martes, 14 de diciembre de 2021

El fraude en los pagos. Parte II: El fraude en cifras económicas

1. Introducción

En este segundo artículo de la serie ‘El fraude en los pagos’, se analiza el coste económico real causado por el uso no autorizado de las tarjetas de pago y la banca electrónica, a la vista de las publicaciones públicamente accesibles realizadas por la asociación comercial UK Finance, centradas en el mercado del Reino Unido.

2. Evaluación de los datos facilitados por UK Finance Limited

En la siguiente gráfica, se puede observar cómo ha ido evolucionando el volumen de transacciones fraudulentas realizadas. Estos valores hacen referencia al conjunto de transacciones fraudulentas no autorizadas, y engloban el conjunto de fraudes realizados con tarjetas de pago y banca electrónica. Si bien UK Finance incluye datos relativos a los fraudes realizados con cheques, el presente artículo no entra a valorar esta casuística, de modo que este valor no ha sido tenido en consideración para la elaboración de las gráficas, y no se menciona ni analiza.


Figura 1

Casos de fraude registrados en Reino Unido

Nota: Se muestra información del conjunto de transacciones fraudulentas detectadas en Reino Unido desde medianos de 2016 hasta la primera mitad de 2020. La figura es de elaboración propia. Para realizarla, se han utilizado los datos facilitados en el informe 2020 Half Year Fraud Update (p. 5) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance. A los datos originales presentes en la página 5 del mencionado informe, se ha descontado el número de casos relativos a los cheques, facilitados en el informe 2020 Half Year Fraud Update (p. 22) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance.

A su vez, para cada una de las categorías comentadas anteriormente, se engloban distintos tipos de fraude. En el caso de las tarjetas de pago, se desgrana de la siguiente forma:

Figura 2

Fraude acometido con las tarjetas de pago, agrupado por el canal utilizado

 Nota: Elaboración propia.

En el caso de la operativa por banca electrónica, UK Finance diferencia entre las siguientes categorías: 

Figura 3 

Desglose de operativas por banca electrónica tenidas en consideración

 Nota: Elaboración propia.

Los mecanismos de detección y prevención del fraude juegan un papel muy importante. En la siguiente gráfica, también basada en los datos publicados en el informe de UK Finance (2020a), se compara el fraude que se intentó acometer (y que fue detectado y bloqueado de forma satisfactoria) con las pérdidas incurridas a causa de transacciones fraudulentas realizadas con tarjetas de pago o vía banca electrónica.

Figura 4

Total de pérdidas económicas evitadas versus pérdidas económicas acomentidas

Nota: La figura expresa en color azul y por franjas de 6 meses, desde 2016 hasta la primera mitad de 2020, las pérdidas económicas que han sido evitadas. En color naranja, se expresan las pérdidas económicas acometidas. Todos los valores se expresan en millones de £. La figura es de elaboración propia. Para realizarla se han utilizado los datos de pérdidas evitadas y pérdidas acometidas, facilitados en el informe 2020 Half Year Fraud Update (p. 9, p. 18) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance.

En la primera mitad del año 2020, los bancos fueron capaces de evitar unas pérdidas económicas por valor de 668,7 millones, lo que significa que la industria detectó y bloqueó 6,45 £ por cada 10£ de posible fraude realizado con tarjetas de pago o vía banca electrónica, lo que equivale a un 64,5% del total.
 
Anteriormente, en la Figura 1 se han recogido el conjunto de datos relativos a las transacciones fraudulentas no autorizadas. Estos, se desgranan en función de si se han visto involucradas tarjetas de pago o banca electrónica. A continuación, se analizan ambas casuísticas con el fin de evaluar el impacto que cada una tiene sobre el total de casos.

Figura 5

Global de transacciones fraudulentas vs uso no autorizado de la banca electrónica

Nota: La figura expresa en color azul el conjunto de transacciones fraudulentas detectadas. En color naranja, en cambio, se expresa el subconjunto de transacciones fraudulentas que se corresponden con el uso no autorizado de la banca electrónica. La figura es de elaboración propia, para realizarla, se han utilizado los datos facilitados en el informe 2020 Half Year Fraud Update (p.5, p. 18) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance. A los datos originales presentes en la página 5 del mencionado informe, se les ha descontado el número de casos relativos a los cheques, facilitados en el informe 2020 Half Year Fraud Update (p. 22) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance.




 

Así pues, se observa que del total de casos registrados la mayoría de ellos tienen que ver con el uso fraudulento de las tarjetas de pago, ya que la banca electrónica queda relegada a un ínfimo porcentaje. De hecho, en el primer trimestre del 2020, la banca electrónica solamente representó un 2,15% del total. 
  
Ya se ha comentado anteriormente, pero es importante recalcar que UK Finance desgrana el fraude por el uso no autorizado de la banca electrónica en tres tipologías claramente diferenciadas: operativa por internet, operativa por teléfono y operativa por aplicación móvil. En los tres casos, un tercero no autorizado gana acceso a la banca electrónica y realiza transacciones para mover los fondos de la víctima.

Cabe destacar que cuando apareció la banca electrónica, su uso generaba mucha incertidumbre y reticencias, ya que la gente tendía a pensar que operar por Internet era poco fiable, y que no valía la pena exponerse a un nuevo riesgo.

A continuación, en la siguiente figura, se pueden observar los datos del fraude realizado con tarjetas de pago. En el primer trimestre del año 2020, este tipo de fraude fue de un 97,85% sobre el total tenido en consideración.

Figura 6

Global de transacciones fraudulentas vs transacciones fraudulentas por uso no autorizado de tarjetas de pago, recarga y solo ATM

Nota: La figura expresa en color azul el total de transacciones fraudulentas. Y, en color naranja, el conjunto de transacciones fraudulentas que han involucrado a una tarjeta de pago, recarga o tarjetas de solo ATM. La figura es de elaboración propia. Para realizarla, se han utilizado los datos facilitados en el informe 2020 Half Year Fraud Update (p.5, p. 9) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance. A los datos originales presentes en la página 5 del mencionado informe, se les ha descontado el número de casos relativos a los cheques, facilitados en el informe 2020 Half Year Fraud Update (p. 22) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance.
 

Del mismo modo que en el caso anterior, es importante recalcar que UK Finance desgrana el fraude por el uso no autorizado de las tarjetas de pago en las siguientes categorías: compras por comercio electrónico, tarjetas perdidas o robadas, tarjeta falsificada, tarjeta no recibida y robo de identidad.

A continuación, se analizan estos datos teniendo en cuenta cada una de las categorías:

Figura 7

Volumen de casos por cada tipo de fraude con tarjetas de pago

Nota: La figura expresa en diferentes colores el volumen de casos de fraude por el uso no autorizado de tarjetas, desgranado en las categorías siguientes: compras por comercio electrónico, tarjetas perdidas o robadas, tarjetas no recibidas, tarjetas falsificadas y robo de identidad. La figura es de elaboración propia. Para realizarla, se han utilizado los datos facilitados en el informe 2020 Half Year Fraud Update (p.11, p. 12, p.13, p14, p.15) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf). Copyright 2020 por UK Finance.

En la figura anterior, se puede apreciar que el fraude que involucra el uso no autorizado de tarjetas de pago, principalmente se centra en los pagos realizados por comercio electrónico. De hecho, el porcentaje de estos casos en el primer semestre del 2020 fue del 79,36%. Las otras categorías tomadas en consideración por UK Finance, tienen un valor testimonial, y únicamente destaca el caso de tarjetas perdidas o robadas, con un 11,89%.

Del conjunto de ataques comentados en el artículo 1, secciones 4.1 y 4.2, la obtención de datos para acometer fraude por comercio electrónico podría realizarse, entre otras, de alguna de las siguientes formas:

  • Robo de datos en comercios producido por el almacenamiento inseguro de estos
  • Malware en equipos
  • Phishing y smishing
  • Pharming
  • E-skimming
  • Transmisión de datos en claro
  • Card Trapping
  • Robo físico de una tarjeta / tarjeta olvidada

De acuerdo con el informe “The Silent Threat The Impact of Fraud on UK National Security” publicado por Wood et al. (2021), el fraude es utilizado de forma recurrente como medio de financiación por parte del terrorismo. En el mismo informe se añade que por la naturaleza de las tarjetas de crédito, normalmente las compras fraudulentas realizadas con información robada de las tarjetas, o tarjetas adquiridas fraudulentamente, no son identificadas hasta que el defraudador ha tenido la oportunidad de hacer uso de su compra.

Finalmente, queda por analizar una casuística muy concreta, la de los pagos sin contacto, comúnmente conocidos como pagos ‘contactless’. En la siguiente gráfica se analiza el fraude que hay en este tipo de pagos, ya sean pagos realizados con una tarjeta, o bien con un dispositivo móvil con la función NFC. Los datos obtenidos son muy reveladores, ya que permiten rebatir la creencia de que el pago vía contactless no es seguro y que es una de las principales vías de fraude. Los datos hablan por sí solos.

Figura 8

Evolución del fraude realizado con tecnologías contactless en comparación con la adopción de este tipo de pagos (Reino Unido)

Nota: Se expresa en color azul, el subconjunto del fraude global realizado mediante el uso de pagos contactless (tarjetas físicas, pago con smartphones etc.) Se expresa en color naranja, el porcentaje de adopción de los pagos contactless, es decir, la cifra representa el porcentaje del total de pagos realizados usando esta tecnología. La figura es de elaboración propia. Para realizarla, los datos del año 2018 utilizados han sido los facilitados en el informe Fraud The Facts 2019 The definitive overview of payment industry fraud (p. 23) publicado por UK Finance, 2019. (https://www.ukfinance.org.uk/system/files/Fraud%20The%20Facts%202019%20-%20FINAL%20ONLINE.pdf). Copyright 2019 por UK Finance. Los datos del año 2019 utilizados han sido los facilitados en el informe Fraud – The Facts 2020. The definitive overview of payment industry fraud (p. 24) publicado por UK Finance, 2020. (https://www.ukfinance.org.uk/system/files/Fraud-The-Facts-2020-FINAL-ONLINE-11-June.pdf). Copyright 2020 por UK Finance. Los datos del año 2020 utilizados han sido los facilitados en el informe Fraud – The Facts 2021. The definitive overview of payment industry fraud. (p. 32) publicado por UK Finance, 2021. (https://www.ukfinance.org.uk/system/files/Fraud%20The%20Facts%202021-%20FINAL.pdf). Copyright 2021 por UK Finance.

Se puede ver que entre el 2018 y el 2020 el porcentaje de fraude se ha mantenido bastante estable. La reducción en 2020 seguramente se haya producido por el confinamiento que decretaron las autoridades en los distintos países, y que provocó que las compras brick-and-mortar se vieran reducidas. Así mismo, si la gente residía en casa era más difícil que las tarjetas de pago fueran robadas o perdidas, y por ende, que se usaran de forma fraudulenta para realizar pagos contactless en comercios físicos.

Otro factor importante para tener en cuenta, son las medidas de seguridad implantadas con la entrada en vigor de la norma PSD2, las cuáles son objeto del próximo artículo. Finalmente, queda por ver qué pasa con los datos del año 2021, ya que si bien se espera que el porcentaje siga siendo bajo, la cantidad monetaria de fraude acometido puede aumentar. El aumento de los importes límite fijados en cada país puede propiciar este paradigma, ya que un tercero podría hacer una compra de un monto superior por transacción.

Se puede apreciar una clara tendencia de crecimiento en la adopción de la tecnología contactless para realizar los pagos. Si bien esta tendencia ya se venía dando, el incremento entre el 2019 y el 2020 ha sido mayor. Seguramente, una de las variables que entraron en juego fue la pandemia mundial causada por el SARS-CoV-2, y es que en un principio se desconocía si el medio de transmisión principal era el contacto con superficies infectadas o por aerosoles. Este hecho puede haber provocado que algunos titulares de tarjeta evitaran teclear el código PIN en el TPV si no era restrictamente necesario.

En la misma línea, Sacristan (2020) en una nota de prensa sobre un estudio elaborado por Mastercard, revela que en Europa el 78% de las transacciones de pago se realizaron con tecnología contactless. Asimismo, añade que este es el método de pago preferido para un 66% de la población que reside en el Estado español.

Por si esto no fuera poco, según indica Ruiz (2021) la empresa Telecoming ha elaborado un informe indicando que España es el tercer Estado en Europa con más pagos contactless. Además, estiman que en 2026 más de 30 millones de ciudadanos españoles utilizarán esta modalidad de pago.

Con esto, concluimos este segundo artículo de la serie, cuyo objetivo era analizar el coste económico real causado por el uso no autorizado de las tarjetas de pago y la banca electrónica.  En el próximo y último artículo, se introducirán las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo, y algunos de los cambios que han tenido que introducir las entidades financieras debido a la entrada en vigor de la directiva europea de pagos (PSD2), en favor de la seguridad y la prevención del fraude.

Referencias

Ruiz, C. (2021). España, tercer país europeo con más pagos «contactless». La razón. https://www.larazon.es/economia/20211017/ka6vz3opsrdxnfziucqa2wxtay.html

Sacristan, D. (2020). Según el último estudio de Mastercard, el 78% de las transacciones en Europa se han realizado a través de pagos contactless. Mastercard.
https://www.mastercard.com/news/europe/es-es/noticias/notas-de-prensa/es-es/2020/mayo/segun-el-ultimo-estudio-de-mastercard-el-78-de-las-transacciones-en-europa-se-han-realizado-a-traves-de-pagos-contactless/

UK Finance. (2018). 2018 Half Year Fraud Update: unauthorised payment card, remote banking and cheque fraud and authorised push payments scams.
https://www.ukfinance.org.uk/system/files/2018-half-year-fraud-update-FINAL.pdf

UK Finance. (2019). 2019 Half Year Fraud Update.
https://www.ukfinance.org.uk/system/files/Half%20year%20fraud%20update%202019%20FINAL.pdf

UK Finance. (2019b). Fraud The Facts 2019. The definitive overview of payment industry fraud. https://www.ukfinance.org.uk/system/files/Fraud%20The%20Facts%202019%20-%20FINAL%20ONLINE.pdf

UK Finance. (2020a). 2020 Half Year Fraud Update.
https://www.ukfinance.org.uk/system/files/Half-year-fraud-update-2020-FINAL.pdf

UK Finance. (2020b). Fraud – The Facts 2020. The definitive overview of payment industry fraud. https://www.ukfinance.org.uk/system/files/Fraud-The-Facts-2020-FINAL-ONLINE-11-June.pdf

UK Finance. (2021). Fraud – The Facts 2021. The definitive overview of payment industry fraud. https://www.ukfinance.org.uk/system/files/Fraud%20The%20Facts%202021-%20FINAL.pdf

Wood, H., Keatinge,T., Ditchman, K., & Janjeva, A. (2021). The Silent Threat The Impact of Fraud on UK National Security. Royal United Services Institute for Defence and Security Studies.
https://rusi.org/sites/default/files/the_silent_threat_web_version.pdf
 


Autor: Marc de Tébar - CISM, PCIP, MCAF, SFPC
Dpto. Consultoría