El alto tribunal mantiene el criterio anterior para transferencias de 2019, pero avisa del cambio en la normativa de seguridad de la UE que obliga a verificar IBAN y beneficiario.
El Tribunal Supremo (TS) ha señalado que los bancos tendrán que asumir los fraudes por suplantación de identidad y reintegrar el dinero al cliente si no comprueban que el número de cuenta (IBAN) corresponde al verdadero beneficiario. Para hechos anteriores al 9 de octubre de 2025, mantiene su postura previa.
El caso del correo suplantado que cambió el IBAN del proveedor
El litigio nace de un email que suplantaba a un proveedor e indicaba un supuesto cambio de cuenta. Con esa información, una empresa ordenó varias transferencias al nuevo IBAN, y el dinero terminó en manos de un destinatario falso.
La sentencia fija las transferencias el 18 de octubre de 2019, por lo que aplica el Real Decreto-ley de 2018 sobre servicios de pago.
La norma de servicios de pago de 2018 aplicada a las transferencias de 2019
Según el Supremo, esa regulación entendía correctamente ejecutada una transferencia si llegaba al número de cuenta facilitado por el ordenante, sin exigir comprobar si ese IBAN era realmente el del beneficiario.
Dado lo anterior, una vez evidenciado el fraude, el Real Decreto-ley imponía a las entidades intentar recuperar los fondos y, si el afectado lo pedía por escrito, aportarle la información disponible para emprender acciones legales.
El fallo del 27 de noviembre mantiene el criterio, pero avisa de cambios desde octubre
Con esa base, el tribunal sostiene que la banca no tiene por qué devolver el dinero cuando el cliente aportó un IBAN erróneo en transferencias anteriores al 9 de octubre de 2025. A partir de esa fecha, advierte, habrá que ver si las entidades cumplen con la nueva obligación de verificar número de cuenta y beneficiario para evitar fraudes y, si no, responder por el daño económico.
“En las audiencias provinciales había debate porque algunas entendían que el banco tenía además un deber de diligencia. Pero el Supremo aclaró en su sentencia (del 1 de abril de 2025) que no, que la entidad no respondía si actuaba conforme al IBAN indicado”, asevera.
“Sin embargo, en esta reciente sentencia, el Supremo mantiene el mismo criterio, pero advierte que desde el 9 de octubre el escenario ha cambiado y que en todos los hechos posteriores a dicha fecha, el banco deberá de asumir la responsabilidad, estén preparados o no”, añade el socio-director de Navas & Cusí.
Impacto del phishing en 2025, según INCIBE y el Banco de España
El despacho Navas & Cusí calcula en 170 millones de euros el impacto económico del phishing en 2025, basándose en datos del Instituto Nacional de Ciberseguridad (INCIBE) y el Banco de España.
El INCIBE estima que habrá 30.000 casos de phishing este año, ante el auge de ataques vía móvil y por la inteligencia artificial (IA). En este contexto, el aviso del Supremo refuerza que desde el 9 de octubre de 2025 la verificación entre IBAN y beneficiario será determinante para fijar responsabilidades.
¿Quieres conocer más noticias sobre economía, trámites y gestiones? Te recomendamos que consultes los contenidos de nuestro periódico digital.