¿Cómo defendernos ante las estafas informáticas?

La aparición de las nuevas tecnologías y, especialmente, de Internet, ha supuesto una gran revolución en la sociedad y ello determina la adaptación de los distintos ámbitos de la vida a estas novedades. Dicha revolución no solo ha supuesto mejoras sustanciales en la vida de las personas, sino que también ha provocado la aparición de conductas delictivas nuevas, proliferando, desde un punto de vista negativo, los cada vez más frecuentes fraudes a través de Internet en sus distintas formas. A título de ejemplo cabe citar los casos de phishing, vishing, smishing, pharming, catfishing, spoofing, SIM swapping, carding, entre otros.

El crecimiento exponencial de la relevancia de los delitos informáticos a lo largo de los años ha sido consecuencia del incremento del ciberespacio y el aumento de la población en el ámbito de Internet, y ello ha supuesto la introducción de figuras penales para dar respuesta a lo anterior incorporando a las figuras tradicionales, otras paralelas que responden al uso de las nuevas tecnologías. Así pues, han sido numerosas las normas que han contribuido a dar respuesta a esta situación, bien mediante la identificación de los tipos de fraudes existentes en el ámbito de las nuevas tecnologías, bien fomentando la protección de los ciudadanos ante la aparición de las nuevas conductas.

Ya la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, CP) , contemplaba varios delitos informáticos: descubrimiento y revelación de secretos (art. 197 del CP) , estafa (art. 248.2 del CP) y los daños informáticos (art. 264 del CP) . Estas conductas han ido desarrollándose a lo largo de los años adaptándose a la evolución tecnológica y de Internet.

Además de la evolución de las tecnologías, también contribuye al desarrollo de dichas conductas delictivas la necesidad de incorporar a nuestro ordenamiento jurídico la normativa europea. Así pues, un avance importante en esta materia se ha producido con la reforma derivada de la LO 1/2015, de 30 de marzo, por la que se desarrollan, a efectos de trasponer la Directiva 2013/40/UE, de 12 de agosto, las conductas relativas a los delitos de descubrimiento y revelación de secretos, así como los delitos de daños informáticos.

Concepto

Debemos entender por fraude a través de Internet cualquier actividad delictiva realizada a través de Internet en la que mediante el engaño a las personas se pretenda obtener un beneficio patrimonial.

Así, el engaño constituye el «alma de la infracción» en tipo básico de estafa (STS n.º 627/2023, de 19 de julio, ECLI:ES:TS:2023:3486).

Si bien, en el delito de estafa informática se sustituye el engaño por la acreditación de una manipulación informática, como establece la STS n.º 1004/2022, de 28 de diciembre, ECLI:ES:TS:2022:4966.

En resumen, son notas comunes tanto para el delito de estafa como para el de estafa informática:

• Ánimo de lucro.
• Perjuicio patrimonial.
• Acto de disposición.

Pero ¿en qué se diferencian ambos delitos? La principal diferencia entre la estafa y la estafa informática radica en el método utilizado para cometer el delito. Mientras que en la estafa tradicional se basa en el engaño personal para inducir a error a la víctima, la estafa informática se basa en la manipulación de sistemas informáticos o el uso de artificios tecnológicos para realizar transferencias no consentidas de activos.

¿Cómo protegerse?

Además de las medidas que a título personal puedan adoptar las personas usuarias frente a conductas sospechosas de ser fraudulentas, destaca el papel del INCIBE y sus recomendaciones en materia de ciberseguridad. 

Por otro lado, es imprescindible que las entidades bancarias establezcan mecanismos de defensa ante estos ataques y que se vayan actualizando ante la rápida evolución de las nuevas tecnologías. Al respecto, es interesante la reciente sentencia del Tribunal de Justicia de la Unión Europea n.º C-665/23, de 1 de agosto de 2025, ECLI:EU:C:2025:598, que señala que las personas usuarias de tarjetas de pago pueden perder el derecho a obtener la devolución de operaciones de pago no autorizadas si no notifican dichas operaciones a su proveedor de servicios de pago sin demoras indebidas.

Por lo tanto, a través de la anterior sentencia se hace patente la importancia de la notificación oportuna de operaciones no autorizadas para proteger los derechos de las personas consumidoras y mantener la seguridad jurídica en el ámbito de los servicios de pago en la UE.

Así, los fraudes que más nos pueden preocupar son los que implican un perjuicio económico, esto es, una operación de pago no autorizada a través del banco, que suele ser en su mayoría.

Pero ¿cómo podremos reclamar? El procedimiento a seguir será el verbal u el ordinario en función de la cuantía. 

Por lo tanto, si la cuantía reclamada no supera los 15.000 euros, tendremos que presentar una demanda de juicio verbal, mientras que, si es superior a esa cantidad, el procedimiento adecuado será el procedimiento ordinario.

Si bien, previamente y centrándonos, como ya hemos indicado, en los casos en los que el ciberataque implicó pagos no autorizados por la víctima, hay que partir de la premisa de que en estos casos es muy difícil identificar al autor del delito, y reclamarle el resarcimiento del daño, por lo que, la alternativa más viable es reclamarle a la entidad bancaria la devolución de todas las cantidades que le han sido sustraídas a la víctima.

CUESTIÓN

¿Qué se entiende por operación no autorizada?

De acuerdo con el art. 36 del RD-ley de Servicios de Pago y otras medidas urgentes en materia financiera (RD-ley 19/2018, de 23 de noviembre) establece que se considerarán operaciones autorizadas aquellas en las que el ordenante haya dado el consentimiento para su ejecución. A falta de consentimiento la operación de pago se considerará no autorizada.

Es muy importante, como ya ha dejado patente la sentencia mencionada, la importancia de notificarlo inmediatamente a la entidad bancaria para que pueda anular o bloquear el medio de pago que están utilizando los ciberdelincuentes y facilitar a la víctima unas nuevas credenciales de seguridad.

A continuación, habrá que acudir a las fuerzas y cuerpos de seguridad del Estado para interponer la correspondiente denuncia, aportándose el mayor número de detalles posibles y acompañando toda la documentación de la que se disponga, como, por ejemplo, correos electrónicos, capturas de conversaciones mediante mensajería electrónica, etc. Toda la información aportada servirá, no solo para facilitar la investigación, sino también para probar que no existió negligencia grave por parte de la víctima.

El siguiente paso es que el perjudicado o la perjudicada presente una reclamación en su entidad bancaria, solicitando la devolución de las cantidades sustraídas por los ciberdelincuentes. Es importante destacar que las entidades bancarias cuentan con un Servicio de Atención al Cliente que debe dar una respuesta a nuestra reclamación. Si bien en principio las entidades bancarias deben asumir la responsabilidad y devolver los importes, lo cierto es que en muchas ocasiones no acceden al reintegro amparándose en la supuesta negligencia grave de las víctimas.

Por otro lado, tenemos el procedimiento penal tras una estafa en internet, y de acuerdo con el artículo 364 de la LECrim , el delito de estafa es un tipo en el que deben de hacer constar la preexistencia de las cosas estafadas, en caso de no haber testigos presenciales del hecho, se recibirá información sobre los antecedentes del que se presentare como agraviado, y sobre todas las circunstancias que ofrecieren indicios de este hallarse poseyendo aquéllas al tiempo en que resulte cometido el delito.

En cuanto a las fases para el procedimiento penal del delito de estafa informática son las siguientes:

• Denuncia o querella: el proceso se inicia con la presentación de una denuncia o querella ante las autoridades competentes, como puede ser ante la policía, la Guardia Civil o ante el juzgado. 
• Fase de instrucción: una vez que la denuncia o querella, en su caso sea admitida a trámite se abre la fase de instrucción, donde el juez o jueza de instrucción investiga los hechos denunciados. Durante la tramitación de esta fase, se recaban pruebas, se toman declaraciones y se realizan las diligencias necesarias para esclarecer los hechos. El objetivo de esta fase es determinar si existen indicios suficientes de una comisión del delito.
• Auto de procedimiento abreviado: si el juez o la jueza considera que hay indicios suficientes de que el delito ha sido cometido, dicta un auto de procedimiento abreviado, ya que los delitos de estafa informática son delitos menos graves, y a continuación se dará traslado al Ministerio Fiscal y a las partes para que formulen sus escritos de acusación o defensa.
• Juicio oral: en esta fase se celebra el juicio oral ante el tribunal competente. Durante el transcurso del juicio, se practican las pruebas propuestas por las partes, se escuchan testigos y se valoran los documentos que hayan sido aportados.
• Sentencia: la sentencia podrá ser condenatoria o absolutoria. En caso de ser condenatoria la sentencia se impondrá una pena de prisión de 6 meses a 3 años.
• Recursos: contra la citada sentencia las partes pueden interponer los recursos que procedan, como el recurso de apelación ante la audiencia provincial correspondiente y en su caso recurso de casación ante el Tribunal Supremo. Asimismo, en caso de que la sentencia se haya dictado en ausencia, haya sido o no apelada, es susceptible de ser recurrida en anulación por el condenado en el mismo plazo y con iguales requisitos y efectos que los establecidos en el recurso de apelación. 

Pero ¿quién tendrá que presentar la denuncia de un delito de estafa informática? La denuncia podrá ser presentada por la víctima del delito o por cualquier persona que tenga conocimiento de los hechos.

Por último, y como ya se ha señalado anteriormente, el delito puede nacer de una acción civil para la restitución de la cosa y la indemnización de perjuicios causados por el hecho punible. Esta acción civil ha de entablarse juntamente con la penal, si bien, de acuerdo con el art. 109 del CP el perjudicado o perjudicada podrá optar, en todo caso, por exigir la responsabilidad civil ante la jurisdicción civil, como hemos visto anteriormente.