Mario Farren: “El desarrollo de la seguridad operacional no ha ido a la misma velocidad que el de la industria bancaria”.

Mario Farren: “El desarrollo de la seguridad operacional no ha ido a la misma velocidad que el de la industria bancaria”.

‘Es esencial que la gente tenga acceso a su dinero todo el tiempo’, enfatiza varias veces durante esta entrevista —la primera que concede desde que asumió el cargo, el 14 de mayo— el nuevo superintendente de Bancos e Instituciones Financieras, Mario Farren Risopatrón. Luego de 27 años de carrera en instituciones financieras de Chile, Uruguay, Estados Unidos, México y Perú, el ingeniero comercial de la Universidad de Chile y MBA de la Universidad de Chicago debe regular un pilar clave de la economía, que incluye 20 bancos, 60 mil empleados, dos mil sucursales y casi ocho mil cajeros automáticos. Y que también maneja US$ 46 mil millones pertenecientes a clientes que han abierto 45 millones de cuentas corrientes, vista, de ahorro y depósitos a plazo.

Su agenda tiene dos grandes ejes de trabajo. El primero, preparar a la institución para integrarse con la Comisión de Mercado Financiero (CMF) prevista en la Ley de Bancos hoy en trámite (ver relacionado). El segundo, una inquietud personal, que está en el seno de la misión institucional de velar por la estabilidad del sistema y proteger a los depositantes: ‘Que la gente tenga acceso a su dinero todo el tiempo, por básico que suene. Hoy, el 80% de las transacciones en el país se realizan por canales cibernéticos. Eso significa que los episodios de intermitencia, situaciones que les impiden utilizar sus aplicaciones o la página de los bancos, son cosas que tienen que evolucionar y desaparecer’.

—¿Cuánto y cómo modificó su agenda el episodio del ciberataque al Banco de Chile, a solo 10 días de asumir?

‘Se nos apareció el riesgo operacional-cibernético el 24 de mayo con el evento que afectó al Banco de Chile y que es bien grave, porque estamos hablando de la sustracción de fondos desde una entidad financiera de una sofisticación y con una forma de operar nunca vista en nuestro país. Es meterse al corazón operacional de una institución, y ese es el elemento que ha causado preocupación’.

—Además, le pasó a uno de los bancos más grandes del país…

‘Claro, y por eso vamos a tener que dedicarnos a esto. Hemos tenido una industria que ha sido muy exitosa, que ha explicado el desarrollo económico en nuestro país. Pero el desarrollo de los elementos de seguridad operacional no ha ido a la misma velocidad de la oferta de productos y de mecanismos que han sido en muchos casos novedosos para los clientes. Falta que nos pongamos al día. Indudablemente, hace falta que los bancos hagan un esfuerzo y las inversiones necesarias para mejorar (en seguridad). Pero también hay que decir que este es un episodio del que no está exenta ninguna institución: toda organización que tenga un medio electrónico de interactuar con el público está potencialmente expuesta a estos eventos’.

—¿Ya está claro qué ocurrió? ¿Cuál fue la debilidad tecnológica que aprovechó la banda?

‘La Superintendencia recibió el informe forense del incidente del Banco de Chile hace unos días, y se encuentra en manos del área de supervisión, que lo está revisando en detalle’.

—¿El banco arriesga una sanción o la autoridad está conforme con su proceder?

‘Todas las opciones están arriba de la mesa. No me puedo pronunciar antes sobre ninguna de ellas, porque entonces me sesgo’.

—Pero, en teoría, ¿cuál es el rango de posibilidades?

‘El ancho va desde amonestaciones hasta pedir aumentos de capital, de acuerdo a lo que nos autoriza la nueva Ley de Bancos y las normas de Basilea III, lo que si bien no es una sanción, impone un costo a los accionistas’.

—Ha habido críticas por la velocidad con que actuó la SBIF en este caso. ¿Las acepta?

‘Indudablemente, pude haber comunicado mejor lo que estábamos haciendo en ese momento. Hasta ahí recojo la crítica. Respecto del proceder de la superintendencia, se cumplieron todos los protocolos’.

—¿Ese mismo día?

‘Sí, ese mismo día en la mañana. Estuve en comunicación permanente con el presidente del banco y con el gerente general. Al final de ese día estuvieron acá y ese día el Banco de Chile sacó dos comunicados. La Superintendencia sacó un tercer comunicado. ¿Hay algo que habría hecho de manera distinta? Creo que comunicaría distinto y esa es una lección que he aprendido. Pero respecto de los procedimientos, se cumplieron todos los protocolos. Estuvimos informados desde el primer minuto, y entre que ocurrió el incidente y antes de que terminara la semana habían estado en la Superintendencia, personalmente, el presidente y el gerente general, una vez al día, cada día de esa semana’.

—¿Desde el primer momento ellos tenían claro que había un robo o eso se fue conociendo a medida que pasaban las horas?

‘Son dos eventos paralelos. Por un lado, el fraude propiamente tal, en que un hacker entra al sistema y desvía pagos por US$ 10 millones; y por otro lado, un evento en el que hackean y les paralizan la red de desktops, que a la postre probó ser un distractivo. Entonces, cuando estas cosas se van desenvolviendo, las certezas no son absolutas y hay que ser muy cuidadosos con lo que se comunica al mercado. Creemos que el Banco de Chile se comunicó a tiempo, fue totalmente transparente y cumplió con el requerimiento de la Superintendencia de comunicar el evento a tiempo y de entregar toda la información que disponía. Segundo, acogió también la petición que le hicimos de compartir esta información con otras instituciones para ponerlas en resguardo, y me parece que en la medida de lo posible se comunicó con responsabilidad, a medida que estos eventos se iban desarrollando’.

—Antes de partir al extranjero, usted trabajaba en el Citi (fusionado con el Banco de Chile) y eso despertó dudas sobre su independencia en este caso. ‘Yo estoy acá porque quiero servir a mi país, porque creo que tengo la experiencia, la capacidad y, la verdad, no le debo nada a nadie. No tengo ninguna obligación con mi antiguo empleador ni con ninguna institución local. Yo trabajé por última vez en Chile en junio de 2011. Conocer personalmente a los actores y las instituciones es un activo. Tengo experiencia e independencia para actuar’.

—¿Ha habido otros ataques informáticos exitosos a instituciones bancarias después del 24 de mayo?

‘Como el del Banco de Chile, no’.

—¿A menor escala? ‘Tampoco’.

—Tras el ataque, el Banco de Chile ha seguido con algunas intermitencias. En una comunicación a sus clientes la atribuyó a factores externos. ¿Cuál es la real situación?

‘Si la pregunta es si las intermitencias que ha sufrido el Banco de Chile han tenido que ver con el incidente del 24 de mayo, diría que, en general, sí. Ha sido provocada por un cambio de servidor, este se gatilló por el incidente. Han estado haciendo cambios en la infraestructura y estos, en ocasiones, han afectado la calidad de la atención a los usuarios. Ahora, ha habido intermitencias en varias instituciones. Le pasó al Bci la semana antepasada, al Santander esta semana, que tuvo una falla en la comunicación con sus servidores en Europa. ¿Hay un ataque en este caso? La información que tenemos es que no, pero nuevamente lo que estamos viendo es riesgo cibernético y afectación de la calidad del servicio que reciben los usuarios. La gente debe tener acceso permanente a su dinero y a sus productos financieros’.

—¿En esta etapa de adaptación y mejora de los bancos para fortalecer sus sistemas, los clientes van a tener que acostumbrarse a las intermitencias?

‘Ojalá que no. Estamos haciendo un esfuerzo grande, me estoy empeñando y trabajando con las instituciones y, digamos, en varios casos he tenido respuestas favorables al requerimiento que se les ha hecho de apurar los planes de inversiones. Hay que modernizar servidores, software, aplicaciones, educar a los usuarios y a los empleados.

—Usted ha dicho que la SBIF está instalada en el Banco de Chile. ¿A qué se refiere?

‘Estamos haciendo una evaluación completa de la gestión de riesgos y del gobierno corporativo de la gestión de riesgos del banco, como lo hacemos todos los años. En particular, este año estamos revisando lo relacionado al riesgo operacional. Pero no se supone que la Superintendencia tenga que hacer una intervención tecnológica u operacional de una institución. Tenemos que ir a mirar que los procesos que se están montando y que permiten que se manejen los riesgos estén bien diseñados, que las políticas estén aprobadas por el directorio, que existan controles compensatorios, que cuando hay excesos respecto de los límites o incumplimiento respecto de la política se reporten al directorio. Que se tomen las medidas que corresponda cuando aparezcan indicadores de situaciones en que una persona aparentemente tiene la facultad de hacer un débito y confirmar el traspaso a otra cuenta.

—¿Cómo están las inversiones en ciberseguridad en la banca chilena? ‘Hemos hecho algunos cálculos y hay que tomarlos con una pizca de sal. Primero, porque no todos —y es parte de lo que tenemos que afinar— llaman todo de la misma forma. El número que tradicionalmente se sigue en la industria es cuánto se gasta en ciberseguridad respecto del gasto en tecnologías de la información. La experiencia en la OCDE es que debería fluctuar entre 5% y 20%. Nuestra sensación es que las instituciones en Chile han estado en el rango bajo, entre 6% y 7%. Pero es un indicador bien general’.

—¿Están los equipos de la SBIF preparados para estos nuevos temas? ‘Tenemos un equipo de supervisores con mucha experiencia y capacidad. Tenemos monitoreadas todas las dimensiones del riesgo de las instituciones, y es un trabajo que está bien hecho. Tenemos que incorporar estos elementos específicos de riesgo de ciberseguridad, tenemos que hacernos de las herramientas que nos ofrece la nueva Ley General de Bancos, y probablemente vamos a necesitar reforzar el equipo operacional y darle algunas herramientas adicionales’.

Recuadro : 
 
‘‘Falta que nos pongamos al día. Indudablemente, hace falta que los bancos hagan un esfuerzo y las inversiones necesarias para mejorar (en seguridad)’.

Nueva Ley de Bancos demandará capitalización por US$ 2.700 millones al sistema local

‘Estoy encantado de estar en esto; bien ocupado, pero también desafiado’, afirma Farren sobre el momento en el que le tocó asumir en la SBIF. La inminente aprobación de la reforma a la Ley General de Bancos hará que en cuestión de meses la institución se integre a la Comisión para el Mercado Financiero (CMF), que reemplazó a la SVS. ‘Lo veo como una oportunidad, se van a poder tratar de manera transversal ciertos temas como el riesgo operacional. Hoy supervisamos bancos y algunos de ellos son, en realidad, conglomerados financieros, porque tienen corredoras que dependen de los bancos; eso da una mirada más completa. La forma colegiada en que está diseñada la CMF la aísla del ciclo político, a la usanza del Banco Central. Y, además, la implantación de los estándares de Basilea III da más herramientas a los reguladores, por ejemplo, para pedir capitalización a las instituciones ante el riesgo operacional, herramienta que hoy no tenemos’.

—¿Está la banca preparada para esas exigencias de aumento de capital?

‘Es un tema bien importante y delicado. La verdad es que hoy la banca ya cumple con el índice de capital básico de Basilea III de 10,5% sobre activos ponderados por riesgo. Hoy todas las instituciones están sobre el 10,5%, incluyendo al BancoEstado. Sin embargo, si vamos a aplicar Basilea III, cambian las formas en que se calcula ese capital mínimo, por lo que algunas instituciones van a tener que hacer esfuerzos. Esos esfuerzos, para el total del sistema, suman aproximadamente US$ 2.700 millones y, efectivamente, el BancoEstado es el que probablemente tendrá que hacer el esfuerzo más grande’.

—¿Y qué plazo van a tener?

‘No los hemos determinado aún. Pero lo que probablemente va a ocurrir es que hay instituciones que ya están bien capitalizadas y lo van a mostrar al mercado como un elemento positivo de riesgo. Entonces, no creo que alguien se pueda dar el lujo de esperar seis años’. (El Mercurio)