Los usuarios de la banca podrán reclamar la devolución de dinero de transacciones electrónicas cuando la dirección de Protocolo de Internet (IP, por sus siglas en inglés) sea distinta a la suya y la operación no la hayan autorizado, así quedó establecido en una tesis aislada publicada en el Semanario del Poder Judicial de la Federación (PJF).
Por ello, las instituciones bancarias están obligadas a rechazar las transferencias electrónicas cuando la dirección IP de sus cuentahabientes tengan un lugar de origen inusual. En caso de autorizar las operaciones, sin el consentimiento de los clientes, la responsabilidad recaerá en el banco. La tesis fue emitida por el Segundo Tribunal Colegiado en Materia Civil del Tercer Circuito.
Aunque no se trata de una jurisprudencia, es la primera tesis que se publica sobre el tema y abre la puerta para que los usuarios de la banca puedan demandar la devolución de su dinero.
De acuerdo con registros judiciales, un ciudadano promovió un juicio oral mercantil porque el banco no le dio respuesta cuando denunció que una fuerte cantidad de dinero fue retirada de su cuenta, a través de una transferencia solicitada desde Israel, cuando él se localizaba en México.
En primera instancia, el juez federal declaró la nulidad de la operación, porque se demostró que la dirección IP desde la cual se hizo la solicitud no era la misma del titular de la cuenta.
Sin embargo, la institución crediticia impugnó, pero el Tribunal Colegiado confirmó la sentencia, con lo cual se generó la tesis que podrá ser aplicada en casos similares que se presenten en el futuro.
- Te recomendamos Banda asaltaba a conductores y enamoraba a trabajadoras de limpieza para robar en CdMx Policía
El Tribunal señaló que el banco demostró la falta de seguridad de sus sistemas electrónicos, pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográfica de la dirección de Protocolo de Internet de donde procedió la operación, no fue detectado por sus mecanismos de seguridad.
“De ahí que ante la apuntada deficiencia en los filtros de seguridad de la institución de crédito en la prestación del servicio de banca electrónica, no puede considerarse que el cuentahabiente otorgó su consentimiento en la operación impugnada, a pesar de que se pudieran o no haber utilizado todos los datos de autenticación del cliente, como lo pueden ser nombres de usuarios, claves, claves dinámicas derivadas de tokens, o cualquier otro factor de autenticación, pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños, que luego pueden usarse para autenticar transacciones fraudulentas”, explicó.
El Tribunal mencionó que los bancos están obligados a proveer lo necesario para que una vez autenticado el usuario en el servicio de banca electrónica de que se trate, la sesión no pueda ser utilizada por un tercero.
Asimismo, las instituciones deben establecer, al menos, los mecanismos de seguridad del sistema de banca electrónica siguientes: dar por terminada la sesión en forma automática e informar al usuario cuando en el curso de una sesión del servicio de banca por internet, la institución identifique cambios relevantes en los parámetros de comunicación del medio electrónico, tales como la identificación del dispositivo de acceso “rango de direcciones de los protocolos de comunicación, ubicación geográfica, entre otros.
De igual manera, están facultados para detectar y prevenir eventos apartados de los parámetros de “uso habitual” de los usuarios, como suspender la utilización del servicio de banca electrónica o, en su caso, de la operación que se pretenda realizar (lo que implica rechazarla), en el evento de que cuenten con elementos que hagan presumir que el identificador de usuario o los factores de autenticación no están siendo utilizados por el propio usuario.
IR