Esta es una actualización al “Client Alert” publicado el 15 de mayo de 2024 por Campa & Mendoza.
I. Contenido del Acuerdo.
El día de hoy, la Comisión Nacional Bancaria y de Valores (“CNBV”), publicó en el Diario Oficial de la Federación (“DOF”) la “Resolución que modifica las Disposiciones de carácter general aplicables a las Instituciones de Crédito” (el “Disposiciones”) el cual puede ser consultado aquí.
El Acuerdo tiene por objeto modificar las Disposiciones de carácter general aplicables a las Instituciones de Crédito con la finalidad de incluir la figura del comisionista de base tecnológica, definiéndolo como aquel tercero que podrá actuar en nombre y por cuenta de las instituciones de crédito (“Instituciones”) por medio de páginas de internet o aplicaciones informáticas, mismas que estarán acotadas a realizar únicamente las siguientes operaciones:
a) Apertura de cuentas nivel 2, y transferencias de recursos asociadas a dichas cuentas;
b) Otorgamiento de créditos por montos no mayores a tres mil UDIs;
c) Pago de bienes y servicios, y
d) Consulta de saldos y movimientos.
Las Instituciones en la contratación de comisionistas de base tecnológica deben contemplar los requisitos y obligaciones adicionales, a los vigentes, relativos a:
a) Seguridad de la información, procesos operativos y de administración de bases de datos y sistemas informáticos.
b) Asimismo, deben conocer y obtener de los comisionistas información y documentación relacionados con los servidores de información, contratos con terceros y de los empleados que llevarán a cabo los procesos operativos relacionados a los servicios financieros.
c) La información que las Instituciones deban asegurar que los comisionistas hagan del conocimiento de los clientes, la utilización y registro de llaves públicas y privadas y de factores que permitan autenticar a los clientes para la realización de operaciones.
II. Proceso Operativo.
El proceso por seguir para la realización de operaciones mediante comisionistas de base tecnológica es que todo cliente deberá ser previamente autenticados por la Institución, por lo que el cliente será transferido del comisionista a la interfaz de las Instituciones para su verificación y autenticación y posteriormente, regresará a la interfaz del comisionista para llevar a cabo la operación.
Lo anterior, significa que una vez que se haya autenticado el cliente, el comisionista tendrá acceso a la información del cliente y podrá realizar la operación. Sin embargo, los permisos otorgados al comisionista para acceder a la información del cliente serán revocados una vez realizada la operación o, cuando haya vencido los plazos máximos para llevar a cabo las operaciones o por inactividad.
Con relación a los contratos que celebren las Instituciones con los comisionistas se encuentra que deben establecerse cláusulas que impidan al comisionista procesar, transmitir, guardar, modificar o copiar la información de los factores de autenticación necesarios para llevar a cabo las operaciones, la utilización y procesamiento de la información de los clientes mediante mensajes cifrados, los tiempos máximos para realizar las operaciones, información de los empleados y avisos de los cambios de los mismos, entre otras.
III. Plan Estratégico de Negocios.
Para llevar a cabo operaciones con comisionistas es necesario que las Instituciones presenten para autorización de la CNBV, previo a la firma del contrato de comisión mercantil
y por única ocasión un plan estratégico de negocios (comúnmente conocido como PEN), el cual debe prever el cumplimiento de los requisitos señalados anteriormente y contenidos en los anexos 57, 58 y 59, así como el modelo de contrato de comisión mercantil.
El Acuerdo no modifica las causales por las cuales las Instituciones deberán solicitar una nueva autorización al PEN aprobado, las cuales continúan siendo:
i. Reformas que impliquen cambios a los términos en los que realizarían las operaciones;
ii. Cambios sustanciales en las condiciones y obligaciones del contrato;
iii. Operaciones no incluidas en el PEN;
iv. Implementación de una nueva tecnología, u
v. Operar con nuevos comisionistas no previstos en el PEN.
Sin embargo, el Acuerdo es contradictorio en los supuestos iii, iv y v anteriores, ya que la norma obliga a una nueva autorización del PEN, mientras que el Acuerdo solamente establece que la CNBV deberá (i) autorizar el anexo 59 (requerimientos técnicos)y, en su caso, la descripción de la nueva tecnología y su implementación, y (ii) el proyecto de contrato de comisión mercantil de conformidad con el PEN autorizado.
Cabe señalar, que el Acuerdo establece que el proyecto de contrato antes señalado en el inciso (ii), debe contemplar los requisitos establecidos en las Disposiciones con excepción de lo establecido en el segundo párrafo, fracción I del artículo 324, es decir las operaciones que el administrador de comisionistas contratará a nombre de las instituciones.
IV. Administradores de Comisionistas.
Con relación al régimen de los administradores de comisionistas, el último párrafo del artículo 319 Bis, prohíbe que los administradores de comisionistas subcontraten a comisionistas de base tecnológica. Sin embargo, el Acuerdo no establece la prohibición en el artículo 321 Bis 2, el cual refiere a los administradores de comisionistas y las características, requisitos y prohibiciones para la contratación de comisionistas a nombre y cuenta de las instituciones de crédito.
V. Transitorio.
Las disposiciones transitorias obligarán a que las Instituciones adecuen los contratos celebrados con sus comisionistas y dar cumplimiento simultáneamente con las obligaciones derivadas de las modificaciones de dichos contratos en un plazo de dieciocho meses a partir de la entrada en vigor del Acuerdo. Dichos cambios serán aplicables a los contratos con comisionistas con establecimiento físico, los cuales, entre otros, son:
i. incluir flujos que especifiquen los procesos operativos o de administración de bases de datos y sistemas informáticos, la ubicación física de los servidores de la Institución;
ii. aceptación por parte del comisionista en entrega de información y documentación adicional, a la vigente, en las auditorias;
iii. restricciones y condiciones respecto de la posibilidad de subcontratar la prestación del servicio de cómputo bajo demanda y de infraestructura tecnológica a través de internet;
iv. mecanismos de solución de controversias entre el comisionista y el tercero subcontratado;
v. información que se deberá publicar por parte de las Instituciones y comisionistas al público, y
vi. información relativa a los anexos 58 y 59.
* * * *
Este documento no constituye asesoramiento legal. En caso de requerir información puntual o asesoría, favor de contactarnos.
Campa & Mendoza
