Un grupo de trabajo conformado a instancias del Banco Central del Uruguay, en el que tuvieron representación diferentes entidades financieras, elevó una propuesta que contiene una serie de medidas para la prevención de fraudes a través de herramientas electrónicas. En el grupo participaron representantes de la Asociación de Bancos Privados del Uruguay, Banco de la República Oriental del Uruguay (BROU), Midinero (Findarin S.A.), Oca Blue (OCA Dinero Electrónico S.A.), Prex (Econstar S.A.), Urutec y la Asesoría Jurídica, de la Oficina de Innovación, de Sistema de Pagos y de la Superintendencia de Servicios Financieros del Banco Central del Uruguay.
El grupo se creó a raíz de las diversas denuncias de usuarios de operaciones realizadas sobre sus cuentas sin su autorización y la verificación de “un incremento significativo de fraudes sobre cuentas, bajo distintas modalidades”.
Del trabajo de este grupo surgió una serie de propuestas que se presentan en cuatro áreas de acción: Fortalecimiento de la Educación Financiera, Mejora continua en materia de detección y monitoreo de fraudes, Canales de comunicación, cooperación e intercambio de información y el Desarrollo de un marco legal o fortalecimiento de la normativa actual.
NORMATIVA
La última de estas cuatro áreas es la de mayor complejidad. Plantea el informe del grupo de trabajo que el crecimiento del mercado, así como la aparición de nuevas modalidades de fraude y estafa, que superan los mecanismos y alertas existentes, “requiere de nuevas herramientas y más efectivas que permitan una acción ágil y coordinada en el sistema financiero y del sistema de pagos”. Las medidas propuestas abordan dos temas: el análisis del bloqueo de cuentas y el relevamiento del secreto bancario en casos de fraude.
En cuanto al bloqueo de cuentas, se indicó que en la Ley de Rendición de Cuentas (N° 20.075) se introdujo una modificación al artículo 53 del Código del Proceso Penal, referido a “Actuaciones de la autoridad administrativa sin orden previa”, por el cual se habilita a “los funcionarios con funciones de policía realizar las siguientes actuaciones, sin necesidad de recibir previamente instrucciones particulares de los fiscales”.
A las facultades allí enumeradas se agregó en el literal h que al recibir una denuncia por “presunta estafa, extorsión o receptación, con prueba fehaciente de depósito, giro, transferencia u otra forma de envío de dinero en cualquier moneda, mediante instituciones de intermediación financiera”, se podrá comunicar a la institución involucrada para que realice la inmovilización del dinero “hasta la suma objeto de la presunta maniobra delictiva”. Se determina un plazo de 72 horas en el caso de cuentas nacionales y de 96 horas “cuando la cuenta destinataria fuere extranjera”. En el mismo momento la medida se debe comunicar a Fiscalía y al Banco Central del Uruguay a los efectos pertinentes.
La inmovilización de fondos está comprendida en el Proyecto de ley de Ciberdelincuencia (en el Anexo III, artículo 13 del proyecto). Allí se proyecta facultar a las entidades “a la no ejecución de cualquier tipo de orden de retiro y/o transferencia de activos brindadas por personas físicas o jurídicas titulares o apoderados de cuentas, cuando hubieren tomado conocimiento, por cualquier medio de comunicación fehaciente, que en la o las cuentas referidas ingresaron fondos de terceros a través de transacciones que le fueran declaradas como desconocidas y no autorizadas por el titular de la o las cuentas de origen de los fondos transferidos”.
También se prevé la posibilidad de adoptar otras medidas como “Bloqueo Temporario, diferimiento de la operación o restricción de uso de un canal”.
En cualquier caso, en caso de aprobarse, se deberá “Dar aviso a su cliente que se va a utilizar el procedimiento de ‘bloqueo temporario’. En el caso de transferencias inmediatas, en virtud del mayor riesgo que representan, el bloqueo temporario podrá ser por hasta X horas hábiles (a definir con Sistema de Pagos)”.
SECRETO BANCARIO
Al respecto el informe menciona el caso de Argentina, donde se estableció una excepción para compartir información entre las instituciones –previa aprobación del Banco Central argentino–, sin necesidad de orden judicial. También en Perú se establecieron plazos cortos para la resolución judicial de su levantamiento. El grupo, analizando estos antecedentes, propuso “estudiar una nueva eventual excepción al secreto bancario”, la que se instrumentaría “a través de un agregado al artículo 1º de la Ley N° 17.948 de 8 de enero de 2006”, a efectos de permitir el intercambio de información entre las entidades, sin previa aprobación del BCU”.
“La propuesta apunta atender la problemática concreta de fraude en cuentas que convocó a reunión al grupo de trabajo. Sin perjuicio de lo cual, a futuro se podrá valorar la necesidad de realizar una revisión más profunda de la normativa referida a secreto bancario, que pueda abarcar también otras situaciones y mercados”, argumenta. En todo caso, de realizarse, “la misma deberá contener un análisis de la realidad y su eventual impacto ante cambios en la reglamentación referida (incluyendo mercado de valores), valoración de los potenciales beneficios e inconvenientes, así como el análisis de normativa comparada”, justifica.
EDUCACIÓN
El informe hace énfasis en la necesidad de involucrar al cliente “como parte del proceso de prevención de fraude, en tanto a mayor educación se logra una mayor prevención” por lo que se propone “generar o incluir un plan de capacitación y educación financiera para el uso de instrumentos” y la creación un Plan de Comunicación anual con recomendaciones al público.
En cuanto a la mejora continua en la detección y monitoreo, se evalúa instrumentar “mecanismos de monitoreo y revisiones continuas en materia de ciberseguridad” para mejorar los controles y garantizar una protección adecuada.
Esto supone recurrir a modelos de prevención tales como “a alertas de cambios de comportamiento, de dispositivos, de localización, etcétera”; Eliminación del uso de enlaces en correos electrónicos o SMS enviados a clientes minoristas; Retraso de al menos 12 horas antes de la activación de un nuevo soft token en un dispositivo móvil.
También se sugieren otros cambios, como un período de espera antes de la implementación de solicitudes de cambios clave en la cuenta, así como de los datos de contacto clave de un cliente; implementación de dobles factores de autenticación y la posibilidad de, superados ciertos umbrales de riesgo, impedir que la transacción se realice.