Las últimas estadísticas públicas consolidadas del Ministerio del Interior confirman que en 2023 se conocieron 472.125 hechos de ciberdelincuencia en España, de los cuales 427.448 fueron fraudes informáticos, lo que sitúa a esta tipología en torno al 90 % del total de la criminalidad en el ciberespacio (phishing, vishing, smishing, BEC, SIM swapping, etc) . Para 2024, el Balance de Criminalidad del propio Ministerio sitúa la tasa de cibercriminalidad en 9,6 delitos por cada 1.000 habitantes en el agregado anual, lo que permite dimensionar la extensión poblacional del fenómeno a escala país . Las estafas informáticas representan ya el 16,9% del total de la delincuencia registrada. Para comprender mejor la dimensión del problema y de la evolución de este tipo de delincuencia cabe apuntar que apenas nueve años las estafas informáticas han crecido un 490,1%. Estos datos, de origen oficial, corroboran que el fraude informático —y, dentro de él, el phishing y modalidades afines— continúa siendo la técnica delictiva dominante en el entorno digital bancario español.
El vertiginoso avance de la digitalización financiera ha traído consigo un preocupante incremento de fraudes bancarios cometidos por ciberdelincuentes. Entre las modalidades más insidiosas destaca el fraude tipo «man-in-the-middle» (MITM), en el cual el estafador se interpone en las comunicaciones o suplanta la identidad de un actor legítimo para inducir a la víctima a realizar transferencias a cuentas bajo su control. Este fenómeno adopta diversas formas, desde el phishing sofisticado hasta la estafa del CEO o fraude de facturas, pero en esencia logra que el propio cliente ordene un pago en la convicción de que el destinatario es legítimo, cuando en realidad los fondos son desviados a la cuenta del delincuente. Las estadísticas recientes evidencian que el impacto económico de estos pagos por engaño autorizados por la víctima (Authorized Push Payment Fraud, APP fraud en el mundo anglosajón) ha superado incluso al fraude con tarjetas en algunos países , revelando la magnitud del problema.
El escenario típico de un fraude MITM suele involucrar técnicas de ingeniería social. Habitualmente se desarrolla mediante la interceptación de correos electrónicos de proveedores para alterar el IBAN en una factura (invoice fraud), o el envío de comunicaciones falsas que simulan ser de un superior jerárquico (el «fraude del CEO»). El resultado es que el ordenante, de buena fe, autoriza o efectúa una transferencia a un IBAN que cree legítimo, pero que en realidad pertenece al estafador. A diferencia de otros fraudes financieros, aquí la orden de pago cuenta con la autenticación del cliente (no es un cargo no autorizado en sentido estricto), lo que plantea importantes cuestiones jurídicas sobre la distribución de la responsabilidad entre la entidad bancaria y el cliente engañado.
La problemática se agrava por el crecimiento exponencial de este tipo de estafas en los últimos años. La facilidad con que los delincuentes pueden suplantar identidades digitales y explotar vulnerabilidades en los procesos de pago ha generado pérdidas multimillonarias y minado la confianza de los usuarios en la seguridad de la banca en línea. Frente a ello, surgen interrogantes sobre si el deber de diligencia de los bancos exige implementar medidas adicionales de seguridad (más allá de los mínimos legales) para prevenir estos fraudes, y si su omisión puede conllevar responsabilidad civil. En este contexto es preciso replantearse la responsabilidad de la entidad bancaria en casos de fraude MITM, examinando el marco normativo español vigente, el concepto de buenas prácticas bancarias aplicables, la jurisprudencia y doctrina nacionales que configuran un régimen de responsabilidad cuasi-objetiva de los bancos en fraudes electrónicos, así como un análisis comparado con otras jurisdicciones (Reino Unido, Países Bajos, Alemania, Estados Unidos, entre otras) donde se han adoptado soluciones técnicas o normativas que refuerzan la protección del cliente bancario.
La cuestión central es si, pese a no existir hoy por hoy en España una obligación legal explícita de verificar la coincidencia entre el número de cuenta (IBAN) y el nombre del beneficiario en cada transferencia, acreditada la consolidación de este tipo de prácticas fraudulentas y la posibilidad de establecer medidas o mecanismos de protección reforzada, el estándar de diligencia profesional exigible a los bancos incluye dicha verificación como medida elemental de seguridad. Argumentaremos que, dadas las circunstancias actuales de fraude masivo y las soluciones técnicas disponibles, la respuesta debe ser afirmativa: la ausencia de mecanismos como la Confirmation of Payee (verificación del beneficiario) podría considerarse una actuación negligente de la entidad, contraria a las buenas prácticas bancarias, susceptible de generar responsabilidad civil.
I. Marco normativo español: IBAN como identificador único y sus límites
En la actualidad, el ordenamiento español —en sintonía con la normativa comunitaria de servicios de pago (PSD2) establece que para la ejecución de transferencias bancarias el dato esencial es el identificador único de la cuenta, esto es, el código IBAN. El Real Decreto-ley 19/2018, de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera que transpone la Directiva (UE) 2015/2366 consagra este principio en su artículo 59, rubricado «Identificadores únicos incorrectos». Dicho precepto dispone que cuando una orden de pago se ejecuta conforme al identificador único proporcionado, se considerará correctamente ejecutada en lo que respecta al beneficiario designado en tal identificador. En otras palabras, si el IBAN facilitado por el ordenante corresponde a la cuenta receptora a la que efectivamente se abonaron los fondos, el pago se reputa válido y correctamente aplicado, con independencia de que el nombre del beneficiario indicado coincida o no con el titular real de la cuenta de destino. A contrario, si el IBAN suministrado es erróneo, el proveedor de servicios de pago no responde por la no ejecución o ejecución defectuosa de la operación de acuerdo con lo previsto en el art. 59.2 RDL 19/2018. La norma es taxativa: «Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago…» En tal caso, las consecuencias del error en el IBAN las asume el propio ordenante.
Esta regla —destinada originalmente a agilizar los pagos SEPA evitando comprobaciones manuales— pudiera pensarse que delimita a priori la responsabilidad bancaria: si el cliente autoriza la operación y el banco la procesa al IBAN indicado sin fallos técnicos ni interferencias, la entidad queda exonerada de responsabilidad por un eventual destino equivocado de los fondos.
El Tribunal Supremo ha reiterado recientemente este criterio. Así, en la Sentencia núm. 1294/2025, de 27 de marzo, el Alto Tribunal confirmó que bajo el marco normativo vigente, cuando la operación ha sido validada/autorizada por el usuario, el banco no responde de los daños derivados de un error en el número de cuenta o incluso de un fraude sufrido por el ordenante. La fundamentación jurídica es que el contrato de cuenta corriente impone al banco la obligación principal de ejecutar las órdenes del cliente correctamente autenticadas, y la legislación de servicios de pago lo exime de responsabilidad si demuestra que la orden fue debidamente autenticada, registrada y ejecutada sin ninguna anomalía externa. En efecto, el artículo 44 RDL 19/2018 señala que el proveedor de servicios de pago debe cargar la operación autorizada conforme a la orden del cliente, y el art. 45 que, salvo sospecha de fraude o negligencia grave del usuario, corresponde al proveedor probar que la operación fue autenticada y ejecutada correctamente. Bajo esta normativa, los tribunales han venido entendiendo que el banco no tiene un deber de control que exceda de lo estrictamente legalmente previsto, negando la posibilidad de exigirle comprobaciones adicionales como cotejar el nombre del beneficiario.
Así las cosas, en una interpretación simplista pudiera pensarse que el sistema español actual se basa en la premisa de la correcta autenticación de la orden por el usuario y en la prevalencia del IBAN como referencia única de destino. Sin embargo, el artículo 59 antes citado fue concebido para resolver los supuestos de errores operativos en los dígitos de la cuenta —es decir, si el cliente se equivoca de número de cuenta, el banco cumple con transferir al IBAN dado y no es responsable por la equivocación—. La consecuencia práctica es que las entidades financieras, amparándose en esta regla, sostienen que no están obligadas por una previsión normativa concreta y específica —por ahora— a verificar la coincidencia entre el nombre del beneficiario y el IBAN proporcionado. De este modo si el cliente fue víctima de un fraude —de esos miles que acontecen en el día de hoy— y, escribió el IBAN del estafador creyendo que correspondía a su proveedor legítimo, la entidad argumentará que solo actuó como ejecutora técnica de una orden aparentemente válida, sin falta alguna por su parte, trasladando todo el peso del perjuicio al cliente. Además, con los sistemas de banca electrónica establecidos por las propias entidades la ejecución material de las órdenes se ha trasladado al cliente liberando al banco de aquella carga y permitiendo el consecuente ahorro de costes.
En la jurisprudencia encontramos pronunciamientos alineados con esa tesis estricta. Por ejemplo, la Audiencia Provincial de Toledo, Sección 1ª, en Sentencia núm. 141/2019 de 23 de octubre de 2019, exoneró al banco demandado en un caso de transferencia a IBAN equivocado por fraude, al concluir que la normativa de servicios de pago imponía tener por correctamente ejecutada la operación al haber usado el identificador único suministrado por el ordenante, sin contemplar un deber de la entidad de comprobar titularidades. En similares términos, el Tribunal Supremo en la mencionada STS 1294/2025 insistió en que, mientras el banco acredite la adecuada autenticación y ejecución (p. ej. cumplimiento de la doble autenticación o 2FA) y no medie fallo en sus sistemas, no puede imputársele la pérdida sufrida por el cliente engañado, salvo que éste hubiera incurrido en fraude o negligencia grave. Por tanto, desde la óptica puramente normativa y jurisprudencial clásica, el error o engaño inducido que lleva al cliente a ordenar un pago indebido pudiera considerarse, en principio, un riesgo a cargo del propio cliente, en la medida en que la entidad actuó tal como se le solicitó. Y ello, pese a que sea la entidad la que diseña y desarrolla el sistema electrónico con el que opera el cliente y que por tanto, también esté en su órbita de responsabilidad establecer las medidas necesarias para reforzar la protección del cliente frente a eventuales fraudes. Y es que al igual que como antaño estableció robustas medidas de seguridad cuando era el custodio material de los fondos de los clientes (v.gr. arcos de seguridad y detección de metales en el ingreso a las sucursales; cristales blindados en la caja; vigilantes de seguridad armados en las oficinas; transporte de efectivo en furgones blindados y custodiados por vigilantes armados; cajas de seguridad con apertura retardada; alarmas silenciosas conectadas directamente con la policía…) este mismo tesón es exigible al nuevo marco de la banca electrónica.
Por lo tanto, esta conclusión formal merece ser reexaminada a la luz de la naturaleza especial del fraude «man-in-the-middle». A diferencia del simple error aritmético en el IBAN, aquí el ordenante no ha obrado por descuido ordinario, sino víctima de un engaño elaborado que explota una vulnerabilidad del sistema de pagos. La ausencia de verificación de coincidencia entre el nombre del beneficiario y la cuenta destino. La pregunta jurídica clave de fondo es si la entidad bancaria, conocedora de esa vulnerabilidad explotada recurrentemente por estafadores, está realmente libre de todo deber adicional de diligencia. O dicho de otro modo: ¿puede el banco escudarse en el artículo 59 para desentenderse, o cabe exigirle que adopte medidas proactivas para evitar estos fraudes, so pena de incurrir en responsabilidad por omisión de diligencia?
II. La verificación del beneficiario como buena práctica bancaria esencial
No exigir legalmente la comprobación nombre-IBAN no significa que su implementación no sea considerada una buena práctica bancaria elemental en la actualidad. La creciente preocupación por los fraudes de pago ha llevado a varios países y entidades a adoptar soluciones técnicas de verificación previa, integrándolas en sus estándares de seguridad de acuerdo con los principios de diligencia debida y lealtad a la custodia de los fondos confiados por sus clientes. El ejemplo más ilustrativo es el sistema de «Confirmation of Payee» (CoP) implementado en el Reino Unido. Este sistema, puesto en marcha inicialmente en 2019-2020 —hace más de cinco años— bajo la supervisión del regulador británico (Payment Systems Regulator, PSR), exige que, al realizar una transferencia, se verifique automáticamente si el nombre del titular de la cuenta beneficiaria proporcionado por el ordenante coincide con el nombre real asociado al IBAN (o número de cuenta) en el banco receptor. Antes de confirmar definitivamente la transferencia, el sistema CoP devuelve al ordenante una respuesta indicándole el resultado de la comprobación: puede ser coincidencia total («YES»), coincidencia parcial o aproximada («NO, BUT CLOSE») —por ejemplo, por una posible errata en el nombre—, o ausencia de coincidencia («NO»). Si los datos no concuerdan, se alerta al cliente y se le pregunta expresamente si desea proceder con la transferencia a pesar de la discrepancia. Esta advertencia adicional, en tiempo real y antes de ejecutar el pago, constituye una barrera crítica que puede detener una transferencia fraudulenta antes de su consumación, al poner de manifiesto al pagador que algo no encaja (por ejemplo, que el nombre del destinatario que él ingresó —p. ej. «Empresa Proveedora, S.L.»— no coincide con el nombre del titular de la cuenta asociada a ese IBAN). En la práctica, CoP ofrece tres escenarios: si hay coincidencia, se prosigue normalmente; si hay divergencia menor (ej. pequeño error tipográfico), se sugiere la corrección; y si no coincide en absoluto, se emite una clara advertencia de potencial fraude o error, de modo que el cliente pueda cancelar la operación a tiempo. El sistema es simple y contundente para preservar la seguridad del cliente y la corrección de la operación.
Esta verificación nominativa del beneficiario se ha revelado como una herramienta eficaz para prevenir tanto errores humanos como ciertos fraudes. Su implantación en Reino Unido ha sido paulatina pero ya ampliamente extendida. Inicialmente seis grandes bancos debieron adoptarlo en 2020 por mandato del regulador, y posteriormente se sumaron muchas otras entidades financieras. Hoy en día, más de 400 proveedores de pago británicos utilizan Confirmation of Payee. Se calcula que cada día se realizan alrededor de 2 millones de comprobaciones CoP en el Reino Unido, protegiendo más del 90% de las transferencias inmediatas (Faster Payments). El sistema CoP está ya plenamente asimilado como herramienta antifraude reconocida y ha demostrado su utilidad reduciendo significativamente los pagos mal dirigidos o fraudulentos.
El funcionamiento de Confirmation of Payee puede ilustrarse con un ejemplo sencillo: un cliente va a transferir 10.000 € a un proveedor y escribe el IBAN suministrado por email, junto con el nombre del beneficiario («Proveedor XYZ S.A.»). El sistema CoP consulta a la entidad destino y detecta que el IBAN corresponde en realidad a una cuenta cuyo titular registrado es «Rubio de Espera Ltd.» (y no «Proveedor XYZ S.A.»). Esto genera una alerta «NO: el nombre del beneficiario no coincide con los registros de la cuenta». El ordenante recibe inmediatamente esta advertencia en pantalla y, ante la inconsistencia, puede abortar la transferencia antes de que sea irrevocable. Es decir, CoP introduce una pausa reflexiva obligatoria cuando hay indicios de discrepancia, devolviendo la carga al pagador para que verifique la legitimidad de la operación antes de continuar. Esta medida tan simple en apariencia añade una capa de seguridad adicional extremadamente valiosa, pues muchos fraudes MITM podrían evitarse si la víctima recibe una indicación objetiva de que la cuenta de destino no pertenece al beneficiario supuesto. En efecto, en no pocas ocasiones el engaño se rompe en ese instante crítico en que la persona, advertida por su banco, repara en que podría estar siendo víctima de una estafa.
Desde luego, la Confirmación de Beneficiario no es una panacea infalible –los delincuentes encuentran formas de eludir controles-, sin embargo, sí ataja la modalidad más común de fraude por desviación de pagos, aquella en que el defraudador se limita a interponer un IBAN distinto manteniendo el resto de los datos verosímiles. El propio regulador británico ha reconocido que CoP ha sido muy útil para frenar estafas y errores, y su filosofía se resume en que “un pagador informado es el último dique frente al fraude”. En definitiva, la existencia y éxito operativo de sistemas como CoP demuestran que la verificación técnica nombre- IBAN es factible y efectiva, constituyendo una medida de seguridad razonable y hoy por hoy esperable para prevenir transferencias por error o engaño.
Otros países europeos han ido en la misma dirección. En los Países Bajos, los principales bancos implementaron desde 2017-2019 -hace más de 8 años- un servicio similar conocido como “IBAN-Naam Check”. Entidades como ING o ABN AMRO incorporan automáticamente en su banca en línea una comprobación del nombre asociado al IBAN. Si el cliente introduce un beneficiario cuyo nombre no coincide con el registrado en la cuenta de destino, el sistema lanza una notificación de advertencia antes de permitir confirmar la transferencia. ABN AMRO señala expresamente que el objetivo de esta verificación es evitar transferencias a cuentas erróneas o fraudulentas, “garantizando la seguridad de sus pagos”. Incluso sugiere correcciones en caso de pequeñas divergencias (p. ej. si el cliente teclea “Josie” en lugar de “Jose”, el sistema preguntará: “¿Quiso decir Josie?”). Los bancos neerlandeses han publicitado que esta medida ayuda a combatir las estafas de facturas, muy comunes, donde un solo dígito alterado en un IBAN puede redirigir fondos a cuentas de impostores. Se trata, en definitiva, de la misma filosofía CoP aplicada en el ámbito SEPA doméstico.
El contexto normativo europeo tampoco es ajeno a esta tendencia. Con objeto de reforzar la confianza en los pagos electrónicos, la Unión Europea ha dado pasos decididos para generalizar la verificación del beneficiario en las transferencias. Por un lado, en 2023 se aprobó el Reglamento (UE) 2024/886 relativo a pagos instantáneos en euros, que obligará a los proveedores de servicios de pago a verificar la coincidencia entre el nombre del beneficiario y el número de cuenta en las transferencias inmediatas (instantáneas) a partir de octubre de 2025. Es decir, para las transferencias SEPA Instant en euros (que se liquidan en segundos), se instaurará un mecanismo de Confirmation of Payee de alcance europeo, como requisito de seguridad. Por otro lado, la Comisión Europea ha propuesto en junio de 2023 un paquete legislativo que incluye una nueva Directiva de Servicios de Pago (PSD3) y un Reglamento de Servicios de Pago (PSR), actualmente en tramitación, que extiende esta obligación a todas las transferencias ordinarias. En efecto, el texto del futuro PSR prevé que todos los PSP en Europa deberán implementar un servicio de coincidencia nombre-IBAN antes de ejecutar transferencias (la normativa se refiere a ello como Verification of Payee, VoP). La lógica subyacente es idéntica a la del sistema británico: si no hay coincidencia, el ordenante debe ser notificado y decidir si continúa con el pago. Adicionalmente, las propuestas de PSD3/PSR refuerzan los derechos de reembolso de las víctimas de fraude (incluso en algunos supuestos de pagos “autorizados” mediante engaño) y enfatizan que en ningún caso el consumidor debe quedar desprotegido ante estafas sofisticadas. De hecho, la Comisión Europea ha señalado explícitamente que los bancos y PSP deberán asumir responsabilidad en ciertos fraudes por suplantación e ingeniería social, y que la Confirmación de Beneficiario será una herramienta obligatoria para impedir pagos a cuentas de estafadores. La idea es que ningún actor de la cadena de pago escape a la responsabilidad: si un fraude se consuma por no existir controles (ya sea en el banco emisor o receptor), la carga económica no debe recaer en la víctima inocente sino en los proveedores que no implementaron medidas de seguridad.
En síntesis, la buena práctica bancaria internacional camina hace años hacia la verificación proactiva de datos del beneficiario como estándar de diligencia. Tanto las soluciones auto-regulatorias en países pioneros (Reino Unido, Países Bajos) como las iniciativas legislativas europeas muestran que comprobar la coincidencia nombre-cuenta se considera una “cautela elemental” conforme a las modernas buenas prácticas bancarias. Por tanto, la ausencia de tales mecanismos en las entidades que operan en España hoy día no obedece a imposibilidad técnica alguna –pues la tecnología existe y funciona– sino más bien a decisiones comerciales o de prioridades (muchas veces se ha aludido a que introducir estas comprobaciones podría ralentizar ligeramente la operativa o implicar costes de desarrollo). Sin embargo, priorizar la “agilidad operativa” sobre la seguridad reforzada del cliente ya no parece justificable frente al tamaño del problema. Cabe afirmar que actualmente implementar sistemas adicionales de seguridad como la verificación de beneficiario constituye una medida de diligencia razonable y esperada en el sector bancario. La inacción en este terreno, por tanto, podría ser apreciada por los tribunales como una falta de diligencia profesional imputable a la entidad, máxime si se demuestra que la omisión de dicha medida contribuyó causalmente al resultado fraudulento.
III. Responsabilidad cuasi-objetiva del banco en fraudes online: jurisprudencia española
Aunque la normativa de servicios de pago, tal como se ha expuesto, pudiera parecer que tiende a proteger al banco cuando la operación se autorizó por el cliente (trasladando en principio el riesgo al usuario engañado), la jurisprudencia española en casos de fraude bancario online ha desarrollado un criterio de responsabilidad sumamente estricto para las entidades financieras, próximo a la objetividad. Diversas sentencias han calificado la responsabilidad del banco en estos supuestos como «cuasi-objetiva», enfatizando su elevado deber de diligencia y seguridad en la prestación de servicios electrónicos. Esta línea jurisprudencial se ha manifestado sobre todo en casos de phishing clásico (esto es, fraudes en que un tercero obtiene las credenciales del cliente y realiza operaciones no autorizadas por éste), pero sus fundamentos son extensibles a fraudes de tipo MITM dado que giran en torno al «fallo de seguridad» de la operativa bancaria.
La Sentencia de la Audiencia Provincial de Madrid, Sección 9ª, 178/2015, de 4 de mayo, ya apuntó en aquel entonces que recae sobre el banco una responsabilidad cuasi-objetiva en operaciones de banca online fraudulentas, habida cuenta del “nivel de diligencia especialmente reforzado que le es exigible a cualquier entidad bancaria, por ser un proveedor de servicios de pago que debe asumir el riesgo operacional inherente a su sector”. Este principio fue recogido y desarrollado de forma paradigmática por la Sentencia de la Audiencia Provincial de Alicante, Sección 8ª, núm. 107/2018, de 12 de marzo de 2018. En dicho caso –fraude de phishing que permitió transferencias no autorizadas desde la cuenta de la clienta– la Audiencia de Alicante declaró que “conforme a la doctrina jurisprudencial en materia de phishing, la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva, derivada de la exigencia a la entidad de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático”. Añadió el tribunal que, salvo que se acredite negligencia grave del usuario, la entidad financiera debe responder reintegrando las cantidades sustraídas de forma fraudulenta. En aquella ocasión se valoró que la cliente actuó con diligencia al haber notificado sin demora la operación no consentida una vez advertido el fraude y que el banco no reaccionó con la debida prontitud para bloquearla, afirmando incluso la sentencia que “el sistema [del banco] debió haber detectado el fraude producido”. Se condenó así al banco a resarcir el importe defraudado (8.400 €), reconociendo que el riesgo creado por la banca digital recae principalmente sobre la entidad que la ofrece.
La relevancia de esta sentencia radica en que consagra la idea de que la entidad bancaria asume un deber proactivo de seguridad, de tal forma que cualquier brecha o insuficiencia en sus medidas de protección que sea explotada por terceros redunda en su responsabilidad (salvo culpa grave del cliente). En consecuencia, no bastaba con alegar que el cliente “cayó en el engaño”, sino que era exigible a la entidad haber implementado medidas actualizadas para contrarrestar esas nuevas modalidades de fraude. Este razonamiento es de suma importancia, pues traslada el foco desde la conducta del usuario hacia la conducta (omisiva) del banco en materia de seguridad. La obligación de las entidades ya no es solo reaccionar una vez notificado el fraude, sino “adoptar medidas de seguridad necesarias y renovables” de forma preventiva. Se trata, en definitiva, de aplicar al ámbito bancario el principio de que quien se beneficia de la innovación tecnológica (la banca es quien diseña el sistema on line, ahorra costes y genera negocio) debe también cargar con sus riesgos, desplegando todos los medios razonables para evitarlos.
En línea con lo anterior, la jurisprudencia ha enfatizado la inversión de la carga de la prueba en estos casos. Corresponde al banco demostrar que la operación controvertida fue adecuadamente autenticada y que no hubo fallos en sus sistemas ni actuación negligente de la víctima, so pena de responder. Así lo establecen, por ejemplo, la Sentencia de la AP de Sevilla, Sección 6ª, núm. 289/2021, de 30 de julio, y la Sentencia de la AP de Las Palmas, Sección 4ª, núm. 202/2020, entre otras, al señalar que, si el cliente niega haber autorizado la transferencia, “al proveedor del servicio le corresponde acreditar que la orden de pago… ha sido debidamente autenticada y, si no lo hace, incurre en responsabilidad, quedando obligado al reintegro de los fondos”. Esta inversión probatoria –consagrada también en el art. 45 del RDL 19/2018– refuerza el carácter cuasi-objetivo de la responsabilidad bancaria. En la práctica, el banco solo se libera si prueba que actuó con plena diligencia y que el fraude fue debido a una actuación gravemente negligente o dolosa del cliente.
Un hito reciente lo constituye la Sentencia del Tribunal Supremo de 9 de abril de 2025 (Sala de lo Civil, rec. 1665/2021) –identificada como STS 571/2025–, primera del Alto Tribunal que aborda un caso de fraude masivo por SIM swapping (duplicado ilícito de la tarjeta SIM para interceptar los SMS de autenticación). Si bien este supuesto se encuadra en operaciones no autorizadas por el cliente, el Supremo consolidó importantes criterios sobre la responsabilidad bancaria en fraudes digitales, que son trasladables al análisis de fraudes con consentimiento viciado. En dicha sentencia, el Supremo reiteró que el RDL 19/2018 establece un sistema de responsabilidad cuasi-objetiva del proveedor de servicios de pago (el banco) en caso de operaciones fraudulentas, debiendo reembolsar al usuario salvo que pruebe negligencia grave o fraude del cliente. Aclaró además el Tribunal que el uso correcto de las credenciales de cliente (usuario, contraseña, código SMS) no equivale por sí solo a consentimiento si el titular niega la operación; es decir, la autenticación técnica no basta, el banco debe demostrar que no hubo deficiencias en su servicio y que el cliente no incurrió en negligencia grave. En el caso concreto, el cliente había avisado previamente al banco de movimientos sospechosos (SMS no solicitados, posible intrusión) y aun así la entidad no reforzó la seguridad ni bloqueó a tiempo las transferencias (15 operaciones en una noche por más de 80.000 €, que pasaron todas). El Supremo valoró positivamente la diligencia del usuario –que actuó proactivamente advirtiendo de incidencias– y muy negativamente la pasividad del banco, que “no adoptó ninguna medida efectiva tras recibir los avisos del cliente” y permitió una actividad en cuenta claramente anómala. En consecuencia, confirmó la condena al banco a restituir los 56.474,63 € restantes defraudados, con intereses, e impuso las costas a la entidad. El fallo hace hincapié en que las entidades financieras tienen una “obligación activa de prevenir el fraude, incluso cuando se empleen mecanismos de autenticación reforzada”, de modo que si hay indicios de fraude en curso deben reaccionar.
De la jurisprudencia y doctrinas citadas se desprenden varias conclusiones aplicables al supuesto objeto de exégesis. En primer lugar, en España existe un cuerpo de criterios jurisprudenciales que imponen a los bancos una diligencia extraordinaria en materia de seguridad informática, considerándolos responsables por los fallos de seguridad de sus sistemas salvo culpa grave del usuario. La responsabilidad es casi objetiva en tanto no depende de probar culpa del banco en concreto, sino del simple hecho de que el fraude ocurrió a pesar de los mecanismos de seguridad, lo que indica que fueron insuficientes. En segundo término, el riesgo operativo de la banca digital recae primordialmente en la entidad, por ser quien la ofrece y quien está en mejor posición para conocer y mitigar las nuevas formas de fraude. Como razona ALCALÁ, “desde el momento en que los medios digitales se han implantado en el negocio bancario, el riesgo de los fraudes debe ser soportado con carácter general por las entidades financieras… Las entidades bancarias tienen la doble condición de beneficiarias y de generadoras del riesgo”. Esta afirmación coincide con lo sostenido por otras resoluciones judiciales7 al señalar que la banca digital ha permitido un enorme ahorro de costes y expansión del negocio para los bancos, por lo que no resulta equitativo que las consecuencias dañosas de esa actividad se trasladen al cliente. Finalmente, son las entidades financieras, por tanto, en las que el cliente ha depositado su confianza como mejores custodios, quinees deben implementar “soluciones tecnológicas avanzadas” para garantizar la autenticidad e integridad de las operaciones, no bastando medidas genéricas o avisos formales al cliente. La doctrina insiste en que no es suficiente con advertir al usuario que tenga cuidado o con medidas básicas. Se requiere una inversión seria en seguridad (comunicaciones seguras, bloqueo preventivo de operaciones sospechosas, etc.), acorde al estado del arte. En esta línea, la Sentencia del Tribunal Supremo de 12 de febrero de 2020 resumió la lex artis bancaria diciendo que, excluida la mala fe o gran negligencia del cliente, “la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladadas al cliente”. Este razonamiento del Tribunal Supremo subraya que es deber del banco consolidar un espacio seguro de actuación; si el sistema de banca presenta fisuras explotadas por delincuentes, el perjuicio no puede repercutirse sobre el usuario de buena fe. Se trata de una clara confirmación jurisprudencial del principio “riesgo creado, riesgo asumido” por parte de la entidad profesional.
A la luz de lo anterior, podemos inferir que el no disponer de mecanismos adicionales como la verificación nombre-IBAN puede ser visto como un “fallo de seguridad” del sistema bancario. Ciertamente, el fraude MITM explota una vulnerabilidad conocida y elemental como la falta de cotejo de la identidad del beneficiario. Desde el momento en que en otros entornos (Reino Unido, Países Bajos) dicha vulnerabilidad se ha subsanado desde hace años y no de modo reciente e inmediato, implantando CoP, podría sostenerse que mantener el sistema sin esa capa de protección es no adoptar las medidas de seguridad disponibles y razonables ante un modo de fraude informático extendido. En términos de la SAP de Alicante 2018, el banco estaría omitiendo una de las “medidas de seguridad necesarias y renovables” exigibles para hacer frente a los distintos modos de fraude actual. Más aún, cuando alguna jurisprudencia menor española se ha enfrentado ya a casos de fraude por error en el IBAN, la solución estrictamente normativa (exonerar al banco) puede reconsiderarse si apreciamos que el contexto es un fraude sofisticado y no un simple descuido del ordenante. En este sentido, es ilustrativo comparar la citada sentencia de la AP de Toledo 2019 (estricta con la letra del art. 59 RDL 19/2018) con la postura más matizada que propugnamos. Allí la transferencia a IBAN equivocado se trató como un error del cliente ajeno al banco, sin embargo, cabría argumentar que en realidad hubo un incumplimiento del deber de seguridad bancaria al no detectar ni impedir una operativa anómala (pagos a cuentas de reciente apertura, vaciado inmediato y cierre de la cuenta fraudulenta, etc., situaciones que muchas veces acompañan a estos fraudes). De hecho, en un caso análogo resuelto por la Sentencia de la Audiencia Provincial de Valencia, Sección 6ª, nº 212/2021, de 28 de mayo, se estimó parcialmente la demanda de una pyme víctima de fraude de facturas, condenando al banco receptor por falta de cooperación diligente en la recuperación de los fondos y reconociendo que, aunque la norma no exige verificar el nombre, sí se espera de los bancos una colaboración activa para evitar enriquecimientos injustos con fondos desviados por error o engaño.
En suma, la jurisprudencia española, aun centrada sobre todo en fraudes no autorizados, aporta una base sólida para reclamar que el banco responda en casos de fraude MITM argumentando un incumplimiento de su deber de diligencia profesional. Se dispone de la doctrina de la responsabilidad cuasi- objetiva, que impone al banco probar su diligencia. Se dispone del criterio de que el banco debe tener un sistema seguro y asumir las consecuencias de sus fallos. Y se cuenta también con pronunciamientos que remarcan que la ausencia de negligencia grave del cliente obliga a la entidad a resarcir el daño. Todo ello conforma un panorama que debe conducir al juzgador a concluir que no implementar una verificación de beneficiario es una omisión relevante de las medidas de seguridad hoy día exigibles. La balanza de la responsabilidad y de la justicia debe inclinarse a favor del cliente perjudicado.
IV. Deber de diligencia profesional y exigibilidad judicial de las «buenas prácticas bancarias». Bonus argentarius
Las entidades financieras, según ya apuntara SALANITRO al realizar una actividad de especial importancia económica, han de acreditar una cualificación superior al de otras actividades y, por ello, les es exigible una responsabilidad adecuada a la importante función que se les encomienda, no solo desde el punto de vista administrativo, sino también en la relación negocial con sus clientes. Por este motivo, según razonan HERAS HERNÁNDEZ y MARTÍNEZ DE SALAZAR BASCUÑANA la mayor diligencia exigida a las entidades de crédito, puesta en relación con las exigencias de buena fe, acorde con la naturaleza de las relaciones contractuales bancarias, dan como resultado una especial responsabilidad, muy cercana a la responsabilidad por riesgo del profesional, por los hechos que las entidades de crédito realicen dentro del ámbito de su actividad y que únicamente cesará en los supuestos e negligencia probada del cliente
Como hemos expuesto, una elemental y “buena práctica” bancaria es verificar la coincidencia titular-cuenta. Aunque no estuviere positivizada como obligación legal concreta ello no obsta que deba ser exigible en un procedimiento judicial a través de la interpretación del deber general de diligencia del banco. En derecho español, la responsabilidad contractual del banco hacia su cliente se basa en el artículo 1104 del Código Civil, que exige actuar con la diligencia propia de un buen padre de familia, aumentada cuando se trata de una obligación profesional (lex artis). En relaciones bancarias, la jurisprudencia ha reiterado que la diligencia exigible es máxima, dada la posición de experto del banco y la confianza depositada por el cliente en su profesionalidad. Por tanto, es plenamente válido argumentar que, en virtud de ese deber de diligencia superior, el banco debía adoptar todas las precauciones que la técnica y la práctica comercial hacen razonables para proteger los intereses de su cliente. Si se demuestra que en la industria bancaria internacional existía ya una medida preventiva eficaz (p.ej. CoP) y que el banco la conocía, pero decidió no implementarla, ello podría calificarse de actuación negligente.
La diligencia exigible a la entidad no es la diligencia del pater familias, ni siquiera la del ordenado comerciante. Es una diligencia reforzada por razón de la singularidad de la actividad que desarrollan, que se ha venido denominando la diligencia del bonus argentarius. Este mismo sentir late en la doctrina establecida por la AP de Zaragoza que sintetiza la SAP de Zaragoza, Sección 5ª, de 1 de julio de 2022, cuando apunta: “hay un deber de diligencia de la entidad depositaria y gerente del servicio de caja y el de una información precisa y detallada, pues la exigible es la de un «comerciante experto» y no la de un buen padre de familia. En este sentido, Ss. A.P. Zaragoza, Sección 5ª, de 29-6-2007, 17-5-2010, La Coruña, Sección 3º, 13-1- 2006 y del T. S. 24-3-2006”
Esta singular diligencia implica no solo el establecimiento de unas determinadas medidas de seguridad consustanciales a la actividad bancaria, sino la continua y permanente mejora e implementación de nuevos sistemas que deben ofrecer una célere respuesta a los avances que en materia de fraude también puedan acontecer. Y es que, al igual que la entidad protege sus propias instalaciones y fondos, debe aplicar igual o mayor celo en la seguridad de los confiados por sus clientes.
La exigencia del bonus argentarius no solo se traduce por tanto en la obligación de instalar y mantener sistemas tecnológicos avanzados de autenticación reforzada —como impone el art. 97 de la Directiva (UE) 2015/2366 (PSD2) y su desarrollo en el Reglamento Delegado (UE) 2018/389—, sino también en la necesidad de revisar de manera continua estos mecanismos en atención a la evolución de los modus operandi de la ciberdelincuencia. La ausencia de adaptación permanente constituye, por sí misma, un incumplimiento de la diligencia cualificada exigible a la entidad financiera.
La argumentación jurídica para exigir esta buena práctica puede cimentarse en los siguientes razonamientos jurídicos:
- Responsabilidad cuasi-objetiva y deber de seguridad reforzado. Como se ha explicado, la jurisprudencia ha instaurado una suerte de responsabilidad cuasi-objetiva del banco en materia de fraude online, basada en la obligación de adoptar medidas de seguridad necesarias, adecuadas y renovadas frente a las diversas modalidades de fraude informático. Este es el pilar fundamental pues la entidad debe demostrar que cumplió con todos los estándares de seguridad Si no lo hace, se presume su responsabilidad. En nuestro caso, incorporar o no un sistema de verificación de beneficiario puede presentarse como el elemento clave para valorar si el banco actuó con la diligencia cualificada exigible.
- Incumplimiento del deber de diligencia profesional (negligencia de la entidad). El banco, como profesional financiero, tiene un deber de diligencia mucho más exigente que el de un cliente ordinario. Debe conocer los riesgos inherentes a su actividad (y el fraude MITM es hoy un riesgo conocido y frecuente) y poner en práctica las medidas de seguridad actualizadas disponibles para mitigarlos. Así es razonado por nuestra doctrina más autorizada encarnada por CALVO SAN JOSÉ cuando apunta que las entidades bancarias deben ofrecer un sistema seguro. No adoptar una medida de prevención elemental, estando técnicamente al alcance, puede tildarse de actuación negligente. En la práctica, la entidad habría privilegiado la comodidad o el ahorro de costes sobre la seguridad de su cliente. Este argumento se robustece mostrando que otras entidades (ya sea en otros países o incluso en España, algunas fintech, etc.) sí ofrecen servicios de confirmación de beneficiario, lo que evidencia que la omisión no obedece a imposibilidad sino a decisión comercial. Un tribunal, ante la prueba de que la banca británica redujo drásticamente cierto tipo de fraude implementando CoP, debe considerar que un banco español razonable debería haber seguido ese camino o, al menos, que al no hacerlo asumió el riesgo de que ocurrieran fraudes que eran evitables.
- El IBAN como único identificador: interpretación teleológica y límite en fraudes. Aun siendo formalmente cierto que el art. 59 del RDL 19/2018 establece que la transferencia ejecutada por IBAN se considera bien hecha, aunque el nombre no concuerde debe hacerse notar al juzgador que esta norma fue pensada para escenarios de error material imputable al ordenante, no para blindar al banco frente a fraudes sofisticados que precisamente explotan esa falta de verificación. De hecho, el Considerando 36 de la Directiva (UE) 2015/2366 (PSD2) explicaba que, dado el alto volumen de pagos automatizados, el PSP podía confiar en el identificador único para procesarlos, pero ello “sin perjuicio del deber de colaboración para la recuperación de fondos en caso de error”. En fraudes MITM, el cliente no “se equivoca” en sentido propio, sino que es engañado deliberadamente. Por tanto, puede sostenerse que la situación escapa a la finalidad original del art. 59, y que en un contexto de fraude masivo la buena fe y la equidad exigen exigir al banco un plus de diligencia. Esto es, la regla del IBAN no priva al perjudicado de accionar contra el banco si concurren otros factores, pues la normativa de pagos no es un “cheque en blanco” para desentenderse de cualquier irregularidad.
- Nexo causal entre la falta de verificación y el daño. Es importante destacar la existencia de un el nexo causal obvio pues de haberse dispuesto la verificación nombre-IBAN, como buena práctica bancaria elemental, muy difícilmente la transferencia fraudulenta se habría perfeccionado. El cliente, alertado por el sistema, no hubiera completado el pago. Así, la omisión de esa medida de seguridad es la que, en última instancia, permitió que el fraude se consumara. Este razonamiento de causalidad ya ha sido utilizado en jurisprudencia. Así, en la STS 571/2025, el Supremo señaló que si el banco hubiera activado sus sistemas de alarma al ver 15 transferencias nocturnas inusuales, el desenlace habría sido distinto. Aplicando esto a nuestro supuesto, cabría afirmar si el Banco hubiera contado con un sistema de confirmación del destinatario como el que es estándar en Reino Unido, la discrepancia entre el nombre del beneficiario real y el aparente habría salido a la luz y el cliente probablemente con toda seguridad no habría firmado la orden. Por tanto, la falta de tal sistema es condición sine qua non del resultado lesivo.
En definitiva, la exigibilidad judicial de las buenas prácticas bancarias se resume en recalcar que, aunque no estén recogidas negro sobre blanco en una ley -que es imposible recoja con la celeridad necesaria acorde a la parsimonia del legislador los infinitos supuestos particulares de la evolución del fraude-, este deber elemental deriva de la obligación genérica de diligencia (art. 1104 CC) y de la propia naturaleza del contrato bancario que impone velar por los intereses del cliente. Máxime en materia de seguridad, donde existe un mandato tácito de medios reforzados toda vez que la entidad es la custodia de fondos ajenos y quien debe emplear todos los medios a su alcance para que esos fondos no sean desviados ilegítimamente. Esto entronca con el tradicional principio de buena fe contractual consagrado en el art. 1258 CC) que obligaría al banco a cooperar lealmente en la prevención del daño al cliente.
Desde luego, cada caso concreto ofrecerá matices. Será necesario probar que el cliente actuó con la prudencia normal, que no reveló imprudentemente sus credenciales y que fue víctima de un engaño verosímil. Cuando en otras jurisdicciones estos sistemas de prevención se emplean desde hace más de un lustro habiéndose manifestado como instrumentos eficaces para el refuerzo de la seguridad de los clientes y al mismo tiempo el número de fraudes en nuestro país se incrementa de modo exponencial, no cabe alegar que en nuestro país no se emplee esta técnica elemental.
V. Análisis comparado: respuestas internacionales al fraude de transferencia
En Reino Unido ya hemos descrito como la herramienta Confirmation of Payee implementada en el sistema británico de pagos, ha sido un instrumento extraordinariamente valioso en la prevención contra fraudes de tipo MITM. Debe añadirse que el Reino Unido ha ido más allá en la tutela de las víctimas de fraudes de pago autorizados. Ante la avalancha de casos y la presión social, en 2019 la banca británica adoptó un Código de Reembolso Contingente (Contingent Reimbursement Model, CRM) por el cual las principales entidades se comprometían a reembolsar a clientes víctimas de APP fraud en la mayoría de los supuestos salvo que el cliente hubiera actuado con manifiesta imprudencia, ignorando alertas, o en connivencia con el fraude. Este código impuso estándares de conducta tanto para bancos emisores como receptores (por ejemplo, advertir al cliente cuando una transferencia presentaba signos de estafa, cooperar interbancariamente para recuperar fondos, etc.). No obstante, al ser voluntario, no todos los casos quedaban cubiertos y persistían divergencias en la aplicación. Por ello, el regulador PSR promovió una reforma normativa que desembocará en un régimen obligatorio de reembolso. A partir de octubre de 2024, en el Reino Unido los proveedores de servicios de pago deberán reembolsar por mandato legal a todos los clientes que sufran un APP fraud, salvo contadas excepciones referidas a supuestos fraude del propio cliente o negligencia grave muy clara. Estas nuevas reglas, adoptadas en 2023, se instrumentan vía poderes del PSR sobre el sistema de pagos Faster Payments y suponen que, por defecto, el consumidor será resarcido y los bancos emisores y receptores se repartirán la pérdida según su grado de cumplimiento de protocolos. Estamos ante un enfoque claramente protector hacia el cliente y fortalecedor de la confianza en el sistema, sobre el que precisamente se asienta su éxito. Se reconoce que el fraude por engaño es un problema sistémico, no mero asunto privado, y se socializa el coste entre las entidades, incentivándolas a extremar la prevención, pues igualmente terminarán pagando si no lo evitan. Ello supone un poderoso estímulo para proteger los fondos de los clientes como si fueran propios, tornando a la filosofía que ha presidido durante siglos el depósito de los particulares en las entidades bancarias, que como expusimos anteriormente se esforzaban continuamente en dotar a sus oficinas físicas de las mejores medidas de seguridad.
En el derecho alemán, la implementación de verificaciones de nombre no ha sido generalizada hasta ahora, pero la jurisprudencia ha impuesto ciertos deberes de advertencia a los bancos en casos de operaciones sospechosas. Un caso notable es el fallo del Bundesgerichtshof (BGH) de 6 de mayo de 2008 (Az. XI ZR 56/07), en que se estableció que una entidad bancaria debe advertir o abstenerse de ejecutar transferencias cuando existan signos objetivos y evidentes de fraude en las transacciones, incluso si formalmente el ordenante las autorizó. En aquel asunto, numerosos inversores habían transferido dinero a una cuenta cuyo titular (un tercero) realizaba retiros en efectivo en masa, lo que generaba fuertes indicios de estafa piramidal. El BGH determinó que ante “indicios manifiestos” de irregularidad (movimientos inusuales, alertas por blanqueo, etc.), el banco no puede permanecer pasivo, sino que tiene una “Warnpflicht” (obligación de alerta) hacia el cliente y eventualmente de bloquear la operativa. Esta doctrina, aunque aplicada a un contexto distinto (inversiones en cripto-plataformas fraudulentas mediante transferencia bancaria), demuestra que la jurisprudencia alemana reconoce un deber de protección del banco más allá de la ejecución automática de órdenes, cuando la situación permita sospechar un fraude. En línea con la iniciativa europea VoP, Alemania prepara la introducción de la Verifizierung des Zahlungsempfängers de forma armonizada en 2025. De hecho, a nivel de la UE se ha anunciado que desde el 9 de octubre de 2025 todas las transferencias en euros técnicamente viables deberán incorporar la verificación del nombre del beneficiario antes de su ejecución. En cualquier caso, esta convergencia regulatoria refuerza la noción de que la diligencia bancaria incluye necesariamente esta comprobación.
Por otra parte, como mencionamos, los Países Bajos hace ya años que establecieron su IBAN-Naam Check. Empresas fintech neerlandesas (p. ej. SurePay) llevan años ofrciendo servicios de confirmation of payee integrables por los bancos, logrando que ya en 2019 la mayoría de las entidades holandesas lo implementaran. Esto ha devenido en una disminución notablemente importante de fraudes por transferencias mal dirigidas en ese país, según reportes de la asociación bancaria holandesa. Tanto es así que la tecnología de SurePay fue exportada al Reino Unido para ayudar en la puesta en marcha del CoP británico. Los tribunales en Países Bajos, en los casos en que aún ocurrió fraude, han tenido en cuenta si el banco cumplió con su deber de cuidado. Lo relevante para nuestro análisis es que los bancos neerlandeses no esperaron a un mandato legal para introducir la verificación de nombre, entendiéndola como una mejora del servicio y seguridad. Esto evidencia que una entidad diligente, incluso sin obligación jurídica estricta, adopta espontáneamente medidas para evitar fraude a sus clientes. Por tanto, no cabe excusar la inacción bajo la premisa “la ley no me obliga” pues las buenas prácticas del sector a nivel europeo imponen en un sector tan estratégico y cualificado como es la actividad financiera la toma de iniciativas que refuercen la protección de los fondos confiados.
En el plano comparado, por tanto, observamos hace años un claro movimiento para el refuerzo de la protección de los clientes bancarios en la realización de transferencias electrónicas, ya sea haciendo responsables a los bancos por los fraudes (obligándoles a reembolsar) o dotándoles de herramientas para prevenirlos (verificación de destinatarios, bloqueo de pagos sospechosos). Ambos enfoques –preventivo y resarcitorio– son complementarios. Para nuestro caso en España, interesa destacar que lo que postulamos (exigir al banco verificación nombre-IBAN bajo pena de responsabilidad) no es una idea aislada, sino que está en la misma línea de las tendencias internacionales y próximas exigencias europeas y encuentra sus orígenes en la misma esencia de la buena fe contractual (art 1258 CC) y diligencia exigible (art. 1104 CC) contenidas en las reglas de nuestro Código napoleónico. El incumplimiento de estas obligaciones contractuales de diligencia (art. 1124 CC) conducen a la apreciación de culpa (art. 1902 CC) por omisión de las medidas de seguridad, configurando incluso una responsabilidad agravada por la normativa especial de servicios de pago que, interpretada teleológicamente, no exime al banco cuando éste no actuó con la diligencia cualificada que le era exigible. No es necesario esperar a una norma del Siglo XXII que regule todos y cada uno de los supuestos de nuevos fraudes cibernéticos para aplicar los principios clásicos contractuales. La respuesta lógica es que el estándar de diligencia es dinámico y, una vez conocido el riesgo masivo y la solución viable, la diligencia debida del banco debe incluir dicha solución aun antes de que el legislador la imponga expresamente.
Es evidente que la confianza del público en la banca electrónica es fundamental para la economía digital; y dicha confianza solo se mantendrá si los clientes perciben que sus bancos los protegen eficazmente contra las nuevas amenazas. Obligar a un banco a responder por no haber implementado una buena práctica ampliamente reconocida envía el mensaje correcto: que la agilidad en el servicio nunca debe lograrse a costa de la seguridad del cliente, y que los avances tecnológicos en prevención de fraudes deben ser incorporados diligentemente. Este alineamiento de incentivos puede y debe ser adelantado vía interpretación judicial en pro de la justicia del caso concreto.
En términos de equidad y de asignación del riesgo, corresponde al banco –y no al cliente engañado– asumir las consecuencias del ilícito, pues estaba en su mano evitarlo con medidas razonables. Esta solución no solo es respaldada por la normativa y jurisprudencia citadas, sino que se alinea con la evolución inminente del Derecho europeo de pagos, con lo cual lejos de ser un desenlace aventurado, representa la anticipación de un estándar de diligencia objetivamente exigible.
VI. Conclusión
El análisis desarrollado permite concluir que el fraude de tipo man in the middle constituye hoy una de las más graves amenazas para la seguridad de los sistemas de pago electrónicos, situando a los usuarios en un escenario de particular vulnerabilidad frente a técnicas de ingeniería social que explotan las carencias estructurales del modelo normativo español. La prevalencia absoluta del IBAN como identificador único, prevista en el art. 59 del Real Decreto-ley 19/2018, no puede operar como cláusula de exoneración automática de la entidad financiera cuando ésta, con pleno conocimiento de la reiteración masiva de estos fraudes y de la existencia de soluciones técnicas viables, omite la implementación de medidas preventivas de comprobación de titularidad.
La doctrina jurisprudencial española y comparada ha avanzado hacia una responsabilidad cuasi-objetiva de las entidades bancarias en materia de fraude digital, imponiéndoles un estándar reforzado de diligencia y trasladándoles el riesgo inherente a la actividad de banca en línea, salvo supuestos de dolo o negligencia grave del cliente. Esta línea, que se proyecta desde la jurisprudencia menor (AAP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) hasta el propio Tribunal Supremo (STS 571/2025, entre otras), se alinea con la idea de que corresponde al banco acreditar que sus sistemas eran seguros, actualizados y suficientes para evitar la consumación del ilícito.
En este marco, el concepto de bonus argentarius cobra renovada vigencia. La diligencia exigible al profesional financiero no es la del comerciante medio ni la del pater familias, sino la de un experto cualificado que asume la obligación de proteger los fondos confiados mediante la implantación de mecanismos de seguridad “necesarios y renovables”. Ello implica no solo el mantenimiento de medidas técnicas básicas de autenticación reforzada, sino la adopción proactiva de soluciones antifraude reconocidas internacionalmente, como la verificación nombre-IBAN (Confirmation of Payee o IBAN-Naam Check), que han demostrado eficacia en jurisdicciones comparadas.
El Derecho de la Unión Europea avanza en esa misma dirección, imponiendo desde 2025 la verificación obligatoria del beneficiario en las transferencias instantáneas (Reglamento UE 2024/886) y proyectando su extensión al conjunto de las operaciones en la futura PSD3/PSR. Este marco normativo europeo, unido a las prácticas regulatorias pioneras en el Reino Unido y los Países Bajos, evidencia que la inacción de la banca española no obedece a imposibilidad técnica, sino a decisión empresarial, difícilmente conciliable con el deber de diligencia cualificada.
En consecuencia, cabe afirmar que la omisión de medidas de verificación del beneficiario constituye hoy una infracción del deber contractual de diligencia y de la buena fe (arts. 1104 y 1258 CC), generadora de responsabilidad civil por el daño causado. El fraude MITM no puede considerarse un riesgo residual imputable al cliente, sino un fallo de seguridad sistémico imputable a la entidad financiera, en tanto que diseñadora y custodio del canal de pagos electrónicos.
Una adecuada respuesta jurídica exige, por tanto, desplazar el riesgo desde el cliente engañado hacia la entidad financiera, garante natural del sistema que ha diseñado, que se encuentra en mejor posición técnica y económica para prevenir el fraude y absorber sus costes. Esta solución preserva la confianza pública en la banca digital y reafirma el principio esencial de que quien diseña el sistema y se beneficia mayormente de la actividad debe asumir también sus riesgos.
Si has sido víctima de alguno de estos fraudes, sigue estos pasos: ¿Qué hacer si he sido víctima de un fraude bancario?.
Si tienes dudas contacta con nosotros, en Ribón Abogados tendrás a un equipo de abogados expertos en phishing que te guiará en todo el proceso para recuperar el capital defraudado.
