Redacción El País
La Superintendencia de Servicios Financieros (SSF) del Banco Central (BCU) puso en consulta de las instituciones sujetas a su supervisión (bancos, emisores de dinero electrónico, entre otros) y del público en general "un proyecto normativo que introduce modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero en materia de obligaciones para los emisores de instrumentos electrónicos en aras de proteger a los usuarios de eventuales fraudes". Esto surge luego de que se detectaran nuevas modalidades de estafas con cuentas bancarias o de dinero electrónico.

"En lo que respecta al literal i. del artículo 364 (medidas que permitan garantizar razonablemente la seguridad del sistema en que opera el instrumento): se incorpora un artículo en materia de autenticación reforzada de clientes (artículo 364.1), que extiende la obligación de los emisores actualmente vigente de aplicar un doble factor de autenticación a las transferencias o pagos a terceros realizados desde una cuenta bancaria, a las transferencias a cuentas propias del usuario en otra institución y a las solicitudes de préstamos que fueran realizadas en forma no presencial".

Es decir, que la persona tenga un doble factor de autenticación también cuando se realizan transferencias a cuentas propias del usuario en otra institución y cuando realice solicitudes de préstamos online.

Esto tiene que ver con lo ocurrido hace dos semanas, cuando Ana encontró un comprador para un sillón que había puesto a la venta por $ 2.500 en Market Place de Facebook y el comprador le dijo que le había transferido $ 250.000 en vez de $ 2.500.

La estafa se concretaría luego, cuando Ana recibió una segunda llamada. Un supuesto funcionario del Banco República (BROU) le dijo que habían recibido la queja de una persona por el depósito de $ 250.000 y le avisó que le iban a mandar por WhatsApp un link para regularizar la situación. Ana entró a ese link y puso los datos de su cuenta.

Foto: Estefanía Leal.

Al rato volvió a ser telefoneada por el supuesto funcionario del banco, que le dijo que como el dinero ya le había llegado no se podía volver atrás y que la devolución la tenía que concretar directamente, sin participación del BROU, institución con la que se había hecho el giro. Ana replicó: “Pero a mí no me llegó ningún dinero”. Pero entonces volvió a entrar a su cuenta y finalmente allí sí estaban los $ 250.000.

Ana se comunicó con el comprador del sillón. Le dijo que tenía la plata y que se la podía girar a su cuenta. La otra persona le sugirió retirar el dinero y hacer el giro a través de una agencia de cobranzas, para no pagar la comisión al banco. Ella aceptó. Al día siguiente, Ana fue al banco, sacó el dinero, lo puso en una mochila y fue a hacer el giro.

En la agencia internacional a la que se dirigió le dijeron que, debido a que la cuenta a la que quería enviar la plata era de Argentina y no de Uruguay, no se podía hacer una transacción por ese monto.

Ana llamó al banco y finalmente, en el banco le explicaron que esos $ 250.000 que estaban en su cuenta en realidad eran suyos. Lo que había pasado era que con los datos que había ingresado al link que le había mandado el supuesto funcionario del BROU —que luego supo que era un impostor—, le habían tramitado un préstamo. El BROU, contó Ana a El País, decidió entonces recibir el dinero y cancelar el préstamo sin ningún costo para ella.

Foto: Estefanía Leal

Entonces, con la nueva norma del BCU, para solicitar el préstamo debería pasar por un segundo factor de autenticación no solamente con la contraseña.

Respecto a esta estafa, la gerenta general del BROU, Mariela Espino, había dicho a El País que tuvo el común denominador de la gran mayoría: el ingreso de usuario y contraseña de la cuenta bancaria en un sitio web falso. "Siempre volvemos a lo mismo, disfrazado de distintas formas", dijo Espino.

El BCU propone otro cambio normativo que puso en consulta. "En relación al literal n. del referido artículo 364 (notificaciones al usuario): se sustituye la obligación de ofrecer al usuario la posibilidad de recibir notificaciones cada vez que se procesa una transacción por la obligación de remitir al usuario las referidas notificaciones. Se mantiene la posibilidad de que, posteriormente, el usuario modifique los parámetros de estas notificaciones o decida no recibirlas", establece.

Es decir, en vez de darle al cliente del banco o de dinero electrónico la opción de que reciba una notificación cada vez que se procesa una transacción (compra con tarjeta, transferencia, solicitud de crédito, etc.), esta se hace en forma obligatoria. En todo caso, el cliente podrá modificar los parámetros de las notificaciones (que solo sea en casos que se supere cierto monto, por ejemplo) o que decida no recibirlas.

La notificación permite al cliente que si la transacción que le llega, no la hizo, puede llamar al banco o emisor de dinero electrónico y en en muchos casos se logra detener la misma.

La Superintendencia de Servicios Financieros señaló además que "continúa trabajando en otros aspectos en materia de seguridad de instrumentos electrónicos contemplando los riesgos de los mismos, así como la eficiencia del sistema financiero y de pagos".

"Estos temas serán comunicados en una próxima etapa del proyecto, estimada para el último trimestre del presente año", agregó.

"En este sentido, se están analizando excepciones a la aplicación del doble factor de autenticación para operaciones que conlleven menor riesgo para el usuario", concluyó.