La cibercriminalidad ha experimentado un crecimiento exponencial en España y en el resto de Europa. La generalización de la banca digital ha multiplicado las oportunidades de fraude, siendo el fraude informático la modalidad predominante en el entorno bancario, en sus variantes como phishing, vishing, smishing, entre otras.
Una de las formas más complejas es el fraude tipo man in the middle, en el que el delincuente suplanta al proveedor o al banco, induce al cliente a autorizar una transferencia y desvía los fondos a una cuenta bajo su control. Aunque la operación aparece como válidamente autenticada, el cliente queda desprotegido si el banco no verifica la correspondencia entre el nombre del beneficiario y el IBAN.
Las modalidades más frecuentes incluyen:
- Interceptación de correos electrónicos para modificar el IBAN en documentos de pago.
- Suplantación de identidad de altos cargos, proveedores o empleados bancarios.
- Manipulación de sistemas de verificación de identidad.
Desde el punto de vista jurídico, aunque el cliente realiza la operación utilizando sus credenciales y supera los mecanismos de autenticación reforzada, lo hace engañado por el defraudador. Por ello, no se considera una operación no autorizada, sino una acción en la que el consentimiento ha sido viciado.
Tradicionalmente, se entendía que el banco cumplía con sus obligaciones si verificaba el IBAN y autenticaba al cliente, exonerándose así de responsabilidad. Sin embargo, esta interpretación dejaba al usuario en una posición de desprotección.
Como respuesta a esta situación, el 9 de octubre de 2025 entró en vigor el artículo 5 quater del Reglamento (UE) 2024/886, de 13 de marzo de 2024, marcando un punto de inflexión en la regulación de las transferencias instantáneas en euros dentro del Espacio Económico Europeo. Este cambio normativo redefine el marco de responsabilidad de las entidades bancarias en los fraudes online.
El marco anterior, basado en la Directiva (UE) 2015/2366 (PSD2) y su transposición en el Real Decreto-Ley 19/2018, establecía el principio del “identificador único” (IBAN) como criterio de ejecución de pagos. Bajo esta lógica, si el IBAN era correcto y se superaba la autenticación reforzada, la operación se consideraba correctamente ejecutada, sin necesidad de verificar el nombre del beneficiario. Esta interpretación resultó insuficiente ante fraudes por suplantación, al no distinguir entre errores involuntarios y engaños dolosos.
Aunque la jurisprudencia española más reciente ha sido conservadora, algunas resoluciones han elevado el estándar de diligencia exigible a las entidades bancarias. En particular, la sentencia 507/2025 del Tribunal Supremo, de 27 de marzo, respaldó el criterio del identificador único, concluyendo que, en ausencia de previsión legal, no cabía exigir al banco la verificación del nombre del beneficiario. No obstante, anticipó que el nuevo Reglamento modificaría sustancialmente la distribución de responsabilidades.
Con la entrada en vigor del artículo 5 quater, se establece la obligación de verificar que el nombre del beneficiario coincide con el titular del IBAN antes de ejecutar una transferencia instantánea en euros. En caso de discrepancia, el banco debe advertir al cliente. Si omite esta verificación o la realiza de forma defectuosa, nace ipso iure un derecho de reembolso inmediato. Este servicio debe prestarse sin comisiones adicionales y sin comprometer la inmediatez del pago. Además, se exige trazabilidad mediante registros probatorios concluyentes, auditables por el supervisor.
Las entidades bancarias deben implementar sistemas de verificación en tiempo real, normalizar coincidencias aproximadas (tratamiento de tildes, siglas, abreviaturas) y garantizar advertencias claras y comprensibles para el cliente. Contractualmente, deben revisar sus condiciones generales para eliminar cláusulas que eximan de responsabilidad por IBAN correcto o autenticación formal. Desde una perspectiva reputacional, el cumplimiento riguroso se convierte en un factor competitivo.
Este nuevo paradigma se alinea con la reciente sentencia STS 571/2025, de 9 de abril, que reiteró que no basta con alegar que la operación fue autorizada, exigiendo medidas adicionales de seguridad y sistemas de compliance que garanticen una identificación diligente ante indicios de fraude. Se configura así una herramienta de protección tanto para el cliente como para las entidades que actúan con la debida diligencia. Este cambio jurisprudencial marca una clara evolución hacia una responsabilidad cuasi objetiva por parte de las entidades bancarias.
En definitiva, el artículo 5 quater transforma la protección del cliente bancario en una obligación operativa concreta. La lógica del “pago por IBAN” cede ante la lógica del “pago a beneficiario identificado”. Las entidades bancarias deben asumir un rol activo en la prevención del fraude, implementando medidas técnicas y jurídicas que garanticen la diligencia exigible. Este nuevo estándar no solo protege al cliente, sino que fortalece la confianza en el sistema financiero europeo.
Desde la óptica de las entidades bancarias, el artículo 5 quater no debe verse como una amenaza, sino como una evolución natural de la lex artis bancaria hacia estándares más exigentes de diligencia. La clave estará en demostrar, mediante trazabilidad robusta, que se ha cumplido con la verificación y la advertencia al cliente. En caso de discrepancia advertida y decisión consciente del usuario, la entidad podrá defender su actuación y evitar el reembolso. La excelencia en el cumplimiento será, sin duda, un factor competitivo en el nuevo entorno normativo.