← Volver al blog
Sector banca · 19 de junio de 2026 · Edición institucional MMXXVI

Por qué sus clientes mayores siguen siendo

En el primer semestre de 2024, el Banco de España recibió un volumen de reclamaciones por operaciones no autorizadas en banca digital que continuó siendo protagonizado, de forma de…

En el primer semestre de 2024, el Banco de España recibió un volumen de reclamaciones por operaciones no autorizadas en banca digital que continuó siendo protagonizado, de forma desproporcionada, por titulares de más de 65 años. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), las personas mayores figuran entre los grupos con mayor tasa de victimización en fraudes por mensajería y llamada, con tipologías que combinan ingeniería social y suplantación de entidad financiera. No se trata de una vulnerabilidad nueva. Se trata de una que el sector lleva años reconociendo sin haber cerrado operativamente.

El fraude digital dirigido a personas mayores de 65 años en España se concentra en tres vectores: SMS y llamada con suplantación de entidad (smishing/vishing), soporte técnico falso y transferencias inducidas por presión afectiva. La vulnerabilidad no es cognitiva en sentido clínico — es estructural: este segmento opera con menos señales de contraste digital, mayor confianza en la autoridad institucional y canales de alerta que llegan tarde o no llegan. La entidad que no cubre ese gap asume el riesgo reputacional y, crecientemente, el regulatorio.

¿Por qué los mayores de 65 siguen siendo el objetivo preferente del fraude bancario digital?

La respuesta no es que sean menos inteligentes. Es que el diseño del fraude moderno explota exactamente las condiciones en las que este segmento opera: alta confianza en comunicaciones de apariencia institucional, menor exposición a campañas de concienciación digital y red de contraste más reducida. Un cliente de 72 años que recibe un SMS de «Banco Seguro — su cuenta ha sido bloqueada, verifique en banco-operaciones.net/verificar» no dispone, en tiempo real, de una capa que interponga fricción entre el mensaje y la acción. Su entidad tampoco, si no ha instrumentado esa capa.

La EBA ha señalado en sus Guidelines sobre ICT and Security Risk Management (EBA/GL/2019/04) que las entidades deben identificar a los colectivos con mayor exposición a fraude como parte de su mapa de riesgo operacional. La edad es una variable demográfica con impacto directo en el perfil de riesgo del cliente, y no considerarla equivale a un gap en el modelo.

«Las entidades de crédito deben disponer de mecanismos de detección de transacciones fraudulentas que tengan en cuenta el perfil de comportamiento del usuario, incluyendo su historial de interacción con canales digitales.» — EBA Guidelines on fraud reporting under PSD2 (EBA/GL/2020/01), párrafo 3.2.

¿Qué tipologías de fraude concentran el mayor impacto en este segmento en España?

Con base en los avisos publicados por INCIBE y la Oficina de Seguridad del Internauta (OSI) durante 2023 y 2024, las tipologías con mayor incidencia documentada en mayores son:

  • Smishing con suplantación bancaria: El SMS llega con nombre de la entidad en el remitente (caller ID spoofing), enlaza a un dominio clonado y solicita credenciales o confirmación de operación. El tiempo entre recepción y compromiso de credenciales se mide en minutos.
  • Vishing de soporte técnico: Llamada entrante que se presenta como el área de seguridad del banco. El operador guía al cliente para que autorice una transferencia «de protección» o instale un acceso remoto. INCIBE ha documentado campañas activas con esta mecánica dirigidas específicamente a jubilados.
  • Fraude afectivo o de urgencia familiar: Mensaje o llamada que simula ser un familiar en situación de emergencia. El cliente transfiere sin contrastar. La velocidad de la solicitud es el principal vector de presión.
  • Fraude de falsa inversión: Captación por redes sociales o llamada con promesas de rentabilidad. El Banco de España y la CNMV han emitido avisos reiterados sobre plataformas no registradas que dirigen campañas a mayores de 60 años con perfil de ahorro conservador.

En todos los casos, el patrón común es el mismo: un mensaje de apariencia legítima que induce una acción urgente antes de que el cliente pueda contrastar. La ventana de intervención existe — pero es estrecha y requiere instrumentación en el canal de comunicación, no solo en la transacción.

¿Qué gap operativo deja expuesto al cliente mayor entre el SOC de la entidad y el canal de contacto?

La mayoría de las entidades financieras de tamaño medio-grande en España disponen de un Centro de Operaciones de Seguridad (SOC) que monitoriza el perímetro tecnológico propio: sistemas internos, APIs, infraestructura. Lo que el SOC no cubre, por diseño, es el canal de comunicación que llega al cliente fuera de la app o la web propias: el SMS, la llamada, el correo electrónico de apariencia institucional.

Ese gap — entre el perímetro del SOC y el dispositivo del cliente — es exactamente donde opera el fraude dirigido a mayores. El dominio clonado no está en su infraestructura. El SMS suplantador no pasa por su pasarela. La llamada de vishing no toca su centralita. Y el cliente mayor, sin una capa de contraste en ese espacio, actúa sobre la comunicación fraudulenta convencido de que es legítima.

El Reglamento DORA (UE 2022/2554), aplicable desde enero de 2025, establece en su artículo 5 que las entidades deben identificar y gestionar los riesgos de sus cadenas de dependencia digital, incluyendo los canales de comunicación con el cliente final. La cobertura del canal de mensajería saliente — y la verificación de lo que el cliente recibe en nombre de la entidad — entra dentro del perímetro que DORA obliga a auditar.

¿Por qué la cobertura familiar es el canal de alerta más eficaz para este segmento?

La investigación sobre comportamiento en fraude a mayores es consistente en un hallazgo: la persona más eficaz para interrumpir una operación inducida es un familiar cercano con acceso a información de contexto. No el banco, que llega post-transacción. No la policía, que actúa post-denuncia. El familiar, si dispone de visibilidad sobre la actividad de la cuenta o recibe una alerta en tiempo real, puede intervenir antes de que el daño sea irreversible.

Esto no es un argumento de bienestar familiar. Es un argumento de arquitectura de fraude. Las entidades que han instrumentado sistemas de alerta a terceros autorizados — sin transferir datos personales del titular sin consentimiento explícito, en línea con el artículo 6 del RGPD — reportan tasas de interrupción significativamente superiores en este segmento. La autorización del titular para incluir un contacto de alerta puede articularse dentro del proceso de onboarding o revisión de perfil, con base jurídica en el interés legítimo documentado y el consentimiento informado.

VeriMsg opera precisamente en ese espacio. La capa de verificación de mensajería actúa antes de que el cliente interactúe con una comunicación fraudulenta, y el canal de alerta familiar — cuando está configurado por el propio titular — permite escalar en tiempo real sin necesidad de que el banco active un proceso reactivo. La cobertura no reemplaza el SOC: lo extiende hacia el cliente en el canal donde el fraude ocurre.

¿Qué responsabilidad regulatoria asume la entidad si no cubre este gap?

PSD2 (Directiva UE 2015/2366, transpuesta en España por el Real Decreto-ley 19/2018) establece la responsabilidad de la entidad en operaciones no autorizadas salvo que pueda acreditar negligencia grave del cliente. La jurisprudencia española reciente — con resoluciones del Banco de España que han dado la razón al cliente en casos de smishing — demuestra que la carga de la prueba recae, en la práctica, sobre la entidad. Si esta no puede acreditar que dispuso de mecanismos razonables de alerta y verificación, la reclamación prospera.

A ello se suma el riesgo reputacional. Una entidad cuyos clientes mayores son victimizados de forma recurrente por suplantación de su marca acumula un daño que no aparece en el balance hasta que aparece en portada. El coste de instrumentar cobertura preventiva es, en todos los escenarios modelados disponibles en la literatura del sector, inferior al coste de gestión de incidentes y reclamaciones.

Preguntas frecuentes

¿Qué es el smishing y por qué afecta más a personas mayores?

El smishing es el fraude por SMS que suplanta a una entidad legítima para obtener credenciales o inducir una transferencia. Afecta más a mayores porque el canal SMS genera mayor confianza en ese segmento, la detección de señales de alerta requiere exposición previa a campañas de concienciación y el tiempo de reacción disponible es mínimo.

¿Obliga DORA a las entidades a cubrir el canal de mensajería con el cliente?

El Reglamento DORA (UE 2022/2554), aplicable desde enero de 2025, requiere en su artículo 5 que las entidades gestionen los riesgos de toda su cadena de dependencia digital, incluidos los canales de comunicación con el cliente final. La mensajería saliente y los dominios de contacto forman parte de ese perímetro auditable.

¿Puede la entidad compartir alertas con familiares del cliente sin vulnerar el RGPD?

Sí, con consentimiento explícito del titular. El artículo 6 del RGPD permite el tratamiento de datos cuando el interesado ha prestado su consentimiento para una finalidad específica. El cliente puede autorizar, en cualquier momento, que un contacto de confianza reciba alertas sobre actividad sospechosa en su nombre.

¿Cuál es la diferencia entre la capa de VeriMsg y el SOC de la entidad?

El SOC cubre el perímetro tecnológico interno: sistemas, APIs, infraestructura de la entidad. VeriMsg cubre el canal externo donde el fraude contacta al cliente — SMS, mensajería, dominios de apariencia institucional — antes de que el cliente interactúe. Son capas complementarias, no sustitutivas.

Tres recomendaciones accionables para su comité de riesgos

  1. Segmente su mapa de riesgo por perfil de cliente, no solo por tipología de fraude. Incorpore la variable demográfica — específicamente el tramo mayor de 65 años — como factor diferencial en la evaluación de riesgo operacional. Esto es coherente con las Guidelines EBA/GL/2019/04 y le permitirá justificar medidas diferenciadas ante auditoría y supervisión.
  2. Audite el gap entre su SOC y el canal de contacto con el cliente final. Identifique qué ocurre en el espacio entre su perímetro tecnológico y el dispositivo de sus clientes mayores. El fraude opera ahí. Si no tiene instrumentación en ese canal, su exposición regulatoria bajo PSD2 y DORA es real y cuantificable.
  3. Active el canal familiar como capa de alerta temprana, con base jurídica documentada. Diseñe un proceso de onboarding o actualización de perfil que permita al titular mayor de 65 años autorizar un contacto de alerta. Documente el consentimiento conforme al artículo 6 del RGPD. El coste de implementación es marginal frente al coste esperado de reclamaciones y riesgo reputacional.

Si su entidad está evaluando cómo cubrir este gap antes del próximo ciclo de auditoría DORA o de la revisión de su modelo de riesgo operacional, el Pilot Readiness Pack de VeriMsg está disponible bajo acuerdo de confidencialidad para equipos de riesgos, fraude y cumplimiento. El punto de partida es un análisis de cobertura actual — sin compromiso de despliegue — que le permite cuantificar la exposición antes de decidir.

¿Evaluamos un piloto TrustLayer en su entidad?

Un analista prepara el alcance del piloto en 10 días hábiles. Sin coste, sin compromiso.

Pilot Readiness Pack