Riesgos de la banca por Internet.

La incorporación de nuevas tecnologías ha supuesto grandes transformaciones para la actividad financiera y bancaria, que benefician altamente a los clientes, pero que suponen cambios para las entidades bancarias. La banca por Internet no origina nuevos riesgos, sino que más bien enfatiza los ya existentes en un banco. Cabe señalar que existen diferentes tipos de riesgos adicionales a los de seguridad de la información que deben ser tomados en cuenta por los bancos, pero que en la mayoría de casos no son muy considerados.Los riesgos a los cuales están expuestas las instituciones financieras están clasificados en tres perfiles dependiendo del tipo de servicios de banca por Internet que ofrezcan:a. Riesgo Bajo - Informativas: Corresponde a las instituciones financieras que ofrecen información acerca de los productos y servicios del banco ("brochureware").b. Riesgo Moderado – Comunicativas: Se refiere a las instituciones financieras que ofrecen información relacionada con cuentas de ahorros, y actualización de datos como domicilio, teléfono, entre otros. Como en este caso el usuario está ingresando a los sistemas principales del banco, el riesgo es material.c. Riesgo Mayor – Transaccionales: Corresponde a las instituciones financieras que permiten a sus clientes realizar transacciones financieras por lo que implican un mayor riesgo.Los principales riesgos a los que se exponen las instituciones financieras por ofrecer servicios de banca por Internet figuran los siguientes [6]:a. Riesgo Estratégico: Se origina por decisiones de negocio adversas o implementación inadecuada de decisiones de negocio cuando no se comprenden plenamente los aspectos técnicos y estratégicos de la banca por Internet, y por presiones de la competencia pueden introducir estos servicios sin un previo análisis costo-beneficio; además, la estructura de la empresa podría no estar preparada para brindar este tipo de servicios.b. Riesgo de Transacción: Surge por fraude, error, negligencia e inhabilidad para mantener niveles esperados de servicio. Puede existir un alto nivel de riesgo transaccional con los productos de banca por Internet debido a que se necesita contar con controles internos sofisticados y su uso es constante, puesto que las plataformas de banca por Internet en su mayoría están basadas en nuevas plataformas que utilizan complejas interfaces para vincularse con los sistemas anteriores, lo que aumenta el riesgo de errores en las transacciones. Asimismo, se debe asegurar la integridad de los datos y el no repudio de las transacciones.c. Riesgo de Cumplimiento: Se debe a violaciones de leyes, regulaciones y estándares éticos; y podría llevar a afectar la reputación, pérdidas monetarias reales y reducción en las oportunidades de negocios. Los bancos necesitan comprender e interpretar cuidadosamente las leyes existentes en sus países que se apliquen a la banca de Internet y asegurar consistencia con la banca tradicional a través de oficinas. Al respecto, los clientes están muy preocupados acerca de la privacidad de sus datos y los bancos necesitan ser vistos como guardianes confiables de tales datos.d. Riesgo de Reputación: Surge de la opinión pública negativa. La reputación de un banco puede ser dañada por servicios de banca por Internet que no estén a la altura de las expectativas de los clientes, lo cual generará desconfianza en la entidad bancaria. Por ejemplo: una disponibilidad limitada o software con problemas. Cabe señalar que los clientes tienen expectativas más altas en relación con el desempeño del canal de Internet.e. Riesgo de Seguridad de la Información: Se origina por débiles procesos de seguridad de la información, que exponen a la institución a ataques maliciosos internos o de hackers, virus, robo de información, entre otros. La velocidad de cambio de la tecnología y el hecho de que el canal de Internet es universalmente accesible hace a este riesgo bastante crítico.f. Riesgo de Crédito: Como la banca por Internet permite a los clientes aplicar desde cualquier lugar del mundo, se hace difícil verificar la identidad del cliente al momento de ofrecer créditos instantáneos a través de la red.g. Riesgo de Tasa de Interés: Surge de movimientos en las tasas de interés. Además, como las tasas están publicadas en Internet, es mucho más fácil comparar un banco con otro, lo que agrega presión sobre las tasas de interés, acentuando la necesidad de reaccionar rápidamente a los cambios de las mismas en el mercado.h. Riesgo de Liquidez: Surge de la incapacidad de un banco de satisfacer sus obligaciones. La banca por Internet puede aumentar la volatilidad de los depósitos y de los activos, en el caso de clientes que mantienen sus cuentas sólo porque están obteniendo una tasa mejor, y que pueden retirarse si obtienen una mejor, debido a que es más fácil la comparación entre bancos a través de la red.i. Riesgo de Precio: Surge del cambio en el valor de los instrumentos financieros comercializados.j. Riesgo de Cambio de Moneda Extranjera: Cuando los activos en una moneda están fundados en pasivos en otra moneda. La banca por Internet podría alentar la especulación, debido a la facilidad y al bajo costo de las transacciones.En este contexto, la alta gerencia de los bancos debe preocuparse por administrar estos riesgos y establecer un efectivo control sobre los riesgos asociados con las actividades de e-banking, y por ende no dejarlo para que lo administre la gerencia de Tecnologías de Información. Asimismo, deben estar concientes del rol de la banca por Internet para alcanzar las metas estratégicas de la entidad, y de que antes de implementar estos servicios deben realizar un análisis costo-beneficio, tener conocimiento de la importancia de la supervisión técnica y de la administración de riesgos.Controles de SeguridadLos controles de seguridad en la banca por Internet son de suma importancia debido a que se está en la red abierta.Los principales pasos para los controles de seguridad son los siguientes:a. Autenticación: Significa asegurar que se verifiquen los clientes y sus identidades antes de realizar transacciones por Internet. En esta etapa los métodos de autenticación más usados son las contraseñas (passwords), los métodos biométricos, y los sistemas de desafío-respuesta. En el portal viaBCP del Banco de Crédito del Perú, aparte de tener un password de 6 dígitos numéricos para ingresar a nuestras cuentas de ahorros, se cuenta con una calculadora donde se marca la clave, en la cual varía la posición de los números cada vez que se ingresa al sistema; y cuando se requiere efectuar transferencias se debe confirmar la clave de acceso, y al tercer error se bloquea el ingreso.b. No rechazo: Consiste en que el banco debe cubrirse de que el cliente rechace la transacción, alegando que no la ha realizado mediante la aceptación de certificados digitales (técnica PKI); sin embargo su aplicabilidad en muchos países es aún dudosa. Por ejemplo: en el portal de viaBCP cuando se requiere realizar retiros o suscripciones de fondos mutuos el sistema nos pide aceptar un contrato digital acerca del servicio de fondos mutuos, previo a que se concrete la transacción.c. Segregación de tareas: Es vital para prevenir fraudes.Asimismo, los bancos deben llevar un registro de auditoría de las transacciones e-banking, y preservar la confidencialidad de los datos de los clientes a través de métodos disponibles como son los firewalls y los controles de acceso físico y lógico.Cabe mencionar que los controles de seguridad en banca electrónica figuran en los Principios de Administración de Riesgos del informe del Comité de Basilea, en el cual se hace mención a lo tratado previamente.Los riesgos que surgen de la banca por Internet no están restringidos a las áreas de seguridad de la información, por lo que la administración de riesgos debe ser dirigida por la alta gerencia, y los procedimientos de control necesitan alinearse con los rápidos cambios de la tecnología.