Por /

Cómo reclamar al banco por phishing: guía paso a paso [2026]

⚠️ ¿Te han robado dinero de tu cuenta bancaria?

En INTELISOC somos especialistas en ciberinvestigación. Elaboramos informes periciales que demuestran los fallos de seguridad del banco para que puedas reclamar la devolución de tu dinero.

Consulta gratuita →

Si has sido víctima de phishing bancario —ya sea por SMS (smishing), llamada telefónica (vishing) o correo electrónico—, tienes derecho a reclamar al banco la devolución del dinero sustraído. La legislación europea y española establece que la entidad bancaria es responsable de las operaciones de pago no autorizadas, salvo que pueda demostrar que actuaste con negligencia grave.

En esta guía te explicamos, paso a paso, cómo reclamar con éxito en 2026, qué dice la ley, qué plazos tienes y cómo un informe pericial de ciberinvestigación puede ser la diferencia entre recuperar tu dinero o perderlo.

¿Qué dice la ley? Tu banco es responsable

La Directiva PSD2 y el RDL 19/2018

La Directiva Europea de Servicios de Pago (PSD2), transpuesta en España mediante el Real Decreto-Ley 19/2018, establece un marco de responsabilidad muy claro:

  • Artículo 45 (Responsabilidad del proveedor): El banco debe devolver el importe de la operación no autorizada de forma inmediata, y como máximo antes del final del día hábil siguiente.
  • Artículo 46 (Autenticación reforzada – SCA): El banco debe aplicar Strong Customer Authentication (autenticación de doble factor) en todas las operaciones electrónicas. Si no lo hizo, la responsabilidad recae íntegramente en el banco.
  • Artículo 44: Para eximirse de responsabilidad, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada correctamente, y que no fue afectada por ningún fallo técnico.

En la práctica, esto significa que la carga de la prueba recae en el banco, no en ti. El banco debe demostrar que tú fuiste negligente. Y la jurisprudencia más reciente refuerza esta posición.

Sentencia del Tribunal Supremo 571/2025: el precedente clave

La Sentencia del TS 571/2025 ha marcado un antes y un después en las reclamaciones por phishing bancario en España. El Tribunal Supremo estableció que:

  • El banco tiene una obligación cuasi-objetiva de seguridad: debe implementar mecanismos que impidan operaciones fraudulentas, no solo autenticarlas.
  • La sofisticación del ataque (SMS spoofing, caller ID spoofing) demuestra que el usuario no fue negligente, sino víctima de una técnica que cualquier persona razonable podría no detectar.
  • Si el banco no implementó medidas adicionales de verificación (alertas en tiempo real, bloqueo por IP sospechosa, delays en transferencias de alto importe), se considera fallo del sistema de seguridad bancario.

Paso 1: Documenta todo inmediatamente

Nada más detectar la estafa, actúa rápido:

  • Capturas de pantalla de los SMS, emails o registros de llamadas recibidas.
  • Extracto bancario donde aparezcan las operaciones fraudulentas.
  • Hora exacta de los hechos y de cuándo te diste cuenta.
  • No borres nada: ni mensajes, ni historial del navegador, ni la app del banco. Todo es evidencia.

Paso 2: Contacta con tu banco (reclamación formal)

Presenta una reclamación formal ante el Servicio de Atención al Cliente de tu banco:

  • Por escrito (email con acuse de recibo o carta certificada).
  • Solicita la devolución inmediata del importe conforme al Art. 45 del RDL 19/2018.
  • El banco tiene 15 días hábiles para responder.
  • Si no responde o deniega la reclamación → siguiente paso.

Importante: muchos bancos deniegan en primera instancia con argumentos genéricos (“usted facilitó sus claves”). Esto no es suficiente para eximirles de responsabilidad según la ley.

Paso 3: Denuncia en Policía Nacional o Guardia Civil

Presenta denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Puedes hacerlo en:

La denuncia es importante porque:

  • Acredita que eres víctima de un delito
  • Puede iniciar una investigación que localice a los estafadores
  • Fortalece tu posición en la reclamación al banco

Paso 4: Solicita un informe pericial de ciberinvestigación

Este es el paso que marca la diferencia entre una reclamación que prospera y una que se queda en el cajón.

Un informe pericial de ciberinvestigación es un documento técnico elaborado por expertos en ciberseguridad que analiza:

  • La infraestructura del ataque: dominios falsos, servidores, certificados SSL, registros WHOIS y DNS.
  • La técnica utilizada: SMS spoofing, phishing web, man-in-the-middle, SIM swapping.
  • Los fallos de seguridad del banco: ausencia de SCA, falta de alertas por IP sospechosa, ausencia de delays en transferencias de alto importe, fallo en detección de patrones anómalos.
  • La conducta del usuario: demuestra que la sofisticación del ataque hacía prácticamente imposible que un usuario medio lo detectara.

En INTELISOC somos especialistas en este tipo de investigaciones. Nuestro equipo de ciberinvestigadores elabora informes periciales que han sido utilizados con éxito en reclamaciones bancarias y procedimientos judiciales.

📋 ¿Qué incluye nuestro informe pericial?

  • Análisis forense de la infraestructura del phishing
  • Verificación de los mecanismos de seguridad bancarios (SCA, alertas, delays)
  • Análisis de la sofisticación del ataque vs. capacidad del usuario medio
  • Conclusiones técnicas sobre la responsabilidad del banco
  • Formato válido para presentar ante el banco, el Banco de España o en vía judicial

Paso 5: Reclamación al Banco de España

Si el banco no responde o deniega tu reclamación, puedes presentar queja ante el Servicio de Reclamaciones del Banco de España:

  • Requisito previo: haber reclamado al banco y que hayan pasado 15 días sin respuesta satisfactoria.
  • Puedes presentar la queja online en la web del BdE.
  • Adjunta toda la documentación: reclamación al banco, denuncia policial y, si lo tienes, el informe pericial.
  • El BdE emite un informe no vinculante, pero los bancos suelen acatarlo para evitar daño reputacional.

Paso 6: Vía judicial (si es necesario)

Si el banco sigue sin devolver el dinero, la vía judicial es el siguiente paso:

  • Para importes de hasta 2.000 €: juicio verbal sin necesidad de abogado ni procurador.
  • Para importes superiores: necesitarás un abogado especializado en derecho bancario.
  • El informe pericial de ciberinvestigación es la prueba técnica clave en el juicio.
  • La jurisprudencia actual (TS 571/2025) es muy favorable al consumidor.

Plazos: ¿cuánto tiempo tengo para reclamar?

Según el Art. 43 del RDL 19/2018:

  • Notificación al banco: en cuanto detectes la operación fraudulenta, y como máximo 13 meses desde la fecha del cargo.
  • Reclamación al BdE: una vez denegada la reclamación por el banco.
  • Vía judicial: el plazo de prescripción general es de 5 años (Art. 1964 CC).

⚠️ No esperes. Cuanto antes actúes, más fácil será rastrear la infraestructura del ataque y elaborar el informe pericial.

¿Qué bancos generan más reclamaciones por phishing en España?

En nuestra experiencia y según los datos de Google Search Console, las entidades con más casos reportados son:

¿Has sido víctima de phishing bancario?

En INTELISOC elaboramos informes periciales de ciberinvestigación que demuestran los fallos de seguridad del banco. Es tu mejor herramienta para reclamar la devolución de tu dinero.

Consulta gratuita →

Preguntas frecuentes

¿Cuánto tiempo tengo para reclamar al banco por phishing?

Debes notificar al banco lo antes posible, con un plazo máximo de 13 meses desde la operación fraudulenta según el Art. 43 del RDL 19/2018. Para la vía judicial, el plazo de prescripción es de 5 años.

¿El banco está obligado a devolverme el dinero?

Sí. Según el Art. 45 del RDL 19/2018, el banco debe devolver el importe de la operación no autorizada de forma inmediata. Solo puede negarse si demuestra que actuaste con negligencia grave, y la jurisprudencia del TS 571/2025 establece un estándar muy alto para considerar negligencia del usuario.

¿Qué es un informe pericial de ciberinvestigación?

Es un documento técnico elaborado por expertos en ciberseguridad que analiza la infraestructura del ataque de phishing, la técnica utilizada y los fallos de seguridad del banco. Es una prueba clave para demostrar la responsabilidad de la entidad bancaria en la reclamación.

¿Necesito un abogado para reclamar?

Para reclamaciones al banco y al Banco de España, no necesitas abogado. Para juicios verbales de hasta 2.000€ tampoco. Para importes superiores en vía judicial, sí necesitarás un abogado especializado. En todos los casos, un informe pericial de ciberinvestigación fortalece enormemente tu posición.

¿Qué probabilidad tengo de recuperar mi dinero?

Con la jurisprudencia actual (Sentencia TS 571/2025) y un informe pericial que demuestre los fallos de seguridad del banco, la probabilidad es alta. La clave está en documentar bien el caso, reclamar dentro de plazo y aportar pruebas técnicas sólidas.

¿Qué diferencia hay entre INTELISOC y un despacho de abogados?

INTELISOC no es un despacho de abogados. Somos especialistas en ciberinvestigación y elaboramos informes periciales técnicos que analizan el ataque y demuestran los fallos del banco. Nuestro informe es la prueba que tu abogado (o tú mismo en reclamaciones directas) necesita para que la reclamación prospere.

¿Puedo reclamar si yo mismo di mis claves al estafador?

Sí. La Sentencia del TS 571/2025 establece que la sofisticación de ataques como el SMS spoofing (donde el mensaje falso aparece en el mismo hilo que los mensajes reales del banco) hace que facilitar las claves no constituye negligencia grave del usuario. El banco tiene la obligación de implementar medidas que vayan más allá de la simple autenticación.

🛡️

¿Has sido víctima de un fraude digital?

En INTELISOC somos especialistas en investigación forense digital, ciberinteligencia y peritaje informático. Te ayudamos a reunir las pruebas técnicas que necesitas para reclamar.

✓ Consulta gratuita ✓ Informe pericial válido ante tribunales ✓ Equipo de ciberinvestigadores expertos
Solicitar consulta gratuita →
Scroll al inicio