Así le puedes demostrar al banco una transferencia no reconocida

En el 2022 te presenté varias sentencias emitidas por tribunales federales con sede en diversos estados de la República, en las que se determinó la nulidad de transferencias electrónicas no reconocidas por los cuentahabientes.

En casi todas las sentencias, los jueces federales en materia de oralidad mercantil aplicaron criterios jurisprudenciales emitidos por la Suprema Corte de Justicia de la Nación, en lo que se determinó que ante los reclamos de nulidad de dichas transferencias, corresponde al banco demostrar que se siguieron los procedimientos establecidos para acreditar la fiabilidad de sus sistemas informáticos.

Por ejemplo, en el 2021, un tribunal federal en Querétaro tomó como referencia lo determinado por la SCJN y determinó que, si los bancos quieren presumir la veracidad de las operaciones realizadas mediante transferencias electrónicas, además de atender las “disposiciones de carácter general aplicables a las operaciones de banca electrónica” emitidas por la Comisión Nacional Bancaria y de Valores (CNBV), deben también acreditar la fiabilidad del sistema soportado mediante un peritaje.

El año pasado, en agosto del 2022, otro tribunal federal en Jalisco añadió a la doctrina judicial, que además de las obligaciones que te describí previamente, los bancos tenían que poner especial atención en sus sistemas informáticos para vigilar que las direcciones de protocolo de internet (IP) desde las que se realizaban las transacciones no fueran inusuales. Por ejemplo, si habitualmente el usuario de la banca realiza operaciones desde Chiapas por determinadas cantidades al mes y de pronto aparece que se están realizando transferencias desde Israel, el sistema de la institución bancaria debe, al menos, retener los fondos y verificar las operaciones.

En estos y otros casos, no ha sido suficiente que los bancos respondan las demandas señalando que fueron los propios usuarios los que realizan las operaciones a través de la utilización de sus claves de acceso o elementos de seguridad —código de cliente, token, número de identificación personal (NIP) y número de identificación personal de uso único (OTP)—; que no se presentaron irregularidades en el proceso de validación; y que los propios usuarios estaban obligados a efectuar de manera inmediata el reporte correspondiente ante la institución bancaria.

Hoy, en el arranque del 2023, te cuento de tres sentencias emitidas a finales del año pasado por un juez de oralidad mercantil en Oaxaca, en contra de dos bancos españoles que operan en México. Lo relevante de estos casos es que pese a que los peritos en informática emiten sus dictámenes tomando en consideración:

1) el tipo de cuenta bancaria del demandante, el número que le fue asignado, así como sus propiedades y la forma en que se registró a través de la banca móvil;

2) las operaciones electrónicas no reconocidas y si quedaron registradas en las bases de datos de los sistemas electrónicos;

3) los elementos de autenticación de la operación de transferencia de recursos;

4) los mecanismos o medidas de seguridad con las que cuenta, y los requisitos para la activación de los servicios digitales, como claves, identificador de usuario, contraseña y clave de único uso que genera el dispositivo de seguridad (token);

5) la manera en que se llevó a cabo la transferencia electrónica;

6) el procedimiento que se sigue para la realización de una operación mediante banca móvil;

7) las condiciones de seguridad que son necesarias para la realización de operaciones electrónicas; y

8) las recomendaciones de seguridad, consejos y advertencias de los riesgos que pueden correr los clientes respecto del uso de la aplicación, todo ello ha sido insuficiente para evidenciar la fiabilidad de la banca electrónica y del procedimiento para autorizar las transacciones.

Como lo advirtieron los jueces federales en este y otros casos, la prueba pericial no demuestra que el sistema dispuesto por la institución bancaria operó bajo los protocolos establecidos en las mencionadas “Disposiciones de carácter general aplicables a las operaciones de banca electrónica”, emitidas por la CNBV, al momento en que se llevaron a cabo las transferencias de recursos de las cuentas de los quejosos, y que, por tanto, el sistema en sí mismo no fue vulnerado por algún agente externo.

De las sentencias se puede apreciar que el dictamen presentado por el perito del banco es omiso en explicar la metodología que llevó a cabo para realizar su experticia, así como en aportar para el estudio de la pericial otros aspectos técnicos o profesionales relevantes a fin de demostrar la fiabilidad la plataforma empleada y del procedimiento de las transferencias controvertidas, especificando las medidas de seguridad y su funcionamiento con las que cuenta el sistema de banca electrónica de la institución financiera demandada, y cómo estas se acoplan a las disposiciones generales emitidas por la CNBV.

De lo que puedo concluir después de haber leído una diversidad de sentencias sobre estos casos, es que los bancos, en muy pocos casos, han logrado presentar peritajes informáticos que acrediten que cumplen con la normatividad antes citada. No basta que las instituciones financieras argumenten que en el contrato de banca electrónica se estipula que la confidencialidad del código cliente y el dispositivo electrónico “Token” están bajo resguardo del cliente y que la institución bancaria no puede hacerse responsable por las transacciones que se presentan por el uso indebido del código de cliente así como del dispositivo electrónico.

En resumen, el éxito en un juicio de esta naturaleza depende —si es que el banco quiere ganar— que cuente con peritos expertos en informática, pero, sobre todo, que logren acreditar que cumplen con todos y cada uno de los requisitos que impone la ley, para que a su vez el perito, pueda determinar si en cada una de las operaciones realizadas vía electrónica se cumplieron todos los protocolos de seguridad. En conclusión, no la tienen fácil los bancos, porque todo parece indicar qué algo falla.