A partir del 9 de octubre de 2025, la banca europea dejará de mirar hacia otro lado ante las estafas de suplantación digital. Entra en vigor el Reglamento (UE) 2024/886, que obliga a las entidades financieras a verificar que el nombre del beneficiario coincide con el IBAN antes de ejecutar transferencias instantáneas en euros. Se trata de una medida largamente reclamada por expertos en ciberseguridad y asociaciones de consumidores en un año como 2025, en el que las infracciones penales por estafas informáticas ya representan casi un 88% de toda la cibercriminalidad según el último Balance de Criminalidad del Ministerio del Interior.

Durante años, el sistema financiero europeo ha funcionado con un principio simple y peligroso: el IBAN era el único identificador válido para transferir dinero. Si el número de cuenta era correcto, la operación se ejecutaba sin comprobar a quién pertenecía realmente.

Un agujero legal que ha sido aprovechado por los delincuentes del conocido estafa man-in-the-middle, donde un tercero se infiltra en la comunicación entre cliente y banco para desviar fondos sin levantar sospechas.

“Esta reforma marca un antes y un después en la responsabilidad de los bancos frente a los fraudes online”, señalan desde Asoban Abogados, el despacho que encabeza el mayor número de reclamaciones contra las entidades bancarias por fraudes online en España.

Batalla para acabar con las estafas

En este tipo de estafa, el ciberdelincuente manipula la comunicación entre dos partes, por ejemplo, entre una empresa y su proveedor, y cambia el número de cuenta en una factura aparentemente auténtica. El cliente, confiado, realiza la transferencia a un destino fraudulento.

Según explican desde el despacho, “el problema es que la orden de pago parte del propio cliente, con sus credenciales y su doble autenticación, por lo que técnicamente no se considera una operación no autorizada. Jurídicamente, hablamos de un consentimiento viciado por engaño”.

Hasta ahora, los tribunales solían dar la razón a los bancos. La Sentencia 507/2025 del Tribunal Supremo, en el caso Alvipre Factory S.L., reafirmó que la entidad no era responsable si el IBAN era correcto y la operación había sido debidamente autenticada. No se podía exigir a las entidades comprobar también el nombre, porque la norma no lo contemplaba. Pero todo eso cambiará en octubre.

Un giro normativo contra las estafas

Con el nuevo reglamento, los bancos tendrán que verificar automáticamente la coincidencia entre nombre e IBAN antes de ejecutar la transferencia. Si hay discrepancias, deberán advertir al cliente de que el pago podría dirigirse a una cuenta distinta a la prevista. Y si la entidad no cumple o lo hace de forma defectuosa, tendrá que reembolsar el dinero de inmediato.

“Es una obligación que refuerza la diligencia debida y eleva el nivel de exigencia hacia las entidades financieras”, apuntan los letrados. “A partir del 9 de octubre no bastará con alegar que el sistema funcionó correctamente. Habrá que demostrar que se verificó el beneficiario conforme al artículo 5 quater del Reglamento”.

En la práctica, esto obligará a la banca a desplegar nuevos sistemas tecnológicos de verificación en tiempo real, integrados en sus plataformas digitales y aplicaciones móviles. Tendrán que crear algoritmos capaces de cotejar nombres, registrar evidencias de verificación y emitir alertas claras y auditables para los clientes.

Un reto tecnológico y jurídico

El sector se enfrenta a un desafío doble. Por un lado, el operativo, con inversiones millonarias para adaptar la infraestructura tecnológica. Por otro, el jurídico y reputacional, porque las reclamaciones por estafas online podrían dispararse si los bancos no actúan con la rapidez o diligencia que exige la norma.

“El incumplimiento del deber de verificación generará responsabilidad directa y derecho al reembolso inmediato del cliente”, advierten fuentes jurídicas consultadas. Y añaden: “Estamos ante una especie de responsabilidad cuasi objetiva. El banco deberá probar que actuó con todas las medidas de seguridad posibles”.

Más protección pero más deber de prudencia

Para los usuarios, la medida es un refuerzo inédito de seguridad. Gracias a la verificación automática, será más difícil caer en una trampa digital sin darse cuenta. Además, si la entidad no cumple, el cliente tendrá derecho a la restitución inmediata de su dinero.

Aun así, desde el despacho recuerdan que la norma no exime de la diligencia personal. “Los usuarios deben seguir extremando precauciones: desconfiar de correos sospechosos, verificar los cambios de cuentas de proveedores y proteger sus credenciales”, destacan.

Punto de inflexión en la banca digital

El cambio no es menor. Supone pasar de un modelo basado en la fe ciega en los datos introducidos por el cliente a otro en el que los bancos asumen un papel activo de verificación y protección. En palabras de los abogados consultados, «lo que hasta ahora era una buena práctica se convierte en una obligación legal, y el fraude man-in-the-middle dejará de tener ese limbo jurídico que tanto ha perjudicado al consumidor».

Bruselas, esta vez, ha movido ficha. Y la banca española, que durante años ha esquivado responsabilidades amparándose en la literalidad del IBAN, tendrá que adaptarse. Porque a partir de octubre, cuando el cliente teclee una transferencia, el banco deberá mirar algo más que los números: deberá mirar a quién van realmente.