El Banco Central ensaya una barrera contra el robo de créditos y el fraude por homebanking

·4  min de lectura
El home banking es el canal que más creció para la captación de este tipo de depósitos
El home banking es el canal que más creció para la captación de este tipo de depósitos

Las entidades financieras deberán que verificar “fehacientemente” la identidad de las personas que solicitan la acreditación de créditos pre aprobados a través de los canales electrónicos, según estableció hoy el Banco Central (BCRA) mediante una norma con la que busca reforzar las normas de seguridad del sistema y evitar el robo de identidad al que recurren algunas organizaciones para vaciar cuentas bancarias o lograr financiamiento a nombre de otros.

Para cumplir con esa condición, tendrán que hacer un monitoreo y control, como mínimo, de los puntos de contacto indicados por el usuario y “comprobar que no hayan sido modificados recientemente”, tarea que podrán llevar adelante mediante “técnicas de identificación positiva”.

Se busca reforzar “la obligación que ya tiene la entidad financiera de la responsabilidad de detectar la posibilidad de engaños de ingeniería social”, destacó el ente rector del sistema en el comunicado mediante el que difundió su decisión.

Detalla que, cumplidos todos los pasos de verificación, “la entidad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes”.

Con la nueva norma, el BCRA intenta evitar estafas en el otorgamiento de créditos personales que los bancos ya tienen “pre aprobados” para sus clientes, dado que en los últimos meses fueron protagonistas de numerosas estafas por parte de personas u organizaciones que consiguen las claves de clientes desprevenidos, y tras acceder a su cuenta bancaria, aprovechan para tomar los créditos que esa persona tiene pre aprobados (y por lo mismo disponibles a un solo clic) para luego desviar el dinero a distintas cuentas propias, y dejarle la deuda al titular de esas cuentas.

A ese delito se lo conoce como phishing (deriva de la pesca), que no es es más y menos que una estrategia (anzuelo) para engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito.

En diciembre de 2020, la penetración de cuentas bancarias alcanzó el 91% de la población adulta, lo cual equivale a que más de 31 millones de personas que poseen al menos una cuenta de este tipo, cumpliendo con el objetivo de llegar a la mayor cantidad de usuarios posibles y permitirles utilizar servicios financieros durante el distanciamiento social.

El BCRA explicó que el nuevo control se suma a los “requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” que ya debían cumplir en forma obligatoria.

La información personal (claves) nunca deben ser compartido con ninguna persona o insertadas en sitios no verificados
La información personal (claves) nunca deben ser compartido con ninguna persona o insertadas en sitios no verificados


La información personal (claves) nunca deben ser compartido con ninguna persona o insertadas en sitios no verificados

En dicho texto se definen prácticas y requerimientos de implementación obligatoria para las entidades financieras relacionadas al control de los riesgos de tecnología y seguridad informática. En particular, para la gestión de la seguridad en canales electrónicos, las entidades financieras deben cumplimentar los requisitos mínimos regulatorios en cada uno de los siguientes procesos, entre ellos:

-Concientización y capacitación: es un proceso relacionado con la adquisición y entrega de conocimiento en prácticas de seguridad, su difusión, entrenamiento y educación, para clientes internos y externos, con el fin de desarrollar tareas preventivas, detectivas y correctivas respecto de los incidentes de seguridad en los canales electrónicos.

-Control de acceso: es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos.

Integridad y registro: es un proceso destinado a la utilización de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible de los canales electrónicos y las técnicas que brinden trazabilidad y permitan su verificación. Incluye (pero no se limita) a transacciones, registros de auditoría y esquemas de validación.

Monitoreo y control: es un proceso relacionado con la recolección, análisis y control de eventos ante fallas, indisponibilidad, intrusiones y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.

Gestión de incidentes: es un proceso relacionado con el tratamiento de los eventos e incidentes de seguridad en canales electrónicos, su detección, evaluación, contención y respuesta, así como las actividades de escalamiento y corrección del entorno técnico y operativo.

Nuestro objetivo es crear un lugar seguro y atractivo para que los usuarios se conecten en relación con sus intereses. Para mejorar la experiencia de nuestra comunidad, suspenderemos temporalmente los comentarios en los artículos.