¿Te estafan por 'phishing' y el banco te ignora? El Supremo dice basta, pero hay matices: "El problema es determinar qué entendemos por 'ser descuidado'"

El Supremo ha hablado, pero hay algo que queda claro: la clave está en el equilibrio y ni el usuario puede bajar la guardia ni tampoco el banco puede mirar para otro lado.
La reciente sentencia del Tribunal Supremo ha puesto todo completamente patas arriba en lo que a bancos en España se refiere. De forma simple y si aún no te has enterado, a partir de ahora, si eres víctima de phishing y puedes demostrar que no has sido descuidado, tu banco tendrá que responder y devolverte el dinero robado.
Hasta ahora, la excusa favorita de muchas entidades era la supuesta 'negligencia del usuario'. Si caías en una estafa de phishing, el banco te señalaba con el dedo con un, muchas veces, "algo habrás hecho mal".
Un ejemplo. Hace Un caso reciente en Extremadura ha reabierto precisamente este debate. Una mujer recibió un mensaje en la app de su banco pidiéndole que pinchara en un enlace y metiera sus claves para seguir usando la tarjeta. Lo hizo, y al poco tiempo le habían robado 3.441 euros. El banco, sin embargo, se lavó las manos. Finalmente, un juez le dio la razón.
Teniendo este caso y otros tantos en cuenta, el Supremo ha dicho basta. El fallo, que da la razón a un cliente de Ibercaja, obliga a las entidades a asumir su parte de responsabilidad en la seguridad de las transacciones digitales.
Ya no basta con que el banco se excuse en que sus sistemas no fallaron o que la operación fue 'autenticada'; si no hay pruebas claras de descuido grave por parte del usuario, la entidad debe responder.
Miguel López, director para el Sur de EMEA en Barracuda Networks, lo resume en una entrevista para Computer Hoy, y es bastante claro:
"El problema es determinar qué entendemos por 'ser descuidado' y dónde ponemos el límite… Si ponemos la barra demasiado baja los usuarios no tendrán alicientes para prestar atención, pues los bancos serán casi siempre los responsables; mientras que si fijamos el nivel de exigencia a los usuarios demasiado alto serán ellos siempre los responsables y los bancos tendrán menos alicientes para mejorar la seguridad de su entorno".
En otras palabras: ni todo vale para el cliente, ni el banco puede escurrir el bulto. Si has sido mínimamente diligente, no has dado tus claves a cualquiera, has avisado rápido cuando viste algo raro y no has cometido una imprudencia de libro, la entidad tiene que responder.
Pero si, por ejemplo, compartiste tus contraseñas por WhatsApp o ignoraste todas las alertas de seguridad, entonces sí, la responsabilidad puede recaer sobre ti.
La banca ya no puede escurrir el bulto: el Supremo la hace responsable de las estafas por 'phishing'
No es ningún secreto que el phishing se ha convertido en el gran quebradero de cabeza de los bancos. Miles de ataques diarios, técnicas cada vez más complejas de detectar o resolver y una carrera constante entre ciberdelincuentes y sistemas de seguridad.
Y, sin embargo, muchos usuarios han sentido durante años que estaban desprotegidos, que si caían en una estafa, estaban solos ante el peligro. Ahora esto cambia.
¿Significa esto que los bancos han estado usando la 'negligencia del usuario' como excusa para eludir su responsabilidad? López matiza: "Pueden haberse dado casos, pero no creo que sea una práctica generalizada, para los bancos es importante que los clientes se sientan seguros operando". Al final, la confianza es el principal activo de cualquier banco. Si los clientes sienten que su dinero no está seguro, buscarán alternativas.
Pero, ¿cómo es posible que, con sistemas de doble autenticación y supuestas alertas inteligentes, sigan colándose tantos fraudes?
El experto lo explica siendo realista: "Puede que haya alguna entidad que haya cometido errores y/o no se haya protegido lo bastante, pero hay que tener en cuenta que los ciberdelincuentes les lanzan miles de ataques de forma diaria y algunos de ellos pueden llegar a ser extremadamente sofisticados o complejos".
"Creo que debemos exigir a los bancos la implementación de medidas de seguridad avanzadas y de última generación, pero también hay que asumir que la seguridad 100% no existe", añade.
La gran pregunta ahora es: ¿quién va a pagar la factura de esta nueva responsabilidad? ¿Veremos una subida de comisiones, o la aparición de nuevos productos como 'seguros anti-phishing'?
"Será probablemente la ley del mercado la que actúe… Si un banco no cuenta con las medidas de seguridad adecuadas o establece precios adicionales abusivos por algo que debe ser inherente a su negocio, tarde o temprano será desplazado por otras entidades". En otras palabras, los bancos que no se pongan las pilas perderán clientes. Y en una actualidad donde ya todo está casi digitalizado, mucho cuidado porque quedarse atrás podría ser sentencia de muerte.
La sentencia del Supremo no solo protege a los usuarios, sino que también lanza un mensaje a todo el sector financiero: la seguridad no es opcional, es parte esencial del negocio. Los bancos tendrán que invertir más en tecnología, revisar sus protocolos y, sobre todo, dejar de culpar sistemáticamente al usuario cada vez que algo sale mal. La responsabilidad, por fin, se reparte de forma más justa. Eso sí, con límites.



