España – La estafa Man in the Middle y el Reglamento UE 2024/886: cambio de paradigma

El incremento de la llamada cibercriminalidad en los últimos años presenta una magnitud tal que exige reacciones legislativas y judiciales contundentes. Las pérdidas por fraudes online en Europa superan los 100.000 millones de dólares según Nasdaq Ventures de los que 5.000 millones corresponden a España.

En España se denunciaron en 2019, 192.375 casos de estafas informáticas, pero en 2023 ascendieron a 427.448. Según los últimos datos oficiales disponibles las estafas informáticas representan el 90,4% de toda la cibercriminalidad y su crecimiento en el periodo 2016-2023 fue del 378%.

Las variedades que presentan las estafas informáticas son múltiples y están bautizadas en inglés, (al fin y al cabo, la lingua franca de nuestro tiempo), incluyendo, entre otras ingeniosas modalidades de los hábiles estafadores, las conocidas con los curiosos y divertidos nombres (salvo para los que las padecen) como phishing, pharming,, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, y la que hoy nos interesa, man in the middle (MITM).

¿Qué es el ataque Man in the Middle?

El fraude MITM consiste en la interceptación las comunicaciones entre dos dispositivos conectados a una red, permitiendo al ciber caco alterar y desviar los mensajes intercambiados entre los usuarios. El estafador intercepta una comunicación en la que un usuario solicita a otro un pago y a continuación modifica el IBAN de la cuenta bancaria en la que debe realizarse la transferencia con el objetivo de hacerse con el dinero. El proceso se desarrolla generalmente de la siguiente manera:

• Sin que la empresa lo detecte, un atacante intercepta y manipula un correo electrónico, cambiando el número IBAN de la cuenta en la que debe realizarse el pago.
• El ciberdelincuente se hace pasar por el proveedor, enviando el mensaje desde una dirección de correo electrónico casi idéntica a la original, pero con una ligera alteración que resulta casi imperceptible.
• La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.

De este modo, se consigue un desplazamiento patrimonial en detrimento del ordenante de la transferencia y a favor del ciber ladrón, de suerte que cuando el ordenante advierte el error, su primera reacción es intentar contactar con el banco receptor con la esperanza de que los fondos puedan ser bloqueados a tiempo. Sin embargo, en la mayoría de los casos, el ciberdelincuente ha sido más rápido: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, salvo el inicio de actuaciones judiciales a las que a continuación nos referimos.

La pregunta inmediata es qué responsabilidad tiene el banco que ha recibido la orden de transferencia del usuario engañado y abona en la cuenta del ciber estafador el importe en cuestión, en aquellos casos en los que el ordenante del pago identifica no solo el IBAN (fraudulento) sino también el nombre del beneficiario de la orden de pago que obviamente no coincide con el titular de la cuenta bancaria receptora de los fondos.

La respuesta desde el sentido común sería que el banco receptor de la transferencia debería confirmar que el titular de la cuenta de abono y la persona física o entidad identificada como beneficiario en la orden de transferencia coinciden; y si no fuere así, debería suspender el abono y solicitar aclaraciones al ordenante. Pero no es así en aplicación de la legislación de la UE y de la transposición de la misma al ordenamiento jurídico español como a continuación veremos.

Hasta el pasado 9 de octubre, el sistema bancario europeo ha operado bajo la premisa de que la validez de una transferencia se basa exclusivamente en la corrección del IBAN. Es decir, si el número de cuenta es correcto, la operación se considera válida, incluso si el nombre del beneficiario no coincide. Esta práctica ha generado numerosos casos de fraude, errores involuntarios y pérdida de fondos, especialmente en el ámbito de las transferencias inmediatas, donde la rapidez puede jugar en contra de la seguridad.

La opción más razonable del ordenante estafado para recuperar su dinero es demandar por la vía civil al banco receptor de la orden de abono (con quien carece de relación contractual) por responsabilidad extracontractual al amparo del art. 1124 del Código Civil; en efecto la vía penal contra el titular de la cuenta, que habitualmente es lo que en el argot se denomina “mula”, no suele tener recorrido exitoso, tanto porque lo normal es que el pájaro vuele como por su falta de solvencia.

La jurisprudencia de las Audiencias Provinciales ha estado dividida entre aquellos fallos en los que se acudía a una aplicación rigurosa y fiel del artículo 59 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, desestimando las reclamaciones de los estafados y otros en los que se buscaban argumentos bajo la premisa de falta de diligencia para condenar al banco a indemnizar al ordenante del pago.

Así se ha configurado la figura de una responsabilidad cuasi-objetiva de las entidades bancarias en materia de fraude digital, imponiéndoles un estándar reforzado de diligencia y trasladándoles el riesgo inherente a la actividad de banca en línea, salvo supuestos de dolo o negligencia grave del cliente. Esta línea, que se proyecta desde la jurisprudencia menor (AAP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) hasta el propio Tribunal Supremo (STS 571/2025, entre otras), se alinea con la idea de que corresponde al banco acreditar que sus sistemas eran seguros, actualizados y suficientes para evitar la consumación del ilícito.

En este marco, el concepto de bonus argentarius cobra renovada vigencia. Este es un principio que recogió la ley 57/68 para proteger a los compradores de viviendas en el sector inmobiliario, pero que el Tribunal Supremo sentenció en varias ocasiones que también se puede aplicar a otras inversiones financieras. En  lo que a MITM se refiere, significa que, en caso de pérdidas por negligencia de la entidad financiera, el cliente puede presentar una demanda al amparo de la Ley 57/68 y reclamar la responsabilidad de la entidad bancaria.

El bonus argentarius se basa en la presunción de culpa de la entidad financiera, lo que significa que, aunque el cliente no tenga pruebas concretas de la negligencia, esta se da por sentada debido al deber de cuidado que debe tener la entidad en la gestión de las inversiones.

En base a aquel principio, la diligencia exigible al profesional financiero no es la del comerciante medio ni la del pater familias, sino la de un experto cualificado que asume la obligación de proteger los fondos confiados mediante la implantación de mecanismos de seguridad “necesarios y renovables”. Ello implica no solo el mantenimiento de medidas técnicas básicas de autenticación reforzada, sino la adopción proactiva de soluciones antifraude reconocidas internacionalmente, como la verificación nombre-IBAN (Confirmation of Payee o IBAN-Naam Check), que han demostrado eficacia en jurisdicciones comparadas.

En línea con aquella doctrina y jurisprudencia, la omisión de medidas de verificación del beneficiario constituiría una infracción del deber contractual de diligencia y de la buena fe (arts. 1104 y 1258 CC), generadora de responsabilidad civil por el daño causado de suerte que el fraude MITM no puede considerarse un riesgo residual imputable al cliente, sino un fallo de seguridad sistémico imputable a la entidad financiera, en tanto que diseñadora y custodio del canal de pagos electrónicos.

Pero en  este estado de cosas el  Tribunal Supremo en su reciente sentencia de 27 de marzo de 2025 se decantaba por la alternativa de la aplicación estricta del artículo 59 argumentando que “si el usuario de servicios de pago facilita información adicional a la requerida (especificación de la información o del identificador único que el usuario de servicios de pago debe facilitar para la correcta iniciación o ejecución de una orden de pago), el proveedor de servicios de pago únicamente será responsable de la ejecución de las operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago… y que  la responsabilidad del proveedor de los servicios de pago, tanto a nivel comunitario como nacional, se desprende que cumple su obligación ejecutando la operación de pago de acuerdo con el identificador único, sin que la adición de información adicional implique una mayor diligencia exigible

Cierto que para finalizar, el TS abría una rendija a la esperanza de los usuarios estafados cuando afirmaba que “la interpretación expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecución defectuosa de la operación, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor algún requisito o exigencia añadida (v.gr. la identificación del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción o, en su caso, minimizar el daño.”

Y en este escenario trufado de dudas irrumpe el Reglamento (UE) 2024/886 que supone un giro de 180 grados y un cambio de paradigma: el nuevo Reglamento europeo, aprobado en abril de 2024 y con entrada en vigor el 9 de octubre de 2025, establece una obligación clara para las entidades bancarias: deben verificar que el nombre del beneficiario proporcionado por el ordenante coincida con el titular del IBAN antes de ejecutar una transferencia inmediata en euros.

Las novedades de este nuevo Reglamento son (i) la aplicación obligatoria a todas las transferencias inmediatas dentro del espacio SEPA, (ii) el nuevo sistema de coincidencia de nombres: si hay discrepancia entre el nombre y el IBAN, el banco debe alertar al cliente antes de ejecutar la operación y (iii) la responsabilidad reforzada para las entidades financieras en caso de fraude o error por falta de verificación.

En suma se pretende reducir el riesgo de fraude, proteger al consumidor y aumentar la confianza en los pagos digitales.

Ello provoca que la Ley 19/2018, que regula los servicios de pago en España, que no contempla la obligación de verificar la identidad del beneficiario queda desfasada, lo que plantea la necesidad de una revisión legislativa a nivel nacional para armonizar el marco jurídico con las exigencias europeas.

En conclusión la obligación de verificar al beneficiario en las transferencias representa un avance significativo en la protección del consumidor y en la lucha contra el fraude financiero. El Reglamento (UE) 2024/886 marca un antes y un después en la operativa bancaria, imponiendo una responsabilidad activa a las entidades para garantizar la autenticidad de las transferencias.

Queda en todo caso abierta la cuestión respecto a la solución a los fraudes MITM ejecutados antes del 9 de octubre de 2025 y la responsabilidad de la entidad bancaria; de momento la sentencia STS  de 27 de marzo arriba citada cierra la puerta a las reclamaciones contra los bancos pero no puede descartarse que la entrada en vigor del Reglamento 2024/886 y el cambio de paradigma produzca un replanteamiento de la posición del TS en la línea de la responsabilidad cuasi objetiva que la jurisprudencia menor viene manteniendo. Habrá que esperar acontecimientos pero ese cambio sería un gran éxito para los usuarios bancarios sufridores de este fraude MITM y de  todos los demás dentro de las múltiples variedades de las  ciber estafas.