Por Enrique Pons Franco
En el transcurso de las últimas semanas te he presentado varias sentencias emitidas por tribunales federales con sede en diversos estados de la República, en las que se ha determinado la nulidad de transferencias electrónicas no reconocidas por los cuentahabientes.
En casi todas las sentencias, los jueces federales en materia de oralidad mercantil han aplicado criterios jurisprudenciales emitidos por la Suprema Corte de Justicia de la Nación (SCJN) en los que se determinó que ante los reclamos de nulidad de dichas transferencias, corresponde al banco demostrar que se siguieron los procedimientos establecidos para acreditar la fiabilidad de sus sistemas informáticos.
Así, en el 2021, un tribunal federal en Querétaro tomó como referencia lo determinado por la SCJN y determinó que si los bancos quieren presumir la veracidad de las operaciones realizadas mediante transferencias electrónicas —además de atender las “Disposiciones de carácter general aplicables a las operaciones de banca electrónica” emitidas por la Comisión Nacional Bancaria y de Valores (CNBV)— deben acreditar la fiabilidad del sistema soportado mediante un peritaje.
Un año después, en agosto de 2022, un tribunal federal en Jalisco añadió a la doctrina judicial que además de las obligaciones que te describí previamente, los bancos tenían que poner especial atención en sus sistemas informáticos para vigilar que las direcciones de protocolo de Internet (IP) desde las que se realizaban las transacciones no fueran inusuales. Por ejemplo, si habitualmente el usuario de la banca realiza operaciones desde Chiapas por determinadas cantidades al mes, y de pronto aparece que se están realizando transferencias desde Israel, el sistema de la institución bancaria debe al menos retener los fondos y verificar las operaciones.
En estos y otros casos no ha sido suficiente que los bancos respondan las demandas señalando que fueron los propios usuarios los que realizaron las operaciones a través de la utilización de sus claves de acceso o elementos de seguridad —código de cliente, token, número de identificación personal (NIP) y número de identificación personal de uso único (OTP)—, que no se presentaron irregularidades en el proceso de validación y que los propios usuarios estaban obligados a efectuar de manera inmediata el reporte correspondiente ante la institución bancaria.
Hoy te cuento de tres sentencias emitidas este año por un juez de oralidad mercantil en Oaxaca en contra de dos bancos españoles que operan en México. Lo relevante de estos casos es que pese a que los peritos en informática emiten sus dictámenes tomando en consideración: 1) el tipo de cuenta bancaria del demandante, el número que le fue asignado, así como sus propiedades y la forma en que se registró a través de la banca móvil; 2) las operaciones electrónicas no reconocidas y si estas quedaron registradas en las bases de datos de los sistemas electrónicos; 3) los elementos de autenticación de la operación de transferencia de recursos; 4) los mecanismos o medidas de seguridad con las que cuenta y los requisitos para la activación de los servicios digitales como claves, identificador de usuario, contraseña y clave de único uso que genera el dispositivo de seguridad (token); 5) la manera en que se llevó a cabo la transferencia electrónica; 6) el procedimiento que se sigue para la realización de una operación mediante banca móvil; 7) las condiciones de seguridad que son necesarias para la realización de operaciones electrónicas y 8) las recomendaciones de seguridad, consejos y advertencias de los riesgos que pueden correr los clientes respecto del uso de la aplicación, todo ello ha sido insuficiente para evidenciar la fiabilidad de la banca electrónica y del procedimiento para autorizar las transacciones.
Te puede interesar: Poder Judicial pone alto a bancos y call centers de cobranza: deberán cubrir daños morales
Como lo han advertido los jueces federales en este y otros casos, la prueba pericial no demuestra que el sistema dispuesto por la institución bancaria operó bajo los protocolos establecidos en las mencionadas “Disposiciones de carácter general aplicables a las operaciones de banca electrónica” emitidas por la CNBV, al momento en que se llevaron a cabo las transferencias de recursos de las cuentas de los quejosos y que, por tanto, el sistema en sí mismo no fue vulnerado por algún agente externo.
De las sentencias se puede apreciar que el dictamen presentado por el perito del banco es omiso en explicar la metodología que llevó a cabo para realizar su experticia, así como en aportar para el estudio de la pericial otros aspectos técnicos o profesionales relevantes a fin de demostrar la fiabilidad la plataforma empleada y del procedimiento de las transferencias controvertidas, especificando las medidas de seguridad y su funcionamiento con las que cuenta el sistema de banca electrónica de la institución financiera demandada, y cómo estas se acoplan a las disposiciones generales emitidas por la CNBV.
Lo que puedo concluir, después de haber leído una diversidad de sentencias sobre estos casos, es que los bancos en muy pocos casos han logrado presentar peritajes informáticos que acrediten que cumplen con la normatividad antes citada. No basta que las instituciones financieras argumenten que en el contrato de banca electrónica se estipula que la confidencialidad del código cliente y el dispositivo electrónico “token” están bajo resguardo del cliente y que la institución bancaria no puede hacerse responsable por las transacciones que se presentan por el uso indebido del código de cliente, así como del dispositivo electrónico.
En resumen, el éxito para el banco en un juicio de esta naturaleza depende de que cuente con peritos expertos en informática, pero sobre todo que logren acreditar que cumplen con todos y cada uno de los requisitos que impone la ley, para que a su vez el perito pueda determinar si en cada una de las operaciones realizadas vía electrónica se cumplieron todos los protocolos de seguridad. En conclusión, no la tienen fácil los bancos, porque todo parece indicar que algo falla.
Mientras tanto, te espero en Twitter como @enrique_pons, y si te interesa obtener copias de los criterios judiciales emitidos en Oaxaca, contáctame, con gusto te los comparto.
