El Tribunal de Justicia de la UE (TJUE) se pronunciará muy pronto sobre un caso de phishing y ya se han hecho públicas las conclusiones del abogado general de la UE encargado de su análisis. Su criterio, que suele seguirse en la mayor parte de sentencias dictadas por este Tribunal, se centra en la obligación de devolución del dinero defraudado por parte del banco y defiende que éste tiene la obligación de devolver de forma inmediata el importe de una operación no autorizada por su cliente, sin que pueda negarse a retrasar o evitar este abono alegando una negligencia grave por parte de la víctima. Solo una vez efectuada la devolución inmediata, el banco puede pedir al cliente que soporte las pérdidas si éste ha incumplido, deliberadamente o por negligencia grave, sus obligaciones como usuario de servicios de pago.
Te contamos los detalles de este criterio, así como del que mantiene la justicia en España, a través de la más reciente jurisprudencia del Tribunal Supremo, para que tengas claro cómo actuar en estos casos. Ponte en contacto con nuestro equipo de abogados especialistas en phishing.
Los detalles del caso: un ejemplo clásico de phishing por suplantación de identidad y robo de claves
El caso concreto es el de un banco polaco que fue víctima de un fraude por suplantación de identidad o phishing: un tercero, haciéndose pasar por comprador en una plataforma de venta, le envió un enlace fraudulento que reproducía la página de Internet del banco. Engañada, introdujo sus claves de conexión, lo que permitió al defraudador recuperarlas y efectuar un pago no autorizado desde la cuenta bancaria de la cliente.
Al día siguiente, la cliente comunicó la operación fraudulenta a su banco. Sin embargo, este se negó a devolver el importe de la operación no autorizada, al considerar que la cliente había incurrido en negligencia grave al divulgar sus datos bancarios.
A raíz de esta denegación, la cliente acudió a los tribunales. El órgano jurisdiccional nacional se dirigió al Tribunal de Justicia para que se dilucide si, a la luz del Derecho de la Unión, el banco, como proveedor de servicios de pago, está obligado a devolver inmediatamente el importe de una operación no autorizada, aunque considere que el cliente ha incurrido en negligencia grave, o bien puede denegar la devolución por ese motivo.
Conclusiones del abogado general del TJUE: el banco debe devolver el dinero «inmediatamente»
En sus conclusiones, el abogado general Athanasios Rantos considera que el Derecho de la Unión obliga al banco, en un primer momento, a devolver inmediatamente el importe de la operación no autorizada, salvo cuando tenga motivos razonables para sospechar la existencia de fraude por parte del cliente y comunique esos motivos por escrito a la autoridad nacional pertinente.
No existe ninguna otra excepción a este principio de devolución inmediata, y el legislador de la Unión no ha dejado ningún margen de maniobra a los Estados miembros a este respecto, incluyendo a España.
De hecho, el abogado asegura que, «en lo tocante, más concretamente, a la cuestión de la devolución inmediata en caso de operaciones de pago no autorizadas, procede señalar que el artículo 73, apartado 1, de la Directiva 2015/2366 no establece ninguna otra excepción a la que pueda acogerse el proveedor de servicios de pago, como, por ejemplo, la sospecha o la posibilidad de que el ordenante haya incumplido, incluido por negligencia, una o varias de las obligaciones que establece el artículo 69 de esta Directiva.»
Sin embargo, esa devolución no es definitiva. En un segundo momento, si el banco demuestra que el cliente ha incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones relativas, en particular, a las credenciales de seguridad personalizadas, puede pedirle que soporte las correspondientes pérdidas.
Además, si el cliente se niega a restituir el importe de la operación no autorizada, corresponderá al banco interponer un recurso contra él para obtener la restitución.
Según el abogado eeneral, esta interpretación queda corroborada tanto por el tenor de la normativa europea en la materia y el contexto en el que se inscriben las disposiciones pertinentes identificadas por el órgano jurisdiccional nacional como por la necesidad de asegurar un elevado nivel de protección del consumidor cuando este utilice servicios de pago, que constituye uno de los objetivos perseguidos por la citada normativa.
Cabe recordar que las conclusiones del abogado general no vinculan al Tribunal de Justicia. A fecha de publicación de este artículo, los jueces del TJUE comienzan ahora sus deliberaciones sobre este asunto y la sentencia se dictará en un momento posterior. Además, el TJUE no resuelve el litigio nacional, siendo los tribunales del Estado miembro los que deben resolver el litigio de conformidad con la decisión del Tribunal de Justicia.
El TJUE reitera que esta decisión vincula igualmente a los demás tribunales nacionales que se enfrenten a un problema similar.
Un criterio paralelo al defendido por el Tribunal Supremo
Es interesante poner este criterio en relación con el mantenido por el Tribunal Supremo en su sentencia número 571/2025, de 9 de abril, que marcó todo un hito en la defensa de los derechos de los consumidores frente a las estafas digitales.
En esta decisión, el Alto Tribunal estableció que las entidades bancarias deben reembolsar las cantidades sustraídas mediante fraudes informáticos, salvo que consigan probar que el cliente actuó con negligencia grave o cometió fraude doloso.
El principal matiz entre ambos criterios está en que el Tribunal Supremo pasó de puntillas sobre la cuestión de si debe o no producirse una devolución automática del dinero para, solo en un momento posterior, entrar a debatir posibles responsabilidades del cliente. El abogado del TJUE se centra específicamente en esta cuestión clave, y lo hace posicionándose del lado del consumidor.
Así, de confirmarse el criterio del abogado general, quedaría sentada una interpretación de la Directiva 2015/2366 según la cuál el banco deberá devolver el dinero al cliente de forma inmediata o, a más tardar, al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación.
De esta forma quedaría mucho más claro que la devolución no puede depender de la valoración subjetiva del banco acerca de la posible negligencia del cliente.
Por otro lado, el abogado general y el Tribunal Supremo coinciden al entender que debe ser el banco quien demuestre que el cliente actuó de forma negligente o deliberada. Esto significa que la carga de la prueba recae en el banco, y no en el cliente.
Qué hacer en caso de estafa por phishing
Cada sentencia y texto legal en materia de phishing supone un paso más en la defensa de los derechos del consumidor en plena era digital y en un contexto cada vez más complejo. Cada vez se pone más de relieve la responsabilidad activa de las entidades financieras, en su condición de proveedores especializados de servicios de pago, lo que implica no solo la puesta a disposición de herramientas de seguridad, sino también la implementación de mecanismos eficaces para la prevención y detección de operaciones inusuales o sospechosas.
Los fraudes digitales, en especial el phishing, se han consolidado como una de las principales amenazas en el ámbito de la banca online y el comercio electrónico. Ante este panorama, se exige una mayor concienciación por parte de los usuarios, pero también una actuación diligente por parte de los bancos. No basta con imponer la carga de la vigilancia al consumidor.
Sin embargo, es sumamente importante actuar con rapidez y diligencia ante cualquier indicio de fraude. Si sospechas que se ha realizado una operación sin tu autorización, es fundamental que tomes medidas inmediatas para proteger tus datos y tu patrimonio.
- Cambia todas tus contraseñas, especialmente las relacionadas con tus cuentas bancarias, correos electrónicos y servicios digitales vinculados a tus datos personales o financieros.
- Contacta de inmediato con tu entidad bancaria para informar de la operación sospechosa.
- Presenta una denuncia formal ante las autoridades competentes, aportando toda la información y documentación de la que dispongas.
- Es recomendable ponerte en manos de un abogado especializado en este tipo de situaciones. Un profesional con experiencia te orientará sobre los pasos legales que debes seguir, velará por tus derechos y te acompañará durante todo el proceso para garantizar que se actúe con todas las garantías jurídicas.