La normativa europea (Directiva PSD2) protege al titular frente a operaciones no autorizadas y a determinados fraudes con autenticación viciada. Reclamamos al banco con la doctrina del TJUE, la jurisprudencia del Supremo y 25 años de litigio bancario — un terreno que conocemos mejor que la mayoría.
No todo fraude digital es lo mismo a efectos jurídicos. Cada modalidad tiene su régimen, su argumentario y su jurisprudencia. La clave está en encajar correctamente lo ocurrido en la categoría que da más recorrido procesal.
Cargos en la cuenta empresarial que tú no autorizaste. El art. 36 RDL 19/2018 obliga al banco a devolver íntegramente la operación de inmediato, salvo prueba de negligencia grave o fraude por parte del cliente.
El "Business Email Compromise": un email aparentemente de tu proveedor te comunica un cambio de cuenta y la transferencia siguiente acaba en manos del estafador. Reclamable al banco emisor si no aplicó controles antifraude razonables.
Suplantación del CEO/administrador o de un mando intermedio para ordenar una transferencia urgente. Reclamable al banco si no aplicó autenticación reforzada o detección de patrones anómalos exigible por PSD2.
Captación de credenciales bancarias por web suplantando al banco. Si la autenticación reforzada del banco no funcionó correctamente o no se activó, la responsabilidad recae sobre la entidad — doctrina TJUE.
Ataque que cifra los sistemas de la empresa y exige rescate en criptoactivos. Aunque la responsabilidad bancaria es limitada, hay vías: denuncia organizada, reclamación al ciberseguro (si lo hay), defensa frente a la posible exposición fiscal del pago.
El cliente autenticó la operación, pero engañado mediante manipulación. La doctrina europea reciente avanza hacia mayor responsabilidad bancaria si la entidad no detectó la operación como anómala — terreno en construcción donde se litiga ahora.
Mándanos los movimientos. En 48 h te decimos qué tipo de fraude es, qué vía aplica y qué puedes reclamar al banco.
En fraude digital, cada hora cuenta. El primer movimiento — notificar al banco — es el que abre o cierra la puerta a la devolución. Estos son los cuatro plazos que organizan la reclamación.
Tan pronto como tengas conocimiento del cargo no autorizado, comunícalo por escrito al banco. El RDL 19/2018 exige notificación "sin dilación indebida" — cada día sin notificar puede invocarse contra ti.
Plazo máximo para reclamar al banco por operaciones no autorizadas. El cómputo se inicia desde la fecha del cargo, no desde la del descubrimiento. Pasado ese plazo, la acción decae.
No es obligatoria pero sí crítica. La denuncia ante la Brigada de Investigación Tecnológica o Guardia Civil acredita la realidad del fraude y fortalece la reclamación bancaria. La hacemos en paralelo a la notificación al banco.
Si el banco no resuelve o lo hace en contra, hay 2 meses para reclamar al Servicio de Reclamaciones del Banco de España. Resolución informativa pero útil — y trámite previo recomendable antes de demandar.
Déjanos tus datos y una de las socias revisará personalmente el incidente. En menos de 48 horas laborables recibirás un análisis con: tipo de fraude desde el punto de vista jurídico, vía de reclamación, plazos abiertos y porcentaje realista de recuperación.
El derecho bancario digital se apoya en una directiva europea (PSD2), su transposición española y la doctrina del TJUE sobre autenticación reforzada. Estas son las tres referencias que estructuran cada reclamación.
Norma marco que define las obligaciones de los bancos: autenticación reforzada, devolución inmediata por operaciones no autorizadas, distribución de la carga de la prueba (es el banco quien debe probar la negligencia grave del cliente).
Real Decreto-ley que incorpora la PSD2 al ordenamiento español. Los arts. 36-46 regulan la responsabilidad del banco por operaciones no autorizadas y los plazos exactos (13 meses para reclamar, devolución íntegra inmediata salvo prueba en contra).
El Tribunal de Justicia europeo ha consolidado que la mera utilización de credenciales del cliente no prueba autorización por su parte ni negligencia grave. Si la autenticación reforzada falla o se elude, la responsabilidad recae sobre el banco.
Sí, el art. 36 RDL 19/2018 lo obliga. La devolución debe ser inmediata e íntegra. El banco solo queda exento si prueba que la operación fue autorizada por el cliente (consentimiento real) o que existió negligencia grave por su parte (no basta la negligencia leve). La carga de la prueba pesa sobre el banco, no sobre ti.
No es decisivo en sí mismo. La doctrina del TJUE ha establecido que el mero uso de las credenciales del titular no prueba autorización ni negligencia grave. Si el banco no aplicó autenticación reforzada (SCA) correctamente, o no detectó patrones anómalos exigibles por PSD2, la responsabilidad sigue siendo suya.
Es uno de los supuestos más reclamables. Aunque el cliente "introdujo" sus claves en una web fraudulenta, eso no equivale a autorización ni a negligencia grave. El banco debió detectar la operación como anómala (importe inusual, destino nuevo, IP no habitual). La línea jurisprudencial española favorece la reclamación del cliente.
Es el supuesto más complejo. La operación está autorizada por el cliente (transferencia hecha conscientemente), pero bajo engaño. Los argumentos: (1) falta de controles antifraude del banco emisor; (2) si el banco receptor no aplicó KYC adecuado al titular de la cuenta de destino; (3) recuperación por vía penal contra el estafador. Caso a caso, pero con vías reales.
13 meses desde la fecha del cargo no autorizado (art. 36.4 RDL 19/2018). El cómputo es desde el cargo, no desde el descubrimiento. Importante: la notificación al banco debe ser "sin dilación indebida" desde que se conoce — cualquier retraso puede invocarse contra ti.
La no autorizada es aquella que el cliente nunca consintió (intrusión pura). La fraudulenta autorizada es aquella en la que el cliente sí ordenó la operación, pero engañado (BEC, ingeniería social). El régimen jurídico es distinto: en la primera, devolución casi automática; en la segunda, recorrido procesal pero más argumentación. Distinguirlo bien es decisivo.
Muy recomendable aunque no obligatoria. La denuncia ante la Brigada de Investigación Tecnológica o Guardia Civil acredita la realidad del fraude. La fiscalía especializada en ciberdelincuencia puede coordinarse con autoridades europeas para intentar recuperar los fondos del banco de destino. La hacemos en paralelo a la reclamación bancaria.
Trabajamos con honorarios cerrados según la vía y la fase. Análisis inicial gratuito. Reclamación al banco y al BdE: importe fijo. Demanda judicial: presupuesto escrito según cuantía y complejidad. En casos premium se puede pactar parte vinculada a éxito sobre la cantidad finalmente recuperada.