Los bancos deberán responsabilizarse de los fraudes por suplantación de identidad y reintegrar el dinero a los clientes cuando noy hayan comprobado que el número de cuenta bancaria, el IBAN, coincide con el beneficiario real de la transferencia. Así lo ha dicho el Tribunal Supremo.
En una sentencia fechada el 27 de noviembre, el alto tribunal mantiene su doctrina anterior —según la cual los bancos no están obligados a devolver los fondos si el cliente facilitó un IBAN incorrecto—, pero subraya que el marco normativo ha cambiado a partir del 9 de octubre de 2025. Desde esa fecha, las entidades deberán verificar la correspondencia entre el número de cuenta y el destinatario, y responderán por el perjuicio económico si incumplen esta obligación.
La resolución analiza un litigio iniciado por una empresa que fue víctima de un fraude por correo electrónico. La compañía recibió un mensaje que suplantaba la identidad de uno de sus proveedores e informaba de un supuesto cambio de cuenta bancaria. Tras ordenar varias transferencias al nuevo IBAN indicado, el dinero acabó en manos de un tercero ajeno al proveedor legítimo. El Supremo concluye que, dado que las transferencias se realizaron el 18 de octubre de 2019, resulta de aplicación el Real Decreto-ley de 2018 sobre servicios de pago, vigente en ese momento. Esta normativa consideraba correctamente ejecutada una transferencia cuando se dirigía al número de cuenta facilitado por el ordenante, sin exigir a la entidad comprobar que dicho IBAN correspondiera al beneficiario real.
No obstante, la norma sí imponía a los bancos un deber de diligencia posterior al fraude, consistente en intentar recuperar los fondos y facilitar al afectado, previa solicitud, la información necesaria para emprender acciones legales.
El Tribunal recuerda que, hasta el momento, su postura es que el banco no es responsable cuando el usuario daba un IBAN defectuoso. Sin embargo, indica que en marzo de 2024 la Unión Europea ha cambiado el Reglamento de servicios de pago que, desde el 9 de octubre de 2025, obliga a las entidades a verificar al beneficiario al que se tenga la intención de enviar la transferencia. Avanzando una futura postura en los fraudes que tengan lugar a partir de esa fecha. "Las entidades se refugiaban en el Real Decreto-ley de 2018 que señala en su artículo 59 que si una orden de pago se ejecuta conforme al identificador único (IBAN) está correctamente ejecutada, aunque el nombre no coincida", explican desde el despacho de abogadoos Navas & Cusí. Hasta ahora. Porque según esta última sentencia "el banco deberá de asumir la responsabilidad, estén preparados o no".
El despacho calcula en 170 millones de euros el impacto económico de los delitos por suplantación de identidad o phishing para el 2025 basándose en datos del Instituto Nacional de Ciberseguridad (INCIBE) y el Banco de España.
El INCIBE estima que habrá cerca de 30.000 casos de phising en este 2025, ante el auge de ataques vía móvil y por la inteligencia artificial (IA).
Siempre mejor intentar evitar caer en estafas de cualquier naturaleza. En estas fechas en que aumentan las compras por internet y los mensajes de WhatsApp se disparan, hay que redoblar las alertas. Porque la Navidad también es uno de los momentos preferidos por los ciberdelincuentes para expandir su malignidad. nos días en los que, si nos confiamos, podemos caer en sus trampas y llevarnos más de un disgusto. En el programa especial de 65YMÁS, 'Navidades ciberseguras', presentado por la directora de 65YMÁS, Ana Bedia, expertos de reconocido prestigio dan las claves para no caer en posibles timos en internet más comunes en esta época del año.
El programa rograma especial de 65YMÁS, 'Navidades ciberseguras', cuenta con la participación de:
