Cómo afrontar un fraude por el número de cuenta bancaria IBAN

La arquitectura digital que respalda cada una de nuestras transacciones bancarias presume de ser muy sólida. Pero hasta el mármol puede agrietarse, de modo que las entidades buscan constantemente modos de defenderse contra el fraude y, al mismo tiempo, agilizar las operaciones. Así nacieron los dos códigos más famosos del lenguaje financiero: el IBAN y el BIC. El primero, explica la OCU, es el acrónimo de International Bank Account Number, un número de estructura uniforme y longitud variable que permite a quien tenga una cuenta bancaria realizar operaciones, como las transferencias o las domiciliaciones de pagos.

En España el IBAN tiene dos letras (ES) seguidas de 22 números, que son dígitos de control, identifican la entidad bancaria de la que proceden y la cuenta del usuario. Nacido como un acuerdo de los bancos para la zona única de pagos europea (llamada SEPA), el IBAN ya ha traspasado fronteras y se utiliza en más de 80 países. De forma análoga se usa el BIC, Bank Identifier Code, un código con 8 u 11 dígitos alfanuméricos que emplean los bancos y que es indispensable para pagos internacionales automatizados fuera de la zona bancaria europea.

El riesgo de un uso fraudulento del IBAN no es muy elevado, pero existe, como explican desde BNP Paribas Cash Management: la gran mayoría (el 60% de los casos) se da a través del llamado adeudo directo SEPA, es un método de pago automatizado para abonar facturas únicas o de carácter recurrente a través de un mandato firmado. Alberto Zumajo, jefe de ventas de Worldline Iberia Financial Services, un proveedor de servicios de pago, añade que el fraude puede venir cuando el deudor informa de un número de cuenta equivocado o que pertenece a otro titular. “Hay una posibilidad de girar un recibo a una persona que no ha admitido la domiciliación de ese pago”. Previamente, ha tenido que darse un robo de información, porque las órdenes necesitan una serie de datos mínimos para validar la operación, por ejemplo a través de un ciberataque.

Compartir los datos de la cuenta bancaria, en teoría, no debería ser arriesgado, porque lo único que se puede hacer con el IBAN es un ingreso. Pero los ladrones han encontrado la manera de endosar a las empresas cargos indebidos a través del fraude del correo electrónico corporativo, como explican las guías del Banco de España.

El modo de actuar es el siguiente: al intercambiar información sobre facturas a través de correo electrónico, los delincuentes suplantan la identidad del proveedor encargado de remitirlas. Después, modifican dichas facturas cambiando el IBAN de la cuenta a la que debe realizarse la transferencia de dinero. Las transferencias, aclara el Banco de España, son “mandatos de pago irrevocables, y las entidades no pueden ordenar la devolución sin el consentimiento del titular que se ha beneficiado”. Aunque, cuando eso ocurre, el banco sí debe contactar con la entidad a la que ha llegado el dinero para intentar recuperarlo si se sospecha que puede haber sido robado.

La OCU comparte varios consejos para protegerse de estos robos, como revisar periódicamente los movimientos de las cuentas. “Si ve un recibo domiciliado que no le cuadra, haga uso de la posibilidad que le da la normativa para devolverlo en un plazo de ocho semanas, contadas a partir de la fecha en que se cargue en su cuenta”. El cargo de un recibo sin autorización firmada se puede reclamar en un plazo de 13 meses desde la fecha del cargo. En cualquier caso, prevenir es mejor que curar, como recuerda Zumajo, “por los costes que supone la reclamación de las deudas”.

Refuerzo en los controles

Gracias a la normativa europea PSD2 (Segunda Directiva de Servicios de Pago), los bancos y otras entidades proveedoras de pagos tienen que utilizar sistemas de autenticación reforzada de clientes. “Con la aceleración tras la pandemia de los pagos digitales ha habido un aumento del número de operaciones e importe de los adeudos SEPA y también un aumento de riesgo”, explican desde Worldline, y ponen como ejemplo una herramienta que han desarrollado para firmar electrónicamente un mandato SEPA a través de banca electrónica. “El usuario no teclea su número de cuenta y no hay posibilidad de suplantación del cliente”, y obtiene de forma automática el IBAN de su cuenta.

Sigue toda la información de Economía y Negocios en Facebook y Twitter, o en nuestra newsletter semanal