Regulación de SMS comerciales en España: Orden TDF/149/2025 y próximos cambios

En España, el envío de SMS con fines comerciales se encuentra regulado principalmente por la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), que prohíbe las comunicaciones comerciales no solicitadas enviadas por medios electrónicos (incluidos SMS) sin consentimiento expreso del destinatario. Esto implica que, como regla general, solo se pueden enviar SMS publicitarios si el usuario los ha autorizado previamente (p. ej., marcando una casilla de consentimiento) o si existe una relación contractual previa y los mensajes versan sobre productos/servicios similares a los ya contratados.

En todo caso, cada SMS comercial debe ofrecer un medio sencillo y gratuito para que el receptor pueda oponerse o darse de baja de futuros envíos, cumpliendo con el derecho de oposición reconocido en la normativa. Paralelamente, la legislación de protección de datos (RGPD y LOPDGDD) refuerza estas obligaciones: el envío de SMS a personas físicas constituye un tratamiento de datos personales que requiere una base jurídica válida (consentimiento del interesado o interés legítimo en el caso de clientes existentes) y transparencia en la información proporcionada al usuario.

Asimismo, se han implementado "listas de exclusión publicitaria" que permiten a los ciudadanos inscribirse para no recibir publicidad de empresas con las que no tienen relación. Estas listas, gestionadas bajo supervisión de la Agencia Española de Protección de Datos, deben ser consultadas por las empresas antes de realizar campañas de SMS marketing, excluyendo a quienes estén apuntados. Actualmente existen dos listados oficiales de exclusión: la tradicional Lista Robinson y la más reciente Lista "Stop Publicidad", de funcionamiento similar.

Las organizaciones que envían SMS comerciales tienen la obligación legal de depurar sus bases de datos contra dichas listas, salvo que el destinatario sea ya cliente o haya dado consentimiento expreso fuera de ellas. En otras palabras, si un número de teléfono está inscrito en alguna lista de exclusión, solo podría recibir mensajes comerciales de una empresa si ya es cliente de la misma o si ha otorgado consentimiento específico con posterioridad a su inscripción en la lista.

En cuanto a la suplantación de identidad vía SMS (conocida como smishing), hasta hace poco el marco legal se limitaba a normas generales (como las del Código Penal en casos de estafa) y a obligaciones genéricas de los operadores de garantizar un uso correcto de la numeración. Sin embargo, el creciente fraude mediante mensajes de texto haciéndose pasar por bancos, instituciones públicas u otras entidades confiables motivó la adopción de medidas específicas en el ámbito de las telecomunicaciones.

Así, a principios de 2025 el Ministerio de Asuntos Económicos y Transformación Digital aprobó la Orden TDF/149/2025 (publicada en BOE el 15 de febrero de 2025) con un paquete de medidas contra la suplantación de identidad en llamadas telefónicas y SMS. Esta orden ministerial, en vigor actualmente, se centra en atajar el vishing y smishing obligando a identificar correctamente el origen de las llamadas y mensajes, y bloqueando aquellos SMS fraudulentos que manipulen el identificador del remitente.

En lo relativo a SMS, la normativa introduce controles sobre la numeración y los alias utilizados como remitente, con el objetivo de evitar que estafadores envíen mensajes aparentando ser entidades legítimas (p. ej., usando como remitente el nombre de un banco o un número de teléfono falso). En resumen, el marco legal vigente combina las normas de protección al consumidor en comunicaciones comerciales (consentimiento y listas de exclusión de la LSSI/LOPDGDD) con nuevas medidas sectoriales de telecomunicaciones (Orden TDF/149/2025 y relacionadas) para combatir la suplantación de identidad vía SMS, imponiendo obligaciones tanto a empresas emisoras como a operadores de red.

Como se ha señalado, para el envío de SMS con fines promocionales es obligatorio contar con el consentimiento previo del destinatario, salvo contadas excepciones. El artículo 21 de la LSSI establece que no se pueden enviar comunicaciones comerciales por medios electrónicos (incluyendo SMS) si no han sido solicitadas o expresamente autorizadas por el receptor.

La única excepción a esta regla (art. 21.2 LSSI) permite el envío de mensajes a clientes actuales sobre productos o servicios propios y similares a los que ya contrataron, siempre que se hayan obtenido lícitamente sus datos de contacto y se ofrezca en cada mensaje la posibilidad de oponerse a nuevos envíos. Por ejemplo, una tienda online podría mandar por SMS una oferta a un cliente que ya compró previamente, sin un consentimiento adicional, pero debe incluir en el mensaje un mecanismo de baja (ej. "Responder STOP para no recibir más mensajes").

Si el destinatario ejercita su derecho de oposición o revoca el consentimiento, la empresa deberá cesar los envíos promocionales inmediatamente. En línea con lo anterior, España cuenta con sistemas de exclusión publicitaria destinados a proteger a los usuarios de comunicaciones no deseadas. La más conocida es la Lista Robinson, un servicio gestionado por la Asociación Española de Economía Digital en coordinación con la AEPD, en la que cualquier persona puede inscribirse gratuitamente para no recibir publicidad de entidades con las que no tenga relación.

A esta se ha sumado en 2025 la Lista "Stop Publicidad", de creación más reciente, con un funcionamiento equivalente (permitiendo incluso especificar canales como teléfono, SMS, correo postal o redes sociales que el usuario desea bloquear). Todas las empresas que planifiquen campañas de SMS marketing deben obligatoriamente consultar estos listados antes de enviar mensajes, y excluir de sus destinatarios a los números inscritos.

En la práctica, esto implica depurar las bases de datos de contactos contra la Lista Robinson y Stop Publicidad de forma regular. Es importante destacar que la inscripción en una lista de exclusión no anula completamente la publicidad: si un usuario es cliente vigente de una empresa o ha dado su consentimiento a esta para recibir mensajes, dicha empresa podrá enviarle SMS comerciales incluso si el número figura en Robinson/Stop.

Por ejemplo, si alguien apuntado en la Lista Robinson facilita su número a un banco y acepta recibir alertas u ofertas de ese banco, los SMS del banco serían legítimos (pues existe consentimiento explícito o relación contractual). Sin embargo, ninguna empresa con la que el usuario no tenga relación previa podrá enviarle mensajes comerciales mientras esté en la lista, so pena de infracción.

Las autoridades (principalmente la AEPD) tratan como práctica sancionable el envío de comunicaciones comerciales no solicitadas, especialmente si el afectado estaba inscrito en un sistema de exclusión. Por ello, adherirse a las listas de exclusión y gestionar adecuadamente los consentimientos son pilares fundamentales del cumplimiento normativo en materia de SMS comerciales.

Las empresas deben conservar evidencias del consentimiento obtenido (fecha, forma, finalidad autorizada) y habilitar vías sencillas para que los usuarios retiren ese consentimiento en cualquier momento, tal y como exige el RGPD. En resumen, el régimen vigente obliga a un enfoque de "permiso previo" (opt-in) para el marketing por SMS, complementado con herramientas de opt-out global (listas Robinson y Stop Publicidad) que las empresas han de respetar escrupulosamente.

Estas obligaciones coexisten con las nuevas medidas antifraude de la Orden TDF/149/2025, lo que significa que no basta con tener consentimiento para enviar SMS: además, los mensajes deberán cumplir con los requisitos técnicos y de identificación que veremos en secciones posteriores.

En el ámbito de las telecomunicaciones, cada mensaje SMS lleva asociado un identificador de remitente que puede ser un número de teléfono (origen numérico) o un código alfanumérico (también llamado alias cuando el remitente aparece como texto, por ejemplo, el nombre de una empresa). La presentación del CLI (Calling Line Identification) se refiere precisamente a mostrar ese identificador al destinatario.

En España, el uso de numeraciones telefónicas está regulado por el Plan Nacional de Numeración (establecido por el Real Decreto 2296/2004 y normas posteriores), que asigna determinados rangos de números para cada servicio. Por ejemplo, los móviles españoles comienzan por 6 o 7, los números geográficos por 8 o 9, etc., mientras que prefijos como 3 o 4 no existen en la numeración nacional. Además, la Comisión Nacional de los Mercados y la Competencia (CNMC) adjudica bloques de numeración a los operadores, y estos los asignan a usuarios finales o subasignan a otros proveedores.

Históricamente, manipular el CLI para aparentar otro origen (suplantación) ya estaba prohibido, pero resultaba técnicamente posible en ciertos entornos (p. ej., centrales VoIP mal configuradas). La nueva Orden TDF/149/2025 refuerza el control sobre el CLI tanto en llamadas como en SMS. En lo referente a mensajes de texto, la Orden dispone que los operadores deben bloquear cualquier SMS cuya identificación de remitente sea anómala o no válida.

SMS con remitente numérico vacío o inválido

Si el mensaje presenta un CLI vacío (sin número) o un número que no esté atribuido a ningún servicio o no siga el formato del plan nacional de numeración, no debe cursarse. Esto abarca casos evidentes como números imposibles (ej.: comienzos 3xx…) y también números falsificados que no han sido asignados a ningún usuario u operador. Los operadores consultarán las bases de numeración para verificar si un número está realmente asignado en España.

SMS con remitente numérico no autorizado

Más allá del formato, se bloquean mensajes cuyo origen numérico no haya sido asignado por la CNMC a ningún operador autorizado. Es decir, aunque el número tenga formato válido, si en el registro nacional figura como no adjudicado a ningún operador (por ejemplo, un número de un bloque no concedido aún, o un número "huérfano"), el mensaje se filtrará.

Para ello, la CNMC proveerá a los operadores información actualizada (incluso mediante herramientas automatizadas/API) sobre los rangos y numeración en uso. De hecho, se ha previsto la creación de una base de datos de consulta en tiempo real para que los operadores comprueben si un número está asignado antes de cursar la comunicación. Esta medida estará plenamente operativa en 2026, dando tiempo a la CNMC para implementarla.

SMS con remitente alfanumérico (alias)

Los alias son cadenas de texto que identifican al remitente pero no corresponden a una numeración telefónica devolvible (es decir, el destinatario no puede responder al SMS utilizando el alias directamente). Son muy utilizados por empresas (bancos, comercios, plataformas online) para que en lugar de ver un número, el usuario vea un nombre reconocible.

El problema es que hasta ahora cualquiera podía enviar SMS con un alias arbitrario, facilitando la suplantación (un estafador podía poner como alias "BancoXYZ" e intentar engañar al receptor). La nueva normativa crea un Registro nacional de alias alfanuméricos gestionado por la CNMC, donde las empresas deberán inscribir los alias que utilicen antes de emplearlos en sus campañas.

Cada alias inscrito irá asociado a la entidad que lo registró y a los proveedores de servicios de mensajería autorizados para usarlo. A partir de la plena entrada en vigor de esta medida (ver calendario abajo), los operadores bloquearán todo SMS que use un alias no registrado o enviado a través de un proveedor no habilitado para ese alias. En esencia, solo podrán aparecer como remitentes alfanuméricos aquellos nombres validados oficialmente en el registro, evitando que terceros no autorizados los suplanten.

Además de lo anterior, la Orden TDF/149/2025 introdujo una restricción en el ámbito de voz (llamadas) prohibiendo el uso de numeración móvil para servicios de atención al cliente o llamadas comerciales – obligando a las empresas a emplear números geográficos o gratuitos (800/900) para esas finalidades. Aunque esta disposición se refiere a llamadas telefónicas (no a SMS), es parte del mismo esfuerzo por asegurar que cada tipo de comunicación use numeración apropiada y reconocible.

En el contexto de SMS, no se ha impuesto una prohibición equivalente de usar números móviles; de hecho, muchas empresas seguirán pudiendo usar números largos (long numbers) o códigos cortos dedicados para enviar mensajes, siempre que dichos números les hayan sido asignados por un operador. Lo crucial es que no se utilicen números móviles ajenos o falsos como remitente de SMS.

En resumen, la normativa actual sobre numeración y presentación del remitente en SMS obliga a: (a) usar únicamente numeración válida y asignada, (b) no ocultar ni manipular el identificador de remitente, y (c) en el caso de alias alfanuméricos, registrar y autorizar su uso previamente. Estas medidas persiguen que el usuario pueda confiar en la identidad que aparece en el SMS, reduciendo los casos de fraude por suplantación.

La Orden TDF/149/2025 fue aprobada en febrero de 2025, entró en vigor el 7 de marzo de 2025 (20 días después de su publicación) y preveía una aplicación progresiva de algunas obligaciones. En particular, a partir del 7 de junio de 2025 (tres meses tras la entrada en vigor) comenzaron a exigirse plenamente varias medidas que afectan al envío de SMS. Estas son las principales novedades que desde esa fecha ya están vigentes:

Bloqueo de SMS con numeración falsificada o no asignada

Desde junio de 2025, los operadores deben bloquear cualquier mensaje SMS cuyo remitente numérico no sea válido. Esto incluye los SMS con campo de remitente vacío, con formatos que no coinciden con numeración española, o con números nacionales que no estén adjudicados a ningún abonado real. En la práctica, si un estafador intenta enviar un SMS mostrando un número ficticio (por ejemplo, 34999999 o 712345678 cuando no existe ese número), el mensaje no llegará al usuario porque la red lo identificará como tráfico no permitido y lo filtrará automáticamente.

Bloqueo de SMS "spoofing" desde el extranjero

Otra obligación vigente desde 7 de junio de 2025 es impedir que lleguen a los usuarios españoles SMS originados fuera de España que aparenten proceder de numeración española. Muchos fraudes se inician desde plataformas en el extranjero que usaban números españoles falsos para dar confianza al receptor. Ahora, cuando un SMS entra a las redes nacionales por pasarelas internacionales, si lleva un número español como remitente, el operador receptor verificará si es un caso legítimo de roaming.

Solo se permite enrutarlo si corresponde a un cliente español en itinerancia internacional (es decir, alguien que está temporalmente fuera y envía un SMS a través de su operador); en caso contrario (tráfico A2P o masivo desde fuera simulando ser local), el mensaje será bloqueado. Esto ha obligado a reorganizar el tráfico de mensajería: las empresas extranjeras que enviaban SMS con remitente de España sin estar realmente en España ahora enfrentan bloqueos.

Prohibición de llamadas comerciales desde móviles

Aunque nos centramos en SMS, cabe mencionar que simultáneamente, desde junio de 2025 entró en vigor la prohibición de usar números móviles en llamadas de telemarketing o atención al cliente, forzando la migración de esos servicios a numeración fija o gratuita 800/900. Mencionamos esto solo como parte del contexto regulatorio global; en cuanto a SMS comerciales, no existe prohibición de origen móvil, pero como se explicó, cualquier número móvil usado debe ser uno propio/asignado y no uno simulado.

En términos sancionadores, estos incumplimientos se tipifican como infracciones graves de la Ley General de Telecomunicaciones. Desde junio de 2025, por ejemplo, usar un número móvil de forma prohibida o saltarse estos bloqueos podría conllevar multas de hasta 2 millones de euros.

Para las empresas que utilizan SMS en sus comunicaciones, las implicaciones de los cambios de 2025 son claras: asegurarse de utilizar remitentes legítimos y autorizados. En la práctica, muchas han tenido que coordinar con sus proveedores de mensajería para verificar qué identificadores estaban usando en sus envíos.

Un efecto positivo inmediato de estas medidas (junio 2025) es que cierto spam y smishing evidente ha disminuido, al bloquearse los casos más burdos de falsificación (numeraciones inexistentes o claramente fraudulentas). No obstante, los estafadores podrían seguir intentando engaños usando alias de texto (nombres de empresas) o numeración internacional. Por eso, la Orden previó un segundo hito normativo en 2026 para abordar especialmente el tema de los alias.

El 7 de junio de 2026 marca la fecha en que entrarán en vigor las disposiciones más novedosas de la Orden TDF/149/2025 en materia de SMS: aquellas referidas a los códigos alfanuméricos remitentes (alias) y su registro. A partir de ese momento, el esquema regulatorio quedará así:

Registro de alias obligatorio

Todas las empresas, organizaciones y administraciones que utilicen un alias al enviar SMS (por ejemplo, nombres comerciales, marcas, siglas como remitente en lugar de un número) deberán inscribir dicho alias en el registro habilitado por la CNMC antes de su utilización. La inscripción vinculará el alias con la entidad que lo usa y con su proveedor o proveedores de mensajería autorizados para emitir mensajes en su nombre.

Por ejemplo, si un banco quiere usar el alias "MiBanco" en sus SMS, tendrá que registrarlo indicando que pertenece al Banco X y quizás que su proveedor (operadora Y o plataforma Z) está autorizado a enviar SMS usando "MiBanco". Este registro comenzará a funcionar en 2026 (se anunció su entrada en operación hacia mayo de 2026) para que las empresas puedan inscribir sus alias con antelación. Desde el 7 de junio de 2026, ningún SMS con alias no registrado podrá ser entregado al usuario, ya que será bloqueado en la red.

Bloqueo de alias no autorizados

Los operadores de telecomunicaciones estarán obligados a bloquear todos los SMS que utilicen alias no inscritos, así como aquellos que, aun teniendo alias válido, no provengan de un proveedor autorizado asociado a ese alias en el registro. Esta segunda parte es importante: busca evitar que un alias registrado sea explotado por terceros.

Siguiendo el ejemplo anterior, si "MiBanco" está registrado por Banco X pero un estafador contrata a un proveedor extranjero para enviar mensajes usando "MiBanco", aunque el alias exista en el registro, el operador español verificará la procedencia. Si el mensaje llega de un carrier o gateway que no coincide con los autorizados para Banco X, entonces se bloqueará por considerarse uso fraudulento.

Bloqueo de SMS internacionales con alias español

Tal como desde 2025 se bloquean los SMS desde el extranjero que usan números españoles falsos, a partir de junio de 2026 se extenderá el bloqueo a mensajes internacionales con alias alfanuméricos no autorizados. En particular, si un mensaje entra a la red española con un alias que coincide con un alias español registrado pero proviene de una fuente no validada, será bloqueado.

Incluso si el alias no estuviera registrado en absoluto, también se bloquearía (pues no pasaría el filtro del registro). Básicamente, se cierra la puerta al smishing internacional vía alias: ya no bastará con usar el nombre de un banco conocido como remitente, porque si ese banco lo tiene registrado, cualquier mensaje que no venga de sus canales oficiales no llegará al usuario.

Procedimiento y gestión del registro

La CNMC emitirá instrucciones detallando cómo inscribirse, requisitos y plazos. Se espera que el proceso sea telemático, probablemente habilitando un portal donde las empresas acrediten su identidad, el alias deseado (verificando que tienen derecho a usar ese nombre comercial, marca registrada o similar) y los datos de su operador o proveedor de SMS.

Es previsible también que haya que mantener actualizada la información (por ejemplo, si cambias de proveedor, habría que actualizar quién está habilitado para tu alias). Un aspecto a considerar es la posible saturación o solapamiento de alias: el registro deberá gestionar casos de nombres genéricos. Es de esperar que se otorgue preferencia a marcas registradas o denominaciones sociales.

Sanciones por incumplimiento

El uso de alias no registrado o el envío de SMS saltándose el registro se considerará una violación grave. Dado que la Orden remite al régimen sancionador de la Ley General de Telecomunicaciones, las multas podrían alcanzar hasta 2 millones de euros en casos graves. Pero quizá más disuasorio aún es el hecho de que los mensajes simplemente no llegarán al destinatario: para una empresa, que sus comunicaciones legítimas sean bloqueadas por no haber seguido el proceso de registro sería altamente perjudicial.

En síntesis, a partir de junio de 2026 el panorama regulatorio de SMS en España será mucho más estricto en cuanto a quién puede enviar mensajes y con qué identificadores. Cada alias actuará casi como "marca registrada" en el ámbito de los SMS, con un registro central que garantiza que solo el dueño legítimo (y sus socios tecnológicos) puedan utilizarlo.

La implementación de esta nueva normativa recae en buena medida sobre los operadores de comunicaciones y también sobre los llamados prestadores de servicios de mensajería (plataformas de envío de SMS, agregadores) y sus revendedores. La Orden TDF/149/2025 especifica que se aplica a todos los proveedores que permitan realizar llamadas o enviar mensajes usando numeración del plan nacional o alias identificativos.

Bloqueo proactivo de tráfico ilícito

Los operadores (y en general, cualquier proveedor que transporte SMS) están obligados a detectar y bloquear en sus redes los mensajes que incumplan los criterios legales. Esto incluye implementar filtros para identificar CLI vacíos o inválidos, verificar numeración española presentada en tráfico entrante internacional, y a partir de 2026 chequear los alias contra el registro CNMC.

La obligación de bloqueo es imperativa; si un operador permite pasar mensajes prohibidos, podría ser sancionado. Por tanto, los operadores deben actualizar sus sistemas de señalización y cortafuegos de SMS para incorporar estas lógicas de filtrado.

Consulta de bases de numeración y registro

Para cumplir con lo anterior, los operadores tienen la obligación de mantenerse sincronizados con la información oficial sobre numeración asignada y alias registrados. La CNMC, por disposiciones de la Orden, debe facilitar herramientas (APIs, listados) para que los operadores consulten en tiempo real si un número origen está asignado a algún operador.

Igualmente, habrá un acceso seguro al registro de alias para consulta en línea: cuando llegue un SMS con alias "ACME", el sistema del operador deberá consultar si "ACME" está en la base de datos y si el origen de ese mensaje corresponde a un proveedor autorizado. Todo este entramado técnico deberá ser integrado por los operadores en sus plataformas de gestión de mensajería antes de junio de 2026.

Colaboración con la CNMC y SE Telecomunicaciones

Además del bloqueo, la normativa impone deberes de colaboración. Por ejemplo, la Disposición Adicional Primera de la Orden exige a los sujetos obligados (operadores y proveedores) remitir anualmente estadísticas a la Secretaría de Estado de Telecomunicaciones y a la CNMC sobre las llamadas y mensajes bloqueados, incluyendo cuando sea posible el motivo del bloqueo.

Esto significa que los operadores deben llevar un registro interno de los SMS filtrados, clasificándolos (p. ej., X mensajes bloqueados por CLI no asignado, Y por alias no registrado, etc.). Estas estadísticas servirán a la autoridad para medir la efectividad de las medidas y detectar nuevas tácticas de fraude.

Responsabilidad de la cadena de proveedores

En muchos casos, las empresas que envían SMS no se conectan directamente a la red móvil sino a través de agregadores o resellers de servicios SMS. La obligación de cumplimiento alcanza a todos los eslabones. Un agregador que ofrezca servicios de envío masivo debe asegurarse de que los mensajes de sus clientes cumplen las reglas, porque el operador final de entrega bloqueará el tráfico indebido y podría incluso cancelar acuerdos si detecta sistemáticamente abusos.

Asimismo, para el registro de alias, los proveedores de mensajería actuarán como habilitadores: cuando inscriban un alias para un cliente, deberán figurar como proveedores autorizados de ese alias. Si un proveedor no está en el registro como autorizado para cierto alias, no podrá cursar mensajes con ese remitente.

Garantizar la asignación correcta de numeración usada

Otra obligación tácita es que los operadores deben proporcionar solo numeración legítima a sus clientes de mensajería y evitar prácticas anteriores de cierta laxitud (como asignar un mismo número a múltiples clientes, o permitir a un cliente usar un número que no estaba realmente en su pool). La Orden enfatiza que solo se use numeración asignada o subasignada formalmente.

Los operadores de red tendrán que vigilar que ningún operador intermedio utilice números fuera de la asignación. Esto supone, en la operativa, que cada número que aparezca como remitente de SMS deba poder trazarse hasta un operador y un cliente final concreto. La trazabilidad es clave para, llegado el caso, identificar al remitente real de un mensaje fraudulento.

Excepciones y permisos especiales

La normativa prevé la posibilidad de autorizar excepciones puntuales. Un caso citado en la nota de prensa del Ministerio es el de empresas españolas con operaciones offshore/nearshore: compañías que tienen centros de atención o sistemas en el extranjero pero que legítimamente usan números españoles para comunicarse con sus clientes.

Estas empresas pueden solicitar a la Secretaría de Estado de Telecomunicaciones un permiso especial para seguir utilizando sus numeraciones nacionales desde fuera de España sin que sean bloqueadas. Esta salvedad obligará a los operadores a incorporar "listas blancas" de orígenes exentos si son aprobados por la autoridad.

En conclusión, los operadores y proveedores de SMS actúan como guardianes técnicos de la normativa: deben desplegar los medios para que se cumpla efectivamente (bloqueos, registros, reportes). El desafío tecnológico no es menor, pues involucra bases de datos en tiempo real y coordinación sectorial, pero se trata de un esfuerzo conjunto para proteger a usuarios y empresas de fraudes.

Las empresas ubicadas fuera de España que realizan envíos de SMS a usuarios españoles (campañas de marketing, notificaciones A2P, etc.) deben prestar especial atención a esta regulación, ya que les afecta en la terminación de sus mensajes dentro de redes españolas. Varias consideraciones clave para estos remitentes internacionales son:

Aplicación territorial de las normas de marketing

Desde el punto de vista de protección de datos y consumidor, si una empresa extranjera envía comunicaciones comerciales a consumidores en España, se le puede aplicar la legislación española. En la práctica, la AEPD ha sancionado a compañías extranjeras por spam dirigido a españoles. Por tanto, deben obtener consentimiento expreso de los destinatarios igual que una empresa local y respetar las listas Robinson/Stop Publicidad. El hecho de estar fuera no las exime de cumplir la LSSI en cuanto al envío de publicidad no solicitada.

Entrega de SMS a través de operadores locales

Lo habitual es que una empresa extranjera use agregadores o carriers internacionales para entregar SMS en España. Esos carriers a su vez terminan el mensaje vía acuerdos con operadores móviles españoles. Con la nueva normativa, los operadores españoles bloquearán mensajes que no cumplan las reglas de CLI, incluso si vienen de fuera. Así que la empresa extranjera debe coordinar con su proveedor de SMS para asegurarse de que utiliza un remitente permitido.

Si desean que el remitente parezca local (por motivos de confianza o respuesta), deberán adquirir numeración española o un alias y hacerlo de forma legítima. Ya no es posible "simular" un número español sin autorización: cualquier intento en ese sentido post-2025 acabará con el mensaje descartado.

Uso de alias por empresas extranjeras

Quizá el punto más crítico es el de los alias a partir de 2026. Una empresa extranjera (por ejemplo, una plataforma online global) que quiera enviar SMS a España usando un alias (p. ej. su marca) tendrá que inscribirlo en el registro CNMC a través de un representante/filial o mediante el operador con el que trabaje. No hay distinción de nacionalidad en la obligación: si el SMS con alias llega a redes españolas, el alias debe estar registrado.

Supongamos un servicio internacional de autenticación que envía códigos por SMS con el alias "SecureCode": para continuar haciéndolo en España, deberá registrar "SecureCode" en 2026 y designar a sus proveedores. En caso contrario, esos mensajes serán bloqueados. Es irrelevante que la empresa no esté en España; la red española filtra el tráfico entrante según sus reglas.

Evitar numeración española si no se tiene presencia local

Una estrategia que algunas empresas utilizaban era mandar SMS con un número móvil español genérico para parecer locales. Esto, tras la Orden, es inviable sin presencia local. La alternativa más segura para una empresa extranjera que no quiera registrarse es usar un número de remitente internacional (por ejemplo, un número de su país de origen o un código largo virtual no español).

Los operadores españoles no bloquearán mensajes con número extranjero como remitente, puesto que no caen bajo "numeración nacional falsificada". Por supuesto, esto tiene contrapartidas: el mensaje puede generar menos confianza en el usuario al venir de un número extranjero, y no podrá responderse fácilmente. Pero desde la perspectiva legal, es lícito. Aun así, si el contenido es comercial, necesita consentimiento igual.

Roaming vs. A2P internacional

La normativa distingue entre tráfico internacional legítimo (roaming) y tráfico A2P. Una empresa extranjera no puede camuflarse como roaming, salvo que intente la ruta de simbox (tarjetas españolas en el extranjero), lo cual también es perseguido por fraude. Los operadores españoles detectan patrones: un centro A2P que envía miles de SMS con numeración española desde IPs extranjeras no se percibe como roaming real, y esos SMS se bloquean.

Representación legal y notificaciones

Si una empresa extranjera incumple (p. ej., envía spam masivo a españoles), puede enfrentarse a investigaciones o sanciones. Las autoridades podrían requerir a los operadores bloquear incluso totalmente cierto tráfico. Cabe señalar que la Ley General de Telecomunicaciones 11/2022 obliga a proveedores extracomunitarios que ofrezcan servicios en España a designar un representante legal en el país.

En definitiva, las empresas extranjeras deben considerar a España como un territorio con reglas muy definidas para SMS. Lo recomendable es que trabajen con un agregador español o internacional de confianza que esté al tanto de la Orden TDF/149/2025. Este socio les indicará, por ejemplo: "necesitamos registrar tu alias X" o "te proporcionamos un número corto español dedicado para tus envíos". Asumir esos pequeños pasos adicionales les permitirá seguir comunicándose con clientes españoles sin problemas.

Ante este nuevo escenario regulatorio, las empresas que usan SMS como canal de comunicación deben adoptar buenas prácticas tanto jurídicas como técnicas para asegurar el cumplimiento. A continuación, se enumeran recomendaciones clave y medidas proactivas:

Gestionar adecuadamente el consentimiento y las bajas

Como punto de partida, hay que asegurarse de tener base legal para cada SMS comercial enviado. Esto implica guardar registro de quién consintió, cuándo y cómo (p. ej., formulario web, SMS de confirmación, etc.), de modo que podamos demostrar dicho consentimiento en caso de una inspección. Asimismo, cada mensaje debe incluir instrucciones claras para darse de baja (por ejemplo, indicando una palabra clave de respuesta gratuita o un enlace a una página de desuscripción).

Consultar las listas de exclusión publicitaria antes de campañas

Es recomendable establecer un procedimiento interno periódico para cruzar la base de datos de destinatarios con la Lista Robinson y la Lista Stop Publicidad. Por ejemplo, antes de lanzar una campaña masiva de SMS, se debe enviar la lista de números a la herramienta de exclusión para filtrar los inscritos (muchos servicios de envíos masivos ya ofrecen esta funcionalidad como parte de su plataforma). Documentar la fecha y resultado de esa consulta aporta una capa de diligencia debida en caso de reclamaciones.

Registrar los alias con suficiente antelación

Para quienes utilizan alias alfanuméricos, no esperar al último momento para registrarlos. Se sugiere identificar todos los alias usados por la empresa (pueden ser nombres comerciales, acrónimos, distintas marcas del grupo, etc.) y gestionar su inscripción en el registro CNMC tan pronto como esté disponible el proceso (posiblemente a inicios de 2026). Además, conviene reservar alias alternativos o variaciones si se cree necesario.

Usar proveedores homologados y comunicarles los alias

Si trabaja con uno o varios gateways de SMS, asegúrese de notificarles qué alias va a emplear y verificar que ellos figuran como autorizados para ese alias en el registro. Esta comunicación mutua evita problemas: el proveedor sabrá que puede enviar con ese remitente porque está en regla, y usted se asegura de que el proveedor hizo la diligencia de registrarlo correctamente.

Revisar la configuración de las plataformas de envío (APIs/SMPP)

A nivel técnico, las empresas deben auditar cómo están enviando sus SMS. Si usan una API o conexión SMPP para mandar mensajes, deben asegurarse de que no permiten libremente setear un remitente personalizado sin control. Muchas APIs permiten especificar el sender ID; a partir de ahora, debería restringirse a los IDs permitidos. Configurar listas de remitentes válidos en la cuenta previene errores y potenciales bloqueos.

Adquirir numeración dedicada si es necesario

Para algunas empresas, quizás sea preferible usar un número de teléfono como remitente en lugar de un alias, especialmente si no alcanzan a registrarlo a tiempo o si quieren permitir respuesta del usuario. En tal caso, la recomendación es obtener un número largo dedicado (long code) o un código corto a través de un operador registrado. Un número dedicado evita confusiones y garantiza que está a nombre de la empresa.

Implementar autenticación y verificación de envíos importantes

Para ciertos usos críticos (como envíos de OTPs, verificaciones bancarias, etc.), algunas empresas implementan mecanismos de seguridad añadidos. Por ejemplo, firmar digitalmente el contenido del SMS o enviar parte de la información por canales separados, para que aunque alguien interceptara o falsificara un mensaje, no pueda engañar al usuario sin la firma válida.

Monitorear y adaptarse a las indicaciones de autoridades

Dado que la CNMC dictará instrucciones y pueden surgir guías, es importante mantenerse informado. Asociaciones de marketing móvil o de telecomunicaciones probablemente publiquen best practices actualizadas una vez esté en marcha el registro de alias. Las empresas deberían designar a alguien (ej. el DPO o responsable de marketing) para que siga estos desarrollos normativos y asegure la conformidad continua.

En resumen, las mejores prácticas se centran en no esperar a que los bloqueos sucedan o que las sanciones lleguen, sino anticiparse: legitimar la base de datos de contactos, limpiar números no válidos, registrar identificadores oficiales y usar partners confiables. Todo ello redunda en un ecosistema de comunicaciones más confiable, donde tanto empresas como usuarios estarán más protegidos contra el abuso del canal SMS.

La entrada en vigor de estas nuevas medidas supone retos importantes en el terreno técnico para las plataformas que gestionan envíos masivos de SMS (como gateways A2P, software de mensajería empresarial, etc.). Detallamos a continuación las implicaciones principales y cómo dichas plataformas deberán adaptarse:

Integración con el Registro de Alias (CNMC)

Las plataformas deberán desarrollar módulos de consulta y verificación de alias en tiempo real. Cuando un cliente intente enviar un SMS usando un remitente alfanumérico, el sistema deberá automáticamente consultar la base de datos de la CNMC para comprobar si ese alias está registrado y si la plataforma (o el operador con el que trabaja) está autorizada para enviarlo.

Esto implica posiblemente usar una API proporcionada por la CNMC. Técnicamente, habrá que manejar caches locales (para no consultar a la CNMC por cada SMS individualmente, lo que sería ineficiente) pero asegurando actualización frecuente de la caché para reflejar altas/bajas de alias.

Actualización de sistemas de enrutamiento y filtrado

Muchas plataformas de SMS implementan rutas inteligentes (según costo, calidad, etc.). Ahora deberán añadir un paso de validación de CLI. Es decir, antes de escoger la ruta o enviar al siguiente nodo, el sistema debe filtrar los mensajes cuyo remitente sea problemático: alias no permitido, número no válido, etc.

Para esto, es necesaria una base de datos interna con rangos de numeración permitidos/prohibidos según el país. Por ejemplo, el sistema debe saber que en España no existen números empezando por 0,3,4 (salvo códigos cortos específicos) y bloquearlos para evitar siquiera intentar su entrega.

Autenticación robusta de usuarios y uso de remitentes

Las plataformas masivas a menudo atienden a múltiples clientes (multi-tenant). Una implicación es que deberán vincular cada cliente con sus remitentes autorizados. Esto conlleva en la práctica implementar listas blancas de sender IDs por cuenta de cliente. Muchos proveedores ya lo hacen (como medida anti-spam), pero ahora será imprescindible.

Alguien en Francia que contrate el servicio no debería poder libremente poner un alias de una empresa española, por ejemplo. Además, cuando un cliente registra un alias, la plataforma debe asociarlo de forma única a ese cliente para que otro no lo use.

Sistemas de logging y trazabilidad mejorados

Dado que los operadores exigirán estadísticas de mensajes bloqueados, es esperable que ellos a su vez pidan a los agregadores upstream información de tráfico. Las plataformas de envío masivo deberán tener logs detallados de cada mensaje, incluyendo la causa si fue bloqueado o rechazado (p. ej., "rechazado por operadora X – alias no registrado").

Esto no solo ayuda a cumplir requisitos regulatorios, sino que será esencial para soporte técnico: las empresas preguntarán por qué sus SMS no llegan, y la plataforma debe poder diagnosticar si fue por un filtro de alias/número.

Adaptación a la API de numeración asignada (2026)

Como mencionamos, la CNMC planea una herramienta para que los operadores consulten si un número está asignado a usuario. Es posible que agregadores grandes también puedan acceder a dicha información para prevalidar remitentes numéricos. Las plataformas podrían integrar esa API para, por ejemplo, evitar que un cliente registre como remitente un número que no le pertenece.

Manejo de excepciones (whitelists)

Mencionamos que podría haber permisos especiales (por ej., empresas españolas autorizadas a usar sus números desde el extranjero). Las plataformas deberán tener capacidad de exceptuar esos casos en sus filtros. Quizá las operadoras proporcionen listas de numeraciones exentas. Implementar estas whitelists y mantenerlas actualizadas es otra tarea de ingeniería a considerar.

Capacitaciones y pruebas

No hay que olvidar el factor humano. Los equipos técnicos deberán ser capacitados en estas nuevas normativas para que puedan configurar correctamente los sistemas. Asimismo, es aconsejable realizar pruebas antes de las fechas clave: por ejemplo, en mayo 2026, realizar tests internos enviando SMS con alias no registrados para comprobar que efectivamente se bloquean, y con alias registrados para verificar que pasan.

En resumen, las plataformas de envío masivo de SMS tienen un trabajo significativo de actualización de software y procesos. Aquellas que lo logren de forma diligente podrán diferenciarse incluso como proveedores "conformes a la normativa española", ganando la confianza de clientes que buscan seguridad. La inversión en estas adaptaciones tecnológicas es, por tanto, imprescindible de cara a 2026.

A continuación se presentan algunos casos de uso comunes de empresas que envían SMS, analizando cómo les afecta la normativa y qué deben hacer para cumplirla:

Caso 1: Cadena minorista nacional (retail) – SMS promocionales a clientes

Caso 2: Banco o entidad financiera – Mensajes transaccionales (OTP, alertas)

Caso 3: Empresa extranjera de comercio electrónico – Promociones a clientes españoles

Caso 4: Pequeña empresa nacional – Comunicaciones informativas a clientes

En todos estos ejemplos, se puede apreciar un hilo común: la necesidad de legitimar tanto el contenido como el canal. Las empresas deberán trabajar conjuntamente con sus departamentos legales (para consentimientos, privacidad) y con sus departamentos técnicos o proveedores (para temas de numeración, alias, etc.).

La normativa puede parecer exigente, pero a largo plazo mejora la confianza en el SMS como canal. Usuarios más seguros significan que las empresas legítimas podrán seguir usando el medio con eficacia. Al erradicar gran parte del tráfico fraudulento de suplantación, es probable que las tasas de lectura y respuesta a SMS comerciales legítimos se mantengan o incluso mejoren, pues el público no desconfiará automáticamente de cada mensaje.

Así, estos cambios normativos, bien implementados, benefician a todo el ecosistema: usuarios protegidos, empresas responsables con un canal fiable, y operadores ofreciendo redes más seguras.