El Banco Central en rol activo, ajusta cada vez mas LA RESPONSABILIDAD DE LOS BANCOS DISTRAIDOS. Nuevas normas para las entidades financieras. Nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información.

Hace ya dos años, hemos venido interviniendo en causas de estafas bancarias a los efectos de defender los derechos de los consumidores en el marco constitucional de sus derechos como tales. La falta de medidas de seguridad de los sistemas bancarios (a nuestro modesto entender) tenían dos fuentes: la no observación de un sinnúmero de comunicaciones del BCRA y la imprevisión originada en el vertiginoso desarrollo de mecanismos de ingeniería social de la estafa como de fórmulas informática de hackeo de los sistemas tanto de los bancos como esencialmente de los usuarios, obligados por la pandemia a migrar al uso de homebanking de un día para el otro sin ejercicio alguno.

Los “cuentos del tío”, los virus introducidos mediante engaños para apoderarse remotamente de datos sensibles y luego hacerse pasar por el titular de la cuenta, y concretar la estafa, se ha convertido en un negocio en todo el mundo que algunos se animan a decir que hoy recauda más que el narcotráfico.

En ese marco de aperturas de cuentas sin los controles necesarios, potenciadas descuido por parte de los bancos, o el alquiler o compra de terceros que se prestaran a las maniobras (consciente o inconscientemente) han generado un caos, que a nuestro juicio -y lo venimos sosteniendo- ha comprometido la seguridad nacional, y genera la necesidad de una política pública severa y que se ponga a la vanguardia de las cuestiones relativas a la materia.

En tal sentido, el BCRA ha venido profundizando las exigencias y normativas, desde 2021, como el botón de arrepentimiento en enero de ese año y luego de julio del mismo, con otras medidas ordenadas a que fuera posible detectar movimientos ajenos, sospechosos y fraudulentos que al menos bloqueen las operatorias hasta su corroboración, para proteger al ahorrista.     

Siguiendo esa línea es que,  el reciente 2 de junio del 2023, se publicó la comunicación «A» 7783 del Banco Central de la República Argentina (BCRA), la cual establece los nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información asociados a los servicios financieros digitales para las Entidades Financieras y Proveedores de Servicios de Pago (PSP) de Argentina, cambios que se encuentran alineados con lo definido en la Comunicación «A» 7724 de BCRA recientemente emitida por el BCRA, la cual aún se encuentra en periodo de implementación.

Esta nueva comunicación viene a profundizar los requisitos mínimos de gestión, implementación y control de los riesgos, derivados y relacionados de la tecnología informática y seguridad de la información, derogando la Sección 11 de las normas sobre «Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información» del BCRA. Los cambios indicados en esta comunicación entrarán en vigencia a los 180 días corridos desde su difusión.

La comunicación afecta a las infraestructuras del mercado financiero conocidas como Sistema de Pago de importancia sistémica como: Interbanking, Coelsa, Link y Prisma, lo que busca una mayor cobertura en la gestión de riesgo de las operaciones realizadas por servicios financieros digitales.

Por otra parte, se tratan aspectos de control y monitoreo de aquella prestación de servicios financieros a clientes por medios digitales que permitan efectuar al menos, transferencias, pagos, extracciones, consultas u otras operaciones en línea, permitidas por las regulaciones vigentes. La consideración y evaluación de los riesgos vinculados a la apertura de cuentas no presenciales de clientes, los factores de autenticación de los clientes y la autorización o confirmación de las instrucciones realizadas por los clientes en los servicios digitales. Es importante destacar que los bancos estarán OBLIGADOS (responsabilidad objetiva) a implementar suficientes controles que permitan la correcta identificación y autenticación de los clientes al efectuar cualquier tipo de transacción sobre los servicios digitales, en especial transferencias no habituales y tratos con cuentas que no son contactos habituales (situaciones contempladas en normas que ya están en vigencia a pesar de que en las demandas judiciales los bancos insisten en desconocer tales extremos insistiendo en la torpeza del cliente, tema este que será materia de un próximo aporte del estudio jurídico). 

Es imprescindible destacar (en el sentido que nos venimos manifestando) que las nuevas normas tienden a imponer medidas para la detección y finalización de sesiones de las clientes no autorizadas en los servicios digitales. A su vez, limitar la exposición de los datos personales de los clientes. Validar que los dispositivos (contacto habitual sea computadora o teléfono) de uso sean los asociados por el cliente, por lo que apareciendo la transacción desde otro punto (otro IP) debe reportarse como sospechoso y el sistema debe bloquear de inmediato la operación (otro tema que cuesta que los bancos asuman).

La norma además impone el deber de mantener registros de las operaciones realizadas e informar al cliente de estas. Diseñar procesos que permitan corroborar la correspondencia unívoca de los datos o elementos requeridos con la persona humana que se pretende identificar. Validación de los puntos de contacto declarados por el usuario (computadora o teléfono o el medio elegido).

Seguramente de la experiencia y la necesidad de proteger la fe pública, el ente rector financiero (BCRA) obliga ahora a implementar sistemas de encriptación y autenticación robustos para salvaguardar los datos durante las transacciones financieras. Esto implica el uso de tecnologías avanzadas, como el cifrado de extremo a extremo y la autenticación multifactor (se supera la validación de doble factor, ya no alcanza usuario y contraseña o token), para proteger la información confidencial de los clientes frente a posibles amenazas cibernéticas. (léase controles biométricos).

 Además, deberán elaborar planes de capacitación y concientización específicos para los servicios financieros digitales como así proveer vías de comunicación, disponibles las 24 horas, a sus clientes del servicio financiero para la recepción, atención de consultas y denuncias, notificación de ciberincidentes y/o situaciones sospechosas.

Monitorear el uso y la evolución de técnicas de ingeniería social dirigidas a la organización, sus clientes y las terceras partes involucradas en los servicios. En este sentido, es importante destacar que la protección de los datos de los consumidores usuarios es vital la dimensión y la generalidad de las estafas así lo imponen. No son hechos aislados, son operaciones en banda. Nadie puede ignorar que las operaciones financieras a través de canales digitales son cada vez más comunes, por lo que las instituciones financieras deben tomar medidas proactivas para garantizar la seguridad y confidencialidad de la información personal de sus clientes.

Luego de mucha docencia a través de los medios con los que tenemos la posibilidad de hacerlo, vemos con beneplácito que esta comunicación viene a promover el uso adecuado y seguro de las operaciones financieras digitales y de sus datos, exigiéndose de una combinación de tecnologías seguras, políticas de privacidad claras y una gestión proactiva de la seguridad de la información. Las Entidades Financieras y los Proveedores de Servicios de Pago deben promover la confianza y garantizar la seguridad de los datos de sus clientes al utilizar los canales digitales para llevar a cabo sus transacciones financieras.

Ahora falta lo que decían los romanos: el derecho es dar a cada uno lo suyo, y en este caso es hora que los que tienen mayor responsabilidad asuman las medidas para evitar las estafas o mitigarlas, y afrontar la responsabilidad de los daños frente al consumidor cuando esa obligación no se cumplió o se hizo deficitariamente.