- Avanza un cambio de jurisprudencia tras la nueva normativa de seguridad de la UE
- Las entidades están obligadas a verificar que la cuenta corresponde al beneficiario
El Tribunal Supremo (TS) advierte que los bancos tendrán que responsabilizarse de los fraudes por suplantación de identidad y devolver el dinero a los clientes si no verifican que el número de cuenta (IBAN) se corresponde con el del verdadero beneficiario.
El alto tribunal, en un fallo del 27 de noviembre, mantiene aún su anterior postura, es decir, que las entidades no tienen por qué devolver el dinero a los clientes si le dieron un IBAN erróneo, pero avisa de que la normativa ha cambiado desde el pasado 9 de octubre de 2025. Por tanto, la banca no tiene por qué asumir responsabilidades en las transferencias previas a esta fecha, aunque avanza que, a partir de entonces, habrá que ver si han cumplido con la nueva obligación de verificar el número de cuenta y el beneficiario para evitar fraudes y, de lo contrario, tendrán que responder por el daño económico al afectado.
El Supremo resuelve el litigio entre una empresa que recibió un email que suplantaba la identidad de un proveedor y que indicaba que había cambiado el número de cuenta. La firma ordenó varias transferencias a ese nuevo IBAN aportado en el correo electrónico fraudulento, llegando el dinero al destinatario falso. La sentencia indica que como las transferencias tuvieron lugar el 18 de octubre de 2019, la norma que corresponde aplicar es la que estaba vigente entonces, el Real Decreto-ley de 2018 sobre servicios de pago.
Esta norma establecía que se entiende correctamente ejecutada una transferencia si va a parar al número de cuenta que el ordenante ha facilitado. Es decir, no obligaba a verificar que este número se correspondía con el verdadero beneficiario. En todo caso, según el Real Decreto-ley, una vez evidenciado el fraude, los bancos tenían el deber de diligencia de intentar recuperar los fondos y si el afectado lo solicitaba por escrito, facilitarle toda la información en su poder para poder emprender acciones legales.
El tribunal recuerda que, hasta el momento, su postura es que el banco no es responsable cuando el usuario daba un IBAN defectuoso. Sin embargo, indica que en marzo de 2024 la Unión Europea ha cambiado el Reglamento de servicios de pago que, desde el 9 de octubre de 2025, obliga a las entidades a verificar al beneficiario al que se tenga la intención de enviar la transferencia. Avanzando una futura postura en los fraudes que tengan lugar a partir de esa fecha.
Juan Ignacio Navas, socio-director de Navas & Cusí, explica que hasta ahora las entidades se refugiaban en el Real Decreto-ley de 2018 que señala en su artículo 59 que si una orden de pago se ejecuta conforme al identificador único (IBAN) está correctamente ejecutada, aunque el nombre no coincida.
«En las audiencias provinciales había debate porque algunas entendían que el banco tenía además un deber de diligencia. Pero el Supremo aclaró en su sentencia (del 1 de abril de 2025) que no, que la entidad no respondía si actuaba conforme al IBAN indicado», asevera.
«Sin embargo, en esta reciente sentencia, el Supremo mantiene el mismo criterio, pero advierte que desde el 9 de octubre el escenario ha cambiado y que en todos los hechos posteriores a dicha fecha, el banco deberá de asumir la responsabilidad, estén preparados o no», añade el socio-director de Navas & Cusí.
El despacho calcula en 170 millones de euros el impacto económico del phishing (suplantación de identidad) para el 2025 basándose en datos del Instituto Nacional de Ciberseguridad (INCIBE) y el Banco de España.
El INCIBE estima que habrá 30.000 casos de phishing este año, ante el auge de ataques vía móvil y por la inteligencia artificial (IA).
Fuente de la noticia: El Economista
