Autenticación reforzada, falso asesor bancario, negligencia grave: los bancos no pueden reducir la protección de los profesionales

En el contexto del aumento de las fraudes bancarias mediante ingeniería social, y en particular de la denominada fraude del “falso asesor bancario”, las entidades de crédito oponen cada vez con mayor frecuencia a las víctimas una negativa de reembolso basada en una supuesta negligencia grave del cliente.

Esta posición se adopta de forma aún más sistemática cuando la víctima es una empresa o un profesional, insinuando algunas entidades que las cuentas profesionales disfrutarían de un nivel de protección jurídica inferior al de las cuentas de particulares.

Esta afirmación carece de fundamento jurídico.

La jurisprudencia reciente, por el contrario, recuerda de manera constante que las cuentas profesionales se beneficiandel mismo régimen de protección que las cuentas de particulares en materia de operaciones de pago no autorizadas.

1. Un marco jurídico idéntico para particulares y profesionales

El régimen de los servicios de pago, derivado de la Directiva europea PSD2 y transpuesto en los artículos L.133-1 y siguientes del Código Monetario y Financiero francés, se aplica indistintamente:

a los consumidores,
a los profesionales,
a las empresas titulares de cuentas bancarias.

Ninguna disposición normativa establece una distinción en función de la condición del titular de la cuenta.

En caso de operación de pago no autorizada, el principio es claro: el banco está obligado a reembolsar inmediatamente las sumas controvertidas (art. L.133-18 del Código Monetario y Financiero), salvo que demuestre la existencia de fraude o de una negligencia grave imputable al cliente.

La carga de la prueba recae íntegramente sobre la entidad bancaria, incluso cuando la cuenta afectada es una cuenta profesional.

2. Autenticación reforzada: una obligación del banco, no una presunción de culpa

Los bancos invocan con frecuencia el argumento de que, puesto que las operaciones fueron validadas mediante autenticación reforzada, necesariamente habrían sido autorizadas.

Este razonamiento es jurídicamente erróneo.

El artículo L.133-23 del Código Monetario y Financiero es explícito: la utilización de datos de seguridad personalizados no basta, por sí sola, para probar que la operación fue autorizada, ni que el usuario haya incurrido en negligencia grave.

La autenticación reforzada constituye una exigencia reglamentaria impuesta al proveedor de servicios de pago.
No crea ni una presunción irrebatible de consentimiento ni un mecanismo de transferencia automática del riesgo de fraude al cliente, ya sea particular o profesional.

3. Jurisprudencia reciente: plena protección de las cuentasprofesionales

Una sentencia particularmente esclarecedora fue dictada por el Tribunal de Actividades Económicas de París el 23 de diciembre de 2025.

En este asunto, una sociedad titular de una cuenta bancaria profesional fue víctima de una fraude del falso asesor bancario, que dio lugar a catorce operaciones fraudulentas realizadas en un periodo de tiempo muy breve.

El banco se negó a reembolsar las cantidades, invocando la autenticación reforzada y la supuesta validación de los pagos por parte del administrador de la sociedad.

El tribunal condenó al banco y recordó varios principios fundamentales:

el banco debe aportar una prueba precisa de las modalidades de autenticación (marcas temporales, canal utilizado, correlación con cada operación);
simples cuadros internos o afirmaciones generales resultaninsuficientes;
la rápida superación de los límites de pago sin mecanismosde bloqueo constituye una deficiencia técnica imputable al banco;
no se acreditó ninguna negligencia grave por parte del cliente profesional.

En consecuencia, se ordenó el reembolso íntegro de las sumasen aplicación de los artículos L.133-18 y L.133-23 del CódigoMonetario y Financiero.

4. La negligencia grave: una noción estrictamente delimitada

La negligencia grave no se presume.

Requiere un comportamiento de especial gravedad que revele un incumplimiento deliberado de las obligaciones básicas de seguridad.

La jurisprudencia es constante al considerar que la comunicación de credenciales, el hecho de haber seguido las instrucciones de un tercero que se presenta como el banco, o la validación de una operación bajo manipulación psicológica no son necesariamente, por sí mismos, suficientes para caracterizar una negligencia grave, incluso cuando el cliente es un profesional.

El Tribunal Supremo francés (Cour de cassation) recuerda desde hace tiempo que el mero uso de los instrumentos de pago no permite exonerar al banco de su obligación de reembolso.

5. Una protección idéntica: un mensaje claro para los profesionales

Las resoluciones recientes confirman una línea jurisprudencialya consolidada:

las cuentas profesionales no son cuentas de “riesgotransferido”;
los bancos siguen sujetos a una elevada obligación de seguridad;
la autenticación reforzada no constituye un blindaje jurídico automático;
la carga de probar la negligencia grave corresponde siempre a la entidad bancaria.

Los profesionales, directivos y empresarios se benefician, por tanto, del mismo nivel de protección que los particulares frente a las fraudes bancarias.

Nuestra posición

Las entidades bancarias no pueden ni aprovechar la complejidad técnica de los sistemas de pago ni invocar la condición profesional del cliente para eludir sus obligacioneslegales.

La lucha contra el fraude no puede justificar una transferencia silenciosa del riesgo en perjuicio de las empresas.

Artículo anterior