1. Introducción: El Nuevo Paradigma de la Ciberdelincuencia y la Protección del Consumidor
El actual escenario de digitalización financiera ha transformado la relación entre usuarios y entidades bancarias, pero también ha generado un escenario perfecto para la ciberdelincuencia. La sofisticación de ataques como el phishing (suplantación por correo), el smishing (SMS) y el vishing (estafas telefónicas por voz) ha evolucionado hacia niveles de ingeniería tecnológica y social que ponen en jaque incluso a los usuarios más cautos y los sistemas antifraudes más competentes. Ante este panorama, el marco normativo —reforzado por el Reglamento DORA (UE) 2022/2554 [(Digital Operational Resilience Act) en español Ley de Resiliencia Operativa Digital]— exige a los bancos una operativa digital que va más allá del simple mantenimiento de las cuentas.
La clave de este nuevo paradigma reside en la transición hacia un modelo donde la entidad no solo es depositaria, sino responsable de la detección y actuación temprana frente a cualquier tipo de anomalías. Si el sistema de seguridad del banco no identifica patrones sospechosos, nos encontramos ante una prestación defectuosa del servicio.
A continuación, se detalla la distinción entre el fraude por suplantación bancaria y las estafas en comercios electrónicos.
2. Fraude en la Entidad Bancaria: Hackeo, Suplantación y Responsabilidad
El sector financiero asume una responsabilidad cuasi objetiva, la ley presume la responsabilidad del banco, salvo que este demuestre una negligencia grave del cliente.
Conforme al Real Decreto-ley 19/2018 y la jurisprudencia consolidada por el Tribunal Supremo (STS 571/2025), el banco debe reintegrar el dinero sustraído basándose en:
- Consentimiento no viciado: Para que una operación sea válida, el consentimiento del usuario debe ser real y consciente. Si el cliente fue engañado por una web clonada o un SMS que se inserta en el hilo oficial del banco, su consentimiento está «viciado» (es nulo) y el banco debe responder.
- Detección de anomalías bajo DORA: Según el Reglamento DORA, las entidades deben contar con mecanismos de detección rápida de actividades anómalas. Si el banco permite múltiples transferencias en una sola noche, por importes inusuales o desde IPs desconocidas (como ocurrió en la STS 571/2025), incurre en responsabilidad por no evitar las «fricciones» de seguridad.
- Inversión de la carga de la prueba: No es el afectado quien debe probar que no autorizó el cargo, sino el banco quien debe demostrar que el sistema de autenticación de doble factor (SCA) fue infalible y que no hubo fallo en su deber de vigilancia.
Protocolo de Actuación Inmediata
- Bloqueo y Reporte: Notificar de inmediato a la entidad para cancelar tarjetas y emitir nuevas claves.
- Denuncia ante las autoridades: Interponer denuncia en el que se adjunte el mayor número de pruebas de los hechos.
- Reclamación formal al SAC (servicio de atención al cliente) de la entidad: Requerir el reintegro citando la responsabilidad en el fallo de seguridad de la autentificación de la operación.
- Reporta el fraude: Informa a la plataforma donde ocurrió la compra y reporta el sitio web falso a la Oficina de Seguridad del Internauta (OSI).
3. Estafas en Compras Online: Productos no Recibidos y Entradas Falsas
Cuando el fraude ocurre en una compra voluntaria (webs falsas de entradas o productos), el enfoque cambia hacia la disputa del pago.
Tabla Comparativa de Estrategia Legal
| Características | Fraude por Hackeo Bancario | Fraude por Compra Online |
| Autoría | Tercero que suplanta al banco/usuario. | Comercio o vendedor fraudulento. |
| Sujeto a reclamar | Entidad Bancaria (Responsabilidad Civil). | Vendedor (Penal) y Banco (Devolución del cargo). |
| Base Legal | RDL 19/2018 / Reglamento DORA. | Ley General de Defensa de los Consumidores. |
Procedimiento: Devolución del cargo y el Formulario de reclamación
Si se ha pagado con tarjeta, se debe iniciar una disputa mediante el Formulario (correspondiente a cada entidad para tal reclamación). Tenga en cuenta los siguientes requisitos técnicos:
- Firma manuscrita: Sin firma física o digital válida, el formulario es legalmente nulo.
- Detallar los hechos: Desarrollar en el formulario de la manera más fehaciente los hechos, y de ser posible adjuntar documentos y pruebas de la estafa.
- Plazos de respuesta: La entidad tiene un plazo de 2 meses para resolver estas disputas con terceros.
4. Proceso para reclamar la devolución de la cuantía
Cuando se ha realizado una compra o transacción fraudulenta los pasos por el afectado a seguir son los siguientes:
1. Contacta a tu entidad bancaria inmediatamente: Informa de la transacción fraudulenta para bloquear la tarjeta o intentar revertir el pago.
2. Recopila todas las evidencias: Haz capturas de pantalla de la página web, el anuncio del producto, la URL, los correos de confirmación, los mensajes de chat, el justificante de pago y otras pruebas de los hechos.
3. Denuncia a las autoridades: Acude a una comisaría de policía o presenta una denuncia telemática ante la Guardia Civil o Policía Nacional. Esta denuncia es necesaria para reclamaciones bancarias y seguros.
4. Reporta el fraude: Informa a la plataforma donde ocurrió la compra y reporta el sitio web falso a la Oficina de Seguridad del Internauta (OSI).
Consecuencias legales
Si la cuantía defraudada es superior a los 400 €, el estafador se enfrenta a penas de prisión de seis meses a tres años. Si es inferior, la pena es de multa de uno a tres meses. En ambos casos, se exigirá la restitución íntegra más los intereses legales incrementados en dos puntos.
El éxito de la recuperación de la cantidad depende de cada caso, por eso es fundamental actuar a la mayor brevedad posible y tener cautela frente a cualquier tipo de contacto que pueda parecer fraudulento. No obstante, conocer el procedimiento de actuación por parte del afectado es fundamental para la reclamación de la cantidad.
EQUIPO TÉCNICO ADICAE CASTILLA Y LEÓN
