SBS Documento de Trabajo Este documento expresa el punto de vista del autor, y no necesariamente la opinión de la Superintendencia de Banca y Seguros SUPERINTENDENCIA DE BANCA Y SEGUROS BANCA ELECTRÓNICA: POSIBILIDADES, RIESGOS Y LINEAMIENTOS REGULATORIOS – UNA PRIMERA APROXIMACIÓN Luis Daniel Allaín Cañote Asesoría (Septiembre 2000 – Primera versión) Resumen El siguiente documento de trabajo tiene por objeto hacer una introducción a las operaciones de Banca Electrónica, presentar los actuales avances y operaciones que se dan en nuestro medio en esta materia, así como las posibilidades de expansión y desarrollo en el Perú, tomando como referencia la experiencia y desarrollos observados en otros países. Así mismo, se enfocarán los riesgos que asumen los agentes (tanto los bancos como sus clientes) al realizar operaciones de banca electrónica, y se darán algunos apuntes en temas de gerencia de riesgos que se deben desarrollar a fin de tratar adecuadamente este tema. Finalmente, se examinará la legislación existente en el Perú y en el mundo en materia de transacciones y banca electrónica, con el fin de plantear los lineamientos básicos que debe enfocar una propuesta regulatoria adecuada al tema en cuestión. E-mail del autor: [email protected] Quisiera agradecer a Ricardo Flores, Javier Poggi y Sofía Valencia por sus valiosos comentarios y recomendaciones a lo largo del desarrollo de este documento, así como a todas las personas que me enviaron sus comentarios, sin los cuales esta primera versión no hubiera podido salir. Por supuesto, cualquier error o inexactitud que se encuentre aún presente en el texto es de mi entera responsabilidad. BANCA ELECTRÓNICA: POSIBILIDADES, RIESGOS Y SUGERENCIAS REGULATORIAS – UNA PRIMERA APROXIMACIÓN I. INTRODUCCIÓN Durante los últimos años se ha observado un rápido desarrollo de las operaciones que se pueden llevar a cabo entre los bancos y sus clientes, destacándose aquellas operaciones que se realizan a través de terminales remotas tales como un cajero automático, líneas telefónicas y, más recientemente, a través de Internet. Sin embargo, no ha habido un estudio paralelo de las posibilidades y riesgos que plantea este nuevo tipo de relación entre el banco y sus clientes, tanto por la aún baja difusión que tales servicios tienen en la mayoría de los clientes de los bancos, como por la confusión de algunos términos y clasificaciones entre dichos clientes. Por esto, antes de empezar una discusión sobre Banca Electrónica, es conveniente aclarar previamente algunos conceptos claves. ¿QUÉ ES “BANCA ELECTRÓNICA”? Banca Electrónica es un término que hace referencia a los servicios que ofrece un banco, por los cuales se puede realizar cualquier tipo de transacción entre un cliente y dicho banco, iniciada mediante medios electrónicos, tales como una tarjeta de crédito, tarjeta de débito o algún dispositivo de almacenamiento de valor, con autorización expresa del cliente, con la cual se instruye al banco de cargar, debitar o transferir valor desde la cuenta indicada por dicho cliente. Por lo tanto, una transferencia electrónica, será toda aquella transacción que tenga las características mencionadas previamente1 Así pues, dentro de esta definición caen las compras hechas con tarjetas de crédito o débito desde un terminal que acepte pago con este tipo de tarjetas (Terminales de Puntos de Venta – PDV, o POS, por sus siglas en inglés), transferencias hechas a través de una “central telefónica inteligente”, operaciones desde un cajero automático y, por supuesto, cualquier 1 Esta definición es similar a la que se encuentra en la Electronic Funds Transfer Act (15 U.S.C – Sec. 1693), ley que da el marco legal de las transferencias electrónicas en Estados Unidos. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 3 tipo de operaciones realizado desde cualquier clase de programa o interfase “cliente” que transmita dicha información vía Internet. Por lo tanto, la Banca Electrónica no es más que una nueva forma de realizar diversas operaciones o recibir servicios varios a través de nuestro banco preferido y, a pesar de la novedad del término, es algo que hemos venido realizando desde hace ya bastante tiempo. Sin embargo, la expansión de los servicios ofrecidos por los bancos a través de Internet hace que el tema cobre especial relevancia. A lo largo de este documento, el enfoque se mantendrá, principalmente, en las transacciones que se llevan o pueden llevar a cabo a través de Internet, puesto que es el canal más novedoso en nuestro entorno; no obstante; los comentarios mencionados aquí no excluyen los otros canales mencionados previamente como posibles para realizar transacciones electrónicas. ANTECEDENTES DE LOS DESARROLLOS EN BANCA ELECTRÓNICA Como podremos ver en la siguiente lista, poco a poco los bancos han venido ofreciendo servicios de banca electrónica a sus clientes, los cuales han tenido aceptación cada vez mayor y han permitido los desarrollos actuales en esta materia. - Cheques: La introducción de la conciliación electrónica entre bancos, para agilizar los procesos de establecimiento de saldos en las cámaras de compensación. - Las tarjetas de crédito y de débito. La proliferación de sistemas PDV. Dichos sistemas han permitido el acceso e inicio de transacciones electrónicas a través de conexiones directas entre el banco, el vendedor y el cliente, para realizar operaciones de compraventa de bienes y servicios a través de una red “cerrada”, con cargo a las cuentas del cliente en el banco emisor de dichas tarjetas. - Los Cajeros Automáticos (o Sistemas de Trasferencia Electrónica de Fondos). En un principio, estos sistemas permitían el acceso a las cuentas del cliente en su banco, con el fin de obtener efectivo. Poco a poco, se le añaden facilidades tales como: consulta de saldos y movimientos, realización de transferencias a cuentas ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 4 propias, pagos a terceros, conversión de moneda (obtener moneda extranjera al tipo de cambio del banco, desde una cuenta en moneda local, o viceversa), etc. - La Banca Telefónica o Centrales Inteligentes, a través de las cuales los clientes pueden realizar consultas, pagos y transferencias por medio de la línea telefónica. - La Banca por Cable: Aprovechándose del sistema de cable cerrado (como el que funciona en Estados Unidos), algunos bancos diseñaron interfaces de acceso a través de la señal de cable, lo que viene a ser predecesor directo de las páginas web de los bancos en la actualidad. ¿QUIÉNES PARTICIPAN EN UNA TRANSACCIÓN ELECTRÓNICA? A diferencia de una operación directa en las oficinas del banco, en donde la relación de éste con el cliente es directa y “frente a frente”, en una operación electrónica pueden haber otros participantes no directamente identificados. Estos nuevos participantes le dan nuevas características a las operaciones electrónicas, así como las exponen a otros riesgos. Por esto, es importante identificar a estos participantes, así como a los derechos, deberes y responsabilidades que les corresponden. En una transacción electrónica convencional de banca electrónica se puede identificar a estos participantes: - El Banco del cliente que inicia la transacción. - El cliente que inicia la transacción - El proveedor de servicios de red (ya sea de la red de cajeros, del servicio que conecta la red de PDV, el o los proveedores de servicios de Internet, etc.) - Si la transacción es una compraventa de bienes o servicios, también interviene el vendedor del producto (asumiendo que es el comprador el que inicia el proceso de compra) y el banco con el que éste trabaja. - Las Autoridades de Certificación, quienes son (como se tratará posteriormente) los que se encargan de “identificar” a los participantes dentro de una red (ya sea una red interna o Internet)2. 2 Para una discusión acerca de cómo es que opera una Autoridad Certificadora, véase el Anexo 1. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 5 Cada uno de estos participantes posee ciertos derechos, está sometido a diversos riesgos y tiene determinadas responsabilidades, según lo acordado en la ley vigente y los contratos realizados entre las partes. En el presente documento nos enfocaremos en aquellos temas que conciernen al banco, a sus clientes y – por supuesto – a la autoridad regulatoria. ALLAÍN, Daniel. II. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 6 BANCA ELECTRÓNICA EN EL PERÚ El avance de la banca electrónica en el país no está tan profundamente desarrollado como se pudiera, principalmente debido a la escasa penetración de Internet en el hogar y la empresa, y al desconocimiento o temor de los posibles clientes acerca de sus derechos y responsabilidades en una transacción de este tipo. No obstante, el número de operaciones que se realizan a través de Internet ha venido en aumento en los últimos meses. En buena parte, esto se debe a los menores costos de transacción de dichas operaciones, tanto en términos de tiempo invertido como por el menor costo monetario de una transacción en línea; y al creciente menú de opciones accesibles desde las páginas web de los bancos. Para resaltar el primer punto, cabe mencionar que, según un informe de la American Banking Association, el costo de una transacción bancaria es de $1.07 si se realiza directamente en la ventanilla de una sucursal, de $0.27 cuando se emplea un cajero automático, pero tan sólo de $0.01 si se realiza por medio de Internet3. Además de las ventajas por reducción de costos, se puede encontrar otras ventajas de los servicios realizados a través de la banca electrónica, para los clientes, respecto de los canales tradicionales de operaciones con el banco: - Acceso las 24 horas del día, desde cualquier PC conectada a Internet - Reducción de las colas en las ventanillas y cajeros automáticos, así como reducción del costo de “suela de zapato”4 para el cliente que realiza sus transacciones en línea (es decir, a través de Internet). - Disponibilidad en tiempo real de la información más relevante, como consulta de saldos, revisión de requisitos, etc. - Disminución en el tiempo de procesamiento de la información, puesto que el banco la obtiene directamente a una base de datos, a través de un formato predefinido. 3 Citado en: E-Banca. pág 16 – 17. En: BUSINESS. Negocios en el Perú. Lima, Mercados Consultora y Publicaciones. Año VII, Nº 67 (Abril de 2000). 4 Se refiere al bajo costo en que incurre un agente por realizar una operación levemente molesta, pero que debe ser realizada varias veces (como ir a retirar pequeñas cantidades de dinero del banco, “gastando suela de zapato” conforme se va al banco y se regresa de éste). Es un costo relevante cuando se toma en cuenta sus efectos agregados a lo largo de un período de tiempo relativamente largo. ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 7 Transparencia de la información entre competidores, puesto que el cliente puede comparar los servicios, condiciones y tarifas que ofrecen distintos bancos por productos similares. Por otra parte, la aceptación de los productos y servicios que ofrece la banca electrónica es, como se mencionó previamente, aún limitado, debido a la falta de conocimiento, acceso o confianza de potenciales clientes. En una exposición realizada por Visanet en agosto de 20005 se presentaron los resultados de una encuesta realizada por ellos a un grupo de hispanos en Estados Unidos. Bajo la pregunta: “Razones para no comprar en Internet”, el 52.6% de las respuestas estuvieron relacionadas a temas de seguridad, siendo la principal respuesta: “No tengo confianza en el proceso” (29.9%), mientras que un 5% de los encuestados señaló tener algún problema de acceso a Internet. En la misma exposición, se señaló como principales barreras para la difusión de las transacciones vía Internet las siguientes: - Falta de una masa crítica de usuarios de Internet que promueva el desarrollo acelerado del comercio electrónico. - Bajo nivel de difusión de los sistemas de seguridad en las transacciones electrónicas, debido al costo de implementación de los protocolos de seguridad SSL y SET6 que se usan para proteger dichas transacciones. - Escaso desarrollo en los servicios de envío de productos (en el ámbito local e internacional). - Falta de una cultura de compra a distancia, o de realización de transacciones a distancia. Falta de confianza en estos sistemas. Sin embargo, el número de usuarios que ha empezado a usar estos servicios, a pesar de ser un grupo aún reducido, crece mes a mes, según informaciones de Telefónica. Además, 5 VISANET. Comercio Electrónico Seguro. Exposición realizada en el marco del Seminario: Comercio Electrónico – Fundamentos y Experiencias. PUCP, 14 – 16 de agosto de 2000. Las exposiciones realizadas se pueden encontrar en http://www.pucp.edu.pe/eventos/comelec 6 Protocolo SSL (Secure Sockets Layer, o Nivel de Conexiones Seguras), es un sistema de seguridad que se usa para proteger las comunicaciones entre dos computadoras o servidores. Protocolo SET (Secure Electronic Transaction, o Transacciones Electrónicas Seguras), es un sistema de seguridad que trasmite y valida las transacciones electrónicas cuando se hace una compra por Internet, usando una tarjeta de crédito o similar. Para una explicación de cómo es que funcionan estos protocolos, véase el anexo nº 2. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 8 dado el desarrollo y creciente nivel de aceptación dentro de sistemas de comercio electrónico locales (como los servicios que ofrece E. Wong, el Comercio, la Red Científica Peruana y otros portales peruanos), en parte por la implementación de sistemas de seguridad más potentes, de la mayor difusión de los productos y servicios que se ofrecen y del mayor acceso a Internet que se está dando gracias a la proliferación de cabinas, cibercafés y otros negocios que permiten conectarse a Internet, puede anticiparse que el siguiente sector de Internet en empezar a crecer en aceptación y uso masivo será el de la banca electrónica. PRODUCTOS Y SERVICIOS QUE SE OFRECEN ACTUALMENTE EN EL PERÚ En el mercado local, el alcance de los servicios de banca electrónica es aún limitado en comparación con lo que se observa en otros países. Sin embargo, ya existe una creciente gama de productos y servicios anunciados u ofrecidos en las páginas web de algunos bancos, lo cual se evidencia en el número de bancos que tienen páginas web. Sin embargo, hay que precisar que la mayoría de bancos sólo usa sus páginas para presentar sus productos o servicios, los cuales tienen que contratarse directamente en las oficinas del banco. Dentro de los productos y servicios que ya se ofrecen en línea7, se puede hacer la siguiente clasificación: a) Depósitos - La mayoría de los bancos ofrece una descripción del tipo de cuentas que los clientes potenciales pueden abrir en dicho banco, la cual es más o menos exhaustiva de acuerdo con la estrategia del banco. En algunos casos, se ofrece información sobre tarifas y cargos aplicables a dichas cuentas. - Los bancos que tienen más desarrollados sus respectivos sitios web ofrecen al cliente, además, la posibilidad de hacer consultas de saldos y últimos movimientos, 7 Es decir, a través de un mecanismo de acceso remoto conectado a una red, ya sea telefónica, conexión cerrada (como la de los cajeros automáticos o los sistemas PDV) o a través de Internet. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 9 hacer pagos de servicios desde sus cuentas, realizar transferencias de efectivo entre cuentas del propio cliente y a terceros, transferencias a otros bancos. - Cabe señalar que un banco ha creado (en conjunción con una gran compañía de software) un programa que se instala en la computadora de su cliente y le permite, mediante una conexión vía módem, manejar sus cuentas desde una aplicación local. b) Pagos de Cuentas - La gran mayoría de bancos emite tarjetas de crédito o débito, con las cuales sus clientes pueden realizar transacciones desde cajeros automáticos o compras en establecimientos que posean un sistema PDV. Sin embargo, debido a la afiliación de buena parte de dichas tarjetas con compañías como Visa o Mastercard, éstas también sirven para hacer pagos de productos comprados en Internet. - Así mismo, los bancos ofrecen la posibilidad de pagar los recibos por servicios públicos (electricidad, agua y desagüe, teléfono) a través de los cajeros automáticos, los PDV o sus propias páginas web. - Algunos bancos ofrecen servicios de pagos a terceros, tales como proveedores o personal de la empresa, así como servicios de cobranza electrónica de facturas y crédito a los clientes de la empresa, recibiendo los pagos por adelantado. c) Tarjetas de Crédito - Las tarjetas de crédito emitidas por los bancos permiten hacer ciertas transacciones en Internet, así como en los establecimientos que poseen un sistema PDV. - Algunos bancos permiten comenzar la solicitud de una tarjeta de crédito en línea, llenando un formulario con los datos necesarios para que un ejecutivo de negocios del banco se contacte posteriormente con el solicitante. - Un banco está ofreciendo recientemente una tarjeta que está diseñada para hacer compras por Internet. No es precisamente una tarjeta de crédito, sino más bien un “híbrido” entre una tarjeta de crédito y una de débito, en cuanto se usa (en Internet) de la misma manera que una tarjeta de crédito, y se puede realizar el mismo tipo de operaciones tanto en línea como en cajeros automáticos y establecimientos con sistemas PDV. Sin embargo, esta tarjeta está conectada a una cuenta en la que se ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 10 “depositan” los fondos que después pueden disponerse de esta tarjeta, siendo necesario recargar la cuenta (mediante una transferencia de dinero desde alguna otra cuenta o un depósito directo) para que siga funcionando luego de que se agotaron los fondos existentes en la misma.8 d) Gestión de Créditos - Al igual que con los depósitos, las páginas web de los bancos, principalmente, lo que hacen es informar a los posibles clientes de los productos que ofrecen y los términos y condiciones de dichos productos, facilitando a su vez la posibilidad de consultas electrónicas con el personal del banco, vía correo electrónico. - Algunos bancos permiten comenzar la solicitud de un crédito en línea, llenando un formulario con los datos necesarios para que un ejecutivo de negocios del banco se contacte posteriormente con el solicitante. - También se permite el pago en línea de las tarjetas de créditos, asumiendo que sean emitidas por el mismo banco. e) Otros servicios Si bien los servicios a continuación no formarían parte de lo que podemos llamar “banca electrónica” propiamente dicha, son importantes por cuanto realzan la página web del 8 Esta idea está muy cerca de lo que actualmente se conoce – en teoría – como dinero electrónico (e-money). Sin embargo, a pesar de que la definición de dinero electrónico no está completamente estandarizada, no tanto por sus funciones como por sus implicancias macroeconómicas y monetarias (cuándo se crea, quién lo emite, cómo funciona), una de las características que se le atribuye es la de no-personalización; es decir, no hay una base de datos que relacione una determinada cantidad con un determinado cliente, sino que cualquier dinero electrónico emitido puede ser usado por el poseedor del dispositivo electrónico necesario (tarjeta, código) para su acceso, tal como ocurre con el dinero físico. Así mismo, los avances en dinero electrónico tienden a ser relacionados con tarjetas de almacenamiento de valor (TAV o SVC, por sus siglas en inglés), dispositivos que sirven tanto para realizar las transacciones como para “almacenar” el valor; es decir, dicho valor ya no queda registrado en una base de datos central, sino que queda registrado en la misma tarjeta, la cual se va “descargando” de la misma manera que una tarjeta telefónica convencional para teléfonos públicos. Para una mayor discusión teórica del dinero electrónico, véase: PIFFARETTI, Nadia. A Theorical Approach to Electronic Money. Working Paper Nº 302. Faculté des Sciences Economiques et Sociales – Université de Fribourg. Fribourg, Febrero 1998 (disponible desde la página electrónica del Social Science Research Network: http://www.ssrn.com/ ). Para una discusión sobre temas de seguridad respecto del dinero electrónico, véase: BANK FOR INTERNATIONAL SETTLEMENTS. Security of Electronic Money – Report by the Committee on Payment and Settlement Systems and the Group of Computer Experts of the Centrtal Banks of the Group of Ten countries. BIS. Basilea, Agosto 1996 (disponible desde la página electrónica del BIS: http://www.bis.org/ ) ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 11 banco y, dada su capacidad para conectarse también con otras páginas y usuarios, son fuente posible de riesgos, como se verá posteriormente. - Servicio de acceso a Internet (Proveedores de Internet) - Servicio de Búsqueda en la Web - Resumen de Noticias - Enlaces de Interés, etc. POSIBILIDADES DE LA BANCA ELECTRÓNICA EN EL PERÚ Si bien lo que se ha mostrado hasta ahora es lo que actualmente existe en el Perú en materia de servicios de banca electrónica, los desarrollos futuros en este campo van mucho más allá de ser tan sólo un brochure virtual de productos y servicios, sino se tiende a la integración del banco a través de Internet: una verdadera Banca Virtual. Y es en esta dirección que están avanzando los desarrollos a nivel de productos y servicios, como al uso y aceptación de los mismos en el mercado peruano. En este sentido, un informe local señalaba que el aumento de la difusión de los servicios de Internet había crecido significativamente en el mercado local, siendo el principal motor de crecimiento las personas de 15 a 35 años, debido al tiempo promedio que pasan en Internet y a que son el sector que más transacciones electrónicas declara haber realizado o tener intención de realizar. Basta citar algunas cifras9: - El estimado de usuarios peruanos de Internet para 1999, era de 300 000 usuarios, según Starmedia (http://www.starmedia.com). - El perfil del internauta peruano para 1999, según la misma empresa de servicios de Internet, señalaba un 78% de usuarios en el rango de 18 – 34 años (el rango 9 Citado en: Un nuevo estándar. págs 28 – 31. En: BUSINESS. Negocios en el Perú. Lima, Mercados Consultora y Publicaciones. Año VII, Nº 69 (Junio de 2000). ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 12 relevante, en los próximos años, para el mercado financiero en Internet), con un tiempo promedio de conexión de 7.2 horas/semana. - Según Telefónica Servicios Internet, cada mes el número de usuarios de Internet en el Perú aumenta en 6%; y el tiempo promedio de navegación, en 15% - El Banco de Crédito registra más de 800 000 transacciones en línea al mes, número que sigue creciendo desde la implementación de su nuevo portal. - Las transacciones realizadas en el sistema en línea del Banco Latino suman, entre noviembre de 1999 y abril de 2000, más de 70 millones de dólares. - El 60% de los clientes del Banco Wiese Sudameris usan regularmente sus servicios por Internet. Estos datos, los cuales muestran las perspectivas de crecimiento del sector, parecen pequeños si se comparan con cifras internacionales de penetración de los servicios financieros en línea10: - Según JP Morgan, por lo menos 10 millones de europeos realizan alguna transacción financiera en línea. - El banco líder en Europa, el Banco Merita, cuenta con 610 000 usuarios habituales de servicios financieros en línea (49% del total); le siguen el Deutsche Bank, con 410 000 usuarios (6%); el SEBanken, con 220 000 usuarios (31%), y el Hypo Vereinsbank, con 195 000 usuarios (5%). - En Estados Unidos, Salomon Smith & Barney estimó que el 6% de los 9 millones de clientes del Bank One y el 9% de los 15 millones de clientes del Wells Fargo Bank utilizan los servicios vía Internet. 10 Citado en: E-Banca. pág 16 – 17. En: BUSINESS. Negocios en el Perú. Lima, Mercados Consultora y Publicaciones. Año VII, Nº 67 (Abril de 2000). ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 13 Por otra parte, se estima que:11 Si bien esta estimación está hecha para el mercado norteamericano, en donde las condiciones de acceso a Internet facilitan mucho más el desarrollo de sectores como el de la banca electrónica, podemos estimar cuál podría ser también el desarrollo para el caso peruano, dado el perfil del internauta peruano que se mencionara al inicio de este punto. 11 JUPITER COMMUNICATIONS. Financial Services Online. Forecasts and Strategies for Acquisition, Retention, and Wallet Share. Jupiter Communications Research Studies Series. Septiembre 1999. Citado en: Room to grow, pág 13. En: The Banker Supplement. Londres. Financial Time Business. (Abril 2000) ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 14 DESARROLLOS INTERNACIONALES EN BANCA ELECTRÓNICA Debido al rápido avance y difusión de las tecnologías, la competencia en el mercado y a la relación de nuestra banca con la banca extranjera, es altamente probable que los próximos avances en materia de productos y servicios en nuestro mercado puedan preverse observando los desarrollos actuales en otros países. Dentro de los desarrollos internacionales en materia de banca electrónica, se pueden resaltar los siguientes: - Apertura de Cuentas: El cliente, con sólo ciertos datos y una cuenta activa que soporte transferencias electrónicas al banco receptor, puede abrir una cuenta de ahorros, a plazo, cuenta corriente, comprar certificados de depósitos, etc. Los fondos necesarios para la apertura se transfieren de la cuenta original a la nueva cuenta. - Boletas Electrónicas: Estas “boletas” equivalen a una boleta de venta o factura, por la compraventa de un bien o el uso de un servicio, y permite también su cobro en línea, “presentando” dicha factura al banco del comprador. - Cheques Electrónicos: Los cheques electrónicos son correos electrónicos con un formato especial, el cual contiene toda la información necesaria para transferir valor de la cuenta del emisor a la cuenta del receptor. Estos cheques están respaldados y autenticados por el banco emisor del cheque. Debido a que requieren un alto nivel de seguridad, lo que implica el uso de firmas y certificados digitales12 (los cuales aún no tienen mucha difusión a nivel del usuario promedio de Internet), su alcance y uso es aún muy limitado. - Presentación de Formularios Modelo: para la solicitud de diversos servicios y productos, con el fin de que el cliente sepa qué es lo que tiene que tener a la mano o los datos que le van a pedir cuando solicite el servicio. 12 Un certificado digital es un mensaje codificado que contiene la información necesaria para identificar plenamente al emisor de un mensaje electrónico (ya sea un correo electrónico, un formulario de solicitud de servicios, etc.) en Internet. Una firma digital es un texto codificado con los contenidos del certificado digital, que se adjunta a los mensajes enviados por el emisor de éstos, con lo cual el mensaje queda “firmado”, al igual que la firma manuscrita identifica al emisor de un documento físico. Para mayor discusión del origen, funcionamiento y seguridad de los certificados y firmas digitales, véase el Anexo 1. ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Generación / Aprobación de Créditos en líneas: Pág. 15 Algunos bancos ya han incorporado procesos de implementación de créditos en línea, de tal manera que el proceso se inicia desde el computador del cliente. El punto hasta el cual se puede avanzar en el proceso es variable entre los bancos, cubriendo desde sólo la inscripción inicial, hasta la realización y aprobación completa del crédito (sujeta solamente a la presentación de una carta firmada por el cliente). Sin embargo, con el desarrollo de las firmas digitales y tecnologías similares, pronto se va a poder suprimir este paso y ejecutar todo el procesamiento y aprobación (incluyendo el desembolso) de un crédito, vía Internet. - Emisión de Tarjetas de Valor Almacenado (TVA): Estas tarjetas “pre-pagadas” (ya sean desechables o recargables) sirven para adquirir productos y servicios dentro de una red de establecimientos que aceptan este tipo de tarjetas. La diferencia con una tarjeta de crédito o de débito es que esta tarjeta “tiene” el valor en sí: no depende de una cuenta central o de una base de datos de donde extrae su valor. De esta manera, el cambio en la posesión física de esta tarjeta de un usuario a otro (sea por cualquier medio) “traspasa” el valor (es decir, el poder de compra) a ese otro usuario, sin que el segundo requiera el conocimiento de una clave, contraseña, identificación o cualquier otro medio de verificación de identidad para poder hacer uso del valor almacenado en dicha tarjeta. Estas tarjetas son de uso común en entornos de propósito simple13, como las tarjetas telefónicas para teléfonos públicos, o la tarjeta que utiliza un proveedor de juegos de video local para usar las máquinas en sus establecimientos. Experiencias piloto de tarjetas multipropósito se llevaron a cabo durante las Olimpiadas de Atlanta ’96, entre Visa y los expendedores de productos y servicios en la Villa Olímpica14. 13 Una tarjeta de propósito simple se define como aquélla que permite adquirir bienes o servicios solamente a un proveedor o establecimiento, o un mismo tipo de bienes o servicios en distintos establecimientos. Una tarjeta de propósito múltiple (o multipropósito) es aquélla que permite adquirir más de un tipo de bienes o servicios a más de un proveedor y en más de un establecimiento. 14 La tarjeta mencionada como “híbrida” en un punto anterior, es en realidad una TVA en línea; es decir, una tarjeta que opera de manera similar a una TVA, pero la información no se almacena en la tarjeta, sino en una base centralizada en los sistemas del banco. ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 16 Banca Interactiva: este tipo de relación con el banco utiliza los más modernos componentes multimedia para efectuar teleconferencias en tiempo real15 entre el cliente y el ejecutivo de negocios del banco. De esa manera, ambos agentes pueden mantener una conversación “frente a frente”, tal y como si realmente estuvieran en un mismo lugar, y con la misma nitidez. - Función de Autoridad Certificadora: El banco, para dar mayor seguridad y confianza a las operaciones de sus clientes, puede optar por actuar de Autoridad Certificadora, respaldando la identidad de éstos ante otros clientes del mismo banco o ante los usuarios de Internet (incluidos los clientes de otros bancos) en general. - Operaciones WAP (Wireless Application Protocol, o Protocolo de Aplicaciones Inalámbricas): Dado que la tecnología digital para celulares ha ido avanzando al punto de que un celular digital moderno puede recibir ya contenido más complejo que texto llano, se ha desarrollado un protocolo de transferencia de datos entre un celular digital con esta tecnología (WAP) e Internet. Existiendo esta posibilidad, algunos bancos ya están lanzando aplicativos WAP que permitan a los clientes que posean un celular WAP, la transferencia de datos entre los clientes y el banco vía los celulares WAP, incluyendo la realización de las transacciones normalmente accesibles a través de las páginas web de los bancos en cuestión.16 15 Es decir, en donde la trasferencia de datos se da inmediatamente, de tal forma que los datos lleguen al receptor inmediatamente después de que el emisor los ha enviado. Aplicado a una cámara de vídeo conectada a la computadora, eso significa que las personas pueden verse y conversar tal como si lo estuvieran haciendo frente a frente. La tecnología requerida para obtener una transmisión de datos de la magnitud y velocidad requerida, sin embargo, aún no está al alcance de todos los usuarios, debido al precio relativamente elevado de los dispositivos necesarios. 16 La tecnología WAP permite, en resumen, establecer el vínculo entre los principales medios de comunicación de esta época: los teléfonos celulares e Internet, y el intercambio de todo tipo de información entre ambos medios. Para mayor información acerca de la tecnología WAP y sus posibilidades, véase la página de la Wireless Application Protocol Forum Ltd. (http://www.wapforum.org) ALLAÍN, Daniel. III. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 17 RIESGOS ASOCIADOS CON LA BANCA ELECTRÓNICA Como todo tipo de negocio, el negocio bancario está expuesto a diversos riesgos inherentes a sus actividades y a los medios en los que opera. La expansión del ámbito de operaciones de los bancos a Internet, consecuentemente, ha resaltado cierto tipo de riesgos a los que los bancos pueden exponerse al operar en esta nueva vía de información. Sin embargo, se debe tener en cuenta que no se han “creado” nuevos riesgos, en el sentido estricto de la palabra: como se mostrará a continuación, los riesgos específicos que enfrentan los bancos que han entrado a llevar a cabo operaciones de banca electrónica y dinero electrónico pueden ser agrupados según las clasificaciones de tipos de riesgo vistas en documentos del Comité de Basilea y, en este sentido, los riesgos no son nuevos. Sin embargo, aún cuando los tipos básicos de riesgo generados por estas actividades son conocidos, la manera específica en que algunos de estos riesgos pueden aparecer, así como su posible impacto en la solidez de los bancos, pueden ser nuevos tanto para bancos como para supervisores17. Específicamente me refiero al riesgo operacional, riesgo legal y riesgo reputacional. Por ejemplo, aunque un banco no realice transacciones a través de su página web, sino que sólo la utilice para información general de sus clientes, un ataque electrónico18 a esta página podría causar que se muestre información errónea a los clientes potenciales (o simplemente que la página deje de funcionar) con los consiguientes perjuicios para la reputación del banco en cuestión. RIESGOS QUE ENFRENTAN LAS OPERACIONES DE BANCA ELECTRÓNICA Describiendo más en detalle el tipo de riesgos que se afrontan en las operaciones de banca electrónica, esta sección se enfocará principalmente en el riesgo operacional19 (entendido en el modo amplio de posibilidad de falla en los sistemas de procesamiento de las operaciones del banco, así como de errores o perjuicios cometidos por el personal del banco 17 BASLE COMMITTEE ON BANKING SUPERVISIÓN. Risk Management for Electronic Banking and Electronic Money Activities. BIS, Basilea. Marzo 1998, pág. 4. 18 Ataque electrónico es el intento intencional (sea exitoso o no) de penetrar en los sistemas informáticos de algún agente, traspasando las barreras de seguridad que sean necesarias, con el fin de revisar, alterar, dañar, destruir o cualquier otra forma de afectar el contenido de dichos sistemas, o ganar el control sobre los mismos, para causar un daño a dicho agente. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 18 al procesar dichas operaciones), el riesgo legal20 (posibilidad de verse afectado por posibles violaciones de leyes, reglas, regulaciones o prácticas sugeridas, sobre todo cuando los derechos y responsabilidades de las partes no están bien definidas) y el riesgo reputacional21 (posibilidad de enfrentar una opinión pública significativamente negativa, que pueda llevar a una pérdida crítica de clientes o de fondeo). Existen otros riesgos que también se ven potenciados de alguna manera con las operaciones de banca electrónica, pero el efecto es similar al de cualquier otro nuevo canal o instrumento, por lo que no es necesario enfocarse mucho más allá de las normas prudenciales que se practican actualmente. De todas maneras, hacia el fin de esta sección se examinará, de manera breve, la posible exposición de las operaciones de banca electrónica frente a las demás clases de riesgo identificadas. a) Riesgo Operacional Este riesgo aparece, como se dijo anteriormente, cuando existe la posibilidad de falla o daño debido tanto a los sistemas de recepción, procesamiento, ejecución y/o almacenamiento de la información, como al personal encargado de su manejo. Las consideraciones sobre el tema de seguridad son muy importantes, dado que los bancos pueden sufrir ataques sobre sus sistemas o productos. También puede aparecer riesgo operacional debido a mal uso por parte de los clientes, o por sistemas de banca electrónica o de dinero electrónico inadecuadamente implementados. Como se verá, buena parte de los riesgos que corresponden a esta categoría son aplicables tanto a las operaciones de banca electrónica como a las de dinero electrónico. Riesgos de Seguridad Estos riesgos tienen en cuenta los controles que se hacen sobre los sistemas centrales de contabilidad, registro y manejo de riesgo del banco, la información que se transmite a terceros y, en el caso de dinero electrónico, las medidas para disuadir y detectar falsificaciones. Controlar el acceso a los sistemas informáticos de los bancos se vuelve cada vez más complejo debido a las mayores capacidades de las computadoras actuales, dispersión geográfica de puntos de acceso y el uso de vías de comunicación diversas, 19 BASLE COMMITTEE ON BANKING SUPERVISIÓN, op. cit., pág. 5 Ibid, pág.8 21 Ibid, pág. 7 20 ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 19 sobre todo de redes públicas como la Internet. Es importante notar que una brecha de seguridad que afecte a un sistema de dinero electrónico, podría crear falsos pasivos para un banco. En el caso de que el sistema afectado sea de banca electrónica, el acceso no autorizado podría generar pérdidas directas, cambio en los pasivos y activos de los clientes u otros problemas22. Otros tipos de problemas que podría sufrir un banco relacionados con la seguridad pueden ser causados por ataques externos de hackers23, quienes podrían penetrar en los sistemas de registro del banco y obtener información sensible24 o confidencial sobre sus clientes; o introducir en los sistemas del banco algún virus que provoque fallas en el funcionamiento de dichos sistemas o pérdida de información. Esto es especialmente importante cuando el banco también provee a sus clientes de servicios de acceso a Internet. Además, el banco está sujeto a riesgo de seguridad por parte de sus empleados, si es que algún empleado con acceso a los sistemas informáticos del banco comete fraude o errores no intencionales. Estos problemas podrían generar acceso a cuentas bancarias de los clientes o extracción de información sensible de éstos. Sobre el dinero electrónico, es de importancia directa para el supervisor tomar en cuenta las operaciones que realicen los emisores de este medio de cambio. Si bien en el Perú aún no se ha implementado un sistema multipropósito de dinero electrónico, se debe tener en cuenta los posibles riesgos que conlleva su implementación; en especial, el riesgo de acceso a los sistemas que almacenan y/o transfieren el valor. Riesgos de mal uso de los productos por parte de los clientes Otra fuente de riesgo puede ser el mal uso, o abuso, casual o intencional, de los sistemas y productos por parte de los clientes. En ausencia de métodos de control adecuados, un cliente podría negar una transacción previamente autorizada. Si un 22 Ibid, pág. 5 Un hacker es aquel individuo que intenta ingresar intencionalmente a un sistema informático, a través de Internet o cualquier otro medio de acceso remoto, atravesando las barreras de seguridad de ser necesario, con el fin de revisar y/o alterar, dañar, destruir o cualquier otra forma de afectar el contenido de dichos sistemas, o ganar el control sobre los mismos. 24 La información sensible de un agente es toda aquella información personal que, de recibir mal uso, podría causarle perjuicio directo a éste. Ejemplos de información sensible son: Datos personales, datos de tarjetas de crédito, dirección, teléfono, correo electrónico, gustos y preferencias, flujos de consumo, balances en cuentas bancarias, etc. 23 ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 20 cliente usa el producto en un entorno inseguro25, podría permitir que un hacker acceda a información sensible y causar pérdidas al cliente y al banco. Por último, el riesgo de usar los productos y sistemas del banco para efectuar lavado de dinero puede verse incrementado en ausencia de los controles adecuados. Riesgos de diseño, implementación y mantenimiento de sistemas Los sistemas de un banco pueden ser generadores de riesgo si es que no se implementan adecuadamente. Fallas en el sistema de banca electrónica, problemas con la red, controles inadecuados, sistemas obsoletos o sistemas no integrados con los demás procesos del banco pueden causar problemas con los clientes, o rechazo por parte de éstos si es que los sistemas no cumplen con las expectativas, lo cual puede generar, además, una mala percepción de los negocios del banco en general, con lo cual éste caería en riesgo reputacional. Otro tipo de riesgos aparece cuando el banco contrata a terceros para la provisión de algún servicio conexo a las actividades de banca electrónica. Falta de experiencia y seriedad por parte del proveedor, problemas en la actualización de la tecnología utilizada, problemas serios del proveedor (tales como fallas financieras que lo pongan en peligro de quiebra o similar) que pongan en riesgo la continuidad en la provisión del servicio también incrementan el riesgo de sufrir problemas de sistemas. Como los sistemas informáticos cambian tan rápidamente, los bancos enfrentan riesgos de caer en obsolescencia informática, pero también de actualizar sus sistemas remotos mediante canales inseguros, que permitan que la nueva tecnología sea interceptada y modificada maliciosamente. Por último, el cambio en los sistemas puede ser tan rápido que el personal puede no entender completamente la naturaleza y funcionamiento de los nuevos sistemas, lo cual puede generar problemas operativos con estos últimos. Riesgos asociados a dinero electrónico En el caso de dinero electrónico, sobre todo si los sistemas de dinero electrónico utilizan tarjetas TVA, existe riesgo de alterar o duplicar los contenidos de estas tarjetas, tratando así de dañar los sistemas o de incrementar fraudulentamente los balances de éstas; así como los usuarios de estas tarjetas pueden sufrir robos de tarjetas válidas; o el 25 En términos informáticos, es aquel entorno en que la transferencia de datos es susceptible de ser interceptada, revisada y/o modificada por un tercero, mientras los datos están en tránsito hacia su destino. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 21 personal de la empresa emisora de las TVA puede cometer fraude alterando internamente los saldos, realizando trasferencias o vendiendo los detalles de la tecnología usada en las TVA a terceros, para facilitarles el acceso o modificación de las mismas26. b) Riesgo legal El riesgo legal surge, en términos generales, por la falta de un marco legal claro que establezca plenamente los derechos y deberes de las partes participantes en una transacción, incluyendo las transacciones electrónicas, o cuando éste no es reconocido por todas las partes. Así mismo, cuando la institución se expone a violaciones o inadecuación a la normativa vigente. Validez de las comunicaciones Existe riesgo cuando alguna de las partes puede repudiar alguna instrucción o contrato previamente aceptados, con lo que expone a la otra parte a pérdidas. Así mismo, existe riesgo cuando las comunicaciones electrónicas entre ambas partes no tienen un carácter probatorio, sobre todo si es el único tipo de comunicación establecido entre el banco y sus clientes. Servicios adicionales Los servicios adicionales de un banco, tales como enlaces a otras páginas y la certificación de sus clientes (actuando el banco como Autoridad Certificadora) pueden generarle problemas de este tipo si las páginas enlazadas son usadas por hackers, o el cliente certificado por el banco comete actividades fraudulentas valiéndose de esta certificación. Los usuarios perjudicados podrían demandar al banco por daños y perjuicios. Así mismo, un banco podría ser objeto de demandas por parte de usuarios engañados por páginas web falsificadas que, aprovechándose de un diseño muy similar a la verdadera, causan algún tipo de perjuicio a los usuarios de esta última. 26 Para mayor discusión sobre dinero electrónico y seguridad, véase BANK FOR INTERNATIONAL SETTLEMENTS. Security of Electronic Money – Report by the Committee on Payment and Settlement Systems and the Group of Computer Experts of the Centrtal Banks of the Group of Ten countries. BIS. Basilea, Agosto 1996 (disponible desde la página electrónica del BIS: http://www.bis.org/ ) ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 22 Operaciones internacionales Los bancos pueden verse expuestos a riesgo legal cuando realiza operaciones con agentes que se encuentran en el exterior y luego existe algún problema o discrepancia con respecto a dichas operaciones, con lo cual puede haber incertidumbre sobre la legislación aplicable. Por ejemplo, en el caso de una transferencia de fondos realizada por una persona que vive en Japón, y que transfirió fondos desde una cuenta en un banco de Nueva York a un banco local, si se presenta una contingencia, ¿bajo qué legislación se resuelve? Términos de servicio de los productos ofrecidos Finalmente, un banco puede verse comprometido en problemas legales si los términos de los servicios en línea que brinda, no son mostrados explícitamente a sus clientes, o si éstos tienen alguna genuina forma de probar que el banco no brindó términos claros antes de permitirles usar los servicios en línea, y por este motivo el cliente se vio expuesto a algún tipo de perjuicio. Otros temas Finalmente, otros temas a considerar tienen que ver con el manejo y uso de la información sensible de los clientes, los derechos de propiedad de los conceptos empleados (por ejemplo, de los productos anunciados en la página web, y los diseños usados en ésta), los controles empleados para combatir el lavado de dinero, etc. c) Riesgo Reputacional El riesgo reputacional es el riesgo de sufrir una pérdida considerable de clientes o de fondeo, debido a cualquier problema que afecte negativamente la imagen del banco ante la opinión pública. Básicamente, los elementos de banca electrónica que pueden generar pérdida de la buena reputación son el mal funcionamiento de los productos o servicios ofrecidos, la insatisfacción de los clientes con estos productos o servicios y problemas con la forma de resolver las quejas de los clientes. Un banco también puede ganarse problemas de reputación si se le detectan brechas o problemas con la seguridad de sus sistemas, o si los servicios conexos que brinda el banco causan, debido a acciones malintencionadas o errores cometidos por parte de terceros, algún perjuicio a los usuarios. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 23 Este riesgo puede “contagiarse” a otros bancos si quien sufre los problemas con sus sistemas de banca electrónica es un banco importante, ya que inmediatamente se pondría en duda la seguridad o adecuación de los sistemas usados por bancos más pequeños. d) Otros riesgos Los bancos que realizan actividades de banca electrónica pueden verse sujetos a otro tipo de riesgos, más comunes al resto de actividades bancarias. Sin embargo, la exposición del banco a estos riesgos, si bien es importante, no es distinta a la que tienen en sus otros negocios o líneas de operación. Por lo tanto, se asume que los bancos ya tienen mecanismos adecuados para la identificación y administración de los riesgos mencionados bajo este último punto. - Riesgo Crediticio: Si el banco concede créditos en línea, puede verse en riesgo de no evaluar adecuadamente a su cliente, o de enfrentar mayores dificultades para reclamarle en caso de que el cliente no cumpla con devolver el crédito, debido a las mayores distancias que puede existir entre las partes. - Riesgo de Liquidez: Especialmente significativo en el caso de que los bancos efectúen operaciones de dinero electrónico, y carezcan de un nivel de activos líquidos suficiente como para enfrentar una salida brusca de efectivo (en el caso, por ejemplo, de que muchos clientes realicen compras grandes por Internet y que los vendedores soliciten al banco hacer efectivo dicho dinero). - Riesgo de Tasa de Interés: También significativo en el caso de los bancos que realizan operaciones de dinero electrónico, quedando expuestos a este tipo de riesgos en caso de que caiga el interés real que obtienen por los activos líquidos en los cuales se respalda la emisión del dinero electrónico (por ejemplo, en el caso de alta o hiperinflación). - Riesgo de Mercado por Tipo de Cambio: El banco se expone a este riesgo cuando, por sus operaciones de banca electrónica o dinero electrónico, acepta el cambio de activos y/o pasivos en distintas monedas (pago de créditos o fondeo de dinero electrónico en moneda distinta a la moneda en la cual las obligaciones fueron emitidas). ALLAÍN, Daniel. APUNTES EN BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. GERENCIA DE RIESGOS GENERADOS POR OPERACIONES Pág. 24 DE BANCA ELECTRÓNICA Si bien el propósito de este documento no es el de dar los lineamientos necesarios para una adecuada Gestión de Riesgos, es pertinente hacer mención de los temas más relevantes identificados por organismos internacionales, que pueden ayudar a una adecuada comprensión de los mecanismos al alcance de las instituciones financieras para protegerse de dichos riesgos. Los temas que se verán a continuación han sido recogidos de distintos documentos publicados por el Comité de Basilea, el Federal Deposit Insurance Corporation y el Federal Reserve. Sin embargo, la responsabilidad de identificación y gestión adecuada de los riesgos que efectivamente enfrentan los bancos en sus operaciones de banca electrónica dependen mucho del tipo de operaciones adoptadas, por lo que esta labor, en último caso, es de entera responsabilidad de los bancos, los que tendrán que adaptar las recomendaciones dadas a sus propios esquemas operativos. El principal riesgo operacional que corre un banco al realizar operaciones de banca electrónica está relacionado con la seguridad de sus sistemas. Por lo tanto, lo primero que debe revisar un banco antes de iniciar sus operaciones, es la fiabilidad y seguridad de los sistemas informáticos que va a usar, así como del personal que tiene acceso a estos sistemas. El Federal Reserve Board, en su documento Sound Practices Guidance for Information Security for Networks, dio las siguientes recomendaciones claves27: - Un programa de seguridad de información muy potente es esencial: Esto incluye revisión activa del Directorio y de la Gerencia sobre temas de visión general, políticas y procedimientos, sistemas de medición y monitoreo, y controles internos paralelos. El Directorio debe asegurarse de que la inversión en sistemas de protección de datos sea adecuada al nivel de riesgos que se enfrentan en las operaciones. 27 BOARD OF GOVERNORS OF THE FEDERAL RESERVE BANK. Sound Practices Guidance for Information Security for Networks. FRB SR 97-32 (SUP). 4 de diciembre de 1997. Citado en: VARTANIAN, Thomas, et. al. 21st Century Money, Banking And Commerce. Washington D.C. Ed. Fried, Frank, Harris, Shriver & Jacobson. 1998. pág. 170. ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 25 Se debe poner atención especial a la seguridad de la red interna: Este tema puede parecer menos obvio para el Directorio que las amenazas provenientes de Internet, pero los ataques provenientes desde el interior de la red del banco pueden ser los más dañinos, al tener el personal del banco y los consultores externos acceso a recursos críticos del sistema. - La información confidencial debe ser encriptada28: Dado que la transmisión de datos de un punto a otro de la red, se da a través de líneas accesibles públicamente, la información sensible que se envíe a través de ellas debe estar protegida para que sólo el destinatario pueda interpretarla. - Las conexiones con Internet deben construirse cuidadosamente: Cuantos más servicios en línea se ofrezcan, más posibilidades de ataques existirán. El mayor riesgo de las conexiones en Internet es el de permitir el acceso a la red interna del banco. Por lo tanto, es crucial comprobar la seguridad de todos los sistemas desde donde el banco intercambia información con la red, para impedir vacíos que permitan accesos inadecuados a los sistemas internos, así como fallas en la provisión de servicios externos. - Es necesario revisar exhaustivamente el historial del personal con acceso a información altamente sensitiva: Esto incluye a los administradores de sistemas, el staff de soporte a telecomunicaciones, los programadores de aplicaciones bancarias y otros similares tienen acceso a información confidencial, conocimiento muy detallado de los procedimientos de seguridad o ambos. Por lo tanto, es necesario asegurarse de que el personal que ocupe estos puestos claves sea idóneo, tanto ética como profesionalmente. - La Gerencia debe evaluar cuidadosamente los costos y beneficios de implementar sistemas de seguridad que minimicen los riesgos existentes. Otras recomendaciones son: - Implementación de un sistema de rastreo o registro de las transacciones, para evitar fraude, falsificación de datos, o posibilidad de repudio de las mismas. 28 Proceso por el cual, mediante un código extenso llamado “llave”, un paquete de datos se torna ininteligible para cualquier sistema , inclusive para el ser humano, siendo necesario para decodificar los datos originales el uso de la llave correspondiente. Para una mayor discusión de la clasificación de los métodos de encriptación y su uso, véase el Anexo 1. ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 26 Actualizar periódicamente, y mediante canales seguros, los sistemas y programas usados. - Entrenar y seleccionar cuidadosamente al personal, para que sean capaces de entender plenamente las nuevas tecnologías aplicadas. - Educar a los clientes en el correcto manejo de los productos ofrecidos por el banco. En temas de riesgo legal, la principal recomendación es el entrenamiento del personal encargado en la aplicación de la normatividad vigente, así como la identificación de los puntos inciertos de la misma. Como parte de la estrategia, es conveniente realizar consultas a las autoridades pertinentes acerca de la interpretación de las normas inciertas, así como familiarizar al personal indicado con la legislación internacional aplicable. Otros temas a tener en cuenta en el desarrollo de una estrategia de gestión de riesgos son: - Lavado de Dinero: Se necesita desarrollar sistemas que permitan el registro y la revisión adecuada de información personal de los clientes. En el caso de dinero electrónico, denominaciones menores o sistemas TVA con menor capacidad hacen menos atractivo el uso de estos mecanismos. - La información sobre las condiciones de uso de todos los productos y servicios debe estar al alcance de todos los clientes potenciales, de tal forma que no se pueda alegar desconocimiento a la hora de usar alguno de estos productos o servicios. Además, el personal debe ser entrenado para contestar las dudas más frecuentes de los clientes. - Cuidado con la información sensible de los clientes: Debe entrenarse al personal en los procedimientos adecuados para la protección de la información sensible, así como realizar tests generales de los sistemas que conservan dicha información, para asegurar su correcto funcionamiento y que sólo pueda accederse a esta información mediante los controles adecuados. Por otra parte, el control de los dos tipos de riesgos mencionados anteriormente contribuiría sustancialmente a mitigar el riesgo reputacional al que se encuentra expuesto el banco, por lo que la mejor política para reducir este tipo de riesgo es probar todo producto o servicio ofrecido antes de ponerlo a disposición de los clientes, diseñar un sistema eficiente que ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 27 pueda dar atención y resolución de quejas al cliente, respecto de los productos y servicios relacionados con banca electrónica y, principalmente, diseñar un plan adecuado de contingencia, en caso de verse expuesto por alguno de los riesgos mencionados previamente, que le permita reaccionar con la velocidad necesaria para corregir los problemas presentados, antes de que la opinión pública pierda la confianza en la solidez de las operaciones del banco. ALLAÍN, Daniel. IV. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 28 MARCO REGULATORIO EN EL PERÚ Y EN EL MUNDO Debido a la rapidez con que se han difundido los servicios en línea que brindan tanto bancos como otras instituciones a lo largo del mundo, y las nuevas implicancias que traen estos servicios en cuanto al claro establecimiento de los derechos, deberes y responsabilidades de las partes involucradas, en distintos organismos internacionales se están dando marcos legales para las distintas operaciones que pueden existir en Internet. Desde temas civiles y penales, hasta procedimientos y requerimientos específicos para el negocio bancario, estos documentos marcan la pauta en cuanto a normatividad aplicable para el tema en cuestión. Sobre tales documentos, el Perú ha puesto en vigencia algunas leyes que dan un marco legal general para el desarrollo de las transacciones electrónicas, quedando todavía bastantes temas por subsanar. A continuación, presentaremos los documentos más relevantes para la banca electrónica en materia de normatividad y recomendaciones desarrolladas a escala nacional e internacional, para comparar el nivel de desarrollo en el tema e identificar los puntos en los que aún no se ve un desarrollo normativo suficiente. LEGISLACIÓN INTERNACIONAL Los principales documentos o leyes internacionales referidos a temas de banca electrónica han sido emitidos por agencias del gobierno de los Estados Unidos o por organismos internacionales tales como la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional - CNUDMI (UNCITRAL, por sus siglas en inglés) y el Comité en Supervisión Bancaria de Basilea. A continuación se presentará los documentos más importantes en la materia. a) Ley Modelo de la CNUDMI sobre Comercio Electrónico La Ley Modelo sobre Comercio Electrónico busca establecer un marco legal común en temas de Comercio Electrónico a escala mundial, sirviendo de modelo para la adopción de legislación similar en los países y proponiendo variantes a su texto para facilitar la adaptación a distintas circunstancias. Esta ley se compone de dos partes, la primera de las ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 29 cuales trata del comercio electrónico en general, y la segunda enfoca el transporte de mercancías en el ámbito local e internacional, generadas por medio de un mensaje de datos. Dentro de la primera parte, se establecen los marcos de referencia, alcance y validez de las comunicaciones electrónicas para el comercio electrónico, siendo los principales puntos de esta norma los siguientes: - Reconocimiento jurídico de los mensajes de datos (Art. 5) - Definición de mensaje “escrito” (Art. 6) - Definición de “firma” (Art. 7) - Definición de documento “original” (Art. 8) - Admisibilidad y fuerza probatoria de los mensajes de datos (Art. 9) - Conservación de los mensajes de datos (Art. 10) - Formación y validez de los contratos hechos por vía electrónica (Art. 11) - Reconocimiento de los mensajes por el emisor y el receptor (Art. 12) - Condiciones bajo las cuales se puede considerar que el mensaje ha sido enviado por el “iniciador” aparente del mensaje (Art. 13) - Definición y plazos de un acuse de recibo (Art. 14) - Definición del tiempo y lugar de envío y recepción de un mensaje de datos (Art. 15) La segunda parte trata sobre el alcance de los actos relacionados con el transporte de mercancías, así como los requisitos bajo los cuales cualquier transacción de este tipo que requiera de un documento escrito para tener validez legal, pueda aplicarse también a documentos transmitidos electrónicamente, así como para que pueda aplicársele alguna norma jurídica a dicho documento. b) Ley Modelo de la CNUDMI sobre Transferencias Internacionales de Crédito La Ley Modelo sobre Transferencias Internacionales de Crédito busca generar un marco legal común en lo referente a transferencias de crédito a nivel internacional, definiendo éstas como la serie de operaciones que comienza con la orden de pago de un iniciador, ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 30 hechas con el propósito de poner fondos a disposición de un beneficiario29, cuando los bancos mediante los cuales realizan dicha transferencia se encuentran en países diferentes30. En dicha ley se estipulan las obligaciones de las partes, así como la validez de las órdenes de pago emitidas por las partes, las obligaciones de los bancos del iniciador y del beneficiario, así como la revocación de las transferencias aceptadas, los errores cometidos en la realización de una transferencia y cuándo la transferencia se da por terminada. Dentro de las formas de iniciar la orden de pago que da inicio a la transferencia, se deja abierto el espacio para aceptar, también, órdenes generadas electrónicamente. c) Ley de Transferencia Electrónica de Fondos y la Regulación E 31 Emitidas por el Congreso de los Estados Unidos, ambas leyes tienen por objetivo establecer las partes que participan en una transacción, sus deberes, derechos y responsabilidades. Los puntos principales que cubren son: - Cobertura (pto. 3) - Requerimientos de información pública (pto. 4) - Emisión de dispositivos para la realización de transferencias (pto. 5) - Responsabilidad del consumidor por transferencias no autorizadas (pto. 6) - Cambio en los términos bajo los que opera el producto o servicio ofrecido (pto. 8) - Recibos emitidos por los sistemas de transferencia electrónica (pto. 9) - Resolución de errores (pto. 11) d) Procedimientos de Revisión de la Solidez y Seguridad de la Banca Electrónica32 La Guía de Procedimientos de Revisión de Banca Electrónica de la Corporación Federal de Seguro de Depósitos (FDIC, por sus siglas en inglés) es la herramienta con la cual se marcan los procesos básicos de un examen a los sistemas de banca electrónica de un banco, 29 Ley Modelo de la CNUDMI sobre Transferencias Internacionales de Crédito, Art. 2. letra a. Ibid, Art. 1. 31 La Electronic Funds Transfer Act (EFTA) es la sección 1693 de la Financial Institution Regulatory and Interest Rate Control Act of 1978, y está codificada como 15 U.S.C. 1693). La Regulación E es la parte del Código de Regulaciones Federales que trata sobre transferencias electrónicas de fondos, y está codificado como 12 C.F.R. parte 205. La Regulación E reglamenta la aplicación de la EFTA. 32 Electronic Banking – Safety and Soundness Examination Procedures es la guía de revisión de los procedimientos de banca electrónica que usa el FDIC y que fuera publicada en Junio 1998. 30 ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 31 y cuyo resultado afecta la puntuación que éste recibe en la categoría de Gestión de Riesgos, en el reporte final del FDIC sobre la solidez de los bancos. La guía tiene cinco partes, las cuales son: - Introducción: En esta parte se introducen algunos conceptos necesarios para la comprensión de lo explicitado en las partes subsiguientes, así como una pequeña digresión sobre seguridad de redes. - Facultades electrónicas: En esta parte se explica lo que es una “facultad electrónica”, refiriéndose a la funcionalidad de un dispositivo para informar o hacer algo a través de la red. En este sentido, agrupa a los sistemas en tres niveles: Sistemas de Sólo-Información (Nivel I), Sistemas de Transferencia Electrónica de Información (Nivel II), y Sistemas Completos de Transacciones e Información (Nivel III), definiendo los criterios de cada uno de estos niveles. - Riesgos: Aquí se hace un examen de los riesgos a los que se somete un banco al hacer actividades de banca electrónica. - Gestión de Riesgos: En esta parte, el documento indica algunos puntos a tener en cuenta a la hora de diseñar un plan de Gestión de Riesgos, así como se dan algunas recomendaciones con respecto a ciertos riesgos puntuales en materia de seguridad - Programa de Examinación: Esta sección describe el programa de examinación que realiza el FDIC al evaluar a un banco, haciendo distinción entre los puntos que se revisan dentro de cada área y según el Nivel de los sistemas del banco. Los tests que se le hacen están construidos de manera modular, de tal forma que un banco con sistemas Nivel III tiene que pasar por los tests para los sistemas Nivel I y Nivel II también. Las áreas de evaluación de los sistemas son: • Planeamiento e Implementación • Políticas y Procedimientos Operativos • Auditoría • Temas Legales y Regulatorios • Administración • Relación con Terceros y Outsourcing ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 32 Además, se presentan los criterios de evaluación y una lista de documentos que se pueden solicitar para complementar la evaluación. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 33 LEGISLACIÓN NACIONAL La difusión de los servicios de Internet en el país, así como el aumento en el público objetivo y en los usuarios de dichos servicios, ha impulsado también la producción de normas aplicables al ámbito del comercio electrónico y a los servicios electrónicos en general. a) Ley de Derechos de Autor (D.L. Nº 822) Esta ley, en su artículo 6º, extiende la protección de los programas y diseños de software de la misma manera en que cubre las obras literarias. b) Ley que permite las contrataciones electrónicas (Ley Nº 27291) Esta ley modifica dos artículos del Código Civil, permitiendo la manifestación la de voluntad a través de medios electrónicos, así como otorgando la validez a la firma electrónica y a los acuses de recibo generados electrónicamente, hayan sido manualmente o automáticamente generados. c) Ley sobre firmas digitales (Ley Nº 27269) Esta ley trata de uniformizar la nomenclatura referida a las firmas electrónicas y certificados digitales, y señala algunas precisiones sobre cuándo una firma electrónica tiene el mismo valor que una firma manuscrita. d) Ley de Delitos Informáticos (Ley Nº 27309) La función de esta ley es tipificar, en el Código Penal, delitos relacionados con el acceso indebido a sistemas de computadoras o bases de datos. e) Proyecto de Ley: sobre Comercio Electrónico Este proyecto de ley busca poner en vigencia la Ley Modelo de la CNUDMI sobre Comercio Electrónico en el Perú, en la cual, como se vio previamente, se normaba la validez y legalidad de las comunicaciones electrónicas, dentro de un esquema adoptado a nivel internacional. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 34 V. CONCLUSIÓN: LINEAMIENTOS BÁSICOS PARA UNA PROPUESTA REGULATORIA. Luego de revisar la evolución del sector bancario en productos y servicios de banca electrónica en el país, los riesgos que ésta implica y las propuestas y desarrollos en materia legal, podemos ver los avances dados al respecto son satisfactorios, en cuanto ya se observa una toma de conciencia sobre los avances tecnológicos, sus ventajas e implicaciones para la relación entre proveedores y usuarios de los distintos servicios. Sin embargo, la identificación de riesgos hecha en este documento deja entrever que hay algunos temas que aún no han sido tratados en la profundidad debida, los cuales deberán ser los que reciban mayor atención a la hora de iniciar un estudio más profundo en la materia. Lo primero que salta a la vista es la falta de definiciones y de acuerdos entre las partes, para ver la aplicabilidad de las normas existentes a los nuevos productos y servicios. Esto puede generar problemas conforme aumente la cantidad de usuarios de servicios de banca electrónica. Por ejemplo, las publicaciones que hacen los bancos en sus páginas web, anunciando las condiciones de sus productos, ¿tienen validez y exigibilidad legal? ¿Qué es lo que debe indicar una página web si es que se planea hacer depósitos en línea o transferencias entre cuentas? Los instrumentos como las tarjetas TVA que está emitiendo un banco local, ¿están sujetas a requerimientos de encaje? Los fondos sobre los que se respaldan las transacciones de dicha tarjeta, ¿están cubiertos por el FSD? ¿Qué requerimientos se le exigirán a instrumentos de dinero electrónico, cuando aparezcan? Por otra parte, dado que el alcance de Internet es mundial, ¿qué legislación se aplica en caso de una operación internacional? ¿Debe decirlo eso el banco, ser un acuerdo entre el banco y el cliente, o debe someterse a la competencia de una “ley internacional”? ¿Cuán expuesto y preparado está el banco ante un problema legal, por incertidumbre del marco legal aplicable? ¿De qué manera se mediría y cómo se sancionaría una exposición a este tipo de riesgo? ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 35 Los problemas más serios que presentan las nuevas tecnologías son, obviamente, problemas tecnológicos. Pero cuando éstos ocurren, ¿quién es el responsable? Si, durante una transacción en la página web del banco, un tercero logra apoderarse de los datos de la tarjeta del cliente y comete una operación fraudulenta, ¿quién debe ser responsabilizado por el error? Sea cual sea la respuesta, ¿está dicha respuesta explícitamente especificada en los términos de servicio? Y con respecto de la seguridad de los sistemas, ¿se deben exigir requisitos mínimos a los bancos? Si es así, ¿de qué manera se exigirían y de qué manera se revisarían? ¿Qué sanción debe serle aplicada a un banco cuyos sistemas no demuestren la seguridad suficiente? ¿Debe haber un lineamiento de riesgos generales, una guía de procedimientos de examinación de sistemas? ¿Debe ser esta guía un documento público (como en el caso del FDIC)? Además, se ha visto que el banco, para realzar el servicio que brinda a sus clientes, puede dar servicios adicionales, no bancario, que contrata con terceros. Si el banco brinda otros servicios, aparte de los propiamente bancarios, ¿quién regula la provisión de dichos servicios? ¿Hasta dónde debe ser responsable por daños causados a los clientes que usaron estos servicios? En general, ¿Cómo el banco un plan adecuado de contingencia para minimizar el impacto sobre sus clientes, de cualquier falla en los servicios de banca electrónica que provee? Estos son sólo algunas cuestiones que aún no han sido resueltas, y que deben ser estudiadas con más detalle para poder diseñar una regulación efectiva sobre banca electrónica. Es cierto que, al ser un entorno nuevo, incipiente y en desarrollo, requerimientos muy estrictos pueden desalentar el crecimiento de la oferta de productos en este sector. Sin embargo, dejar estos temas sin adecuado tratamiento puede causar, en el mediano plazo, una exposición considerable a los riesgos tratados en el presente documento, lo cual podría minar la confianza en los servicios de banca electrónica, o hasta afectar el propio sistema bancario. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 36 ANEXO Nº1 Certificados y Firmas Digitales Como se ha visto a lo largo del texto, muchas de las soluciones propuestas, tanto para aumentar la seguridad de los sistemas como la validez y no-repudiabilidad de las comunicaciones electrónicas, pasan por la instalación de certificados digitales o la autenticación de los documentos mediante firmas electrónicas. En este punto se tocará brevemente qué son y cómo funcionan los certificados digitales, las firmas electrónicas, las Autoridades Certificadoras y otros términos conexos. Un certificado digital es un código emitido por una Autoridad Certificadora, con el fin de identificar al dueño del certificado ante la Red (sea una red interna, o Internet). La Autoridad Certificadora es un agente que, debido a la confianza que se ha ganado dentro de la red de usuarios que comparten o aceptan sus certificados, tiene validez para expedir éstos a quienes los soliciten, luego de haber pasado por un estricto proceso de verificación de datos e identidad. El certificado digital contiene tres partes básicas: los datos del certificado (quién lo expidió, a nombre de quién está expedido, cuándo fue expedido y cuándo vence), la llave pública del dueño del certificado, y la firma electrónica (que explicaremos posteriormente) de la Autoridad Certificadora. Una llave pública y su correspondiente llave privada son un par de cadenas numéricas bastante largas, y relacionadas entre sí a través de complicadas operaciones matemáticas, de tal forma que es casi imposible obtener la llave privada a partir de la llave pública. Cuando se instala el certificado en la máquina del dueño, su llave privada se guarda en un sitio seguro del disco duro. Sin embargo, la llave pública, junto con los demás elementos del certificado, se publican en una base de datos en la Web, accesible a todos los usuarios. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 37 El certificado funciona de la siguiente manera: - Si alguien quiere enviarle datos cifrados (codificados) al dueño del certificado, busca en la base pública de certificados la llave pública del receptor, y con un algoritmo matemático muy complejo convierte los datos en un código incomprensible. Estos datos, una vez llegados al poder del receptor, y en caso de no haber sido modificados durante el tránsito (aunque sólo haya cambiado un carácter), pueden ser decodificados usando otro algoritmo matemático y la llave privada del receptor. Ningún otro código puede abrir los datos cifrados. Por otra parte, si los datos fueron alterados durante el tránsito de los mismos, el receptor recibirá un mensaje de error cuando intente abrirlos. Por ende, si no recibe mensaje de error alguno, puede estar seguro de que recibió exactamente los datos que le fueran enviados. - Si alguien quiere “firmar” los datos que envía (firma digital), genera un mensaje adicional a los datos, el cual se codifica mediante el uso de su propia llave privada. Cuando el receptor recibe los datos, busca en la base de certificados la llave pública del emisor y trata de abrir la “firma”. Si puede abrir la firma, entonces efectivamente queda comprobado que ese mensaje se firmó mediante el uso del certificado del emisor. Esto es lo que se conoce como criptografía de llave pública o criptografía asimétrica, porque usa dos llaves para abrir y cerrar los mensajes, una de las cuales es de acceso público. Hay otro tipo de criptografía, llamada criptografía secreta o criptografía simétrica, la cual usa sólo una llave para abrir y cerrar los mensajes, la cual debe mantenerse en reserva absoluta. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 38 ANEXO Nº 2 Protocolos de Seguridad más Comunes Los protocolos más extendidos en cuanto a seguridad de redes son los siguientes: PROTOCOLO SECURE SOCKETS LAYER (SSL) El protocolo SSL protege los datos que están en tránsito, haciendo muy difícil su comprensión para un tercero que trate de interceptarlos. Este protocolo fue desarrollado por Netscape y funciona creando una “conexión segura” entre los participantes: la computadora y el servidor con el que se esté conectando. a) La computadora cliente se conecta con el servidor. b) La computadora cliente le pide el certificado al servidor, y lo valida. A su vez, el servidor puede pedirle su certificado al cliente. c) La computadora cliente genera una llave aleatoriamente (llave de sesión), la codifica con la llave pública del certificado del servidor, y se la envía. d) El servidor decodifica la llave de sesión, la instala y le avisa a la computadora cliente que ya tiene la llave. e) Como los dos tienen una copia de la llave de sesión, utilizan esta llave para codificar y decodificar simétricamente los datos que se van a transmitir. Se ha creado una conexión segura. f) Cuando se termina la sesión, se rompe la conexión y la llave de sesión se desecha. Este tipo de conexiones asegura la integridad de los datos en tránsito, pero no asegura la validez de los mismos. Por eso, puede ser usado para transmitir comunicaciones entre un cliente y su banco, pero no para comprar por Internet (porque así, el vendedor no puede saber si el número de tarjeta de crédito que recibe es válido). PROTOCOLO SECURE ELECTRONIC TRANSACTION (SET) Este protocolo fue diseñado por Visa y Mastercard conjuntamente, y permite la validación de todos los pasos necesarios para hacer una compra en Internet. Participan un comprador, un vendedor, el banco del comprador y el banco del vendedor. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 39 a) El cliente escoge el producto y presiona “comprar”. b) El vendedor le envía una descripción del producto, y pide confirmación. c) El cliente confirma, y genera una orden de pago cifrada. d) El vendedor recibe la orden de pago cifrada, y la envía a su banco, junto con un pedido de transferencia de fondos. e) El banco del vendedor envía la orden de pago al banco del comprador, y le pide que confirme si no hay problema en realizar la transferencia. f) De no haber problema, el banco del comprador confirma y realiza la transferencia de fondos al banco del vendedor. g) El banco del vendedor emite un testigo de transferencia de fondos, y se lo envía al vendedor, para informarle que la transferencia entre bancos se realizó con éxito. h) El vendedor recibe el testigo de transferencia de fondos, y solicita a su banco que le abone en su cuenta el monto correspondiente. Simultáneamente, envía el producto comprado al comprador. i) El banco del vendedor abona el importe correspondiente a la cuenta del vendedor. j) A su debido momento, el banco del comprador carga al comprador por la transacción. Este protocolo permite la validación de los datos de tarjetas de crédito, autorización de cuenta, confirmación de compra y demás. Así mismo, distribuye la información de tal forma que el vendedor nunca logra ver la información de la cuenta del comprador, y los bancos nunca logran ver la información del producto adquirido por éste, resguardando la privacidad del comprador. ALLAÍN, Daniel. BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. Pág. 40 BIBLIOGRAFÍA - AMOR, Daniel. The E-Business (R)Evolution. Prentice Hall. 1999. - BANK FOR INTERNATIONAL SETTLEMENTS. Security of Electronic Money. Basilea, Documento de Trabajo. Agosto 1996 - BASLE COMMITTEE ON BANKING SUPERVISION. Sound Practices for Managing Liquidity in Banking Organizations. Basilea, Documento de Trabajo. Febrero 2000. - BASLE COMMITTEE ON BANKING SUPERVISION. Operational Risk Management. Basilea, Documento de Trabajo. Septiembre 1998 - BASLE COMMITTEE ON BANKING SUPERVISION. Risk Management for Electronic Banking and Electronic Activities. Basilea, Documento de Trabajo. Marzo 1998 - BUSINESS. Negocios en el Perú. Lima, Mercados Consultora y Publicaciones. Año VII, Nº 69 (Junio de 2000) - BUSINESS. Negocios en el Perú. Lima, Mercados Consultora y Publicaciones. Año VII, Nº 67 (Abril de 2000) - FEDERAL DEPOSIT INSURANCE CORPORATION, Electronic Banking – Safety and Soundness Examination Procedures. Junio 1998. - Ley Modelo de la CNUDMI sobre Comercio Electrónico (1996) - Ley Modelo de la CNUDMI sobre Transferencias Internacionales de Crédito (1993) - PIFFARETTI, Nadia. A Theoretical Approach to Electronic Money. Working Paper Nº 302. Faculté des Sciences Economiques et Sociales – Université de Fribourg. Fribourg, Febrero 1998. - THE BANKER. Londres. Financial Time Business. Varios números - U.S. Congress. Electronic Funds Transfer Act (EFTA). 15 U.S.C. 1693. (1978). ALLAÍN, Daniel. - BANCA ELECTRÓNICA: UNA PRIMERA APROXIMACIÓN. VARTANIAN, Thomas, et. al. Pág. 41 21st Century Money, Banking And Commerce. Washington D.C. Ed. Fried, Frank, Harris, Shriver & Jacobson. 1998.