La reunión del foro de buenas prácticas bancarias, impulsado por el ministerio de Economía, Comercio y Empresa que reúne a las patronales bancarias (AEB, CECA y Unacc) con consumidores, representantes de los mayores (Plataforma de Mayores y Pensionistas y el impulsor de la campaña Soy mayor, no idiota, Carlos San Juan) y el Defensor del Pueblo ha abordado de forma monotemática el problema de los ciberfraudes en la operativa financiera por iniciativa expresada por ASUFIN en la anterior reunión, celebrada en el mes de julio.
“El usuario financiero necesita un marco legislativo mucho más protector, que delimite de forma suficiente el grado de responsabilidad en los casos de ciberfraude, y que tenga en cuenta el contexto en el que se produce” asegura la presidenta de la Asociación de Usuarios Financieros, Patricia Suárez. “Además, los bancos tienen que trabajar de la mano de las empresas de telefonía y las tecnológicas para avanzar en la prevención del fraude”, añade. Patricia Suárez insiste en que “no se puede cargar al consumidor con toda la responsabilidad cuando ni los propios bancos ni incluso las grandes tecnológicas tienen mecanismos suficientes para evitar el fraude”.
Además, Asufín considera que “los propios datos y medidas que está adoptando el Banco de España no nos sirven”. La gravedad de este tema choca con una consideración por parte del máximo regulador, el Banco de España, muy alejada de la realidad que sufren los usuarios, expuestos cada vez más a la ingeniería social de los ciberdelincuentes, que va muy por delante de la seguridad que despliegan las entidades.
Así, en el 47% de los casos examinados por el Banco de España, se considera que el usuario ha cedido sus datos y, por tanto, no son competentes para delimitar si ha habido o no negligencia por parte del consumidor que justifique la negativa del banco a restituir el dinero. Esta inadmisión de prácticamente la mitad de los casos tiene que ver con que el regulador directamente rechaza todos aquellos en los que detecta un elemento delincuencial, de estafa, en los que, según explica, su ámbito competencial está limitado. Y se da la paradoja de que en el resto de los asuntos, en la gran mayoría -el 84%-, el consumidor ve reconocidos sus derechos en vía judicial. Nos encontramos, por tanto, ante un buen número de estafas en las que el usuario queda totalmente desamparado y obligado a defender su caso en tribunales.
Es más, desde el Banco de España se admite que los expedientes tramitados en materia de ciberfraude “van a menos”, como se reconoció en nuestro VII Congreso anual. Si bien en 2022 se alcanzó el máximo de 10.000 expedientes, los años siguientes esta cifra ha ido a la baja, situándose en el entorno de los 8.500, en estos momentos del ejercicio. ¿Dónde está yendo el resto de casos de ciberfraude? A los tribunales, donde los procedimientos no dejan de aumentar.
Los consumidores soportan actualmente el 86% de las pérdidas por fraude bancario, ya que una de las principales razones que alegan las entidades bancarias a la hora de denegar las reclamaciones y el reembolso, es la “negligencia grave”. Es urgente, por ello, avanzar en una definición que tenga en cuenta todos los aspectos en los que tiene lugar la estafa.
En este sentido, desde Asufin consideran que el contexto es importante para determinar el nivel de diligencia exigible al consumidor. Los criterios de evaluación deben incluir que existe un engaño difícil de detectar por parte del usuario por el nivel de sofisticación (por ejemplo, uso de suplantación de identidad, herramientas de IA, mensajes que “informan” de que se envía un OTP para revertir una operación no autorizada, como sucede todo lo contrario), el nivel de personalización (por ejemplo, filtración previa de datos que permita al defraudador personalizar el intento de fraude) y las características individuales del consumidor (por ejemplo, habilidades digitales, edad, etc.), así como las medidas de seguridad que puede y debe tomar el banco para evitarlas (como la política “conoce a tu cliente”).
"En nuestro país, las Audiencia provinciales y los juzgados de primera instancia están dando la razón a las personas consumidoras en caso de operaciones no autorizadas, señalando que deben ser los bancos quienes deben acreditar la negligencia grave de los usuarios y que ser engañado por un defraudador profesional no puede considerarse negligencia grave por parte del usuario. Además, apuntan a que las entidades financieras deben adoptar las medidas necesarias para prevenir el fraude" explica la Asociacióon.
El primer pronunciamiento por parte del Tribunal Supremo (sentencia 571/2025, de 9 de abril de 2025) que, si bien no puede aplicarse a todos los casos de ciberfraude, constituyó un importante primer paso, dio la razón al cliente, y recordó que la normativa europea establece que el usuario solo responde en casos de incumplimiento deliberado o por negligencia grave una o varias de sus obligaciones.
