Que el banco te robe no es noticia. Que te roben a través del banco y encima seas tú el culpable según la entidad, eso ya es otro nivel de descaro. El phishing se ha convertido en una de las estafas digitales más extendidas de los últimos años, y con él ha crecido, en paralelo y con llamativa puntualidad, una respuesta bancaria tan predecible como irritante: el cliente actuó con negligencia grave. Punto. Caso cerrado. Dinero perdido.

Lo curioso —por llamarlo de algún modo— es que esa respuesta no solo es moralmente repugnante, sino que además contradice de forma flagrante lo que establece la normativa europea de servicios de pago. Según esta regulación, cuando se produce una operación bancaria no autorizada realizada por terceros, el banco está obligado a devolver el importe sustraído de forma inmediata, como muy tarde el día hábil siguiente a recibir la reclamación. No es una recomendación. No es una buena práctica. Es una obligación legal. La única excepción reconocida es que la entidad sospeche que ha sido el propio usuario quien ha cometido fraude, y en ese caso —atención, porque aquí está la clave— debe comunicarlo por escrito al Banco de España aportando las razones concretas que justifican esa sospecha. Así lo recuerda la Organización de Consumidores y Usuarios (OCU), que lleva años documentando cómo la banca ignora sistemáticamente este marco normativo.

El argumento de la negligencia grave, un comodín muy rentable

Porque en la práctica lo que ocurre es bien distinto. Numerosas entidades deniegan el reembolso alegando, de manera genérica y sin aportar pruebas concretas, que el usuario ha actuado con negligencia grave. El argumento funciona como un comodín: no requiere demostración, no exige documentación específica y traslada la carga de la prueba al consumidor, que es exactamente lo contrario de lo que establece la ley. El banco no prueba nada. El banco afirma, y con eso parece suficiente para cerrar el expediente y conservar el dinero del cliente.

El proceso de reclamación tampoco ayuda a corregir esta disfunción. Cuando el departamento de atención al cliente o el defensor del cliente de la entidad rechaza la reclamación —cosa que ocurre con desconcertante frecuencia—, los afectados suelen acudir al Banco de España. El problema es que el propio organismo supervisor reconoce que determinar si existe o no negligencia grave excede sus competencias. Dicho de otro modo: el regulador que debería vigilar a los bancos se declara incompetente para resolver el conflicto más habitual que generan. El resultado es que el consumidor, ya perjudicado por la estafa, se ve abocado a iniciar un procedimiento judicial largo, costoso y emocionalmente agotador, mientras el banco mantiene el dinero en su poder y continúa operando con total normalidad.

El Abogado General del TJUE señala que los bancos deberán pagar primero y probar la culpa del cliente después

Ahí es donde entra un pronunciamiento reciente que, aunque no tiene aún carácter vinculante, abre una grieta importante en el muro de impunidad que ha construido la banca alrededor de estos casos. Un juzgado polaco planteó al Tribunal de Justicia de la Unión Europea una cuestión que en realidad debería haber estado resuelta desde el principio: ¿puede un banco negarse a devolver de inmediato el importe de un pago no autorizado argumentando que el cliente actuó con negligencia grave?

La respuesta del Abogado General del TJUE es tan contundente como necesaria. El reembolso es prioritario. La entidad bancaria debe devolver primero el dinero y, solo después, si considera que el cliente incurrió en negligencia grave, podrá acudir a los tribunales a reclamarlo con las pruebas que sustenten esa acusación. No al revés. No como hasta ahora. Primero paga, luego prueba. Exactamente lo que la normativa europea lleva años estableciendo y que los bancos han ignorado con la complicidad de un sistema de supervisión que mira para otro lado.

Las conclusiones del Abogado General no son vinculantes, y habrá que esperar a que el TJUE dicte sentencia para saber si ese criterio se consolida como jurisprudencia aplicable en toda la Unión Europea. Pero el simple hecho de que un órgano de esta relevancia ponga negro sobre blanco lo que debería ser evidente supone un avance significativo para los derechos de los consumidores financieros.

El sistema podría cambiar, pero hay que esperar al TJUE

Mientras tanto, las asociaciones de consumidores siguen haciendo el trabajo que ni los bancos ni los reguladores hacen: acompañar a los afectados por phishing y ciberestafas, analizar cada caso de forma individual, mediar con las entidades y, cuando la respuesta no es favorable —que suele ser casi siempre—, explorar la vía judicial como único recurso real. Porque el problema no es solo que los bancos no devuelvan el dinero. El problema es que el sistema está diseñado, o al menos tolerado, de forma que hacerlo sea tan difícil, tan caro y tan agotador que muchos consumidores terminan desistiendo. Y eso, para una industria que factura miles de millones cada año, resulta extraordinariamente conveniente.