La lucha contra los delitos financieros, incluido el fraude de pagos push autorizados (APP), sigue siendo una prioridad para la FCA. Esta publicación presenta los hallazgos clave de nuestra revisión de cómo las empresas mitigan los riesgos de fraude de APP y ataques de fraude en general. Incluye ejemplos de buenas prácticas y áreas de mejora.
¿A quién se aplica?
Esta revisión multiempresa será de interés para los proveedores de servicios de pago (PSP) del Reino Unido, que incluyen bancos, sociedades de crédito hipotecario y otras empresas que proporcionan cuentas de pago.
Lo que deben hacer las empresas
Todos los proveedores de servicios de pago deben evaluar periódicamente su enfoque para identificar los riesgos de fraude a los que están expuestos ellos y sus clientes. Deben seguir desarrollando sus defensas contra el fraude y asegurarse de que sus marcos de control son adecuados para su propósito.
Las empresas deben dar prioridad a las necesidades de sus clientes y ofrecerles buenos resultados de forma constante. Esto incluye ayudar a los clientes a comprender qué es el fraude y cómo identificarlo, facilitar que los clientes denuncien el fraude y establecer lo que pueden esperar de la empresa cuando lo denuncien. Además, las empresas deben apoyar a las víctimas de fraude para que reciban un trato justo en todas sus interacciones con la empresa, incluso si presentan una queja. Las empresas deben ser especialmente conscientes de las necesidades de los clientes, que pueden ser más vulnerables.
Reconocemos que las empresas han invertido en sus sistemas y controles para detectar y prevenir el fraude. Algunas empresas han progresado más o han tenido más éxito que otras en lo que es un tema en constante evolución. Es posible que las empresas deseen utilizar nuestros hallazgos para informar una revisión de sus propios sistemas y controles antifraude, así como su enfoque para manejar las quejas de los clientes sobre el fraude. Las empresas que identifiquen deficiencias en contra de nuestras expectativas deben tomar las medidas adecuadas para abordarlas. En la sección «Lo que esperamos de las empresas» se exponen con más detalle nuestras expectativas.
¿Por qué hicimos este trabajo?
La actualización semestral de fraude de 2023 de UK Finance (UKF) informó que las pérdidas debidas a estafas de APP en los primeros seis meses de 2023 ascendieron a 239,3 millones de libras esterlinas, comparables con las pérdidas registradas en 2022 (pérdidas anuales de 485,2 millones de libras). Sin embargo, el volumen de casos notificados en el primer semestre de 1 aumentó un 2023% hasta los 22.116, en comparación con el primer semestre de 324. Es probable que estas cifras sean una subestimación, dado que la Agencia Nacional contra el Crimen estima que el 1% de los casos de fraude no se denuncian. UK Finance también muestra que se devolvieron £ 2022.86m a las víctimas en H152 8 (lo que representa el 1% de las pérdidas), un aumento del 2023% (de £ 64.13 millones) en H135 6 (1% de las pérdidas).
En marzo de 2023, el Gobierno publicó su segundo Plan de Delincuencia Económica, que establece lo que deben hacer los sectores público y privado para seguir transformando la respuesta del Reino Unido a la delincuencia económica, y en mayo de 2023 publicó su nueva Estrategia contra el fraude: detener las estafas y proteger al público. Esto reconoce que el 40% de los delitos registrados en el Reino Unido son ahora fraudes.
La FCA tiene un papel clave que desempeñar en la aplicación de esta estrategia. El Plan de Negocios 2023/24 de la FCA reiteró nuestro compromiso con la reducción y prevención de los delitos financieros y, en particular, nuestro compromiso de frenar el crecimiento del fraude de APP.
El fraude de APP ocurre cuando alguien es engañado para que envíe dinero a un estafador que se hace pasar por un beneficiario genuino. Hay varios tipos de estafas de aplicaciones que son:
- «beneficiario malintencionado», por ejemplo, engañar a alguien para que compre bienes que no existen o que nunca se reciben.
- «redirección maliciosa», por ejemplo, un estafador que se hace pasar por personal bancario para que alguien transfiera fondos de su cuenta bancaria a la cuenta del estafador
Los estafadores a menudo intentan explotar los desafíos que enfrentan muchos consumidores debido al aumento del costo de vida. Los clientes en circunstancias vulnerables pueden ser particularmente susceptibles a la explotación.
Es importante que las empresas cuenten con marcos de control sólidos y con un servicio de atención al cliente eficaz y bien dotado de recursos. Estos deben evolucionar a medida que evolucionan las amenazas de fraude. Con el apoyo de la tecnología y el intercambio de inteligencia, pueden ayudar a las empresas a identificar el fraude y los riesgos de fraude, y así reducir el fraude y su impacto en los consumidores.
Lo que hicimos
Elegimos una muestra de empresas basadas en el riesgo para revisar, incluidas empresas de diferentes tipos, tamaños y perfiles de riesgo. Esta selección se basó en los datos presentados por las empresas en el Informe de Fraude de Pagos de la FCA y al Regulador de Sistemas de Pago (PSR), incluidos los datos sobre volúmenes, valor y tipo de fraude. También tuvimos en cuenta los datos y la información sobre las reclamaciones de los clientes, incluidos los casos presentados al Servicio del Defensor del Pueblo Financiero. Superpusimos esto con información supervisora e inteligencia a nivel de caso para identificar y seleccionar una muestra mixta de 12 proveedores de cuentas corrientes, bancos retadores y empresas de pago.
Llevamos a cabo una evaluación de alto nivel de su enfoque de la gestión del riesgo de fraude, con un enfoque en el fraude de APP. Nosotros:
- Revisó las estrategias de fraude de las empresas y los elementos críticos de los procesos operativos;
- Considerar cómo funcionan en la práctica los sistemas y controles de detección y prevención del fraude frente a la evolución de los ataques de fraude
- examinó la forma en que las empresas garantizan una supervisión adecuada del marco de riesgo para todos los tipos de fraude, incluida la forma en que se comunica la información de gestión y se actúa en consecuencia;
- evaluó la experiencia del cliente y la equidad de los resultados de los clientes al observar cómo las empresas gestionan y responden a las quejas de fraude
¿Qué más estamos haciendo nosotros y otros?
El PSR publicó recientemente datos sobre el nivel de fraude de APP reportado por los 14 grupos bancarios más grandes del Reino Unido. Esto muestra hasta qué punto, en 2022, se utilizaron ciertas empresas para enviar o recibir fondos fraudulentos.
En junio de 2023, el PSR también publicó su declaración de política PS23/3: Lucha contra el fraude autorizado en los pagos push: un nuevo requisito de reembolso que, a partir de 2024, se aplicará a los pagos realizados y recibidos por los PSP que utilicen el sistema Faster Payments. Introducirá normas mínimas coherentes para reembolsar a las víctimas de fraude de APP.
Esencialmente:
- exigir a los proveedores de servicios de pago que reembolsen a todos los clientes incluidos en el ámbito de aplicación que sean víctimas de fraude de APP, a menos que el consumidor esté involucrado en el fraude o haya actuado con negligencia grave;
- compartir el costo de reembolsar a las víctimas 50:50 entre el envío y la recepción de PSP, para proporcionar incentivos para que ambos detecten y prevengan el fraude
- Proporcionar protecciones adicionales a los clientes vulnerables
Según el nuevo requisito de reembolso, los proveedores de servicios de pago remitentes también tendrán la opción de aplicar un exceso de reclamación, y se establecerá un nivel máximo de reembolso. El PSR ha consultado sobre el nivel máximo de reembolso y el exceso máximo apropiados y se ha comprometido a publicar los resultados en la guía del PSR en el cuarto trimestre de 4.
Hasta que esto entre en vigor, 10 empresas están actualmente suscritas a un Código Modelo de Reembolso Contingente supervisado por el Consejo de Normas de Préstamo (LSB).
En la Convocatoria de Pruebas del Tesoro a principios de este año sobre las Regulaciones de Servicios de Pago de 2017, esbozaron el compromiso de explorar posibles soluciones legislativas para permitir a las empresas retrasar la realización de pagos en los casos en que se sospeche fraude más allá del período de tiempo actualmente permitido de D+1 (final del siguiente día hábil).
Apoyamos activamente al Tesoro durante el desarrollo de políticas, asegurando que cualquier nueva legislación sea adecuada para su propósito y minimice las consecuencias no deseadas, como un aumento en los retrasos en los pagos legítimos. También publicamos recientemente nuestros hallazgos relacionados con los sistemas y controles de las empresas para mitigar el riesgo de que sean utilizados por los defraudadores para cobrar las ganancias del fraude (utilizando cuentas de mulas de dinero).
Lo que encontramos
Aunque observamos algunos ejemplos de marcos de control eficaces y buenas prácticas, nos decepcionó encontrar varias debilidades comunes en áreas clave de los marcos de gestión del riesgo de fraude y el trato al cliente de las empresas, entre ellas:
- Un enfoque insuficiente en la entrega de buenos resultados para el consumidor en muchas de las empresas que revisamos
- La información y las acciones de gestión a menudo se centraban en el apetito de riesgo comercial, en lugar del impacto y el trato en el cliente
- En muchas empresas hay un margen significativo para mejorar el apoyo prestado a las víctimas de fraude, incluso desde el primer punto de contacto. En muchos casos, las empresas deben hacer más para permitir que los clientes denuncien el fraude de manera fácil y rápida
- Mala gestión de las reclamaciones, incluidas las empresas que a menudo tardan demasiado en responder a las quejas de los clientes
- Los clientes recibieron cartas de decisión que a veces eran poco claras, confusas o incluían un lenguaje inútil y, en ocasiones, acusatorio
- pruebas limitadas de que las empresas tengan debidamente en cuenta las características de la vulnerabilidad de los clientes a la hora de tomar decisiones sobre reclamaciones y quejas por fraude
Incluimos más detalles sobre nuestros hallazgos a continuación.
Gobernanza, Supervisión e Información de Gestión (MI)
En algunas empresas observamos marcos de gobernanza que parecen ser eficaces y estar bien establecidos, pero, en muchos casos, las empresas necesitan hacerlo mejor. Nos decepcionó especialmente que algunas empresas no pudieran demostrar una supervisión y un cuestionamiento efectivos por parte de los foros pertinentes de la alta dirección o de los comités del Consejo de Administración.
En muchos casos, MI se centró principalmente en informar sobre el apetito por el riesgo comercial y las finanzas. Los ejemplos más sólidos de IM incluyeron medidas relevantes centradas en el cliente y demostraron cómo estas medidas informaron la toma de decisiones para fortalecer los sistemas y controles antifraude y mejorar los resultados y el servicio al cliente.
Nuestro trabajo de informar sobre el producto del fraude – Detección y prevención de mulas de dinero encontró que cuando las empresas tienen más cuentas mula reportadas que sus pares, también hay una falta de supervisión de MI y de la alta gerencia para garantizar que se tomen medidas para abordar el riesgo y evaluar el impacto de las intervenciones.
Sistemas y controles contra el fraude
En el momento de nuestra revisión, algunas empresas de nuestra muestra tenían marcos de control antifraude que aún estaban en desarrollo y aún no se habían incorporado. La mayoría de las empresas han revisado recientemente su estrategia de lucha contra el fraude y han determinado la necesidad de reforzar los sistemas y controles para detectar, prevenir y gestionar el fraude.
La mayoría de las empresas incluidas en nuestro examen tenían un margen significativo para seguir desarrollando y fortaleciendo su enfoque. Esperamos que las empresas se aseguren de que están haciendo lo suficiente para considerar, monitorear y mitigar los riesgos de que ocurran diferentes tipos de fraude, desde la incorporación de un cliente hasta su relación con la empresa.
Esto incluye estrategias para prevenir y detectar el fraude, como identificar y actuar sobre la información identificada a través de la incorporación de clientes, el monitoreo de transacciones, el monitoreo continuo a nivel de cliente y cuenta, el monitoreo de dispositivos y el uso de inteligencia.
Nuestra comunicación «Producto del fraude: detección y prevención de las mulas de dinero» también puso de relieve la necesidad de que las empresas cuenten con sistemas y controles proporcionados y adecuados, en particular para mitigar el riesgo de las mulas de dinero.
Observamos que el uso de la biometría del comportamiento por parte de algunas empresas para tratar de identificar si un cliente está siendo objeto de ingeniería social puede ser una herramienta útil para prevenir y detectar el fraude.
El uso de mensajes de advertencia automatizados basados en el riesgo durante el proceso de pago puede ser eficaz para ayudar a los clientes a considerar si el pago que están realizando es a un beneficiario genuino. La Guía Final sobre el Derecho del Consumidor FG 22/5 (párrafo 5.23) confirma la importancia de que las empresas cuenten con sistemas y procesos adecuados para evitar daños previsibles, lo que incluye diseñar, probar, adaptar y supervisar la eficacia de dichos mensajes.
Hemos observado que la intervención manual para pagos potencialmente de alto riesgo, en los que los clientes necesitan interactuar con un miembro del personal antes de que se confirme una instrucción de pago, puede crear una fricción positiva en el proceso de pago y ser útil para prevenir algunos pagos fraudulentos. Dicha intervención, cuando corresponda, con el apoyo de personal capacitado y experimentado, puede involucrar a los clientes y determinar si una transacción es legítima.
Las empresas deben considerar si sus sistemas y controles son efectivos y si hay más que deben hacer para mejorar su enfoque de la prevención del fraude.
Uso de la inteligencia
Nos complació ver que la mayoría de las empresas se comprometieron activamente con varios organismos externos para discutir la inteligencia y el escaneo del horizonte en busca de amenazas futuras. Como se indica en nuestra comunicación Producto del fraude – Detección y prevención de las mulas de dinero, esto permite a las empresas tomar medidas preventivas para prevenir el fraude, por ejemplo, cuando se identifica una nueva red de mulas o un nuevo tipo de fraude. Es importante que se actúe rápidamente sobre la inteligencia para ayudar a prevenir y detectar el fraude.
Algunas empresas nos dijeron que la recepción de PSP puede ser lenta para congelar fondos fraudulentos. Esperamos que los PSP receptores actúen con prontitud en el cumplimiento de sus obligaciones legales y garanticen buenos resultados para los clientes cuando se les notifique un pago fraudulento. El nuevo requisito de reembolso del PSR (que entrará en vigor en 2024) aumentará sus incentivos para actuar.
Trato y concienciación al cliente
Nos preocupa que los clientes no siempre puedan denunciar el fraude de forma fácil o rápida. Los sitios web de las empresas no siempre proporcionan información clara sobre cómo un cliente puede ponerse en contacto con una empresa para denunciar un fraude o qué medidas tomar si el fraude se produce fuera del horario de apertura estándar de la empresa. Esto puede exacerbar el impacto del fraude en los clientes y reducir las posibilidades de poder tomar medidas rápidas para detener el fraude o intentar recuperar los fondos.
Observamos que los equipos de fraude y denuncias no siempre contaban con los recursos adecuados. Esto a menudo afectaba a la calidad y la velocidad del servicio de atención al cliente a la hora de investigar casos de fraude o tramitar quejas. Esto, a su vez, tiene el potencial de causar más daño y angustia a los consumidores, por ejemplo, largos tiempos de espera de llamadas para denunciar fraudes, asesoramiento incorrecto, clientes que se pasan a múltiples departamentos, lo que provoca retrasos significativos y duraciones de llamadas demasiado largas.
Los clientes cuyas cuentas están congeladas debido a preocupaciones sobre el fraude pueden sufrir más angustia e inconvenientes si no pueden acceder a los fondos o realizar pagos legítimos. Cuando esto ha ocurrido, las empresas deben considerar qué pueden hacer para investigar lo antes posible para que puedan descongelar rápidamente las cuentas cuando sus preocupaciones sean infundadas. Las empresas deben considerar cómo apoyan a los clientes y cómo se comunican eficazmente con ellos durante este período.
Nos complació ver que algunas empresas consideraron el soporte adicional que podían ofrecer a los clientes. Por ejemplo, dada la prevalencia del fraude, los clientes a menudo pueden estar preocupados por un pago que planean realizar. Una empresa ofrece un servicio en el que los clientes pueden ponerse en contacto con ellos en cualquier momento para discutir sus preocupaciones sobre posibles estafas y la empresa les ayudará a considerar el riesgo de un pago que planean realizar.
Algunas empresas adoptan un enfoque multicanal para concienciar a los clientes sobre cómo evitar ser víctimas de una estafa. Por ejemplo, una empresa ha lanzado una aplicación gratuita que crea conciencia sobre el fraude y la seguridad cibernética para ayudar a evitar que las personas sean víctimas de estafas. Es gratuito tanto para clientes como para no clientes.
Enfoque de las quejas de los clientes
A menudo nos sentimos decepcionados con la calidad de la gestión de las reclamaciones por parte de las empresas observada durante nuestro examen. Algunas empresas tardaron mucho en responder a las quejas.
En algunos casos, la comunicación con los clientes a lo largo del proceso de tramitación de reclamaciones fue deficiente, por ejemplo, la falta de actualizaciones periódicas y oportunas al cliente y el cliente tuvo que perseguir a la empresa para obtener una actualización (a veces varias veces).
Las cartas de respuesta final a menudo estaban mal escritas. Algunos no se adaptaron lo suficiente a las circunstancias del caso. Vimos ejemplos de jerga técnica, lenguaje agresivo y, a veces, acusatorio. En algunos casos, la justificación de la decisión final no estaba clara.
Trato a clientes en circunstancias vulnerables
Todas las empresas declararon que tienen en cuenta las características de vulnerabilidad a la hora de tomar decisiones sobre reclamaciones y quejas por fraude. Sin embargo, a partir de nuestra revisión de las quejas, a menudo no estaba claro cómo se evidenció esto.
Los clientes en circunstancias vulnerables deben experimentar resultados tan buenos como los de otros consumidores y recibir un trato justo y constante. Esperamos que las empresas proporcionen a sus clientes un nivel de atención adecuado, dadas sus características.
Detección y prevención de mulas de dinero
El enfoque de la gestión del riesgo de las mulas de dinero también fue una laguna particular en varias empresas. En octubre, publicamos nuestros hallazgos separados relacionados con el producto del fraude: detección y prevención de las mulas de dinero y nuestras expectativas de que las empresas reevalúen continuamente su estrategia para identificar, evaluar y monitorear los riesgos asociados con las mulas de dinero. Incluía información sobre buenas prácticas, así como áreas de mejora en los métodos de detección y monitoreo para identificar y mitigar las actividades de las mulas de dinero.
Lo que esperamos de las empresas
Esperamos que las empresas:
- disponer de mecanismos eficaces de gobernanza, controles y MI para detectar, gestionar y reducir el fraude y las pérdidas de las APP
- Tratar a los clientes de manera justa, incluso cuando se quejan, y ofrecer buenos resultados de manera constante a los clientes que son víctimas de fraude. Esto incluye que las empresas se aseguren de que están haciendo lo suficiente para:
- Permita que los clientes denuncien el fraude de manera fácil y rápida
- Comunícate claramente con los clientes
- Proporcionar el soporte adecuado a los clientes que muestran características de vulnerabilidad
- asegurarse de que están haciendo lo suficiente para mitigar los riesgos de las cuentas de mulas de dinero (consulte nuestra comunicación Producto del fraude – Detección y prevención de las mulas de dinero)
Las empresas también deben considerar qué otras medidas pueden tomar ahora para:
- establecer marcos de control que les permitan cumplir con el nuevo requisito de reembolso del PSR, y
- preparar (cuando aún no se haya adoptado) la ampliación de la Confirmación del Beneficiario, de conformidad con la «Directriz Específica 17 sobre la ampliación de la Confirmación del Beneficiario» del PSR.
El Deber del Consumidor
El Impuesto sobre los Consumidores, que entró en vigor el 31 de julio de 2023, establece un estándar más elevado de atención que las empresas deben prestar a los consumidores en los mercados financieros minoristas y desempeña un papel clave a la hora de respaldar nuestras expectativas de las empresas en este ámbito. Todas las empresas deben centrarse en poner a los consumidores en el centro de su negocio y ofrecer buenos resultados. Las empresas deben asegurarse de que están cumpliendo con las normas:
- el Principio del Consumidor, que exige a las empresas que actúen para ofrecer buenos resultados a los clientes minoristas
- las normas transversales para que las empresas actúen de buena fe con respecto a los clientes minoristas, eviten causar daños previsibles a los clientes minoristas y permitan y apoyen a los clientes minoristas para que persigan sus objetivos financieros;
- Nuestros resultados rigen sobre el diseño de productos y servicios, el precio y el valor, la comprensión del consumidor y el apoyo al consumidor
Anteriormente incluimos algunos ejemplos de lo que esto podría significar para las empresas, por ejemplo, en nuestra carta de febrero de 2023 sobre la implementación del impuesto al consumidor enviada a los bancos minoristas y las sociedades de crédito hipotecario. Dicho esto, las empresas deben considerar:
- los procesos relativos a la congelación de cuentas, incluyendo, por ejemplo, si sería apropiado efectuar dicha congelación:
- menos frecuentes (por ejemplo, a través de una mejor incorporación inicial y controles de Conozca a su cliente y un monitoreo de transacciones más preciso e inteligente)
- menos prolongada (p. ej., mediante una investigación más rápida y con mejores recursos de las sospechas)
- mejor comunicado (en la medida de lo posible dentro de las limitaciones de evitar el aviso)
- mejor apoyo (especialmente para los clientes que se encuentran en graves dificultades financieras por la congelación)
- cómo brindan el apoyo adecuado a los clientes que se sienten víctimas y pueden estar angustiados, y no los tratan con excesiva dureza cuando se quejan;
- Si una empresa brinda soporte principalmente o solo a través de un canal, por ejemplo, un canal digital, tener procesos de excepción para tratar de manera efectiva los problemas no estándar que podrían surgir: por ejemplo, clientes que informan inquietudes sobre fraude.
Pasos siguientes
Estamos trabajando con las empresas en nuestra revisión para fortalecer su enfoque. Continuaremos monitoreando cómo las empresas de pago están cumpliendo con nuestras expectativas para frenar el crecimiento de los casos y pérdidas de fraude de APP, así como el fraude en general, y para poner las necesidades de los clientes en primer lugar.
Publicado originalmente: https://www.fca.org.uk/publications/multi-firm-reviews/anti-fraud-controls-complaint-handling-firms-focus-app-fraud#