Jesús Rodríguez Cabrero

El consorcio EMVCo (MasterCard, Visa y JCB), como propietarios de las Marcas Franquiciadoras para los medios de pago, ha impuesto un cambio tecnológico en el conjunto de las medidas de Seguridad exigibles para el conjunto del sistema en la red de medios de pago. La imprescindible interoperabilidad y globalización del uso de las tarjetas financieras obliga a los bancos emisores o adquirentes a estar adheridos a alguna de estas marcas.

Las primeras tarjetas financieras se presentaban como un aval bancario, restringido a las clases económicamente más solventes, y garantizando el pago mediante una cierta capacidad crediticia. Después llegó la popularización masiva de su uso, la aparición de prácticas fraudulentas a través de él, y la necesidad de tomar medidas de seguridad protectoras contra el fraude. 

Realmente, es un cambio evolutivo normal en el desarrollo de una actividad financiera que ha crecido de forma espectacular en unos pocos años. Perfectamente podemos recordar, de principios de los 80, las primeras tarjetas financieras y la autorización, mediante confirmación telefónica que, en aquellos comienzos, se hacía de las transacciones; después llegó la banda magnética con PIN, la verificación telemática de éste, y la firma manuscrita del titular; ahora llega un nuevo cambio.

El cambio actual, básicamente, consiste en la sustitución de la tecnología de banda magnética (usada durante la última década) por tecnología criptográfica, más actual y segura. Afecta, como cualquier cambio en Seguridad, a los diversos actores y elementos que intervienen en el proceso transaccional: tarjetas, terminales (cajeros y TPVs), centros autorizadores, nodos de servicios de comunicaciones, estampadores/personalizadores de tarjetas, etc.
En el caso de la Banca Europea, la presión para el cambio no sólo la recibe de las Marcas, sino que el propio Banco Central Europeo se ha sumado a esta exigencia. Consciente del alto volumen de transacciones que se realizan por este medio, y de la necesidad de reforzar la seguridad en él, el ECB ha emplazado a toda la banca europea para que en un breve plazo (enero-2010) no quede en circulación ni una sola tarjeta de banda en todo el territorio europeo.
Pero ¿qué impacto a nivel de inversión hardware, software y servicios tiene para las entidades financieras la migración a éste nuevo entorno de tarjetas Chip EMV? Hemos de ser conscientes y reconocer que la migración supone una fuerte inversión para el sector bancario. Pero de igual modo, debe considerarse la previsible durabilidad de esta inversión si atendemos a los antecedentes históricos de esta actividad financiera; una actividad que, por otro lado, supone una de las mayores fuentes de ingresos brutos en el actual negocio bancario.

Como elementos más costosos podemos señalar principalmente:

1. La actualización de la red de terminales adquirentes (Cajeros y TPVs)
2. El despliegue de las nuevas smart-card en sustitución de las de banda.

Pero existen otros costes adicionales cuya relevancia es mucho menor: actualización del centro autorizador, de los nodos de comunicaciones, etc.

Como es lógico, los gestores de las entidades financieras han buscado caminos para aminorar el impacto de estos costes:

— Reducción y concentración de terminales (especialmente TPVs)
— Emisión de tarjetas de tipo estático (SDA), más baratas que las dinámicas.
— Etc.

En cualquier caso, estas inversiones deben ser consideradas por la Banca como parte del proceso natural de cualquier industria, en la que, cíclicamente, el equipamiento productivo exige una actualización que permita su subsistencia en el mercado.

A pesar de que no todos los Bancos y Cajas Españolas han ido al mismo ritmo en cuanto al cumplimiento de la normativa PCI/DSS, y su materialización en la adopción del estándar EMV, es preciso destacar el compromiso de las empresas de Medios de Pago españolas a este respecto, actitud que se pone de manifiesto, en una reciente publicación de Gartner Group del 21 de Mayo de 2009, donde se destaca el hecho de que empresas como SERMEPA (Servired) han ido más allá de la propia normativa PCI incluyendo en su red de terminales medidas adicionales de autenticación, para evitar cualquier posible intrusión o suplantación.

Pero ¿contribuirán las nuevas tarjetas EMV a la erradicación del fraude en los medios de pago? Es evidente que detrás de todo este cambio evolutivo en los Medios de Pago, está la búsqueda de la erradicación del fraude. Sin embargo, al hablar de fraude y de las técnicas de seguridad para evitarlo, pensar en una erradicación en términos absolutos, es caer en la utopía. Las técnicas de seguridad, sean cuales sean, reducirán drásticamente el fraude hasta llevarlo a índices casi despreciables, pero no conseguirán erradicarlo por completo. Y, por supuesto, debemos plantearnos que las técnicas de protección que se empleen tienen una vigencia de efectividad acotada en el tiempo: hasta que el mundo delictivo logre controlar las vulnerabilidades, por mínimas que éstas sean, existentes en dichas técnicas.

Por supuesto, las nuevas tarjetas smart-card y el conjunto de técnicas criptográficas adoptadas por la normativa de EMVCo eliminan de raíz las posibilidades de fácil falsificación o duplicación de tarjetas, así como el repudio injustificado de transacciones y otros tipos de fraude que ahora abundan, lo que no hacen es garantizarnos la erradicación del fraude en el tiempo.

No obstante, es absolutamente necesario que la Banca haga frente, con este tipo de medidas, al fraude y luche contra los actuales riesgos del mismo. Al realizar un análisis de los costes del fraude, tenemos que considerar dos aspectos: sus costes directos y sus costes indirectos.

Los costes directos del fraude son, si no controlados, al menos conocidos. El índice del fraude sobre las cantidades globales negociadas es un dato que figura sobre la mesa de cualquier gestor de medios de pago.

El mayor problema, por dificultad de su cuantificación y evaluación, lo representan los costes indirectos, es decir, la posible merma de actividad de negocio por pérdida de la confianza popular en el medio. Esta es la principal preocupación de las Marcas y el principal motivo que les lleva a imponer las medidas protectoras.

El más mínimo análisis de las medidas de seguridad reglamentadas por las marcas revela un afán de protección y garantías para el usuario, a la vez que una cierta penalización para las entidades bancarias que no adopten dichas medidas. La regla final es muy clara: entre los 4 actores intervinientes en una transacción (usuario-titular, usuario-comerciante, banco emisor y banco adquirente), el posible fraude debe ser soportado por el banco que no adoptó las medidas EMV; como en toda prestación de servicios, es el prestador quien debe tomar las medidas de seguridad, y es el usuario quien confía en que su prestador las toma.

En cuanto a la situación en que se encuentra la Banca Europea respecto al cumplimiento del calendario y fechas para la implantación internacional de EMV, resulta curioso observar cómo en los 3 últimos años, los países con mayor índice de fraude se han apresurado al cambio, en tanto que los que presentaban un bajo índice se han mostrado resistentes. A su vez, cada país ha priorizado la adopción de medidas hacia el "rol" (emisor o adquirente) donde se concentraba el fraude sufrido. En definitiva, se han ido adoptando las medidas con objetivos claramente defensivos.

A su vez, esta estrategia, ha sido secundada, por las mafias del fraude que han ido desplazando su actividad de un país a otro, buscando siempre los no adaptados a EMV.

En sus comienzos, cuando se publicaron las especificaciones EMV, España era uno de los países europeos que soportaba un menor índice de fraude. Pero se trataba sólo de una apariencia en los costes, ya que, como país con una gran afluencia de visitantes, era un lugar predilecto para usar su red de terminales en la materialización de delitos; naturalmente, delinquiendo con tarjetas duplicadas procedentes de otros países.

Advertidos de esta situación, los países colindantes al nuestro se apresuraron a sustituir su parque de tarjetas de banda por las de EMV, con lo que desplazaban el coste del fraude hacia nuestros bancos, que actuaban como terminales adquirentes no-EMV. Inmediatamente se movilizó la banca española, abordando uno de los cambios más laboriosos y onerosos: la actualización de terminales.

En los tres últimos años la Banca española ha actualizado su parque de Cajeros para que éstos permitan el uso de tarjetas EMV y actualmente se encuentran en proceso de actualización de las tarjetas al nuevo entorno EMV.
Algunas entidades, además han descubierto un mayor potencial comercial en las tarjetas EMV, gracias a sus posibilidades de multi-aplicación. En efecto, la alta capacidad del microchip permite la convivencia de aplicaciones no financieras (universidades, cadenas comerciales, etc.) integradas en el mismo soporte, con mayor seguridad, potencia y posibilidades. En resumen, estamos hablando de toda un nuevo sistema de seguridad, con base criptográfica para minimizar el fraude en los Medios de Pago.