Última actualización: 22 de junio de 2026
Noticias
17 junio 2026
5 min de lectura
El Tribunal Supremo ha consolidado una doctrina clara: si te roban dinero de tu cuenta mediante phishing, smishing o cualquier fraude digital, tu banco está obligado a devolvértelo. La única excepción es que hayas actuado con negligencia grave, y la carga de demostrarlo recae sobre la entidad. En 2025 los fraudes digitales bancarios superaron los 500 millones de euros en España.
En resumen
Qué: El Supremo (STS 571/2025 y sentencias posteriores) establece que los bancos deben devolver el dinero robado por fraude digital.
Clave: Si el cliente niega haber autorizado una operación, es el banco quien debe probar que hubo consentimiento real o negligencia grave.
Impacto: Aplica a phishing, smishing (SMS falsos), vishing (llamadas falsas) y cualquier suplantación digital.
Qué hacer: Si te han estafado, reclama por escrito al banco. Si lo rechazan, acude al Banco de España y después a los tribunales.
Qué ha decidido el Supremo y por qué importa
La Sala de lo Civil del Tribunal Supremo ha dictado varias sentencias que consolidan una doctrina unificada sobre fraudes bancarios digitales. La más relevante es la STS 571/2025, de 9 de abril de 2025, que fue la primera en analizar en detalle el concepto de «negligencia grave» del cliente en casos de phishing.
La conclusión del tribunal es contundente: los bancos tienen una responsabilidad cuasi-objetiva. Es decir, responden siempre del fraude salvo que demuestren que el cliente actuó con negligencia grave o con intención de fraude. El hecho de que un tercero haya accedido a las credenciales del cliente mediante una estafa sofisticada no se considera automáticamente negligencia grave del usuario.
El Supremo se basa en el Real Decreto-Ley 19/2018 (que transpone la Directiva europea PSD2) y establece tres requisitos para que el banco quede exonerado:
Los 3 requisitos que debe probar el banco
1. Que la operación fue correctamente autenticada (doble factor, SMS, biometría).
2. Que su sistema de seguridad funcionó correctamente y sin fallos.
3. Que el cliente actuó con negligencia grave (no simplemente caer en un engaño sofisticado).
Cómo te afecta: los fraudes más comunes en España
En la práctica, esta doctrina te protege ante los tipos de fraude más habituales:
Phishing por email: recibes un correo que parece de tu banco pidiendo que confirmes datos. Haces clic, introduces tus credenciales en una web falsa y los delincuentes vacían tu cuenta.
Smishing (SMS): un mensaje de texto que aparece en el mismo hilo que los SMS legítimos de tu banco, con un enlace para «verificar una operación sospechosa». Es la modalidad más creciente en 2026.
Vishing (llamada telefónica): alguien te llama haciéndose pasar por el departamento de fraudes de tu banco. Te piden los códigos de verificación que estás recibiendo «para cancelar una operación». En realidad, están autorizando transferencias.
Dato importante
Según el Banco de España, los fraudes en pagos electrónicos superaron los 500 millones de euros en 2025 en España. El importe medio por víctima fue de 3.200 euros. Las denuncias por smishing se triplicaron respecto a 2024.
Qué puedes hacer si te han estafado
Si has sido víctima de un fraude digital bancario, sigue estos pasos:
1. Bloquea tu tarjeta y acceso inmediatamente. Llama al teléfono de emergencia de tu banco. Cada minuto cuenta para evitar más cargos. Si tu tarjeta aparece bloqueada, puede ser que el banco ya haya detectado la actividad sospechosa.
2. Presenta denuncia ante la Policía Nacional o Guardia Civil. Hazlo en las primeras 24-48 horas. Guarda capturas de pantalla de los SMS, emails o llamadas fraudulentas.
3. Reclama por escrito al banco. Solicita la devolución del importe defraudado citando el artículo 45 del Real Decreto-Ley 19/2018. El banco tiene 15 días hábiles para devolverte el dinero o justificar por qué no lo hace.
4. Si el banco rechaza tu reclamación: presenta queja ante el Servicio de Reclamaciones del Banco de España. Si la resolución no te satisface, puedes acudir a los tribunales con la doctrina del Supremo a tu favor.
La clave está en
No dejes pasar el tiempo. Cuanto antes reclames, más fácil será demostrar que no hubo negligencia por tu parte. Y no aceptes un «no» del banco como respuesta definitiva: la jurisprudencia del Supremo está de tu lado.
Qué NO se considera negligencia grave
El Supremo ha dejado claro que estas situaciones no eximen al banco de devolverte el dinero:
Caer en un SMS que aparece en el mismo hilo de mensajes legítimos de tu banco. Facilitar un código de verificación a alguien que se identifica como empleado de tu banco por teléfono. Hacer clic en un enlace de un email que replica con exactitud la imagen corporativa del banco. Facilitar datos en una web falsa que usa certificado SSL y dominio similar al oficial.
En cambio, sí podría considerarse negligencia grave: compartir voluntariamente tus claves con terceros, ignorar múltiples alertas de seguridad del banco, o tener tu PIN apuntado junto a la tarjeta.
Profundiza en el tema
→ Tarjeta bloqueada: cómo desbloquearla paso a paso
→ Causa 101 tarjeta denegada: qué hacer si tu tarjeta está caducada
FUENTES
— FACUA: El Tribunal Supremo obliga a los bancos a devolver el dinero de una estafa por phishing
— Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago (transposición Directiva PSD2)
