Las transferencias instantáneas siguen demostrando un enorme dinamismo en España. Sin embargo, esta gran innovación financiera y tecnológica puede facilitar también la circulación de algunas modalidades de fraude y transacciones vinculadas al lavado de dinero o la financiación del terrorismo. Los cambios legislativos en curso y la acción sectorial bancaria conjunta, apoyada en el servicio Payguard de Iberpay, pionero en Europa, emergen como instrumentos esenciales para prevenir, detectar, anticipar y luchar contra el fraude en los pagos instantáneos.

La revolución de las transferencias instantáneas

El nacimiento del euro como moneda común en el año 2002 supuso un gran hito en Europa y marcó el comienzo de una nueva era económica en el continente. La introducción de billetes y monedas de euro como moneda oficial en Europa tenía como finalidad la armonización de los pagos en efectivo. Pero para crear un verdadero mercado monetario único se requería también la armonización de los pagos electrónicos a través del desarrollo de instrumentos de pago, procedimientos y estándares comunes, en sustitución de los procedimientos y prácticas domésticas hasta entonces en vigor.

Así nació la Zona Única de Pagos en Euros (SEPA, por sus siglas en inglés), que comprende un total de 36 países en Europa y más de 4.000 bancos, y que persigue la armonización de los pagos electrónicos de cuenta a cuenta en euros para, a su vez, fomentar la digitalización y la competitividad de la economía europea. SEPA es un proyecto de autorregulación liderado por la comunidad bancaria europea a través del Consejo de Pagos Europeo (European Payments Council o EPC), iniciativa que es apoyada por la Comisión Europea, los gobiernos y los bancos centrales de los países de esta área.

Tras la estandarización de las transferencias y los adeudos en SEPA, en 2008 y 2009 respectivamente, en noviembre de 2017 entró en vigor el estándar del esquema SEPA de transferencias instantáneas o también conocido como SCT Inst.

Las transferencias instantáneas han transformado la manera en que ciudadanos y empresas realizan sus pagos en toda el área SEPA: se pueden realizar en cualquier momento del día, los 7 días de la semana y el dinero se abona de forma instantánea, permitiendo que el beneficiario disponga de los fondos en su cuenta inmediatamente para hacer otras transacciones.

Su uso principalmente a través de canales digitales y la propia velocidad que tienen este tipo de operaciones, puede facilitar algunos mecanismos delictivos y fraudulentos, que resultan más difíciles de combatir y que pueden suponer un freno para el pleno desarrollo de los pagos instantáneos de cuenta a cuenta, además de un coste económico y reputacional importante para los bancos.

Según datos de Reino Unido, el único país que publica datos al respecto, durante el año 2022 las pérdidas por fraude en pagos instantáneos alcanzaron la inquietante cifra de 249 millones de libras.

La importancia de la colaboración sectorial

Hasta la llegada de los pagos instantáneos, el foco principal estaba puesto en el fraude en los pagos con tarjetas, al ser el método de pago más utilizado en comercios físicos y online. En el caso del fraude en tarjetas, y a diferencia de los pagos de cuenta a cuenta, el banco o entidad emisora de la tarjeta es totalmente autónoma para investigar y monitorear la operativa de los pagos de su cliente. Para cada operación que realiza un cliente, el banco emisor previamente aprueba la transacción en función de los saldos, crédito o riesgos que tiene el titular de la tarjeta y las características del comercio, por lo que, en caso de fraude, el banco posee los datos más relevantes y la información sobre la operativa de la tarjeta, lo que le permite analizar e investigar el circuito de la transacción completa.

No es el caso de las operaciones de pago de cuenta a cuenta, en las que el banco emisor de la transferencia tan sólo tiene los datos de su cliente y el movimiento de fondos se produce hacia una cuenta beneficiaria desconocida tanto para el banco emisor como para el cliente, lo que dificulta el análisis e investigación del fraude de forma autónoma por el banco emisor. Además, en caso de fraude, los movimientos de fondos se pueden realizar a varias cuentas distintas y saltar a continuación a nuevas cuentas en el sistema bancario, por lo que la información que tiene el banco emisor de la transferencia es muy parcial, lo que le imposibilita la monitorización adecuada de la operativa.

Por todo ello, para prevenir el fraude en los pagos de cuenta a cuenta, proteger a los clientes y asegurar su operativa, la colaboración sectorial bancaria es clave. Los bancos necesitan compartir información y datos para combatir el fraude, y esta compartición no puede ser parcial o bilateral, debe abordarse por todos los bancos de forma colaborativa, segura y en un punto neutral.

El tratamiento de datos personales para luchar contra el fraude

Hasta hace bien poco, el intercambio de información entre bancos, incluso para prevenir y luchar contra el fraude, tropezaba sistemáticamente con interpretaciones muy restrictivas de la normativa de protección de datos (Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales y el Reglamento General de Protección de Datos, o RGPD).

Obviamente, los bancos y las entidades financieras, como el resto de las empresas y particulares, están sujetos al cumplimiento riguroso del RGPD y, dado que los datos relativos a los titulares y números de las cuentas bancarias se consideran información sensible, resulta jurídicamente muy complejo compartir estos datos personales entre bancos, incluso de forma limitada y con el objetivo de prevenir y luchar contra el fraude.

En el año 2020, Iberpay, en estrecha coordinación y cooperación con la Agencia Española de Protección de Datos, fue pionero en Europa en la puesta en marcha de un servicio de intercambio de información de carácter sectorial, basado en el interés legítimo en la prevención del fraude, que permite compartir información sobre operaciones fraudulentas, tanto las que están confirmadas como las transacciones sospechosas o las que se han quedado en tentativas.

La posibilidad de intercambiar información entre proveedores de servicios de pago para la prevención del fraude se ha visto expresamente reconocida a nivel legislativo en el borrador del próximo Reglamento del Parlamento Europeo y del Consejo relativo a los servicios de pago en el mercado interior, conocido como PSR, que introduce la compartición de datos entre entidades como una herramienta fundamental para combatir el fraude, reconociendo que los bancos, de forma aislada, no disponen de los datos necesarios para luchar eficazmente contra el fraude. Esta propuesta de Reglamento, además, consagra a nivel legal el papel fundamental de los bancos y de los sistemas de pagos como elemento clave para asegurar el buen funcionamiento del mercado interior de servicios de pago, autorizándoles a tratar las categorías especiales de datos personales necesarios para este fin.

Iberpay, como sistema de pagos y nodo neurálgico de la red europea de pagos de cuenta a cuenta, con todas las entidades españolas conectadas y procesando sus pagos a través de su plataforma tecnológica central y neutra, tiene a la lucha contra el fraude como máxima prioridad estratégica.

Corresponde a Iberpay el mérito de haber puesto en marcha, junto con los bancos españoles, un servicio sectorial integral para prevenir, detectar, anticipar y luchar contra el fraude en los pagos de cuenta a cuenta, el servicio Payguard, con más de 70 bancos conectados actualmente y en funcionamiento desde el año 2020.

Payguard es un servicio para la lucha contra el fraude con un enfoque sectorial e integrado en la cadena de valor de los pagos instantáneos, que cuenta con las siguientes 6 herramientas:

1. Share, herramienta para el intercambio de operativa fraudulenta.
   Share es la herramienta de intercambio de información entre bancos puesta en marcha en noviembre de 2020. Se trata de una base de datos centralizada que facilita el intercambio de información de operaciones fraudulentas, sospechosas e intentos de fraude en tiempo real y de forma estándar, ágil, segura y automática entre todos los participantes en el servicio.
2. Rescue, herramienta para la recuperación de fondos.
   Los bancos solicitan recuperar fondos por fraude o por estafa a través de la herramienta Rescue. Este procedimiento de recuperación de fondos facilita que, ante la detección de una transferencia no autorizada por el banco ordenante o por su cliente, se solicite recuperar los fondos al banco beneficiario del pago y que este devuelva los fondos, si se dan las circunstancias oportunas. Este procedimiento es aplicable a todas las transferencias ordinarias y transferencias instantáneas procesadas y liquidadas a través de Iberpay, incluido Bizum.
3. Prevalidate, herramienta que permite, a los bancos y a sus clientes, verificar la titularidad de cuentas antes de realizar un pago para evitar ciertos tipos de fraude.
   Payguard se apalanca en el servicio de titularidad de cuentas de Iberpay, que permite a los bancos conectados al servicio y a sus clientes confirmar que un CIF/NIF es el titular, o no, de una cuenta de pago en otro banco conectado al servicio. Dado que este servicio cuenta con la participación de todo el sistema bancario español, permite confirmar la titularidad de las más de 80 millones de cuentas de pago existentes (el 99% de las cuentas bancarias españolas).
4. Intelligence, modelo predictivo de fraude.
   Esta herramienta evalúa permanentemente la operativa del sistema y permite identificar posibles nuevas cuentas mula y operaciones irregulares (fraudulentas, blanqueo de capitales o financiación del terrorismo) en cada banco conectado mediante un modelo predictivo que aplica inteligencia artificial y machine learning. Las entidades son informadas periódicamente de aquellas cuentas con operativa anómala para su investigación. Cada entidad ha de confirmar a su vez si estas cuentas son realmente sospechosas y, de este modo, facilitar la retroalimentación del motor analítico.
5. Score, herramienta de evaluación de riesgo en tiempo real.
   Esta herramienta identifica, antes de emitir un pago, diferentes patrones y comportamientos que se corresponden con una mayor presencia de fraude. Los bancos pueden consultar estos indicadores en tiempo real mediante dos APIs, desacopladas del flujo del pago, que permiten evaluar el riesgo de la operación, de forma que, junto con la información ya disponible en el propio banco, este pueda tomar la decisión de emitir o no el pago.
6. Networks, modelo neuronal de redes de cuentas mula.
   Esta herramienta, basada en tecnología y modelos de redes neuronales, será objeto de un futuro desarrollo y tiene como objetivo analizar en tiempo real los movimientos de fondos y saltos entre distintas cuentas, para identificar redes de cuentas mula y operativa irregular fraudulenta, blanqueo de capitales o financiación del terrorismo, y retroalimentar de nuevo al motor analítico.

Para el desarrollo y evolución de Payguard, se cuenta con los expertos en lucha contra el fraude e inteligencia artificial de los principales bancos, que trabajan conjuntamente con el equipo de Iberpay para mantener alineadas las herramientas del servicio Payguard con las necesidades de los bancos en su lucha contra el fraude.

*****