¿Cuándo no se podrá exigir responsabilidad al proveedor de servicios de pago si el IBAN facilitado por el ordenante resulta ser incorrecto?
El Tribunal Supremo exime de responsabilidad a Caixa Popular por ejecutar una orden de pago en la que el ordenante indicó un IBAN incorrecto y el banco no comprobó que el identificador único correspondía a la persona correcta
¿Cuándo no se podrá exigir responsabilidad al proveedor de servicios de pago si el IBAN facilitado por el ordenante resulta ser incorrecto?
El Tribunal Supremo exime de responsabilidad a Caixa Popular por ejecutar una orden de pago en la que el ordenante indicó un IBAN incorrecto y el banco no comprobó que el identificador único correspondía a la persona correcta
¿Es el proveedor de servicios de pago responsable cuando una orden de transferencia se ejecuta según el identificador único (IBAN) facilitado por el usuario de servicios de pago (ordenante), y este IBAN no coincide con el nombre del beneficiario de la transferencia en la cuenta de destino? En ese caso, ¿el banco tendría responsabilidad por no comprobar que el IBAN facilitado por el usuario de servicios de pago corresponde efectivamente a la persona designada como beneficiario?
Estas cuestiones sobre la responsabilidad del proveedor de servicios de pago han sido resueltas por la Sala de lo Civil del Tribunal Supremo en una sentencia dictada el pasado 27 de noviembre, y disponible en el botón ‘descargar resolución’.
El fallo judicial llega a raíz de que una mercantil ordenase una orden de pago a través de su identidad bancaria de casi 16.000 euros a favor de su proveedor, quien tenía una cuenta en la Caixa Popular- Caixa Rural Cooperativa de Crédito V (siendo esta la entidad proveedora del servicio de pago del beneficiario).
En esa orden de pago, la sociedad ordenante indicaba el país de destino (España), la moneda (euros), el importe, la cuenta de origen y la cuenta de destino, con sus correspondientes IBAN, la identidad del beneficiario (el nombre de la mercantil proveedora) y el concepto. El problema fue que el IBAN del beneficiario en la Caixa Popular (esto es, en la cuenta de destino) indicado por el ordenante resultó ser erróneo; error que fue provocado porque recibió un email de un tercero que suplantó la identidad del destinatario (del proveedor) e indicó el IBAN de la cuenta a la que había de transferirse el importe (evidentemente, una cuenta bancaria que no era la correspondiente a la del proveedor, sino a la de los estafadores). Como consecuencia de ello, el dinero transferido fue ingresado en una cuenta bancaria de titularidad desconocida en la Caixa Popular (la cuenta indicada por el suplantador).
Suscríbete a nuestra
NEWSLETTER
La sociedad que había ordenado la transferencia interpuso una demanda contra la entidad proveedora de servicios de pago del beneficiario —esto es contra Caixa Popular—, en la que ejercitaba una acción de responsabilidad extracontractual y le reclamaba la indemnización de daños y perjuicios por la cantidad que había transferido, más los intereses.
(Imagen: Caixa Popular)
Si el IBAN facilitado por el ordenante es incorrecto, el proveedor de servicios de pago no es responsable
Los hechos ocurrieron en 2019, por lo que la cuestión aquí debatida se refiere a la aplicación del artículo 59.3 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (RD-l 19/2018), que resulta de aplicación ya que la orden de pago controvertida se realizó en octubre de 2019.
El artículo 59.3 RD-l 19/2018 (por el que se transpone el art. 88.5 DUE 2015/2366) determina que cuando el usuario de servicios de pago facilita información adicional, el proveedor de servicios de pago únicamente responde de la ejecución de la operación de pago de acuerdo con el identificador único indicado por aquél.
De ese sistema normativo (artículo 59.3 RD-l 19/2018), el Tribunal Supremo deduce que la responsabilidad de los proveedores de servicios de pago en la ejecución de una orden de pagos de acuerdo con el identificador único se acota a la correspondencia con el identificador único (el IBAN). De forma que si el IBAN facilitado por el ordenante es incorrecto, y los fondos se abonan a un destinatario distinto del beneficiario, el proveedor de servicios de pago no será responsable.
“Es más: incluso si el ordenante facilita información adicional (por ejemplo, el nombre del beneficiario)” —como ocurrió en el presente caso, en el que el ordenante indicó en la orden de transferencia el nombre del beneficiario como información adicional— “el proveedor de servicios de pago únicamente responde de la ejecución de la orden de pago de acuerdo con el identificador único facilitado por el ordenante, puesto que queda dispensado de la obligación de comprobar si el identificador único facilitado por el usuario de servicios de pago corresponde efectivamente a la persona designada como beneficiario”, aclara el Tribunal Supremo.
Por tanto, en el presente caso, Caixa-Popular, en calidad de proveedor de servicios de pago del beneficiario, ejecutó la orden de pago según el IBAN facilitado por el ordenante, quien también había indicado como información adicional el nombre del beneficiario. Sin embargo, el IBAN era incorrecto al no corresponder con el del beneficiario de la trasferencia; error en el que incurrió el ordenante tras ser víctima del fraude man-in-the-middle —un tipo de ciberataque en el que un tercero se introduce en la comunicación entre dos partes—.
Sin embargo, para el Tribunal Supremo, aunque es cierto que Caixa Popular ejecutó la orden de pago, lo hizo de acuerdo con el IBAN facilitado por el usuario de servicios de pago (la sociedad ordenante). Por lo que Caixa Popular “no es responsable de que los importes dinerarios se hayan abonado a un destinatario distinto del beneficiario (cuyo nombre indica también el ordenante como información adicional), puesto que el proveedor de servicios de pago no tiene que asumir la responsabilidad por haber utilizado el ordenante un identificador único incorrecto”.
(Imagen: E&J)
Desde octubre, el banco está obligado a comprobar que el IBAN corresponde con el nombre del beneficiario
Esta sentencia fue dictada por la Sala de lo Civil del Tribunal Supremo el pasado 27 de noviembre, por unos hechos ocurridos en el año 2019, y estando sujetas las entidades bancarias al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
Es decir, en el caso enjuiciado, la entidad bancaria ha sido eximida de responsabilidad alguna pro los hechos al serle de aplicación el citado Real Decreto-ley, y más concretamente, lo dispuesto en el artículo 59.3 de la norma. Y como consecuencia de dicho texto legal, el proveedor de servicios de pago no es responsable si el identificador único facilitado por el ordenante es incorrecto y los fondos se abonan a un destinatario distinto del beneficiario.
Sin embargo, las entidades bancarias no pueden “aferrarse” a este reciente fallo judicial para eximirse de responsabilidad en casos similares, pues tal y como informó Diego Zapatero, socio en Asoban Abogados, a principios de octubre de este año en Economist & Jurist, desde el 9 de octubre de 2025 los bancos están obligados a comprobar en las transferencias que el nombre del beneficiario y el IBAN corresponden antes de procesar las transferencias.
“Esta obligación, prevista en el artículo 5 quater del Reglamento (UE) 2024/886 de 13 de marzo de 2024, pretende frenar uno de los fraudes digitales más extendidos de los últimos años: el denominado ataque de suplantación man-in-the-middle, que ha causado importantes perjuicios tanto a usuarios particulares como a empresas y entidades bancarias y financieras”, explicó Diego Zapatero en este medio.
