El banco es responsable del fraude bancario: así conseguimos que devuelvan tu dinero
¿Te han vaciado la cuenta sin que tú hicieras nada? Cada vez más personas son víctimas de fraudes bancarios —phishing, smishing, vishing— y ven cómo su dinero desaparece en cuestión de minutos. ¿La buena noticia? La ley te protege, y los bancos tienen la obligación de devolverte tu dinero si no actuaron con la diligencia debida.
Soy Miguel Ángel Marqués Lafuente, abogado especializado en estafas bancarias, y he logrado sentencias históricas en defensa de las víctimas. Hoy quiero contarte un caso real en el que conseguimos que el banco reconociera su culpa y devolviera más de 69.000 euros robados a mis clientes.
Si te han estafado, no es culpa tuya. Y sí, puedes reclamar. Aquí te explico cómo lo conseguimos y qué puedes hacer para recuperar lo que es tuyo.
¿Qué pasa cuando eres víctima de un fraude bancario?
Imagínate despertar una mañana, revisar tu cuenta y darte cuenta de que alguien ha vaciado tus ahorros. Operaciones que no reconoces, transferencias extrañas, pagos que nunca autorizaste… Y, como si fuera poco, el banco te dice que «todo está en orden» porque las operaciones pasaron por sus sistemas de seguridad.
La primera reacción es de pánico. Después, indignación: ¿cómo es posible que nadie haya detectado nada raro? ¿Cómo puede ser que un banco, con todos sus medios y tecnología, no haya protegido tu dinero?
La realidad es que los fraudes bancarios, como el phishing y otros engaños digitales, están a la orden del día. Pero aquí viene lo importante: no es tu responsabilidad demostrar que no autorizaste esas operaciones. Es el banco quien debe probar que hizo todo lo que estaba en su mano para protegerte.
El caso real: más de 69.000 euros robados y un banco que no actuó
Déjame contarte la historia de un caso real que llevé hace poco, donde conseguimos que el banco devolviera hasta el último euro robado a mis clientes.
Todo empezó en abril de 2021. Un padre de 83 años y su hija, clientes de banca online, vieron desaparecer de sus cuentas 69.600 euros en cuestión de horas. ¿Cómo? A través de 16 transferencias y múltiples operaciones vía Bizum dirigidas a destinatarios extraños: “Juanjo”, “Raúl”, “Pele”… nombres genéricos, sin relación alguna con ellos.
¿El problema?
Estas operaciones no solo eran atípicas por su volumen y frecuencia; también rompían por completo el perfil habitual de los clientes. El padre nunca había hecho operaciones de este tipo, y apenas tenía conocimientos digitales para gestionar su cuenta por internet.
Para colmo, el fraude vino acompañado de un duplicado de la tarjeta SIM desde otra ciudad, lo que permitió a los estafadores acceder y operar libremente en sus cuentas.
Un patrón de operaciones sospechosas y un banco que no detectó el fraude
Lo más grave es que el fraude dejó un rastro evidente que el banco debió haber detectado:
Operaciones repetitivas por importes elevados, beneficiarios sin vinculación lógica con los titulares, una extracción masiva en un intervalo de tiempo muy corto y accesos no habituales a la cuenta desde ubicaciones distintas.
En banca, estos son claros indicios de alarma. Sin embargo, el banco no bloqueó las transferencias, no pidió una verificación adicional ni activó sus protocolos de seguridad.
En estos casos, el tiempo es esencial. Cada minuto cuenta para bloquear las operaciones fraudulentas y evitar que el dinero desaparezca. Sin embargo, el banco perdió un tiempo precioso.
La denuncia se presentó el 14 de abril. La policía solicitó el bloqueo inmediato de las cuentas destino. Pero el banco no movió ficha hasta el 12 de mayo. Para entonces, ya era demasiado tarde.
Este tipo de negligencia no solo incumple el contrato con el cliente, sino que va en contra de toda la normativa europea sobre pagos y seguridad digital.
¿Qué dijeron los jueces sobre la responsabilidad del banco?
Cuando llevamos el caso ante los tribunales, la respuesta fue contundente. El juez de Primera Instancia no dejó lugar a dudas: el banco había incumplido de forma grave sus obligaciones de seguridad y vigilancia.
Lo que hizo fue desmontar, una a una, todas las excusas de la entidad. Dejó claro que no basta con tener sistemas automáticos funcionando, que el banco debe vigilar las operaciones de sus clientes y reaccionar si detecta movimientos sospechosos.
No hacerlo, como pasó en este caso, es un incumplimiento flagrante del contrato y de las normas que protegen al consumidor en banca online.
El juez fue muy claro en su sentencia. Destacó que el banco no detectó ni bloqueó operaciones inusuales y de alto riesgo, a pesar de que por su volumen y repetición exigían un control mucho más estricto.
También subrayó que la víctima había sufrido un duplicado de su tarjeta SIM, lo que permitió que los estafadores accedieran a la banca online sin autorización, un indicio claro de fraude que debería haber encendido todas las alarmas internas del banco.
Lo más preocupante es que, aunque la denuncia se presentó de inmediato, el banco no reaccionó con la rapidez debida. No colaboró de forma activa para bloquear las operaciones ni para intentar recuperar los fondos.
Por si fuera poco, en algunos casos, el dinero robado terminó en cuentas abiertas en la propia entidad bancaria. Y aun así, tardaron más de un mes en bloquearlas, permitiendo que los fondos desaparecieran por completo.
¿Has sido víctima de un fraude por Phishing?
Analizamos tu caso sin comproomiso y te diremos las posibilidades reales que tienes de recuperar tu dinero
La Audiencia Provincial refuerza la condena y el Tribunal Supremo da un golpe final al banco
El banco no se dio por vencido e intentó recurrir la sentencia. Pero la Audiencia Provincial confirmó la condena en todos sus términos. Y lo hizo con palabras todavía más duras: acusó a la entidad de un incumplimiento sistémico de sus deberes de seguridad.
El tribunal dejó algo muy claro: en el mundo digital actual, los bancos obtienen grandes beneficios gracias a la banca online, pero con esos beneficios vienen también grandes responsabilidades. No basta con que los sistemas funcionen “normalmente”. El banco debe garantizar la seguridad de las operaciones y actuar cuando algo no encaja.
También destacó un hecho especialmente grave: la falta de coordinación interna dentro del banco. Ni los departamentos de seguridad ni las oficinas actuaron como debían, y eso permitió que el dinero desapareciera.
Mientras este caso avanzaba, en paralelo, llevábamos otro muy parecido ante el Tribunal Supremo. Y el Supremo fue claro: si el banco no acredita que hizo todo lo posible por evitar el fraude, no puede trasladar el problema al cliente.
El 9 de abril de 2025 se dictó la sentencia 571/2025, en la que el Supremo ratificó que la responsabilidad es del banco si no demuestra que adoptó todas las medidas técnicas, jurídicas y operativas razonables para proteger al usuario.
Este fallo fue un punto de inflexión. Solo unas semanas después, el banco decidió retirarse del proceso y desistir del recurso de casación que había interpuesto en este caso.
Una retirada que, además, vino con condena en costas.
¿Cómo afecta la decisión del Tribunal Supremo a los usuarios afectados por fraudes de Phishing?
El Tribunal Supremo, en su decisión, sentó un precedente muy claro: si un banco no puede demostrar que el cliente actuó con negligencia grave, debe asumir la responsabilidad y restituir el dinero sustraído en un fraude de phishing.
Esta decisión es de vital importancia para todos los usuarios bancarios, no solo para mis clientes. Hasta ahora, muchas entidades financieras descargaban la culpa sobre el cliente argumentando que «había facilitado» sus claves, pero esta sentencia rompe con esa tendencia. El Tribunal Supremo dejó claro que el uso técnico de las credenciales no es suficiente para eximir de responsabilidad al banco: éste debe demostrar que el cliente actuó de forma manifiestamente negligente, algo que rara vez ocurre en estos fraudes sofisticados.
Para los usuarios, esta decisión supone una protección extra. Significa que si son víctimas de un fraude de phishing y han actuado con la diligencia esperada de un consumidor medio, tienen derecho a reclamar y recuperar su dinero. También implica que los bancos deben extremar las medidas de seguridad y vigilancia para detectar operaciones anómalas, protegiendo proactivamente a sus clientes.
En definitiva, esta resolución fortalece la posición de los consumidores y obliga a las entidades financieras a asumir un papel más activo en la prevención del fraude digital. Como abogado especializado en fraudes bancarios, no puedo más que alegrarme de ver que la justicia camina en la dirección correcta, protegiendo los derechos de los ciudadanos frente a las nuevas amenazas digitales.
¿Por qué desistió el banco en casación?
Después de perder tanto en Primera Instancia como en la Audiencia Provincial, el banco decidió jugar su última carta: presentar un recurso de casación ante el Tribunal Supremo. Su estrategia era sencilla: defender que las operaciones se habían hecho siguiendo los mecanismos de autenticación habituales y que, por tanto, eran válidas y autorizadas.
Pero había un gran problema para ellos. La ley, concretamente la normativa europea PSD2 y el Real Decreto-ley 19/2018 en España, dice muy claramente que es el banco quien debe demostrar que una operación fue realmente autorizada por el cliente. No basta con decir que el sistema funcionaba. No basta con que la clave o el SMS llegaran correctamente.
La carga de la prueba es del banco, y además deben demostrar que aplicaron todas las medidas técnicas, jurídicas y operativas razonables para evitar el fraude.
En este contexto, el golpe final llegó cuando el Tribunal Supremo dictó la Sentencia 571/2025 en un caso muy similar, también dirigido por nuestro despacho. El Supremo confirmó que, en los fraudes por ingeniería social y vulneraciones externas, el cliente no debe soportar las consecuencias si el banco no ha sido diligente.
Esa sentencia cambió todo. La entidad bancaria entendió que seguir adelante solo le haría perder más tiempo, más dinero y, sobre todo, más credibilidad. Por eso, desistió del recurso de casación y aceptó la condena con costas.
Una retirada silenciosa, pero que significa una gran victoria para los consumidores y sienta un precedente claro: cuando un banco no actúa como debe, debe devolver el dinero robado.
Lo que este caso nos enseña sobre fraudes bancarios
Este caso no es solo una victoria individual. Es una lección importante para todos los que usamos la banca online. Nos demuestra algo que a veces olvidamos: los bancos tienen la obligación de protegernos, y si no lo hacen, deben responder.
La tecnología avanza muy rápido y los fraudes digitales son cada vez más sofisticados. Pero eso no justifica que el banco se quede de brazos cruzados. No basta con que te den un usuario y una contraseña. No basta con enviarte un SMS de confirmación. Su responsabilidad va mucho más allá.
Veámoslo claro:
El deber de vigilancia y diligencia del banco
Los bancos no solo deben ofrecerte herramientas para operar online, sino también garantizar que esas herramientas son seguras. Y eso significa:
- Detectar movimientos inusuales: operaciones que no encajan con tu perfil o patrón de comportamiento.
- Reaccionar a tiempo: si algo huele raro, tienen que bloquear, investigar y protegerte antes de que sea tarde.
- Colaborar con las autoridades: cuando hay un fraude denunciado, no pueden esperar días o semanas para actuar.
Si no cumplen con estos deberes, la normativa dice que no pueden cargar sobre ti el daño causado. El banco debe asumir su responsabilidad y devolverte el dinero.
No basta con cláusulas de contrato: la seguridad es su responsabilidad
Muchos bancos intentan escudarse en las famosas «condiciones generales» que firmamos cuando abrimos una cuenta online. Pero eso no les libera de su obligación de actuar con diligencia.
El Tribunal Supremo ha dejado muy claro que: No basta con firmar un contrato.
No basta con firmar un contrato.
No basta con tener sistemas básicos de autenticación.
Deben probar que hicieron todo lo posible para evitar el fraude.
Si no pueden demostrarlo, deben devolverte el dinero.
Este caso demuestra que luchar sí sirve. Que se puede ganar. Que no tienes que resignarte si has sido víctima de un fraude bancario.
No estás solo en esto.
¿Has sido víctima de un fraude por Phishing?
Analizamos tu caso sin comproomiso y te diremos las posibilidades reales que tienes de recuperar tu dinero
