Requisitos reglamentarios para la prevención del fraude – Respuestas a tus preguntas

La prevención del fraude requiere datos. Pero los datos están cada vez más protegidos por la normativa.

¿Cómo funciona y qué debes comprobar antes de implantar una solución antifraude? Aquí encontrarás respuesta a todas tus preguntas.

¿Es la prevención del fraude un requisito legal?

Para la mayoría de las empresas en línea, la prevención del fraude forma parte de su estrategia de gestión de riesgos más que de un requisito legal. Las empresas tienden a pensar en las pérdidas por fraude solo cuando ya están operativas y entonces despliegan soluciones antifraude para resolver el problema.

Sin embargo, existen requisitos normativos diseñados para reducir el fraude. Es posible que tengas que cumplir esos requisitos dependiendo del sector en el que operes. 

Si eres un proveedor de servicios de pago, por ejemplo, se te pedirá que cumplas normativas como los requisitos de autenticación fuerte de clientes de PSD2, desplegados con el objetivo de reducir el fraude en los pagos.

En lo que respecta al robo de identidad, cada vez más sectores deben asegurarse de que pueden verificar la identidad de los clientes para cumplir los requisitos de verificación KYC. 

Mientras que, en un principio, solo las instituciones financieras necesitaban cumplir con los requisitos KYC y AML, en estos días es posible que también tengas que cumplirlos si eres un BNPL, operador de iGaming, agencia de viajes, empresa inmobiliaria u otra industria considerada volátil.

Una buena forma de saber si debes implantar medidas antifraude es consultar nuestra guía de evaluación para el antifraude aquí. 

¿Puede la prevención del fraude ayudar a cumplir la normativa?

Sí. Las soluciones de prevención del fraude están diseñadas para ayudarte a conocer mejor a tus usuarios y clientes y su comportamiento. Esta es una parte clave de lo que algunos reguladores exigen cuando se trata de verificación de identidad, autenticación y demostración de un enfoque basado en el riesgo.

 Por ejemplo, un sistema de detección de fraude puede ayudar con lo siguiente:

• KYC: El KYC es una de las formas más evidentes en que un sistema de prevención del fraude puede ayudarte a cumplir los requisitos de conformidad. Al verificar las identidades de los usuarios, puedes bloquear perfiles fraudulentos, lo que mejora tanto tu seguridad como el cumplimiento.
• PSD2: La verificación de pagos es cada vez más importante para los negocios en línea, especialmente para cumplir con los requisitos de autenticación reforzada del cliente de PSD2. Se requiere una forma de identificación en la fase de pago. Sin embargo, disponer de una solución de detección de fraudes antes de la transacción puede eximirte de esta norma, lo que reduce la fricción para los compradores y hace que su experiencia sea más agradable.
• Juego más seguro: Un requisito de cumplimiento para los operadores de iGaming en el Reino Unido. El objetivo es proteger a los jugadores permitiéndoles autoexcluirse de casinos y plataformas de apuestas. Hacer cumplir esta autoexclusión es mucho más fácil si se puede verificar su identidad.
• Restricciones de edad: Algunos sistemas de prevención del fraude pueden ayudar a tu empresa a asegurar que los usuarios no mienten sobre su edad, lo que podría acarrea problemas legales. Esto puede hacerse mediante la verificación de documentos de identidad o por medios alternativos, dependiendo de la legislación.
• AML: El vínculo entre la lucha contra el lavado de dinero, la verificación de la identidad y la prevención del fraude puede salvarse con el software adecuado.

¿Cuál es la relación entre la lucha contra el fraude y el cumplimiento de la normativa AML?

La verificación AML, que se solapa con otros requisitos locales, como la Ley de Secreto Bancario (BSA) de EE.UU o las medidas contra el Terrorismo Financiero (CTF), es un requisito legal que no requiere necesariamente soluciones de prevención del fraude. 

Sin embargo, sí requiere formas de verificación de la identidad y el monitoreo de transacciones para el AML, en lo que algunos software de prevención de fraude pueden ayudar, puesto que ya recopilan los datos para KYC o para combatir el fraude en los pagos.

De hecho, dado que son puntos conflictivos adyacentes, algunas empresas de prevención del fraude, incluida SEON, también disponen de módulos y soluciones específicos para el AML.

Garantizar que no ayudas a que se lave dinero es un proceso cada vez más estricto, verificado por una serie de reguladores de todo el mundo. 

También es crucial tener en cuenta que el cumplimiento de la normativa está en constante evolución.

Por ejemplo, mientras que el Grupo de Acción Financiera Internacional (GAFI) solo solía recomendar la aplicación de un enfoque AML basado en el riesgo para bancos e instituciones financieras, ahora también se dirige a empresas como BNPL o minoristas de lujo.

¿Qué tipo de requisitos legales deben cumplir los proveedores de prevención del fraude?

La respuesta corta es que depende. La redacción de un contrato con un proveedor de prevención del fraude varía de un sector a otro e incluso de un país a otro. Lo que es seguro, sin embargo, es que la mayoría de los fundamentos jurídicos abarcarán la protección de datos. 

Una solución de prevención del fraude necesita los datos de tu empresa para funcionar.

Esto puede convertirse en un problema de cumplimiento si los datos no se manejan adecuadamente o si no se explica en la política de privacidad cómo se comparten los datos de los usuarios.

Hay dos términos clave que deben entenderse en relación con la legislación de datos, tal como se define en el GDPR, pero que también se utiliza más allá de la UE:

• Controlador de datos: En este caso, se trata de tu empresa. Tú controlas los datos del usuario.
• Encargado del tratamiento: En este caso, se trata del proveedor de prevención del fraude. En el contexto de la lucha contra el fraude, procesar datos significa obtenerlos, conservarlos o registrarlos. También abarca operaciones como la divulgación, recuperación, consulta, organización o supresión de datos.

Asegurarte de que tanto tus usuarios como sus datos están protegidos es primordial cuando se trata con proveedores de prevención del fraude.

¿Cómo puedo asegurarme de que mi prevención del fraude cumple la normativa?

La cantidad de datos compartidos con el proveedor de prevención del fraude, así como la forma en que se comparten, deben cumplir los principios locales de protección de datos.

Por lo tanto, la política de privacidad del procesador de datos debe cubrir lo siguiente

• la base jurídica por la que se utilizan los datos
• el periodo de conservación de los datos
• cómo se gestionan las solicitudes de supresión de datos
• dónde están ubicados los servidores de datos y bajo qué jurisdicción se encuentran

Además de consultar la política de privacidad del proveedor de prevención del fraude, también es buena idea buscar certificados de cumplimiento (véase más abajo).

¿Es legal la prevención del fraude en virtud del GDPR?

Sí, la prevención del fraude es legal en virtud del Reglamento General de Protección de Datos (GDPR) de la UE, así como por extensión del GDPR del Reino Unido. El considerando 47 del Reglamento establece lo siguiente:

«El tratamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del responsable del tratamiento en cuestión.»

También es importante tener en cuenta cómo define el GDPR los datos personales, como se encuentra en el artículo 4 (1): 

«Toda información sobre una persona física identificada o identificable; se entenderá por persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.»

Algunos proveedores de servicios de prevención del fraude van más allá y te permiten eliminar los datos si así lo solicitas. En SEON, puedes hacerlo fácilmente con nuestra API de borrado, que es clave cuando se trata de clientes con sede en la UE.

¿Qué tipo de certificados de conformidad deben tener los proveedores de prevención del fraude?

Cuando se trata de certificados de cumplimiento, el número de siglas puede ser abrumador. Entre ellos se incluyen SOC 2, ISO 27001 y otros. He aquí algunos de los que podrías tener en cuenta:

• SOC 2: El estándar de oro cuando se trata de cumplimiento para organizaciones de servicios. Fue desarrollado por el Instituto Americano de CPA (AICPA), que especifica cómo las organizaciones deben gestionar la confidencialidad, integridad, seguridad y disponibilidad de los datos de los clientes.
• ISO/IEC 27001: Norma para la gestión de la seguridad de la información diseñada para demostrar que las empresas se basan en el marco, las operaciones y los procesos adecuados con respecto a la gestión de datos.
• NIST 80053: Una certificación NIST del Instituto Nacional de Estándares y Tecnología se solapa con la certificación ISO 27001, pero con la ventaja añadida de alinearse con la Ley Federal de Gestión de la Seguridad de la Información.
• FedRAMP: El Programa Federal de Gestión de Riesgos y Autorizaciones es un proceso de evaluación creado por las agencias federales estadounidenses para garantizar que se dispone de seguridad suficiente cuando se accede a servicios o software alojados en la nube.

Las empresas de iGaming también deberían buscar soluciones con licencia, por ejemplo, con The Service Industry Licensing Bureau (SILB).

Cómo puede ayudar SEON a cumplir los requisitos normativos

SEON está diseñado para convertir los datos de tus clientes en un tesoro de información mediante el enriquecimiento de datos, que extrae la huella digital de un cliente sin pedírsela. Como resultado, los datos son en tiempo real, procesables y mucho más difíciles de falsificar.

También ofrecemos un módulo AML específico, diseñado para mejorar el cumplimiento de la normativa contra el lavado de dinero con los datos que ya tienes.

Una sola dirección de correo electrónico, número de teléfono o dirección IP puede ayudarte a diferenciar entre clientes de alto riesgo y usuarios valiosos. Esto es ideal para la PSD2 (que pronto será PSD3) y para ayudar a agilizar el cumplimiento de KYC.

Y lo que es más importante, SEON:

• cumple con GDPR
• tiene certificación SOC 2
• tiene certificación ISO 27001

Puedes leer más información en nuestra política de privacidad, diseñada para darte total tranquilidad en lo que respecta al tratamiento de datos y el cumplimiento de la normativa.