Todo cliente bancario, usuario de los servicios de pago y consumidor que ha sufrido una estafa digital a través de phishing tiene que notificar a su entidad las operaciones no autorizadas para obtener el reembolso del perjuicio sufrido, esto es, la devolución de las cantidades dinerarias defraudadas.
El problema es que, para ello, la víctima del fraude debe paralizar su vida y dirigir todo su esfuerzo a una serie de actuaciones que, además, no auguran ningún éxito.
Por lo general, el proceso que debe enfrentar toda víctima de estafa consiste en:
1.- Comunicar el fraude y las operaciones afectadas a su entidad bancaria.
2.- Acudir a las dependencias de las Fuerzas y Cuerpos de Seguridad para interponer denuncia. Para ello, deben aportarse fehacientemente las operaciones controvertidas, razón por la que será necesario obtener un extracto sellado por la entidad bancaria de los movimientos.
3.- Solicitar el reembolso de las operaciones no autorizadas a la entidad bancaria, para lo cual suele adjuntarse la denuncia a petición de la propia entidad.
4.- Reclamar ante cada instancia de los servicios de atención y defensa del cliente bancario de la entidad en cuestión.
5.- De forma añadida suelen elevarse –muchas veces por recomendación del banco– reclamaciones a otras entidades como, por ejemplo, oficinas municipales de información al consumidor, o al Banco de España (el cual carece, en realidad, de competencia para declarar la responsabilidad del banco).
6.- Finalmente, el asunto desemboca en una acción judicial en la mayoría de los casos, extendiéndose de este modo en el tiempo el perjuicio sufrido y otros nocivos efectos sobre la persona (falta de confianza en la banca y en la economía digital, daños morales, etc.).
Que este sea el modus operandi habitual no significa que sea correcto o adecuado. El retraso en el resarcimiento del cliente puede provocar una dilación excesiva cuya consecuencia no es otra que agotar la paciencia y pretensiones de los estafados.
Lo que dice la normativa
Al respecto, la normativa en materia de servicios de pago establece claramente que en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine (artículos 73.1 de la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior y 45.1 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera).
Es decir, que en toda reclamación por phishing debe aplicarse la regla solve et repete: paga, y en su caso, reclama.
Esto es lo que ha venido a señalar el Abogado General Sr. Athanasios Rantos en sus Conclusiones presentadas el 5 de marzo de 2026 para el asunto C‑70/25 (Tukowiecka). En resumidas cuentas, el derecho a la devolución inmediata supone que:
• un banco no puede denegar la devolución inmediata del importe de una operación no autorizada alegando una negligencia grave del cliente;
• en cambio, y una vez efectuada la devolución inmediata, el banco puede exigir al cliente que soporte las pérdidas si este ha incumplido, deliberadamente o por negligencia grave, sus obligaciones como usuario de servicios de pago. Si se acredita lo anterior y el cliente se niega a restituir el importe de la operación no autorizada, el banco podrá interponer un recurso contra él para obtener la restitución.
De este modo, entiende el Abogado General que las entidades bancarias deben reembolsar siempre a los usuarios las cantidades defraudadas por operaciones no autorizadas tras su debida notificación. Únicamente no será preceptiva la devolución cuando existan fundamentos para sospechar de fraude y ello se comunique a la autoridad nacional pertinente, pero nunca cuando se considere que el usuario ha sido gravemente negligente.
Sin perjuicio de la novedad de la comentada resolución, el Abogado General Manuel Campos Sánchez-Bordona ya advirtió de la aplicabilidad del principio «paga primero y argumenta después» respecto a la responsabilidad de los proveedores de servicios de pago con objeto de reforzar la protección de los usuarios de servicios de pago (Conclusiones presentadas el 30 de noviembre de 2023 en el asunto C-409/22, párrafo 97).
En efecto, el solve et repete es, en este caso, una garantía de los consumidores, ya que garantiza su indemnidad financiera en fraudes y estafas sufridas a raíz de un phishing a la vez que refuerza la responsabilidad cuasi-objetiva de las entidades bancarias, las cuales ya no pueden escudarse en la negligencia grave para negar el resarcimiento inmediato.
Habremos de esperar unos meses para comprobar si el Tribunal de Justicia de la Unión Europea corrobora este canon.
Esta interpretación, dice el Abogado General, resulta apreciable y aplicable tanto por el tenor de la normativa europea en la materia y el contexto en el que se inscriben las disposiciones pertinentes identificadas, como por la necesidad de asegurar un elevado nivel de protección del consumidor cuando este utilice servicios de pago, lo cual constituye uno de los objetivos perseguidos por la citada normativa.
