Jorge Álvarez Banderas
Un gran precedente determinó la semana pasada el Segundo Tribunal Colegiadoen Materia Civil del Tercer Circuito en beneficio de los cuentahabientes, enrelación a las transferencias electrónicas bancarias. cuando la dirección deprotocolo de internet (IP) tiene un lugar de origen inusual y a pesar de ello elbanco autoriza la operación sin antes suspender el servicio de banca electrónica orechazar la transacción precautoriamente; lo anterior para el órgano jurisdiccional,permite que debe considerarse que el cliente no otorgó su consentimiento, auncuando se hayan utilizado todos los factores de autenticación necesarios paraaprobarla.El antecedente deriva de un juicio oral mercantil, donde el cuentahabientedemandó a la institución de crédito por la nulidad de una transferencia electrónicabancaria; seguida la controversia en todas sus etapas, el Juez responsable emitiósentencia definitiva en la cual declaró la nulidad absoluta de la operación,principalmente, por considerar que no existía certeza de que el cuentahabienteotorgó su consentimiento en la transacción, pues el lugar de origen de la direcciónde protocolo de Internet desde donde se realizó no era usual para la actora, alcorresponder al área geográfica de otro país.El Tribunal Colegiado de Circuito determina que cuando la dirección deprotocolo de Internet (IP) tiene un lugar de origen inusual de operaciones delcuentahabiente y a pesar de ello el banco la autoriza sin suspender el servicio debanca electrónica o rechazar la transacción precautoriamente, debe considerarseque el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todoslos factores de autenticación necesarios para aprobar la transferencia electrónicabancaria.La legislación aplicable considera que, los bancos deberán proveer lonecesario para que una vez autenticado el usuario en el servicio de bancaelectrónica de que se trate, la sesión no pueda ser utilizada por un tercero y que,para efectos de lo anterior, las instituciones deberán establecer, al menos, los mecanismos de seguridad del sistema de banca electrónica siguientes: dar por terminada la sesión en forma automática e informar al usuario cuando en el cursode una sesión del servicio de banca por Internet, la institución identifique cambiosrelevantes en los parámetros de comunicación del medio electrónico, tales comola identificación del dispositivo de acceso “rango de direcciones de los protocolosde comunicación, ubicación geográfica, entre otros”; asimismo, las institucionesestán facultadas para detectar y prevenir eventos apartados de los parámetros de”uso habitual” de los usuarios, como suspender la utilización del servicio de bancaelectrónica o, en su caso, de la operación que se pretenda realizar (lo que implicarechazarla), en el evento de que cuenten con elementos que hagan presumir queel identificador de usuario o los factores de autenticación no están siendoutilizados por el propio usuario; igualmente, que en las bitácoras generadas de suparte, las instituciones de crédito deberán registrar las direcciones de losprotocolos de Internet o similares.Con base en lo anterior, el hecho de que el protocolo o dirección deprotocolo de Internet desde la cual se originó la operación cuya nulidad sepretende, corresponda a una área geográfica de otro país, cuando el domicilioprincipal del cliente registrado en el contrato bancario está ubicado en México, y elobjeto de dicha operación haya sido la transferencia de miles de pesos, ante losojos de cualquier observador racional, constituye una actividad inusual queamerita, por precaución básica, dar por terminada la sesión automáticamente ysuspender la utilización del servicio de banca electrónica o rechazar la operación.Así, el hecho de que la operación impugnada se haya originado desde esadirección de protocolo de Internet inusual (de Israel, sea porque quien robó laidentidad haya estado verdaderamente en ese país o haya utilizado un programapara disfrazar su ubicación real a través de ese protocolo), y aun así la instituciónde crédito haya autorizado la transferencia, revela que el banco omitió seguir losprocedimientos establecidos normativamente para la fiabilidad de la operación y,por el contrario, ello demuestra la falta de seguridad de sus sistemas electrónicos,pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográficade la dirección de protocolo de Internet de donde procedió la operación, no fue detectada por sus mecanismos de seguridad.
De ahí que ante la apuntada deficiencia en los filtros de seguridad de lainstitución de crédito en la prestación del servicio de banca electrónica, no puedeconsiderarse que el cuentahabiente otorgó su consentimiento en la operaciónimpugnada, a pesar de que se pudieran o no haber utilizado todos los datos deautenticación del cliente, como lo pueden ser nombres de usuarios, claves, clavesdinámicas derivadas de tokens, o cualquier otro factor de autenticación, pues essabido que los grupos delictivos obtienen los datos confidenciales de los clientes através de engaños, que luego pueden usarse para autenticar transaccionesfraudulentas.El criterio jurisprudencial anterior, fue publicado el viernes cinco de agostoen el Semanario Judicial de la Federación y resulta obligatorio para el circuitorealtivo al Estado de Jalisco a partir del lunes siguiente; un gran reconocimientoque hace dicho tribunal en pos de la certidumbre jurídica de los cuentahabientes,que día a día pierden la esperanza de recuperar los fondos que personas ajenas sustraen con total impunidad. @lvarezbanderas
Deja un comentario