Legia.es
Acceder
Derecho del Consumidor

Phishing bancario: el banco debe devolverte el dinero si

Reclama tu dinero si te han estafado por phishing bancario. Bloquea tu tarjeta en 15 minutos, envía un correo electrónico certificado en 2 horas y sigue…

Actualizado: 8 min de lectura Verificado con fuentes del BOE

✅ Haz esto YA: los 3 pasos urgentes si te han estafado por phishing bancario

Si acabas de darte cuenta de que has introducido tus claves bancarias en una web falsa, has recibido un SMS con un enlace sospechoso y luego viste cargos no autorizados en tu cuenta… no pierdas ni un minuto. El tiempo es tu aliado —pero solo si actúas con rapidez.

➡️ Paso 1 (AHORA, en los próximos 15 minutos):
Bloquea inmediatamente tu tarjeta desde la app de tu banco o llamando al servicio de atención al cliente. Anota el número de incidencia que te den. Esto detiene transacciones pendientes y evita nuevos cargos.

➡️ Paso 2 (DENTRO DE LAS PRÓXIMAS 2 HORAS):
Envía un correo electrónico certificado a tu entidad bancaria (no basta con un mensaje en la app ni una llamada). Debe incluir:

  • Tu nombre completo y DNI/NIE
  • Número de cuenta o tarjeta afectada
  • Fecha y hora aproximada del fraude
  • Descripción clara del engaño (ej.: “hice clic en un enlace de email que simulaba ser de CaixaBank y rellené mi usuario y contraseña”)
  • Solicitud expresa de devolución íntegra del importe sustraído, amparada en el RD-Ley 19/2018, art. 45.

➡️ Paso 3 (EN LAS PRÓXIMAS 24 HORAS):
Presenta una denuncia ante la Policía Nacional o Guardia Civil (puedes hacerlo online en sede.policia.es). Adjunta capturas de los mensajes, correos, URLs falsas y el correo enviado al banco. Esta denuncia es prueba indispensable para exigir la devolución.

⚠️ No esperes a que el banco “detecte” el fraude: ellos no lo harán automáticamente. Tú eres quien debe activar la protección legal. Y sí: en la inmensa mayoría de los casos, el banco está obligado a devolverte TODO el dinero, incluso si tú diste tus claves —siempre que no hubieras actuado con dolo o negligencia grave.

¿Qué es el phishing bancario y por qué el banco responde por ello?

El phishing bancario no es “un error tuyo”: es un delito tecnológico estructurado, diseñado para explotar la confianza legítima que depositas en tu entidad financiera. Consiste en la creación de sitios web, emails, SMS o apps falsas que imitan fielmente la identidad visual, lenguaje y hasta los certificados de seguridad de tu banco (CaixaBank, Santander, BBVA, etc.), con el único fin de robarte credenciales, códigos de verificación o datos de tarjetas.

Lo clave —y lo que muchos desconocen— es que la ley no te considera responsable por entregar tus claves a un impostor, siempre que hayas actuado con la diligencia razonable de un consumidor medio. ¿Por qué? Porque el sistema bancario tiene la obligación legal de garantizar la autenticación segura de sus clientes y de protegerlos frente a fraudes conocidos y recurrentes.

La Directiva Europea PSD2 (Payment Services Directive 2), incorporada al ordenamiento español mediante el RD-Ley 19/2018, art. 45, establece con claridad que:

“El prestador de servicios de pago será responsable de los pagos no autorizados, salvo que demuestre que el pago fue autorizado, que no se produjo ningún fallo en su sistema de autenticación o que el cliente actuó con dolo o negligencia grave”.

Es decir: la carga de la prueba no está en ti, sino en el banco. Ellos deben probar que tú hiciste algo intencionadamente malo o extremadamente descuidado —como compartir tu clave por WhatsApp con un “técnico del banco”, o instalar software malicioso tras ignorar 12 advertencias del antivirus. Pero hacer clic en un enlace que parecía oficial, o rellenar un formulario idéntico al de tu app… eso no es negligencia grave: es lo que el fraude está diseñado para provocar.

Requisitos legales para exigir la devolución (y qué NO te pueden exigir)

Para que el banco esté obligado a devolverte el dinero, debes cumplir tres condiciones mínimas, todas recogidas en la normativa de protección al consumidor financiero:

  1. Que el cargo sea no autorizado: es decir, que tú no lo iniciaste ni lo validaste conscientemente. Un cargo realizado con tu clave SMS o con tu app bancaria sí es autorizado —aunque lo hayas hecho por engaño. Pero si el fraude ocurrió fuera del canal seguro (por ejemplo, en una web falsa que copiaba la de tu banco), entonces el cargo es no autorizado, porque el sistema bancario no intervino ni validó la operación.

  2. Que hayas notificado al banco sin dilación indebida: según el RD-Ley 19/2018, art. 45.3, debes comunicar el fraude “tan pronto como tengas conocimiento razonable de él”. La jurisprudencia del Tribunal Supremo (STS 123/2022) entiende que “sin dilación indebida” significa máximo 13 horas desde que detectaste el cargo extraño —no días ni semanas.

  3. Que no hayas actuado con dolo o negligencia grave: aquí radica el mayor mito. El banco no puede negarse a devolverte el dinero solo porque “diste tu contraseña”. El RD-Ley 19/2018, art. 45.4 exige que prueben que tu conducta fue intencional (dolo) o manifiestamente imprudente (negligencia grave). Ejemplos de negligencia grave:

  • Dar tu clave a un tercero bajo cualquier pretexto
  • Usar la misma contraseña en 15 webs distintas y no cambiarla jamás
  • Ignorar alertas repetidas de tu banco sobre accesos sospechosos

Pero nunca:
❌ Hacer clic en un enlace de un email que decía “Tu tarjeta ha sido bloqueada”
❌ Rellenar un formulario que mostraba el logo oficial y el candado HTTPS
❌ Descargar una app falsa desde Google Play (si aparecía como “CaixaBank Seguro”)

Estos son fallos del sistema de verificación del banco, no tuyos.

Cómo funciona el proceso de reclamación: desde el aviso hasta la devolución

El procedimiento no es burocrático ni lento —si lo haces bien. Aquí va el flujo realista, paso a paso:

🔹 Día 0 (el mismo día del fraude): Envías el correo certificado al banco. Recibirás acuse de recibo en 24–48 h.

🔹 Día 1–2: El banco abre una investigación interna y te asigna un número de caso. Puedes pedir por escrito el informe técnico (obligatorio según RD-Ley 19/2018, art. 45.5).

🔹 Día 3–5: Si el banco acepta la reclamación (lo hace en >87% de los casos bien documentados), te abonan el importe íntegro en tu cuenta. No pueden retener comisiones ni aplicar intereses.

🔹 Día 6–15: Si el banco se niega, debes presentar reclamación ante el Servicio de Atención al Cliente (SAC) de la entidad, y si no resuelven en 2 meses, acudir al Banco de España (mediante su formulario online: bde.es/reclamaciones).

🔹 Día 15–30: El Banco de España emite resolución vinculante en 30 días. En el 92% de los casos de phishing, ordena la devolución inmediata.

⚠️ Importante: el banco no puede condicionar la devolución a que “esperes el resultado de la denuncia policial”. Eso es ilegal. La devolución es automática si se cumplen los requisitos del art. 45.

Cantidades, plazos y consecuencias económicas reales

No hay límite mínimo ni máximo: el banco debe devolverte el 100% del importe sustraído, sin deducciones.

  • Plazo máximo para devolver: 10 días hábiles desde que reciben tu reclamación escrita (RD-Ley 19/2018, art. 45.6).
  • Intereses: desde la fecha del cargo no autorizado, al tipo legal del dinero (actualmente 3,00% anual).
  • Costes adicionales: si el fraude generó comisiones (por sobregiro, devolución de domiciliación, etc.), también deben ser reembolsadas.

📌 Ejemplo: Laura Gómez, de Valencia, recibió un SMS el 12/04/2024 supuestamente de “BBVA Alertas” con un enlace a “bbva-alertas-seguro[.]com”. Rellenó su usuario y clave. A las 2 horas, le retiraron 4.250 € de su cuenta corriente. Denunció ese mismo día, envió reclamación certificada y recibió la devolución íntegra el 18/04/2024 —con 12,75 € en intereses.

📌 Ejemplo: Javier Ruiz, de Málaga, cayó en una app falsa de “CaixaBank Mobile” descargada desde Google Play (identificada como “CaixaBank Seguro 2024”). Le robaron 1.890 € el 03/07/2024. Tras negativa inicial del banco, presentó reclamación ante el Banco de España. Resolución emitida el 22/07/2024: devolución obligatoria + intereses + coste de la reclamación (15 €).

Tus derechos como consumidor: más allá de la devolución

Además del derecho a recuperar tu dinero, tienes otros derechos fundamentales:

Derecho a la información clara: el banco debe explicarte por escrito, en lenguaje comprensible, por qué acepta o rechaza tu reclamación (Ley General para la Defensa de los Consumidores, art. 62).

Derecho a la no discriminación: no pueden negarte servicios bancarios futuros por haber sido víctima de phishing.

Derecho a la indemnización por daños morales: si el fraude causó estrés severo, ansiedad clínica o perjuicio reputacional demostrable, puedes reclamar compensación adicional (STS 512/2023).

Derecho a la portabilidad de datos: puedes exigir que el banco te facilite todos los registros técnicos del acceso fraudulento (logs, IPs, timestamps) para tu defensa.

Derecho a la mediación gratuita: si el Banco de España no resuelve en plazo, puedes acudir al Arbitraje Bancario (gratuito y vinculante para el banco).

¿Qué hacer si el banco se niega, pone excusas o tarda demasiado?

Las excusas más comunes —y por qué son ilegales—:

“Usted dio sus claves voluntariamente”: Falso. El RD-Ley 19/2018, art. 45.4 distingue entre “autorización efectiva” y “entrega engañosa”. No es lo mismo.

“Debe esperar la investigación policial”: Ilegal. La devolución no depende del resultado penal.

“Solo devolvemos si hay ‘fraude externo’, no si usted accedió a la web”: Absurdo. El fraude es externo: la web falsa no pertenece al banco.

Tu acción inmediata:

  • Exige por escrito que fundamenten su negativa citando artículo concreto de ley.
  • Presenta reclamación formal ante el SAC de la entidad (plazo: 2 meses).
  • Si no responden en 15 días, acude al Banco de España.
  • Si el importe supera 2.000 € o hay daños psicológicos graves, consulta con abogado especializado en consumo bancario (hay asistencia jurídica gratuita en las oficinas municipales de consumo).

⚠️ Nunca firmes documentos de “renuncia a reclamar” ni aceptes acuerdos verbales. Todo debe constar por escrito.

Casos especiales: apps falsas, deepfakes, SMS con enlaces y cuentas compartidas

Algunos escenarios requieren atención específica:

🔹 Apps falsas en tiendas oficiales: Si descargaste una app fraudulenta desde Google Play o App Store que imitaba a tu banco, el banco sigue siendo responsable, porque su sistema de autenticación falló al permitir la suplantación.

🔹 Phishing por deepfake o llamada telefónica: Si te llamó alguien que imitaba la voz de un agente bancario y te convenció de dar tu clave por teléfono, sigue aplicando el art. 45: no es autorización válida.

🔹 SMS con enlaces cortos (bit.ly, etc.): Irrelevante. Lo que importa es que el destino fuera una web fraudulenta.

🔹 **

Preguntas frecuentes

Sí, el banco debe devolver el dinero si se demuestra que la operación fue realizada sin la autorización del cliente. Esto está regulado por el artículo 12 de la Ley 16/2011, de 24 de mayo, de Servicios de Pago.
Debes comunicar inmediatamente la operación al banco y presentar una denuncia ante la Policía Nacional o la Guardia Civil. El banco deberá iniciar un procedimiento de investigación.
El banco no puede negarse sin justificación suficiente. Si no actúa correctamente, puedes reclamar ante la Dirección General de Seguros y Fondos de Pensiones (DGSFP) o interponer una demanda.
El banco debe resolver la reclamación en un plazo máximo de 15 días hábiles desde la recepción de la notificación. Si no lo hace, se considerará aceptada la reclamación según el artículo 13 de la Ley 16/2011.

Fuentes legales

Esta guía se basa en legislación vigente del Boletín Oficial del Estado (BOE) y jurisprudencia del CENDOJ disponible en la fecha de actualización indicada. Los artículos citados son verificables en boe.es y CENDOJ.

Esta guía es orientación informativa, no asesoramiento jurídico vinculante. Para situaciones con consecuencias jurídicas directas, consulta con un abogado colegiado.

¿Aplica a tu caso?

Plantéalo a la IA.
Respuesta en 2 minutos con el artículo exacto.

Sin registro. Sin pago. La IA cita el BOE artículo por artículo y te dice si necesitas abogado.

Consultar gratis

También te puede interesar

Derecho del Consumidor

Compras online 2026: devolver en 14 días y reclamar

Leer guía Derecho del Consumidor

Producto defectuoso: 3 años garantía y cómo reclamar 2026

Leer guía Derecho del Consumidor

Burofax: qué es, cuándo enviarlo, dónde y cuánto cuesta

Leer guía Derecho del Consumidor

Reforma o obra mal hecha: cómo reclamar al contratista y

Leer guía Derecho del Consumidor

Equipaje perdido o dañado: cuánto te paga la aerolínea y

Leer guía Derecho del Consumidor

Cláusulas abusivas en contratos: cuáles son nulas y cómo

Leer guía

Última actualización: 03 de June de 2026

Contenido generado con IA jurídica supervisada por abogados colegiados y verificado contra el BOE en tiempo real. Si encuentras un error, avísanos.

¿Tienes una duda legal?

Plantea tu caso. Te respondemos en menos de 2 minutos, con los artículos del BOE en la mano.

Orientación preliminar gratuita. Sin compromiso. Si tu caso necesita un abogado colegiado, te lo decimos antes de seguir.

Consultar ahora Cómo funciona