Para organizaciones reguladas

El cumplimiento empieza
donde termina la MFA.

La Strong Customer Authentication (SCA) demuestra que se presentó una credencial. No demuestra que la voz al teléfono sea la del titular. Hongi cierra esa brecha, para bancos, aseguradoras y cualquier organización donde la suplantación tiene un coste real.

Hablar con el equipo Ver el mapa regulatorio →
  • $3B
    pérdidas anuales por BEC y fraude del CEO
    FBI IC3 2024
  • €40M
    pérdidas belgas por phishing y vishing
    Febelfin 2024
  • Dec 2027
    plazo de aceptación de EUDI Wallet
    Regulation (EU) 2024/1183
  • 80%+
    ingeniería social potenciada por IA
    ENISA Threat Landscape 2025

La brecha de cumplimiento.

La SCA cubre los dos extremos de la interacción con el cliente: el inicio de sesión y la firma de la transacción. Todo lo que queda en medio, la llamada de teléfono, la videoconferencia, el intercambio de correos, se queda sin prueba de identidad en directo. Y ahí es justamente donde se mueven el vishing, el vídeo deepfake y el fraude del CEO.

cubierto por SCA
brecha que Hongi cierra

El mapa regulatorio.

Ocho marcos que tocan el aseguramiento de identidad en los canales que Hongi protege. Para cada uno: alcance, dónde encaja Hongi y la fuente primaria.

  1. 2019 PSD2 RTS-SCA en vigor
  2. 2024 EBA fraud reporting directrices actualizadas
  3. Oct 2024 NIS2 transpuesta
  4. Jan 2025 DORA en vigor
  5. Dec 2027 EUDI Wallet aceptación obligatoria
Regulaciones fundamentales 3
EU en vigor desde 2019
PSD2 · RTS on SCA
Reglamento Delegado (UE) 2018/389
Alcance

Autenticación reforzada del cliente: al menos dos de conocimiento, posesión, inherencia; vinculación a la transacción.

Dónde encaja Hongi

Hongi es un factor de posesión complementario y fuera de banda para la conversación que rodea la autorización del pago. No reemplaza a la SCA; defiende contra la ingeniería social que elude un flujo SCA por lo demás válido (transacciones inducidas por fraude, suplantación del asesor).

Fuente primaria →
EU en vigor desde Jan 2025
DORA
Reglamento (UE) 2022/2554
Alcance

Resiliencia operativa digital del sector financiero. Art. 9 (protección y prevención), Art. 17-19 (notificación de incidentes TIC). En vigor desde el 17 de enero de 2025.

Dónde encaja Hongi

Reduce la superficie de ataque de ingeniería social que desencadena incidentes TIC. Un registro de auditoría opcional (árbol de Merkle con hashes de emparejamiento, sin identidades) permite reconstruir lo ocurrido tras el incidente sin guardar datos personales.

Fuente primaria →
EU obligatorio Dec 2027
eIDAS-2 · EUDI Wallet
Reglamento (UE) 2024/1183
Alcance

Aceptación obligatoria de la EU Digital Identity Wallet por las partes que confían a partir de diciembre de 2027 (Art. 5f). Pruebas criptográficas de identidad fuertes.

Dónde encaja Hongi

Hongi es el verificador en vivo del canal humano junto a EUDI: EUDI prueba que se presentó una credencial, Hongi prueba que la voz al teléfono pertenece al titular. Dos problemas ortogonales, una sola arquitectura.

Fuente primaria →
Marcos complementarios 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (actualizado 2024)
EU

Un cruce fallido de Hongi durante una llamada del banco al cliente es una señal clara y legible por máquina, que puede alimentar la notificación de fraude del CEO y vishing, justo donde el esquema actual de fraude con tarjeta se queda corto.

actualizado 2024 Fuente primaria →
NBB · ICT-veiligheid
Orientaciones prudenciales del Banco Nacional de Bélgica + implementación de DORA
BE

Una capa operativa de aseguramiento de identidad para las interacciones remotas banco-cliente y dentro del propio banco, en línea con el enfoque del NBB sobre la gobernanza de los servicios que se apoyan en las TIC.

activo Fuente primaria →
RGPD · privacidad desde el diseño
Reglamento (UE) 2016/679, Art. 25
EU

Sin nombre, sin número de teléfono, sin correo, sin agenda de contactos, sin historial de palabras clave, sin analítica. La clave compartida vive en los dos dispositivos emparejados; el servidor solo reenvía un cifrado opaco. Casi nada que filtrar en una brecha.

en vigor desde 2018 Fuente primaria →
NIS2
Directiva (UE) 2022/2555
EU

Añade una capa de aseguramiento de identidad al control de acceso para interacciones remotas de alto riesgo (aprobación de transacciones, respuesta a brechas, alta de proveedores) que la MFA por canal de texto no cubre.

transpuesta 2024 Fuente primaria →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, julio de 2025 · ENISA Threat Landscape 2025
GLOBAL

Apunta directamente a la amenaza que ENISA sitúa en primer lugar. Complementa los niveles de aseguramiento de autenticación de NIST con una atestación de canal humano a nivel de sesión, agnóstica del mecanismo (teléfono, vídeo, presencial).

estándar de la industria Fuente primaria →

Dónde aparece en las operaciones.

En la hoja de ruta B2B ver hoja de ruta →

Seis escenarios operativos, entre flujos de cara al cliente e internos. Las mecánicas de emparejamiento corporativo y registro de auditoría que se describen abajo están en la hoja de ruta B2B, todavía no en producción. Los primeros pilotos con bancos están previstos para Q4 2026. Una sola verificación fallida en cualquiera de estos casos deja una factura conocida de seis cifras.

01
€40M
phishing y vishing belga · Febelfin 2024

Llamadas salientes del banco al cliente

PSD2 RTS-SCAEBA fraud reporting
Sin Hongi

Los clientes no pueden distinguir a un asesor real de un estafador de vishing con el contexto adecuado.

Con Hongi

La palabra clave del cliente debe coincidir con la del asesor. Sin coincidencia, no hay conversación.

02
$25.6M
una sola videollamada con deepfake · Arup 2024

Sesiones de vídeo de alta de cliente

eIDAS-2RGPDKYC/AML
Sin Hongi

Los deepfakes faciales se cuelan en el KYC remoto. La cara que aparece en pantalla puede no ser la del documento aportado.

Con Hongi

Ambas partes leen palabras clave que tienen que coincidir, ante la cámara, antes de la revisión KYC. Queda registrado en la grabación de la sesión.

03
$3B
pérdidas anuales por BEC · FBI IC3 2024

Verificación interna (BEC / fraude del CEO)

DORANIS2
Sin Hongi

Solicitud urgente de transferencia del CEO, las firmas cuadran, la voz suena bien. El dinero se va.

Con Hongi

Comprobación de palabra clave en directo antes de cualquier pago inusual. Un emparejamiento cierra el agujero.

04
4h+
ventana de notificación de incidentes de DORA

Respuesta a brechas

DORA Art. 17-19NIS2
Sin Hongi

Los atacantes explotan el caos del incidente: TI falsa, soporte falso, proveedores de IR falsos.

Con Hongi

Cada llamada interna pasa por una comprobación de palabra clave. Sin coincidencia, no se ejecuta ninguna instrucción.

05
€100k+
umbral típico de transferencia de alto valor

Confirmación de transacción de alto valor

PSD2 RTS-SCAEBA fraud reporting
Sin Hongi

Transferencia de €100k+ autorizada por teléfono sin prueba fuera de banda de que el cliente es genuino.

Con Hongi

El cliente lee su palabra clave actual en voz alta. El asesor confirma la coincidencia. El pago avanza atestiguado.

06
avg €40k
por incidente de fraude en facturas de proveedor

KYB de proveedor / suministrador

DORA supply-chainNIS2
Sin Hongi

Las llamadas con proveedores no tienen una prueba sólida de identidad. El fraude de facturas se monta justo encima de esa brecha.

Con Hongi

Emparejamiento durante el KYB. A partir de ahí, cada llamada con el proveedor pasa por Hongi. Se acabó decidir a ojo.

Una arquitectura bajo escrutinio del DPO.

Su DPO puede auditar un despliegue de Hongi en una sola tarde. A continuación, todo lo que guardamos en un servidor cuando una organización despliega Hongi para su personal y clientes.

  • Tokens push por dispositivo. Identificadores opacos que emiten APNs y FCM. No están vinculados a ningún nombre. Se usan solo para la ruta de notificación del ping silencioso; la verificación habitual de palabra clave es totalmente sin conexión.
  • Registro de auditoría opcional de hashes de emparejamiento. Para despliegues B2B que necesiten trazabilidad bajo el art. 17 de DORA o las orientaciones del NBB, Hongi puede añadir un registro en árbol de Merkle con hashes de emparejamiento, sin identidades ni palabras clave. Verificable mediante prueba de Merkle, sin cadena pública.
  • Metadatos de pago de propina. Solo aplica al producto de consumo, no al B2B. Pasa por Stripe. Hongi ve que se pagó una propina y el importe; nada que se pueda atar a un usuario concreto.

Lo que no almacenamos: nombres, números de teléfono, correos, listas de contactos, historial de palabras clave, registros de llamadas, ubicación, transcripciones, biometría, identificadores publicitarios. La clave de verificación entre dos dispositivos emparejados vive solo en esos dos dispositivos, derivada localmente.

Siguiente paso

Reserve una llamada piloto de 30 minutos.

El equipo de Hongi se sienta con sus responsables de cumplimiento, fraude y TI y repasa con ellos su caso de uso de mayor impacto. Si hay encaje, montamos un piloto gratuito de 6 meses con hasta 500 clientes o empleados. Sin proceso de compras, sin licencia, sin exposición.

Escriba directamente a los fundadores Lea antes las preguntas frecuentes →

Hongi (Lovit BV) · Vlaanderen, Bélgica · info@hongi.io