Redacción El País
El Banco Central (BCU) detalló las normas de seguridad que exige a los bancos cuando se realizan operaciones por medios electrónicos (como pueden ser las que se hacen por Internet) y también señaló qué aspectos no están comprendidos en la normativa, en medio de denuncias por fraudes o estafas de este tipo y en respuesta a un pedido de acceso a la información pública.

El pedido realizado por Víctor Amaral (y que la Superintendencia de Servicios Financieros del BCU publicó en la web) consulta "acerca de los protocolos, medidas de seguridad, normativas o directivas exigibles a las instituciones bancarias en los casos de retiro total o de cantidades importantes de dinero, especialmente cuando se realizan por Internet. Asimismo, consulta los mismos extremos en los casos de contratación de préstamos a través de Internet".

Esto último tiene que ver con una reciente estafa a una persona que quería realizar la venta de un sillón y le terminaron pidiendo un préstamo a su nombre.

El BCU, a través de la Superintendencia de Servicios Financieros, respondió que "la normativa bancocentralista no determina condiciones específicas en el caso de retiros totales o por cantidades importantes de dinero realizados por clientes", es decir cuando sucede en forma presencial en una sucursal bancaria.

"Sin embargo, tratándose de operaciones por medios electrónicos (como es el caso de operaciones por Internet) la normativa exige a las instituciones establecer medidas que permitan garantizar la seguridad del sistema, lo que incluye metodologías de autenticación y niveles de acceso para asegurar que las operaciones sean efectuadas por las personas autorizadas", señaló el Central.

"En particular, para las transferencias o pagos a terceros realizados desde una cuenta bancaria se requiere como mínimo un doble factor de autenticación (literal i. del artículo 364 de la Recopilación de Normas de Regulación y Control del Sistema Financiero)", agregó.

Por ejemplo, un doble factor de autenticación puede ser la contraseña para ingresar el sitio u aplicación del banco y luego una clave dinámica o PIN al momento de querer efectuar una transferencia o pago a terceros.

El BCU recordó además que "el literal i. mencionado precedentemente exige también a las instituciones el establecimiento de medidas de monitoreo y control que permitan detectar hechos irregulares vinculados con el uso del instrumento o el sistema en el que opera".

Entre esos hechos irregulares, la normativa bancocentralista menciona: "ilos cambios e intentos de cambios de clave, número de identificación personal, dirección, teléfono y correo electrónico de contacto, medios establecidos para recibir comunicaciones, entre otros".

Foto de Archivo.

Además, la normativa del BCU en el literal i. mencionado exige a los bancos que su sistema "deberá resguardar, como mínimo: fechas y horas de las operaciones; contenidos de los mensajes; identificación de operadores, emisores y receptores; cuentas y montos involucrados; mecanismo de autenticación del usuario utilizado en la operación; identificación de la terminal desde la cual se operó (N. de R.: esto por ejemplo en el caso de cajeros automáticos); y si la operación fue realizada en forma presencial o remota".

Por último, el BCU respondió a la otra consulta del usuario que refería a qué medidas de seguridad exige a los bancos en los casos de contratación de préstamos a través de Internet.

Al respecto, la Superintendencia de Servicios Financieros señaló que "en lo que respecta a la contratación de préstamos a través de Internet, no existe una normativa específica, siendo obligación de las instituciones identificar a los contratantes".

De todas maneras, el BCU prevé incorporar una normativa con exigencias para los bancos en este aspecto.

A fin de agosto, la Superintendencia de Servicios Financieros del BCU puso en consulta de las instituciones sujetas a su supervisión (como los bancos) y del público en general "un proyecto normativo que introduce modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero en materia de obligaciones para los emisores de instrumentos electrónicos en aras de proteger a los usuarios de eventuales fraudes".

En ese sentido, en el mencionado literal i. del artículo 364 se incorpora "en materia de autenticación reforzada de clientes-", la extensión de "la obligación de los emisores actualmente vigente de aplicar un doble factor de autenticación a las transferencias o pagos a terceros realizados desde una cuenta bancaria, a las transferencias a cuentas propias del usuario en otra institución y a las solicitudes de préstamos que fueran realizadas en forma no presencial".

Es decir, que la persona tenga un doble factor de autenticación también cuando se realizan transferencias a cuentas propias del usuario en otra institución y cuando realice solicitudes de préstamos online.

El BCU propone otro cambio normativo que puso en consulta. "En relación al literal n. del referido artículo 364 (notificaciones al usuario): se sustituye la obligación de ofrecer al usuario la posibilidad de recibir notificaciones cada vez que se procesa una transacción por la obligación de remitir al usuario las referidas notificaciones. Se mantiene la posibilidad de que, posteriormente, el usuario modifique los parámetros de estas notificaciones o decida no recibirlas", establece.

Es decir, en vez de darle al cliente del banco o de dinero electrónico la opción de que reciba una notificación cada vez que se procesa una transacción (compra con tarjeta, transferencia, solicitud de crédito, etc.), esta se hace en forma obligatoria. En todo caso, el cliente podrá modificar los parámetros de las notificaciones (que solo sea en casos que se supere cierto monto, por ejemplo) o que decida no recibirlas.

La notificación permite al cliente que si la transacción que le llega, no la hizo, puede llamar al banco o emisor de dinero electrónico y en en muchos casos se logra detener la misma.