El ataque cibernético conocido como “Man in the Middle” (MitM) es una estafa en la que un defraudador interrumpe clandestinamente la comunicación entre dos partes, por ejemplo tú y tu banco, o tú y un proveedor. El atacante espía, sustituye la identidad o manipula para sustraer datos confidenciales o desviar transferencias de dinero.
La Regulación de octubre de 2025 y el Ocaso del “Man-in-the-Middle”
Desde el 9 de octubre de 2025, el Reglamento (UE) 2024/886 obliga a las entidades financieras a verificar en tiempo real que el nombre del beneficiario coincide con el titular del IBAN antes de ejecutar una transferencia. Esto neutraliza el fraude Man-in-the-Middle clásico, pero desplaza el riesgo hacia el propio usuario.
El 9 de octubre de 2025 marcó un antes y un después en la seguridad del sistema bancario europeo. Con la plena entrada en vigor del Reglamento (UE) 2024/886, las entidades financieras asumieron una obligación que durante años fue ignorada: verificar que el nombre del beneficiario de una transferencia coincide realmente con el titular de la cuenta de destino. Una medida técnica, aparentemente menor, que tiene consecuencias jurídicas de gran calado.
¿En qué consiste el fraude Man-in-the-Middle?
El fraude Man-in-the-Middle (MitM) ha sido, durante años, una de las modalidades de ciberestafa más sofisticadas y lucrativas. Su mecánica era sencilla en concepto, pero devastadora en la práctica.
Un ciberdelincuente interceptaba la comunicación entre dos partes —habitualmente una empresa y su proveedor— y modificaba el IBAN de la cuenta bancaria indicada en una factura o correo electrónico. El pagador, convencido de estar cumpliendo con su obligación, transfería el dinero directamente a la cuenta del estafador. Cuando la víctima descubría el engaño, el dinero ya había desaparecido.
Según datos del Ministerio del Interior, las estafas informáticas en España pasaron de 192.375 denuncias en 2019 a 427.448 en 2023, un crecimiento del 378% en siete años. El MitM era, en ese ecosistema de fraude digital, una de sus expresiones más dañinas para empresas y autónomos.
La obligación de Verification of Payee: qué exige la nueva normativa
El Reglamento (UE) 2024/886 modifica el marco normativo de las transferencias en la zona SEPA e introduce el servicio de Verification of Payee (VoP), de aplicación obligatoria a todas las transferencias inmediatas en euros.
Su funcionamiento es claro: antes de ejecutar una transferencia, la entidad financiera debe comprobar si el nombre del beneficiario introducido por el ordenante coincide con el titular real del IBAN de destino. El sistema arroja uno de tres resultados posibles:
- Coincidencia total: los datos son coherentes y la operación puede continuar.
- Coincidencia parcial: existe una pequeña discrepancia —una tilde, una abreviatura, un error tipográfico— que el banco debe comunicar al ordenante.
- Sin coincidencia: los datos no se corresponden. El banco alerta al cliente, quien decide si continuar bajo su propia responsabilidad.
En cualquier caso, la transferencia puede ejecutarse. Pero la obligación de informar es irrenunciable para la entidad.
Responsabilidad cuasi objetiva: el banco que no advierte, responde
El aspecto jurídicamente más relevante del Reglamento (UE) 2024/886 es el régimen de responsabilidad que impone a las entidades financieras.
Si un banco omite la verificación o no comunica la discrepancia detectada, asume la responsabilidad por las consecuencias del fraude. Esta posición consolida y refuerza la doctrina de la responsabilidad cuasi objetiva que la jurisprudencia española venía construyendo de forma progresiva —desde resoluciones de Audiencias Provinciales como la AAP Madrid 178/2015 o la AP Valencia 212/2021, hasta la propia STS 571/2025—, bajo la premisa de que el banco, como diseñador y custodio del canal de pagos electrónicos, debe acreditar que sus sistemas eran seguros y suficientes.
El nuevo reglamento europeo convierte esa exigencia jurisprudencial en obligación normativa expresa. La omisión del VoP ya no es solo un argumento de negligencia ante los tribunales: es un incumplimiento regulatorio con consecuencias directas sobre la imputación del daño.
El desplazamiento del cibercrimen: el usuario como nuevo objetivo
La implantación del VoP ha neutralizado el MitM clásico al eliminar su principal vector de éxito: el error involuntario del pagador que confía en un IBAN manipulado sin que el banco le advierta de la discrepancia. Al cerrarse esa puerta, el cibercrimen ha pivotado hacia otros métodos.
El objetivo ahora es el propio usuario. Los fraudes que crecen son aquellos en los que el engaño se produce antes de que el cliente introduzca el IBAN —mediante suplantación de identidad, llamadas fraudulentas o páginas web falsas—, porque si el usuario introduce voluntariamente un IBAN erróneo y el banco le informa de la discrepancia pero aquel decide continuar, la responsabilidad recae sobre el ordenante.
El usuario: el eslabón más vulnerable del nuevo ecosistema
El Reglamento (UE) 2024/886 supone un avance normativo indudable. La verificación del beneficiario refuerza la seguridad del sistema de pagos europeo, define con claridad las responsabilidades de las entidades financieras y reduce el margen de actuación de los ciberdelincuentes más sofisticados.
Sin embargo, cada medida de seguridad estructural desplaza el fraude hacia el punto de menor resistencia. Hoy, ese punto es el usuario. La concienciación, la formación y el asesoramiento jurídico preventivo son, por tanto, las herramientas imprescindibles para completar la protección que el legislador europeo ha comenzado a construir.
Si te ves envuelto un cualquier tipo de ciberdelito, ciberestafa o delito informático no dudes en consultar con nuestros abogados de ciberdelitos.
Preguntas frecuentes sobre el Reglamento (UE) 2024/886 y el fraude Man-in-the-Middle
¿Desde cuándo es obligatorio el servicio Verification of Payee en España?
El Reglamento (UE) 2024/886 entró en vigor el 9 de octubre de 2025 y es de aplicación directa en todos los Estados miembros de la UE, incluyendo España.
¿Qué ocurre si el banco no verifica el nombre del beneficiario y se produce un fraude?
La entidad financiera asume la responsabilidad del fraude. El incumplimiento de la obligación de verificación implica, conforme al reglamento, el deber de reembolsar el importe transferido al perjudicado.
¿Puede el usuario seguir haciendo la transferencia si el banco detecta una discrepancia?
Sí. El banco tiene la obligación de informar al ordenante sobre la discrepancia, pero la decisión final corresponde al usuario. Si este decide continuar pese al aviso, asume el riesgo asociado a esa operación.
¿El Reglamento (UE) 2024/886 aplica a todas las transferencias bancarias?
El reglamento se aplica a las transferencias inmediatas en euros dentro del espacio SEPA. Las transferencias ordinarias también están afectadas por las modificaciones introducidas en el Reglamento 260/2012.
¿Qué tipos de fraude han aumentado tras la implantación del VoP?
Al eliminarse el MitM clásico basado en la manipulación del IBAN, el cibercrimen se ha concentrado en métodos de engaño directo al usuario, como la suplantación de identidad, el vishing o las páginas web fraudulentas, donde el propio usuario introduce el IBAN incorrecto de forma voluntaria pero inducida.