Si hay un tema que aparece cada vez más en las reuniones de los comités financieros, es este. El fraude en facturas España ya no es un riesgo lejano que afectaba a otras empresas. Es una realidad cotidiana que mueve cifras enormes, evoluciona a gran velocidad gracias a la inteligencia artificial y, lo más preocupante, golpea con la misma fuerza a multinacionales y a pequeñas pymes.
En este artículo vamos a poner sobre la mesa las cifras actualizadas, los esquemas más habituales y las tendencias que marcarán 2026. Sin alarmismo. Pero con la franqueza que la situación exige, porque los datos no dan margen a la complacencia.
Antes de entrar en cifras, conviene aclarar el concepto. El fraude fiscal en España es cualquier conducta deliberada que busca eludir, total o parcialmente, las obligaciones tributarias. Puede consistir en ocultar ingresos, inflar gastos, manipular el IVA, simular operaciones, declarar bases imponibles inferiores a las reales o aprovecharse de beneficios fiscales sin tener derecho a ellos.
Conviene separar tres ideas que a menudo se confunden. La economía sumergida es la actividad económica que no se declara. La evasión fiscal es el acto deliberado de no pagar impuestos a través de ocultación o engaño. La elusión fiscal, en cambio, es el uso (legal aunque a veces discutible) de las normas para pagar menos. Solo las dos primeras constituyen propiamente fraude.
A esto se añade un tercer plano: el fraude empresarial, que afecta a las empresas como víctimas. Aquí no hablamos de empresas que defraudan a Hacienda, sino de empresas a las que un tercero estafa a través de facturas falsas, suplantación de proveedores, fraude del CEO o manipulación de cobros. Es el frente que más ha crecido en los últimos años y al que dedicaremos buena parte del artículo, porque es donde el director financiero tiene capacidad directa de actuación.
Un caso típico de fraude fiscal en España funciona así. Una empresa A vende mercancía a una empresa B por 100.000 euros más IVA. La empresa A no emite la factura formal, cobra parte del importe en efectivo y declara solo una venta menor a Hacienda. La empresa B, cómplice, registra el gasto como menor o lo justifica con una factura falsa adquirida en el mercado negro. Resultado: A paga menos IVA y menos impuesto de sociedades, B reduce su base imponible, y el Estado deja de ingresar el tributo correspondiente.
Estos esquemas, simples o sofisticados (tramas carrusel de IVA, sociedades pantalla en paraísos fiscales, facturas falsas en cadena) son los que la AEAT combate con sus actuaciones de control. Y, como veremos a continuación, las cifras siguen siendo abrumadoras.
Los datos hablan por sí solos. Según el último informe del Consejo Económico y Social, el fraude fiscal en España equivale a en torno al 6 % del PIB, lo que supone una cifra cercana a los 60.000 millones de euros al año en impuestos evadidos. A esto hay que sumar otros 31.000 millones aproximados defraudados a la Seguridad Social, lo que eleva el total a más de 91.000 millones anuales según las estimaciones del sindicato Gestha.
La Agencia Tributaria recaudó en 2024 cerca de 18.928 millones de euros en labores de prevención y control del fraude, tras casi dos millones de actuaciones. Es una cifra récord, pero todavía representa una pequeña fracción del fraude estimado. Y conviene mirarla en perspectiva: la deuda tributaria pendiente de cobro alcanza los 48.797 millones de euros, un 16 % más que el año anterior.
¿Quién defrauda más en cifras absolutas? Según los datos disponibles, los grandes contribuyentes (grandes fortunas, multinacionales y compañías de mayor tamaño) concentran más del 73 % del total del fraude. Las pymes suponen alrededor del 13 %; los autónomos, el 8 %; y los particulares, el 3 % restante. La imagen popular del "defraudador autónomo" no se corresponde con la realidad cuantitativa.
En el ámbito comunitario, los datos también son reveladores. La brecha del IVA en la Unión Europea se situó en 89.000 millones de euros en 2022, frente a los 121.000 millones de 2018. España ha hecho progresos, pero sigue por encima de la media europea, en parte por el peso de su economía sumergida (estimada en torno al 19,2 % del dinero en circulación).
La buena noticia es que las medidas digitales están funcionando. La factura electrónica obligatoria con administraciones públicas (FACe), el Suministro Inmediato de Información (SII), Verifactu y la futura factura electrónica B2B son piezas de una estrategia que reduce gradualmente las facturas España falsas, los reciclajes de IVA y otras prácticas opacas.
Hasta aquí, el fraude que perjudica al Estado. Veamos ahora el otro lado: el fraude que perjudica directamente a las empresas. Y es aquí donde, paradójicamente, las cifras crecen más rápido. Según INCIBE, los fraudes financieros en España dirigidos a empresas crecieron un 25 % en 2025, con especial impacto en pymes que carecen de protocolos de doble verificación.
Los esquemas más habituales son cuatro.
Fraude del CEO (o whaling). Suplantación de un directivo para ordenar una transferencia urgente y confidencial. Lo veremos en detalle más abajo.
Fraude de proveedor (cambio de IBAN). Los atacantes interceptan o suplantan correos de proveedores reales y solicitan al cliente que pague a una nueva cuenta. Cuando el cliente paga, el dinero se ha esfumado.
Man in the middle. Una variante más sofisticada: los atacantes se cuelan en un hilo de correo legítimo, manipulan las facturas en tránsito y desvían los pagos sin que ninguna de las dos partes lo note.
Phishing por factura falsa. El proveedor envía una factura por correo. El atacante intercepta, copia el formato y emite una factura propia con datos casi idénticos, redirigiendo el pago.
Vamos a ver con más detalle las dos modalidades que más impacto tienen hoy.
El fraude del CEO (también conocido como BEC, Business Email Compromise) es la modalidad más lucrativa y la que más ha crecido en España en los últimos años. Funciona en cuatro fases.
Fase 1: reconocimiento. Los atacantes estudian la empresa. Recopilan datos públicos del organigrama (LinkedIn, web corporativa), identifican proveedores habituales, detectan ausencias del CEO (viajes, conferencias, vacaciones) y, en algunos casos, se han colado previamente en buzones internos para conocer hilos reales.
Fase 2: preparación. Crean dominios casi idénticos al de la empresa, falsifican firmas y plantillas. Si han accedido a algún correo, crean reglas de filtrado para que los mensajes legítimos no sean detectados.
Fase 3: ataque. El equipo financiero recibe un mensaje (correo, llamada o, cada vez más, videollamada con deepfake) supuestamente del CEO, ordenando una transferencia urgente y confidencial. La urgencia y la confidencialidad son las dos palancas psicológicas que explotan: el atacante pide explícitamente saltarse los protocolos habituales.
Fase 4: cobro y borrado. Si la transferencia se ejecuta, el dinero se mueve rápido entre cuentas de paso y se retira antes de que se pueda recuperar. Los atacantes borran rastros para dificultar la investigación.
Los casos reales en España son contundentes. La EMT de Valencia perdió en torno a 4 millones de euros. La farmacéutica gallega Zendal, más de 9 millones, en una secuencia de unas 20 transferencias autorizadas por el director financiero. Y son solo los casos públicos: muchas empresas no denuncian para evitar el daño reputacional.
La defensa más eficaz, según datos del IC3 (FBI), es la doble verificación: ante cualquier solicitud de transferencia inusual, contactar con el supuesto emisor por un canal distinto (teléfono guardado, nunca el que figura en el correo). Esta sola medida habría evitado el 97 % de los casos.
El otro gran frente del fraude facturas son las facturas modificadas o falsificadas. Hay tres variantes principales que conviene conocer.
Cambio de IBAN del proveedor. El más común. El atacante envía un correo, supuestamente del proveedor habitual, comunicando un "cambio de banco" y la nueva cuenta. Si nadie verifica por otro canal, las próximas facturas se pagan al estafador.
Falsificación de factura completa. El atacante genera una factura propia imitando exactamente el formato del proveedor real: logotipo, datos fiscales, conceptos, importes razonables. Sin un cotejo automático contra el histórico de pedidos y albaranes, esta factura puede colarse sin problema.
Modificación en tránsito. Variante más técnica. El atacante intercepta una factura legítima cuando viaja del proveedor al cliente (correo comprometido, sistema en la nube vulnerable) y modifica datos clave (IBAN, importe, concepto). El cliente paga creyendo que es la factura original.
En todas estas variantes, las facturas España acaban siendo el vector del fraude. Y el factor común es siempre el mismo: la ausencia de un sistema automático que valide a cada factura entrante contra el contexto (catálogo de proveedores, histórico de operaciones, pedido y albarán correspondientes). Donde existe un cotejo automático, estos fraudes se detectan antes de aprobar el pago. Donde no existe, se cuelan con facilidad.
A esto se ha añadido en 2025 un nuevo vector: los deepfakes de voz y vídeo. Los atacantes ya generan llamadas y videoconferencias convincentes de directivos pidiendo transferencias. La barrera psicológica que antes ofrecía "hablar directamente con el jefe" ha caído. La defensa, hoy, exige protocolos robustos y supervisión técnica.
En Dost llevamos años trabajando precisamente en este punto: cómo blindar el ciclo de cuentas a pagar frente a las distintas modalidades de fraude que circulan por el ecosistema empresarial español. Somos una de las plataformas SaaS de referencia en Europa para automatizar la gestión de facturas y albaranes de proveedores, y nuestra solución incorpora controles diseñados para reducir drásticamente el riesgo en facturas España.
¿Qué hacemos en concreto?
El resultado: un proceso de cuentas a pagar mucho más difícil de manipular, con controles activos y trazabilidad completa para auditoría. Las empresas que automatizan con criterio reducen el riesgo de fraude facturas prácticamente a cero, sin perder agilidad operativa.
Depende del tipo de fraude. El fraude fiscal en España (contra Hacienda) está reduciéndose ligeramente gracias a las medidas de digitalización: factura electrónica B2G, SII, Verifactu. La brecha del IVA en la UE bajó de 121.000 millones en 2018 a 89.000 millones en 2022. Sin embargo, los fraudes financieros en España dirigidos a empresas están aumentando con fuerza. INCIBE registró un crecimiento del 25 % en estafas tipo BEC y fraude del CEO durante 2025. Y la llegada de los deepfakes generativos está acelerando esta tendencia. En resumen: el fraude contra el fisco baja despacio; el fraude contra las empresas sube rápido.
Si limitamos la respuesta a los tres más relevantes en el ámbito empresarial:
A estos tres se añaden, en el plano fiscal, el fraude del IVA (tramas carrusel), la simulación de operaciones y el fraude por economía sumergida.
No existe un umbral cuantitativo absoluto que defina cuándo una conducta pasa de irregularidad a delito fiscal. La frontera la marca el Código Penal: cuando la cuota defraudada supera los 120.000 euros en un ejercicio fiscal por cualquier tributo, la conducta puede constituir delito contra la Hacienda Pública (artículo 305 del Código Penal). Por debajo de esa cifra, hablamos de infracción administrativa, sancionable con multas que pueden alcanzar el 150 % de la cuota defraudada en los casos más graves.
Conviene aclarar que esta cifra es por tributo y ejercicio. Una empresa puede tener varias infracciones simultáneas en distintos impuestos sin que ninguna llegue al umbral penal, pero sumadas pueden suponer un problema serio. Por eso, en el fraude fiscal en España, no solo cuenta el importe absoluto: cuenta también la reincidencia, la ocultación deliberada y el uso de medios fraudulentos.
El fraude en facturas España ha entrado en una fase nueva. Las cifras del fraude fiscal en España se mantienen en niveles preocupantes, aunque la digitalización está empezando a dar resultados. Y, en paralelo, los fraudes financieros en España dirigidos a empresas crecen año a año, impulsados por la profesionalización de las redes criminales y por la irrupción de la IA generativa.
Para el director financiero, el escenario exige una doble respuesta. Por un lado, rigor en el cumplimiento de las nuevas obligaciones (Verifactu, factura electrónica obligatoria, SII), porque facilitan el control interno y reducen la exposición. Por otro, inversión en herramientas y procesos que blinden el ciclo de cuentas a pagar: cotejo automático, alertas de anomalías, doble verificación para pagos urgentes, formación al equipo. Ninguna de las dos cosas funciona aislada.
La combinación de fraude fiscal y fraude facturas sigue siendo uno de los grandes retos económicos del país. Pero hay buenas noticias: la tecnología, bien aplicada, es hoy mucho más eficaz que hace cinco años. La diferencia entre las empresas que sufren estos ataques y las que los detienen suele estar en la calidad de los controles automáticos que tienen activos.
En Dost acompañamos a equipos financieros que quieren reforzar su circuito de cuentas a pagar frente a errores, duplicidades y fraudes: con tecnología contrastada, integración nativa con los principales ERPs del mercado español y un equipo cercano que entiende cómo se trabaja aquí. Si queréis ver cómo blindar vuestra operativa de facturas y reducir el fraude españa de proveedores a niveles prácticamente nulos, hablemos. En materia de fraude, la prevención siempre cuesta menos que la reparación.