Billeteras digitales: nueva regulación del BCRA para prevenir los fraudes

FIDESnet 11-03-2022 , , , ,
Print This Post
La imagen tiene un atributo ALT vacío; su nombre de archivo es logo-prevencion.png

El pasado 24 de febrero el Banco Central de la República Argentina (BCRA) emitió la Com. A 7463 en la que establece un conjunto de reglas para fortalecer el nivel de seguridad de las billeteras digitales y ofrecer un mayor nivel de confianza a los usuarios de éstas.

Recordemos que el BCRA ha comenzado a regular a los Proveedores de Servicios de Pagos (PSP) a principios del 2020 con la Com A 6859 y desde entonces ha emitido comunicaciones tendientes a fortalecer el ecosistema de medios de pagos y dotar de mayor transparencia y seguridad a las operaciones que realizan los PSP.

En tal sentido, la reciente Com A 7463 es un paso más en ese objetivo, buscando resguardar y proteger a los usuarios de servicios financieros, en particular, aquellos que se vinculan por primera vez al sistema financiero mediante el uso de billeteras digitales y, por ende, pueden ser más vulnerables ante los eventos de fraude.

Cabe mencionar que, la citada comunicación se enlaza con la Com A 7462 (24-02-22) la cual definió y aclaró algunos conceptos, tales como:

– Servicio de Billetera Digital, también llamado “billetera electrónica” o “billetera virtual”

– Proveedores de servicios de pagos que ofrecen la función de iniciación sin cuentas de pago. (PSI).

– Creación de un nuevo Registro de Billeteras Digitales Interoperables.

– Distinción entre los Proveedores de Servicios de Pagos (PSP) y los Proveedores de Servicios de Pagos que ofrecen cuentas de pagos (PSPCP), siendo éstos últimos los destinatarios de mayores regulaciones en materia de prevención del fraude.

Volviendo a la Com A 7463, repasemos los aspectos que se introducen en la operatoria del esquema de pagos:

– Necesidad de habilitar los medios técnicos para lograr el consentimiento “simple e inmediato” por parte del usuario de la billetera digital (definida por la Com A 7462), cuando incorpore un medio de pago (cuenta a la vista u otro) a dicha billetera.

– Los Proveedores de Servicios de Pagos (PSPCP) y las entidades financieras también deben aplicar lo indicado en el párrafo anterior y adicionalmente, deberán:

o verificar en la autorización de toda instrucción de pago ordenada por el cliente a través del servicio de billetera digital, que el consentimiento brindado conforme lo indicado previamente se encuentra vigente, manteniéndose el plazo de acreditación máximo previsto definido en las normas sobre “Sistemas Nacional de Pagos – transferencias–

o brindar al cliente ordenante la posibilidad de establecer parámetros de uso de los servicios de billetera digital (por ejemplo: límites de montos por periodos y cantidad de operaciones). Asimismo, deberá permitir la visualización y modificación de los parámetros establecidos y la desvinculación de su cuenta del servicio de billetera digital de manera sencilla e inmediata, especialmente ante sospecha de fraude por parte del cliente.

Asimismo, la Com A 7463 estableció los elementos que deben considerarse para elaborar mecanismos para la Prevención del Fraude en el esquema de transferencias inmediatas, los cuales deberán contemplar:

– Tener identificadas las responsabilidades de cada participante del esquema de pago y la relación con los demás esquemas involucrados para la gestión del fraude.

– La atención al cliente para reclamos por fraude deberá recaer en el proveedor de la cuenta afectada (entidad financiera o PSPCP).

– Apoyar sus análisis de fraude con herramientas que permitan identificar patrones sospechosos. De acuerdo con el riesgo evaluado y en función de las responsabilidades identificadas, deberá contemplar acciones en coordinación con los participantes de los esquemas involucrados (por ejemplo: alertar al cliente ordenante y/o requerirle confirmación por vías alternativas antes de cursar la transacción).

– Establecer procedimientos para la resolución de reclamos que permitan una gestión planificada, coordinada entre los participantes de los esquemas de pago involucrados, oportuna para la atención y respuesta a los reclamos de pagos no autorizados, fraudulentos, erróneos, no concretados, etc. efectuados por los clientes. Asimismo, deberán definirse y publicarse los tiempos de respuesta máximos en todos los casos.

Adicionalmente se exige que todo esquema de transferencias inmediatas deberá coordinar con sus participantes y con los restantes esquemas:

a. La definición de la información necesaria a registrar por cada uno de los participantes del esquema (o, en su caso, de los esquemas) para contar con la trazabilidad de las operaciones de extremo a extremo, la cual deberá estar a disposición para el proceso de gestión de fraude a clientes o a cualquiera de los participantes.

b. La adopción de las medidas para dotar de confidencialidad e integridad a la información que se intercambia entre los participantes de extremo a extremo (por ejemplo, las credenciales, la transacción, o todo lo que sea necesario para procesar y completar un pago).

c. El intercambio de información complementaria para la prevención, detección y mitigación del fraude, considerando al menos, información sobre patrones de comportamiento sospechosos, alertas, vulnerabilidades y amenazas detectadas.

Como se puede apreciar en los párrafos anteriores, la puesta en marcha de las nuevas acciones para la Prevención y Gestión del Fraude requieren por parte de entidades financieras y de los PSPCP la elaboración de un Plan de Acción, en el que a priori se deberían considerar:

– La participación de diferentes áreas de las organizaciones (v.g. Sistemas, Operaciones, Comercial).

– La necesidad de asignar y/o crear niveles de responsabilidad interna para el tratamiento de los casos sospechosos de fraude, incluyendo, de corresponder, un Área de Prevención del Fraude.

– El desarrollo de un sistema de detección o bien de reportes de casos sospechosos de fraude, el cual deberá contar con las interfaces con el o los sistemas operativos del PSPCP.

– El diseño de un proceso de tratamiento, resolución, gestión y acciones frente a casos confirmados de fraude, incluyendo el intercambio de información entre los participantes del esquema de transferencias inmediatas.

En línea con lo anterior, es recomendable la elaboración de un Manual de Prevención del Fraude que describa el proceso interno de detección, investigación y mitigación, las responsabilidades de las áreas intervinientes y otros elementos que establece el BCRA, el cual, tal como lo requiere la propia normativa, deberá estar a disposición de la Superintendencia de Entidades Financieras y Cambiarias.

Si bien el BCRA otorgó un plazo de 180 días desde la emisión de la normativa para la puesta en vigencia de estas nuevas obligaciones, la complejidad en la implementación de estas medidas de Prevención del Fraude dependerá del grado de desarrollo de cada entidad y PSPCP, por lo que el primer paso será efectuar una Evaluación del gap entre la situación actual y lo requerido, a los fines de estimar los esfuerzos a realizar y los recursos a asignar.

Como conclusión, considero que esta regulación es el punto de partida para la implementación de un esquema de Prevención del Fraude robusto y homogéneo para todos los actores del sistema de pagos, fijando responsabilidades claras en esta materia frente a un evento de fraude y generando un desafío para el universo de PSPCP, el cual cobra cada vez más relevancia en el volumen de transacciones de pago.

Guillermo Zocco Vidal
Presidente de FIDESnet