GSR-MR-01 manual riesgo actualiz 19 feb 2013

MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
INDICE
1. ASPECTOS GENERALES
1.1. Objetivo
1.2 Soporte Legal
1.3 Principios
1.4 Políticas
1.5 Definición de algunas expresiones o términos utilizados.
1.6 Alcance de las medidas y Acciones.
2. SOPORTE LEGAL DE INCOCREDITO CONTENIDO EN LAS CLAUSULAS DE LOS
REGLAMENTOS O CONTRATOS DE AFILIACION DE COMERCIOS A SISTEMAS
DE TARJETAS Y/O ENTIDADES FINANCIERAS.
2.1 Redeban Multicolor S.A. y Banco de Occidente (Credencial).
2.2. Credibanco
2.3 Banco Davivienda Diners
2.4 American Express
3. EL DEBIDO PROCESO EN LA INVESTIGACION Y/O AUDITORIA
En los procesos de investigación, Auditorias por fraude e incumplimientos
contractuales.
3.1
3.2
3.3
3.4
3.5
Credibanco
Redeban Multicolor y Credencial Banco de Occidente
Sistema American Express
Sistema Diners
Generalidades Proceso de Investigación
4. COMITE DE RIESGO REGIONAL
4.1 Conformación
4.2 Facultades
4.3 Responsabilidad básica del Comité de Riesgo Regional
4.4 Reuniones
4.4.1 Lugar y participantes
4.4.2 Clases
GSR-MR-01 (19/02/2013) Version 3
1
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
5. CONSOLIDACION DE HECHOS QUE CONSTITUYEN IRREGULARIDADES E
INCUMPLIMIENTO
CONTRACTUAL
POR
PARTE
DE
LOS
ESTABLECIMIENTOS QUE IMPLICAN MEDIDAS.
5.1 Hechos que constituyen irregularidades, fraudes e incumplimientos
contractuales por parte del comercio frente a los Sistemas de tarjetas.
5.2 Parámetros a tener en cuenta para la aplicación de las medidas de acuerdo
a modalidad de fraude como incumplimiento a la aceptación de tarjetas que
presenten alteraciones, enmendaduras, adulteraciones, falsificaciones, con
montaje, alteraciones en la banda de la firma, robadas, extraviadas o cualquier
anomalía.
5.2.1 Tipos de transacciones
5.2.2 Clasificación general
6. MEDIDAS PREVENTIVAS Y SANCIONATORIAS
6.1 Criterios para tomarlas
6.2 Clases de medidas y Acciones
6.2.1 Medidas Preventivas
1. Bloqueo Preventivo
2. Levantamiento Bloqueo
6.2.2 Correctivas
1. Comunicación Preventiva
2. Suspensión Provisional
3. Terminación del Contrato
7. Solicitud nueva afiliación
8. Monitoreo y seguimiento
Distribución y Publicación del Manual de Riesgo
GSR-MR-01 (19/02/2013) Version 3
2
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
1. ASPECTOS GENERALES
El Manual para Control de Riesgos en Establecimientos es el resultado definitivo del
análisis, síntesis, integración y armonización de todos los conceptos, procedimientos y
normas que se aplican en la investigación, control y disminución de riesgo en las
operaciones con Tarjetas de Crédito y Débito efectuadas en los establecimientos de
comercio que han suscrito contrato de AFILIACION con los Sistemas de Tarjetas de
Crédito y Débito y/o con las Entidades Financieras participantes o administradoras de
tales sistemas.
1.1 OBJETIVO
El Manual tiene como objetivo establecer y reglamentar los pasos a seguir, cuando por
parte de un Establecimiento de Comercio existe fraude o posible incumplimiento de una
o de varias de las obligaciones derivadas de los contratos o reglamentos aceptados o
suscritos con las Entidades Financieras y/o con los Sistemas de tarjetas y/o derivadas
de los reglamentos a los que se haya adherido, en desarrollo de su afiliación o
inscripción a un determinado Sistema de Pago, o cuando se encuentre procedente por
parte de los sistemas de pago y sus entidades financieras evaluar de manera
preventiva aspectos ligados a la seguridad de la información y vulnerabilidad frente al
fraude, o de cualquier otro modo se pretenda fortalecer la integridad y capacidad de la
red de establecimientos de comercio para enfrentar fenómenos delictivos. Su ámbito
natural es por una parte, la relación de aceptación por parte de los Establecimientos de
Comercio de tarjetas de las marcas Visa, Diners Club, American Express y las demás
marcas que en condiciones similares y otras que lleguen a integrar el portafolio de
servicios de apoyo a cargo de INCOCRÉDITO, y por otra parte, la oferta de afiliación
del Establecimiento de Comercio al Sistema de Tarjetas Emitidas por MasterCard
.
1.2 SOPORTE LEGAL
Las acciones y medidas contenidas en este Manual tienen su soporte en las siguientes
fuentes legales:
En el marco legal que gobierna la industria de las tarjetas bancarias y medios de
pago.
GSR-MR-01 (19/02/2013) Version 3
3
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
En los Estatutos de la ASOCIACION PARA INVESTIGACIÓN INFORMACION Y
CONTROL SISTEMAS DE TARJETAS DE CREDITO Y DEBITO – INCOCREDITO.
En la relación de AFILIACIÓN o los Contratos o Reglamentos de AFILIACIÓN
celebrados entre el Establecimiento de Comercio y una Entidad Financiera
Adquirente o una Entidad Administradora de Sistema de Pago, según el caso.
En los Reglamentos y/o contratos de tales sistemas de pago y/o entidades
financieras, según el caso, que haya suscrito o a los cuales haya adherido el
establecimiento de comercio.
Al mandato especial extendido por las Entidades Administradoras de Sistemas de
Pago y Entidades Financieras a INCOCRÉDITO para que actúe en su nombre y
representación en la gestión de prevención, seguimiento, investigación, auditoria,
mitigación y control del fraude, en los términos previstos en este Reglamento.
En los Manuales Operativos de los sistemas de pago o de tarjeta.
1.3 PRINCIPIOS
El presente Manual tiene su fundamentación en los siguientes PRINCIPIOS:
SEGURIDAD: En virtud del cual, las entidades administradoras de sistemas de pago
o de marca, las entidades financieras y establecimientos de comercio, así como
INCOCRÉDITO, tendrán como objetivo prioritario prevenir la ocurrencia del fraude y
mantener la seguridad de los sistemas y procesos.
TRANSPARENCIA: En virtud del cual el manejo de las relaciones dentro de los
sistemas y la toma de decisiones se hará con base en reglas y políticas
preestablecidas o con criterios objetivos y razonables, en condiciones en las que
exista un flujo de información adecuado hacia las partes interesadas o hacia el
mercado.
PREVENCIÓN: En virtud del cual, se preferirá incentivar las acciones preventivas
sobre las de carácter reactivo, atendiendo en lo posible las alertas tempranas o
situaciones anómalas y a través de la función de divulgación y formación a cargo de
INCOCRÉDITO.
IMPARCIALIDAD: En virtud de la cual, en los procesos investigativos a cargo de
INCOCRÉDITO, se procederá con entero respeto al debido proceso, de manera
objetiva y técnica, procurando una búsqueda genuina de la verdad. Las acciones de
INCOCRÉDITO no se enderezan en contra de los establecimientos de comercio, sino
por el contrario se enmarcan en la protección de la integridad y seguridad de la
GSR-MR-01 (19/02/2013) Version 3
4
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
industria de los medios de pago en general lo que interesa al sector comercio, al
sector financiero y a la comunidad en general.
RESERVA Y SIGILO: En virtud de lo cual, tanto INCOCRÉDITO como las personas
que integran los comités técnicos de pares de los sistemas de pago y entidades
financieras, con asiento en INCOCRÉDITO, que valoran las situaciones de fraude,
actuarán con entero apego al deber de confidencialidad, reserva y sigilo de la
información a la que tengan acceso.
CONTROVERSIA: En virtud del cual se promueve el ejercicio del debate de ideas y
fijación de posiciones, sobre la base del respeto recíproco y la búsqueda en lo posible
de un acuerdo.
RESPETO: En virtud de lo cual se respeta y apoya la posición final asumida por cada
una de la entidades financieras y/ o sistemas de pago.
CONCIENCIA DEL RIESGO: En virtud del cual se invita a los participantes a tener o
alcanzar claridad sobre los factores de riesgo inherentes a la operación con tarjetas y
su debido control.
RESPONSABILIDAD: En virtud de lo cual se invita a los participantes a asumir de
manera justa, equilibrada y objetiva las acciones que corresponda ejecutar.
Por tratarse de relaciones jurídicas de derecho privado entre cada Sistema de
Tarjetas Crédito y Débito y cada Establecimiento y/o entre cada Entidad Financiera y
cada Establecimiento, cualquier decisión respecto de un contrato o relación jurídica
específica involucra en forma exclusiva a las partes que lo suscriben y/o al respectivo
sistema de pagos.
Cuando la situación involucre a más de un sistema de pagos o a más de una entidad
financiera, sin perjuicio del carácter individual de las relaciones y de las decisiones se
procurara en lo posible una respuesta coordinada frente al fraude o a las situaciones
de vulnerabilidad respecto del mismo.
1.4
POLITICAS
El cumplimiento del objetivo mencionado y la aplicación adecuada del presente
Manual, están orientados por las siguientes:
GSR-MR-01 (19/02/2013) Version 3
5
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
COLABORACIÓN: En la lucha contra el fraude se debe incentivar la colaboración de
todos los actores de la cadena de valor y, de manera especial, se debe procurar la
colaboración de los establecimientos de comercio y de sus dependientes.
CAPACITACIÓN: La herramienta más importante para hacer efectiva la colaboración
del sector comercio consiste en las actividades de capacitación. Aparte de las
actividades formales a cargo de INCOCRÉDITO en materia de capacitación a
comercios, se procurará que en el manejo de incidentes, sin perjuicio de las
sanciones a que pudiere haber lugar, tales procedimientos se adelanten cuando ello
sea posible, dentro de la filosofía del aprendizaje continuo, de suerte que se
desprendan recomendaciones específicas a los comercios involucrados tendientes a
la introducción de las mejoras correspondientes.
DEBIDO PROCESO: Las actuaciones de INCOCRÉDITO se adelantarán conforme a
los dictados del debido proceso, en los términos definidos en el presente manual y los
diferentes reglamentos, contratos y/u ofertas de afiliación.
ACCION CONJUNTA: Frente a problemas comunes en materia de seguridad.
DESARROLLO INSTITUCIONAL DE LA ASOCIACION: Como mandataria respecto
de la labor operativa que se requiere para enfrentar los riesgos inherentes a la
actividad propia de los Sistemas de Tarjetas Crédito y Débito, Entidades Financieras,
dentro de la operación con tarjetas.
ACCION COMPLEMENTARIA: Respecto de las labores preventivas y del control del
riesgo que realizan los Sistemas Asociados (o sujetos a este Reglamento) y sus
Entidades Financieras.
1.5
DEFINICIÓN DE ALGUNAS EXPRESIONES O TÉRMINOS UTILIZADOS
BANCO O ENTIDAD FINANCIERA ADQUIRENTE y/o PAGADORA: Entidad
vinculada a alguno de los sistemas de tarjeta de crédito, que establece una relación
jurídica con un establecimiento de comercio para soportar las ventas con tarjetas.
Cuando asume una posición propia o riesgo se denomina adquirente. Cuando se
limita a gestionar el recaudo o transferencia de los recursos derivados de la actividad
del comercio actuando como un simple procurador para el cobro se denomina
pagador. No obstante en algunos sistemas de marca se denominan como pagadores
a entidades que cumplen una función de adquirente.
GSR-MR-01 (19/02/2013) Version 3
6
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
ARBITRAJE: Un proceso donde el Sistema de tarjeta de crédito determina la
responsabilidad financiera entre sus entidades financieras para las transacciones de
intercambio que sean presentadas y contracargadas.
ATM: Un Terminal desatendido que tiene capacidad electrónica, acepta PINs, y
desembolsa dinero.
AUTORIZACIÓN: Un proceso donde un Emisor, Sistema, procesador autorizante, o
Sistema de respaldo, aprueba una transacción, con base en la validación sobre la
disponibilidad de fondos cupo disponible o status activo de la tarjeta, la autorización,
no implica relevo alguno frente al riesgo de fraude, en tanto su función se limita a
valorar el riesgo crediticio de la operación.
BIN: Un número generalmente de 6 dígitos asignado por la entidad Financiera el
Sistema de Tarjeta y utilizado para identificar a un miembro o procesador para el
procesamiento de autorización, compensación o liquidación.
COMERCIANTE O ESTABLECIMIENTO DE COMERCIO: Una entidad, persona
natural o jurídica de derecho público o privada, que entabla una relación jurídica con
un sistema de pago y/o entidad financiera para procesar y originar transacciones con
tarjeta en desarrollo de su actividad y obtener su recaudo o abono en la cuenta
definida para el efecto.
COMPROBANTE DE VENTA: Un documento de papel, nota o registro electrónico
equivalente en el que consta la aprobación o consentimiento del tarjetahabiente a uno
o varios cargos a una cuenta o cupo, derivado de la compra de bienes o servicios o
de un pago con tarjeta y que contiene así mismo la constancia de la autorización del
sistema, pudiendo consistir o no en un pagaré.
CONTRACARGO: Una transacción que un Emisor devuelve a un Adquirente
conforme a las causales y reglas del respectivo sistema de pago.
DEPÓSITO: Es la presentación de un recibo de transacción por un comerciante a un
Adquirente o pagador, resultando en un crédito o un débito a la cuenta del
comerciante.
EMISOR: Un miembro de uno de los Sistemas de Tarjeta que emite tarjetas y cuyo
nombre aparece en la tarjeta como el Emisor.
GSR-MR-01 (19/02/2013) Version 3
7
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
FECHA DE DEPÓSITO: La fecha en que un adquirente o pagador recibe un
comprobante de venta de una transacción manual o electrónica de un comerciante.
FECHA DE TRANSACCIÓN: La fecha en que ocurre una transacción entre un
tarjetahabiente y un comerciante, un adquirente o un pagador.
IMPRESIÓN: Información de tarjetahabiente transferida de una tarjeta a un
comprobante de transacción para completar una transacción.
IMPRESIÓN ELECTRÓNICA: Lectura e impresión o captura de la información de la
tarjeta en un terminal de banda magnética.
IMPRESIÓN MANUAL: Impresión de la información gravada en el anverso de la
tarjeta tomada con un impresor manual.
PERIODO DE CONTRACARGO: Número de días calendario de la fecha de Endoso
de un recibo de transacción, durante el cual el Emisor puede ejercer un derecho de
contracargo.
PIN: Un código numérico de identificación personal que identifica a un tarjetahabiente
en una solicitud de autorización originada en un terminal de autorización solamente o
de captura de información solamente.
SOLICITUD DE AUTORIZACIÓN: La solicitud de un comerciante o adquirente para
una autorización.
TARJETAHABIENTE: Persona a la que se ha emitido una tarjeta, o a la que se ha
autorizado el uso de esta.
TRANSACCIÓN: El acto entre un tarjetahabiente y un comerciante o un adquirente
que resulta en la generación de un comprobante de transacción.
USUARIO FRAUDULENTO: Una persona que no sea el tarjetahabiente o su
designado debidamente autorizado y que utilice una tarjeta para obtener bienes o
servicios, o la actuación fraudulenta del titular o su designado cuando repudian
indebida o engañosamente transacciones realizadas por los mismos, con el objeto de
obtener un beneficio de mala fe.
COMPENSACIÓN: Figura legal contemplada en el Código Civil Colombiano mediante
la cual y por virtud de la ley un deudor puede pagar el monto de su obligación
descontándolo de o “cruzándolo” con la cantidad que, a su vez, le debe su acreedor,
GSR-MR-01 (19/02/2013) Version 3
8
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
que se amplía a la compensación multilateral dentro de los sistemas de pago en
desarrollo de lo previsto en el decreto 1400 de 2005.
CONGELACION DE FONDOS: Decisión fundamentada, tomada en forma unilateral
por el Banco en donde tiene abierta la cuenta corriente o de ahorros el respectivo
establecimiento de comercio que afecta el canje o la disponibilidad de tales fondos.
REVERSION: Anulación de los efectos que produjo la transacción y/o el registro
contable de una operación con tarjeta.
SISTEMA ABIERTO DE TARJETAS: Es el sistema de pagos de bajo valor en el cual
actúan como participantes, tanto establecimientos de crédito emisores como
establecimientos de crédito adquirentes, así como entidades administradoras de tales
sistemas.
COMUNICACIÓN PREVENTIVA: Llamado de atención a un establecimiento de
comercio por no cumplir debidamente con las obligaciones contenidas en el contrato o
reglamento de afiliación y/o reglamentos operativos de los sistemas de pago.
SUSPENSIÓN PREVENTIVA: Suspensión transitoria del servicio de aceptación de
tarjetas en un comercio cuando hay evidencia o razones que evidencien riesgo para el
sistema por prácticas indebidas, irregulares, no autorizadas o riesgosas por parte del
comercio.
TERMINACION CONTRATO: Terminación de la relación de afiliación entre el
establecimiento de comercio y el sistema de pago y/o entidad financiera con la que
mantenga dicha relación, la que puede conllevar, según el caso, el bloqueo definitivo
del código único y/o la cancelación de la cuenta de depósito.
REINTEGRO DE DINEROS: Procedimiento mediante el cual el establecimiento de
comercio devuelve las sumas que le han sido abonadas, cuando se ha establecido
con posterioridad al abono en cuenta que las mismas corresponden a transacciones
fraudulentas que conforme a las reglas del respectivo sistema de tarjetas, su riesgo
deba ser asumido por el establecimiento de comercio, por situaciones tales como la
falta de diligencia y cuidado del mismo en las actividades de colaboración a su cargo,
el tipo de canal de la operación, el compromiso o participación en el fraude por parte
de sus dependientes, o el exceso de fraude, entre otras causales de reintegro que se
traen a título meramente ilustrativo.
GSR-MR-01 (19/02/2013) Version 3
9
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
INVESTIGACIÓN: Procedimiento mediante el cual se recopila información en
desarrollo de visitas o actividades habituales de auditoria encomendadas a
INCOCRÉDITO, o para las visitas o auditorias que tengan como objeto la
investigación de alarmas, hechos irregulares o aparentemente anómalos o
circunstancias de riesgo o de manejo de la información y prácticas en materia de
seguridad. La realización de estas visitas y auditorias, así como el análisis, valoración
y determinación de responsabilidades y decisiones derivadas de las mismas, se hará
conforme a los parámetros de debido proceso incorporados en este reglamento.
AUDITORIA A ESTABLECIMIENTOS: Es el proceso de indagación que se somete a
un establecimiento afiliado, donde se revisan las operaciones (transacciones), que se
realizan con tarjeta y se evalúan los procesos administrativos llevados a cabo y se
verifican los procesos y aplicación de medidas de seguridad en las transacciones con
dinero plástico.
1.6 ALCANCE DE LAS MEDIDAS Y ACCIONES
De igual manera, con el desarrollo y aplicación de su contenido, se busca cumplir con
el objetivo de la Asociación y garantizar que realmente se concreten las políticas
emanadas de la Junta de Asociados, en cuanto a la real aplicación de los principios
de solidaridad, responsabilidad y conciencia de riesgo que se traduzca en verdadera
protección contra los factores que afectan las operaciones comerciales.
2. EL SOPORTE LEGAL DE INCOCREDITO PARA LA INVESTIGACION,
AUDITORIAS, PREVENCIÓN Y CORRECCION DE TODA ACTUACIÓN DEL
ESTABLECIMIENTO, RELACIONADA CON LA ACEPTACIÓN Y EL USO DE LA
TARJETA CRÉDITO O DÉBITO COMO MEDIO DE PAGO SE ENCUENTRA EN
LAS CLAUSULAS DE DELEGACIÓN DE DICHAS FUNCIONES CONTENIDAS EN
LOS REGLAMENTOS O CONTRATOS DE AFILIACIÓN DE COMERCIOS A LOS
SISTEMAS DE TARJETAS Y/O ENTIDADES FINANCIERAS.
INCOCREDITO Es la asociación para la investigación, información y control de tarjeta
de crédito y debito en Colombia, creada por los sistemas de tarjetas como entidad
encargada de asignar el código único de identificación de establecimientos de
comercio y de velar por el fortalecimiento de la seguridad de los sistemas de pago
electrónicos y la protección a la industria de tarjetas frente al fraude, incluyendo el
control al lavado de activos, mediante servicios de apoyo, monitoreo, investigación,
auditoria y coordinación de iniciativas en la materia.
INCOCREDITO Realiza todas las actividades tendientes a evitar que se produzcan
situaciones de abuso o fraude con el uso de las tarjetas de crédito y debito y demás
GSR-MR-01 (19/02/2013) Version 3
10
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
dispositivos de acceso, en especial promoviendo entre los usuarios de dichos
dispositivos, y organismos de control, campañas de difusión, de las medidas de
seguridad en el manejo de los mismos, e instruyendo a los establecimientos afiliados
y a todos los participantes en la relación jurídica compleja propia de las tarjetas de
crédito, debito y demás dispositivos de acceso, acerca del control y cuidado que
deban tener en sus relaciones con sus portadores y recordando sus obligaciones para
utilizar con la mayor diligencia posible todos los mecanismos que eviten los riesgos de
abuso o fraude en el uso del denominado dinero plástico; así como llevar a cabo y/o
promover la realización de proyectos de investigación relacionados con los abusos y
fraudes que se cometan en la utilización de las tarjetas de crédito, debito y los demás
dispositivos de acceso y poner en conocimiento de las autoridades tales hechos para
colaborar en la represión de este tipo de delito.
Los Sistemas de Tarjetas y Entidades Financieras Adquirentes han delegado, en los
términos que se identifican a continuación a la ASOCIACION DE INFORMACION Y
CONTROL SISTEMAS DE TARJETAS DE CREDITO Y DEBITO – INCOCREDITO –,
no sólo para velar por el cumplimiento de las obligaciones pertinentes, sino para
vigilar, controlar, evaluar, prevenir y corregir toda actuación del establecimiento,
relacionada con la aceptación y el uso de la tarjeta crédito o débito como medio de
pago de venta de bienes y/o de prestación de servicios, con base en la
reglamentación que se describe en cada uno de los reglamentos o contratos suscritos
con los establecimientos de comercio.
2.1 REDEBAN MULTICOLOR S.A. y BANCO DE OCCIDENTE (Credencial)
Denominación: OFERTA COMERCIAL DE CONTRATO DE AFILIACIÓN AL
SISTEMA DE TARJETAS EMITIDAS POR MASTERCARD.
CLAUSULA…“NOVENA- AUTORIZACIONES.
siguientes autorizaciones:
El
AFILIADO
concede
las
LITERAL D - A permitir la intervención y auditoria de Incocrédito, organismo al
cual LAS FRANQUICIANTES delegan la vigilancia y control, sobre toda
actuación del AFILIADO relacionada con el contrato que se ofrece en sus
aspectos de prevención e investigación de fraudes con tarjetas y auditoria de
los sistemas de procesamiento de las operaciones y custodia de la información
y documentos, acatando cualquier determinación que se tome una vez se haya
adelantado el Procedimiento de Investigación respectivo…
GSR-MR-01 (19/02/2013) Version 3
11
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
2.2. CREDIBANCO
Denominación: REGLAMENTO DE COMERCIOS DEL SISTEMA DE PAGO DE
CREDIBANCO
NUMERAL 5 NORMAS Y REGLAS GENERALES
5.2 OBLIGACIONES DE LOS ESTABLECIMIENTOS DE COMERCIO.
5.2.3. Control fraude
EL ESTABLECIMIENTO DE COMERCIO acepta las investigaciones, y visitas que
periódicamente
realizan
los
funcionarios
de
CREDIBANCO
a
los
ESTABLECIMIENTOS INSCRITOS.
Así mismo acepta la intervención de
INCOCREDITO en tales investigaciones, auditorías y visitas, organismo de seguridad
de las tarjetas de crédito especializado en la prevención e investigación de fraudes
con tarjetas y en la auditoría de los sistemas de procesamiento de las operaciones y
custodia de la información y documentos.
2.3 BANCO DAVIVIENDA DINERS
Denominación : REGLAMENTO DE AFILIACIÓN AL SISTEMA DINERS
16º. EL COMERCIO acepta la intervención de INCOCRÉDITO o de cualquiera otra
entidad autorizada por EL BANCO, para evitar usos fraudulentos con la tarjeta, acepta
que se adelanten las investigaciones a que haya lugar, su resultado, las decisiones
que se tomen en consecuencia, incluidos bloqueos temporales, capacitaciones
obligatorias, bloqueo o congelamiento de cualquier suma a su favor depositada en la
cuenta corriente o de ahorros a nombre de EL COMERCIO, de su propietario, o
Fiducia según fuere el caso, desafiliación y por lo tanto terminación del presente
contrato y exonera de la responsabilidad tanto a EL BANCO como a INCOCRÉDITO o
a la entidad que designe EL BANCO para los efectos descritos en esta cláusula, así
mismo reconoce que no hay lugar al cobro de intereses sobre las sumas congeladas
o bloqueadas y por lo mismo renuncia a cualquiera reclamación por ese concepto en
contra de EL BANCO, INCOCRÉDITO o la entidad designada...
2.4 AMERICAN EXPRESS
Denominación: CONTRATO DE
SISTEMA AMERICAN EXPRESS
AFILIACIÓN
DE
Cláusula OCTAVA. AUTORIZACIONES PREVIAS:
concede las siguientes autorizaciones irrevocables:
GSR-MR-01 (19/02/2013) Version 3
ESTABLECIMIENTO
AL
EL ESTABLECIMIENTO
12
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
5.) A INCOCREDITO, organismo de seguridad de tarjetas, para que lleve a cabo
libremente las actividades de vigilancia, control, evaluación, prevención y corrección
sobre la actuación de EL ESTABLECIMIENTO respecto del objeto del presente
contrato, acatando las instrucciones o determinaciones que este organismo pueda
adoptar. Así mismo aceptará toda obligación comunicada en cualquier boletín o
comunicación emitida por INCOCREDITO o por EL BANCO y las decisiones que
estos organismos adopten con relación al bloqueo, suspensión o desafiliación de EL
ESTABLECIMIENTO.
3. EL DEBIDO PROCESO EN LA INVESTIGACIÓN Y / O AUDITORIA POR
FRAUDE CON TARJETAS CREDITO Y DEBITO EN ESTABLECIMIENTOS DE
COMERCIO AFILIADOS A LOS SISTEMAS DE TARJETAS Y/O ENTIDADES
FINANCIERAS.
En las investigaciones y/o auditorías que adelante INCOCRÉDITO a solicitud de los
Sistemas de Tarjetas, Entidades Financieras y/o por gestión propia, se observarán las
premisas del DEBIDO PROCESO, sin perjuicio de las particularidades propias de los
reglamentos de dichas entidades.
El debido proceso es exigente en materia de legalidad ya que no solamente pretende
que se cumpla el procedimiento estipulado en los reglamentos o contratos de
afiliación sino que se haga en la forma que se determina, así mismo se caracteriza
por una progresiva y paulatina ampliación de los derechos de defensa, por lo tanto la
actuación deberá ser el resultado de un proceso en el que representante o propietario
del establecimiento de comercio tuvo la oportunidad de expresar sus opiniones y
argumentos, así como de presentar las pruebas que demuestren su derecho, con
plena observancia de las disposiciones procesales que lo regulen.
La actuación de INCOCRÉDITO se surtirá conforme a los siguientes parámetros
básicos contenidos y descritos en los reglamentos o contratos de afiliación frente a
cada uno de los Sistemas de Tarjetas así:
3.1 CREDIBANCO ( investigaciones tarjetas de la franquicia Visa)
Para garantizar el debido proceso y el derecho de defensa en la actuación privada
que adelanta INCOCREDITO se adelantara de acuerdo al siguiente procedimiento, el
cual se encuentra registrado y detallado EN EL REGLAMENTO DE COMERCIOS
DEL SISTEMA DE PAGO DE CREDIBANCO (Numeral 5.2.3. CONTROL DEL FRAUDE)
GSR-MR-01 (19/02/2013) Version 3
13
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
ETAPAS
NOTIFICACION APERTURA INVESTIGACION Y SOLICITUD DE INFORMACION
AL COMERCIO (GSR-FO-48) Incocrédito notificará al establecimiento de comercio la
apertura de la investigación mediante comunicación radicada o dirigida a la última
dirección registrada en la base de datos del respectivo Sistema de Tarjetas, Entidad
Financiera y/o Incocrédito. En el escrito de notificación se indicarán las razones que
dieron lugar a la apertura de la investigación.
VISITA ESTABLECIMIENTO (GSR-FO-07), Incocrédito adelantara las visitas
respectivas, para ello levantará un informe o acta estandarizado, dejando una copia a
disposición del ESTABLECIMIENTO DE COMERCIO.
APORTE DE PRUEBAS. El establecimiento podrá controvertir lo señalado en dicho
informe y suministrar las pruebas y alegaciones que estime del caso en esta se
detalla entre otros aspectos datos del comercios, motivo de la visita, procedimiento
transacciones, observaciones del comercios, aporte de pruebas, alegaciones, etc.
REQUERIMIENTO (GSR-FO-30) Se efectúa al propietario y/o representante legal
con el fin acordar una cita, tendiente a analizar y buscar conjuntamente mecanismos
de solución a la situación presentada en el comercio.
ACTA DE ATENCIÓN A ESTABLECIMIENTOS DE COMERCIO AFECTADOS POR
FRAUDE (GSR-FO-37). Surtida la investigación técnica se cita al establecimiento de
comercio a una reunión de la que se sentará un acta, donde se le informa de los
resultados de la investigación, las recomendaciones, y decisiones tomadas por el
sistema de pagos y/o entidad financiera. En esta etapa se relaciona entre otros
aspectos, datos, situación actual del establecimiento, respuesta del establecimiento,
detalles resultado de la investigación, intensión de devolución de dineros,
capacitación, compromiso establecimiento a solucionar la situación, observaciones,
así mismo se relacionaran las fallas detectadas relacionando textualmente los
incumplimientos evidenciados a la relación contractual.
La negativa o no asistencia por parte de propietarios y/o representantes legales de los
comercios, a esta etapa del proceso (citación para levantamiento acta con el
comercio), no será obstáculo o impedimento para darle continuidad al proceso, ni para
la aplicación de las medidas que se consideren del caso, como es un proceso
dinámico que no puede estancarse ni ser un obstáculo en su desarrollo por la
inasistencia a esta etapa procesal; para registrar como medio de prueba esta etapa se
deberá documentar esta actividad mediante los registros, soportes y documentos que
GSR-MR-01 (19/02/2013) Version 3
14
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
prueben y hagan constar que se surtió y agotó en debida forma la citación al
comercio, para ello se remitirá los propietarios y/o representantes legales del
comercio, las comunicaciones y documentos que se consideren del caso, utilizando
para ello correo certificado, se registrarán las comunicaciones telefónicas, la excusa a
la no asistencia, así mismo la negativa a firmar las actas y demás eventos de interés.
DERECHO DE DEFENSA. El propietario o representante legal tendrá este derecho
través del aporte de pruebas, solicitud de prácticas de pruebas, observación del
asistente respecto de la medida adoptada por el Sistema de Tarjeta y/o Entidad
Financiera afectada etc.
RECURSO DE RECONSIDERACION. EL ESTABLECIMIENTO DE COMERCIO en
caso de desacuerdo, podrá solicitar la reconsideración de las conclusiones y medidas
tomadas con base en la investigación, aportando si es del caso nuevas pruebas. La
decisión final del sistema de pagos producirá efectos inmediatos, no obstante, en
caso de persistir el desacuerdo por parte del establecimiento de comercio, éste
quedará en entera libertad de ejercer las acciones legales a su alcance.
DERECHO DE ACCESO AL EXPEDIENTE. Durante todo el término de la
investigación, se agrantiza al establecimiento de comercio el acceso al expediente
abierto en su contra.
SOPORTES AL DEBIDO PROCESO. Copia de las comunicaciones y actas serán
notificadas mediante radicación y/o entrega en el comercio a los representantes
legales y/o propietarios de los establecimientos de comercio como soporte al debido
proceso, para tal efecto quedaran a disposición las copias diligenciadas y firmadas
por el representante o propietario del comercio y por el funcionario de Incocrédito que
adelantó la investigación y quién notificó la decisión del Sistema de Tarjetas y/o
Banco afectado.
INCOCREDITO procederá con estricta observancia de los presentes principios,
los que incorporará en sus procedimientos y manuales de operación. Así
mismo informará a los ESTABLECIMIENTOS DE COMERCIO acerca de las
garantías, etapas y plazos que comportan los procesos a su cargo.
LAS DECISIONES PROVISIONALES O FINALES que tomen los representantes de
los Sistemas y las Entidades Financieras serán notificadas a los representantes
legales y/o propietarios de los establecimientos de comercio, para la recepción de la
misma se plasma la firma y sello del representante del comercio, las copias firmadas
GSR-MR-01 (19/02/2013) Version 3
15
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
reposaran en los expedientes junto con las actas, comunicaciones y documentos
recopilados en la investigación.
En las actas de atención personal al representante o propietario del comercio, y
demás comunicaciones, estas personas tiene la posibilidad y oportunidad para
manifestar su desacuerdo con las conclusiones de lo investigado o la decisión tomada
por la Entidad Administradora de Sistema de Pago y/o las Entidades Financieras
afectadas, utilizando para ello las comunicaciones escritas que considere del caso,
así como acudir a las acciones legales que estime pertinentes. .
3.2 REDEBAN MULTICOLOR Y CREDENCIAL BANCO DE OCCIDENTE
(Investigaciones tarjetas franquicia
Master Card)Cláusula NOVENA.AUTORIZACIONES: Literal D.
Para garantizar el debido proceso y el derecho de defensa en la investigación que
adelanta INCOCREDITO en los establecimientos de comercio se surtirá de acuerdo al
siguiente procedimiento, el cual se encuentra registrado y detallado en la OFERTA
COMERCIAL DE CONTRATO DE AFILIACIÓN AL SISTEMA DE TARJETAS
EMITIDAS POR MASTERCARD
ETAPAS
NOTIFICACIÓN. Incocrédito notificará al AFILIADO la apertura de la investigación en
su contra mediante comunicación radicada o dirigida a la última dirección registrada
del AFILIADO en la base de datos de LAS FRANQUICIANTES.. En el escrito de
notificación se le indicarán las razones que dieron lugar a la apertura de la misma.
DERECHO DE APORTAR PRUEBAS. El AFILIADO tendrá derecho a presentar las
pruebas que considere pertinentes y conducentes para controvertir los hechos que
sirvieron como fundamento para la apertura de la investigación, durante los cinco (5)
días hábiles siguientes a la recepción de la notificación.
PRACTICA DE PRUEBAS. A partir de la notificación, en la misma fecha o en fecha
posterior, INCOCRÉDITO podrá realizar visitas al AFILIADO para efectos de recaudar
pruebas y el AFILIADO, podrá presentar sus pruebas durante el curso de la visita, si
así lo estimare procedente. De las visitas realizadas se levantará un acta en la cual
se dejará constancia de las pruebas recaudadas durante la misma.
GSR-MR-01 (19/02/2013) Version 3
16
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
DERECHO DE ACCESO AL EXPEDIENTE. Durante todo el término de la
investigación, el AFILIADO podrá acceder al expediente abierto en su contra.
REVISIÓN PRELIMINAR DE LA CONDUCENCIA DE LA INVESTIGACIÓN.
Incocrédito analizará las pruebas aportadas por EL AFILIADO y las demás pruebas
obtenidas en el curso de la investigación y evaluará si éstas son suficientes para
desvirtuar los hechos que dieron lugar a la apertura de la investigación. En caso
afirmativo, INCOCRÉDITO procederá a cerrar la investigación en contra del
AFILIADO.
TÉRMINO DE LA INVESTIGACIÓN. El término del proceso de investigación será el
fijado por el respectivo sistema de pago, sistema de tarjetas o entidad financiera o en
su defecto el de doce (12) días hábiles, al cabo de los cuales se producirá un informe
que contendrá las conclusiones y recomendaciones de INCOCRÉDITO.
El anterior término podrá ser extendido por decisión de Incocrédito cuando una vez
vencido el término inicial aún queden pruebas por practicarse. Esta prórroga será de
tres (3) días hábiles salvo que la naturaleza de la prueba o de la investigación
aconseje un término mayor, el que se expresará en la respectiva comunicación.
OPORTUNIDAD PARA PRESENTAR ALEGATOS DE CONCLUSIÓN. Una vez se
hayan evacuado las pruebas, INCOCRÉDITO remitirá al establecimiento de comercio
el informe final de la investigación, instándolo a presentar dentro de los tres (3) días
siguientes sus alegaciones finales.
INFORME DEFINITIVO. INCOCRÉDITO proferirá su informe definitivo dentro de los
cuatro (4) días hábiles siguientes a la fecha en la que se vence el término para
presentar las alegaciones finales.
El informe definitivo junto con las alegaciones finales del AFILIADO, si las hubiere, se
comunicará a la o las entidades financieras afectadas y al o a los
FRANQUICIANTE(S) quien o quienes, según el caso, adoptará(n) la decisión o las
decisiones correspondientes.
RECURSO DE RECONSIDERACION POR EL COMERCIO. Dentro de los tres (3)
días siguientes a la fecha en que le haya sido comunicada la decisión final del
respectivo FRANQUICIANTE al AFILIADO, en caso de desacuerdo, éste podrá
radicar en INCOCRÉDITO un recurso de reconsideración dirigido al respectivo
FRANQUICIANTE, aportando las argumentaciones y las pruebas que estime del
caso. INCOCRÉDITO dará traslado del recurso al FRANQUICIANTE respectivo, quien
decidirá al respecto dentro de los cinco (5) días siguientes.
GSR-MR-01 (19/02/2013) Version 3
17
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
MEDIDAS PROVISIONALES. Durante el curso del proceso, INCOCREDITO, las
FRANQUICIANTES y/o las entidades financieras afectadas podrá(n) adoptar medidas
temporales de protección del sistema o de la respectiva entidad, las cuales estarán
vigentes hasta la fecha en la que profiera la decisión final.
3.3.
AMERICAN EXPRESS (Investigaciones tarjetas de emisión nacional e
internacional) Cláusula OCTAVA: AUTORIZACIONES PREVIAS Numeral 6.
Para garantizar el debido proceso y el derecho de defensa en la investigación que
adelanta INCOCREDITO en los establecimientos de comercio se surtirá de acuerdo
al siguiente procedimiento, el cual se encuentra registrado y detallado en el
CONTRATO DE AFILIACION DE ESTABLECIMIENTOS AL SISTEMA AMERICAN
EXPRESS.
NOTIFICACION (GSR-FO-48): INCOCREDITO notificará a EL ESTABLECIMIENTO
la apertura de la investigación en su contra mediante comunicación radicada o dirigida
a la última dirección registrada de EL ESTABLECIMIENTO en la base de datos de EL
BANCO. En la comunicación se indicarán las razones que dieron lugar a la apertura
de la investigación.
DERECHO A APORTAR PRUEBAS: EL ESTABLECIMIENTO tendrá derecho a
presentar las pruebas que considere pertinentes y conducentes para controvertir los
hechos que sirvieron como fundamento para la apertura de la investigación en su
contra, durante los cinco (5) días hábiles siguientes a la recepción de la notificación.
PRACTICA DE PRUEBAS: A partir de la notificación, INCOCREDITO podrá realizar
visitas (GSR-FO-07) a EL ESTABLECIMIENTO para efectos de recaudar pruebas y
EL ESTABLECIMIENTO podrá presentar sus pruebas durante el curso de la visita.
De las visitas realizadas se levantará un acta en la cual se dejará constancia de las
pruebas recaudadas durante la misma.
DERECHO DE ACCESO AL EXPEDIENTE: Durante el término de la investigación
EL ESTABLECIMIENTO podrá consultar el contenido del expediente abierto en su
contra.
REVISION DE LA CONDUCENCIA DE LA INVESTIGACION: INCOCREDITO
analizará las pruebas aportadas por EL ESTABLECIMIENTO y las demás pruebas
obtenidas en el curso de la investigación y evaluará si estas son suficientes para
desvirtuar los hechos que dieron lugar a la apertura de la investigación. En caso
GSR-MR-01 (19/02/2013) Version 3
18
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
afirmativo, INCOCREDITO procederá a declarar cerrada la investigación en contra de
EL ESTABLECIMIENTO.
TERMINO DE LA INVESTIGACION: El término del proceso de investigación hasta la
entrega del informe definitivo es de doce (12) días hábiles, término que podrá ser
extendido por decisión de INCOCREDITO cuando una vez vencido el término inicial
aún queden pruebas por practicarse. Este término será de tres (3) días hábiles salvo
que la naturaleza de la prueba o de la investigación aconseje un término mayor, el
que se expresará en la respectiva comunicación que para ello se expida.
OPORTUNIDAD PARA PRESENTAR ALEGATOS DE CONCLUSIÓN: Una vez se
hayan practicado las pruebas, INCOCREDITO remitirá a EL ESTABLECIMIENTO el
documento contentivo de los resultados de las pruebas practicadas, instándolo a
presentar dentro de los tres (3) días siguientes sus alegaciones finales.
INFORME DEFINITIVO: INCOCREDITO proferirá su informe definitivo al respecto
dentro de los cuatro (4) días hábiles siguientes a la fecha en la que se vence el
término para presentar las alegaciones finales.
El informe definitivo junto con las alegaciones finales de EL ESTABLECIMIENTO , si
las hubiere, se comunicará a la o las entidades financieras afectadas y a EL BANCO
quien o quienes, según el caso, adoptará(n) la decisión final.
RECURSO DE RECONSIDERACION POR EL COMERCIO: Dentro de los tres (3)
días siguientes a la fecha en que le haya sido comunicada la decisión final de EL
BANCO a EL ESTABLECIMIENTO, este podrá en caso de desacuerdo radicar en
INCOCREDITO un recurso de reconsideración dirigido a EL BANCO, aportando las
argumentaciones y las pruebas que estime del caso. INCOCREDITO dará traslado
del recurso a EL BANCO, quien decidirá al respecto dentro de los cinco (5) días
siguientes.
MEDIDAS PROVISIONALES: Durante el curso del proceso, los Bancos Pagadores
afectados y/o EL BANCO podrán adoptar medidas temporales de protección del
sistema las cuales estarán vigentes hasta la fecha en la que profiera la decisión final.
NOTA: Para cerrar el ciclo del Debido Proceso, se cita al establecimiento inscrito a
una reunión de la que se sentará un acta (GSR-FO-37) donde se le informa de los
resultados de la investigación, las recomendaciones, posibles decisiones o medidas
tomadas por el sistema de pagos y/o entidad financiera. En esta etapa se relaciona
entre otros aspectos, datos, situación actual del establecimiento, respuesta del
GSR-MR-01 (19/02/2013) Version 3
19
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
establecimiento, detalles resultado de la investigación, intensión de devolución de
dineros, capacitación, compromiso establecimiento a solucionar la situación,
observaciones, así mismo se relacionaran las fallas detectadas relacionando
textualmente los incumplimientos evidenciados a la relación contractual.
3.4 Para garantizar el debido proceso y el derecho de defensa en la actuación que
adelanta INCOCREDITO frente a establecimientos que han suscrito el REGLAMENTO
DE AFILIACIÓN AL SISTEMA DINERS se surtirá de acuerdo al procedimiento
establecido en este manual en el numeral 1, lo anterior mientras el Sistema incorpora la
cláusula del debido proceso en su reglamento de afiliación.
NOTA ESPECIAL: Para las investigaciones que se generan por Posible Punto de compromiso
y para dar cumplimiento al debido proceso se aplican formatos puntuales en los siguientes
casos: GSR-FO-99 Notificación apertura de investigación y solicitud de información por Punto de
Compromiso, GSR-FO-97 Comunicación Preventiva por Punto de compromiso, GSR-FO-98
Confirmación de Incumplimientos por Punto de compromiso, GSR-FO-100 Notificación
Suspensión Preventiva por Punto de Compromiso GSR-FO-101 Requerimiento por Punto de
Compromiso.
3.5 GENERALIDADES PROCESO DE INVESTIGACION
PRUEBAS DOCUMENTALES:
Los comprobantes de venta aportados por el establecimiento de comercio son los
documentos sobre los que se hace análisis para detectar situaciones irregulares,
procurando cotejarlos con otro tipo de soportes de la transacción, tales como facturas,
cotizaciones, cartas, contratos, descripción de los hechos, etc.
PRUEBAS TESTIMONIALES:
Se obtendrá y registrará la información obtenida mediante entrevista y/o indagación con
personal vinculado al establecimiento y que de alguna forma está relacionado con las
transacciones que son objeto de investigación, así mismo las operaciones
presuntamente irregulares que se hayan encontrado o alertado. La información servirá
para detectar debilidades, amenazas, y evidenciar fortalezas que tiene la operación de
venta con tarjetas de crédito y débito en el establecimiento.
De igual forma mediante observación se registrará con análisis crítico información sobre
infraestructura administrativa, operativa y física del Establecimiento, frente a los hechos
e información que son materia de investigación, como actividad comercial a la que se
dedica, promedio de venta frente a mercancías, promedio de facturación, organización
GSR-MR-01 (19/02/2013) Version 3
20
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
contable, soportes contables, capacitación, seguridad, manejo de las transacciones en la
venta con tarjetas, etc.
CONSIDERACIONES GENERALES SOBRE VISITAS A ESTABLECIMIENTOS:
Registrada en acta de visita a establecimiento
• Análisis integral de la información obtenida: Documental, Verbal.
La visita tiene como fin obtener información y facilitar detalles a la persona o personas
que le están atendiendo.
Se confirmaran los datos del establecimiento registrados en la hoja de vida del comercio
en: Código Único, Razón Social, Nombre Comercial, Nit., Actividad Comercial, Tipo de
Sociedad, Dirección, Teléfono, a que Sistemas está afiliado, Entidades Adquirentes,
Nombres y Apellidos del Propietario.
Se solicitara como pruebas para verificación y confrontación, los comprobantes de venta,
facturas y otros documentos que soporten las operaciones que son objeto de
investigación; se solicitará el aporte de los mismos para determinar la validez de la
operación.
Se indagara por las personas que intervinieron en la operación para su respectiva
entrevista, con el fin de conocer pormenores de las transacciones, sobre la operación y
el procedimiento seguido en la venta.
Se revisará, verificará y confrontará la numeración de la papelería o comprobantes de
venta que tenga en uso el establecimiento, así como la papelería disponible, fecha de la
transacción contra la fecha de la factura y su valor.( Operación Manual )
Se comparan los datos de la factura tales como: beneficiario, dirección y teléfono contra
los comprobantes de venta, para determinar correspondencia con tarjetahabientes.
Toma de grafías de los vendedores que atendieron y participaron en las operaciones, y
cuando se considere necesario a los demás empleados del establecimiento.
Indagación de las personas que han recibido capacitación sobre la operación segura con
transacciones de tarjetas de crédito y débito.
GSR-MR-01 (19/02/2013) Version 3
21
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Se adelantaran los análisis y estudios grafológicos, documentológicos, del material
aportado.
Informe de resultados el cual contendrá un capítulo con la descripción en detalle del
reglamento las, Cláusulas, Numerales y Literales evidenciados en la investigación como
de incumplimientos a los reglamentos y/o contratos de afiliación de los comercios a los
Sistemas de Tarjetas y /o Entidades Financieras se deberá relacionar el reglamento de
cada uno de los sistemas de tarjetas.
4. COMITE DE RIESGO REGIONAL
4.1 CONFORMACION
Es el órgano encargado de atender prioritariamente los intereses de seguridad e
integridad en la industria de los medios de pago, intereses que no solamente cuentan
en favor de las entidades administradoras de sistemas de pago, sistema de marca y/o
entidades financieras, sino que proyectan sus beneficios al mercado, al sector
comercio y a la comunidad general.
No es un órgano decisorio sino de análisis, coordinación y consultivo.
Hacen parte de dichos Comité CREDIBANCO, REDEBAN MULTICOLOR, BANCO
DE OCCIDENTE y BANCO DAVIVIENDA, a través de los funcionarios de perfil
técnico debidamente facultados para participar en el mismo.
Las evaluaciones de riesgo o cumplimiento y recomendaciones desarrolladas por
INCOCRÉDITO y que vayan a ser ventiladas dentro de dicho comité, se comunicarán
de manera previa a sus participantes y a las Entidades Financieras con interés directo
en la respectiva materia.
Tales evaluaciones contienen análisis y recomendaciones que no relevan a los
sistemas de pago y/o entidades financieras de efectuar su propio análisis y decidir su
línea de acción, ni les inhibe de separarse de dichos informes. No obstante el
carácter técnico de la actividad, es entendido que las ciencias forenses no constituyen
una ciencia exacta.
Efectuado el correspondiente análisis de casos y escuchadas las recomendaciones
de INCOCRÉDITO y de los pares técnicos que integran el comité, cada una de las
GSR-MR-01 (19/02/2013) Version 3
22
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
entidades afectadas con o sin asiento en el comité tomarán de manera autónoma sus
decisiones.
Las decisiones individuales tomadas por los representantes de Entidades Financieras
adquirentes y/o sistemas de tarjetas se enmarcarán en todo caso, dentro de las
relaciones contractuales y/o reglamentarias correspondientes.
La Entidad Administradora de Sistema de Pago y/o la Entidad que conforme a sus
reglamentos deba tomar las respectivas decisiones derivadas de los resultados de los
Procedimientos de Investigación adelantados por Incocrédito, informará a los otros
miembros del Comité, en desarrollo de las reuniones ordinarias, aquellas decisiones
que haya adoptado dentro del periodo comprendido entre la reunión anterior y la
reunión actual.
Las evaluaciones de riesgo y cumplimiento relacionadas con tarjetas o
Establecimientos de Comercio afiliados a American Express se comunicarán a
BANCOLOMBIA, la que tomará la decisión correspondiente.
El Manual de Riesgos de establecimientos constituye un instrumento regulador de las
actividades propias de los Comités de Riesgo Regionales y de las acciones operativas
encomendadas a INCOCREDITO en virtud de sus Estatutos, de la delegación
contenida en los contratos o reglamentos de afiliación, Reglamentos de Comercio y
del Contrato de Mandato suscrito con cada uno de los Sistemas de Tarjetas Crédito y
Débito y/o acordado en el marco de los acuerdos de servicios con las Entidades
Financieras o las Entidades Administradoras de Sistemas de Tarjetas, según el caso.
Con el fin de tener la mayor coordinación posible en las acciones operativas, se debe
tener en cuenta que los aspectos normativos y reglamentarios que contiene el
Manual, en concordancia con sus Políticas y Principios, son de obligatorio
acatamiento, tanto para quienes representan a los Sistemas de Tarjetas Crédito y
Débito y de las Entidades Financieras como para los funcionarios de INCOCREDITO.
4.2 FACULTADES
El Comité de Riesgo Regional tiene la función primordial de coordinar los análisis y
evaluaciones de las irregularidades y fraudes cometidos con el uso de las tarjetas y
del incumplimiento contractual de los Establecimientos que las admiten en sus
transacciones por ventas y servicios.
Por tal razón sus delegados, están
expresamente facultados para deliberar sobre los casos presentados a su
consideración, para analizarlos objetivamente y para valorar con verdadero criterio las
GSR-MR-01 (19/02/2013) Version 3
23
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
irregularidades, fraudes e incumplimientos implícitos en ellos, con el fin de poder
tomar, en forma responsable, las medidas pertinentes preventivas, correctivas que el
asunto amerite, aplicando los criterios planteados en este documento y teniendo en
cuenta los principios generales de la sana crítica, los principios que infunden este
Manual y las políticas trazadas para el desarrollo del mismo.
Se debe tener en cuenta a qué Sistemas de Tarjetas de Crédito y Débito se encuentra
afiliado el Establecimiento objeto de evaluación y análisis, para efectos de que sea
exclusivamente la Entidad Administradora de Sistema de Pago y/o Entidades
Financieras afectadas dentro del sistema, según el caso, quienes deliberan y toman la
decisión al respecto, sin que ello implique que los demás representantes de los
Sistemas de Tarjetas Débito y Crédito y Entidades Financieras, en el Comité, no
puedan compartir experiencias y aportar elementos de juicio sustanciales sobre el
caso.
INCOCREDITO, por su parte, está facultada para presentar a su consideración el o
los casos objeto de estudio y su función es la de suministrarle la información
suficiente que le permita tomar, en forma objetiva, la decisión a que haya lugar,
información que deberá estar soportada en el análisis de riesgo correspondiente.
Las Entidades Financieras, tanto Emisoras como Adquirentes, son responsables en
los términos de los Reglamentos Operativos de cada sistema de pagos y de la ley, de
prevenir y controlar el fraude que afecte su posición como emisor y/o como
adquirente, según el caso, y de evitar que la propia institución o el Sistema de Pago
sea utilizado como instrumento en el lavado de activos o en la financiación del
terrorismo.
En atención a lo anterior, las Entidades Financieras pueden adoptar las medidas que
hayan pactado en sus respectivos contratos bancarios o que estén previstas en los
Reglamentos Operativos de los Sistemas de Pago a los que pertenecen o con los que
tengan relación, tales como el bloqueo o cancelación de la cuenta de depósito, la
terminación del contrato de afiliación y/o contrato bancario donde se regule la relación
de aceptación, cuando sea parte en el mismo, o la solicitud de bloqueo temporal o
definitivo, entre otras medidas. La solicitud de bloqueo temporal o definitivo
procederá cuando la Entidad Financiera sea el único adquirente del respectivo
establecimiento de comercio, dentro de un Sistema de Pago o cuando exista pleno
consenso entre las Entidades Financieras que obren como adquirentes del
establecimiento de comercio en cuestión.
GSR-MR-01 (19/02/2013) Version 3
24
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
En el evento de que una entidad administradora de un Sistema de Pago de Bajo Valor
registre a través de sus mecanismos de monitoreo o por conducto de otros
participantes locales o internacionales, alarmas o noticias de fraudes o posible
fraudes o ataques, o cuando en las mismas condiciones tenga noticia de eventos que
puedan implicar un riesgo reputacional para el Sistema de Pago, podrá, en adición a
las medidas previstas en sus Reglamentos Operativos, proceder al bloqueo
preventivo o definitivo del código único, cuando las circunstancias del caso justifiquen
una reacción inmediata a nivel de Sistema, a juicio de la respectiva entidad
administradora del sistema de pago, todo lo cual se entiende sin perjuicio de las
cargas y obligaciones de las entidades financieras emisoras y/o adquirentes en
materia de la prevención y control del fraude y del control y prevención del lavado de
activos a las que se acaba de hacer
4.3 RESPONSABILIDAD BASICA DEL COMITE RIESGO REGIONAL:
Efectuar el análisis y la evaluación de las irregularidades y fraudes cometidos con el
uso de las tarjetas y el incumplimiento contractual de los Establecimientos que las
admiten en sus transacciones por ventas y servicios, de acuerdo con este Manual,
para que la Entidad Administradora de Sistema de Pago y/o la Entidad Financiera que
conforme a sus reglamentos tome la respectiva decisión.
4.4 REUNIONES
4.4.1 LUGAR Y PARTICIPANTES
Se llevarán a cabo en el lugar que para tal efecto señale INCOCREDITO y a ellas
asistirán por derecho propio y por parte de esta entidad, el Gerente Regional
quien actuará como Coordinador de la reunión y el subgerente de la Regional
quien ejercerá las funciones de Secretario.
Por parte de los miembros
permanentes por derecho propio del Comité, el representante legal de cada uno
de ellos o la persona debidamente designada para tal efecto. La persona que
asista por ellos a la sesión de un comité, se entenderá por este solo hecho,
facultado para tomar decisiones en nombre de la entidad correspondiente o para
comunicar las decisiones tomadas por la entidad responsable.
4.4.2. CLASES
ORDINARIAS: Se hace mensualmente, de acuerdo con la programación
aprobada, de acuerdo a calendario definido por el Comité.
GSR-MR-01 (19/02/2013) Version 3
25
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Las reuniones Ordinarias serán convocadas por INCOCREDITO de acuerdo con
la programación que apruebe el respectivo Comité de Riesgo Regional, mediante
escrito enviado al funcionario delegado por el miembro con asiento permanente
por derecho propio, y a las Entidades Financieras con interés específico en dicha
sesión a juicio de INCOCRÉDITO, con una anticipación 8 días.
EXTRAORDINARIAS: Por solicitud de alguno de sus miembros, estas reuniones
serán coordinadas por Incocrédito quien convocará indicando el lugar, fecha
(fuera de programación) y hora de la reunión con 5 días de anticipación. Se
tratará un tema concreto y especial.
5. CONSOLIDACION DE HECHOS QUE CONSTITUYEN IRREGULARIDADES,
FRAUDES
E
INCUMPLIMIENTO
CONTRACTUAL
POR
PARTE
DEL
ESTABLECIMIENTO QUE IMPLICAN LA APLICACION DE MEDIDAS.
5.1 Con el fin de describir en detalle cada uno de los hechos que constituye
irregularidades, fraudes e incumplimientos contractuales por parte del establecimiento
de comercio frente a cada uno de los reglamentos de los sistemas de tarjetas se
relacionan cada una de estas cláusulas descritas en forma detallada, así mismo
contiene la tabulación del incumplimiento para ser informada al Comercio, Entidad
Financiera y Sistemas de Tarjetas.
1. No asistencia al curso de capacitación impartido por la entidad adquirente y/o
el Sistema de Tarjetas de Crédito y Débito o por INCOCREDITO.
2. Rechazar en cualquier momento, en los procesos de facturación por ventas y
servicios, las tarjetas Crédito y Débito emitidos por las entidades financieras en el
país o en el exterior o cualquier otra que sea emitida por las entidades asociadas.
3. Realizar transacciones con tarjeta sin que esté presente el tarjetahabiente o
sin que éste exhiba debidamente sus documentos de identidad. (Ventas en
ámbito Presencial)
4. No cotejar plenamente los datos del plástico presentado con los del
documento de identidad que se exhibe.
5. No solicitar la autorización a la Entidad Financiera y/o el Sistema de Tarjetas
Crédito y Débito para cada transacción o, cuando aquélla es solicitada, no escribir
GSR-MR-01 (19/02/2013) Version 3
26
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
en la casilla correspondiente del pagaré el número de la referencia de dicha
autorización.
6. No Custodiar, guardar ni conservar los equipos y bienes entregados a través
de contrato de Comodato o préstamo de uso.
7. Aceptar, como pago por sus ventas, comprobantes que presenten los clientes
con la información de la tarjeta ya impresa para obviar la presentación de ésta.
8. No exigir que el comprobante sea firmado por el tarjetahabiente quien deberá
hacerlo en presencia del comerciante, o su funcionario delegado, escribiendo
también el número de su documento de identidad.
9. Trasladar al tarjetahabiente valores que le corresponde asumir al
Establecimiento, ya sea por disposición legal como es el caso de impuestos,
gravámenes, contribuciones y similares, cobrar o trasladar la comisión al
Tarjetahabiente por acuerdo contractual como lo es el valor de la comisión
pactada por la utilización de la tarjeta como medio de pago.
10. Aceptar o Efectuar ventas con tarjetas cuyo plazo de vigencia o cuya
cancelación o extravío o retención hayan sido comunicados que no estén
vigentes.
11. Aceptar tarjetas que presenten alteraciones, enmendaduras, adulteraciones,
falsificaciones, con montaje alteracionesen la banda de la firma, robadas,
extraviadas o cualquier anomalía.
12. No retener las tarjetas cuando así se le indique el Banco Emisor o el Sistema
de Tarjetas Crédito y Débito respectivo a través de cualquier medio o no informar
sobre la retención efectuada.
13. Facilitar a terceros la placa imprinter, la papelería o cualquier otro elemento
que le ha sido asignado para uso exclusivo del Establecimiento.
14. Efectuar avances en efectivo, cambiar cheques, descontar o garantizar
operaciones exigiendo o permitiendo su respaldo con pagarés o comprobantes de
tarjetas emitidas por los Sistemas de Tarjetas Crédito y Débito.
15. No conservar durante el término previsto en los respectivos contratos o
reglamentos, las copias de los comprobantes o pagarés generados por las
GSR-MR-01 (19/02/2013) Version 3
27
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
transacciones, ya sean las realizadas con máquina imprinter o las efectuadas a
través de medios electrónicos de transferencias de fondos y con el fin de tenerlas
a disposición de los Sistemas de Tarjetas Crédito y Débito, de las entidades
financieras en ellos asociadas y de INCOCREDITO.
16. No colaborar oportuna y eficazmente con su Entidad Financiera o el Sistema
de Tarjetas Crédito y Débito y con INCOCREDITO, en las visitas Auditorías
administrativas, investigaciones que se inicien y adelanten por motivos de
irregularidades o fraudes con tarjetas cometidos en el Establecimiento.
17. No informar oportunamente a su Entidad Financiera y/o al Sistema de
Tarjetas Crédito y Débito o a INCOCREDITO, las novedades que ocurran en su
Establecimiento respecto al cambio de propietario, representación legal,
administrador, dirección de su establecimiento o a reformas sociales de su
entidad.
18. No aplicar las medidas y características de seguridad de las tarjetas
(Holograma, logo de la franquicia, monograma, panel de firma, 4 primeros dígitos
del número de la cuenta grabado en la tarjeta con los 4 dígitos impresos encima o
debajo del número de cuenta. No Verificar que el número de la tarjeta (4 últimos)
coincida con el que aparece en el display del datáfono una vez haya deslizado la
tarjeta por el mismo.
19. Incumplimiento a las obligaciones contraídas por el comercio en los contratos
de ventas especiales.
20. Incumplimiento de las cargas y obligaciones contraídas por el comercio en los
contratos o acuerdos de afiliación y/o en los reglamentos que rigen su
permanencia dentro del sistema de pagos correspondiente, a los que se entiende
ha adherido.
21. Hacer adaptaciones o cualquier tipo de prueba o intervención, y no
Responder por los daños del equipo diferentes al normal uso del mismo, no
permitir la inspección de los mismos.
22. La inclusión del Afiliado, sus directores o administradores, como sospechosos
o responsables de actividades de lavado de activos en los listados de la OFAC, o
en reportes de autoridades locales competentes.
GSR-MR-01 (19/02/2013) Version 3
28
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
23. No guardar absoluta reserva sobre la información que almacene del
tarjetahabiente en desarrollo del contrato; para tales efectos a) no cumplir con
Almacenar todos los datos del tarjetahabiente en forma cifrada en un área
limitada al personal autorizado del AFILIADO, b) No limitar el acceso a la
plataforma de la computadora. d) No Proteger el acceso a servidores de archivo,
e) No separar los datos de carácter comercial sobre los tarjetahabientes de la
demás información.
5.2. PARAMETROS A TENER EN CUENTA PARA LA APLICACIÓN DE LAS
MEDIDAS DE ACUERDO A MODALIDAD DE FRAUDE COMO INCUMPLIMIENTO
A LA ACEPTACIÓN DE TARJETAS QUE PRESENTEN ALTERACIONES,
ENMENDADURAS, ADULTERACIONES, FALSIFICACIONES, CON MONTAJE,
ALTERACIONES EN LA BANDA DE LA FIRMA, ROBADAS, EXTRAVIADAS O
CUALQUIER ANOMALÍA.
5.2.1 TIPOS DE TRANSACCIONES:
Son formas de utilización y pago con tarjeta en los cajeros y establecimientos
afiliados en donde se acude a la utilización de diferentes dispositivos como
Datáfono Inteligente, y Maquina Imprinter.
Para la clasificación de las modalidades de fraude con tarjeta existen tres tipos de
transacciones: Transacciones manuales, Transacciones electrónicas y
Transacciones sin la presencia del plástico
1. TRANSACCIONES MANUALES:
Aquellas que se realizan haciendo uso de la máquina imprinter del
establecimiento y de un comprobante único de venta en donde es necesaria la
presencia del plástico.
2. TRANSACCIONES ELECTRONICAS:
Aquellas que se realizan haciendo uso de un datáfono el cual arroja un
comprobante electrónico, que debe ser firmado por el titular, luego de validar la
información contenida en la banda magnética de la tarjeta presentada.
GSR-MR-01 (19/02/2013) Version 3
29
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
3. TRANSACCIONES SIN LA PRESENCIA DEL PLÁSTICO:
Aquellas que se realizan haciendo uso de información privilegiada que se
suministra por diferentes fuentes, donde no se exige la presencia del titular,
logrando validar una transacción comercial.
Este tipo de transacciones se puede presentar en:
Telemercadeo
Por Internet
Otras modalidades de venta no presencial (ventas telefónicas, por celular,
domiciliaciones, etc.).
5.2.2 CLASIFICACIÓN GENERAL
1. FRAUDE REALIZADO CON TARJETA AUTÉNTICA
Aquel que se realiza presentando un plástico original en el comercio.
1.1 tarjeta hurtada o extraviada
1.2 autoría o coautoria del tarjeta habiente
1.3 tarjeta emitida con documentos falsos
1.4 fraude con tarjeta después de ser devuelta por el titular
1.5 doble facturación
1.6 fraude con tarjeta gemela
2. Fraude realizado con tarjeta alterada:
2.1 tarjeta alterada en el realce
2.2 tarjeta alterada en la banda magnética
3. Fraude realizado con tarjeta integralmente falsa:
4. Fraude realizado sin la presencia del plástico:
4.1 Telemercadeo
4.2 Comprobante previamente elaborado
4.3 Internet
1.
FRAUDE REALIZADO CON TARJETA AUTÉNTICA
1.1 TARJETA HURTADA O EXTRAVIADA
GSR-MR-01 (19/02/2013) Version 3
30
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
El uso de la tarjeta extraviada antes de su bloqueo en el centro de
autorizaciones configura el fraude, puede presentarse una cédula auténtica o
una cédula falsa para la transacción.
La detección en el comercio dependerá en gran parte de la rapidez en el
bloqueo y de la verificación de datos como la edad, la estatura, y morfología
de quien se presenta al comercio comparado con la cédula de ciudadanía. Es
una modalidad que no es fácil responsabilizar al comercio
UTILIZACIÓN INDEBIDA (AUTORIA DEL TARJETA HABIENTE)
Si es el mismo tarjetahabiente quien la utiliza y luego niega la transacción se
denomina Autoría del tarjeta habiente o si la presta a un tercero con la
intención de cometer el fraude se trata de utilización indebida; generalmente
se presenta con cédula auténtica.
En algunos casos se presenta la auto falsificación, o mutación de la propia
firma del titular para luego negar la transacción.
Cuando se presta la tarjeta a un tercero generalmente se trata de imitar la
firma del titular para validar la transacción.
1.3 TARJETA EMITIDA CON DOCUMENTOS FALSOS
La tarjeta se obtiene mediante el suministro a la entidad emisora de
documentos e información de un ciudadano real (suplantación de persona) o
inexistente.
En esta modalidad se hacen abonos a la tarjeta para generar saldos
favorables; para que se configure el fraude debe existir la reclamación de la
entidad financiera.
1.4 FRAUDE CON TARJETA DESPUES DE SER DEVUELTA POR EL
TITULAR
Si no se siguen los procesos adecuados de control, custodia del plástico, y
destrucción del mismo, se facilita la utilización dolosa de la misma por el
funcionario que la recibe ya sea de la entidad financiera o del proveedor.
GSR-MR-01 (19/02/2013) Version 3
31
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
1.5 DOBLE FACTURACIÓN
Se comete directamente en el establecimiento cuando de manera intencional
al cancelar un servicio se imprimen otros comprobantes (manual o por
datafono) con el desconocimiento del tarjeta habiente.
En los comprobantes adicionales se imita la firma del titular, si es
comprobante electrónico aparecerán en algunos de ellos los datos del titular
como número de cédula, nombres y apellidos.
En la mayoría de los casos se trata de transacciones simultáneas, que se
pueden verificar observando el número consecutivo de la papelería, y la fecha
y hora de la transacción.
1.6 FRAUDE CON TARJETA GEMELA
Esta modalidad aunque poco frecuente se presenta cuando se expiden dos
tarjetas de idéntica información por una entidad autorizada y solo una de ellas
se entrega al titular mientras que la otra es utilizada para cometer fraude. La
tarjeta que se duplica y que se presenta al comercio es autentica en todas su
partes.
2. FRAUDE REALIZADO CON TARJETA ALTERADA:
Aquel que se comete con un plástico auténtico, emitido por una entidad
financiera y al cual se le modifica alguna de sus partes correspondientes a la
información allí contenida bien sea en su alto o bajo relieve, o en la banda
magnética.
2.1 TARJETA ALTERADA EN EL REALCE
Generalmente son utilizadas en transacciones manuales, con plásticos
originales deteriorando además la banda magnética para obligar al comercio a
que se realice con la máquina imprinter.
Cualquier señal de manipulación del plástico como variación en la forma de
los dígitos, pérdida de brillo del holograma, opacidad son indicios primarios de
una tarjeta adulterada.
Se puede presentar acompañada de una cédula Falsa o Auténtica.
GSR-MR-01 (19/02/2013) Version 3
32
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
2.2 TARJETA ALTERADA EN LA BANDA MAGNETICA
Aquellos que se realizan a través de datáfonos o de cajeros automáticos
utilizando plásticos en cuya banda magnética han grabado información de una
tarjeta activa. La información puede ser adicionada en la banda magnética de
un plástico, o al borrar y adicionar información en la banda magnética de una
tarjeta debito o crédito auténtica.
Mediante el copiado o grabado de información se comete el fraude que puede
ser además en tarjetas con falsificación integral.
El documento de identificación presentado puede ser falso o auténtico
3. FRAUDE CON TARJETA INTEGRALMENTE FALSA
Aquel en el que se utiliza un soporte de características similares a los
plásticos emitidos por las entidades financieras el cual es impreso, grabado y
codificado con información privilegiada, simulando una tarjeta expedida por
una entidad financiera.
Estas tarjetas son elaboradas en su totalidad por los estafadores sometiendo
el plástico a procesos de impresión y realce de la información, y tiene como
característica la falta de nitidez, de definición de color y ausencia de textos
microimpresos en su mayoría.
La tarjeta falsa integralmente puede presentarse junto con un documento
auténtico o uno falso.
Los tres primeros grupos de la clasificación global (tarjeta auténtica, tarjeta
alterada y tarjeta integralmente falsa) son utilizados en transacciones de tipo
manual, y electrónica.
4. FRAUDE REALIZADO SIN LA PRESENCIA DEL PLÁSTICO
4.1. Con las nuevas tecnologías de la comunicación es posible acceder a
productos y servicios a través de la red pública de Internet o través de la línea
telefónica para lo cual basta hacer uso de información privilegiada como
número de cuenta o número de tarjeta, fecha de validez, etc. (fraude por
telemercadeo).
GSR-MR-01 (19/02/2013) Version 3
33
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
4.2. En operaciones manuales otra modalidad ocurre con los comprobantes
previamente diligenciados que se presentan en los establecimientos y la
impronta que se observa en el comprobante se realiza en lugar diferente al
punto de venta proveniente de un elemento distinto a una tarjeta de crédito
legalmente emitida (placas metálicas, esquelas, licencias de tránsito, carnets
de identificación, etc.), incluida la firma del supuesto tarjetahabiente, para ser
posteriormente presentado al establecimiento, y solicitar la autorización
respectiva diligenciado la demás información requerida.
Esta modalidad se define como aquella en la que el comprobante que
presenta el estafador en el establecimiento con datos ya impresos de una
tarjeta activa, utilizando para elaborarlo elementos distintos al plástico original.
Se presenta en algunos casos la falsificación por recorte o fragmentación en
la que se organizan y se arman fragmentos de plásticos originales sobre un
soporte para unirlos con información válida de una tarjeta de crédito, y
posteriormente se imprime sobre un comprobante de venta manual el
resultado final para luego presentarlo al establecimiento y solicitar sobre este
la autorización respectiva.
6. MEDIDAS PREVENTIVAS Y SANCIONATORIAS
6.1 CRITERIOS PARA LA TOMA Y APLICACIÓN DE MEDIDAS Y ACCIONES
Prima ante todo lo preceptuado en los artículos 22 a 25 de la Ley 222 de 1995
(inserta al nuevo Código de Comercio), que contemplan las facultades y
restricciones, deberes y responsabilidades de los Administradores (liquidador,
representante legal, factor, miembros de juntas o consejos directivos y quienes de
acuerdo con los estatutos ejerzan o detenten esas funciones).
En segundo lugar se deberán aplicar los siguientes criterios:
•
CULPA GRAVE (DOLO) DEL PROPIETARIO DEL ESTABLECIMIENTO: El
propietario del Establecimiento actúa de mala fe, con intención de defraudar.
•
CULPA DEL PROPIETARIO DEL ESTABLECIMIENTO: El propietario del
Establecimiento ha sido negligente en el cumplimiento de sus obligaciones.
GSR-MR-01 (19/02/2013) Version 3
34
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
• CULPA GRAVE (DOLO) DE LOS EMPLEADOS DEL ESTABLECIMIENTO:
Los empleados del Establecimiento han actuado de mala fe, con intención de
defraudar.
• CULPA DE LOS EMPLEADOS DEL ESTABLECIMIENTO: Los empleados de
Establecimiento han actuado negligentemente en el cumplimiento de sus
obligaciones.
• REGISTRO HISTORICOS DEL ESTABLECIMIENTO Y/O SU PROPIETARIO:
En caso de que el Establecimiento haya autorizado expresamente a los
Sistemas de Tarjetas Crédito y Débito, a las Entidades Financieras vinculadas a
los mismos o a esta Asociación para consultar datos, éstos deben tenerse en
cuenta para la agravación o atenuación del hecho.
• REINCIDENCIA: Si con anterioridad el Establecimiento ha incurrido en alguna
irregularidad o en incumplimiento de sus obligaciones contractuales.
•
CUANTIA: Monto de los dineros involucrados en el hecho.
•
CLASE DE ESTABLECIMIENTO: Hace relación a su actividad comercial,
importancia y tiempo de vinculación contractual con el Sistema de Tarjetas
Crédito y Débito y/o Entidad Financiera.
6.2 CLASES DE MEDIDAS Y ACCIONES
6.2.1 MEDIDAS PREVENTIVAS
1. BLOQUEO PREVENTIVO
Esta medida consiste, como su nombre lo indica, en el bloqueo que efectúa
preventivamente el Sistema de Tarjetas Crédito y Débito y/o la Entidad
Financiera Adquirente, según el caso, al Establecimiento con el fin de
impedirle que realice operaciones con tarjetas.
Está dirigida a neutralizar potenciales riesgos que, de no contrarrestarse,
podrían conducir a una materialización del fraude o a un incremento en el
monto del mismo, si ya fue detectado. Es una acción esencialmente temporal
y con ella se busca ganar tiempo para proseguir, en forma adecuada, la
correspondiente investigación y neutralizar cualquier posibilidad de nuevas
irregularidades.
GSR-MR-01 (19/02/2013) Version 3
35
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
La medida preventiva del Bloqueo se tomará por parte de INCOCREDITO
siempre y cuando en el proceso inicial de investigación se haya establecido
razonablemente la ocurrencia o riesgo de ocurrencia de un posible fraude.
En los casos relacionados con los comercios en general, inmediatamente se
detecte una alerta de fraude potencial, la Gerencia Regional de
INCOCREDITO, deberá notificar, dentro del término de la distancia, la
situación de alerta a los Sistemas de Tarjetas Crédito y Débito en los cuales el
Establecimiento se encuentra inscrito y a las Entidad Financieras Adquirentes
con las que tenga relación. Dichas entidades deberán efectuar de manera
oportuna y diligente las actividades de evaluación de la correspondiente
alerta, dando una respuesta por la misma vía dentro de las doce horas
corridas, contadas desde el momento del envío por correo electrónico de la
solicitud correspondiente. Surtido este período de doce horas sin respuesta,
se entiende que no hay objeción alguna por parte del Sistema de Pago y/o
Entidad Financiera Adquirente a la gravedad de la alerta y en consecuencia
INCOCRÉDITO debe tramitar por cuenta del Sistema de Pago y/o la Entidad
Financiera Adquirente la solicitud de bloqueo correspondiente. Cuando
recibido el consentimiento explícito o tácito para adelantar el bloqueo por
parte de alguna entidad, el mismo no pueda aplicarse por no existir el
consenso necesario entre otras entidades que mantengan relación con el
respectivo comercio, INCOCRÉDITO informará por correo electrónico a la
entidad interesada en el bloqueo de esta imposibilidad, para efectos de que
adopte, si lo estima pertinente, las medidas alternativas a su disposición para
afrontar el riesgo de fraude.
INCOCREDITO presentará, en la siguiente sesión del Comité de Riesgo
Regional, el correspondiente análisis del caso con el fin de que sean los
mismos Sistemas de Tarjetas Crédito y Débito y Entidades Adquirentes los
que asuman directamente el asunto y decidan sobre el mismo.
De igual manera, si solicitado el Bloqueo se recibieren respuestas diversas
por parte de los Sistemas Tarjetas Crédito y Débito y las Entidades
Financieras Adquirentes, aprobando unos el bloqueo y negándolo otros,
INCOCREDITO tampoco procederá a bloquear preventivamente al
Establecimiento pero hará lo propio respecto del asunto, presentándolo en la
siguiente reunión del Comité Riesgo Regional con el fin de que allí se decida
sobre el caso. Las Entidades Financieras Adquirentes tienen la posibilidad de
bloquear o cancelar la cuenta de depósito del Establecimiento de Comercio,
dentro de los términos y condiciones que haya acordado con el respectivo
Establecimiento.
GSR-MR-01 (19/02/2013) Version 3
36
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
En caso de que la solicitud hecha por INCOCREDITO para bloquear
preventivamente los códigos de operación del establecimiento, fuere
respondida afirmativamente por todos los Sistemas de Tarjetas Crédito y
Débito y/o por las Entidades Financieras Adquirentes, según el caso,
INCOCREDITO procederá a bloquear el Código Único al establecimiento,
para cuyo efecto la Gerencia Regional reportará la novedad correspondiente
al área de Código Único de la Dirección de Operaciones.
Una vez capturada dicha novedad, el área de Código Único la reportará a los
Sistemas, y Entidades Financieras según el procedimiento establecido para
tal fin y éstos, en consecuencia, se obligan a aplicar la medida.
A INCOCREDITO le corresponderá comunicar al Establecimiento la medida
adoptada procediendo, cuando así lo considere conveniente, a retirar los
implementos suministrados para la facturación (placa imprinter, papelería).
De igual manera, la situación en que queda el establecimiento respecto del o
de los Sistemas de Tarjetas Crédito y Débito y/o Entidades Adquirentes a los
que esté afiliado, será registrada como novedad del comercio.
Una vez bloqueado el Establecimiento, se aplicara el procedimiento
contemplado para el debido proceso contenido en este manual para cada uno
de los sistemas de tarjetas
La entrevista como etapa de desarrollo de la investigación tiene por objetivo,
entre otros, el de obtener mayor información sobre el caso y lograr que el
Establecimiento haga la devolución de los dineros involucrados en el fraude y,
para ello, se debe direccionar al Establecimiento para que consigne, en la
cuenta indicada por cada uno de los Sistemas de Tarjetas Crédito y Débito y/o
Banco Adquirente el monto de dinero correspondiente a la o las transacciones
fraudulentas en caso de que no fuere posible hacer efectiva la figura de la
COMPENSACION, pactada en los distintos contratos bancarios.
Una vez efectuada la consignación o descontados los dineros por la vía de la
COMPENSACION o recuperados por cualquier otro medio, el Establecimiento
deberá hacer llegar a INCOCREDITO fotocopia del correspondiente
comprobante y ésta se lo informará al respectivo Sistema de Tarjetas Crédito
y Débito. y/o Entidad Adquirente.
GSR-MR-01 (19/02/2013) Version 3
37
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Finalmente, si el Sistema de Tarjetas Crédito y Débito y/o la Entidad
Financiera Adquirente decide condonar al Establecimiento la obligación de
devolución de los dineros en mención o negociar directamente la
recuperación del dinero, se obliga a poner en conocimiento de tal hecho a
INCOCREDITO, mediante comunicación escrita, con el fin de que obre en el
expediente que contiene la investigación adelantada y se registre tal novedad.
2. LEVANTAMIENTO DEL BLOQUEO PREVENTIVO
En muy contadas y excepcionales situaciones, podrá ocurrir que alguno de los
miembros facultados de los Sistemas de Tarjetas Crédito y Débito y/ Entidad
Financiera Adquirente tome la determinación de levantar la medida del
bloqueo del Código Único a determinado Establecimiento y pretenda que tal
determinación se haga efectiva antes de que se pronuncie en la reunión de
Comité de Riesgo Regional respectivo para estudiar el caso y pronunciarse
sobre el mismo.
De presentarse esta eventualidad, deberá hacerse llegar a INCOCREDITO
solicitud escrita originada en el o los Sistemas de Tarjetas Crédito y Débito y/o
Banco Adquirente que han tomado tal decisión, solicitud que deberá,
igualmente, llevar la firma del funcionario que tomó la determinación del
levantamiento del bloqueo, quedando bajo su exclusiva responsabilidad el
hecho de que, por el desbloqueo, ocurran nuevas irregularidades y se
incremente el fraude.
Presentada la solicitud en tal sentido, INCOCREDITO deberá proceder a
informar por escrito, vía fax, o correo electrónico a los demás Sistemas de
Tarjetas Crédito y Débito y/o Bancos Adquirentes que pudieran resultar
afectados.
Finalmente, esta solicitud de levantamiento del Bloqueo Preventivo hecha
“extra comité” por uno o varios de los Sistemas de Tarjetas Crédito y Débito
asociados y/o Bancos Adquirentes, no obliga en modo alguno a los demás
Sistemas a asumirla hasta tanto no se tome la determinación en reunión del
Comité Regional correspondiente y se les comunique en debida forma, de
modo que se permita a tales sistemas de pago adoptar las medidas de
mitigación del riesgo que estimen conducentes.
GSR-MR-01 (19/02/2013) Version 3
38
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
6.2.2 MEDIDAS CORRECTIVAS
La totalidad de los casos relacionados con establecimientos en donde haya
ocurrido alguna irregularidad en la utilización de las tarjetas y/o estén siendo
investigados por incumplimiento de obligaciones contractuales o por
presuntas situaciones de fraude (hayan sido o no bloqueados
preventivamente), deberán ser llevados al Comité de Riesgo Regional para
efectos de que los delegados facultados de los Sistemas de Tarjetas Crédito y
Débito y las Entidades Financieras Adquirentes afectadas los analicen y
valoren, tomen las decisiones correspondientes respecto a las medidas y
acciones correctivas por aplicar.
Para efectos de que los miembros autorizados del Comité tengan información
suficiente en relación con los casos que van a ser puestos a su consideración
en la reunión correspondiente, el respectivo Gerente Regional de
INCOCREDITO, deberá enviar, con ocho (8) días de antelación a la fecha de
su realización, un documento en el que se relacionen los casos por analizar,
el fraude o los fraudes cometidos, el incumplimiento contractual, el nivel de
riesgo al que se ha llegado, etc. y se suministren todos los demás datos que
sean pertinentes al tema.
Las medidas que a continuación se enumeran tienen la característica propia
de ser autónomas e independientes unas de otras y, por lo tanto, cada una
de ellas podrá tomarse con base en motivos y razones propias y específicos y
aplicarse sin que necesariamente exija cualquiera de las demás como prerequisito.
1. COMUNICACIÓN PREVENTIVA
Esta medida consiste en una comunicación escrita que la Gerencia Regional
de INCOCREDITO, según el caso, envía al Establecimiento de Comercio en
donde se presentó la irregularidad, el fraude o el incumplimiento contractual
haciéndole un llamado de atención sobre la anomalía presentada y
manifestándole la necesidad y obligatoriedad de que su propietario,
administrador, representante legal y las personas que realizan las
operaciones con tarjetas asistan, dentro de un término no superior a treinta
(30) días hábiles siguientes, a un curso de capacitación obligatoria.
Si las mencionadas personas no asisten al curso de capacitación, se llevará el
caso a la siguiente reunión del Comité de Riesgo Regional con el fin de que
éste lo considere y decida qué medidas se toman o qué acciones se han de
seguir respecto al Establecimiento amonestado.
GSR-MR-01 (19/02/2013) Version 3
39
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Toda Comunicación Preventiva deberá ser comunicada a los Sistemas de
Tarjetas Crédito y Débito y Bancos Adquirentes.
De todas maneras, INCOCREDITO deberá adelantar las gestiones necesarias
con el fin de lograr el reintegro de los dineros comprometidos a raíz de la
irregularidad o fraude y del resultado de esta labor informará a los Sistemas
de Tarjetas Crédito y Débito y a las Entidades Financieras Adquirentes en la
siguiente reunión del Comité Regional u Operativo, según el caso.
2. SUSPENSION PROVISIONAL
Esta medida correctiva provisional consiste en la prohibición por parte del
Sistema de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente,
según el caso, al Establecimiento, para que siga facturando sus ventas y
servicios con tarjetas y, para cuyos efectos, el mismo Sistema de Tarjetas
Crédito y Débito y/o la Entidad Financiera Adquirente, según el caso, decide
bloquear sus códigos o cuenta de depósito mantenerlos bloqueados si ya lo
estaban preventivamente.
La medida correctiva se aplicará cuando los integrantes de los sistemas y/o
entidades Financieras afectadas en el Comité de Riesgo Regional así lo
decidan en virtud del informe presentado por Incocrédito, respecto a que se
ha comprobado no sólo el fraude o la irregularidad riesgosa sino la poca o
ninguna colaboración del Establecimiento para subsanarla o para tomar las
acciones necesarias que permitan contrarrestarla.
La decisión de sancionar, aplicando o manteniendo el bloqueo, la tomarán los
representantes de los Sistemas de Tarjetas Crédito y Débito y/o de las
Entidades Financieras Adquirentes afectadas, según el caso, en la reunión de
Comité de Riesgo Regional. La Gerencia Regional de INCOCREDITO, será
la encargada de comunicar la medida al Establecimiento. INCOCREDITO
estará facultada, además, para retirar de las instalaciones del Establecimiento
los implementos que a éste le fueron asignados, tal como se mencionó en la
medida de Bloqueo Preventivo.
Cuando se tome esta medida de Suspensión Provisional y el Establecimiento
ya estuviere bloqueado preventivamente y se le hubiere comunicado tal
decisión, no será necesario generar una nueva comunicación para hacerle
conocer la SUSPENSIÓN PROVISIONAL, salvo que se considerare necesario
emitir una comunicación en tal sentido.
GSR-MR-01 (19/02/2013) Version 3
40
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
La Gerencia Regional de INCOCREDITO, una vez tomada la decisión de
Suspensión Provisional, reportará la novedad correspondiente al área de
Código Único y ordenará que se haga el registro respectivo en el Sistema de
Información de INCOCREDITO.
Si el Establecimiento reintegra los valores o soluciona el problema con el o los
Sistemas de Tarjetas Crédito y Débito y/o Entidades Financieras adquirentes
afectado o afectados, deberá enviar a INCOCREDITO una solicitud para que
le sea levantada la medida, adjuntando copia de la consignación del dinero
correspondiente al monto neto de la transacción irregular. El asunto se
presentará al Comité para las respectivas consideraciones y decisiones.
La decisión de levantamiento de la Suspensión Provisional igualmente será
reportada como novedades a las áreas de Código Único y Sistema de
Información de INCOCREDITO.
La novedad de cambio de estado reportada al área de Código Único será
informada a los Sistemas de Tarjetas Crédito y Débito a través de medio
magnético, según el procedimiento establecido para ello.
Para efectos de manejar el tema en los Comités, deberá tenerse en cuenta,
en todos los casos y como consideración básica para el levantamiento de la
medida, el concepto de riesgo, el cual debe primar siempre
independientemente de si el establecimiento consigna o no el dinero
involucrado en la defraudación.
Por eso es importante que los documentos que se lleven de soporte al Comité
respecto de Establecimientos bloqueados por irregularidades o relacionados
con situaciones de fraude o incumplimientos contractuales, contengan
implícito el análisis de riesgo
En todos y cada uno de los casos, así como una propuesta de medida a
aplicar al establecimiento.
3. TERMINACION DE LA AFILIACIÓN
ESTABLECIMIENTO DE COMERCIO.
O
INSCRIPCIÓN
DEL
Consiste en la decisión de dar por terminada la afiliación del Establecimiento
de Comercio a un Sistema de Tarjetas Crédito y Débito, por parte de la
GSR-MR-01 (19/02/2013) Version 3
41
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Entidad Administradora del Sistema de Pago y/o por parte de la Entidad
Financiera Adquirente.
Es una medida extrema a la que se llega, ya sea por la magnitud e
implicaciones del fraude comprobado, ya por la situación insuperable de alto
riesgo en el modus operandi con las tarjetas de crédito o débito y/o por los
incumplimientos contractuales.
La decisión de aplicar esta medida definitiva se puede tomar con base en tres
situaciones distintas:
• Cuando la Entidad Financiera Adquirente sea quien afilie al
Establecimiento de Comercio y así lo decida en el marco del contrato,
acuerdo o reglamento correspondiente.
• Cuando exista una relación directa de afiliación entre el Establecimiento
de Comercio y la Entidad Administradora del respectivo Sistema de Pago y
el Sistema de Pago así lo decida en desarrollo del contrato, acuerdo o
reglamento correspondiente.
• Cuando sin existir una relación directa de afiliación entre el
Establecimiento de Comercio y la Entidad Administradora del Sistema de
Pago, el Establecimiento de Comercio haya adherido al Reglamento de
Comercio que regula la permanencia del mismo en el respectivo Sistema y
la Entidad Administradora decide cancelar la matrícula de dicho
establecimiento en desarrollo de las facultades que se haya reservado en
el respectivo Reglamento.
La terminación puede fundarse en el ejercicio de la facultad unilateral general
de terminación de la relación o en una causal objeto de motivación especial.
Un Sistema de Tarjetas Crédito y Débito o Entidad Financiera Adquirente que
envíe a un funcionario que participe en la toma de la decisión, no la puede
desconocer fundada en la supuesta falta de poderes o facultades del mismo.
Así mismo, un Sistema de Pago o Entidad Financiera Adquirente que se
margine de la toma de decisiones o no aplique las medidas objeto de
acuerdo, asume la gravedad del riesgo o la eventualidad de nuevas
irregularidades y/o fraudes.
La responsabilidad exclusiva por tales
eventualidades futuras recaerá en el Sistema de Tarjetas Crédito y Débito o la
GSR-MR-01 (19/02/2013) Version 3
42
MANUAL PARA EL CONTROL DE RIESGOS
EN ESTABLECIMIENTOS
Entidad Financiera Adquirente que no participó o que no implementó las
acciones acordadas.
7. SOLICITUD DE NUEVA AFILIACION:
Cuando un Establecimiento al que se le hubiere aplicado la medida definitiva de
Terminación Unilateral del Contrato, considere que han mejorado sus condiciones en
forma sustancial y solicite nueva afiliación, el estudio, decisión y criterio para fijar el
tiempo y condiciones para recibirla, será potestad única y exclusiva de la Entidad
Financiera y/o Sistema de Tarjetas.
8. MONITOREO Y SEGUIMIENTO
Si el Sistema o Sistemas de Tarjetas Crédito y Débito y/o la Entidad Financiera
Adquirente, según el caso, con los que tiene contrato el Establecimiento sancionado o al
que se le aplicó la medida del bloqueo preventivo, deciden levantar la medida y
simplemente amonestar al Establecimiento en mención, asumirán la responsabilidad de
monitorear o hacer seguimiento a las operaciones con tarjeta que allí se realizaren, por
lo menos durante los tres (03) meses siguientes a la fecha en que fue tomada la decisión
de levantamiento de la medida.
INCOCREDITO, por su parte, deberá efectuar las correspondientes visitas de auditoría
durante el mismo período, con el fin de tener conocimiento de causa, no sólo para rendir
el informe sobre las operaciones ya mencionadas sino para estar en condiciones de
hacer las sugerencias y recomendaciones pertinentes.
El procedimiento contenido en este Manual se aplicará en general a todos los comercios
afiliados a los Sistemas de tarjetas débito y crédito y/o Entidades Financieras,
Adquirentes antiguos y nuevos que posean Código Único.
DISTRIBUCION Y PUBLICACION DEL MANUAL DE RIESGOS: Gerencia General,
Gerencia de Seguridad Gerencia Comercial y de Mercadeo, Gerencia Administrativa,
Dirección de Apoyo Preventivo, Gerencias Regionales, Dirección de Operaciones,
Sistemas, Gestión de Calidad, Sistemas de
Tarjetas, Entidades Financieras,
Establecimientos de Comercio.
GSR-MR-01 (19/02/2013) Version 3
43