Responsabilidad del banco en estafas por phishing SMS [2026]

Una de las primeras cosas que hace un banco cuando le reclamas por una estafa de phishing es alegar que “usted facilitó sus claves voluntariamente” y que, por tanto, no se hacen responsables. Esta respuesta, además de ser injusta, es legalmente incorrecta en la mayoría de los casos.

En este artículo analizamos en profundidad qué dice la ley, qué ha establecido la jurisprudencia más reciente y cuáles son los fallos técnicos que hacen al banco responsable de las estafas por phishing SMS (smishing).

El marco legal: la PSD2 protege al consumidor

Real Decreto-Ley 19/2018 — Servicios de pago

La normativa europea de servicios de pago (PSD2), transpuesta en España por el RDL 19/2018, establece un régimen de responsabilidad favorable al consumidor:

• Art. 44 — Prueba de autenticación: Es el banco quien debe demostrar que la operación fue autenticada correctamente, registrada y contabilizada sin fallos técnicos. No eres tú quien tiene que demostrar que no autorizaste la operación.
• Art. 45 — Responsabilidad del banco: En caso de operación no autorizada, el banco debe devolver el importe de forma inmediata, como máximo antes del final del día hábil siguiente al de la notificación.
• Art. 46 — Autenticación reforzada (SCA): El banco está obligado a aplicar Strong Customer Authentication (autenticación de al menos dos factores independientes) para todas las operaciones electrónicas. Si no la aplicó, es responsable directo.

La excepción de la “negligencia grave”

El único caso en que el banco puede negarse a devolver el dinero es si demuestra que el usuario actuó con negligencia grave (Art. 46.1 RDL 19/2018). Pero ¿qué constituye negligencia grave? Aquí es donde la jurisprudencia de 2025-2026 ha cambiado el panorama.

Sentencia del Tribunal Supremo 571/2025: el punto de inflexión

La Sentencia del TS 571/2025 es el precedente más importante en materia de phishing bancario en España. Establece varios principios fundamentales:

1. Responsabilidad cuasi-objetiva del banco

El banco tiene una obligación de resultado, no solo de medios. No basta con tener sistemas de seguridad: estos deben funcionar efectivamente. Si una operación fraudulenta se ejecuta, hay una presunción de fallo en el sistema de seguridad bancario.

2. El SMS spoofing excluye la negligencia grave del usuario

Cuando un ataque de phishing utiliza SMS spoofing (el mensaje fraudulento aparece en el mismo hilo de conversación que los mensajes legítimos del banco), el TS considera que:

“La sofisticación del ataque, que reproduce de forma fidedigna los canales oficiales de comunicación de la entidad bancaria, impide calificar la conducta del usuario como negligencia grave, pues cualquier persona diligente podría haber sido igualmente engañada.”

3. El banco debe ir más allá de la autenticación

No basta con que el banco haya aplicado SCA. El TS establece que el banco debe implementar medidas adicionales:

• Detección de patrones anómalos de operaciones
• Alertas por acceso desde IP o dispositivo desconocido
• Períodos de espera (cooling-off) para transferencias de alto importe a beneficiarios nuevos
• Límites de transferencia adaptados al perfil de uso del cliente

Los fallos técnicos que demuestran la responsabilidad del banco

Como empresa de ciberinvestigación, en INTELISOC analizamos los fallos técnicos concretos del banco en cada caso. Estos son los más habituales:

Fallo 1: Ausencia de autenticación reforzada real

Muchos bancos cumplen técnicamente con SCA pero de forma deficiente. Por ejemplo, envían un código OTP por SMS al mismo número que el estafador ha comprometido (en casos de SIM swapping), o aceptan la confirmación desde la misma sesión comprometida.

Fallo 2: Sin verificación de dispositivo/IP

Si la transferencia fraudulenta se ejecutó desde una IP en otro país, un dispositivo nunca antes utilizado o un navegador no habitual, y el banco no generó ninguna alerta ni bloqueo temporal, esto es un fallo de seguridad documentable.

Fallo 3: Sin detección de operaciones atípicas

Si el cliente normalmente hace transferencias de 50-200 € y de repente se ejecutan tres transferencias de 3.000 € a un beneficiario nuevo en 15 minutos, la ausencia de alertas de fraude es un fallo grave del sistema de monitorización del banco.

Fallo 4: Sin delay para beneficiarios nuevos

Muchos bancos permiten transferencias inmediatas de alto importe a cuentas que el cliente nunca antes ha utilizado. Un período de espera de 24-48h para primeros envíos a beneficiarios nuevos habría impedido la mayoría de estafas por phishing.

Fallo 5: Sin protección anti-spoofing en el canal SMS

Los bancos contratan pasarelas de SMS para enviar mensajes a sus clientes. Estas pasarelas permiten configurar filtros anti-spoofing para impedir que terceros envíen mensajes con el identificador del banco. Si el banco no configuró estos filtros, facilitó el ataque.

¿Qué bancos son más vulnerables?

Basándonos en los casos que investigamos y en los datos públicos disponibles, las entidades con más incidencia de phishing bancario en España incluyen:

• Unicaja — SMS spoofing y vishing combinados
• Abanca — SMS falsos de bloqueo de cuenta
• Openbank — Avisos genéricos en la app
• Santander — SMS que replican los oficiales
• Sabadell — Estafas en operaciones de compraventa

Cómo demostrar la responsabilidad del banco

Para que tu reclamación prospere, necesitas ir más allá de “me estafaron y quiero mi dinero”. Necesitas evidencia técnica de que el banco incumplió sus obligaciones. Un informe pericial de ciberinvestigación de INTELISOC documenta:

1. La infraestructura técnica del ataque (dominios, servidores, técnica)
2. Cada fallo de seguridad específico del banco
3. La normativa y jurisprudencia que aplica a cada fallo
4. Conclusiones técnicas sobre la responsabilidad de la entidad

Este informe es la prueba que necesita tu abogado (o tú mismo, en reclamaciones directas al banco) para fundamentar la reclamación con argumentos técnicos sólidos, no solo legales.

Preguntas frecuentes

¿Es el banco responsable si me estafaron por phishing SMS?

Sí, en la mayoría de los casos. El Art. 45 del RDL 19/2018 establece que el banco debe devolver el importe de operaciones no autorizadas. Solo puede negarse si demuestra negligencia grave del usuario, y la Sentencia del TS 571/2025 establece que en ataques de SMS spoofing no hay negligencia del usuario.

¿Qué es la responsabilidad cuasi-objetiva del banco?

Es el principio establecido por el Tribunal Supremo que determina que el banco tiene una obligación de resultado en materia de seguridad. Si una operación fraudulenta se ejecuta, hay una presunción de fallo en el sistema de seguridad bancario.

¿Puedo reclamar aunque di mis claves al estafador?

Sí. El TS establece que en ataques de phishing sofisticados (SMS spoofing, caller ID spoofing), facilitar las claves no constituye negligencia grave porque cualquier persona diligente podría haber sido engañada.

¿Qué fallos del banco puedo demostrar?

Los más comunes son: ausencia de SCA real, falta de verificación de dispositivo/IP, ausencia de detección de operaciones atípicas, falta de delay para beneficiarios nuevos y ausencia de protección anti-spoofing. Un informe pericial de ciberinvestigación documenta estos fallos técnicamente.