Actualización normativa: El BCRA aumenta las medidas de seguridad para operaciones electrónicas en Bancos y Fintech
Por Ezequiel Chavez (*)
Banco Galicia

La pandemia del COVID19 trajo aparejada entre muchas otras cosasun cambio radical en las transacciones comerciales y financieras. Desde el establecimiento del aislamiento social preventivo cada vez más personas se volcaron hacia la modalidad electrónica para llevar adelante compras de consumo en general, pero también para la administración de sus finanzas, transaccionar con sus cuentas, efectuar consultas, constituir inversiones y demás operaciones.

 

Según la Cámara Argentina de Comercio Electrónico (CACE) durante el 2020 la facturación del comercio electrónico en Argentina creció un 124% respecto de 2019 implicando $905.143 millones en facturación, mientras que el 90% de los adultos argentinos conectados ya compró online al menos una vez. 1

 

A su vez, el último informe de Inclusión Financiera elaborado por BCRA muestra que “en el año 2020, por cada 100 extracciones de efectivo por adulto, se efectuaron más del doble de operaciones por medios electrónicos de pago (222, un 19% más que en 2019); las transferencias electrónicas por adulto incrementaron su volumen un 90% en 2020, a través de la mayor canalización de operaciones por home banking (86%) y mobilebanking (167%), mientras que los pagos remotos con tarjetas de débito crecieron un 227% en el mismo periodo”. 2

 

Este crecimiento exponencial en la utilización de medios electrónicos para administrar las finanzas personales, las compras y la comunicación trae aparejado también una problemática: no todos estábamos preparados para esta migración masiva al mundo digital. Muchos portales de compras, algunas entidades financieras y otras fintechno poseen los mecanismos de seguridad suficientemente robustos para este aumento de tráfico en las transacciones. Usuarios y consumidores de bienes y servicios que se volcaron a los medios digitales tampoco tenían estos hábitos arraigados y por lo tanto su vulnerabilidad ante estafas es mayor por la falta de identificación de ciertos riesgos inherentes a esta operatoria que son cada vez más complejos.

 

Como consecuencia de esta situación, distintos trabajos de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) han alertado sobre el crecimiento vertiginoso de las estafas electrónicas en distintas modalidades durante la pandemia: envío de correos electrónicos falsos de supuestos bancos, montajes de páginas web fraudulentas, robos de datos personales en medios de comunicación electrónicos3 y métodos similares de ingeniería social para obtener claves bancarias, vulnerar cuentas sacando préstamos personales preaprobados o transfiriendo saldos a distintas cuentas bancarias o no bancarias para luego hacerse de los fondos mediante la utilización de puntos de extracción fuera del circuito bancario.

 

Es en este contexto que el BCRA ha efectuado actualizaciones normativas haciendo foco en los métodos más utilizados a la hora de cometer fraudes electrónicos,tendientes a mitigar estos riesgos y robustecer los canales tanto de bancos como fintech: Los préstamos personales, los débitos inmediatos o DEBINES y las cuentas o billeteras virtuales por lo que es apropiado mencionarlos:

 

Préstamos personales preaprobados: A través de la comunicación A 7319 publicada el 1ro de Julio pasado, el BCRA estableció medidas de autenticación adicionales para el otorgamiento de este tipo de préstamos en los cuales los clientes ya están pre-calificados por las entidades financieras por lo que no tienen que aportar documentación adicional y poseen un margen crediticio tope del que pueden disponer inmediatamente en sus cuentas.

 

La norma entonces obliga a las entidades financieras a “verificar fehacientemente la identidad de la persona usuaria de servicios financieros involucrada” mediante técnicas de identificación positiva que incluye, pero no se restringe a la utilización combinada o no de las siguientes técnicas:

 

  • Cuestionarios predefinidos con presentación aleatoria, con validación automática del sistema.
  • Presentación de documentos de identidad emitidos por autoridad nacional que permitan la comparación y convalidación efectiva de las características del portador.
  • Firmas holográficas comparables con registro electrónico.
  • Identificación ante canal electrónico alternativo con doble factor de autenticación

Otro aspecto importante de esta comunicación es que las entidades deben verificar que los puntos de contacto con los usuarios (mails, teléfonos a través de llamados o mensajes de texto o aplicaciones que generen notificaciones en los teléfonos celulares) no hayan sido modificados recientemente, para evitar que con el ingreso de credenciales vulneradas se puedan configurar medios de comunicación distintos al ingresado por el cliente.

 

Por último, la liquidación del préstamo preaprobado, una vez que se haya verificado la identidad de la persona usuaria será acreditado en su cuenta a partir de las 48hs hábiles siguientes, plazo que puede ser reducido en caso de recibirse la conformidad del usuario de manera fehaciente. De esta manera se busca mitigar la inmediatez que conlleva este tipo de operatoria cuando las credenciales están comprometidas.

 

Débitos inmediatos (Debines): La comunicación A 7326 del 8 de julio último modifica el texto ordenado del Sistema Nacional de Pagos relativo a los Débitos Inmediatos. Este método de pagos online es usado habitualmente dentro de los esquemas de fraude más vinculados en el universo de la compra-venta de bienes y servicios en los Marketplaces de distintos portales. La vulneración se da de la siguiente manera: Una persona ofrece un producto al público en general a través de estos portales de compra-venta y en muchas ocasiones cuando “vende” su producto, el “comprador” le solicita la Clave Bancaria Uniforme (CBU) para efectuar la transferencia acordada por el precio. Una vez que obtiene el CBU el supuesto comprador le indica al vendedor que de acuerdo a las instrucciones de su banco, éste último debe “autorizar o aprobar” la transferencia. En realidad, lo que está generando es un Débito Inmediato o Debin por el cual está ingresando una orden de débito a la cuenta del vendedor que sin saberlo autoriza la operación y en vez de recibir dinero le retiran fondos de la cuenta.

 

Es por esto que la norma lo que busca es alertar a los usuarios de servicios financieros instando a los Bancos a que incluyan una leyenda en forma destacada que indique que “Al aceptar esta transacción SE EXTRAERÁN FONDOS DE SU CUENTA por el monto indicado, los que serán remitidos a quien mandó la orden de extracción. Tenga en cuenta que NUNCA es necesario dar una autorización para RECIBIR pagos electrónicos” tanto en su modalidad “spot” un solo débito como “recurrente” más de un débito” y de esta manera intentar dejar en claro la naturaleza de la operación que está solicitando evitando los fraudes.

 

Billeteras digitales: La última de este paquete de normas del BCRA es la comunicación A 7328 del 12 de julio anterior contempla modificaciones para los proveedores de servicios de pago que ofrecen cuentas de pago (PSPOCP) que es la identificación normativa que tienen las billeteras digitales que brindan cuentas de pago, generalmente identificadas mediante Claves Virtuales Uniformes (o CVU) que poseen saldos separados de los medios de pago que pueden incluirse en una billetera normal (que sólo aúna en una aplicación distintas tarjetas de crédito o débito).

 

Para estos PSPOCP el Banco Central les impone el mismo nivel de seguridad que poseen las entidades financieras y a partir de la entrada en vigencia de esta norma (el 1ro. de agosto para cuentas nuevas y el 1ro. de octubre para el stock) deben “verificar la identidad de las personas que requieren la apertura de una cuenta de pago, observando a ese efecto las disposiciones para entidades financieras del punto 1.3. de las normas sobre “Depósitos de ahorro, cuenta sueldo y especiales” (excepto lo requerido en su último párrafo, en relación con la declaración jurada del cliente) y concordantes –puntos 4.1., 4.2. y 4.16.1.–.”

 

Lo que internamente se conoce como “onboarding bancario” que la gran mayoría posee, implica entre otras cosas: Nombres y apellidos completos; lugar y fecha de nacimiento; domicilio; ocupación; estado civil ycondición de Persona Expuesta Políticamente (Declaración jurada de “PEP” o “No PEP”). La identificación será mediante los documentos de identificación en vigencia para personas humanas y mediante el contrato o estatuto social debidamente inscripto en el Registro Público correspondiente para personas jurídicas siempre en observancia y total cumplimiento a la normativa en materia de prevención del lavado de activos y del financiamiento del terrorismo –especialmente en lo referido a la identificación y conocimiento del cliente–, así como a las restantes disposiciones que sean de aplicación.

 

Adicionalmente la norma contempla algunas modificaciones en la operatoria de estos PSPOCP:

 

  • Las cuentas virtuales o billeteras digitales podrán permitir más de un titular.
  • Podrán asociarse únicamente aquellos instrumentos de pago o cuentas que coincidan con la titularidad de la billetera.
  • Se deben utilizar mecanismos de identificación y autenticación de usuario fuertes para acceder a la billetera.
  • Las actividades efectuadas en los últimos dos puntos “deben ser trazables y auditables. Se debe brindar integridad, protección y resguardo a estos registros”.

Corolario:

 

Los avances tecnológicos en todos los ámbitos, pero sobre todo en materia de innovación financiera se espejan también con el perfeccionamiento de técnicas para provocar fraudes y delitos informáticos. La pandemia del COVID aceleró la proliferación de estos métodos, cada vez hay una mayor oferta de servicios y proveedores que persiguen los objetivos de inclusión financiera muchas veces sin la debida robustez en sus procesos, situación que implica una mayor vulnerabilidad debido a la complejidad de los mecanismos fraudulentos que afecta no sólo a los usuarios nuevos o inexpertos sino también a los más habituados a operar en estos medios.

 

La velocidad de las implementaciones digitales tiene su correlato en el mundo delictivo, por lo que la situación obliga a todos los actores del sistema ya sea entidades financieras, proveedores no financieros de crédito, proveedores de servicios de pago, usuarios de servicios financieros, incluso los medios de comunicación para visibilizar estas problemáticas, dar la correcta información y aumentar los estándares de seguridad en toda la operatoria. Cada vez más se ve en los portales y Homebanking, así como también en los mails que enviamos a nuestros clientes recordatorios de seguridad y recomendaciones para un correcto uso de estas plataformas, pero por supuesto que el BCRA en su rol de regulador tiene un papel fundamental para instaurar prácticas que profundicen la inclusión financiera en un ámbito de protección, seguridad y resguardo para los usuarios como así también la expansión y robustecimiento de todo el sistema financiero y considero que estas medidas van en ese camino.

 

 

Citas

(*) Abogado especializado en medios de pagos digitales, banca y fintech. Gerencia de Legales de Banco Galicia.

1 Fuente: Estudio Anual de Comercio Electrónico elaborado por CACE Año 2020.

2 Fuente: Informe de Inclusión Financiera, Segundo Semestre de 2020, BCRA.

3 https://www.fiscales.gob.ar/ciberdelincuencia/coronavirus-recomendaciones-de-la-ufeci-para-evitar-el-robo-de-datos-personales-cuentas-y-claves-bancarias-durante-el-aislamiento/

Opinión

El nuevo art. 245 bis de la LCT y la reedición de viejos errores del pasado
Por Lucas J. Battiston
PASBBA
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan