VULNERA LA NORMATIVA DE ECONOMÍA Y del SEPBLAC

N26, el 'banco del futuro', permite crear cuentas con identidades falsas

La entidad alemana, recién aterrizada en España, muestra un sistema de identificación deficiente que permite a cualquiera abrir una cuenta con un DNI obtenido por internet

Foto:

"Abre una cuenta con la seguridad de la regulación alemana en ocho minutos. Somos el banco del futuro". Con este reclamo se presenta N26, un banco alemán que solo opera 'online', que ha conseguido captar más de 100.000 clientes en España y tiene más de un millón y medio en todo el mundo. Se trata de uno de los mayores bancos digitales del mundo, pero este periódico ha descubierto un fallo de seguridad que amenaza a todo el sector: es posible crear cuentas con una identidad falsa.

Abrir una cuenta bancaria en N26 es tan sencillo y rápido que ningún otro banco puede igualarlo. ¿Cómo lo consiguen? Saltándose la normativa del Ministerio de Economía y el Sepblac (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias de España). En efecto, basta con una fotografía por ambas caras de un DNI de cualquier persona para abrir una cuenta a su nombre sin necesidad de más información. Así lo hemos constatado con pruebas dentro del periódico y no existe ninguna dificultad para lograrlo. La cuenta falsa está plenamente operativa a las 48 horas y, después de varias semanas activa, desde el banco aún no han reparado en el error. Se trata de un agujero de seguridad que sorprende a los expertos, ya que está al alcance de cualquier ciudadano.

Este periódico ha comprobado que se pueden abrir cuentas falsas en N26 sin apenas esfuerzo

Contactado por este periódico, N26 prefiere no hacer declaraciones. Se limita a enviar un texto en el que recalca que "la seguridad es su prioridad" y que el banco revisa constantemente sus métodos de seguridad para mejorarlos. "Después de que se verifique la identidad del cliente, llevamos a cabo una monitorización continua de las transacciones junto con otras muchas medidas de seguridad, en un intento por prevenir actividades delictivas como el blanqueo de dinero o la financiación del terrorismo". Este periódico ha podido realizar transferencias desde la cuenta falsa, si bien es cierto que no son las cantidades que hipotéticamente harían saltar las alarmas de ningún banco.

Por último, N26 descarga parte de la responsabilidad en uno de sus socios: "N26 trabaja con un proveedor de servicios de pago regulado, SafeNed, para este tema. SafeNed es una empresa del Reino Unido autorizada y regulada por la Autoridad de Conducta Financiera del Reino Unido (FCA) con respecto a la prevención del blanqueo y la financiación del terrorismo. SafeNed verifica a sus clientes mediante el proceso de identificación con foto, que cumple con las leyes del Reino Unido".

En los últimos años, el Ministerio de Economía ha desarrollado una amplia normativa para controlar las cuentas bancarias con el objetivo de prevenir los delitos financieros. Los avances de la banca digital han obligado a idear nuevos sistemas que permitan abrir una cuenta 'online' en unos minutos pero garantizando el control de los titulares de las cuentas. La fórmula que estableció el Sepblac es la “identificación no presencial mediante videoconferencia” en marzo de 2016. Con este sistema, los usuarios pueden abrirse una cuenta solo con una videollamada y conexión a internet.

La videollamada sería un proceso homologable a abrir una cuenta en una entidad bancaria, ya que el cliente tiene que mantener una conversación con un profesional de la entidad para culminar el proceso. El cliente tiene que consentir la videoconferencia y el banco tiene que registrar la fecha y la hora en que la realizó y, además, tiene que guardar la grabación. En esa videoconferencia, el cliente tiene que mostrar el DNI por las dos caras y el profesional del banco deberá paralizar la apertura de la cuenta si existen indicios de falsedad en el documento, si hay dudas entre la correspondencia del titular del DNI con el cliente que está realizando la operación o si la calidad de la videollamada es baja.

El Sepblac considera que todas estas medidas de control son suficientes para evitar la apertura de cuentas falsas y también son un desincentivo para quien quiera intentarlo. Esta regulación es obligatoria para todas las entidades que operen en España independientemente de dónde tenga la ficha bancaria, confirma el Ministerio de Economía. Es la única forma que tiene el Sepblac de garantizar el control de las cuentas.

Capturas de la cuenta falsa creada por este periódico. (EC)
Capturas de la cuenta falsa creada por este periódico. (EC)

El problema es que N26 se está saltando toda esta normativa del Sepblac. La entidad no solo está abriendo cuentas bancarias sin realizar la videoconferencia exigida, sino que tampoco existe una llamada ordinaria de verificación de datos. El banco solo exige una fotografía del DNI y otra del cliente. De este modo, cualquiera puede obtener un DNI de una base de datos —en internet están disponibles a poco que se busque— y usar una foto de cualquier persona en redes sociales que se le parezca.

Pero el incumplimiento de N26 va más lejos. No solo se salta la normativa del regulador en España, sino que sus sistemas de control de las cuentas bancarias son totalmente deficientes. El sistema para verificar que la persona que figura en la imagen del DNI coincide con la persona de la fotografía simplemente no funciona. Hasta tal punto llega el agujero que este periódico ha constatado varios casos de cuentas bancarias abiertas por una persona con el DNI de otra, incluso de personas con una morfología facial completamente diferente.

N26, recién llegado a España, se publicita como 'el futuro de la banca'.
N26, recién llegado a España, se publicita como 'el futuro de la banca'.

Esta normativa es aplicable a todas las entidades que operen en España y abran cuentas bancarias para residentes fiscales en el país. Eso significa que el banco no puede ampararse en que las cuentas se abren en Alemania. Pero, además, el sistema de control de apertura de cuentas en Alemania es similar al de España y también es necesaria una videoconferencia, de modo que la entidad no tiene ningún argumento posible para justificar su comportamiento.

Esta falla de seguridad ha puesto en alerta a todo el sector ‘fintech’ en España. El riesgo de blanqueo de capitales y financiación del terrorismo es evidente pero, además, se pone en riesgo a la persona cuya identidad ha sido suplantada. Fuentes del sector advierten del riesgo que suponen estas prácticas, ya que no solo ponen en riesgo la seguridad en el sistema financiero, sino que también suponen un "riesgo de pérdida reputacional" para las 'fintech', que están creciendo en España con una trayectoria exponencial.

Empresas

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
13 comentarios
Por FechaMejor Valorados
Mostrar más comentarios