Phishing: Notificación sin demora indebida

Por Juan Añón, abogado especializado en Derecho Civil y Mercantil de Valencia. 

El TJUE ha dictado una importante sentencia el día 1 de agosto de 2025, en el asunto C-665/23 – Veracash, aclarando qué debe entenderse por notificación sin demora indebida o injustificada por parte del usuario de servicios de pago al proveedor de servicios bancarios, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, o en caso de que operaciones  no autorizadas o ejecutadas incorrectamente. (en adelante utilizaremos la expresión cliente bancario y entidad de crédito). En el litigo principal del que deriva la cuestión prejudicial objeto de esta sentencia, se trataba de diversos reintegros efectuados con una tarjeta que la entidad de crédito había remitido a su cliente, que negaba haberla recibido. Las disposiciones de efectivo se realizaron de forma sucesiva a lo largo de mes y medio, entre el 30-3-2017 y el 17-5-2017, disposiciones que el cliente notificó como operaciones de pago no autorizadas el 23-5-2017.

El art. 41 y 43.1 del RD-ley 19/2018, de 23 de noviembre, de servicios de pago, establecen la obligación del usuario de servicios de pago, del cliente bancario, de notificar al proveedor de servicios de pago, la entidad de crédito, las circunstancias antes indicadas, a las que genéricamente nos referiremos como operaciones de pago no autorizadas, notificación que ha de hacerse sin demora injustificada «en cuanto tenga conocimiento de cualquiera de dichas operaciones» y en todo caso en el plazo de 13 meses contados desde la fecha del adeudo en la cuenta del importe de la operación de pago no autorizada.

La jurisprudencia del TJUE, incluida esta sentencia, hace referencia a la Directiva 2007/64, antecesora de la actual Directiva 2015/2366, pero ambas con igual contenido respecto del régimen de obligaciones de las partes y de responsabilidad a cargo de la entidad de crédito, siendo de especial atención las STJUE de 9 de abril de 2014, C-616/11, T-Mobile Austria, la STJUE 2 de septiembre de 2021, C-337/20, CRCAM y la STJUE 11 de julio de 2024, C-409/22, Eurobank Bulgaria, además de esta última de 1 de agosto de 2025, C-665/23, Veracash.

En todas estas sentencias el TJUE concluye que la responsabilidad de la entidad de crédito es de naturaleza cuasi objetiva, como también ha puesto de manifiesto la sentencia del T. Supremo, Sala de los Civil, nº 571/2025 de 9 de abril: la entidad de crédito solo puede eludir su responsabilidad si prueba que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable, pero como dispone en art. 44.2 del RD-ley 19/2018, cuando el cliente bancario niega haber autorizado alguna operación de pago, el referido registro de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste hubiera actuado de manera fraudulenta o que hubiera incumplido deliberadamente o por negligencia grave, una o varias de sus obligaciones con arreglo al artículo 41, entre ellas la notificación sin demora indebida de la existencia de una operación de pago no autorizada.

Se produce una inversión de la carga de la prueba, intensa, por lo que si pensamos en que en la casi totalidad de ocasiones las reclamaciones de los usuarios por este concepto, consumidores o no, serán inferiores a 3.000 €, es decir, en juicio verbal sin acceso a recurso de apelación, el cumplimiento de esta obligación de notificación sin demora es fundamental, porque, salvo la demostración de las causas que exonera a la entidad de crédito, como proveedor de servicios de pago, la entidad de crédito la obligada de devolver al cliente el importe de la operación de pago no autorizada, y reponer la cuenta al estado anterior al adeudo de ese importe.

Ya en la STJUE de septiembre de 2021, C-337/20,CRCAM, se indica que el régimen de responsabilidad derivado de la normativa de servicios de pago se basa en 3 elementos esenciales vinculados:

• Obligación de usuario de servicios de pago de notificar al proveedor de servicios de pago la existencia de una operación de pago no autorizada.
• Carga de la prueba que corresponde al proveedor de servicios de pago para demostrar que el usuario de servicios de pago obró con fraude o deliberadamente con incumplimiento de sus obligaciones o con negligencia grave.
• Rectificación inmediata del importe adeudado en la cuenta del usuario de servicios de pago, y restablecimiento de la cuenta al estado anterior al adeudo.

Las sentencias CRCAM y Veracash, ratifican la interpretación de la normativa europea de servicios de pago acerca de que la notificación que se establece a cargo del cliente bancario es requisito indispensable para obtener de su entidad de crédito la rectificación del adeudo en la cuenta del importe de la operación de pago no autorizada,  es decir, que la rectificación queda supeditada a dicha notificación, sin demora indebida, como requisito a cargo del cliente bancario para la activación del régimen de responsabilidad de la entidad de crédito, pero teniendo en cuenta que la expresión que utiliza en el art 43.1 del R.D-ley 19/20189, «en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo», ha de entenderse como plazo máximo en el que la entidad de crédito ha de recibir la notificación, contado desde la fecha del adeudo en la cuenta del importe de la operación de pago no autorizada.

Esto significa que el régimen de responsabilidad a cargo de la entidad de crédito, que solo se aplica cuando el cliente bancario cumple con la obligación de notificación, conlleva la rectificación inmediata de la operación de pago no autorizada. Pero la responsabilidad de la entidad de crédito no queda excluida cuando no se pueda aplicar el régimen de responsabilidad específico de la normativa de servicios de pago, sino que en tales casos, deberá aplicarse las normas generales sobre responsabilidad de la entidad de crédito derivado del contrato de cuenta corriente, es decir, que no será de aplicación la obligación de rectificación inmediata ni existirá inversión de la carga de la prueba acerca de si el cliente bancario actuó de forma fraudulenta o con incumplimiento deliberado de sus obligaciones o con negligencia grave, sino que será el cliente bancario demandante por vía de acción o reconvención, quien deberá acreditar que no autorizó la operación de pago controvertida.

La STJUE 11 de julio de 2024, C-409/22, Eurobank Bulgaria, tiene en cuenta la definición de instrumento de pago, entendiendo tanto los dispositivos físicos (tarjetas y teléfonos móviles) como cualquier conjunto de procedimientos (códigos PIN, códigos TAN, DigiPass, Bizum …) acordados por el USP y PSP para iniciar una orden pago. De esta consideración amplia se concluye que el acuerdo entre ambas partes ha de ser expreso en el contrato marco, sin que se pueda descartar que ese acuerdo necesario de voluntades para la utilización de este tipo de servicios está contenido en el proceso de activación de estos instrumentos o servicios. La definición de instrumento de pago ha de entenderse como concepto amplio, de manera que el tipo de tecnología, el medio de transmisión de las órdenes de pago y el control de los elementos de seguridad, no son determinantes, como se puso de manifiesto en STJUE 9 de abril de 2014, C-616/11, T-Mobile Austria. (conclusiones Abog General, pfo 39).

Teniendo en cuenta que las operaciones de pago únicamente se entienden autorizadas cuando el ordenante ha dado el consentimiento para su ejecución, y que dicho consentimiento ha de prestarse en la forma acordada con la entidad de crédito, a falta de ese consentimiento la operación de pago ha de considerarse no autorizada (art. 36 RD-ley 192018). En función de lo anterior, en el régimen específico derivado de la normativa de servicios de pago, la entidad de crédito responde de las pérdidas sufridas por el cliente bancario como consecuencia de las operaciones de pago no autorizadas, responsabilidad de la que solo queda exonerada la entidad de crédito cuando prueba de forma cualificada la culpa por parte del cliente bancario, es decir, la actuación deliberada (incluso de forma fraudulenta) o con grave negligencia, responsabilidad que es de cargo de la entidad de crédito, aunque ésta obrado de buena fe, es decir, cuando haya tomado todas las medidas necesarias que satisfagan los requisitos legales y las buenas prácticas bancarias. Este régimen de responsabilidad específico de la entidad de crédito, descansa en el principio “para primero y argumenta después” con objeto de reforzar la protección del cliente bancario.

En la STJUE 11 de julio de 2024, C-409/22, Eurobank Bulgaria, cuando hace referencia al consentimiento del cliente bancario, aclara que ha de existir respecto de la operación de pago, y que ha de prestarse en la forma acordada por las partes. De ahí podemos concluir que cuando el cliente bancario actúa bajo el engaño del ciberdelincuente (phishing) y facilita sus claves etc., no puede afirmarse que ha consentido esa operación de pago no autorizada, sino solo que ha facilitado el acceso y uso de un instrumento de pago. En este sentido el pfo. 66 de la sentencia se refiere a que la autenticación de una operación de pago, es una obligación que recae en la entidad de crédito, que tiene por objeto comprobar la utilización del instrumento de pago a fin de acreditar que el usuario de tales servicios ha dado el consentimiento para la ejecución de la operación, para que pueda considerarse como autorizada: la obligación de la entidad de crédito no acaba con la autenticación formal, presumiendo que se trata del cliente bancario quien efectuado la operación porque utiliza las claves de seguridad personalizadas que la entidad de crédito le ha facilitado. La utilización del instrumento de pago no es más que eso, utilización del instrumento y no necesariamente fruto del consentimiento del cliente bancario.

Hasta el momento, en estas 3 sentencias (STJUE 9-4-2014, C-616/11, T-Mobile Austria; STJUE 2-9-21, C-337/20, CRCAM y STJUE 11-7-2024, C-409/22, Eurobank Bulgaria, el TJUE) el TJUE se había pronunciado acerca de la interpretación del art. 58 de la Directiva 2007/64, aplicable a dichos asuntos, interpretación que no cambia respecto del art. 71 de la Directiva 2025/2366 actual, y, por lo tanto, aplicable también al art. 43 del RD-ley 19/2018. Esta interpretación se refería al régimen de obligaciones y responsabilidades de cada parte, y específicamente a la obligación del cliente bancario de notificar a la entidad de crédito la existencia de una operación de pago no autorizada, como condición indispensable para obtener la rectificación del importe de dicha operación adeudada. Pero con la STJUE 1-8-2025, C-665/23, Veracash, el TJUE amplía la interpretación al definir el momento que debe hacerse esa notificación sin tardanza injustificada, y las consecuencias de su incumplimiento.

Esta sentencia, teniendo en cuenta el Considerando nº 31 de la Directiva 2007/64, idéntico al Considerando 71 de la Directiva 2015/2366[1], analiza el alcance de la obligación a cargo del cliente bancario de notificar a su entidad de crédito que ha llegado a su conocimiento cualquier operación de pago no autorizada o no ejecutada correctamente, obligación que ha de realizarse «sin tardanza injustificada» y «a más tardar a los 13 meses de la fecha del adeudo», a no ser, cuando proceda, que el proveedor de servicios de pago no le haya proporcionado o hecho accesible la información sobre la operación de pago con arreglo a lo dispuesto en el Titulo III de la Directiva 2007/64 y Directiva 2025/2366, que se corresponden con las que se contienen en el Titulo II del RD-ley 19/2018. Especialmente es objeto de decisión en esta sentencia si el cliente bancario pierde el derecho a la rectificación del importe adeudado, cuando la notificación se realizado con tardanza injustificada pero dentro del plazo de los 13 meses siguientes a la fecha del adeudo.

El TJUE reitera en esta sentencia que la obligación de notificación sin tardanza injustificada desde que el cliente bancario tenga conocimiento de una operación de pago no autorizada, en primer lugar, es una manifestación específica del deber de diligencia del cliente bancario, en segundo lugar, constituye un elemento esencial del régimen de responsabilidad por este tipo de operaciones de pago no autorizadas, como ya se puso de manifiesto en la STJUE 2-9-2021 (C-337/20, CRCAM), y por último, la obligación de notificación sin tardanza injustificada, sirve como referencia para el reparto de responsabilidades entre el cliente bancario y la entidad de crédito, todo ello en cualquiera de las circunstancias que se señalan en los párrafos 34 a 37 de las conclusiones de la Abogada General, es decir tanto si el cliente bancario tiene conocimiento del extravío, robo o sustracción del instrumento de pago, o de la utilización no autorizada de éste, como cuando el cliente bancario tiene conocimiento de cualquier operación no autorizada, o cuando las dos situaciones anteriores concurren (casi) simultáneamente, porque una operación no autorizada puede ser posterior al extravío, robo, sustracción o utilización no autorizada del instrumento de pago, pero no toda operación de pago no autorizada ha de ser consecuencia del extravío, robo, sustracción o de la utilización no autorizada de un instrumento de pago.

El objetivo de la notificación en caso de extravío, robo o sustracción del instrumento de pago, o de su utilización no autorizada, según impone el art. art. 41 del RD-ley 19/2018 (art. 56 de la Directiva 2007/64 y art. 69 de la Directiva 2015/2366) es de carácter preventivo, para permitir al proveedor de servicios de pago bloquear el instrumento de pago e impedir futuras utilizaciones no autorizadas. El objetivo de la notificación prevista en el art. art. 43 del RD-ley 19/2018 (art. 58 de la Directiva 2007/64 y art. 71 de la Directiva 2015/2366) tiene función compensatoria, para permitir al ordenante reclamar y obtener el reembolso de operaciones no autorizadas. Pero en ambos casos, las obligaciones de notificación deben aplicarse de manera coherente, entendiéndose que la obligación de notificación se subsume en la notificación (y reclamación) de una operación no autorizada.

En esta sentencia de 1 de agosto de 2025, C-665/23, Veracash, párrafos 38 y 39, el TJUE indica que se trata de dos requisitos temporalmente distintos, aunque uno es de carácter subjetivo y obliga al cliente bancario a actuar lo antes posible, y nace desde el momento en que tenga conocimiento de la existencia de la operación de pago no autorizada, y en cambio, el plazo de trece meses, es de carácter objetivo, y comienza a correr a partir de la fecha del adeudo. La actuación «sin tardanza injustificada» habrá que valorarla, como siempre, «habida cuenta de las circunstancias en las que se encuentre» el cliente bancario.

Concluye la sentencia Veracash, que la notificación efectuada en el plazo de 13 meses a contar desde la fecha del adeudo, no es suficiente para dar cumplida la notificación «sin tardanza injustificada» de la existencia de una operación de pago no autorizadas, obligación ésta que ha de cumplirse desde el momento en que el cliente bancario tenga conocimiento de ello, de forma que la finalidad preventiva de la notificación se menoscaba si se admitiese la validez de cualquier notificación que se efectúe sin sobrepasar el plazo de 13 meses, que en todo caso, se considera como máximo dentro del cual ha de verificarse la notificación temprana, que ha de realizarse con la mayor brevedad posibles, sin tardanza injustificada, sin demora indebida, en definitiva, lo antes posible desde que el cliente bancario tenga conocimiento de la ejecución de la operación de pago no autorizada.

El pfo. 51 de esta sentencia sienta la siguiente conclusión: « De lo anterior se infiere que la obligación de notificación establecida en el artículo 58 de la Directiva­ – refiriéndose a la D/2007/64 – solo se considera cumplida si se satisface el doble requisito de que, por un lado, el usuario de servicios de pago notifique sin tardanza injustificada a su proveedor de servicios de pago que ha llegado a su conocimiento una operación de pago no autorizada y, por otro, que la notificación se produzca a más tardar a los trece meses de la fecha del adeudo.»

            La conclusión de STJUE 1-8-2025 (C-665/23, Veracash), es evidente, según se expone en el pfo. 56: el usuario de servicios de pago, «en principio, se verá privado del derecho a obtener la rectificación de una operación si no notificó sin tardanza injustificada a su proveedor de servicios de pago que llegó a su conocimiento una operación de pago no autorizada, aun cuando se lo hubiera notificado en los trece meses siguientes a la fecha del adeudo», y en consonancia con lo dicho en el pfo. 76, aclara que la privación del derecho a la rectificación se producirá, salvo en caso de actuación fraudulenta, si el cliente bancario tardó en realizar la notificación, deliberadamente o por negligencia grave, consistente en un incumplimiento patente de la obligación de diligencia.

Y para el caso de que existan diversas operaciones de pago sucesivas, como en el supuesto de hecho de esta sentencia C-665/23, Veracash, realizadas mediante la utilización del mismo instrumento de pago extraviado, robado o sustraído, o de la utilización no autorizada de tal instrumento, el cliente bancario solo se verá privado del derecho a obtener la devolución de las pérdida ocasionadas como consecuencia de las operaciones que haya tardado en notificar a su proveedor de servicios de pago deliberadamente, o por negligencia grave, o lo que es lo mismo, la entidad de crédito solo dejará de responder, y cesará su obligación de rectificación respecto de las operaciones de pago no autorizadas anteriores a la notificación, pero no de las posteriores, o de aquellas en que la tardanza indebida no se pueda calificar de deliberada ni por negligencia grave.

Las conclusiones que se derivan de todo lo expuesto hasta el momento son, acudiendo también a la STS Sala de lo Civil, nº 571/2025 de 9 de abril, que la obligación del usuario de servicios de pago, el cliente bancario, ante la existencia de una operación de pago no autorizada (caso de phishing, por ejemplo), es notificarlo al proveedor de servicios de pago, la entidad de crédito, de manera inmediata, tan pronto tenga conocimiento de ello, obligación idéntica a cuando conoce el extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada. El proveedor de servicios de pago, la entidad de crédito. tiene obligación de rectificación inmediata y reintegro en caso de que operaciones de pago no autorizadas o ejecutadas incorrectamente, pero a condición de que el usuario de servicios de pago se lo comunique sin demora injustificada, salvo que tenga motivos razonables para sospechar de la existencia de fraude y comunique dichos motivos por escrito al Banco de España, incumbiendo a la entidad de crédito la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, pero sin que el mero hecho del registro de la utilización del instrumento de pago, sea suficiente para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor de servicios de pago, a la entidad de crédito, la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

La obligación a cargo del usuario de servicios de pago, el cliente bancario, desde que conozca la existencia de cualquier operación de pago no autorizada, ha de cumplirse con la mayor brevedad posible desde dicho conocimiento, notificación que no puede sobrepasar el plazo de 13 meses desde la fecha del adeudo en la cuenta de pago del importe de la operación controvertida. El régimen de responsabilidad del proveedor de servicios de pago, a partir del cumplimiento de las condiciones anteriores, es cuasi objetivo, y solo la entidad de crédito quedará exonerada de la obligación de rectificar la cuenta de pago y devolverla al momento anterior al adeudo de la  operación, en caso de actuación fraudulenta por parte del cliente bancario, o incumplimiento deliberado de sus obligaciones, o con negligencia, que ha de calificarse de grave.

[1] Los Considerandos de ambas Directiva: «Para reducir los riesgos y las consecuencias de operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, el usuario del servicio de pago debe informar al proveedor de servicios de pago lo antes posible sobre sus posibles reclamaciones en relación con las supuestas operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, siempre y cuando el proveedor de servicios de pago haya respetado sus obligaciones de información con arreglo a la presente Directiva. Si el usuario del servicio de pago respeta el plazo de la notificación, debe tener la posibilidad de presentar esa reclamación respetando los plazos de prescripción aplicables con arreglo al Derecho nacional. La presente Directiva no debe afectar a otras reclamaciones entre usuarios de servicios de pago y proveedores de servicios de pago.»