Cuando el abogado Christopher Pitet se convirtió en víctima de un fraude depagos el año pasado, el correo electrónico, como dice el cliché clásico de las películas de terror, provenía del interior de la casa.Un cliente de Pitet recientemente llegó a un arreglo en una disputa legal y el abogado recibió un correo electrónico, aparentemente del abogado contrario, con instrucciones sobre dónde enviar los 59 mil 517 dólares que se acordaron para el arreglo. Rápidamente transfirió el monto total, como se le había solicitado.Ni el correo electrónico ni las instrucciones eran lo que parecían. De hecho, el mensaje lo envió un pirata informático que instaló un robot de monitoreo en el servidor del bufete de abogados de Pitet y estuvo observando cómo se desarrollaban las negociaciones del acuerdo hasta el momento preciso en que debía realizarse el pago. Pitet, un abogado muy versado en fraudes, sin saberlo transfirió el dinero de su cliente directamente a la cuenta del pirata informático.Pitet rápidamente se dio cuenta del engaño y se puso en contacto con Citibank, que tenía la cuenta del pirata informático. Citi se negó a ayudar, diciendo que no tenía la culpa y que no era legalmente responsable de cubrir las pérdidas de Pitet.El abogado demandó al banco, argumentando que el nombre en las instrucciones de transferencia, que era correcto, no coincidía con el número de ruta y de cuenta que Pitet especificó, que era incorrecto.Pero el banco se mantuvo firme. “Citibank prevalece en estos casos y, en consecuencia, no los resuelve”, escribió el abogado interno de Citi a Pitet en un correo electrónico, que compartió a Financial Times.Lo más inquietante para Pitet fue que Citi citó en su correo electrónico cinco casos tan solo en los últimos dos años en los que otros, incluidos bufetes de abogados, fueron defraudados de manera similar, demandaron a Citi y perdieron. Sintiendo que era una batalla perdida, retiró la demanda.Citi, a través de un portavoz, dijo que el caso de Pitet “carecía de mérito jurídico”. El portavoz añadió que, si bien Citi trabaja arduamente para prevenir el fraude y ayudar a los clientes a recuperar los fondos perdidos, el banco “no es responsable de las acciones de aquellas personas que son engañadas por seguir las instrucciones de los delincuentes”.¿Quién debe pagar?Desde fraudes de pago, como con el engañó a Pitet, hasta impostores que utilizan modelos sofisticados para atraer a personas que probablemente deban impuestos atrasados, los avances en inteligencia artificial y la velocidad de los pagos en tiempo real han hecho que sea más fácil a los estafadores manipular a alguien para que entregue voluntariamente su dinero y huir con el botón con la misma rapidez.Es difícil determinar las cifras exactas de las pérdidas, y muchos casos no se denuncian por vergüenza o temor a las represalias. Pero la Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) estima que en 2023 se perdieron hasta 158 mil millones de dólares (mdd) en todo tipo de estafas, en comparación con 137 mil mdd de 2022.El audio, el video y las imágenes que se generan por la inteligencia artificial (los llamados deepfakes) son uno de los factores que explican ese aumento. La firma de contabilidad y consultoría Deloitte estima que el contenido generado por IA contribuyó a más de 12 mil mdd en pérdidas por fraude en EU en 2023, y podría llegar a 40 mil mdd en 2027.A medida que el problema ha crecido en varios países, lo mismo ocurre con el debate entre el gobierno, los bancos y las compañías de tecnología sobre quién debería pagar la factura cuando no se puede recuperar el dinero.En el Reino Unido, el gobierno dictaminó que los bancos son responsables por hasta 106 mil 335 dólares en pérdidas. En Australia, la mayor parte de la culpa puede recaer sobre las compañías de tecnología.En Estados Unidos (EU), la pregunta de quién debe pagar sigue sin respuesta y se está volviendo políticamente tensa. Algunos demócratas quieren que los bancos asuman más responsabilidad, y la Oficina de Protección Financiera del Consumidor (CFPB, por sus siglas en inglés) está investigando Zelle, un sistema de pagos de cuenta a cuenta propiedad de un consorcio de grandes bancos estadunidenses, que ha sido utilizado por estafadores.Los bancos luchan para desviar los señalamientos a ellos, y JPMorgan Chase dice que está dispuesto a demandar a la CFPB en respuesta a su investigación. El director general de JPMorgan Chase, Jamie Dimon, dijo frente a una audiencia de banqueros en octubre: “No se puede tener un sistema en el que seamos responsables de cada pago que se sabe que se envía”.En su lugar, los bancos intentan responsabilizar a las compañías de tecnología, entre ellas Meta, TikTok y Snapchat, de donde se originan muchas estafas.Mientras tanto, las víctimas como Pitet son las que pagan el precio. El hecho de que Citibank estuviera al tanto de varios incidentes similares al suyo sugiere una falta de voluntad para actuar, afirma el abogado. “Si sabían que de forma regular la gente estaba siendo estafada de esta manera, ¿por qué no hicieron nada al respecto?”, pregunta. “Los bancos pueden y deben hacer más”.Estas estafas son el último frente en la larga batalla de la industria bancaria contra el fraude. En las décadas de 1990 y 2000, los delincuentes buscaron formas de estafar a los cajeros automáticos a medida que las tarjetas electrónicas se hicieron más populares. A medida que los bancos tomaron medidas enérgicas y establecieron más controles sobre los retiros, los estafadores pasaron a los ataques cibernéticos y la apropiación de cuentas para robar el dinero de un cliente.Una señal de advertencia para la industria fue un enorme ataque informático contra JPMorgan en 2014, que resultó en el robo de detalles de más de 80 millones de hogares y empresas. Si se los considera responsables de todo estos fraudes, algunos bancos no podrán sobrevivir al costo.Esto fomenta un patrón en el que los bancos se enfocan más en defenderse contra los delincuentes que irrumpieron en sus sistemas, en lugar del dinero que sale de las cuentas.El eslabón débilA medida que los bancos reforzaron sus defensas, los estafadores identificaron a los clientes como un eslabón débil. “Estamos en la fase de ingeniería social, en la que los delincuentes convencen al consumidor real para que inicie esas transacciones”, dice Cleber Martins, director de inteligencia y riesgo de pagos de ACI Worldwide, un grupo de pagos.“Si se pasan por alto todos los controles y si es realmente el cliente el que inicia la transacción que creen que deberían hacer, ¿por qué los bancos tendrían que devolverle el dinero?”.A medida que crece ésta práctica, eso mismo pasa con la escala de las pérdidas. “En los últimos dos años y medio, la naturaleza de la estafa es que te van a quitar todo lo que tienes”, dice Erin West, exfiscal de California. “Lo que estábamos viendo es una forma industrializada de ataque”.En algunos lugares, el fraude en línea se ha convertido en una especie de industria artesanal. Como fiscal de California, West intentó ayudar a las víctimas de las llamadas pig-butchering scam (estafas de matanza de cerdos), en las que los estafadores que viven en complejos de países como Camboya, Myanmar y Filipinas promueven estafas románticas e inducen a las víctimas a “invertir” en esquemas de criptomonedas falsos.La naturaleza cambiante de la banca hace que empeore el problema. Las aplicaciones de banca en línea y los pagos en tiempo real permiten a los delincuentes recibir de inmediato el dinero de la víctima. ACI estima que 63 por ciento de estas estafas fraudulentas ya se llevaron a cabo a través de las redes de pago en tiempo real en 2023 y que para 2028 esta cifra aumentará a 80 por ciento.En EU, si a un consumidor le roban su tarjeta de débito o crédito, la ley federal limita su responsabilidad por cualquier cargo realizado si el robo se denuncia sin demora. Pero las reglas de juego para las transacciones fraudulentas entre cuentas son mucho menos claras.Si convence a alguien de enviar dinero a la cuenta de otra persona en una transacción que termina siendo una estafa, a menudo hay pocos recursos para recuperar ese dinero. El titular de la cuenta confía en la voluntad de su banco para reembolsar el dinero. Pero los bancos argumentan que esto es el equivalente digital de entregar dinero en efectivo en la calle, y no su responsabilidad.“Si se les considera responsables de todos estos fraudes, que fácilmente pueden ascender a miles de millones de dólares cada año, entonces eso es un costo real para el banco y algunos bancos no van a poder sobrevivir a ese costo”, dice Annemarie McAvoy, directora de Clovis Quantum Solutions, una consultora que se enfoca en delitos financieros e investigaciones.La industria ya tomó algunas medidas para modernizar sus defensas. Una combinación de empresas de pagos como Mastercard, Visa y Early Warning, que opera Zelle, así como firmas de consultoría como Accenture, implementaron herramientas para los bancos que en una fracción de segundo pueden calificar las transacciones de pago por riesgo de fraude, ya sea en función del tipo o tamaño del pago.Los bancos pueden usar las calificaciones para rechazar ciertas transacciones o justificar por qué aprobaron otras si resultan ser fraudulentas. Pero cada vez más, los gobiernos y los reguladores quieren que hagan más.En el Reino Unido, los reguladores sentaron un precedente al exigir a los bancos que reembolsen a las víctimas de fraudes de pagos automáticos autorizados, o cuando alguien es engañado para enviar dinero a un estafador que se hace pasar por un beneficiario genuino.Pero las normas desencadenaron una rencilla política. Inicialmente, el regulador de pagos estableció un límite de hasta 519 mil 200 dólares por reclamación, un punto de referencia que los bancos y las empresas de pago advirtieron que sería ruinoso. Bajo la presión del sector y del gobierno, el regulador finalmente redujo esa cantidad a 106 mil 335 dólares. La regla entró en vigor en octubre.Mientras tanto, el gobierno de Australia va en una dirección diferente al impulsar una nueva ley que impondría multas a las redes sociales y las compañías de telecomunicaciones, en cuyas plataformas a menudo se originan los esquemas, junto con los bancos por no proteger adecuadamente a los consumidores.En EU, la investigación del regulador del consumidor sobre Zelle se consideró como un preludio a una posible legislación. Pero el destino de la investigación quedó en entredicho después de la victoria electoral de Donald Trump, ya que se espera que su administración nombre como líder de la CFPB a alguien que adopte una postura menos agresiva con las grandes empresas o que intente eliminarla por completo.Los senadores estadunidenses Richard Blumenthal y Elizabeth Warren propusieron un proyecto de ley que pondría en marcha un programa de responsabilidad similar al del Reino Unido, pero su aprobación inmediata en el Congreso se enfrenta a una ardua tarea.“Durante años, he hecho sonar la alarma sobre los estafadores que utilizan servicios de pago entre particulares como Zelle, para robar a los consumidores trabajadores que trabajan duro, y desde hace mucho tiempo he luchado para que los bancos reembolsen a los clientes defraudados para que no se queden abandonados a su suerte”, dice Warren.Los bancos se defienden, alegan que al ampliar la responsabilidad se corre el riesgo de que los servicios bancarios se vuelvan más caros. “No existe el dinero gratis”, explica Alison Jimenez, presidenta de Dynamic Securities Analytics, que asesora sobre cuestiones de delitos financieros. “Así que el banco reembolsa a un individuo, esa pérdida se va a repartir entre otros clientes a través de comisiones más altas”.El sector también advierte de que los estafadores pueden aprovechar las normas para jugar con el sistema y hacerse pasar por víctimas para recuperar pagos de forma ilegítima.“Yo diría que algunas estafas no necesariamente se deberían reembolsar”, dijo Denise Leonhard, directora general de Zelle, en una conferencia del sector en noviembre. “Creo que va a añadir más delincuentes al sistema”.Las advertencias reflejan a las que expresó el sector bancario y de pagos del Reino Unido antes de que se implementara la compensación obligatoria de los bancos. Si bien los reguladores monitorean este riesgo, es demasiado pronto para decir si ha sucedido.En cambio, los bancos piden que las compañías telefónicas y los sitios web de redes sociales asuman más responsabilidad. Casi 80 por ciento del fraude de pago push comienza en línea, de los cuales se estima que 60 por ciento comienza en las redes sociales, según el organismo comercial UK Finance.“Los bancos son sorprendentemente cooperativos porque saben que de alguna manera los van a considerar responsables si no lo hacen”, dice West. “Mientras que muchas redes sociales y compañías de telecomunicaciones no cooperan en lo absoluto, no han sido de ninguna ayuda. Creo que es porque no tienen ninguna espada sobre su cabeza”.Un comunidad inseguraLos bancos, políticos y reguladores cada vez expresan más sus críticas con respecto a los esfuerzos del sector de tecnología para prevenir el fraude. Las compañías de redes sociales no hacen lo suficiente para detener las estafas, argumentan. Hacerlas responsables les daría un incentivo para ser mejores a la hora de detectar y eliminar el contenido fraudulento.El Partido Laborista del Reino Unido elaboró planes para obligar a las compañías de tecnología a compartir la responsabilidad por las pérdidas por fraude con los bancos antes de las elecciones generales de julio. Ahora, la canciller de Hacienda, Rachel Reeves, le pidió a las compañías de redes sociales y telecomunicaciones, entre ellas Meta, TikTok y BT, que informen a los ministros sobre los avances en la prevención del fraude antes de marzo, con una velada amenaza de tomar más medidas si no lo hacen.Nathaniel Gleicher, responsable global de lucha contra el fraude en Meta, declaró al FT que la plataforma ya está incentivada a luchar contra el fraude porque quiere construir una comunidad “segura” para sus usuarios y se corre el riesgo de ser multada por el regulador de medios británico Ofcom.Según la Ley de Seguridad En Línea del Reino Unido, las compañías de redes sociales están obligadas a eliminar los anuncios fraudulentos y corren el riesgo de recibir multas de Ofcom si no lo hacen. Facebook, X y el propietario de la aplicación de citas Tinder, Match Group, también son signatarios de la carta contra el fraude en línea, un acuerdo voluntario elaborado el año pasado entre las compañías de tecnología y el gobierno británico para reducir el fraude.Algunos legisladores están buscando alternativas para disuadir a los estafadores. El secretario de estado de Massachusetts, William Galvin, propuso un proyecto de ley que indemnizaría a los bancos en los casos en que decidan retrasar un pago para permitir más controles. En octubre, se concedió a los bancos británicos el poder de retrasar los pagos hasta 72 horas para investigar un posible fraude.Sin embargo, la legislación se estancó en Massachusetts “porque el sector bancario, aunque públicamente no se ha pronunciado al respecto, ha hecho todo lo posible para acabar con nosotros”, afirma Galvin.“Éste es el problema fundamental aquí, que los bancos están exentos de responsabilidad”, dice. “Afirman que estarían interrumpiendo el negocio de sus clientes”.Tecnología más sofisticadaMientras los bancos, los políticos y otros discuten sobre la responsabilidad, los métodos de los estafadores son cada vez más sofisticados.La IA ahora permite a los estafadores producir correos electrónicos, anuncios y mensajes más personalizados que son cada vez más eficaces para engañar a sus blancos, dice Michael Jabbara, un ejecutivo del equipo de disrupción del fraude de pagos de Visa.“Ahora existe este nivel de personalización y adaptación en el lado del fraude que los vendedores legítimos realmente envidiarían bastante”, dice.Anna Rowe, fundadora de Catch the Catfish, un grupo de defensa de la seguridad en las citas en línea, dice que los deepfakes comenzaron a aparecer en las estafas de citas en línea en 2022 y cada vez se vuelven más sofisticados.Los estafadores que se hacen pasar por los intereses románticos de sus víctimas ahora son capaces de hacer videollamadas y superponer fotos de las caras de otras personas sobre las suyas, dice.“Puedes girar la cabeza y no se distorsiona, pueden hablar o aprendieron a no estirar demasiado la boca si lo hacen, ahora pueden ponerse anteojos”, dice Rowe. “Está evolucionando muy rápido”.Están surgiendo nuevas defensas. Reality Defender es una de un número creciente de empresas que ofrecen a los bancos y a otros las herramientas para detectar deepfakes y prevenir los fraudes.En su oficina de Manhattan, el director general Ben Colman se divierte demostrando lo fácil que es hacer deepfakes de audio y video. Dice que el software de su compañía puede captar rápidamente audio o video generados por IA que engañarían a la mayoría de los ojos y oídos humanos.Reality Defender, cuyos patrocinadores incluyen a las consultoras Accenture y Booz Allen Hamilton, en este momento solo ofrece sus herramientas a grandes operaciones, bancos y otro tipo de empresas que intentan detectar si las llamadas entrantes son reales.La compañía trabaja en una versión de su software que podría descargarse a través de una tienda de app, lo que permitiría a cualquier persona con un teléfono escanear los mensajes entrantes en busca de deepfakes, pero hasta entonces, Colman dice que el consumidor promedio sigue siendo vulnerable a estos y otro tipo de fraudes cada vez más sofisticados.“Lo llamamos fraude de deepfishing (pesca profunda)”, dice Colman. “La IA permite que lo que antes era un ataque de uno a uno de un ‘príncipe extranjero’ ahora se haga a gran escala”.A medida que más personas comunes, como Christopher Pitet, caen en estas trampas, algunos dicen que los llamados a la acción en EU solo se harán más fuertes.“Las cifras simplemente son demasiado grandes para ignorarlas”, dice John Breyault de la National Consumers League, un grupo de defensa de EU. “No importa si hablo con el republicano más trumpista o con el liberal (más) sensible, cada vez que hablamos de fraude y estafas, todos tienen una historia de fraude”.ERR
