29 marzo 2024

Se acabó: ordenaron a bancos incrementar la seguridad

A través de una comunicación, la entidad obliga a las instituciones financieras a "verificar de manera confiable" la identidad de sus usuarios.

El crecimiento exponencial de las denominadas estafas bancarias -adjudicado a la pandemia y a la utilización casi exclusiva del home banking- se agravó en la primera parte de 2021. Durante los últimos meses se multiplicaron las innumerables denuncias de fraudes con créditos personales "pre aprobados".

Esta situación obligó al Banco Central (BCRA) a tomar nuevas medidas para evitar el crecimiento de este delito ya que, desde que explotó la pandemia, se estima que unas cuatro millones de personas empezaron a operar a través del canal digital.

La semana pasada, la entidad a cargo de Miguel Pesce emitió la Comunicación A 7370 que modifica los "requisitos mínimos de gestión, implementación y control relacionados con las tecnologías de la información" por lo que obligará a los bancos e instituciones financieras a "verificar de manera confiable" la identidad de sus usuarios cuando otorgan un crédito preaprobado e implementar el denominado doble factor.

Además, la norma señala que si el cliente –previa denuncia policial- sostiene que se trata de uno préstamo fraudulento, la entidad deberá absorber el monto en un plazo máximo de 90 días corridos desde el vencimiento de la primera cuota del crédito.

El mencionado doble factor es una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de la contraseña para acceder al servicio.

Los créditos preaprobados permitían -hasta ahora- pedir dinero prestado a una entidad financiera en tan solo un par de clics y sin que se pidieran datos del solicitante para verificar la identidad.

En los casos denunciados, luego de obtener los datos personales, los ciberdelincuentes ejecutaban el crédito y transferían el dinero a otra cuenta, generando una deuda al usuario por dinero que no solo nunca fue solicitado sino que también le fue robado.

Los créditos preaprobados permitían -hasta ahora- pedir dinero prestado a una entidad financiera en tan solo un par de clics

Qué dice la comunicación "A" 7370

En concreto, la  comunicación "A" 7370, de pasado 24 de septiembre de 2021, indica que "para la autorización de un crédito preaprobado la entidad debe verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada".

Esta verificación debe hacerse mediante técnicas de identificación positiva (el denominado doble factor). Asimismo, la  entidad deberá constatar previamente a través del resultado del proceso de monitoreo y control, como mínimo, que los puntos de contacto indicados por el usuario de servicios financieros no hayan sido modificados recientemente.

Una vez verificada la identidad de la persona usuaria, la entidad deberá comunicarle –a través de algunos de los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de los dos días hábiles siguientes.

El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de manera fehaciente.

La entidad financiera quedará exceptuada de llevar adelante la comunicación si cumple alguna de las siguientes condiciones:

  • 1- Que para la autorización de un crédito preaprobado la entidad financiera verifique fehacientemente la identidad de la persona usuaria de servicios financieros involucrada, mediante soluciones biométricas con prueba de vida.
  • 2- Que la entidad financiera cancele el crédito preaprobado, asuma la devolución de las sumas involucradas y anule los posibles efectos sobre la situación crediticia de la persona usuaria de servicios financieros afectada, ante la denuncia policial presentada por la usuaria, siempre que la denuncia se presente en un plazo máximo de 90 días corridos desde el vencimiento de la primera cuota del crédito.

En ambos casos, el crédito solicitado podrá acreditarse de manera inmediata en la cuenta del usuario.

"La actividad que se realice para el cumplimiento de este requisito debe ser trazable y auditable", concluye la norma.

El canal electrónico, en pleno boom

En diciembre del 2020, la penetración de cuentas bancarias alcanzó el 91% de la población adulta, lo cual equivale a que más de 31 millones de personas poseen al menos una cuenta de este tipo, cumpliendo con el objetivo de llegar a la mayor cantidad de usuarios posibles y permitirles utilizar servicios financieros durante el distanciamiento social, según el BCRA.

El caso que empujó la regulación fue la multa de 10 millones que el BCRA aplicó a los bancos Santander y BBVA por "no proteger a sus clientes" en casos de estafas con este tipo de préstamo.

En ese momento, el BCRA había emitido un comunicado en el que informaba que trabajaría en conjunto con el Ministerio de Seguridad Nacional "para prevenir fraudes y fraudes bancarios".

A través de los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras, el Banco Central define prácticas obligatorias para las entidades financieras relacionados al control de los riesgos de tecnología y seguridad informática.

En particular, para la gestión de la seguridad en canales electrónicos, las entidades financieras deben cumplimentar los requisitos mínimos regulatorios en cada uno de los siguientes procesos, entre ellos:

  • Concientización y capacitación: es un proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para clientes internos y externos, con el fin de desarrollar tareas preventivas, detectivas y correctivas respecto de los incidentes de seguridad en los canales electrónicos.
  • Control de acceso: es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.
  • Integridad y registro: es un proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los canales electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación.
  • Monitoreo y control: es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.
  • Gestión de incidentes: es un proceso relacionado con el tratamiento de los eventos e incidentes de seguridad en canales electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.

Hasta hoy en día, cuando un cliente era víctima de una estafa, lo primero que tenía que hacer era la denuncia ante su banco. Y, si no obtenía una respuesta positiva, debía insistir con Defensa del Consumidor. Y también ante el Banco Central, que intercede ante la entidad financiera. A partir de ahora, si realiza la denuncia policial, el banco deberá devolverle los fondos que le haya cobrado por el crédito fraudulento y cancelarlo.

Además, hay miles de expedientes en los estrados judiciales que aguardan solución. En la gran mayoría de los casos se solicitan medidas cautelares para que se frenen los cobros de los créditos a la espera de que se dicte una medida de fondo (que indique si el préstamo fue otorgado fraudulentamente o no).

La cuestión de las estafas con los créditos de fácil acceso también llegó al Congreso. La senadora nacional Pilatti Vergara (Frente de Todos) presentó un proyecto de ley que haga obligatorios los mecanismos de doble o triple validación, con el objetivo de erradicar los casos de "phishing".

Según la iniciativa, ese tipo de préstamo exprés "es una decisión unilateral de la entidad bancaria, poniéndolo a disposición de los clientes con tan sólo un click, sin ningún tipo de consulta, aceptación de condiciones por parte de ellos, o información de los riesgos inherentes".