EscucharLas plataformas digitales se han convertido en herramientas de uso diario para los clientes bancarios. Enviar y recibir dinero por medio de sitios web, aplicaciones o incluso mensajes de texto es una acción cotidiana para muchos desde la implementación del Sistema Nacional de Pagos Electrónicos (Sinpe).
Sin embargo, cuando estas plataformas fallan, se convierte en un gran inconveniente, ya que afectan las transacciones, las cuentas de ahorro y los sistemas de pagos, impidiendo en muchos casos que los usuarios puedan hacer compras, pagos o transferencias.
Un caso reciente ocurrió en el del Banco Nacional, que presentó errores en la visualización de saldos, lo que provocaba que las personas vieran montos menores a los reales o incluso saldos negativos afectando a unos 100.000 clientes, según confirmó el BN a La Nación. Además, se registraron inconsistencias en la duplicación de débitos por transacciones.
En esta entrega de La Nación Explica le contamos el margen de acción que la supervisión financiera tiene para garantizar la estabilidad de estas plataformas digitales y los servicios que brindan las entidades. Existen varias herramientas legales que facultan tanto a la Superintendencia General de Entidades Financieras (Sugef) como al Consejo Nacional de Supervisión del Sistema Financiero (Conassif) a actuar, según la gravedad de las fallas, lo que incluso podría derivar en una intervención.
LEA MÁS: Clienta del BN con errores en visualización de saldos: ‘Tomé la decisión de cambiar de banco’
Bernardo Alfaro, exjerarca de la Sugef, indicó que siempre que ocurren eventos de esta naturaleza, la superintendencia se comunica con la entidad para monitorear las medidas correctivas. En el caso del BN, Rocío Alfaro, actual superintendenta, confirmó a La Nación que se ha dado seguimiento a las acciones del banco para subsanar los problemas en sus sistemas, aunque las labores de supervisión se han realizado como parte del ciclo regular de monitoreo.
José Luis Arce, expresidente de Conassif, señaló que los supervisores deben velar por el riesgo operativo de las entidades, que abarca aspectos como la continuidad del negocio, fallas técnicas o robos.
En 2017, entró en vigencia el Acuerdo Sugef 14-17 Reglamento General de Gestión de la Tecnología de Información, que establece los requisitos mínimos para la gestión de la tecnología en las entidades financieras supervisadas. La normativa exige a las entidades varios mandatos sobre sus plataformas digitales, tales como tener una estructura de Gobierno de Tecnologías de la Información (TI), un comité auxiliar a la junta directiva en esta área, auditorías externas anuales y la capacidad de mantener incidentes de seguridad de la información dentro de los niveles de riesgo.
Alfaro agregó que todas las entidades deben contar con un comité de tecnología, en el que participan miembros de la junta directiva, y un plan estratégico, junto con una gobernanza especializada en tecnologías de la información y comunicación (TIC). Además, las entidades financieras deben reportar mensualmente a la superintendencia los incidentes de riesgo operativo, como intermitencias en las plataformas, o robos de dinero.
Tanto Alfaro como Arce coincidieron en que si una entidad presenta fallos recurrentes que impiden a los clientes realizar sus transacciones, la superintendencia podría solicitar a Conassif su intervención. El Consejo es quien autoriza estas acciones, como ocurrió en los casos de Coopeservidores y Desyfin, pero por otros motivos.
Arce destacó que la intervención podría ser necesaria cuando la reputación de la entidad está en riesgo o si hay una salida masiva de clientes, aunque son criterios cualitativos que debe definir el supervisor en cada momento.
Adicionalmente, la supervisión califica a las entidades en áreas como Gobierno Corporativo y Gestión de Riesgo, según el Acuerdo Sugef 24-22 Reglamento para calificar a las entidades supervisadas. Si la entidad incurre en riesgo operativo por su gestión, Conassif podría intervenir, lo que podría implicar un requerimiento patrimonial. Dentro de las medidas de supervisión, se deben revisar también los contratos con proveedores tecnológicos, los tiempos de respuesta en caso de incidencias y las sanciones o garantías aplicables si no cumplen con los acuerdos.
Costa Rica ya ha experimentado casos en los que las entidades financieras gestionaron mal sus plataformas tecnológicas. Por ejemplo, en 2020, el Banco de Costa Rica (BCR) sufrió una filtración de datos de tarjetas de crédito y débito debido a un ciberataque. Alfaro, quien era superintendente en ese momento, mantuvo comunicación constante con el banco, pero no se emitió ninguna disposición específica, ya que la entidad negó afectaciones por fraude.
LEA MÁS: ‘Hackeo’ de tarjetas por grupo Maze desnuda las dificultades para atrapar a ciberdelincuentes
Anteriormente, en 2017, Sugef supervisó al Banco Popular por la compra de un sistema informático defectuoso que exponía las operaciones de los clientes a riesgos.
Clientes pueden tomar acciones
Ernesto Solano, abogado de la Oficina del Consumidor Financiero (OCF), explicó que los clientes también pueden tomar medidas ante estos casos. Indicó que si una entidad no resuelve satisfactoriamente las quejas, los clientes pueden recurrir a la OCF o a la contraloría de servicios de bancos, cooperativas o mutuales.
Arce sugirió que los clientes evalúen cambiarse de entidad si el banco presenta inconvenientes frecuentes que afecten sus transacciones.
Solano agregó que los clientes también pueden recurrir a la vía judicial por daños y perjuicios. La Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor obliga a las entidades a brindar un servicio adecuado, y si el consumidor se ve perjudicado por la prestación del servicio, la entidad debe responder, salvo que el daño sea ajeno a su responsabilidad.
