Fraude Bancario Online y Normativa DORA 2026: Guía Completa
Todo lo que necesitas saber sobre fraude bancario online en España: tipos de fraude, cómo te protege DORA, tus derechos como consumidor y qué hacer si eres víctima.
📌 Nota informativa: Esta guía tiene fines educativos. La información legal y normativa puede estar sujeta a actualizaciones. Ante una situación de fraude, contacta con tu banco de inmediato y con las autoridades competentes (Policía Nacional, Guardia Civil o INCIBE). Para asesoramiento legal, consulta a un profesional.
El fraude bancario online es una de las amenazas financieras más extendidas en España. Según datos del Banco de España y el INCIBE, los intentos de fraude bancario han crecido significativamente en los últimos años, con técnicas cada vez más sofisticadas que combinan ingeniería social, suplantación de identidad y manipulación psicológica.
La buena noticia es que en 2026 el marco normativo europeo ha evolucionado considerablemente para proteger mejor al consumidor: la normativa DORA obliga a las entidades financieras a ser más resilientes y seguras, y la PSD2 establece derechos claros para la devolución de fondos en operaciones no autorizadas.
Los Tipos de Fraude Bancario Online Más Frecuentes en España (2026)
Phishing (por email)
Email que simula ser de tu banco, Hacienda o empresa conocida. Te dirige a una web falsa donde introduces tus datos bancarios. El dominio del remitente es ligeramente diferente al oficial.
Smishing (por SMS)
SMS que suplanta a tu banco alertando de un cargo sospechoso o bloqueo de cuenta. Incluye un enlace a web fraudulenta. El SMS puede aparecer en el mismo hilo que mensajes legítimos de tu banco.
Vishing (por llamada)
Llamada de un supuesto operador de tu banco alertándote de actividad fraudulenta. Te solicitan datos de verificación, contraseña o código OTP. El número mostrado puede estar manipulado (spoofing).
Suplantación de identidad (Account Takeover)
El delincuente obtiene tus credenciales (por phishing, fuga de datos o malware) y accede a tu banca online para realizar transferencias o cambiar datos de contacto.
Fraude con tarjeta (Card Not Present)
Uso fraudulento de los datos de tu tarjeta para compras online, sin necesitar la tarjeta física. Los datos pueden obtenerse por skimming, phishing o compra en mercados negros.
Fraude del CEO / Business Email Compromise
Suplantación del director de una empresa para solicitar transferencias urgentes a empleados con acceso a cuentas. Muy frecuente en PYMES y autónomos.
Qué es el Reglamento DORA y Qué Cambia para Ti
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es la normativa europea de ciberseguridad para el sector financiero. Entró en vigor en enero de 2025 y establece los siguientes pilares:
Gestión del riesgo tecnológico (ICT Risk Management)
Los bancos y entidades financieras deben implementar marcos formales de gestión del riesgo tecnológico, con responsabilidad del órgano de administración.
Notificación de incidentes graves
Las entidades deben notificar a los reguladores (Banco de España, CNMV) los incidentes de ciberseguridad graves en plazos estrictos. Esto mejora la respuesta coordinada ante ataques sistémicos.
Pruebas de resiliencia operativa
Las entidades más importantes deben someterse a "pruebas de penetración guiadas por inteligencia de amenazas" (TLPT) periódicas para verificar su resistencia a ciberataques.
Gestión del riesgo de terceros
Los proveedores tecnológicos críticos de entidades financieras (cloud, software bancario) quedan también bajo supervisión regulatoria. Reduce el riesgo de ataques de cadena de suministro.
¿Qué significa para el consumidor? DORA no establece derechos directos para el usuario, pero sí aumenta la responsabilidad de las entidades financieras en la protección de sus sistemas y datos. Indiréctamente, significa mejor seguridad en los servicios bancarios online que usas.
PSD2 y Autenticación Reforzada (SCA): Tu Protección en Pagos Online
La Directiva PSD2 (transpuesta en España como Real Decreto-ley 19/2018) establece la Autenticación Reforzada del Cliente (SCA) para todos los pagos electrónicos superiores a 30€. La SCA exige al menos dos de estos tres factores:
- Algo que sabes: contraseña, PIN.
- Algo que tienes: código OTP por SMS o app, token físico.
- Algo que eres: biometría (huella, reconocimiento facial).
La SCA es la razón por la que cada vez que haces una compra online importante, tu banco te pide confirmar por la app o por SMS. Esta capa adicional de seguridad reduce significativamente el fraude en pagos con tarjeta.
NUNCA compartas tu código OTP: Los bancos nunca te pedirán que les digas el código OTP que te envían por SMS o que generan en su app. Si alguien (incluso alguien que dice ser de tu banco) te solicita ese código, se trata de un intento de fraude. Cuelga inmediatamente y llama al número oficial de tu banco.
Tus Derechos como Consumidor ante el Fraude Bancario
📌 Derecho a devolución inmediata
Bajo la PSD2, si notificas un cargo no autorizado, el banco está obligado a devolver el importe de forma inmediata (máximo hasta el día hábil siguiente). Solo puede retener la devolución si tiene indicios razonables de fraude por parte del usuario.
📌 Responsabilidad limitada del usuario
Tu responsabilidad como usuario por operaciones no autorizadas está limitada a 50€ si el fraude se debe a extravío o robo de la tarjeta (pero no por phishing o brecha del banco). Si el fraude es consecuencia de un fallo de seguridad de la entidad, tu responsabilidad puede ser cero.
📌 Plazo de reclamación: 13 meses
Tienes hasta 13 meses desde la fecha del cargo no autorizado para notificarlo al banco y reclamar la devolución. Aunque lo antes posible es siempre mejor: actúa el mismo día si descubres el fraude.
📌 Derecho a reclamación ante el Banco de España
Si el banco no atiende favorablemente tu reclamación, puedes presentar queja ante el Banco de España (Departamento de Conducta de Mercado y Reclamaciones). El proceso es gratuito y accesible online.
Qué Hacer Si Eres Víctima de Fraude Bancario
Bloquea la tarjeta y la cuenta
Desde la app de tu banco, bloquea la tarjeta y si es necesario la cuenta. Llama al número de emergencias de tu banco (24h). El tiempo es crítico para limitar el daño.
Notifica el fraude al banco por escrito
Envía una comunicación formal al banco (email, formulario en banca online, escrito en sucursal) indicando las operaciones no autorizadas, importes y fechas. Guarda copia de todo.
Denuncia ante la Policía o Guardia Civil
Presenta denuncia por fraude informático. Puedes hacerlo online (en el sitio web oficial de la Policía Nacional o Guardia Civil). El número del atestado servirá de respaldo en las reclamaciones.
Notifica al INCIBE si es ciberataque
Si sospechas que tus dispositivos están comprometidos o que eres víctima de phishing, contacta con el INCIBE (Instituto Nacional de Ciberseguridad) a través del teléfono 017 o su web.
Cómo Reclamar al Banco si No Te Devuelven el Dinero
Si el banco rechaza tu reclamación o no responde en el plazo legal (15 días hábiles para reclamaciones ordinarias, 5 días para operaciones de pago), tienes las siguientes vías:
- Servicio de Atención al Cliente del banco: Primera instancia. Exige respuesta escrita.
- Defensor del Cliente del banco: Segunda instancia interna; algunos bancos tienen esta figura con mayor autonomía.
- Banco de España (DCMR): Presentación online gratuita en el portal del Banco de España. La resolución no es vinculante pero tiene alto peso para las entidades.
- Reclamación judicial: Para importes elevados o cuando las vías anteriores no prosperan. Considera la consulta con un abogado especializado en derecho bancario.
Para más información sobre los controles que ejerce Hacienda sobre los movimientos bancarios, consulta nuestra guía sobre controles de Hacienda sobre cuentas bancarias en 2026.
Cómo Prevenir el Fraude Bancario Online: 10 Medidas Clave
Nunca compartas tu contraseña bancaria ni el código OTP con nadie, ni siquiera con quien diga ser de tu banco.
Verifica siempre el dominio antes de introducir datos bancarios: debe ser exactamente el del banco oficial (ej. www.caixabank.es, no caixabank-alerta.com).
Activa las alertas SMS/push de tu banco para todos los cargos en tarjeta y transferencias. Detectarás fraudes en segundos.
Usa contraseñas únicas y robustas en la banca online. Considera un gestor de contraseñas.
Activa la autenticación en dos pasos (2FA) en todas las cuentas donde esté disponible.
No uses redes WiFi públicas para acceder a la banca online. Usa datos móviles o VPN.
Mantén el sistema operativo y las apps bancarias siempre actualizadas. Las actualizaciones incluyen parches de seguridad.
Revisa periódicamente el extracto bancario. Cuanto antes detectes un cargo fraudulento, mejor.
Desconfía de llamadas no solicitadas que digan ser de tu banco, especialmente si piden datos o urgencia.
En caso de duda sobre si una comunicación es legítima, cuelga y llama tú al número oficial del banco (el que viene en la tarjeta o en la web oficial).
Fraude en Neobancos: Puntos Diferenciales
Los neobancos como Revolut, N26 o Trade Republic también están sujetos a normativa de seguridad (PSD2, DORA) y tienen obligaciones similares a los bancos tradicionales. Sin embargo, hay aspectos a tener en cuenta:
- La atención al cliente en caso de fraude suele ser exclusivamente online (chat, email), sin posibilidad de ir a una sucursal física.
- Los tiempos de respuesta en incidentes pueden ser más variables que en banca tradicional.
- La app bancaria es la única herramienta para bloquear la tarjeta y gestionar el fraude: tenerla actualizada y accesible es crítico.
Para entender mejor los riesgos específicos de los neobancos, consulta nuestra guía sobre problemas con neobancos sin IBAN español.
Preguntas Frecuentes
¿Qué es el Reglamento DORA y cómo me protege?
DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) obliga a las entidades financieras a implementar estándares mínimos de ciberseguridad y resiliencia tecnológica. Indirectamente mejora la seguridad de los servicios bancarios online que usas.
¿Puedo recuperar el dinero de un cargo no autorizado?
Sí, en la mayoría de los casos. Bajo la PSD2, el banco debe devolverte los fondos de forma inmediata ante una operación no autorizada. Notifícalo lo antes posible y por escrito. Si el banco se niega, reclama ante el Banco de España.
¿Qué es el phishing y cómo reconocerlo?
El phishing suplanta entidades de confianza (banco, Hacienda) por email, SMS o llamada para robar datos. Señales: urgencia, dominio del remitente extraño, solicitud de contraseñas u OTP. Ningún banco te pedirá tu contraseña completa ni tu OTP por email o teléfono.
¿Cómo denunciar un fraude bancario en España?
Notifica al banco inmediatamente, bloquea la tarjeta. Denuncia online en el sitio oficial de la Policía Nacional o Guardia Civil. Si el banco no devuelve el dinero, reclama ante el Banco de España (DCMR). Contacta con INCIBE (017) si sospechas de ciberataque.
¿Qué diferencia hay entre PSD2 y DORA?
PSD2 regula los pagos electrónicos y establece derechos de devolución por operaciones no autorizadas. DORA regula la ciberseguridad y resiliencia operativa de las entidades financieras. Son complementarias.