Whatsapp para Banca
Algunas instituciones que han tomado la iniciativa de utilizar Whatsapp (o la pasividad de no controlar su uso), se han visto obligadas a adaptar sus políticas ante la preocupación de las entidades reguladoras.
El uso inadecuado de WhatsApp ha estado en el centro de varios escándalos bancarios en los últimos años. Además de ser el motivo de multas millonarias ($2 billones de dólares en multas entre 12 de los bancos más importantes de USA en 2022) , también fue el motivo por el que algunos altos ejecutivos de empresas como Credit Suisse, Goldman y otros bancos importantes perdieron sus empleos.
Veamos algunas claves desde la perspectiva de los reguladores de EEUU y Europa.
WhastApp bajo la lupa de los reguladores estadounidenses
En EEUU la SEC (Securities and Exchange Commission) está investigando a entidades como JP Morgan, Citigroup, Goldman Sachs y HSBC por no monitorizar y almacenar las conversaciones en aplicaciones de mensajería no autorizadas. Las sanciones pueden llegar fácilmente a los 200 millones de dólares en cada caso.
¿Qué es lo que provoca la ira de los reguladores estadounidenses?
Si bien el uso de aplicaciones de comunicación no autorizadas (shadow IT) puede ser un dolor de cabeza para cualquier empresa, el problema es más agudo en las industrias altamente reguladas.
Los reguladores obligan a los bancos a mantener un registro de las comunicaciones relacionadas con el negocio de los empleados, para ayudar a combatir el fraude, el uso de información privilegiada, la manipulación del mercado y otras formas de mala conducta.
Incluso si la gran mayoría de los mensajes enviados son inofensivos, el uso de aplicaciones de mensajería social significa que los reguladores pierden visibilidad de lo que se dice, lo cual levanta sospechas sobre dicha conducta.
Esta obligación de monitorizar las comunicaciones y guardar un registro de ellas (desde 1930), ha llevado a convertirla en una prioridad para las instituciones financieras, motivando el incremento de vendors que dan este tipo de servicios de captura de conversaciones vía app de mensajería (guardRC, leap.expert, movius, telemessage…), que además prometen una separación total entre el uso personal y profesional del dispositivo, mediante warped-clients de Whatsapp. Otro tipo de proveedores ponen más foco en enriquecer la experiencia del usuario (p.e. Hubtype).
WhastApp bajo la lupa de los reguladores europeos
Más allá de USA, en Europa también se está vigilando el uso de este tipo de aplicaciones, de hecho el regulador alemán BaFin ha interrogado a Deutsche Bank sobre el tipo de métodos de comunicación que emplean sus trabajadores, con la finalidad de mejorar su capacidad de monitorización sobre ellos. También la FCA de Reino Unido, lleva desde 2021 presionando a las instituciones financieras para que vigilen el uso de aplicaciones no autorizadas.
¿Se puede utilizar Whatsapp para servicios financieros?
Sí, pero complementando su uso con otras herramientas que serán las encargadas de ofrecer el compliance y la seguridad que Whatsapp por sí misma no ofrece.
Los principales desafíos de seguridad en Whatsapp son inherentes a la propia naturaleza del servicio:
- Conversaciones y archivos compartidos almacenados en el dispositivo y accesibles a través del historial de la aplicación.
- La vinculación de la cuenta a un teléfono móvil (indispensable del lado del cliente), trae consigo riesgos asociados a fraudes basados en tarjetas SIM (phishing, wapping).
- Posibilidad de tener varios dispositivos activos al mismo tiempo (versión web y móvil), lo que supone un riesgo añadido de suplantación de identidad o intercepción de la información.
- El usuario está permanentemente logueado en la aplicación. La sesión de Whatsapp móvil no expira, la versión web puede estar varios días abierta… en resúmen, aunque puedes identificar fácilmente la cuenta de Whatsapp, no es tán fácil identificar a la persona que la está utilizando en cada momento.
Si tu intención es ofrecer servicios financieros a través de Whatsapp, deberás buscar un partner que te ayude con:
- Onboarding: soluciones como “progressive profiling”
- Login / logout: antes de empezar a compartir información sensible el usuario debe poder registrarse en la entidad bancaria para continuar con el servicio. Además debe poder cerrar la sesión para que nadie pueda aprovechar una desatención sobre el dispositivo para realizar nuevas operaciones sobre la sesión que está abierta.
- Autenticación multifactorial (MFA): tanto para el login, como para confirmar operaciones.
- Ofuscación de información sensible: ni el agente debe tener acceso a datos como el número de cuenta, balances, contraseñas, etc. ni es seguro que esta información permanezca accesible en el historial de la conversación.
- Cifrado de archivos con información sensible: aunque las comunicaciones sean cifradas E2EE, los participantes en la conversación podrían descargarse los archivos y acceder a ellos, por eso son necesarias medidas suplementarias como por ejemplo compartir PDFs protegidos con contraseña.
¿Hay alternativas mejores a WhastApp para el sector bancario?
En Quobis llevamos ya muchos años implicados en el desarrollo de las comunicaciones del importantes actores del sector bancario.
WhastApp, es una aplicación con un nivel de implantación y familiaridad tan elevado que los clientes y también muchos trabajadores (incluso directivos de alto nivel) presionan para usar este canal. Pero, el problema de WhastApp está en su propio diseño, ya que no ha sido concebido para su uso en entornos regulados, y para poder usarlo en dichos entornos es necesario añadir capas de tecnología de terceros, que añaden complejidad y costes sobre este servicio. Por otra parte, la falta de simetría en las interacciones vía WhatsApp Business, y los costes asociados al envío y recepción de mensajes, hacen que su conveniencia sea cuestionable más allá de las problemáticas de compliance existente.
Muchos bancos cuentan ya con sus propias aplicaciones móviles, con un aceptable nivel de penetración entre sus clientes. Este hecho, facilita la introducción de canales de comunicación en tiempo real en sus propias aplicaciones (comunicaciones in-app), conectadas con su centro de contacto e integrados en su red de comunicaciones; con todo el control sobre el contenido que se comparte en ellas. Los SDK de Quobis communications platform, agilizan este tipo de integración, permitiendo una experiencia de marca consistente (todo sucede en canales con el branding del banco) y toda la flexibilidad necesaria para garantizar el compliance tanto en comunicaciones de voz como de texto o vídeo.