Propuesta de un cambio clave en los fraudes por phishing: el banco debería reembolsar primero las operaciones no autorizadas y solo después, si prueba negligencia grave del cliente, reclamarle ese dinero.

Problema actual: quién asume el golpe inicial

Hoy muchos bancos niegan de entrada el reembolso alegando “negligencia grave” del usuario cuando este ha pinchado en un enlace, facilitado claves o caído en un engaño de phishing, smishing o vishing. Esto deja al cliente sin fondos y le obliga a iniciar reclamaciones, soportar costes y, a menudo, acudir a los tribunales para recuperar un dinero que nunca autorizó perder. En la práctica, ese desequilibrio provoca que muchos afectados acaben renunciando a reclamar, pese a tener derecho al reembolso.

El asunto C‑70/25: phishing en Polonia

El caso que llega al TJUE parte de una usuaria polaca que accedió a un enlace fraudulento que imitaba una plataforma de compraventa y después la web de su banco. Tras introducir sus credenciales, los estafadores ejecutaron un pago no autorizado desde su cuenta. La clienta avisó al día siguiente al banco y a la policía, pero la entidad se negó a devolver el dinero al considerar que ella había actuado con negligencia grave. Los tribunales nacionales plantean entonces al TJUE si esa supuesta negligencia permite al banco bloquear el reembolso inmediato previsto en la Directiva de servicios de pago.

Tesis del Abogado General: “reembolso primero, discusión después”

El Abogado General distingue dos planos: la obligación de devolución inmediata de la operación no autorizada (art. 73.1 PSD2) y el reparto final de responsabilidad cuando hay negligencia grave (art. 74.1 PSD2). Su conclusión es clara: la posible negligencia grave del usuario no autoriza al banco a negar ni retrasar el reintegro inicial; solo puede discutirse después, para decidir quién soporta finalmente la pérdida. La única excepción al reembolso inmediato sería que el banco tenga motivos razonables para sospechar fraude del propio usuario y comunique esos motivos a la autoridad competente. Fuera de ese supuesto, la entidad debe reintegrar “sin dilaciones indebidas” y, si cree que hubo negligencia grave, reclamar posteriormente y probarlo.

Posibles efectos en España

Si el TJUE confirma esta interpretación, la práctica de negar de forma automática el reembolso por el mero hecho de que el cliente cayó en el phishing podría ser contraria al Derecho de la UE. Ello implicaría que los bancos españoles deberían devolver primero las cantidades sustraídas y solo después, en un procedimiento posterior, intentar repetir contra el cliente acreditando negligencia grave. Las entidades tendrían que revisar protocolos internos para diferenciar entre casos en los que sospechan fraude del propio usuario y supuestos de mera imprudencia o descuido. El impacto alcanzaría no solo a consumidores, sino también a autónomos, profesionales y pequeñas empresas que sufran fraudes en sus cuentas o banca electrónica.

Últimos posts

La inteligencia artificial ha transformado el phishing y multiplicado las suplantaciones de identidad en España

1 de abril de 2026

Vodafone (Lowi) y WiZink condenados solidariamente a devolver más de 4.000 € a una víctima de fraude por SIM swapping, reforzando así la responsabilidad conjunta de bancos y operadoras en este tipo de estafas.

31 de marzo de 2026

Ayuntamiento de Logroño condenado a indemnizar por la pérdida de restos mortales: el TSJ confirma los 16.000 euros fijados a la familia

30 de marzo de 2026

Phishing impulsado por inteligencia artificial: la nueva ola de suplantaciones en bancos y empresas españolas

27 de marzo de 2026

La usura en la financiación de vehículos: el nuevo foco del control judicial

26 de marzo de 2026