Análisis Jurisprudencial

Operaciones realizadas por hackeos en banca móvil, ¿es posible solicitar su nulidad?

En la actualidad, las aplicaciones de banca móvil se han convertido en la herramienta perfecta para llevar a cabo transacciones sin la necesidad de salir de casa o en días inhábiles para el sector financiero.

Sin embargo, con ellas ha llegado el phishing, el cual es una técnica de ciberdelincuencia mediante la cual, a través del engaño, se manipula a la víctima para que revele información personal confidencial, ya sea de forma verbal, a través de acciones específicas o por la descarga de software malicioso que le permita al atacante acceder a los equipos electrónicos.

El modus operandi consiste en  una persona que se hace pasar por personal bancario, el cual contacta a un cuentahabiente y a través de engaños, le solicita información confidencial para acceder a sus cuentas o le requiere la descarga de una aplicación o software en sus equipos electrónicos para controlarlos de manera remota, comúnmente conocido como hackeo y se procede al retiro de fondos de la cuenta; cuando la víctima se percata del engaño ya es muy tarde, por lo que tiene que llamar a su institución bancaria para reportar el robo y solicitar la nulidad de los cargos realizados.

Esta acción se ha convertido en un dolor de cabeza para los cuentahabientes, ya que al reportar el robo al banco y realizar la narración de los hechos, si se menciona que fueron ellos mismos quienes a través de engaños proporcionaron la información de sus claves de acceso, solo reciben por respuesta la improcedencia de la nulidad bajo el argumento de que sí fueron realizadas por el cliente a través de un tercero (ciberdelincuente) al que le compartió información confidencial que no debía.

Pero ¿de verdad ya no hay forma de solicitar la nulidad de dichos cargos, solo por el hecho de que la víctima haya confesado expresamente que compartió información confidencial con un tercero?

Sobre este tema, el pasado 5 de enero se publicó en el Semanario Judicial de la Federación la tesis aislada número III.2o.C.28 C (11a.), con el rubro “ACCIÓN DE NULIDAD DE CARGOS POR OPERACIONES REALIZADAS VÍA ELECTRÓNICA POR MEDIO DE LA BANCA MÓVIL EN EL JUICIO ORAL MERCANTIL. LA CONFESIÓN JUDICIAL EXPRESA REALIZADA POR LA ACTORA EN EL ESCRITO DE DEMANDA Y PERFECCIONADA MEDIANTE SU RATIFICACIÓN, EN EL SENTIDO DE HABER PROPORCIONADO DATOS PERSONALES DE CARÁCTER CONFIDENCIAL A UN TERCERO, NO EXIME A LA INSTITUCIÓN BANCARIA DE OBSERVAR EL PROTOCOLO DE SEGURIDAD PARA LAS TRANSACCIONES EN LÍNEA.”, emitida por el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito al resolver el amparo directo 207/2022.

En dicha tesis, el Colegiado estimó que el hecho de que un cuentahabiente confiese expresamente haber proporcionado datos personales de carácter confidencial a un tercero en su escrito de demanda, al ejercitar la acción de nulidad de cargos realizados a través de la banca electrónica en un juicio oral mercantil −aun y cuando dicha confesión se haya perfeccionado con la ratificación de su escrito inicial−, no es motivo para eximir a la institución bancaria de observar el protocolo de seguridad para las transacciones en línea.

Para explicar lo anterior, es importante señalar que el tribunal realizó un análisis de la tesis jurisprudencial 1a./J. 16/2019 (10a.) emitida por la Primera Sala de la Suprema Corte de Justicia de la Nación bajo el rubro “NULIDAD DE PAGARÉ (VOUCHER). CARGA DE LA PRUEBA DE LAS OPERACIONES EFECTUADAS MEDIANTE EL USO DE TARJETA BANCARIA AUTORIZADAS A TRAVÉS DE LA DIGITACIÓN DEL NÚMERO DE IDENTIFICACIÓN PERSONAL (NIP) EN DISPOSITIVOS DENOMINADOS ‘TERMINAL PUNTO DE VENTA’.”.

Dicha tesis establece que en las operaciones efectuadas mediante el uso del número de identificación personal (NIP), la carga de la prueba no puede operar de forma ordinaria (es decir, el que señala está obligado a probar), ya que son las instituciones bancarias las que tienen una posición dominante en relación con el cuentahabiente, pues disponen de dispositivos y mecanismos que facilitan la aportación de pruebas y, por tanto, están obligadas a garantizar la seguridad de todas las operaciones que se realicen.

Aplicando por analogía la anterior jurisprudencia, en concordancia con lo señalado en el artículo 310 de las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (DCGIC), el cual versa sobre los factores de autenticación al realizar operaciones a través del servicio de banca electrónica, las instituciones tienen la obligación de acreditar fehacientemente los procedimientos de identificación utilizados durante la transacción y que estos cumplan con los requisitos previstos para la verificación de la fiabilidad de las firmas electrónicas.

El permitir que la carga de la prueba quede a costa del cliente solo por el hecho de confesar que, a través de engaños, compartió datos personales confidenciales con un tercero, eximiría de una obligación fundamental a la institución financiera, dejando una relación asimétrica entre las partes, ya que como se mencionó previamente, el banco es la parte fuerte al contar con toda la capacidad tecnológica para acceder a medios probatorios.

Por tanto, al intentar la acción de nulidad de cargos por operaciones realizadas vía electrónica, la carga de la prueba estará del lado de la institución bancaria, siendo esta la que debe demostrar que se siguieron todos los protocolos de seguridad establecidos en las DCGIC y, hasta en tanto no demuestre que estos se cumplieron, el usuario tiene la posibilidad de ganar el procedimiento, por lo que esta tesis representa un oasis para todos aquellos cuentahabientes que se han visto en esta situación, al contar con una oportunidad más para recuperar sus recursos.

Fuente: Checkpoint México

Valora este contenido

¡Lamentamos que este contenido no te haya sido útil!

¿Cómo podemos mejorarlo?

Francisco Jiménez
Legal Editor en Thomson Reuters México | + posts