El phishing bancario pierde frente a la Sentencia dictada por el TJUE en el asunto C-665/23, sobre qué debe entenderse por notificación sin demora indebida o injustificada del cliente a su banco, en los casos de pérdida, sustracción o apropiación indebida de tarjetas; o de su utilización no autorizada, o en caso de que operaciones no autorizadas, ha venido a establecer una serie de aclaraciones.

El caso visto por el TJUE se inició cuando hubo varios reintegros efectuados con una tarjeta que el banco había remitido a su cliente, quien negó haberla recibido. La tarjeta fue utilizada para disponer de efectivo en varias ocasiones durante un mes y medio, en concreto, entre el 30 de marzo y el 17 de mayo de 2017, disposiciones que el cliente notificó como operaciones de pago no autorizadas el 23 de mayo de 2017.

¿Qué implica la sentencia en el caso del phishing bancario?

Conviene que tengamos en cuenta que los artículos 41 y 43.1 del RD-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establecen que el cliente bancario tiene obligación de notificar al banco, sin demora injustificada, las operaciones de pago no autorizadas. La notificación al banco debe hacerse “en cuanto tenga conocimiento de cualquiera de dichas operaciones” y, en todo caso, en el plazo máximo de 13 meses contados desde la fecha del adeudo en la cuenta del importe de la operación de pago no autorizada.

La Sentencia del TJUE, de 1 de agosto de 2025, ha tenido en cuenta:

• Por un lado, la Directiva 2007/64, antecesora de la actual Directiva 2015/2366 del Parlamento Europeo y del Consejo, regula el régimen de obligaciones de las partes y de responsabilidad a cargo de las entidades de crédito.
• Por otro, sentencias dictadas con anterioridad por el TJUE, entre otras, STJUE de 9 de abril de 2014, C-616/11, T-Mobile Austria; STJUE 2 de septiembre de 2021, C-337/20, CRCAM; y la STJUE 11 de julio de 2024, C-409/22, Eurobank Bulgaria.

En estas Sentencias, el TJUE concluye que la responsabilidad del banco o entidad de crédito es de naturaleza cuasiobjetiva, tesis acogida por el Tribunal Supremo, Sala de los Civiles, en Sentencia 571/2025 de 9 de abril.

Esto se traduce en que la entidad de crédito solo puede eludir su responsabilidad si acredita que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable

Pero como dispone en el art. 44.2 del RD-ley 19/2018, cuando el cliente bancario niega haber autorizado alguna operación de pago, no basta con el registro para demostrar que la operación de pago fue autorizada por el ordenante y se realizó correctamente, sin fraude o negligencia grave.

En estos casos, corresponderá a la entidad financiera probar que el usuario del servicio de pago cometió fraude o negligencia grave.

Por tanto, el cumplimiento la obligación de notificación sin demora es fundamental, porque, salvo que el banco pruebe que existen las causas que lo exonera, está obligado a devolver al cliente el importe de la operación de pago no autorizada, y reponer la cuenta al estado anterior al adeudo de ese importe.

La Sentencia del TJUE ratifica la doctrina anterior, manteniendo que la notificación que se establece a cargo del cliente bancario es requisito indispensable para obtener de su entidad de crédito la rectificación del adeudo en la cuenta del importe de la operación de pago no autorizada, es decir, que la rectificación queda supeditada a dicha notificación, sin demora indebida, como requisito a cargo del cliente bancario para la activación del régimen de responsabilidad de la entidad de crédito.

Pero teniendo en cuenta que cuando la ley dice “en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo”, ha de entenderse como plazo máximo en el que la entidad de crédito ha de recibir la notificación, contado desde la fecha del adeudo en la cuenta del importe de la operación de pago no autorizada.

¿Cuál es la relevancia de esta sentencia?

La relevancia de la Sentencia del TJUE de 01.08.25, C-665/23, Veracash, radica en que el TJUE amplía la interpretación en cuanto al momento en que debe hacerse esa notificación sin tardanza injustificada y las consecuencias de su incumplimiento.

En conclusión, entiende el TJUE que:

1. La obligación del cliente bancario, cuando exista una operación de pago no autorizada (como ocurre con el phishing), es notificarlo a la entidad de crédito o al proveedor de servicios de pago, de manera inmediata, tan pronto tenga conocimiento de ello, obligación idéntica a la que tiene constancia del extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada.
2. La entidad bancaria tiene obligación de rectificación inmediata y reintegro en caso de que operaciones de pago no autorizadas o ejecutadas incorrectamente, pero a condición de que el usuario de servicios de pago se lo comunique sin demora injustificada; salvo que tenga motivos razonables para sospechar de la existencia de fraude y comunique dichos motivos por escrito al Banco de España, incumbiendo a la entidad de crédito la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, pero sin que el mero hecho del registro de la utilización del instrumento de pago, sea suficiente para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo a la entidad de crédito, la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.
3. La obligación del cliente bancario, desde que conozca que ha existido una operación de pago no autorizada, ha de cumplirse con la mayor brevedad posible desde dicho conocimiento, notificación que no puede sobrepasar el plazo de 13 meses desde la fecha del adeudo en la cuenta de pago del importe de la operación.
4. El régimen de responsabilidad del banco a partir del cumplimiento de las condiciones anteriores es cuasiobjetivo, y solo quedará exonerado de la obligación de devolver el importe y rectificar la cuenta de pago al momento anterior al adeudo de la operación, en caso de actuación fraudulenta por parte del cliente bancario, o incumplimiento deliberado de sus obligaciones, o negligencia grave.

Si quieres saber más, descubre nuestra solución en ApudActa.com. Recuerda que para mejorar tus procedimientos, puedes contar con nuestra plataforma online para gestionar los apoderamientos judiciales sin necesidad de certificado digital y con todas las garantías legales.