¿Qué es NACHA? El organismo de reglas de la red ACH en EE. UU.

Qué Hace NACHA

NACHA es el organismo que dicta las reglas de la red Automated Clearing House (ACH), el sistema estadounidense que mueve dinero entre cuentas bancarias por lotes a través de la Reserva Federal y la Electronic Payments Network. Dos operadores (la Fed y EPN) son los que realmente mueven los ficheros. NACHA escribe las reglas que todos deben seguir.

Las NACHA Operating Rules cubren desde cómo debe autorizarse una transacción hasta cómo funcionan las devoluciones, qué umbrales de riesgo deben mantener los originadores y qué sanciones se aplican cuando se incumplen las reglas. Toda institución financiera depositaria que envía o recibe asientos ACH se compromete a quedar sujeta a las reglas. Los negocios originadores se dan de alta a través de sus bancos.

Códigos SEC (Standard Entry Class)

Cada asiento ACH lleva un código de tres letras Standard Entry Class (SEC) que indica al banco receptor de qué tipo de transacción se trata y qué reglas de autorización se aplican. Los códigos más comunes para pagos al consumidor:

• WEB Un débito autorizado por internet o red inalámbrica. Se usa para pagos ACH online.
• TEL Un débito autorizado por teléfono, ya sea por voz o por DTMF, cuando existe una relación previa entre consumidor y originador (o el consumidor inicia la llamada).
• PPD Prearranged Payment and Deposit. El código ACH original para consumidor, usado para depósitos directos de nóminas y débitos recurrentes autorizados por escrito.
• CCD Cash Concentration or Disbursement. Transacciones business-to-business.
• CTX Corporate Trade Exchange. B2B con información estructurada de remesa.
• RCK Re-presented Check. Un cheque en papel rebotado convertido a ACH para volver a presentarlo.
• POP Point of Purchase. Un cheque convertido a ACH en el punto de venta.
• BOC Back Office Conversion. Un cheque aceptado en el punto de venta y convertido a ACH posteriormente.

Cada código tiene sus propias reglas de autorización, divulgación y notificación. Enviar una transacción con el código SEC equivocado es una infracción que puede provocar devoluciones, multas y la expulsión de la red.

Regla de Validación de Cuenta en Débitos WEB

Uno de los cambios recientes más importantes de NACHA entró en vigor en marzo de 2021: los originadores de asientos de débito WEB deben usar «un sistema de detección de transacciones fraudulentas comercialmente razonable» que valide que la cuenta bancaria del receptor está abierta y puede recibir el débito antes de iniciar el primer débito WEB sobre esa cuenta.

En la práctica, esto significa que los originadores tienen que, o bien:

• Usar un servicio de validación de cuenta (los más comunes: microdepósitos, verificación de cuenta mediante API bancaria o una red externa de validación)
• Usar un método de pago verificado (como un token de una transacción anterior exitosa)
• Usar un servicio de validación de cuenta en tiempo real aprobado por NACHA

La regla vino motivada por el repunte de tasas de devolución no autorizada en débitos WEB, a menudo por fraude por toma de control de cuenta (account takeover), en el que actores maliciosos configuran débitos contra cuentas que no son suyas.

Same-Day ACH

El ACH tradicional se liquida al día siguiente o a los dos días. Same-Day ACH (SDA) se lanzó en 2016 y se ha ampliado varias veces. Ahora hay tres ventanas de procesamiento en el mismo día:

• Ventana 1 Ficheros enviados antes de las 10:30 AM ET, se liquidan a la 1:00 PM ET
• Ventana 2 Ficheros enviados antes de las 2:45 PM ET, se liquidan a las 5:00 PM ET
• Ventana 3 Ficheros enviados antes de las 4:45 PM ET, se liquidan a las 6:00 PM ET

El límite por transacción del Same-Day ACH es de 1 millón de dólares desde 2022. Los originadores pagan una comisión por asiento del mismo día que se traslada al banco receptor.

Códigos de Devolución

NACHA define una larga lista de códigos de devolución (los códigos R) que los bancos receptores utilizan para rechazar asientos ACH. Los que los comercios encuentran con más frecuencia:

• R01 Fondos insuficientes
• R02 Cuenta cerrada
• R03 Sin cuenta o cuenta no localizable
• R04 Estructura de número de cuenta inválida
• R07 Autorización revocada por el cliente
• R08 Pago detenido
• R10 El cliente comunica que no estaba autorizado
• R29 El cliente corporativo comunica que no estaba autorizado

Los originadores deben monitorizar las tasas de devolución. Los umbrales de riesgo de NACHA limitan las devoluciones no autorizadas (R05, R07, R10, R11, R29, R51) al 0,5% del total de débitos ACH, y la tasa de devolución total al 15%, con devoluciones administrativas (R02, R03, R04) limitadas por separado al 3%. Superar los umbrales desencadena revisión por parte de NACHA y posibles sanciones.

Requisitos de Autorización

Para débitos de consumidor (WEB, TEL, PPD), el originador debe obtener una autorización clara y fácilmente identificable. WEB requiere autorización escrita, que puede ser electrónica. TEL requiere o bien una grabación de audio de la autorización o un aviso por escrito enviado al consumidor antes del débito. PPD requiere autorización escrita firmada o autenticada de forma equivalente por el consumidor.

Los originadores deben conservar la autorización durante dos años tras su terminación o revocación y proporcionar copia al banco receptor cuando este la solicite.

Sanciones y Aplicación

NACHA hace cumplir las reglas a través del National System of Fines. Las infracciones pueden conllevar sanciones de entre 1.000 y 500.000 dólares por hecho según la gravedad, con clases de infracción que incluyen problemas de autorización, errores de formato, exceso de tasas de devolución y fallos de notificación. Los infractores reincidentes pueden ser suspendidos de la originación de transacciones ACH.