Abogado phising

Estafa por SMS falso de BBVA: cómo recuperar tu dinero

Recibes un SMS que aparece dentro del mismo hilo de mensajes de BBVA: "Se ha detectado un acceso no autorizado en tu cuenta". Pulsas el enlace, introduces tus claves y, minutos después, te llama alguien que dice ser del departamento de seguridad de BBVA. Te pide el código que acabas de recibir para "bloquear la operación". Cuelgas y tu cuenta está vacía.

Si te ha pasado algo parecido, lo primero: no es culpa tuya y no estás solo. Estas estafas están diseñadas por profesionales para engañar a cualquiera. Y lo segundo, lo más importante: en la mayoría de casos el banco tiene que devolverte el dinero. Te explicamos por qué y qué tienes que hacer.

¿Qué es el smishing y el vishing que suplantan a BBVA?

El smishing es la estafa por SMS: el delincuente envía un mensaje que parece de BBVA y que, gracias a la suplantación del remitente (SMS spoofing), se cuela en el mismo hilo de los mensajes legítimos del banco.

El vishing es su hermano por teléfono: una llamada en la que alguien se hace pasar por el servicio de seguridad de BBVA. Cada vez se combinan: primero el SMS con un enlace a una web falsa que copia la de BBVA, donde introduces tus datos; después la llamada en la que te sonsacan el código de un solo uso. El propio BBVA ha alertado de estas campañas en su web.

El vishing creció un 442% en España durante 2025. La clave jurídica es esta: aunque facilites datos engañado, el ordenamiento protege al cliente, porque la ley parte de que la seguridad del canal es responsabilidad del banco.

¿Tiene BBVA que devolverme el dinero del fraude?

Sí, como regla general. El art. 45.1 del Real Decreto-ley 19/2018 (que traspone la directiva europea PSD2) obliga al banco a devolver de inmediato el importe de una operación no autorizada. La normativa impone a las entidades una responsabilidad cuasi objetiva: ante una operación que el cliente no autorizó, el banco reembolsa, salvo que demuestre fraude o negligencia grave del usuario. Y ese "salvo que demuestre" es decisivo, porque la carga de la prueba recae sobre el banco, no sobre ti. No tienes que probar que eres una víctima: es BBVA quien debe probar que tú hiciste algo gravemente negligente. El simple registro de que se usaron tus claves no basta para acreditarlo.

Di yo los códigos al estafador. ¿Eso es negligencia grave?

Es la pregunta que más angustia genera, y la respuesta es tranquilizadora: facilitar datos o códigos bajo un engaño sofisticado no equivale automáticamente a negligencia grave. Los tribunales interpretan la negligencia grave de forma muy restrictiva. Que un delincuente, suplantando el número y la web del banco, te induzca a error mediante una puesta en escena creíble no significa que hayas actuado de forma temeraria.

El Tribunal Supremo ha dejado claro que el banco no puede limitarse a decir "se usaron sus claves correctamente". Debe acreditar que tú actuaste con negligencia grave, y además que sus propios sistemas de seguridad funcionaron y reaccionaron ante señales de fraude evidentes, como transferencias inusuales. Si el banco no detuvo movimientos anómalos, hubo una deficiente prestación del servicio, y eso refuerza tu reclamación.

¿Qué dicen los tribunales? Casos reales contra los bancos

La jurisprudencia es claramente favorable a las víctimas. La STS 571/2025, de 9 de abril de 2025, desestimó el recurso de Ibercaja y confirmó que el banco debía devolver 56.474,63 € defraudados en un ataque combinado de suplantación y duplicación de SIM. El Supremo afirma que el banco debe actuar como un "ordenado comerciante", con diligencia elevada, y que la carga de la prueba sobre la autorización y el correcto funcionamiento del sistema le corresponde a él.

Contra BBVA en concreto también hay condenas: el Juzgado de Primera Instancia nº 7 de Salamanca condenó a BBVA a indemnizar con 9.900 € a una clienta víctima de phishing, y la sentencia 107/2025, de marzo de 2025, obligó a BBVA a reembolsar 5.000 € más intereses y costas. En nuestro propio despacho hemos logrado condenas como la del BBVA por ciberfraude a empresas (52.000 €) o la del Deutsche Bank por phishing (28.350 € recuperados).

MétodoCómo te engañanQué puedes reclamar
Smishing (SMS)SMS falso de "BBVA" con enlace a web fraudulentaDevolución íntegra del importe + intereses
Vishing (llamada)Llamada del falso "servicio de seguridad" que pide tus códigosDevolución íntegra del importe + intereses
Ataque combinadoSMS + web falsa + llamada para obtener el código OTPDevolución + posible indemnización por daños

¿Qué hacer si has caído en la estafa?

Actúa rápido y, sobre todo, guarda todas las pruebas. Estos son los pasos:

  1. Cambia de inmediato tus claves de acceso y avisa al banco para bloquear la cuenta y las tarjetas.
  2. Reclama por escrito al Servicio de Atención al Cliente de BBVA solicitando la devolución del importe.
  3. Denuncia los hechos ante la Policía Nacional o la Guardia Civil.
  4. Conserva toda la documentación: capturas del SMS, registro de llamadas, justificantes de los movimientos.
  5. Si el banco rechaza o ignora tu reclamación, acude a la vía judicial con un abogado especializado.

Documentación que conviene guardar desde el primer momento

  • Capturas de pantalla del SMS o del correo fraudulento (con fecha y remitente visibles).
  • Registro de las llamadas recibidas y números desde los que te contactaron.
  • Justificantes y extractos de los movimientos no autorizados.
  • Copia de la denuncia y de la reclamación presentada al banco.

¿Cómo puede ayudarte Advocats Ferrer?

En Advocats Ferrer, abogados especialistas en reclamaciones bancarias, llevamos años recuperando el dinero de víctimas de fraude bancario, y por ello La Vanguardia nos citó en mayo de 2026 como referencia en reclamaciones de phishing.

Conocemos cómo se defienden los bancos y cómo desmontar su argumento de la "negligencia grave". Estudiamos tu caso sin coste inicial: analizamos gratis tu situación y te decimos con franqueza si tienes posibilidades de recuperar el dinero. Puedes ver más casos en nuestra página de phishing y ciberfraude. Llámanos al 93 727 59 65 o escríbenos por WhatsApp al +34 663 311 678.

Preguntas frecuentes sobre las estafas por SMS

¿Cuánto tiempo tengo para reclamar?

Conviene reclamar lo antes posible, pero no esperes: comunica la operación no autorizada al banco en cuanto la detectes. La acción para reclamar judicialmente dispone de plazos amplios; un abogado valorará tu caso concreto.

¿Tengo que denunciar para reclamar al banco?

La denuncia ayuda y es recomendable, pero la obligación de devolución del banco nace de la normativa de servicios de pago, no de que exista o no condena penal contra el estafador.

¿Y si BBVA ya me ha dicho que no?

Es lo habitual en primera instancia: los bancos suelen rechazar la reclamación inicial. Esa negativa no cierra la puerta; la mayoría de casos se ganan después por vía judicial.

¿Cuánto cuesta reclamar con un abogado?

El primer análisis es gratuito y sin compromiso. Te explicamos las condiciones antes de iniciar nada.

crossmenu