Las ciberestafas se han convertido en el delito de mayor crecimiento en España. Solo en 2025 se registraron más de 400.000 denuncias por fraude informático, y en 2026 la cifra sigue en aumento impulsada por la inteligencia artificial. Si has perdido dinero por un ataque de phishing, smishing o vishing, debes saber que puedes reclamar banco la devolución del importe sustraído. La normativa europea y española protege al usuario de servicios de pago y, en muchos casos, obliga a la entidad bancaria a reembolsar el dinero. Te explicamos cómo funciona, qué plazos tienes y qué pasos debes seguir para recuperar tu dinero.
Qué son las ciberestafas y por qué crecen en 2026
Las ciberestafas son delitos cometidos a través de medios informáticos con el objetivo de obtener un beneficio económico ilícito. El artículo 248 del Código Penal tipifica la estafa, y el artículo 249 establece las penas para quienes utilicen manipulaciones informáticas o artificios semejantes para conseguir una transferencia no consentida de activos patrimoniales.
Las modalidades más frecuentes en 2026 son las siguientes:
Phishing: correos electrónicos que suplantan la identidad de tu banco, la Agencia Tributaria, Correos u otras entidades de confianza. Te piden que hagas clic en un enlace y facilites tus credenciales de acceso. En 2026, la inteligencia artificial permite generar correos casi idénticos a los originales, sin faltas de ortografía ni diseños sospechosos.
Smishing: la misma técnica pero a través de mensajes SMS. Es especialmente peligroso porque los mensajes fraudulentos se cuelan en el mismo hilo de conversación que los SMS legítimos de tu banco, lo que genera una falsa sensación de seguridad.
Vishing: llamadas telefónicas en las que el estafador se hace pasar por un empleado del banco. Utilizan técnicas de spoofing para que en tu pantalla aparezca el número real de la entidad. Te informan de un supuesto acceso fraudulento a tu cuenta y te piden que autorices operaciones o facilites códigos de verificación para, supuestamente, bloquear la actividad sospechosa.
Fraude del CEO o BEC: los ciberdelincuentes suplantan a un directivo de la empresa y ordenan transferencias urgentes a cuentas controladas por ellos. Este tipo de fraude afecta sobre todo a pymes y departamentos de administración.
Responsabilidad del banco: por qué puedes reclamar banco el dinero
La clave legal para que las víctimas de ciberestafas puedan reclamar banco el dinero sustraído está en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, que transpone la Directiva europea PSD2. Esta norma establece un régimen de responsabilidad cuasi objetiva para los proveedores de servicios de pago.
El artículo 45 de este real decreto-ley es contundente: cuando se ejecuta una operación de pago no autorizada, el proveedor de servicios de pago (tu banco) debe devolver de inmediato el importe de la operación. La carga de la prueba recae sobre el banco, que debe demostrar que la operación fue autenticada, registrada con exactitud y no se vio afectada por un fallo técnico.
En la práctica, esto significa que el banco solo queda exonerado si demuestra que actuaste con negligencia grave. La simple víctima de phishing que facilita sus datos engañada por una comunicación sofisticada no incurre, según la jurisprudencia mayoritaria, en negligencia grave. Los tribunales españoles vienen reconociendo de forma reiterada que las técnicas de ingeniería social actuales son lo suficientemente elaboradas como para engañar a un usuario medio diligente.
Además, los bancos tienen la obligación de implementar sistemas de seguridad robustos para detectar operaciones inusuales. Si tu banco no dispone de mecanismos de autenticación reforzada, alertas por operaciones atípicas o sistemas antifraude eficaces, su responsabilidad es aún mayor.
Pasos para reclamar banco tras ser víctima de ciberestafas
La rapidez es fundamental. La primera hora tras descubrir el fraude puede marcar la diferencia entre recuperar o perder el dinero. Sigue estos pasos en orden:
1. Contacta con tu banco inmediatamente. Llama al número de emergencias de tu entidad y solicita el bloqueo de la tarjeta, la cuenta o el medio de pago afectado. Pide que intenten la retrocesión de la transferencia si todavía es posible. Anota el número de incidencia, la fecha, la hora y el nombre del operador.
2. Presenta denuncia ante la Policía Nacional o Guardia Civil. Acude a comisaría lo antes posible. Lleva contigo capturas de pantalla de los mensajes o correos fraudulentos, el extracto bancario con las operaciones no autorizadas y cualquier otra prueba digital. La denuncia es imprescindible para la reclamación posterior al banco.
3. Presenta reclamación formal al banco. Una vez tengas la denuncia, envía una reclamación escrita al Servicio de Atención al Cliente de tu entidad. Invoca expresamente el artículo 45 del Real Decreto-ley 19/2018 y solicita el reembolso íntegro del importe sustraído. El banco tiene un plazo de 15 días hábiles para responder a la reclamación de operaciones no autorizadas.
4. Reclamación al Banco de España. Si el banco rechaza tu reclamación o no responde en plazo, puedes acudir al Departamento de Conducta del Banco de España. Aunque sus resoluciones no son vinculantes, en la práctica ejercen una presión considerable sobre las entidades.
5. Vía judicial. Si las vías anteriores no dan resultado, puedes interponer una demanda judicial contra el banco. Para reclamaciones de hasta 2.000 euros no es obligatorio contar con abogado ni procurador, aunque siempre es recomendable. Para cantidades superiores, necesitarás asistencia letrada. Un abogado penalista con experiencia en ciberdelitos te asesorará sobre la mejor estrategia.
Pruebas que necesitas para reclamar banco con éxito
La solidez de tu reclamación depende de las pruebas que aportes. Cuanto más completas y mejor organizadas estén, mayores serán tus posibilidades de éxito. Estas son las pruebas fundamentales:
Capturas de pantalla. Guarda capturas de los correos, SMS o mensajes de WhatsApp fraudulentos antes de que desaparezcan. Si recibiste una llamada, anota el número, la duración y el contenido de la conversación. Si es posible, graba la llamada (la legislación española permite grabar conversaciones en las que participas).
Extractos bancarios. Solicita un extracto detallado que refleje las operaciones no autorizadas, con fechas, horas, importes y cuentas de destino. Compara estas operaciones con tu patrón habitual de movimientos para demostrar que son atípicas.
Copia de la denuncia policial. El atestado o la denuncia formalizada es un documento esencial que acredita tu condición de víctima y el momento en que comunicaste los hechos.
Comunicaciones con el banco. Conserva todos los correos, cartas y comunicaciones telefónicas con la entidad. Si contactaste por teléfono, solicita que te envíen confirmación escrita de la incidencia y de las gestiones realizadas.
Informe técnico. En casos complejos, un peritaje informático puede demostrar cómo se produjo el ataque, qué vulnerabilidades explotó y si los sistemas de seguridad del banco eran adecuados. Este tipo de prueba es especialmente útil en la vía judicial.
Qué dice la jurisprudencia sobre ciberestafas y responsabilidad bancaria
La jurisprudencia española ha evolucionado de forma favorable para las víctimas de ciberestafas en los últimos años. Los tribunales aplican de forma rigurosa el régimen de responsabilidad del Real Decreto-ley 19/2018 y, en la mayoría de los casos, condenan al banco a devolver el dinero.
Los argumentos judiciales más repetidos son los siguientes:
El banco es el proveedor profesional del servicio de pago y debe garantizar la seguridad de las transacciones. No puede trasladar al cliente las consecuencias de las deficiencias de sus propios sistemas de seguridad.
Facilitar datos personales tras recibir una comunicación fraudulenta sofisticada no constituye, por sí solo, negligencia grave del usuario. La negligencia grave exige un incumplimiento deliberado o una falta de diligencia extrema, no el mero hecho de ser engañado.
Cuando el banco no acredita haber implementado todos los mecanismos de autenticación reforzada que exige la normativa PSD2, su responsabilidad es plena e indiscutible.
En definitiva, la tendencia jurisprudencial es clara: salvo que el banco demuestre una negligencia grave y evidente del usuario, debe asumir las pérdidas. Esto supone una protección real y efectiva para las víctimas, aunque muchas entidades siguen rechazando las reclamaciones en primera instancia con la esperanza de que el cliente desista.
Plazos importantes para reclamar banco el dinero
Los plazos son críticos en las reclamaciones por ciberestafas. Respetarlos puede marcar la diferencia entre recuperar o perder el dinero:
Comunicación al banco: debes notificar las operaciones no autorizadas sin demora injustificada y, en todo caso, en un plazo máximo de 13 meses desde la fecha del cargo. No obstante, cuanto antes comuniques el fraude, mayores serán las posibilidades de retroceder la operación.
Respuesta del banco: la entidad debe resolver la reclamación por operaciones no autorizadas en un plazo de 15 días hábiles. Si no responde o la respuesta es negativa, se abre la vía de reclamación ante el Banco de España.
Reclamación judicial: el plazo de prescripción para ejercer la acción de responsabilidad contractual contra el banco es de cinco años, según el artículo 1964 del Código Civil. Para la acción penal por estafa, el plazo depende de la pena prevista, pero como regla general dispones de al menos cinco años.
Denuncia policial: no existe un plazo legal estricto para denunciar, pero hazlo en las primeras 24-48 horas. La demora puede dificultar la investigación y reducir las posibilidades de rastrear el dinero.
Cómo protegerte de las ciberestafas: medidas preventivas
La mejor reclamación es la que nunca tienes que hacer. Aunque ninguna medida garantiza una protección absoluta, seguir estas pautas reducirá significativamente el riesgo de ser víctima:
Tu banco nunca te pedirá por correo, SMS o teléfono que facilites tus contraseñas completas, PINes o códigos de verificación. Si recibes una comunicación de este tipo, es fraudulenta. Cuelga y llama tú directamente al número oficial de tu entidad.
Antes de hacer clic en cualquier enlace, verifica la URL. Los sitios fraudulentos suelen tener direcciones muy parecidas a las originales pero con pequeñas variaciones (una letra cambiada, un guión añadido, un dominio diferente).
Activa la autenticación en dos pasos en todas tus cuentas bancarias y de correo electrónico. Configura alertas por cada operación realizada con tu tarjeta o desde tu cuenta. Establece límites diarios de transferencia que se ajusten a tu uso real.
No compartas información personal en redes sociales que pueda facilitar la suplantación. Los estafadores investigan a sus víctimas y utilizan datos públicos para hacer más creíbles sus engaños.
Conclusión: no te resignes, reclama
Las ciberestafas causan un daño económico y emocional enorme. Muchas víctimas se sienten culpables por haber caído en la trampa y renuncian a reclamar banco el dinero perdido. Sin embargo, la ley está de tu lado: el banco tiene la obligación legal de proteger tu dinero y de reembolsarte cuando sus sistemas de seguridad fallan.
No aceptes un «no» como primera respuesta. Las entidades bancarias rechazan muchas reclamaciones de forma automática, confiando en que el cliente no insistirá. Con el asesoramiento adecuado y la documentación correcta, las posibilidades de recuperar el dinero son altas.
En DIMMAO Abogados contamos con experiencia en reclamaciones por fraude bancario y ciberdelitos. Te ayudamos a preparar la reclamación, negociar con el banco y, si es necesario, defender tus derechos en los tribunales. Contacta con nosotros y recupera lo que es tuyo. La primera consulta es gratuita.
