¿Cómo restituirían su dinero los bancos afectados por el ciberrobo?

El banco con sede en Omán Bank of Muscat perdió 40 millones de dólares y el de Emiratos Árabes Unidos National Bank of Ras Al Jaimah PSC (RAKBANK) perdió otros 5 en la estafa global, dijeron el jueves fiscales estadounidenses.
Los piratas informáticos Hackers usaban datos de tarjetas de débito conseguidos a través de transacciones realizadas con otras compañías.

Los expertos dijeron que los bancos podrían llevar a estas compañías a los tribunales o contra sus propias aseguradoras o las de esas compañías.

"No hay una regla clara y rápida", dijo Dan Karson, el presidente de Kroll Advisory Solutions en América. "Estamos en una nueva esfera de las finanzas, y determinar la responsabilidad es algo que todavía está evolucionando", dijo.

Las denuncias de los bancos contra las compañías dependen de los contratos entre ellos, dijeron los expertos. Esos contratos incluyen estándares de seguridad del sector que exigen las principales redes de pago por tarjeta, en este caso MasterCard.

En muchos casos de fallos de seguridad, la compañía que procesa el pago no cumple con esos estándares, dijo Doug Johnson, vicepresidente de gestión de riesgos de la Asociación Americana de Banqueros.

Pero incluso si falla el proveedor, los bancos puede que tampoco logren su dinero, porque los contratos entre bancos y los procesadores de los pagos normalmente limitan la capacidad de endeudamiento de los segundos, según los términos establecidos por compañías de tarjetas como MasterCard o Visa.

"El banco puede tener pocos recursos frente al procesador de la tarjeta", dijo Michael Klaschka, de Integro Insurance Brokers, que tiene a muchas instituciones financieras como clientes.

En el golpe contra Bank of Muscat, el procesador es enStage, con sede en Cupertino, California, dijo una fuente cercana al banco.

Bank of Muscat dijo en un comunicado que examinaba todas las opciones para recuperar su dinero.

Responsables de enStage no respondieron a las peticiones de comentarios el sábado. El consejero delegado de EnStage, Govind Setlur, dijo en un comunicado en el Times of India que su compañía había implementado mejoras de seguridad desde el ataque.

En el caso de RAKBANK, el procesador es la india ElectraCard Services, según personas familiarizadas con la situación. ElectraCard Services dijo en un comunicado el domingo que los datos parecía que habían sido comprometidos fuera de su "entorno de procesamiento".

MasterCard dijo que coopera con las autoridades en la investigación y dijo que sus sistemas no se vieron comprometidos.

Los bancos aún pueden demandar a las procesadoras por negligencia u otros cargos, pero su éxito dependerá de los límites de sus contratos, que contemplan multas específicas y procedimientos específicos por disputas exigidas por parte de las compañías de tarjetas.

Pero estas demandas son difíciles de ganar, dijo Joseph Burton de la firma legal Duane Morris en San Francisco, un experto en litigios financieros. Los tribunales federales de Estados Unidos generalmente, aunque no siempre, han fallado que los bancos están sujetos a sus contratos.

Bank of Muscat y RAKBANK también podrían pedir a sus aseguradoras que paguen.

Algunas entidades financieras tienen cobertura adicional para los ciberdelitos, aunque los expertos dicen que este mercado no está maduro. Se desconoce si Bank of Muscat o RAKBANK tenían pólizas que cubrieran esto.
Las aseguradoras, a cambio, podrían denunciar a las procesadores o al revés.

"Es posible que el banco pueda quedarse en medio", dijo Frederick Rivera de la firma legal Perkins Coie, un experto en litigios de servicios financieros en EEUU.

Un factor que complica las cosas es que los bancos están en Oriente Próximo, mientras que una de sus procesadoras está en India, lo que no aclara qué tribunales tienen jurisdicción, pero los expertos dicen que los requerimientos que las compañías de tarjetas imponen a los bancos y procesadoras son globales.

Los fiscales también buscarán que los detenidos restituyan el dinero, aunque la cantidad de fondos recuperable probablemente no se acercará a la suma total del robo.

El Departamento de Justicia de EEUU acusó a ocho personas que habían retirado efectivo en Nueva York, y los fiscales inmovilizaron cientos de miles de dólares en efectivo y cuentas corrientes, junto con relojes de lujo y un deportivo Mercedes.

Pero los detenidos en EEUU sólo eran parte del robo coordinado en todo el mundo en el que se retiraron millones de dólares en cajeros en 27 países desde diciembre hasta febrero, y no se conoce dónde están los cabecillas del robo.

Los fiscales dijeron que la banda se centraba en tarjetas de débito emitidas por los dos bancos, utilizando a piratas informáticos que entraban en la compañía de procesamiento de pagos para conseguir limitar los límites de las tarjetas.

El golpe no ha comprometido la cuenta de ningún particular, al contrario que en los casos de suplantación de identidad.

Reuters