Te llegó un SMS del banco, pinchaste el enlace y perdiste 1.112 euros: la AP de Cantabria condena a quien abrió la cuenta de Binance que recibió el dinero (SAP S 1011/2026)
El phishing bancario —SMS o email que suplanta a tu banco para robarte las credenciales— es ya uno de los delitos más frecuentes en los juzgados españoles. Pero este caso cántabro tiene una perspectiva distinta: no es la víctima quien denuncia, sino el acusado quien dice que él no hizo nada y que fue otra persona quien usó su cuenta. La trazabilidad digital lo desmiente.
Ficha de la resolución
Resolución: SAP S 1011/2026
Fecha: 26 de mayo de 2026
Órgano: Audiencia Provincial de Cantabria, Sección 3ª
Delito: Estafa (art. 248 CP)
Resultado: Condena confirmada — 7 meses de prisión
RC: 1.112,10 euros a la víctima
Si tu cuenta de Binance recibió dinero de una estafa de phishing y tú retiraste parte de ese dinero en efectivo, la defensa de que lo manejó otra persona sin tu conocimiento tiene que estar muy bien acreditada para prosperar. Sin prueba que la sostenga, el tribunal tira de lo que ve: tu nombre, tu DNI, tu selfie.
Los hechos son sencillos. La víctima recibió un SMS que simulaba ser su banco, pinchó el enlace y facilitó sus credenciales. En cuestión de minutos, se realizó un cargo de 1.112,10 euros que fue a parar a una cuenta de Binance registrada con el DNI y una fotografía biométrica del acusado. El acusado reconoció ser titular de esa cuenta pero alegó que la habría cedido o usado por otra persona. El juzgado de instancia lo condenó; la Audiencia de Cantabria confirmó.
Por qué la cuenta de Binance a tu nombre lo cambia todo
Binance, como todos los grandes exchanges de criptomonedas, aplica el proceso KYC (Know Your Customer): para abrir una cuenta operativa hay que verificar la identidad con documento oficial y una selfie en tiempo real. Eso significa que si hay una cuenta de Binance a tu nombre es porque tú, en un momento determinado, tomaste una fotografía tuya con tu documento y la enviaste para su verificación.
La defensa de "me la cedió otro" o "me robaron los datos" puede ser verdad en teoría, pero exige prueba concreta. Lo que no puede hacer la defensa es impugnar esos registros a destiempo. Y eso fue exactamente lo que ocurrió aquí.
Lo dice la Audiencia de Cantabria, literalmente
La SAP S 1011/2026 es directa sobre el valor de la prueba no impugnada:
"La objeción, formulada en términos genéricos y carente de apoyo técnico concreto, no desvirtúa por sí sola el valor de unos registros cuyo contenido, además, resulta concordante con el resto del acervo probatorio." (FJ 2)
Y sobre la impugnación tardía de la prueba documental digital:
"La falta de impugnación oportuna priva de consistencia a la alegación ahora formulada, máxime cuando no se ha ofrecido explicación alguna concreta sobre una eventual falsedad." (FJ 2)
Hay un segundo elemento que reforzó la condena: el acusado había retirado 180 euros en efectivo de un cajero después de que los fondos llegaran a su cuenta. La Audiencia lo considera una conducta activa que va más allá de la mera titularidad nominal.
El caso paralelo del mismo día: absolución por falta de prueba
El mismo tribunal, el mismo día, dictó la SAP S 1010/2026 en otro caso de estafa y absolvió. ¿La diferencia? Las cuentas que recibieron el dinero no estaban a nombre de la acusada. No había DNI, no había selfie, no había dato biométrico que la vinculara directamente al circuito de los fondos. El tribunal aplicó el in dubio pro reo.
Los dos casos juntos enseñan la misma regla desde los dos lados: lo que condena no es el phishing en sí, sino la vinculación directa y trazable al beneficio económico. Si la trazabilidad existe, la carga de desactivarla recae sobre la defensa — y tiene que hacerlo con prueba, no con mera negación genérica.
¿Te investigan por estafa o phishing y tu cuenta recibió el dinero?
La estrategia de defensa depende de los hechos concretos y hay que construirla desde el primer momento. Actuamos en toda España.
Consulta ahora con el despachoEl análisis del despacho: la defensa en casos de phishing con criptomonedas
La apertura de la cuenta del exchange es el punto clave
Si los registros KYC del exchange vinculan tu identidad a la cuenta, necesitas explicar con precisión cómo fue posible que eso ocurriera sin tu participación activa. Una simple negación no basta: hay que aportar una hipótesis alternativa creíble —robo de identidad documentado, uso por tercero con tu consentimiento para otro fin, suplantación informática— y acreditarla con prueba.
Impugnar los registros del exchange en plazo
Como en el caso de los WhatsApp, los registros de plataformas digitales son documentos a efectos procesales. Si no se impugnan en el escrito de defensa o como cuestión previa al juicio, el tribunal los acepta. Hay que revisar desde el primer momento qué prueba documental digital aporta la acusación y decidir si se impugna y cómo.
El riesgo de ser el eslabón visible de la cadena
En las redes de phishing, las personas cuya cuenta recibe el dinero son los llamados "mulas". La doctrina sobre cooperación necesaria alcanza también a quien cede su cuenta a sabiendas de que se va a usar para recibir fondos de procedencia ilícita. La cuestión es qué sabía y cuándo — y eso hay que acreditarlo o desacreditarlo según el lado de la causa en que se esté.
Cuándo acudir a un abogado penalista
- tu cuenta bancaria o de criptomonedas recibió dinero que resultó ser de una estafa
- recibes una citación por estafa o phishing y no entiendes de qué te acusan
- te han bloqueado la cuenta del banco o exchange por orden judicial
- alguien usó tus datos para abrir una cuenta a tu nombre y ahora hay cargos
- eres víctima de phishing y quieres recuperar el dinero por vía penal
Conclusión
La SAP S 1011/2026 cierra el ciclo de un caso de phishing con la condena del titular de la cuenta que recibió los fondos. La clave fue doble: la vinculación biométrica directa del acusado a la cuenta, y la falta de impugnación oportuna de esos registros. La absolución del caso paralelo del mismo día muestra que el resultado habría sido diferente si esa vinculación no hubiera existido. Lo que condena es la trazabilidad — y la defensa eficaz tiene que operar exactamente sobre ese punto.
Preguntas Frecuentes
¿Puedo ser condenado si el dinero llegó a mi cuenta pero yo no hice el phishing?
Sí, si el tribunal considera que recibiste los fondos a sabiendas o participaste en la cadena de la estafa. La titularidad de la cuenta que recibió el dinero es un indicio sólido — desactivarlo requiere acreditar una explicación alternativa creíble.
¿Qué es el KYC y por qué importa en estos casos?
KYC es el proceso de verificación de identidad que exigen los exchanges de criptomonedas. Requiere documento oficial y selfie en tiempo real. Eso vincula la cuenta a una persona concreta de forma difícilmente negable sin prueba de robo de identidad o suplantación.
¿Cómo se puede defender esta situación?
Acreditando una hipótesis alternativa creíble: robo de identidad previo (con denuncia documentada), suplantación informática (con pericial forense), o cesión de la cuenta para un fin lícito distinto que fue desviado por un tercero. La negación genérica sin soporte no basta.
¿Y si soy la víctima del phishing, puedo recuperar el dinero?
La vía penal permite reclamar la responsabilidad civil en la misma causa. Si se condena al autor, la sentencia incluirá la indemnización. También existe la posibilidad de reclamar al banco por fallo en los sistemas de seguridad por vía civil.
Sigue leyendo

Saúl Rosell Manglano
Abogado Penalista – ICAM 83.198
Saúl Rosell Abogados