Desde el pasado 9 de octubre de 2025, el reparto de responsabilidades por fraudes bancarios en España ha cambiado de forma sustancial. El Tribunal Supremo mantenía su doctrina histórica, que protegía a las entidades cuando el cliente introducía un IBAN incorrecto, pero deja claro que ese criterio ya no es aplicable al nuevo marco legal.
Desde esa fecha, los bancos están obligados a comprobar que el número de cuenta coincide con el beneficiario real antes de ejecutar una transferencia. Si no lo hacen y se produce una suplantación de identidad, la responsabilidad económica recae en la entidad.
Un fallo que miraba al pasado y anticipaba el cambio
El aviso aparece en una sentencia de 27 de noviembre, en la que el Supremo analiza un fraude ocurrido en 2019. En ese caso, una empresa realizó varias transferencias tras recibir un correo electrónico fraudulento que simulaba proceder de un proveedor habitual e informaba de un cambio de cuenta.
El dinero acabó en manos de un tercero, pero el tribunal descartó la responsabilidad del banco. La razón fue estrictamente temporal: las operaciones se realizaron bajo la normativa vigente entonces, el Real Decreto-ley de 2018 sobre servicios de pago.
Qué permitía la normativa anterior
Esa regulación consideraba correctamente ejecutada una transferencia si los fondos llegaban al identificador único facilitado por el ordenante, es decir, el IBAN. No existía obligación legal de verificar que ese número correspondiera realmente al beneficiario indicado por nombre.
Cuando se detectaba un fraude, el deber del banco se limitaba a intentar recuperar los fondos con diligencia y, si el cliente lo solicitaba, facilitar información para posibles acciones legales. La devolución automática del dinero no estaba prevista.
La reforma que ya está en vigor
El escenario cambió con la reforma del reglamento europeo de servicios de pago aprobada en marzo de 2024. Esa modificación introdujo una obligación clara: verificar la coincidencia entre beneficiario y cuenta bancaria antes de ejecutar la transferencia.
Desde el 9 de octubre de 2025, esta exigencia es plenamente aplicable. Tal y como anticipaba el Supremo, la falta de verificación puede traducirse ya en responsabilidad directa del banco en los casos de fraude por suplantación.
Más fraude, más presión regulatoria
Este giro se produce en un contexto de crecimiento sostenido del phishing. Estimaciones basadas en datos del Instituto Nacional de Ciberseguridad y del Banco de España sitúan el impacto económico de estos fraudes en torno a 170 millones de euros en 2025.
Las previsiones apuntan a unos 30.000 casos anuales, impulsados por el aumento de ataques vía móvil y por el uso de inteligencia artificial para generar mensajes falsos cada vez más creíbles. Un escenario que explica por qué la regulación europea y los tribunales han endurecido las exigencias de control para el sector financiero.
