En septiembre del año pasado, Luis Gómez (70 años) tuvo un problema en su ordenador. En la pantalla, aparecía un mensaje que alertaba de que la terminal estaba en riesgo e incorporaba un número de teléfono del servicio técnico. Tras reiniciar el equipo varias veces, Luis decidió llamar. Al otro lado, un falso técnico de Microsoft, que le sustrajo 50.000 euros y pidió un préstamo de 29.000 euros bajo la identidad de su víctima. Luis Gómez es el nombre ficticio del afectado, que prefiere guardar el anonimato: “No sé cómo pero caí como un tonto”, lamenta. Altas instituciones, autoridades policiales y de supervisión e entidades bancarias advierten de los diferentes tipos de estafa que se comenten vía telefónica y por internet, haciendo especial hincapié en que nunca se debe facilitar datos ni claves personales que permitan a los defraudadores acceder a las cuentas bancarias. La realidad es que en los últimos 10 años, las estafas informáticas crecieron un 513,4%, según el último Balance de Criminalidad del Ministerio del Interior.La Ley de Servicios de Pago, vigente desde 2009, y la jurisprudencia del Tribunal Supremo, en especial la sentencia dictada el 9 de abril de 2025, obliga a los bancos a asumir la responsabilidad por las operaciones no autorizadas, derivadas de la suplantación de identidad. Sin embargo, la normativa plantea unas excepciones a las que la banca se aferra para no reintegrar los importes sustraídos, como es la negligencia grave del usuario o que este no haya comunicada el fraude en un plazo razonable de tiempo.“Según la sentencia del Supremo, no basta con un error humano ante un engaño sofisticado para calificarlo de negligencia grave, se requiere una conducta inexcusable del usuario”, explica Vanesa Fernández, abogada experta en ciberfraudes, que añade que son los bancos los que, además, debe probar en un juicio que el cliente no actuó de la forma adecuada y, por ello, no tiene derecho a recuperar el dinero defraudado. Pero esto puede cambiar. El Tribunal de Justicia de la Unión Europea (TJUE) está analizando, a raíz de una cuestión prejudicial planteada por un órgano judicial de Polonia, si una entidad financiera puede bloquear el importe estafado hasta que la justicia determine que el usuario no actuó de manera negligente. El abogado general emitió su informe de conclusiones el pasado 5 de marzo y señaló que la Directiva Europea de servicios de pago en el mercado interior impone la devolución inmediata del importe de la operación no autorizada. Aunque reconoce que los usuarios estafados pueden perder el derecho al reembolsado si se demuestra que no protegió sus credenciales de seguridad, no comunicó la estafa tras tener conocimiento de ello, o no utilizó los instrumentos de pago de forma correcta, el abogado general puntualizó que ello no habilita a los bancos para denegar o aplazar el reintegro. Si el tribunal con sede en Luxemburgo acoge la tesis del abogado general, como suele ser habitual, “esto cambiaría completamente las reglas del juego”, afirma Fernández. “El efecto práctico sería que el perjudicado ya no tendría que soportar desde el inicio una pérdida, ni la carga de litigar para recuperar el dinero, sino que tendría que ser la entidad bancaria la que acredite esa negligencia grave para recuperar el dinero que ya ha entregado”, apostilla. Es decir, primero devolver el dinero, y luego discutir la responsabilidad.Simulación de su cuenta bancariaLuis Gómez se encuentra ahora a las puertas de la batalla judicial. Su banco ha aceptado cancelar el préstamo de 29.000 euros que el estafador solicitó a su nombre mientras perpetraba el fraude, y devolver las dos primeras cuotas de 600 euros que decidió abonar para evitar que le cargaran intereses y entrar en la lista de morosos. Sin embargo, la postura de la entidad no es la misma con respecto a los 50.000 euros sustraídos. Esta cantidad fue transferida por el propio Luis, al pensar que había cometido un error.La estafa se desarrolló a lo largo de varios meses. En septiembre, con el ordenador bloqueado, el falso técnico de Microsoft solicitó acceder por control remoto al equipo, mediante el software AnyDesk, y le hizo creer que tenía un virus informático. Para evitar perder toda la información almacenada en la máquina, Luis Gómez accedió a comprar el antivirus que le ofreció el supuesto técnico por un importe de 2.000 euros, que incluía actualizaciones gratuitas durante 10 años. El estafador contactó otra vez con el perjudicado en enero de este año con la excusa de la actualización del programa de protección y convencerle de que necesitaba acudir a un centro de la tecnológica. Debido a que le habían prometido mejoras gratuitas, el defraudador le comunicó que la compañía le ingresaba en su cuenta bancaria 500 euros para poder costear la revisión presencial. Con este escenario, el delincuente puso en juego la manipulación, al persuadir a la víctima de que había firmado una orden de pago incorrecta y que, por su culpa, le habían transferido 50.000 euros. Para rematar el engaño, le mostró en su pantalla de ordenador, tomada por control remoto de nuevo, una simulación de su cuenta bancaria en el que aparecía dicho ingreso. Así, Luis Gómez accedió a hacer varias transferencias bancarias hasta devolver los 50.000 euros. “No fui consciente de la estafa hasta que me llegó un aviso de que estaba en número rojos”, relata.Los bancos están obligados a monitorizar operaciones sospechosas. La gestora de la entidad bancaria en la que Luis Gómez tiene sus ahorros le llamó para preguntar por qué estaba haciendo dichos traspasos a cuentas extranjeras, pero este le tranquilizó diciéndole que le explicaría lo sucedido en los días siguientes. El banco se agarra a esto para no devolver los 50.000 euros. La defensa de la víctima, Diego Zapatero, socio de Asoban Abogados, recuerda que la legislación obliga a los bancos a implementar mecanismos de autenticación eficaces: “Si un tercero toma el control del dispositivo, las barreras del banco han fallado en comprobar la identidad real del ordenante y, salvo que la entidad demuestre una negligencia grave, dejarse engañar por un ciberdelincuente no es negligencia sino ser víctima de un delito”.Mientras tanto, la víctima de la estafa asegura que aún no ha recibido el dinero de las primeras cuotas del préstamo que afrontó y prevé una larga batalla judicial, ya que antes tiene que intentar la mediación. “Ahora me encuentro en un dilema porque tengo que pagar los honorarios de los abogados y lo tengo que sacar los pocos ahorros que quedan”, añade.Refuerzo de controlesLas principales entidades bancarias del país aseguran en sus informes anuales que han reforzado el control destinado a contener el fraude y lanzado campañas de sensibilización y de formación de sus empleados para prevenir esta lacra. En diciembre de 2025, las patronales bancarias, la Asociación Española de Banca (AEB) y la Ceca, que agrupa las antiguas cajas de ahorros, y el Ministerio de Economía crearon la ‘Brigada Antifraude’ para impulsar medidas efectivas de lucha contra el fraude digital y reforzar la ciberseguridad.No obstante, el Banco de España en su última Memoria de Supervisión Bancaria subraya que los defraudadores ponen el foco en las transferencias porque permiten mover “elevados importes” frente a otros medios de pago, como las tarjetas bancarias. El balance de criminalidad del Ministerio del Interior recoge que en 2025 las estafas informáticas aumentaron hasta los 430.493 casos, “lo que representa el 88% de toda la cibercriminalidad y el 17,4% de toda la delincuencia registrada de enero a diciembre” del año pasado. Las Fuerzas y Cuerpos de Seguridad prevén además que este tipo de delito crezca con la inteligencia artificial, debido al incremento de “generación de contenido fraudulento, más sofisticado, para automatizar ataques y manipular víctimas en múltiples idiomas”.