Adiós al punto ciego de las transferencias: los bancos tendrán que cotejar nombre e IBAN

A partir de este jueves, 9 de octubre, cambia la forma de hacer transferencias inmediatas en euros. Los bancos ya no podrán limitarse a procesar la operación cuando el cliente introduzca un IBAN válido y deberán comprobar que el nombre del beneficiario coincide con la cuenta antes de ejecutar el pago. El objetivo es evitar la laguna del sistema europeo de pagos que facilitaba el fraude conocido como man in the middle.

Hasta ahora, si un usuario escribía mal un IBAN o era víctima de una suplantación, el banco quedaba exonerado al entender que había cumplido con su deber técnico. Desde hoy, esa dispensa se matiza. Si la entidad no acredita haber cotejado los datos o no advirtió al cliente de la discrepancia, deberá reembolsar el dinero de forma inmediata.

El nuevo requisito deriva del artículo 5 quater del Reglamento (UE) 2024/886, que modifica la directiva PSD2 y armoniza el sistema de pagos instantáneos en la zona euro. La norma obliga a los proveedores de servicios de pago –bancos y plataformas– a implantar la verificación del beneficiario en todas las transferencias inmediatas en euros.

Según explica Diego Zapatero, socio de Asoban Abogados, el nuevo sistema «supera el esquema anterior centrado en el identificador único y eleva el estándar de diligencia exigible a las entidades». «Verificar significa cotejar la identidad del beneficiario con el IBAN. Si no hay coincidencia, el proveedor del ordenante debe avisar antes de autorizar, informando de que continuar podría enviar fondos a una cuenta de un tercero», añade.

Cuando la diferencia sea mínima –por ejemplo, una letra omitida o un nombre abreviado–, el sistema mostrará el nombre asociado al IBAN para que el cliente pueda confirmar manualmente si sigue adelante.

El Reglamento también regula los supuestos de responsabilidad. Si la verificación no se realiza o se hace de forma defectuosa, la entidad deberá restituir de inmediato el importe al cliente y asumir el coste del error. «Se consagra una cadena de responsabilidad entre proveedores, de modo que cada actor soporte el coste de sus propias deficiencias», añade Zapatero.

El estándar afecta a todos los países del euro y busca que los consumidores tengan un nivel homogéneo de protección, independientemente del banco o la aplicación que utilicen.

Fraude del ‘man in the middle’

La reforma intenta poner coto al fraude de suplantación conocido como man in the middle, una modalidad en auge según la Policía Nacional, por el que los delincuentes interceptan comunicaciones entre empresas o particulares para redirigir pagos legítimos a cuentas falsas. El Instituto Nacional de Ciberseguridad (Incibe) lo considera uno de los ataques más difíciles de detectar, porque el ciberdelincuente se interpone en la conversación sin alterar, en apariencia, el intercambio entre las partes.

Los estafadores aprovechan vulnerabilidades de redes wifi inseguras, equipos sin actualizar o correos falsificados para infiltrar malware o interceptar comunicaciones. Así, el atacante puede modificar una factura, sustituir una cuenta bancaria o incluso crear un correo idéntico al de un proveedor real. Las víctimas creen estar abonando una deuda legítima, pero el dinero acaba en manos de los estafadores.

Hasta ahora, cuando una empresa caía en esta trampa, recuperar los fondos era casi imposible ya que el banco se amparaba en que el IBAN era válido

El Incibe recomienda medidas preventivas como acceder solo a sitios HTTPS, usar contraseñas robustas, evitar redes públicas y mantener actualizado el software corporativo.

Hasta ahora, cuando una empresa caía en esta trampa, recuperar los fondos era casi imposible ya que las transferencias se procesaban automáticamente y el banco se amparaba en que el IBAN era válido. El nuevo reglamento busca precisamente cerrar esa puerta.

Deber legal

Hasta ahora, el artículo 88 de la directiva PSD2 liberaba a las entidades de culpa si el error partía del ordenante. Con el nuevo artículo 5 quater, ese principio se matiza y la entidad solo quedará exenta si demuestra que verificó correctamente el beneficiario o que advirtió de la discrepancia.

Zapatero recuerda que esta obligación «convierte en deber legal lo que antes era una buena práctica» y que el Tribunal Supremo español «ya apuntó a este cambio en su sentencia 507/2025, caso Alvipre Factory contra Banco Sabadell», al reconocer que el nuevo Reglamento desplazará la diligencia hacia la verificación del beneficiario.

La carga de la prueba en caso de fraude recaerá ahora en la entidad, que deberá conservar registros, trazas y evidencias de las advertencias emitidas

A partir de ahora, la carga de la prueba en caso de fraude recaerá en la entidad, que deberá conservar registros, trazas y evidencias de las advertencias emitidas. «Sin trazabilidad, el camino del reembolso conforme al artículo 5 quater.8 queda expedito», resume el abogado.

El Reglamento prevé también un régimen de compensación interproveedores, de modo que, si la culpa corresponde al banco receptor o al iniciador del pago, estos deberán resarcir al proveedor del ordenante. En palabras de Zapatero, «se refuerza la disciplina SEPA y se reduce el margen para arbitrajes o lagunas de responsabilidad».

Doble validación

Los despachos especializados recomiendan revisar las políticas internas de pagos y extremar las precauciones en las transferencias de importe elevado. «Es esencial mantener doble validación ante cambios de cuenta de proveedores, exigir a la entidad evidencias de verificación y revisar cualquier opt-out en pagos masivos», apunta Zapatero.

También conviene formar al personal, segregar funciones en tesorería y documentar todos los pasos, especialmente en operaciones B2B.

El Incibe, por su parte, recuerda que la prevención técnica sigue siendo la mejor defensa: recomienda usar VPN seguras, no conectarse a wifis públicas, mantener el antivirus actualizado y proteger las páginas corporativas con certificado SSL. El instituto subraya que la verificación automatizada es un avance importante, pero que la prudencia del usuario sigue siendo un factor decisivo en la seguridad de los pagos digitales.

Traslada la responsabilidad

A partir de este jueves, las transferencias serán más seguras, pero también más lentas y trazables. Para Zapatero, «las controversias futuras se resolverán bajo un estándar de verificación y advertencia exigible, con el reembolso como regla cuando no se acredite su cumplimiento». Es decir, la nueva norma traslada parte de la responsabilidad del cliente al sistema bancario.

Un cambio que, según los expertos, podría reducir significativamente las estafas de suplantación, pero que también exigirá a las entidades mayor inversión tecnológica, supervisión y coordinación.