Pasos legales para denunciar una estafa bancaria

Saber cómo denunciar una estafa bancaria exige distinguir desde el principio varias vías que pueden ser complementarias. “Denunciar” no siempre significa solo acudir a Policía, Guardia Civil o juzgado: en muchos casos también hay que activar de forma inmediata una reclamacion al banco por cargo fraudulento u operación no autorizada, especialmente si se han usado tarjetas, banca online, Bizum o transferencias.

La respuesta adecuada dependerá de cómo se produjo el fraude, del medio de pago afectado, de la autenticación utilizada y de la documentación disponible. No es lo mismo una tarjeta usada sin consentimiento, una transferencia fraudulenta inducida por phishing bancario, smishing o vishing, que una brecha de datos o una suplantación de identidad con acceso a la cuenta.

A continuación encontrarás una guía ordenada y prudente, centrada en el marco de servicios de pago aplicable en España y en las vías complementarias que puede convenir activar según el caso.

Qué se entiende por estafa bancaria y qué situaciones conviene distinguir

En el lenguaje común, “estafa bancaria” se usa para situaciones muy distintas. Desde un punto de vista práctico, conviene separar al menos cuatro escenarios:

• Operaciones no autorizadas en cuenta o tarjeta: cargos, retiradas o pagos que la persona usuaria no reconoce ni consintió.
• Fraudes de ingeniería social: engaños mediante correos, SMS o llamadas que aparentan provenir del banco y buscan obtener claves o provocar una acción, como autorizar una operación.
• Accesos indebidos o suplantación de identidad: tercero que accede a la banca digital, cambia credenciales o usa datos personales para operar.
• Incidencias mixtas: por ejemplo, una filtración de datos seguida de cargos, una transferencia inducida por engaño y después una negativa del banco a retroceder la operación.

Esta distinción importa porque las respuestas jurídicas no son idénticas. El régimen de servicios de pago se centra en buena medida en las operaciones no autorizadas, en los deberes de comunicación, en la autenticación y en las reglas de responsabilidad entre proveedor y usuario. En paralelo, si ha existido engaño, acceso ilícito o apropiación de credenciales, puede valorarse una denuncia penal.

También conviene tener presente que no todas las incidencias bancarias se resuelven igual: una tarjeta, una transferencia, un Bizum o determinados adeudos tienen distinta trazabilidad y pueden requerir revisar contrato, sistema de autenticación y justificantes concretos.

Primeros pasos para frenar el perjuicio y proteger la cuenta

La prioridad inicial es detener el daño. Cuanto antes se actúe, más opciones puede haber de limitar nuevas operaciones y de documentar correctamente la incidencia.

1. Bloquea tarjetas y accesos. Si sospechas de un uso indebido, solicita el bloqueo de tarjetas, banca online, Bizum o credenciales afectadas.
2. Contacta con la atención al cliente del banco por canales oficiales. Pide número de incidencia, fecha, hora y, si es posible, confirmación escrita.
3. Cambia contraseñas y métodos de autenticación. Si hubo acceso a correo electrónico, teléfono o aplicaciones, conviene asegurar también esos servicios.
4. Revisa movimientos y límites operativos. Comprueba si hay más cargos, transferencias o altas de dispositivos no reconocidos.
5. No borres mensajes ni registros. Los SMS, correos, capturas de pantalla y registros de llamadas pueden ser decisivos.

Si el fraude se ha producido a través de una compra con tarjeta, algunas entidades o redes de pago pueden tramitar devoluciones o retrocesiones operativas que a veces se identifican como chargeback. No obstante, no conviene tratar ese término como una vía universal ni como una categoría legal cerrada en España: su disponibilidad dependerá del medio de pago, de las reglas del emisor o adquirente y de la documentación aportada.

Qué pruebas y documentos conviene reunir desde el primer momento

La solidez de una reclamación bancaria o de una denuncia suele depender en gran medida de la prueba. Por eso conviene recopilar y ordenar justificantes y evidencias digitales desde el primer día.

• Extractos de cuenta y detalle de movimientos discutidos.
• Capturas de la operación, del aviso recibido y de cualquier autenticación mostrada en pantalla.
• SMS, correos electrónicos, enlaces, números de teléfono y registros de llamadas.
• Comunicaciones con el banco: referencias de incidencia, correos, chats o grabaciones si se facilitan.
• Documento de identidad y, en su caso, denuncia o atestado si ya existe.
• Prueba del momento en que detectaste el problema y del momento en que lo comunicaste.

Si se inicia una reclamación, ayuda mucho ordenar la cronología: cuándo llegó el mensaje, qué acción se realizó, qué sistema de autenticación se usó, qué respuesta dio el banco y cuándo se produjo cada cargo. En fraudes por phishing bancario, smishing o vishing, el contexto del engaño puede ser tan importante como el apunte contable.

Si la reclamación no avanza o hay discrepancias relevantes sobre lo comunicado, puede valorarse remitir un burofax o una comunicación fehaciente equivalente para dejar constancia del contenido y de la fecha.

Cómo hacer la reclamación al banco por un cargo fraudulento u operación no autorizada

Cuando existe un posible cargo fraudulento u operación no autorizada, la vía inmediata suele ser la reclamacion al banco o al proveedor de servicios de pago. El marco general en España se encuentra en el Real Decreto-ley 19/2018, que regula, entre otras cuestiones, la autorización de operaciones, la autenticación y la distribución de responsabilidades.

De forma resumida, conviene actuar así:

1. Comunica la operación sin demora al banco, usando un canal previsto para incidencias o fraude.
2. Solicita confirmación escrita de la reclamación, con referencia y fecha.
3. Describe los hechos con precisión: operación discutida, importes, fecha, medio de pago y por qué consideras que no fue autorizada o estuvo viciada por fraude.
4. Adjunta pruebas: extractos, capturas, mensajes y cualquier elemento que acredite la secuencia de hechos.
5. Pide copia o detalle técnico suficiente si el banco sostiene que la operación fue autenticada o consentida.

Desde el punto de vista jurídico, habrá que valorar si realmente estamos ante una operación no autorizada en el sentido del régimen de servicios de pago o ante una operación ordenada por el propio cliente bajo engaño. Esa distinción puede ser controvertida en algunos supuestos y dependerá de la prueba, de la trazabilidad técnica y de cómo se produjo la autenticación reforzada.

También importa el deber del usuario de custodiar sus credenciales y de comunicar sin demora la pérdida, robo, apropiación indebida o uso no autorizado del instrumento de pago. Ahora bien, la mera invocación de que existió autenticación no resuelve por sí sola todos los casos: puede ser necesario analizar si el consentimiento fue válido, si hubo fallos de seguridad, si la información precontractual y operativa fue suficiente y si concurrió negligencia grave, cuestión que no debe presumirse sin más.

En determinados supuestos, el banco puede realizar una devolución o regularización si aprecia que la operación no fue autorizada o que procede el reintegro conforme al régimen aplicable. En otros, puede rechazar la solicitud total o parcialmente. Si ocurre esto, conviene pedir respuesta motivada y conservarla para una eventual reclamación posterior.

Como referencia oficial, el texto consolidado del Real Decreto-ley 19/2018 puede consultarse en el BOE: boe.es.

Cuándo tiene sentido presentar una denuncia penal y qué puede aportar

La denuncia penal puede tener sentido cuando existen indicios de estafa, acceso ilícito, suplantación de identidad, uso indebido de datos o cualquier conducta delictiva asociada al fraude. No sustituye necesariamente a la reclamación bancaria, sino que puede complementarla.

Presentarla puede resultar útil, entre otras razones, para:

• Dejar constancia formal de los hechos y de su cronología.
• Aportar datos técnicos o documentales a una investigación policial o judicial.
• Reforzar la posición probatoria frente a terceros, aunque por sí sola no garantice la estimación de una reclamación económica.

Suele ser especialmente conveniente valorarla cuando ha habido acceso a dispositivos, duplicado de SIM, utilización de datos personales, engaño sofisticado o perjuicios de cuantía relevante. En estos casos, pueden intervenir Policía Nacional o Guardia Civil, según corresponda.

Al presentar la denuncia, conviene llevar toda la documentación ordenada: extractos, mensajes, capturas, números de teléfono, direcciones de correo, referencias del banco y cualquier dato técnico disponible. Si ya existe una respuesta bancaria, también es útil aportarla.

Qué vías adicionales pueden valorarse: Banco de España, AEPD y otras opciones

Además de la reclamación al banco y de la posible denuncia penal, pueden existir vías adicionales según el problema concreto.

Banco de España

Si la entidad mantiene su criterio o la respuesta resulta insuficiente, puede valorarse acudir al Banco de España a través de sus canales de reclamación o conducta de mercado, siempre dentro de los requisitos aplicables. Esta vía no sustituye a un proceso judicial, pero puede ser útil para revisar si la actuación de la entidad se ajustó a la normativa de transparencia y servicios de pago.

AEPD

Si el caso incluye una posible vulneración de datos personales, acceso indebido, tratamiento irregular o suplantación ligada a brechas de información, puede tener sentido valorar actuaciones ante la AEPD. No toda estafa bancaria encaja en esta vía, pero sí puede ser relevante cuando el problema afecta de forma directa a la protección de datos.

INCIBE y soporte preventivo

En incidentes de ciberseguridad, INCIBE puede ofrecer orientación práctica para contener el incidente, preservar evidencias o mejorar la seguridad digital del afectado. Su utilidad es sobre todo preventiva y de apoyo técnico, no de resolución bancaria o judicial.

Como referencia institucional, puede consultarse la información pública del Banco de España sobre reclamaciones y servicios de pago en bde.es.

Errores frecuentes, plazos y siguiente paso recomendable

Uno de los errores más habituales es esperar demasiado para comunicar la incidencia. Otro es centrar toda la estrategia en una sola vía, cuando el caso puede requerir actuación bancaria inmediata y, al mismo tiempo, preservación de prueba para una futura denuncia o reclamación adicional.

• No pedir número de incidencia ni copia de la reclamación.
• Borrar SMS, correos o capturas por pensar que ya no sirven.
• Confundir un rechazo comercial con la imposibilidad jurídica de seguir reclamando.
• Asumir que toda operación autenticada fue necesariamente consentida.
• Invocar chargeback como solución universal, sin revisar el producto, contrato y reglas aplicables.

En cuanto a los plazos, conviene ser especialmente prudente. El régimen de servicios de pago prevé deberes de comunicación y límites temporales relevantes para notificar operaciones no autorizadas, pero su aplicación concreta puede depender del tipo de operación, de cuándo se tuvo conocimiento, de la información facilitada por la entidad y de otras circunstancias del caso. Por eso, más que apurar plazos, lo recomendable es actuar de inmediato y documentarlo todo.

Si el banco rechaza la reclamación o la respuesta es incompleta, el siguiente paso razonable suele ser revisar la motivación, reforzar la prueba y valorar una reclamación escalada, una comunicación fehaciente mediante burofax, la intervención de un organismo supervisor o, en función del perjuicio, acciones judiciales.