Ya comentábamos en el post anterior que afortunadamente el impacto de los fraudes por suplantación de identidad en las Administraciones Públicas, y especialmente en las Entidades Locales ha sido menor que en las Empresas, porque éstas han establecido con carácter general un conjunto de requisitos mínimos de seguridad en la lucha contra el fraude (protocolo de buenas prácticas), dado que la suplantación de identidad y los fraudes en los procesos de pagos es moneda común de estos tiempos.
Para ejecutar cualquier pago por transferencia (sistema general de pago de las Administraciones Públicas) se necesitan dos factores: autenticación y transmisión por canal seguro y además hay que generar un código único asociado al importe y beneficiario. Esto hace que por ejemplo una orden por e-mail no cumpla PSD2. No podemos enviar una orden de cargo o transferencia al banco por mail o fax ya que no cumple los requisitos de la PSD2.
Pero no recoge el Sistema SEPA de pagos europeos las medidas necesarias para evitar el fenómeno de la suplantación de identidad, que son necesarias en el proceso de acreditación de terceros, porque la responsabilidad directa de la acreditación de terceros recae en la Tesorería Local.
Para ello la Tesorería Local debe disponer de sede electrónica y a través de certificado digital poder acreditarse los terceros ante esta. En el modelo de ficha de terceros es conveniente indicar: «el Abajo firmante se responsabiliza de los datos detallados anteriormente, tanto generales como bancarios, que identifican la cuenta y la entidad financiera a través de la cual se desean recibir los pagos que puedan corresponder, quedando el Ayuntamiento XXXXX exonerado de cualquier responsabilidad derivada de errores u omisiones en los mismos».
La firma electrónica en sede permite acreditar la autenticidad de la expresión de voluntad consentimiento del acreedor, así como la integridad e inalterabilidad del documento.
En el supuesto de que no se disponga de sede electrónica, se solicitaran documentos originales. Con el objeto de evitar que la obligación formal y material de pago sea correcta y no hay error en el pago, el tercero tiene que justificar la titularidad de cuenta corriente, deberá presentar ficha de tercero firmada por el él y certificado de la entidad financiara que acredite que ese número de cuenta es del titular, sobre todo en el caso de personas jurídicas.
La declaración jurada de titularidad de cuenta corriente no se permite por los posibles efectos de falsedad documental.
En el supuesto que la cuenta estipulada por el acreedor en FACE (factura electrónica) no coincida con las que consten como acreditada en la Tesorería, se deberá requerir al acreedor para su acreditación.
En la actualidad a través de IBERPAY, que es la empresa privada que gestiona el Sistema Nacional de Compensación Electrónica (SNCE) del sistema español de pagos al por menor, y sus accionistas son las entidades participantes en el SNCE (Sistema Nacional de Compensación Electrónica), existe un proyecto para que podamos validar las cuentas de nuestros acreedores de forma fidedigna. Este servicio será online 24×7, con respuesta en tiempo real y con alcance de +75M cuentas (99% cuentas españolas), trata de ayudar a la prevención del fraude (Validación de titularidad inmediata), en un sistema con integración en la web o en sistemas de gestión del cliente (participante indirecto). Tendrá un bajo coste, pero tiene un coste interbancario. La Infraestructura será de IBERPAY
En la actualidad este sistema de validación ya está implementado para operaciones entre entidades y clientes de esa entidad.
Hasta entonces es necesario que los certificados de titularidad deban venir sellados digitalmente o con CSV (conjunto de dígitos que identifica de forma única los documentos electrónicos emitidos por una entidad), para poder utilizar VALIDe (servicio on-line ofrecido por el Ministerio de Política Territorial y Función Pública para la validación de Firmas y Certificados electrónicos) y cotejar dicho documento.
Además de todo ello, el Tesorero como gestor de pagos deberá tener en cuenta las siguientes actuaciones.
1. Protocolo de actuación de la Organización (Entidad Local) y de la propia Tesorería.
a) En la Tesorería: las medidas generales pasan por la utilización de forma casi excluyente de la Sede Electrónica y la acreditación de los terceros (acreedores) ante esta. En caso contrario incurriríamos en un riesgo importante de fraude con las consecuencias económicas que ello conlleva.
Este cumplimiento normativo interno (“compliance”) es un código de conducta que evita las malas prácticas y minimiza los riesgos de las transacciones, por ejemplo: prohibiciones de correos electrónicos, SMS o el teléfono para acreditarse los terceros.
La Tesorería debe tener su propia plataforma con autonomía para gestionar pagos con criterios de seguridad.
Todas las operaciones se realizarán por canal seguro de transmisión.
b) En la organización es importante implementar los protocolos de seguridad en las transacciones: DKIM Y DMARC, que nos pueden ayudar a evitar que se manden correos suplantando nuestra identidad, una actividad conocida como phishing. También sirven para dar más seguridad a los servidores de destino de nuestros correos y así evitar, dentro de lo posible, que sean marcados como SPAM.
Uso de cortafuegos, filtrado de aplicaciones, categorización URLs, apertura selectiva trafico SSL, son algunas de las medidas necesarias para un esquema se seguridad en las transacciones.,
En definitiva, implementar un modelo de ciberseguridad (seguridad informática) como principio de actuación y no solo como un medio a aplicar, con la adecuación al ENS (Esquema Nacional de Seguridad).
2. Un diseño de las actuaciones en los procesos de firma de las órdenes de pago de los distintos apoderados. Normalmente Alcalde- presidente, Interventor y Tesorero.
a) Utilización de la firma electrónica
b) Portafirmas propio de la Entidad Local.
c) Secuencias y control de firmas.
Todo ello bajo un esquema de digitalización que permita el máximo grado de automatización de los procesos de pagos, que evitara malas prácticas que pueden devenir en un supuesto de suplantación de identidad.
Como conclusión final diremos que la gestión de pagos debe mantener siempre el equilibrio entre la mayor tecnificación (eficiencia) con un esquema previo de seguridad adecuado.
Me alegra saber que la seguridad en los pagos a las distintas administraciones públicas es muy alta. El fraude en Internet se está multiplicando, y los métodos poco seguros de pago es un problema creciente, aunque, quizás, el problema más grave en la Administración es el robo de datos. Tengo entendido que hubo un robo de datos muy grave recientemente. No sé como se habrá resuelto, si es que se ha resuelto ¿Tienes alguna noticia al respecto?