Sentencia del tribunal de justicia de la unión europea sobre phishing 2026

La sentencia del Tribunal Supremo que cambió las reglas del juego

Durante años, los bancos respondieron las reclamaciones por phishing con la misma frase: «la operación fue correctamente autenticada». Una respuesta que, en la práctica, cerraba la puerta a cualquier devolución y dejaba a las víctimas sin alternativa visible.

El 9 de abril de 2025, el Tribunal Supremo puso fin a esa estrategia. La Sentencia 571/2025, de la Sala de lo Civil, condenó a Ibercaja a devolver más de 56.000 euros a un cliente que había sufrido quince transferencias no autorizadas en una sola noche mediante una combinación de phishing y SIM swapping. El argumento del banco —que los sistemas habían funcionado correctamente— no fue suficiente.

Esta resolución no es una sentencia más. Los especialistas en derecho bancario la califican como un leading case: una decisión que sienta jurisprudencia y que los tribunales inferiores están obligados a seguir. Entender qué dice y por qué importa es el primer paso para saber si puedes recuperar tu dinero.

Qué estableció exactamente el Tribunal Supremo

La sentencia parte de un principio que ya estaba en la normativa europea de servicios de pago, pero que los bancos venían ignorando en la práctica: si una operación no fue autorizada por el cliente, el banco debe devolver el dinero de inmediato. Sin análisis previo, sin investigación interna, sin demoras.

La única excepción reconocida es que la entidad pueda probar negligencia grave del cliente. Y aquí está el matiz que lo cambia todo: el Supremo advierte que esa prueba no puede basarse únicamente en que el cliente introdujera sus credenciales. La filtración de claves, por sí sola, no acredita negligencia. Puede tener múltiples explicaciones que no son atribuibles al usuario.

La «deficiencia del servicio»: el concepto que los bancos no pueden esquivar

El Supremo también introduce con claridad el concepto de deficiencia del servicio. El banco no solo responde cuando se demuestra un fallo técnico evidente. Responde también cuando no actuó con la diligencia que los sistemas tecnológicos actuales permiten y exigen.

La tecnología disponible hoy hace relativamente sencillo diseñar sistemas capaces de detectar operaciones anómalas: transferencias múltiples en pocas horas, importes inhabituales, accesos desde dispositivos nuevos, patrones incompatibles con el perfil del cliente. Si el banco no implementa esos controles o los implementa pero no los activa, responde.

La jurisprudencia del TJUE: responsabilidad cuasi objetiva del banco

La Sentencia 571/2025 no surgió en el vacío. El Tribunal Supremo construyó su razonamiento sobre una línea jurisprudencial consolidada del Tribunal de Justicia de la Unión Europea (TJUE), que durante más de una década ha venido interpretando la normativa europea de servicios de pago en un sentido inequívocamente favorable al consumidor.

El hilo conductor: tres sentencias del TJUE que lo explican todo

Las tres sentencias apuntan en la misma dirección: el banco no puede limitarse a demostrar que sus sistemas funcionaron. Debe demostrar, además, que el cliente actuó de forma negligente. Y la carga de esa prueba recae sobre la entidad, no sobre la víctima.

La sentencia TJUE de agosto de 2025: el plazo para avisar al banco

El 1 de agosto de 2025, el TJUE dictó una nueva sentencia con implicaciones directas para los afectados por phishing en España. El asunto C-665/23, conocido como Veracash, abordó una cuestión que en la práctica genera muchos conflictos: ¿qué significa avisar al banco sin demora injustificada?

Qué dice la sentencia Veracash sobre el plazo de notificación

La normativa de servicios de pago establece que el cliente debe notificar al banco la operación no autorizada en cuanto la detecte, y en todo caso dentro de los trece meses desde el cargo en cuenta. El TJUE aclaró en el asunto Veracash que ese plazo de trece meses es el techo máximo, pero lo verdaderamente determinante es cuándo el cliente pudo razonablemente conocer el fraude.

Esto tiene consecuencias importantes. Si el cliente avisó tarde porque no se dio cuenta de las transferencias —algo habitual cuando los importes son pequeños o las notificaciones bancarias no llegaron—, el TJUE pone en manos del juez valorar si esa demora fue o no justificada. No hay un plazo rígido de días o semanas: hay que analizar el caso concreto.

Por qué este matiz puede ser decisivo para tu reclamación

Muchas víctimas creen que han perdido el derecho a reclamar simplemente porque pasaron semanas o meses antes de que contactaran con su banco o con un abogado. La sentencia Veracash matiza esa idea. Lo relevante no es el tiempo transcurrido en abstracto, sino si la persona actuó razonablemente en cuanto tuvo conocimiento real del fraude.

Además, el TJUE introduce otro matiz relevante: si el banco notificó de forma inadecuada al cliente sobre los movimientos sospechosos, o si las alertas no llegaron, esa circunstancia puede contar a favor de la víctima en la valoración del plazo de notificación.

El asunto C-70/25: la sentencia del TJUE que puede obligar a los bancos a devolver primero y preguntar después

El escenario jurídico que describe este artículo está a punto de dar un paso más. El 5 de marzo de 2026, el Abogado General del TJUE, Athanasios Rantos, presentó sus conclusiones en el asunto C-70/25 (Tukowiecka). La sentencia definitiva está pendiente, pero lo que ya ha dicho el Abogado General merece toda la atención de quienes han sufrido fraudes bancarios digitales.

El caso que originó el asunto C-70/25

El asunto parte de una consumidora polaca que fue víctima de phishing. Recibió un enlace que imitaba primero una plataforma de compraventa y después la página web de su propio banco. Introdujo sus credenciales. Los delincuentes accedieron a su cuenta y realizaron operaciones no autorizadas. El banco se negó a devolver el dinero alegando negligencia grave de la cliente.

La cuestión prejudicial planteada al TJUE era, en esencia, la misma que se discute en miles de reclamaciones en toda Europa: ¿puede el banco negarse a devolver el importe de una operación no autorizada si alega que el cliente actuó con negligencia grave, o debe devolver primero y discutir la negligencia después?

Qué propone el Abogado General: devolver primero, investigar después

Las conclusiones del Abogado General son contundentes. La tesis es clara: el banco no puede negarse a reembolsar de forma inmediata alegando negligencia grave del usuario. La obligación de devolver el dinero a más tardar al día hábil siguiente a la notificación es incondicional, salvo una única excepción: que el propio banco tenga motivos fundados para sospechar fraude por parte del cliente, y los comunique por escrito a la autoridad competente.

Dicho de otro modo: el banco debe devolver primero. Si cree que el cliente actuó de mala fe o con negligencia grave, puede iniciar las acciones correspondientes para recuperar ese dinero después. Pero no puede retener el reembolso mientras investiga.

¿Cuándo será firme esta sentencia y qué fuerza tiene ya?

Las conclusiones del Abogado General no son una sentencia firme. El TJUE está actualmente deliberando y el fallo se dictará en los próximos meses. Sin embargo, en la práctica, el Tribunal suele seguir el criterio del Abogado General en la gran mayoría de los casos. Los juristas especializados y los tribunales ya están atentos a este asunto.

Esto significa que, aunque la sentencia definitiva no haya llegado todavía, las conclusiones del asunto C-70/25 ya tienen un peso argumental significativo en los procedimientos actuales. Un abogado que conozca este estado del derecho puede utilizarlas como apoyo de sus argumentos frente al banco y ante el juzgado.

Qué dicen los jueces en España: una evolución real

Más allá de las grandes sentencias del Supremo y del TJUE, hay algo que los afectados necesitan saber sobre lo que ocurre en los juzgados del día a día.

Las Audiencias Provinciales llevan años fallando a favor del consumidor

Mucho antes de que el Tribunal Supremo se pronunciara, los juzgados y audiencias provinciales ya venían reconociendo el derecho de los afectados por phishing a recuperar su dinero. La STS 571/2025 no creó jurisprudencia desde cero: la consolidó y la hizo vinculante para todos los tribunales del país.

Lo que ha cambiado es que ahora los bancos tienen muchos menos argumentos para resistir una reclamación bien planteada. La respuesta automática de «la operación fue autenticada» ya no cierra el debate. El banco tiene que ir más lejos, explicar más, probar más. Y eso, en la práctica, fortalece notablemente la posición del cliente que decide reclamar.

Mayor sensibilidad judicial hacia la víctima del fraude digital

Los jueces comprenden cada vez mejor la asimetría de la relación bancaria en el entorno digital. El banco diseña el canal, impone el canal y obtiene beneficio del canal. El cliente lo usa porque no tiene alternativa real. Esa asimetría —tecnológica, informativa y económica— está pesando en las sentencias.

A eso se suma la sofisticación creciente de los fraudes. Un SMS que aparece en el mismo hilo de mensajes legítimos del banco, una llamada desde el número oficial de la entidad, una página web idéntica a la original: exigirle al ciudadano medio que detecte estos engaños en tiempo real es, sencillamente, irrazonable.

Cuánto tiempo tienes para reclamar: el plazo de cinco años

Uno de los datos que más sorprende a las víctimas de phishing cuando consultan con un abogado es el plazo disponible para reclamar. No es de días ni de semanas. En España, el plazo general de prescripción para este tipo de acciones es de cinco años desde que se produjo el fraude.

Por qué este plazo cambia la situación de muchos afectados

Hay personas que sufrieron un fraude bancario hace dos o tres años y que renunciaron a reclamar porque creyeron que ya era demasiado tarde, o porque la primera respuesta del banco los desanimó, o porque no sabían que existía una vía legal sólida. Para muchos de ellos, el plazo está abierto.

La jurisprudencia del Tribunal Supremo que hoy ampara estas reclamaciones se ha construido sobre casos cuyos hechos se remontan a varios años atrás. El hecho de que el derecho haya evolucionado favorablemente no elimina los casos anteriores: los refuerza.

«Pero yo metí mis claves»: el error más frecuente de las víctimas

Hay una idea que aparece en casi todas las consultas iniciales y que, en muchos casos, lleva a las víctimas a no reclamar: «la culpa es mía porque yo introduje mis datos».

Es comprensible. Pero es un error jurídico importante.

Introducir tus credenciales no equivale automáticamente a negligencia grave

La propia Sentencia 571/2025 del Tribunal Supremo lo dice expresamente: que un tercero haya podido acceder a las claves de banca digital no implica, por sí solo, que el cliente haya actuado con negligencia. Lo que importa es el contexto: cómo fue el engaño, qué nivel de sofisticación tenía, qué medidas de seguridad tenía el banco y qué señales ignoró la entidad.

Un fraude en el que el delincuente llama desde el número oficial del banco, usa datos reales del cliente, genera urgencia psicológica y conduce al cliente paso a paso a confirmar la operación no es lo mismo que una persona que hace clic en un enlace obvio de spam. La jurisprudencia exige analizar cada caso en su contexto concreto.

La negligencia grave: qué significa y quién debe probarla

La negligencia grave es el único escudo legal que le queda al banco para evitar el reembolso. Pero la carga de probarla recae sobre la entidad, no sobre el cliente. El banco debe explicar, con evidencias concretas, por qué la conducta del cliente fue tan descuidada como para romper el nexo causal.

En la práctica, esa prueba es mucho más difícil de lo que los bancos suelen reconocer en sus respuestas iniciales. Por eso, muchas reclamaciones que en una primera fase son rechazadas terminan prosperando cuando se plantean judicialmente con la argumentación adecuada.

Lo que exige ahora la normativa europea a los bancos

El marco regulatorio europeo no solo no favorece a los bancos, sino que cada actualización normativa endurece sus obligaciones. Algunas de las exigencias actuales y próximas más relevantes para el consumidor:

• Reembolso inmediato: obligación de devolver el dinero a más tardar al final del día hábil siguiente a la notificación del fraude.
• Verificación de beneficiario: deber de comprobar la coincidencia entre el IBAN y el nombre del destinatario antes de ejecutar una transferencia.
• Mayor responsabilidad en casos de spoofing: cuando el fraude implica suplantación de la identidad del banco, la responsabilidad de la entidad se incrementa.
• Sistemas de intercambio de información: obligación de los bancos de compartir datos sobre fraudes conocidos para prevenir operaciones sospechosas.
• Detección de patrones anómalos: el banco debe implementar sistemas capaces de identificar comportamientos incoherentes con el perfil habitual del cliente.

El principio que subyace a todas estas obligaciones es el mismo que defiende el TJUE y que ha adoptado el Tribunal Supremo: quien presta el servicio y obtiene el beneficio debe asumir el riesgo.

Qué hacer si has sido víctima de phishing bancario: los pasos correctos

Si has sufrido un fraude bancario digital, la secuencia de actuación importa. Algunos errores en las primeras horas o días pueden complicar la reclamación posterior.

1. Avisa al banco de inmediato: la notificación sin demora injustificada es un requisito legal para activar el derecho al reembolso. No esperes a entender bien lo ocurrido: avisa primero y analiza después.
2. Denuncia los hechos: interpón denuncia ante la Policía Nacional o la Guardia Civil. Es un paso necesario y además refuerza tu posición en la reclamación frente al banco.
3. Recopila toda la evidencia: conserva los SMS, correos, capturas de pantalla, extractos bancarios, registros de llamadas y cualquier comunicación relacionada con el fraude.
4. No aceptes acuerdos parciales sin asesoramiento: algunos bancos ofrecen devoluciones del 50% como solución extrajudicial. Antes de aceptar, consulta con un especialista: puede que tengas derecho al 100%.
5. Consulta con un abogado especializado: la diferencia entre una reclamación bien planteada y una mal planteada puede ser la diferencia entre recuperar el dinero y no hacerlo.

La realidad práctica: si no reclamas, el banco no paga

Con toda la jurisprudencia descrita en este artículo, podría parecer que recuperar el dinero es sencillo. No lo es, pero sí es posible cuando el caso está bien planteado.

Los bancos siguen rechazando reclamaciones de forma automática en muchos casos. Es su primera respuesta habitual, independientemente de los méritos del caso. La clave no está en esa primera respuesta: está en lo que ocurre después de ella.

He visto casos en los que los afectados tardaron cuatro años en recuperar su dinero porque tuvieron que llegar a juicio. También he visto casos resueltos en pocos meses, cuando la entidad comprendió que la posición del cliente era sólida. La diferencia, casi siempre, está en la calidad del planteamiento jurídico.

Lo que no tiene ningún sentido es no reclamar. Si la jurisprudencia está de tu lado, el plazo sigue abierto y el banco no tiene una prueba clara de negligencia grave, tienes una base real para actuar. El primer paso es saber con certeza si tu caso es uno de ellos.