En lo que resta del año, el sector financiero estará trabajando intensamente en la última fase de la adopción de las normas sobre seguridad bancaria que fueron fijadas por la Superintendencia Financiera a finales de 2007 a través de la circular 052. Y, si bien la banca lleva casi dos años mejorando sus estándares de seguridad y calidad de la información, solo en esta tercera fase se van a hacer visibles para el público los esfuerzos que ha hecho el sector en este frente, pues ahora él actuará sobre sus oficinas, cajeros y servicio de internet.

A partir del 1º de enero de 2010, las entidades financieras deberán dotar todas sus oficinas y cajeros con cámaras de seguridad que permitan monitorear y dejar un registro fílmico de todas las transacciones realizadas durante un mínimo de seis meses, comenzar a ofrecer tarjetas inteligentes con chip a quien lo solicite y adoptar mecanismos de autenticación más robustos al momento de ingresar a internet, como token One Type Password (OTP), entre otras medidas.

Con la adopción de las más de cien disposiciones con las que cuenta la norma, el sector bancario colombiano queda a la vanguardia mundial en materia de sistemas de gestión de la seguridad, la tecnología y la información, pues se recogieron las mejores prácticas mundiales, afirman diversos expertos consultados, como Ricardo Posada, Sales Director de Oracle Financial Services.

Y, si bien ya se ha presentado una leve disminución en el número de quejas y reclamos, se espera que con la adopción de estas últimas medidas, el fraude electrónico y la clonación de tarjetas, que representan el 80% de los fraudes en el sector financiero, comiencen a disminuir aceleradamente.

Sin embargo, el sector es conciente de que los fraudes son un tema dinámico, pues se sofistican a la par con la innovación tecnológica y, por ello, el verdadero éxito de todas estas medidas dependerá de que los usuarios adopten comportamientos más seguros. "Las entidades hemos hecho un gran esfuerzo, pero todo esto tendrá éxito en la medida en que los que operan sigan día a día las recomendaciones y se hagan corresponsables de su seguridad", afirma Henry Giraldo, gerente general de seguridad bancaria del Grupo Bancolombia.

Los cambios

Con la expedición de la norma, la Superintendencia Financiera recogió las mejores prácticas mundiales y ayuda a encaminar el proceso y a encausarlo de un modo estructurado, al crear un marco de referencia único para homologar los niveles de seguridad y los procedimientos en el sector. Durante cada una de las tres etapas que se definieron para su implementación, se han realizado importantes logros y avances.

La primera implicó numerosos cambios (84 numerales), que incluían desde la obligación a las entidades a hacer pruebas de penetración para evaluar los protocolos de la información ('hackeo' ético) hasta cosas sencillas como proteger todos los puertos USB en las oficinas para evitar copias, por ejemplo, poner protectores de teclado en los cajeros, implantar el cierre automático de las páginas virtuales, entre otras medidas que pretendían evitar accesos a información confidencial por parte de terceros o personal no autorizado del banco. Dichas medidas cobijaron incluso a las entidades que prestan servicios de outsourcing a la banca como, por ejemplo, los call centers, donde debieron establecerse áreas físicas independientes y exclusivas para las entidades financieras. En fin, cambios poco perceptibles para el cliente pero que le dan más seguridad al manejo de la información.

Sin embargo, el principal avance en esta etapa, que finalizó en junio de 2008, fue probablemente el cambio de mentalidad que se dio en la banca y la apertura a tratar estos temas con los clientes, ante la obligación de su divulgación. Anteriormente, el tema de los fraudes se trataba de ocultar, pues las entidades creían que esto minaba la confianza del público. Hoy, hay un reconocimiento de los riesgos que enfrenta la utilización de los canales electrónicos y el gremio ha optado por emprender campañas publicitarias masivas en las que habría invertido más de $7.000 millones para tratar de educar a sus clientes. La última para esta temporada tiene el lema de "Juntos es más fácil", para resaltar el poder del trabajo en equipo para lograr objetivos de seguridad en trámites bancarios.

En la segunda etapa, compuesta por 17 numerales y que debía cumplirse el 1º de abril de 2009, uno de los principales avances fue la personalización de las transacciones, con miras a permitir las alertas y la notificación de las novedades. En la actualidad, los clientes pueden definirle a su entidad el monto máximo y la cantidad máxima de transacciones que realizarán en cada canal durante el mes. Además, las entidades deberán contar con sistemas que vayan construyendo esos perfiles transaccionales con el fin de generar esquemas de alarmas y notificaciones mediante mensajes de texto vía celular, cuando se realicen operaciones por fuera de los parámetros establecidos. Esto permitirá tener un mayor control sobre las transacciones realizadas y permitir el bloqueo si hay utilización indebida.

Otros avances de la norma fueron la obligación a las entidades de informarles a los clientes los costos antes de realizar la transacción, llevar un registro interno de qué empleados y qué información consultan de los diferentes clientes, establecer planes de contingencia y la obligación de que todo intercambio de información confidencial desde, o hacia los clientes, tiene que estar encriptada.

Sin embargo, los mayores avances de la norma se darán en la tercera etapa que, si bien solo contempla siete modificaciones, es la que requerirá las mayores inversiones y la que traerá cambios más visibles. Se trata de la dotación de más de 5.000 oficinas y 9.000 cajeros con sistemas de video-grabación que asocien los datos y las imágenes en cada transacción, lo cual facilitará su monitoreo y la judicialización de los delincuentes. Pero también de la renovación con chips de más de 21 millones de tarjetas (14 millones de débito y 7 millones de crédito), para reducir el riesgo de clonación que tiene la banda magnética y de la adecuación de todos los puntos de pago POS, ATM y demás canales. También incluye la implementación de los Token, un pequeño aparato que genera una clave aleatoria única (de un solo uso, pues no se repite y es válida por un corto lapso) que el usuario deberá introducir de modo adicional a sus datos y claves tradicionales para realizar transacciones a través de internet.

Precisamente, por la magnitud de los cambios, estos serán graduales. La mayoría de entidades consultadas ha hablado de una renovación natural. Esto es, "para los clientes nuevos y a quienes se les venza la tarjeta -aunque cualquier cliente podrá solicitar la tarjeta con chip-" afirma Giraldo, de Bancolombia. Por esto, se permitirá que se realicen transacciones con banda y chip mientras que clientes y comerciantes se familiarizan con el nuevo sistema.

Además, estos cambios podrían ser aprovechados por los bancos para generar nuevas posibilidades comerciales. Por ejemplo, como los chips tienen capacidad de almacenar información adicional se pueden desarrollar aplicaciones de valor agregado, como programas de lealtad con acumulación y redención de puntos y millas por transacciones y pago de transporte público, entre otras.

Mejor juntos

La banca ha hecho su parte para ofrecer productos y servicios cada vez más seguros, realizando grandes inversiones, transformándose tecnológicamente y optimizando sus procesos. Además, sabe que este trabajo es continuo.

El Gobierno también. A través de la Superintendencia Financiera y del Congreso, que expidió una ley enfocada al delito financiero, que estableció una pena mínima de 48 meses no excarcelable para quien clone tarjetas. Sin embargo, lo más importante es que el cliente le dé un manejo adecuado a la información y que se haga corresponsable de la seguridad bancaria.

Por ejemplo, los clientes no se han inscrito masivamente para recibir notificaciones y alarmas a pesar de ser un servicio gratuito, menos de la mitad tiene el hábito de no dejar ver su clave cuando hace la transacción, únicamente el 27% tapa el teclado, solo el 50% realiza las transacciones desde un computador personal y dos de cada tres personas ingresa a las páginas de su banco a través de links peligrosos que buscan capturar los códigos de ingreso para extraer los fondos de las cuentas, según un reciente estudio realizado por Asobancaria. "Necesitamos que precauciones como cambiar permanentemente las claves de las tarjetas y acceder al portal del banco digitando la dirección de este se conviertan en hábitos permanentes de las personas. En esto debemos trabajar de la mano bancos y clientes", afirma María Mercedes Cuellar, presidente de la agremiación.

Se requiere un cambio de mentalidad por parte del usuario de la banca, generar una cultura del manejo de la información y de la seguridad antifraude. Según Andrés González, director de investigaciones de MaTTica, el primer laboratorio de cómputo forense de América Latina, "el problema actual de seguridad de la información no es de la tecnología, es de cómo hacemos uso de ella. Hay que educar a los clientes y dar a conocer los avances". Si todos trabajamos juntos, no solo se producirá una disminución de los fraudes y un mejoramiento del servicio, sino que la banca electrónica tendrá su despegue definitivo.