Por Enrique Pons Franco
Todos hemos escuchado de casos en los cuales usuarios de la banca electrónica de las instituciones han sufrido el apoderamiento de sus fondos, cuando “hackers” logran burlar los sistemas de seguridad de las aplicaciones móviles o de los portales de Internet de los bancos. Ante ello, también sabemos que los bancos en la mayoría de los casos se liberan de toda responsabilidad; que es muy difícil que las autoridades logren dar con los responsables del robo del dinero de los ahorradores y que, al final, las víctimas de esos hechos terminan sin que nadie les haya hecho justicia… hasta ahora.
El pasado viernes 5 de agosto, el Poder Judicial de la Federación publicó un criterio que pondrá en serios aprietos a los bancos cuando un usuario les reclame la nulidad de una transferencia electrónica realizada desde una dirección de protocolo de Internet inusual y a pesar de ello, la institución bancaria haya autorizado la operación sin antes rechazarla o suspendido precautoriamente el servicio.
Lee aquí: Tu equipaje, las vacaciones y el juego de las aerolíneas
Todo comenzó cuando un cuentahabiente promovió en el año de 2018 un juicio ordinario mercantil en un juzgado local del estado de Jalisco en contra de una institución bancaria, reclamándole la nulidad de cargos y operaciones bancarias no reconocidas realizadas en el año de 2016. Años antes de presentar la acción judicial, el afectado había iniciado una acción ante la CONDUSEF. Así, la demanda se fundó en el argumento que el banco falló en su obligación de brindar seguridad a las operaciones de banca realizadas de manera electrónica, pues terceros -sin el consentimiento del titular- dispusieron de los fondos que se encontraban en la cuenta bancaria. Además, se reclamó el pago de una indemnización, de intereses moratorios, así como de los daños y perjuicios ocasionados al afectado.
En el año de 2019, el juzgado local le dio la razón al afectado, ante lo cual, la institución bancaria promovió un juicio de amparo en el que logró revocar la primera sentencia y se ordenó analizar nuevamente los dictámenes periciales ofrecidos por el banco, sobre la base de que en ellos se realizaron señalamientos en relación a las medidas de seguridad que tenía el portal de internet y que apartir de ello, se determinará lo que procediera sobre la fiabilidad y seguridad o no de la plataforma donde se realizó la operación bancaria. No obstante, en la nueva sentencia que se dictó en octubre del 2020, el juez volvió a analizar los peritajes y determinó la nulidad de las transferencias bancarias. Ese mismo año, el banco recurrió la sentencia.
Pero volvamos al origen. El afectado señaló que, en el mes de mayo de 2016, se percató que una persona se había dado de alta en la banca electrónica correspondiente a su cuenta bancaria y que se había realizado una transferencia casi de forma inmediata. Ante ello, y al ver que no todos los fondos habían sido transferidos, el titular de la cuenta retiró el saldo restante y a reportar al banco la situación.
Puedes leer: El poliamor ante el derecho, ¿felices los cuatro?
Como suele pasar en estos casos, el banco emitió una carta de rechazo, bajo el argumento de que la operación se realizó con la firma digital del afectado, sin mencionar, entre otras cosas, desde que IP (la ubicación geográfica del equipo) fue realizada dicha transferencia, siendo que esta se había realizado desde Israel y el usuario logró acreditar que se encontraban en México.
El banco se defendió bajo todos los argumentos posibles, obviamente dijo que el usuario había consentido la operación pues se utilizó su firma electrónica, así como los códigos proporcionados en el dispositivo “Netkey” y que por lo tanto, no debía restituir los fondos al afectado.
Lo interesante aquí es que el banco no pudo demostrar que la operación bancaria impugnada haya sido fiable y segura como para considerar que el usuario expresó su verdadero consentimiento (más allá́ de haberse utilizado sus claves), particularmente, porque quedó demostrado que el IP desde donde se autorizó́ la transacción corresponde a la ubicación geográfica de Israel, lo cual era algo inusual y, por seguridad, debió́ de optar por las medidas necesarias para evitar el robo de la identidad. También es por demás relevante mencionar que los peritajes de expertos en informática coincidieron al señalar que ningún sistema informático es 100% fiable y que aparte el banco no tomó todas las medidas de seguridad necesarias para evitar ese tipo de acciones.
De ahí que, ante la deficiencia en los filtros de seguridad de la institución bancaria en la prestación del servicio de banca electrónica, no pudo considerarse que el cuentahabiente otorgó su consentimiento en la operación, a pesar de que se pudieran o no haber utilizado todos los datos de autenticación del cliente, como lo pueden ser nombres de usuarios, claves, claves dinámicas derivadas de tokens, o cualquier otro factor de autenticación.
También lee: Tus datos. El oro del siglo XXI
Para concluir, debo decirte que, si bien este asunto comenzó en el 2016, la situación se tornará más complicada en este tipo de reclamaciones para los bancos, pues en el 2021 entraron en vigor reformas legales que obligan a que los usuarios de la banca electrónica autoricen el rastro de las direcciones IP desde donde se utilizan dichos servicios. Lo anterior, bajo el argumento de prevenir operaciones con recursos de procedencia ilícita y el combate a la evasión fiscal por medio de empresas “factureras”, sin embargo, ello también nos dio a los usuarios de la banca una valiosa herramienta para defendernos cuando se realicen operaciones inusuales, más, desde otras ubicaciones que no son las habituales para los clientes.
En espera de ver cómo reaccionarán los bancos ante esta resolución judicial, nos leemos la próxima semana. Mientras tanto, te espero en Twitter como @enrique_pons y si te interesa obtener una copia de la sentencia, escríbeme.
