Mejores prácticas de ACH

Mantener sus prácticas de ACH simples y seguras

Mejores prácticas de ACH

Los originadores deben estar al tanto de las Reglas y Pautas Operativas emitidas anualmente por la Asociación Nacional de Cámaras de Compensación Automatizadas (Nacha). Las Reglas y Pautas Operativas de Nacha supervisan cada pago ACH y proporcionan pautas exactas para almacenar, acceder y transmitir información confidencial del cliente de manera segura.

Se requiere un conocimiento básico de las Reglas y Pautas Operativas de Nacha, incluso si utiliza un sistema de procesamiento de pagos de terceros para procesar ACH. Es su responsabilidad conocer las Reglas de ACH y asegurarse de que su empresa cumpla con las normas. Manténgase al día con los cambios en las Reglas en el sitio web de Nacha.

Mejores prácticas para ACH

Supervise y concilie las cuentas a diario para detectar actividades no autorizadas

Las reglas de Nacha exigen que los débitos ACH corporativos no autorizados o inapropiados registrados en su cuenta se devuelvan a más tardar en la apertura de operaciones el segundo día bancario siguiente a la fecha de liquidación de la entrada original (es decir, un día para devolver un débito ACH). Si un débito no autorizado no se devuelve dos días después de su publicación, será mucho más difícil recuperar los fondos perdidos.

Actúe rápidamente al recibir una entrada NOC (Notificación de cambio)

Las reglas de Nacha requieren que los clientes de originación de ACH cambien la información (la información solicitada por la Institución Financiera Depositaria Receptora (RDFI)) dentro de los seis (6) días hábiles bancarios posteriores a la recepción del NOC o la próxima vez que se genere la transacción, lo que ocurra más tarde. Los cambios comunes incluyen actualizaciones de códigos de transacción, números de cuenta y/o números de ruta.

Corrija las devoluciones de ACH rápidamente, utilizando el proceso adecuado si se reinicia la entrada

  • Una entrada ACH devuelta no puede reiniciarse a menos que (1) la entrada haya sido devuelta por fondos insuficientes o no cobrados; (2) la entrada ha sido devuelta para pago detenido y el reinicio ha sido autorizado por el Titular de la Cuenta, o (3) la Institución Financiera Depositaria de Origen (First Bank Texas) ha tomado medidas correctivas para remediar el motivo de la devolución.
  • Un originador puede reiniciar una entrada de débito en un plazo de 180 días hasta dos veces. Esas entradas deben enviarse en un lote separado y contener contenido idéntico en el campo Nombre de la empresa, ID de la empresa e Importe.
  • Las entradas reiniciadas deben contener "RETRY PYMT" en el campo Descripción de entrada de la empresa.

Iniciar entradas ACH bajo doble control

Siempre que sea posible, divida las responsabilidades entre varios empleados. Para evitar pagos ACH no autorizados, separe el proceso de pagos en el que un empleado creará/cargará el lote de ACH y otro empleado es responsable de aprobar los lotes. Para evitar el acceso no autorizado o inapropiado al sistema, separe el proceso de aprobación de pagos en el que un usuario puede agregar o eliminar usuarios, pero no tiene la capacidad de aprobar, eliminar o editar lotes.

Implementar procedimientos que alerten sobre la actividad de "bandera roja"
Capacite a los empleados para que estén atentos a los cambios en el diseño del sitio web, cambios en el diseño de las facturas, faltas de ortografía flagrantes en un sitio web o notificaciones por correo electrónico, advertencias de "sistema caído", etc. 

Implementar una política de seguridad para los sistemas de la empresa
No permita que los empleados utilicen los sitios de redes sociales en los mismos sistemas informáticos que el sistema bancario en línea de la empresa. Los ataques comunes a las redes sociales incluyen el likejacking, en el que los atacantes utilizan botones falsos de "me gusta" para engañar a los usuarios para que hagan clic en los botones del sitio web que instalan malware y publican actualizaciones en el suministro de noticias de un usuario para propagar el ataque; O bien, ofertas/aplicaciones falsas para unirse a un grupo o suscripción falsos con incentivos que se utilizan para robar credenciales u recolectar otros datos personales.

Reglas y actualizaciones que todo originador de ACH debe conocer

Requisitos de autorización para las entradas de consumidores
El originador debe obtener autorización para las entradas de crédito y débito al consumidor y debe asegurarse de que la autorización sea clara y fácilmente comprensible para el titular / receptor de la cuenta.

  • La autorización debe indicar claramente el número de cuenta y el número de ruta (es decir, una copia del cheque del titular de la cuenta) y el tipo de cuenta (depósito a la vista, ahorros).
  • El consumidor debe fechar y firmar o autenticar de manera similar las autorizaciones de débito.
  • Se debe realizar una revisión de las autorizaciones para asegurarse de que cumplan con los requisitos de las Reglas Operativas de NACHA.
  • First Bank Texas proporcionará formularios de autorización si se solicitan.

Los originadores pueden esperar la devolución de las entradas de los consumidores que no hayan sido debidamente autorizadas.

  • Una entrada de débito no autorizada es una entrada en la que (1) no se han seguido los requisitos de autorización de acuerdo con las Reglas Operativas de Nacha o no es válida según los requisitos legales aplicables; (2) una transacción se inició por un monto diferente al autorizado por el Síndico; (3) una transacción se inició para su liquidación antes de lo autorizado por el Síndico.


En general, las entradas de débito del consumidor deben ser devueltas por la RDFI en el momento y la forma en que la devolución se ponga a disposición de la ODFI a más tardar en la apertura de operaciones el día bancario siguiente al sexagésimo (60) día calendario siguiente a la fecha de liquidación de la entrada original. Este plazo de devolución también se aplica a la devolución de asientos de débito para los que el Receptor consumidor había revocado previamente su autorización.

Requisitos de autorización para entradas corporativas
Al igual que con las entradas de consumidores, el Receptor comercial (Compañía) debe autorizar todos los créditos y débitos de ACH a su cuenta.

  • El Receptor de las entradas CCD (Crédito y Débito Corporativo), CTX (Bolsa de Comercio Corporativo) e IAT (Transacciones ACH Internacionales a una cuenta de cliente corporativo) debe celebrar un acuerdo con el Originador con el que el Receptor ha acordado estar sujeto a las Reglas Operativas de Nacha.
  • Este acuerdo de créditos y/o débitos a la cuenta del cliente corporativo debe ser claro para el cliente corporativo en cuanto a lo que representa el crédito/débito.

A diferencia de las entradas de los consumidores, en general, el receptor no consumidor de una entrada CCD, CTX o IAT debe devolver las entradas a más tardar en la apertura del negocio en el segundo (2) día bancario siguiente a la fecha de liquidación, lo que requiere una revisión inmediata de las transacciones para detectar cualquier entrada no autorizada.

Aviso de cambio para débitos recurrentes
En el caso de los débitos recurrentes, cuando el monto del débito varía, las Reglas requieren que el Originador notifique al titular/receptor de la cuenta dentro de los diez (10) días calendario anteriores a la fecha de transferencia programada. Si un Originador cambia la fecha en la que debita al titular de la cuenta/receptor, debe notificar por escrito al titular de la cuenta/Receptor de la nueva fecha de la entrada al menos siete (7) días calendario antes de que la primera entrada que se vea afectada por el cambio esté programada para ser debitada a la cuenta del Receptor.

Retención de documentos para autorizaciones
El Originador debe conservar la autorización firmada o autenticada de manera similar durante un período de dos años a partir de la terminación o revocación de la autorización.

  • En el caso de una autorización en papel que haya sido firmada por el consumidor, el Originador debe conservar el original o una copia de la autorización firmada.
  • Esta autorización puede obtenerse en un formato electrónico que (1) refleje con precisión la información en el registro, y (2) pueda reproducirse con precisión para referencia posterior.

A petición de su ODFI, el Originador debe proporcionar el original, copia u otro Registro preciso de la autorización del Receptor a la ODFI para su uso o para el uso de una RDFI que solicite la información. El Originador debe proporcionar en el tiempo y la manera que permitan a la ODFI entregar la autorización a una RDFI solicitante dentro de los diez (10) días hábiles bancarios posteriores a la solicitud inicial de la RDFI.

Identificación del nombre de la empresa
El Originador debe asegurarse de que haya una identificación clara de la fuente de una transacción ACH. Específicamente, las Reglas requieren que el Originador complete el Campo de Nombre de la Compañía con el nombre por el cual es conocido y fácilmente reconocido por el Receptor de la entrada. Dado que el nombre de esta empresa aparece en el estado de cuenta del titular de la cuenta, el titular de la cuenta/receptor del débito/crédito debe reconocerlo fácilmente.

Transacciones ACH internacionales (IAT)
First Bank Texas no permite la originación del código de clase de entrada estándar de IAT. Ciertos pagos ACH que se clasificaron como transacciones nacionales pueden clasificarse como pagos internacionales o transacciones IAT en la actualidad. La transacción ACH puede clasificarse como un pago internacional (transacción IAT) si su empresa (1) es una subsidiaria de una corporación multinacional; (2) tiene filiales en el extranjero; (3) compre o venda a organizaciones o individuos fuera de la jurisdicción territorial de los Estados Unidos; o (4) envía pagos de nómina, pensión o beneficios a través de la Red ACH a personas que tienen direcciones de residencia permanente fuera de la jurisdicción territorial de los Estados Unidos.

Leyes relativas a la Oficina de Control de Activos Extranjeros (OFAC)
Las empresas están obligadas a cumplir con las obligaciones de la OFAC, y las sanciones por ignorar esas obligaciones pueden ser tanto penales como civiles e incluyen penas de cárcel y multas que oscilan entre los 10,000 y los 10,000,000 dólares por incidente. Si estas multas se imponen a la institución financiera, pueden ser devueltas a la empresa originadora dependiendo de las características específicas del caso y los detalles de su contrato con la institución financiera. Las multas son impuestas por el gobierno de los EE. UU. y los fondos recaudados son propiedad del gobierno, no de la institución financiera. Información adicional sobre las obligaciones y multas de la OFAC se puede encontrar en el siguiente enlace: https://www.treas.gov/offces/enforcement/ofac/.

Notificaciones previas
Las notificaciones previas son entradas de cero dólares generadas para validar la cuenta mantenida en la RDFI. Los originadores pueden originar una prenota; sin embargo, esto no es requerido por las Reglas. Si el Originador inicia una notificación previa, debe esperar tres (3) días hábiles bancarios antes de iniciar el monto en dólares en vivo.

Revertir un archivo o entrada ACH
Un Originador puede revertir un archivo erróneo o duplicado, o un elemento dentro del archivo, dentro de los 5 días hábiles bancarios posteriores a la Fecha de Liquidación del archivo original. La palabra "REVERSAL" debe colocarse en el campo de encabezado de lote de la empresa y si el archivo está invirtiendo un archivo erróneo, el Originador debe iniciar un archivo de corrección con el archivo de reversión. El Originador debe notificar al (los) titular(es)/receptor de la cuenta (s) de la entrada de reversión y el motivo de la entrada de reversión a más tardar la Fecha de Liquidación de la entrada de reversión.  

Códigos de clase de entrada estándar (SEC)
First Bank Texas permite a los originadores enviar PPD (pagos y depósitos preestablecidos) para las entradas que se registran en cuentas de consumidores y CCD (créditos y débitos corporativos), CCD+ y CTX (Corporate Trade Exchange) para las entradas que se registran en cuentas corporativas. Cualquier otro tipo de códigos de clase de entrada estándar requiere la aprobación de First Bank Texas antes de su uso.

Suspensión de pagos realizados por el consumidor
Esto afecta a los Originadores, ya que se puede colocar una suspensión de pago en el sistema de la RDFI para todas las transacciones futuras relacionadas con el Originador para el pago. Los originadores deben capacitar al personal interno para asegurarse de que entiendan que puede haber múltiples pagos de detención devueltos. Estos no deben reiniciarse hasta que se resuelvan.

Funciones y responsabilidades del remitente externo
Un Remitente Externo es un tipo de Proveedor de Servicios Externo que actúa como intermediario entre el banco y los clientes de la entidad (Remitente Externo). Las Reglas requieren que todos los Remitentes Externos realicen una auditoría de cumplimiento de la Regla y una evaluación de riesgos de su operación ACH y el cumplimiento de las Reglas a más tardar el 31 de diciembre de cada año. La documentación que respalde la finalización de una auditoría debe (1) conservarse durante un período de seis años a partir de la fecha de la auditoría, y (2) proporcionarse a Nacha cuando lo solicite. Como este es un requisito de la Regla, First Bank Texas requiere una copia de la auditoría ACH y la Evaluación de Riesgos cada año. Los remitentes externos aprobados deben hacer referencia a su acuerdo para conocer los requisitos adicionales. Esto solo se aplica a los remitentes de terceros.

Seguridad de los datos
El cliente de origen es responsable de garantizar que (junto con cualquier proveedor de servicios externo que actúe en su nombre) implemente y mantenga políticas, procedimientos y sistemas de seguridad relacionados con el inicio, procesamiento y almacenamiento de entradas y la información protegida resultante.

Además, es responsabilidad del cliente educar al personal sobre cómo proteger el sistema bancario en línea de la empresa, tomar medidas razonables para mantener la confidencialidad y seguridad de los procedimientos de seguridad y cualquier contraseña, código, dispositivos de seguridad, incluidos, entre otros, la autenticación multifactor, la autenticación fuera de banda y las sesiones seguras del navegador.

Las políticas, procedimientos y sistemas de seguridad deben: (1) Proteger la confidencialidad e integridad de la información protegida, (2) Proteger contra amenazas o peligros anticipados para la seguridad o integridad de la información protegida hasta su destrucción y (3) Proteger contra el uso no autorizado de la información protegida que podría resultar en un daño sustancial para el cliente.

Requisitos de gestión y evaluación de riesgos
First Bank Texas, como ODFI, puede establecer procedimientos adicionales de gestión de riesgos, como exigir que se realice una auditoría de la actividad de sus originadores, monitorear de cerca el volumen de retorno de sus originadores y evaluar el riesgo asociado con el tipo de actividad ACH realizada por cada originador. Los originadores deben comprender la necesidad de prácticas de gestión de riesgos con respecto a lo siguiente: (1) La realización de la debida diligencia con respecto a los originadores y los remitentes terceros; (2)La evaluación de la naturaleza de la actividad ACH del Originador o del Remitente Tercero y los riesgos que presenta; y, (3) el establecimiento de procedimientos para monitorear la actividad de originación y devolución de un Originador o de un Remitente Tercero, y para hacer cumplir los límites de exposición y las restricciones sobre los tipos de transacciones ACH que se pueden originar.

Preguntas frecuentes


¿Qué sucede si se devuelve un pago ACH?
Cuando se recibe una devolución ACH, su cuenta recibirá una devolución de cargo o una devolución de crédito y se le notificará de la devolución, junto con información sobre cómo ver los detalles de la devolución.

¿A cuánto ascienden los cargos por devolución de ACH y notificación de cambio (NOC)?
Las tarifas pueden variar, consulte su lista de tarifas.

¿Puede una empresa disputar un pago ACH devuelto?
Disputar una declaración ACH si era un duplicado, si estaba mal dirigida, si la información era inexacta, si la devolución no se produjo dentro de los plazos esperados o si el resultado de la reversión fue un crédito no deseado al destinatario.

¿Qué es una Notificación de Cambio (NOC)?
Una notificación de cambio (NOC, por sus siglas en inglés) ocurre cuando el banco que recibe la entrada ACH notifica al banco que envía la entrada ACH que alguna parte de la información es incorrecta. Con los NOC, las transacciones ACH registradas en la cuenta del destinatario, pero la información dentro de la entrada ACH debe corregirse para garantizar que se reciban las transacciones futuras.

¿Por qué es importante la revisión oportuna de la Notificación de Cambio y las Devoluciones ACH?
La precisión de la información al enviar lotes o archivos ACH siempre es importante. De lo contrario, existe el riesgo de desviar incorrectamente las transacciones ACH y confiar en que otro banco realice las correcciones adecuadas. Estas transacciones suelen ser críticas para el destinatario, como un depósito de nómina. Además, las reglas de Nacha requieren que los cambios se realicen dentro de los (6) seis días hábiles bancarios posteriores a la recepción de una notificación de cambio o una declaración ACH. Si esto no se cumple, se pueden imponer sanciones contra el banco de origen.

¿Cuáles son las formas de reducir las devoluciones?
Disminuya las probabilidades de una devolución ACH verificando que una entrada sea correcta (incluido el número de ruta bancaria del destinatario). La Reserva Federal tiene una herramienta para verificar que el número de ruta sea correcto para el procesamiento ACH. FRFS: Búsqueda de RDFI participantes de FedACH (frbservices.org)
 

Compromiso del correo electrónico empresarial (BEC)


¿Qué es el compromiso del correo electrónico empresarial?
Business Email Compromise es un tipo de estafa de phishing en la que los estafadores intentan piratear, falsificar o hacerse pasar por direcciones de correo electrónico empresariales. Pueden cambiar una letra o un número en una dirección de correo electrónico conocida para que su estafa parezca legítima.

Ejemplo: bill.smith@ABCBuilders.com - bill.smith@ABCBuildrs.com

Los estafadores pueden enviar correos electrónicos a los empleados en un intento de obtener credenciales o convencer a alguien de que envíe una transferencia fraudulenta. También pueden enviar un correo electrónico que parezca provenir de un tercero conocido, como un proveedor.

También se sabe que los estafadores envían un correo electrónico a los clientes, haciéndose pasar por la empresa legítima, en un intento de obtener su información de pago u otra información confidencial.

¿Cómo reconozco una estafa de Business Email Compromise?
Las estafas BEC suelen ser difíciles de detectar, pero hay algunas señales de alerta a las que hay que estar atento. Los signos comunes de los mensajes BEC incluyen:

  • El mensaje es breve, urgente y le insta a eludir las políticas y procedimientos normales;
  • La solicitud parece provenir de un ejecutivo, proveedor u otro socio que está fuera de la norma;
  • Una solicitud de información confidencial del empleado, la nómina o la empresa;
  • Los correos electrónicos tienen palabras mal escritas o mala gramática;
  • Archivos adjuntos inesperados enviados por correo electrónico;
  • Correos electrónicos enviados fuera del horario comercial o los fines de semana, días festivos u otros días hábiles no estándar.

Revisa cuidadosamente la dirección de correo electrónico del remitente para asegurarte de que sea legítima. Dado que pueden tener solo un carácter de diferencia, las direcciones de correo electrónico falsificadas pueden ser fáciles de pasar por alto.

¿Cómo protegerse contra el compromiso del correo electrónico empresarial?
Al igual que con cualquier tipo de fraude, verificar la información antes de compartir información confidencial o enviar pagos es un paso clave. Preste mucha atención a todos los correos electrónicos para asegurarse de que provengan de una fuente conocida.

En caso de duda, no haga clic en los enlaces de un correo electrónico ni abra archivos adjuntos.

Si recibes nuevas instrucciones de pago de alguien a quien le envías el pago de forma regular, confirma las nuevas instrucciones con esa persona o empresa en persona o por teléfono utilizando la información de contacto que hayas utilizado anteriormente.

Pasos a seguir en caso de fraude o pérdida por BEC.
Si se produce un fraude o una pérdida como resultado de responder a un correo electrónico BEC con información confidencial, hay algunos pasos a seguir:

  • Repórtalo al equipo de TI/ciberseguridad de tu organización.
  • Llámenos al (817) 598-4900 para que podamos tomar las precauciones necesarias para proteger sus cuentas de First Bank Texas.
  • Cambie las contraseñas de las cuentas de correo electrónico y financieras.
  • Revise los estados de cuenta para detectar cualquier actividad sospechosa.
  • Comunícate con la policía y presenta una denuncia.


First Bank Texas se compromete a atender sus necesidades de originadores ACH. Si tiene preguntas sobre las reglas, los recursos o los problemas de ACH, comuníquese con el Departamento de ACH.

Teléfono    817-598-4900

Correo electrónico        FBTACHProcessing@go2fbt.com

Dirección     : First Bank Texas
           ATTN: Departamento ACH
                      220 Palo Pinto
                      Weatherford, TX 76086