El phishing bancario se ha convertido en una de las principales amenazas para los usuarios de banca electrónica en España. Cada año, miles de clientes son víctimas de SMS, correos electrónicos o llamadas fraudulentas que suplantan la identidad de su entidad financiera y les inducen a facilitar sus credenciales de acceso. La cuestión jurídica central es clara: ¿quién responde cuando un tercero ejecuta transferencias no autorizadas tras un fraude de este tipo?
La Audiencia Provincial de Madrid, en su sentencia de 17 de abril de 2026 (SAP M 4955/2026, ECLI:ES:APM:2026:4955, ponente: Agustín Manuel Gómez Salcedo), ha confirmado la condena a una entidad bancaria al reembolso de 5.036 euros sustraídos mediante phishing bancario, aplicando la doctrina fijada por el Tribunal Supremo en su sentencia 571/2025, de 9 de abril. El pronunciamiento refuerza un principio esencial: los registros internos del banco no bastan para eximirle de responsabilidad.
Contenido relacionado
Los hechos: un fraude de phishing bancario clásico
Los días 4 y 5 de marzo de 2021, se ejecutaron desde la cuenta de la demandante tres transferencias por importes de 1.997, 999 y 2.040 euros —un total de 5.036 euros— que ella nunca autorizó. El origen del fraude fue un SMS recibido el 1 de marzo de 2021 que permitió a los delincuentes tomar el control de su teléfono móvil (SIM swapping).
Una vez descubierto el fraude, la víctima actuó con diligencia: solicitó la retrocesión de las transferencias, presentó denuncia ante la Policía e inició reclamaciones ante el Servicio de Atención al Cliente de la entidad y el Banco de España. Todas fueron desestimadas, imputándole la responsabilidad de lo sucedido.
Agotada la vía extrajudicial, interpuso demanda de responsabilidad contractual solicitando el reembolso de las cantidades sustraídas. El Juzgado de Primera Instancia estimó íntegramente la demanda. La entidad bancaria recurrió en apelación.
Phishing bancario y normativa de servicios de pago
El marco legal aplicable se articula en torno al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, que traspone la Directiva (UE) 2015/2366 (PSD2). Los preceptos clave son los siguientes:
El artículo 36 del RDL 19/2018 establece que una operación de pago solo se considera autorizada cuando el ordenante ha prestado su consentimiento. Si el usuario niega haberlo prestado, nos encontramos ante una operación no autorizada.
El artículo 44 impone al proveedor de servicios de pago la carga de probar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio. Su apartado 2 añade algo decisivo: el mero registro de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación fue autorizada. Y su apartado 3 establece que corresponde al proveedor probar el fraude o la negligencia grave del usuario.
El artículo 45 obliga al proveedor a devolver de inmediato el importe de cualquier operación no autorizada, a más tardar al final del día hábil siguiente a la notificación. Por su parte, el artículo 46 prevé la única excepción: el usuario soportará las pérdidas solo si ha actuado de manera fraudulenta o con negligencia grave.
Qué dice la Audiencia Provincial de Madrid
La entidad bancaria basó su recurso en tres argumentos: que las transferencias fueron autenticadas mediante doble factor (claves y código OTP por SMS), que no existió fallo técnico alguno en sus sistemas, y que la cliente actuó con negligencia grave al no proteger sus credenciales.
La Audiencia Provincial desestimó el recurso. El tribunal, aplicando la doctrina del Tribunal Supremo (STS 571/2025), subrayó que la responsabilidad del proveedor de servicios de pago tiene carácter cuasiobjetivo:
«La mera existencia de registros técnicos o de una validación formal de la operación no equivale, por sí sola, a la prueba del consentimiento del ordenante, ni permite desplazar automáticamente la responsabilidad al usuario.»
La sentencia precisa que la carga de la prueba recae de forma efectiva sobre el banco y que:
«No se satisface mediante la mera aportación de registros internos, logs o certificaciones técnicas generadas unilateralmente, siendo preciso acreditar, además, que la operación no se vio afectada por fallo técnico u otra deficiencia del servicio.»
En cuanto a la supuesta negligencia grave de la víctima, el tribunal concluyó que no podía apreciarse, al haber actuado inducida por un engaño complejo, sin iniciativa propia, y con la diligencia exigible a una persona media. El hecho de que otra entidad bancaria sí detectara el mismo fraude a tiempo reforzó la conclusión de que existieron deficiencias en el servicio de la demandada.
La doctrina del Tribunal Supremo sobre phishing bancario
La SAP M 4955/2026 aplica la doctrina establecida por la Sala de lo Civil del Tribunal Supremo en su sentencia 571/2025, de 9 de abril (STS 1671/2025, ECLI:ES:TS:2025:1671, ponente: Manuel Almenar Belenguer). Esta resolución fijó los criterios esenciales en materia de phishing bancario:
Primero, la responsabilidad del proveedor de servicios de pago es cuasiobjetiva: notificada la operación no autorizada, debe responder salvo que acredite fraude o negligencia grave del usuario.
Segundo, cuando el usuario niega haber autorizado la operación, el banco debe probar no solo la autenticación técnica, sino que la operación no se vio afectada por ninguna deficiencia del servicio.
Tercero, el mero hecho del robo o sustracción de las claves no supone negligencia del usuario, ni las advertencias genéricas o avisos estereotipados de los bancos sirven para imputar tal negligencia.
Cuarto, si el banco no exige autenticación reforzada del cliente (SCA), el ordenante solo responderá en caso de fraude, conforme al artículo 46.2 del RDL 19/2018.
El Tribunal Supremo señaló expresamente que circunstancias como la ejecución de quince transferencias en una noche por más de 80.000 euros sin que los sistemas del banco generaran una alerta constituyen deficiencias del servicio que refuerzan la responsabilidad de la entidad.
Lee el análisis completo de la STS 571/2025 que consolidó la responsabilidad cuasi-objetiva del banco.
Doctrina establecida
De la lectura conjunta de ambas resoluciones se extrae una regla jurídica clara: en los casos de phishing bancario, el banco responde salvo que acredite, con prueba suficiente y no meramente documental, que el cliente actuó con negligencia grave. La carga probatoria es del banco, no del usuario. Los registros internos, logs de sistema y certificaciones unilaterales no constituyen prueba suficiente por sí solos.
La negligencia grave —único supuesto exonerador— exige algo más que la mera facilitación de credenciales bajo engaño: requiere un incumplimiento deliberado o una falta de diligencia que exceda claramente lo exigible a un usuario medio.
Responsabilidad bancaria por phishing: sentencias de 2026
La doctrina de la STS 571/2025 se ha extendido a todas las Audiencias Provinciales durante 2026. Estos son algunos pronunciamientos recientes que confirman la responsabilidad bancaria por phishing:
SAP Cádiz 483/2026 (CaixaBank, 14.920 euros): dos transferencias fraudulentas a cuentas en el extranjero. CaixaBank alegó que se cumplió el protocolo de autenticación. El tribunal respondió que «incumbía a la entidad financiera acreditar plenamente que dichas operaciones fueron auténticas» y que limitarse a invocar el cumplimiento del protocolo no es suficiente. Además, señaló que las transferencias a países extranjeros deberían haber activado los sistemas de alerta del banco.
SAP Valencia 699/2026 (responsabilidad cuasi-objetiva confirmada): el banco alegó que el cliente no tenía antivirus actualizado. El tribunal fue tajante: no tener antivirus no constituye negligencia grave. Recordó que «si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica, no puede pretender que la víctima sea el único responsable».
SAP Jaén 290/2026 (Unicaja, 4.000 euros por vishing + smishing): el cliente recibió un SMS en el hilo oficial de Unicaja seguido de una llamada desde el número del banco. Autorizó transferencias creyendo que hablaba con un empleado real. El tribunal concluyó que «el error no puede entenderse que fuera fácilmente evitable».
SAP Ourense 280/2026 (BBVA, 6.005 euros): la clienta fue víctima de caller ID spoofing. BBVA alegó no ser responsable de la manipulación del identificador de llamada por terceros. El tribunal desestimó el argumento y condenó a la devolución íntegra.
La tendencia es clara: los tribunales aplican un régimen de responsabilidad cuasi-objetiva del banco y solo exoneran en casos excepcionales de negligencia grave manifiesta del usuario.
Implicaciones prácticas para víctimas de phishing bancario
Esta jurisprudencia tiene consecuencias directas para los afectados:
Actuar con inmediatez. Tras detectar operaciones sospechosas, debe notificarse al banco de inmediato, presentar denuncia policial y reclamar por escrito ante el Servicio de Atención al Cliente. El artículo 43 del RDL 19/2018 establece un plazo máximo de trece meses desde la fecha del adeudo para notificar la operación no autorizada.
Reclamar el reembolso. El banco está obligado a devolver el importe de inmediato tras la notificación. Si lo deniega, puede acudirse al Banco de España y, agotada la vía extrajudicial, a los tribunales.
No asumir la culpa. Que el usuario haya introducido sus claves en una web fraudulenta o haya facilitado un código OTP tras un engaño sofisticado no equivale automáticamente a negligencia grave. La jurisprudencia exige que el banco pruebe esa negligencia, no que la presuma.
Documentar todo. Conservar los SMS o correos fraudulentos recibidos, capturas de pantalla, la denuncia policial y toda la correspondencia con la entidad. Estos elementos serán esenciales en un eventual procedimiento judicial.
Si ha sido víctima de una estafa de este tipo, puede realizar nuestro test de phishing bancario para evaluar preliminarmente su situación y las opciones de reclamación disponibles.
Conclusión
La SAP M 4955/2026 confirma una tendencia jurisprudencial consolidada: en los supuestos de phishing bancario, la responsabilidad recae sobre la entidad financiera como proveedora de servicios de pago, salvo que acredite de forma efectiva la negligencia grave del cliente. Los tribunales no aceptan que los bancos se escuden en sus propios registros técnicos para eludir la obligación de reembolso.
Para cualquier consulta sobre reclamaciones derivadas de phishing bancario u operaciones de pago no autorizadas, puede contactar con nuestro despacho.
Si te han estafado por transferencia bancaria, consulta nuestra guía para recuperar dinero estafado por transferencia bancaria.
Consulta las guías específicas por entidad: Santander, CaixaBank y BBVA.