Antes de abordar este artículo, recomendamos leer previamente las entradas "¿Qué es el phishing?" y "He sido víctima de un ataque de phishing, ¿cómo puedo recuperar mi dinero?". Estos textos proporcionan una base para comprender mejor el contenido técnico que desarrollaremos a continuación.
Si has sido víctima de phishing, una pregunta clave es: ¿quién es responsable de las pérdidas económicas derivadas de esta estafa? Existen cuatro posibles respuestas:
- El responsable directo del ataque de phishing.
- El banco desde el cual se sustrajeron los fondos.
- El banco receptor de los fondos sustraídos.
- En defecto de las anteriores, la propia víctima.
Aunque esta última opción parece injusta, la realidad es que si no se identifica y condena al responsable del ataque, y este resulta insolvente, recuperar los fondos puede ser muy complicado. Sin embargo, la Ley de Servicios de Pago establece una serie de obligaciones para las entidades financieras, que, de no cumplirse, pueden generar responsabilidades legales.
El banco del ordenante: ¿responde en caso de phishing?
Centrémonos en la vía civil, dejando a un lado la responsabilidad penal. Según el artículo 45.1 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, el banco desde el cual se sustrajeron los fondos tiene la obligación de devolver el dinero de inmediato en caso de operaciones no autorizadas:
"En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a este el importe de la operación de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación".
Esta norma establece una protección clara para los usuarios, pero incluye una excepción que los bancos pueden alegar para evitar la devolución:
"Salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España".
Si el banco utiliza esta excepción, debe demostrar que ha actuado diligentemente notificando el caso al Banco de España. Si no lo hace o no cumple con los requisitos formales, se generará una responsabilidad que puede ser reclamada judicialmente.
El cliente: ¿puede ser considerado responsable?
El artículo 46 del Real Decreto-ley 19/2018 establece que el cliente será responsable de las pérdidas derivadas de operaciones no autorizadas si ha actuado de forma fraudulenta o con negligencia grave, incumpliendo las obligaciones recogidas en el artículo 41. Estas obligaciones incluyen:
a) Proteger las credenciales de seguridad personalizadas.
b) Notificar al proveedor de servicios de pago, sin demora indebida, cualquier pérdida, sustracción o uso indebido del instrumento de pago.
Los litigios relacionados con phishing suelen girar en torno al concepto de "negligencia grave". Las entidades bancarias intentan demostrar que la víctima no tomó las medidas razonables para proteger sus credenciales. Por ello, es fundamental seguir buenas prácticas de seguridad, como evitar enlaces sospechosos o verificar los remitentes de correos electrónicos.
La jurisprudencia española respalda estas disposiciones. Por ejemplo, la Sentencia de la Audiencia Provincial de Madrid, Sección 21ª, de 10 de marzo de 2022, reafirma que el banco tiene la carga de probar que la víctima actuó con negligencia grave para eludir su responsabilidad.
El banco receptor: ¿también puede ser responsable?
El banco que recibe los fondos sustraídos en un caso de phishing también tiene ciertas obligaciones legales. Según el artículo 59.2 del Real Decreto-ley 19/2018, los proveedores de servicios de pago deben cooperar para recuperar los fondos transferidos ilícitamente:
"El proveedor de servicios de pago del beneficiario cooperará [...] comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos".
Si el banco receptor no coopera, no bloquea los fondos sospechosos o no proporciona información relevante, podría incurrir en responsabilidad por su falta de diligencia. Esta vía, aunque menos común, puede explorarse con el asesoramiento de abogados especialistas en phishing.
Un ejemplo reciente de jurisprudencia es la Sentencia de la Audiencia Provincial de Valencia, Sección 6ª, de 18 de mayo de 2023, donde se responsabilizó a un banco receptor por no haber bloqueado fondos ilícitos a pesar de recibir alertas del banco del ordenante.
Cómo actuar en caso de phishing
Si eres víctima de phishing, estos pasos son fundamentales:
- Informa al banco de inmediato: notifica la operación no autorizada tan pronto como la detectes.
- Recopila pruebas: conserva correos electrónicos, capturas de pantalla y cualquier evidencia del ataque.
- Consulta a un abogado experto en phishing: un profesional puede ayudarte a identificar las vías legales para recuperar tus fondos.
Conclusión
¿Quién responde en caso de phishing? En la mayoría de los casos, el banco del ordenante tiene la responsabilidad de devolver los fondos, salvo que pueda demostrar negligencia grave por parte del cliente. Además, los bancos receptores también tienen obligaciones legales que, de incumplirse, pueden generar responsabilidades.
La normativa española proporciona un marco sólido para proteger a las víctimas de phishing, pero el éxito de una reclamación dependerá de contar con abogados especialistas en phishing que conozcan a fondo la legislación y la jurisprudencia.
Si has sido víctima de un ataque, contáctanos. Evaluaremos tu caso y te ayudaremos a recuperar lo que te pertenece. Consulta gratuita y confidencial en toda España.