¿Has sido víctima de una estafa por suplantación bancaria? Recuperar tu dinero es posible.
La sofisticación de las mafias digitales ha alcanzado niveles sin precedentes. Mediante técnicas avanzadas como el SMS Spoofing (mensajes fraudulentos que logran infiltrarse en el hilo de mensajes reales de tu banco) o el Vishing (llamadas telefónicas donde los delincuentes clonan el número oficial de la entidad), miles de ahorradores son engañados a diario, viendo cómo sus cuentas son vaciadas en cuestión de minutos.
Si te encuentras en esta situación, debes saber algo fundamental: no estás solo y la ley te ampara.
Existe una sólida y reciente jurisprudencia en España, firmemente respaldada por el Tribunal Supremo, que determina que las entidades financieras son las responsables de la custodia de los fondos. La ley establece que, salvo que se demuestre una negligencia grave por parte del usuario —la cual nunca se configura por el hecho de caer en un engaño tecnológico altamente complejo—, el banco tiene la obligación legal de restituir íntegramente el dinero sustraído.
Nosotros te guiamos y te facilitamos las herramientas necesarias para reclamar lo que es tuyo. El éxito de la recuperación radica en actuar con rapidez y firmeza a través de los canales oficiales.
El protocolo de reclamación: Pasos obligatorios
Para recuperar tus fondos, la normativa exige agotar la vía administrativa antes de emprender cualquier otra acción. El proceso se compone de dos fases consecutivas:
Paso 1: Reclamación formal ante tu entidad bancaria
El primer paso ineludible es dirigir un escrito formal al Servicio de Atención al Cliente (SAC) del banco donde ocurrieron los hechos. Este documento debe enviarse de forma que quede constancia de su recepción (por correo postal certificado, burofax o correo electrónico firmado digitalmente).
Para facilitarte este trámite, puedes copiar, adaptar y enviar el modelo estándar que encontrarás al final de esta página.
Paso 2: Escalada al Banco de España
Si tu entidad financiera rechaza la reclamación (una práctica habitual donde intentan culpar al cliente) o si transcurre el plazo legal de un mes sin recibir ninguna respuesta, se abre la vía para recurrir ante el supervisor nacional.
El Banco de España emitirá un informe detallado analizando si la entidad cumplió estrictamente con la normativa de autenticación reforzada y los protocolos antifraude. Puedes iniciar este trámite de manera telemática a través de su portal oficial:
Acceder a la Sede Electrónica del Banco de España
Modelo de Reclamación para enviar a tu Banco
Copia el siguiente texto, completa los campos entre corchetes [...] con los datos reales de tu caso y remítelo al Servicio de Atención al Cliente de tu entidad:
Plaintext
A/A: SERVICIO DE ATENCIÓN AL CLIENTE DE [NOMBRE DE LA ENTIDAD BANCARIA]
En [Ciudad], a [Día] de [Mes] de [Año]
ASUNTO: Reclamación formal por operaciones de pago no autorizadas (Fraude por Suplantación de Identidad / Spoofing)
DATOS DEL TITULAR:
• Nombre y Apellidos: [Tu Nombre y Apellidos]
• DNI / NIE: [Tu Documento de Identidad]
• Domicilio a efectos de notificaciones: [Tu Dirección Postal Completa]
• Teléfono de contacto: [Tu Número de Teléfono]
• Correo electrónico: [Tu Email]
• Número de Cuenta / IBAN afectado: [IBAN de la cuenta afectada]
EXPONGO:
PRIMERO.- Que soy titular de la cuenta bancaria referenciada en la cabecera de este escrito.
SEGUNDO.- Que el pasado [Fecha en la que ocurrió el fraude], fui víctima de un sofisticado fraude informático de suplantación de identidad corporativa. Los atacantes utilizaron técnicas de ingeniería social avanzada que simularon a la perfección los canales oficiales de comunicación de su entidad, logrando burlar sus sistemas de seguridad y ordenar, sin mi consentimiento ni autorización, las siguientes transacciones financieras:
- [Fecha de la operación] | [Importe sustraído en €] | [Concepto o cuenta destino, si se conoce]
- [Añadir más líneas si hubo más movimientos]
El importe total de las operaciones no autorizadas asciende a [Suma Total del Dinero Robado] euros.
TERCERO.- Que, inmediatamente después de percatarme del fraude, procedí a comunicar los hechos a su entidad para el bloqueo de las credenciales de acceso y presenté la correspondiente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, cuya copia adjunto a esta reclamación.
FUNDAMENTOS DE DERECHO:
I.- Responsabilidad objetiva de la entidad: Conforme al artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago devolverá al ordenante el importe de la operación de inmediato.
II.- Ausencia de negligencia grave: La jurisprudencia consolidada de las Audiencias Provinciales y la reciente Sentencia 571/2025 de la Sala de lo Civil del Tribunal Supremo, de 9 de abril de 2025, determinan de manera unánime que el hecho de ser engañado por técnicas criminales complejas (como el SMS Spoofing o el Caller ID Spoofing, donde el mensaje o la llamada se camuflan bajo el nombre o número oficial del banco) no constituye, bajo ningún concepto, una negligencia grave del usuario. El engaño perpetrado supera la diligencia media exigible a un consumidor.
III.- Fallo en los sistemas antifraude: La aprobación de movimientos patrimoniales masivos, rápidos y totalmente ajenos al perfil transaccional habitual de este titular pone de manifiesto una quiebra en las obligaciones de supervisión y autenticación reforzada (SCA) exigidas por la Directiva Europea PSD2.
SOLICITO:
Que, teniendo por presentado este escrito, se sirva admitirlo y, en su virtud, proceda a la retrocesión inmediata e íntegra de la cantidad de [Suma Total del Dinero Robado] euros correspondiente a las operaciones no autorizadas descritas, con el fin de restituir la cuenta afectada al estado que tendría si no se hubiese producido la brecha de seguridad.
Les informo de que, en caso de obtener una respuesta desestimatoria o el silencio administrativo por su parte en el plazo legal de un mes, elevaré la correspondiente queja ante el Banco de España, reservándome el derecho de ejercitar las acciones legales pertinentes ante los Tribunales de Justicia ordinarios.
Atentamente,
[Firma del Titular]
DOCUMENTACIÓN ADJUNTA:
1. Copia del Documento de Identidad (DNI/NIE).
2. Copia de la denuncia interpuesta ante la Policía o Guardia Civil.
3. Extracto bancario donde se visualizan los movimientos no autorizados.
Cláusulas Técnicas Adicionales para la Reclamación
OPCIÓN A: Para casos de suplantación de SMS en el hilo legítimo (SMS Spoofing)
[Insertar en el Exponencial o Fundamentos] «Cabe destacar la extrema sofisticación técnica del ataque perpetrado por estas redes criminales organizadas. El mensaje fraudulento no llegó como una comunicación aislada, sino que se infiltró directamente en el hilo de mensajería legítimo de su entidad en el dispositivo móvil del suscrito (SMS Spoofing). Al manipular el campo ‘Alias’ (Alphanumeric Sender ID) del remitente, los atacantes explotaron una vulnerabilidad sistémica que quiebra cualquier exigencia de cautela por parte del usuario, ya que el mensaje fraudulento se presentaba contiguo a códigos de verificación reales enviados por ustedes en el pasado. Su entidad no implementó medidas para evitar la suplantación de su identidad corporativa a través de las redes de telecomunicaciones, trasladando injustamente el riesgo de esta vulnerabilidad tecnológica al consumidor.»
OPCIÓN B: Para casos donde el banco no detectó un vaciado anómalo (Fallo del algoritmo antifraude)
[Insertar en Fundamentos – Sobre la Autenticación Reforzada y Directiva PSD2] «La Directiva (UE) 2015/2366 (PSD2) y los estándares técnicos de regulación (RTS) obligan a las entidades a contar con mecanismos de supervisión de operaciones que permitan detectar transacciones de pago no autorizadas o fraudulentas. En el presente caso, resulta incomprensible y negligente que el algoritmo de prevención de blanqueo y fraude de su entidad no bloqueara preventivamente las operaciones. Se produjo una liquidación repentina de activos y una transferencia inmediata de la totalidad de los fondos hacia cuentas o plataformas (frecuentemente exchanges de criptomonedas o cuentas extranjeras) con las que este usuario no tenía un historial transaccional previo. Esta inacción demuestra que sus sistemas de detección de patrones anómalos fueron ineficaces frente al modus operandi de estas mafias digitales, siendo la entidad la única responsable patrimonial de dicha ineficacia.»
OPCIÓN C: Para casos donde hubo suplantación telefónica (Vishing con número oficial)
[Insertar en el Exponencial] «La ingeniería social desplegada alcanzó un nivel de engaño invencible para un usuario medio. Posteriormente a la recepción del SMS, recibí una llamada telefónica (Vishing) en la que el identificador de llamadas de mi terminal mostraba exactamente el número de teléfono oficial de emergencias y atención al cliente de su entidad. Los delincuentes enmascararon su número real (Caller ID Spoofing), haciéndose pasar por agentes de su departamento de seguridad. En estas circunstancias, la entrega de cualquier credencial o código se realiza bajo la absoluta convicción de estar colaborando con la propia entidad para detener un fraude, lo que excluye por completo la calificación de negligencia grave requerida por la ley para responsabilizar al cliente.»
El precedente maestro: El Tribunal Supremo
La resolución que lo cambia todo es la Sentencia 571/2025 de la Sala de lo Civil del Tribunal Supremo (9 de abril de 2025).
En este caso, el Supremo condenó a Ibercaja a devolver 50.182 euros a un cliente víctima de phishing. Esta sentencia establece una directriz de obligado cumplimiento para tribunales inferiores y tumba la excusa de que «operación registrada es igual a operación consentida».
El Supremo determinó que:
-
La carga de la prueba recae exclusivamente sobre el banco.
-
La entidad debe probar no solo que los sistemas técnicos funcionaron, sino que el cliente actuó con «negligencia grave».
-
Caer en una estafa sofisticada (como el SMS spoofing o una llamada falsa) no constituye negligencia grave por parte del usuario, sino una falla en los sistemas de prevención de fraude del banco.
Condenas recientes en Primera Instancia y Audiencias Provinciales
Los juzgados de toda España están aplicando la doctrina del Supremo para condenar a los principales bancos del país en casos de suplantación de identidad, SMS y llamadas falsas.
Casos contra Unicaja
Unicaja acumula varias condenas recientes muy ilustrativas para los afectados:
-
Tribunal de Instancia de Málaga (Sentencia de 2026): Condena a devolver 2.000 euros. La víctima recibió un SMS suplantado y una llamada falsa del «servicio de atención al cliente». El juez dictaminó que, ante técnicas tan avanzadas de vishing y smishing, el engaño supera la cautela media del consumidor, por lo que el banco es responsable de la brecha de seguridad.
-
Juzgado de Primera Instancia nº 2 de Barbate (Sentencia 143/2025, de 27 de octubre): Condena a devolver 5.000 euros a una empresa. Los estafadores lograron acceder mediante una ventana emergente falsa mientras el cliente operaba. Se condenó al banco por no activar protocolos antifraude al detectar la conexión de un dispositivo móvil ajeno al habitual.
-
Juzgado de Primera Instancia nº 1 de Mieres: Condena a reintegrar 5.000 euros, más intereses y costas, estableciendo que el deber de diligencia del banco exige medidas de seguridad que eviten el vaciado de las cuentas.
Casos contra ING
-
Juzgado de Primera Instancia nº 1 de Baeza (Mayo de 2025): Condena a ING a abonar 12.450 euros, más intereses y costas. La víctima recibió un SMS fraudulento y una llamada de un número que aparecía en pantalla como «ING Majadahonda». La jueza fue tajante al afirmar que no existió una actitud despreocupada del cliente, sino un «enrevesado sistema creado por terceros para simular la intervención de la entidad».
Argumentario legal para las reclamaciones
Toda esta jurisprudencia nos proporciona tres pilares fundamentales para redactar los burofaxes y demandas de las víctimas:
-
Inexistencia de Negligencia Grave: La Directiva Europea sobre servicios de pago ampara al consumidor. Guardar las claves en un post-it a la vista de todos es negligencia grave; ser víctima de una red criminal que suplanta el remitente del SMS y el número de teléfono del banco mediante ingeniería social, no lo es.
-
Falta de Autenticación Reforzada (SCA): Los bancos están obligados a disponer de sistemas de detección de anomalías. Si un estafador accede desde una IP extranjera, un dispositivo nuevo, y vacía la cuenta en minutos, el sistema antifraude del banco ha fallado, y la entidad debe responder patrimonialmente.
-
Condena en costas: Al existir ya una doctrina consolidada del Supremo, la resistencia injustificada de los bancos a devolver el dinero en la vía extrajudicial facilita que los jueces les impongan el pago de las costas procesales.
He redactado un modelo de reclamación formal, estructurado de manera rigurosa y fundamentado en la jurisprudencia más reciente. Este documento está diseñado para exigir la responsabilidad civil de la entidad bancaria o plataforma, centrándose de forma exclusiva en la vulneración de los sistemas de seguridad ante estafas de inversión o suplantación, diferenciándolo claramente de cualquier reclamación bancaria ordinaria.






