El Tribunal de Justicia de la Unión Europea (TJUE) está a punto de dictar una sentencia que puede cambiar radicalmente las reglas del juego en materia de phishing bancario en toda Europa. El asunto C-70/25 (Tukowiecka) aborda una cuestión fundamental: ¿puede el banco negarse a devolver el dinero de una operación fraudulenta alegando que el cliente fue negligente?

Las conclusiones del Abogado General Athanasios Rantos, presentadas el 5 de marzo de 2026, son inequívocas: el banco debe devolver primero e investigar después. En este artículo analizo las implicaciones de esta doctrina para las víctimas de phishing en España.

El caso Tukowiecka: qué pasó

El asunto C-70/25 tiene su origen en Polonia. Una consumidora fue víctima de phishing mientras intentaba vender un artículo en una plataforma de subastas online. Los estafadores crearon una web que imitaba la plataforma de venta y, a continuación, la web del banco de la víctima. Creyendo que estaba completando la transacción de venta, la consumidora introdujo sus credenciales bancarias en la web fraudulenta. Los delincuentes accedieron a su cuenta y realizaron operaciones no autorizadas.

El banco se negó a devolver el dinero, alegando negligencia grave de la clienta por haber facilitado sus datos en una web falsa. El caso llegó al tribunal polaco, que planteó una cuestión prejudicial al TJUE sobre la interpretación de la Directiva PSD2 (Directiva 2015/2366).

La pregunta clave al TJUE

El tribunal polaco preguntó esencialmente: ¿puede el banco retener la devolución del dinero cuando sospecha que el cliente fue gravemente negligente?

O dicho de otro modo: ¿el deber de reembolso inmediato del artículo 73 de la PSD2 se aplica siempre, incluso cuando el banco alega negligencia grave del usuario? ¿O puede el banco exceptuarse de la devolución inmediata cuando cree que el usuario fue negligente?

Conclusiones del Abogado General: devolver primero, investigar después

Las conclusiones del Abogado General Rantos, publicadas el 5 de marzo de 2026, son claras y contundentes:

1. El reembolso inmediato es obligatorio. El banco debe devolver el importe de la operación no autorizada de inmediato (y como máximo al final del día hábil siguiente) en todos los casos. La única excepción es una sospecha fundada de fraude del propio usuario (no negligencia grave), y solo si el banco lo comunica por escrito al regulador competente.

2. La negligencia grave no permite al banco retener el dinero. Esta es la conclusión más disruptiva: incluso cuando el banco tiene indicios de que el cliente actuó con negligencia grave, debe devolver el dinero primero. La negligencia grave solo permite al banco, después de haber reembolsado, reclamar al usuario la cantidad devuelta si logra demostrar esa negligencia.

3. La secuencia temporal es imperativa: primero devolver, después investigar, después (si procede) reclamar. El banco no puede alterar este orden.

Impacto en España: por qué esta sentencia lo cambia todo

En España, el artículo 45 del RDL 19/2018 transpone el artículo 73 de la PSD2 y establece la misma obligación de reembolso inmediato. La jurisprudencia española ya aplica un régimen de responsabilidad cuasi-objetiva del banco (confirmado por la STS 571/2025), pero la práctica habitual de los bancos españoles es denegar sistemáticamente las reclamaciones alegando negligencia grave del cliente.

Si el TJUE confirma las conclusiones del Abogado General — y lo hace en la inmensa mayoría de los casos —, las consecuencias para los bancos españoles serán inmediatas:

  • Fin de la denegación automática: los bancos no podrán rechazar reclamaciones por phishing alegando negligencia del cliente. Deberán devolver primero.
  • Inversión del procedimiento: si el banco quiere recuperar el dinero devuelto, tendrá que demandar al cliente, no al revés. Esto elimina la barrera de acceso a la justicia para las víctimas.
  • Mayor presión sobre los sistemas de seguridad: los bancos tendrán un incentivo económico directo para mejorar sus sistemas de detección de fraude, ya que asumirán las pérdidas en primera instancia.
  • Refuerzo de la STS 571/2025: la sentencia del Tribunal Supremo español ya establecía la responsabilidad cuasi-objetiva. La sentencia del TJUE la reforzará con la interpretación auténtica de la PSD2.

Qué significa para ti como víctima de phishing

Si has sido víctima de phishing y tu banco se niega a devolverte el dinero, esta doctrina del TJUE refuerza tu posición de forma decisiva:

  • El banco debe devolverte el dinero de inmediato, sin esperar a investigar si fuiste o no negligente.
  • Si el banco se niega, está incumpliendo la Directiva PSD2 en su interpretación por el TJUE.
  • En caso de juicio, los tribunales españoles están obligados a aplicar la interpretación del TJUE sobre la PSD2.
  • La carga de probar tu negligencia grave sigue siendo del banco (art. 44.3 RDL 19/2018), y además ahora con la obligación de devolver antes de iniciar esa prueba.

Directiva PSD2: los artículos clave

La Directiva 2015/2366 (PSD2), transpuesta en España por el RDL 19/2018, establece el marco normativo. Los artículos relevantes del asunto C-70/25 son:

  • Artículo 73 PSD2 (art. 45 RDL 19/2018): obligación de reembolso inmediato de operaciones no autorizadas.
  • Artículo 72 PSD2 (art. 46 RDL 19/2018): responsabilidad del ordenante, limitada a casos de fraude o negligencia grave.
  • Artículo 97 PSD2: obligación de autenticación reforzada (SCA) para operaciones electrónicas.

La clave de la interpretación del Abogado General es que el artículo 73 es temporalmente prioritario: primero opera el reembolso, y solo después puede entrar en juego la excepción del artículo 72.

Estado procesal: ¿cuándo se espera la sentencia?

Las conclusiones del Abogado General se publicaron el 5 de marzo de 2026. El TJUE suele dictar sentencia entre 3 y 6 meses después de las conclusiones, por lo que la sentencia se espera para el segundo semestre de 2026.

Aunque las conclusiones del Abogado General no son vinculantes, el TJUE las sigue en aproximadamente el 80% de los casos. Dada la claridad y contundencia de las conclusiones de Rantos, es muy probable que el Tribunal las confirme.

Preguntas frecuentes

¿La sentencia del TJUE C-70/25 se aplica en España?

Sí. Las sentencias del TJUE sobre interpretación de directivas europeas son vinculantes para todos los Estados miembros, incluida España. Los tribunales españoles están obligados a aplicar la interpretación que el TJUE haga de la PSD2.

¿Ya puedo invocar las conclusiones del Abogado General en una reclamación?

Sí. Aunque las conclusiones no son sentencia firme, los tribunales españoles ya las están citando como referencia interpretativa. Varios juzgados y audiencias provinciales han comenzado a mencionar el asunto C-70/25 en sus resoluciones de 2026.

¿Qué pasa si el banco ya me denegó la devolución?

Puedes reclamar judicialmente. La doctrina del TJUE refuerza tu posición tanto en reclamaciones pendientes como en nuevas demandas. El plazo para la acción judicial es de 5 años (art. 1964 CC).

¿Esta sentencia afecta a todos los bancos?

Sí. La PSD2 y su transposición española (RDL 19/2018) se aplican a todas las entidades de crédito: BBVA, Santander, CaixaBank, ING, Unicaja, Sabadell y cualquier otro banco que opere en España.

Consulta gratuita

Si tu banco se niega a devolverte el dinero tras un fraude de phishing, la doctrina del TJUE refuerza tu reclamación. Como abogado especialista en fraude bancario en Madrid, aplico esta jurisprudencia europea junto con la STS 571/2025 y las sentencias de las Audiencias Provinciales para maximizar las probabilidades de éxito.

Consulta mi experiencia en fraudes bancarios o solicita una consulta gratuita.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813