Por Enrique Pons Franco
En las últimas semanas te he venido contando de recientes criterios y sentencias emitidas por tribunales en varios estados de México, en las que se ha determinado la nulidad de transferencias electrónicas no reconocidas por los cuentahabientes. El marcador —cual si fuera un partido de fútbol— dio la vuelta a favor de los usuarios en mayo de 2021, cuando la Primera Sala de la Suprema Corte de Justicia de la Nación (SCJN) emitió una jurisprudencia que determinó que, ante los reclamos de nulidad de dichas transferencias, corresponde al banco demostrar ante los jueces que se siguieron los procedimientos establecidos para acreditar la fiabilidad de sus sistemas informáticos. Eso fue solamente el principio.
En agosto de ese mismo año, un tribunal federal en Querétaro tomó como referencia lo determinado por la SCJN meses atrás y determinó que si los bancos quieren presumir la veracidad de las operaciones realizadas mediante transferencias electrónicas, además de atender las disposiciones de carácter general aplicables a las operaciones de banca electrónica, debían también acreditar la fiabilidad del sistema soportado mediante un peritaje.
Entérate: Juez vuelve a responsabilizar a bancos por transferencias electrónicas no reconocidas
Un año después, en agosto del 2022, otro tribunal federal en Jalisco añadió a la doctrina judicial, además de las obligaciones que te describí previamente, que los bancos tenían que poner especial atención en sus sistemas informáticos para vigilar que las direcciones de Protocolo de Internet (IP, por sus siglas en inglés) desde las que se realizaban las transacciones no fuera inusuales. Por ejemplo, si habitualmente el usuario de la banca realiza operaciones desde Tabasco por determinadas cantidades al mes, y de pronto aparece un día que se están realizando transferencias desde Turquía, el sistema de la institución bancaria debe al menos retener los fondos y verificar las operaciones.
Después de esos tres criterios judiciales, durante el mes de septiembre del 2022 casi todas las sentencias que han emitido los juzgados federales en materia mercantil en distintos estados de México han sido condenando a los bancos a restituir los fondos transferidos indebidamente de las cuentas de los usuarios y, además, a pagar los respectivos intereses.
Para beneficio de los afectados, no ha sido suficiente que los bancos respondan casi todas las demandas señalando que fueron los propios usuarios los que realizan las operaciones a través de la utilización de sus claves de acceso o elementos de seguridad (código de cliente, token, número de identificación personal NIP y número de identificación personal de uso único OTP), que no se presentaron irregularidades en el proceso de validación, y que los propios usuarios estaban obligado a efectuar de manera inmediata el reporte correspondiente ante la institución bancaria.
Pero además hay un patrón que es consistente en la mayoría de las sentencias que he leído sobre dichos casos: los bancos, en muy pocos casos, han logrado presentar peritajes informáticos que acrediten que cumplen con la normatividad emitida por la Comisión Nacional Bancaria y de Valores (CNBV), lo cual deriva en que los jueces no le otorguen el valor probatorio esperado.
Te puede interesar: El ministro número 12
¿Pero cómo es esto? Te lo explico de forma breve. En primer lugar existe algo denominado “Disposiciones de Carácter General, aplicables a las Instituciones de Crédito, emitidas por la Comisión Nacional Bancaria y de Valores”, dentro de las cuales, para las operaciones de banca electrónica exigen lo siguiente: a) introducción de mecanismos complejos de autenticación del usuario divididas en cuatro categorías; b) establecimiento de operaciones con las cantidades dinerarias máximas que pueden llevarse a cabo bajo determinado medio de autenticación; c) la necesidad de registrar previamente las cuentas de destino, así como el periodo mínimo que debe transcurrir antes de poder realizar la transferencia, según sea el caso; y, d) la obligación de generar comprobantes y notificar al usuario de las transacciones.
En segundo lugar, la normatividad también obliga a acreditar que los procedimientos de identificación que fueron utilizados durante la transacción y que fueron acordados con el usuario se emitieron correctamente, además de la fiabilidad del procedimiento que se utilizó para autorizar la transacción.
De esta forma, en las más de treinta sentencias que se han emitido en las últimas semanas en estos casos, los bancos contestan las demandas —casi por formato— argumentando que en el contrato de banca electrónica se estipula que la confidencialidad del código cliente y el dispositivo electrónico “Token” están bajo resguardo del cliente y que la institución bancaria no puede hacerse responsable por las transacciones que se presentan por el uso indebido del código de cliente, así como del dispositivo electrónico.
Sin embargo, en contados casos las entidades bancarias han logrado ofrecer peritajes que permitan acreditar la seguridad y fiabilidad de sus sistemas y sobre todo, del consentimiento del cuentahabiente para realizar operaciones de banca electrónica atendiendo a la normativa aplicable. En resumen, el éxito en un juicio de esta naturaleza depende —si es que el banco quiere ganar— que cuente con peritos expertos en informática, pero, sobre todo, que los contratos que celebran las instituciones financieras determinen de mejor forma que cumplen con todos y cada uno de los requisitos que impone la ley, para que a su vez el perito pueda determinar si en cada una de las operaciones realizadas vía electrónica se cumplieron todos los protocolos de seguridad. En conclusión, no la tienen fácil los bancos, porque todo parece indicar que algo falla.
Mientras tanto, te espero en Twitter como @enrique_pons y si te interesa obtener copias de los criterios judiciales, escríbeme, con gusto te los comparto.
