La imputación no era menor: Beat condicionaba el uso de su servicio a la aceptación de transferir datos personales para fines publicitarios. “A los pasajeros y conductores no se les ofrece la opción de negarse a que se realice tratamiento ajeno a la ejecución de la relación contractual como recibir propaganda propia o de terceros, compartir datos con adquirentes de carteras crediticias, aliados comerciales, entre otros”, acusaba la DFI en la resolución de primera instancia de enero del 2021.
Para defenderse, Beat aseguró que, una vez que los titulares de los datos aceptaban esa transferencia, podían “revocar dicho consentimiento” escribiendo al correo colombiano de la empresa o acercándose a su local en Miraflores. Además que, para permitirlo, los usuarios marcaban un recuadro –conocido como checkbox– que decía explícitamente “autorizo el envío de comunicaciones referidas a promociones” al registrarse en la app.
Esto no convenció a la ANPD que, por lo contrario, fue durísima contra la empresa en su resolución. “Se ha evidenciado beneficio ilícito resultante de la comisión de las infracciones a sancionar” y “no se ha evidenciado la intención de la administrada por adecuar su conducta a la normativa de protección de datos personales” son algunas de las afirmaciones que el organismo utilizó para sancionar finalmente a Beat con 4.5 UIT.
La empresa de taxi por aplicativo apeló en febrero del año pasado utilizando el mismo argumento que usó Pacífico: el PAS había caducado. También reclamaron el aumento de la sanción, que en 2019 fue de 3 UIT, por la misma infracción. Estos argumentos fueron desestimados por la ANPD, que también en este caso dijo que debido a la pandemia se extendieron los plazos.
Sobre el aumento de la sanción, la ANPD no solo destaca la reincidencia de Beat en la falta, sino su poco interés por subsanar la infracción. “No se ha evidenciado la intención de la administrada por adecuar su conducta a la normativa de protección de datos personales, es más, a través del recurso de apelación reafirma sus argumentos referidos a que no es necesario un checkbox para un consentimiento libre”, dice la sentencia que confirma la multa.
En respuesta a Sudaca, la empresa solamente señaló, sin mayor mea culpa: “Queremos comentar que el día 26 de julio de 2022 hemos realizado el pago correspondiente, por lo cual desestimamos continuar con el proceso legalmente”.
A diferencia de Pacífico, Beat registra menos amonestaciones en Indecopi. El ranking de proveedores sancionados marca que solo tiene tres sanciones. Sin embargo, llama la atención que dos de ellas son bastante altas. Ambas se dieron en 2019: la primera es de 83.20 UIT por incumplimiento de servicio y la segunda de 23.80, UIT por falta de idoneidad en transporte de pasajeros. Eso, al valor de ese año, representaba S/ 449,400. Mucho más de lo que abonaron a la ANPD.
Así es cómo ciertas empresas hacen negocio con tus datos. Sin avisarte, condicionando sus servicios y cubriéndose con el grupo empresarial al que pertenecen. Tal vez no sean las únicas. La ANPD tiene procesos abiertos contra otras empresas, como Renzo Costa. Habrá que ver cómo terminan.
Una tarjeta de crédito del BBVA, otra estafa más bajo la modalidad del “falso courier” y una carta del banco con un cuestionable intento de cobranza. Son los ingredientes de una pesadilla y así, tal cual, lo vivió hace tres meses Marilyn Cáceres, de 29 años.
Cáceres cuenta que las llamadas del BBVA empezaron en enero pero que se hicieron más frecuentes en abril. ¿El objetivo? Venderle una tarjeta de crédito. “Un día me encontraron ‘haciendo hora’. Estaba esperando a una persona, estaba con tiempo, sentada, y presté atención a lo que me ofrecían [vía telefónica]”. Era una tarjeta Visa Cero y una línea de crédito de S/ 3.600. Aceptó.
La operadora le indicó que llegaría un courier a su casa a entregar la tarjeta en un sobre sellado, y así fue. En los siguientes días empezaría otro round de llamadas, pero esta vez para saber si ya había cambiado la clave provisional que venía con la tarjeta, si ya la había utilizado y cómo había sido su experiencia. Marilyn no lo sabía, pero en esta ocasión se trataba de una falsa operadora.
“Yo le dije que no había podido salir de casa por falta de tiempo, porque tengo tres niños pequeños”, relata Marilyn. La falsa operadora buscaría entonces darle un motivo para que decidiera anular y devolver la tarjeta. “Recuerde que usted tiene que utilizarla al menos una vez al mes y si no, tendrá que pagar un monto […] ¿Le dijeron que tiene que pagar una membresía?”, recuerda que le preguntaron y que preocupada precisó que no. “Parece que a usted no le han informado bien. En todo caso, ¿desearía anular la tarjeta?”. Ella respondió positivamente.
Marilyn eligió el recojo de la tarjeta vía courier sin saber que acababa de caer en las redes de estafadores. El 13 de abril entregó el sobre con la tarjeta al mensajero; no había cambiado la clave secreta que venía en el sobre, por lo que los delincuentes la tenían fácil. Ese mismo día realizaron el pago de un servicio por S/ 1.722 y extrajeron S/1.800 del cajero.
¿Por qué la clienta del BBVA creyó que efectivamente estaba hablando con alguien del banco? Marilyn afirma que su interlocutora conocía una cantidad de datos sobre ella que le dieron confianza: el tipo de tarjeta contratada y cuál era su línea de crédito, además de su dirección y DNI.
Hoy tiene una deuda que supera los S/ 4.000, y un banco que no cesa en exigir el pago a través de llamadas y correos. Ha recibido más de 30 correos de cobranza, pero el último causó en ella mayor preocupación: además de informarle que de no pagar iniciarían un proceso judicial, la carta incluía este párrafo:
«Paralelamente, también se procederá a reportar la morosidad de su crédito ante la Superintendencia de Banca y Seguros. Dicha central de riesgo es consultada por empresas, tiendas comerciales, cajas municipales y otras entidades del Sistema Financiero, de esta manera estando registrado su nombre en ella, usted no podrá acceder a nuevos créditos».
«Esa es una frase que induce al error al usuario, porque no es verdad», asevera Paul Castro, abogado especialista en derechos del consumidor. Tener un retraso en el pago de una deuda no cierra automáticamente la puerta para acceder a otros créditos, como afirma el BBVA en su carta. «El análisis que hacen las entidades financieras es un análisis individual, persona por persona», explica.
El especialista en regulación financiera Carlos Martínez coincide. “Que una entidad financiera privada, regulada, nos indique que definitivamente no se va a poder acceder al crédito es claramente una amenaza. Una amenaza que en esta coyuntura [la pandemia] es mil veces más grave que si estuviéramos hablando de años anteriores”, explica.
”[Brindar] esta información falsa es cargar de preocupación al cliente y tendría que ser considerado como un agravante por cualquier autoridad que vaya a dirimir sobre este caso”, agrega Martínez.
«Hay un antecedente inclusive, la resolución 119-2016/CC3 del Indecopi», agrega Paul Castro. Allí, la evaluación del Indecopi respecto de la Caja Metropolitana fue la siguiente: “(…) se pudo verificar que la CAJA MUNICIPAL DE CRÉDITO POPULAR DE LIMA S.A. habría empleado métodos abusivos de cobranza, al remitir a sus clientes cartas que contienen información inexacta y que induce a error al afirmar que un eventual reporte ante las centrales de riesgo, les impediría solicitar y acceder a créditos en cualquier entidad del sistema financiero”. Una evaluación que fue corroborada e implicó una multa de 8 UIT en segunda instancia por “emplear métodos abusivos de cobranza”.
¿Qué dice el BBVA?
Reconoce la veracidad de la carta (ver respuesta) y luego arguye una salida que cuestiona la comprensión lectora de cualquiera. Sostiene que en su carta solo se refiere a “nuevos créditos” otorgados por el mismo BBVA:
“Efectivamente, un cliente que está en una central de riesgo puede solicitar financiamiento en cualquier entidad financiera, que la evaluará de acuerdo a sus criterios y políticas comerciales.
Debemos aclarar que el tenor de dicha carta expresa la posición de BBVA frente a la cliente. Es decir, de contar con esta clasificación, no podrá recibir nuevos créditos de nuestra entidad. No representa ni corresponde a una postura o comentario a nombre del sistema financiero en general, puesto que la carta se refiere a la especial relación de crédito entre nuestra entidad y el cliente”.
Ello aun cuando en su carta dirigida a Marilyn Cáceres, el banco enlista una serie de entidades en referencia: “empresas, tiendas comerciales, cajas municipales y otras entidades del Sistema Financiero”. Y agregan, como ya hemos citado: “de esta manera estando registrado su nombre en ella [la central de riesgo], usted no podrá acceder a nuevos créditos”.
“Van a aludir quizá [en un eventual proceso ante Indecopi] que es una falla del lenguaje, pero no, no lo es. Es clara la intención”, apunta Martínez. En su opinión, “el hecho más relevante a determinar es si estas cartas están siendo enviadas de forma masiva en ese formato”, dado que sea directamente o a través de una empresa tercerizada, las entidades financieras cuentan con modelos preestablecidos de sus comunicaciones con los clientes. Sostiene que de haber llegado a más personas, el Indecopi podría iniciar una denuncia de oficio o las asociaciones de consumidores podrían hacerlo de una manera colectiva.
¿Qué posibilidad hay de que el BBVA haya incurrido en la afirmación errónea de manera masiva?, preguntó Sudaca a la entidad financiera.
“Los modelos de carta tienen pautas generales, de acuerdo a cada una de las tipologías de comunicación, pero cada caso se analiza individualmente. En este caso, la respuesta de BBVA se refiere a la situación puntual del cliente frente a nuestra entidad”, sostiene el banco.
Mientras tanto, Marilyn continúa con la deuda a cuestas y con más correos de cobranza en su bandeja de entrada. Mediante un reclamo, explicó al banco que ella no realizó los consumos sino que fue víctima de una estafa, pero el BBVA declaró su reclamo “No procedente”. “Es obligación del titular de la tarjeta utilizarla de manera exclusiva y mantener en secreto su clave”, adujo la entidad en su respuesta.
El banco confirmó a Sudaca que los operadores de telemarketing continúan trabajando desde sus casas, tanto aquellos que pertenecen al banco directamente como a terceras empresas contratadas. Al menos hasta diciembre último, las medidas de seguridad para esta modalidad de trabajo eran un software que no permite la entrada de un USB para descargar información de la computadora y la grabación de las llamadas. Pero no mucho más.
¿Cómo evitar, por ejemplo, una intervención externa como una fotografía a los datos? «Trabajamos con la buena fe de las empresas que representan al BBVA», aseveró en aquel entonces el banco (ver entrevista). Al parecer, no ha sido suficiente.
Aunque los bancos no abren los domingos, esta entrevista ocurrió en la sede central del BBVA Perú, el 13 de diciembre por la mañana. Dos días antes, Sudaca reveló que clientes del banco eran robados por estafadores con un poder de conocimiento singular: sus líneas de crédito, tipos de tarjetas adquiridas, y el día y la hora en que les fueron entregadas. Puede leer el artículo completo en este link. El banco aceptó entonces dar la entrevista que antes había descartado.
Víctor Mendoza, principal manager del Área de Prevención de Fraude, respondió las preguntas de este medio sobre la modalidad de estafa que ha cobrado gran visibilidad durante las últimas semanas y que pone en escena a una falsa teleoperadora del banco y un falso courier. Mendoza lleva 18 años como parte del BBVA Perú y lidera las todas investigaciones de fraudes que afectan a la entidad financiera.
¿Cuándo empezaron a recibir los primeros reclamos sobre esta modalidad de estafa del falso courier?
Los reclamos figuran en la página web del banco pero, haciéndote un bosquejo, estos casos ya tienen aproximadamente un año, un poco más. El BBVA no tiene muchos reclamos con relación a esta tipología, pero los invito a que accedan a nuestra página web, está publicada ahí la cantidad de casos. Hemos coordinado también directamente con las autoridades en relación a esto y nos estamos enfocando mucho en la enseñanza a nuestros clientes, a que ellos mismos también participen con nosotros con las medidas de seguridad.
He accedido a la sección que menciona de la web, y este tipo de estafas entraría en la categoría de operaciones no reconocidas, que aparece sin desglosar. Dentro de esa categoría, ¿cuántos casos de estafa de la modalidad del falso courier han mapeado?
El número sería bueno evaluarlo y proporcionarlo mediante un correo, mediante un escrito. Ahora, en esta entrevista, no te podría hacer llegar un porcentaje de cuántos reclamos por esta tipología tenemos. Pero sí nos podemos comprometer a precisarlo mediante un correo electrónico. Lo que sí te quería decir es que cada caso se evalúa en particular: qué pasó, qué tipo de cliente, para dar una respuesta personalizada a nuestros clientes con relación a esta tipología.
[Nota de Sudaca: Al cierre de esta edición, el BBVA Perú no proporcionó el número de reclamos sobre la modalidad del falso courier reportados por sus clientes. Ya lo habíamos preguntado también en una primera ocasión el 7 de diciembre, vía cuestionario escrito]
¿Han hecho o piensan hacer una investigación transversal a todos los casos reportados de esta modalidad de estafa? ¿Tienen conclusiones?
Siempre estamos haciendo una investigación exhaustiva de eso y en la actualidad también nos encontramos inmersos en una investigación sobre lo que acabas de mencionar.
¿Pero podría contarle a la gente cuáles son las conclusiones?
Claro que sí. Como te había mencionado, cada caso es distinto al de los otros clientes, pero en la misma modalidad. Estamos investigando desde un inicio cómo se entregó esa tarjeta, qué courier entregó y todas las medidas de seguridad que tienen las empresas que trabajan con nosotros como son las de las fuerzas de ventas y el courier, pero sí estamos haciendo una investigación interna. Había leído en la nota lo del tema de fuga de información y quiero dejar claro que eso lo niego tajantemente, porque el banco siempre está en continuas auditorías y sobre todo en investigaciones internas. Negamos ello. No existe una filtración de información. Ninguno de nuestros proveedores podría realizar este tipo de entrega de información. Por ello las visitas y las auditorías, y sobre todo los contratos que tenemos con ellos de cláusulas de penalidad.
¿Exactamente cuál es la teoría del banco sobre cómo los estafadores acceden a estos tres datos: línea de crédito, el tipo de tarjeta que acabas de adquirir, y el día y la hora en que fue entregada?
Dos respuestas. La primera es que desde que nosotros le ofrecemos un producto a nuestro cliente, cuando lo contactamos le solicitamos su autorización con relación a su información. Es decir, su nombre, su dirección y su teléfono. Antes de ofrecerle nuestro producto, ellos nos confirman la autorización [para tratar] esta información, y ahí procedemos a la venta de un producto.
En el segundo eslabón, cuando nuestro cliente va a recibir una tarjeta, solamente él sabe qué tipo de tarjeta va a recibir. La persona que entrega, el courier, no sabe ni la línea de crédito, ni el tipo de tarjeta. [Todos] somos diferentes tipos de clientes para el banco, de acuerdo a la calificación que podamos tener en la Central de riesgo [de la Superintendencia de Banca] o en distintos bancos. Entonces, la línea y el tipo de tarjeta solamente lo conoce el cliente, no la persona que entrega ni que se contacta a ofrecerle un producto al cliente. Y con relación a la información que el cliente le proporciona a estos delincuentes, hay que tener muy en claro también que nosotros como banco, a la par que estamos muy preocupados, también somos víctimas de esto porque están tocando a lo más importante para nosotros, que son nuestros clientes.
Cuando te llaman para ofrecerte una tarjeta, por supuesto que sí te especifican cuál sería tu línea de crédito. En base a eso es que uno acepta. Eso lo pueden cotejar los lectores. Por otra parte, las llamadas de estafa se dan luego de que el cliente ya recibió la tarjeta, y sabe que el banco tiene un registro de cuál ha contratado cada persona, qué línea de crédito se le ha otorgado y también en qué momento. Al contestar la llamada y escuchar estos datos, esta información juega un poder de convencimiento importante.
Pero le entregan al final la tarjeta, pues. O sea, ahí se desvirtúa un poco lo que tú bien indicas. La hipótesis se desvirtúa totalmente porque al final el cliente entrega la tarjeta y la clave.
La entrega evidentemente se da, sino no se efectuarían las estafas y no estaríamos hablando de ellas. Pero el caso no es ese, sino que se da precisamente porque quien llama tiene esa información sensible previamente. Aparte, la pandemia juega un rol importante. El estafador le dice al cliente que hay un concepto nuevo por el que debe pagar, este se muestra inconforme. “Si usted no desea el producto, puede anular la tarjeta pero debe debe devolverla a la sede central”. El cliente expresa que no desea arriesgarse a un contagio de Covid-19 y el interlocutor le ofrece, como un favor, enviar un courier. Entonces la persona acepta.
Nosotros tenemos más de cuatro millones de tarjetas a nivel nacional. Entonces ahí se desvirtúa un poco el que se pueda filtrar alguna información o de que el banco no ponga de conocimiento a nuestros clientes las medidas. Es decir, antes de ofrecerte el producto, también se le señala al cliente que el banco jamás llama a solicitar la entrega de la tarjeta, el banco lo que hace es ofrecerte un producto, pero yo jamás te voy a llamar para que tú me entregues ese producto, jamás, ni por teléfono, ni por mensaje, ni por mail.
¿Cuál es su hipótesis, entonces, sobre cómo los estafadores obtienen los datos que le he mencionado [tipo de tarjeta, línea de crédito y fecha en la que fue contratada]?
Nuestra hipótesis es que estos delincuentes están totalmente preparados [para engañar], que persuaden a nuestros clientes para que [les] brinden alguna información confidencial.
¿Los tres datos, según su hipótesis, estarían siendo entregados por el cliente sin darse cuenta? Eso no es lo que arroja la sistematización de varios casos que hemos recogido en detalle.
Es la ingeniería social que los delincuentes tienen para sacarles esa información a nuestros clientes.
Sobre el tema del telemarketing, entiendo que tienen un área interna del banco y que además tercerizan el servicio.
Tenemos un área interna y también externa. Nos valemos, como te había comentado al inicio de esta entrevista, de contratos y de cláusulas de penalidad con relación a la información de nuestros clientes para ofrecer los productos del BBVA. Y siempre están en constante auditoría, siempre están en constante visita, en capacitación.
Entonces, en cuanto a los teleoperadores que trabajan desde el banco y las medidas de seguridad que siguen. ¿Tienen cámaras en los espacios donde ellos trabajan? ¿El software que utilizan por qué sería seguro?
Si es dentro del banco, sí existe el tema de las cámaras y las medidas de seguridad que podamos tener con relación a la información de los clientes. Pero ahora por la pandemia, la mayoría está haciendo un teletrabajo dentro de la casa y ahí es lo que te vuelvo a mencionar los software de seguridad que podemos tener. Todos nuestros sistemas están bloqueados, nadie puede inyectar un USB en la computadora para poder sacar algún tipo de información. Nadie, ni el que te habla tiene acceso a ingresar un USB en la computadora. Está prohibido. Ni el gerente general del banco puede acceder.
Entonces, esto es en cuanto a medidas de seguridad de los teleoperadores que trabajan acá en las oficinas del banco.
Acá o en la empresa tercerizada que se puede contratar.
En ambos casos, las medidas de seguridad son: las cámaras, un software que no permite la entrada de un USB para descargar la información y la grabación de las llamadas. Eso suena a que puede funcionar en un espacio como el banco, incluso en un call center. Pero, ¿cómo resguardan ese mismo nivel de seguridad en las casas de los teleoperadores, donde no tienen cámaras? Porque no las tienen, ¿verdad?
No.
¿No tienen cámaras y tampoco uno no puede saber si está utilizando el computador con ese software que evita las descargas?
Tiene que usar ese computador porque se tiene que loguear, tiene una identificación. Tú no abres tu computadora, la prendes y trabajas. Tú tienes que poner tu clave, tienes que poner tu contraseña y tienes que entrar a este software especial. Es decir, tú no puedes alegremente decir: yo voy a trabajar desde el Ipad de mi hijito, eso no se puede hacer.
¿Cómo evitar, por ejemplo, una intervención externa como una fotografía a los datos? ¿Ese tipo de cosas pueden controlarse en el caso de un teleoperador trabajando desde casa?
Esa analogía que haces, la verdad, no la compartimos como BBVA, dado que hasta los mismos colaboradores que trabajan en nuestras oficinas tienen acceso a información. Pero por ello, ahí va el tema de la enseñanza y de la seguridad que le brindamos a nuestros clientes, para que tengan total conocimiento de este tipo de modalidades [de estafa].
Nosotros tenemos oficinas a nivel nacional, nuestros ejecutivos y colaboradores también tienen acceso a la información de nuestros clientes, pero no tenemos ni un caso, menos aún de esto, de que se filtre información dentro de la casa y menos de los proveedores que trabajan para nosotros, por las cláusulas de penalidad que te digo. O sea tú me dices que pueden acceder, pueden tomar una foto, pero en las oficinas también podría pasar ello, pero no pasa debido a que también tenemos las medidas de seguridad correspondientes con nuestros clientes.
¿El banco no evaluó incluir, por ejemplo, una nueva cláusula a los contratos que dijera que por seguridad del cliente los teleoperadores no trabajarían desde casa, aunque eso significase reducir las fuerzas de ventas y vender menos tarjetas?
Desconozco si se ha evaluado eso o no, pero nosotros trabajamos con la buena fe de las empresas que representan al BBVA, en este caso, para ofrecer determinados productos.
En el caso de los clientes que realizaron un plantón en esta sede central el 2 de diciembre, a algunos se les han anulado las deudas generadas por las estafas. ¿Por qué han necesitado firmar acuerdos extrajudiciales y qué condiciones contienen estos?
Nosotros no exigimos nada, simplemente en la transacción le decimos al cliente que estamos llegando a un acuerdo con él, pero no hay ninguna exigencia y tampoco se le obliga al cliente a firmar la transacción. Se invita, se conversa con el cliente, se llega a un acuerdo y se firma un documento en que conste dicho acuerdo, a eso se le denomina una transacción.
¿Habría algún problema con conocer el texto de esos acuerdos extrajudiciales o hay una cláusula de confidencialidad en ellos?
Es que tendría que ver la transacción. Como te digo, eso lo ha manejado directamente servicios jurídicos.
El zumbido no cesa sobre la mesa. Es el sonido de la insistencia. Un nuevo intento por ‘colocarle’ otra tarjeta de crédito del BBVA. Agotada, Jennifer Romero (25 años) cede y contesta la llamada. Del otro lado, una voz le indica que tiene aprobada una línea de crédito mayor a la que ya tenía con el banco. Se trata de la tarjeta VISA Bfree que, además, en su caso, no requerirá el pago anual de membresía. La joven ingeniera acepta. Son los primeros días de agosto.
Los bancos suelen tercerizar el servicio de telemarketing: la tarea de ofrecer sus productos financieros vía llamada telefónica. De hecho, entre los ‘contact centers’ –como se conoce a las empresas de este rubro–, los bancos están entre los clientes más codiciados, por el volumen de sus cuentas. Quien acaba de convencer a Jennifer Romero debe pertenecer a alguno de los‘contact centers’ contratados por el BBVA Perú (el nuevo nombre del antiguo BBVA Banco Continental, cuya propiedad comparten la familia Brescia Cafferata y el grupo español Bilbao Vizcaya Argentaria).
Luego de aceptar la tarjeta, Jennifer pide recogerla en la oficina del BBVA en Plaza Lima Sur, que le queda cerca de casa. La mujer al otro lado de la línea, sin embargo, le plantea la opción del envío por courier e insiste en ella. Según detalló el BBVA a Sudaca, la entrega de tarjetas de crédito en las oficinas del banco es excepcional. Se da a pedido del cliente, por ejemplo.
El courier es otro de los varios servicios que terceriza un banco. Junto con el telemarketing, son puntos claves en el proceso de venta de una tarjeta de crédito. También son posibles puntos críticos en un esquema de estafa que viene esparciéndose como mancha de aceite.
La tarjeta llegó a la casa de Jennifer el 8 de agosto por la tarde. El mensajero le entregó un sobre de plástico (tamaño similar al A4) con documentos, que el banco llama ‘bolsa de seguridad’. También otro sobre pequeño donde venía el plástico de la tarjeta. Le hizo firmar un cargo de recepción.
Horas después, una llamada le precisó que debía llamar a la central telefónica del banco para activar su nueva línea de crédito. ¿Era esa una llamada del banco? No hay certeza todavía. Pero sí la hay en el siguiente acto de la historia: los que van a ingresar a la escena son estafadores.
Devuelva la tarjeta
Jueves 13 de agosto. “Señorita, respecto de la tarjeta que le acaban de entregar, la Visa Bfree…”, recuerda haber escuchado Jennifer, luego de que la voz dijera que llamaba de parte del BBVA. Esa voz, esta vez masculina, le explicó que se había cometido un error al entregarle una tarjeta y que esta sí exigía el pago de una membresía (de S/180). Jennifer respondió que una de las razones por las que había aceptado el plástico era la ausencia de este cobro.
—En todo caso lo que puede hacer es devolverla a la oficina central.
—¿Pero tengo que ir hasta la sede central en San Isidro?
—Sí. O, en todo caso, mejor le enviamos un courier.
La ingeniera ambiental recrea el diálogo para Sudaca y agrega que, según le indicaron, después de entregar la tarjeta equivocada le llegaría la correcta.
Suena demasiado ingenuo que alguien acepte entregar su tarjeta a un tercero de esta manera. Sin embargo, algo hizo la diferencia en esta historia y en otras cinco, que este medio ha recopilado en detalle y que son casi un calco una de la otra: los datos que manejaba su interlocutor. Además del tipo de tarjeta entregada originalmente, conocía la fecha y la hora en que se la habían dado y, lo más importante, el monto de la línea de crédito. “‘Le ha llegado el sábado a tal hora’, me dijo. Sabía mi línea de crédito, sabía mi dirección, sabía mis datos, sabía que yo ya tenía otras cuentas con el mismo banco. Entonces, yo por eso confié”.
El BBVA es titular de más de 20 bases de datos, según el Registro Nacional de Protección de Datos Personales, que depende del Ministerio de Justicia. Una se llama “Usuarios” y organiza, entre otros, los siguientes datos: los nombres y apellidos, el DNI, el RUC, el teléfono, el historial de créditos, las tarjetas de crédito, los bienes patrimoniales, las hipotecas, las deudas, los ingresos económicos y la huella digital de una persona. El banco comparte parte de estos datos con las empresas de telemarketing, y la normativa exige que lo haga previo conocimiento de sus clientes. Aunque Sudaca preguntó al BBVA concretamente qué datos, este no lo precisó.
El robo
Al día siguiente, el mismo interlocutor le avisó a Jennifer Romero que el courier estaba llegando y que debía entregar ambos sobres como los había recibido. Sostiene que no haber activado la tarjeta le daba también seguridad, por lo que efectuó la entrega.
Solo horas después, el BBVA le alertaría de que su cuenta estaba siendo vaciada. Aquí su recuento de ese momento:
Diez minutos antes de las 6 de la tarde, me llaman de nuevo, era un viernes.
—Señorita, qué tal, ¿cómo va usando la tarjeta que le acabamos de entregar?
—¿Es una broma? No entiendo.
Estaba sorprendida. No sabía quién me había estafado, si la señorita que me llamaba [ahora] o la persona que me había llamado antes.
—No entiendo, ¿cómo que cómo la voy usando?
—Sí, acá me figura que usted la está usando.
—Pero si ustedes me han llamado ayer diciendo que la tarjeta que me han entregado está mal y ha venido un courier a recoger la tarjeta. Sabían todos mis datos y yo pensé que era la misma persona.
—No, nosotros no hacemos eso, además acá me figura que usted está usando la tarjeta. Usted ha sido víctima de estafa, por favor llame y bloquee la tarjeta.
Mientras hablaba con ella, ya eran las seis de la tarde y el banco no laboraba, ni el call center (sic).
Hans Cerrón, padre de tres niñas, y Jenny Surichaqui, comerciante de aluminio, sufrieron la misma modalidad de estafa. Ambos se sumaron al plantón que un grupo de clientes organizó, el pasado miércoles 2 de diciembre, en la sede central del BBVA Perú en San Isidro. El tipo de fraude parece haberse vuelto sistemático con clientes de ese banco. Allí también estaba Mary Pareja, con una pancarta que decía: “El BBVA no cumple con la Ley 29733 de protección de datos personales”. Ella fue a protestar por la estafa que sufrió su madre, de 60 años.
El plantón fue organizado desde las redes sociales. El epicentro: un grupo de Facebook llamado “Víctimas del BBVA”, creado el 20 de noviembre y que rápidamente ha llegado a los 464 miembros. El muro del grupo, originalmente público, fue sumando múltiples testimonios de ciudadanos que hacen hincapié en por qué creyeron que era, efectivamente, el banco el que les solicitaba devolver la tarjeta.
A Hans Cerrón le pidieron que retornara la suya a mediados de octubre. Fue luego de que le insistieran para que la activase. De su interlocutora recuerda haber escuchado su tipo de tarjeta, su línea de crédito y los beneficios de compras que tenía. Él se acercó a un cajero, cambió allí la clave provisional que había recibido y activó la tarjeta.
Hans recuerda que la misma voz que le insistió en la activación de la tarjeta le llamó al poco tiempo y le dijo que el cambio de la clave no había surtido efecto, porque habían detectado que su firma no coincidía con la del DNI. Él ya venía con la duda de no haber firmado exactamente igual que en su documento de identidad. Decidió entregarla. Le sustrajeron el mismo monto que a Jennifer Romero: tres mil soles vía cajero automático.
A la diseñadora gráfica Clara Pacheco, de 33 años, le robaron la misma suma, bajo la misma modalidad de estafa. A diferencia de Romero, ella no era clienta del banco hasta que aceptó la tarjeta VISA Bfree. Ahí empezó su desgracia. Quien la llamó le preguntó por qué no había activado la tarjeta todavía y le dijo, incluso, que si no lo hacía se iba a generar el cobro de la membresía.
“‘Pero si no está conforme, lo puede devolver o puede cambiarlo por la nueva, que está cobrando cero membresía’, me dijo. ‘Bueno, entonces en todo caso anúlelo’, le respondí”. Aceptó el recojo vía courier y entregó su dinero a los estafadores.
La vacíos del BBVA, que responde (pero no todo)
¿Cómo el nombre de la tarjeta contratada, la línea de crédito, y la fecha y hora de entrega del plástico llegan a las manos de los estafadores? ¿No se trata, acaso, de datos que solo pueden conocer, a parte del cliente, el banco y las terceras empresas contratadas para los servicios de telemarketing y courier? Sudaca solicitó una entrevista al BBVA para hablar de esta modalidad de estafa, cuya propagación ha adquirido mucha mayor visibilidad durante la pandemia. Sin embargo, el banco solo aceptó responder preguntas vía un cuestionario escrito.
“Debido a la situación de pandemia, los ejecutivos [de telemarketing] que trabajan desde su domicilio utilizan equipos protegidos por un software que impide la descarga de la información, así como el uso de redes, correos personales, entre otros”, aseguraron en una de sus respuestas.
Quizás el lector también se pregunte lo mismo que este medio: ¿cómo estar seguros de que en efecto utilizan el equipo con ese software? ¿Cuál es el nivel de seguridad de un equipo que puede ser manipulado por fuera (al que se le pueden tomar fotos, por ejemplo) sin que nadie se dé cuenta? O, acaso, al lector le aparezca esta misma duda: ¿se ha privilegiado el interés por vender tarjetas de crédito a costa de la seguridad de los clientes?
“Los bancos tienen la obligación de tutelar que las bases de datos de sus clientes, que son bases que tienen datos sensibles, cumplan estándares de seguridad nivel crítico. Tiene que ser muy estricto”, explicó a Sudaca Dilmar Villena, abogado especialista en protección de datos personales y coordinador legal de Hiperderecho.
Según la Directiva de Seguridad emitida por la Autoridad Nacional de Protección de Datos Personales (APDP), este nivel implica, por ejemplo, que los usuarios que acceden a las bases de datos tengan un “identificador único de acceso”, que utilicen contraseñas o autenticación vía token, y un registro de ingreso que guarde, entre otros, la fecha y hora de ingreso y el motivo de acceso.
El banco, sin embargo, no quiso explicar las medidas de seguridad que toma para los datos de sus clientes. Se limitó a decir que los contratos que suscribe con sus proveedores tienen cláusulas especiales “que establecen las obligaciones y responsabilidades de cada una de las partes”. Y que en casos de mucha sensibilidad de la información, se toman “medidas de seguridad específicas”. No dio mayores detalles sobre cuáles.
“La central del courier cuenta con la información de contacto del cliente; mientras que el motorizado solo cuenta con el nombre y dirección”, dijo el BBVA sobre los datos de los clientes que comparten con las empresas de mensajería. Negó que en los documentos trasladados hasta los clientes figuren el nombre del tipo de tarjeta de crédito que está por entregarse y/o la línea de crédito otorgada.
Sin embargo, uno de los componentes del contrato que debe contener el sobre tipo A4 que los courier entregan a los clientes es la Hoja Resumen Informativa (HRI). Ella contiene las condiciones particulares de la tarjeta contratada: el nombre del tipo de la tarjeta, la línea de crédito, el costo de la membresía, entre otros datos. La HRI es una fuente de información importante, que coincide con la que los estafadores mencionan a los clientes del BBVA cuando buscan que ‘devuelvan’ su tarjeta de crédito.
La insistencia de los estafadores en que todo el contenido del sobre de plástico o bolsa de seguridad debe ser devuelto para anular la tarjeta y poder enviar otra aparece consistentemente en los testimonios recogidos.
Ni Jennifer Romero ni Clara Pacheco habían activado sus tarjetas y aun así sufrieron robos. ¿Cómo lograron activar las tarjetas los estafadores? Una de las formas de activación es “por vía telefónica, previa verificación de la identidad del cliente a través de una serie de preguntas”, señaló el banco. No resulta difícil pensar que con el sobre en mano y los datos desde antes conocidos, tuvieron la información para lograrlo.
Sudaca preguntó concretamente por el protocolo de interacción entre el courier y el cliente; sin embargo, el BBVA obvió responder esa pregunta. Sí enfatizó los contratos que firman con sus proveedoras tiene cláusulas que les exigen “el cumplimiento del Código de Conducta del Grupo BBVA” a los proveedores” y “el respeto a la normativa legal”. También dijo que hay penalidades en caso el proveedor incumpla algún acuerdo.
Curiosamente, en otra de sus respuestas el banco subrayó que “este tipo de estafa no es nueva y la policía tiene conocimiento de este tipo de modalidad”. Si la modalidad es antigua, ¿por qué no ha hecho públicos los resultados de las investigaciones al respecto, sobre todo ahora que la cuarentena ha agudizado la aparición de casos?
Hace un par días el testimonio de Elissa de Amat se hizo viral en Instagram y dio una evidencia más de lo sistemático de este tipo de estafa. Era sobre su experiencia en 2019 como clienta del BBVA, y víctima del mismo fraude.
“En tanto las denuncias lleguen a la autoridad de datos personales, la empresa podría decir ‘yo, como entidad financiera, diligentemente he tomado las medidas para ver qué es lo que está pasando’. Si es que se están filtrando [los datos de sus clientes] o no. No existe una obligación legal de investigar, pero deberían hacerlo”, dice el especialista Dilmar Villena de Hiperderecho.
Consultado explícitamente sobre investigaciones al respecto, cuya publicación ayudaría a calmar algunas aguas, el BBVA se limitó a responder: “Todos los casos son revisados siempre de forma integral”. Luego recalcó que advierte a sus clientes que el banco no ofrece el servicio de devolución de tarjetas vía courier.
La estafa subsiste en el silencio
Desde la Dirección de Protección de Datos Personales del Ministerio de Justicia señalaron a Sudaca que no declararían sobre el caso BBVA por ahora porque podría tomarse como un adelanto de opinión. La Asociación de bancos del Perú (Asbanc), así como la Asociación Peruana de Experiencia al cliente, que agrupa a los contact center que operan en el país, también declinaron de responder preguntas.
La división de estafas de la Policía Nacional tampoco respondió cuántas denuncias por este tipo de estafas a clientes del BBVA tenía en sus registros. En agosto último, la Superintendencia de Banca, Seguros y AFP (SBS) realizó la prepublicación del Reglamento para la gestión de la seguridad de la información y la ciberseguridad. El primero de este tipo en el país que exigiría incluir los riesgos asociados a la entrega de bien o servicio provisto por terceros dentro de la gestión integral de riesgos de la empresa. Ojalá su implementación aporte a evitar posibles casos de filtración de datos personales y estafas a usuarios de servicios financieros en el país.
El 1 de diciembre, Jennifer Romero recibió once correos del banco solicitándole que cancele su deuda de S/3.000, más los intereses que crecen rápidamente. Hoy continúa recibiéndolos. Clara Pacheco, después de cuatro meses, solo ha vuelto a recibir una comunicación del BBVA en el que le indican que siguen evaluando su caso. Tras hacer pública su protesta en el plantón, Hans Cerrón y Jenny Surichaqui han firmado con el banco un acuerdo extrajudicial de términos confidenciales, por el cual sus deudas han sido anuladas. Eso sí, nada compensará el daño psicológico ni la preocupación causados por las llamadas continuas de cobranza que recibían o el peligro de ingresar a Infocorp. Hay múltiples afectados que todavía las reciben.