El phishing bancario es la principal estafa digital en España: los ciberdelincuentes suplantan la identidad del banco por email, SMS o teléfono para obtener las credenciales del cliente y vaciar su cuenta. Lo que muchas víctimas desconocen es que la ley obliga al banco a devolver el dinero salvo que demuestre negligencia grave del usuario. El Tribunal Supremo lo confirmó en su sentencia hito de abril de 2025, y desde entonces los tribunales de Madrid vienen condenando de forma sistemática a entidades como Santander, CaixaBank, Unicaja e Ibercaja a reintegrar las cantidades sustraídas.
En este artículo explico qué es el phishing bancario, cómo funciona la reclamación, qué dice la jurisprudencia más reciente y por qué la inmensa mayoría de los consumidores que reclaman consiguen recuperar su dinero.
Qué es el phishing bancario y cómo funciona
El phishing bancario es una modalidad de ciberestafa en la que el atacante se hace pasar por una entidad financiera para obtener las claves de acceso, códigos de verificación o datos de tarjeta del usuario. Existen tres variantes principales:
Phishing (correo electrónico): el atacante envía un email que reproduce el diseño del banco. El mensaje alerta de un supuesto bloqueo de cuenta o movimiento sospechoso y contiene un enlace a una web fraudulenta que captura las credenciales. En la SAP Madrid 2145/2026, el consumidor recibió un correo con el logo de Banco Santander y la Audiencia Provincial determinó que no hubo negligencia grave por parte del usuario.
Smishing (SMS): el mismo engaño mediante mensaje de texto. Es especialmente peligroso porque algunos atacantes consiguen que el SMS aparezca en el mismo hilo que los mensajes legítimos del banco. En la SAP Madrid 4955/2026, un consumidor de Caja Rural perdió 5.036 euros en tres transferencias fraudulentas tras recibir un SMS. Dato revelador: Openbank detectó y bloqueó la operación inmediatamente; Caja Rural no lo hizo.
Vishing (llamada telefónica): el estafador llama al consumidor haciéndose pasar por un empleado del banco, a menudo utilizando técnicas de spoofing que muestran el número real de la entidad en la pantalla del teléfono. En la SAP Madrid 17262/2025, un cliente de Unicaja fue víctima de esta modalidad y el tribunal determinó que «no basta con medidas genéricas de protección o avisos estereotipados» por parte del banco.
El marco legal: por qué el banco debe devolverte el dinero
El Real Decreto-ley 19/2018, que transpone la Directiva europea PSD2, establece un régimen de responsabilidad cuasi-objetiva del proveedor de servicios de pago. En términos prácticos, esto significa que el banco debe devolver el importe de cualquier operación no autorizada de forma inmediata —y en todo caso antes del final del día hábil siguiente— salvo que demuestre dos cosas: que la operación fue correctamente autenticada y que el usuario actuó con negligencia grave.
La clave está en qué constituye «negligencia grave». Los tribunales españoles lo interpretan de forma muy restrictiva: caer en una estafa sofisticada de ingeniería social no equivale a negligencia grave, por más que el usuario haya facilitado sus credenciales al atacante. Esta doctrina quedó definitivamente consolidada por el Tribunal Supremo en la STS 571/2025.
La STS 571/2025: la sentencia que cambió las reglas
La Sentencia del Tribunal Supremo 1671/2025, de 9 de abril de 2025, dictada por la Sala de lo Civil (ponente: Manuel Almenar Belenguer, rec. 1151/2023), es el referente jurisprudencial en materia de phishing bancario en España. Un cliente de Ibercaja Banco S.A. sufrió 15 transferencias fraudulentas en una sola noche por un importe superior a 80.000 euros. El consumidor había alertado al banco un mes antes de la existencia de SMS sospechosos que suplantaban la identidad de la entidad.
El Tribunal Supremo establece tres principios fundamentales:
1. Responsabilidad cuasi-objetiva: el banco responde por las operaciones no autorizadas con independencia de la existencia de culpa, salvo que acredite fraude o negligencia grave del usuario.
2. Insuficiencia del registro: «el mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará para demostrar que la operación fue autorizada». Es decir, que conste en el sistema del banco que se utilizaron las credenciales del cliente no prueba que el cliente autorizó la operación.
3. Carga de la prueba invertida: es el banco quien debe demostrar la negligencia grave del usuario, no al revés. Y esa negligencia debe ser probada, no presumida.
Desde esta sentencia, las audiencias provinciales vienen aplicando de forma uniforme esta doctrina. El resultado: los bancos pierden la práctica totalidad de los juicios por phishing. Puedes consultar el análisis detallado de las 6 sentencias más relevantes.
Sentencias recientes de Madrid: los bancos que han perdido
Los tribunales de Madrid dictan decenas de sentencias al año sobre phishing bancario. Estas son algunas de las más representativas:
SAP Madrid 2145/2026 (Banco Santander). 21 de enero de 2026, ponente Ramón Badiola Diez. Phishing por email con logo de Santander. El banco apeló y la Audiencia confirmó la condena: la conducta de la consumidora «no puede ser calificada de negligencia grave».
SAP Madrid 4955/2026 (Caja Rural). 17 de abril de 2026, ponente Agustín Manuel Gómez Salcedo. SMS phishing, tres transferencias por 5.036 euros. Se aplica la responsabilidad cuasi-objetiva de la STS 571/2025.
SAP Madrid 17262/2025 (Unicaja). 18 de diciembre de 2025, ponente Isabel Serrano Frías. Vishing desde el número oficial de Unicaja. Los avisos genéricos del banco son insuficientes.
SAP Madrid 16883/2024 (CaixaBank). 2 de diciembre de 2024, ponente María Ángeles Martínez Domínguez. Transferencia de 6.120 euros a Roma. Primera instancia falló contra el consumidor; la Audiencia Provincial revirtió la sentencia en apelación.
SAP Madrid 4572/2025. 8 de abril de 2025, ponente Juana de la Cruz Serrano González. Los códigos OTP no fueron enviados por el banco, pero las operaciones se autorizaron igualmente. El banco incumplió sus obligaciones.
Cómo reclamar al banco paso a paso
Paso 1. Bloquea la cuenta. Llama al teléfono de emergencias de tu banco y solicita el bloqueo inmediato de las credenciales comprometidas. Pide un número de referencia de la incidencia.
Paso 2. Denuncia ante la policía. Acude a la Policía Nacional o Guardia Civil con capturas de pantalla del mensaje fraudulento y los extractos bancarios que muestren los cargos. La denuncia es prueba esencial para la reclamación.
Paso 3. Reclama por escrito al banco. Presenta una reclamación formal solicitando la devolución. El banco dispone de 15 días hábiles para responder. Si no contesta o la deniega, se abre la vía de reclamación ante el Banco de España y la vía judicial.
Paso 4. Consulta con un abogado. Un asesoramiento temprano permite preservar la prueba, formular la reclamación con los argumentos jurídicos correctos y valorar la viabilidad de cada vía. El plazo para reclamar es de 13 meses desde la operación fraudulenta.
¿No estás seguro de si tu caso es reclamable? Puedes hacer nuestro test gratuito de phishing bancario: en menos de dos minutos sabrás si tienes derecho a reclamar.
Preguntas frecuentes sobre phishing bancario
¿Puedo reclamar aunque facilité mis claves al estafador?
Sí. La jurisprudencia distingue entre negligencia grave (descuido inexcusable) y el error provocado por técnicas sofisticadas de ingeniería social. En todas las sentencias de la Audiencia Provincial de Madrid citadas en este artículo, los consumidores habían facilitado credenciales o códigos de verificación al atacante y aun así se estimó su reclamación.
¿Cuánto tarda el banco en devolver el dinero?
La ley obliga al banco a reembolsar el importe antes del final del día hábil siguiente a la comunicación. En la práctica, muchas entidades dilatan el plazo o deniegan la solicitud. Por vía extrajudicial, la resolución habitual es de 2 a 6 semanas. Por vía judicial, entre 4 y 12 meses según el juzgado.
¿Qué plazo tengo para reclamar?
13 meses desde la fecha de la operación no autorizada (artículo 43 del Real Decreto-ley 19/2018). Actuar cuanto antes es esencial: las primeras horas son críticas para el bloqueo de la cuenta y la preservación de prueba.
¿Cuánto cuesta contratar un abogado para reclamar?
El coste depende de la complejidad del caso y la vía utilizada. En muchos casos es posible acordar un pacto de cuota litis (honorarios vinculados al resultado). Puedes consultarme sin compromiso a través de la consulta preliminar gratuita.
Si has sido víctima de phishing bancario, puedes contarme tu caso a través de la consulta preliminar gratuita. Analizaré tu situación y te explicaré las opciones para recuperar tu dinero. También puedes consultar la página de servicio de phishing y fraude bancario o la landing de derecho bancario.