En mayo de 2021 la Primera Sala de la Suprema Corte de Justicia (la “SCJN”) al resolver la Contradicción de Tesis 206/2020, señaló que las operaciones electrónicas que se realicen por medio de los sistemas provistos por las instituciones bancarias no pueden llegar a denominarse infalibles y, por tanto, no puede mantenerse una presunción absoluta respecto a su debido funcionamiento o fiabilidad. Esto implica que la SCJN ha considerado que los sistemas electrónicos de transferencias generados por los bancos tienen cierto grado de riesgo, los cuales deben de ser evaluados según el caso concreto, y el punto donde se alega la brecha de inseguridad.
En la sentencia la SCJN refirió a modo de ejemplo que en 2018, el Banco de México reportó que piratas informáticos robaron alrededor de trescientos millones de pesos al crear órdenes fantasmas para transferir fondos a cuentas falsas para luego retirarlos. Lo anterior ocurrió mediante un ciberataque al software aplicativo usado por algunos bancos para conectarse al SPEI, lo que afectó las transferencias electrónicas, confirmándose la realización de operaciones no autorizadas. Con lo anterior, el propio Banco de México ha aceptado la vulneración de sus sistemas de seguridad, lo cual pone en evidencia los riesgos a la seguridad de los usuarios bancarios.
De igual forma la SCJN resolvió que no es suficiente que se acredite que el usuario se identificó mediante los mecanismos utilizados por el banco como claves o contraseñas, sino que además el banco debe acreditar que se encuentra en cumplimiento de las Disposiciones de carácter general aplicables a las Instituciones de Crédito emitidas por la Comisión Nacional Bancaria y de Valores (las “Disposiciones Generales). Lo contrario sería una carga procesal desmedida al ser el usuario bancario quien acredite el incumplimiento de la institución de crédito respecto de dichas disposiciones.
Ahora bien, el pasado 5 de agosto de 2022 fue publicado un criterio judicial por parte del Segundo Tribunal Colegiado en Materia Civil en el Estado de Jalisco, a través del cual resolvió la nulidad de una transferencia bancaria que no fue reconocida por el usuario. Dicha nulidad se fundó en el incumplimiento del banco a las Disposiciones Generales, toda vez que la operación electrónica fue ordenada utilizando una dirección IP de Israel, sin que los sistemas de seguridad del banco hayan calificado dicha operación como inusual.
El Tribunal Colegiado sostiene que la omisión del banco respecto de identificar y calificar la operación como inusual atendiendo al lugar en el que se realizó es transcendente para resolver la falta de fiabilidad del sistema electrónico bancario, pues se trata de una operación inusual ante los ojos de cualquier observador racional, lo que pone en duda que efectivamente haya sido el titular de la cuenta quien realizó o autorizó la operación.
El Segundo Tribunal Colegiado de Circuito en Materia Civil en el Estado de Jalisco, resuelve que la dirección IP de Israel acredita la deficiencia de los mecanismos de seguridad del sistema de banca electrónica, por incumplimiento al artículo 312 Bis 2 de las Disposiciones Generales, mismo que establece ciertas obligaciones para las instituciones de crédito, tales como identificación del dispositivo de acceso, “rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros”, incluyendo la detección de los parámetros de “uso habitual” de los usuarios.
Por lo cual, a criterio del señalado Tribunal Colegiado el haberse realizado una operación con una dirección IP de Israel constituye una actividad inusual que ameritaba, por precaución básica, dar por terminada la sesión de forma automática y suspender la utilización del servicio de banca electrónica o rechazar la operación.
De lo anteriormente resuelto se derivó la Tesis Aislada bajo el rubro “TRANSFERENCIAS ELECTRÓNICAS BANCARIAS. Cuando la dirección de protocolo de internet (IP) tiene un lugar de origen inusual y a pesar de ello el banco autoriza la operación sin antes suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobarla”, la cual puede ser consultada pulsando aquí.
Derivado de lo anterior, si bien la finalidad es proteger al usuario, esto puede generar que los bancos en aras del cumplimiento de las Disposiciones Generales requieran avisos de viajes, ya sea dentro del país o al extranjero, como hasta hace unos años ocurría con las tarjetas de débito y crédito, o algún otro requisito como lo fue el autorizar la geolocalización del dispositivo móvil utilizado, lo cual puede causar molestias para los usuarios y la transgresión de ciertos derechos fundamentales.
Adicionalmente, debe de señalarse que el criterio judicial antes descrito no autoriza de ninguna forma a los usuarios a reclamar la nulidad de cualquier operación bancaria, sino que tendrá que analizarse el caso concreto para la identificación de la brecha en la seguridad o una falta de fiabilidad del sistema electrónico y las Disposiciones Generales para en su caso poder reclamar judicialmente el pago de la cantidad que fue dispuesta a través de la operación no reconocida.