Las víctimas de estafas en línea no deben asumir que podrán recuperar sus pérdidas, advierte el regulador de servicios financieros de Singapur, al tiempo que insta a la necesidad de una responsabilidad compartida. El país se está preparando para publicar un marco que detalla cómo se compartirán las pérdidas de las estafas en línea.
La Autoridad Monetaria de Singapur (MAS) dijo que publicaría el marco para la consulta pública dentro de los próximos tres meses, y agregó que abarcaría las responsabilidades de otras partes clave en el ecosistema.
El regulador de la industria dijo en un comunicado el viernes que el marco operaría sobre la base de que todas las partes tenían la responsabilidad de estar alerta y tomar precauciones contra las estafas.
Las instituciones financieras deben salvaguardar a sus clientes, por ejemplo, mediante la implementación de «controles sólidos» para proteger las cuentas de los clientes y «medidas efectivas» para detectar y responder a transacciones sospechosas.
«Los clientes tienen la responsabilidad de tomar las precauciones necesarias, especialmente de nunca dar sus credenciales personales o bancarias a nadie, nunca hacer clic en los enlaces de SMS o correo electrónico. [messages] que supuestamente son enviados por un banco, y que se realizan transacciones solo a través del sitio web oficial del banco o la aplicación móvil», dijo MAS.
El marco, en proceso desde julio pasado, tiene como objetivo brindar claridad sobre las responsabilidades y cómo las pérdidas de las transacciones de pago electrónico fraudulentas deben compartirse entre los consumidores y las instituciones financieras. Actualmente está siendo desarrollado por el Consejo de Pagos, que está presidido por MAS y comprende a los principales proveedores y grupos de usuarios de los servicios de pago de Singapur.
Según el MAS, la proporción de pérdidas que cada parte debería soportar dependería de si la parte no cumplió con sus responsabilidades y de qué manera.
El regulador de la industria señaló que se esperaba que las instituciones financieras trataran a los clientes de manera «justa» y asumieran una «porción apropiada» de las pérdidas resultantes de las estafas.
Sin embargo, enfatizó que también se debe tener cuidado para garantizar que la compensación pagada a los clientes no diluya el incentivo para la vigilancia.
En particular, MAS señaló los pagos recientes realizados a las víctimas de las estafas de phishing de OCBC Bank, que cubren los montos totales perdidos por los estafadores. Al describir la medida como un «gesto único», el regulador dijo que OCBC lo había hecho teniendo en cuenta las circunstancias, que incluían el reconocimiento del banco de que no cumplió con sus propias expectativas de servicio al cliente y respuesta.
«No sientan un precedente general para casos futuros», dijo MAS sobre los pagos.
Las estafas involucraron a 790 clientes de OCBC y resultaron en pérdidas por un total de SG$13,7 millones ($10,18 millones), de las cuales el 80% ocurrió entre el 23 y el 30 de diciembre del año pasado. Las llamadas realizadas al centro de contacto del banco durante esa semana aumentaron más de un 40%, según OCBC.
En estas estafas de phishing, que surgieron por primera vez el 1 de diciembre, los estafadores manipularon los detalles de identificación del remitente de SMS para enviar mensajes que parecían ser de OCBC. Estos mensajes SMS instaron a las víctimas a resolver los problemas con sus cuentas, redirigiéndolos a sitios web de phishing e indicándoles que ingresaran sus datos de inicio de sesión bancarios, incluido el nombre de usuario, el PIN y la contraseña de un solo uso (OTP).
Debido a que la identificación del remitente legítimo de OCBC se clonó y falsificó con éxito, estos mensajes aparecieron en el mismo hilo que las alertas o notificaciones anteriores del banco, lo que llevó a las víctimas a creer que eran legítimos.
En su declaración publicada el 30 de enero, OCBC señaló que las víctimas habían proporcionado sus credenciales de inicio de sesión de banca en línea y PIN únicos a sitios web de phishing. Esto permitió a los estafadores secuestrar sus cuentas bancarias y realizar transacciones fraudulentas, dijo.
«Sin embargo, OCBC decidió realizar el pago completo como un gesto único de buena voluntad dadas las circunstancias de esta estafa», dijo el banco. «También tomamos en consideración que nuestro servicio al cliente y nuestra respuesta no cumplieron con nuestras propias expectativas, lo que podría haber afectado la mitigación de pérdidas en algunos de los casos».
En una declaración anterior publicada el 30 de diciembre del año pasado, OCBC había dicho que los clientes eran «la primera línea de defensa» contra tales estafas y que una vez que se movieron los fondos de su cuenta, la posibilidad de recuperación era «muy baja». El banco agregó que había emitido su primer aviso el 23 de diciembre, advirtiendo al público sobre las estafas y advirtiendo a los clientes que no hicieran clic en los enlaces integrados en los mensajes SMS.
Las estafas llevaron a MAS a imponer nuevas medidas de seguridad el mes pasado que, entre otras, requerían que los bancos eliminaran los hipervínculos de los mensajes de correo electrónico o SMS enviados a los consumidores e implementaran un retraso de 12 horas en la activación de tokens de software móvil.
En su declaración del viernes, el regulador reiteró que estaba revisando medidas a más largo plazo que se implementarán en los próximos meses.
También instó a los consumidores a ejercer una mayor vigilancia y adoptar prácticas de seguridad digital, lo que incluye mantener sus dispositivos actualizados con los últimos parches de seguridad y software antivirus, así como monitorear las notificaciones de transacciones de sus bancos.