Nueva sentencia del TJUE sobre fraudes digitales y Phishing en 2025: qué cambia para reclamar al banco

El Tribunal de Justicia de la Unión Europea (TJUE) ha fijado un criterio clave sobre pagos no autorizados por fraudes digitales (phishing, smishing, clonación de tarjeta, robo de credenciales). Reconoce el derecho del cliente a recuperar su dinero, pero subraya un punto decisivo: hay que avisar al banco sin tardanza injustificada desde que se detecta el fraude. Si notificas tarde, puedes perder el reembolso de las operaciones que podrían haberse evitado con un aviso diligente. Curia Europea+1

Soy Miguel Ángel Marqués, abogado especializado en fraudes bancarios y casos de phishing. He logrado que diferentes entidades devuelvan el dinero a clientes estafados.

Trabajo a nivel nacional, he conseguido sentencias pioneras en la materia y asesoro a víctimas de estafas en todo el país.

Consulta tu caso

Resumen de la nueva sentencia que dictó en septiembre el tribunal de justicia del Unión Europea sobre casos de Phising

Sí hay derecho al reembolso en operaciones no autorizadas, salvo dolo o negligencia grave del usuario. Curia Europea
Avisar “sin tardanza injustificada” es ahora determinante: notificar tarde puede dejar sin devolución las operaciones sucesivas evitables. Iberley+1
El banco carga con la prueba: debe acreditar que la tardanza fue deliberada o con negligencia grave. Iberley
En España, además, el Tribunal Supremo (Sent. 571/2025) ha reforzado que la entidad debe reembolsar si no hay negligencia grave del cliente y mejorar sus sistemas antifraude. Cinco Días+1
Por ley (PSD2/RDL 19/2018), la franquicia máxima del cliente es 50 € antes de avisar (salvo negligencia grave o fraude). BOE

¿Qué ha dicho exactamente el TJUE en esta sentencia para las víctimas de fraudes bancarios?

El TJUE (asunto C-665/23, Veracash, 1 de agosto de 2025) interpreta la normativa de servicios de pago y concluye que:

El usuario debe notificar sin demora injustificada las operaciones no autorizadas una vez que las conoce.
Si se retrasa con dolo o negligencia grave, pierde el derecho al reembolso de las operaciones que pudieron evitarse con un aviso a tiempo (en operaciones sucesivas).
El tope de 13 meses sigue existiendo, pero no basta con reclamar dentro de ese plazo si el aviso fue tardío sin justificación. cdeuv.es+2Iberley+2

Traducción práctica: si descubres el fraude hoy y avisas en días o semanas sin motivo, el banco puede negarse a devolverte las operaciones posteriores que se habrían parado con un aviso rápido. Para el resto, la entidad sigue obligada si no demuestra negligencia grave.

Consulta tu caso

Cómo encaja con la jurisprudencia española

Tribunal Supremo (España), Sentencia 571/2025 (9/04/2025): consolida que los bancos deben reembolsar el dinero sustraído por phishing si no hay negligencia grave del cliente y les exige sistemas eficaces de prevención y alerta de operaciones inusuales. Cinco Días
Abogacía Española ya venía destacando esta línea proconsumidor y la exigencia de diligencia a ambas partes. Abogacía

Conclusión operativa: Europa y España convergen: el banco paga, pero tú debes actuar rápido y documentar.

“Sin tardanza injustificada”: qué significa con ejemplos

No hay un número mágico de horas en la ley, pero la idea es avisar en cuanto te enteres. Ejemplos reales:

Avisas el mismo día o al siguiente → comportamiento diligente.
Tardas varios días sin razón (vacaciones, pereza, “a ver si vuelve solo”) → riesgo de perder el reembolso de operaciones posteriores.
Estabas hospitalizado, fuera de cobertura o te faltaba acceso → el retraso podría estar justificado.

En todo caso, llama al banco ya y deja rastro escrito. El banco tiene que probar que tu tardanza fue dolosa o gravemente negligente si quiere negarte el reembolso. Iberley

¿Quién paga en caso de estafa digital?

Antes de notificar: tu responsabilidad está limitada a 50 € si hubo uso fraudulento de tu instrumento de pago, salvo negligencia grave o fraude tuyos. BOE
Después de notificar: no respondes de nuevas operaciones no autorizadas.
Operaciones sucesivas: si notificas tarde con negligencia grave/dolo, puedes perder el derecho solo respecto de las que pudieron evitarse tras el momento en que debiste avisar. Iberley

Qué hacer si te acaban de estafar

Bloquea tarjetas y banca online por teléfono/app inmediatamente.
Denuncia en Policía/Guardia Civil y guarda justificante.
Notifica al banco por escrito (email/app/oficina) ya.
Conserva pruebas: SMS, emails, capturas, URLs, justificantes, extractos.
Pide ayuda legal especializada para forzar plazos y rebatir las negativas estándar.

El TJUE avala tu derecho, pero tu rapidez y tu dossier de pruebas son la diferencia entre recuperar el dinero o regalarle tiempo al banco. cdeuv.es

Consulta tu caso

Modelo de aviso inmediato al banco si te han estafado

Asunto: Comunicación de operaciones no autorizadas y solicitud de reembolso
Texto:

A la atención de [Banco]:

Comunico sin tardanza la detección hoy [fecha y hora] de operaciones no autorizadas en mi cuenta [número IBAN].

Detalle de operaciones: [importe, fecha, hora, destino].

Solicito el bloqueo inmediato de instrumentos afectados y la rectificación/reembolso conforme al RDL 19/2018 y a la reciente sentencia del TJUE (C-665/23) sobre pagos no autorizados, recordando que la carga de la prueba sobre la tardanza negligente recae en la entidad.

Adjunto denuncia y pruebas (SMS, correos, capturas y extractos).

Quedo a la espera de respuesta en 15 días hábiles (plazo de PSD2/RDL 19/2018 para reclamaciones).

Atentamente,
[Nombre, DNI, teléfono, email]
(mantén copia y acuse de recibo)

(El plazo de respuesta de reclamaciones de servicios de pago se ha reducido legalmente a 15 días hábiles; ver normativa PSD2/RDL 19/2018). fundacionmicrofinanzasbbva.org

Consulta tu caso

Errores que te pueden costar el reembolso

Esperar “a ver si es un error temporal” en lugar de avisar ya.
Borrar SMS/emails o no guardar capturas.
No denunciar o hacerlo días después sin causa.
Responder enlaces o llamadas de supuesta “cuenta segura” (timo recurrente).

Tendencia 2025: más fraude, más litigios… y más victorias del consumidor bien asesorado

Los fraudes digitales crecen y se perfeccionan (clonado de webs bancarias, llamadas que suplantan números oficiales, robo de datos). El TJUE endurece la exigencia de diligencia del cliente (aviso inmediato), pero no libera a los bancos: siguen obligados a reembolsar si no prueban negligencia grave y a mejorar sus sistemas. En España, la última jurisprudencia del Supremo refuerza esta protección. Resultado: si actúas rápido y con asesoramiento, tus probabilidades de recuperar el dinero son altas. Curia Europea+1

¿Te han estafado por SMS, llamada o web falsa? Te ayudo a recuperar tu dinero

Soy Miguel Ángel Marqués, abogado especializado en fraudes bancarios desde hace más de 25 años.

Análisis gratuito de tu caso.
Trabajo a éxito: si no recuperamos, no pagas honorarios.
Presento tu reclamación, recurro ante el Banco de España y, si hace falta, demando.

👉 Cuéntame tu caso ahora y empezamos hoy mismo.

Consulta tu caso

Preguntas clave tras la sentencia

¿Dispongo de 13 meses para reclamar?

Sí. Ese es el plazo máximo legal. Sin embargo, si detectaste el fraude y tardaste en avisar sin motivo justificado, el banco puede negarse a devolver aquellas operaciones que se habrían evitado con una comunicación rápida.

¿Qué significa “negligencia grave”?

Se refiere a conductas de descuido extremo, como dar tus claves o códigos de seguridad a un tercero, o anotar el PIN en la tarjeta. El banco está obligado a demostrar que existió esa negligencia. Si no lo acredita, debe reembolsar el dinero.

¿Qué ocurre si hubo varias operaciones en días distintos?

La devolución no funciona como “todo o nada”. El banco tendría que reintegrar al menos aquellas operaciones que podrían haberse evitado si hubieras avisado con rapidez.

¿Puede el banco culpar siempre al cliente?

No. El Tribunal Supremo ha dejado claro que las entidades deben reforzar sus sistemas de seguridad, detectar operaciones sospechosas y reembolsar el dinero, salvo que se demuestre una negligencia grave por parte del usuario.

¿Cuál es mi responsabilidad antes de avisar al banco?

Como norma general, la ley establece que el cliente asume un máximo de 50 € hasta el momento en que comunica el fraude, salvo en casos de negligencia grave o fraude intencionado.

Fuentes clave y base legal (selección)

CJEU / CURIA (asunto C-665/23, Veracash): notificación sin tardanza injustificada; operaciones sucesivas; pérdida parcial del derecho y carga de la prueba. Curia Europea+1
Análisis jurídicos y resúmenes (Iberley; Noticias Jurídicas; Abogacía): contexto y alcance práctico del fallo. Iberley+2Noticias Jurídicas+2
Tribunal Supremo 571/2025 (España): responsabilidad del banco y refuerzo de controles. Cinco Días
RDL 19/2018 (PSD2 en España): franquicia de 50 € antes de la notificación, otros derechos/obligaciones. BOE
Plazo de respuesta a reclamaciones (15 días hábiles): marco PSD2 en España. fundacionmicrofinanzasbbva.org