Durante décadas, el sector bancario operó bajo un principio tácito en materia de fraude: Caveat Emptor, que el comprador tenga cuidado. Si un cliente era engañado para enviar dinero a un estafador, la pérdida financiera era trágica, pero, en última instancia, a menudo era responsabilidad del cliente.

Esa época ha cambiado irrevocablemente.

Las nuevas leyes de «reembolso obligatorio» para el fraude de pagos push autorizados (APP) han cambiado radicalmente el panorama financiero de todos los bancos.

La prevención del fraude es, más que nunca, una estrategia fundamental para proteger los ingresos y la reputación.

El cambio global en la responsabilidad: una realidad multimillonaria

El Reino Unido fue el «punto de partida» de este cambio. Con la entrada en vigor de las normas a finales de 2024, el impacto ha sido inmediato e innegable.

Los primeros resultados son claros: los bancos del Reino Unido reembolsaron 112 millones de libras esterlinas a las víctimas, con una tasa de reembolso que alcanzó el 88 %.

Pero el Reino Unido no está solo. La rendición de cuentas se ha globalizado:

● Unión Europea: Las próximas normativa PSD3/PSR introducen una responsabilidad objetiva por «spoofing» (suplantación de identidad bancaria), trasladando la carga de la prueba al banco para demostrar la negligencia del cliente.

● Singapur: El Marco de Responsabilidad Compartida (SRF), que entrará en vigor en diciembre de 2024, obliga a las instituciones financieras a asumir las pérdidas si incumplen determinadas obligaciones de higiene digital.

● Australia: El Marco de Prevención de Estafas, aprobado en 2025, impone fuertes sanciones civiles por fallos de gobernanza en materia de fraude.

● Brasil: El mecanismo Pix MED 2.0, obligatorio a partir de 2026, impone el bloqueo de activos en múltiples capas para recuperar fondos.

La regla del «50/50» para las fintech

Quizás el mayor cambio en relación con los neobancos y las fintech es la responsabilidad al 50 % introducida en el Reino Unido y que ahora se refleja a nivel mundial. El coste del reembolso se divide a partes iguales entre el banco emisor y el banco receptor.

Históricamente, las instituciones «receptoras» (a menudo empresas fintech con un proceso de incorporación rápido) tenían pocos incentivos para controlar las transferencias entrantes. Eso ha cambiado. Cada cuenta mula creada en su plataforma representa ahora una responsabilidad financiera directa, incluso si el fraude se originó en otro lugar.

La principal amenaza: el fraude industrializado impulsado por la inteligencia artificial

A medida que aumenta la presión regulatoria, el panorama de amenazas ha evolucionado desde los «hackers solitarios» hasta el fraude industrializado como servicio.

Los delincuentes están utilizando la IA generativa como arma para eludir las medidas de seguridad que los bancos emplean para detectarlos. Los deepfakes hiperrealistas y los ataques de inyección escalables están dejando obsoletas las defensas tradicionales.

1. El auge de los ataques de inyección

Esta sigue siendo una de las mayores amenazas técnicas. En un ataque de inyección, los estafadores no muestran su rostro ante la cámara. En su lugar, utilizan emuladores o software de cámara virtual. Esto les permite «inyectar» un vídeo deepfake pregrabado, o incluso un vídeo legítimo pregrabado y robado, en el flujo de datos de la aplicación bancaria.

Los sistemas biométricos heredados que solo analizan el «rostro» visual son constantemente eludidos por estos métodos. Esto permite a los delincuentes abrir miles de cuentas mulas utilizando identidades sintéticas para blanquear fondos robados.

2. Ingeniería social con deepfakes

Los estafadores están utilizando la clonación de voz mediante IA y vídeos deepfake en tiempo real para suplantar la identidad de directores generales, funcionarios bancarios o familiares. Estas estafas «de alta convicción» engañan a los usuarios para que aprueben pagos.

Esto se conoce como fraude APP. Activa las normas de reembolso obligatorias que deben seguir los bancos.

La solución: la biometría como «póliza de seguro»

Si el banco es responsable de la pérdida, debe controlar el riesgo. La única forma de detener la hemorragia es impedir con absoluta certeza la creación de cuentas mulas y la autorización de pagos fraudulentos. Y para hacerlo de manera eficiente, la biometría facial sigue siendo la mejor solución, cuando se combina con una solución robusta de verificación de vida.

1. Vitalidad pasiva: reducir la fricción, aumentar la seguridad

Para proteger a los usuarios sin perjudicar la conversión, las principales instituciones financieras de todo el mundo han optado por Passive Liveness.

A diferencia de Active Liveness, que pide a los usuarios que parpadeen o se muevan, Oz Passive Liveness solo requiere una simple selfie. A continuación, utiliza la IA para:

● Analizar los microrreflejos en la piel.

● Validar los datos de profundidad para detectar pantallas, máscaras o fotos.

● Ofrece verificación en tiempo real con una fricción mínima.

El resultado: incorporación más rápida, menos abandonos y mayor resistencia al fraude.

2. Detección de ataques de inyección (IAD): Lo esencial para 2026

Para cerrar las granjas de mules que permiten el fraude de APP, los bancos deben detener los ataques de inyección.

Esto significa implementar soluciones certificadas contra:

● CEN/TS 18099 (para la detección de ataques de inyección)

Soluciones como Oz Forensics han logrado una precisión de detección del 100 % en laboratorios como BixeLab. Esto proporciona un sello hermético que defiende contra el fraude sintético impulsado por la inteligencia artificial.

Conclusión: del cumplimiento a la supervivencia

La ecuación es sencilla: prevención = protección.

Cada dólar invertido en seguridad biométrica certificada es un dólar ahorrado del resultado final del reembolso obligatorio. Las instituciones financieras que dependen de defensas heredadas se convertirán en el objetivo preferido de los estafadores y en las responsables de los enormes costes de reembolso.

Para proteger a su organización en esta nueva era regulatoria, necesita una defensa que detenga no solo la «cara falsa», sino también la «señal falsa».

¿Está preparada su prevención del fraude para la era de la responsabilidad global?

Póngase en contacto con Oz Forensics para implementar sistemas biométricos «NIST-Ready» y con certificación ISO que protejan su capital y a sus clientes.