De Alvear Página Principal

Phishing: cómo reclamar al banco y documentarlo (24–72h)

Phishing, smishing o vishing: actúa en 1h y 24–72h. Checklist de pruebas, denuncia y reporte INCIBE, y guía práctica para reclamar al banco y al Banco de España.
Ilustración sobre derecho bancario y digital con una balanza que compara un móvil con iconos de seguridad y varias tarjetas bancarias, acompañada de mazos judiciales y documentos, relacionada con la protección frente al phishing y operaciones no autorizadas.
Comparte:

Te han vaciado la cuenta, aparecen cargos con tarjeta que no reconoces o ha salido una transferencia "fantasma" tras un SMS o una llamada suplantando a tu banco. En estos casos de phishing bancario (incluye smishing y vishing), lo urgente no es discutir con el banco por teléfono, sino hacer bien tres cosas: cortar el fraude, dejar rastro escrito y ordenar prueba. Eso es lo que más protege tu devolución y tu reclamación. En esta guía verás qué se considera "operación no autorizada", qué pasos conviene dar en las primeras 24–72 horas, qué suele alegar el banco (incluida la "negligencia grave") y cómo escalar una reclamación bien documentada.

El phishing bancario es una suplantación (email / SMS / llamada) para robar credenciales y ejecutar operaciones sin tu consentimiento. En general, ante una operación no autorizada el banco debe reembolsar “de inmediato” y, como máximo, al final del día hábil siguiente cuando se notifica, con matices en supuestos como sospecha razonable de fraude. La clave práctica en 72 horas es: bloquear, comunicar por escrito, pedir trazabilidad, denunciar si procede y conservar evidencias.

Índice

Qué es el phishing bancario y cómo se diferencia de smishing y vishing

El phishing es una estafa en la que se suplanta a una entidad (por ejemplo, tu banco) para que facilites credenciales o autorices algo que termina en robo. En la práctica suele venir con urgencia (“bloqueo”, “actividad sospechosa”, “verificación”) y deriva en accesos a tu banca o en operaciones de pago que tú no has autorizado.

Diferencias típicas:

  • Phishing: suele llegar por correo y te dirige a una web falsa o formulario.
  • Smishing: variante por SMS con enlaces o llamadas a números “de soporte”.
  • Vishing: fraude por llamada telefónica en la que el atacante se hace pasar por tu banco u otro “servicio” para conseguir datos o códigos.

En muchos casos se mezcla todo: SMS + llamada + web falsa + presión para actuar “ya”.

Nota importante: que una operación aparezca como "validada" con claves, SMS u otros sistemas no cierra el debate por sí solo. En la práctica, lo determinante es si hubo consentimiento real y qué prueba existe sobre la autenticación y el contexto del fraude.

Qué hacer en las primeras 72 horas (paso a paso)

Las primeras 72 horas no son un "plazo legal mágico", pero sí un umbral práctico: reduces el daño, cortas la suplantación y construyes una cronología sólida. Si luego hay conflicto, tu mejor defensa suele ser simple: bloqueo rápido, rastro escrito y prueba ordenada.

Cortar el fraude y asegurar accesos (banca, email, móvil)

  1. Bloquea lo que esté en riesgo: tarjeta, banca online, transferencias inmediatas, Bizum, tarjetas virtuales y cualquier funcionalidad que el banco permita bloquear desde la app o por teléfono.
  2. Revisa movimientos y "pendientes": transferencias, compras con tarjeta, beneficiarios nuevos, límites cambiados y cambios de teléfono / email en el perfil bancario.
  3. Cambia contraseñas críticas por este orden: correo principal (porque resetea el resto), Apple ID / Google, y después banca (cuando el banco lo permita tras el bloqueo). Activa doble factor donde sea posible.
  4. Si hubo vishing o "soporte técnico" falso: revisa permisos, apps de acceso remoto, accesibilidad y cualquier instalación reciente. Si instalaste algo por indicación del atacante, desinstálalo y evita “limpiar” el teléfono sin antes copiar pruebas mínimas (nombre de la app, permisos, mensajes con instrucciones).
  5. Asegura tu SIM: si sospechas duplicado o portabilidad indebida, contacta con tu operadora y pide medidas de seguridad (bloqueo, cambio de PIN y verificación reforzada).

Comunicar al banco y pedir confirmaciones por escrito

Tu objetivo es doble: activar el reembolso y dejar rastro documental.

  1. Notifica sin demora indebida en cuanto detectes la operación no autorizada.
  2. Comunica "operación no autorizada" e identifica: fecha / hora, importe, canal (transferencia, tarjeta, Bizum) y que has sido víctima de phishing / smishing / vishing.
  3. Pide un justificante de la comunicación y un número de expediente o incidencia. Evita que todo quede en una llamada sin prueba.
  4. Solicita por escrito (SAC, formulario, app o canal seguro) lo siguiente:
    • Relación completa de operaciones no reconocidas (fecha, importe, comercio / beneficiario, referencia).
    • Acuse de recibo y confirmación de las medidas adoptadas (bloqueos, retrocesos, investigación).
    • Documentación y trazas mínimas: canal de autenticación, cambios de límites / beneficiarios, y registros de seguridad disponibles.

Consejo práctico: si has hablado por teléfono, anota fecha, hora, agente y resumen. Luego envía un mensaje confirmatorio: "como se indicó en la llamada de fecha X, comunico que no reconozco las operaciones…".

Denunciar y preservar pruebas (sin destruir evidencias)

Denunciar puede reforzar el expediente, especialmente si hay suplantación clara o transferencias a terceros. No siempre es un requisito para que el banco tramite, pero suele ayudar cuando se discute "negligencia grave" o cuando necesitas pedir trazas.

Qué conservar (antes de borrar nada):

  • Capturas de SMS, emails, pantallas de la app bancaria, cargos y movimientos.
  • Enlaces recibidos (sin volver a abrirlos), números de teléfono, remitentes y cabeceras visibles.
  • Comprobantes de bloqueo / cancelación y comunicaciones con el banco (incluido número de incidencia).
  • Si hubo vishing: fecha / hora de la llamada, guion, qué te pidieron y qué códigos diste (si ocurrió).
  • Si hubo acceso remoto: nombre de la app, permisos y confirmación de instalación.

Además, si existe campaña / URL identificable, puedes reportar el incidente a INCIBE aportando descripción y evidencias (capturas, URL). Esto no sustituye la reclamación al banco, pero puede reforzar documentación técnica del fraude.

Evita acciones que destruyan prueba (por ejemplo, restablecer el móvil) si el perjuicio es alto o el patrón es complejo. Prioriza copia segura de evidencias y, si procede, asesoramiento técnico y jurídico.

Qué suele alegar el banco y cómo se analiza la "negligencia grave"

Muchos rechazos se redactan así: "hubo autenticación", "usted facilitó claves", "usted autorizó" o "negligencia grave".

Claves prácticas:

  1. Autenticación no equivale a autorización: que existan registros de uso de tarjeta o claves no prueba por sí solo que tú consintieras la operación en sentido real, sobre todo si hay suplantación.
  2. Discute hechos, no etiquetas: aporta cronología y prueba: qué ocurrió, cuándo, qué comunicaron, qué bloqueaste y qué evidencias existen.
  3. Conductas que suelen discutirse como "negligencia grave" (depende del caso): compartir claves o códigos por teléfono, introducir credenciales en una web clonada, instalar apps de acceso remoto por indicación de un supuesto "banco", o ignorar alertas claras y reiteradas.
  4. Conductas que suelen ayudar a acreditar diligencia: reacción rápida, bloqueo, comunicación por escrito, denuncia cuando aporta valor, conservación de evidencias y coherencia técnica del relato.

En la práctica, la "negligencia grave" se analiza caso a caso: la decisión depende de los hechos y de la prueba disponible. Evita afirmaciones absolutas y céntrate en documentación y trazabilidad.

Plazos y qué puedes pedir: reembolso, trazabilidad y documentación

La base legal principal es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, el “RDLSP”).

1) Reembolso "de inmediato"

En caso de operación no autorizada, el RDLSP contempla, en general, la obligación de devolver el importe "de inmediato" y, como máximo, al final del día hábil siguiente a aquel en que se observó o se notificó la operación, con la salvedad de supuestos como sospecha razonable de fraude comunicada al Banco de España.

2) Plazo máximo para comunicar

El RDLSP establece que el usuario debe comunicar sin demora injustificada y, en todo caso, dentro de un máximo de 13 meses desde la fecha del adeudo, con matices si no se facilitó información de la operación.

3) Qué puedes pedir al banco, además del dinero

  • Reembolso y, cuando proceda, restitución de la cuenta al estado previo.
  • Referencias de operación e identificadores, beneficiario / comercio y canal de autenticación.
  • Justificante de la comunicación de bloqueo / notificación y del expediente de reclamación.
  • Documentación y trazas mínimas del incidente (lo que exista y deba conservarse).
  • Respuesta motivada si se rechaza por "negligencia grave".

Consejo práctico: pide la documentación en el mismo escrito del SAC. Si la entidad responde sin aportar trazas mínimas, deja constancia de que las solicitas expresamente.

Cómo reclamar: servicio de atención al cliente, Banco de España y vía judicial

1) Paso previo obligatorio: reclamar a la entidad (SAC / defensor)

Para acudir al Banco de España primero hay que reclamar por escrito ante el servicio de atención al cliente (SAC) o defensor del cliente de la entidad. Hazlo con un relato cronológico, listado de operaciones y prueba clave.

Escrito mínimo recomendable:

  • Cronología (una página).
  • Listado de operaciones no reconocidas (fecha, importe, concepto, referencia).
  • Prueba: capturas, extractos, acuses, denuncia si existe.
  • Petición clara: reembolso, restitución y entrega de documentación / trazabilidad.

En servicios de pago, en general, el plazo de respuesta del SAC es más corto que en otras materias y suele situarse en torno a 15 días hábiles, con excepciones justificadas según el caso.

2) Paso 2: reclamación ante el Banco de España

Si la entidad no contesta o no resuelve, puedes plantear reclamación ante el Banco de España aportando identificación, acreditación del trámite previo y documentación de hechos.

3) Vía judicial (cuando procede)

Si el conflicto se centra en hechos y prueba (por ejemplo, discusión intensa sobre "negligencia grave", autenticación o trazas), puede valorarse la vía judicial. No es posible prometer resultados: depende de hechos, prueba y del patrón concreto de fraude.

Documentación útil: checklist para tu abogado

Si quieres que tu expediente avance rápido, prepara esto:

  • DNI y datos de titularidad (cuenta / tarjeta).
  • Extracto de movimientos con operaciones marcadas.
  • Capturas de la app bancaria: cargos, detalles, avisos, autorizaciones, beneficiarios y límites.
  • SMS / emails del banco y del atacante (remitentes / números visibles) y URLs recibidas.
  • Registro de llamadas (capturas con fecha / hora) y relato del vishing si existió.
  • Justificante de bloqueo / cancelación (tarjeta, banca, transferencias, Bizum).
  • Escrito al SAC y acuse de recibo; respuesta de la entidad (si existe).
  • Denuncia y diligencias (si se han presentado).
  • Evidencia de acceso remoto / instalación de apps (nombre, permisos, fecha aproximada).

Atajo (1h / 24h / 72h): en 1h bloquea + comunica “operación no autorizada” + número de incidencia; en 24h descarga extractos + cronología + pide trazabilidad; en 72h presenta escrito al SAC con pruebas + denuncia / reporte útil + paquete probatorio con índice.

Errores típicos que arruinan la reclamación

  • Tardar demasiado en bloquear y notificar al banco.
  • No reclamar por escrito o no guardar acuses y número de expediente.
  • Mezclar suposiciones con hechos en el relato, sin cronología clara.
  • Borrar evidencias por pánico sin copia previa.
  • Acudir al Banco de España sin pasar por el SAC.
  • No solicitar documentación y trazabilidad a la entidad desde el inicio.
  • Enviar capturas editadas sin conservar originales.

Cómo te ayudamos en De Alvear

En De Alvear trabajamos estos asuntos como expedientes probatorios: primero seguridad y cronología, después reclamación técnica al SAC y, si es necesario, escalado al Banco de España y valoración de acciones judiciales.

FAQ

Si he caído en el phishing, ¿pierdo el derecho a que el banco me devuelva el dinero?

No necesariamente. En general, si se trata de una operación no autorizada, el marco del RDLSP prevé el reembolso "de inmediato" y, como máximo, al final del día hábil siguiente tras la notificación, con matices en supuestos específicos. Lo decisivo suele ser acreditar que no autorizaste la operación y que actuaste con diligencia: bloqueo, comunicación por escrito y prueba ordenada.

Suele ser el argumento con el que la entidad intenta imputar al cliente una conducta especialmente imprudente (por ejemplo, dictar códigos por teléfono, introducir credenciales en una web clonada o instalar apps de control remoto por indicación de un supuesto “banco”). Se analiza caso a caso: la clave es una cronología coherente, evidencias y pedir que la entidad concrete qué conducta y qué prueba utiliza para esa etiqueta.

Útiles: justificante o número de incidencia, escrito al SAC, extractos oficiales, capturas de SMS/emails/URLs, registro de llamadas y cronología por horas. Suelen fallar: relatos vagos sin fechas/importes, no poder acreditar cuándo se notificó, o
"limpiar" el móvil borrando evidencias sin copia.

Pide confirmación por escrito del motivo y del canal alternativo para operar. Documenta el impacto (recibos, nóminas, actividad de autónomo) y mantén la reclamación sobre las operaciones no autorizadas, solicitando además la documentación y trazas mínimas del incidente.

Primero es necesario reclamar por escrito al SAC o defensor del cliente. Si no hay respuesta en plazo o la respuesta no satisface, puedes acudir al Banco de España, aunque no es obligatorio. La vía judicial se valora cuando hay cuantía alta, negativa por negligencia grave sin motivación suficiente o una discusión probatoria intensa.

Artículos relacionados