Hasta octubre de 2025, regía el principio de ausencia de responsabilidad del Banco cuando el error procedía de datos incorrectos facilitados por el cliente. Si éste introducía un IBAN válido, el banco daba por buena la operación, incluso aunque el nombre del destinatario no coincidiera con el titular real.
Ahora, será obligatorio verificar la correspondencia entre nombre e IBAN en las transferencias instantáneas.
En el fraude man-in-the-middle (“hombre en el medio”), el delincuente se interpone en la comunicación entre dos partes y logra acceder o manipular la información que circula entre el cliente y su banco. Entre los casos más comunes están la intercepción de emails para modificar el IBAN en facturas; la suplantación de identidad, proveedores, etc.
La gravedad radica en que la orden de transferencia parte realmente del cliente, que introduce sus credenciales, supera la autenticación reforzada y valida la operación, aunque engañado.
Pero, ¿quién es responsable cuando la operación fue técnicamente autorizada pero inducida por un engaño?
Hasta ahora se consideraba cumplida la obligación del banco si verificaba el IBAN y la autenticación. Sin embargo, para el cliente, recuperar los fondos era casi imposible.
El 9 de octubre de 2025 marcará un antes y un después. El sistema pasará de un modelo basado en el identificador único y en la carga del cliente, a otro en el que los bancos asumen una obligación activa de verificación e identificación del beneficiario.
