Restricciones a la retirada de efectivo en cajeros automáticos: qué cambiará a partir del 1 de septiembre

Hoy en día, muchos bancos ya intentan proteger a sus clientes de los estafadores con diversas medidas, incluyendo la retirada de efectivo. Sin embargo, a partir del 1 de septiembre, las instituciones financieras y de crédito podrán pasar de las advertencias a la acción, ya que el Banco Central de la Federación de Rusia ha publicado nueve señales que permiten a los bancos identificar esquemas fraudulentos.

Si la transacción se considera "atípica" para el cliente, la emisión de efectivo se limitará a 50 mil rublos durante 48 horas. El experto en seguridad informática, Anton Redozubov, explicó a MK cómo funcionarán las nuevas normas.

— El Banco Central de la Federación de Rusia publicó el 21 de agosto en su sitio web nueve criterios para las transacciones realizadas bajo la influencia de estafadores, que entrarán en vigor el 1 de septiembre. ¿Tendrán tiempo los bancos para prepararse?

—Después de revisar la lista, vi que algunos de los puntos ya se han implementado en este momento y están funcionando en el marco de las normas antifraude: medidas antifraude.

— Nos referimos a indicios como la discrepancia entre la naturaleza, los parámetros o el volumen de la solicitud de retiro de efectivo del cliente y las transacciones que realiza habitualmente, la hora y ubicación inusuales del cajero automático, y la cantidad o frecuencia inusual con la que la persona solicita retiros de efectivo durante el día. Es decir, si el cliente solía retirar dinero tres veces al mes, pero de repente lo hace cada 10 minutos, esto generará dudas. También la presencia de información sobre cinco o más denegaciones de retiro de efectivo, incluso relacionadas con el exceso del límite de crédito, o errores al ingresar el código PIN durante el día calendario. ¿Se ha implementado esto ya en los bancos ?

— Sí. Pero la lista del Banco Central también incluye elementos que reflejan nuestra realidad financiera actual. En particular, indica la solicitud de efectivo de un cliente de forma inusual, por ejemplo, no desde una tarjeta, sino mediante un código QR. Se habla de un cambio en la actividad de las conversaciones telefónicas al menos seis horas antes de retirar fondos de un cajero automático, un aumento en el número de SMS de números desconocidos, incluso en mensajería instantánea, la retirada de dinero en las 24 horas posteriores a la solicitud de un préstamo o crédito, y el cambio del número de teléfono para la autorización en la banca en línea. Entre las señales de actividad sospechosa se incluyen un cambio en las características del teléfono con el que el cliente retira fondos, la presencia de malware en su dispositivo, la transferencia de más de 200 mil rublos a través del SBP desde su cuenta en otro banco o el cierre anticipado de un depósito por la misma cantidad. Cabe reconocer que las transferencias rápidas, las llamadas atípicas, los picos de actividad en la mensajería instantánea suelen acompañar a escenarios de ingeniería social y estafas fraudulentas.

—Hay muchos criterios. ¿No resultará que a los ciudadanos simplemente se les impedirá recibir efectivo, y esto en un momento en que la temporada navideña aún está en curso y la gente necesita efectivo, y lo retira de cajeros automáticos no cerca de sus casas, sino en centros turísticos?

— De hecho, las normas introducidas reducen el riesgo de bloqueo arbitrario de dinero por parte de los bancos, ya que ahora están obligados a tener en cuenta nueve factores, en lugar de actuar según algoritmos internos y no totalmente conocidos que difieren de un banco a otro.

— ¿Existe alguna desventaja en esta decisión del regulador?

— Veo la principal desventaja en que no se describe el método para levantar las restricciones. Lo más probable es que los propios bancos ofrezcan métodos de confirmación. Además, es posible que se produzcan falsos positivos frecuentes, especialmente entre grupos socialmente activos de la población: viajeros, titulares de numerosas tarjetas bancarias o clientes de algunos bancos que se ven obligados a usar cajeros automáticos aleatorios cerca de su ubicación, en lugar de los que les proporciona su banco.

— ¿Se están introduciendo nuevas normas que los bancos no hayan utilizado antes en su práctica?

— Sí. Por ejemplo, uno de los puntos establece que una transacción es sospechosa si existe información sobre la posible ejecución de una transacción sin el consentimiento voluntario del cliente, sobre los factores de riesgo para comprometer los datos de un medio de pago electrónico, enviados en mensajes de autorización por el operador de servicios de infraestructura de pago, si así lo prevén las normas del sistema de pago. Este punto revela la interacción entre los bancos y los sistemas de pago para crear una protección antifraude única. También hay puntos que reflejan un nuevo fenómeno en el sector bancario: la protección proactiva, que consiste en analizar una gran cantidad de datos sobre los usuarios, intercambiar datos con operadores de telecomunicaciones, verificar direcciones IP, etc. En este caso, las acciones de los bancos tienen como objetivo evitar que los estafadores roben dinero incluso antes de que cometan un delito.

— ¿Estos criterios ayudarán a proteger a los rusos?

— Sí, estas funciones aumentarán la protección de los ciudadanos y sus cuentas frente a los estafadores. La ventaja es que afectan a aquellos pasos que interfieren significativamente con el trabajo de los delincuentes, pero rara vez afectan a un cliente bancario legítimo. Sin embargo, debo advertir que esto creará dificultades para los consumidores, ya que tenemos una conexión directa: "más seguridad, menos comodidad". Y en algún momento, un nivel de seguridad demasiado alto empieza a ser perjudicial, pero esta no es la opción actual. La medida extrema en este caso sería proponer el cambio a órdenes de pago en papel y libretas de ahorro, lo cual sería un retroceso al pasado y una especie de reconocimiento de la victoria de los delincuentes en el ámbito informático, lo cual es básicamente inaceptable. Además, ralentizará drásticamente los procesos y operaciones comerciales, algo que tanto los clientes como los propios bancos han perdido hace tiempo. Por ahora, la pregunta es más bien cómo se confirmará exactamente la "disponibilidad de la información" en las oficinas del Banco Central. Estamos esperando una aclaración del regulador o, quizás, cada banco desarrollará sus propios protocolos.

— Veamos un ejemplo concreto para entenderlo. Un metalúrgico hipotético de Cheliábinsk no solía retirar más de 50 mil rublos de un cajero automático después de cobrar su salario y guardaba el resto en una tarjeta para pagos no monetarios. Ahora, antes de irse de vacaciones a Sochi, quería retirar 110 mil rublos de una vez. ¿Se lo negarían?

— No, no se negarán. En el ejemplo que usted mencionó, nada cambiará para el ciudadano. Lo único que destaca de las acciones habituales es un retiro único de 110 mil rublos en lugar de 50 mil. Claramente, no es una característica significativa. Pero si existen otros factores, o si el monto es 10 veces mayor, o si hay 10 solicitudes de retiro en lugar de una, el banco puede imponer un límite temporal de 48 horas. En este caso, su tarjeta no se bloqueará, pero el límite de retiro de efectivo de un cajero automático se limitará a 50 mil rublos por día. Lamentablemente, aún no se ha descrito el mecanismo para levantar esta limitación, por ejemplo, al contactar con una sucursal bancaria, por lo que es imposible decir cómo se realizará esta verificación. Sin embargo, incluso con esta limitación temporal, el cliente puede recibir el monto requerido en la sucursal bancaria.