Fraude con Tarjeta: Tu Banco Debe Devolverte el Dinero (PSD2)

El Marco Legal: La Directiva PSD2 y su Transposición en España

La Directiva (UE) 2015/2366 de Servicios de Pago (PSD2) fue transpuesta al ordenamiento español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Sus disposiciones sobre responsabilidad en operaciones no autorizadas son claras:

• El banco es responsable por defecto de cualquier operación de pago que el usuario no haya autorizado.
• En caso de operación no autorizada, la entidad debe devolver el importe íntegro al usuario a más tardar al final del siguiente día hábil desde que tiene conocimiento de la incidencia.
• La única excepción es que el banco pueda acreditar que el usuario actuó de forma fraudulenta o con negligencia grave.

Esto supone un cambio radical respecto a la situación anterior: antes, la discusión solía centrarse en si el cliente "había hecho algo mal". Ahora, la responsabilidad es del banco salvo prueba en contrario que él mismo debe aportar.

Tipos de Fraude Cubiertos por la PSD2

Phishing (Correo Electrónico Falso)

El phishing consiste en el envío de correos electrónicos que imitan la apariencia del banco o de otra entidad de confianza, invitando al usuario a acceder a una página web falsa donde introduce sus credenciales. Los ciberdelincuentes capturan esos datos y los usan para realizar transferencias o compras no autorizadas.

Smishing (SMS Falso del Banco)

El smishing es la versión del phishing por SMS. El usuario recibe un mensaje de texto que aparentemente procede de su banco, con un enlace y un pretexto urgente: "su cuenta ha sido bloqueada", "hay un acceso sospechoso", etc. Al pulsar el enlace, llega a una web falsa donde introduce sus datos de acceso.

Los tribunales españoles han considerado reiteradamente que caer en un SMS fraudulento suficientemente sofisticado no constituye negligencia grave por parte del usuario, especialmente cuando el mensaje se inserta en el mismo hilo de conversación que los SMS legítimos del banco (una técnica conocida como spoofing de número de teléfono).

Vishing (Llamada Telefónica Fraudulenta)

El vishing es una llamada en la que un supuesto empleado del banco solicita al cliente sus credenciales de acceso, el código OTP de confirmación de transacciones u otros datos sensibles. Es la modalidad más sofisticada porque incluye interacción en tiempo real.

Compras Online No Autorizadas y Duplicación de Tarjeta (Skimming)

Las compras realizadas con los datos de la tarjeta sin que el titular las haya autorizado, y la clonación física de la tarjeta mediante dispositivos de captura instalados en cajeros automáticos o terminales de pago, también están plenamente cubiertas por el régimen PSD2.

Qué Significa "Negligencia Grave" del Usuario

La PSD2 establece que el banco solo puede eximirse de responsabilidad si prueba que el usuario actuó con negligencia grave. Los tribunales interpretan este concepto de forma restrictiva, en beneficio del consumidor:

Sí constituye negligencia grave (el banco puede negarse a devolver):

• Entregar físicamente la tarjeta a un tercero para que realice operaciones.
• Comunicar el PIN por teléfono de forma voluntaria a alguien que se identifica como amigo o familiar.
• Ignorar avisos explícitos del banco sobre un fraude en curso y seguir facilitando datos.

No constituye negligencia grave (el banco debe devolver):

• Caer en un SMS de phishing sofisticado que imita al 100 % la apariencia del banco.
• Acceder a un enlace recibido en el hilo legítimo de mensajes del banco (spoofing).
• Facilitar el código OTP cuando el ciberdelincuente se hace pasar por el servicio de seguridad del propio banco con información verosímil sobre la cuenta.

Las sentencias de 2024 y 2025 de juzgados de primera instancia y audiencias provinciales de toda España han condenado a bancos a devolver importes de entre 2.000 y 80.000 euros por fraudes de phishing, incluso cuando el usuario clicó el enlace fraudulento, porque el banco no pudo demostrar la negligencia grave.

Pasos para Reclamar Si Has Sido Víctima de Fraude

1. Bloquea la Tarjeta de Inmediato

En cuanto detectes cualquier cargo que no reconoces, llama al servicio de atención al cliente del banco y solicita el bloqueo urgente de la tarjeta. Guarda el registro de esa llamada (hora, número marcado, referencia que te den).

2. Interpón una Denuncia Policial

Ve a la Policía Nacional o a la Guardia Civil y denuncia el fraude. Solicita el número de atestado o el justificante de la denuncia. Este documento es fundamental para acreditar que no realizaste tú la operación.

3. Reclamación por Escrito al Banco

Presenta una reclamación formal al Servicio de Atención al Cliente del banco, adjuntando la denuncia policial, los extractos donde constan los cargos no autorizados y cualquier evidencia del fraude (captura del SMS o correo falso, si la tienes). El banco tiene 15 días hábiles para responder en operaciones de pago (aunque en la práctica suelen tardar más, lo que refuerza tu posición reclamante).

4. Si el Banco Deniega la Devolución

Si el banco rechaza la reclamación o no contesta, tienes dos vías:

• Servicio de Reclamaciones del Banco de España: resolución no vinculante pero útil como antecedente.
• Vía judicial: demanda ante el juzgado competente. Dado el criterio de los tribunales en 2024-2025, la tasa de éxito en estos casos es elevada, y si ganas, el banco paga las costas.

La clave es actuar con rapidez y documentar cada paso. Cuanto antes se notifica el fraude al banco, menos argumentos tiene la entidad para alegar que el usuario fue negligente al no comunicarlo a tiempo.

Para orientación específica sobre tu caso, consulta nuestra sección de reclamaciones bancarias Las Palmas y el detalle sobre cómo actuamos en casos de fraude con tarjeta.

---

¿Tienes un caso similar? Consulta gratuita