BBVA es el banco con más víctimas de phishing en España. Con más de 14 millones de clientes digitales, se ha convertido en el objetivo prioritario de los ciberdelincuentes. Los fraudes más habituales incluyen SMS fraudulentos («estafa BBVA SMS»), llamadas falsas del servicio de atención al cliente y páginas web clonadas de la banca online.

Si te han estafado mediante phishing en BBVA, la ley está de tu lado. El banco tiene la obligación de devolverte el dinero salvo que demuestre que actuaste con negligencia grave — algo que los tribunales rechazan en la inmensa mayoría de casos.

Cómo funcionan las estafas por phishing en BBVA

SMS fraudulento (smishing BBVA)

Recibes un SMS que aparece en el mismo hilo de mensajes que los SMS legítimos de BBVA. El mensaje te alerta de un problema de seguridad, un cargo sospechoso o un bloqueo de cuenta, y te invita a pulsar un enlace. Si pinchas, llegas a una web idéntica a la de BBVA donde introduces tus credenciales. Con ellas, el estafador accede a tu banca online.

La SAP Barcelona 2039/2026 (ECLI:ES:APB:2026:2039) explica el mecanismo técnico: «El remitente puede poner un código numérico, un código alfanumérico (bbva1, 2, 14, etc.), o un código alfabético (como bbva), pero el teléfono los agrupa como si fueran de la entidad bancaria. El suplantador intenta hacer creíble lo que es falso. La brecha de seguridad no utiliza el sistema bancario (…) El banco no puede evitar el mensaje, pues no interviene en esa comunicación.»

Llamada falsa del banco (vishing BBVA)

Tras el SMS, recibes una llamada que muestra el número oficial de BBVA en tu pantalla (caller ID spoofing). El supuesto operador te pide códigos OTP para «cancelar» operaciones fraudulentas. En realidad, cada código que facilitas autoriza una transferencia o compra.

Web clonada de BBVA

Página web visualmente idéntica a bbva.es que captura tus credenciales de acceso. El enlace suele llegar por SMS, email o incluso por anuncios de Google.

Sentencias contra BBVA: los tribunales condenan al banco

SAP Barcelona 2039/2026 — 13.940 € recuperados

El demandante recibió un SMS en el hilo de BBVA que le dirigió a una web falsa. Tras introducir sus credenciales, se ejecutaron compras por 13.940,50 € en Madrid mientras el titular estaba en Barcelona. La Audiencia Provincial de Barcelona analizó la responsabilidad bajo los artículos 44-46 del RDL 19/2018 y condenó a BBVA a la devolución íntegra.

SAP Valencia 699/2026 — BBVA condenado por responsabilidad cuasi-objetiva

La empresa Puzzle Kit SL sufrió un cargo no autorizado de 4.984 € por phishing. BBVA bloqueó la cuenta pero se negó a devolver el dinero. La Audiencia Provincial de Valencia revocó la sentencia de primera instancia (que había dado la razón a BBVA) y condenó al banco. Clave de la sentencia: «No corresponde a la parte actora acreditar si la entidad bancaria incurrió en negligencia (…) sino si el usuario ha incurrido en fraude o negligencia grave, que es cuestión radicalmente distinta».

La sentencia cita expresamente la STS 571/2025 del Tribunal Supremo como doctrina aplicable, desestimando el argumento de BBVA de que la seguridad del dispositivo del usuario es responsabilidad del cliente.

SAP Zaragoza 2804/2024 — 80% responsabilidad BBVA

Caso de smishing donde la víctima facilitó un cambio de vinculación de dispositivo tras recibir un SMS fraudulento. La primera instancia estableció una responsabilidad compartida: 80% del banco y 20% del usuario. La Audiencia Provincial consideró que incluso ese 20% de responsabilidad al usuario era cuestionable, dado que «la negligencia grave debe surgir por iniciativa del usuario, no como consecuencia del engaño tramado por un tercero».

SAP Barcelona 7288/2025 — 3.649 € por compras no autorizadas

Cuatro compras no autorizadas por 3.649,50 € en la tarjeta vinculada a la cuenta BBVA del demandante. Este llevaba 25 años como cliente sin haber realizado transferencias inmediatas. El tribunal valoró este historial como indicador de que las operaciones no fueron consentidas.

¿Por qué BBVA debe devolverte el dinero? Marco legal

El Real Decreto-ley 19/2018 establece un marco claro:

  • Art. 44: La carga de la prueba corresponde al banco. BBVA debe demostrar que la operación fue correctamente autenticada y que no hubo fallos técnicos. Además, debe probar que actuaste con negligencia grave (art. 44.3).
  • Art. 45: BBVA debe devolverte el importe de inmediato, a más tardar al día hábil siguiente a la notificación.
  • Art. 46: Solo estás obligado a soportar pérdidas si actuaste con fraude o negligencia grave. En cualquier otro caso, tu responsabilidad máxima es de 50 €.
  • Art. 46.2: Si BBVA no exigió autenticación reforzada del cliente, solo respondes si actuaste fraudulentamente — ni siquiera por negligencia grave.

Pasos para reclamar a BBVA por phishing

  1. Llama al 900 102 801 (línea de atención al cliente de BBVA) y notifica la operación no autorizada.
  2. Presenta denuncia ante la Policía Nacional o Guardia Civil.
  3. Reclama por escrito al Servicio de Atención al Cliente de BBVA (SAC), invocando el art. 45 RDL 19/2018.
  4. Si BBVA rechaza tu reclamación (plazo: 15 días hábiles), reclama ante el Banco de España.
  5. Si persiste la negativa, presenta demanda judicial. La jurisprudencia es contundente a tu favor. Consulta nuestra guía paso a paso.

¿Cuánto puedo recuperar y cuánto cuesta reclamar?

Recuperas el 100% del importe estafado, más intereses legales desde la fecha de la estafa. En cuanto al coste, si BBVA pierde (y la estadística dice que pierde), el banco es condenado en costas: es decir, BBVA paga tus gastos de abogado y procurador. Ver precios orientativos.

¿Te han estafado en BBVA? Hemos ganado casos contra este banco

Conocemos las sentencias, la estrategia de defensa de BBVA y sus puntos débiles. Analizamos tu caso sin compromiso.

Consulta gratuita contra BBVA

Guías específicas: Bankinter, Ibercaja, Kutxabank y Abanca.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813