La Lucha Contra el Fraude Telefónico en EE. UU.: Regulación y Autorregulación
La proliferación de las «robocalls» y el fraude telefónico ha impulsado una evolución constante en la regulación estadounidense, buscando proteger a los consumidores y asegurar la integridad de las comunicaciones.
Desde la década de 1990 hasta la actual TRACED Act (en la que se enmarca el mandato de la FCC sobre STIR/Shaken) se ha generado un volumen significativo de leyes y mandatos para combatir el spam telefónico:
Regulación norteamericana frente al fraude telefónico
Las normas norteamericanas siguen evolucionando poniendo cada vez más peso en la proactividad de las empresas que hacen uso de la red de telefonía americana a la hora de proteger a los consumidores de los fraudes.
1991 – Telephone Consumer Protection Act (TCPA)
Prohíbe el uso de marcadores automáticos sin consentimiento previo por escrito. Exige a las empresas mantener bases de datos de exclusión y obliga a las llamadas de telemarketing a incluir el identificador de llamada (caller ID), esto es no pueden ser llamadas anónimas. Además profundiza en la transparencia exigiendo a quienes llaman, que indiquen claramente su nombre, la organización a la que representan y un número de devolución de llamada o dirección donde se les pueda contactar para futuras comunicaciones.
2003 – Do Not Call Registry
La Comisión Federal del Comercio (FTC) creó este registro nacional para prohibir llamadas de ventas no deseadas a los números inscritos.
2017 – DNO (Do not Originate)
La US Federal Communications Commission (FCC), autoriza a los operadores a bloquear todas las llamadas originadas desde números de la lista DNO. Normalmente se trata de numeraciones dedicadas solo a recibir llamadas (inbound).
2019 – TRACED ACT
Esta ley, también conocida como «Telephone Robocall Abuse Criminal Enforcement and Deterrence Act», busca combatir las «robocalls» ilegales y proteger al consumidor de estafas del tipo como el «spoofing» o las “one-ring calls” que llevan al consumidor a devolver llamadas perdidas desde números que le causan un perjuicio económico. Introduce la obligación para los operadores de autenticar las llamadas mediante el framework STIR/Shaken.
2021 – Robocall Mitigation Database (RDM)
Es una base de datos establecida por la Comisión Federal de Comunicaciones (FCC) que requiere que todos los proveedores de servicios de voz presenten certificaciones que detallen sus esfuerzos para combatir las llamadas automáticas ilegales en sus redes.
Autorregulación, estandarización y provisión neutral de infraestructuras críticas para el sector
El marco jurídico norteamericano se complementa con multitud de iniciativas sectoriales que ponen sobre la mesa una serie de prácticas, que se convierten en normas de facto para la industria, a las que se adhieren importantes grupos de empresas, empujando la estandarización de plataformas privadas que organizan de alguna manera la actividad del sector.
Algunos ejemplos de esta intrincada regulación, con actores públicos y privados resulta en formas de autogobierno tan variadas como:
- Asociaciones de empresas: como ATIS, STI, CTIA o NCTA que son organizaciones donde las empresas del sector se agrupan voluntariamente para desarrollar estándares, mejores prácticas y autorregulación colectiva.
- Empresas privadas como actores neutrales de infraestructura para el resto del sector: empresas como Iconectiv o TCR, tienen un destacado posicionamiento como proveedores de infraestructura neutral, intermediarios técnicos y facilitadores de autorregulación. Evitan que cualquier operador controle solo servicios técnicos clave para el sector, y modera la necesidad de regulación gubernamental directa en aspectos técnicos.
Iniciativas Clave de la Industria
Varias entidades y plataformas juegan un papel crucial en la autorregulación y la lucha contra el fraude:
Secure Telephone Identity Governance Authority (STI-GA)
La STI-GA es una organización sectorial tiene un rol clave en la gobernanza del framework STIR/SHAKEN. Está liderado por diferentes empresas y organizaciones profesionales como Google, Microsoft, Comcast, Verizon, Incopas NCTA, CTIA.
Inconectiv
Iconectiv gestiona bases de datos críticas para la industria de las telecomunicaciones en USA: numeración, enrutamiento, portabilidad. En el contexto de STIR/SHAKEN esta organización en la única PA (Policy Administrator), es decir es la autoridad que garantiza que diferentes partes del proceso son confiables. , iconectiv aplica y hace cumplir los mecanismos diseñados para garantizar que los certificados digitales solo estén disponibles para proveedores de servicios autorizados y RespOrgs, según las normas definidas por el STI-GA.
Free Caller Registry
Free caller registry, es una iniciativa conjunta de los principales proveedores de servicios de analítica para operadores (los responsables de identificar por ejemplo comportamientos anómalos como el spam): First Orion, Hiya, and Transaction Network Services (TNS).
Es un servicio que permite a las empresas registrar sus números gratuitamente para que puedan ser incluidos en el “Do Not Call Registry”. Este registro ayuda a garantizar que sus llamadas no sean etiquetadas como spam por las principales operadoras de EE. UU.
The Campaign Registry
El Registro de Campañas es una base de datos de empresas conocidas y confiables que han registrado sus números para su uso en campañas de comunicación con clientes. Esta BD está gestionada por una empresa privada (TCR) que actúa como intermediario neutral entre carriers, empresas de mensajería y reguladores.
Los operadores móviles estadounidenses ahora exigen que todas las empresas registren sus campañas de SMS bajo un sistema conocido como A2P 10DLC. Este registro es obligatorio para cualquier organización que utilice un número de teléfono estándar de 10 dígitos para enviar mensajes de texto A2P (aplicación a persona), es decir, cualquier mensaje SMS enviado desde una empresa a un cliente.
Permite a los operadores de redes móviles (MNO) rastrear quién envió un mensaje 10DLC específico, lo que les permite comparar las afirmaciones con el comportamiento real de los mensajes. El registro ayuda a garantizar que los números de teléfono no sean bloqueados como spam por las principales operadoras estadounidenses.
Branded Caller ID (CTIA)
La CTIA (Cellular Telephone Industries Association) es la promotora de Branded Calling ID. Teóricamente es una asociación sin ánimo de lucro, que coordina el desarrollo del primer ecosistema de RCD (Rich Call Data) basado en estándares y liderado por actores de la propia industria de las telecomunicaciones en Estados Unidos. El objetivo es generar un sistema de branded call confiable.
Los partners asociados a esta iniciativa pueden desempeñar uno o varios de los siguientes roles:
- Onboarding Agent
- Vetting Agent
- Signing Agent
- Originating Service provider
La CTIA también proporciona una guía de buenas prácticas (Branded Caller ID Best Practices ) que garantiza la interoperabilidad y transparencia entre todas las partes implicadas en el proceso.
A pesar de estar fundamentado en los estándares de STIR/Shaken norteamericano, que propone la existencia de una decena de CAs diferentes, la CTIA posiciona a SecureG como única autoridad certificadora para Branded Calling ID. Teniendo en cuenta que los 3 operadores principales apoyan esta iniciativa (AT&T, Verizon, T-Mobile), se puede apreciar en este punto una concentración de poder (como CA) en una única empresa, relegando al resto de CAs del país a usos en los que las llamadas de marca no existan.
Parece que, a pesar de que la regulación formal de la FCC tiende a una descentralización de los mecanismos de control, la propia industria tiende hacia la concentración en determinados puntos, como mecanismo que garantiza la interoperabilidad entre los diferentes actores.
