De enero a marzo de 2022 se reporta, de acuerdo con cifras de Banco de México, un aproximado de 70,266,239 usuarios que realizan transferencias electrónicas a través de Internet, acumulando en el mismo periodo un aproximado de 387,188,206 transacciones; estas cifras sin duda alguna nos obligan a detenernos para analizar lo sucedido el 05 de agosto de 2022, fecha en que en el Semanario Judicial de la Federación es publicada la Tesis Jurisprudencial 2025074 que señala este rubro:
Transferencias electrónicas bancarias. Cuando la dirección de protocolo de internet (IP) tiene un lugar de origen inusual y a pesar de ello el banco autoriza la operación sin antes suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobarla.
Por supuesto, el rubro lo dice todo, sin embargo reza la obligación de explicar el trasfondo de esta tesis, qué implicaciones tiene para todo usuario de transferencias electrónicas bancarias (incluye SPEIs), qué debemos esperar de los Bancos y, por supuesto, contestar la pregunta más frecuente que recibí tras publicar la Tesis completa en mi perfil de Twitter: ¿con esto puedo ya ir a reclamar al Banco todas las operaciones que no reconozco?
Para empezar, aclaro que esto es sólo una Tesis, no es Jurisprudencia, es decir: es la resolución que otorga un Juez ante un amparo interpuesto ante un Tribunal Colegiado de Circuito sobre un caso en el cual se impugnaba una transacción realizada en otro país y que fue autorizada por la institución bancaria demandada.
Cabe subrayar que esta Tesis es en definitiva un parteaguas que se suma a otras tesis jurisprudenciales emitidas, principalmente en relación con el análisis que los jueces actualmente están realizando respecto al uso de los medios electrónicos en nuestro día a día para múltiples acciones, su importancia, los riesgos y, por supuesto, las obligaciones de aquellos que nos ofrecen servicios electrónicos.
En este caso particular, se trata de la Banca por Internet en México, misma que no es de reciente creación, y de la cual cabe destacar que su marco jurídico tampoco lo es. Lo importante aquí es identificar cuál es el ordenamiento jurídico aplicable al respecto, esa respuesta por supuesto que la conocen los Bancos, el tema es que la mayoría de los usuarios no. Es toral aclarar que no existe una Ley de Banca Electrónica, lo que existe son las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito emitidas por la Comisión Nacional Bancaria y de Valores en el año 2005, las cuales han sido modificadas en 144 ocasiones, ya sea para adicionar, modificar, sustituir o derogar su contenido, respecto a nuevos servicios, condiciones u obligaciones.
Por supuesto, su contenido establece diversas disposiciones, entre ellas incluye las que debe cumplir una institución bancaria cuando se trata de ofrecer servicios a través de Internet, mismo contenido que fue analizado en este asunto y que llevó a que la interpretación del Juez ya no versara en materia de autenticación de usuarios (ya saben: usuario + token + contraseña), sino que se enfocó en las obligaciones que existen en materia de KYC (Know your Customer) que tienen los Bancos.
Para ser más clara, los bancos están obligados por Ley (dado que las Disposiciones citadas tienen ese carácter para ellos) a perfilar el comportamiento de sus usuarios, vamos, lo que se denomina como “parámetros de uso habitual”, por ejemplo:
- horarios de conexión así como de transacciones (consultas, altas, movimiento de numerario, etc.)
- monto de las transacciones
- localidades desde las cuales se realiza la conexión así como la transacción, tomando como base la dirección IP así como la geolocalización del dispositivo de conexión
- y si la transacción es vía teléfono móvil: el número de la línea
Con dicha información, entre otra, si es debidamente cumplimentada esta obligación, se logra determinar qué actividades salen del “uso habitual” y entonces, por obligación, el Banco debe suspender tanto la sesión como la transacción e informar al usuario respecto al cambio en el patrón de uso; es decir, prevenir el fraude, en lugar de no reaccionar y autorizar la transacción por muy inusual que sea.
Dicha obligación no fue cumplida por el banco demandado, razón por la cual se determina que, aún y cuando sí se haya agotado el proceso de autenticación del usuario, la transacción no es válida dado que el Banco no suspendió ni la sesión ni la transacción.
A lo anterior, les comparto una pregunta que recibí y despertó mi interés en escribir esta nota: “¿esto significa que la Ley cambiará para que lo interpretado en esta Tesis ya sea obligatorio?” ¿qué respondí? sencillo: “¡es que ya lo es, desde la modificación publicada el 27 de enero de 2010 en el Diario Oficial de la Federación a las Disposiciones de la CNBV!“.
Así que sí, los Bancos están obligados a conservar toda la información relacionada con el usuario, desde el inicio de sesión, consultas, movimientos, dirección IP, datos de geolocalización, finalización de la sesión, fecha, hora y segundo de los movimientos, cuentas origen, cuentas destino, etc… todo ello para cumplir con el KYC y actuar en beneficio del patrimonio del cuentahabiente.
¿Nos beneficia o nos afecta? eso dependerá de la reacción que los Bancos tengan, cuando uno tiene mucha movilidad y requiere realizar alguna transacción bancaria a través de Internet, es normal que su dirección IP cambie, así como su ubicación, ante ese escenario es normal que uno piense “esto va a hacer más lento mi proceso de realizar pagos”, y sí, probablemente sí; yo pregunto: ¿Prefieres perder tu patrimonio o perder 30 minutos en lo que el Banco acepta el cambio en tu patrón de uso habitual?
Y sí, hay más escenarios: usar VPN’s, la “volatilidad” de asignación de direcciones IP que pueda tener el ISP, el cambio de dispositivo, entre varios; dar una respuesta a estos es responsabilidad de los Bancos al ser éstos los oferentes del servicio.
Como usuarios, con esta Tesis, aprendemos que los Bancos no tienen sólo los movimientos que normalmente vemos en nuestro estado de cuenta, hay más información que nos sirve y que el Banco recaba, por lo cual la carga de la prueba le corresponde al Banco (respecto a esto también hay una Tesis jurisprudencial en ese sentido), por lo cual cuando no reconozcamos una o más transacciones, hoy estamos más informados respecto a qué o cuáles elementos solicitar para tenerlos como base de nuestras quejas o acciones legales.
Y no, con esto no puedes ir a reclamar todas las operaciones que no reconozcas, para ello primero debes tener un control claro de tus transacciones, tus patrones, tus horarios, además de una #ConcienciaCibersegura respecto a cómo utilizas y proteges tus mecanismos de autenticación; una vez agotado lo anterior, si identificas algo raro entonces ahí sí, a revisar con el Banco tus movimientos y la información que los respalda.
Tras publicar la Tesis jurisprudencial, recibimos en nuestra firma un interesante número de llamadas de usuarios de diversos bancos solicitando asesoría en este tema, justificado por supuesto ante la cifra tan creciente de la Banca Electrónica en México y los movimientos inusuales que están en crecimiento, en perjuicio de los cuentahabientes.
¡Me encantará leer sus comentarios!
Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013
Related posts
Categorías
Suscríbete
Recibe nuestras noticias e información de forma diaria