Qué hacer si te clonan la tarjeta
Protocolo claro para bloquear, documentar, reclamar y escalar el caso sin perder plazos ni pruebas.
📌 Nota: El contenido de AhorraInteligente es educativo e informativo. No constituye asesoramiento financiero ni legal profesional.
Señales de que Tu Tarjeta Ha Sido Clonada
Detectar a tiempo que tu tarjeta ha sido clonada es fundamental para minimizar el daño. Cuanto antes actúes, más probabilidades tienes de recuperar el dinero y de que el banco limite la extensión del fraude.
Indicios más habituales
- Cargos desconocidos en el extracto, especialmente en comercios de otras ciudades o países donde no has estado recientemente.
- Pequeñas cantidades de prueba (entre 1 y 5€) en comercios desconocidos: los defraudadores suelen verificar que la tarjeta funciona con microtransacciones antes de realizar cargos mayores.
- Notificaciones push de operaciones que no has realizado tú.
- La tarjeta es rechazada por "límite superado" en un momento en que sabes que no has agotado tu saldo o crédito disponible.
- Retiradas de efectivo en cajeros en ubicaciones donde tú no has estado.
Diferencia entre clonación y otros tipos de fraude
No todos los cargos no autorizados provienen de una clonación física. Las formas más frecuentes de fraude con tarjeta son:
- Clonación física (skimming): alguien copió los datos de la banda magnética o el chip de tu tarjeta física mediante un dispositivo instalado en un cajero automático o un datáfono manipulado.
- Phishing o smishing: fuiste engañado para proporcionar los datos de tu tarjeta (número, CVV, fecha de caducidad) a través de un correo electrónico, SMS o página web falsa.
- Filtración de base de datos: los datos de tu tarjeta fueron robados de una tienda online o servicio en el que la tenías guardada.
Esta distinción importa a efectos de la reclamación, como veremos más adelante. En el caso de la clonación física, la responsabilidad del usuario es mínima. En el caso del phishing, el banco puede intentar alegar que el usuario "autorizó" la operación.
⚠️ Acción inmediata: Si detectas cargos no reconocidos, no esperes a entender qué pasó. Bloquea la tarjeta primero y averigua después. Cada minuto que pasa puede suponer nuevos cargos fraudulentos.
Primeros Pasos Inmediatos (Primeras 24 Horas)
Las primeras horas tras detectar el fraude son las más críticas. Este es el protocolo de actuación recomendado:
Paso 1 — Bloquea la Tarjeta de Inmediato
El bloqueo de la tarjeta detiene cualquier nuevo cargo desde ese momento. Tienes varias opciones para hacerlo, ordenadas de más a menos rápida:
- App móvil del banco: la mayoría de apps permiten bloquear la tarjeta en 2-3 toques desde la sección de tarjetas. Es la opción más rápida.
- Banca online (web): si no tienes la app, accede desde el navegador a tu banca online.
- Teléfono de atención al cliente 24h: todos los bancos tienen una línea de emergencias disponible las 24 horas. Busca el número en el reverso de la tarjeta o en la web del banco.
Considera si hacer un bloqueo temporal (si no estás seguro de si es fraude o un error) o solicitar directamente la cancelación y sustitución (si tienes certeza del fraude).
Anota la hora exacta en que realizaste el bloqueo: este dato es relevante para determinar cuál es tu responsabilidad sobre los cargos previos al bloqueo.
Paso 2 — Documenta los Cargos No Autorizados
Antes de llamar al banco o presentar la denuncia, recopila toda la evidencia disponible:
- Imprime o guarda capturas de pantalla del extracto bancario mostrando todos los cargos no reconocidos.
- Elabora una tabla con cada cargo fraudulento:
| Fecha | Comercio / Descripción | Importe | ¿Reconocido? |
|---|---|---|---|
| Ejemplo: 12/03/2026 | AMAZON ES*1A2B3C Madrid | 2,99€ | No |
| Ejemplo: 12/03/2026 | GASOLINERA REPSOL 0045 Valencia | 89,50€ | No |
| Ejemplo: 13/03/2026 | RETIRADA ATM C/Mayor 12 Sevilla | 300,00€ | No |
Paso 3 — Interpón Denuncia Policial
La denuncia policial no siempre es estrictamente obligatoria para la reclamación bancaria, pero sí es muy recomendable porque:
- Refuerza tu posición en la reclamación al banco, demostrando que actuaste con diligencia.
- Algunos bancos la exigen como requisito para tramitar el reembolso.
- En caso de escalar la queja al Banco de España o a un tribunal, la denuncia es una prueba fundamental.
Puedes presentar la denuncia de dos formas:
- Online: a través de la Sede Electrónica de la Policía Nacional (sede.policia.gob.es), en la sección de "Denuncias". Es válida legalmente y recibirás el justificante por correo electrónico.
- Presencial: en cualquier comisaría de la Policía Nacional o cuartel de la Guardia Civil. Lleva impresa la documentación de los cargos.
Incluye en la denuncia: tus datos personales, los últimos 4 dígitos de la tarjeta afectada, la lista de todos los cargos no reconocidos con fechas e importes, y la fecha en que detectaste el fraude. Guarda el número de denuncia o la copia del atestado.
Cómo Reclamar al Banco la Devolución del Dinero
La legislación española y europea te ampara con derechos muy claros ante operaciones de pago no autorizadas. Conocerlos te permitirá actuar con firmeza en la reclamación.
El Plazo Legal para Reclamar
Según el Real Decreto-ley 19/2018, el plazo general para notificar al banco una operación no autorizada es de 13 meses desde el adeudo, siempre que la entidad te haya facilitado o puesto a tu disposición la información de la operación. Transcurrido ese plazo, el banco puede rechazar la reclamación.
No obstante, actuar lo antes posible tiene ventajas prácticas importantes: la investigación es más efectiva cuando los hechos son recientes, y algunos bancos tienen plazos internos más cortos para determinados procedimientos de disputa.
Qué Dice la Ley: PSD2 y RDL 19/2018
La Directiva Europea PSD2 (Directiva 2015/2366) fue transpuesta al ordenamiento jurídico español mediante el Real Decreto-ley 19/2018. Sus disposiciones más relevantes para este caso son:
- La entidad debe reembolsar las operaciones no autorizadas sin demora injustificada y, salvo sospecha fundada de fraude, como muy tarde al final del día hábil siguiente a la notificación.
- La responsabilidad ordinaria del usuario antes de notificar la pérdida o sustracción está limitada a 50€, salvo que exista actuación fraudulenta o negligencia grave.
- En operaciones remotas o no autorizadas, el banco no puede cargarte automáticamente todo el importe: debe justificar que existió autorización válida o fraude/negligencia grave por tu parte.
- Si el banco puede probar que el usuario actuó de forma fraudulenta o con negligencia grave (por ejemplo, compartiendo voluntariamente el PIN), puede rechazar el reembolso.
💡 Nota importante: La carga de la prueba recae sobre el banco. Es el banco quien debe demostrar que las operaciones fueron autorizadas por ti o que actuaste con negligencia grave. Tú no tienes que probar que NO las realizaste.
Si el Banco Deniega la Reclamación
Si el banco rechaza tu reclamación o no responde en un plazo razonable, dispones de los siguientes mecanismos de escalada:
- Solicita la resolución por escrito con la justificación detallada de la denegación.
- Presenta primero una reclamación formal ante la propia entidad. En servicios de pago, el Banco de España indica que debe responder en 15 días hábiles, ampliables excepcionalmente a 35.
- Si no responde o no quedas conforme, presenta una queja ante el Servicio de Reclamaciones del Banco de España en reclama.bde.es. Es gratuito y su criterio no es vinculante, pero sí relevante a efectos supervisores.
- Si el importe es inferior a 2.000€, puedes acudir al juicio verbal ante el juzgado de primera instancia sin necesidad de abogado ni procurador. Para importes superiores, sí es necesaria representación legal.
⚠️ Importante: Las resoluciones del Banco de España desfavorables para la entidad son publicadas y tienen un efecto reputacional sobre el banco, aunque no sean vinculantes. Esto hace que muchos bancos prefieran llegar a un acuerdo antes de llegar a esa instancia.
Clonación vs Phishing: Diferencias Importantes para la Reclamación
El tipo de fraude afecta directamente a cómo el banco gestionará tu reclamación. Esta tabla resume las diferencias clave:
| Aspecto | Clonación física | Phishing / Fraude online |
|---|---|---|
| Cómo ocurre | Copia del chip o banda magnética mediante skimmer en cajero o datáfono manipulado | Engaño al usuario para obtener datos (correo falso, SMS, llamada fraudulenta, web clonada) |
| Dónde aparecen los cargos | Principalmente en TPVs físicos y cajeros, a veces en otras ciudades o países | Compras online, suscripciones digitales, transferencias |
| Responsabilidad del banco | Alta: el usuario no entregó datos voluntariamente | Puede ser debatible si el banco alega que el usuario "autorizó" la operación |
| SCA (autenticación reforzada) | No aplica directamente; el fraude ocurrió antes de la transacción | El banco puede alegar que la SCA fue completada por el titular |
| Recomendación | Reclamación directa al banco invocando PSD2; habitualmente resuelve favorablemente | Debes demostrar que fuiste engañado; considera aportar evidencias del engaño (emails, SMS) |
En los casos de phishing donde la víctima fue manipulada para completar una autenticación reforzada (SCA), el banco puede argumentar que la transacción fue "autorizada". Aun así, la mera existencia de autenticación no cierra la reclamación: la entidad debe acreditar correctamente la autorización y, en su caso, la negligencia grave del cliente.
Cómo Prevenir la Clonación de Tarjeta
Aunque ninguna medida garantiza una protección absoluta, adoptar buenos hábitos reduce significativamente el riesgo de ser víctima de clonación.
Prevención en el mundo físico
- Usa el pago sin contacto (NFC/contactless) siempre que sea posible. En los pagos contactless la tarjeta nunca sale de tu mano ni se introduce en ningún lector, lo que elimina el riesgo de skimming físico.
- Inspecciona el cajero antes de usarlo. Comprueba que el lector de tarjetas no tiene piezas adicionales o inusuales, que el teclado no está levantado y que no hay cámaras dirigidas al teclado numérico.
- Cubre el teclado con la mano al introducir el PIN. Muchos dispositivos de skimming graban el PIN mediante cámaras o teclados superpuestos.
- Usa preferiblemente cajeros en el interior de sucursales bancarias o en zonas bien iluminadas y vigiladas. Evita cajeros de calle aislados, especialmente de noche.
Prevención en el entorno digital
- Activa notificaciones push para cada operación con tu tarjeta. Recibirás una alerta en tiempo real de cualquier cargo, lo que permite detectar el fraude de inmediato.
- Establece límites de gasto diario en la app del banco. Limitar las compras online o las retiradas de cajero reduce el impacto máximo de un posible fraude.
- Usa tarjetas virtuales para compras online. La mayoría de bancos y neobancos permiten generar una tarjeta virtual con número diferente al de la física. Si ese número se compromete, puedes cancelarla sin afectar a la tarjeta física.
- Verifica que el sitio web tiene HTTPS antes de introducir datos de pago. Aunque HTTPS no garantiza que el sitio sea legítimo, su ausencia es una señal de alerta.
- Activa 3D Secure (Verified by Visa o Mastercard SecureCode) para todas tus compras online. Esta capa adicional de autenticación dificulta el uso fraudulento de tus datos.
Checklist de Actuación Inmediata
Si sospechas que tu tarjeta ha sido clonada, sigue este protocolo paso a paso:
- Tarjeta bloqueada (desde la app del banco o llamando al teléfono 24h)
- Hora exacta del bloqueo anotada
- Extracto bancario con cargos no reconocidos guardado (captura de pantalla o impresión)
- Tabla de cargos fraudulentos elaborada (fecha, comercio, importe)
- Denuncia policial presentada (presencial o en sede.policia.gob.es)
- Número de denuncia policial anotado y copia guardada
- Reclamación formal enviada al banco por escrito (con justificante de envío)
- Respuesta inicial del banco controlada (reembolso sin demora injustificada según RDL 19/2018)
- Si el banco deniega: reclamación interna presentada y, después, escalado a reclama.bde.es
Fuentes y Fecha de Revisión
Última revisión: marzo 2026. Este contenido se actualiza periódicamente para reflejar cambios normativos y criterios del Servicio de Reclamaciones del Banco de España.
- Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (transposición de la Directiva PSD2 en España). BOE núm. 284, de 24 de noviembre de 2018.
- Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (PSD2).
- Banco de España: información sobre reclamaciones en servicios de pago y plazos de respuesta de 15 días hábiles (35 excepcionalmente).
- Banco de España: Servicio de Reclamaciones. Disponible en reclama.bde.es.
- Policía Nacional: Unidad de Ciberdelincuencia. Información sobre fraude con tarjetas en tusequridadeninternet.es.
Preguntas Frecuentes
¿Cuánto tiempo tiene el banco para devolver el dinero de una clonación?
Según el Real Decreto-ley 19/2018, el proveedor de servicios de pago debe reembolsar una operación no autorizada sin demora injustificada y, salvo sospecha fundada de fraude, como muy tarde al final del día hábil siguiente a la notificación. Si después reclamas formalmente a la entidad por un servicio de pago, el Banco de España indica que debe responder en 15 días hábiles, ampliables excepcionalmente a 35.
¿Qué pasa si el banco dice que yo autoricé los cargos?
Si el banco alega que los cargos fueron autorizados mediante SCA (autenticación reforzada de dos factores), la carga de la prueba recae en el banco para demostrarlo. El hecho de que se completara la SCA no significa automáticamente que tú la realizaras: si fuiste víctima de ingeniería social o phishing, puedes argumentarlo. Solicita al banco la evidencia de autenticación y, si no la proporciona o no te convence, escala al Banco de España.
¿Tengo que pagar por los cargos si no tenía activada la verificación en dos pasos?
No activar la autenticación reforzada puede complicar la discusión con tu banco, pero no te hace automáticamente responsable. Según el Real Decreto-ley 19/2018, antes de notificar la pérdida o sustracción tu responsabilidad ordinaria está limitada a 50 euros, salvo fraude o negligencia grave. En operaciones remotas no autorizadas, la entidad debe justificar por qué pretende atribuirte responsabilidad.
¿Puedo reclamar si la clonación ocurrió en el extranjero?
Sí. La PSD2 aplica a todos los pagos en euros dentro del Espacio Económico Europeo (EEE). Si los cargos fraudulentos se realizaron en terceros países (fuera del EEE), la situación puede ser más compleja y depender de la política de tu banco y de los acuerdos con los sistemas de pago (Visa/Mastercard). En cualquier caso, notifica al banco inmediatamente, interpón denuncia y reclama por escrito. Los sistemas Visa y Mastercard tienen sus propios procedimientos de chargeback para transacciones internacionales.
¿Cómo sé si mi tarjeta ha sido clonada o es solo un error del banco?
Un error del banco suele ser un cargo duplicado o un importe erróneo de un comercio que sí usaste. La clonación implica cargos en comercios desconocidos, en ubicaciones donde no has estado, o múltiples cargos pequeños seguidos de uno grande. En caso de duda, contacta con el banco para identificar el comercio del cargo: si es un comercio que reconoces pero el importe es incorrecto, puede ser un error. Si el comercio es totalmente desconocido, trátalo como una posible clonación.