IRPF y phishing: ¿Una estafa bancaria es una pérdida patrimonial en la Renta?

El auge de los ciberataques ha provocado que miles de afectados por estafas bancarias se pregunten cuál es la relación entre IRPF y phishing para saber si pueden tener repercusión fiscal

El año pasado, el Centro Criptográfico Nacional (CCN-CERT) gestionó más de 100.000 incidentes provocados por ciberataques. Una cifra que supuso un 94% más que en 2022. A la luz de los ataques que se han registrado en lo que llevamos de 2024, es muy probable que este año se vuelva a batir el récord. Sin ir más lejos, en el último mes han sido atacados el Banco Santander, Telefónica, Iberdrola o la Dirección General de Tráfico.

Una de los tipos de ciberataques más comunes es, sin duda alguna, el phishing. Esta técnica de ingeniería social sirve para engañar a las víctimas y conseguir sus credenciales de acceso a, por ejemplo, su cuenta bancaria. Ante el auge de las estafas financieras, muchos ciudadanos se han preguntado por cuál es la relación entre IRPF y phishing, de cara a dilucidar si estas estafas tienen o no trascendencia fiscal y su importe debe ser incluido en la declaración de la Renta.

Tal es así que una víctima presentó ante la Dirección General de Tributos una consulta sobre IRPF y phishing para que este organismo aclarase si se debe reflejar en la Renta el dinero estafado y no recuperado.

A continuación, vamos a abordar las claves de la relación entre IRPF y phishing para aclarar si se puede computar una estafa como pérdida patrimonial en la declaración de la Renta.

Phishing. Una pandemia que cada día es más cruda

¿Qué es exactamente el phishing? La mejor forma de explicarlo es detallando su operativa:

1. Los delincuentes envían emails y sms (smishing) falsos a sus víctimas, suplantando la identidad de empresas muy conocidas (bancos, compañías de telecomunicaciones, eléctricas, empresas del retail…).
2. En estas comunicaciones les piden a las víctimas que hagan clic en un enlace o que descarguen un archivo.
3. En el caso de los archivos, esconden un código malicioso en su interior que comienza a ejecutarse en el ordenador, móvil o tablet de la víctima para espiarla, robarle sus credenciales de acceso a cuentas o secuestrar sus datos.
4. Mientras que los enlaces redirigen a las víctimas a páginas web que, en apariencia, parecen ser de las empresas suplantadas. Generalmente se tratan de páginas de login falsas para acceder a cuentas bancarias online, redes sociales, software empresarial, etc. De esta forma, consiguen que las víctimas les den sus contraseñas sin darse cuenta.
5. Los delincuentes consiguen cumplir sus objetivos y cometer toda clase de fraudes: estafas bancarias, secuestro de cuentas, extorsión, robo y exfiltración de datos para cometer otros ataques o venderlos en la Dark Web…

Por si el panorama no fuese ya lo suficientemente preocupante, la irrupción de la IA generativa ha permitido los delincuentes emplear esta tecnología disruptiva para desarrollar códigos maliciosos, generar webs falsas más creíbles y construir emails que no levanten sospechas en las víctimas.

El complejo proceso de recuperar el dinero tras una estafa bancaria

El tipo de fraude más común que llevan a cabo los delincuentes son las estafas bancarias, porque les permiten monetizar de manera inmediata los ataques.

¿Qué sucede en estos casos? ¿Cómo pueden las víctimas de las estafas bancarias recuperar el dinero que se les sustrajo ilegítimamente al acceder a sus cuentas bancarias y realizar transferencias o pagos indebidos?

En primer lugar, cualquier persona estafada debe denunciar el delito ante la Policía o la Guardia Civil e informar a su entidad bancaria.

En caso de que resulte imposible recuperar el dinero y la entidad bancaria considere que no tiene responsabilidad en el incidente, los afectados pueden presentar una demanda judicial para reclamar el dinero estafado a su banco aduciendo la responsabilidad e incumplimiento legal o contractual del mismo, al ser incapaz de impedir la estafa.

Se trata, por ende, de un proceso largo y complejo que puede durar años y que no siempre termina con la recuperación del dinero sustraído.

De ahí que la relación entre IRPF y phishing sea tan importante, ya que en el proceso para recuperar lo estafado, la víctima necesita saber si el dinero perdido supone o no una pérdida patrimonial y si, por ende, debe incluirlo en la declaración de la Renta. La Dirección General de Tributos ha afrontado esta problemática para aclarar el impacto fiscal de las estafas bancarias.

¿Qué es y qué no es una pérdida patrimonial?

En primer lugar, la Dirección General de Tributos establece que debe ponerse el foco en la definición de pérdida patrimonial. En este sentido, la Ley 35/2006 del IRPF indica las ganancias y pérdidas patrimoniales son «variaciones en el valor del patrimonio del contribuyente que se pongan de manifiesto con ocasión de cualquier alteración en la composición de aquél».

A la luz de esta definición, podríamos considerar que, efectivamente, una estafa bancaria supone una pérdida patrimonial.

Sin embargo, la ley precisa una serie de casos en los que no se entenderá que existe una pérdida patrimonial, entre los que debemos destacar, en esta guía sobre IRPF y phishing, las pérdidas patrimoniales «no justificadas».

Esto implica que para que un contribuyente pueda declarar como pérdida patrimonial una estafa bancaria ha de poder probar que esta se cometió. Para ello, debe recurrir a los medios de prueba admitidos en nuestro ordenamiento jurídico. Sin que ello afecte al deber de la Inspección Tributaria de valorar dichas pruebas para comprobar si, efectivamente, se produjo una pérdida patrimonial como consecuencia de una estafa realizada a través de la técnica del phishing.

IRPF y phishing: ¿Cómo se declara una estafa en la Renta?

De lo anterior podemos concluir que en lo relativo a IRPF y phishing, las estafas bancarias sí pueden incluirse en la declaración de la Renta, ¿pero cuándo y cómo?

1. La pérdida patrimonial debe imputarse en la declaración de la Renta correspondiente al año en que se produjo la estafa.
2. Como esta pérdida no es consecuencia de una transmisión de elementos patrimoniales, ha de imputarse en la base imponible general del IRPF.
3. Si el resultado de la base imponible general es, finalmente, negativo, puede compensarse en los 4 años fiscales posteriores.

Por eso, al abordar la relación entre IRPF y phishing es fundamental tener en cuenta el momento en el que se produjo la estafa, ya que no puede imputarse la pérdida patrimonial en un año fiscal diferente, y en dónde debe imputarse dentro del modelo de declaración de la Renta.

Para evitar incidencias, es recomendable que las víctimas del phishing cuenten con el asesoramiento de expertos fiscalistas que se encarguen de imputar la pérdida patrimonial de manera adecuada.

¿Qué pasa si se recupera el dinero? IRPF y phishing cuando hay final feliz

Como señalamos al inicio de este artículo sobre IRPF y phishing, el proceso para recuperar el dinero sustraído durante una estafa bancaria es arduo, pero en muchos casos se llega a un final feliz:

• Las fuerzas del orden apresan a los delincuentes y logran recuperar lo que sustrayeron.
• Las entidades bancarias se hacen cargo del ciberataque y reintegran el dinero a las víctimas.
• Los tribunales declaran la responsabilidad de los bancos y sentencian que estos reintegren a las víctimas el importe robado.

Por eso, es fundamental tener en cuenta que la relación entre IRPF y phishing se extiende, también, a la recuperación del dinero sustraído ilegítimamente.

En este sentido, la Dirección General de Tributos nos recuerda que si se produce la recuperación del dinero esta «tendría su incidencia tributaria en el IRPF al restablecerse el equilibrio patrimonial del contribuyente».

Es decir, al hablar de IRPF y phishing, debemos tener en cuenta que los contribuyentes tienen derecho a imputar en su declaración de la Renta las estafas como pérdidas patrimoniales, pero también están obligados a imputar el dinero recuperado como ganancias.

En definitiva, si, por desgracia, has sido víctima de un ataque de phishing exitoso que ha terminado con una estafa bancaria, debes saber que este hecho tiene trascendencia fiscal y que puedes declarar el dinero que te han robado como una pérdida patrimonial en la Renta. Para ello, es recomendable que acudas a un abogado o asesor especializado en Derecho Tributario que se encargue de realizar tu declaración y asegurarse de que la imputación de la pérdida patrimonial se realiza de manera adecuada.

Contacta con nosotros