La mecánica del fraude “man in the middle” y el fraude del CEO
Para comprender quién debe responder de una transferencia fraudulenta es preciso entender, primero, cómo se fragua el engaño. La modalidad hoy dominante no consiste en sustraer las claves de la víctima, ni en manipular un sistema informático, sino en algo más sutil: hacer que sea la propia víctima quien ordene voluntariamente el pago, convencida de que opera con su contraparte legítima.
En el fraude denominado “man in the middle”, terceros desconocidos se interponen en una comunicación, típicamente —aunque no necesariamente— en un correo electrónico entre una empresa y su proveedor. La interceptan o la suplantan y alteran los datos bancarios de pago, de modo que la factura legítima conserve toda su apariencia salvo el IBAN de destino, que pasa a ser el del defraudador o el de una o varias cuentas interpuestas.
Estas cuentas, coloquialmente denominadas “mulas”, son las responsables de desplazar la trazabilidad y facilitar el salto entre distintas jurisdicciones (“country hop”), de manera que difícilmente pueda ser identificado el destinatario final.
Una de las variantes es el fraude del CEO, en la terminología anglosajona Business Email Compromise. El defraudador suplanta la identidad de un alto directivo de la compañía y, invocando una operación confidencial y urgente, instruye al departamento financiero para que ejecute una transferencia inmediata a una cuenta que controla.
El elemento común a ambas figuras es que el ordenante actúa engañado, pero por su propia mano emite la orden de pago hacia un IBAN ajeno revestido de plena apariencia de regularidad, sin que medie acceso no autorizado alguno a sus sistemas.
La inteligencia artificial como multiplicador del engaño
Este tipo de defraudaciones se ha expandido gracias a la inteligencia artificial generativa, aunque siempre es necesario producir algún tipo de hackeo previo de algún sistema a los efectos de interceptar, intervenir y controlar las comunicaciones en las que está involucrada la víctima, lo que también precisa de intervención tecnológica.
Las herramientas actuales permiten redactar correos impecables, libres de los errores gramaticales —y alejados del estilo de las antiguas “cartas nigerianas”— que antes delataban el fraude. Adaptan con precisión el estilo y la jerga corporativa del suplantado.
Y no solo eso. También posibilitan clonar la voz (audio deepfake) de un directivo para reforzar la orden por vía telefónica e incluso generar vídeos o videollamadas con intervinientes falsos, los llamados deepfake vishing, que dotan al engaño de una verosimilitud antes inalcanzable.
El resultado es un fraude con importantes desplazamientos patrimoniales y de manera cada vez más persistente, partiendo ello de redes criminales vinculadas a otros ciber ilícitos, no solo de carácter puramente económico.
Ello incrementa de manera notable el estándar de cautela exigible a quien ordena el pago, principalmente en su modalidad de transferencias electrónicas por su ejecución inmediata.
El deber reforzado de diligencia del ordenante
Esta elevación del estándar de diligencia se traduce en deberes concretos de carácter preventivo.
De un lado, surge la necesidad de evitar las vulneraciones que hacen posible la interposición del atacante. Los delitos tecnológicos explotan precisamente protocolos y entornos débiles: secuestro o suplantación del correo electrónico, redes wifi públicas no seguras, suplantación de DNS, secuestro de sesiones o robo de credenciales.
La adopción de medidas de ciberseguridad constituye hoy una exigencia de cuidado y no una mera recomendación técnica.
Así, el cifrado de extremo a extremo de las comunicaciones, la autenticación multifactor, la conexión exclusivamente a través de canales y sitios seguros, la actualización periódica de los sistemas y, sobre todo, una política de “confianza cero” que verifique a cada interlocutor antes de operar.
De otro lado, y de manera muy señalada, aparece la obligación de extremar las comprobaciones ante cualquier cambio sospechoso de cuenta.
Cuando en el curso de una relación comercial se modifican los datos bancarios de pago, especialmente si la instrucción llega con carácter urgente o confidencial, o si el importe es elevado, la diligencia impone verificar la autenticidad de ese cambio por un canal independiente y previamente conocido.
Por ejemplo, mediante una llamada al número habitual del proveedor —nunca al que figura en el correo sospechoso— o mediante una confirmación presencial antes de cursar la transferencia.
Es precisamente en ese momento, anterior a la entrada de la orden en el circuito interbancario, donde el fraude puede y debe atajarse. Y es también ahí donde la omisión de la verificación reorienta el reproche, sin lugar a duda, hacia quien ordenó el pago.
Calificación penal: estafa, estafa informática y blanqueo
Desde la perspectiva penal conviene distinguir que, cuando el ordenante, inducido a error por el engaño, realiza voluntariamente el acto de disposición patrimonial, la conducta del defraudador integra el delito de estafa del artículo 248 del Código Penal.
La redacción actual mantiene la definición del tipo básico al castigar a quienes, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
Es el caso característico del fraude del CEO y del man in the middle en el que existe un desplazamiento patrimonial consentido, aunque viciado por el engaño.
Distinto es el supuesto en que no media acto de disposición humano, sino una transferencia no consentida lograda mediante manipulación informática o interferencia en un sistema de información.
Tal conducta se reconduce a la estafa informática del artículo 249 del Código Penal.
La frontera entre ambos tipos —disposición engañada frente a transferencia no consentida— resulta a veces complicada, articulándose frecuentemente en dinámicas mixtas que podrían desplazar el delito hacia el tipo del artículo 249 por integrar el componente tecnológico.
En la cadena defraudatoria aparece, por último, una pieza esencial antes mencionada: la mula.
Se trata de la persona que pone una cuenta a su nombre para recibir los fondos procedentes del fraude y, acto seguido, los reenvía o extrae, fragmentando el rastro y dificultando la recuperación.
La jurisprudencia ha venido reconduciendo esta conducta, de manera acertada, fuera del tipo de la estafa. Así, cuando la mula no interviene en el engaño inicial, su conducta se reconduce al delito de blanqueo de capitales, frecuentemente en su modalidad imprudente del artículo 301.3 del Código Penal.
Responde quien, sin conocer con certeza el origen ilícito de los fondos, podía y debía sospecharlo conforme a un elemental deber de cuidado y, pese a ello, presta su cuenta y canaliza el dinero.
La mula es, así, el eslabón visible, necesario y normalmente el único localizable de la trama.
Conviene precisar, no obstante, que esta calificación no opera de manera automática, sino que depende decisivamente del grado de concierto previo y del dominio del hecho que quepa atribuir al titular de la cuenta receptora.
La frontera entre el blanqueo imprudente y la coautoría en la propia estafa se desplaza en función de la prueba disponible sobre ese concierto.
Ilustrativa resulta, en este sentido, la Sentencia de la Sala de Apelación de la Audiencia Nacional n.º 20/2026, de 12 de mayo, dictada precisamente en un supuesto de business email compromise sobre una transferencia internacional fraudulentamente reorientada mediante la presentación de documentación bancaria mendaz.
En ella, la Sala no califica la conducta del titular de la cuenta de destino como blanqueo, sino que confirma su condena como autor de un delito de estafa en concurso medial con falsedad en documento mercantil.
Entiende que aportar una cuenta de la que era el único autorizado para disponer y disponer después del dinero en favor de intereses propios constituye una contribución esencial, consciente y dolosa a la defraudación, y no un mero acto posterior de canalización de fondos.
Cabe extraer de ello una pauta de delimitación: el receptor de los fondos que actúa concertado y con dominio funcional del hecho responde como coautor de la estafa, mientras que aquel que, sin concierto previo, podría y debería haber sospechado del origen ilícito de lo recibido queda reconducido al blanqueo imprudente.
La responsabilidad civil y el papel del IBAN en PSD2
Aclarado el mecanismo del fraude, procede abordar la cuestión de la responsabilidad civil por el perjuicio.
La ejecución de las órdenes de pago se articula en torno al identificador único, esto es, el IBAN.
La Directiva (UE) 2015/2366 sobre servicios de pago (PSD2), que sucedió a la Directiva 2007/64/CE, y su transposición al ordenamiento español por el Real Decreto-ley 19/2018, de 23 de noviembre, establecen que, cuando una orden de pago se ejecuta de acuerdo con el identificador único facilitado por el usuario, se considera correctamente ejecutada en relación con el beneficiario designado por dicho identificador.
El proveedor de servicios de pago no responde de la ejecución defectuosa cuando el IBAN suministrado era el incorrecto, sin que la información adicional —el nombre del beneficiario o el concepto— genere obligaciones de comprobación añadidas.
Esta interpretación ha sido confirmada por la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Décima) de 21 de marzo de 2019, asunto C-245/18, Tecnoservice Int. Srl c. Poste Italiane SpA.
El Tribunal de Justicia concluyó que la limitación de responsabilidad del proveedor de servicios de pago opera tanto respecto del proveedor del ordenante como respecto del proveedor del beneficiario.
Asimismo, razonó que exigir a las entidades una comprobación manual de la coincidencia entre el identificador único y el nombre del beneficiario frustraría los objetivos de tratamiento automatizado y de rapidez de los pagos que persigue la normativa de la Unión.
El deber de cerciorarse de que el IBAN se corresponde con el beneficiario recae, por tanto, sobre el ordenante, que es quien tiene el control inmediato.
Lo anterior, por supuesto, sin perjuicio de la necesidad de colaboración entre entidades bancarias con el fin de proceder al bloqueo de cuentas receptoras de fondos que hubiesen sido ya transferidos ilícitamente cuando se hubiese informado de la defraudación.
La derivación de responsabilidad hacia las entidades bancarias debería producirse únicamente en supuestos en los que se pueda probar un incumplimiento normativo o una total ausencia de diligencia, y todo ello también con relación a la cuantía económica del desplazamiento que se hubiese producido.
Verification of Payee, seguros y atribución final del riesgo
Esta arquitectura ha sido confirmada por la innovación normativa más reciente.
El Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transferencias inmediatas en euros, introduce el servicio de verificación del beneficiario, la conocida verification of payee, exigible a los proveedores de servicios de pago de la zona euro a partir de octubre de 2025.
Por primera vez, las entidades deben ofrecer de forma gratuita y previa a la ejecución un cotejo entre el nombre del beneficiario indicado y el titular real de la cuenta de destino.
Pudiera pensarse que este mecanismo desplaza el riesgo hacia la entidad, pero no es así: el sistema está concebido como una herramienta de alerta, no de bloqueo.
Cuando el cotejo arroja una discrepancia, el proveedor muestra al ordenante una advertencia clara del riesgo, pero la decisión final sigue siendo suya. Si decide continuar, lo hace bajo su responsabilidad.
El legislador europeo, a mi entender, lejos de mutualizar el riesgo, ha reforzado la posición de garante del ordenante, dotándolo de información para que ejerza su diligencia sin sustraerle la decisión ni, por tanto, las consecuencias de su actuar.
Esta dinámica defraudatoria también ha encontrado respuesta en el mercado asegurador.
Las pólizas de ciberriesgo y los seguros de fraude o de delitos corporativos (crime insurance) incorporan crecientemente coberturas específicas frente al fraude por ingeniería social y la suplantación electrónica.
Su alcance, no obstante, depende del clausulado. Es frecuente que la indemnización quede condicionada a que el asegurado haya implementado y respetado protocolos internos de verificación, de modo que la propia diligencia del ordenante reaparece como presupuesto de la cobertura.
El seguro traslada el riesgo económico, pero no exime del deber de cuidado; antes bien, lo presupone y podrían exigirse mecanismos de verificación en su cumplimiento.
De cuanto antecede se sigue que la entidad bancaria, por lo general, debería quedar —por diseño del sistema— al margen del resultado lesivo.
El circuito interbancario SEPA procesa las órdenes de forma automatizada a partir del identificador único, sin que la entidad disponga de un deber general de cotejo nominativo ni, materialmente, de la capacidad de fiscalizar la voluntad negocial del ordenante.
El nuevo mecanismo de verificación de titularidad es un instrumento de intercambio de información entre entidades puesto al servicio del cliente, no un traslado de responsabilidad.
La conclusión, en términos jurídicos, es coherente: el reproche penal recae sobre el defraudador y, en su caso, sobre la mula que canaliza los fondos; y el riesgo civil de un fraude consumado mediante engaño al ordenante recae sobre quien estaba en mejor posición para evitarlo y omitió las comprobaciones exigibles.
No recae sobre el proveedor de servicios de pago, que —salvo supuestos excepcionales— se limitó a ejecutar, conforme a la normativa y a la doctrina del Tribunal de Justicia de la Unión Europea, una orden revestida de plena apariencia de regularidad.
