La reciente aprobación por parte de la Comisión Nacional de los Mercados y la Competencia de la Circular CIR/DTSA/010/25 marca un punto de inflexión en la lucha contra el fraude digital en España, particularmente en el ámbito de las comunicaciones electrónicas a través de SMS, MMS y RCS. Nos encontramos ante una medida de gran calado que, más allá de su aparente carácter técnico, introduce un cambio estructural en la forma en la que deben entenderse las comunicaciones comerciales y corporativas en el ecosistema digital.
Hasta ahora, uno de los principales vectores de fraude en el entorno digital ha sido la suplantación de identidad mediante el uso de alias alfanuméricos. El usuario recibía mensajes aparentemente procedentes de su banco, de una empresa de mensajería o de una compañía de servicios, cuando en realidad se trataba de actores maliciosos que explotaban la confianza generada por el identificador del remitente. Esta práctica, conocida como “spoofing”, ha generado un volumen significativo de perjuicios económicos y reputacionales, afectando tanto a consumidores como a empresas legítimas.
La nueva regulación introduce un elemento esencial: la trazabilidad y verificación del alias. A través de la creación de un Registro de alias gestionado por la CNMC, únicamente podrán utilizarse como remitentes aquellos identificadores previamente inscritos y vinculados a una entidad legítima. Esto supone, en términos jurídicos y técnicos, un cambio de paradigma: el sistema pasa de ser reactivo —basado en la persecución del fraude una vez producido— a ser preventivo, bloqueando de raíz las comunicaciones no verificadas.
Desde la perspectiva de cumplimiento normativo, esta medida se inserta dentro del marco establecido por la Orden TDF/149/2025, que ya anticipaba la necesidad de reforzar los mecanismos de protección frente a fraudes en comunicaciones electrónicas. La circular ahora aprobada desarrolla ese mandato normativo y concreta las obligaciones de los distintos agentes implicados, especialmente los proveedores de servicios de mensajería.
Uno de los aspectos más relevantes es la imposición de una obligación clara y directa a los operadores: deberán bloquear todos aquellos mensajes que utilicen alias no registrados o que, aun estando registrados, no procedan de proveedores habilitados. Este deber no es menor, ya que transforma a los operadores en verdaderos garantes del sistema, situándolos en una posición activa de control y filtrado. Desde el punto de vista jurídico, esto plantea interesantes cuestiones en materia de responsabilidad, diligencia debida y posibles conflictos con el principio de neutralidad de los intermediarios.
Asimismo, la norma establece un régimen de legitimación para el registro de alias que exige acreditar la vinculación entre el identificador y la marca, nombre comercial, denominación social o dominio correspondiente. Este requisito no solo refuerza la seguridad del sistema, sino que conecta directamente con el ámbito de la propiedad industrial y la protección de signos distintivos, generando sinergias claras entre la regulación de telecomunicaciones y el derecho de marcas.
El calendario de implementación es igualmente significativo. Tras un periodo transitorio destinado a la carga masiva de alias y la adaptación técnica de los sistemas, el 7 de junio de 2026 se configura como la fecha clave a partir de la cual los operadores deberán bloquear de forma efectiva todos los mensajes no conformes. Este hito temporal obliga a las empresas a anticiparse y adoptar medidas inmediatas para evitar interrupciones en sus canales de comunicación con clientes y usuarios.
Desde una perspectiva práctica, las implicaciones para las empresas son evidentes. Cualquier entidad que utilice comunicaciones mediante SMS, MMS o RCS como canal de relación con sus clientes deberá proceder, sin dilación, al registro de sus alias. La omisión de este trámite no solo impedirá la entrega de los mensajes, sino que puede afectar gravemente a procesos críticos como la autenticación de usuarios, las comunicaciones transaccionales o las campañas comerciales.
Por otro lado, la creación de un portal público de consulta de alias registrados introduce un elemento adicional de transparencia que puede tener efectos positivos en la confianza del consumidor. El usuario podrá verificar la legitimidad del remitente, lo que contribuye a reforzar la seguridad jurídica y la fiabilidad del sistema.
En definitiva, nos encontramos ante una regulación que, aunque de naturaleza técnica, tiene profundas implicaciones jurídicas, operativas y estratégicas. Supone un avance significativo en la protección frente al fraude, pero también impone nuevas obligaciones y retos de adaptación para empresas y operadores. Como suele ocurrir en el ámbito de la regulación tecnológica, la clave estará en la correcta implementación y en la capacidad de los distintos actores para integrar estas exigencias en sus modelos de negocio sin comprometer la eficiencia ni la experiencia del usuario.
Desde el punto de vista del asesoramiento jurídico, este nuevo marco abre un campo relevante de actuación en materia de compliance digital, protección de marca y gestión de riesgos tecnológicos, en el que será imprescindible un enfoque interdisciplinar que combine conocimientos regulatorios, técnicos y estratégicos.
