Noruega estrena una ley que manifiesta la importancia de los servicios electrónicos de confianza

Los bancos y entidades financieras del país nórdico deben ahora colaborar con el cliente para proteger su identidad digital y evitar el fraude

El uso generalizado de Internet apenas recorre 20 años de historia, y por ello todavía se desconocen todas sus dimensiones e implicaciones sobre nuestra vida. Aparentemente, la web es solo sinónimo de ventajas. Nos permite mantener el contacto social a distancia, y de manera ininterrumpida; nos ayuda a completar muchas tareas desde casa, sin necesidad de desplazarnos, hacer esperas o depender de alguien para hacerlo, y nos aporta un sinfín de información, contenidos y entretenimiento para nuestro provecho. Definitivamente, la vida se ha vuelto más cómoda y sencilla gracias a Internet. Sin embargo, comprender la dinámica de este ecosistema virtual es también comprender que no todo son beneficios, y que también existen problemas dentro de la nube.

La delincuencia también se traslada a la red, como muchos otros aspectos de la sociedad. De la misma manera que el avance de la tecnología ha permitido que las cosas se vuelvan simples y sofisticadas, también la ciberdelincuencia actúa con mayor sutileza, discreción, inmediatez y, por consiguiente, envergadura. Las herramientas, servicios y leyes que protegen al usuario son cada vez más conscientes de lo agudos que son los peligros de Internet. Esconderse tras la pantalla, navegar de manera anónima o no sufrir las amenazas de manera física o real, no significa que las personas dejemos de ser vulnerables en nuestra vida digital.


La ciberseguridad se hace cada vez más necesaria en un mundo
cada vez más hiperconectado. Fuente: Pexels

 

Noruega ha sido la última en dar un nuevo paso en este sentido, solventando la desprotección de las finanzas y sus clientes en Internet. El gobierno del país nórdico quiere proteger más al usuario en sus transacciones online, al demostrarse que los fraudes en línea pueden pasar desapercibidos y escapar de su control. En abril de 2020, el Ministerio de Justicia y Seguridad Pública del país introdujo en el Storting (el parlamento noruego) una propuesta de ley para lograr ese objetivo, renovando y modernizando por completo la ley de acuerdos financieros de 1999, conocida como la finansavtaleloven. Además, este cambio legislativo adapta dicha ley a la Directiva PSD2, una normativa que regula la seguridad del ecommerce y los pagos electrónicos en todo el Espacio Económico Europeo.

Antes del cambio, la responsabilidad frente al fraude de la identidad digital en los acuerdos financieros no estaba explícitamente regulada. No obstante, la práctica legal prestablecía que el usuario debía proteger su perfil y datos de identificación bancaria (conocidos en el país como «BankID»). Por ello, el cliente acababa siendo el responsable de los acuerdos falsos y engañosos firmados a través de su BankID, aunque en realidad no los firmara. Se entendía que el cliente había actuado con negligencia por desproteger su BankID y facilitar el robo de su identidad digital. Monica Mæland, ministra de Justicia y Seguridad Pública del país, ha reconocido que hay casos de ciudadanos realmente inocentes que han sido multados por el robo de su perfil digital y del consiguiente fraude. Esta situación deshonesta ha sido uno de los motivos para actualizar la ley y asegurar una adecuada protección al cliente.

Ahora, incluso en los casos en los que el cliente pudo evitar el fraude de manera clara, la multa por su irresponsabilidad solo puede alcanzar las 12.000 coronas (casi 1.200 euros), salvo cuando el cliente ha premeditado el fraude o colaborado voluntariamente con el impostor. El resto de la responsabilidad se extiende a los bancos y entidades financieras, que ahora comparten el deber de impedir el delito. Asimismo, tienen que demostrar si ha habido fraude o no por medio del registro de sus controles de seguridad. De hecho, si el banco autoriza la firma fraudulenta de una transacción cometida por un impostor, la compañía asume toda la responsabilidad junto al impostor.


Los códigos de identificación convencionales, como el CVC de las tarjetas bancarias, ya no serán las únicas pruebas para acceder a la banca digital. Fuente: Pexels

 

Este nuevo marco jurídico empuja a las financieras y bancos noruegos a apostar por mejores controles de seguridad, con el fin de garantizar que la persona que solicita y firma un acuerdo digital es, en efecto, el titular de la identidad digital demandante, y por tanto la persona que dice ser. Los códigos del BankID por sí solos ya no serán suficientes para acceder a transacciones y acuerdos digitales. Por ello, la nueva ley sugiere incorporar los sistemas y herramientas de autenticación de múltiples factores, o de autenticación reforzada (SCA- Secure Customer Authentication, por sus siglas en inglés). Se trata de combinar o sustituir la identificación convencional (el BankID) con otros procesos de última generación, como la identificación de tecnología biométrica, cuya fiabilidad es máxima al precisar de un rasgo biológico único e inherente al cliente, o la vídeo identificación, que resulta incluso más potente que el «cara a cara» con un empleado del banco.

Es aquí donde la oferta de los proveedores de servicios de confianza (TSP – Trusted Service Provider, por sus siglas en inglés), se convierta en la mejor alternativa para las instituciones financieras de Noruega. Su cualificación y especialización en soluciones digitales ayuda a que los bancos se aseguren una ciberseguridad robusta, sofisticada, transparente, cómoda y, sobre todo, sujeta a las leyes. Asimismo, los TSP se convierten en los mejores partners de la entidad bancaria, aconsejándole la ciberseguridad que más necesita, ayudándole a detectar cualquier sospecha y resolviendo todos los intentos de fraude, robo de datos y suplantación de la identidad.

Otros métodos más sencillos, como confirmar la firma electrónica a través de un SMS o un correo electrónico, también pueden reforzar la seguridad de las transacciones a distancia. Sin embargo, al tratarse de medios de fácil acceso para los impostores cercanos al titular, estos métodos no resultan tan consistentes. De hecho, se ha descubierto que muchos de estos fraudes se cometen por personas cercanas a la víctima. Los bancos, por su parte, están incorporando metodologías basados en el comportamiento. Es decir, mediante el análisis de los movimientos del cliente en su banca digital, la entidad genera perfiles de riesgo para detectar cuándo una actuación es sospechosa y potencialmente fraudulenta. De esta manera, el banco bloquea esa actuación y exige al cliente pasar por controles de seguridad para comprobar que es consciente de ello.