La responsabilidad de las entidades bancarias en operaciones no autorizadas por el cliente
El auge de la banca electrónica ha transformado la gestión de nuestras finanzas, aportando una agilidad y comodidad sin precedentes. Sin embargo, este avance tecnológico ha venido acompañado de una sofisticación creciente en las técnicas de ciberdelincuencia. Métodos como el Phishing (suplantación de la web del banco), el SIM Swapping (duplicado fraudulento de la tarjeta SIM) o el Remote Desktop Protocol (acceso remoto al dispositivo) permiten a terceros disponer del dinero de los usuarios de forma ilícita. Ante estos ataques, confíe en Zayas Fernández de Córdoba Abogados, su firma de abogados especializados en reclamaciones bancarias. Por lo tanto, ante un ataque de esta índole es bueno conocer la responsabilidad de las entidades bancarias en operaciones no autorizadas por el cliente.
Ante este escenario, surge una duda legal crítica: quién debe asumir la pérdida económica cuando se produce una transferencia o pago fraudulento. La normativa vigente es clara al respecto, estableciendo una sólida responsabilidad de las entidades bancarias en operaciones no autorizadas. Dado que la vía penal contra los ciberdelincuentes suele ser infructuosa debido a su ubicación en paraísos legales o fuera de la Unión Europea, la reclamación civil contra el banco se presenta como el camino más viable para que el cliente recupere sus fondos.
El marco legal: Real Decreto-ley 19/2018
La base jurídica que sustenta las reclamaciones bancarias por operaciones no autorizadas se encuentra en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. Esta norma, que transpone directivas de la Unión Europea, establece un sistema de responsabilidad que la jurisprudencia define como «cuasi objetiva». Esto significa que, si un cliente niega haber autorizado una operación, la ley presume inicialmente que dicha falta de autorización es cierta.
El artículo 42 de esta ley establece la responsabilidad de las entidades bancarias en operaciones no autorizadas. Que obliga al proveedor de servicios de pago (el banco) a devolver de inmediato el importe de cualquier operación no autorizada, siempre que el cliente lo comunique sin demora injustificada. Esta protección legal sitúa al usuario en una posición de ventaja procesal. Ya que no es el cliente quien debe demostrar que fue engañado. Sino el banco quien debe probar que cumplió con todos los protocolos de seguridad y que el cliente incurrió en una conducta negligente.
La inversión de la carga de la prueba
Uno de los pilares de la responsabilidad de las entidades bancarias en operaciones no autorizadas por el cliente es la inversión de la carga de la prueba. Cuando se presenta una reclamación, corresponde al banco demostrar dos aspectos fundamentales: primero, que la operación fue autenticada y registrada con exactitud; y segundo, que no existió un fallo técnico en sus sistemas.
Sin embargo, el punto más conflictivo suele ser la demostración de fraude o negligencia grave por parte del usuario. Las entidades suelen alegar que, si se superó la «autenticación reforzada» (doble factor), la operación solo pudo realizarse porque el cliente cedió sus claves. No obstante, la ley especifica que el simple registro de la operación por el banco no es prueba suficiente de que el cliente la autorizara o actuara con negligencia grave. El banco debe demostrar una conducta significativamente descuidada del usuario para eludir su obligación de reembolso.
¿Qué se considera «negligencia grave» del cliente?
Para que el banco quede eximido de su responsabilidad, no basta con una simple distracción del cliente; la negligencia debe ser «grave». Según la Directiva (UE) 2015/2366, esto implica una falta de diligencia significativa. Caer en una estafa de phishing extremadamente sofisticada. Donde la web del banco es idéntica a la original y el mensaje de texto aparece en el mismo hilo que los mensajes legítimos, suele ser considerado por los tribunales como un error humano comprensible, no como negligencia grave.
La jurisprudencia actual entiende que el banco, como profesional del sector que obtiene beneficios al reducir costes mediante la banca online, debe asumir los riesgos inherentes a este sistema. Se le exige una «culpa in vigilando». Es decir, existe una responsabilidad de las entidades bancarias en operaciones no autorizadas porque debe realizar una labor de vigilancia extrema sobre las operaciones. Si el banco no detecta un patrón de gasto inusual o un acceso desde un dispositivo extraño, está incumpliendo su deber de supervisión técnica. Lo que refuerza su responsabilidad frente al cliente defraudado.
El deber de vigilancia y supervisión de las operaciones
El Reglamento Delegado (UE) 2018/389 establece que las entidades deben disponer de mecanismos de supervisión que analicen el comportamiento habitual del usuario. Esto incluye monitorizar el importe de las operaciones, el dispositivo utilizado y el modus operandi de los fraudes conocidos. Si un cliente que nunca realiza transferencias internacionales de repente envía 5.000 euros a un país extranjero. El sistema del banco debería bloquear la operación o verificarla exhaustivamente.
Si el banco falla en detectar estas anomalías, no puede trasladar el perjuicio al cliente. Las Audiencias Provinciales de ciudades como Cádiz, Santander, Ourense y Pontevedra han dictado sentencias reiteradas que obligan a los bancos a restituir el dinero sustraído. Los jueces argumentan que el riesgo de seguridad en la banca por internet debe ser soportado por la entidad que diseña y ofrece el servicio. Siempre que no se demuestre una connivencia o un descuido grosero por parte del usuario.
Procedimiento para las reclamaciones bancarias por operaciones no autorizadas
Si ha sido víctima de un fraude, el primer paso es notificarlo a la entidad y bloquear las cuentas o tarjetas afectadas. Posteriormente, es fundamental interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Con estos documentos, se debe presentar una reclamación formal ante el servicio de atención al cliente del banco, invocando la responsabilidad de las entidades bancarias en operaciones no autorizadas por el cliente.
Si la entidad deniega la devolución —lo cual es frecuente en la primera fase—, el usuario puede acudir al Banco de España o, de forma más efectiva, iniciar una reclamación judicial. Contando con una firma de abogados en Granada como Zayas Fernández de Córdoba Abogados. En la mayoría de los casos, la justicia da la razón al consumidor. Obligando al banco a reponer el saldo de la cuenta al estado anterior al fraude, incluyendo el pago de los intereses legales. Dada la complejidad técnica, contar con asesoramiento legal especializado es determinante para rebatir los argumentos técnicos de las entidades. Como Zayas Fernández de Córdoba Abogados, especializados en reclamaciones bancarias.
Preguntas Frecuentes (FAQ) sobre responsabilidad de las entidades bancarias en operaciones no autorizadas
1. ¿Cuánto tiempo tengo para reclamar una operación no autorizada?
El cliente debe comunicar la operación al banco en cuanto tenga conocimiento de ella. El plazo máximo legal para solicitar la rectificación es de 13 meses desde la fecha del adeudo. Aunque se recomienda hacerlo de forma inmediata para evitar que el banco alegue falta de diligencia en la comunicación.
2. ¿El banco me puede cobrar por devolverme el dinero?
No. Según el Real Decreto-ley 19/2018, la restitución del importe debe ser íntegra y el banco debe asegurar que la cuenta vuelva al estado en que estaría si la operación fraudulenta no se hubiera realizado.
3. ¿Qué pasa si el banco dice que yo autoricé la operación con el código SMS?
El banco debe probar que el código fue introducido por usted y no interceptado mediante técnicas como el SIM Swapping. Incluso si usted introdujo el código engañado por una web falsa. Si el engaño es lo suficientemente sofisticado, los tribunales suelen fallar a favor del cliente al no considerarlo negligencia grave.
4. ¿Es necesario denunciar a la policía para reclamar al banco?
Sí, es altamente recomendable. La denuncia policial sirve como prueba de su falta de consentimiento y es un documento que el banco y los tribunales exigirán para tramitar las reclamaciones bancarias por operaciones no autorizadas.