Confirmado por el Abogado General del TJUE: los bancos deben devolver automáticamente el dinero estafado a las víctimas de ciberestafas
El Tribunal de Justicia de la Unión Europea está a punto de resolver un caso sobre un polaco que fue estafado por un ciberdelincuente y cuyo banco se negó a restituir el dinero robado.
Sus opiniones no son vinculantes, pero sí sirven para intuir cómo serán las futuras sentencias del Tribunal de Justicia de la Unión Europea (TJUE). Los bancos deben devolver automáticamente el dinero estafado a las víctimas de ciberdelincuentes. Un balón de oxígeno en un momento en el que los ataques con phishing son más sofisticados que nunca y suplantan incluso al Gobierno.
Eso sí, luego será el banco el que tendrá que demostrar si el usuario fue o no fue negligente para reclamarle que se haga cargo de su pérdida o no. En un mundo en el que las técnicas para engañar y estafar a las personas en internet no paran de crecer, la línea entre negligencia o no cada día es más difusa.
Esas son las conclusiones del Abogado General del TJUE, Athanasios Rantos. El máximo tribunal comunitario dirime estos días el caso C-70/2025, que surge después de que un juzgado polaco elevara la siguiente cuestión: ¿está obligado el banco a devolver inmediatamente el importe de una operación no autorizada, aunque considere que el cliente ha infringido una negligencia grave?
La respuesta del Abogado General es que sí, sin dudas. Eso sí, dicha devolución no será definitiva. "En un segundo momento, si el banco demuestra que el cliente ha incumplido deliberadamente o por negligencia grave algunas de las obligaciones relativas a preservar sus contraseñas, puede pedirle que soporte las correspondientes pérdidas".
En otras palabras: si queda demostrado que la víctima de una ciberestafa no guardó el suficiente celo a la hora de no divulgar sus credenciales bancarias, no recibirá el dinero de vuelta.
Cómo empezó este caso
El caso que dirime el TJUE comenzó en Polonia. El cliente de un banco fue víctima de un fraude por phishing. Un atacante se hizo pasar por un vendedor en una plataforma de artículos de segunda mano y le mandó a este ciudadano polaco un enlace fraudulento que reproducía una página del banco. La víctima pensó que era la web oficial de su banco e introdujo su contraseña, pero detrás de ella estaba el ciberdelincuente.
Cuando el criminal obtuvo sus claves, utilizó el dinero de la víctima para hacer una compra no autorizada. Cuando el usuario del banco se dio cuenta, se lo comunicó a la entidad. Pero en ese momento el banco se negó a devolverle el importe de esa compra pues consideraba que el cliente había sido negligente divulgando sus contraseñas.
El cliente bancario en cuestión acudió a los juzgados polacos, que ya instruyen el caso, y estos a su vez lo han elevado al TJUE. Siempre que el TJUE instruye un caso, días o semanas antes de conocerse la sentencia se conoce la opinión del Abogado General, que sirve para guiar las directrices que seguirá el juzgado comunitario, si bien sus conclusiones no son vinculantes.
Será el TJUE entonces el que tendrá que corroborar el fallo en sus términos y los juzgados polacos los que deberán acatarlos. Eso sí, el TJUE sienta precedente: los juzgados de los Veintisiete están obligados a conocer este tipo de casos para resolverlos en el mismo sentido. El Abogado General Rantos apunta a que el banco debe devolver automáticamente el dinero gracias a la legislación europea que protege a los consumidores.
Será entonces el banco el que tendrá que demostrar a posteriori que no tiene por qué perder ese dinero que habría perdido el cliente, pero en primer lugar debe acatar y efectuar la devolución, según el planteamiento del Abogado General del TJUE.
Las primeras reacciones en España
Las conclusiones del Abogado General han tenido respuesta por parte de la Organización de Consumidores y Usuarios. La OCU ha recordado que la normativa europea de servicios de pago ya establece que "en operaciones bancarias realizadas por terceros y no autorizadas" el banco está "obligado a reembolsar al cliente el importe sustraído" de manera "inmediata".
"Solo existe una excepción: que el banco sospeche que en realidad el fraude lo esté cometiendo el propio usuario. Pero incluso en ese caso la entidad debe comunicarlo por escrito al Banco de España aportando las razones que justifican esa sospecha". ¿Qué sucede? Según cuenta la OCU, que "en práctica muchos consumidores se encuentran una respuesta muy distinta".
"Numerosas entidades deniegan el reembolso alegando, de manera genérica y sin aportar pruebas concretas, que el usuario ha actuado de forma negligente". "Este argumento se ha convertido en una fórmula recurrente para evitar asumir la devolución y desplaza así la responsabilidad al consumidor".
La OCU también denuncia que la vía de reclamación "tampoco está exenta de obstáculos". "Cuando el departamento de atención al cliente del banco rechaza la reclamación es habitual que los consumidores acudan al Banco de España, pero el propio organismo supervisor reconoce que determinar si hay o no negligencia grave excede sus competencias", lamenta la organización.
"Este escenario podría cambiar gracias a este avance jurídico". "El Abogado General del TJUE concluye que el reembolso es prioritario. Sus conclusiones no son vinculantes y habrá que esperar a la sentencia del TJUE, pero el pronunciamiento supone un avance muy relevante para los derechos financieros de los consumidores".
