Las semanas previas a la Navidad concentran uno de los mayores repuntes de estafas digitales del año. El incremento de compras online, la saturación informativa y la relajación en los hábitos de seguridad crean un escenario propicio para los autores de estos fraudes, que aprovechan estas fechas para lanzar campañas fraudulentas altamente sofisticadas.
Durante este periodo se multiplican los envíos masivos de mensajes falsos que suplantan a entidades bancarias, plataformas de comercio electrónico o servicios de paquetería. Los ataques incluyen phishing (correos electrónicos que imitan a un banco), smishing (SMS fraudulentos con enlaces maliciosos) y vishing (llamadas telefónicas en las que los estafadores se hacen pasar por empleados de la entidad). También proliferan los fraudes vinculados a supuestos envíos de Correos, Amazon o empresas de mensajería, así como alertas falsas por operaciones de Bizum o bloqueo de tarjetas.
La combinación de picos de consumo, sobrecarga de mensajes y mayor presión del tiempo favorece que los usuarios bajen la guardia ante comunicaciones que parecen legítimas. Y aunque muchas víctimas actúan con diligencia, los estafadores replican con gran precisión el diseño y lenguaje de bancos y comercios, haciendo que la detección del fraude resulte cada vez más difícil.
En las siguientes líneas, Ainhoa Egiluz, jurista de ERREKLAMATU especialista en phishing y reclamaciones bancarias, explica los fraudes más comunes en este periodo y analiza en qué supuestos existe base jurídica para reclamar y cuándo la estafa no genera responsabilidad para el banco.
¿Quieres que analicemos tu caso gratis y sin compromiso? Somos expertos en reclamaciones de phishing: analizaremos tu caso y te recomendaremos qué hacer.
1. Phishing bancario: sí se puede reclamar
El phishing bancario sigue siendo la estafa digital más extendida. Aunque su mecanismo básico consiste en suplantar a una entidad financiera para obtener datos o claves, sus promotores utilizan hoy variantes cada vez más elaboradas:
- Phishing clásico por correo electrónico. El usuario recibe un mensaje que aparenta proceder de su banco y que le insta a actualizar datos, desbloquear la cuenta o revisar un supuesto cargo. El enlace dirige a una web falsa que imita a la entidad.
- Smishing (fraude por SMS). Los autores de estos fraudes aprovechan que muchos bancos utilizan SMS para verificaciones. Envían mensajes que alertan de movimientos sospechosos o bloqueos, y dirigen a páginas fraudulentas con apariencia oficial.
- Vishing (llamadas telefónicas fraudulentas). Los estafadores llaman haciéndose pasar por empleados del banco, alertan de un “intento de fraude” y convencen a la víctima para facilitar códigos o aprobar operaciones.
- Phishing con control remoto (AnyDesk, TeamViewer). Los promotores de este engaño fingen asistencia técnica y solicitan instalar aplicaciones de acceso remoto. Una vez dentro del dispositivo, ejecutan transferencias o modifican límites de la banca online.
En todos los casos, el objetivo final es el mismo: acceder a la banca online del usuario o ejecutar operaciones que la víctima desconoce y no consiente.
¿Cuándo debe el banco devolver el dinero?
El marco legal que regula los fraudes bancarios digitales procede del Real Decreto-ley 19/2018 y de la Directiva PSD2, que establecen un principio básico: el banco debe reembolsar las operaciones no autorizadas salvo que demuestre negligencia grave del cliente.
Esto implica que:
- La carga de la prueba recae en la entidad financiera. No basta con alegar que se usó autenticación reforzada o que se introdujo un código SMS. El banco debe acreditar que el sistema funcionó correctamente, que no hubo fallos de seguridad y que la víctima actuó con imprudencia grave.
- La autenticación reforzada NO acredita por sí sola el consentimiento. Los tribunales han insistido en que introducir claves o códigos no significa que el cliente sea responsable, especialmente si la estafa utilizó ingeniería social o páginas falsificadas.
- El Tribunal Supremo ha consolidado esta doctrina. La jurisprudencia sobre phishing bancario culmina con la STS 571/2025, que refuerza que el consentimiento debe ser claro, expreso y consciente, que el banco no puede presumirlo por el uso correcto de credenciales, y que la entidad es responsable si no demuestra técnicamente cómo se produjo el fraude.
Un fallo judicial reciente que refuerza esta doctrina
Esta doctrina ya está siendo aplicada por los tribunales en casos de phishing bancario. En un caso gestionado por ERREKLAMATU, un juzgado de Bilbao condenó recientemente a Banco Santander a devolver 1.923,67 € a una clienta afectada por phishing. La entidad alegó autenticación reforzada, pero no aportó peritaje técnico que acreditara negligencia. El juzgado obligó a reintegrar el dinero y asumió las costas.
Este tipo de resoluciones consolida el derecho de los consumidores a recuperar su dinero cuando no han autorizado la operación.
Qué NO es negligencia grave: criterios clave para las víctimas
Las entidades financieras suelen alegar negligencia del cliente para evitar reembolsos, pero la jurisprudencia es clara: solo la negligencia grave exime al banco, y no cualquier descuido. Entre las conductas que NO se consideran negligencia grave están:
- Acceder a una página web falsificada que reproduce fielmente a la del banco. Los jueces consideran que la sofisticación del fraude hace imposible detectar el engaño a simple vista.
- Introducir un código recibido por SMS sin conocer que está vinculado a una operación fraudulenta. La ingeniería social es determinante y no implica culpa grave del usuario.
- No detectar la estafa de inmediato. Un retraso razonable en avisar no equivale a negligencia, siempre que el cliente actúe diligentemente al descubrir el fraude.
- Confiar en una llamada supuestamente procedente del banco. El vishing emplea técnicas avanzadas, como la falsificación del identificador de llamada, lo que impide culpar al cliente.
Estos criterios, reiterados en resoluciones judiciales recientes, refuerzan la idea de que la víctima no debe soportar el coste del fraude cuando ha actuado de forma razonable.
Más información: reclamar phishing
En ERREKLAMATU nos avala una década de experiencia, un altísimo porcentaje de reclamaciones ganadas y la satisfacción de los miles de clientes que han confiado en nosotros.
2. Otras estafas bancarias frecuentes en Navidad que NO se pueden reclamar al banco
No todas las estafas digitales generan responsabilidad para las entidades bancarias. A diferencia del phishing, en el que la víctima no autoriza la operación, existen fraudes en los que el propio usuario realiza transferencias creyendo que actúa correctamente. En estos supuestos, los tribunales entienden que la entidad financiera desde la que parte la transferencia no puede responder, porque la operación fue formalmente autorizada por el cliente, por mucho que mediara engaño del estafador.
Estas son las tipologías más habituales:
Transferencias autorizadas: cuando el usuario envía el dinero por engaño
Una parte significativa de las estafas que llegan a ERREKLAMATU se producen cuando la víctima autoriza voluntariamente una transferencia, sin saber que está siguiendo las instrucciones de un estafador.
Entre los casos más repetidos destacan:
- El “timo del familiar en apuros”. Muy frecuente entre personas mayores y madres/padres que reciben un mensaje urgente atribuido a un hijo o hija que afirma tener un problema. La víctima, convencida de que ayuda a un familiar, realiza una transferencia inmediata que resulta imposible de revertir. En estos supuestos, dado que la orden de pago fue autorizada por el cliente, el banco no está obligado a reembolsar el importe.
- Suplantación de proveedores o empresas reales (telefonía, seguros, reparaciones, viajes, comunidades de vecinos). Fraudes muy habituales en los que el estafador suplanta a una empresa legítima y envía una factura manipulada o un PDF con el IBAN cambiado. La víctima, convencida de que paga un servicio real, valida una transferencia que en realidad va a parar a una cuenta fraudulenta. Aunque exista suplantación, la operación fue autorizada por el cliente, por lo que el banco no está obligado a devolver el dinero. Solo en casos excepcionales —cuando el delincuente consigue acceder a la banca online y ejecutar cargos no autorizados— podría considerarse reclamable.
- Falsas ofertas de trabajo. En estas estafas, muy presentes en Navidad, se promete al usuario un pequeño ingreso por realizar tareas simples en internet —dar “likes”, interactuar con publicaciones o completar microencargos—. Tras ganarse la confianza de la víctima, los estafadores exigen realizar ciertas transferencias como “depósitos” o “garantías”. Una vez enviadas, el dinero desaparece. El banco no responde porque la operación fue consentida.
Microestafas por Bizum
El auge de Bizum ha multiplicado los fraudes en los que la víctima acepta un Bizum que en realidad es una solicitud de pago. Al introducir su PIN y confirmar la operación, el cliente autoriza el cargo, por lo que la entidad financiera no está obligada a devolverlo. En ERREKLAMATU hemos detectado un aumento de este tipo de estafas, especialmente en compraventas rápidas.
Phishing de marketplace o paquetería
Fraudes en los que la víctima recibe un aviso falso de Correos, Amazon, empresas de mensajería o plataformas de compraventa, normalmente por un supuesto paquete retenido o un pago pendiente. Lo habitual es que la persona introduzca datos o realice un pago creyendo que se trata de un trámite legítimo, por lo que la operación queda formalmente autorizada y no puede reclamarse al banco.
No obstante, en una parte minoritaria de casos, estos fraudes sirven como paso previo para obtener credenciales bancarias o instalar software de acceso remoto que permite al delincuente entrar en la banca online y ejecutar operaciones no consentidas. Solo en estos supuestos —cuando existen cargos no autorizados— el caso pasa a considerarse phishing bancario reclamable.
Phishing vinculado a apps o wallets
Engaños que imitan a Google Pay, Apple Pay o apps bancarias, muy comunes en periodos de compras intensivas. El usuario cree estar verificando un dispositivo o completando un proceso de vinculación y acaba validando pagos o introduciendo información sensible. En la mayoría de situaciones, la operación es autorizada por la propia víctima y, por tanto, no genera responsabilidad para el banco.
Sin embargo, en algunos casos los delincuentes utilizan este engaño para activar un dispositivo no autorizado en la wallet o acceder a la banca online y realizar transferencias sin consentimiento. Cuando existe acceso indebido a las cuentas y operaciones no autorizadas, sí puede reclamarse al banco bajo los criterios de la jurisprudencia sobre phishing bancario.
Fraudes por inversión y plataformas de trading
Una parte creciente de consultas procede de víctimas de plataformas que prometen rentabilidades garantizadas, bloquean la retirada del dinero, exigen nuevos ingresos para liberar fondos o directamente desaparecen.
En los casos atendidos por ERREKLAMATU, muchos usuarios tienen cantidades retenidas sin explicación, sin posibilidad de recuperar su depósito inicial.
Aquí el banco tampoco es responsable: la operación fue autorizada y la reclamación debe dirigirse contra la empresa que gestiona la plataforma o, en su caso, a organismos de supervisión.
Si dejas tu reclamación en manos de nuestros abogados, te olvidarás de problemas y papeleos y aumentarán tus posibilidades de conseguir la devolución de tu dinero.
3. Consejos para evitar estafas en Navidad
La mayoría de fraudes detectados en estas fechas no se producen por fallos de seguridad del banco, sino por técnicas de ingeniería social que buscan que el usuario actúe con prisa. Estas son las medidas más eficaces —y realistas— para reducir el riesgo:
- Desconfía de cualquier mensaje que pida actuar “de inmediato”. Los estafadores siempre introducen urgencia: un supuesto bloqueo de cuenta, un paquete retenido o un familiar que necesita dinero. La prisa es su herramienta principal.
- No pulses enlaces recibidos por SMS, email o WhatsApp. Accede siempre a tu banco escribiendo tú mismo la dirección o entrando desde la app oficial. La mayoría de fraudes reales que recibimos empiezan con un enlace falso.
- Ningún banco pide códigos por teléfono. Si recibes una llamada pidiendo claves, códigos SMS o autorización de operaciones, es un fraude. Cuelga y llama tú al número oficial de la entidad.
- Verifica cualquier solicitud de dinero, incluso de familiares. En varios casos reales, la víctima creyó hablar con su hijo, hija o pareja. Antes de enviar dinero, confirma siempre por una llamada directa.
- Evita pagos por adelantado a plataformas desconocidas. Muchos fraudes de compraventa o “trabajos online” comienzan con pequeños ingresos para “activar la cuenta”. Si exigen un pago inicial, desconfía.
- No instales aplicaciones de control remoto. Si alguien te pide instalar AnyDesk, TeamViewer o similares para “ayudarte”, estás ante un fraude. Ningún banco trabaja con estas herramientas.
- Comprueba dos veces el número de cuenta antes de transferir. Un patrón frecuente es la manipulación de facturas legítimas: la víctima cree pagar a su proveedor, pero el IBAN está alterado.
- Si dudas, detén la operación. Los fraudes que vemos a diario se consuman en segundos, pero se detectan después. Ante cualquier sospecha, pausa y consulta con la entidad antes de validar.
En ERREKLAMATU nos encargamos de todas las gestiones y asumimos los gastos del proceso de reclamación. Y te ofrecemos una garantía total: solo cobramos si ganamos.
4. Recomendaciones para afectados por fraudes
Sufrir una estafa digital genera confusión y sensación de urgencia, pero es clave actuar con orden desde el primer momento. El primer paso es reunir toda la información posible antes de que se pierda: mensajes recibidos, capturas de pantalla, enlaces utilizados, movimientos bancarios afectados y cualquier aviso que genere sospecha.
En paralelo, es recomendable contactar cuanto antes con el banco para dejar constancia del fraude y solicitar una revisión urgente de la operativa. Si existe riesgo de que el estafador haya accedido a la banca online, es importante pedir el bloqueo temporal de la cuenta y cambiar las claves desde un dispositivo seguro. Si la estafa implicó instalar aplicaciones de acceso remoto, deben desinstalarse inmediatamente.
También resulta útil presentar denuncia ante la policía, no porque acelere la devolución del dinero, sino porque aporta un documento oficial que respalda el relato de los hechos y ayuda a fijar fechas, horas y circunstancias del fraude.
Con estos pasos cubiertos, llega la parte clave: determinar si el caso es reclamable o no. No basta con haber sufrido un perjuicio económico; la legislación exige analizar si la operación fue o no autorizada, si existió ingeniería social, qué medidas de seguridad aplicó el banco y cómo se produjo realmente el acceso. En muchos casos de phishing bancario —cuando un tercero logra operar dentro de la cuenta— la reclamación es viable.
Para aclarar esta cuestión, ERREKLAMATU ofrece un análisis gratuito de cada caso. Nuestros abogados revisan la documentación, valoran si se cumplen los criterios jurídicos y explican con claridad qué opciones tiene la víctima, sin compromiso alguno. El objetivo es que cada persona sepa si puede reclamar con fundamento o si debe seguir otra vía.
5. Recursos para las víctimas de phishing
Ainhoa Egiluz, jurista de ERREKLAMATU especializada en phishing y reclamaciones bancarias, subraya que los datos analizados este año confirman una tendencia sostenida: “El incremento de fraudes durante la Navidad no es un fenómeno puntual; responde a un patrón que se repite año tras año. Los estafadores afinan sus técnicas, las víctimas actúan bajo presión y muchos usuarios desconocen que, cuando se producen operaciones no autorizadas mediante phishing, el banco tiene la obligación legal de reembolsar el dinero salvo que pueda demostrar negligencia grave. Esa es la clave jurídica que determina si una reclamación puede prosperar”.
Para Egiluz, la prevención sigue siendo la herramienta más eficaz: “La mayoría de casos podrían evitarse con una verificación mínima: no pinchar en enlaces, desconfiar de mensajes urgentes y no facilitar códigos por teléfono. Son pautas sencillas, pero marcan la diferencia porque los estafadores se apoyan precisamente en la falta de tiempo para pensar”.
Aun así, reconoce que incluso quienes actúan con prudencia pueden ser víctimas de fraudes muy sofisticados. Por eso insiste en la importancia de contar con asesoramiento cualificado desde el primer momento: “Cada caso exige estudiar con detalle el rastro digital que deja el fraude: cómo entró el estafador, qué validaciones se utilizaron y si en algún momento se llegó a autorizar una operación. Ese análisis es lo que permite determinar con seguridad si el banco debe responder. En ERREKLAMATU revisamos la documentación sin coste para determinar si existe base legal para reclamar y ayudar al afectado a orientarse en un proceso que, para la mayoría de personas, resulta confuso”.
Egiluz concluye con un mensaje claro para estas fechas: “La prevención es fundamental, pero también lo es saber que existen mecanismos legales para defenderse. Cuando el fraude deriva en movimientos no autorizados, el usuario no está indefenso: la ley y la jurisprudencia le amparan”.
