Nueva Norma amenaza el 95% del e-Commerce en México: The Home Store
Por Armando Velez, gerente e-Commerce, The Home Store:
Debido al incremento de quejas de comercio electrónico en CONDUSEF de 2012, que eran 40,000 anuales, a 1.7 millones en el primer trimestre de 2018 (4,250% de incremento en 6 años), Mario Di Costanzo titular de CONDUSEF, anunció recientemente que en septiembre de este año la Secretaría de Economía, en conjunto con PROFECO estarían emitiendo de manera exprés y fast track una Norma de Comercio Electrónico, la cual busca exigir a los comercios en línea contar con mecanismos de autenticación de usuarios y resguardo de tarjetas, cuyo costo para tener esta certificación pudiera llegar hasta la cantidad de $50,000 USD anuales en una certificación de PCI Compliance, pues menciona que cerca del 70% de los comercios electrónicos en México guardan tarjetas, pero “no existen lineamientos que obliguen a los comercios a proteger las bases de datos de la información guardada de los compradores”.
Esto significa, que estarían prácticamente sacando de la industria de e-Commerce a las PyMEs que representan el 95% del comercio electrónico del país, de acuerdo con el estudio de PayPal y Big Data, pues dichas certificaciones, sumamente costosas, sólo podrían pagarlas retailers y marketplaces como Amazon, Mercado Libre, Liverpool, Walmart, por mencionar algunos.
Como anunció Julio Vega, presidente de la Asociación de Internet MX (antes AMIPCI): “Es necesario que la norma termine siendo una guía de fácil adopción y que verdaderamente ayude a que más comercios suban sus productos y servicios en línea, que los consumidores cuenten con una certeza de mejores prácticas, más que generar una norma que se vuelva imposible y que solo unos cuantos puedan cumplir, que son aquellas empresas que tienen dinero o áreas completas de compliance”.
Yo me pregunto, ¿de casualidad esta persona a cargo de la CONDUSEF sabe realmente de dónde vienen las tarjetas clonadas, el robo de identidad, y fraudes electrónicos de tarjetas de crédito y débito? Pues evidentemente no, se estima que el fraude de tarjetas viene de comercios físicos como gasolineras, restaurantes, negocios de venta al por menor, etc, y existen enormes bases de datos de tarjetas que son vendidas y utilizadas todos los días por Internet, hasta que llegan a diversos comercios electrónicos en México, donde los Bancos no tienen la infraestructura ni los recursos necesarios para detectar y bajar el fraude en línea.
Como advierte Julio Vega: “De no conseguir una norma asequible para pequeñas empresas se crearía una brecha más amplia entre las empresas de este sector, pues por un lado quedarían los grandes conglomerados del eCommerce, en contraste con cientos de PyMEs y emprendedores”.
Es absurdo además pensar que el robo de datos de tarjetas de crédito y débito, con los cuales hacen fraudes en Internet, venga de los mismos comercios electrónicos, pues de acuerdo al último estudio de PayPal y Big Data de este año, hubo un crecimiento notable en el porcentaje de sitios de comercio electrónico en México que han adoptado certificados de seguridad, el cual representa un 96.85% de todos los comercios electrónicos que ya poseen certificados de seguridad SSL (secure socket layer) que encripta la información sensible de usuarios como datos de tarjetas, vs un 58.48% de los comercios en 2017, de acuerdo a una nota de CNN Expansión de hace dos meses.
¿Quiénes son los encargados de autenticar entonces a los tarjetahabientes en comercio electrónico? Evidentemente tampoco sabe que los comercios en línea no son dueños del motor de pagos ni tienen acceso al código del mismo para monitorear las transacciones y autenticar a los usuarios, ¿Pero entonces quiénes son los responsables de autenticar que los tarjetahabientes son en realidad quienes dicen ser? Los Bancos son los responsables de autenticar a los tarjetahabientes, pero no se incluyen en la Norma, y la responsabilidad pareciera que se la están cargando a los comercios en línea
Recomendaciones
A continuación detallo una serie de recomendaciones que hago a las autoridades como Secretaría de Economía, PROFECO y CONDUSEF, para que antes de girar iniciativas de normas y regulaciones a la industria de e-Commerce, revisen los pasos previos que se tienen que hacer para que efectivamente se disminuya el fraude en línea, y no se perjudique a las PyMES con decisiones tomadas al aire y sin sustento, como una medida fast track para salir del paso antes del cambio de gobierno. Necesitamos en toda la industria de e-Commerce, llámese PyMES o grandes empresas, que el gobierno se comprometa a:
1.- Fortalecer la procuración de justicia para detener a defraudadores en línea: mediante un aumento de las penas, multas y sanciones para fraudes en línea; realizar un reglamento o ley federal que regule los fraudes cibernéticos, y realizar campañas publicitarias dando a conocer las nuevas penas para mitigar los casos.
2.- Regulación y vigilancia de los dominios y sitios web: actualmente solo existen los sellos de confianza de Asociación de Internet Mx para dar un poco más de seguridad a los usuarios al comprar en línea, pero no es suficiente. Se necesita:
–Que NIC esté involucrado con gobierno para otorgar dominios solo a empresas y personas que verifiquen su identidad y datos personales como dirección, RFC, acta constitutiva, poder notarial, etcétera. Con esto se evitaría tener sitios de empresas fantasmas que pudieran hacer phishing.
–Creación de un reglamento o ley para el otorgamiento de dominios en México.
–Creación de campañas publicitarias para comunicar las nuevas disposiciones.
–Creación de un directorio nacional de dominios, en donde un usuario pueda validar que x dominio ya fue validado y revisado por el gobierno o la dependencia correspondiente como comercio seguro.
3.- Regulación de los medios de pago para eCommerce: actualmente los Bancos y agregadores no están brindando el servicio adecuado, con porcentajes de aceptación bajísimos y parece que ninguna dependencia está monitoreando y regulando esto. Se necesita:
–Definir la dependencia a la cual pueden acceder los comercios para levantar quejas del servicio.
–Crear un reglamento para bancos y agregadores en eCommerce y que se garanticen los niveles de servicio óptimo o mínimo.
–Crear dentro de este reglamento las sanciones o multas claras de no brindar el servicio esperado por contrato con Bancos y agregadores.
–Realizar campañas publicitarias y boletines para difundir las nuevas disposiciones.
Dicho esto, la nueva Norma de Comercio Electrónico que la Secretaría de Economía, PROFECO y CONDUSEF piensan emitir en septiembre de este año, deberá también incluir estos lineamientos para que sea pareja, y no favorecedora de las grandes empresas y los Bancos, sino que éstos últimos también se comprometan a trabajar en conjunto con los comercios y así se tengan las plataformas antifraude, las herramientas necesarias, y la capacitación requerida para operar de manera segura. Pero no es posible pedirle a una pequeña empresa cuando va iniciando que se certifique en PCI Compliance con $50,000 USD anuales, y por otro lado no exigirle al Banco adquiriente a que brinde las herramientas necesarias al comercio para poder vender en Internet.
Espero que esta Norma al final contenga la visión y la opinión también de la Industria a la que pertenezco, y no se quiera sacar sin consultar antes al sector y habiendo analizado previamente, todas las consecuencias de autorizarla como se tiene pensado al día de hoy, porque eso, lejos de ayudar a fomentar la competitividad, el crecimiento y la industria de comercio electrónico, estaría ocasionando justamente lo contrario.