Deja un comentario / Uncategorized / Por
Normativa PSD2: Qué es y cómo te protege si has sido víctima de una estafa bancaria
⚖️ Derecho Bancario · PSD2

Normativa PSD2: qué es y cómo te protege si has sido víctima de una estafa bancaria

Si tu banco se niega a devolverte el dinero tras un phishing, smishing o transferencia no autorizada, existe una normativa europea que obliga a las entidades financieras a responder. Se llama PSD2 y puede ser tu mejor aliada para recuperar lo que te han robado.

📅 Actualizado: marzo 2026 ⏱ 12 min de lectura ✍️ Equipo jurídico de ReclamacionesPhishing.com

1. ¿Qué es la normativa PSD2?

La PSD2 (Payment Services Directive 2, o Directiva de Servicios de Pago 2) es una directiva de la Unión Europea aprobada en 2015 y transpuesta al ordenamiento jurídico español mediante el Real Decreto-ley 19/2018. Su objetivo principal es modernizar el sistema de pagos europeo, fomentar la competencia entre entidades financieras y, sobre todo, reforzar la protección del consumidor frente a operaciones no autorizadas.

Antes de la PSD2, recuperar el dinero robado a través de phishing o smishing era una batalla prácticamente perdida para el ciudadano. Los bancos podían alegar cualquier tipo de negligencia por parte del cliente y desentenderse de la situación. La PSD2 cambia radicalmente ese escenario: invierte la carga de la prueba y coloca la responsabilidad sobre el banco, que es quien tiene la obligación de demostrar que el fraude se produjo por una negligencia grave del usuario.

¿Cuáles son los tres pilares de la PSD2?

  • Autenticación Reforzada del Cliente (SCA): los bancos están obligados a aplicar al menos dos factores de autenticación independientes (algo que sabes, algo que tienes, algo que eres) en cada transacción electrónica.
  • Open Banking: las entidades deben permitir el acceso a cuentas de clientes a proveedores de servicios de pago autorizados, con el consentimiento del usuario.
  • Protección frente a operaciones no autorizadas: en caso de fraude o transacción no consentida, el banco debe reembolsar el importe íntegro en un plazo máximo de un día hábil, salvo que demuestre negligencia grave del cliente.

💡 Clave para tu reclamación: la PSD2 no solo establece que el banco debe devolverte el dinero. Establece que debe hacerlo de forma inmediata y sin esperar a que se complete la investigación, salvo que tenga pruebas sólidas de que actuaste con negligencia grave o fraude propio.

¿Tu banco se niega a devolverte el dinero tras una estafa?

La PSD2 está de tu parte. Nuestros abogados especializados analizan tu caso de forma gratuita y sin compromiso. Solo actuamos si hay garantías reales de éxito.

Analiza tu caso gratis →

2. Cómo se aplica la PSD2 en España

En España, la PSD2 se incorporó al derecho nacional a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. Esta norma es de obligado cumplimiento para todas las entidades que prestan servicios de pago en territorio español: bancos, cajas de ahorros, entidades de crédito, entidades de pago y entidades de dinero electrónico.

El Banco de España es el organismo supervisor encargado de velar por el cumplimiento de esta normativa. Además, el Servicio de Reclamaciones del Banco de España es la vía administrativa previa obligatoria antes de acudir a la vía judicial en muchas de estas disputas.

Artículos clave del RDL 19/2018 que debes conocer

Artículo Contenido Relevancia para el afectado
Art. 36 Autenticación Reforzada del Cliente (SCA) Si el banco no aplicó SCA correctamente, tiene responsabilidad directa
Art. 45 Responsabilidad del proveedor en operaciones no autorizadas El banco debe reembolsar el importe íntegro de forma inmediata
Art. 46 Excepciones por negligencia grave o fraude del usuario El banco debe probar la negligencia, no el cliente
Art. 47 Responsabilidad del usuario en operaciones no autorizadas La franquicia máxima del usuario es de 50€ salvo negligencia grave
Art. 48 Notificación de operaciones no autorizadas Debes notificar al banco en cuanto detectes el fraude

3. ¿Cómo te protege la PSD2 si has sufrido una estafa?

La PSD2 establece un principio fundamental que muchos ciudadanos desconocen: toda operación de pago que no haya sido autorizada expresamente por el titular de la cuenta debe ser reembolsada por el banco. Esto es especialmente relevante en casos de:

  • Phishing (suplantación de identidad del banco por correo electrónico)
  • Smishing (fraude mediante SMS que imita comunicaciones bancarias)
  • Vishing (llamadas telefónicas fraudulentas que se hacen pasar por el banco)
  • Malware que captura credenciales bancarias
  • Transferencias realizadas por terceros sin el consentimiento real del titular

El concepto de «operación no autorizada» según la PSD2

Una operación se considera no autorizada cuando el usuario no ha dado su consentimiento real, informado y libre para ejecutarla. El hecho de que el usuario haya introducido credenciales bajo engaño, presión psicológica o manipulación no convierte automáticamente esa operación en «autorizada». Los tribunales españoles han comenzado a reconocer que el consentimiento obtenido mediante engaño es un consentimiento viciado, y por tanto la operación debe tratarse como no autorizada a efectos de la PSD2.

⚖️ Sentencia clave: el Tribunal Supremo y numerosas Audiencias Provinciales han establecido que cuando el engaño es sofisticado y habría podido afectar a un usuario medio diligente, no puede hablarse de negligencia grave del cliente. En estos casos, la responsabilidad recae íntegramente sobre el banco.

¿Qué debe demostrar el banco para no devolverte el dinero?

Según el artículo 45 y 46 del RDL 19/2018, para eximirse de la responsabilidad de reembolso, el banco debe acreditar mediante pruebas técnicas y objetivas que:

  • La operación fue autenticada correctamente con los mecanismos de seguridad adecuados.
  • El usuario actuó con negligencia grave, es decir, con un descuido que va más allá del comportamiento de un usuario medio.
  • El usuario actuó de forma fraudulenta o con dolo.

Si el banco no puede acreditar ninguno de estos extremos, la devolución es obligatoria. El mero hecho de que las credenciales del cliente fueran usadas no es prueba suficiente de negligencia grave.

4. El argumento de la «negligencia grave»: el escudo favorito de los bancos

Cuando un cliente reclama la devolución de dinero robado, la primera respuesta del banco suele ser siempre la misma: alegan que el cliente actuó con negligencia grave al facilitar sus credenciales, y que por tanto no tienen obligación de devolver el dinero. Este argumento, aunque frecuente, no es automáticamente válido.

¿Qué se considera negligencia grave según los tribunales?

Los tribunales españoles han ido perfilando un concepto de negligencia grave que resulta mucho más restrictivo de lo que los bancos pretenden. Para que exista negligencia grave se requiere una conducta del usuario que se aparte de forma sustancial del comportamiento que habría tenido un ciudadano medio y diligente en las mismas circunstancias.

No es negligencia grave:

  • Creer un SMS que imita perfectamente la comunicación oficial del banco (mismo número, mismo formato).
  • Responder a un correo con logotipos, diseño y dominio casi idéntico al del banco.
  • Atender una llamada de quien dice ser del servicio antifraude del banco y solicita datos de verificación.
  • Introducir credenciales en una web que visualmente replica a la perfección la web oficial.

Sí puede considerarse negligencia grave:

  • Compartir contraseñas con terceros de forma voluntaria y consciente.
  • Ignorar advertencias explícitas del propio banco sobre operaciones sospechosas.
  • Utilizar contraseñas extremadamente débiles o no actualizar credenciales tras ser alertado de una brecha.

🔑 Lo fundamental: la carga de probar la negligencia grave corresponde al banco, no al cliente. Si el banco no puede demostrarlo de forma fehaciente, tú tienes derecho a la devolución íntegra.

¿Tu banco alega que fuiste negligente?

Es el argumento más común, pero raramente válido. Nuestros abogados especializados en PSD2 pueden rebatirlo con argumentos jurídicos sólidos y jurisprudencia reciente.

Consulta tu caso ahora →

5. ¿Cuándo está obligado el banco a devolverte el dinero?

El artículo 45 del RDL 19/2018 establece una obligación clara: cuando el cliente notifica una operación no autorizada, el banco debe proceder al reembolso inmediato del importe, a más tardar al final del siguiente día hábil. Esta obligación existe incluso mientras se investiga el fraude.

Situación ¿Banco obligado a devolver? Fundamento legal
Phishing sofisticado que engañaría a un usuario medio ✓ Sí Art. 45 RDL 19/2018 + jurisprudencia
Smishing con SMS que imita al banco ✓ Sí Art. 45 RDL 19/2018
Vishing (llamada haciéndose pasar por el banco) ✓ Sí Art. 45 + negligencia no probada
Transferencia realizada por el cliente bajo engaño ⚠ Depende del caso Análisis pericial del engaño
El banco no aplicó autenticación reforzada (SCA) ✓ Sí, responsabilidad total Art. 36 + Art. 45 RDL 19/2018
El cliente compartió voluntariamente sus claves ✗ No (salvo matices) Art. 46 RDL 19/2018

6. Tipos de fraude cubiertos por la PSD2

Phishing bancario

El phishing bancario consiste en el envío masivo de correos electrónicos que imitan la comunicación oficial de una entidad financiera. Estos mensajes suelen redirigir al usuario a una página web fraudulenta, visualmente idéntica a la del banco, donde se le solicitan sus credenciales de acceso. Una vez obtenidas, los delincuentes acceden a la cuenta y realizan transferencias no autorizadas.

La PSD2 protege al afectado porque, en la mayoría de los casos, el banco no aplicó correctamente la autenticación reforzada o no detectó el acceso anómalo desde una IP desconocida, lo que abre la vía para la reclamación.

Smishing

El smishing es la versión del phishing realizada a través de SMS. Los delincuentes envían mensajes de texto que aparecen, gracias a la técnica del SMS spoofing, en el mismo hilo de conversación que los mensajes legítimos del banco. El usuario, confiado, sigue el enlace y facilita sus datos. Este tipo de fraude es especialmente difícil de detectar incluso para usuarios avanzados.

Los tribunales han sido especialmente contundentes en estos casos: si el SMS aparece en el hilo oficial del banco, no puede exigirse al cliente que desconfíe de él. La responsabilidad recae sobre el banco.

Vishing

El vishing consiste en llamadas telefónicas en las que el delincuente se hace pasar por un empleado del banco, normalmente del servicio de seguridad o antifraude. Informan al cliente de un supuesto acceso no autorizado y le solicitan que valide una operación o proporcione un código OTP para «cancelar» la transacción fraudulenta. En realidad, ese código autoriza la transferencia de fondos a la cuenta del estafador.

Malware y troyanos bancarios

Existen sofisticados programas maliciosos diseñados específicamente para interceptar sesiones bancarias. Estos troyanos pueden modificar en tiempo real las páginas web del banco que ve el usuario, inyectar campos adicionales o redirigir transferencias sin que el cliente lo perciba. En estos casos, la responsabilidad del banco es especialmente clara, ya que los sistemas de seguridad deberían haber detectado comportamientos anómalos.

7. Pasos para reclamar tu dinero al banco con la PSD2

Si has sido víctima de una estafa bancaria y tu banco se niega a devolverte el dinero, este es el proceso que debes seguir para reclamar amparado en la normativa PSD2:

1

Notifica el fraude al banco de inmediato

En cuanto detectes operaciones no autorizadas, contacta con tu banco por teléfono y por escrito (correo electrónico o burofax). Solicita el bloqueo de la cuenta y conserva toda la documentación. El artículo 48 del RDL 19/2018 exige que la notificación se realice sin demora injustificada.

2

Interpón una denuncia ante la Policía o Guardia Civil

La denuncia policial es un documento esencial para acreditar que has sido víctima de un fraude. Debe presentarse lo antes posible e incluir todos los detalles del engaño: mensajes recibidos, capturas de pantalla, importes y fechas de las transacciones.

3

Presenta reclamación formal ante el banco

Dirige un escrito formal al Servicio de Atención al Cliente de tu banco invocando expresamente los artículos 45 y 46 del RDL 19/2018. Solicita la devolución del importe íntegro y establece un plazo de respuesta. El banco tiene 15 días hábiles para responder (1 mes en casos complejos).

4

Acude al Banco de España si el banco deniega la reclamación

Si el banco deniega tu reclamación o no responde en plazo, puedes presentar una reclamación ante el Servicio de Reclamaciones del Banco de España. Aunque sus resoluciones no son vinculantes, tienen un alto valor probatorio en la vía judicial posterior.

5

Vía judicial: demanda por responsabilidad objetiva del banco

Si el banco persiste en su negativa, la vía judicial es la más efectiva. Una demanda bien fundamentada en la PSD2 y en la jurisprudencia reciente tiene altas probabilidades de éxito. Los bancos, conscientes de ello, suelen llegar a acuerdos antes del juicio oral.

¿No sabes por dónde empezar a reclamar?

Nuestro equipo te guía en cada paso del proceso. Desde la redacción de la reclamación formal hasta la demanda judicial, siempre con los mejores argumentos basados en la PSD2.

Empieza tu reclamación →

8. Plazos y prescripción de la reclamación

Uno de los errores más frecuentes que cometen las víctimas de fraude bancario es esperar demasiado tiempo antes de actuar. Aunque la normativa establece plazos generosos, cuanto antes inicies el proceso, mayores serán tus posibilidades de éxito.

Plazo para notificar al banco

El RDL 19/2018 establece que el cliente debe notificar las operaciones no autorizadas sin demora injustificada y, en todo caso, antes de que transcurran 13 meses desde la fecha del adeudo. Superar este plazo puede implicar la pérdida del derecho al reembolso basado en la PSD2.

Plazo de prescripción de la acción judicial

Las acciones para reclamar responsabilidad contractual frente al banco prescriben a los 5 años según el artículo 1964 del Código Civil. Sin embargo, es importante no confundir este plazo con el de notificación al banco previsto en la PSD2, que es sustancialmente más corto.

Consejo práctico: si has sufrido un fraude bancario, actúa cuanto antes. Notifica al banco, presenta la denuncia policial y contacta con un especialista. Cada día que pasa dificulta la recuperación de evidencias y debilita tu posición jurídica.

9. Jurisprudencia reciente a favor del consumidor

Los tribunales españoles han ido construyendo en los últimos años un cuerpo jurisprudencial sólido que protege al consumidor víctima de fraude bancario. Estas son algunas de las líneas jurisprudenciales más relevantes:

El Tribunal Supremo y la responsabilidad objetiva del banco

El Tribunal Supremo ha consolidado la doctrina de que los bancos son responsables objetivos de las operaciones no autorizadas realizadas a través de sus plataformas digitales. Esta responsabilidad objetiva implica que el banco responde por el resultado dañoso independientemente de si actuó o no con culpa, siempre que no pueda probar la negligencia grave del cliente.

Audiencias Provinciales: el smishing en el hilo oficial es siempre responsabilidad del banco

Múltiples Audiencias Provinciales, especialmente las de Madrid, Barcelona y Valencia, han establecido que cuando el SMS fraudulento aparece en el mismo hilo de mensajes que los comunicados legítimos del banco, no puede exigirse al cliente que desconfíe de él. En estos casos, la responsabilidad del banco es total e indiscutible.

La sofisticación del engaño como criterio determinante

Los tribunales han adoptado el criterio del «usuario medio diligente» para evaluar si existió negligencia grave. Si el engaño era de tal sofisticación que habría podido engañar a una persona normalmente precavida, no puede hablarse de negligencia grave del cliente, y el banco debe responder íntegramente.

📊 Dato relevante: según datos del sector legal especializado, más del 85% de los casos de phishing y smishing que llegan a la vía judicial terminan con una sentencia favorable al consumidor cuando están correctamente fundamentados en la PSD2 y en la jurisprudencia aplicable.

10. Preguntas frecuentes sobre la PSD2 y el fraude bancario

Sí. El consentimiento obtenido mediante engaño es un consentimiento viciado. Si facilitaste tus credenciales porque creíste que estabas hablando con tu banco o que estabas en la web oficial de tu banco, la operación puede considerarse no autorizada a efectos de la PSD2. Lo determinante es la sofisticación del engaño, no el acto material de introducir las claves.
Si el banco no responde en el plazo de 15 días hábiles (1 mes en casos complejos), puedes acudir directamente al Servicio de Reclamaciones del Banco de España y, paralelamente, iniciar la vía judicial. La falta de respuesta del banco en plazo puede utilizarse como argumento adicional en tu favor.
En principio, el importe íntegro de las operaciones no autorizadas. Además, puedes reclamar los intereses legales desde la fecha del fraude y, en algunos casos, los daños y perjuicios adicionales acreditados (gastos derivados del fraude, daño moral, etc.).
Para la reclamación extrajudicial ante el banco o ante el Banco de España no es obligatorio, aunque es muy recomendable para fundamentar correctamente la reclamación en la PSD2. Para la vía judicial, la representación de abogado y procurador es preceptiva. En cualquier caso, contar con un especialista desde el principio aumenta significativamente las posibilidades de éxito.
Sí. La PSD2 es de aplicación obligatoria para todas las entidades de pago que operan en la Unión Europea, lo que incluye a todos los bancos españoles: BBVA, Santander, CaixaBank, Sabadell, ING, Bankinter, Unicaja, Abanca y cualquier otra entidad autorizada.
Necesitarás: extracto bancario con las operaciones fraudulentas, capturas de pantalla de los mensajes, correos o webs fraudulentas, copia de la denuncia policial, comunicaciones con el banco (correos, cartas), y cualquier otra prueba que acredite el engaño (registro de llamadas, etc.). Cuanta más documentación aportes, más sólida será tu reclamación.

La PSD2 está de tu parte. Actúa ahora.

No dejes que tu banco te diga que no hay nada que hacer. La normativa europea te protege, la jurisprudencia está de tu lado y nuestros abogados especializados saben cómo usarla para recuperar tu dinero. Análisis gratuito y sin compromiso.

Reclamar mi dinero ahora →
Reclama tu dinero
Reclama tu dinero