Abogado de Estafa Bancaria

Defensa penal en estafa bancaria online: phishing, pharming, SIM swapping, fraude con tarjetas y banca electrónica.

Última actualización: 22 de junio de 2026

La estafa bancaria por phishing (Art. 249 CP) es la modalidad de estafa informática que obtiene fraudulentamente las credenciales bancarias de la víctima para realizar transferencias, pagos o disposiciones no autorizadas. Con la digitalización de la banca, las variantes se han multiplicado: phishing (emails falsos), smishing (SMS falsos), vishing (llamadas telefónicas), pharming (web falsa que suplanta al banco), y SIM swapping (duplicado fraudulento de tarjeta SIM para interceptar códigos). Las penas oscilan entre 6 meses y 3 años de prisión (básica) y 1 a 6 años (agravada por cuantía superior a 50.000€).

Modalidades de Phishing Bancario

Las técnicas más utilizadas incluyen: phishing por email (comunicación que suplanta la identidad visual del banco con enlace a web clonada), smishing (SMS de alerta falsa: "Su cuenta ha sido bloqueada, verifique aquí"), vishing (llamada del supuesto departamento de fraude del banco solicitando claves), pharming (manipulación DNS para redirigir al usuario a una web falsa), man-in-the-middle (interceptación de la comunicación entre el usuario y el banco), y keyloggers/spyware instalados en el dispositivo de la víctima para capturar credenciales.

SIM Swapping

El SIM swapping consiste en obtener un duplicado de la tarjeta SIM de la víctima para interceptar los códigos de verificación SMS que los bancos envían como segundo factor de autenticación. El atacante contacte con la operadora de telefonía haciéndose pasar por el titular y solicita un duplicado. Una vez controla la SIM, puede recibir los códigos OTP y autorizar transferencias. El SIM swapping implica usurpación de identidad (Art. 401 CP) además de estafa informática.

Prueba Digital y Cadena de Custodia

La investigación del phishing requiere: análisis forense de dispositivos (emails, SMS y URLs visitadas), registros de conexión (logs) del banco y de los servidores del atacante, trazabilidad de las transferencias (beneficiarios, cuenta puente, extracciones en cajero), identificación de las mulas bancarias (personas que prestan sus cuenta para recibir fondos ilícitos a cambio de comisión), y análisis de la infraestructura técnica (servidores, dominios clonados, servicios VPN).

El Encaje Penal Exacto: la Estafa Informática del Art. 249.1.a CP

Cuando el dinero se sustrae manipulando un sistema informático —credenciales capturadas, una transferencia ordenada en banca online con datos robados, una sesión secuestrada— no estamos ante una estafa común por engaño a una persona, sino ante la modalidad específica de estafa informática. Tras la reforma operada por la Ley Orgánica 14/2022, esta conducta se ubica en el artículo 249.1.a del Código Penal: realizar, con ánimo de lucro y valiéndose de una manipulación informática o artificio semejante, una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. Es un error citar el antiguo 248.2, hoy desplazado por la renumeración.

La distinción no es académica. En la estafa informática no se exige el engaño bastante a una persona física que caracteriza a la estafa clásica: basta la manipulación de la máquina o del proceso de datos. Esto tiene consecuencias prácticas en la defensa, porque la línea argumental sobre el engaño, la autopuesta en peligro de la víctima o su deber de autoprotección no opera igual. Identificar correctamente el tipo aplicable condiciona la pena, las posibles agravaciones por cuantía y la propia estrategia probatoria desde la primera declaración.

Concurso con Descubrimiento de Secretos y Blanqueo de Capitales

El phishing rara vez se agota en la transferencia patrimonial. Para capturar las credenciales el autor suele acceder de forma ilícita a datos reservados, lo que puede integrar un delito de descubrimiento y revelación de secretos del artículo 197 del Código Penal, en concurso con la estafa informática. La interceptación de mensajes, la suplantación de la identidad digital o el acceso no autorizado a cuentas pueden valorarse de forma autónoma según los hechos, y esa calificación adicional incide tanto en la pena como en la prescripción.

El segundo bloque de concurso es el blanqueo de capitales del artículo 301. El dinero defraudado se mueve a través de cuentas puente para borrar su rastro, y quien presta su cuenta para recibir y reenviar esos fondos —la llamada mula bancaria— puede responder por blanqueo. La defensa debe deslindar con rigor el papel de cada interviniente: no es lo mismo quien diseña y ejecuta el fraude que quien, sin conocimiento del origen delictivo, cede una cuenta. La calificación correcta del título de imputación y del grado de participación es decisiva.

La Posición de la Mula Bancaria: Dolo Eventual y Blanqueo Imprudente

La figura de la mula concentra muchas defensas en esta materia. La persona que cede su cuenta para recibir fondos y reenviarlos, a menudo captada con una falsa oferta de empleo o de teletrabajo, puede encontrarse imputada por blanqueo de capitales sin haber tenido contacto alguno con el fraude principal. La clave está en el elemento subjetivo: hay que examinar si conocía o, al menos, se representó como probable el origen ilícito del dinero y aun así actuó, lo que abriría la vía del dolo eventual.

El artículo 301 del Código Penal contempla además la modalidad imprudente de blanqueo, lo que obliga a analizar si concurrió una grave dejación de los deberes de cuidado exigibles o si, por el contrario, la persona fue genuinamente víctima de un engaño. La defensa explora indicios como la inmediatez del reenvío, la comisión percibida, la ausencia de relación previa con los remitentes o las advertencias razonablemente apreciables. Acreditar el desconocimiento del origen delictivo, o la ausencia de la negligencia grave que reclama el tipo imprudente, puede conducir a la exclusión de la responsabilidad penal.

Responsabilidad de la Entidad Bancaria y Devolución de Operaciones No Autorizadas

Junto a la vía penal existe una línea de reclamación frente a la entidad bancaria que conviene activar en paralelo. La normativa de servicios de pago —la Directiva PSD2, transpuesta en España por el Real Decreto-ley 19/2018— establece que, ante una operación de pago no autorizada por el usuario, la entidad debe, como regla general, devolver el importe y reponer la cuenta al estado anterior al cargo. La carga de probar que la operación fue autenticada y que no hubo fallo técnico recae sobre el proveedor del servicio de pago.

El banco solo queda exonerado si acredita que el cliente actuó de forma fraudulenta o con negligencia grave en la custodia de sus credenciales, valoración que debe hacerse caso por caso y no presumirse. Frente a técnicas sofisticadas de suplantación, la diligencia reforzada y los sistemas de autenticación reforzada de cliente exigibles a la entidad cobran especial relevancia. Documentar de inmediato la operación no reconocida, conservar las comunicaciones fraudulentas y formular la reclamación en plazo son pasos que sostienen tanto la devolución como la eventual acción civil derivada del proceso penal.

Fases del Proceso Penal y Prescripción del Delito

El procedimiento suele iniciarse con la denuncia y la fase de instrucción, en la que se recaban los datos de tráfico, los movimientos bancarios, la identificación de las cuentas de destino y la trazabilidad de los fondos. A esta fase sigue, en su caso, la apertura de juicio oral y el enjuiciamiento. La actuación temprana de la defensa —proponiendo diligencias, cuestionando la cadena de la prueba digital y delimitando la participación de cada persona— condiciona de forma determinante el resultado.

La prescripción se rige por el artículo 131 del Código Penal y depende de la calificación. Conviene recordar que, tras la Ley Orgánica 5/2010, ya no existe el antiguo tramo de tres años. La estafa informática del artículo 249.1.a, castigada con prisión de seis meses a tres años, es delito menos grave y prescribe a los cinco años. La estafa agravada del artículo 250.1, con prisión de uno a seis años, supera los cinco años de pena máxima y prescribe a los diez años; lo mismo ocurre con la hiperagravada del artículo 250.2, castigada con prisión de cuatro a ocho años. La estafa leve del artículo 248.3, reservada a cuantías iguales o inferiores a 400 euros y castigada con multa de uno a tres meses, es delito leve y prescribe al año.

balance

Penas y Consecuencias: Estafa Bancaria

Tipo / Supuesto	Consecuencia Penal
Estafa informática (Art. 249 CP)	Prisión 6 meses a 3 años (cuantía ≠50.000€).
Estafa agravada (Art. 250 CP)	Prisión 1 a 6 años si supera 50.000€ o afecta a muchas víctimas.
Usurpación de identidad	Pena adicional de prisión 6 meses a 3 años (Art. 401 CP) si hay SIM swapping.

* Las penas indicadas son orientativas. La pena concreta depende de las circunstancias del caso, atenuantes y agravantes aplicables.

shield_lock

Estrategia de Defensa: Estafa Bancaria

gavel01

Mula Involuntaria

Demostrar que el acusado fue utilizado como mula bancaria sin conocimiento del origen ilícito de los fondos.

gavel02

Error de Tipo

Acreditar que el acusado desconocía que estaba participando en una operación de phishing.

gavel03

Prueba Técnica

Cuestionar la identificación del acusado cuando la evidencia digital es insuficiente o la cadena de custodia es defectuosa.

Guía de Defensa en Delitos contra el Patrimonio: Estrategia y Penas

Los delitos contra el patrimonio y el orden socioeconómico se regulan en el Título XIII del Código Penal (Arts. 234-304 CP). Son los delitos más frecuentes en los juzgados españoles y abarcan desde el hurto leve hasta la estafa millonaria. La diferencia entre una absolución y años de prisión depende, con frecuencia, de un solo elemento típico: la cuantía, el método empleado o la existencia de antecedentes penales.

Cuadro Comparativo de Penas: Hurto, Robo y Estafa

Delito	Artículo CP	Elemento Clave	Pena Base
Hurto leve	Art. 234.2	<400€, sin fuerza	Multa 1-3 meses
Hurto	Art. 234.1	>400€, sin fuerza	6 meses – 18 meses
Hurto agravado (235 CP)	Art. 235	Objeto especial / multi-reincidencia	1 – 3 años
Robo con fuerza	Art. 240	Palanca, ganzúa, puerta forzada	1 – 3 años
Robo con violencia	Art. 242	Intimidación o violencia directa	2 – 5 años
Estafa	Art. 249	Engaño + perjuicio económico	6 meses – 3 años
Receptación	Art. 298	Conocimiento del origen ilícito	6 meses – 2 años

Claves de la Defensa Penal en Delitos Patrimoniales

Impugnar el animus lucrandi

Acreditar que no existía intención de lucro — clave en imputaciones de hurto entre conocidos o disputas de propiedad.

Cuestionar la valoración del objeto

La diferencia entre 399€ y 400€ supone pasar de delito leve (multa) a delito menos grave (hasta 18 meses). La pericial de tasación es estratégica.

Acreditar consentimiento previo

En hurtos entre personas relacionadas, demostrar que el acusado creía tener derecho sobre el objeto es una defensa eficaz.

Análisis de antecedentes (multirreincidencia)

El Art. 235.7 CP agrava el hurto cuando hay más de dos condenas previas. Impugnar el cómputo correcto de antecedentes es esencial.

Cadena de custodia (receptación)

Si el fiscal no prueba que el acusado sabía el origen ilícito del bien, no hay delito de receptación. Exigir la prueba del 'conocimiento'.

Error de tipo en estafa (Art. 14 CP)

En fraudes comerciales, demostrar que el acusado creía sinceramente en la veracidad de sus representaciones elimina el dolo y por tanto el delito.

⚡ Tiempo Crítico: Conservación de Pruebas

En delitos patrimoniales, las evidencias digitales — cámaras de seguridad, geolocalización del móvil, logs de cajero — se sobreescriben habitualmente en 30 días. Contacte con abogado especialista inmediatamente tras la detención o la citación para preservar pruebas de descargo.

gavel

¿Por Qué Elegirnos?

¿Necesita un abogado penalista para este tipo de delito? Así trabajamos:

check

Identificación del AutorCuestionar que las pruebas digitales identifiquen inequívocamente al acusado como el atacante real.

check

Cadena de CustodiaImpugnar la validez de la prueba digital si no se respetó la cadena de custodia forense.

check

Mula de Buena FeDemostrar que la persona prestó su cuenta creyendo que era para una actividad legítima.

workspace_premium

+15 Años de ExperienciaEquipo dedicado en exclusiva al derecho penal ante juzgados y tribunales.

support_agent

Atención DirectaSu caso lo lleva directamente un abogado titular del despacho.

Consultar Mi Casoarrow_forward

quiz

Preguntas Frecuentes

¿Qué es el phishing bancario?expand_more

Técnica de suplantación de identidad del banco (email, SMS, llamada) para obtener credenciales y robar fondos de la cuenta.

¿Qué pena tiene?expand_more

Prisión 6m-3 años (hasta 50.000€). Si supera esa cifra o afecta a múltiples víctimas: 1-6 años.

¿Qué es el SIM swapping?expand_more

Duplicado fraudulento de la tarjeta SIM para interceptar los códigos de verificación del banco y autorizar transferencias.

¿Responde el banco ante un phishing?expand_more

El banco debe devolver los fondos si la víctima no actuó con negligencia grave. La carga de la prueba recae en el banco.

¿Es delito ser mula bancaria?expand_more

Sí. Quien presta su cuenta para recibir fondos de phishing es cooperador necesario de estafa, incluso si cobra solo una comisión.

¿Me pueden acusar si caí en un engaño?expand_more

La víctima del phishing no es responsable penalmente. El banco debe reembolsar salvo negligencia grave del cliente.

¿Prescribe?expand_more

La estafa informática prescribe a los 5 años (básica) o 10 años (agravada por cuantía).

¿Es delito clonar una web bancaria?expand_more

Sí. Crear una web que suplante la identidad de un banco es estafa informática en grado de tentativa + usurpación de marca.

¿Qué es el smishing?expand_more

Phishing mediante SMS que suplanta al banco con un enlace fraudulento para capturar las credenciales de la víctima.

¿Cómo me defiendo si me acusan?expand_more

Cuestionar la identificación digital del autor, la cadena de custodia de la prueba y demostrar desconocimiento del esquema.

¿Qué hacer inmediatamente si soy víctima de phishing bancario?expand_more

1) Contactar al banco para bloquear cuentas/tarjetas. 2) Cambiar todas las contraseñas. 3) Denunciar en comisaría aportando capturas. 4) Reclamar al banco por responsabilidad objetiva (RDL 19/2018).

¿El banco debe devolver el dinero robado por phishing?expand_more

Sí, salvo que demuestre negligencia grave del cliente. El RDL 19/2018 establece responsabilidad cuasi-objetiva del proveedor de servicios de pago. La carga de probar la negligencia es del banco.

¿Qué es el SIM swapping y cómo se relaciona con el phishing?expand_more

Es el duplicado fraudulento de la tarjeta SIM para interceptar los SMS de verificación bancaria. Combinado con credenciales obtenidas por phishing, permite vaciar cuentas al eludir la doble autenticación.

¿Se puede rastrear a los ciberdelincuentes de phishing?expand_more

Es difícil pero posible. La policía puede rastrear IPs, dominios, cuentas de destino de transferencias, y mulas bancarias. La cooperación internacional (Europol) es clave en redes organizadas.

¿Las mulas bancarias cometen delito?expand_more

Sí. Quien presta su cuenta para recibir y reenviar fondos procedentes de estafa (aunque alegue desconocimiento) comete blanqueo de capitales o cooperación en estafa, con penas de 1 a 6 años.

¿El smishing (SMS fraudulento) tiene la misma tipificación?expand_more

Sí. Smishing, vishing (llamada) y phishing (email) son modalidades de estafa informática (Art. 249.1.a CP). La pena es la misma independientemente del canal utilizado.

¿Puedo reclamar al banco si autoricé la transferencia engañado?expand_more

Sí. La autorización obtenida mediante engaño (ingeniería social) no es consentimiento válido. El banco debe verificar que la orden es genuina y responde si sus sistemas de seguridad fallan.

¿Cuánto tarda el banco en devolver el dinero?expand_more

El banco debe resolver la reclamación en 15 días hábiles. Si no contesta o deniega, puede acudir al Banco de España y simultáneamente a la vía judicial (juzgado de primera instancia).

¿El seguro de hogar cubre el phishing bancario?expand_more

Algunas pólizas incluyen cobertura de ciberriesgos que puede cubrir pérdidas por phishing. Revise la cláusula de protección digital o fraude online de su póliza.

¿Qué pruebas debo conservar para la denuncia?expand_more

Capturas de pantalla del mensaje/email fraudulento, URL del sitio falso, extracto bancario con las operaciones no autorizadas, registros de llamadas, y cualquier comunicación con el banco.

¿El phishing a empresas tiene penas más graves?expand_more

El BEC (Business Email Compromise) se tipifica como estafa agravada si supera los 50.000€ o afecta a un gran número de personas. Las penas pueden llegar a 6 años de prisión.

¿España tiene unidades policiales especializadas en ciberfraude?expand_more

Sí. La Policía Nacional tiene la Unidad Central de Ciberdelincuencia (UCC) y la Guardia Civil el Grupo de Delitos Telemáticos (GDT), ambos especializados en investigación de fraude online.

También actuamos en

Madrid Alicante Marbella Sevilla Málaga Bilbao Zaragoza

Ver todas las localidades →

listÍndice de Contenidos

shieldClaves de la Defensa: Estafa Bancaria

Estafa informática (Art. 249 CP): Prisión 6 meses a 3 años (cuantía ≠50.000€).
Estafa agravada (Art. 250 CP): Prisión 1 a 6 años si supera 50.000€ o afecta a muchas víctimas.
Defensa penal en estafa bancaria online: phishing, pharming, SIM swapping, fraude con tarjetas y banca electrónica.
Engaño: Suplantación de la identidad del banco o entidad para obtener las credenciales de la víctima.
Manipulación Informática: Uso de herramientas técnicas (webs clonadas, malware, SIM swapping) para ejecutar la estafa.
Identificación del Autor: Cuestionar que las pruebas digitales identifiquen inequívocamente al acusado como el atacante real.

gavelElementos del Delito

check_circleEngaño:Suplantación de la identidad del banco o entidad para obtener las credenciales de la víctima.
check_circleManipulación Informática:Uso de herramientas técnicas (webs clonadas, malware, SIM swapping) para ejecutar la estafa.
check_circlePerjuicio:Disposición no autorizada de fondos de la cuenta bancaria de la víctima.

gavelConsecuencias Penales

Estafa informática (Art. 249 CP)

Prisión 6 meses a 3 años (cuantía ≠50.000€).

Estafa agravada (Art. 250 CP)

Prisión 1 a 6 años si supera 50.000€ o afecta a muchas víctimas.

Usurpación de identidad

Pena adicional de prisión 6 meses a 3 años (Art. 401 CP) si hay SIM swapping.

articleArtículos Relacionados

linkServicios Relacionados

account_treeEstafas y Fraudes

Explorar todas las áreas de prácticaarrow_forward

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

Contacte con Alonso Sala

Llamar: 91 078 65 74