Esta semana tuvo ocurrencia el IV Congreso de prevencion de fraude y seguridad que le entrego a los colombianos muchos datos que nos indican como va el pais en ese sector.
La Asociacion Bancaria, la preside Maria Mercedes Cuellar y nos contaba, a traves de su discurso, que, definitivamente, internet se ha constituido en el canal predilecto para consultas de saldos -73% del total se efectua por ese medio- y a traves del mismo, el numero de transacciones aumento un 31% en el primer semestre de 2010.
La era de la tecnologia, sin duda alguna, cambio la forma de hacer negocios en Colombia.
LuisEmilioRadaC
Pd:
El discurso de la presidenta de la Asociacion Bancaria de Colombia, Maria Mercedes Cuellar
“
Es innegable que el avance tecnológico ha puesto a disposición del público y de los usuarios del sistema nuevos canales para la realización de operaciones financieras. De ahí que, durante el primer semestre de 2010 se hubiesen efectuado transacciones por $2.266 billones. De estas, el 40%; es decir, $915 billones de pesos, operó a través de canales electrónicos.
Por su parte, el número total de operaciones efectuadas (1.156 millones) creció en 9% frente al mismo período de 2009. De estas, 748 millones implicaron traspasos de dinero, 60% de los cuales se realizó a través de canales electrónicos tales como cajeros automáticos, datáfonos, internet, banca móvil y audiorrespuesta. En el uso de estos medios, se destacan los cajeros automáticos y/o datáfonos que participan en el 43% del total. Además, el Internet se constituye en el canal predilecto para consultas de saldos (73% del total se efectúa por ese medio) y a través del mismo el número de transacciones aumentó 31%.
No se puede desconocer que el significativo avance tecnológico, que ha permitido la realización de las transacciones descritas, también ha facilitado el actuar de las organizaciones criminales. Hoy el cibercrimen se constituye en una “gran oportunidad de negocio” para los delincuentes. En primer lugar, el riesgo es menor frente a otro tipo de delitos en razón a que internet favorece el anonimato y hace que el delincuente se sienta menos expuesto ante la víctima y ante las autoridades. En segundo lugar, los delitos informáticos generan economías de escala, en razón a la disposición de redes globales que posibilitan mediante una sola acción el acceso y ataque a múltiples usuarios. En tercer lugar, existe un alto grado de impunidad, explicado en parte por el escaso conocimiento y ausencia de especialización en delitos informáticos de las autoridades judiciales y la dificultad técnica que enfrentan dichas autoridades para obtener la carga probatoria. Finalmente, se facilita el acceso a herramientas tecnológicas sofisticadas orientadas a la comisión de delitos.
Sumado a lo anterior, la ciberdelincuencia ha venido adquiriendo características propias del crimen mundial organizado. Los últimos indicios que se tienen, identifican la existencia de segregación de funciones entre los miembros de una misma organización, al tiempo que existen cadenas de bandas especializadas en partes específicas del proceso requerido para la comisión de delitos. Por ejemplo, mientras algunos se dedican al desarrollo de programas informáticos, otros se encargan de acceder a las víctimas potenciales y, en el caso específico del fraude bancario, existen responsables de recoger las ganancias obtenidas producto del ilícito. Es decir, los individuos encargados de conminar el recibo de las transferencias obtenidas de los fraudes perpetrados.
Como consecuencia de este vertiginoso aumento de las transacciones realizadas por medios electrónicos y los avances paralelos en la criminalidad informática el sector financiero tiene cada vez mayores retos en materia de seguridad.
Cambio concepto de seguridad - visión integral
Para combatir la criminalidad informática, en principio, es necesario revaluar el concepto mismo que se tiene de “seguridad”. Las estrategias en este sentido a nivel mundial han pasado de abarcar la mera seguridad “física” a incorporar la prevención de los riesgos asociados con el “fraude”, que incluyen tanto los aspectos “físicos” como “lógicos”. En la actualidad, más que la seguridad física, adquieren cada día mayor sofisticación y relevancia la prevención del robo de información, los delitos informáticos y el espionaje electrónico.
Por ello es indispensable que las organizaciones empresariales en general, y no solo las bancarias, trabajen en la convergencia de estrategias y acciones que combinen tanto la seguridad física como la electrónica, la de información, gestión de riesgos y continuidad del negocio. El nuevo esquema impone una visión estratégica y precisa del apoyo de la alta dirección de las organizaciones empresariales, con el propósito de que redunde en una mirada integral de las mismas, e introduzcan sinergias adecuadas que aporten a la cadena de valor de las entidades. Esta visión incluye factores tales como el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos, de suerte que se facilite la identificación, medición y control de los riesgos a que se pueden ver enfrentadas.
Adicionalmente, el sistema financiero ha venido llamando la atención respecto de la necesidad e importancia de que las organizaciones cuenten con profesionales cada vez más calificados y especializados en la identificación de las nuevas tendencias y comportamiento del delito tecnológico, capacitados para reaccionar de manera ágil frente a la investigación de los incidentes.
La banca ha fortalecido sus plataformas de seguridad de cara al cliente
Por otra parte, se ha tornado imprescindible la migración hacia sistemas “inteligentes” de seguridad. En este sentido, la banca viene realizando ingentes esfuerzos en términos de la autenticación de la identidad de los clientes, configuración de perfiles transaccionales, monitoreo y entrega de información en línea de las operaciones realizadas.
Es dentro de ese marco que las entidades financieras ofrecen en la actualidad a sus clientes la posibilidad de personalizar las transacciones. Esto es, disponer durante un período previamente establecido del número y monto máximo de operaciones a ser efectuadas, así como de los destinatarios de pagos o transferencias. No obstante, a pesar de la conveniencia de la puesta en servicio de esta alternativa, todavía la proporción de usuarios que la utiliza es reducida, lo que dificulta la identificación de actividades bancarias diferentes de las habituales.
Tarjetas con chip – un compromiso de la banca colombiana
Otro de los grandes retos que enfrenta la banca en materia de seguridad es la puesta en operación de la tecnología EMV (European, Master, Visa) en las tarjetas de pago. Esto es, la conocida como tarjeta chip o inteligente. Hace un año con ocasión de este mismo Congreso hicimos un llamado de atención sobre los desafíos que ello implicaba. En esta ocasión queremos resaltar que esta migración no es un proceso para ser realizado de manera súbita, sino que es paulatino. Países como México y Brasil llevan 5 años introduciendo esta iniciativa y en el primero de estos países se extendió en año y medio el plazo para la migración a lectores de chip en datafonos, y se estableció un plan que prolonga hasta el 2014 la adecuación de los cajeros electrónicos.
En Colombia, a pesar de que el proceso tan solo lleva un poco mas de un año de haberse iniciado, este ha sido acelerado: cerca del 50% de los bines de las tarjetas débito y el 34% de las crédito incorporan la tecnología EMV y dos millones de las tarjetas en posesión de los usuarios del sistema tienen el chip incorporado.
En la actualidad, los establecimientos de crédito vienen realizando grandes inversiones y haciendo su mejor esfuerzo por acelerar el proceso migratorio y para poner a la mayor brevedad el servicio a disposición de todos los clientes bancarios. No obstante, la interoperabilidad entre franquicias y redes (tarjetas Mastercard en dispositivos Credibanco y tarjetas Visa en dispositivos Redeban Multicolor) requerida para la efectividad del sistema en la prevención del fraude aún no está disponible, al tiempo que los proveedores de plásticos tampoco han atendido la demanda de forma satisfactoria.
Retos para authorities
Si bien los avances tecnológicos que se vienen señalando imponen grandes retos para las entidades crediticias, también es cierto que su éxito precisa de un movimiento en la misma dirección, tanto de las autoridades de policía judicial y de investigación, como de la posibilidad de judicializar los delitos. Esta situación, por la complejidad técnica, la dificultad de identificar la ocurrencia de los hechos y la especialización técnica requerida de la práctica probatoria, complica el desmantelamiento de este tipo de bandas criminales.
Es por ello que, a juicio de Asobancaria, es preciso trabajar en tres frentes que, si bien son independientesn deben tratarse de manera integral: el institucional, el de formación profesional y el de adecuación tecnológica.
El institucional es fundamental para generar identidad al interior de la organización y propiciar mayor agilidad en los procesos. El de formación profesional, para que la policía judicial, los fiscales y los jueces adquieran los conocimientos y la experticia requerida para identificar, investigar y juzgar los casos producto de la comisión de este tipo de delitos. Y el de adecuación tecnológica, para que esas mismas autoridades dispongan de las herramientas necesarias para realizar las pesquisas y evaluaciones que precisan para el desarrollo de la investigación o fallo judicial.
En lo que corresponde con los aspectos institucionales, cabe señalar que hace algo más de un año la Asobancaria le propuso a la Fiscalía la creación de una Unidad Nacional especializada en la investigación de los Delitos Informáticos, con capacidad técnica para analizar estas tipologías criminales; identificar la conexidad entre diversos procesos; unificar casos y aprovechar los avances alcanzados de las unidades de delitos informáticos de la Dijin y el CTI. Quiero en esta ocasión reiterar la importancia de impulsar esta iniciativa a fin de que el conocimiento de este tipo de delitos, dadas sus características, sea responsabilidad exclusiva de fiscales especializados con jurisdicción en todo el territorio nacional.
En cuanto a la formación profesional requerida, es necesario que tanto fiscales como jueces se capaciten en el análisis de las conductas y estrategias de los cibercriminales y conozcan la legislación vigente en la materia y el manejo de la evidencia probatoria en los procesos judiciales, de suerte que le asignen un adecuado tratamiento penal a este tipo de conductas punibles.
El sector bancario consciente de estas necesidades, de tiempo atrás, se ha venido aproximando a la academia con el propósito de incentivarla a estructurar cursos de capacitación en criminalidad informática orientada a miembros de la rama jurisdiccional. Al respecto, quiero resaltar que la banca está en total disposición de las autoridades para apoyar la financiación de esta iniciativa.
En lo que hace referencia a la adecuación tecnológica de las instituciones públicas, cabe destacar que las entidades bancarias han venido estructurando proyectos de apoyo a las Unidades de Informática Forense de la Policía y de la Fiscalía. Con ello se pretende contribuir a aumentar la capacidad investigativa, analítica y proactiva en la atención de incidentes informáticos financieros y al fortalecimiento de la capacidad de respuesta.
El mayor desafío hoy está en cambiar los hábitos de los usuarios del sistema en materia de seguridad
Un elemento esencial para la prevención efectiva del fraude deriva de la concientización del usuario del sistema. En este frente, cabe destacar que la reforma financiera recientemente aprobada por el Congreso de los Estados Unidos dedicó un capítulo exclusivo a la protección de dichos actores y puso especial énfasis en la necesidad del adecuado suministro de información de parte de los establecimientos de crédito. En este aspecto, es destacable que las reformas financieras introducidas en Colombia en la última década avanzaron en este sentido. El régimen de protección al consumidor data de 1996 y fue reformado en 2009. En él se impulsó una serie de principios y reglas para ser atendidas por los establecimientos de crédito frente a los usuarios del sistema. Entre ellas se incluyó la obligatoriedad de informar a los usuarios del sistema de los procedimientos requeridos para el manejo seguro de los productos o servicios a que tienen acceso.
Por esta razón el sector viene realizando importantes esfuerzos de comunicación orientados a dar a conocer a sus clientes las acciones requeridas para que sus transacciones sean más seguras. Por cuenta de ello, hoy enfrentamos un escenario en el que el consumidor financiero está informado respecto de las acciones de seguridad a seguir y está consciente de su importancia. No obstante, no las pone en la práctica. En consecuencia, cambia el gran desafío: ahora este consiste en inducir el cambio de hábitos, así ello sea particularmente complejo.
Por lo tanto, dada la complejidad del desafío a enfrentar, se precisa del apoyo de las autoridades y de los medios de comunicación en el fortalecimiento de la divulgación de mensajes que creen conciencia de la importancia, por ejemplo, de cambiar las claves con periodicidad, personalizar las transacciones y recibir información en línea respecto de cada una de estas.
A pesar de las dificultades que se han tenido en este proceso, es preciso destacar que en razón a los esfuerzos realizados por los bancos orientados a fortalecer la atención al cliente, han disminuido de manera considerable el número de quejas recibidas. En efecto, información de la Superintendencia Financiera señala que las quejas interpuestas por los usuarios de los establecimientos de crédito han caído significativamente, no obstante el vertiginoso aumento del número de operaciones realizadas. En este sentido, el número de quejas por cada diez mil transacciones se redujo a la mitad entre junio-diciembre de 2007 y el mismo periodo en 2009. Y en lo que se refiere al número de quejas por concepto de seguridad y fallas operativas, la cifra correspondiente es inferior a una por cada cien mil transacciones.
Bancarización y comercio electrónico – desafíos en seguridad
Por otra parte quiero llamar la atención respecto de la importancia que los establecimientos de crédito le vienen asignando a la bancarización e inclusión financiera. Este interés ha sido compartido por el gobierno del Presidente Santos, en particular en lo referente al acceso a los servicios bancarios básicos y a los medios electrónicos de pago. Ello implica desafíos para la banca, en razón a que todos los canales e instrumentos para la realización de operaciones electrónicas precisan de adecuados estándares de seguridad y calidad, con costos asociados apreciables, que alguien debe asumir.
Es sencillo solicitar que la banca disponga de nuevos canales y dispositivos para que más ciudadanos puedan acceder a los diferentes servicios bancarios. Sin embargo, no se puede ignorar que detrás de la instalación de cada cajero o corresponsal no bancario, existe un sinnúmero de análisis y requisitos que es preciso cumplir en materia de seguridad. Por ejemplo, un nuevo ATM requiere para su operación, una serie de adecuaciones físicas, tecnológicas y de seguridad lógica. En el caso de los corresponsales no bancarios, cajeros y oficinas, en especial en municipios alejados de las cabeceras municipales, es indispensable considerar aspectos relativamente costosos como la disponibilidad permanente de efectivo, con riesgos de seguridad en cuanto al transporte y la custodia del mismo.
Es fundamental que el comercio electrónico sea seguro y en ese sentido apoyamos la importancia que el gobierno le asigna al logro de mayor confianza por parte del usuario y a la protección de las transacciones. No obstante, también es importante llamar la atención respecto de la necesidad de que las políticas no solo involucren a todos los actores que participan en la realización de este tipo de transacciones, sino que también estas partan de un principio ético: nadie puede beneficiarse del fraude.
Con ello me refiero, por ejemplo, al caso del pago de servicios públicos vía Internet. En esa operación, además del cliente que realiza la transacción, está la empresa que presta el servicio de acceso a la red desde donde se efectúa la operación, el banco donde el usuario del servicio tiene la cuenta, la empresa que presta el servicio público y que recibe el pago, el tercero que hace la compensación y el banco donde se encuentra la cuenta recaudadora. Todos estos actores deben trabajar coordinadamente para mitigar los riesgos de fraude y por ello es de la mayor relevancia que la regulación incluya a todas las instituciones implicadas en la cadena. Actualmente, el sector financiero cuenta con una regulación precisa y exigente, pero existen grandes debilidades en la correspondiente a los establecimientos de comercio o empresas de tecnología que forman parte del proceso.
Para terminar, quiero extenderle mis agradecimientos a todos y cada uno de los conferencistas nacionales e internacionales que aceptaron la invitación a participar de este Congreso. Estoy segura de que estos dos días de deliberación contribuirán a enriquecer el conocimiento de todos los sectores que nos acompañan”.
Maria Mercedes Cuellar
