Hace algunos años formé parte del comité de prevención de fraudes y quebrantos de una de las instituciones bancarias más relevantes en México. En ese momento, el fraude bancario era entendido —de manera casi unánime— como un problema de intrusión: alguien vulneraba un sistema, accedía ilícitamente a información y ejecutaba operaciones no autorizadas.
Esa narrativa hoy resulta insuficiente.
El fraude contemporáneo ya no se define por la ruptura de barreras tecnológicas, sino por su capacidad de operar desde dentro del propio funcionamiento legítimo del sistema financiero, sin necesidad de violentarlo.
La evolución del fraude bancario no ha sido lineal, sino estructural. Hemos transitado de un modelo centrado en la obtención ilícita del dato, hacia uno orientado al control del proceso. Este desplazamiento implica una reconfiguración del fenómeno desde la criminología y exige una revisión profunda de sus categorías de análisis en el derecho penal contemporáneo.
Durante años, técnicas como el phishing o el skimming dominaron el escenario del fraude. Sin embargo, reducirlas a simples mecanismos de obtención de datos sería un error. En el phishing, lo relevante no es el dato obtenido, sino el mecanismo de manipulación psicológica que induce a la víctima a participar activamente en su propia afectación patrimonial. El skimming, por su parte, representaba una forma más rudimentaria pero igualmente eficaz: la apropiación técnica de información mediante dispositivos físicos.
En ambos casos, el delito dependía aún de un elemento clave: el acceso.
El fraude bancario contemporáneo rompe con esa lógica. Hoy, el verdadero dominio del delincuente no radica en acceder al sistema, sino en intervenir en la toma de decisiones del usuario. El sujeto activo ya no ejecuta directamente la conducta: la induce. La víctima deja de ser únicamente sujeto pasivo para convertirse, sin saberlo, en ejecutor material del resultado ilícito.
Desde una lectura penal estricta, este fenómeno desborda las categorías clásicas del engaño como vicio del consentimiento. No se trata ya de un error provocado en términos tradicionales, sino de una arquitectura de decisiones inducidas que desplaza el centro de imputación hacia formas más complejas de dominio del hecho.
Imaginemos un escenario frecuente: un cliente recibe una llamada aparentemente proveniente de su banco. Se le informa de un intento de cargo fraudulento y se le indica transferir sus recursos a una “cuenta segura”. El cliente accede, autentica la operación y ejecuta la transferencia. Desde la perspectiva del sistema, todo es válido. No hay intrusión. No hay vulneración técnica. Sin embargo, el fraude se ha consumado.
El sistema funciona correctamente. El resultado es ilícito.
En escenarios más complejos, el fraude deja de ser un evento aislado y se convierte en un proceso estructurado: modificación de beneficiarios, alteración de parámetros de seguridad, fragmentación de transferencias y dispersión internacional de recursos. Todo dentro de márgenes aparentemente legítimos.
Esta dinámica adquiere mayor complejidad cuando se inserta en esquemas transnacionales. Las transferencias fraccionadas, el uso de cuentas intermediarias y la dispersión en distintas jurisdicciones no son eventos aislados, sino parte de una lógica global de criminalidad financiera que aprovecha asimetrías regulatorias y vacíos de cooperación internacional. El fraude bancario moderno, en este sentido, no solo es un problema tecnológico o individual, sino un fenómeno que dialoga directamente con las estructuras del sistema financiero global.
Desde la óptica bancaria, las operaciones son consistentes con el perfil del cliente. Desde la óptica penal, el problema es otro. Y ese “otro” problema no es técnico, sino normativo: la insuficiencia de los marcos tradicionales para capturar formas de intervención delictiva que operan sin ruptura visible del sistema.
Es en este punto donde emerge una cuestión particularmente incómoda para el sistema financiero: la eventual corresponsabilidad institucional en la producción del resultado.
Si bien las operaciones se presentan como formalmente válidas desde el punto de vista técnico, ello no agota el análisis jurídico. La validez operativa no excluye, por sí misma, la existencia de fallas estructurales en los modelos de prevención.
Cuando los sistemas son incapaces de identificar patrones de manipulación conductual, cuando los protocolos de seguridad permanecen anclados en esquemas de autenticación tradicional frente a contextos de ingeniería social avanzada, o cuando se omiten mecanismos de contención frente a operaciones atípicas inducidas, la discusión se desplaza inevitablemente hacia estándares de diligencia institucional.
En tales escenarios, la pregunta relevante deja de ser si el sistema fue vulnerado, para centrarse en si el sistema fue diseñado —o mantenido— sin atender riesgos previsibles dentro del entorno actual de criminalidad financiera.
No se trata, por tanto, de una falla en la ejecución, sino de una posible insuficiencia en la arquitectura de prevención.
Este fenómeno plantea tensiones relevantes para la teoría del delito. A partir de aquí emergen tres tensiones principales: la aparente voluntariedad de la víctima; la posible responsabilidad institucional; y la fragmentación de la responsabilidad dentro de estructuras organizacionales complejas.
Nos enfrentamos así a un escenario donde la imputación penal se vuelve difusa y donde los esquemas tradicionales resultan insuficientes.
Y es precisamente en esa aparente normalidad donde el fraude alcanza su máxima eficacia: cuando no necesita ocultarse, porque se confunde con la operación legítima.
El problema ya no es el acceso indebido.
Es el diseño de entornos donde el error humano puede ser inducido con precisión.
El fraude bancario contemporáneo no engaña para robar: configura las condiciones para que la víctima ejecute el acto creyendo actuar legítimamente.
No es un delito contra el sistema.
Es un delito que opera a través de él.
Y quien logra ese dominio no vulnera estructuras:
las instrumentaliza… sin necesidad de quebrarlas.
