España – La estafa Man in the Middle y el Reglamento UE 2024/886: cambio de paradigma

3 de noviembre de 2025

  • España
  • Bancario
  • Litigios
  • Títulos e instrumentos financieros

El incremento de la llamada cibercriminalidad en los últimos años presenta una magnitud tal que exige reacciones legislativas y judiciales contundentes. Las pérdidas por fraudes online en Europa superan los 100.000 millones de dólares según Nasdaq Ventures de los que 5.000 millones corresponden a España.

En España se denunciaron en 2019, 192.375 casos de estafas informáticas, pero en 2023 ascendieron a 427.448. Según los últimos datos oficiales disponibles las estafas informáticas representan el 90,4% de toda la cibercriminalidad y su crecimiento en el periodo 2016-2023 fue del 378%.

Las variedades que presentan las estafas informáticas son múltiples y están bautizadas en inglés, (al fin y al cabo, la lingua franca de nuestro tiempo), incluyendo, entre otras ingeniosas modalidades de los hábiles estafadores, las conocidas con los curiosos y divertidos nombres (salvo para los que las padecen) como phishing, pharming,, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, y la que hoy nos interesa, man in the middle (MITM).

¿Qué es el ataque Man in the Middle?

El fraude MITM consiste en la interceptación las comunicaciones entre dos dispositivos conectados a una red, permitiendo al ciber caco alterar y desviar los mensajes intercambiados entre los usuarios. El estafador intercepta una comunicación en la que un usuario solicita a otro un pago y a continuación modifica el IBAN de la cuenta bancaria en la que debe realizarse la transferencia con el objetivo de hacerse con el dinero. El proceso se desarrolla generalmente de la siguiente manera:

  • Sin que la empresa lo detecte, un atacante intercepta y manipula un correo electrónico, cambiando el número IBAN de la cuenta en la que debe realizarse el pago.
  • El ciberdelincuente se hace pasar por el proveedor, enviando el mensaje desde una dirección de correo electrónico casi idéntica a la original, pero con una ligera alteración que resulta casi imperceptible.
  • La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.

De este modo, se consigue un desplazamiento patrimonial en detrimento del ordenante de la transferencia y a favor del ciber ladrón, de suerte que cuando el ordenante advierte el error, su primera reacción es intentar contactar con el banco receptor con la esperanza de que los fondos puedan ser bloqueados a tiempo. Sin embargo, en la mayoría de los casos, el ciberdelincuente ha sido más rápido: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, salvo el inicio de actuaciones judiciales a las que a continuación nos referimos.

La pregunta inmediata es qué responsabilidad tiene el banco que ha recibido la orden de transferencia del usuario engañado y abona en la cuenta del ciber estafador el importe en cuestión, en aquellos casos en los que el ordenante del pago identifica no solo el IBAN (fraudulento) sino también el nombre del beneficiario de la orden de pago que obviamente no coincide con el titular de la cuenta bancaria receptora de los fondos.

La respuesta desde el sentido común sería que el banco receptor de la transferencia debería confirmar que el titular de la cuenta de abono y la persona física o entidad identificada como beneficiario en la orden de transferencia coinciden; y si no fuere así, debería suspender el abono y solicitar aclaraciones al ordenante. Pero no es así en aplicación de la legislación de la UE y de la transposición de la misma al ordenamiento jurídico español como a continuación veremos.

Hasta el pasado 9 de octubre, el sistema bancario europeo ha operado bajo la premisa de que la validez de una transferencia se basa exclusivamente en la corrección del IBAN. Es decir, si el número de cuenta es correcto, la operación se considera válida, incluso si el nombre del beneficiario no coincide. Esta práctica ha generado numerosos casos de fraude, errores involuntarios y pérdida de fondos, especialmente en el ámbito de las transferencias inmediatas, donde la rapidez puede jugar en contra de la seguridad.

La opción más razonable del ordenante estafado para recuperar su dinero es demandar por la vía civil al banco receptor de la orden de abono (con quien carece de relación contractual) por responsabilidad extracontractual al amparo del art. 1124 del Código Civil; en efecto la vía penal contra el titular de la cuenta, que habitualmente es lo que en el argot se denomina “mula”, no suele tener recorrido exitoso, tanto porque lo normal es que el pájaro vuele como por su falta de solvencia.

 

La jurisprudencia de las Audiencias Provinciales ha estado dividida entre aquellos fallos en los que se acudía a una aplicación rigurosa y fiel del artículo 59 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, desestimando las reclamaciones de los estafados y otros en los que se buscaban argumentos bajo la premisa de falta de diligencia para condenar al banco a indemnizar al ordenante del pago.

Así se ha configurado la figura de una responsabilidad cuasi-objetiva de las entidades bancarias en materia de fraude digital, imponiéndoles un estándar reforzado de diligencia y trasladándoles el riesgo inherente a la actividad de banca en línea, salvo supuestos de dolo o negligencia grave del cliente. Esta línea, que se proyecta desde la jurisprudencia menor (AAP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) hasta el propio Tribunal Supremo (STS 571/2025, entre otras), se alinea con la idea de que corresponde al banco acreditar que sus sistemas eran seguros, actualizados y suficientes para evitar la consumación del ilícito.

En este marco, el concepto de bonus argentarius cobra renovada vigencia. Este es un principio que recogió la ley 57/68 para proteger a los compradores de viviendas en el sector inmobiliario, pero que el Tribunal Supremo sentenció en varias ocasiones que también se puede aplicar a otras inversiones financieras. En  lo que a MITM se refiere, significa que, en caso de pérdidas por negligencia de la entidad financiera, el cliente puede presentar una demanda al amparo de la Ley 57/68 y reclamar la responsabilidad de la entidad bancaria.

El bonus argentarius se basa en la presunción de culpa de la entidad financiera, lo que significa que, aunque el cliente no tenga pruebas concretas de la negligencia, esta se da por sentada debido al deber de cuidado que debe tener la entidad en la gestión de las inversiones.

En base a aquel principio, la diligencia exigible al profesional financiero no es la del comerciante medio ni la del pater familias, sino la de un experto cualificado que asume la obligación de proteger los fondos confiados mediante la implantación de mecanismos de seguridad “necesarios y renovables”. Ello implica no solo el mantenimiento de medidas técnicas básicas de autenticación reforzada, sino la adopción proactiva de soluciones antifraude reconocidas internacionalmente, como la verificación nombre-IBAN (Confirmation of Payee o IBAN-Naam Check), que han demostrado eficacia en jurisdicciones comparadas.

En línea con aquella doctrina y jurisprudencia, la omisión de medidas de verificación del beneficiario constituiría una infracción del deber contractual de diligencia y de la buena fe (arts. 1104 y 1258 CC), generadora de responsabilidad civil por el daño causado de suerte que el fraude MITM no puede considerarse un riesgo residual imputable al cliente, sino un fallo de seguridad sistémico imputable a la entidad financiera, en tanto que diseñadora y custodio del canal de pagos electrónicos.

Pero en  este estado de cosas el  Tribunal Supremo en su reciente sentencia de 27 de marzo de 2025 se decantaba por la alternativa de la aplicación estricta del artículo 59 argumentando que “si el usuario de servicios de pago facilita información adicional a la requerida (especificación de la información o del identificador único que el usuario de servicios de pago debe facilitar para la correcta iniciación o ejecución de una orden de pago), el proveedor de servicios de pago únicamente será responsable de la ejecución de las operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago… y que  la responsabilidad del proveedor de los servicios de pago, tanto a nivel comunitario como nacional, se desprende que cumple su obligación ejecutando la operación de pago de acuerdo con el identificador único, sin que la adición de información adicional implique una mayor diligencia exigible

Cierto que para finalizar, el TS abría una rendija a la esperanza de los usuarios estafados cuando afirmaba que “la interpretación expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecución defectuosa de la operación, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor algún requisito o exigencia añadida (v.gr. la identificación del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción o, en su caso, minimizar el daño.”

Y en este escenario trufado de dudas irrumpe el Reglamento (UE) 2024/886 que supone un giro de 180 grados y un cambio de paradigma: el nuevo Reglamento europeo, aprobado en abril de 2024 y con entrada en vigor el 9 de octubre de 2025, establece una obligación clara para las entidades bancarias: deben verificar que el nombre del beneficiario proporcionado por el ordenante coincida con el titular del IBAN antes de ejecutar una transferencia inmediata en euros.

Las novedades de este nuevo Reglamento son (i) la aplicación obligatoria a todas las transferencias inmediatas dentro del espacio SEPA, (ii) el nuevo sistema de coincidencia de nombres: si hay discrepancia entre el nombre y el IBAN, el banco debe alertar al cliente antes de ejecutar la operación y (iii) la responsabilidad reforzada para las entidades financieras en caso de fraude o error por falta de verificación.

En suma se pretende reducir el riesgo de fraude, proteger al consumidor y aumentar la confianza en los pagos digitales.

Ello provoca que la Ley 19/2018, que regula los servicios de pago en España, que no contempla la obligación de verificar la identidad del beneficiario queda desfasada, lo que plantea la necesidad de una revisión legislativa a nivel nacional para armonizar el marco jurídico con las exigencias europeas.

En conclusión la obligación de verificar al beneficiario en las transferencias representa un avance significativo en la protección del consumidor y en la lucha contra el fraude financiero. El Reglamento (UE) 2024/886 marca un antes y un después en la operativa bancaria, imponiendo una responsabilidad activa a las entidades para garantizar la autenticidad de las transferencias.

Queda en todo caso abierta la cuestión respecto a la solución a los fraudes MITM ejecutados antes del 9 de octubre de 2025 y la responsabilidad de la entidad bancaria; de momento la sentencia STS  de 27 de marzo arriba citada cierra la puerta a las reclamaciones contra los bancos pero no puede descartarse que la entrada en vigor del Reglamento 2024/886 y el cambio de paradigma produzca un replanteamiento de la posición del TS en la línea de la responsabilidad cuasi objetiva que la jurisprudencia menor viene manteniendo. Habrá que esperar acontecimientos pero ese cambio sería un gran éxito para los usuarios bancarios sufridores de este fraude MITM y de  todos los demás dentro de las múltiples variedades de las  ciber estafas.

Summary – Whereas cryptocurrency emerged outside of the legal framework thus favouring cyber criminality, France has recently set out rules ensuring investors’ and traders’ security.

Far from being a drawback, this set of rules insures the balance between innovation incentive and investor security.

A recent study published by the French AMF underlined the danger of cyber criminality and its impact on the global market.

The AMF targeted especially, bitcoins scams and cyberattacks aiming online platforms trading cryptocurrency.

This cyber criminality is supposed to be one of the most expensive ones worldwide, close to 0.5 % of the world GDP.

Nevertheless, cryptocurrencies continue to attract the interest of private individuals, due to potential gains and due to the lack of state regulation. In the meantime, the extreme instability of the exchange rate and online fraudulent behaviours (especially in the case of alternative cryptocurrency such as altcoins) often prove disastrous for small investors.

To shield investors, the AMF recently published recommendations and warnings for consumers, as well as several blacklists of websites selling cryptocurrencies.

Cryptocurrency is defined by the AMF as “digital asset relying on blockchain technology, through a decentralized registry and an encrypted protocol”.

A digital asset is neither a currency (its value is not determined by a central bank but through supply and demand) nor a financial instrument.

Faced with the multiplication of new digital assets, France (pioneer in this area) has implemented a legal framework for digital assets.

The Law 2019-486 dated 22 May 2019 relating to companies’ growth and transformation (“PACTE Law”) entered into force 24 May 2019, provides for the general definition of digital assets: “a digital representation of value which is not issued nor guaranteed by a central bank nor a public authority, which is not necessarily attached to a currency with an exchange rate and which does not fall within the legal definition of a currency but which is accepted by natural or legal persons as a means of exchange and which can be transferred, stored or traded electronically” (Article L. 54-10-1 of the French Monetary and Financial Code).

Any DASP will need to abide by the legal rules set up by the Monetary and Financial Code and will be placed under the authority of the AMF.

The Digital Assets Services Provides’ new legal status

The PACTE Law defines a DASP as the one providing, amongst others, the following services:

“1° The service of safekeeping digital assets or the access to digital assets (including through the means of private cryptographic keys) for a third party, for the purposes of holding, storing or trading digital assets;

2° The service of purchasing and selling digital assets in exchange for legal tender currencies;

3° The service of trading digital assets for other digital assets;

4° The service of operating a digital platform trading digital assets (…)

Providers wishing to attract investors can file for registration and/or optional AMF visa.

In which cases is the registration with the AMF mandatory?

Registration is mandatory for two activities:

  • The service of safekeeping digital assets;
  • The service of purchasing and selling digital assets in exchange for legal tender currencies.

How to register?

Pursuant to article D. 54-10-2 of the Monetary and Financial Code and AMF instruction 2019-23, any supplier wishing to register as digital assets services supplier, will have to submit a registration application file.

The provider will be required to provide certain information relating, amongst others, to the identity, competence and honourability of its officers and shareholding.

The company’s officers are expected to have an experience relating to digital assets, of 6 months minimum, or any equivalent training.

Besides, they must comply with the honourability requirements and must not have been prohibited to practice, according to article L. 500-1 of the Monetary and Financial Code (“MFC).

Information relating to the anti-money laundering and terrorist financing system

The applicant shall provide details relating to its target clients (characteristics, legal nature, geographical aspects, etc.) and the distribution channel planned for each service. If the company belongs to a group, it shall present the group’s organisation chart, indicating in particular the capital links between the various entities of the group and, for each entity, its company name, the country in which its registered office is located and the nature of its business.

It shall provide:

  • a classification of the money laundering and terrorist financing risks, in accordance with Article L. 561-4-1 of the MFC, taking into account in particular the risks associated with clients, the nature of the products and services provided, the distribution channels planned and the geographical areas of operation; and, where appropriate,
  • the risk classification established at the group level.

One will have to be very careful regarding operations over € 1,000 and operations relating to sums which they know, suspect (or have good reasons for suspecting) are the proceeds of an offence punishable by a custodial sentence of more than one year or are destined for terrorist financing (article L. 561-15 of the MFC).

To this respect, the supplier will be required to provide the name and contact of the persons in charge of reporting the operations to TRACFIN and the devices set up to potentially froze the assets.

What are the delays?

Within 6 months following the filing of the complete documentation by the applicant, the AMF will render its decision.

Within this timeframe, the AMF will consult the Autorité de Contrôle Prudentiel et de Résolution in order to make sure the DASP is compliant with the above-mentioned regulation.

Optional visa

If you provide one or more digital asset services and your company is established in France, you may apply for approval via by the AMF.

This approval is granted for a great number of services, such as safekeeping digital assets, purchasing and selling digital assets in exchange for legal tender currencies, operating a digital platform trading digital assets, etc.

Operators seeking the AMF visa, will be placed under the supervision of the AMF.

The visa procedure before the AMF is similar to the registration one. However, the applicant will have to prove it abides by additional requirements, relating especially to the safety of operations (strengthened internal control, resilient computing security, report of activity for the next two years).

Besides, the applicant will have to provide a professional insurance or a minimum amount of own funds.

To be fully transparent, the DASP will then have to publish, on a regular basis, the volume of transactions and the average price of each transaction.

The publication will have to be made on the operator’s website, no later than the second business day of the following trimester.

Following each procedure, the AMF will publish a list of DASPs which obtained the visa or the registration, for the security of the investors.

Any digital asset supplier has one year to abide by the new requirements set up by the PACTE Law.

The first registration has been delivered by the AMF in March 2020.

The author of this post is Iuliana Babei.

Javier Gaspar

Áreas de práctica

  • Arbitraje
  • Contratos de distribución
  • Franquicia
  • Derecho Internacional Privado
  • Deporte
Contáctanos Javier

Contacta con Javier





    Lea la política de privacidad de Legalmondo.
    Este sitio está protegido por reCAPTCHA y se aplican la Política de privacidad de Google y los Términos de servicio.

    France – New rules applicable to digital assets services providers (DASP)

    30 de abril de 2020

    • Francia
    • Títulos e instrumentos financieros

    El incremento de la llamada cibercriminalidad en los últimos años presenta una magnitud tal que exige reacciones legislativas y judiciales contundentes. Las pérdidas por fraudes online en Europa superan los 100.000 millones de dólares según Nasdaq Ventures de los que 5.000 millones corresponden a España.

    En España se denunciaron en 2019, 192.375 casos de estafas informáticas, pero en 2023 ascendieron a 427.448. Según los últimos datos oficiales disponibles las estafas informáticas representan el 90,4% de toda la cibercriminalidad y su crecimiento en el periodo 2016-2023 fue del 378%.

    Las variedades que presentan las estafas informáticas son múltiples y están bautizadas en inglés, (al fin y al cabo, la lingua franca de nuestro tiempo), incluyendo, entre otras ingeniosas modalidades de los hábiles estafadores, las conocidas con los curiosos y divertidos nombres (salvo para los que las padecen) como phishing, pharming,, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, y la que hoy nos interesa, man in the middle (MITM).

    ¿Qué es el ataque Man in the Middle?

    El fraude MITM consiste en la interceptación las comunicaciones entre dos dispositivos conectados a una red, permitiendo al ciber caco alterar y desviar los mensajes intercambiados entre los usuarios. El estafador intercepta una comunicación en la que un usuario solicita a otro un pago y a continuación modifica el IBAN de la cuenta bancaria en la que debe realizarse la transferencia con el objetivo de hacerse con el dinero. El proceso se desarrolla generalmente de la siguiente manera:

    • Sin que la empresa lo detecte, un atacante intercepta y manipula un correo electrónico, cambiando el número IBAN de la cuenta en la que debe realizarse el pago.
    • El ciberdelincuente se hace pasar por el proveedor, enviando el mensaje desde una dirección de correo electrónico casi idéntica a la original, pero con una ligera alteración que resulta casi imperceptible.
    • La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.

    De este modo, se consigue un desplazamiento patrimonial en detrimento del ordenante de la transferencia y a favor del ciber ladrón, de suerte que cuando el ordenante advierte el error, su primera reacción es intentar contactar con el banco receptor con la esperanza de que los fondos puedan ser bloqueados a tiempo. Sin embargo, en la mayoría de los casos, el ciberdelincuente ha sido más rápido: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, salvo el inicio de actuaciones judiciales a las que a continuación nos referimos.

    La pregunta inmediata es qué responsabilidad tiene el banco que ha recibido la orden de transferencia del usuario engañado y abona en la cuenta del ciber estafador el importe en cuestión, en aquellos casos en los que el ordenante del pago identifica no solo el IBAN (fraudulento) sino también el nombre del beneficiario de la orden de pago que obviamente no coincide con el titular de la cuenta bancaria receptora de los fondos.

    La respuesta desde el sentido común sería que el banco receptor de la transferencia debería confirmar que el titular de la cuenta de abono y la persona física o entidad identificada como beneficiario en la orden de transferencia coinciden; y si no fuere así, debería suspender el abono y solicitar aclaraciones al ordenante. Pero no es así en aplicación de la legislación de la UE y de la transposición de la misma al ordenamiento jurídico español como a continuación veremos.

    Hasta el pasado 9 de octubre, el sistema bancario europeo ha operado bajo la premisa de que la validez de una transferencia se basa exclusivamente en la corrección del IBAN. Es decir, si el número de cuenta es correcto, la operación se considera válida, incluso si el nombre del beneficiario no coincide. Esta práctica ha generado numerosos casos de fraude, errores involuntarios y pérdida de fondos, especialmente en el ámbito de las transferencias inmediatas, donde la rapidez puede jugar en contra de la seguridad.

    La opción más razonable del ordenante estafado para recuperar su dinero es demandar por la vía civil al banco receptor de la orden de abono (con quien carece de relación contractual) por responsabilidad extracontractual al amparo del art. 1124 del Código Civil; en efecto la vía penal contra el titular de la cuenta, que habitualmente es lo que en el argot se denomina “mula”, no suele tener recorrido exitoso, tanto porque lo normal es que el pájaro vuele como por su falta de solvencia.

     

    La jurisprudencia de las Audiencias Provinciales ha estado dividida entre aquellos fallos en los que se acudía a una aplicación rigurosa y fiel del artículo 59 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, desestimando las reclamaciones de los estafados y otros en los que se buscaban argumentos bajo la premisa de falta de diligencia para condenar al banco a indemnizar al ordenante del pago.

    Así se ha configurado la figura de una responsabilidad cuasi-objetiva de las entidades bancarias en materia de fraude digital, imponiéndoles un estándar reforzado de diligencia y trasladándoles el riesgo inherente a la actividad de banca en línea, salvo supuestos de dolo o negligencia grave del cliente. Esta línea, que se proyecta desde la jurisprudencia menor (AAP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) hasta el propio Tribunal Supremo (STS 571/2025, entre otras), se alinea con la idea de que corresponde al banco acreditar que sus sistemas eran seguros, actualizados y suficientes para evitar la consumación del ilícito.

    En este marco, el concepto de bonus argentarius cobra renovada vigencia. Este es un principio que recogió la ley 57/68 para proteger a los compradores de viviendas en el sector inmobiliario, pero que el Tribunal Supremo sentenció en varias ocasiones que también se puede aplicar a otras inversiones financieras. En  lo que a MITM se refiere, significa que, en caso de pérdidas por negligencia de la entidad financiera, el cliente puede presentar una demanda al amparo de la Ley 57/68 y reclamar la responsabilidad de la entidad bancaria.

    El bonus argentarius se basa en la presunción de culpa de la entidad financiera, lo que significa que, aunque el cliente no tenga pruebas concretas de la negligencia, esta se da por sentada debido al deber de cuidado que debe tener la entidad en la gestión de las inversiones.

    En base a aquel principio, la diligencia exigible al profesional financiero no es la del comerciante medio ni la del pater familias, sino la de un experto cualificado que asume la obligación de proteger los fondos confiados mediante la implantación de mecanismos de seguridad “necesarios y renovables”. Ello implica no solo el mantenimiento de medidas técnicas básicas de autenticación reforzada, sino la adopción proactiva de soluciones antifraude reconocidas internacionalmente, como la verificación nombre-IBAN (Confirmation of Payee o IBAN-Naam Check), que han demostrado eficacia en jurisdicciones comparadas.

    En línea con aquella doctrina y jurisprudencia, la omisión de medidas de verificación del beneficiario constituiría una infracción del deber contractual de diligencia y de la buena fe (arts. 1104 y 1258 CC), generadora de responsabilidad civil por el daño causado de suerte que el fraude MITM no puede considerarse un riesgo residual imputable al cliente, sino un fallo de seguridad sistémico imputable a la entidad financiera, en tanto que diseñadora y custodio del canal de pagos electrónicos.

    Pero en  este estado de cosas el  Tribunal Supremo en su reciente sentencia de 27 de marzo de 2025 se decantaba por la alternativa de la aplicación estricta del artículo 59 argumentando que “si el usuario de servicios de pago facilita información adicional a la requerida (especificación de la información o del identificador único que el usuario de servicios de pago debe facilitar para la correcta iniciación o ejecución de una orden de pago), el proveedor de servicios de pago únicamente será responsable de la ejecución de las operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago… y que  la responsabilidad del proveedor de los servicios de pago, tanto a nivel comunitario como nacional, se desprende que cumple su obligación ejecutando la operación de pago de acuerdo con el identificador único, sin que la adición de información adicional implique una mayor diligencia exigible

    Cierto que para finalizar, el TS abría una rendija a la esperanza de los usuarios estafados cuando afirmaba que “la interpretación expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecución defectuosa de la operación, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor algún requisito o exigencia añadida (v.gr. la identificación del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción o, en su caso, minimizar el daño.”

    Y en este escenario trufado de dudas irrumpe el Reglamento (UE) 2024/886 que supone un giro de 180 grados y un cambio de paradigma: el nuevo Reglamento europeo, aprobado en abril de 2024 y con entrada en vigor el 9 de octubre de 2025, establece una obligación clara para las entidades bancarias: deben verificar que el nombre del beneficiario proporcionado por el ordenante coincida con el titular del IBAN antes de ejecutar una transferencia inmediata en euros.

    Las novedades de este nuevo Reglamento son (i) la aplicación obligatoria a todas las transferencias inmediatas dentro del espacio SEPA, (ii) el nuevo sistema de coincidencia de nombres: si hay discrepancia entre el nombre y el IBAN, el banco debe alertar al cliente antes de ejecutar la operación y (iii) la responsabilidad reforzada para las entidades financieras en caso de fraude o error por falta de verificación.

    En suma se pretende reducir el riesgo de fraude, proteger al consumidor y aumentar la confianza en los pagos digitales.

    Ello provoca que la Ley 19/2018, que regula los servicios de pago en España, que no contempla la obligación de verificar la identidad del beneficiario queda desfasada, lo que plantea la necesidad de una revisión legislativa a nivel nacional para armonizar el marco jurídico con las exigencias europeas.

    En conclusión la obligación de verificar al beneficiario en las transferencias representa un avance significativo en la protección del consumidor y en la lucha contra el fraude financiero. El Reglamento (UE) 2024/886 marca un antes y un después en la operativa bancaria, imponiendo una responsabilidad activa a las entidades para garantizar la autenticidad de las transferencias.

    Queda en todo caso abierta la cuestión respecto a la solución a los fraudes MITM ejecutados antes del 9 de octubre de 2025 y la responsabilidad de la entidad bancaria; de momento la sentencia STS  de 27 de marzo arriba citada cierra la puerta a las reclamaciones contra los bancos pero no puede descartarse que la entrada en vigor del Reglamento 2024/886 y el cambio de paradigma produzca un replanteamiento de la posición del TS en la línea de la responsabilidad cuasi objetiva que la jurisprudencia menor viene manteniendo. Habrá que esperar acontecimientos pero ese cambio sería un gran éxito para los usuarios bancarios sufridores de este fraude MITM y de  todos los demás dentro de las múltiples variedades de las  ciber estafas.

    Summary – Whereas cryptocurrency emerged outside of the legal framework thus favouring cyber criminality, France has recently set out rules ensuring investors’ and traders’ security.

    Far from being a drawback, this set of rules insures the balance between innovation incentive and investor security.

    A recent study published by the French AMF underlined the danger of cyber criminality and its impact on the global market.

    The AMF targeted especially, bitcoins scams and cyberattacks aiming online platforms trading cryptocurrency.

    This cyber criminality is supposed to be one of the most expensive ones worldwide, close to 0.5 % of the world GDP.

    Nevertheless, cryptocurrencies continue to attract the interest of private individuals, due to potential gains and due to the lack of state regulation. In the meantime, the extreme instability of the exchange rate and online fraudulent behaviours (especially in the case of alternative cryptocurrency such as altcoins) often prove disastrous for small investors.

    To shield investors, the AMF recently published recommendations and warnings for consumers, as well as several blacklists of websites selling cryptocurrencies.

    Cryptocurrency is defined by the AMF as “digital asset relying on blockchain technology, through a decentralized registry and an encrypted protocol”.

    A digital asset is neither a currency (its value is not determined by a central bank but through supply and demand) nor a financial instrument.

    Faced with the multiplication of new digital assets, France (pioneer in this area) has implemented a legal framework for digital assets.

    The Law 2019-486 dated 22 May 2019 relating to companies’ growth and transformation (“PACTE Law”) entered into force 24 May 2019, provides for the general definition of digital assets: “a digital representation of value which is not issued nor guaranteed by a central bank nor a public authority, which is not necessarily attached to a currency with an exchange rate and which does not fall within the legal definition of a currency but which is accepted by natural or legal persons as a means of exchange and which can be transferred, stored or traded electronically” (Article L. 54-10-1 of the French Monetary and Financial Code).

    Any DASP will need to abide by the legal rules set up by the Monetary and Financial Code and will be placed under the authority of the AMF.

    The Digital Assets Services Provides’ new legal status

    The PACTE Law defines a DASP as the one providing, amongst others, the following services:

    “1° The service of safekeeping digital assets or the access to digital assets (including through the means of private cryptographic keys) for a third party, for the purposes of holding, storing or trading digital assets;

    2° The service of purchasing and selling digital assets in exchange for legal tender currencies;

    3° The service of trading digital assets for other digital assets;

    4° The service of operating a digital platform trading digital assets (…)

    Providers wishing to attract investors can file for registration and/or optional AMF visa.

    In which cases is the registration with the AMF mandatory?

    Registration is mandatory for two activities:

    • The service of safekeeping digital assets;
    • The service of purchasing and selling digital assets in exchange for legal tender currencies.

    How to register?

    Pursuant to article D. 54-10-2 of the Monetary and Financial Code and AMF instruction 2019-23, any supplier wishing to register as digital assets services supplier, will have to submit a registration application file.

    The provider will be required to provide certain information relating, amongst others, to the identity, competence and honourability of its officers and shareholding.

    The company’s officers are expected to have an experience relating to digital assets, of 6 months minimum, or any equivalent training.

    Besides, they must comply with the honourability requirements and must not have been prohibited to practice, according to article L. 500-1 of the Monetary and Financial Code (“MFC).

    Information relating to the anti-money laundering and terrorist financing system

    The applicant shall provide details relating to its target clients (characteristics, legal nature, geographical aspects, etc.) and the distribution channel planned for each service. If the company belongs to a group, it shall present the group’s organisation chart, indicating in particular the capital links between the various entities of the group and, for each entity, its company name, the country in which its registered office is located and the nature of its business.

    It shall provide:

    • a classification of the money laundering and terrorist financing risks, in accordance with Article L. 561-4-1 of the MFC, taking into account in particular the risks associated with clients, the nature of the products and services provided, the distribution channels planned and the geographical areas of operation; and, where appropriate,
    • the risk classification established at the group level.

    One will have to be very careful regarding operations over € 1,000 and operations relating to sums which they know, suspect (or have good reasons for suspecting) are the proceeds of an offence punishable by a custodial sentence of more than one year or are destined for terrorist financing (article L. 561-15 of the MFC).

    To this respect, the supplier will be required to provide the name and contact of the persons in charge of reporting the operations to TRACFIN and the devices set up to potentially froze the assets.

    What are the delays?

    Within 6 months following the filing of the complete documentation by the applicant, the AMF will render its decision.

    Within this timeframe, the AMF will consult the Autorité de Contrôle Prudentiel et de Résolution in order to make sure the DASP is compliant with the above-mentioned regulation.

    Optional visa

    If you provide one or more digital asset services and your company is established in France, you may apply for approval via by the AMF.

    This approval is granted for a great number of services, such as safekeeping digital assets, purchasing and selling digital assets in exchange for legal tender currencies, operating a digital platform trading digital assets, etc.

    Operators seeking the AMF visa, will be placed under the supervision of the AMF.

    The visa procedure before the AMF is similar to the registration one. However, the applicant will have to prove it abides by additional requirements, relating especially to the safety of operations (strengthened internal control, resilient computing security, report of activity for the next two years).

    Besides, the applicant will have to provide a professional insurance or a minimum amount of own funds.

    To be fully transparent, the DASP will then have to publish, on a regular basis, the volume of transactions and the average price of each transaction.

    The publication will have to be made on the operator’s website, no later than the second business day of the following trimester.

    Following each procedure, the AMF will publish a list of DASPs which obtained the visa or the registration, for the security of the investors.

    Any digital asset supplier has one year to abide by the new requirements set up by the PACTE Law.

    The first registration has been delivered by the AMF in March 2020.

    The author of this post is Iuliana Babei.