El Tribunal Supremo ha zanjado una duda clave para cualquiera que haga transferencias online: si te equivocas con el IBAN, el banco no responde, aunque el nombre del destinatario no coincida. En una reciente sentencia, el Alto Tribunal fija que la entidad solo está obligada a ejecutar la orden tal y como la introduce el cliente, y que el dato “crítico” a efectos legales es el número de cuenta, no el resto de información que se muestra en el formulario (nombre del beneficiario, concepto, etc.).
Si ese IBAN es falso, mal copiado o ha sido manipulado en un fraude de suplantación de identidad, la responsabilidad recae sobre el ordenante.
El caso arranca en 2019, cuando una empresa ordena dos transferencias por un total de 15.814 euros para pagar a un proveedor. Este avisa de que el dinero nunca ha llegado y se descubre el engaño: un tercero había enviado un correo fraudulento haciéndose pasar por el proveedor y facilitando un IBAN distinto. El banco, al recibir la orden, hizo exactamente lo que el sistema le pide: enviar el dinero a la cuenta indicada, cuyo titular era otra persona. No verificó si ese titular coincidía con el nombre del proveedor porque, de hecho, el sistema de pagos SEPA no exige (ni está diseñado para) cruzar esos datos de forma automática.
De Valencia al Supremo: el foco en el IBAN
En primera instancia, el juzgado de Valencia dio la razón a la entidad financiera, subrayando que el cliente es quien debe comprobar cuidadosamente el IBAN antes de validar la operación. La Audiencia Provincial, sin embargo, corrigió ese criterio y condenó al banco, al entender que, en un entorno digital, la entidad debe extremar las precauciones y advertir al usuario cuando detecta incongruencias claras entre el número de cuenta y los datos del beneficiario. Según ese tribunal, una simple alerta de “los datos no coinciden” habría bastado para frenar la operación y evitar el fraude.
El Supremo, en cambio, vuelve a la lógica de cómo está diseñado el sistema de pagos: las transferencias se cursan de forma automatizada tomando como referencia exclusiva el IBAN, no el nombre visible en pantalla. Pedir que el banco contraste, en tiempo real, millones de operaciones diarias con bases de datos de titulares sería, a juicio del Alto Tribunal, incompatible con la arquitectura actual de los pagos y con la normativa europea de servicios de pago, que ya presume que el ordenante es quien introduce el dato decisivo. Por eso revoca la condena al banco y deja claro que no hay “ejecución defectuosa” si la orden se ha procesado exactamente como la envió el cliente.
El último filtro de seguridad eres tú
Más allá del caso concreto, la sentencia lanza un mensaje incómodo pero nítido: en materia de transferencias, el último filtro de seguridad eres tú. Si un correo, una factura o un mensaje de WhatsApp te pide cambiar el IBAN habitual de un proveedor, la única manera realista de blindarse es confirmar por otro canal (teléfono oficial, contacto ya conocido, web verificada) antes de teclear el nuevo número. Una vez el dinero sale correctamente hacia la cuenta indicada, recuperar fondos se vuelve muy complicado: entra en juego otra entidad, otro titular y, muchas veces, una trama de phishing que vacía el dinero de inmediato.
El pronunciamiento también obliga a las empresas a revisar sus propios protocolos internos: no basta con culpar al banco cuando un fraude de este tipo se cuela en la contabilidad. Cruzar IBAN con bases de datos internas, limitar quién puede modificar cuentas de proveedores, exigir doble verificación para cambios bancarios o utilizar canales seguros de facturación pasa de ser una recomendación “de buenas prácticas” a convertirse en una barrera imprescindible.
