[12/08/2022] A medida que los reguladores reparten cientos de millones de dólares en multas por fallas en el mantenimiento de registros relacionados con el uso de plataformas de mensajería social como WhatsApp, el sector financiero se enfrenta a una elección: hacer cumplir adecuadamente las prohibiciones de uso de estas aplicaciones, o encontrar formas de hacerlas cumplir.
"La explosión de los nuevos canales de comunicación electrónica -y su uso generalizado- hace saltar las alarmas a los reguladores", afirma Anthony Diana, socio del grupo de tecnología y datos del bufete de abogados Reed Smith. "El temor es que, si están ocurriendo cosas malas, están sucediendo en estas aplicaciones personales, no en los canales de comunicación sancionados que son vigilados".
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Apps como WhatsApp existen desde hace años, pero su uso en el sector financiero creció durante la pandemia del COVID-19, ya que los asesores financieros y los comerciantes trabajaban desde casa y buscaban formas de mantenerse en contacto con colegas y clientes.
Los bancos solían prohibir directamente este tipo de aplicaciones para consumidores, pero esta postura ha empezado a cambiar en algunas empresas, que ahora optan por capturar los datos de las conversaciones con fines de cumplimiento. Esto permite a los empleados utilizar las herramientas de comunicación que prefieren -y, lo que es más importante, las herramientas que prefieren sus clientes-, al tiempo que se mantienen en el lado correcto de los reguladores.
"Abordar los requisitos normativos relativos a la captura, el archivo y la supervisión del uso de las comunicaciones móviles es un problema difícil", afirma Raúl Castañón, analista principal de 451 Research, una división de S&P Global Market Intelligence. "El cambio hacia el trabajo híbrido y el creciente uso de las comunicaciones móviles después de la pandemia, hacen que sea cada vez más relevante para las organizaciones habilitar comunicaciones que cumplan con la normativa".
Diana afirma: "Se reconoce que la gente va a seguir utilizando el correo electrónico, pero tiene que haber otras formas de comunicarse. Ahora, la prisa está en identificar los canales que tienen más sentido desde una perspectiva de negocio, y luego asegurarse de que la tecnología está en su lugar para asegurarse de que es capturado y vigilado correctamente".
Con dos mil millones de usuarios activos, WhatsApp es la herramienta de mensajería más popular entre los consumidores, aunque no es ni mucho menos la única. iMessage, Facebook Messenger, WeChat, Telegram y Signal se han abierto paso en el lugar de trabajo, a medida que han proliferado los smartphones y han madurado los planes corporativos de "trae tu propio dispositivo".
Todo se reduce a la sencillez y la comodidad, sostiene Ari Lightman, profesor de servicio distinguido, medios digitales y marketing, en el Heinz College of Information Systems and Public Policy de la Universidad Carnegie Mellon. "¿Por qué iba a utilizar una plataforma que, en teoría, no proporciona su empresa? Por la facilidad de uso. Pasamos tanto tiempo en el correo electrónico que se convierte en un sumidero de tiempo; todo el mundo se ve terriblemente inundado, así que acuden a las aplicaciones de mensajería".
Aunque el uso de aplicaciones de comunicación no autorizadas puede ser un dolor de cabeza para cualquier empresa, el problema es más grave en sectores muy regulados. Los bancos están obligados por los reguladores a mantener un registro de las comunicaciones de los empleados relacionadas con la empresa para ayudar a combatir el fraude, el uso de información privilegiada, la manipulación del mercado y otras formas de mala conducta.
Incluso si la gran mayoría de los mensajes enviados son inofensivos, el uso de las aplicaciones de mensajería social hace que los reguladores pierdan visibilidad sobre lo que se dice. "Ese es el quid de la cuestión: si no se sabe lo que ocurre en esas plataformas, hay sospechas asociadas", indica Lightman.
Los reguladores estadounidenses apuntan a las empresas de primer nivel
No es un problema nuevo en el sector financiero. Hace años que se imponen multas por el uso no conforme de diversas tecnologías de la comunicación, pero en los últimos meses los reguladores han empezado a adoptar una postura aún más dura en relación con las aplicaciones de mensajería personal.
En particular, JPMorgan recibió en diciembre una multa combinada de 200 millones de dólares de la Comisión del Mercado de Valores de Estados Unidos (SEC, por sus siglas en inglés) y de la Comisión de Comercio de Futuros de Materias Primas (CFTC, por sus siglas en inglés) por no haber supervisado y almacenado las comunicaciones electrónicas entre el 2018 y el 2020. La SEC citó el uso de WhatsApp, mensajes de texto y cuentas de correo electrónico personales para asuntos de negocios, una práctica común incluso entre los altos cargos encargados de velar por el cumplimiento de las políticas corporativas.
Y se ha demostrado que es solo el comienzo: Citigroup, Goldman Sachs y HSBC fueron algunos de los bancos que anunciaron su cooperación con una investigación de la SEC en las declaraciones de resultados financieros anuales a principios de este año. Desde entonces, se ha informado de que Citi, Bank of America y Goldman Sachs están en conversaciones con los reguladores para pagar unos 200 millones de dólares por no haber vigilado las aplicaciones de mensajería no autorizadas. Barclays y Morgan Stanley habrían reservado una cantidad similar para multas relacionadas.
Pero, aunque son los grandes bancos los que han atraído la ira de los reguladores hasta ahora, el problema es generalizado en todo el sector. "Todas las instituciones financieras sujetas a esta normativa están en el punto de mira de los reguladores", anota Diana. "Están empezando con los [bancos] grandes porque eso envía el mensaje a toda la industria de que esto es un foco de atención".
Captura de mensajes de WhatsApp
Hace tiempo que los bancos pueden acceder a programas y servicios de proveedores de tecnología de cumplimiento que permiten grabar los datos de voz y SMS. A medida que el uso de las aplicaciones de mensajería social se ha ido generalizando, algunos proveedores han añadido capacidades para rastrear también las aplicaciones de mensajería social en los últimos años.
Hay diferentes enfoques para conseguirlo. En algunos casos, se trata de instalar una versión separada y corporativa de WhatsApp en el teléfono del usuario, con un número de teléfono diferente para entregarlo a los clientes. Se puede desplegar un "envoltorio" de WhatsApp a través de una plataforma de gestión de dispositivos móviles (MDM, por sus siglas en inglés) o de gestión de la movilidad empresarial (EMM, por sus siglas en inglés) para proporcionar el archivo de los mensajes de WhatsApp en los dispositivos iOS y Android, así como en las versiones de escritorio de la aplicación. "Otras opciones incluyen el uso de la tecnología de virtualización que permite el co-hosting de dos o más entornos virtuales seguros en un solo dispositivo móvil", señala Castañón.
Normalmente es posible capturar los datos de los mensajes instantáneos de los mensajes directos y los chats de grupo, así como las llamadas de voz y video, los enlaces compartidos, los archivos y otros archivos adjuntos.
Algunos de los principales proveedores que ofrecen la captura de WhatsApp son Guardec, LeapXpert, Movius, Symphony, TeleMessage y Voxsmart.
El software de Movius puede supervisar y grabar las llamadas de voz, los SMS y los mensajes de WhatsApp en los dispositivos móviles.
Movius, que también vende software para supervisar y grabar llamadas de voz, SMS y mensajes de WhatsApp en dispositivos móviles, cuenta con JPMorgan Chase y UBS entre sus clientes. El Financial Times ha informado recientemente de que el banco alemán Deutsche Bank ha pedido a su personal que instale la aplicación en los teléfonos inteligentes.
Movius declinó hacer comentarios sobre sus clientes. Pero el director general de Movius, Ananth Siva, dijo que los bancos son cada vez más conscientes de la necesidad de dotar a su personal de cualquier herramienta que utilicen para hacer negocios.
"Si no los equipa con un canal en el que los clientes de la empresa piden interactuar, entonces va a tener todos estos desafíos [con los reguladores]", señala Siva. "Todas las empresas con las que trabajamos son muy conscientes de ello. Algunas llevan años trabajando en ello y están mejor equipadas para afrontar estos retos, otras pueden ser seguidoras rápidas".
El enfoque de Movius consiste en proporcionar una aplicación que se puede descargar en el dispositivo del empleado, creando un número de teléfono independiente que se utiliza para las comunicaciones relacionadas con la empresa. Todos los mensajes enviados o las llamadas realizadas a través del número pueden registrarse automáticamente. Con la aplicación instalada, los profesionales de las finanzas pueden enviar mensajes de WhatsApp a los clientes, que reciben una notificación pidiéndoles que "acepten" la supervisión de la conversación, aunque los clientes no necesitan instalar la aplicación en su propio dispositivo.
La posibilidad de supervisar las aplicaciones de mensajería plantea inevitablemente problemas de privacidad, incluso en un sector que ya está sujeto a una amplia supervisión. El requisito de que los empleados instalen aplicaciones de control en sus teléfonos inteligentes personales podría dar lugar a algunas conversaciones difíciles, sobre todo con los altos ejecutivos.
Sin embargo, Siva afirma que la aplicación Movius aísla las comunicaciones del resto del smartphone del usuario, permitiéndole tener un perfil de WhatsApp independiente para su uso personal. En ese caso, los mensajes personales deberían -teóricamente, al menos- estar exentos de vigilancia. "Nuestra tecnología facilita esa separación trabajo/personal en el mismo dispositivo", anota. "Las instancias están completamente separadas".
Una vez capturados los datos de la conversación, pueden tratarse como cualquier fuente de datos de comunicación que se supervisa con fines de cumplimiento.
El personal del banco depende de una variedad de herramientas digitales autorizadas para comunicarse interna y externamente, como la funcionalidad de chat dentro de los terminales Bloomberg y Thomson Reuters Eikon, así como las plataformas de colaboración ampliamente utilizadas, como Microsoft Teams, Slack y las plataformas de video, incluyendo Zoom. Al capturar las conversaciones de WhatsApp, los datos pueden estar disponibles para el e-discovery y la supervisión, al igual que cualquier otro canal, señala Shiran Weitzman, CEO de Shield, un proveedor de software de cumplimiento de comunicación. "De la misma manera que se hace con el chat de Bloomberg o con un correo electrónico, se hace también con WhatsApp", añade. "Básicamente hacemos que el canal sea irrelevante para el trabajo de cumplimiento".
Además de cotejar y archivar las comunicaciones para las auditorías, se puede aplicar el procesamiento del lenguaje natural a los datos de las conversaciones para señalar indicios de posibles conductas indebidas. También es posible vigilar y lanzar alertas cuando los empleados intentan trasladar una conversación a canales no aprobados, destacando frases como "vamos a trasladar la conversación a Telegram", que podrían aparecer en un intercambio de correos electrónicos o en un chat de Teams.
"Tenemos un módulo en nuestra plataforma de vigilancia que busca específicamente palabras como "Movamos esto a WhatsApp, o a Telegram", "Hazme ping en Signal", o lo que sea", sostiene Brian Lynch, presidente de operaciones en Estados Unidos de SteelEye, un proveedor de software de monitoreo e informes de cumplimiento. "Da una indicación en los canales monitorizados existentes que podría desmentir algún uso de WhatsApp".
¿Funcionaría una prohibición total de WhatsApp?
A pesar de la prevalencia de WhatsApp como herramienta de comunicación empresarial, son relativamente pocos los que realmente supervisan el uso de la aplicación. Solo el 15% de las instituciones financieras supervisan actualmente la plataforma, según una encuesta realizada por SteelEye entre 170 profesionales de alto nivel de cumplimiento. Son aún menos los que hacen un seguimiento de la popular aplicación de colaboración en el lugar de trabajo Slack (9%), mientras que Microsoft Teams (40%), Bloomberg Chat (40%) y Zoom (25%) son más propensos a ser monitoreados. (Los datos de la encuesta abarcan empresas financieras de distintos tamaños, por lo que los resultados pueden no ser representativos de la postura adoptada por las empresas más grandes, de "primer nivel").
La investigación de SteelEye también descubrió que el 41% de las empresas de servicios financieros ven la supervisión de las comunicaciones como una prioridad en los próximos 12 meses, lo que indica un posible cambio de actitud.
No es sorprendente que tan pocas instituciones supervisen el uso de WhatsApp, señala Lynch, dado que muchas confían en las políticas internas para hacer cumplir las prohibiciones sobre el uso de tales herramientas. Hay un número significativo que ha decidido que la "política" es la forma en que van a gestionar [el uso de las aplicaciones de mensajería]", indica.
Incluso ante el aumento del escrutinio normativo, muchas empresas de servicios financieros se contentarán con aplicar las políticas para limitar el uso de las aplicaciones de mensajería. Pero para las que opten por este enfoque, es importante reconocer que es probable que el personal siga accediendo a estas aplicaciones, y tomar medidas suficientes para hacer cumplir las políticas.
"Una empresa puede elegir el camino que quiere seguir, pero no puede limitarse a decir: 'Vamos a prohibirlo', frente a 'Vamos a permitirlo'", sostiene John Lukanski, socio del Grupo de la Industria Financiera de Reed Smith. "Si se va a prohibir, hay que establecer un proceso de supervisión para vigilarlo. No creo que se pueda decir: 'No te vamos a dejar usar esto', pero luego, con un guiño y un movimiento de cabeza, saber que, sin embargo, está en marcha".
Sea cual sea el enfoque que adopten, las instituciones financieras deberían considerar su estrategia ante la amenaza de los reguladores. "Los reguladores están buscando un momento de ajuste de cuentas, así que hay que ser lo suficientemente inteligente como para reconocerlo y hacer algo al respecto", añade Lukanski.
El trabajo híbrido y a distancia aumenta el uso de aplicaciones de mensajería
Sea cual sea el enfoque que adopten los bancos, está claro que las aplicaciones de mensajería personal no van a desaparecer, y aunque WhatsApp es la herramienta más popular actualmente, el panorama puede cambiar rápidamente. "Con las diferentes formas en que la gente se puede comunicar, va a ser un desafío siempre presente y en evolución mantenerse al día", anota Lukanksi.
Además de la proliferación de diferentes herramientas de mensajería móvil, es probable que la frecuencia con la que se utilizan haya aumentado durante la pandemia, ya que el personal trabajaba desde casa y recurría a diversas herramientas digitales. La Autoridad de Conducta Financiera del Reino Unido advirtió el año pasado que "el riesgo de mala conducta o de abuso de mercado puede verse incrementado por el trabajo en casa" con el aumento del uso de herramientas de mensajería no supervisadas.
"El uso de todos estos canales de comunicación personal se vio ciertamente acelerado por la pandemia, porque la gente necesitaba una nueva forma de comunicarse", señala Diana. "Muchas de las funciones de control que se utilizaban en el pasado -como limitar lo que podían hacer desde el escritorio- se quedaron en el camino".
Aunque algunas empresas financieras han mostrado su oposición a que los empleados trabajen a distancia, parece que el trabajo híbrido seguirá siendo habitual en el sector financiero. Una encuesta realizada en nombre del proveedor de tecnología Riverbed indica que la mayoría (83%) de los responsables de la toma de decisiones empresariales y de TI de las empresas de servicios financieros esperan que al menos el 25% de sus empleados sigan trabajando en un modelo híbrido después de la pandemia, mientras que casi la mitad (42%) de los encuestados espera que la mitad de su planilla sea híbrida.
De ser así, las empresas tendrán dificultades para dejar de utilizar las aplicaciones de mensajería personal por completo.
"Estamos asistiendo a una completa alteración de nuestra forma de trabajar, de comunicarnos y de relacionarnos; acaban de estallar mecanismos mucho más cómodos y utilizables", afirma Lightman. "El genio está fuera de la botella: hay que averiguar cómo vivir simbióticamente con este tipo de plataformas".
Basado en el artículo de Matthew Finnegan (Computerworld) y editado por CIO Perú