{"id":33255,"date":"2025-11-03T21:54:28","date_gmt":"2025-11-03T20:54:28","guid":{"rendered":"https:\/\/www.legalmondo.com\/2025\/11\/spain-man-middle-fraud-eu-regulation-paradigm-shift\/"},"modified":"2025-11-03T22:13:40","modified_gmt":"2025-11-03T21:13:40","slug":"espana-estafa-man-middle-y-el-reglamento-ue-2024-886-cambio-paradigma","status":"publish","type":"post","link":"https:\/\/www.legalmondo.com\/es\/2025\/11\/espana-estafa-man-middle-y-el-reglamento-ue-2024-886-cambio-paradigma\/","title":{"rendered":"Espa\u00f1a &#8211; La estafa Man in the Middle y el Reglamento UE 2024\/886: cambio de paradigma"},"content":{"rendered":"<p>El incremento de la llamada <em>cibercriminalidad <\/em>en los \u00faltimos a\u00f1os presenta una magnitud tal que exige reacciones legislativas y judiciales contundentes. Las p\u00e9rdidas por fraudes online en Europa superan los 100.000 millones de d\u00f3lares seg\u00fan Nasdaq Ventures de los que 5.000 millones corresponden a Espa\u00f1a.<\/p>\n<p>En Espa\u00f1a se denunciaron en 2019, 192.375 casos de estafas inform\u00e1ticas, pero en 2023 ascendieron a 427.448. Seg\u00fan los \u00faltimos datos oficiales disponibles las estafas inform\u00e1ticas representan el 90,4% de toda la cibercriminalidad y su crecimiento en el periodo 2016-2023 fue del 378%.<\/p>\n<p>Las variedades que presentan las estafas inform\u00e1ticas son m\u00faltiples y est\u00e1n bautizadas en ingl\u00e9s, (al fin y al cabo, la <em>lingua franca<\/em> de nuestro tiempo), incluyendo, entre otras ingeniosas modalidades de los h\u00e1biles estafadores, las conocidas con los curiosos y divertidos nombres (salvo para los que las padecen) como <em>phishing, pharming,, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, <\/em>y la que hoy nos interesa, <em>man in the middle (MITM).<\/em><\/p>\n<h2>\u00bfQu\u00e9 es el ataque Man in the Middle?<\/h2>\n<p>El fraude MITM consiste en la interceptaci\u00f3n las comunicaciones entre dos dispositivos conectados a una red, permitiendo al ciber caco alterar y desviar los mensajes intercambiados entre los usuarios. El estafador intercepta una comunicaci\u00f3n en la que un usuario solicita a otro un pago y a continuaci\u00f3n modifica el IBAN de la cuenta bancaria en la que debe realizarse la transferencia con el objetivo de hacerse con el dinero. El proceso se desarrolla generalmente de la siguiente manera:<\/p>\n<ul>\n<li>Sin que la empresa lo detecte, un atacante intercepta y manipula un correo electr\u00f3nico, cambiando el n\u00famero IBAN de la cuenta en la que debe realizarse el pago.<\/li>\n<li>El ciberdelincuente se hace pasar por el proveedor, enviando el mensaje desde una direcci\u00f3n de correo electr\u00f3nico casi id\u00e9ntica a la original, pero con una ligera alteraci\u00f3n que resulta casi imperceptible.<\/li>\n<li>La empresa receptora, confiando en la autenticidad del mensaje, realiza la transferencia a la cuenta fraudulenta.<\/li>\n<\/ul>\n<p>De este modo, se consigue un desplazamiento patrimonial en detrimento del ordenante de la transferencia y a favor del ciber ladr\u00f3n, de suerte que cuando el ordenante advierte el error, su primera reacci\u00f3n es intentar contactar con el banco receptor con la esperanza de que los fondos puedan ser bloqueados a tiempo. Sin embargo, en la mayor\u00eda de los casos, el ciberdelincuente ha sido m\u00e1s r\u00e1pido: el dinero ya ha sido transferido a otra cuenta o retirado, dejando poco margen de maniobra, salvo el inicio de actuaciones judiciales a las que a continuaci\u00f3n nos referimos.<\/p>\n<p>La pregunta inmediata es qu\u00e9 responsabilidad tiene el banco que ha recibido la orden de transferencia del usuario enga\u00f1ado y abona en la cuenta del ciber estafador el importe en cuesti\u00f3n, en aquellos casos en los que el ordenante del pago identifica no solo el IBAN (fraudulento) sino tambi\u00e9n el nombre del beneficiario de la orden de pago que obviamente no coincide con el titular de la cuenta bancaria receptora de los fondos.<\/p>\n<p>La respuesta desde el sentido com\u00fan ser\u00eda que el banco receptor de la transferencia deber\u00eda confirmar que el titular de la cuenta de abono y la persona f\u00edsica o entidad identificada como beneficiario en la orden de transferencia coinciden; y si no fuere as\u00ed, deber\u00eda suspender el abono y solicitar aclaraciones al ordenante. Pero no es as\u00ed en aplicaci\u00f3n de la legislaci\u00f3n de la UE y de la transposici\u00f3n de la misma al ordenamiento jur\u00eddico espa\u00f1ol como a continuaci\u00f3n veremos.<\/p>\n<p>Hasta el pasado 9 de octubre, el sistema bancario europeo ha operado bajo la premisa de que la validez de una transferencia se basa exclusivamente en la correcci\u00f3n del IBAN. Es decir, si el n\u00famero de cuenta es correcto, la operaci\u00f3n se considera v\u00e1lida, incluso si el nombre del beneficiario no coincide. Esta pr\u00e1ctica ha generado numerosos casos de fraude, errores involuntarios y p\u00e9rdida de fondos, especialmente en el \u00e1mbito de las transferencias inmediatas, donde la rapidez puede jugar en contra de la seguridad.<\/p>\n<p>La opci\u00f3n m\u00e1s razonable del ordenante estafado para recuperar su dinero es demandar por la v\u00eda civil al banco receptor de la orden de abono (con quien carece de relaci\u00f3n contractual) por responsabilidad extracontractual al amparo del art. 1124 del C\u00f3digo Civil; en efecto la v\u00eda penal contra el titular de la cuenta, que habitualmente es lo que en el argot se denomina \u201cmula\u201d, no suele tener recorrido exitoso, tanto porque lo normal es que el p\u00e1jaro vuele como por su falta de solvencia.<\/p>\n<p>&nbsp;<\/p>\n<p>La jurisprudencia de las Audiencias Provinciales ha estado dividida entre aquellos fallos en los que se acud\u00eda a una aplicaci\u00f3n rigurosa y fiel del art\u00edculo 59 del Real Decreto-ley 19\/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, desestimando las reclamaciones de los estafados y otros en los que se buscaban argumentos bajo la premisa de falta de diligencia para condenar al banco a indemnizar al ordenante del pago.<\/p>\n<p>As\u00ed se ha configurado la figura de una responsabilidad cuasi-objetiva de las entidades bancarias en materia de fraude digital, imponi\u00e9ndoles un est\u00e1ndar reforzado de diligencia y traslad\u00e1ndoles el riesgo inherente a la actividad de banca en l\u00ednea, salvo supuestos de dolo o negligencia grave del cliente. Esta l\u00ednea, que se proyecta desde la jurisprudencia menor (AAP Madrid 178\/2015; AP Alicante 107\/2018; AP Valencia 212\/2021) hasta el propio Tribunal Supremo (STS 571\/2025, entre otras), se alinea con la idea de que corresponde al banco acreditar que sus sistemas eran seguros, actualizados y suficientes para evitar la consumaci\u00f3n del il\u00edcito.<\/p>\n<p>En este marco, el concepto de <em>bonus argentarius<\/em> cobra renovada vigencia. Este es un principio que recogi\u00f3 la ley 57\/68 para proteger a los compradores de viviendas en el sector inmobiliario, pero que el Tribunal Supremo sentenci\u00f3 en varias ocasiones que tambi\u00e9n se puede aplicar a otras inversiones financieras. En\u00a0 lo que a MITM se refiere, significa que, en caso de p\u00e9rdidas por negligencia de la entidad financiera, el cliente puede presentar una demanda al amparo de la Ley 57\/68 y reclamar la responsabilidad de la entidad bancaria.<\/p>\n<p>El <em>bonus argentarius<\/em> se basa en la presunci\u00f3n de culpa de la entidad financiera, lo que significa que, aunque el cliente no tenga pruebas concretas de la negligencia, esta se da por sentada debido al deber de cuidado que debe tener la entidad en la gesti\u00f3n de las inversiones.<\/p>\n<p>En base a aquel principio, la diligencia exigible al profesional financiero no es la del comerciante medio ni la del <em>pater familias,<\/em> sino la de un experto cualificado que asume la obligaci\u00f3n de proteger los fondos confiados mediante la implantaci\u00f3n de mecanismos de seguridad \u201cnecesarios y renovables\u201d. Ello implica no solo el mantenimiento de medidas t\u00e9cnicas b\u00e1sicas de autenticaci\u00f3n reforzada, sino la adopci\u00f3n proactiva de soluciones antifraude reconocidas internacionalmente, como la verificaci\u00f3n nombre-IBAN (Confirmation of Payee o IBAN-Naam Check), que han demostrado eficacia en jurisdicciones comparadas.<\/p>\n<p>En l\u00ednea con aquella doctrina y jurisprudencia, la omisi\u00f3n de medidas de verificaci\u00f3n del beneficiario constituir\u00eda una infracci\u00f3n del deber contractual de diligencia y de la buena fe (arts. 1104 y 1258 CC), generadora de responsabilidad civil por el da\u00f1o causado de suerte que el fraude MITM no puede considerarse un riesgo residual imputable al cliente, sino un fallo de seguridad sist\u00e9mico imputable a la entidad financiera, en tanto que dise\u00f1adora y custodio del canal de pagos electr\u00f3nicos.<\/p>\n<p>Pero en \u00a0este estado de cosas el \u00a0Tribunal Supremo en su reciente sentencia de 27 de marzo de 2025 se decantaba por la alternativa de la aplicaci\u00f3n estricta del art\u00edculo 59 argumentando que \u201c<em>si el usuario de servicios de pago facilita informaci\u00f3n adicional a la requerida (especificaci\u00f3n de la informaci\u00f3n o del identificador \u00fanico que el usuario de servicios de pago debe facilitar para la correcta iniciaci\u00f3n o ejecuci\u00f3n de una orden de pago), el proveedor de servicios de pago \u00fanicamente ser\u00e1 responsable de la ejecuci\u00f3n de las operaciones de pago de acuerdo con el identificador \u00fanico facilitado por el usuario de servicios de pago\u2026 y que\u00a0 la responsabilidad del proveedor de los servicios de pago, tanto a nivel comunitario como nacional, se desprende que cumple su obligaci\u00f3n ejecutando la operaci\u00f3n de pago de acuerdo con el identificador \u00fanico, sin que la adici\u00f3n de informaci\u00f3n adicional implique una mayor diligencia exigible<\/em><\/p>\n<p>Cierto que para finalizar, el TS abr\u00eda una rendija a la esperanza de los usuarios estafados cuando afirmaba que \u201c<em>la interpretaci\u00f3n expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecuci\u00f3n defectuosa de la operaci\u00f3n, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor alg\u00fan requisito o exigencia a\u00f1adida (v.gr. la identificaci\u00f3n del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que impon\u00eda la diligencia de un comerciante experto para permitir la retroacci\u00f3n o, en su caso, minimizar el da\u00f1o.\u201d<\/em><\/p>\n<p>Y en este escenario trufado de dudas irrumpe el Reglamento (UE) 2024\/886 que supone un giro de 180 grados y un cambio de paradigma: el nuevo Reglamento europeo, aprobado en abril de 2024 y con entrada en vigor el 9 de octubre de 2025, establece una obligaci\u00f3n clara para las entidades bancarias: deben verificar que el nombre del beneficiario proporcionado por el ordenante coincida con el titular del IBAN antes de ejecutar una transferencia inmediata en euros.<\/p>\n<p>Las novedades de este nuevo Reglamento son (i) la aplicaci\u00f3n obligatoria a todas las transferencias inmediatas dentro del espacio SEPA, (ii) el nuevo sistema de coincidencia de nombres: si hay discrepancia entre el nombre y el IBAN, el banco debe alertar al cliente antes de ejecutar la operaci\u00f3n y (iii) la responsabilidad reforzada para las entidades financieras en caso de fraude o error por falta de verificaci\u00f3n.<\/p>\n<p>En suma se pretende reducir el riesgo de fraude, proteger al consumidor y aumentar la confianza en los pagos digitales.<\/p>\n<p>Ello provoca que la Ley 19\/2018, que regula los servicios de pago en Espa\u00f1a, que no contempla la obligaci\u00f3n de verificar la identidad del beneficiario queda desfasada, lo que plantea la necesidad de una revisi\u00f3n legislativa a nivel nacional para armonizar el marco jur\u00eddico con las exigencias europeas.<\/p>\n<p><strong>En conclusi\u00f3n<\/strong> la obligaci\u00f3n de verificar al beneficiario en las transferencias representa un avance significativo en la protecci\u00f3n del consumidor y en la lucha contra el fraude financiero. El Reglamento (UE) 2024\/886 marca un antes y un despu\u00e9s en la operativa bancaria, imponiendo una responsabilidad activa a las entidades para garantizar la autenticidad de las transferencias.<\/p>\n<p>Queda en todo caso abierta la cuesti\u00f3n respecto a la soluci\u00f3n a los fraudes MITM ejecutados antes del 9 de octubre de 2025 y la responsabilidad de la entidad bancaria; de momento la sentencia STS\u00a0 de 27 de marzo arriba citada cierra la puerta a las reclamaciones contra los bancos pero no puede descartarse que la entrada en vigor del Reglamento 2024\/886 y el cambio de paradigma produzca un replanteamiento de la posici\u00f3n del TS en la l\u00ednea de la responsabilidad cuasi objetiva que la jurisprudencia menor viene manteniendo. Habr\u00e1 que esperar acontecimientos pero ese cambio ser\u00eda un gran \u00e9xito para los usuarios bancarios sufridores de este fraude MITM y de \u00a0todos los dem\u00e1s dentro de las m\u00faltiples variedades de las \u00a0ciber estafas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El incremento de la llamada cibercriminalidad en los \u00faltimos a\u00f1os presenta una magnitud tal que exige reacciones legislativas y judiciales contundentes. Las p\u00e9rdidas por fraudes online en Europa superan los 100.000 millones de d\u00f3lares seg\u00fan Nasdaq Ventures de los que 5.000 millones corresponden a Espa\u00f1a. En Espa\u00f1a se denunciaron en 2019, 192.375 casos de estafas [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":33252,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[493,512,7176],"tags":[743],"class_list":["post-33255","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-banking-es","category-litigation-es","category-financing-and-securities-es","tag-spain-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/posts\/33255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/comments?post=33255"}],"version-history":[{"count":3,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/posts\/33255\/revisions"}],"predecessor-version":[{"id":33258,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/posts\/33255\/revisions\/33258"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/media\/33252"}],"wp:attachment":[{"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/media?parent=33255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/categories?post=33255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.legalmondo.com\/es\/wp-json\/wp\/v2\/tags?post=33255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}