Cuando la banca mira hacia otro lado ante el fraude digital

Cada día que pasa, cientos de personas en España caen en ciberataques, engaños o trampas digitales que hace solo unos pocos años parecían impensables. Un correo casi idéntico al del banco, una llamada de teléfono de un supuesto gestor de nuestro banco, o un mensaje en el mismo hilo de mensajes de nuestra compañía de teléfono, banco u otra entidad con la que operemos habitualmente. Y en cuestión de segundos, observamos como nuestros ahorros desaparecen. Cuando intentamos reaccionar, ya es tarde. Y cuando llamamos a nuestro banco, la respuesta habitual es siempre la misma: “Lo sentimos, usted dio la orden, nosotros solo la ejecutamos”.

El drama jurídico empieza ahí. La velocidad del fraude digital se enfrenta a la lentitud normativa y judicial, y el resultado lógicamente es devastador para el consumidor. Mientras los ciberdelincuentes actúan en segundos, las reclamaciones no tardan meses, sino incluso años en resolverse. El derecho bancario, pensado para un mundo analógico, se mueve a un ritmo incompatible con la inmediatez del ciberdelito.

El derecho bancario español parte de una idea tradicional, que el banco debe ejecutar las órdenes de su cliente tal como las recibe. Si la orden de transferencia fue correctamente autenticada, la entidad por sí se considera exenta de culpa. Esa regla tenía sentido cuando el riesgo provenía de errores materiales, no de engaños digitales tan sofisticados que pueden inducir al error a usuarios informados y prudentes.

Al margen quedan las posibles acciones del demandado frente al banco ordenante de la transferencia si considera que existe algún elemento que implique su responsabilidad por ordenar la misma a un número de cuenta que no era el del beneficiario. Jurídicamente, la transferencia bancaria se define en la doctrina mercantilista como una operación integrada en el “servicio de caja” que el banco ofrece a su clientela, mediante la cual el cliente ordena a su banco que, con cargo a la disponibilidad monetaria que mantiene, pague una deuda a su acreedor (cliente del mismo o de otro banco), verificando las operaciones contables de “cargo” y “abono” en sus respectivas cuentas (Rodrigo Uría y Broseta Pont).

El profesor Broseta señala que la operación jurídica de transferencia implica una delegación: contrato por el que una persona (delegada), normalmente deudora de otra (delegante), consiente en sustituir a esta última en la deuda que tiene con un tercero (delegatario). Para Uría, se trata de una relación tripartita entre tres sujetos. Y en la doctrina jurisprudencial, la transferencia ha sido entendida como un mandato, que en el ámbito mercantil podría calificarse de “comisión mercantil”, conforme a los artículos 244 y siguientes del Código de Comercio.

Los tribunales han intentado adaptar la doctrina a esta nueva realidad. Exigen a las entidades actuar con máxima diligencia y detectar indicios objetivos de fraude, como operaciones atípicas o transferencias urgentes a cuentas desconocidas. Sin embargo, el límite sigue siendo difuso: ¿hasta qué punto puede el banco interpretar que su cliente está siendo engañado? Y, sobre todo, ¿qué ocurre cuando el engaño se disfraza de consentimiento válido?

Hasta ahora la ley no ha conseguido dar respuesta a la realidad del fraude digital. Las obligaciones de diligencia existen, pero carecen de criterios claros sobre cuándo debe activarse una alerta o bloquear una operación.

El Reglamento (UE) 2024/886 sobre pagos instantáneos, en vigor desde octubre de 2025, obliga a los bancos a verificar el beneficiario y permitir límites personalizados. La novedad no está en la tecnología, sino en la obligación legal de aplicarla, ya que estas herramientas estaban disponibles para los bancos desde hace años, por lo que no siempre vale aquella frase de que quien comete el delito va varias generaciones por delante.

La lentitud judicial agrava el problema. Los procedimientos civiles por transferencias fraudulentas pueden prolongarse durante años, con la consiguiente incertidumbre para las personas estafadas, que se ven forzadas a reconstruir el engaño y a convencer al juzgado de que no actuaron con imprudencia grave, siendo a menudo tratadas como “culpables” por su propia entidad, en la que confiaron toda la vida, olvidando que la víctima no actúa con imprudencia, actúa bajo engaño.

Ni la autenticación reforzada exigida por la PSD2, ni las campañas de concienciación sobre ciberseguridad han logrado blindar al usuario medio. La banca presume de cumplir los protocolos, pero el cumplimiento formal no equivale siempre a una protección efectiva. Un sistema verdaderamente diligente debería poder detectar, en tiempo real, operaciones fuera del patrón habitual del cliente.

La tecnología lo permite; lo que falta es la voluntad normativa de exigirlo.