Esta es la nueva normativa que intentará solucionar definitivamente las est@f@s de suplantación de identidad
- El 9 de octubre todos los proveedores de pago tendrán que regirse por ella
2/10/2025
Semana tras semana conocemos nuevos casos de est@f@s en las que las víctimas pierden miles de euros por engaños en los que los ciberdelincuentes consiguen hacerse pasar por los bancos de las víctimas al infiltrarse en las cadenas de mensajes SMS y alertan de una falsa incidencia que tienen que solucionar cuanto antes.
Este tipo de ataques se conocen como "Man in the middle" o "Ataque de Intermediario", que como decíamos es un tipo de ciberataque donde el atacante se interpone secretamente entre dos partes que se están comunicando (por ejemplo, un usuario y un sitio web o dos personas).
El atacante intercepta las comunicaciones sin que las víctimas lo sepan, pudiendo escuchar, robar, o incluso modificar la información que se intercambia. Para las víctimas, parece que se están comunicando directamente entre ellas, cuando en realidad todo el intercambio está siendo controlado por el atacante.
Sin embargo, a partir del próximo 9 de octubre de 2025, se termina el plazo para que todos los proveedores de pago españoles hayan integrado la verificación del beneficiario. El artículo 5 quater del Reglamento (UE) 2024/886, se presenta como una posible solución definitiva para acabar con este tipo de fr@udes, como nos explica Diego Zapatero, letrado y socio de Asoban Abogados.
"Dicho precepto obliga a comprobar la correspondencia entre nombre del beneficiario e IBAN antes de autorizar transferencias inmediatas en euros" explica el abogado, que señala que los proveedores tendrán que elevar las medidas de protección e identificación, lo que se espera que reducirá drásticamente este tipo de fr@udes.
Esto "impone (a las entidades) la verificación en el caso de las transferencias" , además de definir reglas de advertencia previa y articular "un régimen de reembolso cuando la verificación no se presta correctamente", lo que genera un mecanismo preventivo ante estos fr@udes, sin romper el proceso automatizado de estos movimientos.
Como señala Zapatero, si bien ya existía el artículo 88 PSD2, "este partía de la ausencia de responsabilidad del proveedor cuando el ordenante suministraba erróneamente los datos; con la entrada en vigor del 5 quater, ese principio se matiza, la exoneración no opera si la entidad no acredita haber verificado nombre e IBAN o, al menos, haber informado eficazmente de la discrepancia".
"El 5 quater no deroga el 88, pero reduce su ámbito exculpatorio"
O en otras palabras, ahora los bancos tienen más responsabilidad cuando ocurren est@f@s de este tipo, y por ello si se produce un fr@ude de este tipo están obligados a compensarlo si no han realizado las validaciones requeridas.
"El artículo 5 quater.8 establece que, si el incumplimiento del deber de verificar provoca una ejecución defectuosa, el proveedor del ordenante debe reembolsar de inmediato el importe y restablecer el saldo; si la deficiencia es imputable al proveedor del beneficiario o al iniciador, compensan al proveedor del ordenante; se consagra así una cadena de responsabilidad entre proveedores, sin perjuicio de la acción directa del usuario frente a su propio proveedor".
¿Cómo afecta esto al usuario?
"El consumidor recibirá advertencias claras cuando no coincidan nombre e IBAN, o verá el nombre asociado al IBAN si hay coincidencia casi exacta; con esa información podrá desistir o validar; si la entidad no verifica o no informa, el consumidor tiene acción de reembolso inmediato con base en el artículo 5 quater.8; se invierte la dinámica previa centrada en la diligencia exclusiva del usuario" explica Zapatero.
