De Alvear Abogados Logo
Phishing bancario: cómo reclamar y recuperar tu dinero (pasos 24–72h)
Volver a Insights
9 de diciembre de 2025

Phishing bancario: cómo reclamar y recuperar tu dinero (pasos 24–72h)

Te han vaciado la cuenta, aparecen cargos con tarjeta que no reconoces o ha salido una transferencia “fantasma” tras un SMS o una llamada suplantando a tu banco. En casos de phishing bancario (incluye smishing y vishing), lo urgente no es discutir por teléfono, sino hacer bien tres cosas: cortar el fraude, dejar rastro escrito y ordenar la prueba. Esta guía es un “pilar” práctico: qué hacer en 0–24 h y 24–72 h, cómo reclamar al banco, qué adjuntar, y qué errores suelen hundir el reembolso.

Respuesta rápida (en 60 segundos)

  • Si hay operaciones no autorizadas: bloquea (tarjeta/banca/transferencias/Bizum), notifica por escrito “operación no autorizada” y pide número de incidencia.
  • Si el banco te rechaza por “negligencia grave”: no discutas etiquetas: aporta cronología + pruebas + solicita trazas (canal de autenticación, cambios de límites/beneficiarios, etc.).
  • Si dudas qué hacer ahora mismo: sigue la checklist 0–24 h y 24–72 h y usa el modelo de reclamación (SAC) que tienes abajo.

Checklist 0–24 h / 24–72 h / 7 días

0–24 horas

  1. Bloquea tarjeta, banca online, transferencias inmediatas, Bizum y tarjetas virtuales (lo que proceda).
  2. Descarga extractos/movimientos y marca las operaciones no reconocidas (fecha, hora, importe, concepto).
  3. Notifica por escrito al banco: “operación no autorizada por phishing/smishing/vishing” + pide acuse y número de expediente.
  4. Conserva evidencias (SMS, emails, pantallas, URLs, números). No borres sin copia.

24–72 horas

  1. Redacta y presenta reclamación al Servicio de Atención al Cliente (SAC) con listado de operaciones + cronología + adjuntos.
  2. Solicita trazabilidad: canal de autenticación, altas de beneficiario, cambios de límites, IP/dispositivo (lo disponible), referencias completas de operación.
  3. Denuncia si aporta valor (transferencias a terceros, suplantación clara, uso de acceso remoto, etc.) y guarda copia.

En 7 días

  1. Si no hay respuesta útil del banco, prepara escalado (Banco de España) y valora estrategia.
  2. Ordena el expediente con índice: hechos, operaciones, comunicaciones, pruebas, solicitud de trazas, respuesta del banco.

Índice

Qué es el phishing bancario (phishing/smishing/vishing) y qué es una “operación no autorizada”

El phishing bancario es una suplantación (correo/SMS/llamada) diseñada para robar credenciales, obtener códigos o inducirte a autorizar algo que termina en robo. En la práctica aparece con urgencia (“bloqueo”, “actividad sospechosa”, “verificación”) y deriva en accesos a tu banca o en cargos/transferencias que tú no has autorizado.
  • Phishing: suele llegar por email y te dirige a una web falsa o formulario.
  • Smishing: variante por SMS con enlace o con llamadas a números “de soporte”.
  • Vishing: fraude por llamada telefónica donde el atacante se hace pasar por el banco para conseguir datos/códigos.
Importante: que una operación conste como “validada” (SMS, OTP, firma, etc.) no zanja el debate por sí solo. Lo determinante es si hubo consentimiento real, qué ocurrió (hechos) y qué prueba existe sobre autenticación y contexto. Si quieres el marco completo para operaciones de pago no reconocidas, aquí tienes esta guía relacionada: pagos no autorizados: reclamación completa.

Qué hacer en las primeras 72 horas (paso a paso)

Las 72 horas no son un “plazo mágico”, pero sí el umbral práctico que más influye en el resultado: reduces el daño, cortas la suplantación y construyes una cronología sólida.

1) Cortar el fraude y asegurar accesos (banca, email, móvil)

  1. Bloquea lo que esté en riesgo: tarjeta, banca online, transferencias inmediatas, Bizum, tarjetas virtuales, etc.
  2. Revisa movimientos y pendientes: transferencias, compras, beneficiarios nuevos, cambios de límites y cambios de email/teléfono en tu perfil bancario.
  3. Cambia contraseñas críticas por este orden: correo principal → Apple ID/Google → banca (cuando el banco lo permita). Activa doble factor.
  4. Si hubo acceso remoto (te hicieron instalar una app): anota nombre de la app, permisos y fecha aproximada. Evita “limpiar” sin copia mínima de evidencias.
  5. Protege la SIM si sospechas duplicado/portabilidad: contacta con tu operadora y refuerza verificación.

2) Comunicar al banco y dejar rastro escrito (esto decide muchos casos)

  1. Notifica sin demora en cuanto detectes la operación no autorizada.
  2. Usa la fórmula “operación no autorizada” e identifica: fecha/hora, importe, canal (tarjeta/transferencia/Bizum) y que has sido víctima de phishing/smishing/vishing.
  3. Pide justificante (acuse) y número de incidencia/expediente. Evita que todo quede en una llamada.
  4. Solicita por escrito relación completa de operaciones no reconocidas (referencias, beneficiario/comercio, canal) y las medidas adoptadas (bloqueos, retrocesos, investigación).

3) Denuncia y preserva pruebas (sin destruir evidencias)

Denunciar no siempre es requisito para que el banco tramite, pero puede reforzar el expediente si hay transferencias a terceros, suplantación clara o acceso remoto. Lo esencial es conservar evidencias:
  • Capturas de SMS/emails/pantallas de la app bancaria y detalle de cargos.
  • URLs recibidas (sin volver a abrir), números de teléfono, remitentes visibles.
  • Comprobantes de bloqueo/cancelación y comunicaciones con el banco (acuse + expediente).
  • Registro de llamadas (fecha/hora) y guion básico de lo ocurrido.

Modelo de reclamación al banco (SAC) + qué adjuntar

Este modelo sirve como escrito mínimo para el Servicio de Atención al Cliente. Adáptalo a tu caso. Si puedes, adjunta un listado claro de operaciones en una tabla.

Modelo (copia y pega)

ASUNTO: Reclamación por operaciones de pago no autorizadas (phishing/smishing/vishing) – Solicitud de reembolso y documentación

A la atención del Servicio de Atención al Cliente de [ENTIDAD]:

D./Dª [NOMBRE Y APELLIDOS], con DNI [___], titular de la cuenta/tarjeta [___], EXPONE:

1) Que en fecha [___] he detectado las siguientes operaciones de pago que NO he autorizado, realizadas como consecuencia de una suplantación (phishing/smishing/vishing):
   - [FECHA/HORA] – [IMPORTE] – [CONCEPTO/COMERCIO/BENEFICIARIO] – [REFERENCIA]
   - [FECHA/HORA] – [IMPORTE] – [CONCEPTO/COMERCIO/BENEFICIARIO] – [REFERENCIA]

2) Que he comunicado la incidencia a la entidad en fecha [___] mediante [canal], obteniendo número de incidencia/expediente [___], y he procedido al bloqueo/medidas de seguridad [describir brevemente].

3) Que, por tanto, solicito:
   a) El reembolso de las operaciones no autorizadas y la restitución de la cuenta al estado previo, cuando proceda.
   b) Confirmación por escrito de la recepción de esta reclamación y del expediente asociado.
   c) La remisión de la documentación/trazas disponibles relativas a las operaciones: canal de autenticación, referencias completas, alta de beneficiarios, cambios de límites, y cualquier registro de seguridad relevante disponible.

Se adjunta documentación: [índice breve de adjuntos].

En [CIUDAD], a [FECHA].
[FIRMA]
[Teléfono y email]

Qué adjuntar (checklist de adjuntos)

  • DNI y datos de titularidad (cuenta/tarjeta).
  • Extracto/movimientos con las operaciones marcadas.
  • Capturas de app bancaria: detalle de cargos/transferencias, avisos y pantallas relevantes.
  • SMS/emails/URLs recibidas (remitentes/números visibles).
  • Registro de llamadas y breve cronología (una página).
  • Acuse de notificación al banco + número de incidencia/expediente.
  • Denuncia (si existe) y cualquier documento adicional.
Si quieres preparar el expediente con más detalle probatorio, aquí tienes otra guía complementaria: cómo preparar el caso de phishing con pruebas.

Qué suele alegar el banco: “negligencia grave” y cómo se analiza

Muchos rechazos se resumen en: “hubo autenticación”, “usted facilitó claves” o “negligencia grave”. En práctica, la defensa se gana con hechos + prueba + trazabilidad.

Qué hacer si te contestan “negligencia grave”

  1. No discutas etiquetas: responde con cronología y evidencias (qué ocurrió, cuándo, qué bloqueaste, qué comunicaciones existen).
  2. Pide trazas (si no las aportan): canal de autenticación, referencias, alta de beneficiarios, cambios de límites, etc.
  3. Separa errores reales de suposiciones: evita “creo que…”. Describe hechos verificables.

Errores que el banco suele discutir como “graves” (depende del caso)

  • Dictar códigos por teléfono a un supuesto “banco”.
  • Introducir claves en una web clonada.
  • Instalar apps de acceso remoto por indicación del atacante.
  • Ignorar alertas claras y reiteradas.

Conductas que suelen ayudar a acreditar diligencia

  • Bloqueo rápido y notificación inmediata.
  • Reclamación por escrito con acuse y expediente.
  • Conservación de evidencias y coherencia técnica del relato.

Plazos clave y qué pedir (reembolso + documentación + trazas)

En términos prácticos, en tu escrito debes pedir dos cosas: (1) reembolso/restitución y (2) documentación y trazabilidad (para evitar un “no” sin soporte).

Qué pedir al banco (lista corta y efectiva)

  • Reembolso de las operaciones no autorizadas y restitución cuando proceda.
  • Relación completa de operaciones (fecha/hora, importe, comercio/beneficiario, referencia).
  • Canal de autenticación y cualquier traza/documentación disponible (alta de beneficiarios, cambios de límites, etc.).
  • Acuse de recibo y número de expediente.
  • Respuesta motivada si niegan por “negligencia grave”, con soporte mínimo.

Cómo reclamar: SAC → Banco de España → vía judicial

1) Reclamación previa al SAC (obligatoria para escalar)

Presenta el escrito con cronología, listado de operaciones y adjuntos. Guarda acuse y fecha.

2) Banco de España

Si la entidad no contesta o la respuesta es insuficiente, puedes reclamar ante el Banco de España aportando identificación, acreditación del trámite previo y documentación de hechos.

3) Vía judicial (cuando procede)

Si el conflicto se centra en hechos y prueba (autenticación, trazas, discusión intensa sobre conducta), puede valorarse la vía judicial. En ese caso, cuida plazos (prescripción/caducidad) y prepara el paquete probatorio. Te puede ayudar esta guía: caducidad y prescripción: calcula si estás a tiempo.

Errores típicos que arruinan la reclamación

  • Tardar en bloquear y notificar.
  • No reclamar por escrito o no guardar acuses y expediente.
  • No llevar cronología clara (mezclar suposiciones con hechos).
  • Borrar evidencias sin copia previa.
  • Escalar al Banco de España sin pasar por el SAC.
  • No pedir trazabilidad y documentación desde el inicio.

Lecturas recomendadas (para cerrar bien el caso)

Cómo te ayudamos

En De Alvear trabajamos estos asuntos como expedientes probatorios: primero seguridad y cronología, después reclamación al SAC y, si es necesario, escalado al Banco de España y valoración de acciones judiciales. Contacto para reclamar al banco

¿Necesita asesoramiento especializado dadas las circunstancias?

Solicitar análisis de caso