obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

APP fraud

Authorised Push Payment fraud (fraude por transferencia autorizada)

Fraude en el que se manipula a la víctima para que autorice ella misma una transferencia a una cuenta controlada por el estafador. Objetivo n.º 1 de las transferencias inmediatas y del SCT Inst, con tope previsto por el PSR / reforma de 2026.

Ver también:PSRSCAVoPSCT InstTransaction monitoringChargeback

Definición

La APP fraud (Authorised Push Payment fraud, o fraude por transferencia autorizada) designa un fraude en el que se manipula a la víctima para que autorice ella misma una transferencia a una cuenta controlada por el estafador.

La transferencia es técnicamente legítima — la víctima introduce el importe, valida la SCA, confirma — pero ha sido engañada sobre la identidad del beneficiario. Se ha convertido en el principal fraude por transferencia en Europa y en el Reino Unido desde 2020, impulsado por la generalización de la transferencia inmediata (SCT Inst).

APP fraud vs fraude con tarjeta

La diferencia es fundamental:

  • Fraude con tarjeta (clonación, card not present): la transacción no la autoriza el titular. El liability shift de 3DS2 o la DSP2 protege a la víctima, generalmente reembolsada.
  • APP fraud: la transacción la autoriza el pagador, que ha hecho su SCA. Sin regulación específica, la víctima no es reembolsada. Es ese desequilibrio el que el PSR pretende corregir.

Los principales modos de operación

  • Falso asesor bancario: un estafador se hace pasar por el departamento de fraude del banco y pide transferir los fondos a una «cuenta segura» que es la suya. El más extendido en Francia y en el Reino Unido.
  • Datos bancarios falsos / falso proveedor: interceptación de una factura, modificación de los datos bancarios; el pagador (a menudo una pyme o un particular que paga a un profesional) transfiere a la cuenta equivocada.
  • Romance scam: relación virtual de varios meses, luego transferencias «urgentes». A veces, pérdidas enormes (50.000 € a 500.000 € por víctima).
  • Investment scam: plataformas falsas de cripto o FX que prometen rentabilidades milagrosas; la víctima transfiere y no recupera nada.
  • Cuenta mula: la cuenta beneficiaria suele ser abierta por una mula (a su vez reclutada mediante una estafa). Los fondos transitan por ella y se blanquean en cascada.
  • Phishing + transferencia: correo falso (Hacienda, Seguridad Social, entrega) que dispara una «pequeña» transferencia de regularización.

Por qué se dispara

Se combinan tres factores:

  • Transferencia inmediata: los fondos son irrevocables en pocos segundos, frente a 1 o 2 días para retroceder una SCT clásica.
  • SCA reforzada: paradójicamente, la autenticación refuerza la confianza — tras haber validado, la víctima no sospecha el engaño.
  • Ingeniería social potenciada por la IA: deepfake de voz, spoofing del número del banco, bots conversacionales — el ataque se industrializa.

En Francia, el Observatoire de la sécurité des moyens de paiement (Banque de France) subraya el fuerte crecimiento del fraude por transferencia ligado a la manipulación del pagador, que se ha convertido en una parte significativa del fraude no en efectivo.

La regulación: VoP y PSR

Dos herramientas principales como respuesta:

  • VoP (Verification of Payee): desde octubre de 2025 (reglamento IPR), todo PSP debe verificar la concordancia nombre + IBAN antes de ejecutar una transferencia, lo que bloquea los ataques con datos bancarios falsos.
  • PSR (Payment Services Regulation, propuesto en 2023, aplicación 2026-2027): prevé un reembolso obligatorio del pagador en ciertos casos de APP fraud (en particular el spoofing), repartido entre los PSP del pagador y del beneficiario.

En el Reino Unido, el PSR impone, desde el 7 de octubre de 2024, un reembolso obligatorio de hasta 85.000 £ por víctima en los Faster Payments, repartido al 50/50 entre los dos PSP — un precedente seguido de cerca en Europa.

Del lado del banco: transaction monitoring

Los bancos invierten en transaction monitoring (Hawk, ComplyAdvantage, Sardine, Featurespace, Feedzai) para:

  • detectar beneficiarios inusuales (primera transferencia a un nuevo IBAN, sobre todo extranjero);
  • detectar los patterns de ataque (transferencias seguidas, importes redondos atípicos);
  • identificar las cuentas mula (cuenta reciente, poco activa, súbita entrada de fondos);
  • introducir fricción (pop-up de aviso, verificación telefónica, plazo en la primera transferencia a un nuevo beneficiario).

Lo que la APP fraud no es

  • No es un fraude técnico: ninguna intrusión, ninguna transferencia no autorizada — es un fraude humano y social.
  • No está cubierta por el régimen de fraude de la DSP2: la directiva protege los pagos no autorizados, no los autorizados bajo engaño — de ahí el PSR.
  • No es sinónimo de fraude del CEO: este es una forma de ella en el lado empresarial; la APP fraud abarca a particulares y empresas.
  • No es un caso de contracargo: no hay contracargo en una transferencia; la víctima debe reclamar a su PSP, que decide.

En el ecosistema PSD2

La APP fraud es el gran punto ciego de la DSP2: la directiva aseguró la autorización (SCA) pero no la intención real del pagador. PSR, VoP, transaction monitoring y educación del cliente forman el arsenal de respuesta de 2025-2027 — uno de los temas más candentes de la regulación de pagos en Europa.

Ejemplos concretos

  • Falso asesor bancario: «soy del departamento de fraude de tu banco, hemos detectado una operación sospechosa, transfiere tus fondos a esta cuenta segura». Víctimas de todas las edades, sobre todo mayores de 60 años, por importes medios de 3.000 a 30.000 €.
  • Romance scam: en fuerte crecimiento desde 2020; relación mantenida durante 3 a 12 meses antes de transferencias repetidas, a veces más de 100.000 € en total.
  • Investment scam: plataformas falsas de cripto que prometen un 10% al mes; transferencias crecientes y luego desaparición en el momento de la retirada. La AMF y la Banque de France publican listas negras.
  • Reino Unido: desde el 7 de octubre de 2024, reembolso al 50/50 entre PSP de hasta 85.000 £ — con, a cambio, mucha fricción añadida (cooling-off, pop-up).
  • VoP en la zona euro: desde el 9 de octubre de 2025, los bancos muestran un aviso cuando el nombre del beneficiario no coincide con el IBAN; el efecto real sobre el fraude con datos bancarios falsos está aún por medir.
  • Transaction monitoring: Revolut, N26 y Lydia han invertido en motores propios acoplados a Sardine o Featurespace; los pop-ups «este beneficiario es nuevo, ¿estás seguro?» se están convirtiendo en la norma.
  • Tensión de fondo: el PSR final, previsto para 2026, aumentará la fricción en las transferencias (plazos, cooling-off) a costa de la UX — el equilibrio entre la prevención del fraude y la simplicidad del pago.

Fuentes

Volver al glosario