Estafas en pagos electrónicos y billeteras digitales: las nuevas medidas del Banco Central para evitar fraudes

Las billeteras electrónicas y las entidades del sistema financiero -léase, bancos- tendrán que tomar nuevas medidas de seguridad para prevenir engaños a los usuarios de los servicios financieros, dispuso este miércoles el Banco Central.

En el caso de las entidades financieras, deberán poner a disposición de sus clientes, mediante notificaciones específicas y en forma inmediata, la información de los DEBIN recibidos, tanto en los casos "recurrentes" como aquellos que empleen la modalidad "spot".

Esas notificaciones deberán realizarse por alguno de los medios electrónicos de comunicación que utilicen con sus clientes, tales como correo electrónico, mensaje de texto o toda aplicación que genere notificaciones en el dispositivo móvil –teléfono celular u otro– del cliente receptor. 

La advertencia deberá incluir la siguiente leyenda en forma destacada –en cuanto a visibilidad y tamaño–: "Al aceptar esta transacción SE EXTRAERÁN FONDOS DE SU CUENTA por el monto indicado, los que serán remitidos a quien mandó la orden de extracción. Tenga en cuenta que NUNCA es necesario dar una autorización para RECIBIR pagos electrónicos".

El Banco Central pone bajo la lupa las transferencias electrónicas.

Nuevas medidas para las billeteras

En cuanto a las billeteras electrónicas, se decidió que a partir de agosto solo podrán asociar tarjetas de crédito y débito, cajas de ahorro o cuentas de pago u otras fuentes de fondos solo del titular de la cuenta.

De tal manera, se busca impedir que en una billetera se utilicen datos de terceras personas que pueden ser obtenidos por medio de fraude o engaño.

El BCRA busca implementar mayores regulaciones para el uso de billeteras electrónicas.

Más claridad en los créditos

Las medidas tomadas este miércoles por el Directorio del BCRA complementan las adoptadas recientemente para establecer una aceptación fehaciente de los créditos personales preacordados de acreditación automática. Las entidades financieras tienen que verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos y hacer un monitoreo y control, como mínimo, de los puntos de contacto indicados por el usuario y comprobar que no hayan sido modificados recientemente.

"La verificación deberá hacerse mediante técnicas de identificación positiva, lo que refuerza la obligación que ya tiene la entidad financiera de la responsabilidad de detectar la posibilidad de engaños de ingeniería social", indicó la entidad a través de un comunicado. 

Recién después de la verificación, la entidad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.

En paralelo, el BCRA indicó que el control deberá ser sobre todas las operaciones de créditos preaprobados realizadas a través de todos los canales electrónicos disponibles: ATMs, TAS, banca de internet (BI) y banca móvil (BM).

El canal electrónico, en pleno boom

En diciembre del 2020, la penetración de cuentas bancarias alcanzó el 91% de la población adulta, lo cual equivale a que más de 31 millones de personas poseen al menos una cuenta de este tipo, cumpliendo con el objetivo de llegar a la mayor cantidad de usuarios posibles y permitirles utilizar servicios financieros durante el distanciamiento social, según el BCRA. 

Este nuevo control, indica la entidad, se suma a los "Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras" que deben cumplir en forma obligatoria.

En este texto, se definen prácticas y requerimientos de implementación obligatoria para las entidades financieras relacionados al control de los riesgos de tecnología y seguridad informática. En particular, para la gestión de la seguridad en canales electrónicos, las entidades financieras deben cumplimentar los requisitos mínimos regulatorios en cada uno de los siguientes procesos, entre ellos:

1. Concientización y capacitación: es un proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para clientes internos y externos, con el fin de desarrollar tareas preventivas, detectivas y correctivas respecto de los incidentes de seguridad en los canales electrónicos.

2. Control de acceso: es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.

3. Integridad y registro: es un proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los canales electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación.

4. Monitoreo y control: es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.

5. Gestión de incidentes: es un proceso relacionado con el tratamiento de los eventos e incidentes de seguridad en canales electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.

Un problema en aumento

Tal como consignara iProfesional, en base a datos de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), el fraude y estafa en cuentas bancarias, como el robo de claves de acceso a homebanking o de datos de tarjetas de crédito, fue uno de los delitos que más creció el año pasado: pasaron de 22 casos denunciados en 2019 a 641 en 2020.

Ese crecimiento exponencial -adjudicado a la pandemia y a la utilización casi exclusiva del home banking- se agravó en la primera parte de 2021, con múltiples denuncias de fraudes con créditos personales "pre aprobados". Según el BCRA, desde que explotó la pandemia, unas cuatro millones de personas empezaron a operar a través del canal digital.

Ese agravamiento obligó a Miguel Pesce -titular del BCRA- y a Sabina Frederic -ministra de Seguridad- a buscar una solución rápida.

Desde el Central y también desde los bancos aseguran que los sistemas informáticos son seguros. Que prácticamente no hay casos de hackeos a los bancos. "Los sistemas son seguros, los usuarios del sistema financiero tienen que tener la absoluta certeza de que los bancos son seguros y todas las plataformas digitales son seguras", dice otro financista, en diálogo con iProfesional.

El Banco Central prepara un paquete de medidas para controlar fraudes vía home banking

"Lo que se han detectado son engaños generados con ingeniería social. Personas que entregan bajo engaño las credenciales de sus cuentas y a partir de ahí se dispara el robo de las cuentas", agrega.

Por eso mismo, las medidas del BCRA que se pondrán en marcha apuntan a esa validación de las autorizaciones a la hora de sacar un crédito exprés.

Hoy en día, cuando un cliente es víctima de una estafa, lo primero que tiene que hacer es la denuncia ante su banco. Y, si no obtiene una respuesta positiva, debe insistir con Defensa del Consumidor. Y también ante el Banco Central, que intercede ante la entidad financiera.

La cuestión de las estafas con los créditos de fácil acceso también llegó al Congreso. La senadora nacional Pilatti Vergara (Frente de Todos) presentó un proyecto de ley que haga obligatorios los mecanismos de doble o triple validación, con el objetivo de erradicar los casos de "phishing".

Según la iniciativa, ese tipo de préstamo exprés "es una decisión unilateral de la entidad bancaria, poniéndolo a disposición de los clientes con tan sólo un click, sin ningún tipo de consulta, aceptación de condiciones por parte de ellos, o información de los riesgos inherentes".

Otro proyecto, en la misma dirección, fue presentado por la senadora oficialista Norma Durango. Esa iniciativa propone que, antes de otorgar el préstamo, el banco debe realizar una comunicación telefónica con el cliente.

Ahora es cuestión de que la próxima semana, el BCRA defina los detalles y ponga en vigencia una herramienta que cuide a los clientes bancarios de las malas artes de los estafadores.