A partir del 9 de octubre, los bancos estarán obligados a cotejar nombre e IBAN en transferencias para prevenir fraudes de suplantación ‘man-in-the-middle’

Las entidades financieras tendrán que comprobar que el nombre del beneficiario coincide con el IBAN antes de procesar transferencias inmediatas en euros

(Imagen: E&J)

Diego Zapatero

Socio responsable del área de nulidad de Préstamos y Avales ICO COVID-19 en Asoban Abogados

Tiempo de lectura: 6 min

Publicado

03/10/2025 14:00

CONVERTIR A PDF

Artículos

A partir del 9 de octubre, los bancos estarán obligados a cotejar nombre e IBAN en transferencias para prevenir fraudes de suplantación ‘man-in-the-middle’

Las entidades financieras tendrán que comprobar que el nombre del beneficiario coincide con el IBAN antes de procesar transferencias inmediatas en euros

(Imagen: E&J)

El 9 de octubre de 2025 marcará un hito en el panorama bancario europeo. Ese día entrará en vigor una medida largamente demandada por especialistas en ciberseguridad y asociaciones de consumidores: las entidades financieras tendrán que comprobar que el nombre del beneficiario coincide con el IBAN antes de procesar transferencias inmediatas en euros.

Esta obligación, prevista en el artículo 5 quater del Reglamento (UE) 2024/886 de 13 de marzo de 2024, pretende frenar uno de los fraudes digitales más extendidos de los últimos años: el denominado ataque de suplantación man-in-the-middle, que ha causado importantes perjuicios tanto a usuarios particulares como a empresas y entidades bancarias y financieras.

Este cambio legislativo implica una revisión sustancial de la responsabilidad de los bancos en materia de fraude online. Hasta ahora, en España y en gran parte de Europa, el IBAN era considerado identificador único suficiente para ejecutar una transferencia. De hecho, el artículo 88 de la Directiva (UE) 2015/2366 (PSD2) exoneraba al proveedor de servicios de pago cuando el error derivaba de datos incorrectos facilitados por el ordenante. Así, si el cliente introducía un IBAN válido, la operación se aceptaba, aun cuando el nombre no coincidiera con el titular de la cuenta. A partir del 9 de octubre, esta práctica dejará de ser válida: la normativa exigirá verificar de forma obligatoria la correspondencia entre nombre e IBAN en las transferencias instantáneas.