Sinopsis

¿Qué es el phishing bancario y cómo se manifiesta en la práctica? ¿Qué otras modalidades de estafas informáticas existen? ¿Cuál es el marco normativo aplicable? ¿Qué se entiende por negligencia grave del usuario?

Estas y otras cuestiones obtienen respuesta en la presente obra, que constituye una herramienta fundamental para conocer, en profundidad y desde una perspectiva práctica, los fraudes on line que existen y el régimen de responsabilidad que se impone tanto a las entidades financieras como a los usuarios de los servicios de pago.

La guía ha sido elaborada por un equipo multidisciplinar de profesionales con una dilatada experiencia, todos ellos expertos en Derecho de Consumo que, desde diferentes ópticas, analizan en profundidad las claves jurídicas, técnicas y procesales del fraude bancario, aportando una visión completa y rigurosa sobre la responsabilidad y la defensa jurídica en este tipo de casos.

ÍNDICE DE AUTORES

Eugenio Ribón Seisdedos. Abogado. Presidente de la Asociación Española de Derecho de Consumo. Decano del Ilustre Colegio de la Abogacía de Madrid
Alicia Visitación Martín. Magistrada
Adrián Gómez Linacero. Letrado de la Administración de Justicia
Vanesa Fernández Escudero. Abogada
Esther Lorente Fernández. Abogada
Icíar Bertolá Navarro. Directora del área de Consumo de la Editorial Jurídica sepín. Presidenta de la Sección de Consumo del Ilustre Colegio de la Abogacía de Madrid

Índice

Sección 1. Doctrina
Phishing y fraude bancario: claves jurídicas para la defensa del cliente perjudicado en la era digital. Eugenio Ribón Seisdedos. Abogado ICAM. Presidente de la Asociación Española de Derecho de Consumo (SP/DOCT/128435)
I. Introducción
II. Principales tipologías de fraudes bancarios digitales
III. Vías de reclamación: ¿penal o civil?
IV. Marco normativo: PSD2 y Real Decreto-ley 19/2018
V. El concepto de negligencia grave del usuario: evolución doctrinal y jurisprudencial
VI. Deber de diligencia de las entidades bancarias: el bonus argentarius
VII. Jurisprudencia reciente: la Sentencia del Tribunal Supremo 9 de abril de 2025
VIII. Conclusiones
Sección 2. Muy práctico: Preguntas y respuestas
Estafas informáticas
1. Partiendo de que los medios de estafa informática están constantemente reinventándose y que existe infinidad de fórmulas delictivas, ¿qué tipos o clases de estafa informática son las más habituales? ¿En qué consisten? (SP/CONS/96458)
2. En cifras y datos, ¿cuál ha sido la evolución de la estafa informática y que información arrojan los informes oficiales de cibercriminalidad? (SP/CONS/96459)
3. ¿Qué diferencia la estafa común de la informática? (SP/CONS/96460)
4. ¿Qué relevancia juega el sistema de protección de datos frente a la estafa informática? ¿Qué horizonte normativo se vislumbra en este campo? (SP/CONS/96461)
5. ¿Cuál suele ser el resultado final de la vía penal frente a la estafa sufrida? (SP/CONS/96462)
6. ¿Qué trámites deben seguirse tras sufrir una estafa informática? (SP/CONS/96463)
7. ¿Qué tipos de estafa o fraude son susceptibles de reclamación a través de la acción del art. 45 LSP? (SP/CONS/96464)
8. Estafa a través de proveedor de servicios de iniciación de pagos (paypal, bizum...): Características. (SP/CONS/96465)
Fraude del hombre en el medio (man in the middle)
9. En el hombre en el medio, ¿es de aplicación la responsabilidad civil del art. 45 RDLSP? (SP/CONS/96466)
10. ¿Qué alternativas tiene el estafado por el hombre en el medio? (SP/CONS/96467)
11. Fraude del hombre en el medio: análisis del art. 45 LSP desde la perspectiva del afectado (SP/CONS/96468)
12. El pago de buena fe a tercero como motivo de liberación en la estafa del hombre en el medio: requisitos aplicables (SP/CONS/96469)
13. ¿En qué consiste el fraude del CEO y en qué se diferencia del hombre en el medio a efectos de prueba y posibilidades de éxito en vía civil? (SP/CONS/96470)
Estrategia procesal
14. ¿Hace falta denunciar los hechos en vía penal para luego acudir al sistema de responsabilidad civil? (SP/CONS/96471)
15. ¿Qué problemas operativos o estratégicos suele enfrentar el abogado tras el encargo de la defensa frente a un fraude bancario? (SP/CONS/96472)
16. ¿Sirve de algo la reclamación al Banco de España? (SP/CONS/96473)
17. ¿Vía penal o civil? Diferencias y probabilidades de éxito. ¿Es aplicable al proveedor de servicios de pago la responsabilidad penal subsidiaria de la entidad bancaria del art. 120.3 CP? (SP/CONS/96474)
18. Competencia territorial de la responsabilidad civil del art. 45 LSP (SP/CONS/96475)
19. Prejudicialidad penal del pleito civil de responsabilidad con el proceso penal de estafa (SP/CONS/96476)
20. Consejos prácticos de la demanda de responsabilidad civil para el usuario: la necesaria omisión de los detalles del fraude (SP/CONS/96477)
21. Acción o acciones ejercitables en la vía civil contra el proveedor de servicios de pago (SP/CONS/96478)
22. ¿Qué requisitos deben concurrir para el éxito de la acción de reintegración de cantidades dispuestas no autorizadas consagrada por el art. 45 RDLSP? (SP/CONS/96479)
23. ¿Puede fundamentarse la obligación de reintegración ejercitada contra el proveedor de servicios de pago en la aplicación de las reglas generales sobre validez de los contratos del art. 1261 del Código Civil? (SP/CONS/96480)
24. ¿Los actos de disposición patrimoniales realizados en los casos de fraude podrían ser ineficaces y anulables por error en la prestación del consentimiento? (SP/CONS/96481)
25. ¿Es posible apreciar la concurrencia de culpas en la entidad bancaria y el cliente? (SP/CONS/96482)
26. En caso de acción de responsabilidad contra el proveedor de servicios beneficiario por falta de cooperación, ¿es aconsejable acudir al BCE? (SP/CONS/96483)
Ley Orgánica 1/2025
27. ¿Qué MASC sería el más adecuado para la posterior demanda frente al proveedor de servicios de pago? (SP/CONS/96484)
28. Que diferencias provocará, en materia de costas, la LO 1/2025, de 2 de enero (SP/CONS/96485)
Usuario de los servicios de pago
29. Plazo para el ejercicio de la acción. ¿Es lo mismo el plazo para el ejercicio de la acción que la comunicación sin demora del fraude? (SP/CONS/96486)
30. ¿Cuáles son las obligaciones del usuario? (SP/CONS/96487)
31. Una llamada telefónica a la entidad bancaria avisando del fraude y pidiendo la cancelación de la tarjeta, ¿sirve como comunicación a efectos del art. 41 LSP? (SP/CONS/96488)
32. ¿Qué se considera comunicación sin demora a efectos de cumplir con la obligación impuesta al usuario por el art. 41 LSP? (SP/CONS/96489)
33. ¿Cómo podría descubrirse el fraude del usuario? (SP/CONS/96490)
34. ¿Qué puede reclamar el afectado por el fraude al proveedor de servicios de pago? (SP/CONS/96491)
Negligencia grave
35. El acceso por un tercero a las claves de la banca digital ¿supone negligencia por parte del usuario? (SP/CONS/96457)
36. ¿Solo cabe eximir de responsabilidad a la entidad demandada si concurre fraude o negligencia grave? (SP/CONS/96492)
37. ¿Qué herramientas o pruebas puede proponer la demandada para probar la negligencia grave? (SP/CONS/96493)
38. ¿Qué se considera negligencia grave según la jurisprudencia? (SP/CONS/96494)
39. ¿Tiene el cliente un deber de autoprotección? (SP/CONS/96495)
40. Remitir un SMS, para superar el doble factor de autenticación, ¿puede considerarse negligencia grave? (SP/CONS/96496)
41. ¿Existe alguna prueba para probar o no la negligencia, o la controversia en este caso de pleitos es meramente jurídica? (SP/CONS/96497)
Proveedor de los servicios de pago
42. ¿En qué consiste el régimen de responsabilidad cuasi objetiva establecido en la Ley de Servicios de Pago? (SP/CONS/96455)
43. Fundamento, naturaleza y caracteres de la responsabilidad civil consagrada en el art. 45 RD 19/2018, de 23 de noviembre (SP/CONS/96498)
44. ¿Cuál suele ser la respuesta habitual de los proveedores de servicios de pago frente a la reclamación del cliente? (SP/CONS/96499)
45. Concepto de autorización o consentimiento en las operaciones de pago: condiciones y revocabilidad. (SP/CONS/96500)
46. En el contexto de los fraudes bancarios, ¿qué debe entenderse por deficiencia del servicio? (SP/CONS/96456)
47. ¿Qué obligaciones se imponen al proveedor de servicios de pago del ordenante de las transferencias inmediatas en relación con la verificación del beneficiario? (SP/CONS/96501)
48. ¿Qué obligaciones se imponen al proveedor de servicios de pago del beneficiario de las transferencias inmediatas en relación con la verificación de la coincidencia de los datos adicionales? (SP/CONS/96502)
49. ¿Qué responsabilidad tiene el proveedor de servicios de pago por incumplir la obligación de verificar al beneficiario de las transferencias inmediatas? (SP/CONS/96503)
50. ¿Puede apreciarse responsabilidad contractual contra la entidad que, avisada inmediatamente de una transferencia no autorizada, no haga lo posible para dejarla sin efecto? ¿Y de la entidad beneficiaria puede apreciarse algún tipo de responsabilidad? (SP/CONS/96504)
51. Concepto de diligencia de la entidad bancaria (SP/CONS/96505)
52. ¿Está obligado el proveedor de servicios de pago beneficiario a comprobar la coincidencia entre el beneficiario y el titular de la cuenta? (SP/CONS/96506)
53. ¿Está obligado el proveedor de servicios de pago a verificar la identidad del titular de una cuenta corriente? (SP/CONS/96507)
Cláusulas de limitación/exoneración de responsabilidad
54. Cláusulas de limitación de responsabilidad: admisión y validez (SP/CONS/96508)
55. ¿Tiene algún margen para recuperar el dinero estafado una gran empresa que haya estipulado una cláusula de exoneración de responsabilidad? (SP/CONS/96509)
Doble autenticación
56. ¿Cumple realmente el sistema actual empleado por la mayoría de los proveedores de pago las condiciones legales de la doble autenticación? (SP/CONS/96510)
57. ¿Qué consecuencias tiene no contar con un sistema de autenticación? ¿Y contar con uno ineficaz que no cumpla las condiciones legales? (SP/CONS/96511)
58. ¿El factor de doble autenticación es suficiente para liberar de responsabilidad a la demandada? (SP/CONS/96512)
Sección 3. Formularios
Phishing: modelo de reclamación extrajudicial (adaptado a LO 1/2025) (SP/FORM/15011)
Phishing: modelo de demanda de responsabilidad civil frente a la entidad bancaria por operaciones no autorizadas (adaptado a LO 1/2025) (SP/FORM/15010)
Sección 4. Jurisprudencia
Principales tipologías delictivas
Pharming
Phishing
Smishing
Spoofing
SIM swapping
Fraude del CEO
Man in the middle
Vishing
Obligación del proveedor del servicio de pago
Generalidades
Operaciones de pago no autorizadas
Deber de diligencia debida
Superación del límite de disposición
Pauta del gasto
Medidas antiphishing específicas
Establecer sistemas de doble autenticación
Responsabilidad cuasi objetiva. Prueba de la negligencia grave
Obligación del usuario del servicio de pago
Notificación “sin demora indebida”
Negligencia grave
Concepto
A favor del cliente bancario
Confiar en un SMS
Actuación derivada del engaño de un tercero
Conocimientos avanzados para no caer en el engaño
En contra del cliente bancario
Omisión del deber de lectura atenta al mensaje recibido
Suministro de datos de forma reiterada
Facilitar por error las claves al delincuente