La Directiva PSD3 introduce mejoras para luchar contra el ‘phishing’, que en nuestro país ha crecido de forma notable estos últimos años
La Comisión Europa ya trabaja en una nueva Directiva de Servicios de Pago PSD3 que mejorará la seguridad de las transacciones online y la lucha contra el fraude. El usuario financiero necesita un marco legislativo protector, que delimite de forma suficiente el grado de responsabilidad, en los casos de ciberfraude, y que tenga en cuenta el contexto en el que se produce. Sin embargo, el Banco de España mantiene una visión muy alejada de la realidad que sufren los usuarios, expuestos cada vez más a la ingeniería social de los ciberdelincuentes, que va muy por delante de la seguridad que despliegan las entidades. Así, en el 47% de los casos, se considera que el usuario ha cedido sus datos y, por tanto, no hay responsabilidad de la entidad financiera. Y en el resto de asuntos, se concluye que, en la gran mayoría, el usuario lleva razón. La PSD3 introduce mejoras clave para hacer frente a estos desafíos como es la verificación del IBAN: se exigirá que los proveedores de servicios de pago (PSP) verifiquen que el IBAN del destinatario coincide con el nombre del titular de la cuenta antes de procesar una transferencia. Si hay discrepancias, el pagador será notificado y podrá decidir si procede o no con el pago.
Otra cuestión que se plantea son nuevas medidas de autentificación: se refuerzan los requisitos de Autentificación Reforzada del Cliente (SCA), haciendo que sean más accesibles para usuarios con dificultades tecnológicas o discapacidades. Será obligatoria en la incorporación de nuevos métodos de pago en billeteras digitales y se establecen excepciones específicas.
Un tercer elemento son los derechos de reembolso: se amplían los derechos de reembolso para víctimas de fraude online, permitiendo que los usuarios puedan recuperar su dinero en determinados casos de suplantación de identidad o transferencias erróneas. Por último, también se mejora en el intercambio de información sobre fraudes: impulsa la creación de redes de intercambio de información en tiempo real entre entidades financieras para detectar patrones de fraude con mayor rapidez.
En nuestro país, las Audiencia provinciales y los Juzgados de Primera Instancia están dando la razón a las personas consumidoras en caso de fraude, señalando que deben ser los bancos quienes deben acreditar la negligencia grave de los usuarios y que ser engañado por un defraudador profesional no puede considerarse negligencia grave. Además, apuntan a que las entidades financieras deben adoptar las medidas necesarias para prevenir el fraude. La sentencia del Tribunal Supremo (Sentencia 571/2025, de 9 de abril de 2025) marca un antes y un después en materia de phishing porque se cuestionan las medidas de seguridad del banco.
Auge del phishing en Europa
La digitalización de los servicios bancarios ha traído consigo innumerables ventajas para los consumidores. Y por supuesto, también para las entidades financieras. Sin embargo, también ha abierto la puerta a nuevas formas de criminalidad que aprovechan las vulnerabilidades tecnológicas para defraudar a los usuarios. – En los últimos años, España ha experimentado un aumento significativo en los delitos informáticos, en particular los relacionados con operaciones bancarias no autorizadas. Las últimas estadísticas ofrecidas en el Sistema Estadístico de Criminalidad elaborado por Dirección General de coordinación y Estudios, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, informa de la existencia de 472.125 hechos conocidos en 2023 referidos a ciberdelincuencia, de los cuales 427.448 correspondieron a fraudes informáticos. – Por lo tanto, del conjunto de las actividades delictivas en el “espacio ciber” aproximadamente un 90 % corresponden a fraudes informáticos, en su mayoría vinculados a suplantaciones de identidad y accesos no consentidos a cuentas bancarias digitales. El crecimiento es exponencial y seriamente preocupante con un incremento del 60,81% respecto de 2021. Una de cada cuatro denuncias presentadas en España, ya se refiere a ciberdelincuencia.
Este fenómeno no es exclusivo del ámbito nacional. A nivel europeo, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) advierte del incremento exponencial de ataques de phishing, los cuales representaron la técnica de entrada más utilizada en incidentes de seguridad en 2023. Frente a las sofisticadas técnicas de ciberdelincuencia, las entidades financieras no han adaptado suficientemente sus sistemas de seguridad, como si lo hicieron en sus oficinas físicas, exponiendo con ello a sus clientes a una situación de vulnerabilidad en la banca electrónica que estas mismas diseñaron y potenciaron. – El régimen jurídico de la responsabilidad por operaciones bancarias no autorizadas encuentra su pilar fundamental en la Directiva (UE) 2015/2366 (PSD2), transpuesta al ordenamiento jurídico español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. Esta normativa establece una obligación general de seguridad para las entidades bancarias, así como una presunción de no autorización en beneficio del usuario cuando este alega que no consintió la operación controvertida.
Normativa y jurisprudencia
En su Art. 45, el RD-ley 19/2018 consagra expresamente el derecho del usuario a la devolución inmediata del importe de la operación no autorizada, salvo que la entidad pruebe que el cliente actuó con fraude o negligencia grave. La exigencia de la concurrencia de una negligencia grave y, por tanto, más allá de la simple negligencia, viene corroborada por la lectura del Art. 46 del Real Decreto-ley 19/2018, de 23 de noviembre. – Este tipo de fraudes suele ir ligado a su vez a operaciones anómalas desde la perspectiva de los usos, costumbres y perfil del cliente, lo que exigiría hoy en día la implantación de un sistema de alertas preventivo capaz de detectar estas conductas, con frecuencia desarrolladas desde IPs ubicadas en otros países, con compras de criptomoneda u otras contrataciones ajenas al usuario. No puede olvidarse de hecho, que dentro de las condiciones generales de la contratación a las que se adhiere el usuario suele predisponerse que el usuario autoriza a la entidad financiera a la realización de estudios, comportamientos de riesgos mediante modelos de scoring, sistemas de información integrados u otros de similar naturaleza. – La Sentencia del Tribunal Supremo 571/2025, de 9 de mayo, marca un hito interpretativo al declarar que “no puede imputarse automáticamente negligencia grave al cliente que haya sido víctima de una estafa sofisticada mediante técnicas de phishing con apariencia verosímil y sin defectos de custodia evidentes”. – En este sentido el Tribunal Supremo exige a las entidades bancarias no solo la implementación de sistemas de autentificación reforzada, sino también mecanismos de detección de operaciones anómalas o inusuales. El incumplimiento de estas obligaciones preventivas constituye una infracción del deber de diligencia que implica el deber de indemnizar.
La norma acude a una responsabilidad cuasiobjetiva de la entidad bancaria, y es que, siendo ésta la directa y claramente beneficiaria de la imposición de las nuevas tecnologías a los clientes, han de responder, salvo que se pruebe que, además de que la orden de pago no se vio afectada por fallo técnico u otra deficiencia del servicio, concurre actitud fraudulenta o de negligencia grave en el cliente (SAP Oviedo n.º 158/24, 18 marzo). – Como recogen nuestros tribunales, se potencia la utilización por clientes y usuarios y el banco tiene y debe implementar todas las medidas de seguridad necesarias para evitar fraudes (Sentencia de la Audiencia Provincial de Ourense n.º 369/23, de 9 junio). La Sentencia de la Audiencia Provincial (AP) de Jaén n.º 202/24, de 16 febrero, dice que: “mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho”. La sentencia de la Audiencia Provincial de Bilbao, n.º 124/24, de 4 marzo, haciendo alusión a la sentencia de la AP Madrid, n.º 178/15, 4 mayo, recuerda que el riesgo debe soportarlo quienes se benefician con tal forma de plantear un negocio.
Recientemente se ha pronunciado el Tribunal Supremo (TS) en su sentencia de 9 de abril de 2025. Aunque en la ley no se recoge una definición de lo que puede entenderse por negligencia grave, y podemos encontrar resoluciones dispares de nuestros tribunales, sí puede tenerse una idea o concepción de lo que puede considerarse como tal a partir de la solución dada en cada caso concreto. Y lo que sí queda claro es que la mera cesión de datos por parte del cliente al “estafador”, no puede por sí solo servir para exonerar a la entidad bancaria de responsabilidad (entre otras, la SAP Oviedo n.º 158/24, 18 marzo y de Málaga de 30 noviembre de 2021). Dicho de otra forma, el banco ha de adoptar las medidas necesarias para evitar el phishing, sin olvidar que ante cualquier conducta anómala o inusual del cliente, el banco habrá de adoptar medidas extras para evitar la estafa, pues su diligencia va más allá de la del buen padre de familia, es una diligencia profesional “reforzada”; habiendo quedado resuelto, igualmente, por nuestros Tribunales que la doble autentificación no es suficiente para la exoneración de la entidad (entre otras, la Sentencia de AP Madrid n.º 184/22, de 20 mayo, y la de la AP Oviedo n.º 236/23, de 10 mayo).
