El pasado 7 de junio de 2025 entraron en vigor la mayoría de medidas previstas en la Orden TDF/149/2025, aprobada por el Ministerio para la Transformación Digital y de la Función Pública, con el objetivo de frenar y combatir el creciente número de estafas digitales basadas en la suplantación de identidad.
................................................
Esta normativa supone un paso importante en la lucha contra prácticas como el phishing y el smishing, es decir, el envío de mensajes o la realización de llamadas fraudulentas que intentan engañar a la víctima haciéndose pasar por una entidad conocida, en la mayoría de los casos un banco o una administración pública, para acceder a nuestros datos personales con fines delictivos.
Números falsos
Con esta regulación, las operadoras de telecomunicaciones están ahora obligadas a bloquear tanto llamadas como mensajes que utilicen números falsos, inexistentes o que suplanten números españoles desde el extranjero. Por ejemplo, si un ciberdelincuente intenta contactar con un usuario utilizando un número que parece de una entidad bancaria española pero la llamada se origina fuera del Estado, el sistema deberá impedir su conexión, salvo que se trate de un caso de itinerancia legítima.
Mensajes de texto fraudulentos
Otra novedad relevante afecta a las comunicaciones por mensaje de texto. A partir de ahora, cualquier empresa o administración que desee utilizar un nombre identificativo (un alias) para enviar SMS u otros mensajes deberá registrarlo previamente en un registro público gestionado por la Comisión Nacional de los Mercados y la Competencia (CNMC). Los operadores están obligados a bloquear aquellos mensajes que no cumplan con este requisito o que provengan de proveedores de mensajería no autorizados. Esta medida, que entrará plenamente en vigor el 7 de junio de 2026, pretende impedir que los ciberdelincuentes puedan hacer uso de nombres comerciales y suplantar la identidad de empresas conocidas y reconocibles por parte de los estafadores.
Llamadas comerciales no solicitadas
Lamentablemente, es cada vez más habitual recibir todo tipo de llamadas comerciales no deseadas. Una práctica que no solo es molesta sino que también puede ser utilizada por los ciberdelincuentes para desarrollar sus acciones fraudulentas. Por ello, la nueva normativa también incide y establece severas limitaciones para las llamadas comerciales no solicitadas. La nueva Orden prohíbe que este tipo de comunicaciones se realicen desde números de móvil, un recurso habitual por parte de las empresas para esquivar la desconfianza de las personas consumidoras. A partir de ahora, estas llamadas deberán hacerse desde numeraciones específicas —como los prefijos 800 o 900—, que, además, serán gratuitas para el usuario que decida devolver la llamada. Esta identificación clara contribuye a reducir la ambigüedad y a mejorar la capacidad de las personas para reconocer las comunicaciones con fines comerciales.
Necesidad de ampliar la protección de las consumidoras
Según datos de los Mossos d’Esquadra, en Cataluña se denuncia un nuevo caso de ciberestafa cada 6 minutos, es decir, más de 200 al día. En todo el Estado, los casos superan los 400.000 anuales. Y la mayoría de estas estafas tienen origen, de una u otra forma, en llamadas maliciosas o en el envío de falsos mensajes a nuestros teléfonos móviles. Por ello, dada la magnitud de unas cifras alarmantes, son más necesarias que nunca normativas como esta Orden ministerial que, aunque de rango inferior a una ley, establece obligaciones concretas, exigibles y sancionables para los operadores y proveedores de servicios de comunicaciones, lo que le otorga una gran relevancia práctica y puede contribuir a ampliar las garantías de las personas consumidoras y mejorar la seguridad en un ámbito tan cotidiano y vulnerable como es el de las comunicaciones digitales.
A pesar de la esperanza de que medidas como las contempladas en esta Orden ministerial puedan contribuir a reducir de forma significativa el número de personas afectadas diariamente por la ciberdelincuencia y las estafas digitales, es importante recordar que la legislación vigente, tanto la española como la comunitaria, nos otorga un elevado grado de protección frente a la eventualidad de haber sido víctimas de phishing o cualquier otra forma de delincuencia en el entorno digital. Concretamente, la legislación mencionada determina con claridad que las entidades financieras son responsables de garantizar la seguridad de todas las operaciones que realizamos y tienen la obligación de prevenir comportamientos delictivos y detectarlos, hasta el punto de que pueden suspender cualquier operación hasta verificar de forma incontestable que es el usuario y no otra persona quien está ordenando dichas operaciones, especialmente cuando existe un patrón de conducta inusual, como podría serlo, por ejemplo, la realización de transferencias bancarias en horarios inusuales o a países extranjeros, si no solemos hacerlo de forma regular. Estos patrones inusuales de conducta deben ser detectados por los bancos, que tienen la responsabilidad de evitar que se consuma el acto delictivo y, en todo caso, están obligados a restituir los importes sustraídos mediante operaciones que no hemos autorizado. El único caso en el que los bancos no están obligados a devolver inmediatamente el dinero es cuando la entidad pueda demostrar que ha existido una negligencia muy grave por parte de la persona usuaria. Y esto es importante, la negligencia debe ser especialmente grave, es decir, que atente contra las previsiones básicas de seguridad y sentido común.
Ante una estafa, es fundamental actuar rápido: denunciar los hechos, comunicarlos inmediatamente al banco y presentar una reclamación formal para iniciar el proceso de devolución del dinero sustraído. Lamentablemente, en muchos casos los bancos suelen denegar la petición de sus clientes que han sido víctimas de estafas. Cuando esto ocurre, no hay más remedio que acudir a los tribunales para defender nuestros derechos y reclamar la devolución de estos importes. Los tribunales suelen actuar en defensa de los consumidores, especialmente cuando se evidencia que el sistema de seguridad del banco ha sido insuficiente o que el cliente ha actuado con diligencia y solo en raras ocasiones determinan que la actuación de los ciberdelincuentes ha sido posible gracias a la negligencia de la propia usuaria.
Si habéis sido víctimas de una estafa, recordad que tenéis derechos y la legislación vigente os protege en la condición de consumidores. No renunciéis a recuperar vuestro dinero y si necesitáis asesoramiento legal, contactad con nosotros. ¡Podemos ayudaros!
