PSD3 y PSR: un cambio clave para las víctimas de phishing bancario
La futura PSD3 y el nuevo Reglamento de Servicios de Pago (PSR) pueden cambiar radicalmente la forma de reclamar al banco cuando una víctima de phishing bancario, smishing, spoofing o SIM swapping ha sido engañada para confirmar una operación fraudulenta.
Hasta ahora, muchas entidades bancarias han rechazado reclamaciones con un argumento aparentemente sencillo: la operación fue autorizada porque el cliente introdujo sus claves o confirmó la transferencia desde la aplicación bancaria. Sin embargo, esa respuesta no siempre refleja la realidad del fraude digital actual.
Hoy los delincuentes no se limitan a robar contraseñas. Manipulan al cliente, se hacen pasar por el banco y crean situaciones de urgencia, miedo o confusión para conseguir que la víctima actúe contra sus propios intereses. Precisamente por eso, una de las cuestiones más relevantes de la nueva normativa europea es la revisión del concepto de operación autorizada.
Podemos analizar tu caso y estudiar la viabilidad de tu reclamación. Consúltanos sin compromiso.
Consultar mi casoLa gran cuestión: ¿qué ocurre cuando el cliente autoriza una operación engañado?
Uno de los problemas más frecuentes en las reclamaciones por phishing bancario es determinar si la operación fue realmente autorizada por el cliente. La respuesta no siempre es sencilla.
En muchos fraudes digitales, la víctima no se encuentra ante una operación normal, consciente y libre. Al contrario, actúa bajo engaño, presión o manipulación. Cree estar hablando con su banco. Cree estar evitando un fraude. Cree que está bloqueando una operación sospechosa. Pero, en realidad, está siguiendo las instrucciones de un delincuente.
Esta diferencia es fundamental. No es lo mismo ordenar voluntariamente una transferencia que ser manipulado para confirmar una operación que jamás se habría consentido de conocer la verdad.
Autorizar una transferencia es diferente a ser víctima de ingeniería social
En una operación bancaria ordinaria, el cliente decide voluntariamente realizar un pago. Sabe a quién envía el dinero, conoce el motivo y presta su consentimiento de forma consciente.
En cambio, en los fraudes de ingeniería social, el cliente no quiere pagar al delincuente. Lo que ocurre es que ha sido engañado para creer que estaba haciendo algo completamente distinto.
Un ejemplo habitual: el cliente recibe un SMS que parece proceder de su banco, advirtiéndole de un supuesto acceso no autorizado. Poco después recibe una llamada de alguien que se identifica como empleado de la entidad, conoce su nombre y parte de sus datos personales, y le indica que debe confirmar unos códigos para bloquear el fraude. El cliente, asustado y confiado, sigue las instrucciones. Minutos después, el dinero ha salido de su cuenta.
La autenticación reforzada no es una excusa automática para el banco
Desde la entrada en vigor de la PSD2, los bancos han dado mucha importancia a la autenticación reforzada de cliente (SCA): introducir una clave, recibir un código, validar desde la app, usar biometría… Es una herramienta útil, pero no resuelve todos los problemas.
El gran error consiste en pensar que, si hubo autenticación reforzada, necesariamente hubo consentimiento válido del cliente. En los fraudes actuales, el delincuente no necesita romper los sistemas del banco. Le basta con manipular psicológicamente a la víctima para que sea ella misma quien confirme la operación.
Por eso, en una reclamación por phishing bancario, hay que analizar el contexto completo:
- Si el cliente fue engañado y creyó estar hablando con su banco.
- Si la operación presentaba un patrón anómalo o inusual.
- Si el banco detectó o pudo detectar señales de alerta.
- Si la pantalla de confirmación informaba claramente del verdadero destino del dinero.
- Si las advertencias mostradas eran comprensibles y eficaces.
- Si la entidad actuó con la diligencia exigible para prevenir el fraude.
La cuestión no es solo si el cliente pulsó un botón. La cuestión es por qué lo pulsó, qué creía estar haciendo y si el banco hizo lo suficiente para evitarlo.
El consentimiento viciado por engaño en el phishing bancario
En Derecho, el consentimiento no puede analizarse de forma puramente mecánica. No basta con afirmar que una persona realizó un acto externo si ese acto fue provocado por un engaño grave.
Cuando un cliente actúa convencido de que está siguiendo instrucciones legítimas de su banco, su voluntad está viciada. No está prestando un consentimiento libre e informado para entregar dinero a un tercero. Está siendo instrumentalizado por el defraudador.
El delincuente no se presenta como tal. Se presenta como banco. Utiliza el nombre de la entidad, sus mensajes, sus números de teléfono, páginas web que imitan las reales. Todo está diseñado para destruir la capacidad de reacción normal del consumidor.
La nueva regulación europea parece avanzar hacia una visión más realista: cuando el cliente ha sido manipulado mediante ingeniería social para iniciar una operación a favor de un tercero que no era el beneficiario pretendido, esa operación no debería tratarse automáticamente como una operación válidamente autorizada.
Por qué este cambio puede ser decisivo para reclamar al banco
Hasta ahora, muchas entidades han rechazado solicitudes de reembolso con respuestas estandarizadas:
- «La operación fue correctamente autenticada.»
- «Se introdujeron las claves personales.»
- «El cliente validó la transferencia.»
- «No consta fallo de seguridad en nuestros sistemas.»
Pero en un fraude de ingeniería social esas respuestas pueden ser insuficientes. El análisis debe ir más allá de la autenticación técnica y examinar si el cliente fue víctima de manipulación fraudulenta, si la entidad podía detectar indicios de operación anómala y si cumplió adecuadamente sus obligaciones de seguridad, información y prevención.
Estudiamos la viabilidad de tu reclamación y te orientamos sobre los pasos a seguir.
Solicitar orientaciónEl banco deberá justificar mejor su actuación
La futura regulación también apunta a un cambio relevante en la tramitación de reclamaciones. No bastará con afirmar que el cliente actuó negligentemente. La negligencia grave deberá acreditarse y valorarse caso por caso.
Esto es importante porque las víctimas de phishing suelen encontrarse en clara inferioridad probatoria: el banco dispone de los registros técnicos, los sistemas de monitorización, las alertas internas y los datos de autenticación. El cliente, en cambio, muchas veces solo conserva mensajes, capturas de pantalla y la realidad de haber perdido su dinero.
Si el banco sostiene que el cliente actuó con negligencia grave, deberá explicar por qué, analizando entre otras cuestiones:
- Qué información recibió el cliente antes de confirmar la operación.
- Si el banco mostró el nombre real del beneficiario.
- Si la operación era coherente con el historial del cliente.
- Si existían señales objetivas de fraude.
- Si las advertencias enviadas eran claras o meramente rutinarias.
- Si la entidad reaccionó con rapidez una vez comunicado el fraude.
Transferencia voluntaria frente a transferencia inducida por engaño: dos situaciones muy distintas
Imaginemos dos situaciones.
En la primera, un cliente decide libremente transferir 5.000 euros a un familiar. Conoce al destinatario, introduce el IBAN, revisa los datos y confirma la operación.
En la segunda, un cliente recibe una llamada de un falso empleado del banco que le dice que su cuenta está siendo atacada. Le indica que debe confirmar urgentemente una operación para bloquear el fraude. El cliente ve una pantalla de validación, pero está nervioso y convencido de que está protegiendo su cuenta. En realidad, está autorizando una transferencia a los delincuentes.
Técnicamente, en ambos casos puede existir una confirmación desde la aplicación bancaria. Pero jurídicamente y humanamente son situaciones muy distintas:
- En el primer caso, el cliente quiere hacer la transferencia.
- En el segundo, el cliente quiere evitar un fraude, pero es engañado para provocarlo.
Esta diferencia debe estar en el centro del análisis cuando se reclama al banco la devolución del dinero perdido en un caso de phishing bancario o fraude por suplantación de identidad.
PSD3 y PSR: una oportunidad para una protección más justa ante el fraude bancario digital
La evolución del fraude bancario exige una evolución paralela de la respuesta jurídica. No puede tratarse igual a quien realiza voluntariamente una operación que a quien ha sido víctima de una maniobra sofisticada de suplantación, presión psicológica e ingeniería social.
La futura PSD3 y el PSR parecen reconocer que el consentimiento del cliente debe analizarse de forma más profunda. No basta con comprobar si hubo una clave, un código o una validación en la app. Es necesario preguntarse si el cliente sabía realmente qué estaba autorizando y si prestó un consentimiento libre, informado y no manipulado.
Para los bancos, esto supone una advertencia clara: la seguridad no termina en la autenticación reforzada. También exige prevención, detección, advertencias eficaces, análisis de operaciones sospechosas y una respuesta diligente cuando el cliente comunica que ha sido víctima de un fraude.
¿Has sido víctima de phishing bancario?
Si tu banco rechaza la devolución del dinero alegando que la operación fue «autorizada», el caso puede tener más recorrido del que parece. Analizamos la viabilidad de tu reclamación frente a la entidad y te acompañamos en cada paso del proceso.
Estudiar mi reclamación