Fraudes bancarios por phishing, smishing y Bizum: cuándo debe devolver el dinero el banco

Fraudes bancarios por phishing, smishing y Bizum: cuándo debe devolver el dinero el banco

Artículo jurídico divulgativo | 19 de junio de 2026

Bufete Catalá Rubio & Henry | Abogados en Cuenca y Valencia

1. Un problema cada vez más frecuente

Las estafas bancarias digitales se han convertido en una de las consultas más habituales en los despachos de abogados. El cliente recibe un SMS aparentemente enviado por su banco, un correo electrónico que reproduce la imagen corporativa de la entidad, una llamada telefónica de alguien que dice pertenecer al departamento de seguridad o una solicitud fraudulenta a través de Bizum. Minutos después, descubre que se han realizado transferencias, pagos con tarjeta o cargos que nunca autorizó.

La reacción inicial suele ser de angustia y, muchas veces, de culpa: “he pinchado un enlace”, “me han engañado”, “han usado mis claves”. Sin embargo, desde el punto de vista jurídico, la cuestión esencial no es solo si el cliente ha sido víctima de una estafa, sino si la operación bancaria puede considerarse autorizada y si la entidad financiera puede probar que el usuario actuó con fraude o negligencia grave.

2. Qué dice la normativa de servicios de pago

La norma básica es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la normativa europea sobre servicios de pago. Esta norma establece un régimen especialmente protector para el usuario cuando niega haber autorizado una operación de pago.

El artículo 41 impone al usuario la obligación de utilizar el instrumento de pago conforme a las condiciones pactadas, proteger sus credenciales de seguridad y comunicar sin demora indebida cualquier extravío, sustracción, apropiación indebida o utilización no autorizada del instrumento de pago.

Pero el punto central está en el artículo 44. Cuando el usuario niega haber autorizado una operación, corresponde al proveedor de servicios de pago demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por ningún fallo técnico u otra deficiencia del servicio. Además, el mero registro informático del uso del instrumento de pago no basta necesariamente para demostrar que la operación fue autorizada ni que el usuario actuó con negligencia grave.

El artículo 45 añade que, si se ejecuta una operación de pago no autorizada, el banco debe devolver el importe de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en que haya observado o se le haya notificado la operación, salvo sospecha fundada de fraude comunicada al Banco de España.

Finalmente, el artículo 46 limita la responsabilidad del ordenante. El usuario solo soportará todas las pérdidas si ha actuado fraudulentamente o si ha incumplido deliberadamente o por negligencia grave sus obligaciones de custodia y comunicación.

3. La clave: no basta con decir que “se usaron las claves”

Durante años, muchas entidades bancarias defendían que, si la operación se había realizado introduciendo claves, códigos SMS, firma electrónica o autenticación reforzada, la operación debía considerarse autorizada o, al menos, imputable al cliente. Esa tesis resulta hoy insuficiente.

La banca digital exige sistemas robustos de prevención, autenticación, supervisión y detección de operaciones sospechosas. Que un tercero consiga acceder a las credenciales del usuario no significa automáticamente que el cliente haya actuado con negligencia grave. El fraude digital se caracteriza precisamente por técnicas de suplantación cada vez más sofisticadas, capaces de engañar incluso a usuarios prudentes.

Por eso, cuando el cliente niega haber autorizado la operación, el banco debe acreditar algo más que la simple existencia de una autenticación formal. Debe probar que el sistema funcionó correctamente y, además, que el usuario actuó fraudulentamente o con una falta de diligencia grave, cualificada e inexcusable.

4. La Sentencia del Tribunal Supremo 571/2025, de 9 de abril

La resolución más importante sobre esta materia es la Sentencia del Tribunal Supremo, Sala de lo Civil, número 571/2025, de 9 de abril, ROJ STS 1671/2025, ECLI:ES:TS:2025:1671. En aquel caso, el cliente sufrió operaciones no autorizadas por importe muy elevado mediante suplantación de identidad en banca digital. El banco sostuvo que las operaciones habían sido autenticadas y que el usuario debía soportar las consecuencias.

El Tribunal Supremo desestimó el recurso de la entidad bancaria y confirmó la responsabilidad del banco. La sentencia aclara que la controversia consiste en determinar quién responde por operaciones realizadas por un tercero que, utilizando credenciales obtenidas por cualquier medio, suplanta la identidad del usuario y accede a su cuenta sin consentimiento.

La doctrina que se desprende de esta sentencia es especialmente relevante: la carga de probar la negligencia grave del usuario corresponde al banco; la utilización de credenciales válidas no equivale necesariamente a consentimiento; y la entidad financiera debe reaccionar ante alertas, operaciones inusuales, importes anómalos, horarios extraños o comunicaciones previas del cliente.

El Tribunal Supremo destaca que, incluso si el cliente hubiera facilitado inconscientemente datos por haber sido víctima de phishing, lo decisivo es valorar su conducta global. Si avisó con rapidez, si actuó diligentemente y si no existen datos que acrediten una conducta gravemente negligente, la entidad financiera no puede trasladarle automáticamente la pérdida.

5. Qué debe hacer el cliente al detectar el fraude

La rapidez es esencial. En cuanto el cliente detecte una operación sospechosa debe comunicarla inmediatamente al banco, bloquear tarjetas y accesos, solicitar por escrito la devolución de las cantidades, pedir justificante de la reclamación y conservar todas las pruebas: SMS, correos electrónicos, capturas de pantalla, llamadas, movimientos bancarios, comunicaciones con la entidad y denuncia policial.

También es conveniente cambiar contraseñas, revisar el teléfono móvil y el correo electrónico, comprobar si ha habido duplicado de tarjeta SIM o accesos no autorizados, y presentar reclamación ante el Servicio de Atención al Cliente de la entidad. Si la respuesta es negativa o insuficiente, puede plantearse reclamación ante el Banco de España y, en su caso, demanda judicial contra la entidad bancaria.

6. Qué suele alegar el banco y cómo se puede discutir

Las entidades financieras suelen alegar que la operación fue correctamente autenticada, que el cliente introdujo sus claves, que recibió códigos de confirmación, que el sistema no presentó incidencias o que el usuario incumplió sus deberes de custodia. Estas alegaciones deben analizarse caso por caso.

La defensa del consumidor pasa por exigir a la entidad una prueba completa: trazabilidad de la operación, IP de conexión, dispositivo utilizado, geolocalización aproximada, sistema de autenticación, histórico de operaciones anteriores, alertas antifraude, patrones de riesgo, horario, importe, destinatarios, medidas de bloqueo y respuesta ante la comunicación del cliente.

En muchos casos, las operaciones fraudulentas presentan señales evidentes de anormalidad: transferencias sucesivas en poco tiempo, destinatarios desconocidos, importes inusuales, operaciones de madrugada, cambios repentinos de dispositivo, accesos desde ubicaciones extrañas o movimientos incompatibles con el comportamiento bancario habitual del cliente.

7. ¿Puede reclamar también una empresa o autónomo?

Aunque gran parte de las reclamaciones proceden de consumidores, el Real Decreto-ley 19/2018 también protege a usuarios de servicios de pago en sentido amplio. No obstante, cuando el afectado es una empresa, autónomo o profesional, habrá que revisar el contrato marco, las posibles exclusiones legalmente admisibles, el tipo de instrumento de pago y el régimen aplicable en cada caso concreto.

En todo caso, incluso fuera del ámbito estrictamente consumidor, siguen siendo relevantes la carga de la prueba, la seguridad del sistema, la actuación de la entidad, la diligencia del usuario y la existencia o no de negligencia grave.

8. Conclusión

Ser víctima de phishing, smishing, vishing, SIM swapping o una estafa por Bizum no significa automáticamente perder el derecho a recuperar el dinero. La normativa de servicios de pago y la jurisprudencia reciente del Tribunal Supremo imponen a las entidades financieras una carga probatoria intensa y una obligación de seguridad especialmente rigurosa.

El banco no puede limitarse a afirmar que se utilizaron las claves del cliente. Debe acreditar que la operación fue correctamente autenticada, que no hubo fallos ni deficiencias del servicio y que el usuario actuó con fraude o negligencia grave. Si no lo prueba, la regla general es que debe reintegrar las cantidades indebidamente sustraídas.

Ante un fraude bancario digital, lo más importante es actuar de inmediato, dejar constancia escrita de todo y buscar asesoramiento jurídico especializado antes de aceptar la negativa de la entidad.

Normativa y jurisprudencia citada

1. Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Artículos 41, 42, 43, 44, 45 y 46. Texto consolidado BOE: 

Enlace de consulta: https://www.boe.es/buscar/act.php?id=BOE-A-2018-16036

2. Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.

Enlace de consulta: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32015L2366

3. Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, sobre autenticación reforzada de clientes y estándares de comunicación seguros.

Enlace de consulta: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32018R0389

4. Sentencia del Tribunal Supremo, Sala de lo Civil, número 571/2025, de 9 de abril, ROJ STS 1671/2025, ECLI:ES:TS:2025:1671, recurso 1151/2023. Consulta en CENDOJ por ROJ/ECLI: 

Enlace de consulta: https://www.poderjudicial.es/search/

Datos de contacto

Bufete Catalá Rubio & Henry

Cuenca: calle Sánchez Vera nº 10, 2.º D, código postal 16002

Teléfono: 666073313

Correo electrónico: manuelcatalarubio@gmail.com

Despacho con sedes en Cuenca y Valencia. Atención en español, inglés y francés.