El fraude bancario en España se ha disparado. Los datos de Google Trends muestran un crecimiento del 9.900% en búsquedas sobre fraude bancario en los últimos tres meses — y no es casualidad: cada vez más personas descubren cargos no autorizados, transferencias que no hicieron, o descubren que alguien ha suplantado la identidad de su banco para vaciarles la cuenta.

Si estás aquí es porque probablemente ya te ha pasado, o quieres saber cómo protegerte. En esta guía te explico qué tipos de fraude bancario existen, qué dice la ley española, cómo actuar si eres víctima y cómo recuperar tu dinero.

Qué es el fraude bancario

El fraude bancario es cualquier acción ilícita dirigida a obtener dinero de una cuenta bancaria ajena mediante engaño, manipulación informática o uso fraudulento de instrumentos de pago. En España tiene una doble regulación:

  • Vía penal: el Código Penal tipifica la estafa informática en el artículo 249.1.a) (manipulación informática para lograr una transferencia no consentida) y el uso fraudulento de medios de pago en el artículo 249.1.b).
  • Vía civil: el Real Decreto-ley 19/2018 de servicios de pago establece un régimen de responsabilidad cuasi-objetiva del banco frente a operaciones no autorizadas.

Ambas vías son compatibles: puedes denunciar penalmente al estafador y reclamar civilmente al banco para que te devuelva el dinero.

Tipos de fraude bancario más comunes en 2026

Phishing (suplantación por email)

El estafador envía un correo electrónico que imita la imagen corporativa de tu banco (logo, colores, tipografía). El email incluye un enlace a una web falsa donde introduces tus credenciales de banca online. Con tus datos, el estafador realiza transferencias desde tu cuenta.

Guía completa sobre phishing bancario y cómo reclamar

Smishing (fraude por SMS)

Variante del phishing por SMS. El mensaje suele alertar de un «acceso no autorizado» o un «pago sospechoso» e incluye un enlace. Lo más peligroso: los estafadores utilizan SMS spoofing para que el mensaje aparezca en el mismo hilo que los SMS legítimos de tu banco.

Todo sobre smishing y cómo reclamar

Vishing (llamada telefónica falsa)

Te llaman haciéndose pasar por empleados de tu banco. El número que aparece en pantalla es el oficial del banco (caller ID spoofing). Bajo pretexto de «bloquear una operación fraudulenta», te piden que facilites códigos OTP o que autorices una transferencia en tu app.

Vishing bancario: cómo funciona y cómo reclamar

SIM swapping (duplicado de tarjeta SIM)

Los estafadores obtienen un duplicado de tu tarjeta SIM en una tienda del operador (normalmente con documentación falsa). Con tu número, reciben los códigos OTP que el banco envía para autorizar operaciones. Es uno de los fraudes más sofisticados y el que motivó la sentencia del Tribunal Supremo 571/2025.

Uso fraudulento de tarjetas

Comprende la clonación de tarjetas (skimming), el robo de datos de tarjeta para compras online (carding) y el uso de tarjetas robadas o sustraídas. El Código Penal lo tipifica específicamente en el artículo 249.1.b).

Man-in-the-browser y malware bancario

Software malicioso que se instala en tu dispositivo y modifica las operaciones de banca online en tiempo real. Por ejemplo, cuando introduces los datos de una transferencia, el malware cambia la cuenta de destino y/o el importe sin que lo veas en pantalla.

Fraude BEC (Business Email Compromise)

Dirigido a empresas. Los estafadores comprometen el correo electrónico de un proveedor o directivo y envían instrucciones de pago a cuentas controladas por ellos. No es técnicamente phishing (no hay web falsa), pero sí estafa informática del artículo 249.1.a) CP.

Qué dice la ley: responsabilidad del banco

La vía civil: el banco debe devolver el dinero

El artículo 45 del Real Decreto-ley 19/2018 es taxativo: ante una operación de pago no autorizada, el banco debe devolver el importe de inmediato, a más tardar el siguiente día hábil. No es una facultad: es una obligación legal.

El artículo 44 invierte la carga de la prueba: es el banco quien debe demostrar que la operación fue autenticada correctamente y que el usuario actuó con fraude o negligencia grave.

Y el artículo 46 limita la responsabilidad del usuario a un máximo de 50 euros, salvo fraude o negligencia grave. Si el banco no utilizó autenticación reforzada (SCA), el usuario no responde en ningún caso.

La vía penal: estafa informática

El artículo 249.1.a) del Código Penal castiga con prisión de seis meses a tres años a quien, mediante manipulación informática, consiga «una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro».

El artículo 249.1.b) castiga con la misma pena el uso fraudulento de tarjetas de crédito o débito. El Tribunal Supremo ha confirmado en su STS 2032/2026 que esta modalidad tiene autonomía frente a la estafa básica del artículo 248 y que no admite degradación a delito leve por cuantía inferior a 400 euros.

Si el fraude supera los 50.000 euros o reviste especial gravedad, el artículo 250 eleva la pena a prisión de uno a seis años.

La jurisprudencia: el Tribunal Supremo protege a la víctima

La Sentencia del Tribunal Supremo 571/2025 (ECLI:ES:TS:2025:1671, de 9 de abril de 2025) es el pronunciamiento de referencia. Estableció que:

  1. La responsabilidad del banco por operaciones no autorizadas es cuasi-objetiva.
  2. Ser víctima de ingeniería social (facilitar un OTP engañado) no es negligencia grave.
  3. La carga de probar la negligencia grave es siempre del banco.

Las Audiencias Provinciales de toda España están aplicando esta doctrina en 2026 de forma generalizada. Sentencias como la SAP Cádiz 483/2026 (CaixaBank condenada a devolver 14.920 euros), la SAP Valencia 699/2026 (no tener antivirus no es negligencia grave) o la SAP Jaén 290/2026 (Unicaja condenada tras vishing) lo confirman.

Ver todas las sentencias sobre fraude bancario

Qué hacer si eres víctima de fraude bancario

1. Bloquea tu banca online y tarjetas

Lo primero: llama al número de atención al cliente de tu banco y solicita el bloqueo inmediato de tu banca online, tarjetas y cualquier medio de pago comprometido. Hazlo antes que cualquier otra cosa.

2. Notifica al banco por escrito

El artículo 41.b) del RDL 19/2018 te obliga a notificar «sin demora indebida». Hazlo por teléfono y por escrito (email o burofax). Invoca expresamente los artículos 44 y 45 del RDL 19/2018 y exige la devolución inmediata.

3. Presenta denuncia policial

Acude a la Policía Nacional o la Guardia Civil. Aporta capturas de pantalla de los SMS, emails o llamadas, extractos bancarios con los cargos fraudulentos, y cualquier otra prueba. Conserva una copia de la denuncia.

4. Reclama formalmente

Si el banco no devuelve el dinero en 24 horas (como obliga la ley), presenta reclamación al Servicio de Atención al Cliente. El banco tiene 15 días hábiles para resolver.

5. Reclama ante el Banco de España

Si el banco deniega la reclamación o no contesta, puedes acudir al Servicio de Reclamaciones del Banco de España.

6. Demanda judicial

La vía más efectiva. Con la jurisprudencia actual (STS 571/2025), las posibilidades de éxito son muy altas. Consulta nuestra guía paso a paso para reclamar.

¿Cuándo puede el banco negarse a devolver?

Solo cuando demuestre que el usuario actuó con fraude o negligencia grave (art. 46 RDL 19/2018). La jurisprudencia es muy restrictiva al valorar qué es «grave»:

  • No es negligencia grave: caer en un phishing sofisticado, facilitar un OTP tras una llamada del número del banco, no tener antivirus.
  • Sí podría serlo: entregar voluntariamente todas tus claves sin ningún engaño previo, compartir credenciales con terceros de forma deliberada.

¿Quieres saber si tu caso tiene opciones? Haz nuestro test gratuito de 2 minutos.

Plazos importantes

  • Notificación al banco: máximo 13 meses desde el cargo (art. 43 RDL 19/2018).
  • Denuncia penal: el delito de estafa prescribe a los 5 años (art. 131 CP).
  • Acción civil contra el banco: prescripción de 5 años (art. 1964 Código Civil).

No esperes: cuanto antes actúes, más posibilidades hay de rastrear y recuperar el dinero.

Preguntas frecuentes

¿El banco siempre tiene que devolver el dinero en caso de fraude?

Sí, salvo que demuestre que actuaste con fraude o negligencia grave. La ley (art. 45 RDL 19/2018) obliga al banco a devolver el importe de inmediato. El Tribunal Supremo (STS 571/2025) ha confirmado que la responsabilidad del banco es cuasi-objetiva. Más información sobre la obligación del banco.

¿Puedo reclamar al banco y denunciar penalmente al mismo tiempo?

Sí. Son vías compatibles e independientes. La reclamación civil al banco busca la devolución de tu dinero. La denuncia penal busca identificar y castigar al estafador. No tienes que elegir: puedes y debes hacer ambas cosas.

¿Necesito abogado para reclamar al banco por fraude?

Para la reclamación extrajudicial (al banco y al Banco de España), no. Para el juicio verbal hasta 2.000 euros, tampoco es obligatorio. Pero es muy recomendable tener un abogado especialista en fraude bancario desde el principio, especialmente para importes superiores a 2.000 euros. Consulta nuestras tarifas.

¿Qué pasa si el estafador está en el extranjero?

La acción penal se complica, pero la reclamación civil al banco no se ve afectada. Tu banco es una entidad española y responde ante los tribunales españoles, independientemente de dónde esté el estafador.

Consulta gratuita

Soy abogado especialista en fraude bancario en Madrid. Si has sido víctima, puedo ayudarte a recuperar tu dinero. Conozco la ley y la jurisprudencia al detalle — el RDL 19/2018, la STS 571/2025, y las decenas de sentencias de Audiencias Provinciales que obligan a los bancos a devolver.

Consulta mi experiencia en fraudes bancarios o solicita una consulta gratuita.

Descubre cómo los estafadores usan tus datos personales para cometer fraude bancario en nuestra guía sobre estafas bancarias con datos personales.

Guías especializadas por tipo de fraude y banco

Otras modalidades de fraude bancario

El fraude bancario va más allá del phishing por email. Consulta nuestras guías especializadas: fraude con tarjetas de crédito y débito, estafas bancarias por WhatsApp, quishing (phishing por código QR) y estafa del CEO para empresas.

Si tu caso es con un banco concreto: Bankinter, Ibercaja, Kutxabank, Abanca.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813