Hoy entra en vigor una norma que marcará un antes y un después en la seguridad financiera en la UE: la obligación de verificación del beneficiario en transferencias establecida en el artículo 5 quater del REGLAMENTO (UE) 2024/886.
Este cambio no solo afecta al modo en que los bancos procesan pagos, sino que redefine responsabilidades y abre un debate jurídico sobre la diligencia reforzada en la banca digital.
📌 CONTEXTO LEGAL
Antes de esta modificación, la PSD2 y el RDL 19/2018 establecían que la comprobación del IBAN bastaba para considerar la transferencia correctamente ejecutada. El Tribunal Supremo, en la STS 571/2025, respaldó este enfoque, dejando fuera la obligación explícita de verificar el beneficiario, incluso ante riesgos conocidos como el fraude tipo Man in the Middle (MITM).
Esto dejaba una brecha importante: el fraude MITM consistía en interceptar una orden de pago y modificar el IBAN, de manera que el ordenante pagara a una cuenta distinta sin saberlo, manteniendo la deuda con el acreedor original.
🛡 ARTÍCULO 5 QUATER DEL REGLAMENTO (UE) 2024/886
El nuevo reglamento obliga a los proveedores de servicios de pago a realizar una verificación activa del beneficiario antes de ejecutar la transferencia. Esto implica:
1º Confirmar que el nombre del beneficiario coincide con el titular del IBAN indicado.
2º Bloquear la ejecución si existe discrepancia, salvo que el ordenante autorice expresamente continuar.
3º Registrar la verificación como parte de la diligencia reforzada del banco.
Este cambio se traduce en una mayor seguridad y en un aumento de la responsabilidad legal de las entidades financieras, especialmente ante ataques sofisticados de ingeniería social.
🌍 COMPARATIVA INTERNACIONAL: “CONFIRMATION OF PAYEE” EN REINO UNIDO
Reino Unido implementó en 2019 un sistema llamado Confirmation of Payee (CoP), bajo la supervisión de la Financial Conduct Authority (FCA), que obliga a los bancos a confirmar la identidad del beneficiario antes de transferencias.
El modelo británico ha reducido drásticamente fraudes tipo MITM, y ha servido como referencia para la UE. El Reglamento (UE) 2024/886 incorpora este enfoque, pero amplía el alcance:
- Aplica a todos los pagos SEPA y no solo a transferencias nacionales.
- Introduce sanciones explícitas por incumplimiento.
- Obliga a protocolos de transparencia y trazabilidad más estrictos.
⚖ ESTE CAMBIO TIENE VARIAS IMPLICACIONES LEGALES:
- Responsabilidad bancaria reforzada: el banco no podrá eximirse alegando cumplimiento del IBAN; debe demostrar diligencia activa.
- Mayor protección del consumidor: reduce significativamente el riesgo de fraude MITM.
- Impacto en contratos y acuerdos bancarios: será necesario revisar cláusulas de responsabilidad y términos de servicio.