El panorama regulatorio financiero en Turquía se está modernizando rápidamente

No es ningún secreto que los clientes de hoy exigen significativamente más de sus bancos y mercados financieros. Por ejemplo, se espera que los bancos brinden una experiencia totalmente digital e ininterrumpida en todos los canales a través de los cuales el cliente interactúa con el banco. Además, se espera este nivel de servicio si compra un artículo en línea o solicita un préstamo.

Al mismo tiempo, nuevo regulaciones otorgan mayor importancia a la seguridad que, combinada con la persistente amenaza de fraude y ataques cibernéticos, significa garantizar que la seguridad del cliente debe ser una prioridad en el sector bancario.

Desglosando las nuevas regulaciones bancarias en Turquía

En noviembre de 2019, las enmiendas a Turquía Ley de sistemas de pago y liquidación de valores, servicios de pago y dinero electrónico Instituciones ( Ley N ° 7192 ) fueron promulgadas y publicadas en el Boletín Oficial (Edición: 30956). La ley original de 2013 proporcionó el marco legal para las compañías de pago, los sistemas de pago y liquidación de valores y las compañías de dinero electrónico.

La ley revisada entró en vigencia el 1 de enero de 2020. Mejora significativamente la ley existente para la banca abierta dentro de la República de Turquía. Además, la ley sorprendentemente faculta al Banco Central de la República de Turquía en lugar de la Agencia de Regulación y Supervisión Bancaria para servir como regulador de los servicios de pago y proveedores de servicios de banca abierta. Según la ley, los proveedores de servicios de banca abierta y pago (PSP) deben solicitar al Banco Central que obtenga la autorización antes del 1 de enero de 2021.

En respuesta, el Presidente de ÖDED, la Asociación de Pagos y Dinero Electrónico del país, Burhan Eliaçık , dijo:

"Este desarrollo es una fuente de gran felicidad y orgullo para el sector de servicios de pago".

"Con esta ley, mientras se logra el cumplimiento de las normas y estándares internacionales, avanzaremos rápidamente hacia un ecosistema de pagos donde se generalicen productos y servicios innovadores y de bajo costo".

Si bien Turquía ha cambiado su ley y ha facultado al Banco Central para regular la banca abierta, no tiene planes de desarrollar su propio sistema de banca abierta. En cambio, a través de sus estrechas relaciones con la Unión Europea junto con el hecho de que varios bancos extranjeros también operan en la UE, Turquía es uno de los primeros países fuera de la UE en adoptar la versión revisada. Directiva de servicios de pago (PSD2) . 

ÖDED abrazó genuinamente la adopción de PSD2. Según Eliaçık, “Las aplicaciones que permiten a los usuarios consultar y transferir su saldo llegarán a nuestras vidas y esto garantizará el cumplimiento de la regulación de la Directiva de servicios de pago 2 de la UE, que el sector esperaba ansiosamente, y se desarrollarán aplicaciones bancarias abiertas dentro del marco de los procedimientos y principios establecidos por el Banco Central de Turquía ".

Para coincidir con la fecha de vigencia de la Ley de sistemas de pago y liquidación de valores, servicios de pago e instituciones de dinero electrónico, las disposiciones de banca abierta de PSD2 también entraron en vigor el 1 de enero de 2020. 

Nuevo Reglamento vigente: 1 de julio de 2020

Más recientemente, el 15 de marzo de 2020, la Agencia de Supervisión y Regulación Bancaria de Turquía publicó el Reglamento sobre sistemas de información de bancos y servicios de banca electrónica en el Boletín Oficial ( Emisión: 31069 ) La regulación entrará en vigor el 1 de julio de 2020 e impacta significativamente a los bancos, las empresas de auditoría, las empresas de tecnología que ofrecen servicios subcontratados a los bancos y las empresas que ofrecen soluciones de "banca abierta".

El reglamento aborda:

• Establecimiento y gestión de sistemas de información de bancos.
• Seguridad de la información de los bancos.
• Servicios de banca electrónica

Debido al impacto en banca abierta , vale la pena destacar artículos específicos. Cada canal (Internet, móvil, banca telefónica) está sujeto a regulaciones detalladas en términos de autenticación y seguridad de transacciones.

El artículo 34 exige que el personal y los clientes de los bancos utilicen autenticación de dos factores (2FA) para acceso a cuentas de clientes y transacciones. El reglamento incluye un ejemplo del uso de la tarjeta de identidad turca con el PIN o los datos biométricos de la tarjeta o el uso de la firma electrónica.

La regulación aborda inquietudes ampliamente informadas con respecto a problemas de seguridad asociados con SMS-OTP . Los bancos pueden enviar una contraseña de un solo uso (OTP) o un código de verificación por SMS en las etapas iniciales de configuración, activación y reactivación de la aplicación de banca móvil. Sin embargo, los bancos no pueden enviar un OTP o un código de verificación por SMS a los clientes que han instalado y activado la aplicación de banca móvil, para verificar cualquier transacción durante el inicio de sesión o la sesión y usarla como elemento de autenticación.

El artículo 34 también aborda las preocupaciones con respecto a seguridad de aplicaciones móviles . La regulación requiere que cualquier software o aplicación móvil ofrecida por el banco a sus clientes para su uso en servicios de banca electrónica se pueda verificar como el banco relevante. Los bancos deben asegurarse de que cualquier software o aplicación móvil no contenga código que ponga en peligro la seguridad del cliente y proporcione los parches y actualizaciones necesarios al cliente para resolver vulnerabilidades. Si bien la regulación no establece específicamente que las aplicaciones móviles deben someterse a un blindaje de aplicaciones móviles proceso para proteger contra malware, es una práctica recomendada de la industria.

El artículo 36 requiere que el banco implemente mecanismos de seguimiento de transacciones para detectar y prevenir transacciones inusuales o fraudulentas dentro del alcance de los servicios de banca electrónica.

En caso de intentos fraudulentos de transacciones, los bancos deben poder rastrear e informar sobre:

• Método (s) de fraude conocido utilizado (s)
• Una pista de auditoría producible capaz de probar "la cantidad de cada transacción realizada y si el cliente muestra un pago inusual, transferencia de fondos o patrón de comportamiento de acuerdo con estas cantidades, utilizando la información de ubicación"
• Cualquier señal de que el malware puede haber infectado la sesión de autenticación

Si se detecta un intento de fraude, el banco debe alertar al cliente a través de múltiples canales, como durante un inicio de sesión en la aplicación móvil, teléfono o mensaje de texto del banco.

Artículo 41 direcciones comunicación segura cuando se utilizan servicios de banca abierta. La comunicación entre el cliente o la parte que actúa en nombre del cliente y el banco debe ser en forma de comunicación segura de extremo a extremo, siempre que el banco implemente controles compensatorios adicionales y restricciones adicionales sobre los recursos con los que el cliente puede contactar .

Artículo 43 direcciones identificación remota y confiar en el tercero. Esto permite que un banco utilice métodos de identificación remota para determinar la identidad del cliente o la persona que actúa en nombre del cliente sin perjuicio de la Ley vigente para la prevención de ingresos por delitos de lavado o, a través de servicios bancarios abiertos, de otro banco que ya realizó el evento de prueba de identidad.

Además, la regulación requiere que los bancos detectar y prevenir fraudes en servicios de banca electrónica con mecanismos de seguimiento. Los clientes que utilizan servicios de banca electrónica prestados por un banco deben presentar explícitamente los términos y riesgos asociados con los servicios de banca electrónica.

La regulación también proporciona autenticación y seguridad de transacciones provisiones. Estas disposiciones están relacionadas con la banca en línea, banca móvil, banca telefónica, servicios de banca abierta y banca en cajeros automáticos.

Requisito de alojamiento en la nube en el país

En muchos países, las instituciones financieras están aprovechando la seguridad, la redundancia y los beneficios financieros del almacenamiento de datos en la nube. Se incluye el uso de servicios de computación en la nube mediante la subcontratación. Sin embargo, la regulación requiere que terceros proveedores de software o servicios de nube alojen sus sistemas y datos en Turquía. Los servicios externos relacionados con los sistemas primarios también califican como sistemas primarios y deben ubicarse en territorio turco. 

¿Qué sigue para las regulaciones bancarias en Turquía?

El momento de la regulación está estrechamente relacionado con el lanzamiento de la Fuerza de Tarea de Acción Financiera Guía de identidad digital . La regulación permite a los bancos utilizar métodos de identificación remota para incorporar digitalmente a nuevos clientes (es decir, apertura de cuenta "no cara a cara") para determinar la identidad del cliente.

Es muy probable que la Junta de Investigación de Delitos Financieros (Mali Suçları Araştırma Kurulu) (MASAK) del Ministerio de Hacienda y Finanzas actualice sus regulaciones en lo que respecta a Conozca a su cliente (KYC), antilavado de dinero (AML) y contador -financiación del terrorismo.  

El lanzamiento de PSD2 y la aplicación del Reglamento sobre sistemas de información de bancos y servicios de banca electrónica pondrán el sistema financiero de Turquía en el centro de atención. Si bien los bancos obtendrán recompensas en términos de eficiencia y ahorro de costos, el pueblo turco puede ser el mayor ganador de todos.