Reembolsar primero, discutir después: el giro europeo en el fraude bancario
La interpretación que se perfila en el ámbito europeo refuerza una idea sencilla, pero de gran alcance: ante una operación no autorizada, el banco debe devolver el importe de forma inmediata
El phishing bancario se ha consolidado como una de las principales amenazas para los usuarios de servicios financieros. Un fraude basado en la suplantación de identidad mediante el cual el cliente facilita sus claves o autoriza operaciones creyendo interactuar con su entidad. El resultado es conocido: transferencias o pagos no consentidos que vacían cuentas corrientes.
En este contexto, la protección del consumidor bancario vuelve a situarse en el centro del debate jurídico europeo. Las recientes conclusiones del Abogado General del Tribunal de Justicia de la Unión Europea han abierto la puerta a una futura sentencia que podría cambiar el tratamiento de estas operaciones fraudulentas. Lo que está en juego es quién asume, al menos inicialmente, el coste de un fraude cada vez más sofisticado.
Durante años, la respuesta habitual de muchas entidades financieras ante un fraude ha seguido un patrón reconocible: denegar el reintegro alegando negligencia grave del cliente. Esta posición ha obligado al consumidor a recorrer un camino largo, costoso e incierto para recuperar su dinero. En la práctica, la víctima del fraude pasaba a convertirse también en parte demandante. Sin embargo, este esquema podría estar próximo a invertirse.
La interpretación que se perfila en el ámbito europeo refuerza una idea sencilla, pero de gran alcance: ante una operación no autorizada, el banco debe devolver el importe de forma inmediata, sin que la eventual negligencia del cliente pueda servir como excusa para retrasar o evitar ese reintegro. La discusión sobre la responsabilidad no desaparece, pero se desplaza ahora a un momento posterior.
El principio que emerge es claro: reembolsar primero, discutir después. Un concepto que va en línea con la evolución reciente de nuestra jurisprudencia.
El Tribunal Supremo ha consolidado una doctrina en la que la carga de la prueba recae sobre la entidad financiera, exigiendo acreditar de forma rigurosa la existencia de una negligencia grave por parte del usuario. Además, se ha insistido en que la mera utilización de credenciales válidas no equivale, por sí sola, a una autorización consciente de la operación.
La posible intervención del TJUE daría un paso más allá, no solo en términos probatorios, sino también en la lógica del sistema. Ya no se trataría únicamente de quién debe probar, sino de quién debe soportar el impacto inicial del fraude. Y esto, desde la óptica de la defensa del consumidor, resulta imprescindible.
El modelo actual genera una evidente asimetría: el cliente pierde el dinero, mientras que la entidad dispone de tiempo, recursos y capacidad técnica para analizar la operación sin asumir el perjuicio económico. Esta situación no solo agrava el daño sufrido, sino que desincentiva la reclamación en muchos casos. Invertir ese esquema implica trasladar el riesgo inicial a quien presta el servicio y obtiene un beneficio económico por ello. No se trata de una medida punitiva, sino de una consecuencia lógica del propio diseño del sistema de pagos.
Conviene recordar que las entidades financieras son responsables de los mecanismos de autenticación y de la detección del fraude, controlando la infraestructura tecnológica en la que se producen estas transacciones. Por ello, no parece razonable que el consumidor soporte en primera instancia las consecuencias de sus fallos. Esto no significa eliminar la responsabilidad del usuario. La normativa sigue contemplando supuestos de negligencia grave que pueden justificar la asunción final del perjuicio. Pero lo que se cuestiona es el uso anticipado de ese argumento como barrera para el reintegro inmediato.
Además, la realidad del phishing ha evolucionado en los últimos años y las técnicas utilizadas por los ciberdelincuentes han alcanzado un nivel de sofisticación que dificulta distinguir entre una comunicación legítima y una fraudulenta. La ingeniería social, la suplantación de identidad y el uso de canales aparentemente seguros han difuminado las fronteras tradicionales de la culpa. Por eso, centrar el debate exclusivamente en la conducta del consumidor resulta insuficiente.
La eventual sentencia del TJUE puede convertirse en un punto de inflexión. No solo reforzaría la protección inmediata del cliente, sino que también incentivaría a las entidades a adoptar medidas más eficaces de prevención. Si el coste inicial del fraude recae sobre el banco, la inversión en seguridad deja de ser una cuestión reputacional para convertirse en una prioridad económica.
Es previsible que este cambio tenga impacto en la litigación. Un sistema basado en el reintegro inmediato podría reducir significativamente el número de reclamaciones iniciadas por consumidores, trasladando el foco hacia eventuales acciones posteriores de las entidades cuando consideren acreditada la negligencia grave.
En definitiva, nos encontramos ante una posible reconfiguración del equilibrio entre banca y cliente en el entorno digital. Si la futura sentencia confirma esta línea, el mensaje será claro: en un sistema cada vez más complejo, la confianza del usuario no puede construirse sobre la asunción de riesgos que no le corresponden. Porque frente al phishing, la respuesta jurídica no puede llegar tarde.