Tom baja escaleras para llegar a la entrada de la casa. Sigue al cartero y le observa por el rabillo del ojo mientras él maniobra con las llaves. Cuando el cartero va a introducir la carta en el buzón, Tom se adelanta para recogerla a mano. Tras ello, Tom abandona el lugar mientras guarda la carta recién recibida. En su casa, Tom comienza a redactar un documento identificándose como el doctor Katz, que era el destinatario de la carta que ha interceptado. En dicho documento reclama una deuda a una paciente del doctor e indica que el dinero debía llegar a la dirección que reseña el propio Tom.

            Estas escenas de la miniserie Ripley[1] son un perfecto ejemplo de una estafa mediante la suplantación de la identidad: Tom Ripley, el protagonista, intercepta la carta dirigida al Dr. Katz; se queda con esta primera comunicación y hace una nueva imitando la imagen, escritura y firma del Dr. Katz; por último, envía esta nueva carta a la remitente original, la cliente, donde señala que no se han abonado los servicios del doctor y se reclama nuevamente la deuda.

            Esta táctica de ingeniería social mediante la suplantación de identidad y la creación de una apariencia de legitimidad puede causar perjuicios legales al suplantado y los terceros con los que se relaciona. En efecto, una suplantación exitosa reviste consecuencias reputacionales, patrimoniales, en el régimen de responsabilidad y/o en el ejercicio de nuestros derechos, libertades y obligaciones.

El problema es que estas suplantaciones analógicas, las cuales exigían un talento innato como el de Ripley, han sido superadas por las nuevas tecnologías. En la actualidad ha aparecido un ‘Ripley digital’, capaz de suplantar digitalmente con mayor facilidad (desde sus propios sistemas y sin exponerse físicamente) a la persona u organización que le interese, lo que ha aumentado exponencialmente los riesgos y amenazas a los que se somete la banca digital[2].

            Una de las técnicas más empleadas por los ‘Ripleys digitales’ es el Man in the Middle (MITM). Esta técnica consiste en la interceptación de una comunicación legítima entre dos o más interlocutores con el objeto de suplantar la identidad de una de las partes mediante la modificación de la comunicación o a través del envió de una nueva, pero manteniendo en todo caso la apariencia de legitimidad del original[3].

            El MITM se dirige, generalmente, a la modificación de una factura (en concreto del identificador único) que se remite desde el terminal del correo electrónico legítimo o desde una dirección cuasi-idéntica, manteniendo el resto de elementos de la comunicación y la factura. Es justamente la creación de una apariencia de legitimidad lo que hace sumamente difícil que pueda apreciarse la manipulación, de manera que se abona la cantidad al IBAN alterado y no se es consciente del fraude hasta que el otro interlocutor reclama la cantidad. En ese momento, el estafador se ha esfumado sin dejar rastro.

            De este modo, el usuario de los servicios de pago –generalmente el ordenante– sufre un perjuicio patrimonial: la transferencia emitida no sólo no ha sido recibida por el beneficiario (pudiendo quedar una factura sin abonar, una deuda sin cumplir, etc.), sino que ha sido usurpada por un tercero criminal. Y respecto a ello, se ofrecen dos vías: (i) la penal, improbable y compleja; (ii) y la civil, que es la que se va a abordar a continuación.

            Desde el pasado 9 de octubre del presente año es aplicable Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024. Esta norma reguladora del régimen de las transferencias inmediatas en euros exige a los proveedores de servicios de pago la verificación de la identidad del beneficiario en todas las transferencias. Con ello se busca poner fin a la imponente cantidad de estafas y fraudes en los servicios de banca digital mediante la suplantación de la identidad del beneficiario.

            Esta nueva exigencia es del todo acorde con el avance de la técnica. Pero años antes de la entrada en vigor del citado Reglamento europeo ya existía la posibilidad tecnológica de realizar estas comprobaciones y, cuanto menos, de alertas o indicadores que requieran de una segunda verificación en ciertos movimientos bancarios (tal ycomo sucede, por ejemplo, cuando viajamos al extranjero y nos llama nuestro banco para cerciorarse de las compras que efectuamos).

            No obstante, hasta entonces se ha venido contemplado la estricta aplicación de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, la cual fue traspuesta por el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Dichas normas han sido interpretadas por sentencias como la STJUE de 21 de marzo de 2019 (asunto C-245/18) o la STS 507/2025, de 27 de marzo, las cuales han limitado la responsabilidad del proveedor de servicios de pago a la ejecución correcta conforme al IBAN indicado, sin que deban atender más información adicional. Pero la realidad es que, como también se deduce de la referida STS 507/2025, no puede perderse de vista que la interpretación del sentido de las normas ha de hacerse conforme al estado de la técnica en el momento en que se aplica (art. 3.1 CC). Y es en este sentido en el que debe valorarse la diligencia de las entidades de servicios de pago en estos supuestos.

            En cualquier caso, existen más recursos que abundan en el análisis de la falta de diligencia y buenas prácticas bancarias de algunos proveedores de servicios de pago. Por ello, conscientes de los riesgos de la banca digital y del imponente número y gravedad de las suplantaciones, fraudes y estafas producidas por estos medios, los proveedores de servicios de pago han debido ir más allá de la literalidad normativa a la hora de garantizar la seguridad de las transacciones y transferencias[4].

            Pero la diligencia y buenas prácticas bancarias no solamente exigen adoptar las medidas de seguridad necesarias para evitar estafas o fraudes en sus sistemas de pago[5]. Supone también el cumplimiento de otras normativas afectadas, en concreto y especialmente de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo[6].

            Y es que las obligaciones en materia de prevención del blanqueo pueden ser idóneas para atajar las estafas y fraudes en la banca digital. En este sentido, las entidades que presten servicios de pago, como los bancos, son sujetos obligados y deben aplicar determinadas medidas de diligencia debida: identificación formal; identificación del titular real; información sobre el propósito e índole de la relación de negocios; el seguimiento continuo de la relación de negocios. Estas medidas de diligencia debida deberán aplicarse y modularse en función del riesgo y dependiendo del tipo de cliente, relación de negocios, producto u operación, pudiendo por tanto simplificarse o reforzarse.

            Pues bien, aplicando la normativa a los MITM, las siguientes cuestiones pueden tener especial relevancia a la hora de analizar el cumplimiento de la diligencia debida a la que está sometida la entidad proveedora de servicios de pago:

1. Transacciones sospechosas en las que no coinciden el ordenante y/o el beneficiario.
2. Operaciones anómalas entre partes que carecen de una relación económica, contractual o de cualquier otro tipo.
3. Movimientos de cuantiosos importes que no obedecen a una lógica de negocios usual.
4. Existencia de ‘cuentas mula’, especialmente cuando tengan discrepancias formales (p. ej. datos inexactos o insuficientes para su apertura).
5. Operativa premeditada: creación de cuenta bancaria de manera inminentemente previa al ingreso de cantidades, traspaso de los fondos a cuentas en el extranjero, movimiento de todo o la práctica totalidad del dinero en el mismo día o escasos días después de su ingreso, etc.

            En todos los supuestos anteriores se han podido incumplir de manera cumulativa o individual las obligaciones de diligencia debida de los proveedores de servicios de pago, y concretamente:

• La comprobación, con carácter previo al establecimiento de relaciones de negocio o a la ejecución de cualesquiera operaciones, de la identidad real del titular de la cuenta y de las personas físicas o jurídicas que pretendan intervenir.
• El seguimiento y supervisión continua de operaciones.
• La aplicación de medidas de detección y bloqueo de todo movimiento y/o cuenta sospechosa, inusual o anómala, sobre todo si se conocían por el banco o se habían denunciado.  
• El examen especial de cualquier hecho u operación, con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el blanqueo de capitales o la financiación del terrorismo, en particular de toda operación o pauta de comportamiento compleja, inusual o sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude.
• Incluso la falta de comunicación por indicio al SEPBLAC de todas aquellas operaciones que pueden constituir blanqueo de capitales o delito.

            De acuerdo con todo lo anterior, cuando el incumplimiento de la normativa de prevención del blanqueo y la falta de diligencia de los proveedores de servicios de pago haya posibilitado un fraude o estafa, el usuario debe poder obtener el resarcimiento del daño sufrido en su patrimonio conforme a la responsabilidad extracontractual del artículo 1902 del Código Civil[7].

            En este sentido se pronuncia la SAP Baleares 494/2023, de 18 de octubre. Esta sentencia, que mantuvo la línea decisoria de la primera instancia, condena al banco por no haber comprobado debidamente la identidad de los clientes (en concreto, por no acreditar el cumplimiento de los requisitos para establecer relaciones de negocio y operaciones no presenciales conforme al artículo 12 de la Ley 10/2010), ni haber seguido debidamente las operaciones realizadas (la persona suplantada estaba desempleada y sin embargo recibió un total de 20.000 euros en pocos días desde la apertura de la cuenta sin que se le exigiera la justificación del origen de los fondos).

            Respecto a la valoración del daño, la sentencia, tras analizar la causalidad material y jurídica, sostiene que el daño se produjo porque:

1. Un tercero suplantó el correo electrónico de otra entidad legítima, indicando un número de cuenta distinto para hacer una transferencia.
2. El número de cuenta no pertenecía a esta entidad legítima, sino que había sido abierta en el banco demandado por una persona distinta a la que en la misma figuraba como titular.
3. La apertura de dicha cuenta fue posible debido a la falta de diligencia de la entidad demandada en la identificación.

            De acuerdo con el análisis efectuado, si se suprimieran cualquiera de estos elementos de la cadena causal el resultado dañoso no se habría producido. En efecto, pese a que existe una conducta dolosa de un tercero (el suplantador y estafador), ésta se ha visto decisivamente favorecida por algunos proveedores de servicios de pago, cuya falta de diligencia en la identificación de los titulares de la cuenta facilita la actuación del ciberdelincuente.

            En suma, si bien en otro artículo hicimos referencia a que la petición de numerosos datos personales e informaciones bajo el axioma “lo exige la Ley de prevención del blanqueo” puede ser un tratamiento excesivo y no justificado[8], también postulábamos la necesidad de esta normativa para la proteccion del sistema financiero y la seguridad de la actividad económica.

            La figura del ‘Ripley digital’ refleja cómo la suplantación de identidad ha evolucionado del engaño analógico al ciberfraude sofisticado. Este tipo de estafas tan frecuentes en la banca digital han puesto en evidencia las limitaciones de la normativa vigente hasta hace poco, la cual eximía a las entidades financieras de responsabilidad si ejecutaban la transferencia conforme al número de cuenta indicado, aun cuando éste fuera fraudulento.

            Con la entrada en vigor del Reglamento (UE) 2024/886, los proveedores de servicios de pago deben verificar la identidad de todo beneficiario. Sin embargo, la mayor protección del usuario dependerá de la diligencia y las mejores prácticas bancarias. Y en este sentido, para lograr una banca digital más segura frente a los ‘Ripleys digitales’ debemos partir tanto de la interpretación normativa conforme al estado de la técnica en el momento en que se aplica (artículo 3.1 CC), como de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo.

---

[1] Netflix, episodio 1. La serie es una adaptación de la novela El talento de Mr. Ripley, de Patricia Highsmith.

[2] En un artículo reciente tratamos la figura del doppelgänger como un doble maligno del banco para efectuar determinadas estafas y fraudes: https://gabeiras.com/actualidad/el-doppelganger-bancario-phising/

[3] Generalmente, los ciberdelincuentes poseen información previa sobre las partes y sus comunicaciones, de manera que esperan el momento adecuado para manipular las comunicaciones intercambiadas y suplantar a alguna de las partes. Para más información, puede consultarse la web de INCIBE: https://www.incibe.es/empresas/blog/el-ataque-del-man-middle-empresa-riesgos-y-formas-evitarlo

[4] El considerando 88 de la Directiva (UE) 2015/2366 señala al respecto que no se “debe impedir a los Estados miembros exigir al proveedor de servicios de pago del ordenante que actúe con la debida diligencia y compruebe, cuando sea técnicamente posible y sin que ello requiera intervención manual, la coherencia del identificador único y, si este resulta incoherente, rechace la orden de pago e informe de ello al ordenante”. De hecho, y pese a que ni la citada Directiva ni la norma nacional contienen más disposiciones sobre esta cuestión, en algunos países de nuestro entorno se ha hecho común el empleo del Confirmation of Payee, lo que ha permitido reducir drásticamente este tipo de fraudes.

[5] En este sentido, la SAP Alicante 107/2018, de 12 de marzo condena a la entidad bancaria porque no “adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático”. En efecto, los beneficios de la banca digital para las entidades (ahorro de costes y de tiempo, expansión del negocio, etc.) deben compensarse con medidas y soluciones tecnológicas acordes con el estado de la técnica y riesgos existentes. De lo contrario, la omisión, insuficiencia o defectuoso funcionamiento de las medidas adoptadas es que las entidades bancarias asuman las consecuencias derivadas de los fallos de seguridad. Ello sucede igualmente en materia de prevención del blanqueo, tal y como señala la SAP Baleares 494/2023, de 18 de octubre: “si la entidad demandada quiere beneficiarse de las ventajas de esta forma de contratación on line, la cual le supone el ahorro de numerosos costes, también tiene que asumir los riesgos que esa forma de contratación on line conlleva y que se traduce en la mayor dificultad de identificación y la necesidad de extremar la diligencia”.

[6] Considerando 37 de la Directiva (UE) 2015/2366: “Las entidades de pago deben asimismo estar sujetas a requisitos eficaces en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo”.

[7] Además, cuando el incumplimiento es por parte de un banco, debe tenerse en cuenta la exigencia de diligencia y buena fe reforzada como comerciante experto y profesional (bonus argentarius), y más aún al ser éstos quienes imponen y controlan la banca electrónica, con sus riesgos y beneficios, tal y como se ha visto. Igualmente debe tenerse en cuenta si el sujeto obligado actúa con pasividad tanto en la gestión del blanqueo de capitales (bloqueo de cuentas, comunicación de indicios, etc.), como en la evitación y resarcimiento del daño (recuperación de los fondos, cooperación con el cliente, etc.).

[8] https://gabeiras.com/actualidad/el-sindrome-de-acumulacion-compulsiva-de-datos-personales/