(Expansión, 05-09-2025) | Mercantil, civil y administrativo
El Tribunal de Justicia de la Unión Europea (TJUE) ha reconocido el derecho de los consumidores a recuperar las cantidades perdidas en fraudes digitales, como la clonación de tarjetas de crédito o el robo de credenciales bancarias. Sin embargo, advierte de que los afectados deben comunicar la incidencia a su entidad de forma inmediata.
La resolución del TJUE supone un pronunciamiento clave tanto para los bancos como para los usuarios que sufran un robo derivado de un fraude online con sus medios de pago. En su fallo, la Corte de Luxemburgo delimita el alcance de la responsabilidad de las entidades financieras y proveedores de servicios de pago frente a las pérdidas ocasionadas a sus clientes por este tipo de delitos.
El tribunal establece que los usuarios tienen la obligación de notificar "sin demora injustificada" cualquier operación no autorizada. Si el aviso no se produce de manera rápida, el cliente puede perder el derecho a recuperar su dinero, incluso dentro del plazo máximo de 13 meses que marca la normativa comunitaria.
De esta forma, la Justicia europea limita la obligación automática de los bancos de devolver los importes sustraídos y reparte la carga de responsabilidad con los consumidores, que deberán actuar con diligencia y presentar una reclamación en cuanto detecten el fraude.
La abogada especializada en Consumo, Vanesa Fernández, explica a Expansión que la sentencia "subraya la importancia de la diligencia del usuario", ya que introduce un doble requisito: no haber superado los 13 meses desde la operación fraudulenta y haber comunicado el hecho en el momento en que se detecta.
El caso que ha dado origen a esta sentencia corresponde a un cliente francés al que, durante dos meses, se le realizaron retiradas fraudulentas diarias desde una cuenta de depósito en oro, sin haber recibido nunca la tarjeta asociada. Tras la negativa de la justicia francesa a devolverle el dinero por haber notificado tarde el fraude, la cuestión llegó al TJUE, que finalmente confirmó el rechazo de su reclamación.
Los jueces europeos argumentan que los bancos pueden denegar la devolución cuando la notificación tardía se deba a "negligencia grave o conducta deliberada" del cliente, que impida a la entidad reaccionar a tiempo para frenar el fraude. No obstante, en casos de cargos sucesivos, la pérdida del derecho solo se aplicaría a aquellas operaciones que podrían haberse evitado con un aviso temprano.
Aunque el fallo se apoya en una directiva anterior, sus conclusiones son aplicables a la normativa vigente, en un contexto en el que los delitos de suplantación de identidad y robo de datos bancarios están en máximos históricos.
La sentencia también aclara que corresponde a la entidad financiera demostrar que el retraso en la comunicación se debió a negligencia o mala fe del usuario. Si no logra probarlo, deberá asumir las pérdidas. Con ello, el TJUE insiste en que el cliente debe vigilar sus cuentas y actuar con proactividad, ya que no puede desentenderse de la seguridad de sus operaciones.
El criterio europeo complementa la doctrina fijada recientemente por el Tribunal Supremo en España, que en mayo obligó a las entidades a responder por los perjuicios derivados de fraudes o clonaciones de tarjetas. En aquel fallo, se instaba a los bancos a implementar sistemas de control automático que detecten patrones sospechosos -como el número de operaciones, su frecuencia, horarios o importes- y generen alertas para reforzar la seguridad.
En definitiva, ambos pronunciamientos consolidan una visión de responsabilidad compartida: los bancos siguen obligados a devolver los fondos sustraídos, salvo que exista negligencia del usuario, mientras que los clientes deben avisar sin demora y actuar con cuidado. Todo ello en un escenario donde los fraudes digitales se perfilan como uno de los mayores retos legales y financieros de los próximos años.