14 de agosto 2020 / Financiero y Bancario
Solicitud de la autorización para llevar a cabo la celebración de contratos y operaciones mediante dispositivos de forma no presencial
El pasado miércoles 29 de julio, la Comisión Nacional Bancaria y de Valores (“CNBV”), buscando dar cumplimiento a la Recomendación 15 del Grupo de Acción Financiera Internacional (“GAFI”) sobre la necesidad de las instituciones financieras de identificar y evaluar los riesgos del Lavado de Dinero (“LD”) y del Financiamiento del Terrorismo (“FT”) que pudieran surgir con relación al uso de nuevas tecnologías o tecnologías que se encuentren en desarrollo, expidió a través del portal “SITI PLD/FT” la “Guía dirigida a las Sociedades Financieras de Objeto Múltiple No Reguladas, Asesores en Inversiones y Transmisores de Dinero que pretendan presentar solicitud de autorización para llevar a cabo la celebración de contratos y operaciones mediante dispositivos de forma no presencial” (“Guía”).
Por lo anterior, el presente boletín informativo tiene por objeto resumir la información más relevante establecida en dicha Guía, misma que podrá servir de apoyo a las Sociedades de Objeto Múltiple No Reguladas, Asesores en Inversiones y Transmisores de Dinero (“Sujetos Obligados”) para que puedan contemplar el uso de las nuevas tecnologías y medios electrónicos para sobrellevar la situación que estamos enfrentando actualmente y, de este modo, las instituciones puedan seguir prestando sus servicios y realizando operaciones sin incurrir en la comisión de los delitos de LD y FT.
Es importante resaltar que el objetivo principal de la Guía es servir como una herramienta de apoyo para los Sujetos Obligados que se encuentren interesados en obtener la aprobación de la CNBV para llevar a cabo la celebración de contratos o realizar operaciones a través de dispositivos de manera no presencial, cubriendo los requisitos mínimos al momento de presentar el escrito de solicitud.
A. DE LA SOLICITUD DE APROBACIÓN.
Los Sujetos Obligados deberán de considerar en su escrito de solicitud para la aprobación sobre el proceso de identificación de clientes, potenciales clientes o usuarios mediante dispositivos de forma no presencial por parte de la CNBV, el desarrollo de las pautas establecidas por el Sujeto Obligado para cumplir con lo establecido en las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiples, las Disposiciones de carácter general a que se refiere el artículo 95 Bis de la misma Ley, aplicables a los transmisores de dinero a que se refiere el artículo 81-A Bis del mismo ordenamiento y las Disposiciones de carácter general a que se refiere el artículo 226 Bis de la Ley del Mercado de Valores, aplicables a los asesores en inversiones (“Disposiciones”), según sea el caso, así como el establecer los métodos, medidas o procesos que dichos Sujetos Obligados llevarán a cabo al momento de realizar la identificación no presencial.
De igual forma, es relevante mencionar que el proceso al que se refiere el párrafo anterior para la identificación no presencial, deberá ser establecido, de manera enunciativa más no limitativa, mediante algún medio audiovisual, es decir, algún mecanismo que utilice al mismo tiempo el oído y la vista y, estos, se puedan percibir en tiempo real.
B. DOCUMENTACIÓN QUE DEBE ACOMPAÑAR AL ESCRITO DE SOLICITUD.
El escrito deberá ser presentado en la oficialía de partes de la CNBV, la cual está ubicada en Insurgentes Sur No. 1971, Col. Guadalupe Inn, C.P. 01020, Alcaldía Álvaro Obregón, Ciudad de México.
Dicho escrito, tiene que ser redactado en idioma español y presentado en original y dos copias, señalando al menos los siguientes puntos:
- Estar dirigido a la Dirección General de Autorizaciones Especializadas de la Vicepresidencia de Normatividad;
- Contener la denominación o razón social, y número de CASFIM o, en su caso, el número de registro del Sujeto Obligado;
- Designación de un domicilio en el territorio nacional para oír y recibir notificaciones, así como al menos el de uno de sus representantes;
- Descripción general del proceso de identificación no presencial;
- Puntos petitorios, añadiendo en ellos de manera expresa la solicitud para llevar a cabo la celebración de contratos u operaciones de manera no presencial debidamente fundamentada y motivada;
- Estar firmado por el Representante Legal y/o Director General, también se deberá adjuntar una copia simple del instrumento público con el que se ostente tal personalidad.
C. PROCESO DE IDENTIFICACIÓN NO PRESENCIAL DE LA ENTIDAD.
Los Sujetos Obligados deberán desarrollar detalladamente el proceso de identificación no presencial que llevarán a cabo, en el cual se deberá reflejar todos los criterios, procedimientos, controles, medidas e infraestructura tecnológica establecidos en las Disposiciones.
Asimismo, la Guía le sugiere a los Sujetos Obligados presentar el escrito de solicitud adjuntando los documentos como anexos, ya que podrán ser de utilidad como evidencia para que la CNBV pueda analizar de mejor forma la solicitud y de este modo no dejar margen de duda.
Ahora bien, respecto a los documentos que deben obrar con la firma del responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o el administrador único del Sujeto Obligado, podrán dar cumplimiento a este requisito exhibiendo algún documento en donde los funcionarios antes mencionados hayan plasmado la designación del responsable de riesgo.
Por último, se les recomienda a los Sujetos Obligaos anexar y considerar los criterios establecidos en los formatos de cumplimiento que contiene la Guía, ya que dichos formatos se encuentran adaptados a las Disposiciones.
D. RIESGO TECNOLÓGICO
Como resultado de las nuevas tecnologías empleadas por los Sujetos Obligados para la identificación no presencial de sus clientes, es importante que estos consideren que, de acuerdo con la tecnología utilizada, se debe mencionar en donde se realiza cada proceso, servicio y la localización detallada de donde se almacenará y procesará la información. De igual forma, los Sujetos Obligados deben describir la arquitectura de la tecnología utilizada, es decir, el tipo de nube (pública, privada o híbrida) y nombre del proveedor, localidades específicas en donde se almacenará y procesará la información, así como el proyecto de contrato.
Asimismo, como parte de la prevención de la comisión de los delitos de LD y FT, la CNBV pide a los Sujetos Obligados informar el diagrama de telecomunicaciones y descripción de los medios para el procesamiento y transmisión de la información, datos y archivos en donde se garantice su integridad, así como describir la estrategia de continuidad de negocios, conocida como “Business Continuity Plan” de la entidad y los participantes. Dichas entidades deben tener presente que, en el caso de contingencias, fallas o interrupciones en la tecnología utilizada, se debe mantener un resguardo de la información, datos y archivos, así como describir la ubicación de este resguardo almacenado en la plataforma utilizada.
De igual forma, como otra medida de prevención, la tecnología utilizada debe ser aprobada por el responsable de riesgos o su equivalente, en caso de no contar con este, por el comité de auditoría, consejo de administración o administrador único y, dentro de dicha tecnología, se deben describir los mecanismos de validación que dan parámetros de fiabilidad con los que se realice el reconocimiento facial del solicitante.
E. SEGURIDAD DE LA INFORMACIÓN
Los Sujetos Obligados deberán de describir los mecanismos para el almacenamiento seguro de la información, para el aseguramiento de los canales de comunicación, así como los mecanismos empleados para gestión de accesos a los sistemas utilizados en el proceso de identificación no presencial y la descripción del proceso de gestión de incidentes de seguridad de la información que se llevará a cabo, así como las políticas y procedimientos a tales incidentes.
Es importante que los Sujetos Obligados tengan presente que una vez que el proyecto sea aprobado, comenzará de inmediato la etapa de implementación, en donde el Sujeto Obligado deberá de proporcionarle a la CNBV lo siguiente:
a. Resultados de las pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la infraestructura tecnológica utilizada en el proceso, ya sea propia o de terceros. De igual forma, deberán proporcionar la evidencia de la mitigación de las vulnerabilidades de la entidad detectadas durante las pruebas.
b. Pruebas de calibración de los mecanismos empleados para el reconocimiento de rostro o verificación de cualquier otro elemento biométrico se utilice.