Vanesa Fernández Escudero, Abogada
Phishing y reembolso inmediato: las conclusiones que pueden cambiar las reglas del juego
Las conclusiones presentadas el 5 de marzo de 2026 por el Abogado General del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-70/25 abordan una cuestión de enorme trascendencia práctica: si una entidad financiera puede negarse a devolver de forma inmediata el importe de una operación de pago no autorizada alegando que el usuario actuó con negligencia grave en un supuesto de phishing.
La respuesta propuesta es clara: no.
Según las conclusiones, la eventual negligencia grave del usuario no permite bloquear el reintegro inmediato. Esa cuestión solo puede discutirse después, al decidir quién debe soportar finalmente la pérdida.
Si el TJUE confirma este criterio, el impacto puede ser muy relevante en España, tanto desde la perspectiva procesal como desde la práctica bancaria y la defensa de los usuarios de los servicios de pago, consumidores, empresas y profesionales.
Reembolso inmediato vs responsabilidad final
El asunto parte de un fraude por phishing sufrido por una usuaria bancaria en Polonia. Tras recibir un enlace fraudulento que reproducía primero la interfaz de una plataforma de subastas y después la del banco, facilitó sus credenciales y el defraudador ejecutó una operación no autorizada.
La clienta comunicó el fraude al día siguiente al banco y a la policía, pero la entidad rechazó el reintegro al entender que había existido negligencia grave en la custodia de las credenciales.
La cuestión prejudicial planteada consiste en determinar si los artículos 73.1 y 74.1 de la Directiva (UE) 2015/2366 permiten al proveedor de servicios de pago denegar la devolución inmediata cuando la pérdida deriva de un incumplimiento gravemente negligente por parte del usuario.
Para el Abogado General, ambos preceptos operan en planos distintos. El artículo 73.1 regula la obligación de devolución inmediata; el artículo 74.1 se refiere al reparto final de responsabilidad entre proveedor y usuario, incluida la hipótesis de negligencia grave.
La clave: devolver primero, discutir después
Las conclusiones parten de un punto esencial: la devolución inmediata es la regla.
El Abogado General recuerda que el artículo 73.1 impone la devolución inmediata del importe de la operación no autorizada y fija, además, un plazo máximo: a más tardar, al final del día hábil siguiente.
Y esa regla solo admite una excepción expresa: que el proveedor tenga motivos razonables para sospechar la existencia de fraude del propio usuario y comunique esos motivos por escrito a la autoridad nacional competente.
Desde esa premisa, el Abogado General rechaza que la negligencia grave pueda funcionar como excepción autónoma al reembolso inmediato.
Su tesis es que la negligencia grave no autoriza al banco a denegar o aplazar el reintegro inicial; lo que permite es, en una fase posterior, reclamar al usuario la asunción final de la pérdida si logra acreditarla.
Dicho de otro modo: la entidad debe reembolsar primero y discutir después.
¿Cuál es el efecto práctico?
Las conclusiones recuerdan que no basta con que la entidad invoque el uso del instrumento de pago o la supuesta imprudencia del cliente: corresponde al proveedor probar el fraude o la negligencia grave del usuario.
Esto tiene una consecuencia procesal muy importante: desplaza el peso del conflicto.
Si prospera esta interpretación, ya no sería el usuario quien, tras sufrir el fraude, deba demandar para recuperar el dinero retenido por el banco; sería la entidad la que, después de reembolsar, tendría que accionar si pretende repercutir la pérdida sobre el cliente.
- Mayor protección efectiva del usuario: evita que el perjudicado soporte desde el inicio la pérdida y la carga de litigar.
- Cambio de estrategia procesal: la negligencia grave deja de ser una defensa para no pagar y pasa a ser una acción de repetición.
- Revisión de protocolos internos: los bancos deberán diferenciar mejor entre fraude del usuario y negligencia.
Una conclusión jurídica de gran alcance
Las conclusiones no afirman que la negligencia grave sea irrelevante ni que el usuario quede inmune frente a una conducta descuidada.
Lo que sostienen es algo más preciso: que la negligencia grave, si existe, no elimina por sí sola el deber de reembolso inmediato.
En ese sentido, la propuesta refuerza una lógica clara: en caso de operación no autorizada, el sistema europeo de pagos debe proteger de forma inmediata al usuario; la discusión sobre la imputación final de la pérdida viene después.
Si esta interpretación es acogida por el TJUE, estaremos ante un criterio con capacidad real para reordenar la litigación bancaria en materia de phishing y redefinir la práctica diaria de entidades financieras, abogados y tribunales en España.
