Resolución

CONSEJO NACIONAL DE SUPERVISIÓN

DEL SISTEMA FINANCIERO

El Consejo Nacional de Supervisión del Sistema Financiero, en el artículo 6 del acta de la sesión 1861-2024, celebrada el 14 de mayo del 2024,

considerando que:

Consideraciones de orden legal y reglamentario

I.El inciso b), del artículo 171 de la Ley Reguladora del Mercado de Valores, Ley 7732, faculta al Consejo Nacional de Supervisión del Sistema Financiero (Conassif) a aprobar las normas atinentes a la autorización, regulación, supervisión, fiscalización y vigilancia que, conforme a la ley, debe ejecutar la Superintendencia General de Entidades Financieras (Sugef).

II.El inciso c), del artículo 131 de la Ley Orgánica del Banco Central de Costa Rica, Ley 7558, establece, como parte de las funciones del Superintendente General de Entidades Financieras, proponer al Conassif, para su aprobación, las normas que estime necesarias para el desarrollo de las labores de supervisión y fiscalización.

III.Mediante artículo 9, del acta de la Sesión 652-2007, celebrada el 11 de junio del 2007, el Conassif aprobó el Reglamento sobre divulgación de información y publicidad de productos y servicios financieros, Acuerdo Sugef 10-07, el cual, establece las disposiciones relativas a la divulgación de información y la publicidad sobre productos y servicios financieros que ofrecen los intermediarios financieros y las entidades creadas por Ley especial, supervisados por la Sugef.

IV.Mediante la Ley 8148 de 24 de octubre de 2001 se adicionaron al Código Penal, Ley 4573 de 4 de mayo de 1970, los artículos 196 bis, 217 bis y 229 bis, para reprimir y sancionar los delitos informáticos, denominados: Violación de comunicaciones electrónicas, Fraude informático y Alteración de datos y sabotaje informático. Posteriormente, en el 2012, la ley 9048 titulada: ‘Reforma de varios artículos y modificación de la Sección VIII, denominada delitos informáticos y conexos, del Título VII del Código Penal’, publicada en el Alcance 172 de La Gaceta 214, introdujo los conceptos de estafa informática, daño informático, violación de datos personales, suplantación de páginas electrónicas y facilitación de delito informático.

Consideraciones sobre las estafas informáticas

V.El Comité de Supervisión Bancaria de Basilea, mediante su informe ‘Fraude digital y banca: implicaciones para la supervisión y la estabilidad financiera’, define que las estafas informáticas, también conocidas como fraudes digitales, son todas aquellas actividades fraudulentas perpetradas por partes externas a través de medios digitales (correos electrónicos, sitios web, software malicioso, entre otros) con el objetivo de robar activos bancarios o credenciales de clientes bancarios. Las estafas informáticas se centran principalmente en los clientes de los bancos, aunque estas entidades pueden desempeñar un papel indirecto e involuntario en la facilitación de las estafas.

VI.El Comité de Supervisión Bancaria de Basilea, señala que el fraude digital se agrupa en las siguientes categorías:

a)Fraude digital relacionado con instrumentos de pago en línea:

i.transacciones de pago no autorizadas.

ii.manipulación del pagador para emitir una orden de pago.

b)Fraude digital relacionado con otros productos bancarios de clientes.

c)Fraude digital relacionado con la entidad a través de datos de clientes o sistemas bancarios.

Consideraciones sobre la responsabilidad objetiva

VII.En relaciones de consumo, como lo son los servicios financieros suministrados mediante canales digitales, se aplica la normativa establecida en la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, Ley 7472, la cual, en su artículo 35instituye una responsabilidad objetiva al productor, proveedor y comerciante que lesionen la esfera jurídica del consumidor por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos o de su uso y riesgos. Por lo que, es necesario que demuestren que han sido ajenos al daño y en caso de una afectación, demuestren que esta se produjo por fuerza mayor o por culpa de la víctima.

VIII.El fundamento de lo anterior se basa en lo que se conoce como la responsabilidad objetiva por riesgo creado, la cual, establece que, quien emplea cosas peligrosas o riesgosas y expone a eventuales daños a los usuarios, debe reparar los daños que cause, aun cuando haya actuado lícitamente. Para determinar esta responsabilidad, debe existir un nexo de causalidad entre la actividad riesgosa puesta en marcha y el daño ocasionado.

IX.Un derecho que adquiere el usuario de servicios financieros suministrados mediante canales digitales y consecuente deber de las entidades financieras, es el resguardo de que las transacciones que se realicen contra la cuenta de fondos del usuario sean las que este ha autorizado.

X.Durante los últimos años los tribunales en Costa Rica han resuelto casos en favor de usuarios financieros de entidades ante denuncias por estafas informáticas. En la argumentación de las partes se destacan debilidades incurridas por ambas partes; en lo que respecta a la entidad, las deficiencias se encuentran principalmente en la robustez de los controles en relación con la gestión preventiva y de monitoreo del perfil transaccional del cliente, aunque la entidad no haya sido vulnerada en sus sistemas informáticos.

Consideraciones desde la perspectiva

del supervisor financiero

XI.Desde una perspectiva de estabilidad y funcionamiento eficiente del Sistema Financiero, resulta medular que las entidades cuenten con marcos de control robustos que contribuyan con fomentar la confianza del público en el uso de los canales digitales, cuyo uso es cada vez más extendido.

XII.El Comité de Supervisión Bancaria de Basilea señala dos canales de transmisión del fraude digital para la supervisión y la estabilidad financiera: (i) las pérdidas financieras para las entidades derivadas del fraude digital sufridas por las propias entidades directamente o debido a la necesidad de reembolsar a sus clientes y que podrían reducir los recursos de capital de los bancos, así como tener efectos indirectos sobre otras entidades; y (ii) los riesgos para la reputación de las entidades y los supervisores, derivados de incidentes de fraude digital de gran repercusión que podrían provocar una pérdida de confianza más amplia en el Sistema Financiero.

XIII.El Comité de Supervisión Bancaria de Basilea, señala que la mayoría de las jurisdicciones miembros del Comité han implementado iniciativas para hacer frente al fraude digital, tales como: (i) capacitación de los ciudadanos; (ii) requisitos y directrices sobre controles y protocolos de seguridad; (iii) supervisión de las prácticas de gestión del riesgo de fraude digital de los bancos; (iv) colaboración entre las partes interesadas para una respuesta ecosistémica y (v) cooperación transfronteriza.

Consideraciones sobre iniciativas

nacionales y de los gremios

XIV.Las asociaciones conformadas por entidades desempeñan un papel transcendental en el aumento de la resistencia a las estafas informáticas, al crear conciencia sobre las amenazas y al preparar el apoyo adecuado para lograr una respuesta efectiva. En Costa Rica se han creado comisiones interinstitucionales para enfrentar las estafas informáticas y las amenazas de seguridad cibernética, cuyos objetivos tratan sobre:

a)Abordar la problemática y acciones de cada institución respecto a las estafas informáticas.

b)Desarrollar tecnologías para identificar la suplantación de identidad de los usuarios financieros.

c)Realizar campañas de prevención de estafas informáticas.

d)Estandarizar las estadísticas para conocer la afectación real a nivel económico producto de las estafas informáticas.

Consideraciones sobre mecanismos

de autenticación robustos

XV.Los factores de autenticación generalmente se basan en algo que el usuario conoce ‘factor de conocimiento’; algo que el usuario tiene ‘factor de posesión’; y algo que el usuario es ‘factor de inherencia’. Los mecanismos de autenticación robustos funcionan combinando dos o más factores de dichas categorías.

XVI.Actualmente, no se consideran mecanismos de autenticación robustos aquellos que incorporan tecnologías basadas en información que puede ser transferible a un tercero y que permitan la suplantación de identidad del usuario financiero.

XVII.Una forma efectiva de mitigar las estafas informáticas es mediante el uso de mecanismos de autenticación que incorporan tecnologías basadas en dobles factores de autenticación, los cuales, permitan validar y verificar la identidad de los usuarios financieros cuando:

a)Ingresen a los canales digitales.

b)Ejecuten transacciones y acciones que conlleven riesgo en dichos canales,

c)Utilicen mecanismos de autogestión en los canales digitales.

Consideraciones sobre el fortalecimiento

de los controles

XVIII.El Reglamento sobre Administración Integral de Riesgos, Acuerdo Sugef 2-10, aborda parcialmente la problemática de las estafas informáticas al tipificar categorías de eventos de pérdida por riesgo operativo. En lo concerniente a clientes, productos y prácticas empresariales, se refiere a pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

XIX.En lo que respecta a la regulación sobre tecnología de información (TI), también se aborda parcialmente lo referente a las estafas informáticas, dado que se enfoca principalmente al nivel de la gestión de los riesgos tecnológicos y la seguridad cibernética de las entidades.

XX.Es conveniente que a las entidades supervisadas se les requiera gestionar expectativas y controles mínimos para prevenir y mitigar la ocurrencia de estafas informáticas en contra de los usuarios financieros y que el regulador pueda verificar que la aplicación de tales medidas sea consistente entre entidades del sistema financiero. Además, es fundamental el...