Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN
Análisis Jurídico

LO 13/2022: Fraude de Medios de Pago y Ciberestafa

calendar_today19 de junio de 2026

Última actualización:

listEn este artículo

lightbulbPuntos Clave

  • check_circleTranspone la Directiva (UE) 2019/713
  • check_circleRefuerza los arts. 248-251 y el art. 249 CP
  • check_circlePhishing y fraude de pagos electrónicos
  • check_circleDefensa: autoría digital y cadena de custodia
  • check_circleClave: individualización del dolo

Respuesta rápida

La Ley Orgánica 13/2022, de 20 de diciembre, transpone al Código Penal español la Directiva (UE) 2019/713, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo. Refuerza la protección de los arts. 248 a 251 CP y su relación con la estafa informática del art. 249 CP, abordando expresamente modalidades como el phishing y el uso fraudulento de instrumentos de pago electrónicos. Para la defensa, el foco se desplaza a la prueba de la autoría digital, la cadena de custodia electrónica y la individualización del dolo.

La Ley Orgánica 13/2022, de 20 de diciembre (BOE-A-2022-21800), incorporó al ordenamiento español la Directiva (UE) 2019/713, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo. Su objetivo es modernizar la respuesta penal frente a un fenómeno que ha desbordado el concepto clásico de estafa: el fraude que circula por tarjetas, banca electrónica, aplicaciones de pago y credenciales digitales. Como abogados penalistas, explicamos qué cambió la reforma, cómo afecta a los arts. 248 a 251 CP y a la estafa informática del art. 249 CP, y qué implica hoy para quien resulta investigado, acusado o víctima.

Qué cambió la reforma y por qué

El núcleo de la LO 13/2022 es de transposición: España estaba obligada a adaptar su legislación a la Directiva (UE) 2019/713, que armoniza en toda la Unión Europea la persecución del fraude y la falsificación de los medios de pago distintos del efectivo. La lógica es sencilla: el dinero ya no se mueve solo en billetes, sino en datos. Una tarjeta, una credencial de banca online o un monedero digital son hoy la puerta de acceso al patrimonio, y su uso fraudulento exige una respuesta penal acorde.

La reforma refuerza el marco de los delitos de estafa de los arts. 248 a 251 CP en su relación con la estafa informática del art. 249 CP, de modo que las conductas de fraude y falsificación de medios de pago electrónicos queden cubiertas con mayor nitidez. No se trata de inventar un delito completamente nuevo, sino de actualizar y dar coherencia al tratamiento penal de las modalidades digitales que la práctica venía encajando con dificultad en los tipos clásicos.

Qué son los medios de pago distintos del efectivo

La categoría protegida es amplia. Bajo la expresión "medios de pago distintos del efectivo" se incluyen los instrumentos, materiales o inmateriales, que permiten transferir dinero o valor sin recurrir a billetes y monedas:

  • Tarjetas de crédito y débito, físicas o virtuales.
  • Credenciales de banca electrónica (usuario, contraseña, claves de firma y códigos de un solo uso).
  • Monederos y aplicaciones de pago móvil, así como los datos que permiten operar con ellos.
  • Cualquier dispositivo, objeto o registro protegido que dé acceso a una cuenta o permita iniciar una orden de pago.

Lo relevante es que la protección no se limita al soporte físico: alcanza también a los datos asociados al instrumento de pago. Sustraer, falsificar, poseer o usar de forma fraudulenta esos datos para disponer del patrimonio ajeno es lo que la reforma quiere combatir con mayor claridad.

Los arts. 248 a 251 CP y su alcance práctico

Los delitos de estafa se regulan en los arts. 248 a 251 CP. La reforma incide en este bloque y en su engarce con la estafa informática:

  • Art. 248 CP: define la estafa clásica como el empleo de engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición patrimonial en perjuicio propio o ajeno, con ánimo de lucro.
  • Art. 249 CP: contiene la estafa informática, que castiga a quien, con ánimo de lucro y valiéndose de una manipulación informática o artificio semejante, consigue una transferencia no consentida de un activo patrimonial en perjuicio de otro. Es la figura clave para el fraude digital, porque no exige el engaño a una persona, sino la manipulación de un sistema.
  • Art. 250 CP: recoge las modalidades agravadas de la estafa, que elevan la pena en atención, entre otros factores, a la cuantía defraudada o a determinadas circunstancias del hecho.
  • Art. 251 CP: tipifica otras conductas fraudulentas próximas a la estafa en el tráfico jurídico de bienes y derechos.

El alcance práctico de la reforma es claro: las disposiciones patrimoniales no consentidas realizadas a través de tarjetas, banca online o aplicaciones de pago encuentran un encaje más firme en la estafa informática del art. 249 CP, sin necesidad de forzar el concepto de engaño a una persona física. Quien hace una entrada en internet sobre la mecánica de un fraude puede consultar el Código Penal para situar la conducta dentro de este bloque de tipos.

Phishing y uso fraudulento de instrumentos de pago

La reforma atiende de forma expresa a las modalidades que dominan hoy la ciberdelincuencia económica:

  • Phishing: captación de credenciales bancarias mediante mensajes, correos o webs que suplantan a una entidad legítima, para luego realizar disposiciones no consentidas. Sus variantes incluyen el smishing (por SMS) y el vishing (por llamada o voz).
  • Uso fraudulento de instrumentos de pago electrónicos: empleo de tarjetas, datos de tarjeta o credenciales obtenidas ilícitamente para comprar, transferir o retirar fondos.
  • Falsificación y tráfico de los datos o dispositivos que permiten operar como medio de pago.

En la mayoría de estos supuestos, cuando hay una manipulación informática que provoca una transferencia patrimonial sin consentimiento del titular, la conducta se subsume en la estafa informática del art. 249 CP. La calificación exacta, sin embargo, depende de la conducta concreta y de la prueba disponible: no es lo mismo quien diseña la campaña de phishing, quien usa los datos para disponer del dinero o quien presta su cuenta para recibirlo (el llamado "mulero"), figura cuya responsabilidad debe analizarse con cuidado según su conocimiento real de los hechos.

Qué implica hoy para un investigado o acusado

Para quien afronta una investigación por ciberestafa o fraude de medios de pago, la reforma consolida un escenario en el que la prueba es esencialmente digital. Esto tiene dos caras.

Por un lado, la respuesta penal es más sólida y previsible. Por otro, la atribución de la autoría se vuelve el verdadero campo de batalla. Que una dirección IP, un dispositivo, una cuenta o un terminal aparezcan vinculados a unos hechos no acredita por sí solo que una persona concreta sea la autora material del fraude. Las direcciones IP pueden compartirse, falsearse o enmascararse; las cuentas pueden usarse sin conocimiento del titular; y los datos pueden manipularse si no se recogen con garantías.

Por eso, en este tipo de procedimientos resulta determinante el análisis técnico de las diligencias de investigación digital, la trazabilidad de los movimientos y la valoración rigurosa de la prueba pericial informática.

Líneas de defensa

Una defensa técnica frente a estos delitos suele articularse en torno a tres ejes que la propia naturaleza digital del fraude pone en primer plano:

  • Prueba de la autoría digital: cuestionar que los indicios técnicos (IP, logs, dispositivos, cuentas) identifiquen de forma inequívoca a una persona. La defensa puede exigir que se acredite la autoría más allá de la mera asociación de un dato a un equipo o conexión.
  • Cadena de custodia electrónica: examinar cómo se obtuvieron, conservaron y analizaron las evidencias digitales. Si la integridad de los datos no está garantizada (recogida sin protocolo, ausencia de hash o de fedatario, ruptura de la trazabilidad), su valor probatorio puede impugnarse.
  • Individualización del dolo: en estructuras con varios intervinientes, no todos actúan con el mismo conocimiento ni con la misma intención. Es esencial deslindar a quien conocía y quería el fraude de quien fue instrumentalizado o desconocía el origen ilícito de los fondos o de los datos.

A ello se suman las garantías generales del proceso penal: la legalidad y proporcionalidad de las intervenciones tecnológicas, la presunción de inocencia y la prescripción del delito según su pena. Cada uno de estos frentes debe valorarse a la luz de las concretas diligencias practicadas. Puede consultar el contexto de esta y otras modificaciones en nuestra página de reformas penales.

Qué implica para la víctima

Si usted es víctima de un fraude con su tarjeta, su banca online o una aplicación de pago, la reforma refuerza el marco para perseguir penalmente estos hechos. Algunas pautas de actuación inmediata:

  • Bloquee y comunique de inmediato el medio de pago afectado a su entidad para detener nuevas disposiciones.
  • Conserve todas las evidencias: correos, SMS, capturas de pantalla, URLs, números de teléfono y los movimientos no reconocidos. No borre nada.
  • Denuncie los hechos y solicite que se practiquen las diligencias de investigación digital necesarias para trazar el destino de los fondos.
  • Reclame a la entidad conforme a la normativa de servicios de pago y valore la responsabilidad civil derivada del delito.

Un análisis penal temprano ayuda a orientar la denuncia, a pedir las diligencias adecuadas y a articular, en su caso, la reclamación del perjuicio sufrido.

¿Investigado por ciberestafa o víctima de un fraude de pago?

Los fraudes de medios de pago son procedimientos técnicos donde la prueba digital lo decide casi todo. Si está investigado o ha sido víctima, le ayudamos a analizar la atribución de la autoría, la cadena de custodia electrónica y la estrategia a seguir. Llámenos para una primera valoración.

📞 Contacte ahora: 91 078 65 74

Preguntas frecuentes

¿Qué cambió la LO 13/2022 en el Código Penal?expand_more

Transpuso la Directiva (UE) 2019/713 y reforzó el marco de los delitos de estafa (arts. 248 a 251 CP) en su relación con la estafa informática del art. 249 CP, para abarcar de forma más nítida el fraude y la falsificación de medios de pago distintos del efectivo, incluidos el phishing y el uso fraudulento de instrumentos de pago electrónicos.

¿Qué es un "medio de pago distinto del efectivo"?expand_more

Son los instrumentos que permiten transferir dinero o valor sin usar billetes ni monedas: tarjetas de crédito o débito, credenciales de banca electrónica, monederos y aplicaciones de pago móvil y, en general, los datos o dispositivos que dan acceso a una cuenta. La reforma protege tanto el instrumento físico como sus datos asociados.

¿El phishing es estafa informática?expand_more

El phishing —obtener credenciales bancarias mediante engaño para realizar disposiciones no consentidas— suele subsumirse en la estafa informática del art. 249 CP cuando hay una manipulación informática que provoca una transferencia patrimonial sin consentimiento del titular. La calificación exacta depende de la conducta concreta y de la prueba disponible.

Me acusan de una ciberestafa que dicen que hice desde mi conexión, ¿qué puedo alegar?expand_more

Que una IP, un dispositivo o una cuenta estén asociados a unos hechos no acredita por sí solo la autoría personal. La defensa puede cuestionar la atribución digital, exigir una cadena de custodia electrónica intachable de los datos y demostrar la ausencia de dolo o de participación material en la disposición patrimonial.

Soy víctima de un fraude con mi tarjeta o banca online, ¿qué debo hacer?expand_more

Conviene comunicar y bloquear el medio de pago de inmediato, conservar todas las evidencias (correos, SMS, capturas, movimientos), denunciar los hechos y reclamar a la entidad. Un análisis penal temprano ayuda a articular la denuncia, la solicitud de diligencias de investigación digital y, en su caso, la reclamación de la responsabilidad civil.

account_balance_wallet

gavel¿Necesita defensa penal en este ámbito?

Somos abogados penalistas especialistas en estafa informática. Actuamos con urgencia para proteger sus derechos y evitar la imputación o condena.

Ver especialidadarrow_forward
history_edu

Reforma legislativa analizada

Ley Orgánica 13/2022, de 20 de diciembre, de transposición de directivas europeas — fraude y medios de pago

Consulte el resumen de esta reforma, los artículos del Código Penal afectados y el enlace al BOE en nuestra página de reformas penales.

history_eduVer la reforma· BOE-A-2022-21800arrow_forward

Artículos Relacionados

Ver todosarrow_forward
calendar_today19 de junio de 2026

Estafa Informática (Art. 249.1.a CP): Qué Es y Cómo Defenderse

La estafa informática (art. 249.1.a CP) castiga las transferencias no consentidas logradas mediante manipulación informática: phishing, malware o fraude del CEO.

Estafa InformáticaPhishing+2
calendar_today22 de junio de 2026

Me Cita el Grupo de Delitos Telemáticos: Primera Declaración como Investigado

Recibir una citación del GDT de la Guardia Civil o de la Policía por una estafa online no te convierte en culpable. Qué significa, qué derechos tienes (art. 118 LECrim) y por qué la primera declaración lo decide casi todo.

Citación a DeclararGrupo de Delitos Telemáticos+3
calendar_today22 de junio de 2026

Mulero o Mula Bancaria: Qué Riesgo Penal Tengo y Cómo Defenderme

Prestar tu cuenta para recibir y reenviar dinero de una estafa no es un delito con nombre propio: se persigue como blanqueo (art. 301 CP), cooperación en la estafa o receptación. La clave es si conocías el origen del dinero.

MuleroMula Bancaria+3

El conocimiento es poder, pero la estrategia es clave.

Lo que lee aquí es solo el principio. Transforme la información en defensa activa contactando con nuestro equipo de expertos.

Contacte con Alonso Sala
Llamar: 91 078 65 74
call