El auge de la banca electrónica ha traído consigo una paradoja incómoda: cuanto más accesibles, ágiles y baratos resultan los servicios de pago digitales, más sofisticados y rentables se vuelven los ataques de quienes explotan esa misma accesibilidad para defraudar.
El phishing, el smishing, el vishing, el SIM swapping o el fraude de pago autorizado —conocido en la literatura anglosajona como Authorised Push Payment (APP) fraud— ya no son fenómenos marginales. En la Unión Europea, las pérdidas por fraude en medios de pago alcanzaron los 4.300 millones de euros en 2022 y los 2.000 millones en el primer semestre de 2023, según el informe conjunto de la Autoridad Bancaria Europea (EBA) y el Banco Central Europeo (BCE) de 2024 [1]. En España, el 80% de los consumidores ha recibido en 2024 algún intento de estafa por medios digitales, y el 7% de las víctimas reportó pérdidas superiores a los 5.000 euros [2].
Frente a este escenario, los ordenamientos jurídicos a ambos lados del Atlántico han construido respuestas propias a partir de fundamentos distintos, adoptando mecanismos de protección que divergen en puntos esenciales y, sobre todo, con criterios muy diferentes para determinar quién debe soportar las pérdidas. En este artículo analizaremos las principales similitudes y diferencias entre el sistema español y europeo —articulado sobre el Real Decreto-ley 19/2018 y la Directiva PSD2— y el sistema estadounidense, vertebrado alrededor de la Electronic Fund Transfer Act (EFTA) y su reglamento de desarrollo, la Regulation E.
Tabla de Contenidos
I.Punto de partida común: la carga de la prueba recae sobre el banco
Pese a sus diferencias, ambos sistemas comparten un principio estructural fundamental: cuando se produce una transferencia no autorizada, la carga de probar que la operación fue legítima corresponde a la entidad financiera, no al consumidor. Este dato, que pudiera parecer un mero tecnicismo procesal, tiene consecuencias prácticas de enorme calado.
En España, el artículo 44 del Real Decreto-ley 19/2018 —que transpone la Directiva (UE) 2015/2366, PSD2— establece que cuando el usuario niegue haber autorizado una operación de pago ya ejecutada, o alegue que fue realizada incorrectamente, corresponde al proveedor de servicios de pago (PSP) demostrar que la operación fue autenticada, registrada con exactitud y que no se vio afectada por ningún fallo técnico o deficiencia del servicio. Que el sistema informático del banco haya registrado la operación como completada no basta, por sí solo, para demostrar ni que el cliente la autorizó ni que actuó con negligencia grave. En España, así lo ha ratificado el Tribunal Supremo en su Sentencia 571/2025, de 9 de abril[3], que constituye hoy el pronunciamiento de referencia en la materia.
Los sistemas jurídicos europeos se articulan, en esencia, sobre un enfoque convergente. Más allá de las particularidades técnicas de cada ordenamiento, todos ellos comparten una misma lógica de fondo: ante una operación de pago que el usuario niega haber autorizado, el proveedor de servicios de pago no puede limitarse a invocar el registro informático de la transacción. Ha de demostrar, de forma positiva, que el proceso de autenticación se desarrolló correctamente, que la orden fue genuinamente emitida por el titular de la cuenta y que no concurrió fallo alguno imputable al sistema o a la entidad.
En el ordenamiento francés, este mismo principio se encuentra consagrado en los artículos L.133-18 y siguientes del Code monétaire et financier (CMF). El mecanismo de reembolso por parte del banco, de inspiración directa en la Directiva PSD2, ha sido interpretado por la jurisprudencia de la Cour de cassation[4] como un verdadero principio de restitución inmediata del importe de las operaciones no autorizadas, salvo que la entidad consiga demostrar la autenticación, el registro y la contabilización adecuados de la operación, así como la ausencia de deficiencia técnica o de otro tipo, además de un comportamiento fraudulento o una negligencia grave del usuario.
En el mismo sentido, en el ordenamiento italiano, este principio encuentra su fundamento en el artículo 10 del Decreto Legislativo n.º 11/2010, que incorporó al derecho interno la Directiva PSD (posteriormente coordinado con la PSD2), y en el artículo 12 relativo a las operaciones de pago no autorizadas. La reciente Sentenza n. 3780 del 12 febbraio 2024 de la Corte di Cassazione, Sezione III Civile[5], consolidó este criterio al afirmar que la responsabilidad de la banca por operaciones efectuadas mediante instrumentos electrónicos tiene naturaleza contractual y debe valorarse conforme al estándar técnico del accorto banchiere, esto es, de la diligencia profesional cualificada exigible a la entidad. La Corte precisó que el riesgo de fraude por phishing forma parte del riesgo profesional del prestador de servicios de pago y no puede trasladarse automáticamente al cliente.
Fuera del continente europeo, en Estados Unidos, el parámetro es coincidente. En virtud del artículo 909(b) de la EFTA, la carga de la prueba de demostrar que un supuesto error fue, en realidad, una operación autorizada, recae sobre la entidad financiera. De esta manera, si la entidad financiera no puede demostrar que existía una autorización válida para la transacción, deberá abonar el importe en la cuenta del consumidor.
El Consumer Financial Protection Bureau (CFPB), por su parte, ha iniciado investigaciones contra diferentes instituciones para que corrijan prácticas ilegales consistentes en denegar reembolsos al consumidor sin conducir investigaciones razonables sobre el caso concreto. Un ejemplo de ello es la investigación iniciada contra el USAA Federal Savings Bank, en la que el CFPB determinó que dicha institución denegaba sistemáticamente reclamaciones de error cuando el consumidor había tenido transacciones previas autorizadas con el mismo comerciante, sin considerar otros elementos relevantes en los propios registros del banco, incluyendo la alegación del consumidor de que la transferencia era no autorizada o por un importe incorrecto. Dicha investigación culminó con un Consent Order[6] en el que el USAA Federal Savings Bank se comprometió a corregir este tipo de prácticas.
II.El régimen de responsabilidad: cuasi objetiva en Europa, escalonada en Estados Unidos de América
Aquí comienza la primera y más relevante divergencia de fondo:
Modelo europeo: responsabilidad cuasi objetiva con inversión de la carga de la prueba.
El sistema instaurado por el Real Decreto-ley 19/2018[7] y avalado por una jurisprudencia que es ya criterio consolidado de las Audiencias Provinciales[8] y del propio Tribunal Supremo establece lo que la doctrina denomina responsabilidad cuasi objetiva del proveedor de servicios de pago. Cuando un cliente niega haber autorizado una operación, rige la presunción legal de que, en efecto, no la autorizó. El banco solo puede liberarse de su obligación de reembolso inmediato, que el art. 45.1 del RDL 19/2018 fija como máximo al final del día hábil siguiente a aquel en que tuvo conocimiento de la operación, si logra demostrar que el usuario actuó fraudulentamente.
La Sentencia de la Sala Primera del Tribunal Supremo núm. 571/2025[9], de 9 de abril, dejó claro que la «deficiencia del servicio» no se limita a fallos técnicos en el sentido estricto: alcanza a cualquier omisión de diligencia o mala práctica en la prestación del servicio, incluido no reaccionar ante señales evidentes de fraude, como transferencias de importe inusual — especialmente si se realizan de forma repetitiva en un período muy breve de tiempo—, accesos desde dispositivos desconocidos o modificaciones de claves en horarios atípicos.
Como ha señalado el Tribunal, la entidad bancaria debe actuar con la diligencia exigible a un «ordenado y experto comerciante«, estándar muy superior al del «buen padre de familia» que rige la diligencia ordinaria. Las advertencias genéricas en la página web o los mensajes informativos estereotipados no satisfacen esa exigencia, sino que constituyen, en expresión de algunas Audiencias Provinciales[10],»fórmulas predispuestas, vacías de contenido.»
El Reglamento Delegado (UE) 2018/389[11], que complementa la PSD2 en materia de autenticación reforzada de cliente (SCA), es igualmente exigente: los PSP deben implementar mecanismos de supervisión que analicen el comportamiento transaccional habitual del usuario, el dispositivo utilizado, el importe de las operaciones y los patrones de fraude conocidos.
Si un banco no detecta que un cliente que nunca ha realizado transferencias internacionales envía repentinamente miles de euros al extranjero, o que se están autorizando disposiciones por encima del límite diario pactado, incumple su deber de supervisión técnica y no puede trasladar el perjuicio al cliente.
En este contexto, conviene añadir que se encuentra actualmente pendiente de resolución una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (asunto C-70/25, N. O. contra PKO BP S.A.), relativa precisamente al alcance de la obligación de reembolso inmediato en caso de operaciones no autorizadas y a la posibilidad de oponer la negligencia grave del usuario. Las recientes conclusiones del Abogado General[12] se inclinan por una interpretación particularmente protectora del ordenante, al sostener que el proveedor de servicios de pago debe proceder, en todo caso, al reembolso inmediato, sin perjuicio de que pueda posteriormente reclamar al cliente si acredita dicha negligencia grave.
El modelo estadounidense: tres niveles de responsabilidad atados al plazo de notificación.
El sistema estadounidense parte de una lógica diferente. La EFTA, desarrollada por la Regulation E, no establece una responsabilidad cuasi objetiva del banco, sino un sistema escalonado que modula la responsabilidad del consumidor en función de la rapidez con que notifique la pérdida o el acceso no autorizado.
El esquema de tres niveles es el siguiente:
1-Primer nivel – hasta $50: Si el consumidor notifica a su entidad financiera dentro de los dos días hábiles siguientes a tomar conocimiento de la pérdida o robo del dispositivo de acceso, su responsabilidad máxima es de $50 o el importe de las transferencias no autorizadas realizadas antes de la notificación, si fuera inferior.
2-Segundo nivel – hasta $500: Si el consumidor no notifica dentro de esos dos días hábiles, su responsabilidad puede alcanzar hasta $500, calculados como la suma de $50 correspondientes al primer tramo más el importe de las transferencias no autorizadas ocurridas entre el vencimiento del plazo de dos días y la fecha de notificación, siempre que la entidad demuestre que tales transferencias no habrían ocurrido de haber notificado en plazo.
3-Tercer nivel : responsabilidad ilimitada: Si el consumidor no comunica la operación no autorizada que aparece en un extracto periódico dentro de los 60 días naturales siguientes a la fecha de envío del extracto, puede quedar expuesto a una responsabilidad ilimitada por las transferencias no autorizadas ocurridas tras ese plazo de 60 días y antes de la notificación.
Este sistema, sin embargo, tampoco opera de forma automática. La jurisprudencia federal (por ejemplo, Widjaja v. JPMorgan Chase, 9.º Circuito, 2021[13]) ha precisado que, incluso superado el plazo de 60 días, la entidad sólo puede imputar responsabilidad al consumidor si demuestra que las transferencias posteriores no habrían ocurrido de haber notificado en plazo.
La diferencia respecto al sistema europeo es, en todo caso, profunda. En España el marco cronológico importa (existe un plazo de 13 meses para reclamar), pero la asignación de responsabilidad no está vinculada a cuándo se notificó, sino a si el banco puede o no demostrar negligencia grave del usuario. En cambio, en EE.UU., el factor tiempo tiene un peso estructural en la distribución de pérdidas entre banco y cliente.
III. La negligencia grave: un concepto interpretado de modo radicalmente distinto
Si hay una cuestión en la que el contraste entre los dos sistemas resulta más llamativo, es precisamente el tratamiento de la negligencia grave del usuario como causa de exoneración de la entidad bancaria.
España: negligencia grave como concepto próximo al dolo.
En el sistema español y europeo, la negligencia grave es el único supuesto, junto al fraude, en que el banco puede liberarse de su obligación de reembolso. Y la jurisprudencia, tanto del Tribunal Supremo como de las Audiencias Provinciales, la interpreta de forma sumamente restrictiva, próxima conceptualmente al dolo o al descuido inexcusable.
La propia Directiva (UE) 2015/2366[14] lo anticipa en su considerando 72: la negligencia grave «tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia.» El ejemplo de negligencia grave que ofrece el propio texto normativo es ilustrativo: guardar las credenciales de acceso junto al dispositivo de pago, en un formato abierto y fácilmente detectable por terceros.
Los tribunales españoles han desarrollado este criterio con notable coherencia. La STS 571/2025 subrayó que el mero hecho de que un usuario haya introducido un código de autenticación bajo engaño, en el contexto de un ataque de phishing sofisticado, no es constitutivo de negligencia grave. La Audiencia Provincial de Navarra[15] lo resumió con precisión: la razonabilidad de la conducta del usuario «no puede evaluarse a posteriori, sino en el momento del phishing, cuando el demandante fue engañado por medio de la suplantación.» Dicho de otro modo: el patrón de referencia es el de una persona ordinaria que confía en el entorno digital que su banco le ha facilitado, no el de un experto en ciberseguridad.
Así, los tribunales han descartado la negligencia grave en supuestos como: hacer clic en un enlace recibido por SMS en el mismo hilo de mensajes legítimos del banco, introducir credenciales en una página web que reproduce con fidelidad la apariencia del banco, proporcionar un código OTP a quien se identifica como empleado bancario llamando desde un número aparentemente oficial, o acceder a la aplicación del banco desde un dispositivo desconocido en un momento de alarma fabricado por el estafador. Solamente en supuestos verdaderamente extremos, como entregar voluntaria y conscientemente las claves a un tercero de forma reiterada e imprudente, sin ningún elemento de engaño o con un engaño burdo, han llegado a merecer esa calificación.
Cabe destacar, sin embargo, que este estándar no es uniforme para todos los usuarios, sino que se calibra en función de las circunstancias personales concretas de cada víctima. El artículo 1.104 del Código Civil, expresamente invocado por algunas Audiencias Provinciales en este contexto[16], exige apreciar la diligencia «con arreglo a la naturaleza de la obligación y a las circunstancias de las personas, del tiempo y del lugar.»
Factores como la edad avanzada, un nivel de formación tecnológica limitado, la profesión del usuario o su escasa familiaridad con los servicios de banca digital son elementos que los tribunales toman en consideración para valorar si la reacción ante el engaño era la esperable de alguien en esa situación concreta.
Una persona mayor sin conocimientos informáticos que sigue las instrucciones de quien se identifica como empleado de su banco no está siendo negligente en el mismo sentido que lo estaría un profesional del sector tecnológico en idénticas circunstancias.
La existencia de negligencia grave, en definitiva, no debe valorarse con un rasero universal, sino con referencia al perfil real del usuario.
EE.UU.: la negligencia del consumidor es jurídicamente irrelevante.
En el marco de la EFTA y la Regulation E, la negligencia del consumidor no es un criterio jurídicamente relevante para modificar su responsabilidad.
El comentario oficial del CFPB al § 1005.6(b) de la Regulation E[17] es taxativo: «Negligence by the consumer cannot be used as the basis for imposing greater liability than is permissible under Regulation E.» El ejemplo que ofrece el propio comentario es revelador: anotar el PIN en la tarjeta de débito o en un papel guardado junto a ella no afecta al grado de responsabilidad del consumidor por transferencias no autorizadas.
Esto significa que, en el sistema estadounidense, el debate sobre si el consumidor fue más o menos diligente es, en puridad, irrelevante desde el punto de vista de la asignación de responsabilidad. Lo que importa es si la transferencia fue o no autorizada y cuándo se notificó. El criterio, por ende, es temporal y objetivo, en contraposición al que opera en España.
La única distinción crucial que introduce la Regulation E en esta materia es la que separa la autorización voluntaria del acceso obtenido mediante fraude. Si un consumidor entrega voluntariamente su dispositivo de acceso a un familiar o conocido, y ese tercero realiza transferencias que exceden la autorización concedida, el banco puede imputarle responsabilidad. Pero si el acceso fue obtenido mediante engaño, el comentario oficial no deja lugar a dudas: una transferencia electrónica no autorizada es aquella iniciada por una persona que ha obtenido el dispositivo de acceso del consumidor mediante fraude o robo. El fraude del estafador rompe la cadena de autorización, y la transferencia debe tratarse como no autorizada.
Esta distinción, aparentemente técnica, tiene consecuencias enormes en el contexto del fraude digital. Si un usuario entrega su código de acceso a alguien que se hace pasar por un empleado del banco, o introduce sus credenciales en una web que imita la del banco a la perfección, la operación resultante es (conforme a la Regulation E y su interpretación por el CFPB) una transferencia no autorizada, con independencia de la conducta más o menos prudente del consumidor.
Reflexión final.
La comparación entre ambos sistemas evidencia dos filosofías distintas sobre dónde debe radicar el riesgo inherente a la digitalización financiera.
El modelo europeo parte de la premisa de que la entidad bancaria, como arquitecta y beneficiaria del sistema, debe ser la garante última de su integridad. La responsabilidad del banco es cuasi objetiva, y la negligencia grave del usuario es una excepción interpretada de forma muy restrictiva.
El modelo estadounidense, en cambio, objetiviza la cuestión y la desvincula del comportamiento del consumidor. La responsabilidad se modula en función del tiempo de notificación, aportando predictibilidad pero arriesgando la desprotección de quienes no actúan con la máxima celeridad.
Ambos ordenamientos, sin embargo, convergen en un punto crucial: la creciente sofisticación del fraude exige una evolución normativa constante. Mientras Europa avanza hacia un marco más prescriptivo con el PSR y el IPR, Estados Unidos espera decisiones judiciales que podrían redefinir el alcance de su regulación. La protección del consumidor en la era digital sigue siendo, a ambos lados del Atlántico, una obra en construcción.
Este artículo es de carácter divulgativo y no supone asesoramiento. Para más información o petición de asesoramiento deben contactar a info@gimenez-salinas.es.
[1] European Banking Authority y European Central Bank, 2024 Report on Payment Fraud, 1 de agosto de 2024 (Fuente oficial).[2] FICO, 8 de cada 10 consumidores españoles han recibido intentos de estafa, nota de prensa, 20 de noviembre de 2024 (Fuente oficial). [3] STS 571/2025, Civil, de 9 de abril de 2025, ECLI:ES:TS:2025:1671 (Fuente oficial). [4] Cass. com. nº 17-21.395, 3 octobre 2018, ECLI:FR:CCASS:2018:CO00779 (Fuente oficial); Cass. com. nº 24-10.149, 30 avril 2025, ECLI:FR:CCASS:2025:CO00222 (Fuente oficial), Cass. com. n.º 19-12.112, 12 noviembre 2020 (Fuente oficial). [5] Cass. civ. nº 3780, Sez. III, 12 febbrairo 2024, ric. nº 11492/2022 (Fuente oficial). [6] Bureau of Consumer Financial Protection, Consent Order, USAA Federal Savings Bank, Case No. 2019-BCFP-0001, de 3 de enero de 2019, (Fuente oficial). [7] Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (Fuente oficial). [8] SAP de Badajoz, Sección 2ª, de 14 de febrero de 2025, ECLI:ES:APBA:2025:221 (Fuente oficial); SAP de Gijón, Sección 7ª, de 20 de mayo de 2021, ECLI:ES:APO:2021:1892 (Fuente oficial), entre otras.[9] STS 571/2025, Civil, de 9 de abril de 2025, ECLI:ES:TS:2025:1671 (Fuente oficial).[10] SAP de Huesca Sección 1ª, de 30 de junio de 2024, ECLI:ES:APHU:2024:175 (Fuente oficial). [11] Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (Fuente oficial). [12] Conclusiones, 05/03/2026, Tukowiecka, C-70/25, ECLI:EU:C:2026:153 (Fuente oficial). [13] U.S. Ct. App. 9th Cir., Margaretha Widjaja v. JPMorgan Chase Bank, N.A., No. 20-55862, 20 Dec. 2021. (Fuente oficial). [14] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE (Fuente oficial). [15] SAP de Navarra, Sección 3ª, de 18 de octubre de 2024, ECLI:ES:APNA:2024:1531 (Fuente oficial).[16] SAP de Badajoz, Sección 3ª, de 19 de febrero de 2025, ECLI:ES:APBA:2025:328 (Fuente oficial).[17] Consumer Financial Protection Bureau, Comment for 1005.6 Liability of Consumer for Unauthorized Transfers (Fuente oficial).