En días recientes salió un criterio de un Tribunal Colegiado del tercer circuito, Jalisco, en el que establece un criterio interesante para cuando a un usuario de cuenta bancaria, le han despojado de sus ahorros o parte de ellos, mediante engaño. La forma común en que suele hacerse esto, es a través de maquinaciones fraudulentas, […]
En días recientes salió un criterio de un Tribunal Colegiado del tercer circuito, Jalisco, en el que establece un criterio interesante para cuando a un usuario de cuenta bancaria, le han despojado de sus ahorros o parte de ellos, mediante engaño.
La forma común en que suele hacerse esto, es a través de maquinaciones fraudulentas, en las que el delincuente utiliza las claves, tokens o cualquier otro mecanismo de seguridad aportado por el banco para el usuario, y a partir de esto, se vacían cuentas por parte del delincuente, utilizando estos mismos mecanismos pero con la supuesta “aprobación” del usuario afectado.
Es importante señalar que dicha “aprobación” es relativa, ya que existe un engaño hacia el usuario de manera que no tiene un consentimiento pleno de lo que hace, sin embargo, los bancos suelen decir que al existir dicha aprobación, no hay por tanto responsabilidad alguna que les sea imputable.
Pues bien, este criterio determina que no existe tal aprobación cuando la operación ha sido inusual, ya sea por la dirección IP del servidor del cual se realiza el acto fraudulento, o incluso por la violación a las normas internas o filtros de seguridad que la cuenta misma debería tener, por lo que el banco estaría en la obligación de suspender dicha operación o bien dar avisos inmediatos por esos actos inusuales.
Aquí se transcribe el referido criterio:
Época: Undécima Época
Registro: 2025074
Instancia: Tribunales Colegiados de Circuito
Tipo de Tesis: Aislada
Fuente: Semanario Judicial de la Federación
Publicación: viernes 05 de agosto de 2022 10:13 h
Materia(s): (Civil)
Tesis: III.2o.C.5 C (11a.)
TRANSFERENCIAS ELECTRÓNICAS BANCARIAS. CUANDO LA DIRECCIÓN DE PROTOCOLO DE INTERNET (IP) TIENE UN LUGAR DE ORIGEN INUSUAL Y A PESAR DE ELLO EL BANCO AUTORIZA LA OPERACIÓN SIN ANTES SUSPENDER EL SERVICIO DE BANCA ELECTRÓNICA O RECHAZAR LA TRANSACCIÓN PRECAUTORIAMENTE, DEBE CONSIDERARSE QUE EL CLIENTE NO OTORGÓ SU CONSENTIMIENTO, AUN CUANDO SE HAYAN UTILIZADO TODOS LOS FACTORES DE AUTENTICACIÓN NECESARIOS PARA APROBARLA.
En un juicio oral mercantil el cuentahabiente demandó a la institución de crédito por la nulidad de una transferencia electrónica bancaria; seguida la controversia en todas sus etapas, el Juez responsable emitió sentencia definitiva en la cual declaró la nulidad absoluta de la operación, principalmente, por considerar que no existía certeza de que el cuentahabiente otorgó su consentimiento en la transacción, pues el lugar de origen de la dirección de protocolo de Internet desde donde se realizó no era usual para la actora, al corresponder al área geográfica de otro país.
Este Tribunal Colegiado de Circuito determina que cuando la dirección de protocolo de Internet (IP) tiene un lugar de origen inusual de operaciones del cuentahabiente y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria.
Lo anterior, porque de los artículos 316 Bis 2, fracción I, inciso b), 316 Bis 13 y 316 Bis 15, fracción I, inciso d), de las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito emitidas por la Comisión Nacional Bancaria y de Valores, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y modificadas mediante resolución publicada en el mismo medio de difusión el 27 de enero de 2010, se advierte que los bancos deberán proveer lo necesario para que una vez autenticado el usuario en el servicio de banca electrónica de que se trate, la sesión no pueda ser utilizada por un tercero y que, para efectos de lo anterior, las instituciones deberán establecer, al menos, los mecanismos de seguridad del sistema de banca electrónica siguientes: dar por terminada la sesión en forma automática e informar al usuario cuando en el curso de una sesión del servicio de banca por Internet, la institución identifique cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso “rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros”; asimismo, las instituciones están facultadas para detectar y prevenir eventos apartados de los parámetros de “uso habitual” de los usuarios, como suspender la utilización del servicio de banca electrónica o, en su caso, de la operación que se pretenda realizar (lo que implica rechazarla), en el evento de que cuenten con elementos que hagan presumir que el identificador de usuario o los factores de autenticación no están siendo utilizados por el propio usuario; igualmente, que en las bitácoras generadas de su parte, las instituciones de crédito deberán registrar las direcciones de los protocolos de Internet o similares. Con base en lo anterior, el hecho de que el protocolo o dirección de protocolo de Internet desde la cual se originó la operación cuya nulidad se pretende, corresponda a una área geográfica de otro país, cuando el domicilio principal del cliente registrado en el contrato bancario está ubicado en México, y el objeto de dicha operación haya sido la transferencia de miles de pesos, ante los ojos de cualquier observador racional, constituye una actividad inusual que amerita, por precaución básica, dar por terminada la sesión automáticamente y suspender la utilización del servicio de banca electrónica o rechazar la operación, con base en la interpretación armónica y aplicación de los preceptos 316 Bis 2, fracción I, inciso b) y 316 Bis 13 citados. Así, el hecho de que la operación impugnada se haya originado desde esa dirección de protocolo de Internet inusual (de Israel, sea porque quien robó la identidad haya estado verdaderamente en ese país o haya utilizado un programa para disfrazar su ubicación real a través de ese protocolo), y aun así la institución de crédito haya autorizado la transferencia, revela que el banco omitió seguir los procedimientos establecidos normativamente para la fiabilidad de la operación y, por el contrario, ello demuestra la falta de seguridad de sus sistemas electrónicos, pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográfica de la dirección de protocolo de Internet de donde procedió la operación, no fue detectado por sus mecanismos de seguridad. De ahí que ante la apuntada deficiencia en los filtros de seguridad de la institución de crédito en la prestación del servicio de banca electrónica, no puede considerarse que el cuentahabiente otorgó su consentimiento en la operación impugnada, a pesar de que se pudieran o no haber utilizado todos los datos de autenticación del cliente, como lo pueden ser nombres de usuarios, claves, claves dinámicas derivadas de tokens, o cualquier otro factor de autenticación, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños, que luego pueden usarse para autenticar transacciones fraudulentas.
SEGUNDO TRIBUNAL COLEGIADO EN MATERIA CIVIL DEL TERCER CIRCUITO.
Amparo directo 20/2021. 23 de septiembre de 2021. Unanimidad de votos. Ponente: Alberto Miguel Ruiz Matías. Secretario: Shelin Josué Rodríguez Ramírez.
Esta tesis se publicó el viernes 05 de agosto de 2022 a las 10:13 horas en el Semanario Judicial de la Federación.
Hecho en México con ♥️ por MAGO.Agency