Bloqueo de débito directo ACH (protección contra fraudes, seguridad)

Question

¿Cómo puedo configurar una cuenta bancaria en los EE. UU. que pueda recibir créditos ACH pero bloquee todos los débitos ACH?

Tengo una cuenta bancaria para mi negocio que tiene un número de ruta y de cuenta ACH, para que mis clientes puedan pagarme a través de transferencias ACH. Desafortunadamente, a diferencia de las criptomonedas como el bitcóin, el modelo de seguridad de ACH es fundamentalmente defectuoso y anticuado en el sentido de que se trata de una transferencia basada en retiro, no en envío. Eso significa que, a menos que establezca salvaguardias con su banco de otra manera, cualquier persona con el número de ruta de su banco y su número de cuenta tiene todas las credenciales técnicas necesarias para retirar dinero de su cuenta.

Lo que quiero es una cuenta bancaria en EE. UU. de solo envío (como el bitcóin). Una donde nadie más que yo tenga las credenciales para retirar dinero de la cuenta. Una donde la única forma de que el dinero salga de la cuenta bancaria sea que yo lo envíe. Y no quiero que esta protección se proporcione a través de medios "políticos" o "legales". Quiero una solución técnica que bloquee los fondos con una clave privada que nunca comparta con nadie.

inb4: Oh, pero ACH es seguro

La FTC informa que los consumidores reportaron pérdidas de más de $5.8 mil millones por fraude en 2021. Millones de esos fueron fraude ACH.

Por supuesto, el gobierno federal de EE. UU. exige que los consumidores tengan el derecho legal de impugnar los cargos y revertirlos, pero solo si los reporta en un plazo de 60 días. Así que si alguien utiliza maliciosamente su información de pago para robar dinero de su cuenta y usted no lo nota en unos meses, buena suerte.

Esas protecciones legales no ayudan para cuentas inactivas que simplemente desea dejar en almacenamiento a frío por unos años, donde solo verifica el saldo e intereses acumulados una vez cada 12-36 meses.

Prefiero simplemente eliminar el riesgo bloqueando todos los Débitos Directos.

El gobierno de EE. UU. otorga a los consumidores de productos financieros algunos derechos legales. Tengo algunas preguntas:

1. ¿Da EE. UU. a los clientes de bancos el derecho a emitir una instrucción ACH formal: Bloquear cuenta para todos los pagos por débito directo que obligue al banco a bloquear todos los débitos directos?
2. Si no, ¿qué bancos me permiten configurar una cuenta bancaria con detalles de "solo crédito ACH"?
3. Y, mejor aún, ¿hay algún banco que me permita generar un nuevo número de cuenta de "solo crédito ACH" para cada transacción, similar a cómo funcionan las claves públicas de bitcóin?

Answer 1

Resumen:

No, no puedes obtener fácilmente lo que quieres en los EE.UU. (pero puedes en la mayoría del resto del mundo).

Antecedentes/Rabia

He escrito en múltiples ocasiones en este sitio sobre el arcaico y frágil sistema bancario de EE.UU. (ejemplo). Estás describiendo las consecuencias.

Casi en cualquier otro lugar del mundo, tu pregunta ni siquiera tendría sentido. ¿Alguien retirando dinero de mi cuenta? ¿Cómo? ¿Por qué? En EE.UU., sin embargo, así es como funciona. Todas las transferencias bancarias entre cuentas se manejan ya sea a través de FedWire o a través de ACH. El FedWire es para transferencias bancarias y funciona usando el modelo "push" que quieres. No puedes hacer transferencias bancarias "pull". ACH, por otro lado, es para todo lo demás y es mucho más barato de usar. Funciona en ambos sentidos: puedes enviar dinero usando ACH y también puedes recibirlo.

La razón por la que ACH funciona de la manera en que funciona es porque inicialmente fue diseñado para manejar el pago de cheques. Escribes un cheque a alguien, lo depositan y su banco retira el dinero a través de ACH. Hoy en día no tiene que dar un cheque de papel real para que funcione, puedes dar simplemente los detalles de tu cuenta (número de cuenta y número de ruta) que generalmente están impresos en cada cheque - y la persona puede retirar fondos como si tuviera un cheque en sus manos.

Respuestas

Volvamos a tu pregunta específica - ¿puedes bloquear el modo "pull" ACH? Cubramos algunas opciones:

¿Da EE.UU. a los clientes bancarios el derecho de emitir una instrucción formal de ACH: Bloquear cuenta para todos los pagos por débito directo que fuerce al banco a bloquear todos los débitos directos?

Probablemente dependería de un banco, pero no estoy familiarizado con ninguno que anunciara tal característica.

Si no, ¿qué bancos me permiten configurar una cuenta bancaria con detalles de cuenta "solo para créditos de ACH"?

De manera similar, no estoy familiarizado con ningún banco que anuncie explícitamente tal característica.

Y, mejor aún, ¿hay algún banco que me permita crear un nuevo número de cuenta "solo para créditos de ACH" para cada transacción, como funcionan las claves públicas de bitcoin?

Muy improbable. Aunque técnicamente posible, no veo por qué un banco estaría de acuerdo en alterar sus bases de datos de cuentas de esa manera.

---

Alternativas

Negociar con el banco. Aunque es posible que no estén anunciando características para el público en general, es posible que puedan habilitar/deshabilitar ciertas características específicas para clientes específicos de forma individual. Si eres una cuenta empresarial de alto volumen que genera ingresos para el banco en concepto de tarifas, saldos y préstamos, es posible que estén más dispuestos a personalizar la cuenta específicamente a tus necesidades.

Las cuentas dedicadas pueden ayudar: utiliza una cuenta específica que das a otros y deja solo el dinero suficiente para satisfacer cualquier obligación potencial en ella. Cualquier dinero adicional que llegue de tus pagadores se transferiría inmediatamente a tu cuenta principal. Así, el riesgo se limita al saldo menor (¿$0?) de la cuenta dedicada.

Answer 2

Cuentas comerciales

Positive Pay

Varios bancos ofrecen un servicio llamado "Positive Pay" para cuentas comerciales, que básicamente ofrece la capacidad de crear una lista de cheques emitidos y una lista de comerciantes autorizados para hacer débitos ACH en la cuenta.

Cada vez que alguien intente cobrar un cheque de la cuenta o hacer un débito ACH en la cuenta, y el cheque o débito ACH no esté en la lista de transacciones autorizadas, esto se considerará un "elemento de excepción".

Cada vez que haya un elemento de excepción, tendrás la oportunidad de revisar la transacción y aprobarla o devolverla. Si no revisas la transacción antes de la fecha límite, la mayoría de los bancos devolverán automáticamente la transacción.

Algunas cosas a tener en cuenta:

• Algunos bancos anuncian que ofrecen "Positive Pay", pero en realidad solo ofrecen Check Positive Pay y no ACH Positive Pay. Al buscar bancos que ofrecen Positive Pay, asegúrate de que también ofrezcan ACH Positive Pay

• Algunos bancos se refieren a ACH Positive Pay como "Filtros de Débito ACH"

• Algunos bancos pagan los elementos de excepción por defecto en lugar de devolverlos si no se toma una decisión. Te recomendaría usar un banco que devuelva los elementos por defecto.

• Para la mayoría de los bancos, este servicio se ofrece como parte de sus servicios de "gestión de tesorería" o "gestión de efectivo"

Bloqueo de Débito ACH

Esto no es tan común como el Positive Pay, pero varios bancos ofrecen un servicio llamado "Bloqueo de Débito ACH" que bloquea todos los débitos ACH de forma general.

Al igual que Positive Pay, esto suele ofrecerse solo en cuentas comerciales.

Ten en cuenta que simplemente utilizando esto no bloqueará los cheques para cobrar. Deberás colocar un "Bloqueo de Cheque" (si se ofrece) o inscribirte en Check Positive Pay para bloquear los cheques para cobrar.

---

Cuentas personales

Restricciones de cuenta

Algunos bancos ofrecen a los consumidores la capacidad de colocar una restricción en sus cuentas que bloquea todas las retiradas pero aún permite los depósitos. Algunos bancos ofrecen una opción similar pero la restricción bloquea también los depósitos.

En mi banco principal, mantengo una de mis cuentas con dicha restricción en su lugar y uso esta cuenta para recibir depósitos directos. Debido a la restricción, los depósitos directos (créditos ACH) se realizan pero cualquier débito ACH se bloquearía.

Una vez recibo el depósito directo, llamo al banco para levantar temporalmente la restricción, hacer una transferencia interna a mis otras cuentas, y luego les pido que restablezcan la restricción.

También mantengo una restricción similar en mi cuenta de "ahorros a largo plazo" para que cualquier intento de retirar dinero falle hasta que llame al banco para quitar la restricción.

Algunas cosas a tener en cuenta:

• La mayoría de los bancos no ofrecen esto, pero hay una cantidad considerable de bancos que sí

• Asegúrate de mantener la cuenta activa, ya que las cuentas inactivas a veces pueden cerrarse automáticamente, y en algunos casos, pueden pasar al estado

• Algunos bancos te permitirán mantener esta restricción todo el tiempo que desees sin condiciones (siempre que la cuenta permanezca activa). Sin embargo, otros bancos podrían cerrar automáticamente la cuenta si la restricción se mantiene por suficiente tiempo

• De los bancos que ofrecen esto, la mayoría te permiten levantar la restricción sin demora llamando al banco. Sin embargo, algunos bancos que ofrecen esto no pueden aplicar o levantar la restricción de inmediato y es posible que debas esperar unos días para que surta efecto

Cuentas de CD

La mayoría de las cuentas de CD no pueden aceptar débitos (o créditos) ACH. Por lo tanto, consideraría que una cuenta de CD es mucho más segura que una cuenta de ahorros regular.

Algunos bancos ofrecen "CDs sin penalización" que te permiten retirar del CD en cualquier momento sin penalización.

Tener múltiples cuentas no autorizables con descubierto en el mismo banco

Te recomendaría tener al menos dos cuentas: una para realizar transacciones y otra para guardar dinero. Cuando no espero que pase un débito ACH, mantengo la cuenta transaccional vacía. Prácticamente nunca comparto el número de cuenta de la cuenta que guarda el dinero

Personalmente, voy más allá de dos cuentas y tengo cuentas distintas para distintas funciones: una para pagos con tarjeta de crédito, una para transferencias externas, una para ingresar dinero, una para uso de tarjeta de débito, etc.

Por lo tanto, si uno de los números de cuenta se ve comprometido, en el peor de los casos solo una de las cuentas sufriría un robo y mantendría la mayor parte de mi dinero.

Sin embargo, es importante tener en cuenta que esto solo funciona si el banco no permite descubiertos en las cuentas. Si las cuentas permiten descubiertos, una de estas cuentas puede terminar con saldo negativo, lo cual va en contra del propósito de hacer esto.

---

El fraude ACH es una preocupación válida. Contrario a la creencia popular, NO necesitas ser un negocio respetable para iniciar un débito ACH.

Incluso la mayoría de los grandes bancos ofrecen un servicio llamado "Origination de Débito ACH" (la capacidad de publicar débitos ACH) como parte de sus soluciones de gestión de tesorería, que proporcionarán a casi cualquier negocio dispuesto a pagar las tarifas necesarias para utilizar este servicio.

Es mi opinión que todo el concepto de "débitos ACH" es extremadamente tonto. No tiene sentido permitir a cualquiera con el número de cuenta retirar dinero, y luego decir "No te preocupes por el fraude, puedes disputarlo" (sin mencionar que no hay garantía de que decidan a tu favor, incluso si la transacción fue realmente un fraude).

Es como decir "no te molestes en tener un extintor de incendios en tu casa, el seguro de hogar te comprará una casa nueva si la tuya se incendia".

En cualquier caso, he investigado significativamente sobre el tema y estas son las únicas soluciones que he podido encontrar.