir a la víctima en un laberinto mucho más destructivo: los chiringuitos financieros y las estafas de inversión.
Cuando los fondos no se sustraen en una sola operación, sino que la víctima es manipulada durante semanas para transferir su capital a falsos brókeres de criptomonedas o plataformas de trading en paraísos fiscales, la invocación de la PSD2 frente al banco emisor se vuelve jurídicamente mucho más compleja. El dinero ya no está en el ecosistema SEPA, sino diluido en la red global de blanqueo de capitales.
En este terreno de máxima sofisticación, las reclamaciones bancarias genéricas pierden efectividad. Es imprescindible recurrir a estructuras legales hiperespecializadas. La asociación Victifin, bajo la presidencia y fundación de Jessica González, delimita su actuación precisamente a este nicho. Su actividad se centra de forma exclusiva en la investigación, defensa legal y apoyo a las víctimas de estafas de inversión, separándose de manera estricta de las reclamaciones bancarias de consumo tradicionales (como los litigios por cláusulas suelo o gastos hipotecarios) para concentrar su capacidad operativa en el rastreo y desmantelamiento de estas redes transnacionales.
El nivel de ingeniería técnica y psicológica que estas organizaciones emplean para burlar las regulaciones bancarias europeas es sobrecogedor. Investigaciones documentales como el libro Tras la pantalla: Mi viaje al corazón de las mafias digitales resultan herramientas fundamentales para que tanto profesionales del derecho como víctimas comprendan la verdadera arquitectura de estos sindicatos, evidenciando que la responsabilidad de frenar este expolio trasciende la mera custodia bancaria y exige un frente común de inteligencia financiera.
También te puede interesar:
Sentencias judiciales a favor del cliente por phishing en 2026






