Si has recibido un SMS, correo electrónico o llamada falsa que suplantaba a tu entidad y te han sustraído dinero, la ley te protege. Te explicamos qué derechos tienes, qué dice el Tribunal Supremo y cómo actuar paso a paso.
¿Qué es el phishing bancario?
El phishing bancario es una técnica de ciberestafa mediante la cual delincuentes suplantan la identidad de una entidad financiera —a través de correo electrónico, SMS o llamada telefónica— con el objetivo de engañar al consumidor para que facilite sus credenciales de acceso, números de tarjeta u otros datos sensibles que permiten ejecutar operaciones bancarias no autorizadas.
El término procede del inglés fishing (pescar), aludiendo a que los estafadores «lanzan el anzuelo» a un número masivo de personas esperando que alguna «pique». La sofisticación de estas técnicas ha crecido de forma exponencial: hoy los mensajes fraudulentos son prácticamente indistinguibles de las comunicaciones legítimas del banco, incluidas la dirección del remitente, los logotipos y el tono corporativo.
⚠ IMPORTANTE
Haber facilitado tus datos bajo engaño no implica negligencia grave. La jurisprudencia del Tribunal Supremo es clara: caer en un fraude técnicamente sofisticado es algo que puede ocurrirle a cualquier persona razonablemente diligente. Eso no te hace responsable de la pérdida.
Modalidades: smishing, vishing y otras variantes
El phishing adopta diversas formas según el canal utilizado. Conocerlas es el primer paso para identificarlas y, en su caso, acreditar ante el banco qué tipo de fraude sufriste:
| Modalidad | Canal | Técnica habitual | ¿Cubierto por PSD2? |
| Phishing | Correo electrónico | Enlace a web falsa del banco | Sí |
| Smishing | SMS | SMS con enlace; a veces insertado en el hilo oficial del banco (SMS spoofing) | Sí |
| Vishing | Llamada telefónica | El estafador se hace pasar por el servicio de seguridad del banco | Sí |
| SIM swapping | Duplicado de SIM | Obtienen una copia de tu SIM para interceptar los códigos de verificación | Sí |
| Caller ID spoofing | Llamada con n.º falso | Suplantan el número oficial del banco en el identificador de llamadas | Sí |
El problema en cifras: una amenaza en auge
Las cifras oficiales confirman que el fraude bancario digital no es un fenómeno marginal, sino uno de los principales problemas de consumo en España:
| 490%
Crecimiento acumulado de estafas informáticas en la última década (Ministerio del Interior) |
16%
De toda la delincuencia en España corresponde ya a estafas informáticas |
122.223
Incidentes de ciberseguridad gestionados por el INCIBE en 2025 (+26% respecto al año anterior) |
En 2024 se registraron aproximadamente 470.000 hechos conocidos clasificados como cibercriminalidad, de los que más del 91% correspondieron a estafas informáticas: compras falsas, phishing bancario, suplantación de identidad y fraudes en el comercio electrónico. El vector de entrada más frecuente es precisamente el phishing bancario.
Marco legal: qué dice la normativa sobre tu derecho a la devolución
La protección del consumidor ante el fraude bancario digital descansa sobre dos pilares normativos complementarios:
Directiva Europea PSD2 y su transposición española
| Art. 45 — Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago
El proveedor de servicios de pago —es decir, el banco— tiene la obligación legal de devolver de forma inmediata, y como máximo antes del final del día hábil siguiente, el importe íntegro de cualquier operación de pago no autorizada por el usuario. |
Este principio de responsabilidad cuasi objetiva es la piedra angular de la protección al consumidor: el banco responde frente a operaciones no autorizadas con independencia de si incurrió en culpa o dolo, salvo en dos supuestos muy tasados:
- Fraude del propio usuario.
- Negligencia grave del usuario en la custodia de sus credenciales.
Y lo más relevante: la carga de la prueba de esas excepciones recae íntegramente sobre la entidad bancaria. No es el consumidor quien debe demostrar que no fue negligente; es el banco quien debe acreditar que sí lo fue.
| Art. 44 — Real Decreto-ley 19/2018 · Inversión de la carga de la prueba
Si el cliente niega haber autorizado una operación de pago, la entidad deberá demostrar que la operación fue autenticada correctamente, registrada con exactitud y no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado. |
Reglamento DORA (2026)
Desde enero de 2025 es de plena aplicación el Reglamento DORA (Digital Operational Resilience Act, UE 2022/2554), que obliga a todas las entidades financieras a implementar estándares mínimos de ciberseguridad, someterse a pruebas de resistencia periódicas y notificar los incidentes graves a los reguladores. Aunque no crea derechos directos adicionales para el consumidor, refuerza la responsabilidad de los bancos y eleva el estándar de diligencia exigible.
Jurisprudencia del Tribunal Supremo: la protección del consumidor se consolida
La evolución jurisprudencial en materia de phishing bancario ha sido notable en los últimos años. La doctrina del Tribunal Supremo ha ido consolidando una interpretación cada vez más protectora para el consumidor.
| «El uso de contraseñas o códigos de autenticación no implica automáticamente que el cliente haya dado su consentimiento; este debe ser real y consciente. Si el cliente niega haber autorizado la operación, el banco tiene la obligación de demostrar lo contrario.»
Doctrina TS · Sentencia 571/2025, de 9 de abril de 2025 |
Sofisticación del ataque como criterio de diligencia
El Tribunal Supremo ha establecido que la sofisticación técnica del ataque —SMS spoofing, caller ID spoofing, SIM swapping— demuestra por sí misma que el usuario no fue negligente, sino víctima de una técnica que cualquier persona razonablemente diligente podría no detectar. Si los propios sistemas del banco no fueron capaces de identificar el fraude, mal puede imputarse negligencia al consumidor.
Obligación de vigilancia activa del banco
La jurisprudencia exige a las entidades bancarias un alto nivel de diligencia profesional: deben implementar sistemas capaces de detectar operaciones sospechosas de forma automática —movimientos inusuales, transferencias numerosas en breve plazo, importes atípicos— y actuar ante ellas incluso sin reclamación previa del cliente. La ausencia de estas medidas constituye, por sí sola, base suficiente para imputar responsabilidad al banco.
Invalidez de las cláusulas de exoneración contractual
La sentencia insiste en que las cláusulas contractuales que pretenden liberar al banco de responsabilidad en caso de accesos ilegítimos son inválidas cuando contradicen la normativa imperativa de servicios de pago. No puede el banco blindarse frente a su propia deficiencia de seguridad mediante la letra pequeña del contrato.
¿Cuándo está el banco obligado a responder?
| Supuesto | Responsabilidad del banco | Fundamento | Acción recomendada |
| Sistema de autenticación engañado por técnicas sofisticadas | Sí — Obligado | PSD2 / STS 571/2025 | Reclamación inmediata |
| Banco no detectó operativa anómala | Sí — Obligado | Diligencia profesional | Aportar extracto bancario |
| Cliente avisó y el banco no actuó | Sí — Obligado | Incumplimiento contractual | Conservar comunicaciones |
| Cláusula contractual exonera al banco | Sí — Obligado | Cláusula nula (RDL 19/2018) | Invocar nulidad en reclamación |
| Cliente entregó datos sin coacción ni engaño | Posible exoneración | Fraude o negligencia grave | Valorar asesoramiento jurídico |
⚖ CRITERIO CLAVE DE ADICAE
Ante la duda, reclama siempre. La valoración de si existió negligencia grave corresponde al juez, no al banco. La entidad no puede ser juez y parte en la determinación de su propia responsabilidad. Si el banco rechaza tu reclamación, tienes vías adicionales para que un tercero independiente valore los hechos.
Cómo reclamar paso a paso
Si has sido víctima de phishing bancario, la rapidez es fundamental. Sigue estos pasos en el orden indicado:
| 1 | Bloquea la cuenta y el medio de pago de forma inmediata
Llama al número de emergencias de tu banco (24 horas) o accede a la app y bloquea la tarjeta y, si es posible, la cuenta. Anota el número de incidencia que te faciliten. El tiempo es crítico para limitar el daño y para acreditar tu diligencia. |
| 2 | Cambia todas tus contraseñas y revisa tus dispositivos
Modifica las claves del banco, del correo electrónico y de cualquier aplicación vinculada. Comprueba si hay aplicaciones desconocidas instaladas o accesos sospechosos. Si puedes, cuenta con la asistencia de un técnico informático. |
| 3 | Interpón denuncia ante la Policía Nacional o la Guardia Civil
Acude al cuartel o comisaría más cercana, o utiliza la denuncia online de la Policía Nacional. Aporta todos los elementos probatorios: SMS, correos electrónicos, capturas de pantalla, extractos bancarios y la hora exacta de los hechos. La denuncia es esencial para la reclamación posterior. |
| 4 | Presenta reclamación escrita al banco exigiendo la devolución inmediata
Dirige un escrito formal al Servicio de Atención al Cliente de la entidad invocando el artículo 45 del Real Decreto-ley 19/2018 y solicitando la restitución íntegra de los importes sustraídos. Conserva acuse de recibo. Sin este paso previo, el Banco de España no admitirá tu reclamación posterior. |
| 5 | Si el banco no responde o deniega: acude al Banco de España
Si transcurren 15 días hábiles sin respuesta satisfactoria, puedes presentar queja ante el Departamento de Conducta de Mercado y Reclamaciones del Banco de España. El proceso es gratuito y puede realizarse online. La resolución no es vinculante, pero las entidades suelen acatarla para evitar daño reputacional. |
| 6 | Como último recurso: vía judicial
Para importes de hasta 2.000 €, el juicio verbal no requiere abogado ni procurador. Para cantidades superiores, es recomendable contar con un abogado especializado en derecho bancario. La jurisprudencia vigente es muy favorable al consumidor. |
| 📞 RECURSO ADICIONAL
Si sospechas que tu dispositivo está comprometido, contacta con el INCIBE (Instituto Nacional de Ciberseguridad) a través del teléfono 017 o su web incibe.es. El servicio es gratuito y confidencial. |
Plazos que debes conocer
| Actuación | Plazo | Observaciones |
| Notificación al banco del fraude | Inmediatamente / el mismo día | Cuanto antes, más posibilidades de bloquear las operaciones |
| Reclamación extrajudicial al banco | 13 meses desde el cargo | Plazo legal máximo; conviene actuar lo antes posible |
| Respuesta del banco a la reclamación | 15 días hábiles (máx.) | 5 días para operaciones de pago |
| Reclamación ante el Banco de España | Tras denegación o silencio | 2 meses desde resolución del SAC (sin ser servicios de pago) |
| Acción judicial | 5 años | Plazo general de prescripción de acciones contractuales |
Preguntas frecuentes sobre phishing bancario
| ¿El banco puede negarme la devolución alegando que yo facilité mis datos? |
| El banco solo puede negarse a devolver el dinero si acredita de forma suficiente que el cliente actuó con fraude o con negligencia grave. Haber facilitado datos bajo el engaño de un ataque sofisticado —que incluía mensajes o páginas prácticamente idénticos a los originales— no constituye, por sí solo, negligencia grave. La jurisprudencia del Tribunal Supremo ha sido clara al respecto. |
| ¿Qué documentación debo reunir para reclamar? |
| Conserva todo lo que puedas: capturas de pantalla de los SMS, correos electrónicos o páginas web fraudulentas; el extracto bancario con las operaciones no autorizadas; la denuncia policial con su número de atestado; y cualquier comunicación previa con el banco en la que hayas alertado de movimientos sospechosos. Cuanta más documentación, más sólida será tu posición. |
| ¿Puedo reclamar aunque el banco diga que las transferencias fueron «autenticadas»? |
| Sí. La autenticación formal no cierra el debate jurídico. Como ha establecido el Tribunal Supremo, el consentimiento obtenido mediante engaño no es un consentimiento real y consciente. Además, si concurrían señales evidentes de fraude y el banco no activó ninguna alerta, puede existir base sólida para reclamar con independencia de que las operaciones estuvieran técnicamente «autenticadas». |
| ¿Necesito un abogado para reclamar al banco o al Banco de España? |
| Para la reclamación al Servicio de Atención al Cliente del banco y para la queja ante el Banco de España no se requiere abogado. Tampoco para el juicio verbal de hasta 2.000 €. Para importes superiores en vía judicial, es recomendable contar con asesoramiento jurídico especializado. Desde ADICAE podemos orientarte en los primeros pasos. |
| ¿El phishing por llamada telefónica (vishing) tiene la misma protección que por correo? |
| Sí. La protección que establece el Real Decreto-ley 19/2018 (transposición de la PSD2) aplica a cualquier operación de pago no autorizada, con independencia del canal utilizado para el fraude. El smishing (SMS), el vishing (llamada) y el phishing clásico (correo electrónico) quedan todos bajo el mismo paraguas normativo. |
