Open Finance. Publicación del estándar de cajeros automáticos

Autores: Carlos David Valderrama Narváez (más información aquí) y Diego Montes Serralde (más información aquí)

Introducción

Más de 5 años de trabajo se materializan parcialmente el día de hoy con la publicación de una parte de la regulación secundaria en materia de Open Finance, específicamente en relación con el estándar de cajeros automáticos (más información aquí).

Con la publicación de la Ley FinTech (más información aquí), México se convirtió en uno de los primeros países a nivel mundial en regular el Open Banking e incluso ir más allá con la puesta en marcha del Open Finance.

¿Qué es el Open Banking?

En 2015 el HM Treasury, la secretaría de economía y finanzas de UK, solicitó la creación del Open Banking Working Group para explorar cómo la apertura de los datos bancarios en UK podría beneficiar a los consumidores. El informe fue publicado en febrero de 2016 y recomendaba la creación de un estándar de banca abierta utilizando una aplicación de interfaz de programación lo cual permitiría (i) el acceso abierto a datos abiertos; y (ii) el acceso controlado a datos compartirdos; y consolidaría el concepto Open Banking.

Con ello, el Open Banking pasó a convertirse en un movimiento mundial de innovación financiera que ha incrementado la colaboración y conectividad entre el mundo FinTech, la banca tradicional y próximamente BigTech.

¿Qué es una API?

Una API es un acrónimo para Application Programming Interface, es decir Interfaces de programación que son herramientas o métodos estandarizados que permiten la comunicación entre plataformas con el fin de detonar procesos. A riesgo de sobre simplificar, una metáfora sencilla podría ser visualizar a las APIs como el cable de ethernet o Wifi que te permite acceder a los datos del World Wide Web.

De conformidad con las Disposiciones, una API se refiere a esa interfaz de programación de aplicaciones informáticas estandarizadas (“APIs”) que posibilitan el intercambio de Datos.

¿Qué es el Open Finance?

A diferencia de otros países como UK, en donde el Open Banking es aplicable únicamente a los principales bancos, México pasó al siguiente nivel al aplicar dicho principio a todo el sistema financiero, actualmente más de 5 mil entidades, por ello en México en lugar de Open Banking se habla del Open Finance.

En México, se ha trabajado de manera incansable para generar la regulación en Open Finance. Un ejemplo de lo anterior, fue la publicación del reporte en marzo de 2018 titulado “¿Cuál es el potencial para la banca abierta en México?” y preparado por la Embajada Británica, CMinds, el Open Data Institute, FinTech Hub, en el que desde Legal Paradox® tuvimos la oportunidad de contribuir con el análisis legal (más información aquí).

Por otro lado, es importante destacar que desde el Open Financie los datos que podrán ser compartidos vía APIs son:

1. Datos abiertos: Son datos no confidenciales que refieren a la infraestructura, servicios y productos ofrecidos por las entidades financieras al público en general como la ubicación de sus oficinas, sucursales y cajeros automáticos u otros puntos de acceso a sus productos y servicios, entre otros.

2. Datos agregados: Son datos para fines estadísticos de las operaciones realizadas por o a través de las entidades financieras que no posibilitan la identificación de un usuario específico.

3. Datos transaccionales: Son los datos financieros patrimoniales específicos de un cliente relacionados con el uso de los productos o servicios, incluyendo cuentas de depósito, créditos y medios de disposición y en su carácter de datos personales únicamente se pueden compartir con el expreso consentimiento del cliente y podrán ser usados para los fines expresamente autorizados.

¿Cómo regula la Ley FinTech el Open Finance?

La Ley FinTech, en su artículo 76, prevé la obligación para las Entidades Financieras, transmisores de dinero, Sociedades de información Crediticia y Cámaras de Compensación, las Instituciones de Tecnología Financiera (“FinTech”) y las Sociedades autorizadas para operar con modelos novedosos de establecer APIs que posibiliten la conectividad y acceso de otras interfaces desarrolladas o administradas por los mismos con el fin de compartir información.

¿Qué regulan las disposiciones de cajeros automáticos?

Las Disposiciones de Carácter general emitidas el día de hoy y aplicables al estándar de cajeros automáticos regulan:

1. Solicitantes y Proveedores de Datos

La participación de dos sujetos: (i) los Solicitantes de Datos; y (ii) los Proveedores de Datos.

Es de destacarse que dentro de los solicitantes se encuentran terceros especializados en tecnología de información que pueden no ser entidades financieras.

2. Autorización de la CNBV para el acceso

Los Solicitantes de Datos cuyas APIs desarrolladas o administradas por ellos cumplan con los Anexos 1, 2 y 3 de las Disposiciones, se tendrán por autorizados por la CNBV, sin necesidad de declaración alguna, para acceder a los Datos de los distintos Proveedores de Datos a los que solicite su acceso a través de dichas APIs.

a. El Anexo 1 de las Disposiciones refiere a los lineamientos de seguridad para datos abiertos que deberán observar los Proveedores y Solicitantes de datos.

b. El Anexo 2 refiere a los lineamientos de la arquitectura de datos para el intercambio de información de datos abiertos.

c. El Anexo 3 refiere al diccionario de datos abiertos de cajeros automáticos.

3. Contraprestación

Es conveniente indicar que México es el único país que posibilita el cobro de una contraprestación por el acceso a los datos vía APIs. En ese sentido, los Proveedores de Datos publicarán, de forma clara, precisa y en español, en su página de internet, aplicación informática o digital, o cualquier otro medio, el proceso que deben seguir los Solicitantes de Datos para acceder a los datos a través de APIs y las contraprestaciones que deberán pagarse por el intercambio de dichos datos.

La Comisión Supervisora o, en su caso, el Banco de México, deberá autorizar las contraprestaciones que cobren las entidades con motivo del intercambio de datos e información, las cuales deberán ser equitativas y transparentes a todos los individuos involucrados a fin de que en ningún caso constituyan prácticas que puedan distorsionar el mercado de manera negativa.

Asimismo, deben registrar, con 30 días de anticipación, las contraprestaciones que pretenden cobrar, así como sus modificaciones, debiendo proporcionar, por cada tipo de API, el método, la información y las variables empleadas para determinar dichas contraprestaciones.

4. ¿Qué datos se podrán compartir?

Estás disposiciones cubren únicamente Datos Abiertos de cajeros automáticos como la localización y servicios que ofrecen. Se trata de la primer fase de la regulación. Posteriormente se dará paso a la segunda fase con datos transaccionales que está actualmente en preparación.

5. Infraestructura para compartir datos

Los Proveedores de Datos deberán asegurar que su infraestructura para compartir datos cumpla con lo siguiente:

a. Contar con una configuración que garantice que el acceso a los Datos sea solamente de lectura

b. Que la infraestructura se encuentre segregada de aquella que soporte cualquier operación.

c. Cuenten con procedimientos que garantice la disponibilidad del servicio relacionado con el intercambio de datos.

d. Registro de auditoría íntegro.

6. Ciberseguridad en las APIs

Ahora bien, las Disposiciones establecen que los Proveedores de Datos deberán contar con una política de seguridad de la información que proteja en todo momento la infraestructura, propia o de terceros contratados por estos, así como la confidencialidad e integridad de los Datos que, en su caso, compartan a través de APIs.

Dicha política deberá contener, al menos, lo siguiente:

a. Configuración segura de los componentes tecnológicos de su infraestructura (v.gr. cierre de puertos y servicios, instalación de mecanismos de detección y prevención de virus, códigos maliciosos o intrusos o actualizaciones)

b. Mecanismos de identificación y autenticación del personal responsable del manejo de APIs bajo el principio del mínimo privilegio, es decir, con acceso únicamente a la información y recursos que se necesitan para el desarrollo de las funciones propias del personal.

c. Cifrado de la información almacenada y de los canales por los cuales se envíen los datos.

d. Procesos de gestión para la atención de incidentes de seguridad de la información que se presenten en la operación de las APIs.

e. Programa de pruebas de penetración, al menos deben realizarse dos pruebas al año y se debe realizar por un tercero independiente.

f. Registros de auditoría íntegros.

g. Mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la información

7. Lineamientos de Seguridad para Datos Abiertos

El Anexo 1 del Disposiciones tiene las especificaciones técnicas respecto de la seguridad para datos abiertos. Bajo ese contexto, divide el estándar de seguridad en tres puntos principales:

a. Seguridad de las sesiones.- Refiere al uso de certificados digitales siguiendo un estándar internacional de infraestructura de llaves públicas y en el uso del protocolo HTTPS.

b. Seguridad de acceso.- Refiere al uso de “Tokens” de acceso proporcionados por el Proveedor de Datos al Solicitante de Datos y al registro de bitácoras de acceso a la información.

c. Seguridad de desarrollo e infraestructura.- Refiere a la implementación de mecanismos para mitigar ataques o intrusiones y a la implementación de un plan de actualización de los componentes de su infraestructura para identificar brechas de seguridad, vulnerabilidades o simplemente por que la infraestructura se vuelva obsoleta o la CNBV lo solicite.

8. Interrupción en el Intercambio de la Información

Las entidades deben interrumpir inmediatamente el acceso de información tan pronto el titular de los datos retire su consentimiento, existan vulnerabilidades que pongan en riesgo la información de sus clientes o el tercero incumpla con los términos y condiciones que se hayan pactado para el intercambio de información.

La interrupción debe ser notificada a las Comisiones Supervisoras o a Banco de México, en su caso, en un periodo que no puede exceder de dos horas a partir de la detección. Dicha notificación se realiza vía correo electrónico a la Comisión que los supervisa dependiendo la entidad y debe contener la justificación de la interrupción.

Es posible el restablecimiento del acceso a la información pero solo en caso de que las Comisiones Supervisoras o Banco de México, en el ámbito de sus competencias, lo determinen o en el caso de que la interrupción fuera injustificada. Lo anterior, independientemente de las sanciones admiinistrativas que correspondan.

La Comisión Supervisora o, en su caso, el Banco de México, previo derecho de audiencia, podrá ordenar la suspensión parcial o total, temporal o definitiva, del intercambio de información y datos que se realice, cuando se incumplan las disposiciones de carácter general que sean emitidas en este tema. Sin embargo, se prevé un programa de regularización para estos casos.

Ahora, ¿que sucede si la interrupción de información se realiza debido a una vulneración o evento de seguridad de la información?

Conclusiones ¿Más competencia?

En nuestra opinión, el Open Finance está destinado a resolver uno de los problemas más relevantes del sistema financiero mexicano su falla de mercado consistente en tener una alta concentración, altas ineficiencias y costos (más información en: Valderrama Carlos (2020). “Sandbox Regulario: La piedra fundacional que detonará la innovación disruptiva FinTech en México. En Robles, Rocio, Ley para regular las Instituciones de Tecnología Financiera. Contexto, contenido e implicaciones (pp. 519-551). Ciudad de México, 2020).

Además de la competencia, se espera también en el mediano plazo, una reestructuración de la industria de servicios financieros en donde las FinTechs y terceros autorizados tomarán mayor relevancia al ser la cara del servicio ante el cliente, apoyados de las entidades financieras quienes a su vez podrán crecer su base de clientes aprovechando estos nuevos canales de distribución.

El cliente se verá beneficiado al contar con servicios más convenientes y más personalizados, por ello consideramos que estas disposiciones representan un pequeño paso para los datos abiertos pero uno enorme para el ecosistema FinTech, al permitir generar mayor competencia e innovación.

Las Entidades que busquen sumarse como Solicitantes de Datos necesitarán entender los controles de seguridad, ajustar su modelo de negocio para considerar el pago de la contraprestación por el uso de los datos vía APIs, así como definir lo lineamientos de seguridad establecidos por la autoridad para poder tener acceso con una infraestructura adecuada para mantenerlo.

En Legal Paradox, S.C. estamos conscientes de los retos que implica lo anterior por lo que continuaremos apoyando a nuestros clientes a fortalecer sus procesos e infraestructura legal, así como a continuar con el trabajo en la regulación secundaria.

Legal Paradox® es una firma legal 100% Mexicana enfocada en el sector FinTech & Blockchain.

Nuestro reto es empoderar al sector, cuando iniciamos, FinTech & Blockchain no eran conceptos de referencia en el país; por ello día con día hemos perseguido esta misión y así hemos generado un cambio en el mundo financiero mexicano. Desde la creación de este despacho, en junio del 2017, hasta ahora hemos trabajado de la mano con más de 180 empresas del sector, es decir más del 30% de las existentes en el país.

En menos de 2 años fuimos reconocidos por Chambers & Partners como parte de la élite FinTech legal en México, estos resultados se deben a que basamos nuestra operación en tecnología, incluso trabajamos nuestros propios desarrollos como el mapa del FinTech Tour y el Parabot, un asistente basado en inteligencia artificial que tiene el objetivo de ayudar a una persona o empresa a encontrar soluciones FinTech.

Entender a profundidad la tecnología nos ha llevado a encontrar como sí es posible lograr disrupción innovadora en el sector Financiero, por eso nuestros clientes nos recomiendan principalmente por entender su negocio e incluso potenciarlo.

El uso de los nombres, marcas, imágenes y links de terceros, contenidas en el presente artículo, son propiedad de dichos terceros y se usan únicamente para efectos meramente ilustrativos.

El presente y su contenido no podrán interpretarse como asesoría legal, por lo que recomendamos contratar a su asesor de preferencia.

Todos los derechos reservados ®.