Imagine el lector una escena que se repite estos días en Melilla con inquietante frecuencia. Suena el teléfono un martes cualquiera, o llega un mensaje que reproduce con exactitud el logotipo, el tono e incluso el número corto desde el que su banco suele escribirle. Le advierten de un cargo sospechoso, le piden que confirme sus datos para bloquearlo y, cuando quiere darse cuenta, ha facilitado sin saberlo las llaves de su propia cuenta. Minutos después, el ahorro de toda una vida ha viajado a un destino desconocido. La víctima, además del disgusto, arrastra casi siempre un sentimiento añadido, el de la culpa, porque cree que, al haber tecleado ella misma las claves, la pérdida es cosa suya y de nadie más. Conviene decirlo cuanto antes y con claridad, casi nunca es así.
El fenómeno tiene nombres que ya forman parte del paisaje cotidiano aunque suenen a jerga de película. Llamamos phishing al engaño que llega por correo electrónico, smishing al que entra por SMS y vishing al que se sirve de una llamada de voz, con frecuencia acompañada de un interlocutor amable y de un fondo de centralita que imita a la perfección el de una sucursal.
A ello se añade el spoofing, que permite falsear el número o la identidad del remitente para que en la pantalla del móvil aparezca, ni más ni menos, el nombre de nuestro banco, y el llamado duplicado de la tarjeta SIM, con el que el delincuente logra recibir en su propio teléfono los códigos de verificación que deberían llegar al nuestro. La sofisticación es tal que ya no distingue entre incautos y precavidos, y cae en la trampa lo mismo el jubilado que el ingeniero informático.
El mito de la culpa propia
Frente a la extendida creencia de que quien entrega sus claves pierde por ello todo derecho, el ordenamiento jurídico dice justamente lo contrario. La normativa europea de servicios de pago, la conocida como PSD2, y su transposición española a través del Real Decreto-ley 19/2018, de 23 de noviembre, establecen un régimen que los juristas denominamos de responsabilidad cuasi objetiva de la entidad.
Traducido al lenguaje de la calle, significa que, cuando el cliente niega haber autorizado una operación, es el banco quien debe demostrar que aquella fue realmente consentida, y no el cliente quien tenga que probar su propia inocencia. La carga de la prueba, esa pesada mochila procesal que casi siempre decide los pleitos, cambia de hombros y pasa a los de la entidad.
La consecuencia práctica es contundente. Ante una operación no autorizada, la regla general es la devolución inmediata del importe y la reposición de la cuenta al estado en que se encontraba, y solo se libera el banco si acredita que hubo fraude del propio cliente o una negligencia grave por su parte. Aquí reside el matiz decisivo, porque el hecho de que la operación se validara con un código correcto o con la célebre autenticación en dos pasos no equivale, sin más, a que el titular la consintiera.
Una cosa es que el sistema registre una firma electrónica y otra bien distinta que detrás de esa firma hubiera una voluntad libre y consciente. Confundir ambas ha sido durante años el argumento cómodo con el que muchas entidades cerraban la puerta a cualquier reclamación.
Una sentencia que cambió las reglas
Esa puerta la ha abierto de par en par el Tribunal Supremo. En su Sentencia 571/2025, de 9 de abril, la Sala de lo Civil confirmó la condena a una entidad que se había negado a resarcir a un cliente al que, en una sola noche, le vaciaron la cuenta mediante quince transferencias sucesivas, fruto de la combinación de un engaño para obtener sus credenciales y del duplicado fraudulento de su tarjeta SIM.
El Alto Tribunal dejó sentado, con una claridad llamada a hacer jurisprudencia, que la mera utilización de las credenciales del usuario no basta para presumir que este autorizó nada, que las cláusulas del contrato que pretenden exonerar al banco de sus propios fallos de seguridad carecen de valor frente a una ley imperativa, y que la diligencia exigible a una entidad financiera no se agota en cumplir formalmente unos protocolos, sino que le obliga a reaccionar ante las señales evidentes de que algo va mal, como una cascada de transferencias impropias del perfil del cliente y a horas insólitas. Quien presta el servicio y obtiene el beneficio, viene a decir el Supremo, debe asumir también el riesgo.
En la misma dirección se ha pronunciado el Tribunal de Justicia de la Unión Europea, que en una resolución del pasado agosto precisó qué debe entenderse por avisar al banco sin demora injustificada. El plazo máximo para reclamar es de trece meses desde el cargo, pero lo verdaderamente relevante no es agotar ese calendario, sino comunicar el fraude tan pronto como uno tiene razonablemente noticia de él.
De ahí que la primera recomendación, cuando la desgracia ocurre, sea siempre la misma, avisar de inmediato a la entidad y dejar constancia por escrito, presentar la correspondiente denuncia ante la Policía Nacional o la Guardia Civil y, si el banco se resiste, acudir primero a su servicio de atención al cliente, después al Banco de España y, en último término, a los tribunales.
Dónde está el límite de la negligencia
Sería, con todo, deshonesto pintar un cuadro en el que el cliente gana siempre y sin esfuerzo alguno. La ley reserva un espacio, ciertamente estrecho, a la negligencia grave, y no faltan supuestos en que la víctima ha desatendido advertencias palmarias, ha entregado sus claves en circunstancias difícilmente justificables o ha tardado meses en reaccionar pese a los indicios.
En tales casos el banco puede quedar liberado, y hace bien la jurisprudencia en no convertir la protección del consumidor en una patente de corso. La frontera entre el descuido leve, que no exime a la entidad, y la negligencia grave, que sí puede hacerlo, es precisamente el terreno en el que se libran hoy la mayoría de estos pleitos, y donde el asesoramiento temprano marca casi siempre la diferencia entre recuperar el dinero y perderlo para siempre.
Casos muy cercanos
Lo digo con conocimiento de causa, porque han llegado a nuestro ámbito de actividad como abogados asuntos de esta misma naturaleza, algunos ya sustanciándose ante los juzgados, protagonizados por vecinos de Melilla que una mañana cualquiera descubrieron que el fruto de años de ahorro había desaparecido con un par de clics ajenos.
Son personas trabajadoras y prudentes, que jamás se habrían imaginado en semejante trance, y que de pronto se encuentran peleando contra una entidad que, en un primer momento, les responde con evasivas y con aquella frase ya conocida de que la operación fue correctamente autenticada. A todas ellas les repito lo mismo, ese argumento, hoy, ya no cierra el debate.
Melilla, ciudad pequeña y de trato cercano, conserva todavía la costumbre entrañable de fiarse de la voz conocida y del rótulo familiar, y acaso por eso convenga extremar aquí la prudencia, desconfiar de toda urgencia que llegue por teléfono, no facilitar jamás una clave a quien la reclama y recordar que ningún banco pide por mensaje lo que guarda celosamente en sus oficinas.
Pero, si pese a todas las cautelas el engaño triunfa, que nadie cargue con una culpa que las más de las veces no le corresponde. La ley, en esta materia, ha decidido ponerse del lado del más débil, y hace ya tiempo que dejó de ser cierto aquello de que, en la banca, siempre acaba perdiendo el cliente.








