← Volver al blog
ROI y métricas · 22 de mayo de 2026 · Edición institucional MMXXVI

El coste real del fraude digital

En su Memoria de Supervisión de 2023, el Banco de España documentó un incremento sostenido de las reclamaciones por operaciones de pago no autorizadas, con el fraude en transferenc…

En su Memoria de Supervisión de 2023, el Banco de España documentó un incremento sostenido de las reclamaciones por operaciones de pago no autorizadas, con el fraude en transferencias y tarjetas como motivo principal. La EBA, por su parte, estimó en su Report on Payment Fraud de 2022 —el más reciente con datos armonizados a nivel europeo— que las pérdidas brutas por fraude en pagos dentro del Espacio Económico Europeo superaron los 4.300 millones de euros en el período analizado. España, como cuarto mercado de pagos de la zona euro, absorbe una fracción relevante de esa cifra. La pregunta que debería estar sobre la mesa de su comité de riesgos no es si su entidad está expuesta, sino qué porción de esa exposición permanece invisible en su cuenta de resultados.

El coste real del fraude digital en España en 2024 no se limita a las devoluciones contabilizadas. Incluye el coste operativo de gestión de reclamaciones, la pérdida de ingresos por churn de clientes afectados, el impacto reputacional cuantificable en tasas de conversión y, en entidades sujetas a DORA y PSD2, el riesgo de sanción regulatoria por controles insuficientes. Las estimaciones del sector —coherentes con los rangos publicados por el BCE y la EBA— sitúan el impacto total agregado para el mercado español entre 2.500 y 3.500 millones de euros anuales cuando se consolidan todas las capas de coste.

¿Por qué la línea de fraude en su cuenta de resultados subestima el problema?

La contabilidad estándar de fraude registra las devoluciones aprobadas y las provisiones asociadas. Ese número —visible, auditable, discutido en el comité— representa únicamente la capa superficial. Bajo ella operan tres categorías de coste que rara vez se consolidan en un único informe:

  • Coste operativo de gestión: cada reclamación por operación no autorizada genera entre 45 y 120 minutos de trabajo de back office, según rangos publicados por la EBA en sus guías de supervisión de pagos. Multiplicado por el volumen real de reclamaciones, el importe es material.
  • Churn post-incidente: estudios de satisfacción de clientes bancarios en Europa —incluyendo los del BCE en su informe sobre pagos minoristas de 2023— indican que entre el 20 % y el 30 % de los clientes víctimas de fraude consideran cambiar de entidad en los doce meses siguientes al incidente. En un mercado con coste de adquisición de cliente elevado, ese dato tiene traducción directa en el margen.
  • Impacto reputacional en conversión: los índices de confianza en canales digitales —medidos por el Observatorio Nacional de Telecomunicaciones y la Sociedad de la Información (ONTSI) en su informe anual— muestran que la percepción de inseguridad en pagos digitales reduce la tasa de adopción de nuevos productos. Para una aseguradora mediana o un operador challenger, este impacto afecta directamente al crecimiento.

¿Qué tipologías de fraude generan mayor impacto oculto en el mercado español?

No todas las tipologías tienen el mismo perfil de coste. En el mercado español, tres concentran la mayor parte del daño consolidado:

Fraude por suplantación de canal (smishing y vishing)

INCIBE registró en 2023 más de 83.000 incidentes relacionados con fraude por mensajería y llamada a usuarios finales, según su Informe Anual de Ciberseguridad. La tipología más frecuente: mensajes SMS que simulan proceder de la entidad financiera del cliente, con enlace a dominios del tipo banco-operaciones.net/verificar o acceso-seguro-entidad.com. El cliente introduce credenciales; el atacante autoriza una transferencia en los siguientes minutos. La entidad recibe la reclamación días después, cuando la ventana de reversión es mínima. El coste no es solo la devolución: es el coste legal, el coste de investigación interna y, en muchos casos, la cobertura mediática local.

Fraude en pagos inmediatos (Bizum y transferencias SEPA instantáneas)

La irrevocabilidad de los pagos instantáneos bajo el Reglamento (UE) 2021/1230 —y su extensión a transferencias SEPA instantáneas obligatorias a partir de 2025 bajo el Reglamento de Pagos Instantáneos— convierte cada segundo de latencia en la detección en pérdida neta. La EBA advirtió en su opinión sobre pagos instantáneos de 2022 de la necesidad de controles en tiempo real previos a la autorización, no solo posteriores. Las entidades que operan con modelos de detección batch están, por diseño, fuera del perímetro de cobertura efectiva.

Fraude de identidad sintética en contratación digital

La Policía Nacional reportó en 2023 un incremento en operaciones de fraude documental vinculadas a la apertura de cuentas y solicitud de crédito en canales digitales. La identidad sintética —combinación de datos reales e inventados para superar controles KYC básicos— genera un daño diferido: el impago o la reclamación aparece meses después, cuando el vector de entrada ya es irrastreable sin logs adecuados. Este es el fraude que más preocupa a los equipos de cumplimiento bajo DORA, porque la ausencia de trazabilidad en el canal de comunicación inicial constituye una debilidad en el marco de gestión de riesgos TIC.

«Las entidades de crédito y de pago deben poder demostrar que disponen de controles proporcionales al riesgo en todos los canales de interacción con el cliente, incluidos los canales de mensajería. La ausencia de verificación en el canal de comunicación previo a la autenticación es una laguna que los supervisores considerarán en el contexto del artículo 5 de DORA y del artículo 97 de PSD2.»

— Síntesis de criterios supervisores EBA, Guidelines on ICT and Security Risk Management, EBA/GL/2019/04, y DORA Art. 5 (Reglamento UE 2022/2554)

¿Dónde está el espacio entre el SOC de su partner y el cliente final?

Su entidad ya dispone, con alta probabilidad, de un SOC —propio o externalizado— y de herramientas de detección de fraude transaccional. Ese perímetro cubre con solvencia el tráfico interno: autenticación, monitorización de sesiones, análisis de patrones de transacción. Lo que queda sistemáticamente fuera de ese perímetro es el canal de comunicación previo: el SMS, el correo electrónico, la notificación push que el cliente recibe antes de interactuar con su plataforma.

Es en ese canal donde el atacante construye el contexto de confianza que hace posible el fraude. El SOC no lo ve porque ocurre fuera de su infraestructura. El cliente no lo detecta porque el mensaje parece legítimo. El gap existe, está documentado por INCIBE y la EBA, y es operativamente cubierto por una capa específica de verificación del canal de comunicación entrante.

VeriMsg opera precisamente en ese intervalo. El motor de análisis evalúa la integridad del canal de comunicación —remitente, ruta de entrega, coherencia del dominio, señales de suplantación— antes de que el cliente interactúe. El resultado es un veredicto estructurado, auditable y trazable, alineado con los requisitos de registro y evidencia de DORA Art. 17 y con la obligación de diligencia debida reforzada de PSD2 Art. 97. No reemplaza al SOC: cubre el ángulo que el SOC no alcanza por diseño.

Preguntas frecuentes

¿Cuál es el coste real del fraude digital para una entidad financiera española en 2024?

Más allá de las devoluciones contabilizadas, el coste consolidado incluye gestión de reclamaciones, churn post-incidente y pérdida de conversión en canales digitales. Las estimaciones coherentes con datos de EBA y Banco de España sitúan el impacto total en el mercado español entre 2.500 y 3.500 millones de euros anuales.

¿Qué exige DORA en materia de verificación del canal de comunicación con el cliente?

El artículo 5 de DORA (Reglamento UE 2022/2554) exige un marco de gestión de riesgos TIC que cubra todos los puntos de contacto digital. La ausencia de controles en el canal de mensajería previo a la autenticación constituye una laguna que los supervisores pueden considerar en sus revisiones.

¿Por qué el fraude por smishing no lo detecta el SOC existente?

El SOC monitoriza infraestructura propia. El smishing ocurre fuera de ese perímetro, en el canal de mensajería del cliente. Sin una capa específica de verificación del canal entrante, el fraude construye el contexto de engaño antes de que ningún sistema interno pueda intervenir.

¿Qué datos permiten cuantificar el churn asociado al fraude?

El BCE y la EBA, en sus informes sobre pagos minoristas y fraude en pagos, documentan que entre el 20 % y el 30 % de clientes afectados por fraude consideran cambiar de entidad en los doce meses siguientes. Esa tasa, aplicada al coste de adquisición de su entidad, produce un impacto cuantificable.

Tres recomendaciones accionables para su comité de riesgos

  1. Audite el perímetro real de su cobertura anti-fraude. Solicite a su equipo de seguridad un mapa explícito de qué ocurre en el canal de comunicación con el cliente antes de que este interactúe con su plataforma. Si ese mapa no existe o no cubre el canal SMS y correo electrónico entrante, tiene una laguna documentable ante supervisor.
  2. Consolide el coste real del fraude en un único informe ejecutivo. Agregue a las devoluciones contabilizadas el coste operativo de reclamaciones, una estimación del churn post-incidente basada en tasas publicadas por EBA y BCE, y el impacto en conversión digital. Ese número consolidado cambia la conversación en el comité y justifica la inversión en controles preventivos.
  3. Evalúe su posición ante los requisitos de DORA Art. 5 y PSD2 Art. 97 para 2025. Con el Reglamento de Pagos Instantáneos en vigor y DORA aplicable desde enero de 2025, la ventana para cerrar las lagunas de control en canales de comunicación es estrecha. Un ejercicio de gap analysis estructurado —con evidencia auditable de las medidas adoptadas— es el primer paso para una posición defensible ante el supervisor.

Si su entidad quiere contrastar su posición actual frente a estos tres ejes, el Pilot Readiness Pack de VeriMsg ofrece un diagnóstico estructurado del canal de comunicación, con veredictos de muestra y mapa de señales por tipología de fraude. Sin compromiso de contratación. Con evidencia auditable desde el primer día.

¿Evaluamos un piloto TrustLayer en su entidad?

Un analista prepara el alcance del piloto en 10 días hábiles. Sin coste, sin compromiso.

Pilot Readiness Pack