El proyecto de ciberseguridad, desarrollo de capacidades e inclusión financiera, o Cyberfi, reúne a una comunicarseunidad sólida y transparente de profesionales e investigadores que trabajan en la inclusión financiera digital..Esta serie se centra en comunicarseprender los ecosistemas de inclusión financiera en sus propios términos: qué países están haciendo, qué está funcionando y qué no.Seis estudios de casos de países ayudan a capturar la diversidad de los mercados financieros en el continente africano: Sudáfrica, Nigeria, Camerún, Uganda, Ghana y Zimbabwe
Introducción
El ecosistema financiero digital nigeriano ha sido testigo de un crecimiento notable en los últimos años.Según McKinsey, Nigeria alberga más de 200 organizaciones FinTech, sin contar las soluciones fintech proporcionadas por bancos y operadores de redes móviles.1 New service providers range from mobile money operators and payment service providers to fintech firms and other financial services providers, a trend that is increasing the need to ensure consumer security and trust.Estos servicios vienen con numerosos comunicarseponentes digitales importantes, que incluyen aplicaciones móviles, tokens digitales, datos de servicio suplementarios no estructurados y libros de libros digitales, todos los cuales involucran vulnerabilidades potenciales.Es cada vez más importante que la industria financiera del país priorice la ciberseguridad, ya que es el sector más objetivo para los ataques cibernéticos..2
Elizabeth Kolade
Elizabeth Kolade is a Nigeria-based multidisciplinary cybersecurity professional with experience spanning the private sector, gobiernoernment service, and nonprofits. She is adept at helping organizations make sound decisions on risk management, policy development and implementation, forestalling cyber attacks, and handling and recovering from cyber incidents.El Banco Central de Nigeria (CBN) es el principal regulador nacional de servicios financieros, encargados de supervisar y administrar las regulaciones de política monetaria y del sector financiero del gobierno federal.Emite licencias a bancos y otras instituciones financieras.El CBN, en línea con sus poderes regulatorios y funciones de supervisión bajo su Ley de Establecimiento (la Ley de CBN) y la Ley de Bancos y otras instituciones financieras, ha tomado medidas destacadas para regular este espacio al esforzarse por fortalecer las defensas de ciberseguridad de los bancos y las instituciones no financieras..
Los instrumentos para hacerlo incluyen documentos comunicarseo el marco de seguridad cibernética basada en el riesgo y las directrices para los bancos de dinero de depósito y los proveedores de servicios de pago, el marco y las pautas de seguridad cibernética basada en el riesgo para otras instituciones financieras (OFI), el marco regulatorio para servicios de dinero móvil en Nigeria en Nigeria, y el marco de gestión de seguridad de riesgos y seguridad del sistema de pagos nigeriano.3 The CBN also collaborates with relevant stakeholders such as the Securities and Exchange Commission to develop market regulations for cryptocurrencies and the Nigerian Communications Commission—the telecomunicarsemunications sector’s regulator—to regulate mobile money operations.
La ciberseguridad es un pilar crucial en la política y estrategia de economía digital nacional de Nigeria, que describe una visión para diversificar la economía del país.4 The 2021 Nigerian National Cybersecurity Policy and Strategy (NCPS) identifies the banking, finance, and insurance sector as one of its thirteen critical information infrastructure sectors.5 The NCPS presents the Nigerian gobiernoernment’s approach to protecting these kinds of critical information infrastructure.El NCPS, comunicarseo se indica en el Capítulo 6.2, también tiene comunicarseo objetivo salvaguardar la economía digital de Nigeria fortaleciendo el marco legal y regulatorio del país y armonización de la legislación relacionada con el comunicarseercio electrónico y las protecciones del consumidor en línea, entre otros temas..
El CBN estableció el Departamento de Protección al Consumidor en abril de 2012 para desarrollar e implementar un marco efectivo de protección del consumidor y promover la confianza del consumidor en el sistema financiero.El departamento realiza tres funciones principales, a saber, la gestión de quejas, conducta y desarrollo del mercado, y educación y educación financiera del consumidor.Además, en enero de 2019, la Agencia Nacional de Desarrollo de Tecnología de la Información emitió el Reglamento de Protección de Datos de Nigeria destinado a proteger el derecho a la privacidad de los nigerianos, fomentando el entorno adecuado para las transacciones digitales, la creación de empleos y mejorar las prácticas de gestión de la información en Nigeria.
La diversidad del espacio financiero digital de Nigeria
El espacio financiero digital de Nigeria está proporcionado con una variedad de productos financieros digitales, servicios y proveedores de servicios (ver Figura 1).6 It features more than thirty deposit money banks, about 200 fintech firms, more than 900 microfinance banks, and numerous other financial institutions.La encuesta de acceso a los servicios financieros de 2020 en Nigeria realizado por una organización convocada en la mejora de la innovación financiera y el acceso informa que el 45 por ciento de la población de adultos de Nigeria usa bancos y que el 33 por ciento usa servicios financieros informales comunicarseo grupos de ahorro, asociaciones de aldeas y cooperativas.7 The CBN recognizes informal payment systems as drivers of financial inclusion and the need to incorporate these tools into formal systems.
Históricamente, el marco CBN sobre servicios de dinero móvil en Nigeria bloqueó a los operadores de redes móviles comunicarseo MTN Nigeria y Airtel Africa de ser operadores de dinero móvil a pesar de que son principales proveedores de infraestructura.Sin embargo, en noviembre de 2021, el CBN emitió una aprobación en principio para MTN Nigeria y Airtel Africa para operar bancos de servicios de pago.8 They are allowed to provide financial services to Nigeria’s unbanked population through subsidiaries, which they are required to set up.Aunque similar a los bancos tradicionales, estos proveedores de servicios tienen una licencia que les restringe participar en el riesgo de crédito y realizar operaciones de divisas.
El 25 de octubre de 2021, el gobierno nigeriano, a través del CBN, presentó la moneda digital del banco central de Nigeria, conocida comunicarseo la Enaira.9 The eNaira serves as both a medium of exchange and a store of value, offering better payment prospects in retail transactions comunicarsepared to cash payments.Su función prevista es dar a los clientes herramientas comunicarseerciales rápidas, seguras y simples para transacciones financieras.
Su lanzamiento, sin embargo, ha provocado reacciones mixtas de los nigerianos.Mientras que algunos han aplaudido la iniciativa, otros han cuestionado su necesidad y si se ha destinado a sensibilizar al público en general.Apenas cuarenta y ocho horas después del lanzamiento y una llamada para que los ciudadanos usen la plataforma Enaira, la aplicación de repente desapareció de Google Play en Nigeria, aumentando aún más el escepticismo entre los usuarios.La aplicación finalmente fue restaurada, y el CBN luego explicó que había desaparecido porque necesitaba someterse a un mantenimiento.10 Early users of the platform comunicarseplained of glitches and raised concerns about why the platform was asking them to input details on their existing bank accounts.La necesidad de vincular a las cuentas bancarias existentes también demuestra que la plataforma Enaira aún no sirve a la población no bancarizada de Nigeria.11
Una instantánea de los marcos regulatorios financieros cibernéticos de Nigeria
Un aumento en el número y la sofisticación de las amenazas dirigidas a los bancos de dinero de los depósitos, los proveedores de servicios de pago e instituciones financieras en general condujo a la promulgación del marco y pautas de seguridad cibernética basada en el riesgo de la CBN para los bancos de depósitos y los proveedores de servicios de pago.Las directrices, que entraron en vigencia el 1 de enero de 2019, describen los requisitos mínimos para mejorar la ciberseguridad de los bancos y los proveedores de servicios de pago para que sigan siendo resistentes y buscen proactivamente asegurar sus activos de información crítica e información del cliente en línea.12 This document also outlines the responsibilities of various entities within deposit money banks and payment service providers to achieve this goal.El marco, entre otras directrices, les dirige que integren la ciberseguridad en sus funciones comunicarseerciales y procesos generales de gestión de riesgos.También dirige a los bancos de dinero de depósito y a los proveedores de servicios de pago para realizar evaluaciones de riesgos regulares, evaluaciones de vulnerabilidad y análisis de amenazas para detectar y evaluar el riesgo de sus activos de información y determinar la idoneidad de los controles de seguridad para la gestión de estos riesgos.Estas instituciones también están obligadas a evaluar su postura de ciberseguridad y trabajar para lograr un perfil de ciberseguridad objetivo comunicarseo se describe en el marco.
El borrador de la versión del marco y las directrices de seguridad cibernética basada en el riesgo para otras instituciones financieras se publicó el 13 de agosto de 2021, para comunicarseentarios y comunicarseentarios públicos..Su objetivo es ayudar a prevenir y comunicarsebatir los delitos cibernéticos en el subsector OFI, promover la adopción e implementación de las mejores prácticas de ciberseguridad, crear un entorno de seguridad cibernética más segura y segura para apoyar las operaciones de OFI y, en última instancia, promover y mantener la confianza pública en el subsector OFI.13
El marco de gestión de la seguridad del sistema de pagos y la información del sistema de pagos nigeriano aborda el riesgo de seguridad de la información, entre otros.Este marco dirige a los proveedores y operadores de servicios de pago para implementar políticas de seguridad de la información en línea con los estándares ISO 27001 sobre la gestión de la seguridad de la información y para garantizar la confidencialidad, integridad y disponibilidad de toda la información, sistemas y redes que son críticos para el éxito operativo.También ordena a los proveedores de servicios de pago que realicen evaluaciones anuales de seguridad de la información, incluidas las pruebas de penetración y las evaluaciones de vulnerabilidad, para garantizar la conciencia y la implementación de los pasos adecuados para abordar los problemas actuales y continuos..
El fideicomunicarseiso del consumidor es esencial en los servicios financieros y, por lo tanto, es importante que los proveedores de servicios no solo ganen dicha confianza sino que también se esfuerzan por retenerla..A través de su departamento de protección al consumidor, el CBN emitió las regulaciones de protección del consumidor, que dirigen a todas las instituciones financieras a desarrollar políticas internas para cumplir con los esfuerzos regulatorios para mejorar la confianza del consumidor en la industria de servicios financieros y promover la estabilidad financiera, el crecimiento e innovación.14 Clause 3.2.6 En la segunda parte de las regulaciones de protección del consumidor exige que los bancos deben responder a las consultas de los clientes dentro de los cinco días hábiles posteriores a la recepción de las solicitudes y la cláusula 5.4 En la cuarta parte de los áspidectos destacados, las medidas destinadas a garantizar la protección del usuario y la privacidad.En consecuencia, el Reglamento de Protección de Datos de Nigeria, emitido y aplicado por la Agencia Nacional de Desarrollo de Tecnología de la Información, establece disposiciones para los derechos del consumidor de los sujetos de datos, la seguridad de los datos y la conducta segura de las transacciones que involucran datos personales.15
La Sección 19 (3) de la Ley de delitos cibernéticos (Prohibición, Prevención, etc.), 2015 hace una declaración sólida para que las instituciones financieras comunicarsebatan el fraude en un intento para salvaguardar la información del consumidor.16 Additionally, Sections 30 and 33–36 of the act outline guidelines and related sanctions for abuse of electronic transactions and related fraud.Las secciones 37–40 destacan los deberes de las instituciones financieras para identificar a sus clientes, retener registros y proteger los datos de los clientes, entre otros..Algunas de estas tareas incluyen aplicar los principios de sus clientes antes de ejecutar transacciones electrónicas y verificar las identidades de los clientes..17 These sections also outline penalties for individuals or organizations who fail to verify the identity of a customer before executing electronic instructions and for unauthorized debits and a failure to reserve such debits within the specified period.Como parte de las medidas diseñadas para garantizar la responsabilidad y mitigar las amenazas, la Sección 21 de la Ley requiere que los operadores de sistemas informáticos o redes, ya sean públicos o privados, informen incidentes al Centro Nacional de Coordinación del Equipo de Respuesta a Emergencias de la Computación para una acción apropiada.Los bancos y OFIS también deben tener resistencia operativa para ayudar a reducir el delito cibernético y fortalecer las defensas de ciberseguridad dentro del sector financiero.
A través del NCPS, Nigeria también se esfuerza por crear un entorno en línea que sea seguro, resistente y confiado por usuarios y empresas individuales dentro y fuera de sus fronteras.Una economía digital próspera para Nigeria significaría un entorno digital transformado y fácil de usar donde se asegura la seguridad de la información personal y confidencial;La seguridad de las actividades en línea está garantizada;y los derechos de los usuarios, empresas y proveedores de servicios están protegidos.Esto se puede lograr cuando se construyen la confianza y la confianza..La fortaleza de cualquier sistema o institución financiera está en la confianza y la confianza que los clientes y las personas comunicarseunes colocan en él;Por lo tanto, es fundamental que los sistemas e instituciones administren adecuadamente los riesgos y desafíos que enfrentan.18
Todas estas pautas, marcos y regulaciones han esbozado medidas destinadas a garantizar un entorno digital seguro y seguro para que los ciudadanos nigerianos puedan usar herramientas en línea de manera eficiente y rutinaria, incluidos los servicios financieros..Se puede observar una tendencia significativa sobre la implementación en el sector financiero.Aunque las organizaciones se encuentran en diferentes niveles de implementación de medidas de ciberseguridad, los proveedores de servicios financieros digitales y los bancos ahora tienen equipos de ciberseguridad, unidades o departamentos, y el CBN funciona activamente comunicarseo la agencia principal para el sector financiero.El CBN también alberga al Equipo de Respuesta a Emergencias de la Computación Sectorial para identificar y responder a los riesgos, amenazas y tendencias que involucran al sector financiero.
Incluso con todas estas medidas, los consumidores aún carecen de confianza en estas instituciones, específicamente bancos comunicarseerciales.A pesar de la existencia del departamento de protección del consumidor y los escritorios de ayuda, por ejemplo, algunos clientes han recurrido a entidades privadas en caso de disputas financieras con bancos.Una conversación con una entidad privada individual que ayuda a los clientes a buscar reparación reveló que, desde que comunicarseenzó a trabajar en incidentes, el Departamento de Protección al Consumidor nunca ha respondido a ningún correo electrónico o queja reportada a través de su dirección de correo electrónico oficial, a pesar de ser copiado en correspondencia con los bancos.19 However, banks seem to be responsive and take action when the Consumer Protection Department is copied in such email correspondence—a signifier of banks’ comunicarsepliance with legal provisions.Un representante de CBN declaró que 22,173 quejas, o el 94 por ciento de las quejas totales, de los clientes bancarios se habían resuelto a partir de junio de 2021.Según este representante, “el CBN [también] se ha asegurado de que los bancos [hayan] reembolsados un total de 89.2 mil millones [Naira] a varios clientes en función de las quejas resueltas, desde 2012.”20
Aunque los consumidores exhiben poca confianza en los bancos de ladrillo y mortero, parece que los usuarios de servicios financieros prefieren seguir con lo familiar que las nuevas incertificadoidumbres al azar.Los intentos frecuentes de fraude y phishing, tarifas poco claras, cargos ocultos y un rastro deficiente en disputas de reparación también tienen un impacto directo en la decisión de los clientes de usar servicios financieros digitales, según una encuesta reciente sobre protección del consumidor en el país..21 These perceived threats may also be responsible for Nigerian customers having reservations about readily adopting emerging digital financial service products.Otros también han resuelto nunca poseer una tarjeta de cajero automático o activar los servicios de banca digital debido a experiencias personales o cuentas de estafa de segunda mano.
Si bien ha habido un progreso significativo en Nigeria para reforzar la ciberseguridad tradicional (particularmente para los servicios financieros digitales), también existen desafíos notables.Estos incluyen fallas repetidas para informar incidentes de ciberseguridad, la capacidad inadecuada de los equipos de ciberseguridad en las instituciones financieras y los bajos niveles de conciencia del consumidor, todos los cuales afectan directa e indirectamente la confianza y la confianza del consumidor en estos sistemas.22 Such challenges can be tied to the need to better gauge how cybersecurity guidelines, frameworks, and regulations in the financial sector are being implemented.
Un camino a seguir
El sector financiero nigeriano ha hecho avances encomunicarseiables para mejorar la resiliencia de ciberseguridad en los servicios financieros digitales.Sin embargo, se debe hacer más para implementar de manera efectiva estos instrumentos asociados para mejorar y retener la confianza del consumidor y la confianza en el ecosistema de servicios financieros digitales del país.Algunas áreas de mejora se describen a continuación.
Notas
1 Topsy Kola-Oyeneyin, Mayowa Kuyoro, and Tunde Olanrewaju, “Harnessing Nigeria’s Fintech Potential,” McKinsey, September 23, 2020, https://www.McKinsey.comunicarse/apariencia de insights/Middle-East-and-Africa/Harnessing-Nigerias-Fintech-Potential.
2 Limor Kessem, “Threat Actors’ Most Targeted Industries in 2020: Finance, Manufacturing and Energy,” Security Intelligence, March 31, 2021, https://securityintelligence.comunicarse/publicaciones/amenazas dirigidas a la industria-2020-finanzas-fabricación-energía-energía.
3 “Risk-Based Cybersecurity Framework and Guidelines for Deposit Money Banks and Payment Service Providers,” Central Bank of Nigeria, June 25, 2018, https://www.CBN.gobierno.ng/out/2018/bsd/riesgo%20Based%20 ciberseguridad%20Framework%20 exposición%20Draft%20 junio.PDF;"Marco y directrices de seguridad cibernética basada en el riesgo para otras instituciones financieras", Banco Central de Nigeria, 13 de agosto de 2021, https: // www.CBN.gobierno.ng/out/2021/OFISD/exposición%20DAFT%20OF%20The%20Risk%Basado%20Cyber-Security%20FrameWork_August%202021%20pdf.PDF;"Marco regulatorio para servicios de dinero móvil en Nigeria", Banco Central de Nigeria, julio de 2021, https: // www.CBN.gobierno.ng/out/2021/ccd/marco%20 y%20Guidelines%20on%20mobile%20Money%20Services%20in%20nigeria%20-%20 julio%202021.PDF;y "Marco de gestión de la seguridad del sistema de pagos y el sistema de pagos nigerianos", Banco Central de Nigeria, 2020, https: // www.CBN.gobierno.ng/out/2020/PSMD/nigerian%20payments%20System%20Risk%20 y%20información%20 SECURIDAD%20Management%20FrameWork.pdf.
4 “National Digital Economy Policy and Strategy (2020 – 2030),” Nigerian Federal Ministry of Communications and Digital Economy, https://www.ICONA.gobierno.Ng/Docman-Main/Industry-Statistics/Policies-Reports/883-National-Digital-Economy-Policy-and-Strategy/Archivo.
5 “National Cybersecurity Policy and Strategy,” Nigerian Government, February 2021, https://certificado.gobierno.ng/ngcertificado/recursos/national_cybersecurity_policy_and_strategy_2021.pdf.
6 “List of Deposit Money Banks as at September 30, 2021,” Central Bank of Nigeria, September 30, 2021, https://www.CBN.gobierno.ng/out/2021/fprd/depósito%20money%20banks%20300921.PDF;Kola-oyeneyin, Kuyoro y Olanrewaju, "aprovechando el potencial de fintech de Nigeria";"Lista de instituciones financieras-Bancos de microfinanzas", Banco Central de Nigeria, https: // www.CBN.gobierno.Ng/Supervisión/Inst-MF.áspid;e "instituciones financieras", Banco Central de Nigeria, https: // www.CBN.gobierno.ng/supervisión/finstitutions.áspid.
7 “EFInA Access to Financial Services in Nigeria 2020 Survey Report,” Enhancing Financial Innovation and Access, June 3, 2021, https://a2f.ng/wp-content/uploads/2021/06/a2f-2020-final informes.pdf.
8 Uto Ukpanah, “The Central Bank of Nigeria Grants Approval in Principle for the Proposed Momo Payment Service Bank Limited,” MTN Nigeria Communications, November 5, 2021, https://doclib.grupo ngx.comunicarse/financier_newsdocs/34548_mtn_nigeria_comunicarsemunications_plc%20The_Central_Bank_of_Nig.PDF;Simon O'Hara, "Aprobación en principio para la licencia de Banco de Servicios en Nigeria", Airtel Africa, 5 de noviembre de 2021, https: // Doclib.grupo ngx.comunicarse/financier_newsdocs/34549_airtel_africa_plc%20Approval_in_principle_for_payment_se.pdf; Adegoke Oyeniyi, “MTN and Airtel Get “Approval in Principle” to Launch Mobile Money Services in Nigeria,” Tech Cabal (blog), November 5, 2021, https://techcabal.comunicarse/2021/11/05/mtn-and-airtel-get-aprobación-en-principe-to-launch-mobile-mononey-services in-nigeria.
9 Osita Nwanisobi, “President Buhari To Unveil eNaira on Monday, 25 October 2021,” Central Bank of Nigeria (press release), October 23, 2021, https://www.CBN.gobierno.ng/out/2021/ccd/enaira%20launch%20Press%20release%20%20231021.pdf.
10 Ogochukwu Anioke, “Breaking: Why e-Naira Went Missing on Google Playstore, by CBN,” Nation Online, November 2, 2021, https://thenationonlineng.net/breaking-why-e-naira-went-missing-on-google-playstore-by-CBN.
11 Nzekwe Henry, “The Inside Story of How Nigeria’s eNaira Digital Currency Vanished for 24 Hours,” WeeTracker, November 2, 2021 https://weetracker.comunicarse/2021/11/02/nigeria-eraira-glitches.
12 “Risk-Based Cybersecurity Framework and Guidelines for Deposit Money Banks and Payment Service Providers,” Central Bank of Nigeria.
13 “Risk-Based Cybersecurity Framework and Guidelines for Other Financial Institutions,” Central Bank of Nigeria.
14 “Consumer Protection Regulations,” Central Bank of Nigeria, December 20, 2019, https://www.CBN.gobierno.ng/out/2019/ccd/CBN%20consumer%20protection%20regulations.pdf.
15 “Nigeria Data Protection Regulation,” Nigerian National Information Technology Development Agency, January 25, 2019, https://ndpr.nitda.gobierno.ng/content/doc/nigeriadataprotectionregulation.pdf.
16 “Cybercrimes (Prohibition, Prevention, Etc) Act, 2015,” Nigerian Computer Emergency Response Team, https://www.certificado.gobierno.ng/ngcertificado/resources/CyberCrime__Prohibition_Prevention_etc__Act__2015.pdf.
17 James Chen, “Know Your Client (KYC),” Investopedia, April 17, 2021, https://www.Investopedia.comunicarse/términos/k/knowyourclient.áspid.
18 Oludare Senbore, “CBN Issues Draft Guidelines to Address Cybersecurity in Financial Sector,” Aluko and Oyebode, December 2018, https://web.archivo.org/Web/20210422104648/https: // www.aluko-oyebode.comunicarse/insights/CBN-issues-draft-guidelines-to-address-cybersecurity-in-financial-sector/.
19 Author interview with private individuals who assist consumers with financial disputes seeking redress (via Zoom), November 3, 2021.
20 Catherine Agbo, “Bank Customers Get N89bn Refund on Failed Transactions in 9 Years – CBN,” Twenty-First Century Chronicle, August 6, 2021, https://21stcenturychronicle.comunicarse/banks-customers-get-n89bn-refund-on-failed-transactions-in-9-years-CBN.
21 William Blackmon, Rafe Mazer, and Shana Warren, “Nigeria Consumer Protection in Digital Finance Survey,” Innovations for Poverty Action, March 2021, https://www.acción de la pobreza.org/sites/default/files/nigeria-consumer-surveve-report.pdf.
22 Abubakar Idris, “Why Some of Nigeria’s Worst Cyberattacks Are Not Reported,” Tech Cabal (blog), July 21, 2020, https://techcabal.comunicarse/2020/07/21/Why-Some-of-Nigerias-Worst-CyberAttacks-no se informa.
23 “Fraud in the Nigerian Financial Services,” (2nd edition), Nigerian Inter-Bank Settlement System, https://nibss-plc.comunicarse.ng/medios/pdfs/post/nibss%20insights%20fraud.pdf.
24 “CBN, Stakeholders Launch Cybersecurity Campaign #NoGoFallMaga,” Punch, July 20, 2021, https://punchng.comunicarse/CBN-stakeholders-launch-cybersecurity-campaign-nogofallmaga.
25 Tim Maurer, Kathryn Taylor, and Taylor Grossman, “Cyber Resilience and Financial Organizations: A Capacity-building Tool Box” Carnegie Endowment for International Peace, December 2020, https://carnegieendowment.org/specialProjects/FiCyber/Guides.
