Por Enrique Pons Franco
Todos sabemos que cuando un usuario de la banca electrónica sufre el apoderamiento de sus fondos por "hackers" que logran burlar los sistemas de seguridad de las aplicaciones móviles o de los portales de Internet bancarios, es muy difícil que se pueda recuperar el dinero, pues en casi todos los casos, los bancos se liberan de toda responsabilidad alegando que las transferencias se realizaron desde la "app" usando las claves, tokens o firmas electrónicas de la víctima.
De esta forma, aquí te conté hace un par de semanas, de un criterio emitido por el Poder Judicial de la Federación que anticipé, pondría en serios aprietos a los bancos cuando un usuario les reclamara la nulidad de una transferencia electrónica realizada desde una dirección de protocolo de Internet inusual y a pesar de ello, la institución bancaria hubiera autorizado la operación sin antes rechazarla o suspendido precautoriamente el servicio.
Te podría interesar: Tribunal da duro golpe a bancos por transferencias electrónicas no reconocidas
Bajo esa lógica todo indica que los tribunales federales han comenzado a darle la razón a los afectados y uno de los primeros en probar el amargo sabor de la derrota fue un conocido banco español, que se negó a responder ante un cuentahabiente por el reclamo del reembolso de diversas cantidades de dinero transferidas electrónicamente y que no fueron reconocidas por este.
Pero te cuento un poco más del caso. En el mes de junio del 2021 un cuentahabiente fue víctima del "hackeo" de su cuenta bancaria y producto de eso, se realizaron 13 transferencias electrónicas que, en su totalidad, sumaban poco más de dos millones de pesos. Ante ello, sin perder el tiempo, en el mismo mes, demandó a la institución bancaria el reembolso de dicha cantidad de dinero, así como el pago de intereses.
La demanda quedó radicada en un Juzgado de Distrito en Materia Mercantil Federal en el Estado de Tabasco. El afectado, en síntesis, argumentó que no otorgó su consentimiento para la realización de las operaciones bancarias, pues negó haberlas hecho, autorizado o instruido. Por otro lado, como suele pasar en estos casos, el banco respondió la demanda señalando que fue el propio usuario quien realizó las operaciones, a través de la utilización de sus claves de acceso o elementos de seguridad (código de cliente, token, número de identificación personal NIP y número de identificación personal de uso único OTP), las cuales son de uso exclusivo y responsabilidad del titular de la cuenta; que no se presentó alguna irregularidad en el proceso de validación de las mismas; y que el propio usuario estaba obligado a efectuar de manera inmediata el reporte correspondiente ante la institución bancaria.
Ante los argumentos de ambas partes en el juicio, el juez determinó que en los casos donde se reclaman operaciones electrónicas fraudulentas por parte de los usuarios, los bancos se encuentran obligados a probar que sus sistemas informáticos no fueron vulnerados por algún agente externo, así como que tomó las medidas de seguridad necesarias que garanticen que el método empleado para la generación de las firmas electrónicas generadas es fiable. Lo anterior, por la posición dominante de los bancos en la relación de consumo, por lo que están obligados a garantizar la seguridad en todas las operaciones que se lleven a cabo con motivo de los contratos celebrados con sus clientes, pues son ellos los que cuentan con dispositivos y mecanismos que facilitan la aportación de pruebas, al ser las encargadas de la implementación de las medidas de seguridad.
En el caso particular, derivado de peritajes informáticos, pero particularmente, de los registros de operaciones ofrecidos por el propio banco y obtenidos de su sistema informático, se presentaba que las operaciones se habían realizado desde una dirección IP en el estado de Puebla, pese a que posteriormente la propia entidad bancaria presentó una prueba pericial que determinaba que la dirección IP correspondía al estado de Tabasco. Vamos, que poco se ayudó la institución al ser ella misma la que puso de relieve la falla en su sistema.
También es bastante interesante que aunque el banco demandado argumentó que en el contrato de banca electrónica se estipula que la confidencialidad del código cliente y el dispositivo electrónico "Token" están bajo resguardo del cliente y que la institución bancaria no puede hacerse responsable por las transacciones que se presentan por el uso indebido del código de cliente así como del dispositivo electrónico, esto no es suficiente para relevar a la entidad bancaria de acreditar la seguridad de sus sistemas y sobre todo, del consentimiento del cuentahabiente para realizar operaciones de banca electrónica.
En este caso también es importante destacar, que, de la propia sentencia dictada por el juez, se determina que el peritaje informático estuvo colmado de vicios generados por el propio banco, tales como que al perito le fueron allegados por este en sus instalaciones, documentos que no obraban en el expediente. Además, que, durante el interrogatorio, ni el perito, ni el banco lograron acreditar cómo funciona su sistema de seguridad para la autorización masiva de alta de cuentas a terceros y de transferencias, en virtud que, en este caso, las operaciones bancarias impugnadas fueron realizadas prácticamente todas al mismo tiempo. Por todo ello, el banco fue condenado a pagarle al afectado las cantidades sustraídas\u2026 y además los intereses.
Por último, como lo he señalado en otras participaciones, en el 2021 entraron en vigor reformas legales que obligan a que los usuarios de la banca electrónica autoricen el rastro de las direcciones IP desde donde se utilizan dichos servicios. Lo anterior, bajo el argumento de prevenir operaciones con recursos de procedencia ilícita y el combate a la evasión fiscal por medio de empresas "factureras", sin embargo, eso también nos dio a los usuarios de la banca una valiosa herramienta para defendernos cuando se realicen operaciones inusuales, más, desde otras ubicaciones que no son las habituales para los clientes.
Sigue leyendo: El ministro número 12
En espera de ver cómo siguen generándose sentencias en estos casos, nos leemos la próxima semana. Mientras tanto, te espero en Twitter como @enrique_pons y si te interesa obtener una copia de la sentencia, escríbeme.