Si has sido víctima de phishing bancario —ya sea por un email, un SMS o una llamada que suplantaba a tu banco—, la ley te ampara. El Real Decreto-ley 19/2018 obliga al banco a devolverte el dinero salvo que demuestre que actuaste con negligencia grave, y el Tribunal Supremo ha confirmado que caer en una estafa de ingeniería social no constituye negligencia grave.
Pero para maximizar las posibilidades de éxito, es fundamental seguir los pasos correctos y respetar los plazos legales. En esta guía explico el proceso completo de reclamación, desde el primer minuto hasta la resolución judicial.
Paso 1: Bloquea tu cuenta inmediatamente
Cuándo: en los primeros minutos tras detectar la estafa.
Lo primero es minimizar el daño. Llama al teléfono de emergencias de tu banco (suele estar en el reverso de la tarjeta o en la app) y solicita el bloqueo inmediato de las credenciales de banca digital (usuario y contraseña), las tarjetas asociadas a la cuenta, y la cuenta corriente si es posible.
Pide siempre un número de referencia de la incidencia y anota el nombre del operador y la hora exacta de la llamada. Este dato es relevante porque el artículo 43 del RDL 19/2018 establece que el banco no puede imputarte las pérdidas que se produzcan después de que hayas notificado el fraude.
Si las transferencias fraudulentas se han dirigido a otra entidad bancaria, tu banco debe iniciar inmediatamente el procedimiento de retrocesión de las transferencias. Cuanto antes se solicite, más posibilidades hay de recuperar el dinero por esta vía.
Paso 2: Denuncia ante la policía
Cuándo: en las primeras 24-48 horas.
Acude a una comisaría de la Policía Nacional o un puesto de la Guardia Civil y formula denuncia. Lleva contigo capturas de pantalla del email, SMS o registro de llamada fraudulenta, extractos bancarios que muestren los cargos no autorizados, el número de referencia de la incidencia del banco, y cualquier otra evidencia disponible.
La denuncia policial cumple dos funciones: por un lado, inicia la investigación penal contra los autores de la estafa; por otro, constituye una prueba esencial para la reclamación civil contra el banco. Sin denuncia, el banco puede cuestionar la existencia del fraude.
Conserva una copia de la denuncia y solicita que te indiquen el número de atestado.
Paso 3: Reclamación formal al banco
Cuándo: lo antes posible, sin superar los 13 meses desde la operación.
Presenta una reclamación por escrito al Servicio de Atención al Cliente de tu banco. Puedes hacerlo por cualquier medio que deje constancia: burofax, correo certificado, formulario de reclamaciones en oficina o canal habilitado en la web. El escrito debe incluir tu identificación y datos de la cuenta afectada, relación detallada de los hechos y las operaciones no autorizadas, referencia a la denuncia policial, solicitud expresa de reembolso al amparo del artículo 45 del RDL 19/2018, y referencia a la STS 571/2025 del Tribunal Supremo.
El banco tiene un plazo máximo de 15 días hábiles para resolver tu reclamación (artículo 10 de la Orden ECO/734/2004). En la práctica, la mayoría de las entidades superan este plazo o directamente deniegan la solicitud, alegando negligencia del usuario.
Paso 4: Reclamación ante el Banco de España
Cuándo: si el banco no contesta en 15 días hábiles o deniega la reclamación.
Si el banco no resuelve a tu favor, puedes acudir al Departamento de Conducta de Entidades del Banco de España. Es un requisito previo recomendable (aunque no obligatorio) antes de la vía judicial. La reclamación se presenta online a través de la web del Banco de España.
El Banco de España analiza si la entidad ha cumplido con las normas de transparencia y buenas prácticas bancarias, y emite un informe que, aunque no es vinculante, tiene peso probatorio ante los tribunales. El plazo de resolución es de 4 meses.
Hay que tener en cuenta que el Banco de España no siempre da la razón al consumidor. En el caso de la SAP M 4955/2026 (Caja Rural), el Departamento de Conducta desestimó la reclamación del consumidor, pero la Audiencia Provincial le dio la razón en juicio.
Paso 5: Vía judicial
Cuándo: si las vías extrajudiciales no prosperan.
La demanda civil contra el banco es la vía más efectiva. Los datos de la jurisprudencia son contundentes: desde la STS 571/2025, los tribunales de Madrid estiman la práctica totalidad de las demandas por phishing bancario, condenando a las entidades a devolver las cantidades sustraídas más los intereses legales.
El procedimiento depende de la cuantía:
Hasta 6.000 euros: juicio verbal. No es obligatorio contar con abogado ni procurador, aunque es muy recomendable. El proceso es más rápido, habitualmente entre 3 y 6 meses.
Más de 6.000 euros: juicio ordinario. Requiere abogado y procurador. Plazo habitual de 6 a 12 meses.
En ambos casos, si ganas el juicio, el banco es condenado en costas, es decir, paga tus gastos legales.
Plazos importantes que debes conocer
13 meses desde la operación no autorizada: plazo máximo para notificar al banco y solicitar el reembolso (artículo 43 RDL 19/2018). Pasado este plazo, pierdes el derecho a reclamar por esta vía específica.
5 años: plazo de prescripción de la acción civil de responsabilidad contractual (artículo 1964 del Código Civil). Aunque hayas superado los 13 meses del RDL, podrías reclamar por la vía general de responsabilidad contractual, aunque con menos garantías procesales.
Las primeras horas son críticas. Cada minuto que pasa sin bloquear la cuenta aumenta el riesgo de que se ejecuten más operaciones fraudulentas. Y cada día que pasa sin denunciar dificulta la investigación policial y la preservación de las pruebas.
Documentos que necesitarás
A lo largo del proceso de reclamación, conviene reunir y conservar toda la documentación posible: capturas de pantalla del mensaje fraudulento (email, SMS o registro de llamada), extractos bancarios completos que muestren las operaciones no autorizadas, copia de la denuncia policial, copia de la reclamación presentada al banco y su respuesta, resolución del Banco de España (si la hay), contrato de banca digital con la entidad, y cualquier comunicación con el banco sobre el incidente.
¿Cuánto cuesta reclamar?
La reclamación extrajudicial (al banco y al Banco de España) es gratuita. Para la vía judicial, existen varias opciones:
Cuota litis: muchos abogados trabajamos con un sistema de honorarios vinculados al resultado. El cliente no adelanta nada o adelanta una cantidad mínima, y el abogado cobra un porcentaje de lo recuperado. Es la opción más habitual en casos de phishing, porque la tasa de éxito judicial es muy alta.
Costas procesales: si ganas, el banco paga las costas del juicio. En la práctica, esto cubre total o parcialmente los gastos legales del consumidor.
Seguro de defensa jurídica: revisa tu póliza de hogar o de tarjeta de crédito. Muchas incluyen cobertura de defensa jurídica que cubre total o parcialmente los gastos de abogado y procurador.
¿No estás seguro de si merece la pena reclamar? Haz nuestro test gratuito de phishing bancario y en menos de dos minutos sabrás si tu caso tiene viabilidad. También puedes contarme tu situación a través de la consulta preliminar gratuita.
Más información en la página de servicio de phishing y fraude bancario o en el artículo completo sobre phishing bancario y jurisprudencia.