Bancos y Comercio Electrónico

Nuestra relación con el comercio electrónico, batallita abuelo cebolleta de primer plato, se remonta a finales de los 90 y una x25 que daba servicio a dos clientes de comercio electrónico de entonces, una floristería y una librería, y aquel modem x25 heredado de telefónica España al que un buen compañero le añadió un modem rtc y un sales kit para enviar un código que lo reiniciase. Tenía la mala costumbre de colgarse los fines de semana y en fiestas, pero el responsable de nuevos canales del banco no debía hacer fiesta o aquellos dos únicos clientes estaban todo el día haciendo pruebas, en especial el fin de semana.

Hoy aún no me salen los números de que costaba todo el montaje, por un 0,3% de comisión y todo el montaje de la plataforma pagado por la entidad bancaria, pero cuando la entidad había pagado más de 80 millones de pesetas de la época por un portal competencia de OLÉ que nunca vio la luz, al darse cuenta que los contenidos los tenían que poner ellos y que no se llenaban solos por internet por arte de magia, lo entiendes o intentas entenderlo.

Hace poco, a tenor del bug de SSL 3.0, conocido muchos meses antes, por no decir desde el día de su nacimiento, preguntad a algún “Apostol” por ello, empezaron a entrar consultas y quejas de clientes con la plataforma de pago @redsys_es que para nosotros sigue siendo la Sermepa de aquella x25, con la misma calidad y voluntad de servicio, que no es la única, ya le tocará a @PayPal, nadie cambió nada, nadie había tocado nada y toda la culpa era del programador, del CMS o del hosting; la variable fija era responder atacando al posiblemente más débil, pero nunca reconocer que alguien muy a la ligera decidió deshabilitar el SSL 3.0 de los servicios de @redsys_es, equivocarse en algo y en vez de reconocerlo, la culpa es del cha cha cha.

Nuestra responsable de seguridad llamó a un cliente para explicarle que la culpa no era de su programador, y que quien le dijo que su programador había tocado algo o actualizado su cms y por eso fallaban las ventas, estaba desviando su responsabilidad y acusando a quien no debía. Porque nos comprometimos? pues porque nuestro trabajo es apoyar al cliente, y más cuando alguien esquiva responsabilidades.

Con @PayPal pasa algo parecido, cliente que recibe mensajes a diario de que su servidor no responde a las peticiones IPN, cliente preocupado por si está perdiendo ventas, pero no tiene peticiones pendientes en su CMS, y tampoco ningún dato en su cuenta de @PayPal. Sin respuesta desde paypal y correos con amenazas de clausurar la cuenta porque su servidor no responde a las peticiones IPN. Analizas todas la consultas IPN, pones un sniffer y resulta que están llegando peticiones de terceros, pero ni paypal sabe darte datos ni tienes respuesta. Algo falla en el modelo de seguridad, desarrollo y soporte de @PayPal.

Consultas con los clientes y desde el 0,8% al 23% de comisiones por ventas que cobran las entidades; bien especifiquemos, directamente ninguna cobra el 23%, se quedan en 3% máximo y el resto se cobra en cargos por gestiones, custodia, seguros y gastos devoluciones. No es broma, hay clientes que llegan a pagar hasta el 23% de comisión por vender, desde cine erótico a software desarrollado a medida o joyería personalizada. Infinidad de explicaciones, el alto valor de riesgo del producto, el coste de asegurar operaciones, el alto nivel de robo en el transporte, la posibilidad de fraude originado por el vendedor o con su colaboración. Hay clientes a los que se ha llegado a amenazar desde su entidad si no cerraba la venta a determinados Paises.

Que una entidad bancaria te diga que no se fían del cliente, clientes de más de 50 años, y que nunca se puede saber si se ha puesto de acuerdo con alguien de USA para una falsa venta con la necesaria colaboración del transportista, roza el guion de una película de Buñuel con Ozzy de protagonista, pero acabas aceptando barco, y de que frente a los departamentos de “nuevos canales” están con unas únicas directrices, vamos a aguantar a estos pesados que venden por internet, y a ver si se cansan pronto y dejan de marear la perdiz y pillo la jubilación anticipada.

Hay consultas imposibles de creer que llegan de clientes, desde sus gestores bancarios, cómo la del cliente que recibe llamada el Lunes de su banco para ordenarle retenga un envío de una venta del pasado Martes, pues la venta es sospechosa, le vamos a bloquear la cuenta y nos envía los emails del cliente, los datos de la venta y los comprobantes de las recogidas anteriores por el cliente. Ahora no puede hacer ninguna operación desde su cuenta, hasta que lo aclaremos.

La única obligación del cliente es entregar el paquete a su transportista, pues ni verificar el pago es su responsabilidad ni tampoco si el transporte se ha realizado. Su responsabilidad acaba en el momento que entrega a su transportista el envío. Y en especial si el pago ha superado el 3DS o cualquier otro sistema de verificación, la responsabilidad es del sistema de pago o de su entidad, nunca suya. Otra cosa es que la entidad o sistema de pago demande formalmente al cliente por presunta complicidad en fraude, conocimiento del mismo, o falsificación de datos, y consiga demostrarlo y ganar.

Una consulta rozando el esperpento “estilo Valle Inclán” nos llegó de un cliente de producto de alta gama, ante la reclamación via email, con texto traducido por gugel traductor con motivo de una venta hecha a un cliente de USA, y que el cliente financió con un crédito privado de una empresa asociada a una gran empresa del ocio donde trabajaba, con un motivo de salud o personal grave. Cuando no paga la primera cuota y la empresa de créditos personales no puede cobrar porque la persona ha cambiado de trabajo se dirige al vendedor amenazando de bloquearle la cuenta si no devuelve el importe de la venta. ¿Quién ha facilitado la información del vendedor a la empresa de crédito? pues evidentemente la entidad bancaria del vendedor, pues la del comprador únicamente tiene los datos de la entidad remota, y esta sí que tiene los dos datos. ¿Cómo puede la empresa de créditos amenazar al vendedor de bloquear la cuenta? con la connivencia de la entidad por supuesto.

Una situación aún más delicada por no decir un caso de prevaricación y muy habitual, es el de la entidad que aconseja al futuro vendedor y titular de un comercio electrónico, con quien debe trabajar para montar la programación, e incluso quien es más recomendable para el alojamiento, con un claro mensaje “es un antiguo trabajador de la entidad, de nuestra más absoluta confianza y con el que no tendremos problemas”, hasta el momento en que el cliente descubre que cuando hace un recover password del gestor de @redsys_es su banco recibe copia de la contraseña en CC, y los emails de su presta, magento o wp de todas las transacciones van con copia a su gestor. Más grave el día que descubre que todos sus emails son filtrados por su “recomendado webmaster” y porque no recibía respuesta de la empresa a la que quería contratar una auditoría, o de un experto en e-commerce que ya pensaba que el cliente no estaba interesado en el proyecto.

Es habitual en clientes de producto de alto precio ver hasta un 90% de cestas y transacciones abandonadas por intento de fraude con tarjetas clonadas, cuentas de paypal secuestradas, o transferencias hechas vía electrónica o presencial y anuladas dos horas más tarde, cuando ya han cerrado las oficinas. Pero la responsabilidad no es del comercio electrónico, este ya valida que el cliente tenga una dirección de entrega, un email, pero lo que al fin cuenta es la validación del método de pago, sea tarjeta de crédito, transferencia o giro postal; desde el momento que el comercio recibe el OK del sistema de pago, la completa responsabilidad de su validez es del sistema, empezando por la entidad bancaria que le ha comercializado el producto al cliente, y la de este se limita a la entrega al transportista, en caso de venta de producto físico, pero en ningún caso ni convertirse en Policía del cobro y menos del transporte.

En todo caso, un cliente que considere que ha sido engañado o estafado por un comercio electrónico, y lo mismo es aplicable a una entidad bancaria que crea que un vendedor está cometiendo fraude o es partícipe de un fraude con tarjetas o ventas, tienen una respuesta única, presentar la oportuna demanda o denuncia, pero ni es legal ni se ajusta a derecho hinchar las comisiones con teóricos gastos, o amenazas más a menos veladas, y en ningún caso retener o bloquear cuentas sin una orden judicial.

Un cliente acaba de cerrar un acuerdo extra judicial contra una entidad bancaria que le retuvo 190 € de un cobro online por presunto fraude con tarjeta clonada. Efectivamente era una tarjeta clonada, y el pago superó el 3DS, pero la entidad bloqueó una cuenta y todos los movimientos del cliente, 21 días y facilitó los datos del vendedor, teléfono y dirección postal incluidas, al titular legítimo de la tarjeta. El acuerdo se ha cerrado por 250.000 €.

Y cómo son fiestas, recordar a la responsable de nuevos canales que nos envió su gif animado de “Felices fiestas” con 600 direcciones email en el CC, el que antes de reenviar un mail cómo propio, mejor quitar el texto original, y poner los clientes en el CCO, sin olvidar que aún no hace muchos años, de tu banquero, tu alcalde y tu médico eran de las personas de las que nunca debías desconfiar.

Departament de suport d’e-andorra.

Dominios.es

6 de Octubre, llega un primer email y no tardan en llegar otros acompañados de varias llamadas de clientes y colaboradores alarmados porque el 22 de Octubre les van a suspender su dominio .es

Rápida lectura a uno de los emails recibidos para confirmar que con diferente formato y plantilla, hemos recibido más o menos el mismo correo de varios registradores en los que se adjunta un excel, un csv en otros casos con una lista de dominios .es de clientes, incluyendo todos los datos y un campo nuevo bajo el nombre de CORRECTED_ID y la sentencia, o amenaza de que si no devolvemos este documento antes del 22 de Octubre, cumplimentado con el NIF o CIF de cada cliente e incluyendo copia del email, del que nos adjuntan una plantilla, donde el cliente debe consentir en aceptar que su NIF o CIF facilitado a su registrador, sea cedido a red.es y que su registrador actúe en su nombre ante red.es, los dominios serán dados de baja.

Nuestro departamento legal y ante la posibilidad de un nuevo reglamento, deriva la consulta a uno de los bufetes que nos asesora a nivel Comunitario, y a la vez se pone a la búsqueda del nuevo reglamento, que suponemos en base a cómo reza el email “en función de las iniciativas de calidad de red.es”, se habrá publicado en nic.es o en el BOE.

Decepción, únicamente encontramos los decretos, adendos y reglamentos vigentes de muchos años, junto a una primera respuesta del bufete de Madrid que nos plantea ya algún problema:

• Dependiendo de que exista o no una modificación de la Ley y los reglamentos de dominios .es, es muy cuestionable una medida con carácter retroactivo sobre los dominios ya previamente registrados.

Otra decepción, en recibir de nuestros asesores en temas de Protección de datos y Privacidad una más que considerable reprimenda por el archivo excel o csv enviado por email con todos los datos de los clientes juntos y el campo pendiente de incluir el NIF o CIF.

Optamos por contactar directamente con nic.es con la que siempre hemos mantenido una excelente relación, es más por motivos profesionales hemos realizado infinidad de procesos Trade a la recuperación de dominios mal registrados por trabajadores o proveedores que nunca han entendido que los dominios han de estar siempre a nombre del propietario, aunque sea por su propia salud de no verse implicados en ninguna demanda al ser titulares oficiales de un dominio, con el que se han podido realizar actividades ilícitas.

La respuesta de entrada nos pone los pelos de punta, breve inciso para recordar la obligación de la veracidad de los datos de los dominios registrados, y el resto dedicado a recordarnos que los empresarios y empresarios individuales quedan fuera del marco normativo de Protección de datos. Y más cuando ya afinando nuestra consulta sobre qué porque motivo únicamente se nos solicitaba de los dominios .es de Españoles y residentes en España, se nos responde que se irá aplicando la medida de calidad gradualmente.

El 12 de Noviembre llega una segunda oleada de correos, tras unos 7 u 8 emails arriba y abajo con red.es donde se les solicita en diversas ocasiones nos envíen el enlace a la nueva ley, adendo, modificación o reglamento que obliga a incluir el NIF o CIF en el registro de nuevos dominios, se está ya aplicando desde el 1 de Noviembre, y en especial a los registrados con anterioridad. Esta vez la sentencia o amenaza de cancelación de los dominios se traslada a la fecha de 22 de Noviembre, o sea 10 dias más tarde.

Junto a este email, la duda y la consulta de la legalidad de la solicitud, planteada por diversos clientes de diversos países, aún que observamos que de las dos listas que nos remiten para incluir el NIF o CIF, en ninguna consta un titular extranjero, únicamente Españoles residentes en España. En la reunión de tarde, y van tres por el mismo tema, se plantea la primera pregunta directa, ¿Estamos ante una posible persecución fiscal con cruce de datos de forma alegal?

Gerencia decide tomar las riendas del tema, y tras varios cruces de emails con red.es solicitando nos remitan o una carta, o un documento que podamos enviar a los clientes con la nueva solicitud, o ya en último caso los enlaces a la nueva ley o reglamento que incluya esta obligación, en especial para los dominios previamente registrados. Las respuesta son siempre en la misma forma, remitiéndonos a la normativa del año 2001 y 2005 de la veracidad de los datos registrados, pero nada de ninguna modificación, hasta el último email recibido en el que en la cabecera se nos indica que las condiciones contractuales que aceptan los beneficiarios de los dominios .es establecen la obligación de incluir el NIF o CIF. Pero una vez releída la ley no aparece este término, ni tampoco se nos facilita el enlace al texto donde especifique esta obligación.

Finalizando la última respuesta, y manteniendo el mismo tipo de letra, espacios y redactado que en el texto legal de 2001 copiado, se nos añade una coletilla de TODOS los titulares de dominios, nacionales o no deben especificar su NIF etc…que así lo estipula la normativa vigente…

Es viernes 12/12/2014 y ante esta última repuesta las dudas de nuestro equipo técnico, legal y de nuestros asesores en temas comunitarios, y de Protección de datos, son más que evidentes, y las preguntas saltan a la mesa de reuniones.

1. Porque los emails de nic.es de estas respuestas no están firmados digitalmente, cómo si lo están todos los emails que recibimos a diario de ellos?
2. Porque ignoran la petición repetida de que nos envíen un documento oficial solicitando a los clientes este dato, o el nuevo reglamento que contemple esta obligación?
3. Porque cuando solicitamos a los registradores nos remitan el documento oficial recibido de nic.es para transmitir a los clientes esta petición, no dan respuesta o contestan con un, no nos consta ninguna petición oficial.
4. Porque en nuestro caso que el 80% de los dominios .es que gestionamos son de extranjeros, no se los ha incluido en los archivos excel enviados, y se hace la mención de TODOS en su último email?
5. Porque no se ha facilitado una forma legal e individualizada acorde a la protección de datos, de aplicar esta modificación, y se exige un documento excel con los datos de todos los clientes, y un email sin valor legal, del cliente con este dato?
6. Se ha intentado confundirnos incluyendo un comentario al final de un redactado legal, con la misma tipología y apariencia de un redactado legal previo?
7. Se está coaccionando a los registradores con la baja por defecto de dominios, y su negocio, para hacerlos partícipes de una presión por motivos ajenos a ellos?
8. Incumple alguna normativa legal y vigente el dominio .es registrado correctamente pero al que en su momento no se le exigió el NIF?

Es casi lunes, y agradeciendo en parte a Fernando de @senormunoz que me tentara a escribir en formato post, cuando uno tuvo su formación en 5 columnas los lunes y en 4 el resto de la semana en la década de los 70, por un post suyo en referencia a los punycode, y recordando que hace años tuve una breve lucha por la ley de los dominios .ad en Andorra y con quien era el asesor oficial en estos temas. Una ley que se aplicó con carácter retroactivo, incluyendo cosas cómo que dominios que existían de más de 10 años cómo aol.ad (Cámara de Comercio de Andorra) o club.ad (Club Anyós) se vieran concedidos de nuevo y simultáneamente a América Online o a un banco, con una página estática donde aparecía el link a aol1.ad y aol2.ad o club1.ad y club2.ad para que el usuario escogiera donde quería ir. La obligación era registrar marca para uso exclusivo de Internet, unos 500 € todo, para registrar un dominio. Una pre reserva de cerca de 1 millón de libras esterlinas de una agencia británica de publicidad, nos fue retirada con el comentario de “una ley sobre el ayer? madurad antes de entrar en negocios con el mundo” y ante nuestra queja al asesor, su respuesta fue de “hazte asesor, o gana una elecciones y defiendes tu empresa; yo defiendo la mía y a quien me paga”.

Un año más tarde se creó la Oficina de registro de marcas y patentes.

No es nada nuevo, los intereses personales están siempre por encima del ciudadano, y en forma de amenaza o consejo, en este caso con la amenaza de la suspensión de los dominios .es sin que ni haya una nueva legislación o reglamento que lo ampare, y ante la falta de una respuesta legal y ajustada a la realidad. Sea cual sea el motivo de esta modificación o petición.

Poco más queda por escribir a falta de agradecer a Fernando su invitación, o a Jordi Ordóñez @jordiobdotcom y Natzir Turrado @natzir9 por esa inyección de juventud rebelde que con los años se queda en el tintero, y que ellos defienden cada día en sus twits, con una pregunta muy personal a las que pusieron encima de la mesa mi equipo, y una disculpa por los errores al escribir en un idioma que no es el mio.

Se ha abierto una persecución fiscal al e-commerce y los medios digitales alternativos bajo dominios .es, sin amparo legal y bajo la coacción económica a los registradores?

Jan Arbona, uno más del equipo de Cal Peles.