(El Economista, 17-12-2025) | Mercantil, civil y administrativo
El Tribunal Supremo (TS) ha alertado de que las entidades financieras deberán asumir la responsabilidad por los fraudes derivados de la suplantación de identidad y reintegrar el dinero a los clientes cuando no comprueben que el número de cuenta (IBAN) coincide realmente con el del destinatario legítimo de la transferencia.
En una sentencia fechada el 27 de noviembre, el alto tribunal mantiene su doctrina previa, según la cual los bancos no están obligados a devolver los importes cuando el propio cliente facilita un IBAN incorrecto. No obstante, advierte de que el marco normativo cambió a partir del 9 de octubre de 2025. En consecuencia, las entidades no responderán por las operaciones realizadas antes de esa fecha, pero a partir de entonces deberá analizarse si cumplieron con la nueva exigencia de verificar la correspondencia entre el número de cuenta y el beneficiario. En caso contrario, tendrán que hacerse cargo del perjuicio económico sufrido por el afectado.
La resolución del Supremo se produce a raíz de un conflicto en el que una empresa recibió un correo electrónico fraudulento que simulaba proceder de uno de sus proveedores y en el que se informaba de un supuesto cambio de cuenta bancaria. La compañía ordenó varias transferencias al nuevo IBAN indicado en el mensaje falso, y los fondos acabaron en manos de un tercero. Dado que las transferencias se realizaron el 18 de octubre de 2019, el tribunal aplica la normativa vigente en ese momento, el Real Decreto-ley de 2018 sobre servicios de pago.
Esa regulación establecía que una transferencia se considera correctamente ejecutada cuando se dirige al número de cuenta facilitado por el ordenante, sin exigir a la entidad comprobar que dicho IBAN correspondiera efectivamente al beneficiario real. Aun así, una vez detectado el fraude, los bancos debían actuar con diligencia para intentar recuperar el dinero y, si el cliente lo solicitaba por escrito, proporcionarle la información necesaria para emprender acciones legales.
El Supremo recuerda que, hasta ahora, su criterio ha sido eximir de responsabilidad a las entidades cuando el error en el IBAN procedía del usuario. Sin embargo, subraya que en marzo de 2024 la Unión Europea modificó el Reglamento de servicios de pago, introduciendo la obligación, desde el 9 de octubre de 2025, de verificar la identidad del beneficiario al que se dirige la transferencia. Con ello, el tribunal anticipa un cambio de enfoque en los casos de fraude que se produzcan a partir de esa fecha.
Juan Ignacio Navas, socio director de Navas & Cusí, señala que hasta el momento los bancos se amparaban en el Real Decreto-ley de 2018, cuyo artículo 59 indica que una orden de pago está correctamente ejecutada si se ajusta al identificador único (IBAN), aunque el nombre del beneficiario no coincida.
Según explica, en las audiencias provinciales existía disparidad de criterios, ya que algunas consideraban que las entidades debían observar un deber adicional de diligencia. Sin embargo, el Supremo zanjó el debate en su sentencia de 1 de abril de 2025, al establecer que el banco no respondía si había actuado conforme al IBAN facilitado. "En esta nueva resolución, el tribunal mantiene esa posición, pero deja claro que desde el 9 de octubre el escenario cambia y que, a partir de entonces, las entidades deberán asumir la responsabilidad, estén o no preparadas para ello", añade Navas.
El despacho estima que el impacto económico del phishing o suplantación de identidad alcanzará los 170 millones de euros en 2025, según datos del Instituto Nacional de Ciberseguridad (INCIBE) y del Banco de España. El INCIBE prevé alrededor de 30.000 casos de este tipo de fraude durante el año, impulsados por el aumento de los ataques a través del móvil y el uso creciente de la inteligencia artificial.