¿Puedo demandar al banco por phishing o vishing?

CEl phishing y el vishing son hoy dos de los fraudes bancarios más comunes en España. Cada semana, clientes de banca electrónica reciben correos, SMS o llamadas que suplantan a su entidad, inducen a compartir credenciales o códigos de verificación y acaban en operaciones no autorizadas. La pregunta clave es: ¿puedo reclamar al banco o incluso demandarlo si he caído en una estafa de este tipo? La respuesta, en muchos casos, es sí. En Eriz Larroca Abogados conocemos cómo la normativa y la jurisprudencia protegen al consumidor bancario frente a estos fraudes.

Qué son el phishing y el vishing (y cómo operan)

• Phishing: mensajes (email o SMS, también llamado smishing) que imitan comunicaciones oficiales del banco con enlaces a sitios web falsos donde roban tus credenciales.
• Vishing: llamadas telefónicas (voice phishing) en las que los estafadores, usando suplantación de número (VoIP spoofing), se hacen pasar por personal del banco y te piden códigos de verificación o autorizaciones.

Ambas modalidades son ingeniería social pura: explotan la confianza y el sentido de urgencia (acción requerida, bloqueo de cuenta…). No requieren malware; basta con que la víctima actúe bajo engaño.

Por qué el banco puede ser responsable

La Ley de Servicios de Pago (RDL 19/2018) y la PSD2 obligan a los bancos a reembolsar las operaciones no autorizadas, salvo que acrediten negligencia grave o actuación fraudulenta del cliente. Además, imponen medidas como la autenticación reforzada (MFA/2FA) y controles de riesgo para detectar operaciones anómalas.

¿Qué significa en la práctica?

• Si actuaste de buena fe y la entidad no demostró diligencia (por ejemplo, no activó alertas ante transferencias inusuales o permitió accesos atípicos), puedes reclamar.
• La carga de la prueba sobre la negligencia grave del cliente recae en el banco. No basta con afirmar “introdujo sus claves”; hay que probarlo y, aun así, valorar si el proceso de seguridad cumplía estándares.
  

Casos típicos de Phishing y Vishing

1. Phishing con web clonada: tras introducir usuario y contraseña en un enlace fraudulento, se ordenan transferencias elevadas a cuentas desconocidas. Si el patrón rompe tu historial (importe, país, horario), la detección de fraude debería haber saltado.
   
2. Vishing con llamada ‘oficial’: recibes una llamada desde un número idéntico al del banco; te piden códigos “para bloquear un cargo”. En realidad, con esos códigos confirman transacciones. Aquí, la suplantación de identidad y la apariencia de oficialidad rebajan la posibilidad de atribuirte negligencia grave.

En ambos supuestos, si el banco no reaccionó ante señales de riesgo (IPs extrañas, nuevos dispositivos, importes atípicos), hay base para reclamación e incluso demanda.

Pasos para reclamar al banco por fraude bancario

1. Bloquea y comunica de inmediato. Contacta con tu entidad para bloquear acceso y tarjetas, y pide el detalle de operaciones no autorizadas.
2. Reúne pruebas. Capturas de correos/SMS, registro de llamadas (vishing), extractos, justificantes, pantallazos de la web falsa, informe policial si existe.
3. Reclamación formal al Servicio de Atención al Cliente. Expón cronología, aporta pruebas y solicita reembolso íntegro.
4. Banco de España. Si no responden en 15 días hábiles o te niegan la devolución, presenta reclamación ante el supervisor (su informe no es vinculante, pero orienta y suele ser útil).
5. Demanda judicial. Si persiste la negativa, acude a la vía civil. En Eriz Larroca Abogados planteamos la responsabilidad de la entidad por incumplir deberes de seguridad y por no impedir operaciones no autorizadas a pesar de los indicadores de riesgo.
   

¿Y si el banco alega negligencia del cliente?

Es habitual que la entidad intente responsabilizar al usuario por “dar sus claves”. Pero la realidad del vishing y del phishing avanzado demuestra que muchas víctimas actúan engañadas bajo una apariencia de legitimidad cuidadosamente construida (números clonados, webs idénticas, mensajes que coinciden con procesos reales del banco).
El análisis debe ser caso a caso: ¿hubo validaciones adicionales? ¿Se detectó el cambio de dispositivo o de IP? ¿Eran razonables los controles antifraude para ese riesgo? En ausencia de diligencia acreditada, la responsabilidad del banco prevalece.

Cómo evitar nuevas estafas de Phishing y Vishing

• Desconfía de cualquier enlace que pida credenciales; entra siempre por la URL oficial del banco.
• No compartas códigos por teléfono: ningún banco serio los solicita para ‘bloquear’ movimientos.
• Activa MFA y revisa tus límites y alertas de notificación.
• Si sospechas, llama tú al número oficial (no devuelvas llamadas entrantes).
• Guarda pruebas desde el primer minuto: refuerzan tu reclamación.
  

En Eriz Larroca Abogados trabajamos habitualmente reclamaciones por phishing, vishing y fraude bancario en Bizkaia. Si has sufrido operaciones no autorizadas, no des el caso por perdido. La normativa protege al cliente y existen vías eficaces para recuperar tu dinero.