El aumento de la ciberdelincuencia en los últimos años es tan significativo que exige respuestas legislativas y judiciales contundentes. Las pérdidas por fraude en línea en Europa superan los 100 000 millones de dólares, según Nasdaq Ventures, de los cuales 5000 millones corresponden a España.
En España, en 2019 se denunciaron 192.375 casos de fraude informático, cifra que ascendió a 427.448 en 2023. Según los últimos datos oficiales disponibles, el fraude informático representa el 90,4% de todos los delitos cibernéticos, con un crecimiento del 378% entre 2016 y 2023.
Existen muchos tipos diferentes de fraude informático, y se denominan en inglés (al fin y al cabo, la lengua franca de nuestro tiempo), incluyendo, entre otros ingeniosos métodos utilizados por hábiles estafadores, aquellos con nombres curiosos y divertidos (excepto para quienes los sufren) como phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, y el que nos interesa hoy, el ataque del intermediario (MITM).
Estafa del intermediario: cómo funciona
Este fraude de intermediario (MITM) consiste en interceptar las comunicaciones entre dos dispositivos conectados a una red, lo que permite al atacante alterar y desviar los mensajes intercambiados entre los usuarios. El estafador intercepta una comunicación en la que un usuario solicita un pago a otro y, a continuación, modifica el IBAN de la cuenta bancaria a la que debería realizarse la transferencia para obtener el dinero. El proceso generalmente se desarrolla de la siguiente manera:
- Sin que la empresa se dé cuenta, un atacante intercepta y manipula un correo electrónico, cambiando el número IBAN de la cuenta a la que debería realizarse el pago.
- El ciberdelincuente suplanta la identidad del proveedor, enviando el mensaje desde una dirección de correo electrónico casi idéntica a la original, pero con una ligera alteración casi imperceptible.
- La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.
Esto da lugar a una transferencia de activos en detrimento de quien la ordena y en beneficio del ciberdelincuente. Cuando quien ordena la transferencia se percata del error, su primera reacción es intentar contactar con el banco receptor con la esperanza de que los fondos se bloqueen a tiempo. Sin embargo, en la mayoría de los casos, el ciberdelincuente se ha adelantado: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, salvo la posibilidad de iniciar acciones legales, que analizaremos más adelante.
La pregunta inmediata es qué responsabilidad tiene el banco que ha recibido la orden de transferencia del usuario engañado y abona en la cuenta del ciberdelincuente el importe en cuestión en los casos en que el pagador identifica no solo el IBAN (fraudulento) sino también el nombre del beneficiario de la orden de pago, que obviamente no coincide con el nombre del titular de la cuenta bancaria que recibe los fondos.
La respuesta lógica sería que el banco receptor de la transferencia debería confirmar que el titular de la cuenta donde se abonan los fondos y la persona física o jurídica identificada como beneficiaria en la orden de transferencia coinciden; de no ser así, debería suspender el pago y solicitar aclaraciones al ordenante. Sin embargo, esto no se aplica a la legislación de la UE y su transposición al derecho español, como veremos más adelante.
Hasta el 9 de octubre, el sistema bancario europeo operaba bajo la premisa de que la validez de una transferencia dependía exclusivamente de la exactitud del IBAN. En otras palabras, si el número de cuenta era correcto, la transacción se consideraba válida, incluso si el nombre del beneficiario no coincidía. Esta práctica ha dado lugar a numerosos casos de fraude, errores involuntarios y pérdida de fondos, especialmente en las transferencias instantáneas, donde la rapidez puede comprometer la seguridad.
La opción más razonable para que el pagador defraudado recupere su dinero es demandar al banco que recibe la orden de pago (con el que no tiene ninguna relación contractual) por responsabilidad extracontractual según el artículo 1124 del Código Civil; de hecho, los procedimientos penales contra el titular de la cuenta, a quien se suele denominar coloquialmente «mula», no suelen tener un resultado satisfactorio, tanto porque el deudor suele escapar como por su falta de solvencia.
La jurisprudencia de los Tribunales Provinciales se ha dividido entre resoluciones que aplicaron estricta y fielmente el artículo 59 del Real Decreto-ley 19/2018, de 23 de noviembre, sobre servicios de pago y otras medidas financieras urgentes, desestimando las reclamaciones de los defraudados, y otras en las que se buscaron argumentos bajo la premisa de falta de diligencia para condenar al banco a indemnizar al pagador.
Esto ha dado lugar al establecimiento de una responsabilidad cuasi objetiva para los bancos en relación con el fraude digital, imponiéndoles un mayor nivel de diligencia y transfiriéndoles el riesgo inherente a la banca en línea, salvo en casos de dolo o negligencia grave por parte del cliente. Esta línea de razonamiento, desarrollada a partir de sentencias de tribunales inferiores (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) e incluso del propio Tribunal Supremo (STS 571/2025, entre otras), se ajusta a la idea de que corresponde al banco demostrar que sus sistemas eran seguros, estaban actualizados y eran suficientes para prevenir la comisión del delito.
En este contexto, el concepto de bono argentarius cobra renovada relevancia. Este principio, incluido en la Ley 57/68 para proteger a los compradores de vivienda en el sector inmobiliario, ha sido reiteradamente reconocido por el Tribunal Supremo como aplicable a otras inversiones financieras. Esto significa que, en caso de pérdidas por negligencia de la entidad financiera, el cliente puede interponer una reclamación al amparo de la Ley 57/68 y exigirle responsabilidades.
El bono argentarius se basa en la presunción de culpa por parte de la entidad financiera, lo que significa que, aunque el cliente no tenga pruebas concretas de negligencia, se presume que existe debido al deber de diligencia que la entidad debe ejercer en la gestión de las inversiones.
En base a este principio, la diligencia exigida a los profesionales financieros no es la del inversor medio o el cabeza de familia, sino la de un experto cualificado que asume la obligación de proteger los fondos que se le confían mediante la implementación de mecanismos de seguridad «necesarios y renovables». Esto implica no solo mantener medidas técnicas básicas para una mayor autenticación, sino también adoptar de forma proactiva soluciones antifraude reconocidas internacionalmente, como la verificación del nombre y el IBAN (Confirmación del Beneficiario o Verificación IBAN-Naam), que han demostrado su eficacia en jurisdicciones similares.
En consonancia con esa doctrina y jurisprudencia, puede decirse que la omisión de medidas de verificación del beneficiario constituye hoy un incumplimiento del deber contractual de diligencia y buena fe (artículos 1104 y 1258 del Código Civil), dando lugar a responsabilidad civil por los daños causados, de modo que el fraude MITM no puede considerarse un riesgo residual atribuible al cliente, sino más bien un fallo sistémico de seguridad atribuible a la entidad financiera, como diseñadora y custodia del canal de pago electrónico.
Ante esta situación, el Tribunal Supremo, en su reciente sentencia de 27 de marzo de 2025, optó por la alternativa de la aplicación estricta del artículo 59, argumentando que « si el usuario del servicio de pago proporciona información adicional a la requerida (especificación de la información o identificador único que el usuario del servicio de pago debe proporcionar para la correcta iniciación o ejecución de una orden de pago), el proveedor del servicio de pago solo será responsable de la ejecución de las transacciones de pago de conformidad con el identificador único proporcionado por el usuario del servicio de pago… y que la responsabilidad del proveedor del servicio de pago, tanto a nivel comunitario como nacional, es tal que cumple su obligación ejecutando la transacción de pago de conformidad con el identificador único, sin la adición de información adicional que implique un mayor nivel de diligencia».
Es cierto que, en conclusión, el Tribunal Supremo ofreció un atisbo de esperanza a los usuarios defraudados al afirmar que “ la interpretación expuesta anteriormente no exime de responsabilidad al proveedor de servicios de pago cuando se constata que circunstancias ajenas a la aportación de datos adicionales contribuyeron a la ejecución defectuosa de la transacción, ya sea por un requisito o exigencia adicional (por ejemplo, la identificación del beneficiario), o porque el proveedor de servicios de pago del ordenante o del beneficiario se aprovechó del error en su propio beneficio, o porque, una vez comunicada sin demora la existencia del error, alguno de los dos no adoptó las medidas exigidas por la diligencia de un operador experto para permitir la retroactividad o, en su caso, minimizar el daño”.
Reglamento (UE) 2024/886: un cambio de paradigma
Y en este escenario plagado de dudas, irrumpe el Reglamento (UE) 2024/886, que representa un giro de 180 grados y un cambio de paradigma: el nuevo Reglamento europeo, aprobado en abril de 2024 y que entrará en vigor el 9 de octubre de 2025, establece una obligación clara para los bancos: deben verificar que el nombre del beneficiario proporcionado por el ordenante coincide con el titular del IBAN antes de ejecutar una transferencia inmediata en euros.
Las nuevas características de esta regulación son
- Aplicación obligatoria a todas las transferencias instantáneas dentro del área SEPA.
- El nuevo sistema de cotejo de nombres: si existe una discrepancia entre el nombre y el IBAN, el banco debe alertar al cliente antes de ejecutar la transacción, y
- Mayor responsabilidad de las entidades financieras en caso de fraude o error debido a la falta de verificación.
En resumen, el objetivo es reducir el riesgo de fraude, proteger a los consumidores y aumentar la confianza en los pagos digitales.
Esto significa que la Ley 19/2018, que regula los servicios de pago en España y no exige la verificación de la identidad del beneficiario, está ahora desactualizada, lo que subraya la necesidad de una revisión legislativa nacional para armonizar el marco legal con los requisitos europeos.
En conclusión, la obligación de verificar al beneficiario de las transferencias representa un avance significativo en la protección del consumidor y la lucha contra el fraude financiero. El Reglamento (UE) 2024/886 marca un punto de inflexión en las operaciones bancarias, al imponer a las entidades la responsabilidad activa de garantizar la autenticidad de las transferencias.
En cualquier caso, sigue abierta la cuestión de la solución a los fraudes de intermediario (MITM) perpetrados antes del 9 de octubre de 2025 y la responsabilidad de la entidad bancaria. Por el momento, la sentencia del Tribunal Supremo del 27 de marzo, ya mencionada, impide la presentación de reclamaciones contra los bancos, pero no se puede descartar que la entrada en vigor del Reglamento 2024/886 y el consiguiente cambio de paradigma conlleven una revisión de la postura del Tribunal Supremo, en consonancia con la responsabilidad cuasi objetiva que han mantenido los tribunales inferiores. Habrá que esperar para ver qué sucede, pero dicho cambio supondría un gran avance para los usuarios bancarios que han sufrido este tipo de fraude MITM y otros tipos de fraude cibernético.