Los delitos de estafas bancarias electrónicas han venido en aumento en los últimos años, por esta razón la Superintendencia General de Entidades Financieras (Sugef) determinó reformar el Reglamento sobre Divulgación de Información y Publicidad de Productos y Servicios Financieros.
Entre los cambios que se realizarán está agregar un capítulo para controlar, prevenir y mitigar la ocurrencia de estafas informáticas.
A partir de este momento las entidades reguladas tienen una serie de obligaciones para con los clientes.
La primera de ellas es que bancos, así como otras entidades reguladas, deberán definir y desarrollar una estrategia que mitigue y minimice los riesgos de sufrir estafas para los clientes.
Dicha estrategia debe contener un proceso de educación en ciberhigiene digital para que sus clientes puedan entender los riesgos y cómo defenderse de los ciberdelincuentes.
De acuerdo con la Sugef, la estrategia debe basarse en la evaluación de riesgos realizada en conjunto con las unidades de negocio y las funciones de control correspondientes, así como estar alineadas con las políticas de seguridad de la entidad.
Además debe ser aprobada por el máximo órgano de dirección de la institución y ser revisada periódicamente para encontrar vacíos o áreas de mejora posibles.
RESPONSABILIDADES DE LA INSTITUCIÓN
El reglamento también indica que son los bancos quienes están obligados a demostrar que una operación financiera fue autorizada por el usuario cuando este reclame una estafa, usando para ello información como el dispositivo utilizado y la geolocalización de este, entre otros.
También ahora existe para estas entidades la obligación de generar una serie de controles preventivos, detectivos y correctivos que permitan tomar decisiones por medio de un análisis integral.
MECANISMOS DE AUTENTICACIÓN
Asimismo, se obliga a las instituciones a establecer mecanismos de autenticación robustos que permitan validar la identificación e identidad del usuario financiero cuando ingrese a los canales digitales.
Dichos mecanismos deben incorporar elementos tecnológicos basados en dobles factores de identificación como firmas digitales, estándar y factores biométricos, entre otros.
PROTECCIÓN DE LA INFORMACIÓN
Otro elemento importante se refiere a la protección de la información que entrega el usuario. Esto lo buscan mediante políticas de contraseñas, protección de la marca, tiempos de expiración y límites de intentos de ingreso, entre otros puntos. Además se obliga que cada transacción que se realice deba ser notificada al usuario en menos de un minuto, ya sea por medio de correo electrónico, SMS o medios similares.
Esto deberá hacerlo por medios diferentes al correo electrónico para evitar correos gemeleados que terminan provocando phishing, estafa que consiste en enviar correos similares con links para robarle la información confidencial al usuario.
Hoy este mecanismo ya existe, pero no todos los clientes solicitan el servicio.
EDUCACIÓN AL USUARIO
El nuevo reglamento también entrega a bancos y otras instituciones la responsabilidad de educar en temas de ciberdelincuencia a sus propios clientes.
Para ello estas entidades deben construir un programa que analice los riesgos asociados a productos financieros virtuales.
Deben explicar cuáles son las prácticas criminales más importantes, concientizar a los usuarios financieros, dar consejos para proteger el correo electrónico, dar recomendaciones para detectar ataques, promover canales oficiales y orientar a los usuarios.
Junto a ello, estas instituciones deben generar campañas de concientización a los usuarios para entender la importancia de hacer una correcta gestión de sus canales digitales.
IDENTIFICACIÓN DE LOS TIPOS
Otra de las obligaciones que tendrán las entidades financieras es identificar los tipos de estafas informáticas que se presentan mediante un análisis estadístico que tenga una serie de datos sobre cada estafa. Estos datos son monto, zona geográfica, factores de autenticación, tipología, medio o canal usado para la estafa, descripción de la estafa, rango de edad del usuario, género del usuario, día y hora en que ocurrió el hecho, fecha del reporte y fecha de resolución del caso.
La idea es construir una serie de estadísticas nacionales que permitirían tomar acciones orientadas a combatir esa ciberdelincuencia.
En Costa Rica anualmente los delitos de este tipo provocan pérdidas por más de ¢20.000 millones.
PERIODISTA: Emmanuel Miranda Pérez
CRÉDITOS: Foto: Daniel Johnson
EMAIL: [email protected]
Martes 16 Abril, 2024
HORA: 12:00 AM
SIGUIENTE NOTICIA