Las transferencias electrónicas son servicios ampliamente utilizados por los usuarios de servicios financieros al tratarse de un instrumento cómodo y rápido para realizar pagos desde una cuenta bancaria a otra, incluso entre cuentas de bancos distintos mediante sistemas como el SPEI (Sistema de Pagos Electrónicos Interbancarios), el cual es operado por el Banco de México.
Sin embargo, los sistemas utilizados por los bancos al prestar los servicios de pagos electrónicos pueden llegar a ser vulnerados por personas que buscando obtener un provecho económico indebido, logren realizar pagos electrónicos sin el consentimiento del titular de la cuenta bancaria correspondiente.
A ese respecto, los artículos 77 y 96 de la Ley de Instituciones de Crédito disponen que los bancos deben establecer medidas básicas de seguridad que protejan al público, al patrimonio del banco y a sus factores y dependientes, además de realizar prácticas que procuren la adecuada atención de sus clientes y la seguridad de las operaciones en las que intervengan.
De acuerdo con las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito compiladas por la Comisión Nacional Bancaria y de Valores (las “Disposiciones de Carácter General”), las instituciones de crédito están obligadas a utilizar factores de autenticación para verificar la identidad de sus usuarios y la facultad que tengan para realizar operaciones a través del servicio de banca electrónica, además de generar registros, bitácoras y huellas de auditoría de las operaciones que se realicen por medios electrónicos.
Entre la información que debe ser registrada por las instituciones de crédito se encuentra: (i) la fecha y hora de la operación, (ii) el número de cuenta origen y cuenta destino, (iii) los datos de identificación del dispositivo de acceso utilizado por el usuario para realizar la operación, (iv) las direcciones de los protocolos de Internet y (v) los números de la línea del teléfono móvil que se haya utilizado para realizar la operación.
Las Disposiciones de Carácter General también disponen que los bancos deben contar con mecanismos que impidan a terceros interferir en sesiones iniciadas por un usuario al utilizar el servicio de banca electrónica, como por ejemplo dar por terminada la sesión cuando la institución de crédito identifique cambios en el rango de direcciones de los protocolos de comunicación o ubicación geográfica, o impedir el acceso en forma simultánea de un usuario a más de una sesión.
De conformidad con lo anterior, la Primera Sala de la Suprema Corte de Justicia de la Nación ha establecido en jurisprudencia que en los casos en que un usuario demande la nulidad de transferencias electrónicas bancarias, la institución de crédito deberá demostrar que cumplió con todas las medidas de seguridad previstas en las Disposiciones de Carácter General para garantizar la certeza de las operaciones controvertidas y que no existieron incidentes que comprometieran los datos del cliente. De acuerdo con nuestro Máximo Tribunal, únicamente en el supuesto de que el banco haya demostrado que cumplió con lo anterior, el usuario se verá obligado a desvirtuar lo aportado en juicio por la institución de crédito para entonces justificar la procedencia de la demanda de nulidad.