Click here - to use the wp menu builder

Buscador de abogados

Top 5 esta semana

Post relacionados

Reclamar una devolución inmediata por phishing al banco: ¿Es posible?

Autor: Luis Ogando

10 marzo 26

8 minutos delectura

Es posible solicitar una devolución inmediata por phishing de acuerdo a la directiva PSD2

Índice de contenidos

El Abogado General del TJUE ha concluido que los consumidores tienen derecho a reclamar una devolución inmediata por phishing al banco, aunque luego la entidad pueda probar que cometieron una negligencia grave

Diariamente los ciudadanos y las empresas sufren múltiples clases de ciberestafas. En no pocas ocasiones los ciberdelincuentes se salen con la suya y logran que las víctimas realicen pagos indebidos sin darse cuenta o son, incluso, capaces de acceder a sus cuentas y realizar transferencias y pagos fraudulentos.

Hace menos de un año, el Tribunal Supremo dictó una sentencia que abrió la puerta a que una víctima pueda recuperar el dinero de una estafa online, salvo que el banco sea capaz de demostrar que actuó de forma fraudulenta o gravemente negligente.

Pues bien, en las próximas semanas se prevé que el Tribunal de Justicia de la Unión Europea emita una sentencia que refuerce el derecho a reclamar una devolución inmediata por phishing al banco. ¿Por qué? El Abogado General del TJUE, Athanasios Rantos, ya hizo públicas sus conclusiones sobre un asunto (C-70/25) que llegó hasta este tribunal. Aunque la sentencia del Tribunal de Luxemburgo no tiene que ser igual a las conclusiones del Abogado General, suelen ser coincidentes.

A continuación, te vamos a explicar lo que debes saber sobre el derecho de reclamar una devolución inmediata por phishing y la obligación de un banco de realizarla.

Por qué se puede reclamar una devolución inmediata por phishing

¿Cómo llegó esta cuestión hasta el TJUE? El origen está en un conflicto entre una clienta polaca que facilitó sus credenciales de acceso a su cuenta bancaria tras ser engañada por un ciberdelincuente. La mujer creía estar introduciendo sus claves en una página de login legítima de su banco, pero la página era falsa. Al día siguiente, llamó a su banco para informar de la operación fraudulenta y solicitar una devolución inmediata por phishing. Pero el banco se negó a devolverle el importe defraudado alegando que había incurrido en un comportamiento gravemente negligente al facilitar sus datos bancarios.

El tribunal polaco que estudia el caso se dirigió al TJUE para que aclarase si existe el derecho a reclamar una devolución inmediata por phishing al banco de acuerdo a lo establecido en la Directiva UE sobre servicios de pago en el mercado interior (directiva PSD2).

Pues bien, según el Abogado General, efectivamente se puede reclamar una devolución inmediata por phishing al banco. Puesto que el artículo 73 de la directiva establece que los estados deben garantizar que si se ejecuta una operación de pago no autorizada, como ocurre en los fraudes digitales, «el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación».

De acuerdo a este precepto, Rantos considera que el derecho de la Unión obliga al banco a realizar una devolución inmediata por phishing.

Solo se puede eludir la devolución del importe de la operación no autorizada cuando el banco «tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente».

En los demás casos, es posible reclamar una devolución inmediata por phishing y el banco debe realizarla en el plazo de un día. De tal manera que se restituya la cuenta bancaria al estado que estaría si no se hubiera realizado la operación no autorizada.

Cuéntanos tu caso

La devolución inmediata por phishing no tiene por qué ser definitiva

Eso sí, es importante aclarar que la devolución inmediata por phishing no tiene carácter definitivo. El Abogado General señala que un banco puede recuperar el dinero devuelto tras un fraude digital si es capaz de probar que el cliente incumplió las obligaciones en relación con los instrumentos de pago y las credenciales de seguridad fijadas en el artículo 69 de la directiva. ¿De qué obligaciones hablamos?

Utilizar el instrumento de pago de conformidad con las condiciones que regulen su emisión y empleo. Lo que implica, especialmente, implementar medidas razonables «a fin de proteger sus credenciales de seguridad personalizadas del instrumento de pago».
Notificar al banco sin demora indebida en caso de extravío, robo, apropiación indebida del instrumento de pago o utilización no autorizada.

Esto es así porque el artículo 74 de la directiva fija que las pérdidas derivadas de una operación de pago no autorizada correrán a cargo del cliente si:

Actuó de manera fraudulenta.
Incumplió deliberadamente o por negligencia grave las obligaciones que venimos de señalar.

El caso es que, como demuestra la jurisprudencia del Tribunal Supremo (sentencia 571/2025), los jueces europeos consideran que existe una responsabilidad cuasiobjetiva de los bancos en lo relativo a los fraudes. De tal forma que son extremadamente rigurosos a la hora de apreciar la negligencia grave en el comportamiento de los consumidores, lo que refuerza su protección.

Los bancos están obligados a realizar una devolución inmediata por phishing a los clientes que sufren estafas online

Debe ser el banco el que reclame la restitución del dinero sustraído si existe una actuación fraudulenta o gravemente negligente del cliente

Uno de los aspectos más novedosos de las conclusiones del Abogado General del TJUE es que considera que si el banco puede demostrar que el cliente actuó incumplió sus obligaciones de forma deliberada o por negligencia grave puede pedirle que soporte las pérdidas ocasionadas por el fraude. Y, si el cliente se opone a restituirle al banco el importe de las operaciones fraudulentas, debe ser la entidad financiera la que interponga un recurso ante la justicia para solicitar la restitución del importe sustraído.

Es decir, estamos ante un notable cambio de paradigma. Hasta ahora, eran los consumidores los que presentaban acciones judiciales contra las entidades financieras para reclamar un fraude bancario o exigir una indemnización por phishing. Sin embargo, el Abogado General del TJUE considera que:

Se tiene que realizar una devolución inmediata por phishing, salvo que exista la sospecha fundada de que el cliente está actuando de forma fraudulenta.
Debe ser el banco el que reclame al cliente el importe de una operación no autorizada y, para ello, debe ser capaz de probar la negligencia grave del cliente.

¿Cuál será el impacto de la doctrina del TJUE sobre el derecho a una devolución inmediata por phishing?

Como ya señalamos antes, estas conclusiones del Abogado General del TJUE no fijan la doctrina del tribunal y, por lo tanto, hay que esperar a la sentencia sobre este caso. Sin embargo, sí nos muestran claramente por donde irá la sentencia.

Estamos ante un asunto de gran relevancia que puede cambiar por completo la forma en que se gestionan los fraudes bancarios. ¿Por qué? Hasta el momento:

Los bancos ponían trabas para realizar una devolución inmediata por phishing.
Los clientes se veían obligados a buscar un abogado en un fraude bancario, reclamar extrajudicialmente a los bancos y, después, acudir a la Justicia, con el coste de tiempo, esfuerzo y dinero que ello conlleva.

En cambio, si la sentencia del TJUE reafirma las conclusiones del Abogado General, en el futuro próximo:

Se podrá reclamar una devolución inmediata por phishing al notificar la realización de un pago no autorizado.
El banco deberá efectuar la devolución del importe sustraído de manera inmediata, salvo que detecte que el cliente está cometiendo un fraude.
Tendrá que ser el banco el que reclame al cliente que le restituya el importe sustraído en un fraude digital y, además, deberá probar que este incurrió en una negligencia grave.

Asimismo, es importante tener en cuenta que la Unión Europea ya está trabajando en la aprobación de la directiva PSD3, que sustituirá a la actual y que incrementa aún más el nivel de protección de los ciudadanos y las empresas europeas frente a los fraudes digitales.

En definitiva, la Unión Europea tanto en el plano legislativo como en el judicial está dando pasos para garantizar que un consumidor puede conseguir una devolución inmediata por phishing o cualquier otro tipo de ciberestafa y que los bancos no pueden poner trabas a estas devoluciones y, en cambio, deben reforzar sus mecanismos de seguridad para evitar la realización de operaciones no autorizadas.

Contacta con nosotros

Fuentes jurídicas

Asunto C-70/25 [Tukowiecka]. Conclusiones del Abogado General Athanasios Rantos, presentadas el 5 de marzo de 2026.
Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE.
Sala de lo Civil del Tribunal Supremo. Sentencia 571/2025 del 9 de abril de 2025. STS 1671/2025 – ECLI:ES:TS:2025:1671.

Artículo anterior

El incumplimiento del contrato de arras tiene consecuencias diferentes en función de la tipología de las arras

Incumplimiento del contrato de arras: ¿Qué se puede hacer?

Artículo siguiente

Una ausencia por ir al veterinario no tiene por qué ser sancionable si está justificada

Ausencia por ir al veterinario. ¿Es sancionable?

Soy periodista y Doctor en Comunicación e Industrias Creativas. En la actualidad, estudio el Grado de Derecho. En Lex Hoy desentraño las claves de las novedades legales y jurisprudenciales para ayudar a personas y ciudadanos a defender sus derechos.

Artículos populares