La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó a finales de abril su Opinión sobre nuevos tipos de fraudes de pago y posibles medidas para mitigarlos. El régimen normativo europeo que regula los servicios de pago, actualmente integrado principalmente por la Directiva 2015/2366, de 25 de noviembre (PSD2, por sus siglas en inglés), se encuentra en proceso de revisión.
En junio del año pasado se publicó la Propuesta de la nueva Directiva relativa a los servicios de pago y los servicios de dinero electrónico en el mercado interior (PSD3) y en abril de este año la Propuesta de Reglamento relativo a la prestación de servicios en euros digitales (PSR, por sus siglas en inglés).
Los datos sobre fraudes financieros del año 2022, a los que EBA tuvo acceso a finales de 2023, permiten concluir que, a grandes rasgos, el impacto que han tenido las medidas de seguridad de PSD2 en los niveles de fraude de la Unión Europea ha sido satisfactorio. Herramientas como la Autenticación Reforzada de Clientes (SCA, por sus siglas en inglés) o la monitorización de las transacciones, han logrado mitigar los fraudes. No obstante, la Autoridad considera que es necesario adoptar medidas adicionales a las que se han incluido en PSD3, PSR y el reciente Reglamento (UE) 2024/886, de 13 de marzo de 2024, sobre las transferencias inmediatas en euros. Por tanto, el objetivo de esta nueva Opinión es reforzar el marco legislativo que está por venir, ya que, durante varios años, será el que regule los requisitos antifraude de los pagos por minoristas.
Nuevos fraudes y tendencias fraudulentas emergentes
En su investigación, EBA ha observado que hay productos financieros, jurisdicciones y zonas geográficas más proclives a sufrir ataques. En lo que se refiere a los productos, en las transferencias y pagos instantáneos, el fraude es diez veces mayor que en una transferencia convencional. Aunque la Institución cree que es pronto para identificar las causas principales, sí cree que, en gran medida, se debe a que dada la rápida ejecución de los pagos – por lo general, inferior a diez segundos – hace difícil que los proveedores de servicios de pago (PSP, por sus siglas en inglés) recuperen los fondos defraudados.
Las previsiones son que el uso de este método aumente entre los consumidores europeos, por lo que, es más que necesario implementar salvaguardas adicionales. El otro producto fuertemente afectado son las transacciones transfronterizas, tanto entre países del Espacio Económico Europeo como con terceros Estados. El motivo principal apunta a deficiencias en la cooperación entre PSPs y que los terceros Estados no cuenten con medidas como el SCA.
Suplantaciones de identidad
En lo que se refiere a las nuevas tendencias de fraude, EBA ha observado que los defraudadores, prevaliéndose de las nuevas tecnologías, adoptan métodos de estafa cada vez más complejos. Una de las más utilizadas consiste en que el defraudador manipula al consumidor, haciéndose pasar por un conocido de confianza gracias a técnicas de ingeniería social. En el mundo empresarial, donde también se utiliza esta técnica, los defraudadores suplantan la identidad del CEO, consiguiendo así que los empleados autoricen pagos bajo la falsa creencia de que la orden viene de su superior.
Otro de los más comunes son los métodos de estafas mixtos, que combinan técnicas clásicas, como el phishing, con la ingeniería social. De cara al consumidor, el defraudador se hace pasar por un empleado de la PSP. Por último, otra táctica recurrente es aquella que se aprovecha del proceso de inscripción. El defraudador, además de utilizar datos personales, se provee de dispositivos para superar el segundo método de SCA, consiguiendo el control absoluto de la cuenta del consumidor.
Medidas específicas de EBA
EBA propone cinco medidas adicionales para combatir la naturaleza dinámica de los fraudes y la capacidad de adaptación de los defraudadores:
1. Reforzar los requisitos de seguridad en los PSP
Para el sistema de transacciones propone que los SCA incluyan dos métodos de categorías diferentes y la posibilidad de que los usuarios fijen límites a las cuantías de las operaciones, pudiendo retrasar aquellas que se excedan en la cantidad. También propone que los proveedores cuenten con un servicio de atención al usuario que les permita prestar asistencia a los clientes cuando se detecten anomalías o se sospeche un posible fraude.
2. Un marco de gestión del riesgo por los PSP
Este marco incluiría, entre otras cosas, una declaración periódica de riesgos con los objetivos de contención del fraude, una monitorización de los niveles propios de fraude y actualizaciones habituales con las medidas de seguridad implementadas para mitigar los riesgos detectados.
3. Enmendar las normas de distribución del riesgo
Las normas de distribución de las pérdidas por fraude entre el proveedor y el usuario son muy desiguales entre los distintos Estados Miembro. EBA propone enmendar la Propuesta del Reglamento de Servicios de Pago para que incluya los principales factores que llevan a esta desigualdad, cerrando así definitivamente las lagunas normativas actuales. Sugiere, por ejemplo, que se diferencie claramente cuando se está ante una transacción autorizada o una no autorizada, que se defina “negligencia grave” y que se atribuya la culpa exclusivamente al proveedor cuando no informe al usuario de las medidas de seguridad o cuando los datos se hayan obtenido por una filtración culpa suya.
En este sentido, en la primera lectura de la Propuesta del PSR por el Parlamento Europeo, el Parlamento propone ir un paso más allá respecto de las medidas propuestas por EBA, apostando por un sistema de corresponsabilidad entre los PSP y los proveedores de servicios de comunicación electrónica (PSCE, por sus siglas en inglés). Concretamente, propone la responsabilidad compartida cuando el PSCE no coopere para evitar el fraude.
No obstante, exige responsabilidad exclusiva de los PSCE cuando se den nuevos fraudes de suplantación de identidad (spoofing) o cuando el fraude se haya producido como consecuencia directa de que los defraudadores hayan utilizado su plataforma para estafar a los consumidores, siempre que se les hubiese informado de la existencia de contenidos fraudulentos en su plataforma y no los hubiesen retirado.
4. Reforzar y armonizar la supervisión de la gestión del fraude
Los proveedores de servicios, tanto del pagador como del beneficiario, deberán controlar que el fraude se mantenga por debajo de los niveles máximos tolerables. Después deberán remitir estos datos a las Autoridades Nacionales Competentes para que los monitoricen y adopten medidas de supervisión.
5. La creación de una Plataforma única europea
EBA sugiere a los organismos legislativos que valoren adoptar esta medida. La plataforma, dirigida e integrada por los PSPs, permitiría el intercambio de información sobre fraudes. Para respetar la normativa de protección de datos, aquella información que, pese a ser sospechosa, no se puede intercambiar entre los proveedores, se convertiría en hashes criptográficos. De este modo, se podrían detectar posibles fraudes, tan solo verificando el cifrado criptográfico, sin necesidad de acceder a los datos protegidos.