Análisis Jurisprudencial

Nulidad de transferencias bancarias por IP inusual

Los precedentes del Poder Judicial de la Federación (PJF) han sustentado que en las controversias referentes a la validez de una transacción electrónica que tenga por objeto la transferencia de recursos a cuenta de terceros u otra institución financiera, corresponderá al banco acreditar que la operación se realizó de acuerdo a los protocolos exigidos por las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito, emitidas por la Comisión Nacional Bancaria y de Valores (CNBV).

En dicho cuerpo normativo se prevé, en primer lugar, la exigencia para las instituciones de implementar mecanismos que permitan la identificación del usuario y su autenticación para poder utilizar el servicio de banca electrónica a fin de prevenir el fraude e inhibir el robo de identidades.

Ahora bien, si una de las ventajas de la banca electrónica es poder realizar transacciones desde cualquier lugar, qué tan válido es llevar a cabo una transferencia desde un IP (protocolo de internet) diverso al domicilio del cuentahabiente, por corresponder a una ubicación geográfica de otro país y que el titular de la cuenta no utiliza habitualmente para realizar ese tipo de operaciones.

Lo anterior aconteció a un cuentahabiente que demandó en un juicio oral mercantil a la institución de crédito por la nulidad de cargos y operaciones bancarias no reconocidas originadas desde una IP inusual para el usuario (con ubicación geográfica en Israel) y aún así dicha institución autorizó la transferencia omitiendo el banco seguir los procedimientos para la fiabilidad de la operación.

Al respecto, tanto el órgano jurisdiccional de conocimiento como el de alzada declararon la nulidad absoluta de la operación, condenando a la institución al pago de la transferencia no reconocida por considerar que no existía certeza de que el cuentahabiente otorgara su consentimiento en la transacción, siendo tal sentencia el acto reclamado en el juicio de garantías.

En esa tesitura, el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito al resolver el amparo directo promovido por la institución financiera en contra de tal resolución, emitió el criterio jurídico: Cuando la dirección de protocolo de internet tiene un lugar de origen inusual de operaciones y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aún cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria”.

Los argumentos esgrimidos por el Colegiado en que sustentó ese criterio son los siguientes:

  • El hecho de que la operación impugnada se haya originado desde una IP inusual y aún así se autorizó la transacción demuestra la falta de seguridad en los sistemas electrónicos de la institución, pues lo inusual de la ubicación geográfica no fue detectado por sus mecanismos de seguridad.
  • Los bancos deben proveer lo necesario para que una vez autenticado el usuario en el servicio de la banca electrónica, la sesión no pueda ser utilizada por un tercero para lo cual como mínimo las instituciones deben contar con los mecanismos siguientes:

Dar por terminada la sesión en forma automática e informar al usuario de cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso, ubicación geográfica entre otros.

Asimismo, las instituciones están facultadas para detectar y prevenir eventos apartados de los parámetros del “uso habitual de los usuarios”, como suspender la utilización del servicio de la banca, o en su caso de la operación que se pretenda realizar (lo que implica rechazarla).

En ese sentido, el hecho de que la banca electrónica permita realizar transacciones desde cualquier lugar no le quita la naturaleza inusual a la operación, y es que cuando se efectúa una transacción se genera una IP, la cual es una dirección única que identifica a un dispositivo en una red de tal forma que permite reconocer la terminal de acceso y ubicación geográfica.

Por tanto, ante una actividad inusual por parte del cuentahabiente que en el caso concreto refiere a realizar una transferencia bancaria  a través de una IP diversa a la habitual que utiliza el titular de la cuenta, no basta con la acreditación de que se introdujeron las claves o contraseñas, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños que luego pueden usarse para autenticar transacciones fraudulentas.

Es así, que los bancos deben optar por las medidas de seguridad para evitar el robo de identidad  y dar por terminada la sesión de forma automática, suspender el servicio o rechazar directamente la operación, ya que en caso de efectuarse esa transacción de acuerdo con el criterio aludido no es válida.

Si desea conocer este y otros criterios emitidos por el Máximo Tribunal puede consultarlos desde la plataforma Checkpoint.

Valora este contenido

¡Lamentamos que este contenido no te haya sido útil!

¿Cómo podemos mejorarlo?

Teresa Ganado
Legal Editor en Thomson Reuters México | + posts