Phishing Bancario: El Banco Está Obligado a Devolverte el Dinero (PSD2)
Si eres víctima de phishing bancario, la Directiva PSD2 obliga al banco a reintegrar el importe. Descubre el proceso, qué es negligencia grave y cómo reclamar.
Abogado · Col. n.º 5.231 ICALPA · 5 min de lectura
Consulta gratuita
¿Necesitas asesoramiento?
Cuéntanos tu caso. Primera consulta siempre gratuita y sin compromiso.
Servicios relacionados
El phishing bancario: una estafa que tu banco debe cubrir
Recibes un SMS que parece de tu banco pidiéndote que accedas a un enlace urgente. O una llamada de alguien que se identifica como el servicio antifraude de tu entidad. Introduces tus credenciales o tu código de verificación, y en minutos tu cuenta ha sido vaciada.
Miles de personas sufren este tipo de estafas cada año en España. La buena noticia —que muchas víctimas desconocen— es que la normativa europea y española obliga al banco a reintegrar de inmediato el importe de las operaciones no autorizadas, salvo en supuestos muy concretos de negligencia grave del cliente.
Qué dice la normativa: la Directiva PSD2
La Directiva (UE) 2015/2366 sobre servicios de pago (PSD2), transpuesta en España a través del Real Decreto-ley 19/2018, establece un principio claro: el proveedor de servicios de pago (tu banco) es responsable de las operaciones no autorizadas.
El artículo 45 del Real Decreto-ley 19/2018 dispone que, en caso de operación de pago no autorizada, el banco debe devolver de inmediato el importe al usuario, a más tardar al final del siguiente día hábil tras la notificación del fraude.
La carga de la prueba es favorable al cliente: es el banco quien debe demostrar que la operación fue autorizada por el usuario o que este actuó con negligencia grave o fraude.
¿Qué se considera "negligencia grave"?
La excepción más relevante es la negligencia grave del usuario. Pero el umbral que fijan los tribunales es alto: no basta con que el cliente haya cometido un error.
Lo que los tribunales han considerado que NO es negligencia grave:
- Confiar en un SMS que imita el hilo de mensajes oficial del banco (smishing)
- Responder a una llamada de quien se identifica como el departamento de fraude bancario (vishing)
- Acceder a un enlace de un email aparentemente legítimo, si el correo era convincente
Lo que SÍ puede considerarse negligencia grave:
- Compartir voluntariamente credenciales con terceros sin presión aparente
- Ignorar avisos explícitos del propio banco sobre una operación sospechosa y confirmarla igualmente
- Instalar una aplicación de origen desconocido que concede acceso al dispositivo
La distinción es técnica y casuística. En la mayoría de los casos de phishing o smishing bien ejecutado, los tribunales han fallado a favor de los clientes bancarios.
Paso a paso desde el fraude hasta el reintegro
1. Actúa de inmediato al detectar el fraude
En cuanto detectes operaciones no autorizadas:
- Llama a la línea de atención de tu banco y bloquea las tarjetas y el acceso online
- Notifica el fraude por escrito (email, burofax o en oficina con justificante) en el mismo día si es posible
La fecha de notificación es importante porque el banco puede limitar tu responsabilidad a los movimientos anteriores a la notificación.
2. Interpón una denuncia ante la Policía o Guardia Civil
La denuncia policial documenta el fraude y es un elemento probatorio relevante. Puedes hacerla online en la sede electrónica de la Policía Nacional para este tipo de delitos. Guarda el número de atestado.
3. Reclama formalmente al banco
Presenta una reclamación escrita al Servicio de Atención al Cliente de tu banco detallando: la fecha y el importe de las operaciones no autorizadas, el mecanismo del fraude y la solicitud de reintegro inmediato conforme al RDL 19/2018.
El banco tiene 15 días hábiles para resolver (1 mes para grandes entidades). Si resuelven negativamente o no contestan, tienes abiertas las siguientes vías.
4. Reclamación ante el Banco de España
El Servicio de Reclamaciones del Banco de España puede pronunciarse sobre si el banco actuó conforme a la normativa. Su resolución no es ejecutiva pero tiene fuerza moral y argumentativa.
5. Acción judicial
Si el banco persiste en su negativa, la vía judicial es la más eficaz. Se plantea como incumplimiento de la normativa de servicios de pago ante los juzgados civiles. Los tribunales españoles han condenado de forma reiterada a las entidades bancarias en casos de phishing y smishing cuando no se demuestra la negligencia grave del cliente.
Cuánto puedes recuperar
La normativa prevé el reintegro íntegro del importe de las operaciones no autorizadas. Si el banco no lo hace voluntariamente, la acción judicial incluye también los intereses legales y, en su caso, las costas procesales.
El único supuesto en que el cliente puede perder parte de la indemnización es si el banco demuestra que hubo negligencia grave, en cuyo caso el cliente puede responder de hasta 50 € de franquicia (artículo 44 RDL 19/2018). En caso de fraude o negligencia grave demostrada, la responsabilidad puede ser mayor.
Consulta también nuestra página especializada en phishing bancario y estafas online.
La importancia de actuar rápido
El plazo para notificar al banco es fundamental. Cuanto más tiempo pase desde que detectas el fraude hasta que lo notificas, más argumentos puede esgrimir el banco para limitar su responsabilidad. Además, las operaciones fraudulentas se vuelven más difíciles de rastrear con el paso del tiempo.
Si has sido víctima de phishing bancario, consulta con un abogado especializado en el menor tiempo posible.
¿Tienes este problema? En ALY Abogados te asesoramos de forma gratuita y sin compromiso. Llama al 633 572 607 o consulta en lazaroamable.com.
Compartir este artículo
Si te interesa, lee también:
¿Necesitas asesoramiento?
Cuéntanos tu caso. Consulta gratuita y sin compromiso.