Al hacer clic en "Aceptar", aceptas que se almacenen cookies en tu dispositivo para mejorar la navegación por el sitio, analizar el uso del mismo y ayudar en nuestros esfuerzos de marketing. Consulta nuestra política de cookies para obtener más información.
Preferencias
DenegarAceptar
Gestionar Cookies
Por
Jesús García Cantó
2/4/2026
2
 min. de lectura
¿Cómo evitar estafas por phishing en empresas? Conoce un caso real

Las estafas por phishing y suplantación de proveedores ya no son una excepción. Son, desgraciadamente, parte del día a día de muchas empresas: un correo aparentemente legítimo, un “cambio de IBAN”, una transferencia que sale sin incidencias… y el dinero termina en una cuenta fraudulenta.

Esta semana, Jesús García (miembro de Ensis Legal) nos traslada una resolución especialmente relevante para empresas y departamentos de administración: la STS 1733/2025, de 27 de noviembre, en la que el Tribunal Supremo aclara un punto crítico: si el IBAN es el que tú indicas en la transferencia, el banco cumple… aunque el nombre del beneficiario no coincida.

Y aquí llega la pregunta inevitable:

¿Responde el banco si el nombre del beneficiario no coincide con el IBAN?

La respuesta del Supremo es clara (y poco alentadora): no, en general no responde.

El caso real (muy habitual): “tu proveedor” pide cambiar el IBAN

El patrón es el de siempre:

  1. Tu empresa recibe un email que parece de un proveedor habitual.
  2. Se comunica un nuevo IBAN para pagar facturas pendientes.
  3. La transferencia se ejecuta correctamente…
  4. Días después, el proveedor te reclama: “no he cobrado”.

En el caso analizado, el error del IBAN fue inducido por un tercero que suplantó al proveedor y facilitó un número de cuenta distinto; la transferencia acabó en una cuenta de titularidad desconocida.

Lo que dice el Tribunal Supremo: el banco ejecuta por IBAN (identificador único)

El Supremo recuerda el marco de los servicios de pago (normativa SEPA/PSD2 y su transposición en España) y lo resume así:

  • Si una orden se ejecuta conforme al identificador único (IBAN), se considera correctamente ejecutada respecto del beneficiario “identificado” por ese IBAN.
  • El nombre del beneficiario, aunque aparezca en la transferencia, se considera información adicional.
  • Si el IBAN es incorrecto (aunque sea por una estafa), el riesgo lo asume quien ordena el pago.

¿Y entonces el banco no hace nada?
No exactamente: el banco debe esforzarse razonablemente en intentar recuperar los fondos y colaborar (especialmente si se comunica rápido), pero no responde automáticamente por la pérdida si ejecutó conforme al IBAN indicado.

Mensaje clave para empresas: el fraude ya no es solo “un tema de informática”

Esta sentencia confirma una realidad incómoda:

👉 La prevención del fraude es organizativa y jurídica, además de tecnológica.

Porque si el control se limita a “que el banco lo revise” o “que el sistema lo detecte”, llegas tarde: para el Supremo, la transferencia bien ejecutada por IBAN deja a la empresa con muy poco margen de reacción.

Checklist práctica: 10 controles mínimos para evitar la suplantación de proveedores

Si en tu empresa se gestionan pagos a proveedores, estos controles deberían ser rutina:

  1. Prohibido cambiar IBAN por email sin verificación adicional.
  2. Verificación por canal alternativo: llamada al teléfono habitual (no el del email), videollamada o portal de proveedores.
  3. Doble aprobación (principio de “cuatro ojos”) para cambios de datos bancarios.
  4. Registro interno de cambios: quién solicita, quién valida, cuándo y cómo.
  5. Lista blanca” de cuentas: cualquier IBAN nuevo entra en “cuarentena” hasta validación.
  6. Señales rojas: urgencias, presión, tono inusual, cambios “por auditoría”, “por cierre”, “por incidencias”.
  7. Formación breve y recurrente al personal de administración/tesorería.
  8. Revisión de dominios y direcciones (no solo el nombre mostrado).
  9. Para importes relevantes: pago de prueba de importe mínimo + confirmación de recepción.
  10. Protocolo de reacción: si hay sospecha, bloqueo inmediato, comunicación al banco y denuncia/gestiones cuanto antes.

Conclusión: no se trata de desconfiar… se trata de protocolizar

La estafa del “cambio de IBAN” funciona porque ataca donde más duele: la rutina. Por eso el antídoto no es solo un antivirus o un filtro de correo, sino un procedimiento de pagos robusto: simple, documentado y obligatorio.

Si quieres, desde Ensis Legal podemos ayudarte a:

  • revisar vuestro protocolo interno de pagos,
  • definir un procedimiento de validación de cambios de cuenta,
  • y reforzar evidencias y trazabilidad (clave si hay que reclamar).

Por
Jesús García Cantó
Más artículos
2/4/2026
2
 min. de lectura
¿Cómo evitar estafas por phishing en empresas? Conoce un caso real
Evita estafas por phishing en tu empresa: ¿suplantación de proveedores y cambio de IBAN?
...
24/3/2026
2
 min. de lectura
Condiciones laborales transparentes: qué deberán revisar las empresas si se aprueba el nuevo Real Decreto
El proyecto de Real Decreto sobre condiciones laborales transparentes obligará a muchas empresas a revisar contratos, anexos, jornada y salario
...
23/3/2026
2
 min. de lectura
Un acusado a 16 años de prisión logra la absolución gracias a la defensa de José Luis González
La sentencia analiza la prueba practicada y concluye que no existían elementos suficientes para dictar una condena penal
...
Ver todo