El 9 de octubre de 2025 no será una fecha cualquiera para el sector bancario europeo. Entra en vigor una obligación largamente reclamada por expertos en seguridad y asociaciones de consumidores: los bancos deberán verificar que el nombre del beneficiario coincide con el IBAN antes de ejecutar transferencias instantáneas en euros. Una medida que recoge el artículo 5 quater del Reglamento (UE) 2024/886, de 13 de marzo de 2024, para frenar a una de las ciberestafas más extendidas en los últimos años, el fraude de suplantación man-in-the-middle, un dolor de cabeza para particulares, empresas y entidades financieras.
Este cambio normativo supone un giro en el marco de responsabilidad de los bancos en los fraudes online. Hasta ahora, en España y gran parte de Europa, el IBAN se consideraba el identificador único suficiente para ejecutar transferencias. De hecho, el artículo 88 de la Directiva (UE) 2015/2366 (PSD2) establecía el principio de ausencia de responsabilidad del proveedor de servicios de pago cuando el error procedía de datos incorrectos facilitados por el ordenante. Si el cliente introducía un IBAN válido, el banco daba por buena la operación, incluso aunque el nombre del destinatario no coincidiera con el titular real. Ahora, será obligatorio verificar la correspondencia entre nombre e IBAN en las transferencias instantáneas.
La trascendencia del cambio va más allá de una modificación técnica. Representa la consolidación de un nuevo estándar de seguridad y un refuerzo de las obligaciones de diligencia para las entidades. Además, supone mayor protección de los consumidores, que hasta ahora se veían atrapados en un limbo jurídico como víctimas de fraudes de suplantación.
Qué es el man-in-the-middle
En el fraude man-in-the-middle (del inglés, “hombre en el medio”), el delincuente se interpone en la comunicación entre dos partes. En el ámbito bancario, el tercero logra acceder o manipular la información que circula entre el cliente y su banco, o entre dos empresas que mantienen relaciones comerciales. Entre los casos más comunes están la intercepción de emails para modificar el IBAN en facturas; la suplantación de identidad de directivos, proveedores o empleados del banco; o incluso la manipulación de sistemas de autenticación.
La gravedad radica en que la orden de transferencia parte realmente del cliente, que introduce sus credenciales, supera la autenticación reforzada y valida la operación, aunque engañado. Jurídicamente, no es un cargo no autorizado, sino una operación viciada en el consentimiento. Pero, ¿quién es responsable cuando la operación fue técnicamente autorizada pero inducida por un engaño? Hasta ahora se consideraba cumplida la obligación del banco si verificaba el IBAN y la autenticación. Sin embargo, para el cliente, recuperar los fondos era casi imposible.
El marco legal español y el papel del IBAN
La legislación española, siguiendo la transposición de la PSD2 mediante el Real Decreto-ley 19/2018, consagró el principio de identificador único, atribuyendo al IBAN la condición de elemento determinante. En consecuencia, mientras el IBAN fuera válido y correspondiera a una cuenta real, la entidad quedaba exonerada de responsabilidad.
El Supremo ha respaldado este criterio. En la Sentencia núm. 507/2025, de 27 de marzo, caso Alvipre Factory, S.L. contra Banco Sabadell, S.A., la Sala de lo Civil concluyó que la entidad no es responsable si la operación fue autenticada conforme a los procedimientos y el IBAN era correcto, pues exigir la verificación del nombre no se preveía legalmente.
No obstante,aunque dicha resolución confirmó la exoneración de la entidad bajo la normativa entonces vigente, dejó expresamente abierta la posibilidad de un cambio de criterio con la entrada en vigor del Reglamento (UE) 2024/886. En su fundamentación, el Supremo destacó que la imposición legal de la verificación del beneficiario podría modificar radicalmente la distribución de responsabilidades, anticipando así el nuevo paradigma normativo.
Si bien la normativa europea no había impuesto hasta ahora la obligación de cotejar nombre e IBAN, algunos países implantaron sistemas avanzados como buena práctica bancaria, tales como el Reino Unido o los Países Bajos.
El cambio normativo llega el 9 de octubre
El artículo 5 quater del Reglamento (UE) 2024/886 introduce varias obligaciones específicas:
- Verificación automática: antes de ejecutar la transferencia, debe comprobarse la coincidencia entre el IBAN y el nombre del beneficiario.
- Alertas al cliente: en caso de discrepancia, el proveedor debe advertir al usuario de que la operación podría dirigirse a una cuenta distinta de la prevista.
- Supuestos especiales: el artículo 5 quater.1.d contempla escenarios en los que el canal de pago no exige introducir IBAN ni nombre (como apps móviles), imponiendo igualmente el deber de asegurar la correcta identificación del beneficiario.
- Responsabilidad reforzada: conforme al artículo 5 quater.8, si la verificación no se realiza o se presta de manera defectuosa y ello genera una operación defectuosa, el banco deberá reembolsar de inmediato al ordenante y restituir su saldo.
Este último punto enlaza con lo que la doctrina denomina deber de identificación del beneficiario, que va más allá de la simple coincidencia técnica de datos y exige a las entidades adoptar medidas de compliance (protocolos KYC, CDD y EDD) que garanticen una identificación diligente, tal como han recordado tanto la STS 571/2025, de 9 de abril, como la STJUE de 16 de marzo de 2023 (C-351/21). Además, los considerandos 20 y 22 del propio Reglamento (UE) 2024/886 refuerzan esa idea, al reconocer que la verificación constituye un instrumento de protección para los clientes y para las entidades que actúan con diligencia.
La jurisprudencia española y la responsabilidad cuasi objetiva de los bancos
Aunque hasta ahora la normativa favorecía a los bancos, la jurisprudencia española ya había evolucionado hacia una responsabilidad cuasi objetiva. La STS 571/2025, en un caso de fraude por SIM swapping, reiteró que no basta con alegar que la operación fue autorizada, sino que deben adoptarse medidas de seguridad proactivas.
La Sentencia núm. 507/2025 de finales de marzo refleja esta transición: aplica el marco antiguo pero anticipa el cambio con el nuevo Reglamento. A partir del 9 de octubre, será obligatorio acreditar el cumplimiento del artículo 5 quater, de modo que la omisión de verificación o de advertencia generará responsabilidad directa y deber de reembolso.
Consecuencias para las entidades financieras
Las entidades financieras se enfrentan al doble reto operativo y tecnológico: deberán invertir en sistemas de verificación de beneficiario que funcionen en tiempo real, integrados en los canales de banca electrónica y en las aplicaciones móviles. Esto implica el desarrollo de algoritmos de coincidencia de nombres, el almacenamiento de evidencias de verificación y la capacidad de emitir advertencias claras, auditables y comprensibles para los clientes.
Por otro lado, el reto jurídico y reputacional: el incumplimiento del deber de verificación podrá derivar en litigiosidad creciente, pues los clientes dispondrán de un marco normativo preciso para reclamar el reembolso inmediato. Además, la presión supervisora de las autoridades nacionales y del Banco Central Europeo exigirá demostrar trazabilidad y cumplimiento constante. A nivel reputacional, las entidades que no logren adaptarse de manera eficaz asumirán responsabilidades económicas y verán erosionada la confianza de sus clientes en un momento en que la seguridad digital se ha convertido en un elemento clave de fidelización.
En definitiva, el 9 de octubre no solo exige una adecuación tecnológica, sino una transformación cultural dentro del sector financiero: el paso de una lógica defensiva a un modelo de prevención activa, en el que la diligencia se convierte en una ventaja competitiva.
Beneficios para los consumidores
Para los usuarios, la medidas un refuerzo notable de la seguridad en las transferencias bancarias. Gracias a la verificación automática, será mucho más difícil que un cliente transfiera fondos a una cuenta fraudulenta sin darse cuenta. Las advertencias previas le permitirán detener operaciones sospechosas y tomar decisiones informadas antes de confirmar el pago.
Además, se consolida un derecho claro al reembolso: si el banco no cumple con la verificación o la presta de forma defectuosa, el consumidor podrá reclamar la restitución inmediata del importe en virtud del artículo 5 quater.8. Antes, las reclamaciones solían fracasar al amparo del principio del identificador único. Por otro lado, esta reforma refuerza la confianza en el sistema financiero, lo que beneficia a los particulares que utilizan canales digitales y a las pymes que realizan pagos recurrentes. La seguridad jurídica generada otorga más tranquilidad al usuario y lo sitúa en una posición de equilibrio frente a la entidad.
Ahora bien, la norma no exime de la diligencia personal: los usuarios seguirán siendo responsables de desconfiar de correos electrónicos sospechosos, verificar los cambios de cuentas de proveedores y proteger sus credenciales de acceso. La educación financiera y la concienciación digital serán clave para complementar la protección regulatoria.
El 9 de octubre de 2025 marcará un antes y un después. El sistema pasará de un modelo basado en el identificador único y en la carga del cliente, a otro en el que los bancos asumen una obligación activa de verificación e identificación del beneficiario. La Sentencia núm. 507/2025 de finales de marzo anticipa ese giro, reconociendo que el criterio vigente hasta ahora dejará de ser sostenible con el nuevo marco. En conclusión, lo era buena práctica pasa a ser una obligación legal: los bancos deberán comprobar nombre e IBAN antes de ejecutar transferencias. La suplantación man-in-the-middle encontrará, al fin, un freno jurídico eficaz.
