Seguimos con la serie de artículos donde analizamos los cambios regulatorios recientes en la región latinoamericana referentes a la prevención de fraude para entidades financieras.

Desde Featurespace, en los últimos meses venimos siguiendo muy de cerca la regulación que entrará en vigor en unos días en el Reino Unido y analizando su posible impacto en entidades financieras y consumidores y, con estos artículos, pretendemos explorar las tendencias regulatorias en la región para entender las prioridades e intentar adelantar hacía donde evolucionarán las normativas y cómo las entidades financieras se pueden preparar protegiendo a sus clientes ante las nuevas amenazas de fraude financiero.

La semana pasada, en el artículo Alineamiento regulatorio sobre prevención de fraude en LATAM – Parte 1: México – Featurespace, poníamos el foco en México y en su reciente Resolución publicada por la CNMV en junio de este año, donde se presentan modificaciones relacionadas con la prevención del fraude, y cómo ARIC se alinea con cada uno de los puntos relevantes.

Comunicaciones del Banco Central de la República Argentina (BCRA)

Esta semana, analizaremos las comunicaciones del BCRA, no tan recientes como las mexicanas, pero igualmente relevantes para las entidades financieras en cuanto a la prevención del fraude.

El BCRA ha emitido en los últimos años varias comunicaciones con el objetivo de mejorar la postura de ciberseguridad y prevención de fraude, estableciendo un marco de cumplimiento que engloba a todo el sistema financiero del pais. En este artículo, nos centraremos en las comunicaciones específicamente dirigidas al tema que nos ocupa:

  1. Comunicación A7463: “Medidas para mitigar, prevenir y gestionar el fraude en las operaciones de transferencias” (24/02/2022)
  2. Comunicación A7783: “Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información asociados a los servicios financieros digitales” (02/06/2023)

Estas comunicaciones buscan reducir el fraude y proteger a los usuarios de servicios financieros mediante la implementación de los últimos avances tecnológicos diseñados para este fin, para mejorar la confianza de los usuarios gracias a la aplicación de controles de autenticación y gestión de riesgos.

Además, pretenden aumentar la capacidad de las entidades para detectar y prevenir escenarios de fraudes y otras amenazas en tiempo real, y ofrecer trazabilidad en las operaciones financieras cumpliendo con los estándares de seguridad de la información.

Estas comunicaciones muestran una tendencia del BCRA por proteger a los usuarios de servicios financieros y a las entidades frente a las amenazas crecientes que este entorno afronta.

Comunicación A7463: “Medidas para mitigar, prevenir y gestionar el fraude en las operaciones de transferencias” (24/02/2022)

En este documento regulatorio que entró en vigor 180 días después de su publicación, el BCRA, pretende sentar las bases para reducir el riesgo de fraude en transferencias y pagos digitales.

Además, establece el requerimiento para las instituciones financieras de utilizar herramientas que permitan la identificación de operativas y patrones sospechosos, y que puedan generar alertas que las detecten y avisen a los clientes de estas actividades potencialmente fraudulentas.

También pretende mejorar la gestión de los reclamos de fraude mediante la coordinación y comunicación de los participantes en los pagos no autorizados, y otorga a los usuarios autonomía para limitar su actividad y así puedan protegerse ante operativas de fraude.

Comunicación A7783: “Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información asociados a los servicios financieros digitales” (02/06/2023)

La comunicación A7783 es más extensa y detallada que la A7463 y cubre:

  1. Las normas sobre requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información asociados a los servicios financieros digitales.
  2. Extiende el alcance de las normas sobre “Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información” a los Sistemas de Pago considerados de importancia sistémica en Argentina: INTERBANKING, COELSA, LINK y PRISMA.

Los principales objetivos que aborda esta comunicación son:

  1. Fortalecer la seguridad de los servicios financieros digitales mediante la implementación de sistemas de autenticación múltiple (MFA) y otras medidas para la protección de los clientes en la ejecución de transacciones, apertura de cuentas y otras operaciones críticas.
  2. Mejorar la gestión de riesgos tecnológicos y asegurar que las entidades gestionen de forma adecuada incidentes relacionados con la ciberseguridad, así como un monitoreo transaccional en tiempo real para detectar anomalías en las operativas de los clientes que permitan accionar estrategias de prevención.
  3. Proteger los datos de los clientes y su privacidad mediante controles sobre la protección de datos y la seguridad de la información.
  4. Definición de procedimientos y gestión de incidentes de ciberseguridad y ofreciendo respuesta en escenarios específicos de fraude como la devolución de fondos si procede.
  5. Mejorar la resiliencia operative o ciberresiliencia que permita la continuidad de negocio ante eventos disruptivos.

Como ya hicimos en el artículo anterior, ofrecemos un análisis de los requisitos normativos especificados en las comunicaciones analizadas y que se alinean con las capacidades de ARIC Risk Hub:

Cómo vemos, aún no se aborda en detalle los casos de fraudes autorizados o estafas, pero vemos una tendencia clara hacía la protección de los usuarios de las entidades financieras para aumentar su confianza e incentivar el uso de sus productos y servicios en el día a día. Estaremos pendientes para ver si en los próximos meses observamos alguna iniciativa para tratar este tipo de escenarios cada vez más habituales.

En Featurespace ya ofrecemos a las entidades financieras protección para sus clientes, también en los escenarios más complicados de detectar, donde estos son engañados con técnicas de ingeniería social, ya sea con los modelos analíticos construidos para evaluar transacciones de pagos online o con productos específicos como Scam Detect, diseñado  específicamente para combatir tipologías los casos de estafa.