La decisión del Fiscal General de Nueva York de demandar a Citibank la semana pasada por no reembolsar a los clientes que habían sido víctimas de fraude planteó algunas cuestiones interesantes para las empresas que van más allá de Citibank. En concreto, ¿cuándo se debe reembolsar a un cliente por fraude y en qué momento entran en juego las propias acciones del cliente?
Para ser claros, las instituciones financieras han sido negarse rutinariamente a reembolsar a los clientes que no han hecho nada malo. La cuestión mucho más complicada es cuando el cliente realmente hace algo mal.
Considere tres escenarios:
- Un cliente recibe una llamada telefónica supuestamente de la institución financiera; la persona que llama dice que están investigando un fraude y le pide al cliente que le revele su código de confirmación (casi siempre un texto SMS no cifrado, algo que ningún negocio debería hacer, pero estoy divagando). Al contrario de la línea «nunca le pediremos su contraseña», muchas empresas absolutamente le pedirán a un cliente que revele ese código para «verificar» que el cliente es quien dice ser. Por tanto, no es una petición inusual.
- El cliente está parado en un cajero automático a punto de hacer un retiro cuando alguien se para junto a él, le apunta con un arma a la cabeza y le dice: “Dame $5,000 o te mato”.
- El cliente es estafado por un familiar que le dice que necesita dinero para una operación. La persona saca el dinero de su cuenta y se lo entrega al familiar.
Los tres son fraudes contra ese cliente. ¿Está obligada la institución financiera a devolver los fondos en el escenario 3? ¿Qué pasa con el escenario 2?
Muchas instituciones financieras dicen que si el cliente no siguió estrictamente las reglas, no tienen ninguna obligación de reembolsar. Pero, ¿qué pasaría si el cliente en el escenario uno realmente creyera que la persona que llama era de su banco? ¿Debería esto influir en la decisión de reembolso?
Este tipo de decisión de reembolso fraudulenta podría afectar a todas las empresas. Si una empresa de servicios públicos, un minorista, un hotel o un concesionario de automóviles tiene clientes estafados por estafadores, ¿dónde comienza y termina la obligación de reembolso?
El caso de Nueva York señala que las instituciones financieras están utilizando reglas oscuras y obsoletas sobre transferencias electrónicas para evitar reembolsos a los clientes. (Esas reglas sobre transferencias bancarias se escribieron mucho antes de que las transferencias de dinero móviles y en línea se volvieran comunes).
«Citi no aplica la EFTA (la Ley de Transferencia Electrónica de Fondos de 1978) a sus propias EFT no autorizadas iniciadas electrónicamente por estafadores, citando una exclusión estrecha pero inaplicable para las transferencias bancarias de banco a banco», decía la presentación legal del AG. “Citi tampoco aplica sus procedimientos de verificación más sólidos a las Órdenes de Pago recibido a los pocos minutos de Órdenes de Pago rechazadas que involucran a las mismas cuentas. En ocasiones, Citi cancela Órdenes de Pago fraudulentas después de que no puede verificar esas órdenes directamente, ya sea porque Citi no puede contactar a los consumidores directamente o porque los estafadores brindan información inexacta cuando se contacta.
«Sin embargo, cuando los estafadores envían nuevas Órdenes de Pago minutos después utilizando el mismo representan las mismas cantidades, no se aplica ningún escrutinio más estricto. Por el contrario, en ocasiones Citi emplea procedimientos de verificación más débiles para las posteriores Órdenes de Pago fraudulentas”.
Más importante aún, la presentación decía que Citi no realiza investigaciones significativas cuando se denuncia un fraude. Y no bloquea las cuentas para poner fin al fraude cuando se entera de un ataque. En cambio, hace que los clientes acudan a las sucursales locales, lo que les da a los atacantes mucho tiempo para robar más dinero y sacar los fondos del alcance de las autoridades.
Linda Miller, ex directora de Grant Thornton y actualmente directora ejecutiva de The Audient Group, dijo que “no se ha responsabilizado a los bancos de ninguna manera significativa. No están incentivados a tomarse en serio el fraude”.
La forma correcta de solucionar este problema es cambiar la ley federal para dejar claro que los bancos son responsables de que sus clientes sean defraudados. Pero Miller dijo que eso es muy poco probable.
«Los bancos no están demasiado preocupados por el cambio de estas leyes, porque tienen un grupo de presión muy poderoso», dijo Miller.
El presentación completa del estado de Nueva York (que animaría a todos a leer) comete un error táctico, en mi opinión. Habla de reembolso, pero luego también explora los mecanismos de ciberseguridad específicos que utiliza Citi y los que no utiliza. Aunque es relevante, esto también permite a Citi centrarse en las protecciones que utiliza. Luego se puede hablar extensamente sobre las defensas en uso. Esa es una distracción, no una respuesta.
El único objetivo de Nueva York debería ser obligar a las instituciones financieras a reembolsar íntegramente a los clientes por fraude. En otras palabras, si el Estado se centra en exigir una mejor protección, es probable que las instituciones financieras hagan lo mínimo que puedan para salirse con la suya. Si el Estado se centra en exigir el reembolso total de todos los fraudes, los bancos y las instituciones verán la ciberseguridad como una forma de reducir las pérdidas. Entonces es más probable que tomen las medidas adecuadas.
Esto nos lleva de nuevo a la verdadera pregunta: ¿cuándo debería ¿Un reembolso comercial por fraude? Si un cliente retira dinero deliberada e intencionalmente para destinarlo a un esfuerzo inútil o a una tarea complicada charlatán, ¿la institución es responsable? ¿Qué pasa cuando realmente ¿Crees que estaban hablando con un representante del banco?
Vamos a darle la vuelta a esto. Las instituciones financieras tienen un temor legítimo. Les preocupa que, si hay que reembolsar todo el fraude, se fomentará el llamado fraude falso. Ahí es donde un cliente, por ejemplo, podría conseguir que un amigo transfiera su dinero a una cuenta bancaria en el extranjero, y luego el cliente alega fraude y exige un reembolso. De esa forma, los clientes pueden duplicar su dinero.
Existe una solución fácil. De hecho, las instituciones financieras deberían reembolsar todo fraude. Luego hacen una investigación y, si creen que el fraude es falso, denuncian al cliente a las autoridades y dejan que las autoridades se ocupen del asunto. Esto responde a la pregunta del banco: «¿Por qué los clientes no fingen que una transferencia es fraudulenta?» La respuesta sería: “Porque no quieren ir a prisión”.
Las instituciones tienen un fuerte incentivo para determinar si un caso de fraude es falso. La policía, junto con los fiscales del distrito o los fiscales que tienen que juzgar el caso, tienen muchos menos incentivos para considerar erróneamente que una denuncia de fraude es mentira. Necesitan probar el caso más allá de toda duda razonable ante un jurado o un juez. Así es como se debe manejar esto.
Alternativamente, las instituciones podrían simplemente realizar investigaciones reales, bloquear cuentas instantáneamente al primer indicio de fraude y desplegar mecanismos más efectivos para detectar y bloquear actividades sospechosas.
Existe un modelo sencillo para ello: los sistemas de tarjetas de pago (tanto de crédito como de débito). Los bancos que manejan estas tarjetas para las marcas de tarjetas (Visa, MasterCard, Amex, etc.) hacen un gran trabajo al detectar instantáneamente posibles actividades fraudulentas. ¿Por qué sus contrapartes que manejan cuentas comerciales y de consumidores no pueden hacer lo mismo?
Copyright © 2024 IDG Communications, Inc.