Abogado phishing y estafas bancarias en Madrid
¿Has sido víctima de phishing, smishing o vishing? Reclamo al banco la devolución del dinero. Primera consulta gratuita.
El fraude bancario en línea —phishing, smishing y vishing— es uno de los problemas jurídicos que más ha crecido en los últimos años. Miles de personas pierden cada año cantidades que van desde unos cientos hasta decenas de miles de euros por operaciones de pago que nunca autorizaron. La normativa europea de servicios de pago protege al consumidor y obliga al banco a devolver el dinero salvo que demuestre negligencia grave del titular. Asesoro a víctimas de fraude bancario en la reclamación frente a su entidad y, si es necesario, en la vía judicial.
Qué tipos de fraude bancario existen
Los ciberdelincuentes utilizan técnicas cada vez más sofisticadas para obtener las credenciales bancarias de sus víctimas. Las tres modalidades principales son:
Phishing: el atacante envía un correo electrónico que imita la apariencia de una comunicación oficial del banco. El mensaje suele alertar de un supuesto problema de seguridad o de un movimiento sospechoso en la cuenta, e incluye un enlace a una página web fraudulenta diseñada para capturar las claves de acceso del usuario.
Smishing: la misma técnica aplicada mediante mensajes SMS o de aplicaciones de mensajería. El mensaje suele incluir un enlace acortado y un texto que genera urgencia, como «su cuenta ha sido bloqueada» o «confirme esta operación».
Vishing: el atacante llama por teléfono haciéndose pasar por un empleado del banco, a menudo con técnicas de spoofing que hacen que el número que aparece en la pantalla sea el real del banco. En la conversación, solicita códigos de verificación o claves que permiten autorizar operaciones fraudulentas.
En todos los casos, el resultado es el mismo: se realizan cargos, transferencias o compras con cargo a la cuenta de la víctima sin su consentimiento real.
La responsabilidad del banco: qué dice la ley
El Real Decreto-ley 19/2018, de servicios de pago, transpone la Directiva europea PSD2 y establece un régimen de responsabilidad cuasi-objetiva del proveedor de servicios de pago. En términos prácticos, esto significa que:
El banco debe devolver el importe de la operación no autorizada de forma inmediata, y en todo caso antes del final del día hábil siguiente a aquel en que tenga constancia de la operación. Solo queda exonerado si demuestra que el usuario actuó con negligencia grave o con intención fraudulenta.
La jurisprudencia española ha interpretado el concepto de negligencia grave de forma restrictiva: caer en una estafa elaborada con técnicas de ingeniería social no constituye, por sí solo, negligencia grave del usuario. Los tribunales vienen exigiendo a las entidades que acrediten que sus sistemas de autenticación reforzada (SCA) funcionaron correctamente y que el cliente facilitó sus credenciales de forma deliberada e inexcusable.
El resultado es que, en la práctica, la mayoría de las reclamaciones por fraude bancario se resuelven a favor del cliente, tanto en la vía extrajudicial como en la judicial.
Sentencias recientes: los tribunales dan la razón al consumidor
La jurisprudencia más reciente confirma de forma contundente la responsabilidad de los bancos en los casos de phishing. Estas son algunas de las sentencias más relevantes de los tribunales de Madrid:
STS 571/2025 — Tribunal Supremo vs. Ibercaja (sentencia hito)
La Sentencia del Tribunal Supremo 1671/2025, de 9 de abril de 2025 (ponente: Manuel Almenar Belenguer, rec. 1151/2023), es la referencia en la materia. Un cliente de Ibercaja Banco S.A. sufrió 15 transferencias fraudulentas en una sola noche por un importe superior a 80.000 euros. El consumidor había alertado al banco un mes antes sobre mensajes sospechosos.
El Tribunal Supremo establece que la responsabilidad del proveedor de servicios de pago es cuasi-objetiva y que «el mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará para demostrar que la operación fue autorizada». El banco debe demostrar que el cliente actuó con negligencia grave —concepto que se interpreta de forma muy restrictiva— para quedar exonerado.
SAP Madrid 2145/2026 — Banco Santander
Sentencia de la Audiencia Provincial de Madrid de 21 de enero de 2026 (ponente: Ramón Badiola Diez, rec. 1060/2024). Un consumidor recibió un correo electrónico con el logotipo de Santander e introdujo sus credenciales en una página fraudulenta. La Audiencia Provincial declaró que «la conducta de la demandante no puede ser calificada de negligencia grave». El banco apeló y perdió.
SAP Madrid 4955/2026 — Caja Rural
Sentencia de 17 de abril de 2026 (ponente: Agustín Manuel Gómez Salcedo, rec. 1587/2024). Phishing por SMS con hackeo del teléfono. El atacante realizó tres transferencias por un total de 5.036 euros. Dato relevante: Openbank detectó y bloqueó la operación fraudulenta de forma inmediata; Caja Rural no lo hizo. Se condenó a Caja Rural a devolver la totalidad del importe.
SAP Madrid 17262/2025 — Unicaja
Sentencia de 18 de diciembre de 2025 (ponente: Isabel Serrano Frías, rec. 195/2025). Caso de vishing: el estafador llamó desde el número oficial de Unicaja. La sentencia declara que «no basta con medidas genéricas de protección o avisos estereotipados» y aplica la doctrina de la STS 571/2025.
SAP Madrid 16883/2024 — CaixaBank
Sentencia de 2 de diciembre de 2024 (ponente: María Ángeles Martínez Domínguez, rec. 807/2023). Transferencia fraudulenta de 6.120 euros a Roma. En primera instancia se falló contra el consumidor por negligencia. La Audiencia Provincial revirtió la sentencia en apelación: «no podemos calificar la posible negligencia de la demandante como grave en ningún caso».
SAP Madrid 4572/2025 — Códigos OTP no enviados
Sentencia de 8 de abril de 2025 (ponente: Juana de la Cruz Serrano González). Los códigos de verificación OTP no fueron siquiera enviados por el banco, pero las operaciones se autorizaron igualmente. La sentencia concluye que «el Banco es el que ha incumplido sus obligaciones, excluyendo la negligencia grave del demandante».
En los seis casos, los consumidores recuperaron su dinero. Estas sentencias demuestran que, con el asesoramiento adecuado, la reclamación por phishing bancario tiene una alta tasa de éxito.
Cómo actuar si has sido víctima de fraude
La rapidez de actuación es determinante. Los primeros pasos deben darse en las primeras 24 horas:
1. Contacta con tu banco. Comunica la operación no autorizada y solicita el bloqueo inmediato de la tarjeta o de las credenciales comprometidas. Pide un número de referencia de la incidencia.
2. Presenta denuncia policial. Acude a la Policía Nacional o a la Guardia Civil con toda la documentación disponible: capturas de pantalla del mensaje fraudulento, extractos bancarios con los cargos y cualquier otra prueba del engaño. La denuncia es un elemento probatorio relevante para la reclamación posterior.
3. Reclama formalmente al banco. Presenta una reclamación por escrito solicitando la devolución del importe. El banco dispone de 15 días hábiles para responder. Si no contesta o deniega la solicitud, se abre la vía de reclamación ante el Banco de España y, en su caso, la vía judicial.
4. Consulta con un abogado. Un asesoramiento temprano permite preservar la prueba, formular la reclamación con los argumentos jurídicos adecuados y valorar la viabilidad de cada vía. El plazo general para reclamar es de 13 meses desde la operación fraudulenta.
Qué puedo hacer por ti
Analizo cada caso de forma individualizada para determinar la estrategia más eficaz:
Reclamación extrajudicial: preparo y presento la reclamación formal ante la entidad bancaria con fundamentación jurídica completa, incluyendo la normativa PSD2, la jurisprudencia aplicable y el detalle de las medidas de seguridad que el banco debió implementar.
Reclamación ante el Banco de España: si la entidad no atiende la reclamación, gestiono la queja ante el Servicio de Reclamaciones del Banco de España como paso previo a la vía judicial.
Vía judicial: si la vía extrajudicial no prospera, preparo y dirijo la demanda ante los tribunales. En las reclamaciones por operaciones de pago no autorizadas, la carga de la prueba recae sobre el banco: es la entidad quien debe demostrar que la operación fue autenticada correctamente y que el usuario incurrió en negligencia grave.
Casos habituales
SMS falso del banco con enlace a página clonada. El titular introduce sus credenciales creyendo acceder a su banca online. Los atacantes realizan transferencias inmediatas a cuentas de terceros. Importe habitual: 3.000-15.000 euros.
Llamada telefónica con spoofing del número del banco. Un supuesto empleado solicita códigos de verificación para «cancelar una operación sospechosa». El cliente facilita los códigos y se ejecutan pagos no autorizados. Importe habitual: 5.000-25.000 euros.
Correo electrónico de phishing con factura o paquete pendiente. El enlace instala un troyano bancario o redirige a una página de captura de credenciales. Los atacantes vacían la cuenta o realizan compras con la tarjeta. Importe variable.
Fraude con Bizum. Técnicas de ingeniería social que llevan a la víctima a enviar dinero o aceptar solicitudes de cobro fraudulentas. Importes habitualmente menores pero reclamables.
Preguntas frecuentes
¿Cuánto tarda el banco en devolver el dinero?
La ley obliga al banco a reembolsar el importe antes del final del día hábil siguiente a la comunicación de la operación no autorizada. En la práctica, muchas entidades dilatan este plazo e incluso deniegan la devolución, lo que obliga a formalizar la reclamación. Por vía extrajudicial, el proceso se resuelve habitualmente en 2-6 semanas. Si es necesario acudir a los tribunales, los plazos oscilan entre 4 y 12 meses según el juzgado.
¿Puedo reclamar si facilité mis claves al estafador?
Sí. Facilitar las claves como consecuencia de un engaño elaborado no constituye necesariamente negligencia grave. La jurisprudencia distingue entre el descuido inexcusable y el error provocado por técnicas sofisticadas de ingeniería social. En la mayoría de los casos resueltos por los tribunales, se ha estimado la reclamación del cliente incluso cuando este facilitó códigos de verificación al atacante.
¿Qué plazo tengo para reclamar?
El artículo 43 del Real Decreto-ley 19/2018 establece un plazo de 13 meses desde la fecha de la operación no autorizada para comunicarla al banco. Es recomendable actuar cuanto antes: las primeras horas son críticas para bloquear la cuenta y preservar la prueba.
¿Cuánto cuesta el servicio?
El coste depende de la complejidad del caso y de la vía de reclamación. En la primera consulta valoro la viabilidad del caso y explico las opciones de honorarios, incluyendo la posibilidad de pacto de cuota litis (honorarios vinculados al resultado) cuando las circunstancias lo aconsejan. Puedes consultarme sin compromiso a través de la consulta preliminar gratuita.
¿Hace falta ir a juicio?
No siempre. Muchas reclamaciones se resuelven en la fase extrajudicial cuando el banco comprueba que la reclamación está bien fundamentada. La vía judicial queda reservada para los casos en que la entidad se niega a devolver el importe pese a la reclamación formal. En juicio, la tasa de éxito en este tipo de procedimientos es muy favorable al consumidor.
Si no estás seguro de si tu caso es reclamable, puedes hacer nuestro test gratuito de phishing bancario: en menos de dos minutos sabrás si tienes derecho a que el banco te devuelva el dinero.
Te atiendo online cualquier día de la semana, o de forma presencial los viernes por la tarde en Paseo de las Delicias 30 (Madrid), con cita previa.
Si has sido víctima de una estafa bancaria, puedes contarme tu caso a través de la consulta preliminar gratuita. Analizaré tu situación y te explicaré las opciones disponibles para recuperar tu dinero.
¿Necesitas asesoramiento?
Cuéntame tu situación. Primera consulta sin compromiso.
Contactar ahora