Columnas
Los desafíos del sector financiero en seguridad de la información.
Por Joaquín Ortega Torres*
Durante las últimas semanas, el sector financiero y la banca han estado en el ojo del huracán debido a los operativos policiales por investigaciones de delitos de lavado de activos, financiamiento del terrorismo y narcotráfico.
Hace unos meses entró en vigencia la Ley N°21.680 que crea el registro consolidado de deudas y está transformando el deber de reportar deudas de las entidades financieras, unificando la información sobre carga financiera de personas y empresas en Chile. Asimismo, la segunda consulta de la Norma de Carácter General N°540 que regula el funcionamiento operativo del Registro y las interfaces API implementadas, adiciona regulación técnica al REDEC.

Por otro lado, aparecen fallos de los Juzgados de Policía Local respecto de fraudes en medios de pago bajo la Ley N°20.009, modificada hace 2 años por la Ley N°21.673, y que comienzan a dotar de contenido doctrinario los deberes de seguridad de las entidades financieras y lo que debemos entender por dolo o culpa grave del usuario.
En paralelo, en casos de fraude iniciados por las víctimas, como acciones de consumo por infracción al deber de seguridad en el consumo financiero, también se van sentando criterios sobre deber de seguridad digital de las instituciones financieras, sobre todo en aquellos casos de vishing, donde delincuentes acceden a datos bancarios de clientes, con filtración de datos por las entidades financieras responsables, y los utilizan para contactar a clientes financieros, hacerse pasar por ejecutivos, alertar fraudes, engañar a sus víctimas y lograr que éstos cambien claves, autoricen transacciones, entre otras maniobras destinadas a defraudar sus productos financieros.
Estos casos, sumados a la discusión sobre el levantamiento del secreto bancario, la entrada en vigencia de la Norma de Carácter General N°538, sobre medidas de seguridad y autenticación de operaciones sometidas a la Ley N°20.009, la actualización de la RAN 20-07 que regula la externalización de servicios, la entrada en vigencia de la Ley N°21.663 ( y consecuente designación de entidades financieras como Operadores de Importancia Vital), y la inminente entrada en vigencia de la Ley de Protección de Datos Personales configuran un escenario altamente desafiante y complejo en regulación y viabilidad operativa y técnica, dónde la seguridad adquiere un rol protagónico.
En este escenario, el punto común entre todo lo expuesto es que todas las operaciones reguladas transcurren en entornos e infraestructuras digitales, donde la seguridad de la información, ciberseguridad y la privacidad son clave.
Toda la normativa que se dicte por los Órganos Competentes no tendrá el impacto deseado si no se incorporan los controles técnicos necesarios para resguardar la integridad, disponibilidad y confidencialidad de la información que se transmite durante los diversos tipos de operaciones financieras. En este sentido, las entidades financieras deberán invertir recursos en capacitar a su personal, mejorar sus controles internos y de compliance, auditar sus sistemas de información, sus procesos y sus softwares, así como toda su cadena de suministro y subcontratación, sobre todo con proveedores de servicios TI.
El desafío y la complejidad del escenario no solo afecta a entidades financieras, sino que también a las Policías, que deberán periciar y detectar los delitos dentro de los logs y datos que se registren en los sistemas, los Tribunales, que deberán fallar sobre asuntos eminentemente técnicos, los reguladores de las entidades financieras, que deberán articular sus atribuciones, potestades, funciones, responsabilidades y presupuestos entre la ANCI, la Agencia de Protección, SERNAC, CMF, UAF, etc. que deberán coordinar sus actuaciones para fiscalizar y sancionar los incumplimientos en los deberes de seguridad del sector financiero.
Por último, los ciudadanos y consumidores financieros, también deberán adaptarse al complejo escenario, ya que el impacto inmediato de ser víctima de fraude o de problemas financieros siempre será crítico, y la mejor medida a adoptar siempre es la prevención, por tanto, es importante incluir la seguridad dentro de la educación financiera. Bajo esta premisa, los consumidores deberán informarse, tomar conciencia sobre los riesgos digitales y tomar acciones concretas para proteger la privacidad de su información personal y confidencial, para minimizar los riesgos de ser víctimas o partícipes de delitos.
*Joaquín Ortega Torres
Abogado y Consultor en Derecho y Tecnología.




