La estafa man-in-the-middle y los límites de la responsabilidad de las entidades bancarias

Artículos28 de julio de 2025
Las transferencias inmediatas traerán nuevas exigencias de seguridad para las entidades financieras frente al auge de fraudes sofisticados como el Man-in-the-Middle.

En un entorno cada vez más digitalizado, las estafas bancarias han experimentado una evolución significativa en términos de complejidad y sofisticación. Una de las modalidades de estafa que ha ganado mayor protagonismo en los últimos años es el ataque denominado "Man-in-the-Middle".

Este tipo de fraude consiste en interceptar sin autorización las comunicaciones entre dos dispositivos conectados a una red, lo que permite al atacante alterar y desviar los mensajes intercambiados entre los usuarios.

Uno de los escenarios más frecuentes implica la interceptación de una comunicación en la que se solicita un pago, de tal forma que el estafador modifica el IBAN de la cuenta bancaria en la que debe realizarse la transferencia con el objetivo de hacerse con el dinero. El proceso se desarrolla generalmente de la siguiente manera:

  • Una empresa recibe un correo electrónico de un proveedor, solicitando el pago de una factura por la prestación de unos servicios.
  • Sin que la empresa lo detecte, un atacante intercepta y manipula dicho correo electrónico, cambiando el número IBAN de la cuenta en la que debe realizarse el pago.
  • El ciberdelincuente se hace pasar por el proveedor, enviando el mensaje desde una dirección de correo electrónico casi idéntica a la original, pero con una ligera alteración que resulta casi imperceptible.
  • La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.

De este modo, se lleva a cabo una alteración informática con el objetivo de conseguir un desplazamiento patrimonial en detrimento del ordenante de la transferencia, tal y como contempla el artículo 249.1 apartado a) del Código Penal.

Cuando la empresa ordenante advierte el error, su primera reacción es intentar contactar con el banco receptor con la esperanza de que los fondos puedan ser bloqueados a tiempo. Sin embargo, en la mayoría de los casos, el ciberdelincuente ha sido más rápido: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, por lo que la única alternativa es presentar una denuncia.

Sin embargo, identificar al autor del delito no es una tarea sencilla. Los ciberdelincuentes operan con mecanismos complejos para ocultar su identidad y dificultar el rastreo del dinero, lo que hace que la posibilidad de recuperar el dinero directamente del delincuente sea cada vez más remota.

Ante esta situación, muchos afectados buscan otro camino: exigir la responsabilidad civil subsidiaria del banco que ejecutó la transferencia. Ahora bien, ¿puede el banco ser considerado responsable por procesar la operación?

La respuesta a esta cuestión se encuentra en el artículo 59 de la Ley de Servicios de Pago, que regula la responsabilidad de las entidades bancarias en situaciones donde se han utilizado identificadores incorrectos. Según esta normativa, cuando una orden de pago se ejecuta conforme al identificador único (IBAN) se considera válidamente procesada respecto al beneficiario asociado a dicho identificador. Es más, el apartado tercero de este artículo establece que, si el ordenante proporciona información adicional al IBAN, como, por ejemplo, el nombre del beneficiario, el banco no está obligado a comprobar su correspondencia. 

Este criterio ha sido respaldado por distintos Juzgados en el ámbito civil, tal y como recoge, por ejemplo, la Sentencia de la Audiencia Provincial de Zaragoza nº 87/2019, de 25 de marzo de 2019, que confirma que la responsabilidad de la entidad se limita a ejecutar la orden conforme al identificador único, sin que deba considerar otros datos adicionales.

En la misma línea, la Memoria de Reclamaciones de 2018 del del Departamento de Conducta de Mercado y Reclamaciones del Banco de España refuerza esta interpretación, recordando que las transferencias se procesan automáticamente según el IBAN indicado, sin que los bancos realicen verificaciones adicionales. Es decir, cualquier otra información incluida en la orden de pago, como el concepto de la transferencia, tiene un mero carácter informativo para el beneficiario y no supone una instrucción vinculante para la entidad.

Por lo tanto, la normativa parece clara: si hay un error en el identificador único (IBAN) al ordenar una transferencia, el banco receptor no debería asumir la responsabilidad. Su única obligación debería ser abonar los fondos en la cuenta indicada, sin realizar comprobaciones adicionales sobre la titularidad de la cuenta destinataria.

Sin embargo, el escenario se complica para las entidades bancarias con la entrada en vigor del Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a las transferencias inmediatas en euros. En el caso específico de las transferencias inmediatas, los bancos estarán obligados a implementar un sistema de verificación del beneficiario antes de ejecutar la operación. Esta nueva exigencia establece un estándar más estricto de diligencia para las entidades financieras e implicará un cambio significativo en la forma en que se distribuyen las responsabilidades ante casos de fraude o error.

Este nuevo marco normativo responde a la necesidad de reforzar la seguridad en un contexto donde los pagos instantáneos se han vuelto cada vez más comunes con el objetivo de ofrecer mayor protección al usuario frente a errores involuntarios y fraudes. Así, a partir del 9 de octubre de 2025, los proveedores de servicios de pago estarán legalmente obligados a comprobar que el nombre del beneficiario coincide con el IBAN proporcionado y a alertar al ordenante en caso de discrepancias.

No obstante lo anterior, teniendo en cuenta que las nuevas disposiciones aún se encuentran en período de implementación y no serán de obligado cumplimiento para las entidades bancarias hasta octubre de 2025, es fundamental que, en este tiempo de transición, tanto los bancos como los usuarios extremen las precauciones. Por un lado, las entidades financieras deben continuar mejorando sus sistemas de detección de operaciones sospechosas y reforzar los mecanismos de seguridad para prevenir fraudes. Por otro, los usuarios deben ser especialmente cuidadosos al realizar transferencias, verificando la autenticidad de los destinatarios y prestando atención a señales de alerta que puedan indicar una posible estafa, como solicitudes urgentes de pago, cambios inesperados en los datos de una cuenta bancaria o correos electrónicos que intentan suplantar identidades.

Artículo escrito por Marta Coro, abogada de Derecho Penal Económico y Compliance de ECIJA Madrid. 

Un paisaje desértico en blanco y negro con dunas de arena suavemente modeladas.

ACTUALIDAD #ECIJA