Departamento Editorial / Pus Comply
El robo de identidad es uno de los delitos más preocupantes a nivel global en la actualidad, genera enormes pérdidas para los individuos y para las entidades financieras víctimas. En Estados Unidos, durante 2018 el robo de identidad fue la tercera causa de reclamos hechos ante la Comisión Federal de Comercio (FTC por sus iniciales en inglés).
Ante los USD 16.800 millones perdidos por este delito durante 2017, la FTC y varias agencias reguladoras del sector bancario publicaron en noviembre de ese año la llamada Parte 681 del Título 16 sobre Prácticas Comerciales, que concentra regulaciones sobre la implementación de un programa de cumplimiento contra el robo de identidad. Si bien es de obligatorio cumplimiento para las instituciones financieras estadounidenses, este material ofrece una buena guía para entidades extranjeras.
La norma está orientada a instituciones financieras y emisores de tarjetas de crédito, quienes deben contar con el programa que les permita detectar, prevenir y mitigar efectivamente el robo de identidad. Las entidades deben hacer una revisión periódica de las cuentas, para identificar cuáles están cubiertas por esta norma. Como parte de este proceso, “la institución financiera o el prestamista deben conducir una evaluación de riesgos para determinar si está ofreciendo o si mantiene cuentas cubiertas”, indica el documento oficial.
Durante la evaluación de riesgos, la entidad debe considerar:
1) El método definido para abrir las cuentas.
2) El método que tiene para acceder a las cuentas.
3) La experiencia previa con el delito de robo de identidad.
En relación al establecimiento del Programa de Prevención del Robo de Identidad, la Parte 681 precisa algunos requerimientos:
1.- Requerimientos del Programa. Cada institución financiera o prestamista que ofrece o mantiene cuentas cubiertas debe desarrollar e implementar un Programa de Prevención del Robo de Identidad, que esté diseñado para detectar, prevenir y mitigar el robo de identidad en relación a las nuevas cuentas o las cuentas existentes. El programa debe ser apropiado para el tamaño y complejidad de la entidad y en base a la naturaleza y enfoque de sus actividades.
2.- Elementos del Programa. El programa debe incluir políticas y procedimientos razonables para:
I. Identificar banderas rojas relevantes relacionadas a las cuentas que la entidad mantiene u ofrece, e incorporar estas banderas rojas al programa.
II. Detectar banderas rojas que han sido incorporadas en el programa de la entidad.
III. Responder apropiadamente a cualquier bandera roja que sea detectada para prevenir y mitigar el robo de identidad.
IV. Asegurar que el programa (incluidas las banderas rojas) sea actualizado periódicamente, para reflejar los cambios en el riesgo para los clientes y para la seguridad de la entidad en relación al robo de identidad.
3.- Administración del programa. Cada entidad que tenga que implementar el programa debe proveer lo necesario para la administración del programa y debe:
I. Obtener aprobación del programa escrito inicial de parte de la Junta de Directores o de un comité de la junta.
II. Relacionar a la Junta de Directores, al comité respectivo o al empleado designado de un nivel gerencial en la supervisión, desarrollo, implementación y administración del programa.
III. Entrenar al personal como sea necesario para implementar efectivamente el programa.
IV. Ejercer una supervisión apropiada y efectiva de los acuerdos con los proveedores de servicios.