JURÍDICO LATAM
Doctrina
Título:El riesgo cibernético en la actividad bancaria
Autor:Malvaso, Sebastián G.
País:
Argentina
Publicación:Revista de Derecho Bancario y Financiero - Número 36 - Septiembre 2017
Fecha:20-09-2017 Cita:IJ-CDLXVIII-963
Índice Voces Citados Relacionados
Riesgos de Crédito
Riesgo de Mercado
Riesgo de Liquidez
Riesgo Operacional
Fuentes

El riesgo cibernético en la actividad bancaria

Sebastián Gabriel Malvaso

En primer lugar, para poder desarrollar el riesgo cibernético en los Bancos y su impacto, tendremos que abordar algunos conceptos básicos de la actividad bancaria.

Para entrar en el concepto de la actividad bancaria debemos hacer una distinción entre la definición jurídica y económica de la actividad. Respecto de la actividad bancaria podemos realizar dos definiciones.

La primera de ellas es la definición de actividad bancaria jurídica, entendiéndose como la actividad de intermediación habitual entre la oferta y la demanda de recursos financieros. La Ley Nº 21.526, ley de entidades financieras así lo estipula en su artículo 1 “Quedan comprendidas en esta Ley y en sus normas reglamentarias las personas o entidades privadas o públicas oficiales o mixtas- de la Nación, de las provincias o municipalidades que realicen intermediación habitual entre la oferta y la demanda de recursos financieros”.

La intermediación consiste en comprar al que vende y vender al que quiere comprar, en otras palabras, captar fondos de los individuos y prestarlos obteniendo una ganancia en dicha operativa. En el Artículo 2 se enumeran, de manera no taxativa, las clases de entidades que quedan comprendidas en el marco de la ley antes mencionada.

Asimismo, es importante tener presente que los bancos son comerciantes por lo tanto, la intermediación financiera la realizan con fin lucrativo, es decir que obtienen una ventaja medible o cuantificable. No obstante a ello, en la ley de entidades financieras, no se hace mención del fin lucrativo.

Por otra parte, nos encontramos con la definición económica de la actividad bancaria la que podemos definir como la concentración de capital.

Los bancos captan y concentran los capitales individuales, posteriormente prestan el capital concentrado a quienes requieren del capital, obteniendo un beneficio económico. El capital se crea con la producción de bienes que se insertan en el mercado.

Los Bancos tienen como actividad principal o básica la intermediación pero también realizan actividades de cambio y presentan distintos tipos de servicios como por ejemplo el Servicio de caja de seguridad regulado en el Código Civil y Comercial de la Nación en los artículo 1413 al 1417.

La actividad de los Bancos trae aparejada riesgos que para su estudio podemos dividirlos en:

- Riesgos de Crédito.

- Riesgo de Mercado.

- Riesgos de Liquidez.

- Riesgo Operacional.

Riesgos de Crédito [arriba] 

Los riesgos de crédito los podemos definir como las pérdidas que se desprenden por el incumplimiento de las obligaciones por parte de un prestatario o contraparte.

En este Riesgo la entidad financiera debe obrar de forma diligente frente a los sujetos tanto en las etapas de precalificación y evaluación para otorgar crédito.

Dicha evaluación debe ser precisa pero también dinámica para que el negocio fluya y se puedan concretar las operaciones generando los ingresos correspondientes. Sin dudas, un análisis riguroso de la capacidad de pago del cliente por más que no se pueda tener seguridad absoluta.

Por otra parte, hay que tener en cuenta que el BCRA regula todo lo relativo al otorgamiento de créditos en todo lo atinente a otorgamiento de créditos (“Régimen normativo prudencial - Fraccionamiento del Riesgo Crediticio”)

Un tema muy importante y relacionado con el riesgo de crédito son las garantías, tenemos que decir que las Garantías sirven para respaldar cualquier tipo de obligación contractual o extracontractual. Dentro de las Garantías Legales encontramos a las Garantías Personales y las Garantías Reales.

Las personales son aquellas donde es la persona que, a título privado, ofrece una garantía de que va a cumplir con una responsabilidad por ejemplo, la devolución de un préstamo.

La garantía personal es subjetiva, ya que no está asociada a ninguna cosa sino al compromiso de una persona con otra persona o entidad (por ejemplo, el compromiso de pago de las cuotas de la hipoteca). Sin embargo, en algunos casos la garantía personal está reforzada por un avalista, de tal forma que si el deudor no cumple con sus obligaciones el avalista tendrá que asumir con sus bienes el compromiso del deudor.

Son formas de amparar el cumplimiento obligacional, donde una o más personas se presentan para responder conjunta o solidariamente con el deudor por el pago de la deuda, se denominan fiadores o avalistas. Las instituciones que crean estas figuras jurídicas, no son garantías reales, no hay ningún bien específico destinado a ser ejecutado en caso de que el deudor no cumpla con lo que se obligó, sino que es todo el patrimonio del garante, el afectado.

La garantía real es aquella en la que el deudor ofrece como respaldo un bien propio o de otra persona para obtener un crédito. Hay varias modalidades de garantías reales, siendo la prenda y la hipoteca las más comunes.

La prenda es una modalidad de contrato mediante el cual un deudor ofrece a su acreedor un bien mueble para trasmitir seguridad en el crédito y dicho bien deberá restituirse cuando se extinga la obligación contraída.

La hipoteca se aplica sobre algún bien del deudor o de una tercera persona, de tal forma que el acreedor es el beneficiario de dicho bien. La garantía real es objetiva, se basa en un bien tangible y concreto. Dichos bienes están afectados directamente al cumplimiento obligacional, que se ejecutarán si el deudor no cumple lo requerido.

Las garantías reales son derechos reales que surgen de la ley y ésta explica el mecanismo necesario para su ejecución. El CCyC establece enumera de manera taxativa los derechos de garantía reales que son accesorios (hipoteca, prenda y anticresis).

Riesgo de Mercado [arriba] 

Podemos definir el Riesgo de Mercado como aquel que está relacionado con la probabilidad de incurrir en pérdidas originadas por variaciones adversas en las condiciones del mercado, tales como tasa de interés, tasa de cambio y precio. Entre todos este es el riesgo menos perverso, toda vez que no siempre significan probables pérdidas sino también ganancias.

Los movimientos en la tasa de interés, tasas de cambio y precio tienen un impacto negativo o positivo en la entidad, dependiendo de si tiene una posición en el activo o en el pasivo. Un incremento de la tasa de cambio origina pérdidas si la entidad tiene obligaciones en moneda extranjera, pero ganancias si en cambio posee activos en moneda extranjera.

Dentro del riesgo de Mercado podemos diferenciar:

- El Riesgo de cambio es aquel que está asociado a la fluctuación del tipo de cambio de una moneda frente a otra y afecta fundamentalmente a personas con inversiones que impliquen un cambio de divisa.

- Riesgo de tasas de interés es aquel como su propio nombre indica, hace referencia al riesgo de que los tipos de interés suban o bajen en un momento no anhelado.

Riesgo de Liquidez [arriba] 

Para poder hablar el riesgo de Liquidez, tenemos que definir el concepto de Patrimonio. El ppatrimonio es el conjunto de valores económicos que tiene una persona es decir son sus créditos y sus deudas.

Los bienes son todos los objetos que tienen un valor, dentro de los bienes podemos clasificar los bienes materiales y los bienes inmateriales. Los bienes materiales según nuestro código se llaman cosas y tienen cuerpo por ejemplo un inmueble. Los bienes inmateriales no son corpóreos por ejemplo un derecho marcario su característica principal es la intangibilidad, no tienen cuerpo.

Por otra parte, decimos que la Solvencia se encuentra ligada con el patrimonio ya que es la capacidad patrimonial de afrontar deudas.

La solvencia no es supuesto de liquidez, ya que la liquidez es la capacidad que tienen los bienes para ser realizados rápidamente. En otras palabras podemos decir que es la capacidad que tienen los bienes de ser convertidos en dinero efectivo de forma inmediata sin pérdida significativa de su valor.

La solvencia y la liquidez son dos términos necesarios e indispensables para analizar la capacidad crediticia de una persona.

El capital, en sentido societario es una parte que integra el patrimonio de una sociedad. El capital es la parte del patrimonio que no varía con la operación diaria de la sociedad, cualquier tipo de variación debe registrarse en la autoridad de control tanto el aumento como la disminución, en cambio, el patrimonio es esencialmente variable.

El capital debe acompañar el tipo de actividad que desarrolla la sociedad. En ese sentido, por ejemplo el BCRA exige un capital mínimo para poder ser autorizado para operar y podrá exigirle aumentos si su actividad tiene mayor exposición a lo largo del tiempo.

Tanto el Activo como el Pasivo forman el patrimonio de un Banco. El pasivo de un Banco esta principalmente compuesto por las operaciones bancarias que el banco se constituye como deudor de sus clientes, es decir el banco capto fondos de los terceros.

El activo de un Banco está compuesto principalmente por aquellas operaciones donde el banco es acreedor, operaciones de préstamo.

Recordemos que la actividad bancaria se caracteriza por la intermediación financiera, en tal sentido un exceso de activos podría generar receso y un exceso de pasivo podría generar un quebramiento.

Para finalizar podemos decir que no tener liquidez es no tener el dinero suficiente para atender los retiros de depósitos y otras obligaciones financieras.

Riesgo Operacional [arriba] 

El Riesgo operacional es aquel que puede provocar pérdidas debido a eventos relacionados con errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas, el riesgo legal y particularmente por consecuencia de acontecimientos externos, por no ser administrados de forma adecuada.

El riesgo operacional es inherente a todas las actividades, productos, sistemas y procesos, y sus orígenes son muy variados (procesos, fraudes internos y externos, tecnológicos, recursos humanos, prácticas comerciales, desastres, proveedores).

Podríamos ubicar dentro del Riesgo Operacional los ciberataques y luego del análisis que realizaremos, notaremos que día a día va ganando un lugar muy importante ubicándose en el primer lugar dentro de estos.

En primer lugar tenemos que decir que en la actualidad, los negocios son a nivel Global y dependen de Internet cada vez más, tanto las empresas como personas manejamos información de todo tipo que puede llegar a ser vulnerable. La tecnología está evolucionando velozmente, poniendo cada vez más presión sobre los responsables

Las entidades financieras almacenan mucha información tanto de sus clientes como de sus empleados y datos propios. Asimismo, tienen sistemas y redes de teleprocesamiento de datos. Los Hackers operan desde distintos puntos del mundo, tiene muchos recursos y tiempo.

Los ciberataques son actos en los cuales se cometen agravios, daños o perjuicios en contra de las personas o grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio de computadoras y a través de la Internet. No necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.

Un ciberataque puede estar dirigido a los equipos y sistemas de computación que se encuentran operando en la red a nivel mundial, o puede ser orientado hacia la información y los datos que son almacenados en bases de datos.

Al dirigirse a los equipos y sistemas, pueden buscar la anulación del servicio que éstos prestan, en forma temporal o permanente, introduciendo algún tipo de elementos extraños en dichos sistemas que dificulten su operación normal. Los ataques contra los datos, por su parte, pueden ir desde el robo de los mismos con propósitos militares o comerciales.

Podemos decir que los Bancos se enfrentan a amenazas cibernéticas que pueden ser:

- Dirigidas (Ej. Robo de Datos, Tarjetas de Crédito, Cyber Extorsión, Interrupción del Servicio, Robo de propiedad intelectual).

- No dirigidas (Ej. Ransomware + Cyber Extorsión, Hacktivistas).

Las entidades financieras almacenan mucha información tanto de sus clientes como de sus empleados y datos propios. Asimismo, tienen sistemas y redes de teleprocesamiento de datos. Los Hackers operan desde distintos puntos del mundo, tiene muchos recursos y tiempo.

Las consecuencias de un ciberataques pueden ser muy graves para los Bancos entre ellas podemos detectar:

• Pérdida de datos/información de la propia organización o divulgación de los mismos.

• Pérdida de datos/información de sus clientes o divulgación de los mismos.

• Pérdida de datos/información de sus proveedores o divulgación de los mismos.

• Reclamos de clientes.

• Reclamos Asociaciones de consumidores.

• Robo de valores.

• Pérdida de la imagen de la empresa, pérdida de confianza.

• Interrupción de la Red/interrupción del Negocio.

Teniendo en cuenta los comentarios anterior podemos decir que los Bancos frente a un ciberataque no solo están expuestos a situaciones que puedan derivar en pérdidas financieras, sino que también pueden aumentar la exposición a litigios y los daños a la reputación y marca comercial de las instituciones – y con ello, la confianza y fe de los clientes.

Para abordar el tema de forma más tangible enunciare algunos de los casos más emblemáticos y conocidos por el mundo respecto de estos eventos.

El caso de SONY, la empresa sufrió un ataque masivo en su red de video juegos online. El hacker se apodero de nombres, direcciones, e-mails, fechas de nacimiento, passwords y números de tarjeta de crédito de más de 77 M de usuarios. Durante los siguientes años empresas del mismo rubro registraron intentos de ataques similares.

Asimismo, algunos ex trabajadores de SONY demandan a la compañía tras el hackeo, alegan que la empresa no había tomado medidas preventivas para evitar la fuga de sus datos personales durante el masivo ciberataque del año pasado.

El caso de GOOGLE que data de Abril de 2015, la web de Google Malasia fue hackeada y todos los usuarios que ingresaban eran automáticamente redirigidos a otra web. A pesar de que no hubo robo de datos, el servicio de la página cayó por algunas horas hasta que fue recuperado.

Por su parte, el CARBANAK ATTACK de principios del 2015, este ciberataque afectó a compañías financieras de Rusia, Estados Unidos, China y Alemania, entre otros países con troyanos y mensajes de correo electrónico apócrifos, los atacantes lograron controlar cajeros automáticos y realizar transferencias bancarias en una operación estimada en u$s 1.000 M.

El caso del Banco Central de Bangladesh, se estima una pérdida de US$ 81 millones. En el robo, considerado el más grande de la historia, el dinero pasó de la cuenta del banco Bangladesh a varios casinos en Filipinas.

Para gestionar los riesgos, las empresas del sector de servicios financieros deben hallar un punto de operación de seguridad cibernética con base en riesgos que tenga un balance entre protección contra ciberataques y las capacidades de detección y respuesta frente a este tipo de contingencia.

A modo de conclusión del trabajo me parece importante destacar las siguientes cuestiones, en primer lugar el riesgo cibernético en la actualidad ocupa gran cantidad de recursos por parte de las entidades financieras y sin dudas será fundamental que se trabaje día a día para mejorar tanto en sus sistemas incluyendo sus metodologías y marco de gestión de Riesgo.

También deberán trabajar para afrontar las contingencias con planes de respuesta a incidentes y capacidades de recuperación, sin dudas tener controles tecnológicos de vanguardia facilitara tratar estos eventos.

Frente a contingencias con sus clientes o terceros para su defensa deberán ser sólidos en su conducta recordemos que nuestro Código Civil y Comercial de la Nación trata la “Valoración de la conducta” y desde mi punto de vista será vital que el Banco pueda probar que obró con la debida diligencia exigible.

Por otra parte, me parece que el punto más importante del riesgo cibernético es el impacto que puede ocasionar ya que las pérdidas pueden ser múltiples desde el robo de valores hasta la modificación de información o su divulgación de información. Además frente a un evento, la imagen de la entidad puede verse afectada, el daño reputacional sería de gran escala y generaría incluso demandas masivas por parte de asociaciones de consumidores, el riesgo cibernético es muy trasversal.

Sin dudas que ante un evento producido por un ciberataque, entraran en juego varias normativas desde la Ley de defensa del consumidor, el Código Civil y Comercial de la Nación, la propia Constitución Nacional, la ley de Protección de Datos, Código Penal de la Nación.

Al margen de ello, el Congreso de la Nación debería trabajar sobre una ley que trate la prevención frente a estos ciberataques

Por último, considero que la tecnología ha avanzado velozmente en las últimas décadas a tal punto que trajo un riesgo muy delicado que se incrementa día a día y preocupa de manera sideral a las entidades.

Las entidades financieras tendrán que seguir trabajando e invirtiendo en materia de seguridad informática para poder lograr administrar de forma eficiente y eficaz este riesgo tan sensible.

 

Fuentes [arriba] 

https://inter economia.com/ empresas/consum o/se-puede-reclamar -una-empresa -ha-sufrico -ciberataque -20170627-2026/
http://www.ubicaseguros.co m/un-ciberataque-va cia-las-cuentas- de-20-000-clie ntes-del-te sco-bank/
http://www.jus.gob.ar/me dia/84308/dr .%20maximil iano%20daur o.pdf
http://www.elm undo.es/tec nologia/2017/06/ 27/595269e0ca4 741fb3f8b4668.h tml
http://eleconomista .com.mx/sist ema-financiero /2017/05/16/ amenaza-ciber ataques-ban cos-re al-constante
http://www.bbc. com/mundo/not icias/2015/ 02/150216_t ecnologia_ ciberataq ue_siglo _gch_lv

Kemelmajer de Carlucci, A. (2006). Responsabilidad de los bancos por errónea información. Puede un inversor ser un consumidor?. Revista de Derecho Privado y Comunitario. Rubinzal Culzoni Editores.

Lorenzetti, R. (2006). Tratado de los Contratos (T III). Buenos Aires: Rubinzal Culzoni.

Lovece, G. (2015). Cláusulas y Prácticas abusivas. En C. Ghersi y C. Weingarten. Manual de Derechos de usuarios y consumidores. (Capitulo IX). Buenos Aires: La Ley, proview .thomsonreut ers.com

Stiglitz, R. (1998). Defensa del consumidor, los servicios bancarios y financieros. (T. C). Buenos Aires: La Ley online.

Villegas, C. (2015). Contratos Bancarios. En C. Rivera y G. Medina. Código Civil y Comercial de la Nación comentado (Tomo IV, Cap. 12). Buenos Aires: LA LEY. proview.thomsonreuters.com