Skip to main content
Prueba Lexiel gratisProbar ahora →
Estafa Informática en España 2026: Cómo Denunciar y Recuperar el Dinero (Art. 248 CP)
Jurisprudencia11 minLexiel

Estafa Informática en España 2026: Cómo Denunciar y Recuperar el Dinero (Art. 248 CP)

Guía sobre la estafa informática (Art. 248.2 CP): qué elementos definen el delito, cómo presentar la denuncia, responsabilidad del banco por phishing, reclamación ante el Banco de España y plazos. Actualizada con jurisprudencia 2024-2025.

estafa informáticaArt. 248 CPphishing denunciafraude online reclamarestafa por internet España

¿Qué es la estafa informática?

La estafa informática está tipificada en el Art. 248.2 del Código Penal como una modalidad agravada de la estafa básica. Se comete mediante la manipulación informática o artificio semejante para transferir activos patrimoniales sin el consentimiento real del titular.

Casos más habituales en España en 2024-2025:

  • Phishing: correo o SMS simulando ser el banco para robar credenciales.
  • Vishing: llamada telefónica suplantando al servicio de fraude del banco.
  • SIM swapping: duplicado de la SIM para interceptar los SMS de doble factor.
  • BEC (Business Email Compromise): modificación de datos bancarios en facturas de proveedores.
  • Inversiones fraudulentas: plataformas falsas de trading o criptomonedas.
  • Romance scam: suplantación de identidad en relaciones sentimentales online para obtener transferencias.

Penas del Art. 248.2 CP

CuantíaPena
> 400 €Prisión 6 meses – 3 años
> 50.000 € o especial gravedadPrisión 1 – 6 años
Organización criminalHasta 9 años

El delito es perseguible de oficio (no requiere que la víctima denuncie para que el fiscal actúe, aunque en la práctica la denuncia de la víctima es fundamental para iniciar la investigación).

Primeros pasos tras una estafa online: las 24 horas críticas

1. Bloquea inmediatamente

Llama a tu banco y solicita el bloqueo inmediato de la cuenta y la cancelación de cualquier transferencia pendiente. Si la transferencia ha salido, el banco puede intentar una devolución urgente (recall) con el banco receptor, que tiene más posibilidades de éxito en las primeras horas.

2. Guarda todas las evidencias

Antes de tocar nada, haz capturas de pantalla de:

  • Los mensajes recibidos (SMS, correos, WhatsApp, redes sociales).
  • La app del banco mostrando el movimiento.
  • La web o perfil desde el que contactaron.
  • Cualquier contrato o comprobante de "inversión".

3. Denuncia ante la Policía o Guardia Civil

Puedes denunciar:

  • Online: en la web de la Policía Nacional (para estafas online, delitos telemáticos).
  • Presencialmente: en cualquier comisaría o cuartelillo de la Guardia Civil.
  • Brigada de Investigación Tecnológica (BIT): especializada en ciberdelitos.

Incluye en la denuncia: descripción de los hechos, número de cuenta de destino, capturas de pantalla, movimientos bancarios y cualquier dato del presunto estafador.

¿El banco tiene que devolver el dinero?

Esta es la pregunta más importante para las víctimas. La respuesta depende del tipo de fraude:

Responsabilidad del banco en operaciones no autorizadas

La Directiva (UE) 2015/2366 (PSD2), transpuesta en España por el RDL 19/2018, establece que el proveedor de servicios de pago (el banco) es responsable por defecto de las operaciones de pago no autorizadas (Art. 45 RDL 19/2018). La víctima tiene derecho a la devolución inmediata del importe salvo que:

  1. La víctima actuó con negligencia grave o fraude.

  2. La víctima no notificó al banco sin dilación indebida.

La clave jurídica: el estándar de "negligencia grave" que el banco debe probar es alto. Que alguien haya respondido a un SMS de phishing o dado su OTP a alguien que fingía ser del banco no es automáticamente negligencia grave según la jurisprudencia más reciente del Banco de España y los tribunales.

Jurisprudencia relevante 2023-2025

  • STS (Sala 1ª) 2024: el banco no puede limitarse a alegar que el cliente "autorizó" la operación si el consentimiento se obtuvo mediante engaño. La operación no está "autorizada" en el sentido de la PSD2 si el consentimiento fue viciado.
  • TERC (Tribunal Económico-administrativo Regional de Cataluña) 2024: el banco debe responder cuando el SIM swapping fue posible por deficiencias en los controles de autenticación reforzada.
  • AP Madrid/AP Barcelona 2024: múltiples resoluciones condenan a bancos a devolver importes de phishing cuando el sistema de verificación por SMS era el único factor de autenticación y el banco conocía la vulnerabilidad.

Reclamación ante el Banco de España (Servicio de Reclamaciones)

Si el banco rechaza la devolución, puedes reclamar ante el Departamento de Conducta de Entidades del Banco de España (anterior Servicio de Reclamaciones). Requisitos:

  • Agotar la vía de reclamación interna del banco (plazo máximo del banco: 15 días hábiles, o 35 días para pagos complejos).
  • Presentar la reclamación en el plazo de 6 años desde el incidente.
  • La resolución del Banco de España no es vinculante para la entidad, pero tiene valor en un posterior juicio y genera un expediente oficial.

Estadística 2024: el Banco de España resuelve a favor del cliente en aproximadamente el 60% de los casos de fraude en pagos digitales en que hay pronunciamiento.

Vía civil: demanda contra el banco

Si el Banco de España resuelve a favor del banco o si quieres forzar la devolución judicialmente:

  • Tribunales de Instancia: acción de responsabilidad contractual (Art. 1101 CC) por incumplimiento de las obligaciones de seguridad de la PSD2.
  • Prescripción: 5 años (Art. 1964.2 CC) desde la operación.
  • Cuantía: si es inferior a 2.000 € → juicio verbal sin abogado ni procurador. 2.000-6.000 € → verbal con postulación. Más de 6.000 € → ordinario.

Estafas de inversión: criptomonedas y plataformas falsas

Las estafas de inversión online (plataformas de trading falsas, brokers fraudulentos, criptomonedas) son más difíciles de recuperar porque:

  • El dinero suele salir a cuentas en el extranjero y convertirse en cripto.
  • El "broker" desaparece.
  • No hay banco responsable directo.

La acción principal es penal (denuncia + querella). La recuperación patrimonial depende de que la policía trace los fondos y se incauten. En la UE, la cooperación judicial (Eurojust, Euro 808, Europol) mejora cada año pero la tasa de recuperación sigue siendo baja (~10-20%).

Señal de alerta: cualquier plataforma que promete rentabilidades garantizadas superiores al 10% anual, que presiona para invertir más para "desbloquear" los fondos ya depositados, o que pide enviar criptomonedas a una wallet, es altísimamente probable que sea una estafa.

Preguntas frecuentes

¿Puedo reclamar si yo mismo hice la transferencia bajo engaño?

Sí. Que la víctima haya ejecutado físicamente la transferencia no exime al estafador de responsabilidad penal (el engaño que vicia el consentimiento es el elemento central del delito). Para la reclamación civil al banco, el análisis es más matizado: depende de si el banco cumplió con sus obligaciones de autenticación reforzada (SCA; Strong Customer Authentication) bajo PSD2.

¿El seguro del hogar cubre las estafas online?

Algunos seguros del hogar incluyen cobertura de "delitos informáticos" o "fraude online" en pólizas multirriesgo. Revisa las condiciones particulares de tu póliza. La cobertura suele estar limitada a 1.000-3.000 € y excluye inversiones.

Lexiel ayuda a los abogados penalistas y a los afectados a estructurar la denuncia por estafa informática, analizar la responsabilidad del banco bajo la PSD2 y preparar la reclamación ante el Banco de España o la demanda civil.

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.