El termino alemán ‘doppelgänger’ hace referencia al doble de una persona. La literatura ha atendido a estos dobles, gemelos o sosias en muchas ocasiones, presentándolos como seres fantasmagóricos, espirituales, imaginativos… y en la mayoría de las ocasiones como oscuros y malignos.

Se cree que todos tenemos un doppelgänger en alguna parte del mundo. Imagínese el lector que encuentra a una persona con un parecido físico extremo a sí mismo y que se comporta de idéntica manera. El resto de personas, hasta las más afines, podrían confundir el doble con el original y creer que son la misma persona. ¿Y si ese doble nuestro actúa deshonestamente? ¿Y si causa mal y somos nosotros los que sufrimos las consecuencias? ¿No podríamos enloquecer ante algo así? Lo que les pasó, por ejemplo, a William Wilson o a Yákov Petróvich Goliadkin es, simplemente, aterrador.

Pero no hay cosa más aterradora que la realidad. En la actualidad estamos expuestos a un caso de doppelgänger que es cada vez más preocupante: el phishing.

A través del phishing, los ciberdelincuentes entran en contacto con una persona u organización suplantando la identidad de una entidad legítima (en la mayoría de las ocasiones, un banco). Mediante una combinación de distintas técnicas, tanto tecnológicas como psicológicas, logran que los usuarios confíen en ellos, convirtiéndose de esta manera en el doble del banco. 

El phishing bancario es una estafa dirigida a que los usuarios comuniquen sus datos o autoricen operaciones a favor de los ciberdelincuentes. No es una estafa novedosa (se dice que lleva practicándose desde los años 90) pero las técnicas empleadas para llevarlo a cabo han evolucionado y se han perfeccionado. Igualmente han surgido otras estafas a partir del phishing [1], pudiendo combinarse unas con otras.

El doppelgänger bancario actúa tal y como relatan Poe y Dostoievski. Busca alcanzar la máxima similitud con el banco en sus distintas manifestaciones, lo que le lleva a: emplear las mismas expresiones, gramática y vocabulario; copiar la imagen, símbolos y representaciones; comunicarse con el cliente por los mismos medios y canales.

La casuística es variada. Generalmente, el contacto con el doble perverso del banco comienza a través de un mensaje en el que se advierte al usuario de supuestas operaciones o movimientos extraños. Este anzuelo del sosia es suficiente para que el receptor acceda, preocupado y desorientado, al enlace que suele acompañar este primer mensaje. La operativa a partir de aquí puede consistir en la introducción de datos en el enlace, en una llamada poco después, en el reenvío de operaciones para que el cliente rechace (cuando en realidad las está aceptando), etcétera.

El objetivo del doble bancario es generar una situación de confianza con el usuario basándose en la creencia de que existe un peligro o urgencia. Para ello, le hace creer que está tratando con el legítimo garante de sus ahorros, y que para evitar un perjuicio debe atender y realizar todo lo que se le diga. Una vez se crea esa relación de confianza, la estafa pasa a la siguiente fase: la realización de operaciones de pago que no son autorizadas por el cliente pero que, debido al engaño y a la aparente licitud y ambiente seguro, se efectúan creyendo que se cumplen instrucciones del banco. Lejos de la realidad, es el doppelgänger quien se está beneficiando.

La indefensión de los clientes bancarios ante el phishing es objeto de atención por la normativa[2] y la jurisprudencia. Según la doctrina consolidada por los Juzgados y Tribunales, son los bancos los responsables de garantizar la seguridad en los servicios de pago. Esta protección de los usuarios de servicios de pago se fundamenta en las tres siguientes claves:

1. Responsabilidad cuasi-objetiva del banco.

Las entidades bancarias tienen el deber general de dotarse de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo para prevenir estos fraudes. Son quienes tienen la responsabilidad de garantizar el buen funcionamiento y la seguridad de los servicios de pago, lo que supone tanto limitar el acceso al canal de banca electrónica, como evitar la infiltración en las comunicaciones que mantienen con los clientes. Asimismo, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante.

En el caso de producirse una operación que el usuario dice no haber autorizado, el banco debe demostrar y probar debidamente que o bien las operaciones se han autorizado debidamente, o bien el usuario cometió fraude o fue negligentemente grave. En caso contrario, deberá reintegrar las cantidades que su doppelgänger sustrajo al cliente.

Debe destacarse que, a efectos probatorios, ni el registro exacto y contabilizado sin fallos técnicos o deficiencias, ni los avisos generales de las entidades con mero carácter informativo o divulgativo, son suficientes para eximir al banco.

2. Diligencia debida del usuario.

Los usuarios solamente responden en el caso de que cometan fraude o negligencia grave y se haya probado por el banco. La negligencia grave, que es el elemento más controvertido, no se define legalmente. Ha sido la jurisprudencia la encargada de delimitarla, teniendo en cuenta las circunstancias de cada caso y, sobre todo, debiendo asimilarla como una conducta caracterizada por un grado significativo de falta de diligencia. O dicho de otro modo, cuando la conducta de la víctima roza lo inexcusable.

Por tanto, la única obligación de los usuarios es ser diligentes, tanto en la conservación de sus claves y datos, como en la notificación –que deberá ser inmediata– de cualquier operación no autorizada.

3. Análisis de las circunstancias de cada caso concreto de phishing.

La casuística de los casos de phishing es variada y debe ser evaluada caso por caso. No, obstante, la regla general es que la falta de diligencia surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional y en el que era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude.

Por ello, cuando las técnicas empleadas son idóneas y presentan un elevado grado de perfección y sofisticación (por tanto, no son burdas o poco complejas), no puede calificarse como negligencia grave la no detección del engaño por los clientes.

Todas estas cuestiones han sido destacadas por la reciente STS 571/2025, de 9 de abril. Con esta sentencia, el Alto Tribunal ha reforzado la proteccion de los usuarios de servicios de pago, subrayando la importancia de la diligencia bancaria y exhortando a las entidades a mejorar sus sistemas y mecanismos de seguridad, detección y supervisión de doppelgänger.

En definitiva, los riesgos y peligros digitales de los servicios de pago están lejos de disiparse o reducirse. De hecho, con la IA podrán lograrse unos doppelgänger fraudulentos todavía más perfectos y difíciles de detectar. La prevención y cautela que deben adoptar los clientes y usuarios de los servicios de pago no puede traducirse en una máxima de desconfianza e inseguridad. Como se ha señalado, es el banco quien tiene la obligación de garantizar la seguridad de los canales y servicios de pago, lo cual requiere una conducta activa y medidas efectivas como, por ejemplo, mediante la implementación de tecnología antiphishing y anti-doppelgänger.

Adicionalmente, debería examinarse en mayor medida la posible negligencia de los proveedores de servicios de pago cuando se deniega al ordenante la retirada del consentimiento de una operación anterior a su fecha de irrevocabilidad [3]. Si bien es cierto que la inmediatez que caracteriza estas transacciones dificulta esta posibilidad, no es menos cierto que existen medidas técnicas cuya implementación permiten el bloqueo de operaciones sospechosas y el cobro de transacciones no autorizados. Máxime cuando las operaciones no se han producido efectivamente y no se han transferido los fondos.

---