Transferencias bancarias inusuales (Por: Jorge Álvarez Banderas)
Un gran precedente determinó la semana pasada el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito en beneficio de los cuentahabientes, en relación a las transferencias electrónicas bancarias
Morelia, Michoacán, 07 de agosto de 2022.- Un gran precedente determinó la semana pasada el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito en beneficio de los cuentahabientes, en relación a las transferencias electrónicas bancarias, cuando la dirección de protocolo de internet (IP) tiene un lugar de origen inusual y a pesar de ello el banco autoriza la operación sin antes suspender el servicio de banca electrónica o rechazar la transacción precautoriamente; lo anterior para el órgano jurisdiccional, permite que debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobarla.
El antecedente deriva de un juicio oral mercantil, donde el cuentahabiente demandó a la institución de crédito por la nulidad de una transferencia electrónica bancaria; seguida la controversia en todas sus etapas, el Juez responsable emitió sentencia definitiva en la cual declaró la nulidad absoluta de la operación, principalmente, por considerar que no existía certeza de que el cuentahabiente otorgó su consentimiento en la transacción, pues el lugar de origen de la dirección de protocolo de Internet desde donde se realizó no era usual para la actora, al corresponder al área geográfica de otro país.
El Tribunal Colegiado de Circuito determina que cuando la dirección de protocolo de Internet (IP) tiene un lugar de origen inusual de operaciones del cuentahabiente y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria.
La legislación aplicable considera que, los bancos deberán proveer lo necesario para que una vez autenticado el usuario en el servicio de banca electrónica de que se trate, la sesión no pueda ser utilizada por un tercero y que, para efectos de lo anterior, las instituciones deberán establecer, al menos, los mecanismos de seguridad del sistema de banca electrónica siguientes: dar por terminada la sesión en forma automática e informar al usuario cuando en el curso de una sesión del servicio de banca por Internet, la institución identifique cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso «rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros»; asimismo, las instituciones están facultadas para detectar y prevenir eventos apartados de los parámetros de «uso habitual» de los usuarios, como suspender la utilización del servicio de banca electrónica o, en su caso, de la operación que se pretenda realizar (lo que implica rechazarla), en el evento de que cuenten con elementos que hagan presumir que el identificador de usuario o los factores de autenticación no están siendo utilizados por el propio usuario; igualmente, que en las bitácoras generadas de su parte, las instituciones de crédito deberán registrar las direcciones de los protocolos de Internet o similares.
Con base en lo anterior, el hecho de que el protocolo o dirección de protocolo de Internet desde la cual se originó la operación cuya nulidad se pretende, corresponda a una área geográfica de otro país, cuando el domicilio principal del cliente registrado en el contrato bancario está ubicado en México, y el objeto de dicha operación haya sido la transferencia de miles de pesos, ante los ojos de cualquier observador racional, constituye una actividad inusual que amerita, por precaución básica, dar por terminada la sesión automáticamente y suspender la utilización del servicio de banca electrónica o rechazar la operación.
Así, el hecho de que la operación impugnada se haya originado desde esa dirección de protocolo de Internet inusual (de Israel, sea porque quien robó la identidad haya estado verdaderamente en ese país o haya utilizado un programa para disfrazar su ubicación real a través de ese protocolo), y aun así la institución de crédito haya autorizado la transferencia, revela que el banco omitió seguir los procedimientos establecidos normativamente para la fiabilidad de la operación y, por el contrario, ello demuestra la falta de seguridad de sus sistemas electrónicos, pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográfica de la dirección de protocolo de Internet de donde procedió la operación, no fue detectado por sus mecanismos de seguridad.
De ahí que ante la apuntada deficiencia en los filtros de seguridad de la institución de crédito en la prestación del servicio de banca electrónica, no puede considerarse que el cuentahabiente otorgó su consentimiento en la operación impugnada, a pesar de que se pudieran o no haber utilizado todos los datos de autenticación del cliente, como lo pueden ser nombres de usuarios, claves, claves dinámicas derivadas de tokens, o cualquier otro factor de autenticación, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños, que luego pueden usarse para autenticar transacciones fraudulentas.
El criterio jurisprudencial anterior, fue publicado el viernes cinco de agosto en el Semanario Judicial de la Federación y resulta obligatorio para el circuito relativo al Estado de Jalisco a partir del lunes siguiente; un gran reconocimiento que hace dicho tribunal en pos de la certidumbre jurídica de los cuentahabientes, que día a día pierden la esperanza de recuperar los fondos que personas ajenas sustraen con total impunidad.
