A partir del 9 de octubre, los bancos estarán obligados a cotejar nombre e IBAN en transferencias para prevenir fraudes de suplantación ‘man-in-the-middle’

El 9 de octubre de 2025 marcará un hito en el panorama bancario europeo. Ese día entrará en vigor una medida largamente demandada por especialistas en ciberseguridad y asociaciones de consumidores: las entidades financieras tendrán que comprobar que el nombre del beneficiario coincide con el IBAN antes de procesar transferencias inmediatas en euros.

Esta obligación, prevista en el artículo 5 quater del Reglamento (UE) 2024/886 de 13 de marzo de 2024, pretende frenar uno de los fraudes digitales más extendidos de los últimos años: el denominado ataque de suplantación man-in-the-middle, que ha causado importantes perjuicios tanto a usuarios particulares como a empresas y entidades bancarias y financieras.

Este cambio legislativo implica una revisión sustancial de la responsabilidad de los bancos en materia de fraude online. Hasta ahora, en España y en gran parte de Europa, el IBAN era considerado identificador único suficiente para ejecutar una transferencia. De hecho, el artículo 88 de la Directiva (UE) 2015/2366 (PSD2) exoneraba al proveedor de servicios de pago cuando el error derivaba de datos incorrectos facilitados por el ordenante. Así, si el cliente introducía un IBAN válido, la operación se aceptaba, aun cuando el nombre no coincidiera con el titular de la cuenta. A partir del 9 de octubre, esta práctica dejará de ser válida: la normativa exigirá verificar de forma obligatoria la correspondencia entre nombre e IBAN en las transferencias instantáneas.

El alcance de esta reforma supera la mera dimensión técnica: se consolida un nuevo estándar de seguridad y se intensifican los deberes de diligencia de las entidades financieras. Con ello, se refuerza también la protección de los usuarios, quienes hasta la fecha quedaban en un vacío legal cuando sufrían fraudes de suplantación.

(Imagen: E&J)

En qué consiste el fraude ‘man-in-the-middle’

El fraude man-in-the-middle (en inglés, “hombre en el medio”) describe un ataque en el que un tercero se introduce en la comunicación entre dos partes. En el contexto bancario, esto supone que el delincuente consigue interceptar o manipular los datos que circulan entre un cliente y su entidad o entre dos compañías que mantienen vínculos comerciales.

Algunos de los ejemplos más habituales son: interceptar correos electrónicos para alterar el IBAN en facturas; hacerse pasar por directivos o proveedores; o manipular mecanismos de autenticación bancaria.

La gravedad radica en que es el propio cliente quien ordena la transferencia: introduce sus credenciales, pasa la autenticación reforzada y valida la operación, aunque lo hace bajo engaño. Desde el punto de vista jurídico, no se trata de un cargo no autorizado, sino de una operación viciada en el consentimiento.

La cuestión principal es determinar la responsabilidad: ¿Quién responde cuando la transacción fue técnicamente autorizada pero obtenida mediante fraude? Hasta ahora, la jurisprudencia se inclinaba a favor del banco, que entendía cumplida su obligación al verificar el IBAN y autenticar la operación. Para los clientes, recuperar el dinero resultaba prácticamente imposible.

(Imagen: E&J)

Marco legal en España

La normativa española, tras la transposición de la PSD2 mediante el Real Decreto-ley 19/2018, consagró el principio del identificador único, atribuyendo al IBAN un carácter determinante. Así, mientras este fuera correcto y correspondiera a una cuenta existente, la entidad quedaba liberada de responsabilidad.

El Tribunal Supremo avaló este criterio en su sentencia núm. 507/2025, de 27 de marzo (caso Alvipre Factory, S.L. contra Banco Sabadell, S.A.). La Sala Civil concluyó que, mientras la operación estuviera debidamente autenticada y el IBAN fuera correcto, no podía exigirse al banco verificar el nombre, pues no existía previsión legal.

No obstante, esta resolución introdujo un matiz importante: si bien confirmaba la exoneración conforme a la normativa vigente, advertía que la entrada en vigor del Reglamento (UE) 2024/886 modificaría el reparto de responsabilidades. El Supremo subrayó que la obligación legal de cotejar el beneficiario cambiaría de manera sustancial el marco jurídico.

Experiencias europeas: verificación de beneficiario

Aunque la legislación de la UE no imponía hasta ahora esta verificación, algunos países ya habían desarrollado sistemas de prevención como buena práctica bancaria.

En el Reino Unido funciona desde hace años el sistema Confirmation of Payee (CoP), que compara automáticamente el nombre del beneficiario con los datos del banco receptor y alerta al cliente en caso de discrepancias.

En los Países Bajos, el mecanismo conocido como IBAN-Naam Check cumple una función similar. Ambos sistemas han demostrado su eficacia reduciendo significativamente los fraudes por suplantación y sirvieron de modelo para la nueva normativa europea, que pretende armonizar la protección en toda la Unión.

(Imagen: E&J)

Lo que establece el Reglamento a partir del 9 de octubre

El artículo 5 quater del Reglamento (UE) 2024/886 recoge obligaciones precisas:

• Verificación automática: antes de ejecutar la transferencia, deberá comprobarse la correspondencia entre el nombre del beneficiario y el IBAN.
• Alertas al cliente: en caso de divergencia, la entidad tendrá que advertir al usuario de que la operación podría dirigirse a una cuenta distinta.
• Supuestos especiales: el artículo 5 quater.1. d) regula escenarios en los que no se introduzca ni nombre ni IBAN (por ejemplo, algunas apps), obligando igualmente a garantizar la identificación correcta del beneficiario.
• Responsabilidad reforzada: según el artículo 5 quater.8, si la verificación no se realiza o se efectúa de forma defectuosa y ello ocasiona una operación errónea, el banco deberá reembolsar de inmediato al cliente.

Este último aspecto conecta con la doctrina del deber de identificación del beneficiario, que exige a las entidades implementar medidas de compliance como KYC, CDD o EDD. Así lo han señalado la STS 571/2025 (9 de abril) y la STJUE de 16 de marzo de 2023 (C-351/21). Asimismo, los considerandos artículos 20 y 22 del Reglamento refuerzan la idea de que la verificación protege tanto a los clientes como a las propias entidades diligentes.

Jurisprudencia española y responsabilidad reforzada de las entidades

Aunque hasta ahora la normativa favorecía a los bancos, la jurisprudencia española ya apuntaba hacia un régimen de responsabilidad más estricto. La STS 571/2025, en un caso de fraude por SIM swapping, afirmó que no basta con alegar que la operación fue autorizada, sino que deben aplicarse medidas de seguridad adicionales.

La sentencia núm. 507/2025 refleja esa transición: aplica aún el marco antiguo, pero anticipa el cambio regulatorio. Desde el 9 de octubre, las entidades estarán obligadas a cumplir con el artículo 5 quater; de lo contrario, incurrirán en responsabilidad directa y deberán reembolsar los fondos.

(Imagen: E&J)

Retos para las entidades financieras

Las entidades deberán afrontar un doble desafío:

• Tecnológico y operativo: implantar sistemas capaces de verificar en tiempo real el nombre del beneficiario, integrar algoritmos de coincidencia en banca digital y apps, almacenar evidencias y generar alertas claras y auditables.
• Jurídico y reputacional: el incumplimiento podrá dar lugar a litigiosidad creciente, pues los clientes contarán con un marco legal sólido para reclamar devoluciones. Además, la supervisión del BCE y de las autoridades nacionales exigirá demostrar cumplimiento constante. A nivel reputacional, quienes no se adapten a tiempo verán comprometida la confianza de sus clientes.

En definitiva, no se trata únicamente de un cambio técnico, sino de una transformación cultural: pasar de una postura defensiva a una estrategia de prevención activa en la que la diligencia se convierta en un factor competitivo.

Impacto para los consumidores

Para los usuarios, esta reforma supone un refuerzo esencial de la seguridad en las transferencias. Gracias a la verificación previa, será más difícil que los fondos terminen en cuentas fraudulentas. Las advertencias permitirán frenar operaciones sospechosas antes de que se confirmen.

Además, el artículo 5 quater. 8 reconoce expresamente el derecho al reembolso inmediato si la verificación no se lleva a cabo o se ejecuta de forma defectuosa. Se supera así el régimen anterior, donde el principio del identificador único limitaba gravemente las posibilidades de reclamación.

Por otra parte, la medida incrementa la confianza en el sistema financiero, especialmente en el caso de particulares y pymes que realizan pagos frecuentes. Aun así, la normativa no exime de la responsabilidad personal: los clientes deberán seguir atentos ante correos fraudulentos, cambios sospechosos en cuentas de proveedores o el uso indebido de sus credenciales. La educación financiera sigue siendo un complemento indispensable de la regulación.

El 9 de octubre de 2025 marcará un antes y un después: el sistema bancario europeo dejará atrás el modelo basado únicamente en el IBAN y trasladará a los bancos la obligación activa de verificar la identidad del beneficiario.

La sentencia núm. 507/2025 ya anticipaba este giro al reconocer que el criterio vigente quedaba obsoleto ante la nueva normativa. Lo que hasta ahora era una práctica recomendable pasa a convertirse en una exigencia legal: comprobar nombre e IBAN antes de procesar transferencias. Con ello, el fraude man-in-the-middle encontrará por fin un freno jurídico efectivo.