El banco debe reembolsar de inmediato en casos de phishing aunque sospeche negligencia grave: conclusiones del Abogado General del TJUE
El asunto C-70/25: de qué trata el informe y por qué importa
Las conclusiones del Abogado General Athanasios Rantos, presentadas el 5 de marzo de 2026 en el asunto C-70/25, Tukowiecka, abordan una de las cuestiones más delicadas del régimen europeo de servicios de pago: si una entidad puede negar el reembolso inmediato de una operación no autorizada cuando sospecha que el ordenante incurrió en negligencia grave, en particular en supuestos de phishing. El interés práctico del informe afecta de lleno a la litigación bancaria, a la distribución de la carga del riesgo y al equilibrio entre protección del consumidor y seguridad del sistema de pagos.
Los hechos: una víctima de phishing y un banco que se niega a devolver el dinero
El litigio parte de un supuesto ya clásico. La clienta de una entidad bancaria fue víctima de phishing tras poner a la venta un bien en una plataforma de subastas. Los defraudadores lograron obtener sus datos de acceso para a continuación conseguir una operación no consentida y, además, formalizar un préstamo. Cuando la afectada comunicó la incidencia, la entidad se negó a devolver el importe de la operación, sosteniendo que había existido negligencia grave de la usuaria en la custodia de sus credenciales. El órgano jurisdiccional remitente pregunta, en esencia, si los artículos 73, apartado 1, y 74, apartado 1, de la Directiva (UE) 2015/2366 permiten denegar desde un inicio el reembolso inmediato por ese motivo.
La respuesta del Abogado General: primero reembolso, después valoración de la conducta
La respuesta propuesta por el Abogado General es contraria al banco. A su juicio, la Directiva se opone a que el proveedor de servicios de pago deniegue al ordenante la devolución inmediata del importe de una operación no autorizada por el mero hecho de que este haya podido incurrir en negligencia grave en el cumplimiento de las obligaciones del artículo 69. Dicho de otro modo, la sospecha, incluso fundada, de negligencia grave no habilita a la entidad para retener de entrada el reembolso.
El razonamiento descansa en una lectura sistemática de los artículos 73 y 74 de la Directiva PSD2. El artículo 73 regula la obligación de devolución inmediata por parte del proveedor en caso de operación no autorizada.
Artículo 73. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas
1. Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Velarán asimismo por que la fecha de valor del abono en la cuenta de pago del ordenante no sea posterior a la fecha de adeudo del importe.
El artículo 74, por su parte, delimita las pérdidas que puede soportar el ordenante, incluida la hipótesis de actuación fraudulenta o incumplimiento deliberado o gravemente negligente de las obligaciones vinculadas al instrumento de pago y a las credenciales de seguridad.
Artículo 74. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas
1. No obstante lo dispuesto en el artículo 73, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 EUR, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o robado o de la apropiación indebida de un instrumento de pago.
El párrafo primero no se aplicará si:
a) al ordenante no le resultaba posible detectar la pérdida, el robo o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debe a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
Artículos 73 y 74 de la PSD2: dos momentos distintos, dos planos distintos
Para el Abogado General, ambos preceptos no operan en el mismo plano temporal ni funcional. El primero impone una reacción inmediata de restitución. El segundo actúa en un momento posterior, como fundamento eventual de la atribución definitiva del perjuicio al usuario.
Esta distinción es, probablemente, el núcleo doctrinal más valioso del informe. Las normas sobre reembolso no autorizado no permiten, según las conclusiones, fusionar en un solo acto la apreciación provisional de la inexistencia de autorización y el juicio definitivo sobre quién debe cargar con la pérdida. La entidad debe primero reembolsar y solo después, si acredita los presupuestos del artículo 74, podrá reclamar o imputar al usuario las pérdidas correspondientes. La solución evita que el mecanismo de protección diseñado por la Directiva quede neutralizado por valoraciones unilaterales de la entidad sobre la conducta del cliente.
El núcleo doctrinal: no se puede fusionar restitución y atribución del riesgo en un solo acto
El informe también subraya que la carga de la prueba no puede desplazarse indebidamente al usuario. La mera demostración de que la operación fue autenticada, correctamente registrada y no afectada por una avería técnica no basta por sí sola para acreditar que fue autorizada ni que hubo fraude o negligencia grave del ordenante. Esa precisión, que conecta con el artículo 72 de la Directiva, es especialmente significativa en litigios de fraude bancario, donde con frecuencia la defensa de la entidad pivota sobre registros internos, trazabilidad técnica y uso formalmente correcto de credenciales.
La carga de la prueba: autenticación técnica no equivale a autorización del usuari
Desde una perspectiva de política jurídica, el Abogado General advierte además de los riesgos de admitir una facultad empresarial de suspensión del reembolso basada en simples sospechas. Si el proveedor pudiera negar el abono inmediato alegando indicios de negligencia grave, el estándar de protección del usuario se debilitaría de forma sustancial y el sistema abriría la puerta a prácticas dispares entre Estados miembros y operadores. La armonización perseguida por la PSD2 quedaría resentida, y con ella la confianza en los servicios de pago.
Conclusión: qué aportan estas conclusiones a la litigación bancaria
En suma, el informe ofrece una interpretación garantista de la PSD2 y, al mismo tiempo, coherente con su arquitectura normativa. No exonera al usuario gravemente negligente, pero impide que la entidad convierta esa eventual negligencia en una excepción previa al reembolso inmediato no prevista por la Directiva. Para los operadores jurídicos, la aportación es precisa: en materia de phishing, la restitución inmediata no resuelve la atribución final del riesgo, pero tampoco puede quedar subordinada a una apreciación preliminar del banco. Ahí reside, precisamente, la relevancia de estas conclusiones
