MAGDALENA RICO PALAO, abogada especialista en Derecho de Consumidores
La normativa actual de servicios de pago y la jurisprudencia consolidada establecen un marco de responsabilidad primario y cuasi objetivo para las entidades bancarias frente a operaciones de pago no autorizadas, incluidas aquellas que resultan de fraudes y estafas digitales como el phishing, el smishing o el SIM swapping.
Esta posición legal subraya que los bancos, como proveedores de servicios de pago, tienen un elevado deber de diligencia profesional y seguridad con sus clientes, situándolos en la primera línea de protección contra el cibercrimen financiero.
Restitución Inmediata: Un Deber Legal Ineludible
Uno de los pilares de esta obligación es la restitución inmediata de los fondos. Según el Artículo 45 de la Ley de Servicios de Pago, la entidad bancaria está legalmente obligada a devolver al cliente el importe total de cualquier operación no autorizada.
“El banco debe devolver el importe al cliente a más tardar al final del día hábil siguiente a la notificación del fraude por parte del usuario, salvo que la entidad sospeche fundadamente de la existencia de fraude por parte del propio cliente.”
Deberes de Seguridad y Supervisión Reforzados
Para prevenir estas situaciones, la legislación impone a las entidades financieras la implementación de sistemas de seguridad robustos que van más allá de las medidas básicas:
- Autenticación Reforzada del Cliente (SCA): Es imperativo mantener y aplicar la SCA en las operaciones para prevenir accesos fraudulentos.
- Detección y Bloqueo de Operaciones Inusuales: Los bancos deben contar con mecanismos de supervisión activa capaces de detectar operaciones que se aparten del patrón de gasto habitual del cliente o que impliquen la superación de límites de disposición, actuando con la máxima diligencia de un experto en seguridad bancaria para bloquearlas.
- Garantía de Credenciales y Canales Seguros: La entidad debe garantizar que las credenciales de seguridad del cliente se mantengan inaccesibles a terceros y que todas las operaciones se realicen a través de canales certificados como seguros.
En resumen, la normativa sitúa la carga de la prueba sobre la debida diligencia y seguridad en el lado de la entidad bancaria, obligándola a asumir la responsabilidad económica ante la materialización de un fraude no autorizado, destacando la importancia crítica de la seguridad tecnológica y la supervisión experta como parte esencial de sus servicios.