Me han robado del banco por phishing: qué hacer paso a paso

Q: ¿Está obligado el banco a devolver el dinero robado por phishing?

Sí, en la mayoría de casos. El Real Decreto-ley 19/2018 (que transpone la Directiva PSD2) establece que el banco debe reembolsar operaciones no autorizadas salvo que demuestre que el cliente actuó con negligencia grave o de forma fraudulenta. La carga de la prueba es del banco, no tuya. Si picaste en un SMS o email que imitaba a tu banco, eso no es negligencia grave — es una estafa sofisticada.

Q: ¿Cuánto tiempo tengo para reclamar al banco si me robaron?

Tienes 13 meses desde la fecha del cargo fraudulento para notificar al banco las operaciones no autorizadas (artículo 44 del RDL 19/2018). Cuanto antes actúes mejor, pero el plazo legal es de 13 meses. Además, el banco tiene 1 día hábil para reembolsar el importe tras tu reclamación, salvo que sospeche fraude por tu parte.

Q: ¿Qué es el smishing?

El smishing es phishing por SMS. El atacante envía un mensaje de texto que parece de tu banco, Hacienda o una empresa conocida, con un enlace a una web falsa donde te piden tus datos bancarios o acceso a la banca online. La sofisticación actual incluye la capacidad de insertar el SMS falso en el mismo hilo de conversación que los mensajes legítimos de tu banco.

Q: ¿Qué hacer si el banco me niega el reembolso?

Si el banco te deniega el reembolso alegando negligencia grave, tienes varias opciones: reclamar ante el Servicio de Atención al Cliente del banco (SAC), luego ante el Banco de España, y finalmente vía judicial. La jurisprudencia española es mayoritariamente favorable al cliente en casos de phishing/smishing sofisticado donde el banco no reforzó la autenticación.

Si te han vaciado la cuenta bancaria mediante phishing o smishing, lo primero que tienes que saber es que el banco tiene, en la mayoría de casos, obligación de devolverte el dinero. No es un favor — es la ley. Y el banco lo sabe, pero va a intentar que no lo reclames o que abandones antes de conseguirlo.

Si acaba de pasarte — actúa en las próximas horas

Pasos urgentes

Bloquea inmediatamente tu tarjeta y acceso a banca online desde la app del banco o llamando al teléfono de emergencias (suele haber uno 24h).
Cambia las contraseñas de la banca online y del email asociado a la cuenta.
Llama al banco para informar de los cargos fraudulentos y pedir la cancelación/bloqueo.
Pon una denuncia en la Policía Nacional o Guardia Civil. Es clave para el proceso de reclamación y te da evidencia oficial de la fecha del fraude.
Guarda evidencias: capturas de los SMS o emails fraudulentos, capturas de los movimientos no autorizados, registro de tus llamadas al banco.

Por qué el banco tiene que devolverte el dinero

No es opinión ni interpretación optimista. Es lo que dice la ley española: el Real Decreto-ley 19/2018 (transposición de la Directiva PSD2) establece en su artículo 45 que el banco debe reembolsar inmediatamente las operaciones de pago no autorizadas.

El principio clave: la carga de la prueba recae sobre el banco, no sobre ti. El banco tiene que demostrar que la operación fue autorizada por ti, o que tú actuaste con negligencia grave o de forma fraudulenta. Si no puede probarlo, tiene que devolverte el dinero.

¿Qué es negligencia grave? Compartir voluntariamente tus credenciales con otra persona, escribir tu PIN en la tarjeta, dar tus claves a alguien que se presentó como del banco por teléfono sabiendo que hay alertas sobre esa práctica… No es "haber picado en un SMS convincente" que imitaba a tu banco con el mismo número de teléfono de siempre.

Los tribunales españoles han fallado repetidamente a favor de los clientes en casos de smishing sofisticado: cuando el SMS falso se insertaba en el hilo legítimo del banco, es muy difícil argumentar negligencia grave. El banco también tiene responsabilidad: se supone que debe contar con sistemas de detección de fraude y verificación reforzada para operaciones inusuales.

Los tipos de fraude más comunes y cómo funcionan

Phishing (email)

Email que imita a tu banco pidiendo que "confirmes tus datos" o "actives una nueva seguridad". Enlaza a una web falsa idéntica a la del banco donde introduces tus credenciales.

Smishing (SMS)

SMS idénticos en formato a los de tu banco, a veces en el mismo hilo de conversación, con un enlace urgente ("tu cuenta será bloqueada si no verificas en 24h").

Vishing (llamada)

Llamada de alguien que dice ser del banco, advierte de un cargo sospechoso y pide que confirmes datos o instales una app de "seguridad". El número puede aparecer como el del banco real (spoofing).

SIM Swapping

El atacante consigue duplicar tu SIM ante la operadora suplantando tu identidad. Con tu número de teléfono recibe los SMS de verificación del banco y puede hacer transferencias.

Cómo reclamar al banco: los pasos

1
Reclamación formal al Servicio de Atención al Cliente (SAC) Por escrito, con número de registro. Detalla: fecha del fraude, importe, tipo de fraude, que no autorizaste las operaciones y que exiges el reembolso inmediato según el artículo 45 del RDL 19/2018. Guarda copia con acuse de recibo o confirmación de entrega.
2
El banco tiene 15 días hábiles para responder Si la cantidad es superior a 50€ en productos básicos, el plazo puede extenderse a 35 días hábiles en casos complejos. Si no responde o la respuesta es negativa, puedes escalar.
3
Si el banco te rechaza: Banco de España Puedes presentar una reclamación ante el Departamento de Conducta de Entidades del Banco de España (reclamaciones.bde.es). Es gratuito. El informe no es vinculante pero en el 60-70% de los casos favorables el banco acaba cediendo.
4
Vía judicial si no cede Para importes superiores a 2.000€, la vía judicial con abogado puede tener sentido. Para cantidades menores, el juicio verbal es más accesible. La jurisprudencia española es favorable al cliente en la mayoría de casos de phishing sofisticado.

¿Tienes una reclamación al banco pendiente y no sabes por dónde empezar?

En la newsletter explico cómo funcionan los derechos del consumidor bancario en España, con casos reales.

Gratis. Sin spam. Te vas cuando quieras.

Lo que el banco va a intentar para no devolverte el dinero

El banco tiene un guion. Lo que te van a decir:

"Usted autorizó las operaciones": no es cierto si picaste en una estafa. Autorizar implica voluntad y conocimiento de lo que autorizas.
"Hubo autenticación reforzada (SCA)": introducir un código de SMS que recibiste porque te engañaron para hacerlo no es autenticación voluntaria.
"Hay una investigación en curso y no podemos reembolsar hasta resolverla": la ley dice que el reembolso debe ser inmediato, no pendiente de investigación. Pueden investigar y recuperar el dinero después.
"Usted incumplió el contrato al compartir sus credenciales": válido si las compartiste voluntariamente con un tercero, no si fuiste estafado.

Para cada uno de estos argumentos hay respuesta legal concreta. La clave es no aceptar el primer "no" como definitivo y escalar la reclamación por escrito.

Cómo protegerte para que no vuelva a pasar

El banco nunca te pide tus credenciales completas por SMS, email o teléfono. Nunca.
Activa las notificaciones en tiempo real de tu app bancaria — ves cada cargo al instante.
Usa tarjetas virtuales de un solo uso para compras online cuando el banco las ofrezca.
Configura un límite diario de transferencias bajo (puedes subirlo puntualmente).
Activa la autenticación de dos factores en el email vinculado a la banca online.
Ante cualquier SMS urgente de "tu banco", accede siempre desde la app oficial, no desde el enlace del mensaje.

Preguntas frecuentes

¿Está obligado el banco a devolver el dinero robado por phishing?

En la mayoría de casos, sí. El RDL 19/2018 establece que el banco debe reembolsar operaciones no autorizadas salvo que demuestre negligencia grave o fraude por parte del cliente. La carga de la prueba es del banco.

¿Cuánto tiempo tengo para reclamar al banco si me robaron?

Tienes 13 meses desde el cargo fraudulento para notificarlo al banco. Cuanto antes lo hagas mejor, pero el plazo legal es ese. El banco tiene 1 día hábil para reembolsarte tras tu reclamación, salvo que justifique sospecha de fraude por tu parte.

¿Qué es el smishing?

Phishing por SMS. El atacante envía un mensaje que parece de tu banco con un enlace a una web falsa. La versión más peligrosa se inserta en el mismo hilo de conversación que los SMS legítimos del banco, haciendo casi imposible detectar que es una estafa.

¿Qué hacer si el banco me niega el reembolso?

Primero, reclamación escrita al SAC. Si rechaza: reclamación al Banco de España (reclamaciones.bde.es), gratuita. Si el informe es favorable y el banco no cede: vía judicial. La jurisprudencia española es mayoritariamente favorable al cliente en casos de phishing sofisticado.

El banco sabe que tiene que devolverte el dinero. Lo que espera es que no lo sepas tú.

Cada semana: derechos bancarios y cómo usarlos, sin abogados, sin plataformas que te cobran.

Suscribirme gratis →

Sin spam. Te vas cuando quieras.

← Volver al blog