Por Alejandro Alonso
A la gente de Gemalto no les gusta hablar de productos. Sus clientes están perfectamente identificados en gobiernos, grandes empresas y, sobre todo, entidades financieras (las tradicionales y los nuevos startups del moderno universo FinTech), de modo que no tienen necesidad de hacerlo. Prefieren hablar de realidades del mercado, de tendencias, de motivaciones, de escenarios posibles y de todas esas las cosas que hacen que los procesos se vuelvan más simples para el usuario.
El brasileño Ernesto Haikewitsch, director de Comunicaciones de Marketing para América Latina de Gemalto desde hace cuatro años, conoce bien el mercado financiero: uno de los territorios que últimamente está sufriendo diversas fuentes de presión. Vale recordar que Haikewitsch trabajó en Accenture (servicios financieros), en un banco de inversión que por aquel entonces comenzaba a desarrollar sus canales de retail, y finalmente en Banco Itaú, antes de pasar a Gemalto, hace siete años. Gemalto es una compañía de seguridad nacida en 2006 que prove aplicaciones, dispositivos personales (como trajetas inteligentes y tokens) y servicios administrados. Es también el mayor proveedor de tarjetas SIM.
LOS DESAFÍOS DEL SECTOR FINANCIERO
Los números globales de un estudio reciente de PwC sobre el sector financiero dan una idea de la situación. Las entidades financieras tradicionales creen que el fenómeno FinTech (los startups innovadores de la industria financiera) podría poner en riesgo el 23% de su negocio actual en los próximos cinco años. Pero las FinTech consideran que este “bocado” puede ser todavía mayor y podría llegar hasta el 33% del negocio actual de las entidades financieras tradicionales. La banca retail, los medios de pago y los servicios relacionados con la gestión de activos y de patrimonio son, por este orden, los que van a experimentar un cambio más radical. El informe indica que, hacia 2020, más del 60% de los clientes del sector financiero tradicional accederá a servicios a través de aplicaciones móviles, al menos una vez al mes.
No es momento de volverse conservadores. El competidor de las entidades financieras podría venir de un Fintech, pero también de un vertical diferente, como en el caso del banco chino en línea WeBank (una suerte de primo hermano de la app WeChat). La tecnología puede ayudar en este cometido, pero se necesita mucho más que tecnología. En algunos casos es necesaria una suerte de tormenta perfecta, donde los desafíos y la naturaleza de las dificultades puedan dar origen a una oportunidad. Haikewitsch lo grafica con una experiencia propia, a principios de la década del 2000, cuando era el responsable de las tarjetas de débito del Itaú. “En Brasil teníamos un problema grave. Una explosión de fraudes. Esto tenía un impacto muy grande e inmediato, sobre las cuentas de los clientes. En los modelos de negocio de débito, al menos hace quince años, la ganancia del banco rondaba el 0,75% de la transacción. Pero el fraude está por encima del 1%, y hasta el 2%”.
Itaú fue el primer gran banco en Brasil en hacer la migración masiva desde tarjetas con banda magnética hacia las tarjetas con chip. ¿Qué pasó con el fraude? “El fraude se comporta como el agua —asegura el hombre de Gemalto—, fluye hacia terrenos más bajos, en este caso hacia los demás bancos. Cuando todos los bancos migraron a chip, el fraude migró hacia otros canales, hacia los cajeros. En aquel momento los cajeros todavía funcionaban utilizando la banda magnética. Cuando todo el país estuvo blindado, el fraude se mudó a los países limítrofes”. Hoy existe un mecanismo llamado “Liability Shift”, que cuando un usuario viaja al exterior, traspasa la responsabilidad del fraude al comercio local si éste no tuviera los sistemas preparados para soportar la tarjeta con chip, y viceversa (caso en que el comprador tuviera tarjeta de banda magnética, pero en el país donde quiere comprar ya estuviera soportado el sistema con chip, entonces la responsabilidad es del banco emisor de esa tarjeta).
Hoy, comenta Haikewitsch, “la última frontera es el comercio electrónico”, y en esta frontera hay que respaldar la conveniencia con seguridad. Para el ejecutivo, “este equilibrio es un gran problema. Conveniencia y Seguridad son antagónicos”. Otro estudio, esta vez de Gemalto y el Ponemon Institute sobre 3700 profesionales de seguridad de TI, toca el tema de la seguridad de los datos del pago. Según el estudio, más de la mitad (54%) de los encuestados expresaron que sus compañías se vieron afectadas, en promedio cuatro veces en los últimos dos años, por filtraciones de datos de seguridad o de datos de pagos. Por otra parte, un porcentaje similar de profesionales no tienen la menor idea de dónde se almacenan o sus datos de pago. El estudio también muestra que la responsabilidad de la seguridad de los datos de pago no está centralizada; el 28% de los encuestados manifiesta que la responsabilidad es del CIO, el 26% dice que corresponde a la unidad de negocios, el 19% indica que es responsabilidad del Departamento de Compliance, el 15 % se la adjudica al CISO (Chief Information Security Officer) y el 14% a otros departamentos. Además, el 59% expresó que su compañía permite el acceso de terceros a los datos de pagos y solo el 34% utiliza autenticación multifactor para un acceso seguro. Lo más grave: menos de la mitad de los encuestados (44%) expresó que sus compañías utilizan cifrado integral para proteger los datos de pagos desde el punto de ventas hasta el momento en que se almacenan o envían a la institución financiera., y el 74% expresó que sus compañías no cumplen con el PCI DSS (Payment Card Industry Data Security Standard), o lo cumplen parcialmente.
[youtube_sc url=»https://youtu.be/tVA8Bc5AteI»]UN ANTAGONISMO QUE PREOCUPA
El antagonismo entre Conveniencia y Seguridad se entiende mejor si se analizan las opciones que el comprador tiene a la hora de realizar una transacción por estos canales. La primera opción (que es la que por ejemplo admiten sitios como Amazon.com) es ingresar todos los datos personales y del medio de pago, a fin de poder ejecutar la compra con un solo click. El sistema es muy práctico para el usuario, pero también vulnerable, dado que una intrusión en las bases de datos del vendedor online daría acceso a los delincuentes a los datos de pago de gran cantidad de usuarios. Los ejemplos abundan, acaso uno de los más sonados sea el de la cadena de retail Target, donde los malvivientes digitales accedieron a la información de robo de cerca de 40 millones de datos correspondientes a tarjetas débito y crédito de sus clientes.
Un segundo escenario de e-commerce es ingresar todos los datos todas las veces, lo cual puede resultar enojoso para el comprador (sobre todo si debe hacerlo desde el smartphone). También existe la posibilidad de usar un servicio como el “Verified by Visa” o “Mastercard SecureCode” (el nombre técnico del sistema es 3-D Secure). Con esta tecnología, al finalizar la compra, el comprador es derivado al banco emisor para que complete los requerimientos de alguna medida de seguridad adicional (como puede ser el ingreso del número de un token, una vez autenticado el cliente es regresado al entorno del vendedor online). “Esto es una mina de oro… para Mastercard y Visa. Garantiza la seguridad, pero exige de los bancos poner en práctica procesos que son extremadamente caros”, dice Haikewitsch.
Hoy los bancos están impulsando la “tokenización” (valga el neologismo). “Hay varios formatos y sabores para trabajar con tokenización”, explica Haikewitsch, y da ejemplos de tokens físicos, o los que funcionan a través de una app en el celular (incluso hay variantes “más baratas” como las tarjetas de coordenadas), pero en todos los casos sólo existen para entornos bancarios, no necesariamente para compras online en otros entornos.
La innovación viene al rescate, y Haikewitsch comenta algunos casos. “En Brasil Itaú lanzó un sistema de tarjeta virtual. Es un desarrollo interno”. En este sistema, el comprador puede generar una tarjeta de crédito de uso único (con sus 16 números), asociada a su tarjeta tradicional. “Si alguien captura este dato, no le servirá. Esta tarjeta muere después de su uso”.
SOLUCIONES INNOVADORAS AL SERVICIO DE LOS NUEVOS ABORDAJES
Nuevas generaciones llegan con nuevas demandas. A los millennials no les gusta los bancos, pero disfrutan hacer “banking”. ¿Cómo resolver esta dicotomía? Con tecnología. Acaso, nuevos jugadores como Nubank (orientado a esos millennials) o Banco Original (100% digital, sin sucursales) en Brasil tengan que ser analizados en detalle. Nuevos canales para llegar rápidamente a los clientes, nuevas formas de dirigirse a ellos para generar afinidad, nuevos modelos de negocio.
También nuevas herramientas que permiten un mejor balance entre Seguridad y Conveniencia. ¿Es posible abrir una cuenta bancaria o validar una transacción, identificándose solamente a través de una selfie? ¿O con una foto del documento? Estas tecnologías ya existen, y Gemalto las provee. Pero eso es sólo el comienzo. ¿Qué posibilidades abren los nuevos dispositivos “vestibles” conectados? Gemalto presentó, por ejemplo, una applet basada en un elemento seguro para wearables inteligentes. La solución, que usa tecnología NFC, ya fue lanzada por China UnionPay, una de las principales asociaciones de pagos del mundo, con transacciones totales que alcanzaron los US$ 1.900 millones en el primer trimestre de 2015.
En octubre del año pasado, Gemalto anunció otra solución de seguridad para pagos con Código de Verificación Dinámico (DCV), que permite proteger tanto a bancos como a otros emisores de tarjetas del llamado “fraude de Tarjeta No Presente” ó CNP en línea. Esta solución de Valor de Verificación de Tarjeta (CVV) dinámico incluye una tarjeta EMV (Europay, MasterCard, Visa) con un display que usa la misma tecnología de tinta electrónica que los e-readers. De manera sincronizada (tal cual si se tratara de un token) la tarjeta genera códigos de verificación que cambian cada cierto tiempo. Este número cambiante (cada veinte minutos típicamente) reemplaza, y de manera imperceptible para el usuario, el tradicional código de verificación de tres cifras en la parte trasera de las tarjetas de crédito. También existe una versión para teléfonos móviles, que es la que está siendo usada por el BBVA de México, con tiempos de cambio de un minuto.
[youtube_sc url=»https://youtu.be/TnSoV4b5pF8″]“Tenemos que proporcionar Seguridad con Conveniencia. Con soluciones como éstas, donde el cliente no tiene un gran impacto, podemos lograrlo”, resume Haikewitsch.
