¿Quiere hacer crecer su Neo-Bank? Principales consideraciones normativas para bancos digitales

Michael Magrath, 28 de Agosto de 2020

Los neobancos sin sucursales y solo en línea (también conocidos como bancos retadores o bancos solo digitales) prevalecen en Europa, América Latina y Asia, y están ganando terreno rápidamente en los EE. UU.

Los neobancos suelen ofrecer a los clientes una mayor comodidad y experiencias online superiores. Por ejemplo, los clientes que abren una cuenta en un neobanco completan el proceso completamente en línea a través de un navegador web o mediante la aplicación móvil del banco, sin necesidad de firmar formularios en papel o visitar una sucursal bancaria. Desde la pandemia, menos personas quieren ingresar a una sucursal para abrir una nueva cuenta o realizar transacciones financieras, posicionando a los neobancos para capturar a los consumidores que buscan una experiencia completamente móvil.

Los neobancos deben seguir creciendo para tener éxito. Para muchos, el crecimiento es sinónimo de expansión geográfica. En este blog, cubrimos las regulaciones más importantes para que los neobancos solo digitales las consideren si quieren crecer de manera rápida y exitosa.

Vaya a una de las secciones siguientes:

1. Conozca las regulaciones de su cliente (KYC) para la apertura remota de cuentas

Todos los bancos deben incorporar a los clientes de acuerdo con las regulaciones de Conozca a su cliente (KYC). Estas regulaciones estipulan que los bancos deben verificar la identidad de la persona que abre una nueva cuenta, incluso si ese usuario es remoto y no está físicamente presente en una sucursal. Dado que los neobancos dependen de la apertura de cuentas móviles y en línea, es especialmente importante asegurarse de que cumplan con las regulaciones que cubren la verificación de identidad digital.

En los EE. UU., Ley de Crecimiento Económico, Alivio Regulatorio y Protección al Consumidor se convirtió en ley en mayo de 2019. En la sección 213, la Ley MÓVIL (Hacer que la iniciación bancaria en línea sea legal y fácil) permite a las instituciones financieras incorporar digitalmente a nuevos clientes escaneando la licencia de conducir o la tarjeta de identificación personal. Este modo de apertura de cuenta digital remota reduce los costos para los bancos y mejora la experiencia del cliente desde el inicio de la relación, al tiempo que cumple con las pautas de distanciamiento social. La ley USA PATRIOT de 2001 exige KYC para todos los EE. UU. bancos. En esta Ley se incluye el requisito de un Programa de identificación de clientes (CIP), que obliga a las instituciones financieras a verificar la identidad de las personas antes de permitirles realizar transacciones financieras.

En Canadá, el Centro de Análisis de Informes y Transacciones Financieras de Canadá (FINTRAC) publicó un documento titulado Métodos para verificar la identidad de un individuo y confirmar la existencia de una corporación o una entidad que no sea una corporación . Estipula que cuando una persona no está físicamente presente, las instituciones financieras pueden utilizar la tecnología de verificación de identidad y apertura de cuentas digitales para permitir que esa persona abra una cuenta bancaria, siempre que el banco utilice una solución que pueda evaluar la autenticidad del documento de identidad del solicitante y verificar que la persona que intenta abrir la cuenta es la persona que figura en el documento de identidad.

En el Reino Unido, Reglamento de 2017 sobre blanqueo de capitales, financiación del terrorismo y transferencia de fondos (información sobre el pagador) exige que las instituciones financieras lleven a cabo estrictas medidas de verificación de la identidad del cliente. Durante los primeros meses de la pandemia de COVID-19, la Autoridad de Conducta Financiera (FCA) del Reino Unido dijo estaba "preparado para relajar las reglas sobre las firmas de servicios financieros que aceptan 'selfies' con fotos de teléfonos de clientes para verificar su identidad, como una de varias medidas para aliviar la carga durante el bloqueo del coronavirus".

En marzo de 2020, el Grupo de Acción Financiera (compuesto por 39 países que representan la mayoría de los principales centros financieros de todo el mundo) publicado más Orientación sobre identidad digital . En la guía se incluyen detalles sobre la mejor manera de aplicar la debida diligencia del cliente a los procesos de apertura de cuentas digitales utilizando verificación de identidad digital como parte de la incorporación del cliente. Según el GAFI, “la identificación digital confiable puede hacer que sea más fácil, económico y seguro identificar a las personas en el sector financiero.  También puede ayudar con los requisitos de monitoreo de transacciones y minimizar las debilidades en las medidas de control humano ". La guía del GAFI es el modelo que los bancos digitales deben seguir para la "incorporación no presencial".

Para cumplir con estos requisitos, algunos bancos han integrado verificación automatizada del documento de identidad con comparación facial para verificar digitalmente la identidad de un cliente potencial. Aquí es donde se le pedirá al cliente que use su teléfono para escanear su documento de identificación emitido por el gobierno (generalmente una licencia de conducir, pasaporte o tarjeta de identificación). Luego, el escaneo del documento de identidad se analiza utilizando algoritmos de autenticidad y aprendizaje automático para verificar si es genuino.

Una vez que se verifica el documento de identidad, la foto del documento se compara con la foto del selfie utilizando tecnología de comparación facial. Si se identifica una coincidencia y se determina que ambos son genuinos, entonces el solicitante puede seguir adelante con el proceso de apertura de cuenta bancaria remota. Los reguladores definen esto como "Incorporación no presencial" y ofrece una variedad de beneficios para el cliente y el banco, incluida la comodidad del usuario, la reducción de costos operativos y la capacidad de incorporar a los clientes de acuerdo con los requisitos de distanciamiento social. .

2. Regulaciones de autenticación basada en riesgos y seguridad en línea

Al igual que los bancos tradicionales, los neobancos deben integrar y mantener sólidos sistemas de seguridad digital y antifraude en línea. Estos incluyen la seguridad de back-end, la protección de los sistemas de front-end, así como el cumplimiento y los informes.

Además de los requisitos reglamentarios, los neobancos tienen otro factor importante para proteger las cuentas de sus clientes: la gestión de la reputación y la percepción del consumidor. Mientras 90% de los clientes de neobancos en EE. UU. y 88% en el Reino Unido dicen que están satisfechos con su experiencia neobancaria, el 61% de los consumidores dicen que confían más en un banco tradicional con su dinero que en un neobanco, y el 82% dice que garantizar la seguridad de las transacciones es una preocupación fundamental al elegir un banco . A diferencia de muchos bancos tradicionales, los neobancos deben ganarse la confianza de los consumidores y proteger rigurosamente a sus clientes de todo tipo de fraude, incluidos los ataques y troyanos móviles, las estafas de phishing y los intentos de apropiación de cuentas.   

La protección de las cuentas de los clientes contra el fraude y el acceso no autorizado también es una de las principales preocupaciones de los reguladores. En los EE. UU., El regulador del estado de Nueva York, el Departamento de Servicios Financieros de Nueva York (NYDFS), impone requisitos de ciberseguridad . Los requisitos incluyen, entre otros, exigir a las instituciones financieras que “utilicen controles efectivos, que pueden incluir autenticación basada en riesgos o autenticación multifactor, en un esfuerzo por proteger la información no pública o los sistemas de información del acceso no autorizado ".    

En la UE, la Directiva de servicios de pago 2 (PSD2) exige el uso de Autenticación sólida del cliente para asegurar pagos y transacciones contra el fraude. PSD2 garantiza que los conceptos de autenticación avanzada, como la vinculación dinámica, la vinculación de dispositivos para aplicaciones móviles, el blindaje de aplicaciones móviles y el análisis de riesgos de transacciones se conviertan en herramientas de seguridad estándar en los servicios financieros. Las iniciativas similares a PSD2 se han extendido más allá del bloque como Bahrein y pavo también han adoptado el enfoque de la UE.

Si bien las instituciones financieras aprovechan la seguridad, la redundancia y los beneficios financieros del almacenamiento de datos en la nube, los neobancos también deben tener en cuenta las leyes locales de residencia de datos y la nube.   

3. Protección del canal móvil

Todos los bancos, pero especialmente los neobancos sin sucursales, deben implementar una seguridad sólida para el canal móvil, especialmente la aplicación móvil en sí. Esto es fundamental a raíz de la pandemia mundial, que ha visto Las amenazas móviles aumentan para los bancos tradicionales, los bancos desafiantes y las FinTechs . Recientemente, el El FBI advirtió a los consumidores que un aumento en el troyano bancario basado en aplicaciones móviles Se esperaba actividad como resultado de los aumentos en la actividad de la banca móvil impulsados por la pandemia.

Para muchos neobancos, la aplicación móvil es el único punto de contacto con el cliente disponible. La aplicación móvil es el canal en el que el cliente abre una cuenta, accede a su dinero, realiza pagos y transacciones, resuelve problemas de soporte y recibe información sobre nuevos productos. Con tanto en juego en la aplicación, debe ser excelente. Debe brindar una experiencia de cliente impecable y también debe ser seguro. Si la aplicación móvil se cae debido a un ataque, todo el banco se cae. Además de negar a los clientes el acceso a su dinero, la interrupción de una aplicación podría dañar gravemente la confianza del consumidor. Los titulares negativos sobre brechas bancarias desafiantes pueden hacer que persuadir a los clientes para que confíen su dinero a los neobancos es aún más difícil.

Además, dado que las aplicaciones móviles se descargan en dispositivos móviles sobre los que los desarrolladores de aplicaciones de neobancos no tienen control, no se puede confiar en el estado de seguridad de esos dispositivos. Por lo tanto, los neobancos deben tomar medidas adicionales para garantizar la seguridad e integridad de la aplicación.

Es imperativo que las instituciones financieras hagan lo que sea necesario para armarse con el conocimiento y la experiencia para monitorear y proteger sus canales y los datos y transacciones de sus clientes de manera continua, mientras brindan la experiencia del cliente al mismo tiempo. 

Para cumplir con estos requisitos, muchos bancos confían en proveedores de soluciones de terceros confiables para implementar blindaje de aplicaciones móviles para ellos. El blindaje de aplicaciones protege a una aplicación de banca móvil desde el interior cuando interactúa con el exterior. Permite que la aplicación funcione de forma segura incluso en entornos potencialmente hostiles, como dispositivos con jailbreak o rooteados, y solo niega el servicio cuando es absolutamente necesario.

Mobile App Shielding
White Paper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

 

4. Privacidad y protección de datos

Dadas las infracciones ampliamente publicitadas en los últimos años y la venta y el intercambio no autorizados de datos de los consumidores por parte de los agregadores de datos, los neobancos deben proteger los datos de sus clientes de infracciones y ataques. Más allá de las multas, las filtraciones de datos y los ataques pueden dañar significativamente la confianza del consumidor en los bancos no tradicionales. Las preocupaciones sobre la privacidad y la protección de datos también pueden impedir que los consumidores se cambien a neobancos.

A fines de julio de 2020, Mark cubano La startup FinTech, Dave, informó un incidente de seguridad resultando en la exposición de información de identificación personal de millones de sus usuarios. Aunque FinTech emitió una declaración de que no se produjo ninguna actividad fraudulenta, la noticia de la violación y la necesidad de notificar a 7,5 millones de clientes y restablecer todas las contraseñas de los clientes seguramente afectarán la confianza del consumidor.  

Se han promulgado en todo el mundo numerosas leyes y normativas sobre privacidad y protección de datos. Éstos incluyen:

  • Reglamento general de protección de datos de la Unión Europea (GDPR)
  • Ley de privacidad del consumidor de California de EE. UU. (CCPA)
  • Ley de protección de datos de Tailandia (el cumplimiento entró en vigor el 27 de mayo de 2020)
  • Ley General de Protección de Datos de Brasil (la aplicación comienza el 1 de agosto de 2021)

Se avecinan más regulaciones de este tipo. Particularmente en los EE. UU., Con otros estados implementando legislación similar a la CCPA y el Congreso de los EE. UU. Ha introducido recientemente una legislación federal.

5. Iniciativas de banca abierta

Durante los últimos años, se han implementado muchas iniciativas de banca abierta en todo el mundo. La banca abierta permite a los proveedores de servicios financieros (TPP) de terceros acceder a los datos de los clientes (con el consentimiento del cliente) de bancos o instituciones financieras mediante el uso de interfaces de programación de aplicaciones (API). La banca abierta tiene como objetivo crear mejores opciones de servicios financieros para los consumidores al permitir que más actores ingresen al mercado de servicios financieros.

Los neobancos deben cumplir con los requisitos únicos de cada regulador y deben estar al tanto de las iniciativas de banca abierta local reguladas y no reguladas si están buscando mudarse a una nueva jurisdicción. Los neobancos sin los considerables equipos de cumplimiento de los bancos más grandes deben buscar proveedores y socios que puedan demostrar un conocimiento profundo del tema en estas iniciativas variadas y de rápido movimiento.

Si bien la banca abierta ha sido bien definida y adoptada en la UE (y las instituciones financieras deben seguir las regulaciones establecidas por PSD2), Asia Pacífico, Hong Kong, Japón, Singapur y Corea del Sur también están avanzando en sus iniciativas de banca abierta. En Australia, la aprobación del derecho de datos del consumidor (CDR) en febrero de 2020 sirvió como catalizador para la banca abierta y el 1 de julio de 2020 se pidió a los "4 grandes" bancos de Australia que compartieran "datos de referencia de productos con destinatarios de datos acreditados".

En América del Norte, Canadá ha estado realizando estudios en profundidad y ha cambiado el nombre de "banca abierta" a "Finanzas dirigidas por el consumidor". Aunque el Gobierno de Canadá aún no ha aprobado la banca abierta, los estudios son prometedores y es posible que la financiación dirigida al consumidor se lance más temprano que tarde.

Resumen

La gran cantidad de requisitos reglamentarios puede resultar abrumadora para cualquier banco. Este artículo es de muy alto nivel en términos de los requisitos regulatorios que enfrentan los neobancos y no pretende ser una hoja de ruta para el cumplimiento. Sin embargo, sí resalta algunos de los matices a los que se enfrentan los neobancos a nivel mundial.

Los neobancos que buscan expandirse geográficamente enfrentan muchos desafíos. Necesitan persuadir a los consumidores cautelosos de que pueden mantener seguro su dinero; necesitan persuadir a los reguladores de que pueden operar de manera segura y en cumplimiento; y necesitan proteger su valiosa aplicación móvil contra ataques y crecientes casos de fraude. Deben hacer todo esto de una manera que no afecte ni disminuya la experiencia superior en línea y en la aplicación que ofrecen a sus clientes.

Para hacer esto, los neobancos deben buscar tecnologías que puedan ayudar a detectar y detener el fraude y los ataques, sin afectar la forma en que un cliente típico interactúa con su aplicación en el día a día. Tecnologías como la biometría del comportamiento, la verificación de la identidad digital y el análisis de riesgos basado en el aprendizaje automático pueden ayudar a lograr este equilibrio. Es importante destacar que también deben buscar tecnologías que puedan ayudarlos a abordar regulaciones específicas, como los requisitos para la autenticación sólida del cliente y las identidades digitales.

Si pueden hacer esto, las oportunidades de crecimiento y expansión son infinitas.

Michael Magrath es responsable de alinear la hoja de ruta de las soluciones de OneSpan con las normas y los requisitos reglamentarios a nivel mundial. Es copresidente del Grupo de Trabajo de Despliegue Gubernamental de la Alianza FIDO y forma parte de la Junta Directiva de la Asociación de Firma y Registros Electrónicos (ESRA)