En la era digital, cada vez más personas realizan operaciones bancarias a través de internet. Esta comodidad, sin embargo, viene acompañada de ciertos riesgos, siendo el phishing bancario uno de los más peligrosos y comunes. El phishing consiste en una técnica de fraude que busca engañar a los usuarios para que revelen datos confidenciales como claves, contraseñas o información de sus tarjetas bancarias. Generalmente, los estafadores se hacen pasar por el banco mediante correos electrónicos, mensajes de texto o incluso llamadas telefónicas.
Una vez que el delincuente ha conseguido acceso a esta información, puede realizar transferencias, pagos u otras operaciones en nombre de la víctima, provocando pérdidas económicas que, en muchos casos, son muy difíciles de recuperar. Esta situación genera una pregunta clave: ¿qué puede hacer una persona que ha sido víctima de phishing? Y, sobre todo, ¿cuál es el plazo legal para presentar una reclamación contra el banco?
En este artículo vamos a abordar de forma clara y detallada qué es el phishing bancario, cómo funciona, qué responsabilidades tiene la entidad financiera frente a este tipo de fraudes, y lo más importante: cuánto tiempo tiene una persona para ejercer su derecho a reclamar, según la normativa vigente en España. Además, exploraremos los pasos a seguir para realizar una reclamación eficaz y qué factores pueden influir en su éxito.
Tanto si ya has sido víctima de phishing como si deseas estar prevenido, esta guía te proporcionará información esencial para actuar con rapidez y conocimiento en caso de sufrir un fraude bancario.
¿Qué es el phishing bancario y cómo reconocerlo?
El término “phishing” proviene del inglés y hace referencia a la técnica de “pescar” datos personales mediante engaños. En el contexto bancario, el phishing se refiere a un tipo de fraude informático cuyo objetivo principal es obtener información confidencial de los usuarios, como contraseñas, datos de tarjetas de crédito, números de cuenta o claves de acceso a la banca online. Esta información se utiliza posteriormente para realizar transacciones no autorizadas o vaciar las cuentas bancarias de la víctima.
¿Cómo opera el phishing?
Los delincuentes detrás del phishing son cada vez más sofisticados. Utilizan canales que aparentan ser legítimos, como correos electrónicos que imitan la imagen corporativa del banco, mensajes de texto (SMS), llamadas telefónicas falsas (vishing), o incluso mensajes en redes sociales. El mensaje suele incluir algún tipo de advertencia o urgencia, como:
“Su cuenta será bloqueada si no actualiza sus datos.”
“Se ha detectado una operación sospechosa. Verifique su identidad.”
“Acceda a su cuenta desde este enlace para confirmar una operación.”
Al hacer clic en el enlace o seguir las instrucciones, el usuario es dirigido a una página falsa que simula la web oficial del banco, donde se le solicita ingresar sus datos personales. Una vez ingresados, estos datos caen en manos de los estafadores.
¿Cómo identificar un intento de phishing?
Algunos signos de alerta que pueden ayudarte a identificar un intento de phishing son:
Correos o mensajes con faltas de ortografía o traducciones incorrectas.
Direcciones de correo electrónico o enlaces que no coinciden exactamente con los del banco.
Solicitudes urgentes o amenazantes para que tomes una acción inmediata.
Peticiones de datos confidenciales que el banco nunca solicita por canales digitales.
Es importante recordar que ninguna entidad bancaria legítima solicita contraseñas o PINs completos por correo electrónico o teléfono. Si recibes un mensaje sospechoso, lo recomendable es contactar directamente con el banco a través de sus canales oficiales.
¿Qué hacer si ya has caído en un fraude de phishing?
En caso de haber proporcionado tus datos por error o si observas movimientos sospechosos en tu cuenta bancaria, debes actuar con la máxima urgencia:
Contacta de inmediato con tu banco para bloquear el acceso y evitar más operaciones.
Recopila todas las pruebas del fraude (mensajes, capturas, correos).
Presenta una denuncia ante la Policía Nacional o Guardia Civil.
Consulta con un abogado especializado para asesorarte sobre tus derechos y las vías de reclamación.
Ahora que entendemos en qué consiste el phishing y cómo identificarlo, es fundamental conocer cuál es la responsabilidad del banco en estos casos, algo que veremos en la siguiente sección.
Responsabilidad del banco en casos de phishing
Cuando una persona es víctima de phishing y se realizan cargos no autorizados en su cuenta bancaria, surge una cuestión central: ¿es el banco responsable de devolver el dinero robado? La respuesta no siempre es sencilla, pero la legislación española y europea ofrece una base sólida para proteger al consumidor frente a fraudes electrónicos.
Normativa aplicable: Directiva PSD2 y normativa española
La Directiva (UE) 2015/2366, conocida como PSD2, regula los servicios de pago en la Unión Europea y establece que el banco es responsable de garantizar que las operaciones estén correctamente autenticadas y autorizadas por el usuario. Esta directiva fue incorporada al ordenamiento jurídico español a través del Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera.
Según esta normativa, si un cliente niega haber autorizado una operación, el banco debe reembolsar de inmediato el importe sustraído, salvo que pueda probar que:
El pago fue autorizado expresamente por el usuario.
El usuario actuó con negligencia grave.
El fraude fue consecuencia de un engaño activo por parte del cliente (colusión o estafa interna).
Esto significa que, en general, el banco tiene la carga de la prueba: debe demostrar que el cliente fue quien autorizó la operación, lo cual es muy difícil si esta fue realizada por terceros mediante phishing.
¿Qué se considera negligencia grave?
Uno de los aspectos más debatidos en este tipo de reclamaciones es el concepto de “negligencia grave”. El banco puede negarse a reembolsar el importe si puede demostrar que el usuario actuó de forma extremadamente imprudente. Algunos ejemplos que podrían considerarse negligencia grave son:
Compartir el PIN completo o la contraseña con un desconocido.
Introducir los datos de acceso en una web obviamente falsa.
No notificar al banco en un plazo razonable tras detectar el fraude.
Sin embargo, en muchos casos los usuarios son víctimas de engaños muy elaborados, y los tribunales han sido cada vez más sensibles al hecho de que incluso personas prudentes pueden caer en este tipo de fraudes.
Jurisprudencia favorable al consumidor
Los juzgados y tribunales españoles han empezado a sentar jurisprudencia favorable al consumidor en casos de phishing. En varias sentencias, se ha determinado que el banco no puede eximirse de responsabilidad si no ha implementado sistemas de verificación reforzada (como la autenticación en dos pasos) o si no ha detectado movimientos claramente anómalos.
Además, se reconoce que los usuarios no tienen por qué ser expertos en ciberseguridad. Por tanto, no se les puede exigir una vigilancia imposible sobre cada detalle técnico del sistema bancario.
¿Y si el banco rechaza la reclamación?
Es habitual que, en una primera instancia, el banco deniegue la devolución del dinero alegando que la operación fue autorizada o que hubo negligencia por parte del cliente. Ante esta situación, es fundamental no rendirse. Se puede:
Presentar una reclamación formal ante el Servicio de Atención al Cliente del banco.
Acudir al Banco de España, que actúa como organismo supervisor.
Recurrir a la vía judicial, donde un juez decidirá en base a las pruebas.
Como veremos en la siguiente sección, actuar con rapidez es clave. Existen plazos legales que se deben cumplir para que la reclamación sea admitida, por lo que es importante conocerlos con precisión.
¿Cuál es el plazo para reclamar al banco por phishing?
Uno de los aspectos más importantes en cualquier reclamación por fraude bancario es el tiempo. Muchas personas, tras ser víctimas de phishing, se sienten paralizadas, dudan si tendrán derecho a reclamar o no saben a quién acudir. Sin embargo, esperar demasiado puede poner en riesgo la posibilidad de recuperar el dinero perdido. Por eso, es fundamental conocer los plazos legales establecidos para actuar frente al banco.
Plazo general para reclamar operaciones no autorizadas
La legislación española, siguiendo la Directiva PSD2, establece que el usuario dispone de un plazo de 13 meses desde la fecha en la que se realizó la operación no autorizada para presentar una reclamación formal al banco. Este plazo está recogido en el artículo 45 del Real Decreto-ley 19/2018.
Importante: Este plazo solo es válido si el banco ha cumplido con su obligación de facilitar al usuario toda la información necesaria sobre la operación. Si no lo ha hecho, el plazo podría no aplicarse, y el usuario podría tener más margen de acción.
¿Desde cuándo empieza a contar el plazo?
El cómputo del plazo de 13 meses comienza a contar desde la fecha en la que se realizó el cargo indebido en la cuenta, y no desde el momento en que la víctima se dio cuenta del fraude. Por tanto, cuanto antes se detecte y se actúe, mejor.
Por ejemplo:
Si la operación fraudulenta ocurrió el 1 de marzo de 2025, el usuario tiene hasta el 1 de abril de 2026 para presentar la reclamación.
Esto no significa que se deba esperar. Muy al contrario: se recomienda presentar la reclamación de inmediato ante el banco en cuanto se detecta el fraude. Actuar con rapidez no solo aumenta las probabilidades de éxito, sino que también puede ayudar a evitar nuevos cargos o detectar vulnerabilidades en la cuenta.
¿Y si el banco rechaza la reclamación?
Si el banco rechaza la reclamación inicial, el usuario tiene otras vías disponibles:
Servicio de Atención al Cliente del banco: obligatorio paso previo para elevar la queja a otros niveles. El banco tiene un plazo de 15 días hábiles para responder.
Departamento de Reclamaciones del Banco de España: si el banco no responde o la respuesta es insatisfactoria, se puede presentar una queja ante este organismo en el plazo de un año desde que se presentó la reclamación inicial al banco.
Demanda judicial: en caso de que las instancias anteriores no resuelvan el problema, se puede acudir a los tribunales. En este caso, los plazos dependerán del tipo de acción judicial (reclamación contractual, responsabilidad extracontractual, etc.), pero suelen oscilar entre 1 y 5 años, según las circunstancias del caso.
¿Qué ocurre si ha pasado el plazo?
Si han transcurrido más de 13 meses desde que se realizó la operación y no se ha presentado ninguna reclamación formal al banco, las posibilidades de éxito disminuyen drásticamente. En estos casos, el banco puede alegar que ha prescrito el derecho del usuario a reclamar, y es muy probable que se desestime la devolución del dinero, salvo que existan circunstancias muy excepcionales o que se demuestre que el banco ocultó información de forma deliberada.
Por esta razón, es fundamental actuar lo antes posible y contar con asesoramiento legal desde el primer momento.
En la siguiente sección, veremos cuáles son los pasos concretos que debes seguir para presentar una reclamación efectiva, tanto ante el banco como ante organismos externos.
¿Cómo reclamar al banco si has sido víctima de phishing?
Si has sufrido un fraude por phishing y se han realizado cargos no autorizados en tu cuenta bancaria, es crucial actuar de manera rápida y ordenada. Reclamar no solo es un derecho, sino también una necesidad para intentar recuperar tu dinero y sentar precedente ante la entidad financiera. A continuación, te explicamos paso a paso cómo presentar una reclamación eficaz.
Paso 1: Contacta de inmediato con tu banco
En cuanto detectes movimientos sospechosos o sepas que has caído en un fraude, llama inmediatamente a tu banco o acude a una sucursal. Solicita el bloqueo de tus tarjetas, claves y cualquier método de acceso comprometido.
Anota el nombre del agente que te atiende.
Solicita un número de incidencia o referencia de la llamada.
Pide por escrito la constancia de tu reclamación inicial.
Esto sirve tanto para evitar más cargos como para dejar constancia de que actuaste con rapidez, lo cual es fundamental en caso de que el banco alegue negligencia de tu parte.
Paso 2: Reunir toda la documentación
Cuanta más información aportes, más sólida será tu reclamación. Asegúrate de recopilar:
Copia de los extractos bancarios con las operaciones no autorizadas.
Capturas de pantalla o copia de los correos electrónicos o mensajes fraudulentos.
Denuncia policial (aunque no es obligatoria, es muy recomendable).
Tu reclamación por escrito al banco.
Cualquier otra comunicación mantenida con el banco relacionada con el incidente.
Este conjunto de pruebas te ayudará tanto en la reclamación inicial como en fases posteriores si fuera necesario acudir al Banco de España o a los tribunales.
Paso 3: Presenta una reclamación formal por escrito
Debes presentar una reclamación escrita al Servicio de Atención al Cliente (SAC) del banco. Este documento debe incluir:
Tus datos personales.
La descripción de los hechos (cómo fuiste víctima del phishing).
Las fechas exactas de las operaciones no autorizadas.
Las gestiones realizadas hasta el momento.
Tu petición clara: la devolución del importe sustraído.
Documentación anexa como prueba.
El banco tiene 15 días hábiles para responder. En casos excepcionales, puede ampliar el plazo hasta 35 días, pero debe informarte previamente.
💡 Consejo: Guarda copia de todo lo que envíes. Es preferible enviar la reclamación por correo certificado con acuse de recibo o mediante un canal oficial del banco que permita demostrar la presentación.
Paso 4: Si el banco rechaza la reclamación, acude al Banco de España
Si la respuesta del banco es negativa o simplemente no responde, puedes acudir al Servicio de Reclamaciones del Banco de España. Para ello, debes demostrar que:
Has reclamado previamente al banco.
Ha pasado un plazo de 30 días desde la reclamación sin respuesta o ha habido una negativa.
La presentación puede hacerse online o en papel, y el Banco de España emitirá un informe motivado, normalmente en un plazo de 90 días. Este informe no es vinculante, pero tiene un gran peso legal y muchas veces el banco accede a devolver el dinero para evitar procesos judiciales.
Paso 5: Vía judicial (si el banco sigue negándose)
Si, tras agotar las vías anteriores, el banco sigue negándose a reembolsar el dinero, puedes iniciar una demanda judicial. Para ello es altamente recomendable contar con un abogado especializado en derecho bancario y protección al consumidor.
En este procedimiento se evaluará:
La prueba de que el usuario no autorizó la operación.
Si existió o no negligencia por parte del cliente.
Las medidas de seguridad aplicadas por el banco.
La actuación del banco ante movimientos sospechosos.
En muchas ocasiones, los tribunales fallan a favor del consumidor, especialmente si se demuestra que el banco no utilizó mecanismos adecuados de autenticación o no reaccionó ante operaciones inusuales.
En la siguiente y última sección, presentaremos una conclusión con recomendaciones clave y una reflexión final para evitar este tipo de fraudes en el futuro.
Conclusión
El phishing bancario es una de las amenazas más serias en el ámbito de la seguridad financiera personal. Nadie está completamente a salvo: incluso los usuarios más cautos pueden caer en fraudes cada vez más sofisticados. Ante esta realidad, resulta crucial informarse, actuar con rapidez y conocer bien los derechos legales que amparan a los consumidores.
Como hemos visto a lo largo de este artículo, si eres víctima de phishing:
No estás desprotegido.
La normativa española y europea obliga a los bancos a devolver el dinero robado, salvo que demuestren que la operación fue autorizada o que el cliente actuó con negligencia grave.
Existen plazos legales: el límite general para reclamar es de 13 meses, aunque cuanto antes actúes, mayores serán tus posibilidades de éxito.
Tienes distintas vías para reclamar: desde el propio banco, pasando por el Banco de España, hasta llegar a la vía judicial si es necesario.
Además, la carga de la prueba recae sobre el banco. No es el usuario quien debe demostrar que no hizo la operación, sino la entidad financiera quien debe probar que sí fue legítima o que hubo imprudencia por parte del cliente. Esta inversión de responsabilidad representa una protección fundamental para el usuario.
Recomendaciones finales
Para concluir, te dejamos algunas recomendaciones clave para prevenir y reaccionar ante un fraude por phishing:
Nunca compartas tus claves o datos bancarios por teléfono, SMS o correo electrónico, aunque parezcan proceder de tu banco.
Desconfía de los mensajes urgentes que te pidan acceder a enlaces o verificar tu cuenta.
Revisa regularmente tus movimientos bancarios y activa alertas por SMS o email.
Guarda toda la documentación en caso de sufrir un fraude y actúa inmediatamente.
Consulta con un abogado especializado si tienes dudas sobre cómo proceder o si el banco no responde a tu reclamación.
En definitiva, ser víctima de phishing no significa que tengas que asumir la pérdida sin más. Con la información correcta, apoyo profesional y un conocimiento claro de los plazos y procedimientos, es posible reclamar, defender tus derechos y recuperar tu dinero.
