El impacto moral del phishing

  • Derechos Fundamentales, Sociedad digital
  • Análisis
Perfil del autor

Los fraudes y estafas digitales sustanciados a través de phishing son cada vez más habituales y graves. Es decir, no sólo crecen exponencialmente en número, sino que además son más difíciles de detectar y provocan un perjuicio económico mayor. Por ello, el Instituto Nacional de Ciberseguridad (INCIBE) nos alerta en su reciente balance de ciberseguridad del año 2025 sobre lo siguiente[1]:

  • Aumento sustancial en incidentes de ciberseguridad: se han producido hasta 122.223 incidentes, un 26% más respecto al año anterior[2].
  • Grave impacto a operadores esenciales e importantes: destaca el sector bancario, el cual ha sufrido el 34% de los incidentes.
  • Incremento imparable del phishing y el fraude digital: hasta 25.133 incidentes son por suplantación de empresas o personas de confianza para contactar con las víctimas y engañarles para proporcionar información personal o bancaria. En consecuencia, el fraude y la estafa online ha crecido un 19% respecto al año anterior y se cifra en 45.445 incidentes (más de 124 intentos al día, 5 a la hora).

Prácticamente la mitad de los incidentes de ciberseguridad suponen fraudes o estafas digitales, las cuales se sustancian mediante técnicas fraudulentas[3]  como –mayoritariamente– el phishing (correos electrónicos fraudulentos), o una combinación a través de smishing (mensajes a través de SMS o mensajería instantánea que incorporan enlaces fraudulentos) y/o vishing (llamadas de teléfono fraudulentas)[4]. El objetivo no es otro que la obtención de una ganancia económica ilícita a partir de un tercero-víctima que o bien da acceso a sus instrumentos de pago (comunicando sus claves personales o de seguridad), o bien realiza él mismo un pago a favor del defraudador.

Debe destacarse que los datos del INCIBE se extraen de su actividad y conocimiento. Es decir, que su visión del estado de ciberseguridad nacional no representa la estadística total, sino que debe interpretarse con otras informaciones. Por ejemplo, las del Ministerio de Interior, que informó en su Informe sobre la Cibercriminalidad en España del año 2024 que se cometieron 464.801 ciberdelitos, de los cuales el 89% corresponde a estafas informáticas. Ello afectó a más de 350.000 víctimas con una media de casi más de mil estafas al día.

A mi juicio, es todavía más importante pararse a reflexionar y preguntarse cuantos de nuestros familiares, amigos, compañeros y conocidos han sido objeto en las últimas semanas o meses de un intento de fraude. Es en ese momento cuando se advierte el riesgo constante al que se exponen los clientes en el entramado de la economía online y, en concreto, de la banca digital. Y un aviso: los casos y las cifras expuestas van a incrementarse teniendo en cuenta la creciente digitalización de la sociedad y las actividades económicas, así como el auge del uso malicioso de herramientas tecnológicas como la IA.

            El panorama es ciertamente desolador porque, además, los esfuerzos para garantizar un entorno digital seguro y fiable para la gestión y disposición de nuestras finanzas no son suficientes. Y en consecuencia, la jurisprudencia mayoritaria –refrendada por la STS 571/2025, de 9 de abril– ha consolidado el régimen de responsabilidad cuasi-objetiva del proveedor de servicios de pago, fundamentalmente de las entidades bancarias. Este régimen, determinado en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera[5], implica que en el supuesto de operaciones no autorizadas la responsabilidad será del proveedor del servicio de pago salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del cliente ordenante, lo que supone que recae sobre el proveedor la carga de probar que la orden de pago no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado, expresión esta última que implica que el banco debe actuar con la diligencia exigible en atención a las circunstancias de las personas y operaciones realizadas.

            Esta doctrina consolidada en nuestros Juzgados y Tribunales supone que la gran mayoría de los pronunciamientos judiciales sean favorables a los clientes de servicios de pago y que la regla general sea el reembolso del perjuicio sufrido por los bancos.

            No obstante, cabe profundizar más sobre los efectos de una cuestión que va a ganar en relevancia.

En efecto, todos los fraudes y estafas digitales tienen otras consecuencias sobre los clientes a parte de las meramente económicas. Consecuencias a las que no se suele prestar la debida atención y que podrían indemnizarse de acuerdo con la existencia de un daño moral.  

            A mi juicio, existen al menos cuatro pérdidas o costes que justifican la indemnización del daño moral sufrido por un phishing:

  • Costes temporales. Tras sufrir un fraude digital el cliente debe realizar una serie de pasos para intentar obtener el reembolso de la cantidad perdida[6]: solicitar al banco los movimientos controvertidos; acudir a las dependencias de las FFyCC de seguridad para interponer la denuncia (en la que se exigirá aportar los movimientos, razón por la que el primer paso es acudir a la entidad bancaria); reclamar el reembolso de las operaciones no autorizadas a la entidad bancaria, para lo cual debe adjuntarse la denuncia; efectuar las debidas reclamaciones a los servicios de defensa del cliente bancario de la entidad en cuestión y, en su caso, al Banco de España[7]. Todo ello implica una intensa dedicación y esfuerzo que no asegura el éxito y que, en la mayoría de los casos, desemboca en una acción judicial. Y en el caso de tener que proceder a la interposición de la demanda contra la entidad bancaria, el asunto –y sus nocivos efectos sobre el cliente– puede alargarse durante años (sobre todo a la vista de las enormes dilaciones que sufren en la actualidad los procedimientos judiciales).
  • Costes económicos. A la pérdida económica directa que sufre el cliente en todo fraude o estafa digital deben añadirse otras pérdidas indirectas tales como los gastos de reclamaciones extrajudiciales y judiciales o la pérdida de oportunidad por no poder disponer, al menos temporalmente, de los fondos que legítimamente le pertenecen (y que incluso puede suponer en casos extremos su insolvencia).
  • Costes relacionales. La pérdida de los fondos por culpa de quien dispone la custodia y depósito merma la relación con el banco y puede causar una pérdida de confianza total. En efecto, muchos clientes deciden cambiar de entidad tras sufrir un fraude porque desconfían de sus medidas de seguridad e incluso porque consideran que no han recibido un trato amable, considerado y, sobre todo, justo. Otro efecto pernicioso es que los clientes dejen de efectuar actividades por internet debido al temor que les causa el entramado digital.  
  • Costes emocionales y psicológicos. El mayor impacto para el cliente es la consideración de haber sido engañado y estafado, con la connotación negativa que ello conlleva. De hecho, la tensión y ansiedad generada por la manipulación efectuada mediante la ingeniería social del phishing se prolonga en el tiempo y adquiere nuevos matices: estrés cada vez que se utilizan los medios digitales para cualquier pago o actividad; preocupación por sufrir nuevos intentos de fraude; desazón por la pérdida de confianza con los medios digitales y las entidades que las imponen y controlan que paraliza al cliente a realizar cualquier actuación… En definitiva, se instaura en el sujeto una sensación de amenaza e inseguridad constante que, a la vista de los datos que introducen este artículo, no es nada baladí.

Todos estos costes son cumulativos y se retroalimentan los unos a los otros. Los clientes defraudados sufren una vorágine de quebrantos que se multiplican más allá del perjuicio económico del fraude y que persisten tras el desafortunado evento, e incluso después de su efectiva compensación. Por ello, la estimación del daño moral en casos de phishing responde a dos necesidades:

  • al reequilibrio de la posición entre clientes y bancos mediante una reparación plena y efectiva del daño causado;
  • a la concienciación de los bancos sobre las graves consecuencias que sufren los clientes estafados (y de este modo fomentar la implementación de mayores y eficaces medidas preventivas de seguridad).

A la vista de lo expuesto, resulta notorio que existe un daño moral que subyace del phishing y que es inherente e independiente a la cuantía estafada. Daño moral que debe resarcirse en todo caso en el que se estime la responsabilidad del banco y siempre que se acredite y cuantifique correctamente (sin perjuicio de su modulación judicial).

A este respecto, ya existen varios pronunciamientos judiciales favorables a conceder una indemnización en concepto de daño moral.

En la SAP de Barcelona 477/2025, de 24 de julio (rec. nº 1213/2024) un cliente recurrió la desestimación en primera instancia por la que reclamaba la cantidad sustraída por el phishing más 2.000 euros en concepto de daño moral. Alegó que correspondía dicha cantidad debido a que su boda debía celebrarse un par de meses después de los hechos fraudulentos, que la ceremonia tenía un coste aproximado de 14.000 euros y que, como consecuencia de lo acaecido, su saldo bancario llegó a ser negativo y su novia se vio obligada a solicitar un préstamo. La SAP estimó el recurso de apelación y consideró razonable la petición de indemnización del daño moral pues “es comprensible la situación de inquietud, angustia e incertidumbre que debió sufrir el demandante cuando se vio despojado de sus ahorros dos meses antes de su boda y ante los gastos que debía afrontar, situación que fue provocada por la entidad demandada al no atender la reclamación formulada ni proceder a la restitución del dinero sustraído”.

Por su parte, la SAP de Pontevedra 177/2023, de 23 de marzo (rec. nº 634/2022) desestima el recurso de apelación del banco al entender que el juzgado de primera instancia consideró “efectivamente acreditado el sufrimiento, angustia y desasosiego que justifica la estimación de un daño moral”. En este caso, se toma en consideración la documentación atinente a la denuncia policial y los informes médicos del cliente que “avalan problemas de ansiedad y afectación de su salud que le irrogó la situación objeto de litis, teniendo en consideración al efecto la incidencia que la falta de saldo bancario y las devoluciones a que dio lugar tuvieron en ella”. Ello además de forma independiente, como se ha dicho, a “que el Juzgador hubiese rechazado la vinculación e identificación que se hizo en demanda de su cuantificación con los costes bancarios irrogados como se sostuvo y relacionó en la demanda”, porque el cliente no dejó de reclamar correctamente el daño moral “aunque no se correspondiese con el criterio propuesto para su cuantificación”.  

La SAP de Almería 216/2023, de 1 de marzo (rec. nº 1555/2022), que atiende un caso de sim swapping, analiza la solicitud de indemnización por daño moral cuantificado en 2.500 euros por haber afectado al teléfono móvil (un instrumento esencial hoy en día), de tal modo que se le bloqueó la línea de móvil y terceras personas, además del desfalco, tuvieron acceso a información personal.

En este caso, la SAP atiende y pondera el conjunto de circunstancias que integran el supuesto y que son de interés desde la perspectiva del nexo causal. Así, señala que existen datos objetivos no cuestionados que acreditan el daño moral como que la demandante estuvo privada de la línea de móvil (durante más de dos semanas), que tuvo que realizar varias gestiones para bloquear la tarjeta (denuncia ante la Policía Nacional y reclamación a la operadora telefónica), y que reclamó sin éxito la privación de una suma de 3.200 euros de la que todavía no había sido reparada. No obstante, reduce el quantum indemnizatorio y lo fija en 1.600 euros por ser “una cantidad ajustada y proporcionada con la situación de padecimiento y menoscabo producida”.

En suma, un daño moral indemnizable comprende, tal y como sostiene nuestra alta jurisprudencia, un sufrimiento, quebranto o padecimiento psíquico, espiritual y emocional a partir de la impotencia, zozobra, inquietud, ansiedad, angustia, pesadumbre, temor o presagio de incertidumbre que ha causado un evento dañoso. En los casos de fraudes y estafas digitales, ello se refuerza por las razones de justicia social que subyacen del régimen responsabilidad cuasi-objetiva del proveedor de servicios de pago en materia de operaciones no autorizadas.

Y es que los riesgos de los servicios de pago digitales no deben abordarse únicamente en términos económicos, sino también como un fenómeno que genera un impacto integral en la persona y vida del cliente. Más allá de la pérdida patrimonial, estos fraudes y estafas conllevan importantes costes temporales, relacionales y, sobre todo, emocionales, que se traducen en inseguridad y pérdida de confianza en el sistema financiero digital. En definitiva, estos fraudes y estafas pueden suponer a priori una mera herida individual y personal, pero a posteriori puede herir de gravedad a todo el sistema económico digital.

[1]https://www.incibe.es/incibe/sala-de-prensa/incibe-detecto-mas-de-122000-incidentes-de-ciberseguridad-en-2025

[2] Un incidente de ciberseguridad supone cualquier problema digital que ponga en riesgo los datos o la seguridad de los dispositivos (por ejemplo, un virus informático). Los incidentes son más probables cuando existen vulnerabilidades, y al respecto se han detectado 237.028 sistemas vulnerables.

[3] Existen otros medios fraudulentos, como por ejemplo el sim swapping o el ataque man-in-the-middle, entre otros.

[4] Casi un tercio de las consultas por clientes –la mayoría bancarios– al INCIBE han sido por recibir algún intento de fraude por estas vías.

[5] La norma nacional traspone la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior sin prácticamente efectuar cambios ni desarrollar sus disposiciones. Actualmente la Unión Europea está trabajando para reforzar la legislación de la UE en materia de servicios de pago a través de una nueva directiva y un reglamento. Véase más en: https://www.consilium.europa.eu/es/press/press-releases/2025/11/27/payment-services-council-and-parliament-agree-to-step-up-the-fight-against-fraud-and-increase-transparency/

[6] Además, los primeros pasos deben hacerse con una celeridad absoluta dado que los clientes tienen un deber de diligencia en la notificación de operaciones no autorizadas (artículo 41.b) RDL 19/2018). Véase a este respecto la STJUE de 1 de agosto de 2025 (asunto C-665/23, Veracash).

[7] La reclamación a nuestra autoridad bancaria no es de gran utilidad puesto que carece de competencia para determinar que las operaciones no fueran autorizadas y, por ende, para exigir al banco que proceda al reembolso del importe defraudado. Por ello, acostumbra a resolver a favor de las entidades bancarias y ofrece, en caso de que el cliente quede insatisfecho, la vía judicial –civil y penal– para denunciar los hechos.

Compartir

Compartir

Newsletter

Mantente al día de nuestras novedades

Suscríbete

© 2025 Estudio Jurídico Gabeiras y Asociados S.L.

© 2025 Estudio Jurídico Gabeiras y Asociados S.L.