Estafa informática: Entidades financieras activarán nuevo protocolo el 1 de junio

Las entidades financieras supervisadas, como bancos, financieras y cooperativas de ahorro y crédito, deberán implementar una estrategia para minimizar los riesgos de estafas informáticas contra los usuarios que utilicen los canales digitales puestos a su disposición.

Así lo establece una nueva normativa aprobada por el Consejo Nacional de Supervisión del Sistema Financiero (Conassif) y la Superintendencia General de Entidades Financieras (Sugef), la cual regirá a partir del próximo 1.º de junio.

Ambos órganos dispusieron que dicha estrategia se enmarque en una evaluación de riesgos, realizada de manera conjunta con las unidades de negocio y las funciones de control correspondientes, y alineada con las políticas de seguridad de la entidad. El objetivo es determinar si los controles implementados son suficientemente robustos para mitigar las tipologías de estafas informáticas que afectan a los clientes.

Como parte de esa evaluación, las entidades supervisadas deberán establecer mecanismos basados en análisis estadísticos que permitan identificar y mitigar la ocurrencia de nuevas tipologías de estafas informáticas, así como monitorear la evolución de las ya existentes.

Para el análisis estadístico, deberán recopilar, al menos, los siguientes datos, que permitan segmentar la información sobre el conocimiento de cada caso de estafa informática y su concentración o comportamiento:

• Monto defraudado.
• Factores de autenticación utilizados al momento de la estafa para ingresar, realizar transacciones o ejecutar acciones en los canales digitales.
• Tipología de estafa informática.
• Medio o canal utilizado.
• Descripción del caso.
• Rango de edad del usuario financiero.
• Día de la semana y franja horaria en que ocurrió la estafa.
• Fecha de reporte.
• Fecha de resolución del caso.

Según la normativa, las entidades supervisadas deberán establecer un programa de educación en ciberhigiene digital, dirigido a los usuarios de servicios y canales digitales. Este programa debe incluir acciones de capacitación, asesoría y concientización para prevenir que las personas sean víctimas de estafas informáticas. Además, cada entidad será responsable de definir el alcance del programa.

Reglas

El reglamento indica que, en los casos en que el cliente rechace haber autorizado una operación, las entidades deberán verificar que dicha transacción fue efectivamente autorizada por el usuario financiero y que está registrada a su nombre.

Ante el reclamo de los usuarios, las entidades deberán demostrar que han cumplido con las disposiciones establecidas para prevenir y mitigar las estafas informáticas, así como comprobar que sus sistemas informáticos no han sido vulnerados.

Deberán establecer controles preventivos, detectivos y correctivos que protejan tanto las cuentas de fondos como la información de los usuarios financieros ante posibles fraudes a través de canales digitales. Estos controles deben permitir identificar transacciones atípicas y tomar medidas al respecto mediante un análisis detallado.

La normativa también dispone que las entidades implementen mecanismos de autenticación robustos para validar y verificar la identidad de los clientes cuando:

• Ingresen a los canales digitales.
• Realicen transacciones o acciones que impliquen riesgos.
• Utilicen mecanismos de autogestión en los canales digitales, como la creación de nuevos usuarios, cambios de token o contraseñas, bloqueo de cuentas, recuperación de credenciales, entre otros.

Además, las entidades deberán incorporar en sus canales digitales mecanismos para proteger la información de los usuarios, tales como:

• Certificación de autenticidad de los sitios web y aplicaciones móviles.
• Elementos que permitan corroborar la autenticidad de los comunicados remitidos por las entidades.
• Políticas de contraseñas robustas.
• Tiempos de expiración por inactividad en las sesiones.
• Límites de intentos de inicio de sesión o autenticación.
• Cierre automático de sesiones tras detectar inactividad.
• Límites diferenciados para la cantidad y el monto de las transferencias realizadas por los usuarios, tanto a nivel local como internacional, según sus necesidades particulares.

Otras disposiciones

La normativa también establece lo siguiente:

• Las entidades deberán contar con políticas y procedimientos para realizar bloqueos preventivos de fondos de transferencias cuyo origen o destino se presuma vinculado a una estafa informática.
• Deberán habilitar mecanismos de autogestión en sus canales digitales y centros de atención telefónica, que permitan a los clientes bloquear temporalmente productos o servicios financieros de forma expedita.
• Tendrán que mantener registros de las cuentas utilizadas en estafas informáticas y aplicar las medidas de monitoreo y debida diligencia correspondientes.
• Deberán remitir a la Sugef un reporte histórico de los casos comprobados de estafas informáticas contra usuarios financieros, así como de las lecciones aprendidas.
• Cuando los usuarios rechacen haber autorizado una transacción electrónica, deberán notificarlo a la entidad supervisada.
• Los canales habilitados para dicha notificación deberán estar disponibles incluso cuando los usuarios se encuentren fuera del país.
• Al momento de la notificación, las entidades deberán proporcionar un número o código de recepción para seguimiento.
•  Las entidades deberán bloquear de forma inmediata el producto o servicio afectado y ofrecer una alternativa contingente para que los clientes puedan continuar operando.
• Si las entidades no atienden los reclamos por transacciones no autorizadas, los usuarios podrán presentar una queja formal ante la Sugef.