En España cada vez hay más pagos digitales se empezó por las tarjetas de crédito / débito y actualmente es muy frecuente ver el pago mediante dispositivos como teléfonos móviles y relojes inteligentes. Para llevar a cabo estas transacciones electrónicas es necesario, en todo caso, un proveedor de servicios de pago (es decir un banco, una emisora de la tarjeta, una entidad de dinero electrónico, etc.). Los estados, por razones obvias, prefieren esta modalidad de pagos, de hecho, se podría afirmar que es obligatorio tener una cuenta en un banco porque sólo a través de estas entidades se pueden pagar los impuestos y como es obligatorio pagarlos, también es obligatorio tener banco. Viendo la evolución del cambio de tendencia, actualmente hay una batalla mundial por liderar los servicios de pago como  acredita el avance en las CBDC (especialmente en Europa), entre otros motivos, porque la política monetaria se puede volver muy poco eficaz si la moneda propia (euro) pierde uso por el avance de otras tecnologías y aquí las stablecoins pueden tener un papel fundamental (y están en su inmensa mayoría referenciadas al dólar). Si unimos esto a casos como el de PIX, liderado por el Banco Central de Brasil con una cuota acutal de mercado que supera el 70% la batalla por el control de los sistemas de pago está servida.

Un servicio de pago electrónico se puede definir como la facultad que te provee un tercero para enviar, recibir o gestionar tu dinero a través de medios electrónicos.

Los proveedores de servicios de pago tienen una regulación homogénea en todos los estados miembros de la UE a través de la Directiva 2015/2366 incorporada a nuestro ordenamiento mediante el Real Decreto Ley 19/2018 de servicios de pago que, prácticamente, copia el texto de la directiva. La directiva se la conoce como la PSD-2 («payment services directive«). Dada la preferencia estatal en el pago mediante sistemas electrónicos la legislación les impone un régimen de responsabilidad muy elevado (cuasi objetivo) de modo que tienen que reponer al cliente las operaciones «no autorizadas» salvo casos de fraude o negligencia grave por parte del usuario. A mi entender tiene todo el sentido del mundo por dos motivos (i) ya que me interesa este sistema donde puedo trazar los movimientos de dinero, ofrezco a los usuarios un incentivo de alta protección por su uso, y (ii) al ser dinero de capa 2 (vid infra), se debe sujetar a las normas del protocolo siendo, en última instancia, el proveedor del servicio de pago quien decide si ejecuta la orden del cliente o no.

En este sentido, el Tribunal Supremo, en reciente sentencia de 9 de abril de 2025, ha resuelto que la entidad IBERCAJA debe devolver al cliente las transferencias no autorizadas en un caso de phising donde se había suplantado la identidad del cliente mediante la creación de un duplicado de la sim (conocido como sim swapping). A través de este mecanismo el delincuente pide un duplicado de la SIM a una dirección postal controlada por él, activa el teléfono con las claves obtenidas por ingeniería social y se tiene acceso a los fondos. El nivel de cifrado y la repetición de contraseñas es lamentablemente constante en la población por la escasa formación en materia de seguridad digital lo que permite que averiguada una contraseña el resto sean prácticamente iguales.

De la sentencia se ha hecho eco gran parte de la prensa, colegios profesiones y despachos de abogados (aquí, , aquí, aquí, aquí, etc.) definiendo la estructura de responsabilidad para estos casos, que se aparta del régimen general de código civil y que podríamos sintentizar en lo siguiente:

• Ante la comunicación del cliente de que se ha efectuado una operación «no autorizada» ni consentida por el titular, la entidad financiera tiene la obligación de restituir el importe en 1 día hábil (art. 45 RDL 19/18). La única excepción a esto es que estime que se ha producido un uso fraudulento del usuario o bien una negligencia y que, además, lo notifique al Banco de España.
• El hecho de que exista una autenticación con las claves facilitadas en la plataforma de pago no exime de responsabilidad al proveedor del servicio de pago (era el caso, el login era perfecto conforme a las normas del protocolo)
• El usuario, eso sí, debe comunicar de forma urgente la existencia de una operación no autorizada y a partir de ahí no responderá por las sucesivas pérdidas porque el Banco puede bloquear las operaciones.
• La carga de acreditar la negligencia grave o el fraude corresponde a la entidad.

Para mi, tiene sentido, si el dinero electrónico es capa 2 del dinero del Banco central y hay un protocolo que permite congelarlo o bloquearlo. Me pregunto si este régimen de responsabilidad se puede extender a los proveedores de servicios de criptoactivos (CASP) porque, usos no consentidos, phising y estafas en estas plataformas son constantes, por eso para no extender esta entrada, me centraré en ello en la siguiente.