A vuelta de respuesta a un mail o tras postear un Twitter quejándose de la entidad en la que tienen una cuenta, muchos vieron vaciarse sus cajas de ahorro. Los bancos se lavan las manos hasta que les cae un juicio. Pero ahora el Banco Central tomó cartas en el asunto.
Los eventos de pishing bancario y otros fraudes a clientes desprevenidos terminan en muy pocos casos en juicios millonarios a los bancos por no haber establecido mejores políticas de seguridad. Pero, por lo general, el cliente se siente culpable por haber sido ingenuo, y no protesta.
Ante esta situación, el Banco Central dio un fuerte vuelco en sus normas de ciberseguridad para las entidades financieras, con la publicación este viernes 10 de marzo de la Comunicación A 7724, que modifica las anteriores con en una visión centrada en minimizar incidentes.
"El BCRA actualizó los 'Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información', obligando a las entidades financieras a implementar control interno y la gestión de riesgos en tecnología y su mitigación", precisa Gabriela Abad, abogada de la Asociación Usuarios y Consumidores Unidos (UCU).
"La norma establecen exigencias de diseño de las operaciones y procesos que ofrezcan ciberrresiliencia ante incidentes", explica en diálogo con iProUP Federico Tjor, abogado especialista en Derecho Informático, e indica que "también se regula la gestión de ciberincidentes, buscando una preparación y planes de respuesta, registros de ciberincidentes y su investigación", indica.
Sin embargo, Tjor apunta que, "si bien los cambios resultan positivos para asegurar un umbral de seguridad aceptable para el funcionamiento de las entidades financieras, involucran casi en su totalidad, aspectos de funcionamiento interno de los bancos, con poca relevancia para la seguridad de los usuarios en sus operatorias virtuales".
"La norma precisa el uso de la Inteligencia Artificial (IA) dentro de las entidades bancarias, y les exige identificar y documentar el objetivo del uso de algoritmos de este tipo, con exigencias puntuales a fin de evitar sesgos o discriminación contra grupos de usuarios, como así mismo la obligación de informar su uso al cliente", comenta Tjor.
"El BCRA considera especialmente a la adopción por parte de las entidades de la Inteligencia Artificial en sus procesos, la utilización de tecnología nueva o emergente en el marco de los ciberincidentes", aclara Abad.
"El recaudo que exige el BCRA en el uso de algoritmos de IA es la confiabilidad en su uso y la adopción de medidas para evitar la existencia de sesgos o discriminación contra usuarios de servicios financieros", agrega.
"La norma también establece la comunicación al cliente cuando el banco utilice servicios soportados por este tipo de tecnología", sostiene Abad, y agrega: "es importante que el usuario sepa cuando lo atiende una persona de carne y hueso o un robot".
"En esta extensa normativa, el BCRA pone foco en los distintos recaudos que deberán llevar a cabo los bancos para asegurar la identificación, evaluación, seguimiento, control y prevención de los llamados ciberincidentes", remarca Abad.
"¿Qué son los ciberincidentes? El BCRA los define como aquellos incidentes de tecnología y seguridad que pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite", puntualiza.
"Es de público conocimiento la ola de ataques de tipo "ingeniería social", "phishing", "vishing" y otros de similares características, que se exponenciaron en la pandemia del COVID-19, como otros incidentes informáticos, que persisten hasta el día de hoy", recuerda.
"Ahora el BCRA insiste en exigir a las entidades programas de capacitación y concientización en materia de seguridad de la información, que alcancen a los clientes y usuarios, contemplando los riesgos de tecnología, y los aspectos relacionados con la gestión de ciberincidentes", resalta Abad.
"La Comunicación A 7724 establece una serie de pautas que obligan a las entidades financieras a llevar a cabo una planificación estratégica en ciberseguridad", remarca Abad, y enumera las obligaciones que impone el BCRA a los bancos:
Definir modelos de accesos para los usuarios que contemplen los factores de autenticación, el comportamiento en el uso de servicios y distintas fuentes de información que permitan validar su identidad.
Establecer medidas de protección que aseguren la integridad y confidencialidad de los factores de autenticación al cliente y que reduzcan el riesgo de ataques, con la utilización de métodos que prueben la posesión y el control sobre el dispositivo por parte del usuario.
Se deberán evaluar y mitigar los riesgos sobre las propias limitaciones del método, la tasa de falsos positivos, las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales y el impacto en la privacidad de los usuarios.
El Banco central define como Canales Electrónicos a cajeros automáticos, terminales de autoservicio, banca móvil, banca telefónica, banda por internet y plataforma de pagos móviles. E impone a las entidades contar con equipos de trabajo especializado en la gestión de incidentes de seguridad de todos sus Canales Electrónicos.
No obstante, "hubiera sido esperable que se aprovechase la oportunidad para regular la obligación de informar a los usuarios, y no solo al BCRA, en el caso de existir ciberincidencias, robo de datos o información".
La Comunicación "A" 7724 entrará en vigor en 180 días, con el fin de permitir una revisión de los procesos para ajustarse a este nuevo abordaje regulatorio, según informó el Banco Central.
"Las nuevas modalidades en las operatorias bancarias, a través de retiros de dinero en cajeros automáticos, pagos por transferencia o mediante homebanking, o a través de posnet con tarjetas de crédito y de debito, demostraron la debilidad del sistema, por ejemplo, de las siguientes maneras", enumeró Flavio Lowenrosen, experto en derecho de consumo:
"En esos casos, los sistemas no han detectado que se utilizan tarjetas distintas, o se opera desde cuentas no oficiales, por ejemplo", remarca Lowenrosen.
"La organización bancaria no puede advertir que terceros simulan ser ella y aconsejan a los usuarios a realizar determinadas actividades (dar datos, remitir emails, efectuar transferencias) que redundan en contra de sus derechos e intereses patrimoniales", explica Lowenrosen.
"Como las entidades no toman la medidas necesarias para evitar estafas a los usuarios, deben asumir la responsabilidad ante situaciones de debilidad organizativa o de falibilidad", subraya Lowenrosen.
"De todos modos, y aunque la omisión no libera en forma manifiesta al banco, los usuarios deben actuar con prudencia, consultando ante cualquier duda o eventualidad a la entidad financiera, y dejando constancia de ello", advierte.