Seguridad en los sistemas de pago: hechos y reflexiones Banco Central de Venezuela Caracas, 2008 Catalogación en fuente de Biblioteca Ernesto Peltzer Banco Central de Venezuela Seguridad en los sistemas de pago: hechos y reflexiones / — Caracas: BCV, 2009. — 130 p. Edición Especial Publicación que recoge las ponencias exhibidas durante el III Foro de Sistemas de Pago, Seguridad en los Sistemas de Pago: Hechos y Reflexiones, efectuado el 6 de junio de 2008 en el Banco Central de Venezuela. CONTENIDO: Presentación / Pascual Pinto Lentino.— Palabras de apertura / José Manuel Ferrer Nava.—Banca tradicional: resguardo de los pagos de los clientes / Jean Carlos Bardot, Banco Mercantil.—Tarjetas de crédito: generando confianza en el uso del dinero plástico / Alejandro Estrada, VISA Internacional. — Comercio electrónico: seguridad, punto de partida para más comercio / Mario Dávila, Cavecom-e.— Banco de México: experiencia en pagos electrónicos / Alejandro de los Santos, Banco de México.— Usuarios organizados: visión de la seguridad en los sistemas de pago / Roberto León Parilli, Anauco.— Banco Central de Venezuela y la seguridad en los sistemas de pago / Luis Alberto Laviosa, Banco Central de Venezuela. — Incluye índice. ISBN: 980-xxx-xxx (Ejemplar) 1. Bancos – Venezuela – Procesamiento de datos 2. Cámaras de compensación – Venezuela – Procesamiento de datos 3. Economía financiera 4. Valores – Pagos 5. Bancos – Servicios al cliente 6. Comercio electrónico 7. Tarjetas de crédito I. TÍTULO II. Foro de Sistemas de Pago Seguridad en los Sistemas de Pago: Hechos y Reflexiones, Caracas, 6 de junio de 2008. III. Banco Mercantil IV. VISA Internacional V. Cavecom-e VI. Banco de México VII. Anauco VIII. Pinto Lentino, Pascual IX. Ferrer Nava, José Manuel X. Bardot, Jean Carlos XI. Estrada, Alejandro XII. Dávila, Mario XIII. De los Santos, Alejandro XIV. León Parilli, Roberto XV. Laviosa, Luis Alberto Clasificación Dewey: 332.17 / S456 Clasificación JEL: E41, E50, G20, G21 © Banco Central de Venezuela, 2008 Producción editorial Gerencia de Comunicaciones Institucionales, BCV Departamento de Publicaciones Avenida Urdaneta, esquina de Las Carmelitas Torre Financiera, piso 14, ala sur, Caracas 1010, Venezuela Teléfonos: 801.5514 / 8380 / 5235 Fax: 536.9357 publicacionesbcv@bcv.org.ve www.bcv.org.ve RIF: G-20000110-0 Diseño, diagramación y corrección Departamento de Publicaciones, BCV Impresión XXXXXXX Hecho el Depósito de Ley Depósito legal: lfXXXXx ISBN: 980-XXXXXxx Impreso en Venezuela – Printed in Venezuela Las opiniones expresadas en esta publicación son responsabilidad exclusiva de los autores y no representan el criterio del Banco Central de Venezuela. Se prohíbe la reproducción total o parcial sin previa autorización del editor. Autoridades DIRECTORIO Gastón Parra Luzardo Presidente Rafael J. Crazut Bernardo Ferrán Armando León Rojas José Félix Rivas Alvarado José S. Khan Fernández Haiman El Troudi (Representante del Ejecutivo Nacional) ADMINISTRACIÓN Gastón Parra Luzardo Presidente José Manuel Ferrer Nava Primer Vicepresidente Gerente Contenido Presentación Pascual Pinto Lentino, BCV.......................................................... 9 Palabras de apertura José Manuel Ferrer Nava, BCV .................................................... 17 Banca tradicional: resguardo de los pagos de los clientes Jean Carlos Bardot, Banco Mercantil............................................. 23 Tarjetas de crédito: generando confianza en el uso del dinero plástico Alejandro Estrada, VISA Internacional.......................................... 35 Comercio electrónico: seguridad, punto de partida para más comercio Mario J. Dávila Z., Cavecom-e..................................................... 61 Banco de México: experiencia en pagos electrónicos Alejandro de los Santos, Banco de México...................................... 79 Usuarios organizados: visión de la seguridad en los sistemas de pago Roberto León Parilli, Anauco......................................................... 97 Banco Central de Venezuela y la seguridad en los sistemas de pago Luis Alberto Laviosa, BCV............................................................ 121 Presentación Pascual Pinto Lentino Vicepresidente de Operaciones Nacionales (e) Banco Central de Venezuela En la presente publicación se recogen los principales contenidos de las ponencias exhibidas durante el III Foro de Sistemas de Pago titulado Seguridad en los Sistemas de Pago: Hechos y Reflexiones, el cual se llevó a cabo el 6 de junio de 2008, en las instalaciones del Banco Central de Venezuela. La realización del evento y la presencia de reconocidos representantes de los sectores involucrados en los sistemas de pago muestran el profundo interés que existe en el tema de su seguridad, dentro del Instituto y en la sociedad en general. En esta tercera entrega del foro se consideró adecuado abordar el tema de la seguridad en el contexto de las operaciones de pago que se realizan a diario en la economía. Dentro de este orden de ideas, debe entenderse por seguridad la certeza que tienen las partes involucradas en una transacción de pago de que la misma se realizará de modo cabal y final, de acuerdo con las condiciones concertadas y preconocidas por las partes. Esas condiciones están principalmente referidas a la autenticidad de la instrucción, validez, plazos y costo de la misma. Presentación Los beneficios que se obtienen por el logro de niveles adecuados de seguridad en los sistemas de pago repercuten positivamente en el dinamismo de la economía y en la confianza que el público deposita sobre las infraestructuras que permiten la transferencia de fondos. Esta es una de las razones por las que el Banco Central de Venezuela, desde 1999, ha impulsado la reforma de los sistemas de pago del país. Uno de los principales logros obtenidos es la puesta en funcionamiento de la Cámara de Compensación Electrónica, la cual brinda un procesamiento seguro para las operaciones de pagos minoristas que atiende. Sin embargo, este logro es apenas uno de los grandes objetivos planteados en la reforma del sistema de pagos de Venezuela. El Instituto seguirá promoviendo e impulsando cualquier esfuerzo que contribuya al establecimiento de mejores condiciones para la realización de los pagos y la consecución de mayores niveles de seguridad y eficiencia para los mismos. Las ponencias presentadas a lo largo del III Foro de Sistemas de Pago abordaron diversas necesidades y experiencias referidas a la seguridad de los pagos electrónicos. El evento fue introducido por el doctor José Manuel Ferrer Nava, presidente encargado del Banco Central de Venezuela, quien destacó el gran interés que despierta el tema de la seguridad entre los diversos sectores involucrados. Además, enfatizó el propio interés del Instituto en el tema y señaló algunas de las iniciativas que se han adoptado para lograr un Sistema Nacional de Pagos más seguro. 12 Seguridad en los sistemas de pago Seguidamente, Jean Carlos Bardot, representante del Banco Mercantil designado por la Asociación Bancaria de Venezuela, presentó la ponencia “Banca tradicional: resguardo de los pagos de los clientes” en la cual además de disertar acerca de lo que se debe entender por banca tradicional, dio cuenta de los riesgos asociados a los tres principales grupos de instrumentos de pago ofrecidos por la banca y de los mecanismos para su mitigación. En tal sentido, se abordaron los aspectos de seguridad relacionados con los cheques, la infraestructura de tarjetas, que incluye los puntos de venta y los cajeros automáticos, y la banca virtual. Luego, Alejandro Estrada, representante de VISA Internacional, presentó el tema “Tarjetas de crédito: generando confianza en el uso del dinero plástico”. En esta ponencia se mostró el rápido crecimiento que han experimentado los pagos electrónicos a través de tarjetas de pago en el mundo, los retos que enfrenta hoy la industria de las tarjetas de crédito y débito, y la estrategia adoptada por la franquicia para abordar tales desafíos, basada en la implementación de múltiples niveles de seguridad y en la evolución tecnológica de la plataforma de pagos. A continuación, Mario Dávila, representante de la Cámara Venezolana de Comercio Electrónico, expuso el tema “Comercio electrónico: seguridad, punto de partida para más comercio”. En esta presentación abordó el panorama actual del uso de Internet en Venezuela y resaltó los avances que ha tenido el uso de la red para 13 Presentación el comercio electrónico y las operaciones bancarias. Asimismo, mostró algunas definiciones para dar paso a las reflexiones sobre el rol de la banca en el impulso y promoción del comercio electrónico. Posteriormente, Alejandro de los Santos, ponente invitado del Banco de México, expuso las experiencias del Banco Central de ese país latinoamericano en la ponencia “Banco de México: experiencia en pagos electrónicos”. Aquí mostró los avances obtenidos en materia de seguridad y eficiencia por el sistema de transferencias electrónicas (Sistema de Pagos Electrónicos Interbancarios). Igualmente, señaló la relevancia que ha tenido en la generación de confianza la adopción de la infraestructura de firmas digitales. Por su parte, Roberto León Parilli, representante de la Alianza Nacional de Usuarios y Consumidores, mostró el punto de vista de los usuarios en el tema de la seguridad, a través de la ponencia “Usuarios organizados: visión de la seguridad en los sistemas de pago”. En esta presentación explicó los objetivos de la organización y el marco jurídico que la ampara. Igualmente, destacó los logros alcanzados en la defensa de los usuarios que representa, los riesgos identificados en los instrumentos de pago y algunas propuestas para alcanzar mayores niveles de seguridad. Por último, Luis Alberto Laviosa, gerente de la Unidad de Análisis del Mercado Financiero del Banco 14 Seguridad en los sistemas de pago Central de Venezuela, dio por concluido el foro con un resumen de las ideas sobresalientes abordadas en las presentaciones previas. Asimismo, señaló la importancia de alcanzar mayor transparencia en los temas relacionados con la seguridad y con el logro de la cooperación requerida para la promoción e impulso de las iniciativas orientadas a alcanzar los niveles deseados de seguridad para el Sistema Nacional de Pagos. Es propicio el debido reconocimiento a las autoridades del Instituto, por el auspicio del evento, a los ponentes, por ceder parte de su tiempo a la transmisión de sus conocimientos y experiencias, a los funcionarios de la Gerencia de Comunicaciones Institucionales, por suministrar el apoyo logístico y a los funcionarios de la Unidad de Análisis del Mercado Financiero, por el diseño, la organización y la realización del foro, así como por todas las actividades que hicieron posible la publicación de este documento. 15 Palabras de apertura José Manuel Ferrer Nava* * Economista de la Universidad del Zulia (LUZ) con maestría en Administración y Economía de los Hidrocarburos de esa misma casa de estudios, y especialización en Consultoría de Productividad y Calidad de la Corporación Andina de Fomento-Fondo para la Investigación y Mejoramiento de la Calidad y la Productividad (CAF). Cuenta con experiencia en el área de recursos humanos y de consultoría, así como en el ejercicio de cargos directivos y docentes en distintas universidades del país. Actualmente se desempeña como Primer Vicepresidente Gerente del Banco Central de Venezuela. Es un placer y un gran honor dar la bienvenida al Foro Seguridad en los Sistemas de Pago: Hechos y Reflexiones, en el marco de la política de difusión de conocimiento técnico especializado del Banco Central de Venezuela y en aras de generar cada vez más espacios de intercambio constructivo en los temas que a todos nos atañen. La seguridad en los sistemas de pago se ha convertido en un tópico de interés por parte de académicos, investigadores, operadores del sistema bancario, reguladores y clientes en general. Esta motivación se debe a que las transacciones que se realizan a diario dentro de la economía están profundamente influenciadas por la confianza o certeza que tengan los involucrados de que tales operaciones se ejecutarán de manera cabal bajo condiciones acordadas. Aumentar este grado de certeza es un objetivo común que compartimos todos los presentes. Ahora bien, ¿por qué debería interesarle al Banco Central de Venezuela este tema de la seguridad? Típi- Palabras de apertura camente, el Instituto como ente emisor ha mostrado su preocupación por el suministro de medios de pago con los mayores niveles de seguridad. Tal es el caso de la nueva familia de billetes y monedas, los cuales incorporan los avances más recientes para evitar que los mismos sean objeto de fraudes de cualquier índole. Esta misma preocupación se extiende a las infraestructuras de pago implementadas por el Banco Central, como la Cámara de Compensación Electrónica, los sistemas de transferencias interbancarias y de valores, así como también a todos los sistemas de pago que operan en nuestro país. Tal interés es la razón principal por la que el Banco Central de Venezuela ha organizado este foro. A través de la realización de este evento hemos querido reunir un conjunto de personas con diversos enfoques sobre el tema para abarcar los aspectos relacionados con la seguridad en la banca tradicional, en el creciente mercado de las tarjetas de crédito y en el comercio electrónico. Asimismo, contaremos con la valiosa experiencia de nuestro invitado del Banco de México, quien nos mostrará las acciones de la banca central y, además, con los enfoques de las asociaciones de usuarios y del propio Banco Central de Venezuela. Todo apunta a que este encuentro será de gran valor práctico para todos los presentes. No obstante, mucho más que entregar un conjunto de definiciones, experiencias y logros particulares, el 20 Seguridad en los sistemas de pago Instituto desea que el foro contribuya con el establecimiento de una visión compartida de las metas por alcanzar y de las acciones que se deben realizar para lograrlas. A este respecto, se reconoce la necesidad de crear espacios de cooperación y discusión entre los diversos entes involucrados del sector público y privado. En estas áreas de cooperación resultará fundamental el accionar de los organismos reguladores debido a que los mismos son, por un lado, los custodios y garantes de la estabilidad y solidez del sistema financiero, pero también, por su condición y naturaleza, pueden allanar el camino para que más venezolanos disfruten de las ventajas de un sistema financiero y de pagos eficiente y seguro. Esto resulta prioritario si consideramos que los continuos avances tecnológicos y su aplicación permiten que cada día se puedan proveer más y mejores servicios a los clientes, a un costo cada vez menor. Sin embargo, esta continua evolución también impone nuevos retos para los organismos reguladores, los operadores, los bancos y los usuarios quienes hoy se enfrentan a situaciones complejas que no habrían sido previsibles una o dos décadas atrás. Situaciones tales como el resguardo de los datos, la protección contra el robo de identidad, las clonaciones y otros tipos de fraudes electrónicos. Esto ha originado una gran cantidad de iniciativas para contener los potenciales peligros en el uso de los avances electrónicos. 21 Palabras de apertura Pese a ello, en cuanto a seguridad en los sistemas de pago, se reconoce que aún queda camino por recorrer. Es el deseo del Instituto que este foro contribuya con el establecimiento de esa ruta que indicará la dirección que en el futuro cercano seguiremos todos los involucrados y así contribuir además con la consecución de nuevos niveles de beneficio social y crecimiento económico, con equidad y justicia social. 22 Banca tradicional: resguardo de los pagos de los clientes Jean Carlos Bardot* * Ingeniero de computación egresado de la Universidad Simón Bolívar (USB). Programa Avanzado de Gerencia del Instituto de Estudios Superiores de Administración (IESA). Cuenta con amplios conocimientos y experiencia en las áreas de desarrollo de sistemas, pruebas y control de calidad, telecomunicaciones, sistemas de información y se ha especializado en el área de riesgo y seguridad de información en el sector financiero. Actualmente se desempeña como Coordinador de Seguridad de la Información en Mercantil Banco Universal. Resumen Los procesos principales de la banca consisten en intermediar fondos y administrar sistemas de pago. Estos procesos se han mantenido durante el transcurso del tiempo pero lo que ha cambiado es la forma de ejecutarlos. Al adoptar tecnologías en procesos tradicionales y añadir el apetito comercial por la automatización de los pagos, se puede evidenciar el surgimiento de riesgos y el planteamiento de estrategias de resguardo. Esta realidad justifica el establecimiento de un conjunto de retos con la finalidad de disponer de sistemas de pago seguros y donde es primordial tomar conciencia de las responsabilidades en el resguardo de la información y en la construcción de una ética virtual de las personas. Palabras clave: autenticación y validación, banca tradicional, ética e identidad virtual, ingeniería social. Banca tradicional: resguardo de los pagos de los clientes Es normal escuchar hablar sobre aspectos de la “banca tradicional” o referencias en cuanto a sus procesos, pero es recomendable hacer una pausa para entender el marco que limita lo que diferentes sectores denominan de esa forma. Dependiendo de la historia particular de cada persona se podría entender por banca tradicional aquella que usaban sus padres o abuelos, por no decir ellas mismas, en la que se debían trasladar hasta una oficina y en algunos casos, a una oficina en particular (“donde usted abrió la cuenta”). Desde un punto de vista más contemporáneo, se podría afirmar que la banca tradicional es aquella que realiza las funciones de captación y colocación de capitales de forma conservadora o hasta de carácter personal, es ese “cara a cara”, en el cual se establece el trato individualizado entre la banca y su cliente. Para la bibliografía moderna, la banca tradicional es aquella que se caracteriza por intermediar fondos y administrar los sistemas de pago. Son muchas las formas de definir la banca tradicional, el problema es que cada época ha tenido su propio estilo o procesos “tradicionales”. Hoy en día no se puede pensar en un banco sin elementos de autoservicio, centro de llamadas, banca en línea o mecanismos de operación las 24 horas del día. Los cajeros automáticos (Automatic Teller Machines, ATM) y los puntos de venta (Point of Sales, POS) son elementos básicos de partida de cualquier concepto de negocio bancario con miras a las masas de clientes. 26 Seguridad en los sistemas de pago En la banca actual no se piensa en elementos aislados y por el contrario se imaginan mecanismos que permiten la movilización e interoperabilidad con los sistemas financieros de todo el mundo. No en vano existen servicios transaccionales vía respuesta de voz interactiva (Interactive Voice Response, IVR), servicios de mensajes cortos o sistemas de mensajes de texto para teléfonos celulares (Short Message System, SMS), kioscos de servicios financieros, puntos de venta donde se pueden pagar servicios o retirar dinero, acceso por Internet a las cuentas y la capacidad para operarlas. Si todo esto es así y se considera como banca tradicional, entonces, qué se puede esperar en el futuro o qué se puede entender como “no tradicional”. En este sentido, se puede considerar que la banca tradicional es ésta, la que día a día se redefine, se adapta a las exigencias del mercado y explota las bondades tecnológicas que tiene a la mano, con una gran sensatez de mantener la confianza de sus clientes en los sistemas de operación (o pago) que le ofrecen. Es esa misma banca la que ha aumentado el potencial de los instrumentos financieros ya existentes para darles uso y valor en los diferentes canales o medios de comunicación con sus clientes, pero en esta carrera de servicios y elementos tecnológicos, se ha hecho presente cada vez más la variable de seguridad o manejo de riesgo con el objeto de garantizar la confianza y la operatividad del servicio y minimizar las probabilidades de fallas o pérdidas. 27 Banca tradicional: resguardo de los pagos de los clientes A continuación se hace referencia a las estrategias planteadas por la banca para el uso de los instrumentos financieros y se trata de sopesar los riesgos que actualmente pueden existir. Si se habla de los cheques como un instrumento de pago, de uso moderado y evolución de muchos años, se puede observar cómo la banca ha establecido mecanismos de seguridad en el papel, estructuras de control entre los datos en las cuales se vincula producto y cliente, proceso de conformación de fondos o veracidad de la emisión de dicho valor. Sin embargo, no se puede dejar de mencionar que estos procesos y controles son básicamente los mismos que existían hace muchos años, con la variante que prevalece hoy en día en materia de automatización. Entonces, ¿qué ha pasado con los riesgos de este proceso de pago?, se mantiene la custodia sobre el título valor, acción que recae sobre el cliente, pero no se pueden obviar los procesos de generación, distribución y operación, puesto que si bien es cierto que al cliente le pueden robar cheques y suplantar su identidad, no menos cierto es que existe data sensible expuesta en cada uno de los tres procesos antes mencionados. Por ejemplo, en el caso de una conformación de cheque por IVR, donde quien llama es un estafador que logró apoderarse de un cheque y de los datos personales del cliente, sólo necesita conocer el saldo que dispone la cuenta para poder llenar el cheque y cobrarlo. En ese momento, puede llamar reiteradamente para conformar 28 Seguridad en los sistemas de pago el cheque por montos diferentes, iniciando por un valor muy alto e ir disminuyendo hasta que sea conforme y así posteriormente llenar del cheque. ¿No se supone que los cheques están llenos cuando llaman para conformarlos? En relación con los instrumentos estrellas, las tarjetas de débito o de crédito, medios de pago por excelencia, dotados de elementos de seguridad como el número de identificación personal (Personal Identification Number, PIN), el código de seguridad, la fecha de vencimiento, entre otros, y que para operar, en algunos casos se pide información que sólo debería conocer el cliente, lo que se ha denominado como “pregunta de desafío”. Lo cierto es que la banca, tradicionalmente ha lidiado con los reclamos sobre las transacciones de estos productos y lucha contra la clonación, fachadas, cámaras, robos y “bailaítos”, entre otros, pero, ¿cuál es el mayor riesgo que vive hoy en día la banca? Actualmente, se enfrenta al procesamiento masivo de data comprometida o al temor de un cambio o intervención en los sistemas de aprobación. Ambos casos recientemente vividos, con mucha suerte, en el sistema financiero nacional. Ya no es el robo o ataque puntual en un ATM o a un comercio, ejecutado por una pequeña banda de malhechores, ahora la banca se enfrenta a mafias internacionales que hacen inversiones de hasta cinco años en recursos humanos para capacitarlos e introducirlos en las instituciones o en los proveedores de servicio y los colocan en los puntos neurales de los procesos que desean controlar para, de esa forma, hacerse de grandes volúmenes de datos y operaciones. 29 Banca tradicional: resguardo de los pagos de los clientes Igualmente, la naturaleza de la operación requiere el enlace entre muchas redes, switches y adquirentes. La data que transita desde un punto de adquirencia es manejada por cada uno de los intermediarios hasta llegar al emisor, y la data necesaria para clonar una tarjeta está viajando y no se tiene garantía de quién la ve o manipula en cada etapa. Si a esta exposición se le agrega la posibilidad de ingeniería social, o lo que es igual, la exposición de las personas a suministrar información que comprometa el proceso de pago o hasta su propia vida, se puede presentar el escenario ideal para una película muy taquillera. Ya se tiene experiencia en Venezuela de fraudes masivos, que afectaron todo el sistema financiero. Destacan casos como: programas que autorizan cualquier operación sin importar los parámetros o evidencias de base de datos con información sensible sin el debido nivel de protección, que ya forman parte de la historia. En los medios virtuales, tales como la banca en línea, los IVR y los teléfonos celulares, la estrategia de seguridad se basa exclusivamente en confiar en la identificación y autenticación del cliente. Dado el potencial de los canales virtuales en cuanto a los costos para la banca y la capacidad de funciones y portabilidad para los clientes, suena incongruente que con sólo una identificación y en la mayoría de los casos una clave simple, se pueda tener acceso a casi todos los servicios de la banca tradicional. Sin embargo, la tecnología permite cada vez más mitigar los riesgos inherentes al uso de este medio. Algunos de los mecanismos de uso común son las técnicas de cifrado, 30 Seguridad en los sistemas de pago las autenticaciones robustas y las autorizaciones fuera de banda. El problema de los medios virtuales es que las operaciones se realizan en dispositivos que no están bajo el pleno control de la banca. Los computadores personales, los teléfonos y las telecomunicaciones son dispositivos conformados por infinidad de componentes de diferentes fabricantes, interconectados funcionalmente para prestar un servicio: “comunicar”. Esta comunicación no necesariamente ocurre sin espías o elementos no deseados de por medio. Por lo tanto, se requiere una autenticación entre los interlocutores. Esto sólo para minimizar el riesgo, como bien lo demostró recientemente el hacker1 Kevin Mitnick, el pasado mes de abril, cuando demostró la suplantación de IVR o llamadas telefónicas. Desde el año 2006, se ha visto un incremento en la cantidad y el uso de la tecnología, sobre los incidentes de phishing2 focalizados en la banca venezolana. A escala internacional, proveedores de servicio especializados reportan incremen1 Término utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. 2 Término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. 31 Banca tradicional: resguardo de los pagos de los clientes tos considerables, con variaciones de más del 100% en la cantidad de ataques de seguridad. En el sector financiero se mantiene la ocurrencia en un 30% de ese total. Si se quisiera definir el problema, se debería revisar qué tan rápido se han adaptado los procesos tradicionales internos frente a los medios o técnicas de comunicación y uso de los clientes. Todavía se siguen manejando firmas manuscritas en papel para canales virtuales. El mercado exige cada vez más a la banca la apertura de servicios o delegación de partes del proceso hacia empresas de servicio como las de telecomunicaciones o ventas. Los comercios leen y manipulan los instrumentos financieros, establecen segmentos y estrategias de ventas sobre indicadores económicos que son potestad y responsabilidad del cliente y de la banca. En resumen, la data requerida para la operación de pago se encuentra dispersa por todas partes. Es muy sencillo obtener la cédula de la persona, manipular la tarjeta de debito o crédito, conocer las preferencias y gustos personales. Algunos puntos de exposición, son: • Cédula de identidad y domicilio para comprar en cualquier comercio. • Estado civil, fecha de nacimiento, nombres de familiares en cualquier campaña de acumulación de puntos, rifas, encuestas públicas, páginas de comunicación escrita a través de 32 Seguridad en los sistemas de pago Internet entre dos o más personas que se realiza instantáneamente (chat3, blogs4). • Historia personal, colegios, estudios y trabajos en cadenas de correo, sitios de comunidades (www.facebook.com, www.myspace.com), etcétera. • Sitios oficiales como el CNE, Seniat, Cantv. • Troyanos enviados en cadenas de correo. En el año 2007 se vivió en Venezuela la evidencia del interés internacional, al hacerse presente mutaciones de troyanos bancarios provenientes de otros países. El caso más reciente fue con técnicas de inyección de código para hacer un solapamiento u overlaping en los sitios reales de banca en línea. El cliente es contaminado con un correo con elementos anexos o por mensajería instantánea y al momento de entrar en su sitio de banca en línea, no puede detectar la presencia de campos falsos destinados a capturar su información de autenticación. Resulta evidente que el reto para la banca tradicional debe enmarcase en la actualización de sus procesos para manejar el dinamismo de los canales modernos a fin de poder cerrar las brechas creadas por la misma 3 Cibercharla. Anglicismo que usualmente se refiere a una comunicación escrita a través de Internet que se realiza instantáneamente. 4 Sitio en la red que se actualiza periódicamente. 33 Banca tradicional: resguardo de los pagos de los clientes tecnología. Establecer un patrón de consumo y uso de sus clientes para poder detectar variaciones sobre dicho patrón y vincular al mismo cliente en la participación preventiva de los eventos de seguridad, el resguardo de sus datos e instrumentos financieros y el cuidado sobre su “identidad virtual”, constituyen mecanismos adecuados para salvaguardar sus datos personales. Si lo más normal es que las personas se cuidan al caminar, hacer amistades, comer y están pendientes de su salud, reputación e integridad, ¿por qué entonces no se tienen los mismos cuidados con su identidad virtual al recibir un correo, al entrar en un sitio de Internet (site) o al entregar información de instrumentos financieros a un tercero? Ciertamente los sistemas financieros ofrecen cada día más alternativas de movilización y actuación sobre activos y crecen en ofertas y canales de comunicación. Lo contradictorio es que todo ese potencial se mantenga protegido con sólo un usuario y una clave. 34 Tarjetas de crédito: generando confianza en el uso del dinero plástico Alejandro Estrada* * Ingeniero industrial del Tecnológico de Monterrey con maestría de la Escuela de Negocios de la Universidad de Harvard. Cuenta con experiencia en las áreas de riesgo del sistema de pagos, riesgo crediticio, riesgo empresarial y en programas de cumplimiento corporativo. Actualmente se desempeña como responsable del Área de Riesgo VISA Inc., para la región América Latina y el Caribe. Resumen En virtud de la relevancia que han adquirido los pagos electrónicos en el mundo, garantizar su seguridad se ha convertido en un elemento fundamental para su desarrollo y consolidación. Por ello, en esta ponencia se presenta una breve descripción sobre la corporación VISA, para luego abordar los retos que tiene en materia de seguridad y la estrategia diseñada para atender este importante tema. Palabras clave: adquirentes, comercios, emisores, franquicia, pagos electrónicos, seguridad, tarjetas de crédito y débito. Tarjeta de crédito: generando confianza en el uso del dinero plástico Dimensiones del negocio Empezaremos definiendo qué es VISA, para lo cual tal vez sea útil comenzar diciendo las actividades a las que no se dedica esta organización. VISA no emite tarjetas sino que son sus clientes (los bancos o entidades financieras que están alrededor del mundo) los que se encargan de esta tarea. Igualmente, no otorga crédito a los comercios ni a los tarjetahabientes, aunque sí lo hace de alguna manera en el caso de los bancos que intermedian en una transacción. Por tal motivo, no está expuesta a riesgo crediticio. Ahora bien, ¿qué es VISA? Es una compañía que se hizo pública recientemente, a la cual muchos llaman “franquicia”. Asimismo, es la mayor red internacional de intercambio de valor y un proveedor de soluciones y productos de tecnología de pagos. Debido al hecho de que los productos ofrecidos a los bancos son luego ofrecidos por éstos a los clientes, puede decirse que VISA tiene una relación “negocio a negocio” (business to business) con sus socios, más que una relación directa con consumidores y tarjetahabientes. Algunas estadísticas relacionadas con la operación pueden dar una idea de la extensión de este negocio. Los clientes directos de VISA son entidades financieras que reciben la denominación de adquirentes, que son los bancos que afilian a los comerciantes así como los 38 Seguridad en los sistemas de pago bancos emisores, que son aquellos que emiten las tarjetas. A escala global, existen 16.600 instituciones que fungen en calidad de emisores. Por otro lado, también a escala mundial, existen alrededor de 1.600 millones de tarjetas, lo que equivale a un plástico por cada cuatro personas. Aunque, obviamente, la realidad es que hay mercados en los que una persona tiene múltiples tarjetas y otros en los cuales la penetración todavía es muy baja. En 2007 se realizaron 50.000 millones de transacciones, en unos 29 millones de comercios afiliados, por un valor de 3,8 billones de dólares5. Todo esto conforma lo que se denomina VISANet o red de pagos VISA, que es una red privada, administrada por VISA, que cuenta con una serie de políticas de seguridad y manejo de marca. Más allá de la fuerte migración que se ha visto hacia los pagos electrónicos, este mercado comenzó hace cerca de 35 años con las primeras tarjetas de crédito. Se les llamó “tarjetas” porque eran físicas y sólo eran utilizadas para ciertas transacciones, principalmente de viajes y entretenimiento, en zonas geográficas muy limitadas. Claro está, si se habla de los orígenes de estas tarjetas habría que remontarse a principios del siglo pasado. La empresa conocida como Western Union emitió el primer instrumento que podría ser considerado como una tarjeta de crédito. El mismo fue concebido para el pago de los telégrafos y era un dispositivo de pago que poseían las 5 Debe entenderse billones por millones de millones (trillion en inglés). 39 Tarjeta de crédito: generando confianza en el uso del dinero plástico empresas o personas naturales. No obstante, poco queda de aquellos mecanismos basados en medios físicos. Hoy, han evolucionado y se han convertido en medios cada vez más electrónicos. Con tal evolución, VISA ha podido ofrecer más servicios a sus clientes. ¿Qué es lo que ofrece la red de pagos de VISA? En el mercado de las tarjetas, ofrece mucho valor a los tarjetahabientes. ¿Por qué? Por la conveniencia de no tener que traer efectivo consigo y de poder acceder a crédito de manera inmediata en un amplio rango de tipos de comercio. Asimismo, existen múltiples programas de beneficios y recompensas al tarjetahabiente, tales como seguros de vida, seguros de equipaje y seguros médicos. Todo esto constituye más que el simple valor económico intercambiado. Como vemos, existen muchas otras ventajas para los poseedores de tarjetas que les aportan valor. Por el lado de los comercios, VISA les ofrece un mecanismo para recibir pagos de manera más segura que con los mecanismos tradicionales. Asimismo, les permite realizar ventas a personas extranjeras debido a que las tarjetas actualmente constituyen un mecanismo de pago a través del cual se adquieren bienes y servicios como una moneda única a escala internacional, sin la necesidad para el viajero de tener múltiples tipos de moneda en los bolsillos. 40 Seguridad en los sistemas de pago Y, por el lado de los negocios y Gobiernos, VISA agrega eficiencia en las transacciones comerciales porque permite que los dineros y créditos empleados en las mismas estén administrados por entidades financieras y sean productivos. De otra forma, tales transacciones se realizarían en efectivo y el intercambio se produciría sólo en el momento del pago. Gracias a los mecanismos de pago a través de tarjetas se ofrece una administración mucho más eficiente de la recolección y la administración del efectivo, aumentando la seguridad de los pagos. Esto constituye el principal beneficio para negocios y Gobiernos como sistema de pagos. ¿De qué tamaño es el negocio de VISA con relación a su competencia y a las demás formas de pago? Al evaluar las cifras del año 2006, se observa que el efectivo representó el 39% de todos los pagos a escala internacional, cayendo del 41% que tenía en 2001. Esto era de esperarse debido a que una mayor penetración de las tarjetas de crédito permite un mayor reemplazo de pagos principalmente realizados mediante efectivo o cheque. Este último, por cierto, ha sido desplazado también por el incremento en la penetración de los dispositivos de débito. Hoy en día, el 18% de los pagos mundiales son hechos con cheques, aun cuando hace cinco años constituían el 27%. Dicha tendencia se ha dado con fuerza a escala internacional, incluyendo los mercados de América Latina y Estados Unidos. 41 Tarjeta de crédito: generando confianza en el uso del dinero plástico Estos datos indican que los pagos electrónicos siguen avanzando de una manera muy importante a escala internacional. Sin embargo, es conveniente destacar que en mercados como América Latina, casi todos los países tienen una penetración inferior al 10% en relación con todos los medios de pago electrónicos. Esto lleva a concluir que todavía hay mucho camino por andar. Retos de la industria ¿Qué retos tiene hoy la industria? La globalización, los nuevos dispositivos como el teléfono celular, los pagos por proximidad de microcircuitos, la World Wide Web (www) como herramienta para el comercio electrónico y las transferencias bancarias, los dispositivos de seguridad digital como los token y un sinnúmero de avances financieros y tecnológicos hacen cada vez más complejo y sofisticado el negocio de las tarjetas de crédito y, al mismo tiempo, aportan más valor y conveniencia de pago para los clientes. El reto primario es garantizar la seguridad de los pagos ante toda esta evolución tecnológica de canales, dispositivos y cambios de hábito del consumidor. Con respecto a los retos que se presentan desde la óptica del consumidor, destacan que la segmentación de los tarjetahabientes, meramente fundada en la condición económica, ya no es útil para las instituciones emisoras. Actualmente, puede haber gente muy joven que utiliza tarjetas de prepago o monederos electrónicos, así como 42 Seguridad en los sistemas de pago gente adulta que utiliza tarjetas de crédito y de débito. Por tanto, la segmentación de estos instrumentos debe ser mucho más fuerte y se deben considerar estas nuevas realidades en cada uno de los mercados atendidos. Por otro lado, la movilidad se ha convertido en algo muy importante. La gente espera que su medio de pago sea aceptado a escala doméstica, estatal, nacional e internacional, independientemente de quién emita la tarjeta o en dónde esté el consumidor comprando. También, espera que sea posible emplear su mecanismo de pago en nuevos canales electrónicos como Internet y la banca electrónica. Es una realidad que el consumidor cada vez es mucho más proclive al uso de tecnología. Obviamente, esto depende también de las generaciones pero no se puede decir simplemente que los jóvenes se sienten más cómodos con el uso de la tecnología y que los adultos no. Es una mezcla de hábitos mucho más compleja. El consumidor cada día valora más su tiempo, exige confianza, seguridad y se siente cada vez más sofisticado y con más fortaleza para exigir sus derechos. Esta es una realidad internacional. Hoy todos esperan más valor en los servicios que consumen y los bienes que adquieren. Asimismo, tienen mucha más preocupación por la seguridad de todo tipo, física, personal, en los pagos, en la información y por la privacidad de su identidad. Esas son condiciones que se presentan en los consumidores que 43 Tarjeta de crédito: generando confianza en el uso del dinero plástico afectan tremendamente los medios de pago y cualquier otra industria, sea de entretenimiento, comunicaciones o cualquier tipo. En otro punto de la ecuación de los pagos se encuentran los comercios, que son los encargados de recibir los pagos. Los pagos electrónicos son aceptados cada vez con mayor proactividad por parte de los establecimientos comerciales y por receptores de pago de otra índole (como Gobiernos, empresas y personas naturales). Sin embargo, la prioridad del comerciante sigue siendo ofrecer servicio a sus clientes y hacer negocios. El mecanismo de pago es un instrumento que es parte de la transacción, pero no es el fin último. Este es un factor importante que ha de ser tomado en consideración para la oferta de mecanismos de pago que den mayor valor y seguridad a estos receptores. Se debe reconocer que los comercios son diferentes. Éstos varían su función según dónde están, quién es su cliente y cuál es su objetivo. Existen comercios que sustentan su éxito completamente en el mundo virtual como, por ejemplo, los sitios de subasta que han ganado mucha popularidad en Internet. No obstante, la mayoría de los comercios están en algún lugar intermedio. Existen categorías de negocio que están cambiando de los pagos cara a cara a pagos a través de Internet, tal es el caso de las aerolíneas. Asimismo, otras categorías, como las compañías automotrices, están realizando un buen porcentaje de sus ventas a través de pagos con tarjeta, ya sea para 44 Seguridad en los sistemas de pago pagos de enganches o anticipos (iniciales) en la compra. Esto quiere decir que, sin importar si una empresa es netamente oferente de productos físicos o virtuales, la aceptación de los pagos electrónicos es cada vez mayor. Otro punto que hay que reconocer es que estas compañías utilizan múltiples canales de venta, que pueden ser Internet, un mostrador físico, el teléfono, catálogos o visitas a domicilio. En todos los casos el común denominador es que cuando se requiere la realización de un pago, el comercio espera que su proveedor, en este caso el banco que lo atiende, esté en la capacidad de procesar sus transacciones recibidas por todos estos diferentes mecanismos o canales. En este sentido, al consolidar todos estos retos que muestra la industria, podemos elaborar un conjunto de consideraciones que los actores de este mercado deberán tener en cuenta en materia de seguridad. La primera es que la seguridad y la confianza en los medios de pago son claves para la existencia de éstos. Considere una situación en la que un consumidor saca su tarjeta para pagar en un establecimiento, pero tiene desconfianza por su percepción de fraude; o un comercio que no está seguro de recibir pagos con tarjeta porque no tiene certeza de que esos pagos sean honrados. Sin duda, en poco tiempo la gente dejaría de usar ese mecanismo. Si no hay seguridad en los pagos electrónicos, no existen los pagos electrónicos. 45 Tarjeta de crédito: generando confianza en el uso del dinero plástico La segunda consideración de seguridad es que el fraude ha crecido y evolucionado. Desde el principio de la civilización el comercio involucra gente que ofrece productos y servicios y gente que los requiere. Es el medio que utiliza para acceder a esos bienes lo que indica si es legítimo o no. Esto es parte de la condición humana, sea que existan pagos electrónicos o que los mismos se efectúen por medio del trueque. Obviamente, hoy en día, esa forma de romper la seguridad para hacerse de bienes y servicios ha evolucionado. Se ha hecho mucho más sofisticada. El tipo de defraudador es cada vez más internacional y probablemente cuenta con información de la industria. El reto de todos los que se dedican a la seguridad en los medios de pago es estar por encima del nivel de estos defraudadores. Otra consideración, que va más allá de la seguridad del pago, tiene que ver con el manejo de la información. Esta tercera consideración es muy importante porque, aunque un pago haya sido realizado de manera segura, pudieran existir peligros en fases del proceso como la transmisión de la información, su almacenamiento en bases de datos, o su impresión, en cualquier lugar donde ésta radique, ya sea en las oficinas del comercio o en las bases de datos de los bancos. Por ello, es muy importante que el manejo de esta información sea totalmente certificada. La cuarta consideración se relaciona con el reto de autenticación de las transacciones y de los usuarios. Existe 46 Seguridad en los sistemas de pago un crecimiento importante en los canales utilizados para realizar transacciones, sobre todo en canales que no son físicos. Es necesario contar con una estrategia de atención a estas necesidades que sea reactiva y proactiva. De nada servirá entender cómo se ha realizado un fraude. La industria tiene que estar un paso adelante y de hecho lo está. Hoy en día, el problema del nivel de fraude representa fracciones de un punto porcentual del total de los casi tres billones de dólares que maneja VISA a escala global. Aunque podría parecer alto, se debe recordar que el fraude existe en otros mecanismos de pago como los cheques y el efectivo. Es una realidad que la visibilidad del fraude en el mercado de los pagos electrónicos es mayor, tal vez debido a lo sofisticado del mundo electrónico. Por ello, aunque el nivel de fraude es sumamente pequeño, tiene un impacto muy importante. Estrategia de seguridad de VISA La estrategia que se ha planteado VISA para abordar los retos y consideraciones esbozados en torno a la seguridad consta de cinco pilares. El primero es la definición de la estrategia misma. El objetivo es que todo lo que se haga garantice la seguridad y confianza de los pagos, sabiendo que sin esto no existirían las condiciones necesarias para la realización de los mismos. Además, es bien conocido que la seguridad conlleva a la confianza, y la confianza a mayor utilización del sistema de pagos. Aunque VISA considera que el proceso de migración de 47 Tarjeta de crédito: generando confianza en el uso del dinero plástico los pagos hacia mecanismos electrónicos es irreversible, reconoce que lo que se haga en términos de seguridad incidirá en la velocidad de ese proceso. Como se observó previamente, el enfoque de la seguridad no debería estar sólo sobre el pago propiamente sino también sobre el manejo de la información. Para ello, se han desarrollado una serie de programas y tecnologías orientados a resguardar los datos en todas las fases del proceso de pagos. Asimismo, este enfoque debe extenderse a todos los involucrados en la cadena de valor, abarcando no sólo a los tarjetahabientes, sino también a los proveedores de soluciones, procesadores de operaciones, bancos y comerciantes. Esto último resulta de gran importancia si se considera que cada día la seguridad depende más de terceros. Por otro lado, la estrategia de VISA se sustenta en múltiples niveles de seguridad, con lo cual se reconoce que tal vez no sea suficiente contar con un solo mecanismo de protección para todos los ambientes posibles. Por ejemplo, si solamente se contara con el chip como elemento de seguridad en las tarjetas, tal vez éste resultaría muy firme en ciertos ambientes pero en el ambiente virtual tal vez se requeriría de algún otro medio de protección. Esto no es muy diferente a la estrategia de seguridad que utilizamos en nuestras casas. Hay personas que se sienten cómodas con tener solamente un portón con una llave para acceder a su hogar desde la calle. Sin embargo, hay otros que tienen cerraduras con llave para entrar a la casa, 48 Seguridad en los sistemas de pago para pasar por el jardín, que tienen perros o alarmas y que –aun así– una vez adentro, no deja los elementos de valor puestos en la mesa o en cualquier lugar, sino que hay lugares especiales en los que se guardan tales objetos. Esto nos ayuda a ver que la seguridad no está en una sola parte externa, sino que hay múltiples mecanismos de seguridad posibles para cada ambiente. Por supuesto, también se reconoce que en la medida en la que se incrementan los niveles de seguridad se hace más complicado, menos eficiente y menos práctico el proceso de pagos. Por ejemplo, si se exigiera una seguridad demasiado alta en los pagos que se realizan en un comercio o un restaurante, entonces se afectaría la conveniencia. Esto representa una ecuación nada fácil de equilibrar porque lo que le podría resultar aceptable a algunos usuarios podría ser completamente rechazado por otros. Por ello, la estrategia de VISA se basa en permitir que la tecnología, los protocolos y los programas desarrollados brinden la flexibilidad de poder ser implementados en la medida en que lo demanden los clientes de un mercado particular. El segundo pilar de la estrategia es una serie de programas destinados a los diferentes elementos en la cadena de valor. En este contexto, existen programas para emisores y para adquirentes que tratan de autorizar que las políticas de implantación de los mecanismos de 49 Tarjeta de crédito: generando confianza en el uso del dinero plástico seguridad, como el PIN o el CHIP (circuito integrado) estén completamente validados. VISA cuenta con un programa de certificación orientado a las entidades financieras así como también a los proveedores y a los diferentes elementos de la cadena. Un buen ejemplo de estos programas orientados a los adquirentes son las herramientas sofisticadas que permiten identificar puntos comunes de compromiso. Estas herramientas recopilan la información de fraudes en una base de datos de gran tamaño, la procesan y tratan de identificar puntos comunes a través del análisis de códigos postales o hasta de establecimientos muy puntuales que son los orígenes de los puntos de compromiso. Con ello, el banco adquirente puede ir al comercio y realizar una investigación para identificar qué es lo que ha sucedido. Claro está, esto sólo puede lograrse cuando se cuenta con toda la información de todas las transacciones dentro de un mercado, incluyendo tarjetas de crédito, de débito, el banco en que se originaron y si son tarjetas de empresas o de consumidores. También existen programas de certificación de proveedores. Hay múltiples actores que procesan transacciones, fabrican tarjetas, terminales electrónicos, cajeros automáticos, entre otros. Ellos son un elemento fundamental y, por tanto, existen programas de seguridad para estos proveedores. En el caso de VISA, consiste en visitas periódicas a las oficinas, donde se evalúan todos los aspectos de seguridad, como los lugares de almacena50 Seguridad en los sistemas de pago miento de los plásticos, los métodos de encriptamiento de la información y los procesos de personalización de las tarjetas. Igualmente, existen programas equivalentes para fabricantes de cajeros y terminales, lo cual asegura que los niveles mínimos de seguridad de VISA son cumplidos y que estas entidades o proveedores de servicios están certificados para ofrecer sus productos y servicios al sistema VISA. Asimismo, como parte de estos programas, VISA cuenta con un conjunto de relaciones con entidades externas proveedoras de capacitación, consultorías y asesorías, a través de las cuales llega a una masa mucho más grande de involucrados. En oportunidades, esa capacitación es impartida a comercios o en foros que cuentan con la participación de los tarjetahabientes. Con ello se abordan todos los elementos de la cadena de valor. El tercer pilar de la estrategia lo constituyen las herramientas para monitorear y detectar transacciones fraudulentas. Esto ha implicado la actualización de la plataforma tecnológica. Hace 30 años se vivía en el mundo de las tarjetas físicas, se creaban vouchers de papel que se transferían físicamente hasta el banco emisor y luego hacia la compensación y liquidación a través de las entidades que estaban designadas geográficamente. Hoy en día el proceso es mucho más complejo. Esta es la principal razón para seguir la tendencia de uso de mecanismos de seguridad avanzados, probados y disponibles en el mercado. 51 Tarjeta de crédito: generando confianza en el uso del dinero plástico Estas soluciones tecnológicas deben constituir estándares en la industria. Es decir, los mismos deben ser soluciones probadas, de amplia aceptación. Así como para algunas industrias los sistemas de estandarización de ISO (International Organization for Standardization) son muy importantes, para la industria de las tarjetas de crédito, tecnologías estándar como PCI (Payment Card Industry o industria de tarjetas de pago), para el manejo de información, EMV (estándar de interoperabilidad de tarjetas IC, “tarjetas con chip”) para los microcircuitos en las tarjetas, 3DES (Triple Data Encryption Standard o Estándar de Cifrado de Datos Triple) para el encriptamiento estándar o CVV (Card Verification Value) para la generación de dígitos de verificación son extremadamente útiles. Con ello no se busca que ninguna tecnología de autenticación y seguridad esté basada en estándares propietarios, debido a que finalmente éstas tendrán que ser de uso genérico para que beneficie a todo el sistema de pagos. Claro está, el uso de estas herramientas también dependerá del canal, el mercado y las necesidades particulares de los usuarios. De igual forma, debe darse continuidad a la migración hacia dispositivos inteligentes. La banda magnética de las tarjetas de crédito fue una evolución tecnológica sumamente importante hace 25 años, la cual se fue adoptando gradualmente en diferentes mercados. Sin embargo, esa tecnología ya cuenta con décadas de servicio. 52 Seguridad en los sistemas de pago Por ello, actualmente se adelanta la migración hacia tarjetas con microcircuitos de manera bastante fuerte a escala internacional. Obviamente, tal migración tendrá diferentes velocidades dependiendo de las condiciones de cada mercado. Y, tal vez, es mejor esta gradualidad debido a que los costos de migrar a tarjetas que costaban 10 dólares cada una, cuando empezó esta tecnología hace 10 años, es mucho menor el día de hoy. Pese a ello, existen otros elementos que también determinan el costo de la migración como la funcionalidad y la capacidad de almacenamiento del microcircuito, la flexibilidad para almacenar programas de lealtad, la autenticación y la información del tarjetahabiente. También deberán considerarse los costos de migración de los dispositivos en los que se leerán estas tarjetas, como cajas registradoras en establecimientos comerciales, cajeros automáticos, sistemas de Internet y otros. Otras herramientas importantes en esta estrategia son las soluciones de autenticación. Uno de los grandes retos para la industria es autenticar a las partes que están haciendo la transacción. Para ello, la firma calígrafa evolucionó al PIN y a otros métodos de autenticación virtual. En este campo, cada vez con más fuerza se escucha hablar sobre biometría pero lo cierto es que para ello aún no existen estándares internacionales y los dispositivos siguen siendo todavía muy costosos. Incluso, puede que ya existan soluciones firmes o eficientes pero no necesariamente estándares. Esto representa un gran 53 Tarjeta de crédito: generando confianza en el uso del dinero plástico obstáculo para su adopción por parte de una industria que está acostumbrada a ser muy cuidadosa y que acoge las innovaciones no cuando salen, sino en el momento en que están adecuadas a la necesidad y son convenientes. Por último, VISA cuenta con una plataforma tecnológica que procesa transacciones internacionales y domésticas. VISA es sumamente robusta, segura y permite identificar las transacciones, monitorearlas, calificarlas y determinar parámetros de seguridad, de tal manera que los bancos adquirentes y emisores reciban información oportuna, no sólo de la aprobación de un pago sino también de la calificación que pudiera tener esa transacción en términos de seguridad. El cuarto pilar de la estrategia es el soporte. VISA ofrece servicios consultivos a los clientes para la prevención del fraude. Gran parte del trabajo de VISA va más allá del establecimiento de estándares y programas de cumplimiento de los mismos. Se ha dado un énfasis particular a la capacitación en cuanto a las mejores prácticas de la industria a escala doméstica e internacional, con lo cual se busca crear y compartir el conocimiento y la experticia en la materia. Una muestra de la importancia que tienen el entrenamiento y la capacitación es la constante participación de VISA en eventos organizados por bancos individuales, asociaciones bancarias y bancos centrales, así como en eventos abiertos, como congresos con la asistencia de 54 Seguridad en los sistemas de pago consumidores, comercio y público en general. Con ello se cubre la necesidad de difundir y compartir la estrategia, el enfoque y las prioridades de VISA para el aumento de los niveles de seguridad. Asimismo, se mantiene una intensa comunicación con los proveedores enfocada en la prevención del fraude. Esto implica compartir información estadística. La única manera de saber cuán efectivas han sido las medidas que hemos tomado es midiendo continuamente los niveles de fraude. Por ejemplo, niveles de fraude de 50 puntos base son extremadamente altos y éstos llegaron a existir en ciertos momentos en algunos mercados. Hoy en día es mucho más bajo que eso y esta cooperación en compartir información permite hacer comparaciones con otros mercados similares, entre países latinoamericanos, entre bancos de un mismo mercado. Todo esto contribuye a determinar dónde se está gestando el compromiso a la seguridad, en qué canales, en qué tipo de productos y en qué tipo de establecimientos o categorías, lo cual resulta sumamente útil tanto en la previsión del fraude como en la atención que se da a los diversos segmentos. Finalmente, el quinto y último pilar de la estrategia es la coordinación de los jugadores de esta enorme industria. Como se ha mencionado antes, esta coordinación se efectúa no sólo con las entidades que VISA atiende directamente, sino también con otros socios. Abarca sobre todo la definición de estándares que garanticen la interoperabilidad y otros aspectos importantes. Además, 55 Tarjeta de crédito: generando confianza en el uso del dinero plástico VISA tiene un interés particular en acercarse a las entidades gubernamentales involucradas en la regulación, supervisión o definición de lineamientos de seguridad para el sistema de pagos. Asimismo, el diálogo con jugadores como la industria de comunicaciones resultará vital en los próximos años, de cara a la evolución de los pagos hacia los dispositivos móviles. Conclusiones Al analizar todos los aspectos de la estrategia de seguridad de VISA, se pueden realizar algunas conclusiones. En primer lugar, no cabe ninguna duda de que existen múltiples beneficios de migrar hacia los pagos electrónicos. Este es un proceso irreversible. Desde ya se podría inferir que los usuarios a escala global exigirán dispositivos de pago abiertos, que sean seguros y ampliamente aceptados a escala internacional. En segundo lugar, es muy importante que las entidades financieras y todos los jugadores de la industria tengan conciencia de que el elemento clave para el éxito es la seguridad. Puede que se realicen esfuerzos para que las tarjetas sean aceptadas en más lugares y comercios. Sin embargo, si no se garantiza la confianza y la seguridad del pago, todos los esfuerzos por obtener reconocimiento, aceptación, interoperabilidad, no serán suficientes para darle valor a los pagos electrónicos. 56 Seguridad en los sistemas de pago Como tercera conclusión, se debe reconocer que el fraude evoluciona y migra, no solamente desde la perspectiva del defraudador, sino también de las herramientas que ellos utilizan en este tipo de labores ilícitas. Por tanto, se debe asegurar que la estrategia de seguridad se focalice hacia el uso de diferentes dispositivos, diferentes canales, diferentes tecnologías y diferentes niveles de seguridad. Se debe continuar en la evolución de la plataforma tecnológica. Por ejemplo, en Venezuela se está evaluando la migración a tarjetas con microcircuitos. Por ahora se está definiendo una estrategia de migración que cubra los comercios, tarjetahabientes, normativa y proveedores. Ésta será una iniciativa muy grande, que implicará esfuerzo y compromiso por parte de todos los jugadores. Por último, se debe reconocer que sin la participación de todos, sociedad e industria, sin información y sin mejores prácticas no se puede garantizar la seguridad. Éste es un sistema de pagos muy grande y complejo, y el trabajo que se ha realizado para generar confianza y seguridad ha sido extraordinario, lo que muestra que esto tiene la máxima prioridad. Ese esfuerzo se ha visto reflejado en el nivel de fraude que sigue siendo pequeño. En cualquier caso, la industria deberá seguir su trabajo para que se mantenga así, esforzándose por mejorar la comunicación y la percepción que el mercado tenga sobre los pagos electrónicos. 57 Tarjeta de crédito: generando confianza en el uso del dinero plástico Cada día los pagos electrónicos comprenden un mayor porcentaje de los pagos físicos y virtuales que realizan las personas y las empresas en todo el mundo. Estos pagos electrónicos son hechos a través de millones de tarjetas de crédito, débito o comerciales en millones de comercios físicos y virtuales alrededor del mundo. Los tarjetahabientes o compradores demandan de estos pagos conveniencia, seguridad, servicios de valor agregado y programas de recompensa. Por otro lado, los comercios o receptores de pagos requieren de sistemas seguros y eficientes que incrementen sus ventas y ofrezcan valor a sus consumidores. Garantizar la seguridad de los pagos electrónicos es uno de los pilares fundamentales del sistema VISA y un elemento esencial para el continuo y sostenido desarrollo de todos los sistemas de pago electrónicos. Los esfuerzos de VISA y de sus bancos se enfocan en asegurar la seguridad de los compradores y comercios, de la red electrónica y de los diferentes intermediarios financieros y no financieros que participan en la cadena de valor y en el flujo de la transacción. Estos esfuerzos de VISA van desde asegurar la seguridad física de las tarjetas, terminales y otros dispositivos de captura de la transacción, hasta los sistemas electrónicos de transferencia y procesamiento. También es una realidad que la convergencia de nuevas tecnologías, canales y dispositivos inteligentes de pago generan nuevas oportunidades, y serán clave para el continuo desarrollo de los pagos electrónicos en el mundo físico y 58 Seguridad en los sistemas de pago en el virtual. Asimismo, esta convergencia demandará de los pagos electrónicos soluciones flexibles e innovadoras de seguridad de pagos que atiendan estos nuevos retos. En esta presentación se compartieron las iniciativas VISA para asegurar la seguridad y el crecimiento de los sistemas de pago VISA, a través de la implementación de una estrategia basada en múltiples niveles de seguridad, que incluye, entre otros, la seguridad de los dispositivos físicos para realizar una transacción, los sistemas de transferencia de información y procesamiento, la seguridad de datos y la implementación de sofisticados sistemas predictivos y preventivos para procesar y calificar las transacciones. Por último, será muy importante continuar con campañas de educación y programas de entrenamiento entre las diferentes partes involucradas en el desarrollo de los pagos electrónicos, a fin de asegurar su adecuado funcionamiento, mantener la integridad de los sistemas electrónicos de pago y sostener el crecimiento futuro de los mismos. 59 Comercio electrónico: seguridad, punto de partida para más comercio Mario J. Dávila Z.* * Diplomado en Mecánica en el Instituto Universitario Tecnológico (IUT) Región Capital con el Programa Avanzado de Gerencia del Instituto de Estudios Superiores de Administración (IESA) culminado. Miembro del equipo fundador de la empresa MercadoLibre.com. Actualmente se desempeña como gerente general de las operaciones de MercadoLibre.com en Venezuela y Colombia y es director principal de la Cámara Venezolana de Comercio Electrónico (Cavecom-e). Resumen En este trabajo se muestra en cifras la penetración que ha alcanzado Internet en Venezuela y su creciente uso para actividades de comercio electrónico y operaciones financieras. Además, se identifican, por un lado, algunas carencias de las actuales plataformas y, por otro, varias propuestas para mejorar los temas relacionados con la seguridad en los pagos originados en el comercio electrónico. Palabras clave: comercio electrónico, Internet, operaciones bancarias, seguridad. Comercio electrónico: seguridad, punto de partida para más comercio En los últimos años, el acceso a Internet ha venido creciendo de manera sostenida así como su uso para la realización de operaciones bancarias y de comercio electrónico. A continuación se compartirán cifras que describen este crecimiento, definiciones asociadas al tema y reflexiones sobre el rol fundamental que los aspectos de seguridad y la banca tienen en el desarrollo de la actividad comercial en línea. Acceso a Internet en Venezuela De acuerdo con estimaciones suministradas por la Comisión Nacional de Telecomunicaciones (Conatel), desde el año 2000 se ha experimentado un incremento en el número de venezolanos con acceso a Internet (5.940.426 habitantes en 2007, lo cual representa un 21,55% de penetración). No obstante, pese al crecimiento obtenido, aún la penetración de Internet en Venezuela se encuentra por debajo del 24%, cifra promedio de la región. 64 Seguridad en los sistemas de pago ����� ����������� ����� ��� ����� ���� ����� ������� �������� ����� ���� ����� ����� ����� ���� ������������������� ������������ ����� ��� ���� ����� ����������� ����� ��� ���� ����� ���� ����� ���� ���� ���� ����� ���� ��� ���� ���� ����� ����� ����� �������� �������� Gráfico 1 Panorama actual de Internet en Venezuela ����� ��������������������� (*) Cifras preliminares basadas en la Encuesta Trimestral Agregada de los Principales Indicadores del Sector. Conatel. 1/ Valores estimados en función de suscriptores. Fuente: Observatorio Estadístico. Comisión Nacional de Telecomunicaciones. Este crecimiento ha estado fuertemente sustentado en el uso de la red por parte de los usuarios más jóvenes. Alrededor del 63% de los internautas tienen menos de 24 años de edad. 65 Comercio electrónico: seguridad, punto de partida para más comercio Gráfico 2 Distribución de usuarios por edad ������ ������ ������ ������ ���������� ������ ����� ������ ������� ������� ������� ������� �������� ���� Fuente: Tendencias digitales, www.tendenciasdigitales.com. En cuanto a los lugares donde las personas se conectan a la red, los usuarios emplean diversas alternativas como el cybercafé, que es el más común, seguido por el hogar y el trabajo. En ello es particularmente interesante el crecimiento del acceso en los hogares. Actualmente, 37% de los internautas venezolanos accede a Internet desde su casa, lo que muestra interés creciente en la contratación de servicios de banda ancha. Esta inclinación ha estado sustentada en el impulso que ha dado el Gobierno y los proveedores de servicios de Internet (ISP, por sus siglas en inglés) en materia de oferta y calidad de las conexiones. 66 Seguridad en los sistemas de pago Gráfico 3 Lugares de conexión a Internet �� �� �� ����������� ��� �� �� ���������� �� ������������ �� ��������� ������������ ��������������� �� � ������ ������ ������ ������ ������ ������ ������ ������ ������ ������ ������ ������ Fuente: Tendencias digitales, www.tendenciasdigitales.com. Ahora bien, ¿qué actividades se realizan a través de Internet en Venezuela? En términos de uso, se han observado cambios importantes en los últimos años. Actualmente, “buscar información para los estudios” es la mayor razón de empleo de este medio, seguido por la utilización de correo electrónico, mensajería y chat. Sin embargo, con relación al uso de Internet para la realización de operaciones bancarias, se ha podido apreciar un incremento en el porcentaje de empleo, especialmente durante los años 2006 y 2007, lo cual muestra la disposición de los venezolanos a usar la web para ir al banco. Un crecimiento igualmente significativo se pudo observar en el uso de la red para la compra y venta de productos y servicios. Si bien es cierto que la extensión del uso del comercio electrónico todavía no es tan significativa, 67 Comercio electrónico: seguridad, punto de partida para más comercio hay evidencias de que ha experimentado un importante crecimiento en los últimos dos años. Gráfico 4 Principales usos de Internet en Venezuela ������ ����������������������������� ������ ������ ������������������������ ������ ������ ����������������������������� ������ ������ ��������������������������� ������ ������������� ������ ������ ����������������������������� ������ ������ ������������������ �������������� ��������������������� ����������������������������� ������ ����� ����� ����� ������ ����� ����� ���������� ���� �������������� ������ �� ����� ���� ���� ���� ���� Fuente: Tendencias digitales, www.tendenciasdigitales.com. En el contexto mundial, la región latinoamericana ha alcanzado gran relevancia y reporta 137 millones de internautas dentro del universo de 1.407 millones a escala global. Este hecho debe tenerse en consideración a la hora de hablar de negocios electrónicos en una región que cuenta con una penetración de Internet del 24%, la cual es superior a la penetración mundial que se ubica en 21%. 68 Seguridad en los sistemas de pago Comercio electrónico Ahora bien, después de revisar las cifras generales de utilización de Internet, se describe el comercio electrónico, que de acuerdo con la definición aportada por Watis.com, es el intercambio de bienes y servicios, en el cual todo o parte del mismo se realiza a través de medios electrónicos. Esta definición resalta en un punto muy interesante. La mayoría de las personas se imagina que cuando se habla de comercio electrónico es necesario que el proceso completo se efectúe de manera electrónica. Sin embargo, tal como se menciona en la definición, basta con que sólo una parte del proceso se ejecute electrónicamente para que el mismo sea considerado como tal. Este tipo de comercio puede ser tipificado de acuerdo con los entes involucrados en las operaciones. De esta forma, se consigue comercio de cliente a cliente (C2C), de negocio a cliente (B2C), de cliente a negocio (C2B) y de negocio a negocio (B2B). Más recientemente se ha comenzado a incorporar a los Gobiernos en estos tipos de transacciones. En términos generales, el comercio electrónico posee características singulares que lo hacen muy atractivo. Por un lado, un emprendimiento de esta naturaleza implica tener una tienda abierta las 24 horas, los 365 días del año. Además, tal tienda puede ser visitada por clientes sin necesidad de moverse de sus hogares, negocio u oficina. Por otro lado, las barreras de entrada 69 Comercio electrónico: seguridad, punto de partida para más comercio a este negocio son relativamente bajas, puesto que es sencillo y económico comenzar a emplearlo como canal de ventas y existen diversas alternativas para procesar los pagos derivados de las operaciones comerciales. Además, el comercio electrónico permite extender el alcance del negocio, lo que posibilita el acceso a mercados nacionales e internacionales. El comerciante puede contar con mecanismos de promoción de amplio rango y a muy bajo costo. Asimismo, se encuentran disponibles un cúmulo de opciones para hacer entrega, pronta y precisa, de los productos ofertados. Pero el comercio electrónico no sólo beneficia a los vendedores sino también a los compradores. A través de él, se pueden conseguir productos que no se ofrecen típicamente en un centro comercial o en un negocio tradicional. Posiblemente se consigan a un mejor precio, lo cual es resultado de la reducción de costos y la competencia del lado de los oferentes. Además, se rompen las barreras geográficas permitiendo comprar bienes en sitios remotos sin la necesidad de moverse del hogar u oficina. Existen varios factores que potencian, ahora y en el futuro, el comercio electrónico. Primero, existe una generación joven de internautas que no conoce el mundo sin Internet y posee medios de conexión alternativos a las computadoras (celulares, por ejemplo). Éstos son usuarios más confiados y están acostumbrados al uso intensivo de la tecnología. Además, hay otra generación de adultos que 70 Seguridad en los sistemas de pago sí conocen el mundo sin Internet y sin celulares. Éstos han aprendido a confiar en los mecanismos electrónicos y se han adaptado a los mismos con rapidez. Por otro lado, está el incremento en el número de computadores personales o dispositivos que permiten la navegación en la web y el número de conexiones de banda ancha. Tecnologías como los celulares con capacidad de navegación en la red y WiMAX6 potenciarán aún más el comercio electrónico en los próximos años. Sin embargo, resultará fundamental el impulso que den a este tema dos importantes sectores: el Gobierno y la banca. Muchos Gobiernos han adoptado los temas relacionados con el acceso a Internet como una política de Estado, fomentando el acceso de un mayor número de personas. Dichas políticas son luego asumidas por los ISP, quienes logran ofrecer conexiones de banda ancha con mayor calidad y a un costo menor para los usuarios. Por otro lado, y relativo a la banca, se plantea la siguiente reflexión: ¿está la banca enfocada en potenciar el comercio electrónico? A continuación se presentan algunos hechos relacionados con este punto. 6 WiMAx (acrónimo de Worldwide Interoperability for Microwave Access, que en español quiere decir: “Interoperabilidad Mundial para Acceso por Microondas”). Es un estándar de transmisión por ondas de radio de última generación orientada a la última milla que permite la recepción de datos por microondas y retransmitirla por ondas de radio (protocolo 802.16 MAN-Metropolitan Area NetWork, Red de Área Metropolitana) que proporciona accesos concurrentes, varios repetidores de señal superpuestos que ofrecen siempre total cobertura, en áreas de hasta 48 km de radio y a velocidades de hasta 70 mbps y utiliza tecnología que no requiere visión directa con las estaciones base (a diferencia de las microondas). WiMax es un concepto parecido a Wi-Fi pero con mayor cobertura y ancho de banda. 71 Comercio electrónico: seguridad, punto de partida para más comercio La banca y el comercio electrónico en Venezuela De 37 bancos universales y 22 entidades financieras existentes en Venezuela, sólo tres han realizado desarrollos importantes, en algún momento, para ofrecer herramientas funcionales para comercio electrónico y sólo una de ellas aún mantiene interés. El hecho resulta contradictorio a todas luces para un mercado que se duplica año tras año e inquietante para los entes relacionados con el desarrollo y fomento del comercio electrónico, debido a que los temas de seguridad en los pagos son una de las principales preocupaciones que encuentran quienes desean hacer una incursión en este sector. No obstante, se reconoce que en la banca existen herramientas potenciales que se podrían desarrollar para apoyar el comercio electrónico. Un ejemplo de ello son las transferencias electrónicas, las cuales se podrían modificar para que tuvieran un número universal único de referencia que permitiera a los comerciantes identificar un pago realizado por un cliente. Actualmente, cuando un usuario efectúa una transferencia a través del sitio web de su banco, éste le devuelve un número de referencia que es distinto al que verá el comerciante como referencia de la operación cuando los fondos lleguen a su destino. Realizar esta adecuación implica cooperación entre las instituciones bancarias para empezar a utilizar herramientas existentes en el desarrollo del comercio electrónico. 72 Seguridad en los sistemas de pago Por otro lado, con relación a los pagos con tarjetas de crédito, existen comercios que optan por crear enormes departamentos de seguridad para la verificación de las operaciones debido a que reciben poco o ningún apoyo de la banca para el control de fraude electrónico. Usualmente, el banco que presta el servicio sólo puede ayudar al comerciante en estos aspectos de verificación si la tarjeta empleada en la operación es emitida por ese mismo banco. Si la tarjeta fuera emitida por otra entidad, el comerciante queda inhabilitado para efectuar la verificación. Los comercios en esta situación experimentan un incremento en sus costos de operación y típicamente terminan retirándose del emprendimiento. Igualmente, y aunque es un problema en toda Latinoamérica, en la actualidad es conocido que no existe un mecanismo seguro para la realización de un pago en línea a través de las tarjetas de débito. Este es un punto aún no resuelto pero al cual hay que dar atención debido al hecho de que muchas personas son proclives a realizar sus pagos con este tipo de instrumentos. En este sentido, en Venezuela existen infraestructuras que pueden ser aprovechadas para motorizar el desarrollo de los pagos originados en el comercio electrónico. Tal es el caso de la Cámara de Compensación Electrónica que opera desde hace poco. Los avances en la utilización de esta infraestructura para las soluciones de comercio electrónico han sido tímidos. Se entiende que este sistema de pagos quizás no fue concebido bajo 73 Comercio electrónico: seguridad, punto de partida para más comercio esta premisa; pero, no cabe duda de que podría ser utilizada como medio de pago electrónico en apoyo a este tipo de operaciones. Tal vez los comerciantes consideren aceptables los plazos de acreditación de fondos de 24 a 48 horas a cambio de obtener el procesamiento de sus pagos a más bajo costo y con mayor seguridad. De hecho, la utilización de las cámaras de compensación como infraestructuras de apoyo al comercio electrónico no es materia novedosa. En Colombia existe el sistema denominado “Proveedor de Servicios Electrónicos” (PSE), el cual simula una cámara de compensación electrónica y procesa pagos casi de manera inmediata. Éste descuenta el dinero de una cuenta de un usuario y deposita esos fondos a la cuenta de una empresa en otro banco, permitiendo que la gente pueda usar un “pseudodébito” bancario pero a través de una cámara de compensación. Ahora bien, para que la banca pueda ejercer un rol como propulsor del comercio electrónico, se deben romper los paradigmas en torno a esta actividad. El comercio electrónico no es del todo electrónico. Éste es una proyección de un comercio tradicional que se apoya en una infraestructura relativamente nueva como lo es Internet. Luego, al igual que el comercio de local a la calle, la mayoría de las transacciones se realizan con medios de pago tradicionales. Resulta paradójico que los bancos inviertan gran esfuerzo en el tema de fraude en línea mediante tarjetas de crédito, mientras existen 74 Seguridad en los sistemas de pago medios que pueden ayudar a que el comercio electrónico siga su curso. Otro paradigma que se debe romper es la creencia de que el comercio electrónico es más rápido y económico. En oportunidades es un poco más lento y quizás no tan barato, dado los gastos que se tienen que asumir por temas de control de fraude. En el comercio electrónico los usuarios están acostumbrados a tiempos más dilatados. Una transacción típica de este tipo, en cualquier parte del mundo, puede tardar un par de días en liquidarse. Esto es un factor importante que se debe tener en cuenta debido a que tal vez la preocupación por la rapidez e inmediatez de los pagos esté presionando a la banca a tener sistemas de seguridad muy avanzados y a la vez costosos. La velocidad de los pagos no es tan importante como la seguridad de los mismos. Pese a todo esto, hay que recalcar que actualmente el comercio electrónico no es menos seguro que el comercio tradicional. Incluso, puede que en algunos aspectos hasta resulte más confiable. Por ejemplo, considere el monitoreo del fraude en el comercio electrónico. Éste es mucho menor que el que tienen que tener los comercios tradicionales. Obviamente, debido a lo nóvel del negocio y a su crecimiento tiene un impacto visual mucho mayor al que nosotros estamos acostumbrados a ver. Es decir, es más notorio aunque los niveles de fraude son más bajos que en el comercio común. 75 Comercio electrónico: seguridad, punto de partida para más comercio Ahora bien, en Internet se puede constatar la condición de los medios de pago en Latinoamérica y compararlos con lo que tenemos a disposición en Venezuela. Sistemas de pago disponibles y comercio electrónico Latinoamérica Venezuela 3 Pago en línea con tarjeta de crédito 3 Pago en línea con tarjeta de crédito 3 Pago en línea con tarjeta de débito 5 Pago en línea con tarjeta de débito 3 Transferencias en línea con número único de referencia 5 Transferencias en línea con número único de referencia 3 Débito inmediato a cuenta, no importa el banco (Colombia) PSE 5 Débito inmediato a cuenta, no importa el banco (Colombia) PSE 3 Depósito referenciado 3 Depósito referenciado (limitado) 3 Empresas recaudadoras 5 Empresas recaudadoras 3 Recaudación en comercios 5 Supermercados Agencias de lotería 3 Recaudación en comercios 5 Supermercados 5 Agencias Pago a través de cajeros electrónicos 3 de lotería Pago a través de cajeros electrónicos Resulta muy interesante lo que se ha hecho en la región a través de la recaudación en comercios que se convierten en corresponsales no bancarios. Estos comercios, que pueden ser supermercados, abastos o agencias de lotería, reciben los fondos de los usuarios y –a través de los sistemas de pago tradicionales– realizan la transferencia de los mismos. Esto es, sin duda, un mecanismo provisional pero muy útil mientras la bancarización se profundiza en nuestros países. De hecho, la clave del desarrollo del 76 Seguridad en los sistemas de pago comercio electrónico en países como Venezuela, con baja bancarización y baja penetración de las tarjetas de crédito, no radica en realizar grandes esfuerzos orientados a la seguridad del medio de pago a través de tarjetas, sino en los esfuerzos que se dediquen a la adecuación y modernización de los medios de pago tradicionales. Potenciando el comercio electrónico ¿Qué viene o debería venir para potenciar el comercio electrónico? En primer lugar, como se ha mencionado previamente, se requiere realizar esfuerzos que permitan que los sistemas de pago tradicionales evolucionen hacia formas “utilizables” por el comercio en línea. Esto implica la implementación de referencias universales y únicas para las transferencias electrónicas, mecanismos de débito electrónico interbancario como los que ya existen en otros países de la región y pleno aprovechamiento de la Cámara de Compensación Electrónica, hasta ahora poco utilizada para ofrecer soluciones a los pagos originados en el comercio electrónico. Además, por parte de la banca se requerirá una mayor comprensión de la realidad nacional en cuanto a la bancarización y a la penetración de las tarjetas de crédito. Tal comprensión deberá derivar en el desarrollo de productos populares de pago que puedan ser empleados en las operaciones de comercio electrónico. Igual comprensión deberán demostrar sobre la naturaleza misma del 77 Comercio electrónico: seguridad, punto de partida para más comercio negocio y de los paradigmas en torno a esta actividad. En este mismo contexto, las empresas telefónicas también podrán jugar un rol importante, especialmente en los aspectos relacionados con la recaudación, debido al alcance y masificación de los dispositivos móviles y de las tarjetas de prepago. Hoy en día, la penetración de la telefonía celular en Venezuela alcanza el 98% y la mayoría de los kioscos son puntos de venta de las tarjetas prepagadas. Esto les da una condición favorable para potenciar los sistemas de pago a través de mecanismos como la transferencia de saldo. Finalmente, se debe impulsar la descentralización de la recaudación y de los medios a través de los cuales se inician los pagos. Este punto implicará que se promueva la creación de empresas especializadas dedicadas a estos aspectos de recaudación y de pagos. Con ello, se dará continuidad a una tendencia creciente en toda la región latinoamericana pero que aún en Venezuela no ha sido abordada. 78 Banco de México: experiencia en pagos electrónicos Alejandro de los Santos* * Licenciado en Actuaria de la Facultad de Ciencias de la Universidad Autónoma de México (UNAM) con una maestría del Departamento de Matemáticas de la Universidad de Toronto y un doctorado en Filosofía del Departamento de Matemáticas de esa misma casa de estudios. Cuenta con amplios conocimientos y experiencia en materia de sistemas de pago. Actualmente está encargado de la Oficina de Alto Valor de la Gerencia de Sistemas de Pago en el Banco de México. Resumen Desde hace algunos años el Banco de México ha estado haciendo esfuerzos importantes por impulsar el uso de pagos y medios electrónicos entre la población, pues considera que éstos representan ventajas en términos de conveniencia, rapidez y bajos costos para el público. En esta nota se tratan algunos temas relativos a transferencias electrónicas que el Banco de México ha detectado que son importantes para la población, se enuncian algunos retos identificados y se muestra la visión que tiene este Banco Central para afrontarlos. Como introducción se describe, a grandes rasgos, el principal sistema de transferencias electrónicas en México, conocido por sus siglas como SPEI. Palabras clave: firma electrónica, pagos y medios electrónicos, Sistema de Pagos Electrónicos Interbancarios. Banco de México: experiencia en pagos electrónicos El Sistema de Pagos Electrónicos Interbancarios (SPEI) Las principales características del SPEI son: • Es un sistema de liquidación en tiempo real desarrollado y operado por el Banco de México (Banco Central). • El SPEI originalmente fue usado para pagos de alto valor pero su capacidad permite a los clientes de los bancos hacer transferencias el mismo día a bajos costos. Por lo cual, los pagos de bajo valor representan actualmente el principal volumen de operación del sistema. • En el SPEI no se da crédito por parte del Banco Central o de los propios participantes. El sistema no acepta sobregiros en las cuentas de los participantes, sus cuentas inician en cero y terminan en cero. • Es un sistema que por su tipo de liquidación se clasifica como híbrido. Hace compensación multilateral en ciclos de 20 segundos y afecta inmediatamente las cuentas de los participantes. Esto le permite recuperar las ventajas de definitividad de los sistemas de liquidación en tiempo real y al mismo tiempo, la eficiencia en manejo de liquidez de los sistemas de compensación. 82 Seguridad en los sistemas de pago • Desde su creación el SPEI ha sido catalogado como de importancia sistémica para México y, por tanto, está protegido por la Ley de Sistemas de Pago de ese país. Una vez liquidadas, sus operaciones son irrevocables, definitivas y oponibles frente a terceros. • Actualmente, el sistema tiene 76 participantes entre bancos comerciales, instituciones financieras no bancarias y, recientemente, el CLS Bank. Transferencias electrónicas: aspectos, retos y visión del Banco de México Los aspectos identificados por el Banco de México como críticos para la promoción y uso de medios electrónicos son: confianza (o seguridad), rapidez, atención personalizada y comodidad. Confianza Por parte de los usuarios, se pueden identificar dos retos importantes que se deben vencer para lograr su confianza en los medios electrónicos: • Cultural. La población está acostumbrada a cierto uso de los medios de pago que no es electrónico (ir al 83 Banco de México: experiencia en pagos electrónicos banco, pagar con cheques, etcétera). Es natural que tengan desconfianza de los medios electrónicos. Sin embargo, se cree que esto es un problema principalmente generacional que disminuirá conforme los niños y jóvenes acostumbrados a Internet, teléfonos celulares y demás dispositivos electrónicos, requieran de los sistemas de pago. Un reto importante para los bancos centrales es que la infraestructura esté disponible en el país para cuando estas generaciones crezcan y la demanda de pagos electrónicos aumente. • Accesibilidad. El número de personas bancarizadas y con acceso a los servicios bancarios aún es limitado en Latinoamérica. Por tanto, hay que ser muy cuidadosos en promover las ventajas de medios electrónicos para no crear animadversión entre la población que no tiene acceso a estos medios ni a la banca. Si se cuida este aspecto y se vinculan los medios de pago con temas de bancarización se podría atraer más gente al sistema. Con respecto a infraestructura y sistemas, el principal reto es cuidar la seguridad informática de las aplicaciones. A fin de abordar tal reto, el Banco de México ha empleado varias herramientas, las cuales se describen a continuación. 84 Seguridad en los sistemas de pago Firmas electrónicas Para el Banco de México ha sido muy importante utilizar y desarrollar los mecanismos de seguridad electrónicos más avanzados a escala mundial. Esto se basa, principalmente, en el uso de firmas electrónicas o digitales. Una firma electrónica es un número (muy grande) que está relacionado con un documento electrónico que se firma y tiene una clave privada que sólo el generador de la firma conoce. Sus principales características son: • La “firma” de una persona es distinta para cada documento. • Un documento firmado no altera el contenido del archivo original. Su firma es un dato electrónico “anexo”. • Todo se maneja en medios electrónicos que se pueden copiar tantas veces como se desee, enviar por correo electrónico, borrar, etcétera. Ventajas: • La firma no coincidirá si: se alteró el documento original (integridad) o si la persona que generó la firma no es quien debía firmar (autenticidad). 85 Banco de México: experiencia en pagos electrónicos • El proceso es totalmente electrónico. No es necesario intercambiar físicamente ningún documento. • En los sistemas de pago, a través de las firmas electrónicas se da sustento formal a las instrucciones intercambiadas (órdenes de pago, avisos de liquidación, etcétera). Desventajas: • El archivo que contiene la llave privada del originador debe mantenerse bien resguardado. • El archivo que contiene la llave pública del originador, debe ser distribuido y almacenado por un “tercer confiable” (autoridad certificadora). El Banco de México impulsa activamente el uso de firmas electrónicas como el mejor medio de seguridad electrónico. Factores de autenticación Además de firmas electrónicas, es importante usar combinaciones de los denominados “factores de autenticación”. Estos “factores” se clasifican en: algo que el usuario conoce (clave PIN, clave o password), algo que 86 Seguridad en los sistemas de pago el usuario posee (número de identificación, generador de claves) y algo que el usuario es (huellas, biométricos). En México, a partir de septiembre de 2006, “además del identificador de usuario y su clave de acceso o contraseña respectiva, los bancos requieren a sus clientes el uso de un segundo factor de autenticación con información dinámica” para hacer operaciones monetarias a través de Internet7. Definitividad Los sistemas de pago basados en procesos electrónicos deben prestar especial cuidado a la definitividad de las operaciones en: • Procesos. Los sistemas deben enviar información de regreso a sus usuarios, únicamente después de que se hayan asegurado de que no la perderán (copias remotas de mensajes, respaldos de avisos de liquidación, etcétera). • Certeza. La información intercambiada entre el sistema y sus usuarios debe manejar alguno de los esquemas de seguridad electrónica descritos. 7 Ley de Instituciones de Crédito, México. Artículo 52 relativo a las Disposiciones Generales para operaciones de banca electrónica. 87 Banco de México: experiencia en pagos electrónicos En el Banco de México, gracias a la Ley de Sistemas de Pago, estos esquemas de seguridad se consideran autorizaciones legales, con carácter jurídico de definitivas, irrevocables, exigibles y oponibles frente a terceros. Rapidez De acuerdo con el Principio Básico VII del BIS, todo sistema de pagos “deberá asegurar un alto grado de seguridad y fiabilidad operativa y deberá contar con mecanismos de contingencia para completar puntualmente el procesamiento diario de sus operaciones”8. El Banco de México considera que es absolutamente necesario diseñar todo sistema de pagos pensando en que: • Va a fallar en algún momento. • Se deben construir los componentes necesarios para que el sistema se restablezca en un tiempo razonable. • Sea capaz de responder al crecimiento y cambios de la economía sin modificaciones mayúsculas de diseño (número de operaciones, número de participantes, capacidad aritmética, etcétera). • Incentive la automatización de procesos (STP) de los participantes. 8 Principios Básicos para los Sistemas de Importancia Sistémica, CPSS-BIS, 2005. 88 Seguridad en los sistemas de pago Se han hecho esfuerzos muy importantes para cuidar que los sistemas de pago en México cubran estos aspectos del diseño y, con miras a cumplir con el Principio Básico VII se está trabajando en los siguientes para garantizar la fiabilidad operativa de los sistemas: • Telecomunicaciones. Se debe contar con infraestructura que tenga canales alternos de comunicación, replicación de operaciones en sitios alternos, etcétera. • Continuidad operativa. Se deben fijar planes y objetivos de forma que los sistemas de pago tengan: Tiempos de disponibilidad muy altos. Procesos bien definidos en caso de contingencias (Planes de Continuidad de Negocio) por parte del operador y los participantes. El plan debe incluir pruebas periódicas de: procesos, distintos escenarios, componentes e involucrar a todos los participantes. • Diseño. Impulsar sistemas host-to-host y eliminar procesos manuales. Para operar el SPEI, las instituciones participantes tienen que desarrollar su propia conexión y terminales de operación. Sólo se permite una conexión por participante. Esto las obliga a conectar un servidor al servidor del SPEI, lo cual ha redituado en implementaciones muy cercanas al denominado Straight Through Processing (STP). 89 Banco de México: experiencia en pagos electrónicos Atención personalizada Si bien algunas personas continúan prefiriendo que les ofrezcan un trato personal cuando requieren de servicios financieros y, por lo tanto, prefieren acudir a las sucursales bancarias, se puede apreciar que esta tendencia está cambiando. En México, 22 de 45 bancos de primer piso ofrecen muchos de sus servicios a través de portales en Internet. Como se puede apreciar en las siguientes gráficas, el uso de canales electrónicos aumenta constantemente. Cada día son más las personas que no requieren de atención personalizada, sino de medios rápidos y de fácil acceso para hacer sus operaciones. Gráfico 5 Comparativo de medios de pago distintos al efectivo Número de operaciones totales (Millones) ���� ��� ���� ��� ��� ���� ��� ��� � ��� ��� ��� ��� ��� ��� ��������������� ��� ��� ������� �� �� ���� ���� �������������� Fuente: Banco de México. 90 �� ���� ���� ��������������� ���� Seguridad en los sistemas de pago Comodidad El Banco de México está impulsando, por distintos mecanismos, incrementos en las operaciones interbancarias. Actualmente, si un cliente tiene necesidad de manejar eficientemente sus pagos o servicios financieros, lo más cómodo es que abra cuentas en los distintos bancos del país. El Banco de México busca que el público no tenga que manejar varias cuentas bancarias ni trasladarse entre sucursales. Se tienen como objetivos prioritarios impulsar el incremento de operaciones e interconexiones interbancarias y, por otro lado, la disminución de operaciones que suceden entre cuentas del mismo banco. Las siguientes gráficas muestran que aún hay mucho por hacer en este sentido. Gráfico 6 Volumen de transferencias electrónicas (Millones) ���� ��� ���� �� ��� ���� �� ��� ���� �� ��� �� ���� ��� �� ���� ��� �� � �� ��� ��� ��� ����������� ��� �������������� Fuente: Banco de México. 91 ��� ��� ��� Banco de México: experiencia en pagos electrónicos Gráfico 7 Volumen de domiciliaciones (Millones) ���� � �� ���� � �� ���� � �� ���� � �� ���� �� ���� ��� � � ��� � �� �� �� ����������� �� �� �� �� �� �������������� Fuente: Banco de México. Conclusiones En el Banco de México se han identificado los aspectos mencionados en esta nota como algunos de los retos que permitirían mayor penetración de pagos electrónicos en la economía del país y se considera que sólo atendiendo estos aspectos se podrían alcanzar las principales ventajas de los pagos electrónicos: comodidad, rapidez y seguridad. Los medios electrónicos continuarán evolucionando, por tanto es importante que los bancos centrales no escatimen esfuerzos en el desarrollo de infraestructura y procesos que permitan su mayor utilización por el bienestar del público y la eficiencia del sistema financiero. 92 Seguridad en los sistemas de pago A continuación se presenta información acerca del mensaje publicitario que elaboró el Banco de México en la promoción del uso de transferencias electrónicas en general y el SPEI en particular. El mensaje se estructuró en tres partes. La primera hace un breve recuento histórico acerca de las transferencias electrónicas de fondos, la segunda recoge un conjunto de respuestas que suministraron un grupo de personas ante la pregunta de qué opinaban acerca de los pagos electrónicos y la tercera muestra la entrevista realizada en torno al tema a Ricardo Medina Álvarez, Director de Sistemas Operativos y de Pagos. Parte I: recuento histórico acerca de las transferencias electrónicas de fondos. La tecnología en las comunicaciones avanza vertiginosamente y revoluciona la actividad humana. Las transferencias de dinero no podían quedar atrás. Desde hace 200 años en Europa, las oficinas postales brindan servicios de transferencia de fondos por medio de giros. A México estos servicios llegaron unas décadas después. En 1884 se estableció el sistema mexicano de giros postales, después aparecieron los giros telegráficos y el 1 de abril de 1898 se pone en marcha el servicio de giros telegráficos. Pasó prácticamente medio siglo antes de que en el mundo surgieran avances significativos en los sistemas para transmitir fondos. A finales de 1980, estas operaciones cobraron fuerza y mayor penetración. 93 Banco de México: experiencia en pagos electrónicos Ahora que Internet comunica a todo el mundo, las transferencias electrónicas de fondos se convierten en el nuevo instrumento de pago. Parte II: opinión del público. ¿Qué opina de los pagos por vía electrónica? – Son muy efectivos, ahorran muchos pasos, muchas incomodidades de ir a las sucursales. – Te facilita mucho porque de repente no tienes tiempo para estar yendo a los bancos, es rapidísimo. – Facilita mucho en tiempo y esfuerzos. – La verdad es que no son nada confiables. – No es confiable. – Son buenos, eficientes y ahorran tiempo. – Son buenísimos, ahorran tiempo, es sencillo de hacer, desde tu casa o desde donde estés. Son rápidos y más seguros. – Son eficaces pero prefiero la atención personalizada. – Tengo un tanto de desconfianza, a lo mejor es porque no tengo la información suficiente. Parte III: entrevista realizada a Ricardo Medina Álvarez. P. ¿Cómo se envía un pago por el SPEI? R. Quien quiere enviar dinero, instruye a su banco para que haga un pago por el SPEI y le da la siguiente información: monto del pago, nombre, número de cuenta y banco del beneficiario. Una leyenda de hasta 40 caracteres 94 Seguridad en los sistemas de pago que describe la razón por la que se hace el pago y un número de referencia de hasta siete dígitos. Este servicio lo ofrecen los bancos principalmente a través de su banca por Internet. P. ¿Cuáles son las principales características del SPEI? R. Permite a los clientes de los bancos transferir dinero hacia cualquier cuenta bancaria del país, de manera segura, rápida y sobre todo cómoda. P. ¿Cómo se logra la seguridad para las personas que usan el SPEI? R. La seguridad se basa principalmente en las claves personales de seguridad conocidas como passwords, que los bancos proporcionan a los clientes para operar en Internet. Estos passwords son muy seguros y fuertes pues tienen que cumplir con la regulación vigente la cual es muy estricta. El concepto de seguridad es total en el SPEI y podemos afirmar que transferir recursos por el SPEI es bastante más seguro que el cheque o que transportar efectivo. P. Mencionaba que otra característica del SPEI es la rapidez. ¿Qué nos puede decir al respecto? R. Una vez que el banco del cliente que desea transferir los recursos haya revisado y validado la solicitud, en cuestión de minutos la transferencia debe concluirse y la persona beneficiaria del pago deberá tener depositado los recursos en su cuenta. Además, déjame comentarte que en la página de Internet del Banco de México se encuentra una herramienta para que los usuarios del SPEI puedan consultar el estado de sus pagos en línea. Comentaba que 95 Banco de México: experiencia en pagos electrónicos la transferencia de recursos se lleva a cabo cómodamente. Esta es una característica muy importante. A diferencia de los cheques o de los pagos con efectivo, las personas que intervienen en la transferencia no tienen que transportarse para encontrarse el uno con el otro ni tampoco tienen que acudir a las sucursales de los bancos. Todo lo pueden hacer a través de Internet. Claramente no todos los clientes de los bancos tienen acceso a una computadora segura con Internet, por lo cual el Banco de México junto con los bancos, estamos explorando la posibilidad de que se ofrezca el servicio a través de los teléfonos celulares. P. ¿Desea concluir con algo más? R. Solamente decir que los pagos a través del SPEI tienen ventajas considerables con respecto a los cheques y al efectivo. Así que a todas las personas interesadas les recomendamos acercarse a sus bancos para solicitar el servicio del SPEI. Quienes usan servicios bancarios tienen un nuevo instrumento que es rápido, cómodo y seguro. Con el SPEI el uso de tecnología informática de punta y el procesamiento en línea de las operaciones de pago están al alcance de quien quiera usarlo. 96 Usuarios organizados: visión de la seguridad en los sistemas de pago Roberto León Parilli* * Abogado egresado de la Universidad Santa María (USM) con estudios de postgrado en Derecho Procesal de la Universidad Católica Andrés Bello (UCAB) y el Programa de Desarrollo Gerencial del Instituto de Estudios Superiores de Administración (IESA). Actualmente se desempeña como Presidente de la Alianza Nacional de Usuarios y Consumidores (Anauco), editor del periódico Mercado de Dinero Venezuela y es representante de la Red Internacional de Defensa de los Usuarios de Servicios Bancarios. Resumen El desarrollo de los instrumentos de pago y los beneficios que generan no han sido aprovechados de manera generalizada ya que parte de los usuarios tienen miedo de utilizarlos y/o desconocen las medidas de seguridad asociadas a su funcionamiento. Por ello, la Alianza Nacional de Usuarios y Consumidores (Anauco) presenta una breve reseña de la organización, alguno de los éxitos obtenidos, los principales problemas y amenazas que han identificado y un conjunto de propuestas en términos de medidas y acciones que pueden prevenir o atenuar los riesgos derivados de la utilización de los medios de pago. Palabras clave: atención a usuarios, clonación de tarjetas, fraude electrónico, medios de pago, pagos electrónicos. Usuarios organizados: visión de la seguridad en los sistemas de pago Introducción Con el aprovechamiento de las nuevas tecnologías y tendencias, el sector bancario ha incorporado importantes cambios en los medios de pago tradicionales. De esta forma el pago a través del cheque está siendo sustituido por el pago electrónico en diversas modalidades. El usuario y consumidor del mundo moderno puede pagar cualquier servicio u obligación o comprar cualquier producto, cómodamente desde su casa o cualquier otro lugar, sin importar la distancia física que lo separa del receptor del pago. Esta posibilidad está hoy al alcance de cualquier persona, poco importa si tiene o no una computadora, cada día son más los sitios desde donde pueden efectuarse estos pagos (teléfonos con Internet, cafés, etcétera). Esta realidad que hoy vivimos, sin duda alguna agrega valor para mejorar la calidad de vida del ciudadano, ya no hay que trasladarse de un lugar a otro, ni hacer largas colas para efectuar un pago, todo lo cual se traduce en un mejor aprovechamiento del tiempo del usuario, en mayor fluidez en las agencias bancarias y mayor rentabilidad de los servicios a menor costo para el cliente. Sin embargo, todas estas ventajas y muchas otras que no hemos mencionado, no son suficientes para convencer a millones de usuarios para que utilicen estos mecanismos de pago. El miedo al fraude y el desconoci100 Seguridad en los sistemas de pago miento de las medidas de seguridad, constituyen la causa de este rechazo. Los temores y las verdaderas amenazas, sumados a mitos y relatos de víctimas, como una especie de marketing viral, contagian a muchos usuarios que se niegan a aprovechar las bondades del pago electrónico y continúan con las viejas usanzas, incluso sin tomar en cuenta los riesgos de fraude que tienen los cheques o el traslado de dinero en efectivo. En esta presentación se quiere hacer una reseña histórica de la Alianza Nacional de Usuarios y Consumidores (Anauco), para luego entrar en materia y hacer énfasis especial en los problemas y amenazas que se han detectado mediante el contacto directo con los usuarios, sus vivencias y sus denuncias. Luego del diagnóstico se plantearán, desde la perspectiva de esta organización, algunas propuestas y sugerencias, como posibles soluciones para prevenir el fraude y atenuar la percepción negativa y el rechazo de los usuarios. Finalmente, se hará una breve referencia a la sentencia dictada por el Tribunal Supremo de Justicia el 10/07/07, que declaró con lugar la demanda interpuesta por Anauco en defensa de los usuarios de tarjetas de crédito, sólo en lo concerniente a la seguridad en medios de pago (cuadro 1). La Alianza Nacional de Usuarios y Consumidores Anauco es una asociación civil sin fines de lucro que comenzó su actividad en Venezuela en el año 2000, 101 Usuarios organizados: visión de la seguridad en los sistemas de pago a raíz de un grave problema que atravesaron miles de familias titulares de una modalidad de créditos bancarios denominados créditos doble indexados, mejor conocidos como créditos mexicanos, para la adquisición de viviendas y otro numeroso grupo de personas con similares créditos, para la adquisición de vehículos, denominados cuota balón. Estos créditos capitalizaban intereses automáticamente y su premisa de funcionamiento era que los deudores tenían que ir mejorando sus ingresos para ir aumentando progresivamente la cuota de pago mensual, hasta comenzar a amortizar. Esta premisa no era una constante en nuestro país donde las personas usualmente no mejoran sus ingresos en las proporciones adecuadas, con lo cual, sus deudas crecieron hasta duplicar o triplicar el valor del bien en el mercado, mientras eran demandadas en ejecución de hipoteca por sus bancos acreedores. Esta cruzada permitió que Anauco, incorporado como tercero en un proceso judicial ante el Tribunal Supremo de Justicia, coadyuvara con la declaratoria de inconstitucionalidad de los créditos y con el proceso de ejecución del mandato, para recalcularlos a tasas sociales sin capitalización de intereses. La sentencia significó que 29.000 familias salvaran sus hogares y 350.000 personas sus vehículos. Luego de este contundente éxito, en el año 2002, Anauco fue refundada. En ese momento se entendió que la vocación y objetivos no terminaban con la solución del caso que justificó su origen, se confirmaba que de la unión nace la fuerza y que el usuario, concebido como débil 102 Seguridad en los sistemas de pago jurídico, no es débil cuando se organiza y une esfuerzos. De esta forma, nació Anauco con ánimo de permanencia, para atender a los usuarios en general y no sólo a los que adolecen de un problema o caso determinado. En adelante, fundamentados en las facultades de representación individual y colectiva que confiere la Carta Magna y la Ley de Protección al Consumidor y al Usuario, además de otras leyes especiales, se ha venido creciendo sostenidamente, al igual que se ha hecho en el ámbito de la legitimidad, hoy por hoy reconocida en reiteradas jurisprudencias de la Sala Constitucional del máximo tribunal de justicia; se cuenta con estructuras propias en Venezuela y por cooperación inmediata con estructuras en 13 países, a través de la suscripción de acuerdos con 40 organizaciones de defensa de los consumidores y usuarios. Anauco se circunscribe dentro del llamado movimiento consumerista mundial. Se trata de expresiones de la sociedad civil organizada, que bajo la figura de asociaciones civiles o similares, especializan su actuación en la formación y defensa de los consumidores. De esta forma, en la actualidad existen asociaciones de consumidores en diversos países, que bajo la premisa de la unión, logran superar la debilidad jurídica que caracteriza al consumidor individualizado. 103 Usuarios organizados: visión de la seguridad en los sistemas de pago Por otra parte, Anauco promueve un periódico, Mercado de Dinero, que se consolida ante su autosostenimiento desde hace tres años en Venezuela. Es un medio impreso en papel color salmón (color que caracteriza mundialmente a los medios especializados en economía y finanzas) para el consumidor, que se edita en cinco países contando el nuestro (España, Reino Unido, Estados Unidos, Colombia y Venezuela). Algunos éxitos obtenidos por la Alianza Además del éxito que dio origen a la organización (caso de los créditos indexados), Anauco ha venido desarrollando campañas exitosas para la defensa de los usuarios, entre ellas: 1. La solución para los deudores de créditos hipotecarios en dólares para la adquisición o remodelación de viviendas. A través de una gran campaña se logró la promulgación de una ley que ordenó suspender todos los juicios y convertir a bolívares los contratos, a la tasa de cambio que existía en la fecha de firma de cada uno de ellos. 2. Participación exitosa en el proceso abierto ante Procompetencia sobre la solicitud de venta de Digitel a Movilnet. 104 Seguridad en los sistemas de pago 3. Sentencia de la Sala Constitucional del TSJ del 10 de julio de 2007, que declaró con lugar la demanda de Anauco a favor de todos los usuarios de tarjetas de crédito, ordenando la adecuación del sistema, prohibiendo malas prácticas bancarias e incorporando importantes beneficios para el cliente (cuadro 1). 4. Incorporación de opiniones y solicitudes de Anauco en distintas leyes, dentro del proceso de discusión y/o promulgación de las mismas. 5. Participación en comisiones, mesas de trabajo y numerosos foros de discusión nacionales e internacionales. 6. Incorporación y aportes en distintos procesos ante Comisiones y Subcomisiones de la Asamblea Nacional. 7. Incorporación ante Fondonorma en Comité Espejo ISO 9000 para Tecnologías de Información. 8. Instalación de plataforma tecnológica que atiende aproximadamente a 500 afiliados diariamente. 9. Solución a numerosos problemas de los consumidores mediante el ejercicio de las facultades de mediación por representación; acuerdos de cooperación con distintas entidades públicas y privadas, organizaciones, empresas y cámaras, etcétera. 105 Usuarios organizados: visión de la seguridad en los sistemas de pago Los medios de pago y sus problemas asociados Las tarjetas de crédito y débito no son los únicos medios de pago electrónico, existen además algunos métodos tradicionales para pagar y cobrar, entre los que podemos contar los sistemas de domiciliación de pagos y las transferencias bancarias que no necesariamente se tienen que asociar a una tarjeta. Se tratará en esta oportunidad de hacer referencia fundamentalmente a los medios de mayor uso e importancia en nuestro país: Tarjetas de crédito Las tarjetas de crédito constituyen uno de los medios de pago electrónico por excelencia en nuestro país, ello se debe a que es el único mecanismo aprobado por las autoridades competentes para realizar pagos en el extranjero, bien sea durante un viaje o a través de compras por Internet. Sumado a este condicionamiento especial, las tarjetas de crédito son la llave para la utilización de un crédito rotativo que las hace atractivas, sobre todo porque otorga a su titular un poder adquisitivo más allá de sus ingresos reales. De esta forma las tarjetas de crédito, ante su importancia y beneficios, constituyen uno de los productos más atacados por la delincuencia organizada, bien sea, mediante el fraude electrónico (pagos por Internet) o mediante su clonación o sustitución, para lo cual el delincuente utiliza diversos métodos: 106 Seguridad en los sistemas de pago Fraude electrónico Las tarjetas de crédito, a diferencia de las de débito, no requieren de ninguna clave o PIN para la aprobación de sus cargos, por lo tanto, todos los datos necesarios para procesar los mismos están impresos sobre el plástico, son de acceso directo para quien manipule la tarjeta, es decir, cuando el usuario entrega su tarjeta de crédito en cualquier punto de venta, el receptor puede ver su número, su fecha de expiración y el número de seguridad que está al reverso (tres últimos dígitos), con estos elementos es suficiente para que en una fecha posterior alguien realice un pago con cargo a esa tarjeta de crédito en forma fraudulenta. Se observa con preocupación que se ha convertido en una práctica o costumbre que en los distintos comercios se crean bases de datos de los usuarios, donde se incorporan todos estos elementos mencionados, incluido el número de seguridad del reverso de las tarjetas de crédito. Se puede considerar que esta práctica no tiene fundamento porque una vez aprobado el pago, ya el comerciante no corre ningún riesgo, ni tendrá que utilizar los datos para nada más, en contraposición el acceso a esas bases de datos constituye una amenaza frente al usuario. Cualquier empleado del comercio, técnico de mantenimiento, puede acceder a los datos recolectados y hacer uso fraudulento de los mismos. 107 Usuarios organizados: visión de la seguridad en los sistemas de pago Clonación de tarjetas No se pretende explicar en detalle todos los métodos usados por la delincuencia organizada para clonar tarjetas de crédito, en virtud de que son muy variados, por lo que se prestará atención especial a los que constituyen debilidades de los sistemas de seguridad que se presentan en Venezuela. Es importante tener en cuenta que las tarjetas de crédito no requieren de claves o PIN tal como se explicó en el punto anterior, lo que las hace vulnerables, un tercero podrá usar una copia simplemente con pasarla por un punto de venta sin tener que averiguar ninguna clave secreta: • Puntos de venta fijos: uno de los grandes problemas o debilidades que presenta nuestro sistema, tiene que ver con el uso generalizado del punto de venta fijo (no inalámbrico). Esta implementación obliga a los usuarios a desprenderse de sus tarjetas de crédito para que un tercero (receptor del pago) la manipule y realice la operación correspondiente. De esta forma es muy frecuente que mientras el usuario pierde de vista su tarjeta de crédito, ésta es deslizada por un artefacto electrónico (pescador) que copia la información contenida en la cinta magnética de la tarjeta y luego puede realizarse una copia de la misma para su posterior uso fraudulento. El punto de venta inalámbrico resuelve este 108 Seguridad en los sistemas de pago problema en un altísimo porcentaje. Se trata de un punto de venta que puede trasladarse al lugar donde se encuentre el usuario (mesa, barra, recinto, etcétera) y permite que el propio usuario sea quien desliza su tarjeta por ese punto de venta, sin manipulaciones de terceras personas. Las razones por las cuales se ha generalizado el uso de los puntos de venta fijos están asociadas a que resulta más costoso para el comerciante la instalación y uso del inalámbrico. La preocupación principal del comerciante es vender sus productos y mercancías, para lo cual le funciona el punto de venta fijo igual que el inalámbrico, su tendencia es abaratar costos y por ello ha preferido el punto de venta fijo, muy a pesar de que es más inseguro. • Muchos puntos de venta en cada comercio: es usual que cada comercio tenga muchos puntos de venta, ello se debe a que quien vende o dota al comerciante de los mismos es el banco. Por lo tanto, cada banco exige a los comerciantes usar sus puntos de venta para obtener beneficios implícitos, representados en menores comisiones o mejores condiciones. Esta existencia múltiple de puntos de venta, impide tomar medidas básicas para la prevención del delito, como por ejemplo, suspender o bloquear aquéllos en los que sea detectado o se presuma la comisión de fraudes, sencillamente 109 Usuarios organizados: visión de la seguridad en los sistemas de pago porque al suspender un punto de venta determinado, el comercio cuenta con otros puntos de venta y el delincuente seguirá cometiendo sus fechorías. • Falta de previsiones asociadas a fenómenos culturales: a diferencia de las personas de algunos países, el venezolano suele molestarse cuando alguien le solicita su documento de identidad para verificar si se trata del titular de una tarjeta de crédito. Esta previsión de seguridad es fundamental para impedir que el portador ilegítimo de una tarjeta clonada, pueda usarla, pues será más difícil que además de la tarjeta clonada disponga de una cédula de identidad de su titular. Para mejorar este comportamiento, es importante establecer reglas que produzcan consecuencias al comerciante que reciba un pago de una persona distinta al titular de una tarjeta. Hasta ahora los únicos que responden y en consecuencia pierden ante un fraude son el usuario y el banco, el comerciante ha quedado exonerado frente a estos hechos, a pesar de ser quien manipula las tarjetas de crédito y quien administra el uso de los puntos de venta. En la medida en que se haga al comerciante solidariamente responsable por su negligencia o cooperación para delinquir, éste adoptará mayores controles para evitar el fraude. Otra medida que puede contribuir en la preven110 Seguridad en los sistemas de pago ción del uso fraudulento de tarjetas clonadas es la incorporación en el plástico de una fotografía del titular de la tarjeta. Transferencias bancarias En los últimos tiempos ha proliferado el fraude mediante la sustracción de haberes de las cuentas de los usuarios, a través de transferencias realizadas por Internet. Uno de los grandes avances del sistema bancario está constituido por la banca electrónica, muchos son los beneficios y facilidades que proporcionan al usuario e incluso a los mismos bancos que operan sin tener que atender al cliente personalmente. Pero hay que tener presente que la delincuencia organizada se vale de diversos métodos para apoderarse de las claves y demás datos asociados a las cuentas bancarias y al acceso web. Uno de los métodos delictivos más frecuentes es el phishing, que consiste en el envío masivo de comunicaciones simuladas, en las cuales el sujeto activo, haciendo creer que se trata de una comunicación del banco, invita al usuario a actualizar sus datos a través de un enlace falso, que le conduce a una página clonada de la respectiva institución financiera y con ello se apodera de los datos necesarios para hacer una transferencia o pago desde la cuenta de la víctima. Esta modalidad se ha venido perfeccionando y ahora existe además del tradicional, el 111 Usuarios organizados: visión de la seguridad en los sistemas de pago phishing telefónico, se trata de una llamada que simula ser del banco y convence al usuario, bajo una trama bien concebida, para que revele los datos necesarios. Los mecanismos de prevención de este delito se enfocan fundamentalmente en una adecuada información dirigida al usuario, en su mayoría estos ataques prosperan por desconocimiento o negligencia del cliente bancario quien no conoce el modus operandi delictivo y se hace presa fácil del mismo. Muchas veces estas campañas de formación no son profundizadas por sus características de tema tabú. Algunas instituciones bancarias prefieren manejar el tema con gran discreción antes que reconocer que el problema existe y que existe con sus clientes. También resulta conveniente que los sistemas de seguridad implementados por las instituciones financieras, evolucionen con la rapidez necesaria para ir un paso adelante en relación con el delincuente, por ejemplo, la implantación de una doble clave para operaciones especiales debería ser una constante. Domiciliación de pagos Uno de los problemas fundamentales que presenta nuestro sistema financiero en cuanto a atención al cliente es el alto tráfico de usuarios en las agencias bancarias, este fenómeno impide en forma real brindar una atención personalizada como el cliente lo merece y fundamentalmente atenderle en un tiempo breve. 112 Seguridad en los sistemas de pago Luego de un trabajo de campo acompañado de la opinión de muchos usuarios, se ha concluido que un gran porcentaje de visitantes de las agencias van para cancelar servicios (electricidad, teléfonos, cable, etcétera), todos estos pagos son susceptibles de ser realizados de forma fácil mediante la domiciliación a cuentas bancarias o tarjetas de crédito. Se ha podido diagnosticar que el factor que ha impedido el uso masificado de la domiciliación de pagos es la desconfianza del usuario, esta vez no está asociada sólo al fraude, sino más bien al temor de un cobro indebido a favor de los prestadores de servicios, ya sea por error o por aumentos no autorizados. Este problema que impide a los usuarios aprovechar este mecanismo tan cómodo y conveniente, que al mismo tiempo representa una mayor fluidez en los servicios bancarios, tiene posibles soluciones de carácter regulatorio, como por ejemplo: el requerimiento obligatorio de una autorización telefónica o conformación antes de procesar el pago, con lo cual, el usuario estará seguro de que siempre le serán debitadas las cantidades correctas y nunca se le podrá cobrar de más. Esta simple medida resultaría menos onerosa para el banco (llamada telefónica) que atender personalmente a alguien para procesar un pago o depósito, los beneficios del descongestionamiento serán enormes también para las instituciones financieras. 113 Usuarios organizados: visión de la seguridad en los sistemas de pago Propuestas de Anauco Son muchas las medidas y acciones que pueden prevenir o atenuar los riesgos derivados de la utilización de los medios de pago, entre ellas se quiere dejar a la consideración del público las siguientes: • Establecimiento de un PIN de seguridad secreto: al igual que las tarjetas de débito, sería conveniente establecer un PIN o clave secreta para la aprobación de los pagos con tarjetas de crédito. En su defecto es importante prohibir la riesgosa práctica de incorporación de datos sensibles en ficheros particulares de los comercios. • Fotografía del cliente en el plástico de las tarjetas de crédito y débito: hoy en día se hace más fácil implementar mecanismos para la digitalización de fotografías de los usuarios, las cuales deben reposar en los sistemas del banco para que por ejemplo el cajero sepa que realmente está hablando con el cliente. De igual forma una fotografía impresa en la tarjeta serviría para que el comerciante reconozca al titular de la misma. • Unificación de los puntos de venta: valdría la pena analizar la posibilidad de prohibir la existencia de varios puntos de venta en cada comercio, sólo uno o los que la dinámica del comercio 114 Seguridad en los sistemas de pago amerite (previo estudio de tráfico y flujo) serían suficientes si se condiciona a los bancos a aceptar tal disposición. De esta forma, al detectar un ilícito en algún comercio, se puede ordenar la suspensión del o los puntos de venta y evitar que se sigan cometiendo fraudes, mientras dura el proceso de investigación. • Uso obligatorio de puntos de venta inalámbricos: la única forma de lograr el uso masivo de estos sistemas más seguros es mediante regulaciones que los establezcan para hacer desaparecer los riesgosos puntos de venta fijos, algo similar a la sustitución de los dispositivos de los cajeros automáticos que absorbían las tarjetas, abolidos por el propio sistema bancario ante sus probados riesgos de fraude. • Regulación preventiva y sancionatoria sobre puntos de venta: es importante regular adecuadamente el uso de los puntos de venta, a fin de garantizar su correcta utilización y las medidas necesarias en caso de detectarse o presumirse fraudes en algunos de ellos. De esta forma, la responsabilidad debe ser compartida entre el banco y el comercio respectivo, toda vez que los sistemas de seguridad son responsabilidad del banco y quien manipula el punto de venta es el comerciante (buen padre de familia). 115 Usuarios organizados: visión de la seguridad en los sistemas de pago • Regulación sobre domiciliación de pagos: resultaría conveniente establecer, mediante normas adecuadas, garantías para los usuarios sobre los pagos efectuados con domiciliación en cuentas bancarias o tarjetas de crédito. Es necesario que el usuario sepa, ya sea mediante conformación telefónica u otro medio, el monto de los pagos, antes de que se carguen a sus cuentas. Ello le permitirá aprobar o rechazar el pago si no se está conforme con el mismo. Esta medida se traduciría en confianza para el usuario y por lo tanto, se contribuiría con la masificación de este medio de pago que descongestiona las agencias bancarias, contribuye con la bancarización y brinda comodidad a los usuarios. • Promulgación de una ley de protección de datos y habeas data: la mayoría de los riesgos de fraude que presentan los medios de pago electrónico están relacionados con el apoderamiento indebido de los datos de los usuarios, lo cual se debe fundamentalmente a procedimientos de recolección, almacenamiento y transferencia de datos que son inconvenientes e inseguros. Una ley que regule estos procedimientos, que tipifique algunos delitos e imponga penas, sería un elemento indispensable para la prevención del delito y el resguardo de la integridad de los titulares de los datos. 116 Seguridad en los sistemas de pago • Incorporación obligatoria de elementos de seguridad: existen elementos de seguridad que algunos bancos han incorporado a sus sistemas voluntariamente, los cuales deberían ser obligatorios para los demás, entre ellos: – Doble clave para la realización de operaciones especiales de banca electrónica (débitos, pagos, transferencias, etcétera). – Obligación para el usuario de establecer una clave la primera vez que usa sus tarjetas y obligación de cambiarla periódicamente, para evitar que el usuario trabaje con la clave asignada directamente por el banco. – Sistemas de claves aleatorias mediante sistemas electrónicos (token) o manuales. – SMS de notificación al usuario, cada vez que se efectúa un pago. Conclusiones Una vez identificadas algunas de las más importantes problemáticas implícitas en los medios de pago, se puede señalar que los medios tradicionales sufren numerosos problemas de seguridad (falsificación de billetes y de firmas, cheques sin fondo). Por otro lado, los medios electrónicos presentan riesgos adicionales, pues 117 Usuarios organizados: visión de la seguridad en los sistemas de pago a diferencia del papel, los documentos digitales pueden ser copiados perfectamente y cuantas veces se desee, las firmas digitales pueden ser falsificadas por cualquiera que conozca la clave privada del firmante, la identidad de una persona puede ser suplantada al ser asociada de forma inequívoca con la información relacionada en cada pago, las operaciones se pueden realizar a distancia (impunidad), etcétera. Sin embargo, las nuevas tecnologías constituyen una herramienta muy importante para el mejoramiento de la calidad de vida de los ciudadanos. Como todo lo demás, las tecnologías tienen riesgos implícitos, entre ellos el fraude constituye la principal amenaza. Para minimizar el impacto de los riesgos y demás aspectos negativos de los medios de pago, es fundamental la adopción de medidas necesarias para garantizar la debida seguridad de los integrantes del sistema; una renovación tecnológica constante, en concordancia con los avances de la ciencia, y la formación de los usuarios, mediante el desarrollo de adecuadas campañas de información. Estas tareas son de trascendental importancia, en ellas debemos contribuir todos los sectores, en la búsqueda de un correcto y seguro aprovechamiento de los avances tecnológicos al servicio de nuestro país y fundamentalmente de sus habitantes. 118 Seguridad en los sistemas de pago Sentencia del TSJ a favor de Anauco El 10 de julio de 2007 fue declarada por la Sala Constitucional del Tribunal Supremo de Justicia, parcialmente con lugar la demanda intentada por Anauco en defensa de los usuarios de tarjetas de crédito. La sentencia se refirió, entre otros aspectos, a las clonaciones y demás fraudes relacionados con las tarjetas de crédito. De esta forma, el TSJ estableció la inversión de la carga de la prueba que la costumbre mercantil bancaria había depositado en el usuario. Sobre la base de esta apreciación la Sala expresó en el numeral 8 de la dispositiva: “Se ORDENA a la SUPERINTENDENCIA DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS fije mediante Resolución, que en los contratos de apertura de crédito, especie tarjetas de crédito, se incluya que los cargos productos de la utilización de la tarjeta por personas diferentes al tarjetahabiente, no se cobrarán a éste, por ser indebidos, a menos que se compruebe su culpabilidad en el hecho, ya que quien corre el riesgo de la operación crediticia masiva es quien introduce en la sociedad el sistema y quien, en consecuencia, debe correr con los riesgos del negocio que está explotando y quien debe asumir todos los sistemas de seguridad que impidan estos ilícitos, pues dichos riesgos no pueden trasladarse al tarjetahabiente, quien no tiene ningún control sobre los sistemas de seguridad de los bancos y los comercios. Se considerará negligencia y por tanto, culpa del tarjetahabiente, no denunciar ante el emisor, de inmediato, el extravío o pérdida de la tarjeta”. 119 Usuarios organizados: visión de la seguridad en los sistemas de pago En consecuencia, no es suficiente la declaratoria de improcedencia de un reclamo o denuncia por parte de una entidad bancaria. Ahora, la respectiva institución deberá demostrar que hubo culpabilidad o negligencia del tarjetahabiente, en caso contrario no le podrán cobrar a éste tales cargos por ser considerados indebidos. 120 Banco Central de Venezuela y la seguridad en los sistemas de pago Luis Alberto Laviosa* * Economista egresado de la Universidad Santa María (USM) con maestría en Economía con especialización en Economía Pura y Economía Internacional en American University, Washington, DC. Cuenta con amplios conocimientos y experiencia en el sistema financiero así como en sus instituciones. Actualmente se desempeña como Gerente de la Unidad de Análisis del Mercado Financiero de la Vicepresidencia de Operaciones Nacionales del Banco Central de Venezuela. Resumen En esta ponencia final se repasan las principales ideas abordadas en el III Foro de Sistemas de Pago, comenzando por las responsabilidades de los reguladores y supervisores, los clientes y comercios, y las instituciones financieras para luego abordar las expectativas del Banco Central de Venezuela con relación a la realización del evento. Palabras clave: banco central, foro permanente, seguridad. Banco Central de Venezuela y la seguridad en los sistemas de pago ¿Qué determina el éxito de un foro como el que ha realizado el Banco Central de Venezuela? Algunos podrían decir que la calidad de las opiniones técnicas o el nivel de las personas que en él participan. Y, aunque eso no deja de ser cierto, tal vez lo que verdaderamente determina el éxito es la oportunidad de formar una red de cooperación con todos los involucrados y forjar una agenda de acciones conjuntas que conduzca a mejores niveles de seguridad y fiabilidad en los sistemas de pago del país. Esta es la principal expectativa que tiene el Banco Central de Venezuela con la realización del III Foro de Sistemas de Pago: Seguridad en los Sistemas de Pago: Hechos y Reflexiones. Un tema con múltiples caras ¿Qué conclusiones se derivan de la realización del foro? Sin menospreciar cualquier otra opinión, sin duda, queda claro que la seguridad es un tema en el cual todos tienen una responsabilidad. Sin embargo, tratemos de resumir dichas responsabilidades en tres grandes sectores. Primero, sobre los organismos reguladores y supervisores recaen dos importantes responsabilidades. Por un lado, deben brindar a la sociedad, al sistema financiero y de pagos del país un marco jurídico sólido que garantice las operaciones que en él se realizan. Ésta no es una labor fácil. Hay que equilibrar adecuadamente los incentivos para que se protejan los intereses de los venezolanos, pero 124 Seguridad en los sistemas de pago también los del sistema financiero. Asimismo, se deben propiciar mejores niveles de eficiencia sin descuidar los aspectos de seguridad, que tanto inciden en las decisiones de los usuarios finales. Por otro lado, los reguladores deben propiciar la existencia de infraestructuras seguras que sirvan de plataforma para la provisión de más y mejores servicios a la población. Tal es el caso de infraestructuras como la Cámara de Compensación Electrónica. El segundo gran sector involucrado corresponde a los comerciantes y los clientes, quienes utilizan día tras día los instrumentos de pago para realizar sus transacciones. Sobre éstos también recaen responsabilidades. Ellos tienen la función de desarrollar conciencia con respecto al uso de los pagos basados en lo electrónico y los riesgos a los que se exponen. Sólo al conocer estos riesgos, los usuarios serán capaces de protegerse contra delitos como el robo de identidad, clonaciones o el conocido método de phishing. Asimismo, las asociaciones que agrupan los intereses de usuarios y comerciantes también desempeñan una labor fundamental en velar por la justa distribución de las responsabilidades y la resolución de conflictos. Finalmente, en el tercer grupo, se encuentran las instituciones bancarias o proveedoras de servicios de pago. En términos operativos, ésta es la punta que recibe tal vez la mayor cuota de responsabilidad. De ellos se espera que realicen las inversiones necesarias para blindar sus servicios contra cualquier uso fraudulento de los mismos. Esto implica valerse al máximo de la tecnología 125 Banco Central de Venezuela y la seguridad en los sistemas de pago disponible para dar la mayor seguridad posible a sus usuarios. Asimismo, sobre ellos recae la responsabilidad de educar a los usuarios, para lo cual se deben profundizar las campañas de divulgación y los esfuerzos por generar confianza en los servicios que prestan, dar claridad sobre los cobros y los plazos, responder efectivamente a los reclamos y proteger los datos de sus clientes. Tendencias El tema de la seguridad no es, en modo alguno, un tema de preocupación exclusivo del mercado venezolano. Con los avances de la tecnología de la información, ha venido el desarrollo de sistemas de pago innovadores. No obstante, ello ha venido acompañado también de nuevos riesgos a escala mundial. Ésta es la razón por la cual muchos entes internacionales han estado trabajando sobre estándares que permitan manejar y controlar tales riesgos. Por ejemplo, el Banco Internacional de Pagos ha emitido un compendio de 10 principios básicos para mitigar riesgos en los sistemas de pago de importancia sistémica. Entre ellos, el principio 7 aborda directamente los temas relacionados con la seguridad y la fiabilidad de los servicios de este tipo de pagos. Otro ejemplo del interés generalizado que despiertan estos temas es la reciente emisión de las Normas de 126 Seguridad en los sistemas de pago Seguridad de Datos de la Industria de Tarjetas de Pago (conocido también por sus siglas en inglés PCI DSS). Este grupo de requerimientos, aplicables para los bancos y los comerciantes que manipulan información electrónica de las tarjetas de pago, es una guía para la protección de la información sensible en el proceso de pagos con este tipo de instrumento. La adopción de estos estándares y normas será un aspecto clave en la generación de confianza entre los usuarios y, por ende, en el desarrollo local del sistema de pagos, avanzando en campos como la terminalización y la tarjetización, creando las condiciones necesarias para un mayor comercio electrónico. ¿Qué ha hecho el BCV? En este sentido, consciente de sus responsabilidades como supervisor del sistema de pagos, el Banco Central de Venezuela ha puesto un especial esfuerzo en la entrega de infraestructuras seguras, como la ya mencionada Cámara de Compensación Electrónica. Para la implementación de este sistema de pagos se consideraron con sumo cuidado los estándares internacionales relacionados con continuidad, fiabilidad y seguridad operativa. Ello ha potenciado los pagos a través de Internet, brindando mayor seguridad para los clientes bancarios. 127 Banco Central de Venezuela y la seguridad en los sistemas de pago No obstante, la labor del Instituto no termina allí. Por ello –en su rol de supervisor de los sistemas de pago del país–, realiza evaluaciones sobre los sistemas e instrumentos que se operan en el país a fin de identificar riesgos y generar acciones orientadas a contenerlos. Un cuidado similar ha desplegado en su rol de regulador de las tarifas bancarias, lo cual ha conllevado a la realización de los más escrupulosos análisis a fin de determinar que las regulaciones en temas tarifarios no tengan impactos negativos sobre los aspectos de seguridad en los sistemas de pago ofrecidos por las instituciones financieras. Por último, es una muestra de gran interés por parte de las autoridades del Banco Central de Venezuela propiciar la realización de eventos, como el III Foro de Sistemas de Pago, para tratar asuntos de tanta relevancia como la seguridad en estos sistemas. Expectativas El Banco Central de Venezuela reafirma su profundo interés en conseguir la vía para el establecimiento de agendas conjuntas que nos ayuden a lograr mejores niveles de seguridad y eficiencia. En tal sentido, se enfatiza que existe la necesidad de trabajar en alcanzar una mayor transparencia en la información relacionada con la seguridad. El primer paso en la mitigación de un riesgo 128 Seguridad en los sistemas de pago es su identificación y dimensionamiento. Si no conocemos los tipos de riesgo involucrados y su impacto, poco efectivos serán los mecanismos que se desarrollen para la protección contra tales riesgos. En cualquier caso, el apoyo de los entes reguladores y de la banca será de gran importancia para alcanzar la transparencia que se requiere para mejorar la toma de decisiones. Asimismo, se puede identificar la necesidad de crear un foro permanente capaz de hacer converger a todos los involucrados en los temas relacionados con los sistemas de pago. En tal instancia, se podrían considerar no sólo los temas relacionados con la seguridad y los estándares, sino también temas de eficiencia, tales como el truncamiento, la tecnología en los puntos de venta y las tarifas de intercambio. Todo ello apuntará al logro de los objetivos y características planteados para el desarrollo del Sistema Nacional de Pagos. 129