Los reguladores bancarios se muestran preocupados por las defensas contra el ciberdelito de los bancos

by  Publicado porACFCS -

El regulador de los bancos más grandes y más complejos en EE.UU. ha planteado nuevas preocupaciones sobre las capacidades de defensa de las instituciones financieras contra los ataques cibernéticos. También se mostró intranquilo de que una gran cantidad de clientes bancarios puedan quedar sin sus tradicionales servicios bancarios por el temor a una alta exposición a riesgos de lavado de dinero (efecto de risking) y que esta situación los haga migrar a instituciones más pequeñas que no están preparadas para lidiar con ellos.

Esos son algunos de los puntos clave que se dan a conocer en el informe Semiannual Risk Perspective que presentó la Oficina del Contralor de la Moneda de EE.UU. (OCC) hace un par de semanas. El documento también se refirió a los riesgos sobre el cumplimiento de delitos financieros por parte de terceros, tanto en la lucha contra el lavado de dinero (ALD) como desde la perspectiva cibernética, el crecimiento de ransomware donde los bancos se ven obligados a pagar a los criminales en monedas virtuales, y la importancia de responder adecuadamente a los asuntos que requieren atención (MRA por sus siglas en inglés).

El documento de 34 páginas es una visión a futuro de todo el panorama de la industria y los temas a los que los examinadores le darán un mayor escrutinio debido a las preocupaciones de que algunos bancos – particularmente entidades grandes y sofisticadas que operan en múltiples jurisdicciones – no tienen estructuras de gobierno y de control de riesgo de delitos financieros adecuados para mantener fuera a lavadores de dinero, defraudadores, políticos corruptos y piratas informáticos resueltos.

El documento también critica prácticas aplicadas por la agencia en pasadas medidas de control. Tras la pena de US$ 1.900 millones contra HSBC, representantes de la OCC fueron llamados a declarar ante el Congreso en 2012 y se comprometieron rápidamente a realizar cambios, tales como no permitir que los bancos tengan tantos asuntos que requieren atención (MRA), convertir en formales acciones informales, y hacer de las infracciones relacionadas con los delitos financieros un pilar más vital que podría afectar las tasas de seguro de depósitos.

En esta última edición de la perspectiva de riesgo, la OCC dedicó bastante espacio al tema ALD y amenazas cibernéticas, un claro guiño a las recientes declaraciones del Contralor Thomas Curry que las amenazas de gestión del riesgo ALD y cibernético «se parecen» entre sí.

«El riesgo operacional se mantiene elevado a medida que los bancos deben lidiar con amenazas nuevas en el campo de la ciberseguridad y el incremento de la dependencia en terceros», según el informe. «La Ley de Secreto Bancario (BSA) y la gestión del riesgo de cumplimiento siguen siendo áreas complejas de administrar y continuarán planteando desafíos a medida que los bancos implementan sistemas para hacer frente a los cambios en la tecnología y cumplir con las nuevas normas».

En el área informática, la OCC destacó que las nuevas amenazas incluyen:

Los bancos y sus empleados, clientes y las relaciones con terceros siguen siendo vulnerables a los ataques cibernéticos. Un punto de entrada común en los sistemas internos es a través de un ataque phishing dirigido a un empleado, cliente o terceros. Un ataque de este tipo puede resultar en que los ciberdelincuentes obtengan acceso a la infraestructura y las aplicaciones a través de malware descargado.

Recientes ciberataques contra redes interbancarias y sistemas de pago han demostrado un amplio arco de capacidades, incluyendo:

– Poner en peligro el ambiente pago de una institución financiera; obtener y usar en forma indebida las credenciales válidas de operador con la autoridad para crear, aprobar y enviar mensajes fraudulentos.

– Emplear un entendimiento sofisticado de operaciones de transferencia de fondos y controles operacionales

– Utilizar malware altamente personalizado para deshabilitar el registro de seguridad y generación de informes, así como otros controles operacionales para ocultar y retrasar la detección de transacciones fraudulentas.

–Transferir fondos robados a través de múltiples jurisdicciones y evitar rápidamente la recuperación de activos.

Los bancos y otras empresas continúan recibiendo demandas para pagar extorsiones en moneda virtual a cambio de prevenir o detener ataques de denegación de servicio o para el descifrado o la devolución de la información propietaria. De acuerdo con un informe reciente de la industria, las muestras ransomware aumentaron un 26% a casi US$1 millón del tercer trimestre de 2015 hasta el cuarto trimestre de 2015.

Los ciberdelincuentes cada vez más apuntan a negocios, incluyendo bancos y sus clientes, donde utilizan ataques de ingeniería social contra los empleados del banco solicitando transferencias electrónicas apresuradas para pagar facturas falsas a proveedores. Este esquema, conocido como business e-mail compromise, resultó en una pérdida de más de US$ 2.300 millones en todos los negocios, de octubre de 2013 a febrero de 2016, según la Oficina Federal de Investigaciones (FBI).

Los peligros del de-risking

La OCC también se refirió a la tendencia general ALD de eliminación del riesgo (conocida por su designación en inglés de-risking), donde los bancos rechazan cuentas vinculadas con ciertas líneas de negocio, individuos e incluso regiones enteras debido al riesgo de cumplimiento de delincuencia financiera –real o percibido— o al escrutinio de los reguladores.

«Algunos bancos han reevaluado los riesgos ALD de sus clientes y han limitado las actividades o cerrado las cuentas de ciertos clientes», según el documento. Sin embargo, «el desplazamiento de los clientes de los bancos grandes puede resultar en que clientes de alto riesgo se trasladen a bancos más pequeños y menos sofisticados, bancos que potencialmente tienen menos experiencia en la gestión de los riesgos asociados con el lavado de dinero».

Este desplazamiento también «puede dar lugar a la exclusión financiera de algunos clientes de los servicios bancarios, y transacciones que habrían estado sujetas a supervisión reguladora pueden ocurrir en un ambiente no regulado», lo que resulta en una pérdida de información clave para las autoridades.

En términos generales, la OCC «no dirige a los bancos para que abran, cierren o mantengan cuentas individuales, ni anima a que los bancos participen en la terminación de todas las categorías de cuentas de los clientes sin tener en cuenta los riesgos que presenta un cliente individual o la capacidad del banco para gestionar el riesgo».

Por el contrario, la OCC espera que los bancos evalúen los riesgos planteados por los clientes individuales caso por caso e «implementen controles para gestionar las relaciones proporcionales a estos riesgos».

Los bancos «deben tomar sus propias decisiones sobre si se deben iniciar o mantener una relación de negocios con base en sus objetivos de negocio, su propia evaluación de los riesgos asociados con los productos o servicios particulares, y su propia capacidad para gestionar eficazmente los riesgos», señala la OCC.

Comprendiendo los riesgos asociados a sus clientes nacionales y extranjeros y las jurisdicciones en las que operan, los bancos «son más capaces de tomar determinaciones con respecto a la forma de abordar esos riesgos», y a tomar más decisiones basadas en la información y análisis de datos en lugar de los temores regulatorios.