Tal como lo había anticipado en un comunicado previo al 9 de julio, finalmente hace unos días el Banco Central emitió una comunicación que estableció una serie de medidas destinadas a aumentar los requisitos de seguridad de las billeteras virtuales a fin de prevenir que los usuarios de estas herramientas sean víctimas de fraude.

"Las billeteras electrónicas y las entidades del sistema financiero tendrán que tomar nuevas medidas de seguridad para prevenir engaños a los usuarios de los servicios financieros", señalaba el comunicado.

En general, la nueva normativa no generó sorpresa en el sector Fintech y es evaluada como "correcta",  pero hay un punto que podría generar algo de polémica en las próximas semanas y es el que se refiere a la prohibición de que los clientes utilicen una tarjeta o cuenta bancaria que no coincida con los datos de su cuenta en la empresa.

El mayor uso de las herramientas digitales puso en evidencia la exposición a riesgos de los usuarios de las billeteras.

¿Qué llevó a la emisión de la norma?

"En los últimos años el país cultivó un fecundo ecosistema de medios de pago electrónicos. Y, con todas las ventajas que dichas herramientas han demostrado aportar, la aceleración de su adopción, potenciada por la pandemia del COVID-19, ha exhibido la vulnerabilidad de parte del universo de usuarios a estafas de mayor y menor complejidad", ilustra Marcos Blanco, socio líder del área de Tecnologías de la Información y Privacidad (TIP) del estudio MHR Abogados.

En este sentido, Juan Pablo Bruzzo, CEO de la empresa MONI y ex presidente de la Cámara Argentina de Fintech, comenta que, "en el último tiempo, hubo algunos fraudes de público conocimiento, como los que se cometieron a través de DEBIN, en el que los estafados fueron contactados para recibir un dinero confirmando un link y lo que realmente pasaba era que, al hacer clic, se les debitaba esa plata". Y asegura que esa situación fue un alerta de que hay que trabajar para mejorar la seguridad digital.

Los puntos que estableció el BCRA

A luz de estos antecedentes, Blanco señala que el Banco Central estableció a través de la Comunicación "A" 7328, que, a partir de agosto, las aplicaciones que ofrezcan servicios de billeteras virtuales deberán cumplir con lo siguiente:

• Verificar la identidad de las personas que requieren la apertura de una cuenta de pago, observando las disposiciones para entidades financieras.
• Sólo permitir asociar a las billeteras digitales aquellos instrumentos de pago o cuentas que pertenezcan al titular de la cuenta.
• Tendrán que arbitrar mecanismos de identificación y autenticación del usuario "fuertes" para acceder a la billetera. El cumplimiento de estos requisitos debe ser trazable y auditable.

El abogado asegura que, en cuanto las disposiciones referidas a la verificación y autenticación del usuario para la apertura y acceso a la cuenta, "la norma sólo confirma en gran medida los estándares de exigencia adoptados por los principales jugadores del mercado". Y Bruzzo confirma su apreciación al señalar que "la rigurosidad en los procesos de registro está muy extendida en el sector Fintech".

El empresario menciona, por ejemplo, que en el caso de Moni se le solicitan el DNI al cliente y se chequea con el RENAPER que sea correcto y que el reconocimiento de rostro coincida con los registros del organismo, a la vez que consultan otras bases de datos públicas para chequear información y verifican que las cuentas bancarias, tarjetas de débito y el DNI coincidan. "Es muy sólido el on-boarding y esos estándares son comunes a todas las compañías en general", resalta.

Sin embargo, tal como se anticipó al comienzo de la nota, la prohibición de que los clientes utilicen una tarjeta o cuenta bancaria que no coincida con los datos de su cuenta en la empresa puede generar rispideces.

Los usuarios no podrán asociar a sus billeteras virtuales cuentas o tarjetas que no estén a su nombre.

¿Conflicto en puerta?

Sucede que algunos PSPs, entre los que se encuentra MercadoPago, permiten asociar una tarjeta o cuenta perteneciente a otro titular a un usuario. "Tiene sentido porque, por ejemplo, el hijo de un cliente tiene una tarjeta asociada a su cuenta bancaria y puede querer usar para realizar pagos, per con la nueva regulación no va a poder", detalla Bruzzo.

Tal como explica Blanco, "la medida referida a la asociación exclusiva de instrumentos de pago y cuentas pertenecientes al mismo titular, según las palabras del Banco Central, fue ideada para evitar que se utilicen datos de terceros que pueden ser obtenidos por medio de fraude o engaño" (incluyendo datos relativos a tarjetas de crédito y débito, cajas de ahorro o cuentas de pago o a la vista, u otras fuentes de fondos).

Sin embargo, una fuente del sector Fintech alerta que "parece un exceso de seguridad porque, si los PSPs, como MercadoPago, logran con distintas tecnologías controlar el fraude sistemático, no hace falta esa restricción". Y asegura que, desde la industria, las empresas pueden refutar la necesidad de esta exigencia con conocimiento de causa y pruebas más que suficientes.

De cara al futuro, entre las fintechs no descartan que puedan llegar nuevas regulaciones en los próximos meses, ya que viene muy activo el BCRA en ese sentido últimamente y, en relación a este punto, Blanco llama la atención sobre la mención que el BCRA realizó en el comunicado que anticipó la nueva norma al régimen de Transferencias 3.0 (relativo a la interoperabilidad de códigos QR).

Advierte que la entidad hace referencia a los avances del programa que, busca generar un sistema de pagos más moderno, ágil y avanzado capaz de sustituir al efectivo con eficiencia y seguridad, pero que, a pesar del entusiasmo que provocó hace unos meses, este régimen no ha tenido grandes avances y, en tal sentido, no descarta que "dicha mención, innecesaria a los efectos del objeto del comunicado, podría ser un indicio de la renovada voluntad del organismo de avanzar en su implementación".