Digitalización financiera, COVID 19 y ciberdelincuencia
Desde que se desato la pandemia del COVID 19 hemos destacado en este blog que, en un mundo que ha obligado a confinar y alejar físicamente a unas personas de otras, la digitalización de nuestro ocio y de nuestro trabajo se ha impuesto como una auténtica “ley de hierro” que ha pasado de ser una oportunidad a convertirse en una necesidad inaplazable. En particular, el mercado financiero ya opera en el presente y lo hará en mayor medida en el futuro, básicamente, a través de las tecnofinanzas (Fintech) y los tecnoseguros (Insurtech) (a este fenómeno de la aceleración de la digitalización a resultas de la pandemia del COVID 19 nos hemos referido con frecuencia en este blog, valiendo como último ejemplo la entrada del pasado 17 de noviembre sobre “FINTECH: Ley 7/2020 para la transformación digital del sistema financiero: Espacios controlados de pruebas (“regulatory sandbox”) y otras medidas de innovación en las tecnofinanzas”).
Si avanzamos en nuestro razonamiento, verificamos que esta digitalización obligada del mercado financiero mediante las tecnofinanzas (Fintech) es bivalente porque ofrece, como todo fenómeno:
a) Aspectos positivos o nuevas oportunidades de negocio beneficiosas tanto para los intermediarios financieros como para los consumidores de productos o servicios financieros (p.ej. los contratos inteligentes o “smart contracts”) y
b) Aspectos negativos o nuevos riesgos, como, p.ej., los derivados de las actividades, dispositivos o procesos físicos o virtuales gobernados por sistemas de IA que -tal y como señalaba el PE en su Resolución de 20 de octubre de 2020- «pueden ser técnicamente la causa directa o indirecta de un daño o un perjuicio (…) casi siempre son el resultado de que alguien ha construido o desplegado los sistemas o interferido en ellos; (…) la opacidad, la conectividad y la autonomía de los sistemas de IA podrían dificultar o incluso imposibilitar en la práctica la trazabilidad de acciones perjudiciales específicas de los sistemas de IA hasta una intervención humana específica o decisiones de diseño” (apartado 7) (ver la entrada de este blog del 13 de noviembre sobre “Digitalización financiera: Los 3 principios regulatorios de una Inteligencia Artificial Responsable (IAR) en la UE. Resolución del Parlamento Europeo de 20 de octubre de 2020 sobre la responsabilidad civil en materia de inteligencia artificial”).
La pandemia del COVID 19 esta facilitando que estos últimos riesgos de ciberdelincuencia se conviertan en siniestros que están causando daños a numerosos inversores desavisados. Las consecuencias se traducen, jurídicamente, en términos de responsabilidad civil, administrativa o penal de sus autores. En particular, la responsabilidad civil se concreta en el derecho que tienen los inversores a ser indemnizados por los operadores financieros que causan los daños patrimoniales medienta el uso de herramientas digitales.
La advertencia de la CNMV de 18 de noviembre de 2020 sobre nuevos fraudes informáticos en el mercado financiero al calor del COVID 19
Por lo anterior, nos parece particularmente oportuna la “Iinformación al inversor” titulada “La CNMV alerta de nuevas estrategias informáticas de los chiringuitos financieros” que la CNMV ha publicado el 18 de noviembre de 2020 como una muestra más, del utilísimo servicio público que, especialmente con su actual Presidencia, viene desarrollando la CNMV.
En concreto, la publicación informa de que, en los últimos meses, la CNMV esta recibiendo testimonios de inversores españoles sobre el uso de nuevas herramientas informáticas por parte de los conocidos como chiringuitos financieros -que son entidades que prestan servicios de inversión sin autorización y no están inscritas, por lo tanto, en los registros de este organismo- que les ha provocado importantes pérdidas en el patrimonio invertido, como resultado de las operaciones realizadas o por lo infructuoso de sus intentos por recuperar el saldo de sus cuentas de valores.
En particular, los testimonios recibidos por la CNMV se centran en el recurso a dos herramientas que las condiciones derivadas de las medidas adoptadas con motivo de la Covid-19 han popularizado: el software de acceso remoto (como AnyDesk, LogMeIn, TeamViewer, etc.) y las redes privadas virtuales (servicios de VPN).
Software de acceso remoto
Este tipo de herramienta permite conectarse de forma remota a los diferentes dispositivos de los usuarios (ordenadores, teléfonos móviles, etc.) para, entre otros servicios, poder acceder los propios usuarios a sus dispositivos a distancia, desde otro terminal, o para gestionar, por parte de terceros, problemas informáticos detectados.
Se ha detectado que los chiringuitos financieros están recurriendo a estas herramientas para conectarse al dispositivo de un inversor y apropiarse de datos (como códigos de acceso o contraseñas) que les permiten, posteriormente, operar sobre las cuentas de valores del inversor, sin contar con la autorización expresa de este. En ocasiones, es el propio chiringuito financiero el que invita al inversor a instalar previamente una aplicación de acceso remoto específica, pero a veces puede utilizar alguna de las disponibles en el ordenador del propio inversor.
Una vez que el chiringuito financiero está conectado de forma remota al dispositivo del inversor, le solicita a este que inicie una sesión en la página web a través de la que presta indebidamente sus servicios de inversión, captando los códigos de acceso necesarios para operar posteriormente en la cuenta de valores del inversor. Otras veces, de forma más directa, le solicita al inversor que aporte sus claves de acceso a las cuentas de valores.
El uso indebido de este software de acceso remoto, además de las consecuencias que pueden derivarse para los inversores -comunes al resto de herramientas que utilizan los chiringuitos financieros- dificulta las investigaciones que se pudieran realizar, en sede policial o judicial, en relación con la identificación del ordenante de las operaciones realizadas.
Lo anterior vienen a ser nuevas modalidades de una práctica que, pese a su sencillez e ingenuidad, sigue provocando víctimas en el entorno de los chiringuitos financieros, la de facilitar a terceros las claves de acceso a las cuentas bancarios o de valores, sobre cuyos riesgos considera la CNMV que es necesario insistir.
Red privada virtual (Servicios VPN)
Los servicios VPN se pueden utilizar para, entre otras funciones, ocultar la dirección de Internet (conocida como IP), que actúa a modo de un identificador público de cada dispositivo informático en Internet. Este identificador es único para cada dispositivo y permite conocer, entre otros elementos, su ubicación geográfica.
Algunas entidades -para no ser caracterizadas como chiringuitos financieros que ofrecen servicios de inversión a inversores españoles- bloquean el acceso a sus páginas web a IP procedentes de España. No obstante, la CNMV ha recibido testimonios de inversores a los que algunos chiringuitos financieros, por vía telefónica, han propuesto utilizar servidores VPN, lo que permite ocultar o simular la IP de sus dispositivos informáticos, de forma que las páginas web a través de la que los chiringuitos financieros ofrecen sus servicios no identifiquen la procedencia real del inversor y pueda eludir el bloqueo mencionado, que se convierte en solo aparente.
Finalmente, la CNMV insiste en la recomendación de no operar más que con las entidades autorizadas para prestar servicios de inversión que figuran en la sección “Consultas a los Registros Oficiales” de la página web de la CNMV (www.cnmv.es), Asimismo, en dicha página web se pueden consultar las entidades que han sido objeto de una advertencia, por parte de la CNMV u otro regulador extranjero, por haberse detectado que prestaban servicios de inversión de carácter reservado sin contar con la autorización preceptiva.