Te explicamos en qué casos los bancos están obligados a devolverte el dinero si has sido víctima de un phishing

¿Qué se considera "negligencia grave" en una ciberestafa?

Las transferencias bancarias mediante servicios digitales se regulan en la Directiva europea sobre servicios de pago en el mercado interior de 2015, que dice que "la negligencia grave tiene que significar" un alto grado "de falta de diligencia". Pone como ejemplo de esta conducta negligente guardar las contraseñas para autorizar una operación de pago "junto al instrumento de pago, en un formato abierto y fácilmente detectable".

Según el portavoz de FACUA Consumidores en Acción, Rubén Sánchez, se puede considerar como negligencia grave "entregar todas tus contraseñas pese a que te resultaba evidente que te iban a estafar" o "no acudir a ninguna instancia a reclamar" tras conocer la estafa, "ni al banco, ni a la policía ni a ninguna autoridad de consumo o financiera".

De acuerdo con la normativa europea, los usuarios solo están obligados a informar al banco "lo antes posible" si se ha producido una operación no autorizada y en ningún caso se le pueden exigir responsabilidades si se producen pérdidas posteriores. El Real Decreto Ley 19/2018 especifica que corresponde al banco probar que el usuario "cometió fraude o negligencia grave". Si no es así, cuando se notifique una operación no autorizada, las entidades financieras deben rectificarla, según señala el artículo 45 de esa ley. El Supremo ha subrayado que el hecho de que alguien acceda a las claves de la banca digital no supone "negligencia alguna" porque pueden existir múltiples explicaciones.

En la misma línea, Miguel de Prada Rodriguez-Carrascal, director del departamento de derecho bancario de dPG Legal, asegura que el término 'negligencia grave' es "indeterminado", pero añade que, si se tiene en cuenta que el número de ciberestafas no deja de aumentar, "difícilmente se puede sostener que la víctima" de estos delitos ha actuado "sin el estándar mínimo de diligencia para protegerse del fraude". Este experto sostiene en muchos casos suceden "por la omisión de las medidas de seguridad que corren a cargo de la entidad bancaria".

Las capturas del SMS o los registros de llamadas fraudulentas, claves para demostrar el 'phishing'

Los expertos indican que si una persona es víctima de phishing debe aportar la copia o captura de pantalla del SMS, correo electrónico o llamada que dio origen al fraude. "Si el cliente, por el motivo que sea, ha eliminado dicho contenido, la capacidad probatoria se ve afectada, por lo que se podría requerir un informe pericial del dispositivo móvil que acredite la recepción del mensaje", advierten desde dPG Legal. Otros documentos útiles son el contrato de la tarjeta bancaria utilizada y de la cuenta corriente, la denuncia interpuesta ante la autoridad competente y los extractos bancarios donde consten los cargos o movimientos fraudulentos, así como cualquier otro registro que pueda "ayudar a reconstruir los hechos".

Miguel de Prada apunta una vía alternativa a la denuncia: se puede presentar una reclamación ante los Servicios, Departamentos, o Defensores del Cliente de las entidades o elevar una queja al Departamento de Conducta de Entidades del Banco de España. "No obstante, la mayor parte de los fraudes se resuelven vía judicial", puntualiza.

El secretario general de FACUA asegura que no existe un importe mínimo por el que se pueda denunciar un caso de phishing: "Desde un euro hasta miles o decenas de miles se pueden reclamar". Además, el banco está obligado a devolver "el importe íntegro defraudado, incluyendo los intereses legales correspondientes, las comisiones bancarias y cualquier otro cargo aplicado a la cuenta como consecuencia del fraude" y "no se admiten restituciones parciales", según Miguel de Prada.

La sentencia del Supremo obliga a un banco a devolver 56.000 euros a una víctima de fraude

La sentencia de la Sala de lo Civil del Tribunal Supremo se pronuncia sobre el caso de un hombre al que le robaron más de 83.000 euros en una sola noche. Previamente, había recibido alertas de seguridad en su teléfono móvil y había avisado a la entidad bancaria. La investigación comprobó que habían duplicado la tarjeta SIM del teléfono móvil de su esposa para acceder a sus contraseñas y que después sustrajeron la cantidad a través envíos de bizum y de transferencias. El banco consiguió recuperar 27.000 euros, pero se negaba a abonar los 56.000 restantes. El asunto llegó a los tribunales y la Audiencia Provincial de Zaragoza dio la razón al afectado. El Supremo ha mantenido la misma tesis, ha rechazado el recurso de casación y ha confirmado la sentencia.

Argumentan que "el usuario solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones" y que, en este caso, no existe ningún elemento del que se deduzca que el afectado cometiese ninguna negligencia grave. "Incluso en caso de haber sido víctima de phishing", dice la sentencia, si hubiese proporcionado inconscientemente sus datos, "hizo lo correcto" al ponerse en contacto con el banco, que debió haber cambiado las claves porque ya estaban "en poder de terceros". Además, la sentencia señala que las alarmas debían haber saltado en el banco ante "un hecho tan inusual como la ejecución de quince transferencias en una noche, por importe superior a 80.000 euros".

Los casos más habituales de estafas en línea

En VerificaRTVE te hemos advertido sobre múltiples casos de phishing, estafas por suplantación. Por ejemplo, te aclaramos que el BBVA no te manda este mensaje para que actualices la seguridad de tu cuenta, te alertamos de esta comunicación fraudulenta que no pertenece a la cadena de perfumerías Druni, y de estafa por correo electrónico que suplanta a Carrefour.

En este reportaje te explicamos qué se debe hacer en caso de ser víctima de una estafa en línea. Entre los delitos y fraudes por los que más nos habéis preguntado en 2024 en nuestro canal de WhatsApp y en el correo electrónico de VerificaRTVE se encuentran las estafas por códigos QR, las que utilizan WhatsApp como gancho o los medicamentos o regalos falsos.