por Macarena Murillo
El pasado 9 de octubre de 2025 marca un antes y un después en la banca europea. Ese día entró en vigor el artículo 5 quater del Reglamento (UE) 2024/886, relativo a las transferencias inmediatas en euros, que obliga a los bancos a verificar que el nombre del beneficiario coincide con el IBAN antes de ejecutar transferencias inmediatas en euros.
¿Por qué es tan importante esta medida? Porque ataca directamente uno de los fraudes más sofisticados y dañinos: la llamada estafa Man-in-the-Middle. El escenario típico es que un ciberdelincuente se interpone en la comunicación entre cliente y proveedor, modifica el IBAN en una factura o suplanta una identidad, y consigue que el cliente —de buena fe— transfiera fondos al estafador. Un engaño simple en apariencia, pero devastador en sus consecuencias.
Este tipo de fraude no es anecdótico. En 2023, el Ministerio del Interior registró más de 400.000 fraudes informáticos en España, y una parte significativa se relaciona con transferencias bancarias. Hasta ahora, la respuesta habitual de las entidades era escudarse en que la operación fue autorizada por el cliente y que el IBAN era correcto. Pero ¿es suficiente con eso en un mundo donde la tecnología avanza más rápido que las defensas?
Diversas sentencias han calificado la responsabilidad del banco en estos casos como “cuasi objetiva”, destacando su alto deber de diligencia y seguridad en la prestación de servicios electrónicos. No basta con alegar que el cliente fue víctima de un engaño; se exige que el banco implemente medidas actualizadas y eficaces para prevenir nuevas formas de fraude. Si un tercero se aprovecha de la insuficiencia de medidas de seguridad, este hecho genera responsabilidad para la entidad, salvo culpa grave del cliente. El problema era que, en la práctica, acreditar esa falta de diligencia resultaba complejo.
Aquí entra en juego el nuevo Reglamento. Introduce el mecanismo de Verification of Payee (VoP), o Servicio de Garantía de Verificación, como obligatorio para todas las transferencias SEPA en euros, tanto inmediatas como ordinarias. Hasta el pasado 9 de octubre, los bancos españoles no estaban legalmente obligados a comprobar la coincidencia entre el nombre del beneficiario y el IBAN antes de ejecutar una transferencia. Ahora sí.
Este cambio no es menor: establece un estándar objetivo de diligencia, lo que facilita demostrar una eventual negligencia bancaria en sede judicial. Para los profesionales del derecho, esto supone una herramienta adicional para proteger al consumidor y exigir responsabilidades cuando las cosas salen mal.
Macarena Murillo Villamandos es abogada, colegiada en el Ilustre Colegio de Abogados de Madrid desde 2024.
Estudió en Colegio Universitario de Estudios Financieros (CUNEF), y cursó el Máster en Corporate Law and International Relations en dicha institución. Ha realizado prácticas profesionales en el sector legal en tanto despachos nacionales como internacionales, especializándose en Derecho Procesal Civil y Mercantil, área que integra actualmente en el despacho.
Se incorpora al Bufete Mas y Calvet en 2024.
Como procesalista, celebro esta medida. Cada día existen más casos con fraudes en transferencias, y la entrada en vigor del Reglamento (UE) 2024/886 no solo protege al consumidor, sino que puede cambiar el enfoque de la responsabilidad bancaria. Pero también surge la pregunta: ¿será suficiente? ¿veremos una reducción real de los fraudes o simplemente un nuevo protocolo que los ciberdelincuentes aprenderán a esquivar?
Lo que está claro es que, por primera vez, se exige a los bancos un control que puede marcar la diferencia. Un pequeño paso normativo, pero un gran salto en la lucha contra el fraude financiero.
