La PSD2 (nueva directiva de pagos), introduce controles de seguridad que evitan fraudes online como la suplantación de identidad en el momento del pago. De esta forma, es impracticable que un posible infractor pueda realizar operaciones en nuestro nombre y acceder a los productos y servicios contratados.
El refuerzo de la seguridad introducido por la directiva PSD2 evita los pagos online no autorizados y evita que se pueda hacer incluso uso de una tarjeta de crédito robada gracias a los procedimientos PSD2 de SCA de doble factor de autenticación.
SCA son las siglas de la expresión anglosajona “Strong Customer Authentication”, que se refiriere directamente como autenticación reforzada.
En definitiva, dicha Directiva ha aumentado la seguridad en las transacciones, pero a la vez se está produciendo un fenómeno de incremento de la ciberdelincuencia en dichos procesos anteriores al pago, a través de la suplantación de identidad en los procesos de acreditación de terceros.
Las malas prácticas han posibilitado una creciente proliferación de fraudes de suplantación de identidad: pago a un tercero no acreedor.
La Tesorería de una Entidad Local como gestora de pagos deberá tener en cuenta las siguientes actuaciones.
1. Protocolo de actuación de la Organización (Entidad Local) y de la propia Tesorería.
En la Tesorería: las medidas generales pasan por la utilización de forma casi excluyente de la Sede Electrónica y la acreditación de los terceros (acreedores) ante esta. En caso contrario incurriríamos en un riesgo importante de fraude con las consecuencias económicas que ello conlleva.
Este cumplimiento normativo interno (“compliance”) es un código de conducta que evita las malas prácticas y minimiza los riesgos de las transacciones, por ejemplo: prohibiciones de correos electrónicos, SMS o el teléfono para acreditarse los terceros.
2. La Tesorería debe tener su propia plataforma con autonomía para gestionar pagos con criterios de seguridad.
Todas las operaciones se realizarán por canal seguro de transmisión.
En definitiva, implementar un modelo de ciberseguridad (seguridad informática) como un principio de actuación y no solo como un medio a aplicar, con la adecuación al ENS (Esquema Nacional de Seguridad).
3. Diseño de las actuaciones en los procesos de firma de las órdenes de pago de los distintos apoderados. Normalmente Interventor, Alcalde-presidente, y Tesorero.
a) Utilización de la firma electrónica
b) Portafirmas propio de la Entidad Local.
c) Secuencias y control de firmas.
Previamente en la ejecución del pago, en el supuesto que la cuenta estipulada por el acreedor en FACE (factura electrónica) no coincida con las que consten como acreditada en la Tesorería, se deberá requerir al acreedor para su nueva acreditación, siendo este un mecanismo de control esencial para evitar la suplantación de identidad.
Todas las actuaciones preventivas deben estar bajo un esquema de digitalización que permita el máximo grado de automatización de los procesos de pagos, que en definitiva evite las “malas prácticas” que pueden devenir en un supuesto de suplantación de identidad.
Siendo el responsable del manejo de fondos públicos, por motivos de seguridad y eficiencia, las claves bancarias solo deben estar en poder del Tesorero.
Como conclusión diremos que la gestión de pagos debe mantener siempre el equilibrio entre la mayor tecnificación (eficiencia) con un esquema previo de seguridad adecuado.
Además de todo ello se debe disponer de una herramienta para validación de cuentas.
Afortunadamente a través de IBERPAY, que es la empresa privada que gestiona el Sistema Nacional de Compensación Electrónica (SNCE) del sistema español de pagos al por menor, y sus accionistas son las entidades participantes en el SNCE (Sistema Nacional de Compensación Electrónica), existe un proyecto (ya muchas empresas y Administraciones están en ejecutando este proyecto) para que podamos validar las cuentas de nuestros acreedores de forma fidedigna. Este servicio será online 24×7, con respuesta en tiempo real y con alcance de +75M cuentas (99% cuentas españolas), trata de ayudar a la prevención del fraude (Validación de titularidad inmediata), en un sistema con integración en la web o en sistemas de gestión del cliente (participante indirecto). Tendrá un bajo coste, pero tiene un coste interbancario. La Infraestructura será de IBERPAY.
En la actualidad ya se estaba implementado ese sistema de verificación de cuantas de terceros para operaciones entre entidades y clientes de esa entidad. Ahora se está implementando para el resto de Las Entidades Financieras.
Dado que IBERPAY sólo presta servicio a las Entidades Financieras, este servicio de validación de cuentas se debe realizar a través de las que presten el servicio de pagos a la Entidad Local.
La Entidad local comunica con la Entidad financiera y esta a su vez con IBERPAY. Existiendo unos flujos equivalentes en vía de regreso. El usuario realiza la solicitud pare ello suministra: IBAN de la cuenta; nombre del titular y tipo de identificación (NIF, CIF,NIE). La Entidad financiera verifica el formato y genera una solicitud, creando un código univoco. El usuario en cuestión de segundos consulta el resultado de la verificación, que como respuesta recibirá uno de los siguientes valores: OK, en caso de correspondencia y cuenta activa o, KO, en caso de no correspondencia o cuenta inactiva.
La Verificación de titularidad de cuenta tiene dos funcionalidades:
a) Solicitud de verificación de titularidad.
b) Consulta el estado de la verificación de titularidad.
El proceso de verificación actuará de forma automática y además se habilitará desde el mantenimiento de datos bancarios de terceros la activación manual (de una cuenta en estado pendiente de verificar o verificada con resultado incorrecto (por cualquier motivo).