Logo - Abogados Hernández Hernández
646 012 866

Menú

info@hernandezhernandezabogados.com
Abogados Hernández & Hernández - ¿Has sido víctima del fraude de las facturas por correo electrónico? Descubre las claves para defender tu empresa.

17/06/2025

Financiero; Administrativo;

¿Has sido víctima del fraude de las facturas por correo electrónico? Descubre las claves para defender tu empresa.

¿Has pagado a un estafador informático que ha suplantado el email de tu proveedor? Descubre las claves para demostrar que actuaste con diligencia y buena fe a fin de evitar tener que pagar dos veces: al estafador y al verdadero acreedor.

La estafa conocida como “Man in the Middle (MitM)” o “Business Email Compromise (BEC)”, está siendo cada vez más frecuente en el entorno empresarial, tanto en pequeñas como en grandes empresas. 

¿En qué consiste? Un delincuente intercepta en algún punto de la red los correos electrónicos entre un cliente y su proveedor, después de monitorizar sus comunicaciones, intercepta un email del proveedor remitiendo una factura real, para modificar el IBAN de pago, engañando así al cliente para que haga el abono en una cuenta bancaria diferente.

Si quieres saber más, es esta página del Instituto Nacional de Ciberseguridad (INCIBE) tienes más información sobre este tipo de estafas.

Una vez hecha la transferencia, el autor del fraude suele mover rápidamente el dinero, mediante transferencias a otras cuentas y retiradas de efectivo inmediatas, normalmente antes de que los perjudicados se percaten y se activen los mecanismos de seguridad de las entidades bancarias. Una vez llegados a este punto, el dinero resulta irrecuperable en la mayoría de los casos.

Pero el problema no acaba aquí, pues el verdadero acreedor, que no ha recibido el dinero, reclamará el pago de la factura a su cliente alegando que “él no ha cobrado”. Entonces es legítimo que el deudor se pregunte: "¿Estoy obligado a “pagar dos veces”? ¿Me han estafado a mí, a él o a ambos?"

A este respecto es muy ilustrativa la Sentencia de la Audiencia Provincial de Cantabria 609/2023, de 24-XI-2023 (SAP S 1527/2023), que ofrece una respuesta esperanzadora para el deudor, en el supuesto de que el pago se realizará de buena fe y con la diligencia de un ordenado empresario. Esta sentencia estimó el recurso del deudor, desestimando la reclamación del proveedor, que se quedó sin cobrar, declarando que el pago hecho al impostor liberaba al deudor. ¿En base a qué? Lo vemos a continuación.
El cliente quedó liberado de la obligación de pago por haber efectuado el pago a un “acreedor aparente”. Esta figura se fundamenta en el art. 1164 del Código Civil español y que determina que el pago realizado libera al deudor si el destinatario del mismo presentaba una apariencia razonable de legitimidad, siempre que el deudor acredite que actuó con “buena fe objetiva”, lo que implica haber actuado con la “diligencia realmente exigible de acuerdo con las circunstancias del caso”. Más adelante profundizaremos en esto, pero antes algunas nociones previas.

¿Qué medidas pueden adoptarse para prevenir este tipo de estafas?

Para prevenir el fraude de las facturas por correo electrónico, u otros de suplantación de personalidad similares, es aconsejable adoptar algunas precauciones muy básicas, de las que destacaremos tres:

  • 1. En caso de que cualquier proveedor comunique un cambio en la cuenta de abono de sus facturas, especialmente si lo hace por medios electrónicos, contacta siempre por otro medio con él para confirmar el cambio. Una buena práctica sería guardar en la plataforma de la banca online de nuestra entidad la cuenta del proveedor como “favorita”, y no realizar abonos a otras cuentas, salvo previa verificación.
  • 2. Contrata e instala soluciones de seguridad informática, profesionales y actualizadas, entre las cuales es esencial, al menos, un antivirus convenientemente actualizado en los equipos. Si quieres más seguridad, contrata sistemas EDR (Endpoint Detection & Response), cortafuegos de próxima generación (NGFW), filtros antiphishing/antispam en el servidor de correo, cifrado integral de discos y copias de seguridad externas verificadas.
  • 3. Activar la verificación en dos pasos en todas las direcciones de correo corporativas reduce drásticamente el riesgo de suplantación. Y ello también para que no se utilicen tus emails para estafar a tus clientes, lo que generará dificultades para el cobro posterior, y sin duda causará un importante daño a la reputación de tu empresa.
Protege tu empresa frente a estafas por email.

Cómo actuar si tu empresa ha sido víctima de fraude fiscal. / @Unsplash

¿Qué hacer si ya he pagado al estafador?

Si pagaste por error una factura en un IBAN fraudulento, presenta denuncia cuanto antes ante la policía nacional o el juzgado de guardia competente. Es fundamental que solicites medidas cautelares urgentes, especialmente el bloqueo inmediato de los movimientos de la cuenta bancaria donde se realizó el pago erróneo. Pide expresamente que el juzgado o la policía envíen comunicación urgente al banco correspondiente para impedir nuevas transferencias desde el IBAN destinatario del fraude.

Actuar rápido frente al fraude bancario aumenta las posibilidades de recuperar el dinero y evitar mayores perjuicios para tu empresa o negocio.

En cualquier caso, ante la posibilidad de que el dinero abonado esté ya fuera de tu alcance, debes pensar en preparar la defensa frente a la probable reclamación de pago que te realizará el acreedor. Para ello tendrás que acreditar que actuaste con buena fe y con la diligencia propias de un empresario ordenado. 

Sería deseable que, previamente, hubieras implementado algunos protocolos que posteriormente permitirán acreditar que tu actuación fue adecuada.

Algunas de estas prácticas podrían ser las siguientes u otras análogas:

  1. Enviar siempre el justificante de la transferencia al proveedor de forma inmediata, por más de un canal a ser posible.
  2. Contactar con el proveedor si se observa cualquier anomalía, como devoluciones de transferencias en sus cuentas, cambios sucesivos de banco o de cuenta de pago, correos con redacción extraña, etc.
  3. Proteger los emails y equipos con soluciones de seguridad profesionales cuyos contratos, facturas y registros puedas exhibir en juicio.
  4. Solicitar sistemáticamente a los proveedores que las facturas vengan suscritas con el certificado digital de la empresa como requisito para su abono.

Estas medidas permitirán acreditar que, de forma proactiva, tu empresa trataba de evitar este tipo de situaciones. Pero recuerda que deberán poder probarse en el juicio, por lo que es necesario dejar constancia documental de estas medidas.

Si descubres que has sido víctima de una estafa por suplantación de email, solicita cuanto antes una prueba pericial informática realizada por un experto en ciberseguridad.
El perito en ciberseguridad analizará los correos fraudulentos, archivos adjuntos, equipos informáticos y la arquitectura de seguridad de tu proveedor de correo electrónico profesional.
Esta prueba permitirá localizar evidencias que demuestren tu diligencia y buena fe, así como posibles fallos de seguridad del proveedor que facilitó la suplantación.
Actuar rápidamente es clave para defender tus derechos y evitar un doble pago: al estafador y al verdadero proveedor o acreedor legítimo.

Sería igualmente conveniente desde el principio que busques el asesoramiento de un abogado de tu confianza, no solo para tratar de buscar una solución negociada con tu proveedor, sino también para coordinar la futura defensa de tus intereses frente a una reclamación de pago que muy probablemente se producirá.

¿Qué dicen los tribunales cuando el cliente ha pagado a un estafador informático y su proveedor le reclama?
La cuestión, a fecha de esta publicación, no está clara. Prueba de ello es la disparidad de soluciones adoptadas en las sentencias dictadas por las diferentes audiencias provinciales en España, que han venido adoptando soluciones muy diferentes.

El Tribunal Supremo no ha dictado ninguna sentencia reciente sobre esta materia, al menos no por ahora. De hecho algunas sentencias dictadas juzgados y tribunales, a la hora de buscar apoyo jurisprudencial del Alto Tribunal, se limitan a citar una sentencia de nada más y nada menos que 1998, concretamente la STS de 17 de octubre de 1998. Se trata de una sentencia aborda la cuestión del pago al acreedor aparente, pero obviamente analiza un supuesto que nada tiene que ver con las estafas informáticas que venimos analizando, y que añaden un componente delictivo tecnológico muy significativo. En este supuesto había tres herederas acreedoras de un pago, pero la aseguradora realizó el pago íntegro a una de ellas y no a las tres, y solicitaba el efecto liberatorio del pago al “acreedor aparente”.
En relación a pagos realizados como consecuencia de emails remitidos por estafadores informáticos suplantando a proveedores (“Man in the Middle (MitM)” o “Business Email Compromise (BEC)”, y a falta de sentencias más actualizadas del Tribunal Supremo, pueden destacarse las siguientes sentencias, además de la indicada más arriba:

  • Sentencia de la Audiencia Provincial de Salamanca 859/2022 (Salamanca, Sent. 719/2022, 4-XI-2022): La Sala exige los tres requisitos del art. 1164 CC y, sobre todo, la buena fe objetiva. Concluye que la compradora no desplegó la diligencia mínima: no comprobó la titularidad de la cuenta, ignoró señales lingüísticas extrañas y pudo evitar el fraude con una simple llamada. Declara que el pago “carece de efectos liberatorios” y condena a la deudora al íntegro del precio. A quién da la razón: Al acreedor (pago no liberatorio).
  • Sentencia de la Audiencia Provincial de Barcelona 14064/2023 (Barcelona, Sent. 616/2023, 1-XII-2023): Aplica el art. 1164 CC. Reconoce que el deudor pagó la factura a un tercero que suplantó al arquitecto mediante correo electrónico, pero subraya que el pago sólo libera si concurren buena fe objetiva y diligencia. La Sala aprecia falta de diligencia del deudor: el nuevo IBAN pertenecía a otra entidad bancaria, no existía relación del tercero con la actora y el propio deudor denunció la estafa dos días después, lo que revela que el fraude habría podido detectarse con comprobaciones mínimas. Al no probarse ninguna culpa del acreedor en la suplantación, declara que el pago «no produce efecto liberatorio». A quién da la razón: Al acreedor (pago no liberatorio).
  • Sentencia de la Audiencia Provincial de Málaga 4215/2024 (AP Málaga, Secc. 4.ª, núm. 669/2024): El actor impugnaba la validez del pago que una comunidad efectuó a un impostor. La Sala desestima el recurso y mantiene que la comunidad actuó con la diligencia debida: el falso acreedor presentaba una apariencia legítima y no existían señales objetivamente sospechosas. Por ello, el pago produce efecto liberatorio conforme al art. 1164 CC. A quién da la razón: Al deudor (pago liberatorio).
  • Sentencia de la Audiencia Provincial de Cádiz 693/2024 (Cádiz, Sent. 128/2024, 12-III-2024): La Audiencia confirma la condena de primera instancia y niega efecto liberatorio al pago que la deudora efectuó en la cuenta del estafador. Razona que el art. 1164 CC exige buena fe objetiva y ausencia de negligencia, con un plus de diligencia tratándose de un empresario. Señala que la demandada acababa de pagar otra factura en la cuenta auténtica, recibió un correo con tipografía y formato inusuales que cambiaba el IBAN y, pese a la elevada cuantía, no verificó la novedad con una simple llamada. Sin evidencia de fallo de seguridad imputable a la acreedora, la Sala concluye que el error se debió a la negligencia de la pagadora y, por tanto, el pago carece de efecto liberatorio. A quién da la razón: Al acreedor (pago no liberatorio).
  • Sentencia de la Audiencia Provincial de Oviedo 60/2025 (Oviedo, Sent. 15/2025, 15-I-2025): Reconoce negligencias concurrentes: el proveedor no reaccionó cuando recibió por WhatsApp los justificantes de transferencia a un banco con el que no trabajaba, y la compradora tampoco verificó la cuenta. Aplica el art. 1164 CC de forma flexible y declara la responsabilidad al 50 %, condenando solo a la mitad de la cantidad reclamada. El pago resulta liberatorio en esa misma proporción. A quién da la razón: A ambos parcialmente (pago liberatorio al 50 %).

Por qué tu empresa debe contar con un buen asesoramiento

En HH Abogados contamos con los conocimientos y experiencia necesarios para acompañarte en este tipo de situaciones. Colaboramos con peritos especializados en ciberseguridad de gran solvencia profesional y prestigio. Prestamos asesoramiento a clientes de toda Castilla y León y resto de España. Contacta con nosotros, estamos aquí para ayudarte.

arrow_back_iosArtículo anteriorMercantil
Volver al índice
CivilSiguiente artículoarrow_forward_ios

Programa Kit Digital cofinanciado por los fondos Next Generation (UE)
del mecanismo de recuperación y resilencia

Logos Kit Digital