Lo primero que debes saber

Si no autorizaste la operación, el banco está obligado por ley a devolverte el dinero de inmediato. Caer en un engaño sofisticado no es negligencia grave. Los jueces lo repiten sistemáticamente.

Has pinchado en un enlace que parecía de tu banco o de Correos, has introducido tus datos y cuando has mirado la cuenta ya no había nada. Ahora el banco te dice que "es tu culpa por dar las claves". Si estás leyendo esto en pleno ataque de pánico, respira: la ley está de tu lado. Veamos qué dice exactamente y qué tienes que hacer ahora mismo.

El engaño perfecto: qué es el phishing y el smishing

El phishing consiste en suplantar la identidad de una entidad de confianza —tu banco, Correos, la Agencia Tributaria— mediante un correo electrónico o una página web falsa, para que introduzcas tus credenciales. El smishing es la misma trampa pero vía SMS. Los mensajes imitan el formato oficial con tal precisión que incluso llegan a colarse en el mismo hilo de conversación donde tu banco te manda notificaciones reales.

No estás ante un despiste tuyo. Estás ante un delito tipificado en el artículo 248 del Código Penal (estafa informática). La víctima eres tú, no el culpable.

La Ley en la mano

El Real Decreto-ley 19/2018 (Ley de Servicios de Pago), en sus artículos 43, 44 y 45, es tu principal escudo. Establecen que si una operación de pago no ha sido autorizada por el usuario, el banco está obligado a devolver el importe íntegro de forma inmediata. La carga de la prueba recae sobre la entidad: es el banco quien debe demostrar que tú actuaste con fraude o negligencia grave, no tú quien debes demostrar tu inocencia.

El banco debe devolverte el dinero: rompiendo el mito

La respuesta automática de los bancos ante un caso de phishing es siempre la misma: "Usted facilitó sus claves, por tanto no podemos hacernos responsables." Esta afirmación es, en la mayoría de los casos, jurídicamente incorrecta.

El banco no puede limitarse a alegar que el cliente proporcionó sus credenciales. Debe demostrar que existió negligencia grave o actuación fraudulenta del propio usuario. Si sus sistemas de seguridad no fueron capaces de detectar la operación anómala, la responsabilidad es suya. — Criterio reiterado por el Tribunal Supremo

Los sistemas de doble autenticación (el famoso código que llega al móvil para confirmar una transferencia) existen precisamente para evitar estos fraudes. Si un tercero fue capaz de sortearlos, el banco ha fallado en su obligación de seguridad.

La "negligencia grave": qué significa y por qué los jueces suelen darte la razón

La única excusa legal que tiene el banco para no devolverte el dinero es demostrar que actuaste con negligencia grave o con intención de fraude. Pero la jurisprudencia es muy clara: caer en un engaño sofisticado no es negligencia grave.

Lo que dicen los Jueces (Jurisprudencia)

El Tribunal Supremo ha establecido una doctrina de responsabilidad cuasi-objetiva de los bancos. Sentencias de múltiples Audiencias Provinciales recuerdan que el ciudadano medio no está obligado a ser un experto en ciberseguridad. La sofisticación del engaño —mensajes que imitan a la perfección la comunicación oficial del banco, hasta colarse en el hilo de SMS legítimos— es precisamente lo que lo convierte en un fraude y no en un descuido del usuario.

La negligencia grave sería, por ejemplo, apuntar tu PIN en una nota pegada en la cartera y perderla. No lo es caer en un SMS que imita el de tu banco con tecnología de spoofing avanzada.

Hoja de ruta de emergencia: qué hacer ahora mismo

La velocidad es crucial. Cada minuto que pasa sin actuar puede complicar la recuperación del dinero. Sigue estos pasos en orden:

  1. 1
    Bloquea tarjetas y accesos de inmediato

    Llama al número de emergencias de tu banco (suele estar en el reverso de la tarjeta) y pide el bloqueo de todas las tarjetas y el acceso a la banca online. Cambia las contraseñas desde un dispositivo diferente al que usaste cuando caíste en el engaño.

  2. 2
    Denuncia ante la Policía Nacional o la Guardia Civil

    Es el paso más importante y muchos lo saltan. La denuncia policial es imprescindible para reclamar al banco. Aporta capturas del SMS o correo fraudulento, los movimientos de cuenta y todos los datos que tengas. El delito está tipificado en el Art. 248 del Código Penal.

  3. 3
    Reclamación formal por escrito al banco (SAC)

    Presenta una reclamación formal —por escrito y con acuse de recibo— ante el Servicio de Atención al Cliente (SAC) de tu entidad. Cita expresamente el RDL 19/2018 y los artículos 43, 44 y 45. El banco tiene 15 días hábiles para responder. Guarda una copia de todo.

  4. 4
    Banco de España o demanda judicial si se niegan

    Si el banco rechaza tu reclamación, puedes acudir al Banco de España (Servicio de Reclamaciones) o interponer una demanda judicial. Dado que las cantidades suelen ser significativas, valorar la asistencia de un abogado especializado en derecho bancario puede marcar la diferencia.

Phishing Smishing Fraude bancario Ley de Servicios de Pago Negligencia grave Reclamación