Te han estafado por transferencia bancaria y no sabes si puedes recuperar tu dinero. Es la situación más angustiante que puede vivir un usuario de banca online: descubrir que alguien ha vaciado tu cuenta mediante una transferencia que tú no autorizaste — o que autorizaste engañado por un fraude de phishing, smishing o vishing.
La buena noticia es que la ley española obliga al banco a devolverte el dinero. No es una opinión: es lo que dice el artículo 45 del Real Decreto-ley 19/2018 de servicios de pago, y lo que ha confirmado el Tribunal Supremo en su sentencia 571/2025. En este artículo te explico exactamente qué dice la ley, qué ha dicho la jurisprudencia más reciente, y los pasos concretos para recuperar tu dinero. Si tu caso no fue por transferencia sino por otro método (Bizum, compra online, inversión), consulta nuestra guía general para recuperar dinero estafado por internet.
Qué dice la ley: el banco debe devolverte el dinero
El artículo 45 del Real Decreto-ley 19/2018 (Ley de Servicios de Pago) establece una regla clara: cuando se ejecuta una operación de pago no autorizada, el banco debe devolver el importe de inmediato y, como máximo, antes del final del día hábil siguiente a la notificación.
Literalmente:
«En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación.»
— Art. 45.1 RDL 19/2018
Además, el artículo 44 invierte la carga de la prueba: no eres tú quien debe demostrar que el banco falló. Es el banco quien debe probar que la operación fue legítima. Y el apartado 3 va más allá: corresponde al banco probar que el usuario cometió fraude o negligencia grave.
¿Cuándo el banco está obligado a devolver el dinero?
La ley y la jurisprudencia son contundentes. El banco debe devolverte el dinero en estos casos:
- Transferencia no autorizada: alguien accedió a tu banca online y realizó una transferencia sin tu conocimiento.
- Phishing o smishing: recibiste un SMS o email falso que suplantaba a tu banco, introduciste tus credenciales en una web fraudulenta, y los estafadores hicieron transferencias con tus datos.
- Vishing (llamada falsa del banco): te llamaron haciéndose pasar por empleados de tu entidad, y bajo engaño autorizaste una transferencia o facilitaste códigos OTP.
- Falta de autenticación reforzada: el banco no aplicó doble factor de autenticación (SCA). En este caso, según el artículo 46.2, el usuario solo responde si actuó con fraude, no por negligencia.
El Tribunal Supremo lo confirma: STS 571/2025
La Sentencia del Tribunal Supremo 571/2025, de 9 de abril (ECLI:ES:TS:2025:1671, ponente Manuel Almenar Belenguer) es el pronunciamiento más importante en materia de fraude bancario online en España. El caso: una víctima de SIM swapping que facilitó un código OTP engañada por ingeniería social.
El Tribunal Supremo estableció tres principios fundamentales:
- La responsabilidad del banco es cuasi-objetiva: responde de cualquier operación no autorizada salvo que demuestre negligencia grave o dolo del cliente.
- La carga de la prueba es del banco: no basta con que el banco alegue que el cliente «cayó en el phishing». Debe probar que la conducta del cliente fue gravemente negligente.
- No es negligencia grave ser víctima de ingeniería social: facilitar un código OTP tras ser engañado por técnicas sofisticadas de suplantación no constituye negligencia grave.
Esta sentencia ha sido citada por decenas de Audiencias Provinciales en 2026 como doctrina vinculante.
Sentencias recientes que obligan al banco a devolver el dinero
La jurisprudencia de 2026 es abrumadoramente favorable a las víctimas. Estos son algunos ejemplos reales:
SAP Cádiz 483/2026: CaixaBank condenada a devolver 14.920 euros
La Audiencia Provincial de Cádiz (sentencia de 20 de febrero de 2026, ECLI:ES:APCA:2026:483) condenó a CaixaBank a devolver 14.920 euros tras dos transferencias fraudulentas a cuentas en el extranjero. El tribunal señaló que «incumbía a la entidad financiera acreditar plenamente que dichas operaciones fueron auténticas» y que CaixaBank «se limitó a invocar que se cumplió el protocolo de autenticación (introducción de claves y OTP)», lo que no es suficiente.
SAP Valencia 699/2026: responsabilidad cuasi-objetiva del banco
La AP Valencia (14 de abril de 2026, ECLI:ES:APV:2026:699) anuló una sentencia de instancia que había culpado al cliente por no tener antivirus. El tribunal fue tajante: «nos hallamos en un régimen de responsabilidad cuasi objetiva o por riesgo» y el mero hecho de no disponer de antivirus no constituye negligencia grave. Además, recordó que es el banco quien ofrece el servicio de banca online y «si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que la víctima sea el único responsable».
SAP Jaén 290/2026: Unicaja condenada por vishing
La AP Jaén (13 de febrero de 2026, ECLI:ES:APJ:2026:290) condenó a Unicaja tras un fraude combinado de SMS spoofing y llamada telefónica. El cliente recibió un SMS en el hilo oficial de Unicaja advirtiendo de un «acceso inusual» y luego una llamada del número del banco. El tribunal concluyó que «el error no puede entenderse que fuera fácilmente evitable, sin que se le pueda imputar al demandante una responsabilidad por negligencia grave».
SAP León 435/2025: Santander condenado por transferencias y cargos fraudulentos
La Audiencia Provincial de León (sentencia de 2025, ECLI:ES:APLE:2025:435) condenó a Santander a devolver 6.570,23 euros tras un ataque combinado: 4.500 euros en transferencias fraudulentas y 2.070,23 euros en cargos con tarjeta. El tribunal aplicó la doctrina de responsabilidad cuasi-objetiva y rechazó la alegación de negligencia grave del cliente.
Pasos para recuperar el dinero estafado
1. Notifica al banco inmediatamente
El artículo 41.b) del RDL 19/2018 te obliga a notificar al banco «sin demora indebida» en cuanto tengas conocimiento de la operación no autorizada. Hazlo por teléfono y por escrito (email o burofax) para que quede constancia.
2. Presenta denuncia ante la Policía
Acude a la comisaría de Policía Nacional o cuartel de la Guardia Civil y denuncia los hechos. Conserva la copia de la denuncia: la necesitarás para la reclamación al banco.
3. Reclama formalmente al banco
Presenta una reclamación escrita al Servicio de Atención al Cliente de tu entidad, invocando los artículos 44 y 45 del RDL 19/2018. El banco tiene 15 días hábiles para resolver (artículo 10.2 de la Orden ECO/734/2004).
4. Reclama ante el Banco de España
Si el banco no responde en plazo o deniega la devolución, puedes acudir al Servicio de Reclamaciones del Banco de España. Aunque sus resoluciones no son vinculantes, en la práctica muchos bancos rectifican tras un informe desfavorable.
5. Demanda judicial
Si el banco sigue sin devolver, la vía judicial es la más efectiva. Como hemos visto, la jurisprudencia es abrumadoramente favorable. En juicio verbal (reclamaciones hasta 6.000 euros no necesitas abogado, aunque es muy recomendable) o juicio ordinario para cantidades superiores.
Si tu banco es BBVA, consulta nuestra guía específica para reclamar phishing a BBVA. También disponemos de guías para Santander y CaixaBank con sentencias y plazos adaptados a esta entidad.
¿Cuándo puede el banco negarse a devolver?
La única excepción legal es que el banco demuestre que actuaste con fraude o negligencia grave (art. 46 RDL 19/2018). Pero cuidado: la ley dice «grave», no cualquier descuido. Y la carga de probarlo es del banco (art. 44.3).
Los tribunales han sido muy restrictivos al valorar qué constituye negligencia grave. No se considera negligencia grave:
- Introducir datos en una web de phishing que imita perfectamente al banco.
- Facilitar un código OTP tras una llamada del «número oficial» del banco (spoofing).
- No tener antivirus actualizado (SAP Valencia 699/2026).
- Seguir instrucciones de un SMS recibido en el hilo oficial de la entidad.
Sí podría considerarse negligencia grave:
- Entregar voluntariamente todas tus claves a un desconocido sin ningún engaño previo.
- Compartir tus credenciales con terceros de forma deliberada.
- Ignorar avisos claros y reiterados de fraude del propio banco.
Plazos para reclamar
Debes notificar la operación no autorizada al banco en un máximo de 13 meses desde la fecha del cargo (art. 43 RDL 19/2018). Pasado ese plazo, el banco no está obligado a rectificar. Sin embargo, la acción judicial por responsabilidad contractual tiene un plazo de prescripción de 5 años (art. 1964 del Código Civil).
Nuestro consejo: actúa lo antes posible. Cuanto antes notifiques, más posibilidades hay de que el banco pueda revertir la transferencia antes de que los estafadores retiren el dinero.
Preguntas frecuentes
¿Puedo recuperar dinero estafado por Bizum?
Depende. Si la transferencia Bizum fue resultado de un engaño (phishing, smishing, vishing), sí: aplica el mismo régimen de responsabilidad del RDL 19/2018. Si tú enviaste voluntariamente el dinero a un vendedor fraudulento (estafa en compraventa), el caso es diferente y se encauza como estafa penal con acción civil.
¿Y si he autorizado yo la transferencia engañado?
También puedes recuperar el dinero. El Tribunal Supremo (STS 571/2025) ha establecido que autorizar una operación tras ser víctima de ingeniería social no equivale a «autorización válida» ni constituye negligencia grave. El consentimiento viciado por engaño no es consentimiento.
¿Cuánto tarda el proceso judicial?
Un juicio verbal por reclamación bancaria suele resolverse en primera instancia en 4 a 8 meses. Si el banco apela, la Audiencia Provincial puede tardar otros 6 a 12 meses. La buena noticia es que, con la jurisprudencia actual, las posibilidades de éxito son muy altas.
¿Cuánto cuesta un abogado para reclamar al banco?
Depende de la cuantía reclamada. Te orientamos en nuestra página de precios de reclamaciones bancarias. La primera consulta es gratuita.
Consulta gratuita
Si has sido víctima de una estafa por transferencia bancaria, puedo ayudarte a recuperar tu dinero. Como abogado especialista en fraudes bancarios en Madrid, conozco la ley y la jurisprudencia al detalle — porque es a lo que me dedico todos los días.
Consulta mi experiencia en fraudes bancarios o solicita una consulta gratuita.
Contenido relacionado:
- Recuperar dinero estafado por internet: guía legal completa
- Phishing bancario: qué es, cómo reclamar y jurisprudencia
- Reclamar phishing a BBVA: guía con sentencias
- Estafa por Bizum: cómo reclamar y recuperar el dinero
- Estafa Bizum «por error»: qué hacer
- ¿Está obligado el banco a devolver el dinero por phishing?
- STS 571/2025: la sentencia que cambió las reglas del phishing
Consulta nuestra guía completa sobre fraude bancario en España para conocer todos los tipos de fraude y cómo reclamar.
Si la estafa fue a través de Bizum, consulta nuestras guías especializadas: cómo reclamar una estafa por Bizum, estafa del Bizum inverso y estafa Bizum «por error».
Descubre cómo los estafadores usan tus datos personales para cometer fraude bancario en nuestra guía sobre estafas bancarias con datos personales.
Si la transferencia fue provocada por una estafa por WhatsApp, el procedimiento de reclamación es el mismo.