Introducción y contexto del problema
El fraude bancario a través de técnicas como el phishing se ha convertido en una de las principales amenazas para los consumidores. Según datos del Ministerio del Interior, las estafas informáticas representan ya el 16% de toda la delincuencia en España, con un crecimiento acumulado del 490% en la última década. Este contexto evidencia la necesidad de un marco legal robusto que proteja a los usuarios de servicios de pago.
La normativa, tanto europea (Directiva PSD2) como nacional (Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera), impone a los proveedores de servicios de pago una obligación general de seguridad. No solo deben implementar las medidas reglamentarias, sino también aquellas adecuadas a las circunstancias para detectar y prevenir operaciones fraudulentas, como movimientos inusuales en las cuentas de sus clientes.
La responsabilidad cuasi objetiva de la entidad bancaria
El eje central de la protección al consumidor es el principio de responsabilidad cuasi objetiva de la entidad bancaria. Esto significa que, ante una operación de pago no autorizada, el banco debe responder y reintegrar los fondos, salvo en dos supuestos muy concretos:
- Fraude del propio usuario.
- Negligencia grave por parte del usuario en la custodia de sus credenciales.
La jurisprudencia ha consolidado la idea de que el riesgo inherente al negocio bancario digital debe ser asumido por quien se beneficia de él, es decir, la propia entidad.
La inversión de la carga de la prueba
Un pilar fundamental en estos litigios es la llamada inversión de la carga de la prueba, establecida en el Artículo 44 del Real Decreto-ley de servicios de pago y medidas urgentes en materia financiera. Si un cliente niega haber autorizado una operación, no es él quien debe demostrar el fraude, sino que será el banco quien deba acreditar:
- Que la operación fue autenticada, registrada con exactitud y contabilizada correctamente.
- Que no existió ningún fallo técnico o deficiencia en sus sistemas.
- Que el cliente incurrió en negligencia grave, no en un mero descuido.
El simple registro de la utilización de un instrumento de pago no es prueba suficiente de que la operación fue autorizada.
El concepto clave: la negligencia grave del usuario
La principal línea de defensa de las entidades es alegar la negligencia grave del cliente. Sin embargo, la jurisprudencia es clara al respecto:
- No se considera negligencia grave el mero hecho de «pinchar en un enlace» o facilitar las claves en un contexto de engaño sofisticado. A menudo, se requiere ser un experto para detectar el fraude, y la actuación del consumidor está condicionada por el engaño previo.
- Sí podría considerarse negligencia grave una conducta reiterada y manifiestamente imprudente, como ceder los datos de forma consciente, no leer los mensajes de confirmación de transferencias o ignorar advertencias claras y específicas de la entidad.
En definitiva, la negligencia debe ser «grave y grosera», y no un simple descuido.
Un cambio de paradigma: «devolver primero, discutir después»
Un punto de inflexión crucial, y reciente, podría derivarse de las conclusiones del Abogado General del TJUE en el asunto C-70/25 en sus recientes Conclusiones de 5 de Marzo de 2.026.
La tesis propuesta es contundente: la entidad financiera no puede negarse a devolver de forma inmediata el importe de una operación no autorizada alegando una supuesta negligencia grave del usuario. Surge así, ante la disconformidad del consumidor:
- Obligación de reembolso inmediato: Según el artículo 73.1 de la Directiva PSD2, el banco debe devolver el dinero, a más tardar, al final del día hábil siguiente a la notificación. La única excepción es la sospecha fundada de fraude por parte del propio cliente, comunicada a la autoridad competente.
- La negligencia se discute después: La posible negligencia grave del usuario no es una excepción a la devolución inmediata. Es una cuestión que debe discutirse en una fase posterior. Si el banco considera que el cliente fue gravemente negligente, primero debe reembolsar y, después, si lo estima oportuno, reclamarle judicialmente la asunción de la pérdida.
Si el TJUE confirma este criterio, se producirá un cambio procesal fundamental: ya no será el usuario quien deba demandar para recuperar su dinero, sino que será la entidad la que tendrá que accionar contra el cliente si quiere repercutirle la pérdida.
Aspectos prácticos de la reclamación
El proceso de reclamación se articula en dos fases: 1.Vía extrajudicial: Notificación inmediata al banco, Reclamación al Servicio de Atención al Cliente, y si la respuesta es insatisfactoria, se puede acudir al Defensor del Cliente. Finalmente, se puede iniciar un Medio Alternativo de Solución de Controversias (MASC), aunque su obligatoriedad es discutida en algunos juzgados para estos casos.
- Vía judicial: Es fundamental aportar toda la documentación posible: capturas de los SMS fraudulentos, denuncia, comunicaciones con el banco, y un histórico de movimientos para demostrar el carácter inusual de las operaciones. Las acciones legales que se pueden ejercitar son principalmente la de reintegración de cantidades del Artículo 45 del Real Decreto-ley de servicios de pago y medidas urgentes en materia financiera, la de nulidad de las operaciones y la de responsabilidad por incumplimiento contractual.
En resumen, el phishing es un peligro creciente, que afecta en proporción geométrica a muchos consumidores, y que se nutre además del “miedo” o “vergüenza” del afectado en reclamar y/o denunciar por el miedo a ser considerado “negligente” o una “autoculpa” inexistente. Debe saber, apreciado consumidor, que no está solo, y que las asociaciones de consumidores como ADICAE así como sus SSJJ están para ayudarle y asesorarle, así como si se ha visto afectado, ayudarle a recuperar su dinero, si su entidad bancaria no ha actuado de manera diligente para proteger su dinero. Confíe en profesionales.
