Desde años antes de la pandemia, observamos que el aumento en el volumen y cuantía de los fraudes en la industria de servicios financieros trajo consigo el incremento global del uso de tecnologías para su prevención, tales como alertas en tiempo real mediante técnicas de machine learning, y el uso de tecnologías de reconocimiento de biométricos, como huellas dactilares, voz y rostro, y aquellas de comportamiento, que perfilan cómo los clientes interactúan con sus dispositivos electrónicos.
Consulte la publicación Los riesgos tecnológicos emergentes de auditoría de TI
Las modalidades más comunes de fraude que han estado presentes en el último lustro son el robo de identidad y cuentas, los ciberataques, el fraude de tarjeta no presente y los esquemas de pagos push, como las principales tipologías identificadas. En esta última modalidad, por ejemplo, se engaña a la víctima para que envíe voluntariamente su dinero al estafador mediante aplicaciones, o transfiriéndolo voluntariamente a otra cuenta, pues se le hace creer que la seguridad de la suya ha sido comprometida.
En 2020 los casos de fraude se incrementaron aún más, destacando el lavado de dinero y el financiamiento al terrorismo entre los principales, de acuerdo con una encuesta del Grupo de Acción Financiera Internacional (GAFI)1.
Ocho áreas para establecer y evaluar los controles antifraude
El establecimiento de controles debe alinearse a los riesgos identificados con base en un análisis robusto en la empresa. Para ello, hay que considerar ocho áreas para establecer, diseñar y evaluar de manera holística los controles antifraude en la industria de servicios financieros:
- Estrategia y apetito al riesgo: la cultura antifraude debe ser dictada desde el Consejo de Administración
- Marco de gobierno corporativo: las estructuras deben estar bien definidas, y las líneas de reporte deben ser claras
- Procesos y decisiones primordiales: que estén debidamente documentados y difundidos
- Diseño de reglas y controles: que abarquen las tres líneas de defensa, descritas más adelante, así como todos los productos, servicios y canales
- Organización e infraestructura: que sean suficientes para hacer frente y mitigar todos los riesgos identificados
- Personas: garantizar el entrenamiento constante
- Tecnología: que los procesos y controles evolucionen y sean sometidos a pruebas y mejoras
- Administración y análisis de datos: gestionarlos de manera segura y confiable, generando valor a partir de su análisis
En cuanto al tercer punto, las fallas en los controles han mantenido un patrón similar antes y durante la pandemia, entre otros: falta de modelos antifraude documentados, insuficiente análisis de riesgos organizacionales en materia de fraude interno y externo, así como carencia de sinergias en el trabajo entre los departamentos de prevención, de acuerdo con la misma encuesta del GAFI.1
Respecto al cuarto punto, la primera línea de defensa se refiere a la gestión operativa: las funciones para evaluar controlar y mitigar los riesgos, así como implantar controles efectivos. La segunda línea la integran las funciones de Control Interno, Gestión de Riesgos y Cumplimiento. Y la tercera consiste en la auditoría interna, que ofrece un aseguramiento independiente sobre efectividad, control interno y gestión de riesgos, abarcando los aspectos operativos de las dos primeras líneas.
No obstante, hay casos en que los controles son burlados. Así sucede con la suplantación de identidad, como el spoofing, que consiste en una serie de técnicas de hacking, con intenciones maliciosas, creadas para obtener información privada que permita utilizar credenciales de terceros en la red y defraudar a las personas. En estas situaciones se cuestiona la responsabilidad de la institución en cuanto a la disuasión y prevención, así como a la protección de sus clientes.
Esto parte de una de las máximas del derecho que dice que quien es dueño del principal lo es del accesorio, cuando de la propiedad de un bien o derecho se refiere. En el mismo sentido, hay que asumir el compromiso con los efectos derivados de vulneraciones o fallas en los mecanismos de defensa o, incluso, de la suplantación de los sistemas.
Por lo anterior, la responsabilidad de las instituciones financieras es enorme, pues hoy no son solo propietarias de una infraestructura física, sino de una gran infraestructura digital o virtual, y los clientes esperan la protección derivada de un funcionamiento íntegro de los sistemas y controles de la entidad. Si se tiene en cuenta que los controles siguen siendo el área principal de vulnerabilidades, junto a la falta de sinergia en el trabajo de los departamentos de prevención que se ocupan de los diversos tipos de fraudes, aún hay mucho por hacer.
[1] Riesgos y respuesta de política, Grupo de Acción Financiera Internacional, 2020.
