La identidad del cliente, en el punto de mira de la banca digital

Share This:

Las entidades financieras priorizan conocer a sus clientes ahora más que nunca, en un mundo online donde el cara a cara se ha sustituido por la interacción remota

La crisis provocada por la COVID-19 ha empujado a las empresas a consolidar todo lo necesario para seguir conectadas a sus clientes y funcionando de forma remota, al margen de las restricciones de reunión, movilidad y distancia social. Pero ya antes de la crisis sanitaria muchos sectores anticipaban la creciente digitalización de los procesos, productos y servicios tanto industriales como comerciales. La educación o los bancos, entre otros, gestionan desde hace años cursos o transferencias de manera virtual.

De hecho, el estudio Covid 19 Banking Insight Study, elaborado el pasado año por la asesoría estadounidense Celent, manifiesta que los bancos ya estaban aprovechando las oportunidades y facilidades online. Estas estrategias se dirigían, por ejemplo, a mejorar el proceso de alta digital de los usuarios, afianzar el autoservicio en las gestiones bancarias y reducir las eficiencias operativas, es decir, la cantidad, duración y complejidad de la «burocracia» necesaria para cumplir con cualquier operación, obteniendo mucha más agilidad. Además, el estudio afirma que la mayoría de los bancos planeaba aumentar sus presupuestos en tecnologías de la información (TI) para la captación de clientes y la creación de productos financieros.

En la práctica, podemos apreciar estas innovaciones de los bancos en las rápidas transferencias por Bizum o en la tecnología Near Field Communicaction (NFC), que nos permite «alojar» nuestra tarjeta de crédito o débito dentro de nuestros móviles o smartwatches, y que sean estos los que se acerquen al datáfono para hacer nuestros pagos contactless.

De esta manera, las compañías bancarias también responden a los cambios en las preferencias y hábitos de consumo de sus clientes, cada vez más localizados en Internet y en los dispositivos móviles. Los clientes han dejado de desplazarse hasta una sucursal para abrir una cuenta, adquirir una hipoteca o hacer una transferencia. Ahora quieren hacer sus operaciones desde casa, o en cualquier lugar y momento a golpe de click, y sentir que tienen el control de la transacción, asegurándose que se cumple de manera fácil e inmediata. Todo ello exige a los bancos adaptarse a un nuevo modus operandi basado en el dinamismo, la trasparencia, la precisión y, sobre todo, la seguridad.

Sin embargo, que los clientes ya no vayan a los bancos, y que los bancos ya no tengan el manejo absoluto de las operaciones, enturbia para ambos la confianza en las transacciones digitales. El control y la seguridad de las finanzas dejan de estar protegidos en las vigiladas oficinas y cajas fuertes de las grandes sedes, y pasan ahora a cada uno de los móviles de los clientes. Esta desintermediación supone un caldo de cultivo para la suplantación o falsificación de la identidad, el fraude y, en consecuencia, el lavado de dinero y la financiación del crimen. De hecho, el 40,7% de los residentes en España que han utilizado Internet entre junio y septiembre de 2020 confía poco o nada en la red, según la última Encuesta sobre Equipamiento y Uso de TIC en los Hogares del INE. Si bien ya existen herramientas y servicios cualificados de identidad digital segura, todavía muchas entidades de todo tipo, incluidas las financieras, no han logrado implantarlos de manera definitiva, o siguen sin conocer sus ventajas.

La Directiva PSD2 y el Reglamento eIDAS han asentado en Europa las leyes necesarias para que las transacciones de la banca digital sean igual de certeras, seguras y legales que las tradicionales. Y, sobre todo, para que generen la misma confianza en la población, y que parezca una gestión igual de seria y profesional que al estar cara a cara con el cajero o director de nuestra sucursal habitual. Precisamente a falta de ese cara a cara, lo más importante es saber quién hace la transacción digital, corroborar que es la persona auténtica que dice ser, y asegurarse de que está presente en el momento de la transacción, siendo plenamente consciente de todos los pasos.

La firma electrónica y los sistemas de preservación cualificada de las evidencias son las herramientas que aseguran la legalidad de estos movimientos a distancia. Pero el verdadero reto está en la autenticación de la identidad, que garantiza la veracidad e intencionalidad de la gestión. Ya no es suficiente la protección de un simple código de usuario y su contraseña. Tampoco las tarjetas de coordenadas, que se han quedado obsoletas tras la aplicación de la PSD2.

La solución reside ahora en tecnologías de última generación que combinen una usabilidad fluida, el acceso desde cualquier dispositivo móvil y la aplicación de diferentes pruebas y medidas de precisión que refuercen la seguridad. Hablamos de los sistemas de autenticación de múltiples factores (MFA – Multi-factor Authentication, por sus siglas en inglés), también conocida como autenticación reforzada del cliente (SCA – Strong Customer Authentication, por sus siglas en inglés). Más que el nombre de una marca, el término hace referencia a la necesidad de que la verificación de nuestra identidad en Internet pase por dos o más controles de seguridad diferentes, basados en tres pilares: algo que el usuario sabe, algo que el usuario posee y algo que el usuario es. Algunos de esos controles todavía nos sorprenden por asemejarse a las historias de ciencia ficción.

Hablamos, por ejemplo, de los análisis biométricos, que registran y analizan nuestros rasgos biológicos con inteligencia artificial (IA) para verificar nuestra identidad. Gracias a ellos, nuestro rostro, nuestra voz o nuestras huellas dactilares («algo que el cliente es») funcionan como contraseñas para autorizar nuestras gestiones digitales. Los podemos encontrar, por ejemplo, cuando la app de nuestro banco pide que coloquemos nuestra huella dactilar sobre la pantalla del smartphone para acceder a nuestras cuentas. La tecnología biométrica del móvil lee la huella en segundos y, comprobada la identidad, se desbloquea la app al instante.

También gana terreno la video identificación, es decir, una videollamada de control supervisada en tiempo real por un videoagente. Se trata de un proceso que recrea el cara a cara en la web y aplica múltiples pruebas alta seguridad al mismo tiempo:

1. En primer lugar, el videoagente, una persona cualificada para su función, acredita la presencia del cliente, es decir, se asegura que la persona que solicita la transacción digital está lista y es consciente de ello.
2. Posteriormente, el cliente muestra a través de su cámara un documento de identidad oficial, como su DNI o pasaporte. En el momento, el videoagente revisa la validez y la vigencia del documento, como si fuese un policía en un control de fronteras de un aeropuerto. La presentación del documento puede hacerse en el mismo transcurso de la videollamada o a través de una captura fotográfica que toma el videoagente. De este modo, se puede guardar el documento de identidad para futuras consultas y verificaciones, como cuando hacen una fotocopia de nuestro DNI en una sucursal física.
3. Finalmente, el videoagente compara la fotografía del documento presentado con el rostro del cliente visible en la videollamada. La tecnología de biometría facial analiza con IA sus equivalencias para verificar la identidad. Como ocurre con el documento, también se puede tomar una captura o selfie del rostro del cliente para guardarlo como registro, o para ejecutar el análisis biométrico con mayor precisión.
4. Adicionalmente, el videoagente puede llevar a cabo más pruebas de seguridad, como, por ejemplo, comprobar que el cliente habla el idioma del país del que dice proceder a nivel nativo, con el fin de asegurar la veracidad de su identidad. Además, las videollamadas son grabadas, algo que disuase mucho al ciberdelincuente por quedar registrados elementos fehacientes como su voz o su imagen física.

Si bien la video identificación es cada vez más recurrente para abrir cuentas o contratar seguros, resulta también muy útil para las consultas médicas, los contratos inmobiliarios, los contratos de trabajo o los exámenes de estudiantes realizados a distancia.

Más allá de estos controles «de acceso» a un producto o servicio digital, existen otros que se aplican al «desarrollo» de las gestiones digitales, ofreciendo una seguridad ininterrumpida a clientes y entidades. Por ejemplo, los bancos están aplicando medidas basadas en el comportamiento, de tal manera que si queremos enviar dinero a un país al que nunca antes hemos hecho una transferencia, el banco detendrá la operación por sospechosa y nos pedirá pruebas de seguridad para corroborar que somos conscientes de la gestión. También se popularizan los certificados digitales, o lo que es lo mismo, una herramienta que limita la autorización de cualquier transacción solo al smartphone o tablet que posee el cliente verdadero.

En el mundo de la economía digital y el comercio electrónico, donde la delincuencia adopta formas cada vez más sutiles y desapercibidas, los bancos públicos y privados están priorizando las políticas y estrategias de ciberseguridad. Por ello, el sector de los servicios electrónicos de confianza (TSP-Trusted Service Provider, por sus siglas en inglés) es cada vez más potente y puntero. Aún en España solo operan 36 prestadores cualificados de estos servicios, según la Secretaría de Estado de Digitalización e Inteligencia Artificial. Se trata de un mercado exclusivo que ofrece a las empresas financieras las soluciones digitales más legales, sofisticadas y exitosas.