TRIBUNALES
Confirmado por la justicia europea: obligación del banco de retorno inmediato en caso de ciberestafa
Según concluye el abogado general del Tribunal de Justicia de la Unión Europea. También cuando el usuario ha aportado sus credenciales personales
Imagen de archivo del Tribunal de Justicia de la Unión Europea. - ACN
La Audiencia de Lleida ha dictado varias sentencias en las que ha obligado a entidades bancarias a devolver el dinero a clientes que han sido víctimas de una estafa, incluso en casos en los que fueron los propios usuarios quienes facilitaron sus datos personales manipulados por los ciberestafadores. Ahora, el abogado general del Tribunal de Justicia de la Unión Europea considera que un banco no puede negarse a devolver de forma inmediata el importe de una operación de pago no autorizada alegando una “negligencia grave” del cliente. El jurista sostiene que el Derecho de la UE obliga al proveedor de servicios de pago a efectuar el reembolso sin demora, salvo cuando tenga “motivos razonables para sospechar la existencia de fraude” y comunique esa sospecha por escrito a la autoridad nacional competente.
El caso se refiere a una clienta de un banco en Polonia que fue víctima de un fraude por suplantación de identidad, después de que un tercero que se hacía pasar por comprador en una plataforma de venta le enviara un enlace fraudulento que imitaba la página web de la entidad. Engañada por el mensaje, la usuaria introdujo sus claves de acceso, lo que permitió al estafador obtener sus credenciales y ordenar un pago desde su cuenta sin autorización.
Al día siguiente la afectada comunicó el fraude al banco, pero la entidad rechazó devolver el dinero al considerar que había incurrido en “negligencia grave” al facilitar sus datos de seguridad. El asunto llegó a los tribunales nacionales, que pidieron al TJUE aclarar si la normativa europea permite a los bancos denegar el reembolso inmediato.
El letrado sostiene que la legislación europea establece un principio claro de devolución inmediata del dinero en caso de operaciones de pago no autorizadas y subraya que no existe “ninguna otra excepción” a esta obligación. No obstante, precisa que ese reembolso inicial no cierra definitivamente el conflicto, ya que la entidad financiera puede reclamar después al usuario que asuma las pérdidas si demuestra que incumplió deliberadamente o por negligencia grave sus obligaciones. El TJUE casi siempre hace caso a las indicaciones del abogado general.
Conclusiones. Las conclusiones del letrado no vinculan al tribunal, aunque en la mayoría de los asuntos el TJUE suele adoptar el criterio apuntado en estos dictámenes cuando dicta sentencia.
Jurisprudencia. La jurisprudencia española dicta que si el cliente mete sus claves de acceso en una web o en un SMS con apariencia sofisticada de su entidad, no está cometiendo imprudencia grave.
La Audiencia de Lleida, contraria a “criminalizar” a la víctima
n"Criminalizar a la víctima por dejarse engañar (...) puede llevar al absurdo de descriminalizar estas estafas”. Así se pronunció la Audiencia de Lleida en una sentencia dictada en 2024 en la que obligaba a un banco a devolver más de 50.600 euros que habían robado de la cuenta bancaria de una pareja. El tribunal recordaba que estos mensajes engañosos suelen proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que haga una acción no deseada. El mismo argumento que utilizó en otras sentencias favorables a los clientes. En un caso, obligó a una entidad a reembolsar 4.000 euros a una mujer por un uso no autorizado de su tarjeta de crédito y 38.500 euros a un pensionista que sufrió el fraude del ‘falso técnico de Microsoft’ para acceder a su ordenador.
