El Segundo Tribunal Colegiado en materia civil del tercer circuito publicó en el Semanario Judicial el 5 de agosto del 2022 una tesis con título TRANSFERENCIAS ELECTRÓNICAS BANCARIAS. CUANDO LA DIRECCIÓN DE PROTOCOLO DE INTERNET (IP) TIENE UN LUGAR DE ORIGEN INUSUAL Y A PESAR DE ELLO EL BANCO AUTORIZA LA OPERACIÓN SIN ANTES SUSPENDER EL SERVICIO DE BANCA ELECTRÓNICA O RECHAZAR LA TRANSACCIÓN PRECAUTORIAMENTE, DEBE CONSIDERARSE QUE EL CLIENTE NO OTORGÓ SU CONSENTIMIENTO, AUN CUANDO SE HAYAN UTILIZADO TODOS LOS FACTORES DE AUTENTICACIÓN NECESARIOS PARA APROBARLA, el ponente Alberto Miguel Ruiz Matías y el Secretario Shelin Josué Rodríguez Ramírez dijeron en los hechos que en primer lugar «…en un juicio oral mercantil el cuentahabiente demandó a la institución de crédito por la nulidad de una transferencia electrónica bancaria; seguida la controversia en todas sus etapas, el Juez responsable emitió sentencia definitiva en la cual declaró la nulidad absoluta de la operación, principalmente, por considerar que no existía certeza de que el cuentahabiente otorgó su consentimiento en la transacción, pues el lugar de origen de la dirección de protocolo de Internet desde donde se realizó no era usual para la actora, al corresponder al área geográfica de otro país…», tremendo error, la naturaleza de la banca electrónica es, realizar transacciones desde cualquier parte del mundo. Por lo que si contratas banca electrónica sabes que puedes salir de urgencia de tu lugar de origen y viajar a otro país, y puedes disponer de pagos en cualquier momento.
Ahora bien, el tribunal que publica esta tesis aislada, determina que «… cuando la dirección de protocolo de Internet (IP) tiene un lugar de origen inusual de operaciones del cuentahabiente y a pesar de ello el banco la autoriza sin suspender el servicio de banca electrónica o rechazar la transacción precautoriamente, debe considerarse que el cliente no otorgó su consentimiento, aun cuando se hayan utilizado todos los factores de autenticación necesarios para aprobar la transferencia electrónica bancaria.», por lo que el tribunal insiste en que la dirección IP determina la validez o no de una transferencia bancaria, estableciendo pues que la banca electrónica no tiene una naturaleza electrónica y que no puede ser usada desde cualquier parte del mundo según su interpretación. Aun cuando la persona que realiza las operaciones, tiene el usuario, la contraseña y la clave dinámica que contiene el dispositivo de un solo uso, que configuran la firma electrónica del usuario bancario. Incluso violando el artículo 89 del código de comercio, cuando se afirma que la firma electrónica produce los mismos efectos que la firma autógrafa. Esto es equiparable a firmar un pagaré, decir que sí lo firmamos, pero por no haberlo firmado en México, no tiene validez y no tienes porque pagar esa deuda, ¡tremendo fiasco!
En la justificación que hace el colegiado, argumenta que «…los bancos deberán proveer lo necesario para que una vez autenticado el usuario en el servicio de banca electrónica de que se trate, la sesión no pueda ser utilizada por un tercero…», efectivamente habla de un secuestro de sesión o la técnica de session hijacking, como se le conoce en ciberseguridad, por lo que hay que explicar que esta técnica es un problema importante que puede afectar a la seguridad de los usuarios a la hora de navegar por la red, comúnmente ocurre cuando un atacante roba o secuestra las cookies de sesión cuando un usuario navega por internet. Este secuestro de sesión se puede hacer con la técnica de Man in the middle, esto significa, que para que esto suceda, el propio usuario de internet no tomó las medidas suficientes para conectarse de forma segura a algún servicio de internet, en pocas palabras, el usuario no ha tenido los cuidados suficientes para evitar que secuestren su sesión en cualquier servicio de la Web.
También argumenta el colegiado que «…Con base en lo anterior, el hecho de que el protocolo o dirección de protocolo de Internet desde la cual se originó la operación cuya nulidad se pretende, corresponda a una área geográfica de otro país, cuando el domicilio principal del cliente registrado en el contrato bancario está ubicado en México, y el objeto de dicha operación haya sido la transferencia de miles de pesos, ante los ojos de cualquier observador racional, constituye una actividad inusual que amerita, por precaución básica, dar por terminada la sesión automáticamente y suspender la utilización del servicio de banca electrónica o rechazar la operación…», podemos decir que no es algo inusual, porque, como dije anteriormente, alguna urgencia puede surgir para salir del país y comenzar a a realizar transacciones desde otro país, y fuera de esto, no conozco una, sino varias personas que por seguridad utilizan servicios de redes privadas virtuales, que originan sus transacciones no en México, sino en otros países y lo hacen desde la comodidad de su casa desde cualquier parte del país. Y esto no lo ha tomado en cuenta el colegiado, sino que la falta de pericia, los hace pensar en la banca electrónica como una banca convencional.
Hay muchos ejemplos en donde los usuarios bancarios aceptan haber compartido sus claves con personas que se dedican a eso, a hacer caer a las personas en el error, para que con la firma electrónica correcta y completa de la víctima, puedan realizar transacciones en su nombre, y eso no quiere decir que es una transacción no realizada por ellos, tal como lo afirma el colegiado en su misma justificación «…pues es sabido que los grupos delictivos obtienen los datos confidenciales de los clientes a través de engaños, que luego pueden usarse para autenticar transacciones fraudulentas.»
Revisemos la Ley Federal de Firma Electrónica Avanzada, donde habla de firma electrónica, y que conceptualiza como «…el conjunto de datos y caracteres que permite la identificación del firmante, … lo que permite que sea detectable cualquier modificación ulterior de éstos, la cual produce los mismos efectos jurídicos que la firma autógrafa.», por lo que si se utiliza la firma electrónica del cliente bancario, es el cliente bancario quien dio la autorización para que se realizara esa transacción aun cuando él no lo hizo de forma directa. El tribunal colegiado se confunde y precisamente pone en duda la naturaleza de la firma electrónica, ¿los magistrados son los que firman electrónicamente sus sentencias?, ¿los jueces de distrito son los que firman directamente sus sentencias?, ¿las personas jurídicas son las que firman sus facturas?, ¿los patrones son los que firman directamente las altas, modificaciones, bajas de sus trabajadores?, ¿los que piden amparos en línea son los que firman directamente sus demandas?, no, las firman terceros a nombre de ellos, siendo secretarias, contadores y ayudantes, pero surten los mismos efectos jurídicos como si los hubiese firmado la persona directamente.
Esa ilógica pregunta en los tribunales cuando a los peritos nos pregunta el abogado ¿Usted tiene alguna prueba como un video, una fotografía o algo similar de que mi cliente haya realizado la transferencia electrónica?. Claro que no, pero al existir la firma electrónica, tal como dice la Ley de Firma Electrónica y el artículo 89 del Código de Comercio, es como si su cliente hubiese firmado de forma autógrafa esta transacción, abogado.
La tesis aislada en su justificación dice que «… el hecho de que la operación impugnada se haya originado desde esa dirección de protocolo de Internet inusual … y aun así la institución de crédito haya autorizado la transferencia, revela que el banco omitió seguir los procedimientos establecidos normativamente para la fiabilidad de la operación … ello demuestra la falta de seguridad de sus sistemas electrónicos, pues un dato tan grave y evidente como lo es lo inusual de la ubicación geográfica de la dirección de protocolo de Internet de donde procedió la operación, no fue detectado por sus mecanismos de seguridad». Claro que todos esos datos son detectados por los sistemas de seguridad del banco, sino, ¿cómo es que el propio juez se dio cuenta de ello?, además habla de una dirección de Internet «inusual», ¿cuál es el concepto de inusual desde un punto de vista jurídico?, inusual es que no se usa, pero si aparece también en las bitácoras que la Institución Bancaria allego como prueba es que si se usa, por lo que no es inusual ¿o sí?. Quizá el colegiado se refiere a que el cliente usualmente no utiliza este tipo de direcciones IP para realizar transferencias bancarias, ¿pero si tuvo que salir de urgencia al extranjero? o si ¿tuvo una oportunidad de irse de vacaciones? o ¿si se le ocurrió por seguridad utilizar una red privada virtual que lo posiciona en Alemania por unos segundos? o ¿si le pidió a un amigo de españa que le ayudara a realizar una transacción porque no podía realizarlo en ese momento por algún problema personal?, vuelvo a repetir, esa es la naturaleza de la banca electrónica.
Ahora, lo que sigue es que en los días subsecuentes, personas que utilizan redes privadas virtuales, personas que tengan amigos en el extranjero y les pidan su computadora vía programa de conexión de escritorio virtual, personas que viajen en un fin de semana, pidan después la nulidad de las transacciones realizadas por medios digitales, pues pueden negar esas transacciones y pueden probar que viven en México y que la transacción electrónica, aunque tenga sus usuarios, contraseñas y claves dinámicas del dispositivo de un solo uso, es correcto. Permiso para robar pues, otorgado por el Poder Judicial, con esta tesis aislada.