Hechos: En un juicio oral mercantil el cuentahabiente demandó a la institución de crédito por la nulidad de una transferencia electrónica bancaria; seguida la controversia en todas sus etapas, el Juez responsable emitió sentencia definitiva en la cual declaró la nulidad absoluta de la operación, principalmente, por considerar que no existía certeza de que el cuentahabiente otorgó su consentimiento en la transacción, pues el lugar de origen de la dirección de protocolo de Internet desde donde se realizó no era usual para la actora, al corresponder al área geográfica de otro país.

Criterio jurídico: Este Tribunal Colegiado de Circuito determina que cuando la dirección de protocolo de Internet (IP) tiene un lugar de origen inusual de operaciones del cuentahabiente y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria.

Justificación: Lo anterior, porque de los artículos 316 Bis 2, fracción I, inciso b), 316 Bis 13 y 316 Bis 15, fracción I, inciso d), de las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito emitidas por la Comisión Nacional Bancaria y de Valores, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y modificadas mediante resolución publicada en el mismo medio de difusión el 27 de enero de 2010, se advierte que los bancos deberán proveer lo necesario para que una vez autenticado el usuario en el servicio de banca electrónica de que se trate, la sesión no pueda ser utilizada por un tercero y que, para efectos de lo anterior, las instituciones deberán establecer, al menos, los mecanismos de seguridad del sistema de banca electrónica siguientes: dar por terminada la sesión en forma automática e informar al usuario cuando en el curso de una sesión del servicio de banca por Internet, la institución identifique cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso «rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros»; asimismo, las instituciones están facultadas para detectar y prevenir eventos apartados de los parámetros de «uso habitual» de los usuarios, como suspender la utilización del servicio de banca electrónica o, en su caso, de la operación que se pretenda realizar (lo que implica rechazarla), en el evento de que cuenten con elementos que hagan presumir que el identificador de usuario o los factores de autenticación no están siendo utilizados por el propio usuario; igualmente, que en las bitácoras generadas de su parte, las instituciones de crédito deberán registrar las direcciones de los protocolos de Internet o similares. Con base en lo anterior, el hecho de que el protocolo o dirección de protocolo de Internet desde la cual se originó la operación cuya nulidad se pretende, corresponda a una área geográfica de otro país, cuando el domicilio principal del cliente registrado en el contrato bancario está ubicado en México, y el objeto de dicha operación haya sido la transferencia de miles de pesos, ante los ojos de cualquier observador racional, constituye una actividad inusual que amerita, por precaución básica, dar por terminada la sesión automáticamente y suspender la utilización del servicio de banca electrónica o rechazar la operación, con base en la interpretación armónica y aplicación de los preceptos 316 Bis 2, fracción I, inciso b) y 316 Bis 13 citados. Así, el hecho de que la operación impugnada se haya originado desde esa dirección de protocolo de Internet inusual (de Israel, sea porque quien robó la identidad haya estado verdaderamente en ese país o haya utilizado un programa para disfrazar su ubicación real a través de ese protocolo), y aun así la institución de crédito haya autorizado la transferencia, revela que el banco omitió seguir los procedimientos establecidos normativamente para la fiabilidad de la operación y, por el contrario, ello demuestra la falta de seguridad de sus sistemas electrónicos, pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográfica de la dirección de protocolo de Internet de donde procedió la operación, no fue detectado por sus mecanismos de seguridad. De ahí que ante la apuntada deficiencia en los filtros de seguridad de la institución de crédito en la prestación del servicio de banca electrónica, no puede considerarse que el cuentahabiente otorgó su consentimiento en la operación impugnada, a pesar de que se pudieran o no haber utilizado todos los datos de autenticación del cliente, como lo pueden ser nombres de usuarios, claves, claves dinámicas derivadas de tokens, o cualquier otro factor de autenticación, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños, que luego pueden usarse para autenticar transacciones fraudulentas.

SEGUNDO TRIBUNAL COLEGIADO EN MATERIA CIVIL DEL TERCER CIRCUITO.