Hace unos días el relato cotidiano de una estafa digital llegó hasta los escalones más altos del Derecho europeo: un cliente polaco perdió dinero tras caer en un ataque de phishing y su banco, PKO BP, se negó a reembolsarle. Ese caso —una venta en una plataforma de subastas, un enlace malicioso que imitaba la pantalla de acceso del banco, credenciales introducidas y una transferencia realizada por los delincuentes— terminó en el Tribunal de Distrito de Koszalin, que planteó una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (TUE).
El Abogado General del TUE, Athanasios Rantos, ha publicado ahora una opinión formal sobre el asunto que, aunque no es una sentencia vinculante, marca la dirección probable en la que se moverá el tribunal. En términos sencillos: Rantos considera que, según la directiva europea sobre servicios de pago (PSD2), el banco debe reembolsar de forma inmediata al cliente la cantidad de una operación no autorizada, salvo que disponga de motivos fundados para sospechar que el propio cliente ha actuado fraudulentamente. Esa sospecha debe, además, comunicarse por escrito a la autoridad nacional competente.
Los textos oficiales explican la recomendación del Abogado General con detalle. El comunicado del TUE recoge las conclusiones de Rantos y parte del análisis jurídico que sustenta la obligación de reembolso provisional, disponible en el sitio oficial del Tribunal: comunicado del TUE. El texto completo de la opinión del Abogado General también puede consultarse en la base de jurisprudencia del Tribunal: texto íntegro de la opinión.
Es importante situar esto en el marco normativo: la Directiva (UE) 2015/2366 conocida como PSD2 regula las obligaciones de los prestadores de servicios de pago —entre ellos los bancos— y los derechos de los usuarios frente a operaciones no autorizadas. Puede leerse la directiva y su propósito en el portal de la Unión Europea sobre servicios de pago: explicación de la PSD2 en la Comisión Europea y el texto legal en el repositorio EUR-Lex: Directiva (UE) 2015/2366.
¿Qué significa esto, en la práctica, para una persona que ha sufrido phishing? Primero, que la presunción inicial iría en favor del cliente: si denuncia la operación como no autorizada, el banco debería devolverle el importe sin dilaciones salvo que tenga razones claras para pensar que ese cliente actuó de forma fraudulenta. Segundo, que el reembolso inicial no cierra el asunto: si el banco logra demostrar más adelante que el cliente puso de forma intencionada o con grave negligencia sus datos de seguridad (por ejemplo, compartiendo contraseñas deliberadamente), podrá reclamar o exigir al cliente que asuma la pérdida; y, si éste se niega, deberá acudir a los tribunales para obtener ese reembolso.
Ese equilibrio —reembolso inmediato con posibilidad de recuperación posterior— pretende proteger al usuario que ha sido víctima de técnicas cada vez más sofisticadas, sin exonerar por completo la responsabilidad personal cuando haya comportamientos claramente reñidos con las obligaciones de seguridad. En la práctica esto obligaría a las entidades a reaccionar rápidamente ante denuncias de fraude, y también a documentar de forma rigurosa cualquier motivo fundado para sospechar de la conducta del cliente, porque esa sospecha tiene que comunicarse por escrito a la autoridad nacional según la interpretación que propone el Abogado General.
Las consecuencias para el ecosistema financiero y para la lucha contra el fraude pueden ser profundas. Para las víctimas, la ventaja es obvia: recuperar fondos con rapidez evita angustias económicas y reduce el impacto inmediato de una estafa. Para los bancos, sin embargo, la obligación de reembolso provisional implica un aumento de coste operacional y la necesidad de mejorar sus capacidades de detección y análisis de incidentes para poder justificar, cuando corresponda, la falta de reembolso y la reclamación posterior. Para el fraude, la medida dificulta que los delincuentes mantengan indefinidamente el botín en cuentas que no se reclaman, aunque no impide las tácticas iniciales de ingeniería social que siguen siendo el vector mayoritario de estafas como el phishing, según organismos europeos que estudian el fenómeno (véase, por ejemplo, el seguimiento de Europol sobre phishing: Europol: phishing).
Desde el punto de vista práctico, esto también coloca una presión añadida sobre las entidades para invertir en autenticación más robusta y en medidas que impidan que credenciales robadas permitan operaciones no autorizadas. La PSD2 y las normas técnicas asociadas ya apostaron por la autenticación reforzada del cliente, pero la interpretación del Abogado General refuerza el incentivo: si el banco es el que debe responder inicialmente, le interesa reducir la probabilidad de que se produzcan accesos fraudulentos.
Hay que subrayar por último una cuestión procesal y política: la opinión de un Abogado General no es la última palabra. Su función es orientar al Tribunal; los jueces del TUE pueden seguir esa línea o matizarla en la sentencia definitiva, que será la que marque jurisprudencia obligatoria para los tribunales de los Estados miembros. Hasta entonces, la opinión de Rantos es una señal clara de hacia dónde podría inclinarse el Tribunal, pero no un mandato con efecto inmediato y uniforme en toda la Unión.
En términos humanos, este tipo de decisiones reformulan cómo se reparte el riesgo entre clientes y bancos en la era digital. El objetivo es sencillo y legítimo: que quien sufre una estafa reciba una respuesta rápida y que las responsabilidades se determinen con pruebas, no por la inercia de la cuenta vacía. Habrá que seguir con atención la sentencia del TUE y, mientras tanto, recordar que la prevención —no clicar enlaces sospechosos, comprobar siempre la URL de un banco, usar autenticación en dos pasos y denunciar cuanto antes— sigue siendo la primera barrera contra los fraudes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...