Los grandes bancos de EE. UU. están endureciendo a las víctimas de adquisiciones de cuentas: Krebs on Stability


Cuando los piratas informáticos secuestran y saquean sus cuentas bancarias en línea de los consumidores estadounidenses, las instituciones financieras estadounidenses están legalmente obligadas a revertir cualquier transacción no autorizada siempre que la víctima informe el fraude de manera oportuna. Pero los nuevos datos publicados esta semana sugieren que para algunos de los bancos más grandes del país, reembolsar a las víctimas de apropiación de cuentas se ha convertido más en la excepción que en la regla.

Los hallazgos se encuentran en un informe publicado por Su. elizabeth warren (D-Mass.), quien en abril de 2022 abrió una investigación por fraude relacionado con célulael servicio de pago digital «peer-to-peer» utilizado por muchas instituciones financieras que permite a los clientes enviar dinero en efectivo rápidamente a amigos y familiares.

Zelle está dirigido por Servicios de alerta temprana LLC (EWS), una empresa privada de servicios financieros que es propiedad conjunta de Banco de The us, Money uno, JPMorgan Chase, Banco de la PNC, truista, Banco de EE. UU.y pozos fargo. Zelle está habilitado de forma predeterminada para los clientes en más de 1.000 instituciones financieras diferentesincluso si muchos clientes aún no saben que está ahí.

El senador Warren dijo que varios de los bancos propietarios de EWS, incluidos Cash One, JPMorgan y Wells Fargo, no proporcionaron todos los datos solicitados. Pero Warren obtuvo la información solicitada de PNC, Truist y US Bank.

“En general, los tres bancos que proporcionaron conjuntos de datos completos informaron 35 848 casos de estafas, que involucraron más de $25,9 millones en pagos en 2021 y la primera mitad de 2022”, resumió el informe. “En la gran mayoría de estos casos, los bancos no devolvieron a los clientes que denunciaron haber sido estafados. En normal, estos tres bancos informaron que pagaron a los clientes en solo 3473 casos (lo que representa casi el 10 % de las reclamaciones por estafa) y pagaron solo $2,9 millones”.

Es importante destacar que el informe distingue entre los casos que involucran tomas directas de cuentas bancarias y transferencias no autorizadas (fraude) y aquellas pérdidas que se derivan de “pagos inducidos fraudulentamente”, donde se engaña a la víctima para que autorice la transferencia de fondos a los estafadores (estafas).

Un ejemplo común de esto último es la estafa de fraude de Zelle, que utiliza un conjunto cambiante de sugerencias para engañar a las personas para que transfieran dinero a los estafadores. La estafa de fraude de Zelle a menudo emplea mensajes de texto y llamadas telefónicas falsificadas para que parezcan provenir de su banco, y la estafa generalmente se relaciona con engañar al cliente haciéndole creer que se está enviando dinero a sí mismo cuando en realidad se lo está enviando a los ladrones.

Aquí está el problema: cuando un cliente emite una orden de pago a su banco, el banco está obligado a cumplir con esa orden siempre que pase una prueba de dos etapas. La primera pregunta es: ¿Provino realmente la solicitud de un propietario autorizado o firmante de la cuenta? En el caso de las estafas de Zelle, la respuesta es sí.

Rastrear Foosheeasesor estratégico en la práctica contra el lavado de dinero en Aite-Novaricadijo que la segunda etapa requiere que los bancos le den a la orden de transferencia del cliente una especie de «prueba de detección» utilizando controles de fraude «comercialmente razonables» que generalmente no están diseñados para detectar patrones que involucran ingeniería social.

Fooshee dijo que la frase legal «comercialmente razonable» es la razón principal por la que ningún banco tiene mucho, si es que tiene algo, en la forma de controlar la detección de estafas.

“Para que puedan implementar algo que detecte una buena parte del fraude en algo tan difícil de detectar, generarían tasas extremadamente altas de falsos positivos que también harían que los consumidores (y, luego, los reguladores) estuvieran muy descontentos”, dijo Fooshee. “Esto arruinaría el caso comercial del servicio en su conjunto, convirtiéndolo en algo que el banco puede afirmar que NO es comercialmente razonable”.

El informe del Senador Warren deja en claro que los bancos generalmente no haga reembolsar a los consumidores si son inducidos de manera fraudulenta a realizar pagos de Zelle.

“En términos simples, Zelle indicó que proporcionaría reparación a los usuarios en casos de transferencias no autorizadas en las que un mal actor accede a la cuenta de un usuario y la utiliza para transferir un pago”, continúa el informe. «Sin embargo, la respuesta de EWS también indicó que ni Zelle ni los propietarios de sus bancos matrices reembolsarían a los usuarios inducidos de manera fraudulenta por un mal actor a realizar un pago en la plataforma».

Aún así, los datos sugieren que los bancos devolvieron al menos algunos de los fondos robados a las víctimas de estafas alrededor del 10 por ciento de las veces. Fooshee dijo que está sorprendido de que el número sea tan alto.

“Es digno de mención que los bancos estén pagando a las víctimas de estafas de fraude de pagos autorizados cualquier cosa”, dijo. “Ese es dinero que están pagando de su bolsillo casi en su totalidad por buena voluntad. Se podría argumentar que pagar a todas las víctimas es una buena estrategia, especialmente en el clima en el que nos encontramos, pero decir que debería ser lo que hacen todos los bancos sigue siendo una opinión hasta que el Congreso cambie la ley”.

FRAUDE NO AUTORIZADO

Sin embargo, cuando se trata de reembolsar a las víctimas de fraude y usurpación de cuentas, el informe sugiere que los bancos están estafando a sus clientes siempre que pueden salirse con la suya. “En standard, los cuatro bancos que proporcionaron conjuntos de datos completos indicaron que reembolsaron solo el 47 % del monto en dólares de las reclamaciones de fraude que recibieron”, señala el informe.

¿Cómo se comportaron los bancos individualmente? Del informe:

-En 2021 y los primeros seis meses de 2022, Banco de la PNC indicó que sus clientes reportaron 10,683 casos de pagos no autorizados por un complete de más de $10.6 millones, de los cuales solo 1,495 casos por un total de $1.46 fueron reembolsados ​​a los consumidores. PNC Lender dejó al 86% de sus clientes que reportaron casos de fraude sin recurso por actividad fraudulenta que ocurrió en Zelle.

-Durante este mismo período de tiempo, Banco de EE. UU. los clientes informaron un full de 28.642 casos de transacciones no autorizadas por un total de más de $16,2 millones, mientras que solo reembolsaron 8.242 casos por un full de menos de $4,7 millones.

-En el período comprendido entre enero de 2021 y septiembre de 2022, Banco de The us los clientes reportaron 81,797 casos de transacciones no autorizadas, por un total de $125 millones. Financial institution of America reembolsó solo $56,1 millones en reclamos de fraude, menos del 45 % del valor overall en dólares de los reclamos realizados en ese momento.

truista indicó que el banco tenía un historial mucho mejor de reembolsar a los clientes defraudados durante este mismo período de tiempo. Durante 2021 y la primera mitad de 2022, los clientes de Truist presentaron 24 752 reclamos por transacciones no autorizadas por un monto de $24,4 millones. Truist reembolsó 20 349 de esas reclamaciones, por un complete de $20,8 millones: el 82 % de las reclamaciones de Truist se reembolsaron durante este período. Sin embargo, en normal, los cuatro bancos que proporcionaron conjuntos de datos completos indicaron que reembolsaron solo el 47% del monto en dólares de las reclamaciones de fraude que recibieron.

Fooshee dijo que durante mucho tiempo ha habido una gran inconsistencia en la forma en que los bancos reembolsan las reclamaciones de fraude no autorizadas, incluso después de la Oficina de Protección Financiera del Consumidor (CPFB) salió con guía sobre lo que califica como un reclamo de fraude no autorizado.

“Muchos bancos informaron que todavía no estaban cumpliendo con esos estándares”, dijo. “Como resultado, me imagino que la CFPB será dura con aquellos con multas y veremos una corrección”.

Fooshee dijo que muchos bancos han ajustado recientemente sus políticas de reembolso para alinearlas más con la orientación de la CFPB del año pasado.

“Así que esto va en la dirección correcta, pero no con el vigor y la velocidad suficientes para satisfacer a los críticos”, dijo.

seth ruden es un experto en fraude de pagos que se desempeña como director de asesoría international para una empresa de identidad digital captura biológica. Ruden dijo que Zelle ha realizado recientemente «cambios significativos en la supervisión de su programa de fraude debido a la influencia del consumidor».

“Para mí está claro que, a pesar de los titulares sensacionalistas, se ha avanzado para mejorar los resultados”, dijo Ruden. “Actualmente, las pérdidas en la pink ajustadas por volumen son menores que las típicas de las tarjetas de crédito”.

Pero dijo que cualquier falta de reembolso a las víctimas de fraude y apropiación de cuentas solo aumenta la presión sobre el Congreso para que haga más para ayudar a las víctimas de las estafas a autorizar los pagos de Zelle.

“La conclusión es que las regulaciones no se han mantenido al día con la velocidad de la tecnología de pago en los Estados Unidos, y no estamos solos”, dijo Ruden. “Por primera vez en el Reino Unido, las pérdidas por estafas de pago autorizadas han superado las pérdidas de tarjetas de crédito y ahora hay una respuesta regulatoria sobre la mesa. Los bancos tienen la opción en este momento de tomar medidas y aumentar los controles o esperar a que los reguladores impongan un nuevo entorno regulatorio”.

El informe del Senador Warren está disponible aquí (PDF).

Hay, por supuesto, algunas versiones de la estafa de fraude de Zelle que pueden confundir a las instituciones financieras en cuanto a lo que constituye instrucciones de pago «autorizadas». Por ejemplo, la variante sobre la que escribí a principios de este año comenzaba con un mensaje de texto que falsificaba el banco del objetivo y advertía de una transferencia sospechosa pendiente.

Aquellos que respondieron recibieron una llamada de un número falsificado para que pareciera la llamada del banco de la víctima, y ​​se les pidió que validaran sus identidades leyendo una contraseña de un solo uso enviada por SMS. En realidad, los ladrones simplemente habían pedido al sitio world wide web del banco que restableciera la contraseña de la víctima, y ​​ese código único enviado por mensaje de texto por el sitio del banco era lo único que necesitaban los delincuentes para restablecer la contraseña del objetivo y vaciar la cuenta usando Zelle.

Ninguna de las discusiones anteriores involucra los riesgos que afectan a las empresas que realizan operaciones bancarias en línea. Las empresas en los Estados Unidos no disfrutan de la misma protección de responsabilidad por fraude que se brinda a los consumidores, y si un troyano bancario o un sitio de phishing inteligente provocan que se vacíe una cuenta comercial, la mayoría de los bancos no reembolsarán esa pérdida.

Es por eso que siempre he instado y seguiré instando a los propietarios de pequeñas empresas a que lleven a cabo sus asuntos bancarios en línea solo desde un dispositivo dedicado, de acceso restringido y reforzado con seguridad, y preferiblemente una máquina que no sea Windows.

Para los consumidores, el mismo viejo consejo sigue siendo el mejor: vigile sus extractos bancarios como un halcón e informe y impugne de inmediato cualquier cargo que parezca fraudulento o no autorizado.



Enlace a la noticia unique