En una de las interpretaciones más ambiciosas de la Directiva de Servicios de Pago (PSD2) hasta la fecha, el Abogado General del Tribunal de Justicia de la Unión Europea ha clarificado el alcance del llamado «reembolso inmediato». Su tesis, presentada en marzo de 2026, puede cambiar las reglas del juego para la banca europea —y muy especialmente para la española—: el banco no tiene potestad para denegar la devolución solo porque sospeche que el cliente fue negligente.

Un caso polaco con consecuencias para toda Europa

El asunto Tukowiecka (C-70/25) tiene su origen en Polonia. Una clienta fue víctima de phishing mientras intentaba vender un artículo en una plataforma de subastas: un supuesto comprador le envió un enlace que imitaba la página de acceso de su banco, obtuvo sus credenciales y ejecutó una transferencia no autorizada. La entidad se negó a devolver el dinero alegando negligencia grave, y el tribunal de distrito de Koszalin elevó la cuestión al TJUE.

La pregunta era sencilla y demoledora: ¿puede un banco retrasar o denegar el reembolso alegando que el cliente fue descuidado, o debe devolver primero el dinero y discutir responsabilidades después?

El banco tiene que devolver primero el dinero y, solo después, reclamar al cliente si cree que actuó con negligencia grave. La carga procesal se invierte: es la entidad quien debe demandar, no la víctima. — Doctrina propuesta en el asunto C-70/25

Qué ha dicho exactamente el Abogado General

En sus conclusiones de 5 de marzo de 2026, Rantos sostiene que el artículo 73 de la Directiva (UE) 2015/2366 impone al proveedor de servicios de pago una obligación de restitución inmediata —a más tardar al final del día hábil siguiente a la notificación— que no admite más excepción que una: que el banco tenga motivos razonables para sospechar fraude del propio cliente y lo comunique por escrito a la autoridad nacional competente.

Antes y después: lo que cambia en la práctica

La situación en España: un terreno ya abonado

La Directiva PSD2 se transpuso al ordenamiento español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, cuyo artículo 45.1 recoge literalmente la obligación de reembolso inmediato. Sin embargo, en la práctica, muchas entidades han venido condicionando la devolución a un análisis previo de la conducta del cliente, obligando a miles de afectados a acudir a los tribunales.

El giro decisivo en España llegó con la Sentencia del Tribunal Supremo 571/2025, de 9 de abril, dictada por la Sala Primera. El Alto Tribunal confirmó la condena a Ibercaja a devolver 56.474,63 € a un cliente víctima de un ataque combinado de phishing y duplicación de tarjeta SIM (SIM swapping), que sufrió quince transferencias no autorizadas en una sola noche por más de 83.000 €.

Los criterios fijados por el Supremo

• La responsabilidad del banco es cuasi objetiva: solo se exonera si acredita fraude o negligencia grave del cliente.
• El simple registro del uso del instrumento de pago no basta para considerar la operación autorizada ni para imputar negligencia.
• La entidad debe demostrar, además, la ausencia de deficiencias en su servicio y el correcto funcionamiento de sus sistemas de detección de fraude.
• La diligencia exigible es la del «ordenado y experto comerciante», con mecanismos capaces de detectar patrones inusuales.
• Las cláusulas contractuales que exoneran automáticamente al banco son nulas si contradicen el régimen imperativo de la PSD2.

Cómo quedaría el procedimiento si se confirma la doctrina

1. Notificación sin demora injustificada El cliente avisa al banco en cuanto detecta la operación no autorizada. El TJUE ha recordado recientemente (asunto C-665/23, Veracash) que la notificación tardía sin justificación puede hacer perder el derecho a las operaciones sucesivas evitables.
2. Reembolso inmediato obligatorio El banco reintegra el importe a más tardar al final del día hábil siguiente, sin someter la devolución a un análisis previo de la conducta del usuario.
3. Única excepción: sospecha de fraude del propio cliente Solo si el banco tiene motivos razonables para sospechar fraude de la víctima, y lo comunica por escrito a la autoridad nacional, puede retener la devolución.
4. Investigación y, si procede, reclamación posterior Una vez devuelto el dinero, la entidad puede investigar el caso. Si acredita dolo o negligencia grave del cliente, podrá exigirle el reintegro mediante demanda civil, asumiendo ella la carga de la prueba.

Qué debe hacer hoy un afectado en España

Aunque la sentencia definitiva del TJUE aún no se ha dictado —las conclusiones del Abogado General no vinculan al Tribunal, si bien se siguen en la mayoría de los casos—, el marco normativo español ya permite reclamar con sólidas probabilidades de éxito:

• Notifica al banco de inmediato y deja constancia escrita de la notificación (burofax, correo certificado o reclamación formal).
• Presenta denuncia ante la Policía Nacional o Guardia Civil por el fraude informático.
• Invoca expresamente el artículo 45.1 del RDL 19/2018, la Sentencia del Tribunal Supremo 571/2025 y las conclusiones del asunto C-70/25.
• Reclama ante el Servicio de Atención al Cliente del banco y, si no responde en el plazo legal, ante el Banco de España.
• No aceptes acuerdos parciales (devoluciones del 50 % «por cortesía comercial») sin asesoramiento previo: pueden interpretarse como admisión parcial de culpa.
• Conserva todas las pruebas: mensajes, correos, capturas, extractos y avisos previos al banco sobre movimientos sospechosos.