En esta noticia

El Tribunal Supremo advierte a la banca sobre un cambio clave. Los bancos deberán responder por fraudes de suplantación de identidad. La obligación regirá desde el 9 de octubre de 2025.

El alto tribunal mantiene su doctrina previa. Hasta ahora, las entidades no debían devolver el dinero si el cliente daba un IBAN erróneo. Sin embargo, la normativa europea modificó este escenario.

El aviso figura en una sentencia fechada el 27 de noviembre. El fallo anticipa cómo se resolverán los litigios futuros por phishing bancario.

Alerta máxima para usuarios bancarios: desde ahora los bancos pagarán los fraudes
Alerta máxima para usuarios bancarios: desde ahora los bancos pagarán los fraudesFuente: ShutterstockShutterstock

El Supremo fija un antes y un después para el fraude bancario

El caso analizado involucra a una empresa víctima de suplantación. Recibió un correo que imitaba a un proveedor real. El mensaje informaba un supuesto cambio de cuenta bancaria.

La firma ordenó varias transferencias al nuevo IBAN indicado. El dinero terminó en manos de un tercero. Las operaciones se realizaron el 18 de octubre de 2019.

El Supremo aplicó el Real Decreto-ley de 2018 sobre servicios de pago. Esta norma consideraba correctamente ejecutada la transferencia si coincidía con el IBAN aportado.

La nueva obligación de verificar el IBAN

El tribunal recuerda que la Unión Europea modificó el Reglamento de servicios de pago en marzo de 2024. El cambio entró en vigor el 9 de octubre de 2025.

Desde esa fecha, los bancos deben verificar que el IBAN coincide con el beneficiario real. Si no lo hacen, deberán asumir el daño económico causado al cliente.

Juan Ignacio Navas explica que “las entidades se refugiaban en el Real Decreto-ley de 2018”. Esa norma indicaba que bastaba con ejecutar la orden conforme al IBAN.

Responsabilidad bancaria y futuros litigios

Según Navas, “el banco deberá de asumir la responsabilidad, estén preparados o no”. La advertencia figura en la reciente sentencia del Supremo.

El despacho Navas & Cusí estima en 170 millones de euros el impacto del phishing en 2025. El cálculo se basa en datos del INCIBE y el Banco de España.

El INCIBE prevé cerca de 30.000 casos de phishing en 2025. El aumento se vincula a ataques móviles y al uso de inteligencia artificial.

Fuente: ShutterstockShutterstock