El criterio de nulidad de la Suprema Corte de Justicia de la Nación (SCJN) sobre transferencias electrónicas puede provocar problemas al sector financiero, y a los usuarios cuando se realicen desde sitios inusuales, señalaron especialistas al periódico Reforma.
La SCJN informó en un comunicado que al reclamarse la nulidad de transferencias electrónicas bancarias, corresponde al banco demostrar que se siguieron los procedimientos administrativos de ley para acreditar su fiabilidad. Así, cuando la entidad financiera acredite lo indicado, la carga de la prueba se revertirá al usuario para desvirtuar lo demostrado.
El 5 de agosto se publicó en el Semanario Judicial de la Federación una tesis aislada que dicta que cuando la dirección de protocolo de internet (IP) en las transferencias electrónicas bancarias tenga un lugar de origen inusual debe considerarse que el cliente no otorgó su consentimiento.
Un Tribunal Colegiado de Jalisco determinó que cuando se realicen transferencias electrónicas desde una dirección de Protocolo de Internet (IP) inusual a las que suelen utilizar los cuentahabientes, deben considerarse como no consentidas por los clientes, lo cual significa que no son válidas.
Así lo determinó por unanimidad de votos Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito al resolver el amparo indirecto 20/2021, con lo que se estableció una tesis aislada, lo que significa que su determinación tiene la intención de orientar a las y los juzgadores, así como a la población en la resolución de casos similares.
Este caso se dio en un juicio oral mercantil, donde un cuentahabiente demandó a una institución de crédito por la “nulidad de una transferencia electrónica bancaria”, caso en el que el juez responsable emitió una sentencia definitiva en la cual declaró la nulidad absoluta de la operación.
Esto al considerar que no existía certeza de que el cuentahabiente otorgó su consentimiento en la transacción, pues el lugar de origen de la dirección IP desde donde se realizó el movimiento bancario no era usual para el cliente, debido a que se realizó desde otro país.
Los precedentes del Poder Judicial de la Federación (PJF) han sustentado que en las controversias referentes a la validez de una transacción electrónica que tenga por objeto la transferencia de recursos a cuenta de terceros u otra institución financiera, corresponderá al banco acreditar que la operación se realizó de acuerdo a los protocolos exigidos por las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito, emitidas por la Comisión Nacional Bancaria y de Valores (CNBV).
En dicho cuerpo normativo se prevé, en primer lugar, la exigencia para las instituciones de implementar mecanismos que permitan la identificación del usuario y su autenticación para poder utilizar el servicio de banca electrónica a fin de prevenir el fraude e inhibir el robo de identidades.
Ahora bien, si una de las ventajas de la banca electrónica es poder realizar transacciones desde cualquier lugar, qué tan válido es llevar a cabo una transferencia desde un IP (protocolo de internet) diverso al domicilio del cuentahabiente, por corresponder a una ubicación geográfica de otro país y que el titular de la cuenta no utiliza habitualmente para realizar ese tipo de operaciones.
Lo anterior aconteció a un cuentahabiente que demandó en un juicio oral mercantil a la institución de crédito por la nulidad de cargos y operaciones bancarias no reconocidas originadas desde una IP inusual para el usuario (con ubicación geográfica en Israel) y aún así dicha institución autorizó la transferencia omitiendo el banco seguir los procedimientos para la fiabilidad de la operación.
Al respecto, tanto el órgano jurisdiccional de conocimiento como el de alzada declararon la nulidad absoluta de la operación, condenando a la institución al pago de la transferencia no reconocida por considerar que no existía certeza de que el cuentahabiente otorgara su consentimiento en la transacción, siendo tal sentencia el acto reclamado en el juicio de garantías.
En esa tesitura, el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito al resolver el amparo directo promovido por la institución financiera en contra de tal resolución, emitió el criterio jurídico: “Cuando la dirección de protocolo de internet tiene un lugar de origen inusual de operaciones y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aún cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria”.
Los argumentos esgrimidos por el Colegiado en que sustentó ese criterio son los siguientes:
El hecho de que la operación impugnada se haya originado desde una IP inusual y aún así se autorizó la transacción demuestra la falta de seguridad en los sistemas electrónicos de la institución, pues lo inusual de la ubicación geográfica no fue detectado por sus mecanismos de seguridad.
Los bancos deben proveer lo necesario para que una vez autenticado el usuario en el servicio de la banca electrónica, la sesión no pueda ser utilizada por un tercero para lo cual como mínimo las instituciones deben contar con los mecanismos siguientes:
Dar por terminada la sesión en forma automática e informar al usuario de cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso, ubicación geográfica entre otros.
Asimismo, las instituciones están facultadas para detectar y prevenir eventos apartados de los parámetros del “uso habitual de los usuarios”, como suspender la utilización del servicio de la banca, o en su caso de la operación que se pretenda realizar (lo que implica rechazarla).
En ese sentido, el hecho de que la banca electrónica permita realizar transacciones desde cualquier lugar no le quita la naturaleza inusual a la operación, y es que cuando se efectúa una transacción se genera una IP, la cual es una dirección única que identifica a un dispositivo en una red de tal forma que permite reconocer la terminal de acceso y ubicación geográfica.
Por tanto, ante una actividad inusual por parte del cuentahabiente que en el caso concreto refiere a realizar una transferencia bancaria a través de una IP diversa a la habitual que utiliza el titular de la cuenta, no basta con la acreditación de que se introdujeron las claves o contraseñas, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños que luego pueden usarse para autenticar transacciones fraudulentas.
Es así, que los bancos deben optar por las medidas de seguridad para evitar el robo de identidad y dar por terminada la sesión de forma automática, suspender el servicio o rechazar directamente la operación, ya que en caso de efectuarse esa transacción de acuerdo con el criterio aludido no es válida.