Política de control y gestión del fraude en el recaudo

1. Introducción

1.1. Objeto de la política

La política antifraude de Pexto Colombia S.A.S. (en adelante “Pexto”) tiene como objetivo prevenir, detectar y mitigar actividades fraudulentas dentro de nuestra plataforma de recaudo. Además, busca establecer los comportamientos y procesos mínimos esperados de nuestros clientes en este aspecto. Esta política se aplicará a todos los usuarios y transacciones procesadas a través de nuestra plataforma. Adicionalmente, esta política tiene múltiples objetivos específicos, los cuales incluyen:

Protección de Activos y Recursos

• Salvaguardar activos: Proteger los activos financieros y no financieros de Pexto, clientes y usuarios finales contra el fraude.
• Minimizar pérdidas: Reducir las pérdidas económicas derivadas de actividades fraudulentas.

Integridad y Transparencia

• Fomentar la transparencia: Asegurar que todas las transacciones y actividades se realicen de manera transparente y verificable.
• Mantenimiento de la integridad: Promover altos estándares de integridad y ética en todas las operaciones.

Cumplimiento Normativo

• Adherencia a regulaciones: Cumplir con las leyes y regulaciones aplicables, tanto a nivel nacional como internacional, para la prevención del fraude.
• Evitar sanciones: Prevenir sanciones legales y regulatorias que pueden derivarse del incumplimiento de las normativas antifraude.

Reputación y Confianza

• Proteger la reputación: Mantener y proteger la reputación de Pexto ante clientes, socios y el público en general.
• Fomentar la confianza: Generar y mantener la confianza de los clientes y socios comerciales en la integridad de Pexto.

Prevención y Detección de Fraude

• Identificación de riesgos: Identificar y evaluar los riesgos de fraude en las operaciones de Pexto.
• Detección temprana: Implementar sistemas y controles para la detección temprana de actividades sospechosas o fraudulentas.

Respuesta efectiva

• Protocolos de acción: Establecer procedimientos claros y eficaces para responder a incidentes de fraude, incluyendo la investigación y resolución de los mismos.
• Recuperación de activos: Implementar medidas para la recuperación de activos perdidos debido a actividades fraudulentas.

Educación y capacitación

• Capacitación de los equipos: Proveer formación continua al personal sobre la identificación y prevención del fraude.
• Concientización: Fomentar una cultura organizacional de concienciación y vigilancia contra el fraude.

Monitoreo y mejora Continua

• Actualización de políticas: Revisar y actualizar periódicamente la política antifraude para adaptarse a nuevas amenazas y cambios regulatorios

2. Definiciones

2.1. Defraudado Se refiere a una persona o entidad que ha sido víctima de un fraude, resultando en una pérdida financiera

2.2. Defraudador Persona o entidad que comete fraude, engañando deliberadamente a otra persona o entidad con el fin de obtener beneficios económicos, bienes, servicios, o información confidencial de manera ilegal o indebida.

2.3. Cliente emisor Cliente de Pexto que contrata los servicios de agregación de transacciones de recaudos y/o pagos y la plataforma transaccional de Pexto.

2.4. Phishing Es una técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a las personas y hacer que revelen información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Los atacantes suelen hacerse pasar por entidades legítimas mediante el uso de correos electrónicos, mensajes de texto, sitios web falsos o llamadas telefónicas.

2.5. SEO Poisoning Es una técnica utilizada por los ciberdelincuentes para manipular los algoritmos de los motores de búsqueda con el objetivo de que sus sitios web fraudulentos aparezcan en los primeros resultados de búsqueda. Esto se hace utilizando tácticas de optimización de motores de búsqueda (SEO) de manera malintencionada.

2.6. Smishing El smishing es una técnica de fraude que utiliza mensajes de texto para engañar a las víctimas y obtener información confidencial. Los atacantes envían mensajes de texto que parecen provenir de fuentes confiables, como bancos, proveedores de servicios, redes sociales, o empresas conocidas. Los mensajes suelen incluir enlaces a sitios web falsos o números de teléfono que llevan a centros de atención fraudulentos.

2.7. Transacciones de débito automático no autorizadas Se refiere a cualquier transacción de débito de dinero que se realice sin el consentimiento explícito del titular de la cuenta.

3. Políticas preventivas en enrolamiento de clientes emisores

Todos los clientes emisores pasan por un riguroso proceso de Conocimiento de Cliente (KYC) y debida diligencia realizado por nuestra área de cumplimiento (ver política de KYC). Como parte de este proceso, se consultan a los potenciales clientes y sus representantes legales en listas restrictivas y deben aportar documentación de respaldo, incluyendo los procesos de KYC aplicados a sus propios clientes y/o usuarios, y los modelos utilizados para obtener la autorización de débito automático de los usuarios finales en caso de utilizar este producto a través de Pexto.

4. Identificación de posibles escenarios de fraude

Pexto ha identificado distintos escenarios de fraude relacionados con la operación de los clientes emisores:

• Smishing: El cliente defraudado recibe un mensaje de SMS ofreciendo descuento en pagos de servicios como telefonía por pago inmediato, créditos inmediatos de billeteras de pago o similares. En el SMS recibe un link para hacer el pago a través de PSE, para hacer este pago el cliente defraudado debe ingresar sus credenciales de banco que requieren doble factor de autenticación siendo transacciones PSE, las cuales el cliente defraudado ingresa permitiendo así el retiro del dinero de su cuenta bancaria personal o el saldo de su billetera.
• SEO Poisoning: El cliente defraudado desde motores de búsqueda busca páginas para hacer pagos a: seguridad social, DIAN, recargas a billeteras digitales, e commerce, entre otras. Estas páginas simulan ser las páginas oficiales y el cliente defraudado hace el pago en estos sitios maliciosos y fraudulentos.
• Transacciones de débito automático no autorizadas: El fraude por débito automático ocurre cuando se realizan transacciones no autorizadas de domiciliación desde la cuenta bancaria de una persona o entidad sin su consentimiento.

5. Detección del fraude

Los usuarios y clientes pueden reportar cualquier actividad sospechosa a nuestro equipo de soporte a través de varios canales de comunicación proporcionados por Pexto, como correo electrónico (soporte@cobre.co), redes sociales, bancos aliados y el cliente emisor. Además, Pexto ha implementado un ChatBot para que los clientes finales puedan consultar información de sus transacciones e identificar al originador de las mismas: https://www.cobre.co/pagos-pexto-colombia-sas/#:~:text=Pexto%20Colombia%20es%20 la%20plataforma,de%20una%20manera%20m%C3%A1s%20eficiente. Una vez nuestro equipo de Soporte/Servicio al Cliente toma conocimiento del caso, se inicia el procedimiento descrito en el punto 6 del presente documento. Además, en virtud de la colaboración entre el cliente emisor y Pexto, si el cliente emisor detecta transacciones sospechosas, se compromete a informar a Pexto para mantener una coordinación efectiva con los clientes afectados.

6. Procedimientos de reporte y respuesta

6.1. Fraude por PSE Pexto realiza recaudos a través de enlaces de pago que redirigen a la plataforma PSE. Es imperativo que el titular de la cuenta mantenga la seguridad de sus contraseñas para prevenir actividades fraudulentas en sus cuentas. Como plataforma de pagos, colaboramos estrechamente con bancos y entidades partícipes para asegurar la integridad y seguridad de las transacciones, y estamos reforzando estos mecanismos constantemente. Sin embargo, la responsabilidad definitiva de proteger las contraseñas personales de PSE recae en los usuarios de las cuentas en las entidades financieras. Además, es responsabilidad del cliente emisor realizar el proceso de KYC (Conozca a su Cliente) de los usuarios que utilizan la tecnología suministrada por Pexto. Esto es crucial para mitigar la ocurrencia de actividades fraudulentas y detener a tiempo las transacciones sospechosas realizadas a través de la plataforma.

6.1.1. Identificación y búsqueda de la transacción Una vez el cliente defraudado contacta a Pexto, el equipo de servicio al cliente solicita la siguiente información para identificar la transacción (ver anexo 7.1 del presente documento):

• • Fecha y hora de la transacción
  • Monto de la transacción
  • Nombre del titular de la cuenta
  • Documento de identidad

Además, se aclara al cliente el papel de Pexto como plataforma de pagos y recaudos. Pexto actúa tomando las instrucciones de pagos y recaudos, gestionándolas ante los distintos bancos para optimizar el flujo de recursos entre el pagador y el receptor, siguiendo estrictamente las órdenes exclusivas de nuestro cliente emisor.

6.1.2. Alertamiento cliente emisor Una vez identificado el cliente emisor, el equipo de servicio al cliente le notifica (ver anexo 7.2 del presente documento) para que identifique el caso y congele los fondos de la transacción reportada por el cliente pagador en el menor tiempo posible. Esta alerta, que se basa en la presunción de fraude, se envía a través de diferentes canales como Slack o correo electrónico, según los acuerdos con los clientes emisores de Pexto. El cliente emisor tiene 1 día hábil después de la notificación para dar una respuesta formal al caso.

6.1.3. Congelamiento de fondos y devolución del dinero Una vez notificado el caso al cliente emisor, éste deberá proceder con la congelación de los recursos. Si el cliente emisor de Pexto logra retener los fondos del defraudador, procederá a reembolsar el dinero al cliente afectado. Los términos y condiciones del reembolso dependen del cliente emisor, ya que es quien recibió los fondos en su cuenta, mientras que Pexto solo actúa como intermediario en la transacción. Adicionalmente, deberá suministrar a Pexto el proceso de debida diligencia y conocimiento de cliente realizado al momento de la vinculación al defraudador.

6.1.4. Sanciones al cliente emisor Pexto podrá imponer sanciones que van desde multas monetarias hasta la suspensión unilateral del servicio de recaudos al cliente emisor. Asimismo, podrá solicitar la constitución de un fondo de garantía permanente en las cuentas de Pexto para cubrir cualquier devolución o perjuicio ocasionado. Estas medidas serán evaluadas por el área de cumplimiento, tomando en cuenta el número de casos reportados en los últimos 60 días, la gravedad de los mismos y el cumplimiento de la presente política. 76.1.5. Facultad para devolución De acuerdo con lo informado por Pexto al cliente emisor en los Términos y Condiciones compartidos antes del inicio de operaciones, en caso de reportarse fraude donde se requiera el congelamiento de recursos para su respectiva devolución al defraudado y no sea posible por parte del cliente emisor, Pexto podrá debitar dichos recursos del “Saldo Cobre” para restituirlos a la víctima de fraude. Este débito será notificado al cliente emisor.

6.2. Fraude por débito automático Pexto ofrece a sus clientes el servicio de débito automático que simplifica el proceso de pagos recurrentes u ocasionales para sus clientes, ofreciéndoles una forma conveniente y segura de gestionar sus obligaciones. La prestación de este servicio implica que el recaudador tiene la responsabilidad de gestionar y custodiar las autorizaciones por parte de los usuarios finales.

6.2.1. Recepción de reclamos y búsqueda de la transacción Una vez recibida la reclamación por parte del usuario final y/o del Banco procesador de la transacción, se procede a solicitar al cliente/Banco la siguiente información:

• • Nombre del banco del cuentahabiente
  • Nombre completo del cuentahabiente
  • Número de cuenta
  • Tipo de cuenta

6.2.2. Alertamiento cliente emisor Una vez identificado el cliente emisor (anexo 7.4. del presente documento), el equipo de servicio al cliente le notifica al emisor la información para que identifique el caso y remita la autorización expresa por parte del cliente final en un lapso no mayor a 1 día hábil a partir de la recepción de la notificación por parte de nuestro equipo de Soporte.

6.2.3. Devolución del dinero Dado el caso de que el cliente emisor no cuente con la autorización expresa del cliente, no sea una autorización válida, no lo envíe dentro del SLA establecido o una autoridad dictamine la invalidez de la autorización, se procederá a solicitar al cliente emisor la devolución de los recursos al usuario defraudado o en su defecto, Pexto procederá a debitar sus fondos para realizar la restitución de dinero.

6.2.4. Sanciones al cliente emisor Pexto podrá imponer sanciones que van desde multas monetarias hasta la suspensión unilateral del servicio de recaudos al cliente emisor. Asimismo, podrá solicitar la constitución de un fondo de garantía permanente en las cuentas de Pexto para cubrir cualquier devolución o perjuicio ocasionado. Estas medidas serán evaluadas por el área de cumplimiento, tomando en cuenta el número de casos reportados en los últimos 60 días, la gravedad de los mismos y el cumplimiento de la presente política

6.2.5. Facultad para devolución De acuerdo con lo informado por Pexto al cliente emisor en los Términos y Condiciones compartidos antes del inicio de operaciones, en caso de reportarse fraude donde se requiera el congelamiento de recursos para su respectiva devolución al defraudado y no sea posible por parte del cliente emisor, Pexto podrá debitar dichos recursos del “Saldo Cobre” para restituirlos a la víctima de fraude. Este débito será notificado al cliente emisor.. Esto mismo aplica para requerimientos de autoridades competentes y/o Bancos con los debidos soportes legales y procedimentales.

7. Denuncia Penal

Cobre tendrá la potestad, si lo considera pertinente, de presentar una denuncia penal contra el usuario final, el cliente o cualquier persona indeterminada con el fin de denunciar el acto fraudulento y poner la situación en conocimiento de las autoridades competentes. Esta medida se tomará para garantizar la integridad de nuestras operaciones y proteger los intereses de nuestros clientes y socios.

8. Obligaciones del cliente emisor

• Entregar la información que le sea solicitada dentro de los tiempos establecidos dentro de la presente política.
• Realizar los procesos de debida diligencia y conocimiento de cliente que mitiguen el riesgo de fraude.
• Colaborar con Pexto de forma ágil en la identificación y resolución de casos de fraude reportados por los medios antes mencionados en la presente política.
• Tomar las medidas preventivas necesarias en sus sistemas de información para mitigar los riesgos asociados al fraude.
• Colaborar con las autoridades pertinentes en el caso de requerimientos formales referente a casos de fraude identificados dentro de su operación.

9 9. Obligaciones de Pexto

• Notificación de los casos de fraude detectados por los distintos medios dispuestos para ello a los clientes emisores.
• Colaborar en la investigación y cooperación en la resolución ante las partes interesadas en el caso en cuestión.
• Confidencialidad y seguridad de la información compartida con las partes interesadas en los casos de fraude, cumpliendo con las regulaciones de protección de datos y cualquier acuerdo de confidencialidad establecido entre ambas partes.
• Contar con procedimientos internos claramente establecidos para la detección temprana, investigación y gestión de cualquier actividad sospechosa y/o transacciones fraudulentas.