Un asesor del Tribunal de Justicia de la Unión Europea ha declarado que los bancos deberían reembolsar a los clientes que pierden dinero por estafas de phishing, incluso si el cliente puede haber contribuido al incidente.
La opinión fue emitida por Athanasios Rantos, Abogado General en el Tribunal de Justicia de la Unión Europea, el máximo tribunal de la UE responsable de interpretar la legislación de la Unión Europea. La opinión se refiere a cómo deben los bancos gestionar las transacciones no autorizadas realizadas después de que los clientes sean engañados por ataques de phishing. Se relaciona con la interpretación de las normas establecidas en la Directiva de Servicios de Pago de la UE, que regula los pagos electrónicos en toda la Unión Europea.
Según la opinión, los bancos deben reembolsar a los clientes inmediatamente tras un pago no autorizado, salvo que existan motivos razonables para sospechar que el cliente ha cometido fraude. En tales casos, el banco debe notificar por escrito a la autoridad nacional correspondiente.
La opinión sigue a una solicitud de aclaración del Tribunal de Distrito de Koszalin, Polonia. El tribunal solicitó al tribunal de la UE que interpretara la directiva en una disputa que involucraba al PKO Bank Polski, un banco polaco controlado por el Estado, y uno de sus clientes.
El caso trata sobre un incidente de phishing que involucra a un cliente que vendía un artículo a través de una plataforma online. El cliente recibió un mensaje de una persona que se hacía pasar por comprador y que envió un enlace que imitaba la web del banco. Tras hacer clic en el enlace, el cliente introdujo las credenciales bancarias en la página fraudulenta.
La información permitía al atacante acceder a la cuenta bancaria del cliente e iniciar una transferencia no autorizada. El cliente descubrió la transacción y la reportó al banco al día siguiente.
PKO Bank Polski se negó a reembolsar los fondos. El banco argumentó que el cliente había demostrado negligencia grave al proporcionar credenciales de acceso en la web fraudulenta. El cliente entonces llevó el caso ante el tribunal polaco.
En su opinión, Rantos afirmó que, según las normas de pago de la UE, el banco debe primero reembolsar la cantidad de la transacción no autorizada. Si el banco considera que el cliente violó intencionadamente las obligaciones de seguridad o actuó con negligencia grave, puede intentar recuperar los fondos posteriormente.
Según la opinión, la carga de reclamar el reembolso recaería en el banco. Si el cliente se niega a devolver los fondos, el banco puede iniciar acciones legales para recuperar la cantidad.
La opinión establece que la autenticación de una transacción utilizando credenciales de inicio de sesión correctas no prueba automáticamente que el pago haya sido autorizado por el cliente. Los bancos deben demostrar que el cliente actuó de forma fraudulenta o con negligencia grave si tienen la intención de denegar el reembolso.
Una opinión del Abogado General no es una decisión definitiva. Es una recomendación legal proporcionada para asistir a los jueces del Tribunal de Justicia de la Unión Europea en la preparación de una decisión. El tribunal emitirá su sentencia en una fecha posterior.