El sistema financiero ha alcanzado un punto de inflexión. El fraude ya no es una amenaza periférica gestionada por equipos de cumplimiento normativo en back offices—se ha convertido en la propia economía sumergida del sistema, expandiéndose en proporción directa a la innovación que se suponía debía asegurarlo. Esta es la crisis silenciosa ahora visible en los últimos hallazgos de London Stock Exchange Group Risk Intelligence, y supone un riesgo existencial para toda la arquitectura de pagos digital-first que bancos y fintechs han construido durante la última década.
La paradoja es brutal. Cada aceleración en la tecnología bancaria—pagos instantáneos, compensación en tiempo real, detección de fraude con aprendizaje automático, APIs de banca abierta—ha sido acompañada por un ecosistema criminal igualmente sofisticado. Los estafadores no se quedan atrás en innovación; la absorben. Despliegan la misma IA que despliegan los bancos. Entienden los carriles SEPA Instant tan íntimamente como el Banco Central Europeo. Mueven capital entre jurisdicciones más rápido que lo que los reguladores pueden emitir orientaciones. La asimetría que una vez favoreció a los defensores—complejidad, opacidad, control institucional—se ha invertido. Ahora, los defensores operan a la vista del público, ligados por regulación y pistas de auditoría, mientras que los criminales operan a velocidad de máquina en infraestructura abierta.
Lo que hace este momento distinto es la escala y penetración. El fraude en 2026 no es una anomalía cometida por una franja criminal. Está incrustado en el tejido de sistemas que procesan billones diarios. Las redes de pago diseñadas para permitir comercio sin fricciones se han convertido en vectores para esquemas de identidad sintética, ataques de toma de cuenta y canales de lavado de dinero que mueven fondos robados entre fronteras en segundos. Para emisores de tarjetas y plataformas Banking-as-a-Service, esto significa que el costo de la confianza—una vez absorbido como una partida en reservas de fraude—ahora amenaza la economía unitaria completa de la banca digital. Cuando un cliente sufre una pérdida por fraude, no culpa a su propia higiene de seguridad. Culpa al sistema. Se van. Cambian a efectivo. Migran a un competidor. O peor, dejan de usar pagos digitales por completo.
El informe de LSEG es un espejo sostenido ante el mundo bancario, y lo que refleja es incómodo: el sistema ha escalado más rápido que la infraestructura de confianza. Los sistemas de pago instantáneo como los operados en toda la UE bajo el estándar SEPA Instant Credit Transfer han reducido el tiempo de compensación de días a segundos, pero las ventanas de reversibilidad se han reducido correspondientemente. Para cuando un cliente se da cuenta de que ha transferido fondos a una cuenta mula, el dinero se ha ido. Los reguladores bancarios europeos ahora enfrentan un problema de diseño que no pueden regular: cuanto más rápidos sean los carriles, más estrecha es la ventana para detección y reversión. Los criminales se han optimizado para esto. Mueven dinero a través de cascadas rápidas de transferencias posteriores, cada una por debajo de umbrales de reporte, cada una diseñada para explotar el desfase entre detección e intervención.
La arquitectura de banca abierta, mandatada por PSD2 y sus sucesores, se suponía que debía democratizar las finanzas y romper el oligopolio de los bancos incumbentes. En principio, así ha sido. En la práctica, también ha democratizado la infraestructura de fraude. Los proveedores de aplicaciones terceros ahora pueden acceder a datos de cuentas de clientes e iniciar transacciones con consentimiento explícito—una innovación genuina. Pero el consentimiento se cosecha rutinariamente a través de phishing, ingeniería social y pantallas de autenticación falsas indistinguibles de interfaces bancarias genuinas. La API no es el problema; el límite de confianza sí. Y una vez que ese límite se disuelve, toda la arquitectura falla.
Para emisores de tarjetas y plataformas de tarjetas programáticas, la pregunta inmediata es operacional: ¿cómo mantienes la adquisición y retención de clientes cuando la tasa de fraude—ya sea medida por transacciones disputadas, incidentes de toma de cuenta o infiltración de identidad sintética—está aumentando más rápido que lo que tus modelos de detección de fraude pueden mantener el ritmo? La respuesta estándar—aprendizaje automático, análisis de comportamiento, verificación biométrica—es necesaria pero insuficiente. Estos son incrementos en la carrera armamentística. Los criminales aprenden de cada evento de detección y se adaptan. Entrenan su propia IA en tus listas de bloqueo. Falsifican biometría. Modelan tus verificaciones de velocidad y estructuran sus ataques para evadir. No estás adelante; estás enganchado en una carrera de alcance perpetuo que cuesta dinero y erosiona la experiencia del usuario con cada punto de fricción que añades.
Lo que los datos de LSEG realmente nos están diciendo es que el problema se ha vuelto estructural, no táctico. La confianza en los sistemas de pago digital depende de la creencia razonable de que tu transacción es irreversible solo después de verificación genuina y que la institución a la que estás enviando dinero es real. Ninguno de estos supuestos se sostiene ya. La verificación del destinatario es trivial de eludir. Las instituciones pueden ser falsificadas. Y una vez que el usuario ha perdido dinero, el daño psicológico es permanente. Pueden continuar usando el sistema por necesidad—depósitos de salario, pagos de facturas—pero no confiarán en él para transacciones discrecionales. No serán primeros adoptadores de nuevos servicios de pago. No expandirán su huella financiera digital. El crecimiento se estanca. Y en un sector construido sobre efectos de red y crecimiento de usuarios, el crecimiento estancado es la muerte.
La respuesta regulatoria, hasta ahora, ha sido profundizar la carga de cumplimiento. KYC más fuerte, monitoreo continuo, reglas de monitoreo de transacciones, mandatos de seguridad API, obligaciones de reporte de fraude—todo necesario, todo sumando costo, todo desplazándose a los bordes del sistema (los bancos, las fintechs, los procesadores de pago) en lugar de abordar la causa raíz, que es que los carriles de pago instantáneos, irreversibles y pseudónimos-a-pseudónimos son inherentemente difíciles de asegurar en el punto final. No puedes regular de una forma que elimine el hecho de que un usuario puede ser socialmente ingenierizado para autorizar una transferencia fraudulenta en segundos. No puedes imponer estándares de autenticación que funcionen si el dispositivo del usuario ya está comprometido. No puedes obligar a los bancos a reembolsar pérdidas por fraude sin eventualmente valorar esa pérdida en el margen, lo que significa que menos personas pueden permitirse servicios financieros.
Los sistemas que sobrevivirán este punto de inflexión son aquellos que reconstruyen confianza en la capa de aplicación, no en la capa de infraestructura. Esto significa ir más allá de la detección de fraude a nivel de transacción e ir hacia verificación de confianza a nivel de relación. Significa autenticación biométrica que no pueda ser falsificada o robada. Significa verificación de contraparte en tiempo real incrustada en el flujo de pago en sí. Significa que antes de que tu dinero se mueva, obtienes una prueba irreducible de que el destinatario es quién afirma ser, y esa prueba es lo suficientemente cara de crear que disuade la suplantación a escala. Parte de esto ya está emergiendo en plataformas de finanzas integradas que controlan ambos lados de la transacción (p. ej., integraciones de pago dentro de aplicaciones de marca donde la identidad del comerciante es verificada por el propietario de la aplicación). Pero para banca abierta, para interoperabilidad, para la visión de un sistema financiero verdaderamente democrático, el problema de confianza es más difícil de resolver, y la ventana regulatoria para resolverlo puede estar cerrándose.
Las apuestas no son académicas. Los bancos centrales, operadores de sistemas de pago y reguladores en todo el mundo están haciendo una sola pregunta: ¿si las personas no confían en el sistema, lo usarán? La respuesta histórica es no. Se retirarán al efectivo. Usarán sistemas informales de transferencia de valor. Perderán confianza en servicios financieros regulados por completo y migrarán a jurisdicciones o instrumentos donde perciben que el riesgo es menor—aunque esa percepción sea falsa. Y una vez que esa migración comience, toda la arquitectura de infraestructura colapsa, porque depende del volumen y la velocidad para funcionar.
El informe de LSEG es el canario en la mina de carbón. Es hora de reconstruir confianza deliberadamente, explícitamente, y a nivel de diseño de sistema—no como una casilla de cumplimiento, sino como la arquitectura primaria de las finanzas modernas.
Escrito por el editor de Codego Press—periodismo bancario y fintech independiente impulsado por Codego, proveedor de infraestructura bancaria europea desde 2012.
Fuentes: The Finanser / Chris Skinner's Blog · Mayo 2026