El BCRA pide a los bancos mayores controles por los créditos que otorgan

"Las entidades financieras tendrán que verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados", dispuso este jueves el Central.

El Banco Central de la República Argentina (BCRA) le solicitó a los bancos que refuercen las normas de seguridad a la hora de otorgar créditos preaprobados a través de canales electrónicos.

A través de una resolución tomada este jueves por su directorio, la autoridad monetaria dispuso que "las entidades financieras tendrán que verificar fehacientemente la identidad de las personas que solicitan la acreditación de créditos preaprobados". Además, determinó que los bancos "tendrán que hacer un monitoreo y control, como mínimo, de los puntos de contacto indicados por el usuario y comprobar que no hayan sido modificados recientemente".

Según precisó la entidad que preside Miguel Pesce a través de un comunicado, la verificación deberá hacerse mediante técnicas de identificación positiva. Esto, agregó el Central, refuerza la obligación que ya tiene la entidad financiera de la responsabilidad de detectar la posibilidad de engaños de ingeniería social.

Recién después de la verificación, la entidad deberá comunicarle -a través de todos los puntos de contacto disponibles- que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación, agregó la autoridad monetaria, podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente.

El control deberá ser sobre todas las operaciones de créditos preaprobados realizadas a través de todos los canales electrónicos disponibles. Es decir, ATMs, TAS, banca de internet (BI) y banca móvil (BM).

Este nuevo control, agregó el Central, se suma a los Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras, que deben cumplir en forma obligatoria.

A través del mencionado comunicado, la entidad definió también las prácticas y requerimientos de implementación obligatoria para las entidades financieras relacionados al control de los riesgos de tecnología y seguridad informática. En particular, para la gestión de la seguridad en canales electrónicos, los bancos "deberán cumplimentar los requisitos mínimos regulatorios" en materia de concientización y capacitación, control de acceso, integridad y registro, monitoreo y control, y gestión de incidentes.

Respecto de la concientización y capacitación, el BCRA indicó que deberán poner en conocimiento de clientes internos y externos aquellas prácticas de seguridad, difusión, entrenamiento y educación con el fin de desarrollar tareas preventivas, detectivas y correctivas respecto de los incidentes de seguridad en los canales electrónicos.

Sobre el control de acceso, el BCRA precisó: "Es un proceso relacionado con la evaluación, desarrollo e implementación de medidas de seguridad para la protección de la identidad, mecanismos de autenticación, segregación de roles y funciones y demás características del acceso de los usuarios internos y externos a los canales electrónicos".

En el punto relativo a la integridad y el registro, la entidad que preside Miguel Pesce detalló que los bancos deberán disponer de técnicas de control de la integridad y registro de los datos y las transacciones, así como el manejo de información sensible y las técnicas que brinden trazabilidad y permitan su verificación. "Incluye, pero no se limita a transacciones, registros de auditoría y esquemas de validación", destaca el comunicado.

A la hora de centrarse en el segmento de monitoreo y control, la autoridad monetaria explicó que las entidades deberán tener procesos relacionados a la recolección, análisis y control de eventos ante fallas y otras situaciones que afecten los servicios ofrecidos por los canales electrónicos, y que puedan generar un daño eventual sobre la infraestructura y la información.

Por último, en lo que respecta a gestión de incidentes, el Central indicó que las entidades deberán contar con un proceso destinado al tratamiento de incidentes de seguridad en canales electrónicos, su detección, evaluación, contención y respuesta.

Tags relacionados

Compartí tus comentarios