Saltar al contenido Saltar al pie de página
Facebook-f Linkedin-in Instagram X-twitter
Menú
Consumidores y Usuarios

Phishing y reembolso inmediato: las conclusiones que pueden cambiar las reglas del juego

HogarTodas las entradasConsumidores y UsuariosPhishing y reembolso inmediato: las...
Consumidores y Usuarios

Phishing y reembolso inmediato: las conclusiones que pueden cambiar las reglas del juego

HogarTodas las entradasConsumidores y UsuariosPhishing y reembolso inmediato: las...

Introducción

    Las conclusiones presentadas el 5 de marzo de 2026 por el Abogado General del TJUE en el asunto C-70/25 (SP/DOCT/129676) abordan una cuestión de enorme trascendencia práctica: si una entidad financiera puede negarse a devolver de forma inmediata el importe de una operación de pago no autorizada alegando que el usuario actuó con negligencia grave en un supuesto de phishing.

    La respuesta propuesta es clara: no.

    Según las conclusiones, la eventual negligencia grave del usuario no permite bloquear el reintegro inmediato. Esa cuestión solo puede discutirse después, al decidir quién debe soportar finalmente la pérdida.

    Si el TJUE confirma este criterio, el impacto puede ser muy relevante en España, tanto desde la perspectiva procesal como desde la práctica bancaria y la defensa de los usuarios de los servicios de pago, consumidores, empresas y profesionales.

    Reembolso inmediato vs responsabilidad final

      El asunto parte de un fraude por phishing sufrido por una usuaria bancaria en Polonia. Tras recibir un enlace fraudulento que reproducía primero la interfaz de una plataforma de subastas y después la del banco, facilitó sus credenciales y el defraudador ejecutó una operación no autorizada.

      La clienta comunicó el fraude al día siguiente al banco y a la policía, pero la entidad rechazó el reintegro al entender que había existido negligencia grave en la custodia de las credenciales.

      La cuestión prejudicial planteada al TJUE consiste en determinar si los artículos 73.1 y 74.1 de la Directiva (UE) 2015/2366 permiten al proveedor de servicios de pago denegar la devolución inmediata cuando la pérdida deriva de un incumplimiento gravemente negligente por parte del usuario.

      Para el Abogado General, ambos preceptos operan en planos distintos. El artículo 73.1 de la Directiva (UE) 2015/2366 regula la obligación de devolución inmediata de la operación no autorizada; el artículo 74.1 de la Directiva (UE) 2015/2366 se refiere al reparto final de responsabilidad entre proveedor y usuario, incluida la hipótesis de negligencia grave.

      La clave: devolver primero, discutir después

        Las conclusiones parten de un punto esencial: la devolución inmediata es la regla. El Abogado General recuerda que el artículo 73.1 de la Directiva (UE) 2015/2366 impone la devolución inmediata del importe de la operación no autorizada y fija, además, un plazo máximo: a más tardar, al final del día hábil siguiente.

        Y esa regla solo admite una excepción expresa: que el proveedor tenga motivos razonables para sospechar la existencia de fraude del propio usuario y comunique esos motivos por escrito a la autoridad nacional competente.

        Desde esa premisa, el Abogado General rechaza que la negligencia grave pueda funcionar como excepción autónoma al reembolso inmediato.

        Su tesis es que la negligencia grave no autoriza al banco a denegar o aplazar el reintegro inicial; lo que permite es, en una fase posterior, reclamar al usuario la asunción final de la pérdida si logra acreditarla.

        Dicho de otro modo: la entidad debe reembolsar primero y discutir después. Y si considera que el usuario incumplió deliberadamente o por negligencia grave sus obligaciones, deberá reclamarlo después, incluso judicialmente si fuera necesario.

        ¿Cuál es el efecto práctico?

          Las conclusiones recuerdan que no basta con que la entidad invoque el uso del instrumento de pago o la supuesta imprudencia del cliente: corresponde al proveedor probar el fraude o la negligencia grave del usuario.

          Esto tiene una consecuencia procesal muy importante: desplaza el peso del conflicto.

          Si prospera esta interpretación, ya no sería el usuario quien, tras sufrir el fraude, deba demandar para recuperar el dinero retenido por el banco; sería la entidad la que, después de reembolsar, tendría que accionar si pretende repercutir la pérdida sobre el cliente.

          Si el TJUE sigue la propuesta del Abogado General, el mensaje será contundente: la mera alegación de negligencia grave no bastará para retener el reembolso inmediato. Esto puede traducirse en varias consecuencias prácticas:

          1. Mayor protección efectiva del usuario: evita que el perjudicado soporte desde el inicio la pérdida y la carga de litigar para recuperar su dinero.
          2. Cambio de estrategia procesal: la negligencia grave dejaría de ser una defensa para no pagar y pasaría a convertirse en una pretensión de repetición o recuperación por parte de la entidad.
          3. Revisión de protocolos internos: los bancos tendrían que diferenciar con mayor precisión entre indicios de fraude del propio usuario —único supuesto apto para excepcionar el reembolso inmediato— y simples hipótesis de conducta negligente.
          4. Una conclusión jurídica de gran alcance

          Las conclusiones no afirman que la negligencia grave sea irrelevante ni que el usuario quede inmune frente a una conducta descuidada. Lo que sostienen es algo distinto y mucho más preciso: que la negligencia grave, si existe, no elimina por sí sola el deber de reembolso inmediato de las cantidades sustraídas al usuario.

          En ese sentido, la propuesta del Abogado General refuerza una lógica muy clara: en caso de operación no autorizada, el sistema europeo de pagos debe proteger de forma inmediata al usuario; la discusión sobre la imputación final de la pérdida viene después.

          Si esta interpretación es acogida por el TJUE, estaremos ante un criterio con capacidad real para reordenar la litigación bancaria en materia de phishing y para redefinir la práctica diaria de entidades financieras, abogados y tribunales en España.

          Phishing y fraude bancario: claves del éxito para el abogado

          Suscríbete


          Editorial Jurídica Sepín, S. L. sólo tratará sus datos para la gestión de esta solicitud y para el envío de información sobre productos y servicios a través de cualquiera de los medios de contacto facilitados. Tus datos no serán cedidos a terceros salvo obligación legal o previo consentimiento.



          Podrá acceder, rectificar, suprimir, oponerse, limitar, o portar sus datos personales dirigiéndose a Editorial Jurídica SEPIN, a la dirección postal c/ Mahón, 8 – 28290 Las Rozas (Madrid) o a la dirección de correo electrónico delegadodeprotecciondedatos@sepin.es. Igualmente, podrá ejercitar sus derechos a través de los formularios on line que ponemos a su disposición en nuestra web. Tiene derecho a presentar reclamación ante la autoridad de control. Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: www.sepin.es/informacion-legal/politica-privacidad.asp

          También te puede interesar

          El RD-Ley 4/2026 y la limitación temporal de precios en situaciones de emergencia
          febrero 16, 2026
          Novedades introducidas por la Ley 10/2025, de 26 de diciembre, por la que se regulan los servicios de atención a la clientela
          enero 14, 2026
          Garantías y servicios posventa para los consumidores
          octubre 22, 2025
          Carga de la prueba y responsabilidad en casos de phishing: el Supremo se pronuncia
          agosto 28, 2025
          Mostrar comentariosCerrar comentarios

          Deja un comentario