En la última década, el fraude mediante phishing —la suplantación de la identidad de una entidad para obtener credenciales bancarias— ha dejado de ser una excepción para convertirse en un riesgo sistémico y demasiado habitual en la práctica bancaria. Ante esta realidad, surge un conflicto jurídico recurrente: ¿quién debe soportar el perjuicio económico del fraude?
La normativa vigente y la jurisprudencia más reciente son claras: la responsabilidad recae, de forma cuasiobjetiva, sobre la entidad financiera, salvo que esta logre acreditar una negligencia grave por parte del usuario.
Índice de Contenidos
El marco legal: La Ley de Servicios de Pago (LSP)
El régimen de responsabilidad en operaciones de pago no autorizadas se articula principalmente en torno al Real Decreto-ley 19/2018, de servicios de pago, que transpone la Directiva Europea (PSD2). El artículo 45 de dicha norma establece una obligación imperativa para el banco: en caso de que un usuario niegue haber autorizado una operación, el proveedor de servicios de pago deberá devolver el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a la notificación.
La inversión de la carga de la prueba
Uno de los pilares que protegen al consumidor es el artículo 44 de la LSP. Este precepto rompe la regla general de que «quien afirma, debe probar». En el ámbito del fraude digital:
- El cliente solo tiene la obligación de notificar que no ha autorizado la operación.
- La entidad bancaria tiene la carga de demostrar que la operación fue autenticada, registrada con exactitud y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.
Es fundamental subrayar que el mero registro del uso de una clave o un código SMS enviado al terminal del cliente no es prueba suficiente para demostrar que la operación fue autorizada ni que el cliente actuó de forma fraudulenta o negligente.
El concepto de «Negligencia Grave»
La entidad financiera solo puede exonerarse de su obligación de reintegro si demuestra que el usuario incurrió en una negligencia grave (Art. 46 LSP).
La jurisprudencia de nuestras Audiencias Provinciales y del Tribunal Supremo ha matizado este concepto, diferenciándolo de la negligencia simple. Para que el banco quede eximido, el descuido del cliente debe ser «grosero», «temerario» y «manifiesto». En la práctica, caer en un engaño de phishing —cada vez más sofisticado mediante el uso de ingeniería social, SMS vinculados al hilo oficial del banco o llamadas fraudulentas (vishing)— no suele calificarse como negligencia grave, ya que el usuario actúa bajo la apariencia de una comunicación legítima de su banco.
Por eso el banco debe garantizar la «Autenticación Reforzada de Cliente» (SCA), dado que si el sistema de seguridad de la entidad fue vulnerable o insuficiente para detectar el fraude, la responsabilidad es íntegramente suya.
Y aquí entramos también dentro de lo que se denomina la teoría del riesgo profesional. Dado que la entidad bancaria es quien diseña, implementa y se beneficia de la digitalización de los servicios de pago, es ella quien debe asumir los riesgos de seguridad inherentes a dicho sistema. El usuario no tiene la capacidad técnica para auditar la seguridad de la banca electrónica; por tanto, no se le puede trasladar la pérdida financiera derivada de las brechas de seguridad.
Y en definitiva, ¿el banco debe reintegrar el dinero?
Sí, el reintegro del dinero sustraído por phishing no es una concesión comercial del banco, sino una obligación legal de ejecución inmediata. Mientras la entidad no acredite de modo fehaciente ante un tribunal la negligencia grave del cliente, el saldo debe ser repuesto en la cuenta del perjudicado.
Sin embargo, lo más habitual es que la entidad se niegue a devolver los fondos tras un fraude, incurriendo en un incumplimiento contractual que puede y debe ser reclamado judicialmente por el cliente.
En una de las interpretaciones más ambiciosas de la Directiva de Servicios de Pago (PSD2) hasta la fecha, el Abogado General del TJUE, Athanasios Rantos, ha clarificado el alcance del “reembolso inmediato». En sus conclusiones presentadas en marzo de 2026 (Asunto Tukowiecka), establece una doctrina que puede cambiar las reglas del juego para la banca, dado que sostiene que el banco no tiene potestad para denegar el reembolso inmediato simplemente porque sospeche que el cliente fue negligente. La «negligencia grave» no es una excusa para no devolver el dinero inicialmente. Si el banco cree que el cliente fue negligente, debe devolver primero el dinero y, posteriormente, demandar al cliente o reclamar legalmente ese importe aportando las pruebas necesarias.
Si el TJUE confirma esta interpretación en su futura sentencia (lo que ocurre en el 80% de los casos), las entidades financieras ya no podrán retener el dinero de las víctimas de phishing durante meses mientras «analizan el expediente», obligando a los clientes a demandar judicialmente para recuperar su dinero.
