El despacho Emerge Avezalia S.L., a través del abogado Javier Vilches, ha publicado un artículo que conviene tener a mano si gestionas pagos a proveedores por email: qué pasa cuando un ciberdelincuente se cuela en la conversación, te “cambia” el número de cuenta… y terminas pagando al impostor. Su reflexión jurídica y práctica merece ser amplificada en clave empresa andaluza.
La idea clave (sin rodeos)
Pagar por error a un tercero que se hace pasar por tu proveedor no extingue automáticamente tu deuda con el proveedor real. Que el pago “te libre” o no depende de si actuaste de buena fe y con diligencia. Así lo interpreta Avezalia al hilo del art. 1164 del Código Civil: el pago hecho de buena fe a quien parece estar en posesión del crédito puede liberar al deudor… pero hay que poder demostrar esa apariencia y la prudencia en tu actuación.
¿Cuándo podrías quedar liberado?
- Buena fe + diligencia razonable. Si puedes acreditar que actuaste como lo haría una empresa prudente (p. ej., que verificaste el cambio de cuenta por un canal alternativo, que no había señales obvias de fraude), el pago podría tener efecto liberatorio.
¿Cuándo te tocaría pagar dos veces?
- Falta de diligencia. Si aceptaste un IBAN “raro” sin contrastarlo, ignoraste alertas o no cumpliste tus propios protocolos, la jurisprudencia no suele ser indulgente: el acreedor legítimo puede exigirte el pago igualmente.
¿Cabe recuperar el dinero?
A veces sí, si actúas muy rápido: tu banco puede intentar bloquear la transferencia antes de que el dinero vuele. Cada hora cuenta. Documenta todo y mueve ficha de inmediato.
Lo que puedes implantar hoy en tu empresa (checklist accionable)
1) Política de “doble verificación” para cambios de cuenta.
- Cualquier cambio de IBAN se confirma por un canal distinto (llamada al número ya conocido, no al del email que anuncia el cambio).
- Regístralo en un procedimiento escrito y exige evidencias de verificación en cada expediente de pago.
2) Avisos y cláusulas con proveedores.
- Incluye en contratos y pedidos una cláusula que obligue a validar por dos canales cualquier cambio de datos bancarios y que advierta que no responderás de pagos a cuentas no validadas. (Ayuda a reforzar tu “diligencia”.)
3) Controles en tesorería.
- Regla de los 4 ojos: ningún pago por cambio de cuenta sin revisión de una segunda persona.
- Listas blancas de cuentas ya verificadas y bloqueo de pagos fuera de lista.
4) Formación express a quien paga.
- 30 minutos al trimestre para recordar señales de phishing: prisas, ortografía rara, dominios casi idénticos, cambios de tono, adjuntos inesperados, etc.
5) Plan de respuesta al incidente.
- Si detectas el fraude: contacta al banco inmediatamente, presenta denuncia, preserva correos y registros, y notifica internamente. Cuanto antes, más opciones de recuperación.
Puntos legales a tener claros
- Art. 1164 CC: “El pago hecho de buena fe al que estuviere en posesión del crédito, liberará al deudor.” La clave práctica es probar esa buena fe y la razonable apariencia de que pagabas a quien debías. Si faltan, el pago no te libera.
Por qué escuchar a quien está en trinchera digital
El análisis publicado por Javier Vilches (CEO y abogado de Emerge Avezalia S.L.) destila experiencia real en fraudes de suplantación y banca online: una guía breve, directa y muy útil para pymes y autónomos andaluces que gestionan pagos por email a diario. Recomendación de esta redacción: leer el artículo completo y revisar hoy mismo vuestros protocolos internos.
👉 Artículo original: “¿Le pagaste a un hacker creyendo que era tu proveedor? Mala suerte… ¿o no tanto?” publicado en Avezalia.
Contacto y recursos
- Emerge Avezalia S.L. (Derecho Digital, Sevilla) — Web: www.avezalia.es. Abogado Digital en Sevilla
Nota: Este artículo de Andalucía Empresarial es un resumen divulgativo con orientación práctica para empresas. No constituye asesoramiento jurídico. Para casos concretos, consulta con tu abogado.
