Si has sido víctima de estafa informática, conocer la normativa legal es imprescindible para actuar con la diligencia exigida por los Tribunales europeos y españoles en aras de reclamar la devolución de las cantidades sustraídas a tu entidad bancaria.
En este artículo explicamos qué normativa se aplica a este tipo de conductas, cuál es la forma correcta de actuar una vez se ha producido la operación de pago no autorizada y cuál es la responsabilidad exigible al banco como proveedor de servicios de pago (entidad bancaria) si no rectifica la operación.
¿Qué tipos de estafas informáticas existen?
El Instituto Nacional de Ciberseguridad (INCIBE) define las siguientes técnicas empleadas para la obtención de información personal como contraseñas y números de tarjetas de crédito.
Phishing: se trata de una técnica utilizada por ciberdelincuentes para obtener información confidencial como contraseñas, números de tarjetas de crédito y otra información de carácter personal de los usuarios a través del envío de correos electrónicos fraudulentos.
Smishing: término que se utiliza para describir una forma de fraude en la que los delincuentes intentan engañar a las personas para que divulguen información personal o financiera enviándoles mensajes de texto (SMS) que incorporan enlaces fraudulentos.
Vishing: técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a los usuarios a través de llamadas de teléfono fraudulentas y obtener así información personal sobre ellos, guiarles para que descarguen e instalen programas maliciosos, así como intentar que realicen algún pago bajo algún pretexto.
¿Qué son operaciones de pago no autorizadas según la Ley?
Una operación no autorizada consiste en una transferencia no consentida por el ordenante, sino ordenada por un tercero no autorizado.
El artículo 45.1 Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera señala que en el caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato, salvo cuando tenga motivos razonables para sospechar la existencia de fraude por parte del usuario. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
La STS 571/2025, de 9 de abril incluye dentro de esta definición a aquellas operaciones que se han iniciado con las claves de usuario y contraseña de usuario y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que este niegue haberlas autorizado, en cuyo caso la entidad bancaria deberá acreditar que la operación no se vio afectada por un fallo técnico o deficiencia del servicio.
La mención a “deficiencia del servicio” abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, tomando en consideración que el grado de diligencia que le debe ser exigida es mayor que el estándar de un buen padre de familia, dada la naturaleza de la actividad y los riesgos que entraña el servicio que presta, sobre todo en relaciones empresario-consumidor, que obliga a elevar este nivel de diligencia a un plano superior: el del ordenado y experto comerciante.
1. Obligaciones del usuario
- Utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago.
- Informar a su proveedor de servicios de pago cualquier operación no autorizada sin demora injustificada, en cuanto tenga conocimiento de cualquiera de las operaciones objeto de reclamación, y en todo caso, dentro de un plazo máximo de trece meses desde la fecha del adeudo.
2. Obligaciones del proveedor de servicios de pago
- Asegurar que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizarlo.
- Rectificar la operación no autorizada si el usuario la comunica sin demora injustificada.
- Impedir la utilización del instrumento de pago una vez efectuada dicha notificación.
3. Responsabilidad cuasi-objetiva del proveedor de servicios de pago
Si el usuario niega haber autorizado una operación de pago ejecutada, la utilización de un instrumento de pago registrada por el proveedor de servicios no basta necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o ha incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.
Para negar la devolución del dinero sustraído, el proveedor de servicios de pago tiene la carga de la prueba, debiendo:
- Demostrar que la operación fue autenticada, registrada con exactitud y contabilizada.
- Evidenciar que la operación no se vio afectada por un fallo técnico o deficiencia del servicio que presta.
- Acreditar que el usuario del servicio de pago ha cometido fraude o negligencia grave.
Conclusión: actuar con rapidez es conservar tus derechos
A pesar de que las entidades bancarias niegan repetidamente la devolución del dinero sustraído de las cuentas bancarias de sus usuarios, tanto la Ley como la jurisprudencia —comunitaria y nacional— protegen a estos últimos si actúan rápidamente notificando a la entidad bancaria la existencia de operaciones no autorizadas.
La entidad bancaria debe proceder a la rectificación de la operación de forma inmediata. Únicamente podrá negar la restitución de la operación si justifica que la operación fue autenticada, registrada con exactitud y contabilizada, y que el usuario ha cometido fraude o negligencia grave. Y ello porque el hecho del registro por el proveedor de la utilización del instrumento de pago no basta para demostrar que la operación fue autorizada por el ordenante.
En RAMOS ARANDA ABOGADOS contamos con un equipo de especialistas en derecho bancario, asesorándote desde la comunicación a la entidad bancaria de la existencia de operaciones no autorizadas hasta la interposición de acciones extrajudiciales y judiciales en aras de obtener la rectificación de dichas operaciones y la indemnización correspondiente.
Contacta con nuestros abogados especialistas en derecho bancario para una consulta personalizada.
