MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS INDICE 1. ASPECTOS GENERALES 1.1. Objetivo 1.2 Soporte Legal 1.3 Principios 1.4 Políticas 1.5 Definición de algunas expresiones o términos utilizados. 1.6 Alcance de las medidas y Acciones. 2. SOPORTE LEGAL DE INCOCREDITO CONTENIDO EN LAS CLAUSULAS DE LOS REGLAMENTOS O CONTRATOS DE AFILIACION DE COMERCIOS A SISTEMAS DE TARJETAS Y/O ENTIDADES FINANCIERAS. 2.1 Redeban Multicolor S.A. y Banco de Occidente (Credencial). 2.2. Credibanco 2.3 Banco Davivienda Diners 2.4 American Express 3. EL DEBIDO PROCESO EN LA INVESTIGACION Y/O AUDITORIA En los procesos de investigación, Auditorias por fraude e incumplimientos contractuales. 3.1 3.2 3.3 3.4 3.5 Credibanco Redeban Multicolor y Credencial Banco de Occidente Sistema American Express Sistema Diners Generalidades Proceso de Investigación 4. COMITE DE RIESGO REGIONAL 4.1 Conformación 4.2 Facultades 4.3 Responsabilidad básica del Comité de Riesgo Regional 4.4 Reuniones 4.4.1 Lugar y participantes 4.4.2 Clases GSR-MR-01 (19/02/2013) Version 3 1 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 5. CONSOLIDACION DE HECHOS QUE CONSTITUYEN IRREGULARIDADES E INCUMPLIMIENTO CONTRACTUAL POR PARTE DE LOS ESTABLECIMIENTOS QUE IMPLICAN MEDIDAS. 5.1 Hechos que constituyen irregularidades, fraudes e incumplimientos contractuales por parte del comercio frente a los Sistemas de tarjetas. 5.2 Parámetros a tener en cuenta para la aplicación de las medidas de acuerdo a modalidad de fraude como incumplimiento a la aceptación de tarjetas que presenten alteraciones, enmendaduras, adulteraciones, falsificaciones, con montaje, alteraciones en la banda de la firma, robadas, extraviadas o cualquier anomalía. 5.2.1 Tipos de transacciones 5.2.2 Clasificación general 6. MEDIDAS PREVENTIVAS Y SANCIONATORIAS 6.1 Criterios para tomarlas 6.2 Clases de medidas y Acciones 6.2.1 Medidas Preventivas 1. Bloqueo Preventivo 2. Levantamiento Bloqueo 6.2.2 Correctivas 1. Comunicación Preventiva 2. Suspensión Provisional 3. Terminación del Contrato 7. Solicitud nueva afiliación 8. Monitoreo y seguimiento Distribución y Publicación del Manual de Riesgo GSR-MR-01 (19/02/2013) Version 3 2 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 1. ASPECTOS GENERALES El Manual para Control de Riesgos en Establecimientos es el resultado definitivo del análisis, síntesis, integración y armonización de todos los conceptos, procedimientos y normas que se aplican en la investigación, control y disminución de riesgo en las operaciones con Tarjetas de Crédito y Débito efectuadas en los establecimientos de comercio que han suscrito contrato de AFILIACION con los Sistemas de Tarjetas de Crédito y Débito y/o con las Entidades Financieras participantes o administradoras de tales sistemas. 1.1 OBJETIVO El Manual tiene como objetivo establecer y reglamentar los pasos a seguir, cuando por parte de un Establecimiento de Comercio existe fraude o posible incumplimiento de una o de varias de las obligaciones derivadas de los contratos o reglamentos aceptados o suscritos con las Entidades Financieras y/o con los Sistemas de tarjetas y/o derivadas de los reglamentos a los que se haya adherido, en desarrollo de su afiliación o inscripción a un determinado Sistema de Pago, o cuando se encuentre procedente por parte de los sistemas de pago y sus entidades financieras evaluar de manera preventiva aspectos ligados a la seguridad de la información y vulnerabilidad frente al fraude, o de cualquier otro modo se pretenda fortalecer la integridad y capacidad de la red de establecimientos de comercio para enfrentar fenómenos delictivos. Su ámbito natural es por una parte, la relación de aceptación por parte de los Establecimientos de Comercio de tarjetas de las marcas Visa, Diners Club, American Express y las demás marcas que en condiciones similares y otras que lleguen a integrar el portafolio de servicios de apoyo a cargo de INCOCRÉDITO, y por otra parte, la oferta de afiliación del Establecimiento de Comercio al Sistema de Tarjetas Emitidas por MasterCard . 1.2 SOPORTE LEGAL Las acciones y medidas contenidas en este Manual tienen su soporte en las siguientes fuentes legales: En el marco legal que gobierna la industria de las tarjetas bancarias y medios de pago. GSR-MR-01 (19/02/2013) Version 3 3 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS En los Estatutos de la ASOCIACION PARA INVESTIGACIÓN INFORMACION Y CONTROL SISTEMAS DE TARJETAS DE CREDITO Y DEBITO – INCOCREDITO. En la relación de AFILIACIÓN o los Contratos o Reglamentos de AFILIACIÓN celebrados entre el Establecimiento de Comercio y una Entidad Financiera Adquirente o una Entidad Administradora de Sistema de Pago, según el caso. En los Reglamentos y/o contratos de tales sistemas de pago y/o entidades financieras, según el caso, que haya suscrito o a los cuales haya adherido el establecimiento de comercio. Al mandato especial extendido por las Entidades Administradoras de Sistemas de Pago y Entidades Financieras a INCOCRÉDITO para que actúe en su nombre y representación en la gestión de prevención, seguimiento, investigación, auditoria, mitigación y control del fraude, en los términos previstos en este Reglamento. En los Manuales Operativos de los sistemas de pago o de tarjeta. 1.3 PRINCIPIOS El presente Manual tiene su fundamentación en los siguientes PRINCIPIOS: SEGURIDAD: En virtud del cual, las entidades administradoras de sistemas de pago o de marca, las entidades financieras y establecimientos de comercio, así como INCOCRÉDITO, tendrán como objetivo prioritario prevenir la ocurrencia del fraude y mantener la seguridad de los sistemas y procesos. TRANSPARENCIA: En virtud del cual el manejo de las relaciones dentro de los sistemas y la toma de decisiones se hará con base en reglas y políticas preestablecidas o con criterios objetivos y razonables, en condiciones en las que exista un flujo de información adecuado hacia las partes interesadas o hacia el mercado. PREVENCIÓN: En virtud del cual, se preferirá incentivar las acciones preventivas sobre las de carácter reactivo, atendiendo en lo posible las alertas tempranas o situaciones anómalas y a través de la función de divulgación y formación a cargo de INCOCRÉDITO. IMPARCIALIDAD: En virtud de la cual, en los procesos investigativos a cargo de INCOCRÉDITO, se procederá con entero respeto al debido proceso, de manera objetiva y técnica, procurando una búsqueda genuina de la verdad. Las acciones de INCOCRÉDITO no se enderezan en contra de los establecimientos de comercio, sino por el contrario se enmarcan en la protección de la integridad y seguridad de la GSR-MR-01 (19/02/2013) Version 3 4 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS industria de los medios de pago en general lo que interesa al sector comercio, al sector financiero y a la comunidad en general. RESERVA Y SIGILO: En virtud de lo cual, tanto INCOCRÉDITO como las personas que integran los comités técnicos de pares de los sistemas de pago y entidades financieras, con asiento en INCOCRÉDITO, que valoran las situaciones de fraude, actuarán con entero apego al deber de confidencialidad, reserva y sigilo de la información a la que tengan acceso. CONTROVERSIA: En virtud del cual se promueve el ejercicio del debate de ideas y fijación de posiciones, sobre la base del respeto recíproco y la búsqueda en lo posible de un acuerdo. RESPETO: En virtud de lo cual se respeta y apoya la posición final asumida por cada una de la entidades financieras y/ o sistemas de pago. CONCIENCIA DEL RIESGO: En virtud del cual se invita a los participantes a tener o alcanzar claridad sobre los factores de riesgo inherentes a la operación con tarjetas y su debido control. RESPONSABILIDAD: En virtud de lo cual se invita a los participantes a asumir de manera justa, equilibrada y objetiva las acciones que corresponda ejecutar. Por tratarse de relaciones jurídicas de derecho privado entre cada Sistema de Tarjetas Crédito y Débito y cada Establecimiento y/o entre cada Entidad Financiera y cada Establecimiento, cualquier decisión respecto de un contrato o relación jurídica específica involucra en forma exclusiva a las partes que lo suscriben y/o al respectivo sistema de pagos. Cuando la situación involucre a más de un sistema de pagos o a más de una entidad financiera, sin perjuicio del carácter individual de las relaciones y de las decisiones se procurara en lo posible una respuesta coordinada frente al fraude o a las situaciones de vulnerabilidad respecto del mismo. 1.4 POLITICAS El cumplimiento del objetivo mencionado y la aplicación adecuada del presente Manual, están orientados por las siguientes: GSR-MR-01 (19/02/2013) Version 3 5 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS COLABORACIÓN: En la lucha contra el fraude se debe incentivar la colaboración de todos los actores de la cadena de valor y, de manera especial, se debe procurar la colaboración de los establecimientos de comercio y de sus dependientes. CAPACITACIÓN: La herramienta más importante para hacer efectiva la colaboración del sector comercio consiste en las actividades de capacitación. Aparte de las actividades formales a cargo de INCOCRÉDITO en materia de capacitación a comercios, se procurará que en el manejo de incidentes, sin perjuicio de las sanciones a que pudiere haber lugar, tales procedimientos se adelanten cuando ello sea posible, dentro de la filosofía del aprendizaje continuo, de suerte que se desprendan recomendaciones específicas a los comercios involucrados tendientes a la introducción de las mejoras correspondientes. DEBIDO PROCESO: Las actuaciones de INCOCRÉDITO se adelantarán conforme a los dictados del debido proceso, en los términos definidos en el presente manual y los diferentes reglamentos, contratos y/u ofertas de afiliación. ACCION CONJUNTA: Frente a problemas comunes en materia de seguridad. DESARROLLO INSTITUCIONAL DE LA ASOCIACION: Como mandataria respecto de la labor operativa que se requiere para enfrentar los riesgos inherentes a la actividad propia de los Sistemas de Tarjetas Crédito y Débito, Entidades Financieras, dentro de la operación con tarjetas. ACCION COMPLEMENTARIA: Respecto de las labores preventivas y del control del riesgo que realizan los Sistemas Asociados (o sujetos a este Reglamento) y sus Entidades Financieras. 1.5 DEFINICIÓN DE ALGUNAS EXPRESIONES O TÉRMINOS UTILIZADOS BANCO O ENTIDAD FINANCIERA ADQUIRENTE y/o PAGADORA: Entidad vinculada a alguno de los sistemas de tarjeta de crédito, que establece una relación jurídica con un establecimiento de comercio para soportar las ventas con tarjetas. Cuando asume una posición propia o riesgo se denomina adquirente. Cuando se limita a gestionar el recaudo o transferencia de los recursos derivados de la actividad del comercio actuando como un simple procurador para el cobro se denomina pagador. No obstante en algunos sistemas de marca se denominan como pagadores a entidades que cumplen una función de adquirente. GSR-MR-01 (19/02/2013) Version 3 6 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS ARBITRAJE: Un proceso donde el Sistema de tarjeta de crédito determina la responsabilidad financiera entre sus entidades financieras para las transacciones de intercambio que sean presentadas y contracargadas. ATM: Un Terminal desatendido que tiene capacidad electrónica, acepta PINs, y desembolsa dinero. AUTORIZACIÓN: Un proceso donde un Emisor, Sistema, procesador autorizante, o Sistema de respaldo, aprueba una transacción, con base en la validación sobre la disponibilidad de fondos cupo disponible o status activo de la tarjeta, la autorización, no implica relevo alguno frente al riesgo de fraude, en tanto su función se limita a valorar el riesgo crediticio de la operación. BIN: Un número generalmente de 6 dígitos asignado por la entidad Financiera el Sistema de Tarjeta y utilizado para identificar a un miembro o procesador para el procesamiento de autorización, compensación o liquidación. COMERCIANTE O ESTABLECIMIENTO DE COMERCIO: Una entidad, persona natural o jurídica de derecho público o privada, que entabla una relación jurídica con un sistema de pago y/o entidad financiera para procesar y originar transacciones con tarjeta en desarrollo de su actividad y obtener su recaudo o abono en la cuenta definida para el efecto. COMPROBANTE DE VENTA: Un documento de papel, nota o registro electrónico equivalente en el que consta la aprobación o consentimiento del tarjetahabiente a uno o varios cargos a una cuenta o cupo, derivado de la compra de bienes o servicios o de un pago con tarjeta y que contiene así mismo la constancia de la autorización del sistema, pudiendo consistir o no en un pagaré. CONTRACARGO: Una transacción que un Emisor devuelve a un Adquirente conforme a las causales y reglas del respectivo sistema de pago. DEPÓSITO: Es la presentación de un recibo de transacción por un comerciante a un Adquirente o pagador, resultando en un crédito o un débito a la cuenta del comerciante. EMISOR: Un miembro de uno de los Sistemas de Tarjeta que emite tarjetas y cuyo nombre aparece en la tarjeta como el Emisor. GSR-MR-01 (19/02/2013) Version 3 7 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS FECHA DE DEPÓSITO: La fecha en que un adquirente o pagador recibe un comprobante de venta de una transacción manual o electrónica de un comerciante. FECHA DE TRANSACCIÓN: La fecha en que ocurre una transacción entre un tarjetahabiente y un comerciante, un adquirente o un pagador. IMPRESIÓN: Información de tarjetahabiente transferida de una tarjeta a un comprobante de transacción para completar una transacción. IMPRESIÓN ELECTRÓNICA: Lectura e impresión o captura de la información de la tarjeta en un terminal de banda magnética. IMPRESIÓN MANUAL: Impresión de la información gravada en el anverso de la tarjeta tomada con un impresor manual. PERIODO DE CONTRACARGO: Número de días calendario de la fecha de Endoso de un recibo de transacción, durante el cual el Emisor puede ejercer un derecho de contracargo. PIN: Un código numérico de identificación personal que identifica a un tarjetahabiente en una solicitud de autorización originada en un terminal de autorización solamente o de captura de información solamente. SOLICITUD DE AUTORIZACIÓN: La solicitud de un comerciante o adquirente para una autorización. TARJETAHABIENTE: Persona a la que se ha emitido una tarjeta, o a la que se ha autorizado el uso de esta. TRANSACCIÓN: El acto entre un tarjetahabiente y un comerciante o un adquirente que resulta en la generación de un comprobante de transacción. USUARIO FRAUDULENTO: Una persona que no sea el tarjetahabiente o su designado debidamente autorizado y que utilice una tarjeta para obtener bienes o servicios, o la actuación fraudulenta del titular o su designado cuando repudian indebida o engañosamente transacciones realizadas por los mismos, con el objeto de obtener un beneficio de mala fe. COMPENSACIÓN: Figura legal contemplada en el Código Civil Colombiano mediante la cual y por virtud de la ley un deudor puede pagar el monto de su obligación descontándolo de o “cruzándolo” con la cantidad que, a su vez, le debe su acreedor, GSR-MR-01 (19/02/2013) Version 3 8 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS que se amplía a la compensación multilateral dentro de los sistemas de pago en desarrollo de lo previsto en el decreto 1400 de 2005. CONGELACION DE FONDOS: Decisión fundamentada, tomada en forma unilateral por el Banco en donde tiene abierta la cuenta corriente o de ahorros el respectivo establecimiento de comercio que afecta el canje o la disponibilidad de tales fondos. REVERSION: Anulación de los efectos que produjo la transacción y/o el registro contable de una operación con tarjeta. SISTEMA ABIERTO DE TARJETAS: Es el sistema de pagos de bajo valor en el cual actúan como participantes, tanto establecimientos de crédito emisores como establecimientos de crédito adquirentes, así como entidades administradoras de tales sistemas. COMUNICACIÓN PREVENTIVA: Llamado de atención a un establecimiento de comercio por no cumplir debidamente con las obligaciones contenidas en el contrato o reglamento de afiliación y/o reglamentos operativos de los sistemas de pago. SUSPENSIÓN PREVENTIVA: Suspensión transitoria del servicio de aceptación de tarjetas en un comercio cuando hay evidencia o razones que evidencien riesgo para el sistema por prácticas indebidas, irregulares, no autorizadas o riesgosas por parte del comercio. TERMINACION CONTRATO: Terminación de la relación de afiliación entre el establecimiento de comercio y el sistema de pago y/o entidad financiera con la que mantenga dicha relación, la que puede conllevar, según el caso, el bloqueo definitivo del código único y/o la cancelación de la cuenta de depósito. REINTEGRO DE DINEROS: Procedimiento mediante el cual el establecimiento de comercio devuelve las sumas que le han sido abonadas, cuando se ha establecido con posterioridad al abono en cuenta que las mismas corresponden a transacciones fraudulentas que conforme a las reglas del respectivo sistema de tarjetas, su riesgo deba ser asumido por el establecimiento de comercio, por situaciones tales como la falta de diligencia y cuidado del mismo en las actividades de colaboración a su cargo, el tipo de canal de la operación, el compromiso o participación en el fraude por parte de sus dependientes, o el exceso de fraude, entre otras causales de reintegro que se traen a título meramente ilustrativo. GSR-MR-01 (19/02/2013) Version 3 9 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS INVESTIGACIÓN: Procedimiento mediante el cual se recopila información en desarrollo de visitas o actividades habituales de auditoria encomendadas a INCOCRÉDITO, o para las visitas o auditorias que tengan como objeto la investigación de alarmas, hechos irregulares o aparentemente anómalos o circunstancias de riesgo o de manejo de la información y prácticas en materia de seguridad. La realización de estas visitas y auditorias, así como el análisis, valoración y determinación de responsabilidades y decisiones derivadas de las mismas, se hará conforme a los parámetros de debido proceso incorporados en este reglamento. AUDITORIA A ESTABLECIMIENTOS: Es el proceso de indagación que se somete a un establecimiento afiliado, donde se revisan las operaciones (transacciones), que se realizan con tarjeta y se evalúan los procesos administrativos llevados a cabo y se verifican los procesos y aplicación de medidas de seguridad en las transacciones con dinero plástico. 1.6 ALCANCE DE LAS MEDIDAS Y ACCIONES De igual manera, con el desarrollo y aplicación de su contenido, se busca cumplir con el objetivo de la Asociación y garantizar que realmente se concreten las políticas emanadas de la Junta de Asociados, en cuanto a la real aplicación de los principios de solidaridad, responsabilidad y conciencia de riesgo que se traduzca en verdadera protección contra los factores que afectan las operaciones comerciales. 2. EL SOPORTE LEGAL DE INCOCREDITO PARA LA INVESTIGACION, AUDITORIAS, PREVENCIÓN Y CORRECCION DE TODA ACTUACIÓN DEL ESTABLECIMIENTO, RELACIONADA CON LA ACEPTACIÓN Y EL USO DE LA TARJETA CRÉDITO O DÉBITO COMO MEDIO DE PAGO SE ENCUENTRA EN LAS CLAUSULAS DE DELEGACIÓN DE DICHAS FUNCIONES CONTENIDAS EN LOS REGLAMENTOS O CONTRATOS DE AFILIACIÓN DE COMERCIOS A LOS SISTEMAS DE TARJETAS Y/O ENTIDADES FINANCIERAS. INCOCREDITO Es la asociación para la investigación, información y control de tarjeta de crédito y debito en Colombia, creada por los sistemas de tarjetas como entidad encargada de asignar el código único de identificación de establecimientos de comercio y de velar por el fortalecimiento de la seguridad de los sistemas de pago electrónicos y la protección a la industria de tarjetas frente al fraude, incluyendo el control al lavado de activos, mediante servicios de apoyo, monitoreo, investigación, auditoria y coordinación de iniciativas en la materia. INCOCREDITO Realiza todas las actividades tendientes a evitar que se produzcan situaciones de abuso o fraude con el uso de las tarjetas de crédito y debito y demás GSR-MR-01 (19/02/2013) Version 3 10 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS dispositivos de acceso, en especial promoviendo entre los usuarios de dichos dispositivos, y organismos de control, campañas de difusión, de las medidas de seguridad en el manejo de los mismos, e instruyendo a los establecimientos afiliados y a todos los participantes en la relación jurídica compleja propia de las tarjetas de crédito, debito y demás dispositivos de acceso, acerca del control y cuidado que deban tener en sus relaciones con sus portadores y recordando sus obligaciones para utilizar con la mayor diligencia posible todos los mecanismos que eviten los riesgos de abuso o fraude en el uso del denominado dinero plástico; así como llevar a cabo y/o promover la realización de proyectos de investigación relacionados con los abusos y fraudes que se cometan en la utilización de las tarjetas de crédito, debito y los demás dispositivos de acceso y poner en conocimiento de las autoridades tales hechos para colaborar en la represión de este tipo de delito. Los Sistemas de Tarjetas y Entidades Financieras Adquirentes han delegado, en los términos que se identifican a continuación a la ASOCIACION DE INFORMACION Y CONTROL SISTEMAS DE TARJETAS DE CREDITO Y DEBITO – INCOCREDITO –, no sólo para velar por el cumplimiento de las obligaciones pertinentes, sino para vigilar, controlar, evaluar, prevenir y corregir toda actuación del establecimiento, relacionada con la aceptación y el uso de la tarjeta crédito o débito como medio de pago de venta de bienes y/o de prestación de servicios, con base en la reglamentación que se describe en cada uno de los reglamentos o contratos suscritos con los establecimientos de comercio. 2.1 REDEBAN MULTICOLOR S.A. y BANCO DE OCCIDENTE (Credencial) Denominación: OFERTA COMERCIAL DE CONTRATO DE AFILIACIÓN AL SISTEMA DE TARJETAS EMITIDAS POR MASTERCARD. CLAUSULA…“NOVENA- AUTORIZACIONES. siguientes autorizaciones: El AFILIADO concede las LITERAL D - A permitir la intervención y auditoria de Incocrédito, organismo al cual LAS FRANQUICIANTES delegan la vigilancia y control, sobre toda actuación del AFILIADO relacionada con el contrato que se ofrece en sus aspectos de prevención e investigación de fraudes con tarjetas y auditoria de los sistemas de procesamiento de las operaciones y custodia de la información y documentos, acatando cualquier determinación que se tome una vez se haya adelantado el Procedimiento de Investigación respectivo… GSR-MR-01 (19/02/2013) Version 3 11 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 2.2. CREDIBANCO Denominación: REGLAMENTO DE COMERCIOS DEL SISTEMA DE PAGO DE CREDIBANCO NUMERAL 5 NORMAS Y REGLAS GENERALES 5.2 OBLIGACIONES DE LOS ESTABLECIMIENTOS DE COMERCIO. 5.2.3. Control fraude EL ESTABLECIMIENTO DE COMERCIO acepta las investigaciones, y visitas que periódicamente realizan los funcionarios de CREDIBANCO a los ESTABLECIMIENTOS INSCRITOS. Así mismo acepta la intervención de INCOCREDITO en tales investigaciones, auditorías y visitas, organismo de seguridad de las tarjetas de crédito especializado en la prevención e investigación de fraudes con tarjetas y en la auditoría de los sistemas de procesamiento de las operaciones y custodia de la información y documentos. 2.3 BANCO DAVIVIENDA DINERS Denominación : REGLAMENTO DE AFILIACIÓN AL SISTEMA DINERS 16º. EL COMERCIO acepta la intervención de INCOCRÉDITO o de cualquiera otra entidad autorizada por EL BANCO, para evitar usos fraudulentos con la tarjeta, acepta que se adelanten las investigaciones a que haya lugar, su resultado, las decisiones que se tomen en consecuencia, incluidos bloqueos temporales, capacitaciones obligatorias, bloqueo o congelamiento de cualquier suma a su favor depositada en la cuenta corriente o de ahorros a nombre de EL COMERCIO, de su propietario, o Fiducia según fuere el caso, desafiliación y por lo tanto terminación del presente contrato y exonera de la responsabilidad tanto a EL BANCO como a INCOCRÉDITO o a la entidad que designe EL BANCO para los efectos descritos en esta cláusula, así mismo reconoce que no hay lugar al cobro de intereses sobre las sumas congeladas o bloqueadas y por lo mismo renuncia a cualquiera reclamación por ese concepto en contra de EL BANCO, INCOCRÉDITO o la entidad designada... 2.4 AMERICAN EXPRESS Denominación: CONTRATO DE SISTEMA AMERICAN EXPRESS AFILIACIÓN DE Cláusula OCTAVA. AUTORIZACIONES PREVIAS: concede las siguientes autorizaciones irrevocables: GSR-MR-01 (19/02/2013) Version 3 ESTABLECIMIENTO AL EL ESTABLECIMIENTO 12 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 5.) A INCOCREDITO, organismo de seguridad de tarjetas, para que lleve a cabo libremente las actividades de vigilancia, control, evaluación, prevención y corrección sobre la actuación de EL ESTABLECIMIENTO respecto del objeto del presente contrato, acatando las instrucciones o determinaciones que este organismo pueda adoptar. Así mismo aceptará toda obligación comunicada en cualquier boletín o comunicación emitida por INCOCREDITO o por EL BANCO y las decisiones que estos organismos adopten con relación al bloqueo, suspensión o desafiliación de EL ESTABLECIMIENTO. 3. EL DEBIDO PROCESO EN LA INVESTIGACIÓN Y / O AUDITORIA POR FRAUDE CON TARJETAS CREDITO Y DEBITO EN ESTABLECIMIENTOS DE COMERCIO AFILIADOS A LOS SISTEMAS DE TARJETAS Y/O ENTIDADES FINANCIERAS. En las investigaciones y/o auditorías que adelante INCOCRÉDITO a solicitud de los Sistemas de Tarjetas, Entidades Financieras y/o por gestión propia, se observarán las premisas del DEBIDO PROCESO, sin perjuicio de las particularidades propias de los reglamentos de dichas entidades. El debido proceso es exigente en materia de legalidad ya que no solamente pretende que se cumpla el procedimiento estipulado en los reglamentos o contratos de afiliación sino que se haga en la forma que se determina, así mismo se caracteriza por una progresiva y paulatina ampliación de los derechos de defensa, por lo tanto la actuación deberá ser el resultado de un proceso en el que representante o propietario del establecimiento de comercio tuvo la oportunidad de expresar sus opiniones y argumentos, así como de presentar las pruebas que demuestren su derecho, con plena observancia de las disposiciones procesales que lo regulen. La actuación de INCOCRÉDITO se surtirá conforme a los siguientes parámetros básicos contenidos y descritos en los reglamentos o contratos de afiliación frente a cada uno de los Sistemas de Tarjetas así: 3.1 CREDIBANCO ( investigaciones tarjetas de la franquicia Visa) Para garantizar el debido proceso y el derecho de defensa en la actuación privada que adelanta INCOCREDITO se adelantara de acuerdo al siguiente procedimiento, el cual se encuentra registrado y detallado EN EL REGLAMENTO DE COMERCIOS DEL SISTEMA DE PAGO DE CREDIBANCO (Numeral 5.2.3. CONTROL DEL FRAUDE) GSR-MR-01 (19/02/2013) Version 3 13 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS ETAPAS NOTIFICACION APERTURA INVESTIGACION Y SOLICITUD DE INFORMACION AL COMERCIO (GSR-FO-48) Incocrédito notificará al establecimiento de comercio la apertura de la investigación mediante comunicación radicada o dirigida a la última dirección registrada en la base de datos del respectivo Sistema de Tarjetas, Entidad Financiera y/o Incocrédito. En el escrito de notificación se indicarán las razones que dieron lugar a la apertura de la investigación. VISITA ESTABLECIMIENTO (GSR-FO-07), Incocrédito adelantara las visitas respectivas, para ello levantará un informe o acta estandarizado, dejando una copia a disposición del ESTABLECIMIENTO DE COMERCIO. APORTE DE PRUEBAS. El establecimiento podrá controvertir lo señalado en dicho informe y suministrar las pruebas y alegaciones que estime del caso en esta se detalla entre otros aspectos datos del comercios, motivo de la visita, procedimiento transacciones, observaciones del comercios, aporte de pruebas, alegaciones, etc. REQUERIMIENTO (GSR-FO-30) Se efectúa al propietario y/o representante legal con el fin acordar una cita, tendiente a analizar y buscar conjuntamente mecanismos de solución a la situación presentada en el comercio. ACTA DE ATENCIÓN A ESTABLECIMIENTOS DE COMERCIO AFECTADOS POR FRAUDE (GSR-FO-37). Surtida la investigación técnica se cita al establecimiento de comercio a una reunión de la que se sentará un acta, donde se le informa de los resultados de la investigación, las recomendaciones, y decisiones tomadas por el sistema de pagos y/o entidad financiera. En esta etapa se relaciona entre otros aspectos, datos, situación actual del establecimiento, respuesta del establecimiento, detalles resultado de la investigación, intensión de devolución de dineros, capacitación, compromiso establecimiento a solucionar la situación, observaciones, así mismo se relacionaran las fallas detectadas relacionando textualmente los incumplimientos evidenciados a la relación contractual. La negativa o no asistencia por parte de propietarios y/o representantes legales de los comercios, a esta etapa del proceso (citación para levantamiento acta con el comercio), no será obstáculo o impedimento para darle continuidad al proceso, ni para la aplicación de las medidas que se consideren del caso, como es un proceso dinámico que no puede estancarse ni ser un obstáculo en su desarrollo por la inasistencia a esta etapa procesal; para registrar como medio de prueba esta etapa se deberá documentar esta actividad mediante los registros, soportes y documentos que GSR-MR-01 (19/02/2013) Version 3 14 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS prueben y hagan constar que se surtió y agotó en debida forma la citación al comercio, para ello se remitirá los propietarios y/o representantes legales del comercio, las comunicaciones y documentos que se consideren del caso, utilizando para ello correo certificado, se registrarán las comunicaciones telefónicas, la excusa a la no asistencia, así mismo la negativa a firmar las actas y demás eventos de interés. DERECHO DE DEFENSA. El propietario o representante legal tendrá este derecho través del aporte de pruebas, solicitud de prácticas de pruebas, observación del asistente respecto de la medida adoptada por el Sistema de Tarjeta y/o Entidad Financiera afectada etc. RECURSO DE RECONSIDERACION. EL ESTABLECIMIENTO DE COMERCIO en caso de desacuerdo, podrá solicitar la reconsideración de las conclusiones y medidas tomadas con base en la investigación, aportando si es del caso nuevas pruebas. La decisión final del sistema de pagos producirá efectos inmediatos, no obstante, en caso de persistir el desacuerdo por parte del establecimiento de comercio, éste quedará en entera libertad de ejercer las acciones legales a su alcance. DERECHO DE ACCESO AL EXPEDIENTE. Durante todo el término de la investigación, se agrantiza al establecimiento de comercio el acceso al expediente abierto en su contra. SOPORTES AL DEBIDO PROCESO. Copia de las comunicaciones y actas serán notificadas mediante radicación y/o entrega en el comercio a los representantes legales y/o propietarios de los establecimientos de comercio como soporte al debido proceso, para tal efecto quedaran a disposición las copias diligenciadas y firmadas por el representante o propietario del comercio y por el funcionario de Incocrédito que adelantó la investigación y quién notificó la decisión del Sistema de Tarjetas y/o Banco afectado. INCOCREDITO procederá con estricta observancia de los presentes principios, los que incorporará en sus procedimientos y manuales de operación. Así mismo informará a los ESTABLECIMIENTOS DE COMERCIO acerca de las garantías, etapas y plazos que comportan los procesos a su cargo. LAS DECISIONES PROVISIONALES O FINALES que tomen los representantes de los Sistemas y las Entidades Financieras serán notificadas a los representantes legales y/o propietarios de los establecimientos de comercio, para la recepción de la misma se plasma la firma y sello del representante del comercio, las copias firmadas GSR-MR-01 (19/02/2013) Version 3 15 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS reposaran en los expedientes junto con las actas, comunicaciones y documentos recopilados en la investigación. En las actas de atención personal al representante o propietario del comercio, y demás comunicaciones, estas personas tiene la posibilidad y oportunidad para manifestar su desacuerdo con las conclusiones de lo investigado o la decisión tomada por la Entidad Administradora de Sistema de Pago y/o las Entidades Financieras afectadas, utilizando para ello las comunicaciones escritas que considere del caso, así como acudir a las acciones legales que estime pertinentes. . 3.2 REDEBAN MULTICOLOR Y CREDENCIAL BANCO DE OCCIDENTE (Investigaciones tarjetas franquicia Master Card)Cláusula NOVENA.AUTORIZACIONES: Literal D. Para garantizar el debido proceso y el derecho de defensa en la investigación que adelanta INCOCREDITO en los establecimientos de comercio se surtirá de acuerdo al siguiente procedimiento, el cual se encuentra registrado y detallado en la OFERTA COMERCIAL DE CONTRATO DE AFILIACIÓN AL SISTEMA DE TARJETAS EMITIDAS POR MASTERCARD ETAPAS NOTIFICACIÓN. Incocrédito notificará al AFILIADO la apertura de la investigación en su contra mediante comunicación radicada o dirigida a la última dirección registrada del AFILIADO en la base de datos de LAS FRANQUICIANTES.. En el escrito de notificación se le indicarán las razones que dieron lugar a la apertura de la misma. DERECHO DE APORTAR PRUEBAS. El AFILIADO tendrá derecho a presentar las pruebas que considere pertinentes y conducentes para controvertir los hechos que sirvieron como fundamento para la apertura de la investigación, durante los cinco (5) días hábiles siguientes a la recepción de la notificación. PRACTICA DE PRUEBAS. A partir de la notificación, en la misma fecha o en fecha posterior, INCOCRÉDITO podrá realizar visitas al AFILIADO para efectos de recaudar pruebas y el AFILIADO, podrá presentar sus pruebas durante el curso de la visita, si así lo estimare procedente. De las visitas realizadas se levantará un acta en la cual se dejará constancia de las pruebas recaudadas durante la misma. GSR-MR-01 (19/02/2013) Version 3 16 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS DERECHO DE ACCESO AL EXPEDIENTE. Durante todo el término de la investigación, el AFILIADO podrá acceder al expediente abierto en su contra. REVISIÓN PRELIMINAR DE LA CONDUCENCIA DE LA INVESTIGACIÓN. Incocrédito analizará las pruebas aportadas por EL AFILIADO y las demás pruebas obtenidas en el curso de la investigación y evaluará si éstas son suficientes para desvirtuar los hechos que dieron lugar a la apertura de la investigación. En caso afirmativo, INCOCRÉDITO procederá a cerrar la investigación en contra del AFILIADO. TÉRMINO DE LA INVESTIGACIÓN. El término del proceso de investigación será el fijado por el respectivo sistema de pago, sistema de tarjetas o entidad financiera o en su defecto el de doce (12) días hábiles, al cabo de los cuales se producirá un informe que contendrá las conclusiones y recomendaciones de INCOCRÉDITO. El anterior término podrá ser extendido por decisión de Incocrédito cuando una vez vencido el término inicial aún queden pruebas por practicarse. Esta prórroga será de tres (3) días hábiles salvo que la naturaleza de la prueba o de la investigación aconseje un término mayor, el que se expresará en la respectiva comunicación. OPORTUNIDAD PARA PRESENTAR ALEGATOS DE CONCLUSIÓN. Una vez se hayan evacuado las pruebas, INCOCRÉDITO remitirá al establecimiento de comercio el informe final de la investigación, instándolo a presentar dentro de los tres (3) días siguientes sus alegaciones finales. INFORME DEFINITIVO. INCOCRÉDITO proferirá su informe definitivo dentro de los cuatro (4) días hábiles siguientes a la fecha en la que se vence el término para presentar las alegaciones finales. El informe definitivo junto con las alegaciones finales del AFILIADO, si las hubiere, se comunicará a la o las entidades financieras afectadas y al o a los FRANQUICIANTE(S) quien o quienes, según el caso, adoptará(n) la decisión o las decisiones correspondientes. RECURSO DE RECONSIDERACION POR EL COMERCIO. Dentro de los tres (3) días siguientes a la fecha en que le haya sido comunicada la decisión final del respectivo FRANQUICIANTE al AFILIADO, en caso de desacuerdo, éste podrá radicar en INCOCRÉDITO un recurso de reconsideración dirigido al respectivo FRANQUICIANTE, aportando las argumentaciones y las pruebas que estime del caso. INCOCRÉDITO dará traslado del recurso al FRANQUICIANTE respectivo, quien decidirá al respecto dentro de los cinco (5) días siguientes. GSR-MR-01 (19/02/2013) Version 3 17 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS MEDIDAS PROVISIONALES. Durante el curso del proceso, INCOCREDITO, las FRANQUICIANTES y/o las entidades financieras afectadas podrá(n) adoptar medidas temporales de protección del sistema o de la respectiva entidad, las cuales estarán vigentes hasta la fecha en la que profiera la decisión final. 3.3. AMERICAN EXPRESS (Investigaciones tarjetas de emisión nacional e internacional) Cláusula OCTAVA: AUTORIZACIONES PREVIAS Numeral 6. Para garantizar el debido proceso y el derecho de defensa en la investigación que adelanta INCOCREDITO en los establecimientos de comercio se surtirá de acuerdo al siguiente procedimiento, el cual se encuentra registrado y detallado en el CONTRATO DE AFILIACION DE ESTABLECIMIENTOS AL SISTEMA AMERICAN EXPRESS. NOTIFICACION (GSR-FO-48): INCOCREDITO notificará a EL ESTABLECIMIENTO la apertura de la investigación en su contra mediante comunicación radicada o dirigida a la última dirección registrada de EL ESTABLECIMIENTO en la base de datos de EL BANCO. En la comunicación se indicarán las razones que dieron lugar a la apertura de la investigación. DERECHO A APORTAR PRUEBAS: EL ESTABLECIMIENTO tendrá derecho a presentar las pruebas que considere pertinentes y conducentes para controvertir los hechos que sirvieron como fundamento para la apertura de la investigación en su contra, durante los cinco (5) días hábiles siguientes a la recepción de la notificación. PRACTICA DE PRUEBAS: A partir de la notificación, INCOCREDITO podrá realizar visitas (GSR-FO-07) a EL ESTABLECIMIENTO para efectos de recaudar pruebas y EL ESTABLECIMIENTO podrá presentar sus pruebas durante el curso de la visita. De las visitas realizadas se levantará un acta en la cual se dejará constancia de las pruebas recaudadas durante la misma. DERECHO DE ACCESO AL EXPEDIENTE: Durante el término de la investigación EL ESTABLECIMIENTO podrá consultar el contenido del expediente abierto en su contra. REVISION DE LA CONDUCENCIA DE LA INVESTIGACION: INCOCREDITO analizará las pruebas aportadas por EL ESTABLECIMIENTO y las demás pruebas obtenidas en el curso de la investigación y evaluará si estas son suficientes para desvirtuar los hechos que dieron lugar a la apertura de la investigación. En caso GSR-MR-01 (19/02/2013) Version 3 18 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS afirmativo, INCOCREDITO procederá a declarar cerrada la investigación en contra de EL ESTABLECIMIENTO. TERMINO DE LA INVESTIGACION: El término del proceso de investigación hasta la entrega del informe definitivo es de doce (12) días hábiles, término que podrá ser extendido por decisión de INCOCREDITO cuando una vez vencido el término inicial aún queden pruebas por practicarse. Este término será de tres (3) días hábiles salvo que la naturaleza de la prueba o de la investigación aconseje un término mayor, el que se expresará en la respectiva comunicación que para ello se expida. OPORTUNIDAD PARA PRESENTAR ALEGATOS DE CONCLUSIÓN: Una vez se hayan practicado las pruebas, INCOCREDITO remitirá a EL ESTABLECIMIENTO el documento contentivo de los resultados de las pruebas practicadas, instándolo a presentar dentro de los tres (3) días siguientes sus alegaciones finales. INFORME DEFINITIVO: INCOCREDITO proferirá su informe definitivo al respecto dentro de los cuatro (4) días hábiles siguientes a la fecha en la que se vence el término para presentar las alegaciones finales. El informe definitivo junto con las alegaciones finales de EL ESTABLECIMIENTO , si las hubiere, se comunicará a la o las entidades financieras afectadas y a EL BANCO quien o quienes, según el caso, adoptará(n) la decisión final. RECURSO DE RECONSIDERACION POR EL COMERCIO: Dentro de los tres (3) días siguientes a la fecha en que le haya sido comunicada la decisión final de EL BANCO a EL ESTABLECIMIENTO, este podrá en caso de desacuerdo radicar en INCOCREDITO un recurso de reconsideración dirigido a EL BANCO, aportando las argumentaciones y las pruebas que estime del caso. INCOCREDITO dará traslado del recurso a EL BANCO, quien decidirá al respecto dentro de los cinco (5) días siguientes. MEDIDAS PROVISIONALES: Durante el curso del proceso, los Bancos Pagadores afectados y/o EL BANCO podrán adoptar medidas temporales de protección del sistema las cuales estarán vigentes hasta la fecha en la que profiera la decisión final. NOTA: Para cerrar el ciclo del Debido Proceso, se cita al establecimiento inscrito a una reunión de la que se sentará un acta (GSR-FO-37) donde se le informa de los resultados de la investigación, las recomendaciones, posibles decisiones o medidas tomadas por el sistema de pagos y/o entidad financiera. En esta etapa se relaciona entre otros aspectos, datos, situación actual del establecimiento, respuesta del GSR-MR-01 (19/02/2013) Version 3 19 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS establecimiento, detalles resultado de la investigación, intensión de devolución de dineros, capacitación, compromiso establecimiento a solucionar la situación, observaciones, así mismo se relacionaran las fallas detectadas relacionando textualmente los incumplimientos evidenciados a la relación contractual. 3.4 Para garantizar el debido proceso y el derecho de defensa en la actuación que adelanta INCOCREDITO frente a establecimientos que han suscrito el REGLAMENTO DE AFILIACIÓN AL SISTEMA DINERS se surtirá de acuerdo al procedimiento establecido en este manual en el numeral 1, lo anterior mientras el Sistema incorpora la cláusula del debido proceso en su reglamento de afiliación. NOTA ESPECIAL: Para las investigaciones que se generan por Posible Punto de compromiso y para dar cumplimiento al debido proceso se aplican formatos puntuales en los siguientes casos: GSR-FO-99 Notificación apertura de investigación y solicitud de información por Punto de Compromiso, GSR-FO-97 Comunicación Preventiva por Punto de compromiso, GSR-FO-98 Confirmación de Incumplimientos por Punto de compromiso, GSR-FO-100 Notificación Suspensión Preventiva por Punto de Compromiso GSR-FO-101 Requerimiento por Punto de Compromiso. 3.5 GENERALIDADES PROCESO DE INVESTIGACION PRUEBAS DOCUMENTALES: Los comprobantes de venta aportados por el establecimiento de comercio son los documentos sobre los que se hace análisis para detectar situaciones irregulares, procurando cotejarlos con otro tipo de soportes de la transacción, tales como facturas, cotizaciones, cartas, contratos, descripción de los hechos, etc. PRUEBAS TESTIMONIALES: Se obtendrá y registrará la información obtenida mediante entrevista y/o indagación con personal vinculado al establecimiento y que de alguna forma está relacionado con las transacciones que son objeto de investigación, así mismo las operaciones presuntamente irregulares que se hayan encontrado o alertado. La información servirá para detectar debilidades, amenazas, y evidenciar fortalezas que tiene la operación de venta con tarjetas de crédito y débito en el establecimiento. De igual forma mediante observación se registrará con análisis crítico información sobre infraestructura administrativa, operativa y física del Establecimiento, frente a los hechos e información que son materia de investigación, como actividad comercial a la que se dedica, promedio de venta frente a mercancías, promedio de facturación, organización GSR-MR-01 (19/02/2013) Version 3 20 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS contable, soportes contables, capacitación, seguridad, manejo de las transacciones en la venta con tarjetas, etc. CONSIDERACIONES GENERALES SOBRE VISITAS A ESTABLECIMIENTOS: Registrada en acta de visita a establecimiento • Análisis integral de la información obtenida: Documental, Verbal. La visita tiene como fin obtener información y facilitar detalles a la persona o personas que le están atendiendo. Se confirmaran los datos del establecimiento registrados en la hoja de vida del comercio en: Código Único, Razón Social, Nombre Comercial, Nit., Actividad Comercial, Tipo de Sociedad, Dirección, Teléfono, a que Sistemas está afiliado, Entidades Adquirentes, Nombres y Apellidos del Propietario. Se solicitara como pruebas para verificación y confrontación, los comprobantes de venta, facturas y otros documentos que soporten las operaciones que son objeto de investigación; se solicitará el aporte de los mismos para determinar la validez de la operación. Se indagara por las personas que intervinieron en la operación para su respectiva entrevista, con el fin de conocer pormenores de las transacciones, sobre la operación y el procedimiento seguido en la venta. Se revisará, verificará y confrontará la numeración de la papelería o comprobantes de venta que tenga en uso el establecimiento, así como la papelería disponible, fecha de la transacción contra la fecha de la factura y su valor.( Operación Manual ) Se comparan los datos de la factura tales como: beneficiario, dirección y teléfono contra los comprobantes de venta, para determinar correspondencia con tarjetahabientes. Toma de grafías de los vendedores que atendieron y participaron en las operaciones, y cuando se considere necesario a los demás empleados del establecimiento. Indagación de las personas que han recibido capacitación sobre la operación segura con transacciones de tarjetas de crédito y débito. GSR-MR-01 (19/02/2013) Version 3 21 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Se adelantaran los análisis y estudios grafológicos, documentológicos, del material aportado. Informe de resultados el cual contendrá un capítulo con la descripción en detalle del reglamento las, Cláusulas, Numerales y Literales evidenciados en la investigación como de incumplimientos a los reglamentos y/o contratos de afiliación de los comercios a los Sistemas de Tarjetas y /o Entidades Financieras se deberá relacionar el reglamento de cada uno de los sistemas de tarjetas. 4. COMITE DE RIESGO REGIONAL 4.1 CONFORMACION Es el órgano encargado de atender prioritariamente los intereses de seguridad e integridad en la industria de los medios de pago, intereses que no solamente cuentan en favor de las entidades administradoras de sistemas de pago, sistema de marca y/o entidades financieras, sino que proyectan sus beneficios al mercado, al sector comercio y a la comunidad general. No es un órgano decisorio sino de análisis, coordinación y consultivo. Hacen parte de dichos Comité CREDIBANCO, REDEBAN MULTICOLOR, BANCO DE OCCIDENTE y BANCO DAVIVIENDA, a través de los funcionarios de perfil técnico debidamente facultados para participar en el mismo. Las evaluaciones de riesgo o cumplimiento y recomendaciones desarrolladas por INCOCRÉDITO y que vayan a ser ventiladas dentro de dicho comité, se comunicarán de manera previa a sus participantes y a las Entidades Financieras con interés directo en la respectiva materia. Tales evaluaciones contienen análisis y recomendaciones que no relevan a los sistemas de pago y/o entidades financieras de efectuar su propio análisis y decidir su línea de acción, ni les inhibe de separarse de dichos informes. No obstante el carácter técnico de la actividad, es entendido que las ciencias forenses no constituyen una ciencia exacta. Efectuado el correspondiente análisis de casos y escuchadas las recomendaciones de INCOCRÉDITO y de los pares técnicos que integran el comité, cada una de las GSR-MR-01 (19/02/2013) Version 3 22 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS entidades afectadas con o sin asiento en el comité tomarán de manera autónoma sus decisiones. Las decisiones individuales tomadas por los representantes de Entidades Financieras adquirentes y/o sistemas de tarjetas se enmarcarán en todo caso, dentro de las relaciones contractuales y/o reglamentarias correspondientes. La Entidad Administradora de Sistema de Pago y/o la Entidad que conforme a sus reglamentos deba tomar las respectivas decisiones derivadas de los resultados de los Procedimientos de Investigación adelantados por Incocrédito, informará a los otros miembros del Comité, en desarrollo de las reuniones ordinarias, aquellas decisiones que haya adoptado dentro del periodo comprendido entre la reunión anterior y la reunión actual. Las evaluaciones de riesgo y cumplimiento relacionadas con tarjetas o Establecimientos de Comercio afiliados a American Express se comunicarán a BANCOLOMBIA, la que tomará la decisión correspondiente. El Manual de Riesgos de establecimientos constituye un instrumento regulador de las actividades propias de los Comités de Riesgo Regionales y de las acciones operativas encomendadas a INCOCREDITO en virtud de sus Estatutos, de la delegación contenida en los contratos o reglamentos de afiliación, Reglamentos de Comercio y del Contrato de Mandato suscrito con cada uno de los Sistemas de Tarjetas Crédito y Débito y/o acordado en el marco de los acuerdos de servicios con las Entidades Financieras o las Entidades Administradoras de Sistemas de Tarjetas, según el caso. Con el fin de tener la mayor coordinación posible en las acciones operativas, se debe tener en cuenta que los aspectos normativos y reglamentarios que contiene el Manual, en concordancia con sus Políticas y Principios, son de obligatorio acatamiento, tanto para quienes representan a los Sistemas de Tarjetas Crédito y Débito y de las Entidades Financieras como para los funcionarios de INCOCREDITO. 4.2 FACULTADES El Comité de Riesgo Regional tiene la función primordial de coordinar los análisis y evaluaciones de las irregularidades y fraudes cometidos con el uso de las tarjetas y del incumplimiento contractual de los Establecimientos que las admiten en sus transacciones por ventas y servicios. Por tal razón sus delegados, están expresamente facultados para deliberar sobre los casos presentados a su consideración, para analizarlos objetivamente y para valorar con verdadero criterio las GSR-MR-01 (19/02/2013) Version 3 23 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS irregularidades, fraudes e incumplimientos implícitos en ellos, con el fin de poder tomar, en forma responsable, las medidas pertinentes preventivas, correctivas que el asunto amerite, aplicando los criterios planteados en este documento y teniendo en cuenta los principios generales de la sana crítica, los principios que infunden este Manual y las políticas trazadas para el desarrollo del mismo. Se debe tener en cuenta a qué Sistemas de Tarjetas de Crédito y Débito se encuentra afiliado el Establecimiento objeto de evaluación y análisis, para efectos de que sea exclusivamente la Entidad Administradora de Sistema de Pago y/o Entidades Financieras afectadas dentro del sistema, según el caso, quienes deliberan y toman la decisión al respecto, sin que ello implique que los demás representantes de los Sistemas de Tarjetas Débito y Crédito y Entidades Financieras, en el Comité, no puedan compartir experiencias y aportar elementos de juicio sustanciales sobre el caso. INCOCREDITO, por su parte, está facultada para presentar a su consideración el o los casos objeto de estudio y su función es la de suministrarle la información suficiente que le permita tomar, en forma objetiva, la decisión a que haya lugar, información que deberá estar soportada en el análisis de riesgo correspondiente. Las Entidades Financieras, tanto Emisoras como Adquirentes, son responsables en los términos de los Reglamentos Operativos de cada sistema de pagos y de la ley, de prevenir y controlar el fraude que afecte su posición como emisor y/o como adquirente, según el caso, y de evitar que la propia institución o el Sistema de Pago sea utilizado como instrumento en el lavado de activos o en la financiación del terrorismo. En atención a lo anterior, las Entidades Financieras pueden adoptar las medidas que hayan pactado en sus respectivos contratos bancarios o que estén previstas en los Reglamentos Operativos de los Sistemas de Pago a los que pertenecen o con los que tengan relación, tales como el bloqueo o cancelación de la cuenta de depósito, la terminación del contrato de afiliación y/o contrato bancario donde se regule la relación de aceptación, cuando sea parte en el mismo, o la solicitud de bloqueo temporal o definitivo, entre otras medidas. La solicitud de bloqueo temporal o definitivo procederá cuando la Entidad Financiera sea el único adquirente del respectivo establecimiento de comercio, dentro de un Sistema de Pago o cuando exista pleno consenso entre las Entidades Financieras que obren como adquirentes del establecimiento de comercio en cuestión. GSR-MR-01 (19/02/2013) Version 3 24 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS En el evento de que una entidad administradora de un Sistema de Pago de Bajo Valor registre a través de sus mecanismos de monitoreo o por conducto de otros participantes locales o internacionales, alarmas o noticias de fraudes o posible fraudes o ataques, o cuando en las mismas condiciones tenga noticia de eventos que puedan implicar un riesgo reputacional para el Sistema de Pago, podrá, en adición a las medidas previstas en sus Reglamentos Operativos, proceder al bloqueo preventivo o definitivo del código único, cuando las circunstancias del caso justifiquen una reacción inmediata a nivel de Sistema, a juicio de la respectiva entidad administradora del sistema de pago, todo lo cual se entiende sin perjuicio de las cargas y obligaciones de las entidades financieras emisoras y/o adquirentes en materia de la prevención y control del fraude y del control y prevención del lavado de activos a las que se acaba de hacer 4.3 RESPONSABILIDAD BASICA DEL COMITE RIESGO REGIONAL: Efectuar el análisis y la evaluación de las irregularidades y fraudes cometidos con el uso de las tarjetas y el incumplimiento contractual de los Establecimientos que las admiten en sus transacciones por ventas y servicios, de acuerdo con este Manual, para que la Entidad Administradora de Sistema de Pago y/o la Entidad Financiera que conforme a sus reglamentos tome la respectiva decisión. 4.4 REUNIONES 4.4.1 LUGAR Y PARTICIPANTES Se llevarán a cabo en el lugar que para tal efecto señale INCOCREDITO y a ellas asistirán por derecho propio y por parte de esta entidad, el Gerente Regional quien actuará como Coordinador de la reunión y el subgerente de la Regional quien ejercerá las funciones de Secretario. Por parte de los miembros permanentes por derecho propio del Comité, el representante legal de cada uno de ellos o la persona debidamente designada para tal efecto. La persona que asista por ellos a la sesión de un comité, se entenderá por este solo hecho, facultado para tomar decisiones en nombre de la entidad correspondiente o para comunicar las decisiones tomadas por la entidad responsable. 4.4.2. CLASES ORDINARIAS: Se hace mensualmente, de acuerdo con la programación aprobada, de acuerdo a calendario definido por el Comité. GSR-MR-01 (19/02/2013) Version 3 25 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Las reuniones Ordinarias serán convocadas por INCOCREDITO de acuerdo con la programación que apruebe el respectivo Comité de Riesgo Regional, mediante escrito enviado al funcionario delegado por el miembro con asiento permanente por derecho propio, y a las Entidades Financieras con interés específico en dicha sesión a juicio de INCOCRÉDITO, con una anticipación 8 días. EXTRAORDINARIAS: Por solicitud de alguno de sus miembros, estas reuniones serán coordinadas por Incocrédito quien convocará indicando el lugar, fecha (fuera de programación) y hora de la reunión con 5 días de anticipación. Se tratará un tema concreto y especial. 5. CONSOLIDACION DE HECHOS QUE CONSTITUYEN IRREGULARIDADES, FRAUDES E INCUMPLIMIENTO CONTRACTUAL POR PARTE DEL ESTABLECIMIENTO QUE IMPLICAN LA APLICACION DE MEDIDAS. 5.1 Con el fin de describir en detalle cada uno de los hechos que constituye irregularidades, fraudes e incumplimientos contractuales por parte del establecimiento de comercio frente a cada uno de los reglamentos de los sistemas de tarjetas se relacionan cada una de estas cláusulas descritas en forma detallada, así mismo contiene la tabulación del incumplimiento para ser informada al Comercio, Entidad Financiera y Sistemas de Tarjetas. 1. No asistencia al curso de capacitación impartido por la entidad adquirente y/o el Sistema de Tarjetas de Crédito y Débito o por INCOCREDITO. 2. Rechazar en cualquier momento, en los procesos de facturación por ventas y servicios, las tarjetas Crédito y Débito emitidos por las entidades financieras en el país o en el exterior o cualquier otra que sea emitida por las entidades asociadas. 3. Realizar transacciones con tarjeta sin que esté presente el tarjetahabiente o sin que éste exhiba debidamente sus documentos de identidad. (Ventas en ámbito Presencial) 4. No cotejar plenamente los datos del plástico presentado con los del documento de identidad que se exhibe. 5. No solicitar la autorización a la Entidad Financiera y/o el Sistema de Tarjetas Crédito y Débito para cada transacción o, cuando aquélla es solicitada, no escribir GSR-MR-01 (19/02/2013) Version 3 26 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS en la casilla correspondiente del pagaré el número de la referencia de dicha autorización. 6. No Custodiar, guardar ni conservar los equipos y bienes entregados a través de contrato de Comodato o préstamo de uso. 7. Aceptar, como pago por sus ventas, comprobantes que presenten los clientes con la información de la tarjeta ya impresa para obviar la presentación de ésta. 8. No exigir que el comprobante sea firmado por el tarjetahabiente quien deberá hacerlo en presencia del comerciante, o su funcionario delegado, escribiendo también el número de su documento de identidad. 9. Trasladar al tarjetahabiente valores que le corresponde asumir al Establecimiento, ya sea por disposición legal como es el caso de impuestos, gravámenes, contribuciones y similares, cobrar o trasladar la comisión al Tarjetahabiente por acuerdo contractual como lo es el valor de la comisión pactada por la utilización de la tarjeta como medio de pago. 10. Aceptar o Efectuar ventas con tarjetas cuyo plazo de vigencia o cuya cancelación o extravío o retención hayan sido comunicados que no estén vigentes. 11. Aceptar tarjetas que presenten alteraciones, enmendaduras, adulteraciones, falsificaciones, con montaje alteracionesen la banda de la firma, robadas, extraviadas o cualquier anomalía. 12. No retener las tarjetas cuando así se le indique el Banco Emisor o el Sistema de Tarjetas Crédito y Débito respectivo a través de cualquier medio o no informar sobre la retención efectuada. 13. Facilitar a terceros la placa imprinter, la papelería o cualquier otro elemento que le ha sido asignado para uso exclusivo del Establecimiento. 14. Efectuar avances en efectivo, cambiar cheques, descontar o garantizar operaciones exigiendo o permitiendo su respaldo con pagarés o comprobantes de tarjetas emitidas por los Sistemas de Tarjetas Crédito y Débito. 15. No conservar durante el término previsto en los respectivos contratos o reglamentos, las copias de los comprobantes o pagarés generados por las GSR-MR-01 (19/02/2013) Version 3 27 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS transacciones, ya sean las realizadas con máquina imprinter o las efectuadas a través de medios electrónicos de transferencias de fondos y con el fin de tenerlas a disposición de los Sistemas de Tarjetas Crédito y Débito, de las entidades financieras en ellos asociadas y de INCOCREDITO. 16. No colaborar oportuna y eficazmente con su Entidad Financiera o el Sistema de Tarjetas Crédito y Débito y con INCOCREDITO, en las visitas Auditorías administrativas, investigaciones que se inicien y adelanten por motivos de irregularidades o fraudes con tarjetas cometidos en el Establecimiento. 17. No informar oportunamente a su Entidad Financiera y/o al Sistema de Tarjetas Crédito y Débito o a INCOCREDITO, las novedades que ocurran en su Establecimiento respecto al cambio de propietario, representación legal, administrador, dirección de su establecimiento o a reformas sociales de su entidad. 18. No aplicar las medidas y características de seguridad de las tarjetas (Holograma, logo de la franquicia, monograma, panel de firma, 4 primeros dígitos del número de la cuenta grabado en la tarjeta con los 4 dígitos impresos encima o debajo del número de cuenta. No Verificar que el número de la tarjeta (4 últimos) coincida con el que aparece en el display del datáfono una vez haya deslizado la tarjeta por el mismo. 19. Incumplimiento a las obligaciones contraídas por el comercio en los contratos de ventas especiales. 20. Incumplimiento de las cargas y obligaciones contraídas por el comercio en los contratos o acuerdos de afiliación y/o en los reglamentos que rigen su permanencia dentro del sistema de pagos correspondiente, a los que se entiende ha adherido. 21. Hacer adaptaciones o cualquier tipo de prueba o intervención, y no Responder por los daños del equipo diferentes al normal uso del mismo, no permitir la inspección de los mismos. 22. La inclusión del Afiliado, sus directores o administradores, como sospechosos o responsables de actividades de lavado de activos en los listados de la OFAC, o en reportes de autoridades locales competentes. GSR-MR-01 (19/02/2013) Version 3 28 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 23. No guardar absoluta reserva sobre la información que almacene del tarjetahabiente en desarrollo del contrato; para tales efectos a) no cumplir con Almacenar todos los datos del tarjetahabiente en forma cifrada en un área limitada al personal autorizado del AFILIADO, b) No limitar el acceso a la plataforma de la computadora. d) No Proteger el acceso a servidores de archivo, e) No separar los datos de carácter comercial sobre los tarjetahabientes de la demás información. 5.2. PARAMETROS A TENER EN CUENTA PARA LA APLICACIÓN DE LAS MEDIDAS DE ACUERDO A MODALIDAD DE FRAUDE COMO INCUMPLIMIENTO A LA ACEPTACIÓN DE TARJETAS QUE PRESENTEN ALTERACIONES, ENMENDADURAS, ADULTERACIONES, FALSIFICACIONES, CON MONTAJE, ALTERACIONES EN LA BANDA DE LA FIRMA, ROBADAS, EXTRAVIADAS O CUALQUIER ANOMALÍA. 5.2.1 TIPOS DE TRANSACCIONES: Son formas de utilización y pago con tarjeta en los cajeros y establecimientos afiliados en donde se acude a la utilización de diferentes dispositivos como Datáfono Inteligente, y Maquina Imprinter. Para la clasificación de las modalidades de fraude con tarjeta existen tres tipos de transacciones: Transacciones manuales, Transacciones electrónicas y Transacciones sin la presencia del plástico 1. TRANSACCIONES MANUALES: Aquellas que se realizan haciendo uso de la máquina imprinter del establecimiento y de un comprobante único de venta en donde es necesaria la presencia del plástico. 2. TRANSACCIONES ELECTRONICAS: Aquellas que se realizan haciendo uso de un datáfono el cual arroja un comprobante electrónico, que debe ser firmado por el titular, luego de validar la información contenida en la banda magnética de la tarjeta presentada. GSR-MR-01 (19/02/2013) Version 3 29 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 3. TRANSACCIONES SIN LA PRESENCIA DEL PLÁSTICO: Aquellas que se realizan haciendo uso de información privilegiada que se suministra por diferentes fuentes, donde no se exige la presencia del titular, logrando validar una transacción comercial. Este tipo de transacciones se puede presentar en: Telemercadeo Por Internet Otras modalidades de venta no presencial (ventas telefónicas, por celular, domiciliaciones, etc.). 5.2.2 CLASIFICACIÓN GENERAL 1. FRAUDE REALIZADO CON TARJETA AUTÉNTICA Aquel que se realiza presentando un plástico original en el comercio. 1.1 tarjeta hurtada o extraviada 1.2 autoría o coautoria del tarjeta habiente 1.3 tarjeta emitida con documentos falsos 1.4 fraude con tarjeta después de ser devuelta por el titular 1.5 doble facturación 1.6 fraude con tarjeta gemela 2. Fraude realizado con tarjeta alterada: 2.1 tarjeta alterada en el realce 2.2 tarjeta alterada en la banda magnética 3. Fraude realizado con tarjeta integralmente falsa: 4. Fraude realizado sin la presencia del plástico: 4.1 Telemercadeo 4.2 Comprobante previamente elaborado 4.3 Internet 1. FRAUDE REALIZADO CON TARJETA AUTÉNTICA 1.1 TARJETA HURTADA O EXTRAVIADA GSR-MR-01 (19/02/2013) Version 3 30 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS El uso de la tarjeta extraviada antes de su bloqueo en el centro de autorizaciones configura el fraude, puede presentarse una cédula auténtica o una cédula falsa para la transacción. La detección en el comercio dependerá en gran parte de la rapidez en el bloqueo y de la verificación de datos como la edad, la estatura, y morfología de quien se presenta al comercio comparado con la cédula de ciudadanía. Es una modalidad que no es fácil responsabilizar al comercio UTILIZACIÓN INDEBIDA (AUTORIA DEL TARJETA HABIENTE) Si es el mismo tarjetahabiente quien la utiliza y luego niega la transacción se denomina Autoría del tarjeta habiente o si la presta a un tercero con la intención de cometer el fraude se trata de utilización indebida; generalmente se presenta con cédula auténtica. En algunos casos se presenta la auto falsificación, o mutación de la propia firma del titular para luego negar la transacción. Cuando se presta la tarjeta a un tercero generalmente se trata de imitar la firma del titular para validar la transacción. 1.3 TARJETA EMITIDA CON DOCUMENTOS FALSOS La tarjeta se obtiene mediante el suministro a la entidad emisora de documentos e información de un ciudadano real (suplantación de persona) o inexistente. En esta modalidad se hacen abonos a la tarjeta para generar saldos favorables; para que se configure el fraude debe existir la reclamación de la entidad financiera. 1.4 FRAUDE CON TARJETA DESPUES DE SER DEVUELTA POR EL TITULAR Si no se siguen los procesos adecuados de control, custodia del plástico, y destrucción del mismo, se facilita la utilización dolosa de la misma por el funcionario que la recibe ya sea de la entidad financiera o del proveedor. GSR-MR-01 (19/02/2013) Version 3 31 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 1.5 DOBLE FACTURACIÓN Se comete directamente en el establecimiento cuando de manera intencional al cancelar un servicio se imprimen otros comprobantes (manual o por datafono) con el desconocimiento del tarjeta habiente. En los comprobantes adicionales se imita la firma del titular, si es comprobante electrónico aparecerán en algunos de ellos los datos del titular como número de cédula, nombres y apellidos. En la mayoría de los casos se trata de transacciones simultáneas, que se pueden verificar observando el número consecutivo de la papelería, y la fecha y hora de la transacción. 1.6 FRAUDE CON TARJETA GEMELA Esta modalidad aunque poco frecuente se presenta cuando se expiden dos tarjetas de idéntica información por una entidad autorizada y solo una de ellas se entrega al titular mientras que la otra es utilizada para cometer fraude. La tarjeta que se duplica y que se presenta al comercio es autentica en todas su partes. 2. FRAUDE REALIZADO CON TARJETA ALTERADA: Aquel que se comete con un plástico auténtico, emitido por una entidad financiera y al cual se le modifica alguna de sus partes correspondientes a la información allí contenida bien sea en su alto o bajo relieve, o en la banda magnética. 2.1 TARJETA ALTERADA EN EL REALCE Generalmente son utilizadas en transacciones manuales, con plásticos originales deteriorando además la banda magnética para obligar al comercio a que se realice con la máquina imprinter. Cualquier señal de manipulación del plástico como variación en la forma de los dígitos, pérdida de brillo del holograma, opacidad son indicios primarios de una tarjeta adulterada. Se puede presentar acompañada de una cédula Falsa o Auténtica. GSR-MR-01 (19/02/2013) Version 3 32 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 2.2 TARJETA ALTERADA EN LA BANDA MAGNETICA Aquellos que se realizan a través de datáfonos o de cajeros automáticos utilizando plásticos en cuya banda magnética han grabado información de una tarjeta activa. La información puede ser adicionada en la banda magnética de un plástico, o al borrar y adicionar información en la banda magnética de una tarjeta debito o crédito auténtica. Mediante el copiado o grabado de información se comete el fraude que puede ser además en tarjetas con falsificación integral. El documento de identificación presentado puede ser falso o auténtico 3. FRAUDE CON TARJETA INTEGRALMENTE FALSA Aquel en el que se utiliza un soporte de características similares a los plásticos emitidos por las entidades financieras el cual es impreso, grabado y codificado con información privilegiada, simulando una tarjeta expedida por una entidad financiera. Estas tarjetas son elaboradas en su totalidad por los estafadores sometiendo el plástico a procesos de impresión y realce de la información, y tiene como característica la falta de nitidez, de definición de color y ausencia de textos microimpresos en su mayoría. La tarjeta falsa integralmente puede presentarse junto con un documento auténtico o uno falso. Los tres primeros grupos de la clasificación global (tarjeta auténtica, tarjeta alterada y tarjeta integralmente falsa) son utilizados en transacciones de tipo manual, y electrónica. 4. FRAUDE REALIZADO SIN LA PRESENCIA DEL PLÁSTICO 4.1. Con las nuevas tecnologías de la comunicación es posible acceder a productos y servicios a través de la red pública de Internet o través de la línea telefónica para lo cual basta hacer uso de información privilegiada como número de cuenta o número de tarjeta, fecha de validez, etc. (fraude por telemercadeo). GSR-MR-01 (19/02/2013) Version 3 33 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 4.2. En operaciones manuales otra modalidad ocurre con los comprobantes previamente diligenciados que se presentan en los establecimientos y la impronta que se observa en el comprobante se realiza en lugar diferente al punto de venta proveniente de un elemento distinto a una tarjeta de crédito legalmente emitida (placas metálicas, esquelas, licencias de tránsito, carnets de identificación, etc.), incluida la firma del supuesto tarjetahabiente, para ser posteriormente presentado al establecimiento, y solicitar la autorización respectiva diligenciado la demás información requerida. Esta modalidad se define como aquella en la que el comprobante que presenta el estafador en el establecimiento con datos ya impresos de una tarjeta activa, utilizando para elaborarlo elementos distintos al plástico original. Se presenta en algunos casos la falsificación por recorte o fragmentación en la que se organizan y se arman fragmentos de plásticos originales sobre un soporte para unirlos con información válida de una tarjeta de crédito, y posteriormente se imprime sobre un comprobante de venta manual el resultado final para luego presentarlo al establecimiento y solicitar sobre este la autorización respectiva. 6. MEDIDAS PREVENTIVAS Y SANCIONATORIAS 6.1 CRITERIOS PARA LA TOMA Y APLICACIÓN DE MEDIDAS Y ACCIONES Prima ante todo lo preceptuado en los artículos 22 a 25 de la Ley 222 de 1995 (inserta al nuevo Código de Comercio), que contemplan las facultades y restricciones, deberes y responsabilidades de los Administradores (liquidador, representante legal, factor, miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos ejerzan o detenten esas funciones). En segundo lugar se deberán aplicar los siguientes criterios: • CULPA GRAVE (DOLO) DEL PROPIETARIO DEL ESTABLECIMIENTO: El propietario del Establecimiento actúa de mala fe, con intención de defraudar. • CULPA DEL PROPIETARIO DEL ESTABLECIMIENTO: El propietario del Establecimiento ha sido negligente en el cumplimiento de sus obligaciones. GSR-MR-01 (19/02/2013) Version 3 34 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS • CULPA GRAVE (DOLO) DE LOS EMPLEADOS DEL ESTABLECIMIENTO: Los empleados del Establecimiento han actuado de mala fe, con intención de defraudar. • CULPA DE LOS EMPLEADOS DEL ESTABLECIMIENTO: Los empleados de Establecimiento han actuado negligentemente en el cumplimiento de sus obligaciones. • REGISTRO HISTORICOS DEL ESTABLECIMIENTO Y/O SU PROPIETARIO: En caso de que el Establecimiento haya autorizado expresamente a los Sistemas de Tarjetas Crédito y Débito, a las Entidades Financieras vinculadas a los mismos o a esta Asociación para consultar datos, éstos deben tenerse en cuenta para la agravación o atenuación del hecho. • REINCIDENCIA: Si con anterioridad el Establecimiento ha incurrido en alguna irregularidad o en incumplimiento de sus obligaciones contractuales. • CUANTIA: Monto de los dineros involucrados en el hecho. • CLASE DE ESTABLECIMIENTO: Hace relación a su actividad comercial, importancia y tiempo de vinculación contractual con el Sistema de Tarjetas Crédito y Débito y/o Entidad Financiera. 6.2 CLASES DE MEDIDAS Y ACCIONES 6.2.1 MEDIDAS PREVENTIVAS 1. BLOQUEO PREVENTIVO Esta medida consiste, como su nombre lo indica, en el bloqueo que efectúa preventivamente el Sistema de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente, según el caso, al Establecimiento con el fin de impedirle que realice operaciones con tarjetas. Está dirigida a neutralizar potenciales riesgos que, de no contrarrestarse, podrían conducir a una materialización del fraude o a un incremento en el monto del mismo, si ya fue detectado. Es una acción esencialmente temporal y con ella se busca ganar tiempo para proseguir, en forma adecuada, la correspondiente investigación y neutralizar cualquier posibilidad de nuevas irregularidades. GSR-MR-01 (19/02/2013) Version 3 35 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS La medida preventiva del Bloqueo se tomará por parte de INCOCREDITO siempre y cuando en el proceso inicial de investigación se haya establecido razonablemente la ocurrencia o riesgo de ocurrencia de un posible fraude. En los casos relacionados con los comercios en general, inmediatamente se detecte una alerta de fraude potencial, la Gerencia Regional de INCOCREDITO, deberá notificar, dentro del término de la distancia, la situación de alerta a los Sistemas de Tarjetas Crédito y Débito en los cuales el Establecimiento se encuentra inscrito y a las Entidad Financieras Adquirentes con las que tenga relación. Dichas entidades deberán efectuar de manera oportuna y diligente las actividades de evaluación de la correspondiente alerta, dando una respuesta por la misma vía dentro de las doce horas corridas, contadas desde el momento del envío por correo electrónico de la solicitud correspondiente. Surtido este período de doce horas sin respuesta, se entiende que no hay objeción alguna por parte del Sistema de Pago y/o Entidad Financiera Adquirente a la gravedad de la alerta y en consecuencia INCOCRÉDITO debe tramitar por cuenta del Sistema de Pago y/o la Entidad Financiera Adquirente la solicitud de bloqueo correspondiente. Cuando recibido el consentimiento explícito o tácito para adelantar el bloqueo por parte de alguna entidad, el mismo no pueda aplicarse por no existir el consenso necesario entre otras entidades que mantengan relación con el respectivo comercio, INCOCRÉDITO informará por correo electrónico a la entidad interesada en el bloqueo de esta imposibilidad, para efectos de que adopte, si lo estima pertinente, las medidas alternativas a su disposición para afrontar el riesgo de fraude. INCOCREDITO presentará, en la siguiente sesión del Comité de Riesgo Regional, el correspondiente análisis del caso con el fin de que sean los mismos Sistemas de Tarjetas Crédito y Débito y Entidades Adquirentes los que asuman directamente el asunto y decidan sobre el mismo. De igual manera, si solicitado el Bloqueo se recibieren respuestas diversas por parte de los Sistemas Tarjetas Crédito y Débito y las Entidades Financieras Adquirentes, aprobando unos el bloqueo y negándolo otros, INCOCREDITO tampoco procederá a bloquear preventivamente al Establecimiento pero hará lo propio respecto del asunto, presentándolo en la siguiente reunión del Comité Riesgo Regional con el fin de que allí se decida sobre el caso. Las Entidades Financieras Adquirentes tienen la posibilidad de bloquear o cancelar la cuenta de depósito del Establecimiento de Comercio, dentro de los términos y condiciones que haya acordado con el respectivo Establecimiento. GSR-MR-01 (19/02/2013) Version 3 36 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS En caso de que la solicitud hecha por INCOCREDITO para bloquear preventivamente los códigos de operación del establecimiento, fuere respondida afirmativamente por todos los Sistemas de Tarjetas Crédito y Débito y/o por las Entidades Financieras Adquirentes, según el caso, INCOCREDITO procederá a bloquear el Código Único al establecimiento, para cuyo efecto la Gerencia Regional reportará la novedad correspondiente al área de Código Único de la Dirección de Operaciones. Una vez capturada dicha novedad, el área de Código Único la reportará a los Sistemas, y Entidades Financieras según el procedimiento establecido para tal fin y éstos, en consecuencia, se obligan a aplicar la medida. A INCOCREDITO le corresponderá comunicar al Establecimiento la medida adoptada procediendo, cuando así lo considere conveniente, a retirar los implementos suministrados para la facturación (placa imprinter, papelería). De igual manera, la situación en que queda el establecimiento respecto del o de los Sistemas de Tarjetas Crédito y Débito y/o Entidades Adquirentes a los que esté afiliado, será registrada como novedad del comercio. Una vez bloqueado el Establecimiento, se aplicara el procedimiento contemplado para el debido proceso contenido en este manual para cada uno de los sistemas de tarjetas La entrevista como etapa de desarrollo de la investigación tiene por objetivo, entre otros, el de obtener mayor información sobre el caso y lograr que el Establecimiento haga la devolución de los dineros involucrados en el fraude y, para ello, se debe direccionar al Establecimiento para que consigne, en la cuenta indicada por cada uno de los Sistemas de Tarjetas Crédito y Débito y/o Banco Adquirente el monto de dinero correspondiente a la o las transacciones fraudulentas en caso de que no fuere posible hacer efectiva la figura de la COMPENSACION, pactada en los distintos contratos bancarios. Una vez efectuada la consignación o descontados los dineros por la vía de la COMPENSACION o recuperados por cualquier otro medio, el Establecimiento deberá hacer llegar a INCOCREDITO fotocopia del correspondiente comprobante y ésta se lo informará al respectivo Sistema de Tarjetas Crédito y Débito. y/o Entidad Adquirente. GSR-MR-01 (19/02/2013) Version 3 37 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Finalmente, si el Sistema de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente decide condonar al Establecimiento la obligación de devolución de los dineros en mención o negociar directamente la recuperación del dinero, se obliga a poner en conocimiento de tal hecho a INCOCREDITO, mediante comunicación escrita, con el fin de que obre en el expediente que contiene la investigación adelantada y se registre tal novedad. 2. LEVANTAMIENTO DEL BLOQUEO PREVENTIVO En muy contadas y excepcionales situaciones, podrá ocurrir que alguno de los miembros facultados de los Sistemas de Tarjetas Crédito y Débito y/ Entidad Financiera Adquirente tome la determinación de levantar la medida del bloqueo del Código Único a determinado Establecimiento y pretenda que tal determinación se haga efectiva antes de que se pronuncie en la reunión de Comité de Riesgo Regional respectivo para estudiar el caso y pronunciarse sobre el mismo. De presentarse esta eventualidad, deberá hacerse llegar a INCOCREDITO solicitud escrita originada en el o los Sistemas de Tarjetas Crédito y Débito y/o Banco Adquirente que han tomado tal decisión, solicitud que deberá, igualmente, llevar la firma del funcionario que tomó la determinación del levantamiento del bloqueo, quedando bajo su exclusiva responsabilidad el hecho de que, por el desbloqueo, ocurran nuevas irregularidades y se incremente el fraude. Presentada la solicitud en tal sentido, INCOCREDITO deberá proceder a informar por escrito, vía fax, o correo electrónico a los demás Sistemas de Tarjetas Crédito y Débito y/o Bancos Adquirentes que pudieran resultar afectados. Finalmente, esta solicitud de levantamiento del Bloqueo Preventivo hecha “extra comité” por uno o varios de los Sistemas de Tarjetas Crédito y Débito asociados y/o Bancos Adquirentes, no obliga en modo alguno a los demás Sistemas a asumirla hasta tanto no se tome la determinación en reunión del Comité Regional correspondiente y se les comunique en debida forma, de modo que se permita a tales sistemas de pago adoptar las medidas de mitigación del riesgo que estimen conducentes. GSR-MR-01 (19/02/2013) Version 3 38 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS 6.2.2 MEDIDAS CORRECTIVAS La totalidad de los casos relacionados con establecimientos en donde haya ocurrido alguna irregularidad en la utilización de las tarjetas y/o estén siendo investigados por incumplimiento de obligaciones contractuales o por presuntas situaciones de fraude (hayan sido o no bloqueados preventivamente), deberán ser llevados al Comité de Riesgo Regional para efectos de que los delegados facultados de los Sistemas de Tarjetas Crédito y Débito y las Entidades Financieras Adquirentes afectadas los analicen y valoren, tomen las decisiones correspondientes respecto a las medidas y acciones correctivas por aplicar. Para efectos de que los miembros autorizados del Comité tengan información suficiente en relación con los casos que van a ser puestos a su consideración en la reunión correspondiente, el respectivo Gerente Regional de INCOCREDITO, deberá enviar, con ocho (8) días de antelación a la fecha de su realización, un documento en el que se relacionen los casos por analizar, el fraude o los fraudes cometidos, el incumplimiento contractual, el nivel de riesgo al que se ha llegado, etc. y se suministren todos los demás datos que sean pertinentes al tema. Las medidas que a continuación se enumeran tienen la característica propia de ser autónomas e independientes unas de otras y, por lo tanto, cada una de ellas podrá tomarse con base en motivos y razones propias y específicos y aplicarse sin que necesariamente exija cualquiera de las demás como prerequisito. 1. COMUNICACIÓN PREVENTIVA Esta medida consiste en una comunicación escrita que la Gerencia Regional de INCOCREDITO, según el caso, envía al Establecimiento de Comercio en donde se presentó la irregularidad, el fraude o el incumplimiento contractual haciéndole un llamado de atención sobre la anomalía presentada y manifestándole la necesidad y obligatoriedad de que su propietario, administrador, representante legal y las personas que realizan las operaciones con tarjetas asistan, dentro de un término no superior a treinta (30) días hábiles siguientes, a un curso de capacitación obligatoria. Si las mencionadas personas no asisten al curso de capacitación, se llevará el caso a la siguiente reunión del Comité de Riesgo Regional con el fin de que éste lo considere y decida qué medidas se toman o qué acciones se han de seguir respecto al Establecimiento amonestado. GSR-MR-01 (19/02/2013) Version 3 39 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Toda Comunicación Preventiva deberá ser comunicada a los Sistemas de Tarjetas Crédito y Débito y Bancos Adquirentes. De todas maneras, INCOCREDITO deberá adelantar las gestiones necesarias con el fin de lograr el reintegro de los dineros comprometidos a raíz de la irregularidad o fraude y del resultado de esta labor informará a los Sistemas de Tarjetas Crédito y Débito y a las Entidades Financieras Adquirentes en la siguiente reunión del Comité Regional u Operativo, según el caso. 2. SUSPENSION PROVISIONAL Esta medida correctiva provisional consiste en la prohibición por parte del Sistema de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente, según el caso, al Establecimiento, para que siga facturando sus ventas y servicios con tarjetas y, para cuyos efectos, el mismo Sistema de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente, según el caso, decide bloquear sus códigos o cuenta de depósito mantenerlos bloqueados si ya lo estaban preventivamente. La medida correctiva se aplicará cuando los integrantes de los sistemas y/o entidades Financieras afectadas en el Comité de Riesgo Regional así lo decidan en virtud del informe presentado por Incocrédito, respecto a que se ha comprobado no sólo el fraude o la irregularidad riesgosa sino la poca o ninguna colaboración del Establecimiento para subsanarla o para tomar las acciones necesarias que permitan contrarrestarla. La decisión de sancionar, aplicando o manteniendo el bloqueo, la tomarán los representantes de los Sistemas de Tarjetas Crédito y Débito y/o de las Entidades Financieras Adquirentes afectadas, según el caso, en la reunión de Comité de Riesgo Regional. La Gerencia Regional de INCOCREDITO, será la encargada de comunicar la medida al Establecimiento. INCOCREDITO estará facultada, además, para retirar de las instalaciones del Establecimiento los implementos que a éste le fueron asignados, tal como se mencionó en la medida de Bloqueo Preventivo. Cuando se tome esta medida de Suspensión Provisional y el Establecimiento ya estuviere bloqueado preventivamente y se le hubiere comunicado tal decisión, no será necesario generar una nueva comunicación para hacerle conocer la SUSPENSIÓN PROVISIONAL, salvo que se considerare necesario emitir una comunicación en tal sentido. GSR-MR-01 (19/02/2013) Version 3 40 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS La Gerencia Regional de INCOCREDITO, una vez tomada la decisión de Suspensión Provisional, reportará la novedad correspondiente al área de Código Único y ordenará que se haga el registro respectivo en el Sistema de Información de INCOCREDITO. Si el Establecimiento reintegra los valores o soluciona el problema con el o los Sistemas de Tarjetas Crédito y Débito y/o Entidades Financieras adquirentes afectado o afectados, deberá enviar a INCOCREDITO una solicitud para que le sea levantada la medida, adjuntando copia de la consignación del dinero correspondiente al monto neto de la transacción irregular. El asunto se presentará al Comité para las respectivas consideraciones y decisiones. La decisión de levantamiento de la Suspensión Provisional igualmente será reportada como novedades a las áreas de Código Único y Sistema de Información de INCOCREDITO. La novedad de cambio de estado reportada al área de Código Único será informada a los Sistemas de Tarjetas Crédito y Débito a través de medio magnético, según el procedimiento establecido para ello. Para efectos de manejar el tema en los Comités, deberá tenerse en cuenta, en todos los casos y como consideración básica para el levantamiento de la medida, el concepto de riesgo, el cual debe primar siempre independientemente de si el establecimiento consigna o no el dinero involucrado en la defraudación. Por eso es importante que los documentos que se lleven de soporte al Comité respecto de Establecimientos bloqueados por irregularidades o relacionados con situaciones de fraude o incumplimientos contractuales, contengan implícito el análisis de riesgo En todos y cada uno de los casos, así como una propuesta de medida a aplicar al establecimiento. 3. TERMINACION DE LA AFILIACIÓN ESTABLECIMIENTO DE COMERCIO. O INSCRIPCIÓN DEL Consiste en la decisión de dar por terminada la afiliación del Establecimiento de Comercio a un Sistema de Tarjetas Crédito y Débito, por parte de la GSR-MR-01 (19/02/2013) Version 3 41 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Entidad Administradora del Sistema de Pago y/o por parte de la Entidad Financiera Adquirente. Es una medida extrema a la que se llega, ya sea por la magnitud e implicaciones del fraude comprobado, ya por la situación insuperable de alto riesgo en el modus operandi con las tarjetas de crédito o débito y/o por los incumplimientos contractuales. La decisión de aplicar esta medida definitiva se puede tomar con base en tres situaciones distintas: • Cuando la Entidad Financiera Adquirente sea quien afilie al Establecimiento de Comercio y así lo decida en el marco del contrato, acuerdo o reglamento correspondiente. • Cuando exista una relación directa de afiliación entre el Establecimiento de Comercio y la Entidad Administradora del respectivo Sistema de Pago y el Sistema de Pago así lo decida en desarrollo del contrato, acuerdo o reglamento correspondiente. • Cuando sin existir una relación directa de afiliación entre el Establecimiento de Comercio y la Entidad Administradora del Sistema de Pago, el Establecimiento de Comercio haya adherido al Reglamento de Comercio que regula la permanencia del mismo en el respectivo Sistema y la Entidad Administradora decide cancelar la matrícula de dicho establecimiento en desarrollo de las facultades que se haya reservado en el respectivo Reglamento. La terminación puede fundarse en el ejercicio de la facultad unilateral general de terminación de la relación o en una causal objeto de motivación especial. Un Sistema de Tarjetas Crédito y Débito o Entidad Financiera Adquirente que envíe a un funcionario que participe en la toma de la decisión, no la puede desconocer fundada en la supuesta falta de poderes o facultades del mismo. Así mismo, un Sistema de Pago o Entidad Financiera Adquirente que se margine de la toma de decisiones o no aplique las medidas objeto de acuerdo, asume la gravedad del riesgo o la eventualidad de nuevas irregularidades y/o fraudes. La responsabilidad exclusiva por tales eventualidades futuras recaerá en el Sistema de Tarjetas Crédito y Débito o la GSR-MR-01 (19/02/2013) Version 3 42 MANUAL PARA EL CONTROL DE RIESGOS EN ESTABLECIMIENTOS Entidad Financiera Adquirente que no participó o que no implementó las acciones acordadas. 7. SOLICITUD DE NUEVA AFILIACION: Cuando un Establecimiento al que se le hubiere aplicado la medida definitiva de Terminación Unilateral del Contrato, considere que han mejorado sus condiciones en forma sustancial y solicite nueva afiliación, el estudio, decisión y criterio para fijar el tiempo y condiciones para recibirla, será potestad única y exclusiva de la Entidad Financiera y/o Sistema de Tarjetas. 8. MONITOREO Y SEGUIMIENTO Si el Sistema o Sistemas de Tarjetas Crédito y Débito y/o la Entidad Financiera Adquirente, según el caso, con los que tiene contrato el Establecimiento sancionado o al que se le aplicó la medida del bloqueo preventivo, deciden levantar la medida y simplemente amonestar al Establecimiento en mención, asumirán la responsabilidad de monitorear o hacer seguimiento a las operaciones con tarjeta que allí se realizaren, por lo menos durante los tres (03) meses siguientes a la fecha en que fue tomada la decisión de levantamiento de la medida. INCOCREDITO, por su parte, deberá efectuar las correspondientes visitas de auditoría durante el mismo período, con el fin de tener conocimiento de causa, no sólo para rendir el informe sobre las operaciones ya mencionadas sino para estar en condiciones de hacer las sugerencias y recomendaciones pertinentes. El procedimiento contenido en este Manual se aplicará en general a todos los comercios afiliados a los Sistemas de tarjetas débito y crédito y/o Entidades Financieras, Adquirentes antiguos y nuevos que posean Código Único. DISTRIBUCION Y PUBLICACION DEL MANUAL DE RIESGOS: Gerencia General, Gerencia de Seguridad Gerencia Comercial y de Mercadeo, Gerencia Administrativa, Dirección de Apoyo Preventivo, Gerencias Regionales, Dirección de Operaciones, Sistemas, Gestión de Calidad, Sistemas de Tarjetas, Entidades Financieras, Establecimientos de Comercio. GSR-MR-01 (19/02/2013) Version 3 43