Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
La ciberseguridad dirige las nuevas políticas del mercado financiero
Los gobiernos y el sector privado responden de manera sistemática a las demandas de la digitalización, forzada por los bloqueos o lockdowns COVID-19
La situación actual provocada por los bloqueos COVID-19 no solo ha paralizado y coartado nuestra vida, también la ha digitalizado a la fuerza. Con ello, muchos sectores, como el mercado financiero, han tenido que ajustarse a las forzosas restricciones a la movilidad, las medidas de distancia social o el teletrabajo, entre otros, los cuales han urgido que servicios y herramientas como la firma electrónica, los servicios de autentificación remota y el pago en línea se vuelvan imprescindibles para llevar a cabo transacciones.
En realidad, la digitalización de las finanzas ya había despegado antes de la aparición del bloqueo económico y social provocado por la clase política con motivo del virus SARS-CoV-2. Los bancos, las bolsas de valores y otras entidades similares necesitaban adaptarse a las «leyes» de la imparable transformación digital. Así también podían conocer sus ventajas y adoptar un abanico de oportunidades y mejoras para sus negocios, como la tecnología blockchain, la cual da autonomía al usuario para controlar la trayectoria de sus movimientos financieros sin depender de los bancos.
No obstante, el traslado de la actividad financiera a Internet también la expone a riesgos como la ausencia de jurisdicción transfronteriza, las operaciones de muy alto riesgo o los secuestros de información. Los cambios forzados en los últimos meses han acelerado, como respuesta, una rápida actualización de las políticas de funcionamiento y seguridad en la banca nacional e internacional.
Esas actualizaciones impulsan, sobre todo, la ciberseguridad aplicada a las transacciones llevadas a cabo por los clientes, sus pagos, y sus datos personales. Y también la de las propias empresas. Por ejemplo, en Estados Unidos se contempla la instauración de un «teléfono 112 (911)» para cuando los bancos sufran incidencias en su ciberseguridad. Se trata de una política de notificación de emergencias a la Oficina del Contralor de la Moneda (OCC, por sus siglas en inglés), encargada de supervisar el «buen hacer» del sistema bancario estadounidense. La medida recibe el largo nombre de Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers, publicada como propuesta normativa el pasado 12 de enero de 2021.
También se han emitido nuevas recomendaciones y regulaciones a los criptoactivos como el bitcoin, así como a sus proveedores (conocidos en inglés como «VASPs», Virtual Asset Service Providers). Entre otros objetivos, los gobiernos quieren evitar que se facilite el lavado de dinero, la financiación del terrorismo u otros delitos financieros por circular en Internet al margen de las leyes nacionales. Es el caso del Financial Transactions and Reports Analysis Centre (FINTRAC) en Canadá, que desde el pasado junio registra todos los intercambios con criptomonedas en el país. O también del Grupo de Acción Financiera Internacional (FATF por sus siglas en inglés), que actualizará en junio su guía de recomendación para activos virtuales tras un periodo de consulta pública ya abierto.
No obstante, la iniciativa que más consenso genera entre gobiernos y regulaciones es la necesidad de implementar la autentificación de múltiples factores (MFA: Multi-Factor Authentication), también conocida como autentificación reforzada del cliente (SCA: Strong Customer Authentication), sobre las actividades financieras. Estas medidas significan que el acceso a una cuenta bancaria, a la firma de un contrato o al envío de una transferencia, por ejemplo, pasen por dos o más controles de seguridad diferentes (patrones, códigos, «vídeo identificación», análisis biométrico…). El objetivo final es garantizar que el cliente sea quien dice ser. Es decir, que sea el verdadero propietario de esa cuenta, la persona que quiere ejecutar el contrato, o la que desea realizar el envío dinero. De esta manera, se evita la falsificación, suplantación o fraude de su identidad en las transacciones remotas.
Desde que la Segunda Directiva de Servicios de Pago (DSP2) convirtió en estándar esos procesos de identificación dentro del Espacio Económico Europeo, países como Colombia, India, Perú, Estados Unidos o Canadá se han sumado a la misión de crear un ecosistema online rearmado, así como comprometido con la erradicación de los delitos financieros más desprotegidos por la nube.
A las medidas de verificación de la identidad se suman las de la protección de datos personales. No solo se trata de custodiar la información más sensible, sino de garantizar los derechos relacionados con su gestión, como los de rectificación, supresión o acceso. Los gobiernos de todo el mundo parecen cada vez más concienciados con esta materia. Canadá, Nueva Zelanda, Singapur, Brasil, Sudáfrica, Tailandia, California o el estado de Virginia son regiones que han incorporado recientes medidas para modernizar sus leyes en protección de datos, aumentar la responsabilidad de las corporaciones, detectar mejor las infracciones, incrementar las multas e incluso evitar el spam a gran escala. Muchas de estas regulaciones están inspiradas en el pionero Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea.
La apuesta por la ciberseguridad se complementa con las demandas de comodidad y usabilidad. Aparte de crear un ciberespacio más fiable, las entidades financieras, tanto públicas como privadas (y en especial los grandes bancos centrales), están desarrollando aplicaciones digitales que facilitan la vida del usuario y la empresa. Las más prometedoras son las que habilitan el pago electrónico e instantáneo. El Banco Central de Brasil lleva lanzando Pix desde el pasado octubre, aplicación con la que, por ejemplo, se puede pagar la factura de la luz al momento y a través de un smartphone. En América del Norte también se están preparando nuevas plataformas. The FedNow Service llegará a Estados Unidos en 2023, mientras que el Banco de Canadá prepara dos nuevos sistemas: el novedoso Lynx para mediados de este año, y Real-Time Rail (RTR) para 2022.
Junto a estos nuevos métodos de pago, los países abren sus puertas a la aceptación y el uso de la firma electrónica. Australia la quiere permitir para ejecutar sus documentos legales públicos. Estados Unidos también la ha acogido para poder firmar los archivos electrónicos que tienen que hacer las empresas de su información corporativa en EDGAR, el banco de datos abierto de la Comisión de Bolsa y Valores (SEC, Securities and Exchange Commission).
Como vemos, este panorama transitivo de la banca entre lo presencial y lo digital, lo intermediado y lo descentralizado, lo tradicional y lo alternativo, no es solo la semilla de una crisis política global que ha alterado el orden social y económico. También es una respuesta a los nuevos hábitos de consumo, que exigen mayor agilidad, comodidad y transparencia; a la velocidad y complejidad con la que funciona el actual mundo hiperconectado; a las nuevas formas de delinquir que aprovechan Internet para pasar desapercibidas, y a las potentes oportunidades de negocio que hace posible el «éter» digital. De hecho, las entidades tradicionales han llegado a un contexto de exhaustiva competencia con sus alternativas virtuales… O, por el contrario, de una necesaria colaboración o convergencia con ellas. La decidida apuesta de Elon Musk por el bitcoin, por ejemplo, es un reflejo de ese «estado de alarma» que están imponiendo las nuevas reglas del juego.