OneSpan Blog

Principales requisitos de cumplimento de seguridad y regulaciones bancarias [2022]

Ciberseguridad y autenticación fuerte - Conformidad
OneSpan Team,
Silhouette of construction worker with crane and cloudy sky for preparation of welcome 2022 new year party and change new business.

En 2021, los legisladores y reguladores gubernamentales estaban demasiado ocupados y enfocados en mejorar la ciberseguridad, fortalecer las identidades digitales y la autenticación online y proteger a los consumidores mientras la migración al medio digital continúa con los pagos y las monedas digitales.

A continuación, hemos recopilado algunas de las regulaciones, políticas y leyes clave a escala mundial que influirán en las instituciones financieras, compañías de tecnología financiera, sistemas de pago, bancos comerciales, prestamistas, prestatarios, firmas de gestión de activos y el sector bancario en general.

Si desea ver una lista completa, acceda al Informe de regulaciones financieras mundiales para 2022 de OneSpan, disponible online, solamente en Inglés, y para su descarga.

Índice:

Cybersecurity

ESTADOS UNIDOS DE AMÉRICA

En noviembre, la Comisión de la Reserva Federal, el Fondo de Garantía de Depósitos (FDIC, por sus siglas en inglés) y la Oficina del Contralor de la Moneda (OCC, por sus siglas en inglés) publicó una norma definitiva rque estipula que las "organizaciones bancarias" deberán notificar a su regulador federal principal, en un plazo máximo de 36 horas, determinados tipos de incidentes de seguridad informática. Este marco regulatorio también estipula que los "proveedores de servicios bancarios" deberán "notificar a los clientes de las organizaciones bancarias, a la mayor brevedad posible, aquellos incidentes que haya afectado sustancialmente tales clientes o que razonablemente pueda afectarlos durante cuatro horas o más". La expresión "proveedores de servicios bancarios" engloba a toda compañía de servicios bancarios y a toda persona que haga una prestación de servicios financieros conforme a la Ley estadounidense relativa a las compañías de servicios bancarios. Esta regulación entrará en vigor el 1 de abril de 2022, pero las organizaciones bancarias y sus proveedores de servicios bancarios deben cumplirla para el 1 de mayo de 2022.

En agosto, el Consejo de Examen de Instituciones Financieras Federales (FFIEC, por sus siglas en inglés), actualizó su Guía de autenticación y acceso a servicios y sistemas de instituciones financieras por primera vez en diez años. Esta guía anima a las entidades financieras (IF) a identificar a aquellos usuarios de servicios financieros y clientes que garanticen controles de autenticación y gestión de accesos, además de a aquellos usuarios y clientes que garanticen unos controles de autenticación más avanzados, como la autenticación multifactor (AMF). Asimismo, el FFIEC señala que la autenticación de un solo factor, que normalmente es algo conocido, como un nombre de usuario o una contraseña estática, no es suficiente. Declara que:

“Los ataques contra los sistemas y usuarios protegidos por autenticación de un solo factor con frecuencia suponen accesos no autorizados, con la consiguiente sustracción o destrucción de datos, efectos adversos por ransomware, fraudes en cuentas de clientes y robos de identidad. En consecuencia, el uso de la autenticación de un solo factor como único mecanismo de control ha demostrado ser insuficiente para hacer frente a este tipo de amenazas.” 

El FFIEC también examina la verificación de identidad, un componente determinante de los reglamentos Conozca a Su Cliente (KYC, por sus siglas en inglés). El FFIEC hace especial hincapié en que "unos métodos de verificación confiables por lo general no dependen únicamente de preguntas basadas en el conocimiento para verificar la identidad". Estamos de acuerdo, y recomendamos además métodos de verificación de identidad digital tales como la verificación de documentos de identidad y la comparación facial.

En octubre de 2021, la Comisión Federal de Comercio publicó una actualización de la "Regla de Salvaguardias" de la Ley Gramm-Leach-Bliley, donde se describe cómo deberían proteger la información financiera de los clientes las instituciones financieras no bancarias sujetas a la jurisdicción de la FTC. Los bancos, los holdings bancarios y sus filiales están sometidos a unas pautas y normas separadas emitidas por los reguladores bancarios federales, incluidas la OCC, la Comisión de la Reserva Federal y el FDIC. Esta actualización rige para las instituciones "que participen en actividades financieras", incluidos concesionarios de automóviles, tasadores de bienes raíces, preparadores de impuestos, asesores de inversiones y colegios mayores y universidades que participen en programas federales de ayuda financiera. Aparte de quienes ya estaban sujetos a la regla existente, la Regla de Salvaguardias modificada podría regir para los proveedores de servicios de Internet, la economía por encargo y los mercados online.

La regla actualizada exige ahora la autenticación multifactor (AMF) siempre que una persona (en calidad de empleado, cliente u otro papel) acceda a un sistema de información.

La FTC ha impuesto unas sanciones significativas por incumplimiento, con multas de 43.792 $ por violación/día.

Criptomonedas

GRUPO DE ACCIÓN FINANCIERA INTERNACIONAL

El GAFI publicó en octubre una nueva guía sobre activos virtuales y proveedores de servicios de activos virtuales (PSAV), que reemplaza a la guía publicada en los últimos años (2019). 39 jurisdicciones Miembro deben licenciar o registrar a los proveedores y someterlos a la supervisión o el monitoreo regulatorio de supervisión financiera. Esta guía se aplica a las criptomonedas estables y aclara que una serie de entidades implicadas en acuerdos con criptomonedas estables podrían cualificar como PASV según los estándares del GAFI. En 2022, se espera que muchas jurisdicciones revisen sus reglamentos para cumplir con el GAFI.

ESTONIA

En diciembre de 2021, el gobierno aprobó un proyecto de ley para reforzar los reglamentos para los PSAV de conformidad con la nueva guía del GAFI.  El Ministerio de Finanzas declara lo siguiente en su sitio web:

“Supone una mejor alineación de los reglamentos para PSAV con las instituciones de dinero electrónico y proveedores de servicios de pago, pero no rige directamente para los clientes ni para personas que utilicen billeteras privadas solo por poseer criptomonedas. No obstante, los PSAV estonios no tienen permitido prestar servicios a personas anónimas y deben identificar a sus clientes. La información de tal identificación se debe conservar de tal forma que pueda vincularse a la transacción, de forma parecida a las transferencias bancarias”.

Se espera que reciba la aprobación del Parlamento y que se promulgue durante la primera mitad de 2022.

UNIÓN EUROPEA

La propuesta del Reglamento relativo a los mercados de criptoactivos (MiCA, por sus siglas en inglés) pretende establecer un marco normativo completo para los criptoactivos y mejorar la seguridad jurídica y la armonización de todos los estándares internacionales en toda la UE. Entre sus principales prioridades se encuentran la transparencia, la protección del consumidor, la prevención del abuso de mercado, la autorización y supervisa a los mercados criptoactivos. La definición de "criptoactivo" se clasifica en tres categorías: fichas de dinero electrónico, fichas referenciadas a activos y un tercer grupo que engloba el resto de tipos (como fichas de servicio y criptomonedas estables algorítmicas). Los emisores estarán sujetos a unos requisitos regulatorios basados en el tipo de criptoactivo que comercialicen, y todos los emisores de fichas de dinero electrónico y referenciadas a activos estarán obligados a estar autorizados y establecidos dentro de la UE. Se espera que el proceso legislativo del MiCA se complete a principios de 2022. Probablemente, los Estados miembros deberán implementar los nuevos reglamentos en 2024.

JAPÓN

En 2021, la Agencia de Servicios Financieros (FSA, por sus siglas en inglés) de Japón anunció su intención de implementar la "Regla de viaje" del Grupo de Acción Financiera Internacional (GAFI) con arreglo a sus guías sobre activos virtuales (VA) y PSAV. Esta Regulación aplicablegla de viaje requiere el intercambio de datos de identificación entre remitentes (ordenantes) y destinatarios (beneficiarios) de transferencias de fondos digitales. Esta regla pretende, por tanto, prevenir el blanqueo de capitales y el financiamiento del terrorismo (BC/FT) reduciendo el anonimato en las transferencias bancarias y transacciones con criptomonedas.

La información requerida está estrechamente vinculada con las normas sobre información de clientes para diligencia debida e incluye el nombre y apellidos, la dirección, la fecha y el lugar de nacimiento, el número de cuenta y el número del documento de identidad del ordenante. Asimismo, también se incluyen el nombre y apellidos y la cuenta o el número de billetera electrónica del beneficiario. La regla entrará en vigor en 2022.

PERÚ

En diciembre de 2021, se presentó en el Congreso el "Marco para la Comercialización de Criptoactivos".

Este marco define los requisitos que cada PSAV debe cumplir para poder operar. La legislación incluye la creación de un registro público de PSAV a los que los que los ciudadanos peruanos podrán acceder para constatar si las plataformas o los mercados están registrados.

También exigirá a los PSAV a informar contractualmente a los usuarios del hecho de que Perú no reconoce a las criptomonedas como instrumentos de curso legal, y que la supervisión de estos activos por parte del gobierno no ofrece garantía alguna frente a los riesgos que pueden correr los usuarios al operar con criptomonedas. Se espera que esta ley se promulgue en 2022.

TURQUÍA

A finales de diciembre, el presidente Erdoğan confirmó la culminación de un proyecto de ley sobre criptomonedas que pronto se someterá al Parlamento con vistas a su implementación general en el país.

Turquía trabajó a marchas forzadas en la redacción de sus reglamentos para criptomonedas tras la caída de dos mercados de criptomonedas, Thodex y Vebitcoin, en abril de 2021, un evento que impidió a los inversionistas de criptomonedas de Turquía acceder a sus cuentas.

Se espera que la ley incluya la creación de un banco custodio central para suprimir el riesgo de contraparte. Se espera que esta ley se apruebe sin dilación en el Parlamento y se promulgue en 2022.

ESTADOS UNIDOS

Las criptomonedas están sin duda en el punto de mira de los reguladores federales. El 23 de noviembre de 2021, los reguladores bancarios federales de EE. UU. emitieron una Declaración conjunta sobre la iniciativa Sprint de la política de criptoactivos y próximos pasos, un proyecto interinstitucional centrado en la regulación de la participación de bancos y holdings bancarios en las actividades relacionadas con los criptoactivos. La declaración conjunta manifiesta:

“Durante todo 2022, las distintas instituciones planean aportar mayor claridad respecto a si determinadas actividades relacionadas con los criptoactivos llevadas a cabo por organizaciones bancarias están legalmente permitidas, así como a las expectativas de seguridad y solidez, protección del consumidor y cumplimiento con las leyes y reglamentos existentes relativos a:

  • Salvaguardia de criptoactivos y servicios de custodia tradicionales.
  • Servicios de custodia complementarios.
  • Facilitación de compras de clientes y ventas de criptoactivos.
  • Préstamos y fianzas garantizadas mediante criptoactivos.
  • Emisión y distribución de criptomonedas estables.
  • Actividades relacionadas con la tenencia de criptoactivos en el balance contable.
Las instituciones también evaluarán la aplicación de normas relativas a la liquidez y capital bancarios a los criptoactivos para aquellas actividades que impliquen a organizaciones bancarias de EE. UU., y mantendrán su interacción con el Comité de Supervisión Bancaria de Basilea sobre su proceso de consulta en esta zona”.

Por su parte, Michael Hsu, contralor en funciones de la Oficina del Contralor de la Moneda, ha instado a la elaboración de reglamentos para la criptobanca, manifestando sus inquietudes respecto a que los "proveedores bancarios sintéticos (PBS), aquellos que operan fuera del alcance de los reguladores bancarios y están libres de toda norma bancaria" están muy activos en la esfera de las criptomonedas e insistido en la necesidad de que los PBS deban someterse a las normas bancarias. Con todo este nivel de actividad, se espera que el anuncio anticipado de proyecto de norma (ANPRM, por sus siglas en inglés) para las criptomonedas en su totalidad se publique en la segunda mitad de 2022.

Monedas digitales emitidas por bancos centrales (MDBC)

CHINA

Se espera que durante el primer trimestre de 2022 vea la luz el yuan digital de China, el "e-CNY". A diferencia de algunas de las MDBC en desarrollo como complemento para el efectivo, el e-CNY se ha diseñado para sustituir al efectivo y las monedas ya en circulación. A principios de enero, el banco central lanzó en las tiendas de aplicaciones una versión piloto de una aplicación de billetera para el e-CNY con el objetivo de expandir su uso en 10 regiones de China.

NIGERIA

En octubre de 2021, el Banco Central de Nigeria (BCN) lanzó el "eNaira", ejemplo de moneda digital emitida por un banco central (MDBC). Nigeria podría servir de "plataforma de lanzamiento" para las MDBC en el continente africano. En estos momentos, Ghana, Sudáfrica y Túnez están en la etapa piloto de MDBC. Zimbabue, Namibia, Madagascar, Ruanda, Mauricio, Marruecos y Kenia están en la fase de investigación.

SUECIA

El lanzamiento de la fase piloto del e-krona ha estado motivado en parte por el uso cada vez menor del efectivo en el país, y en parte por el deseo de protegerse frente a posibles disrupciones futuras en el sistema monetario. No obstante, a algunos banqueros suecos les preocupa que una MDBC pueda suponer una amenaza para la estabilidad financiera, al incitar la estampida bancaria. Se espera que el Riksbank llegue a una conclusión sobre este posible e-krona en noviembre de 2022.

Inteligencia artificial

UNIÓN EUROPEA

Como parte de la estrategia europea en materia de datos, la Comisión Europea publicó una extensa propuesta de 108 páginas que regula el uso de la IA, la Ley de inteligencia artificial, prestando especial atención a los sistemas y contextos de "alto riesgo". El reglamento se aplicaría a todos los proveedores y usuarios ubicados dentro de la UE, así como a los proveedores extraterritoriales cuyos servicios se utilicen dentro de la UE. Esta propuesta aún tiene camino por recorrer en el procedimiento legislativo de la UE. Probablemente no tendrá efecto alguno en 2022, pero merece la pena seguirla de cerca, ya que se espera que sea la vanguardia de los reglamentos de IA, del mismo modo que el RGPD lo fue para la protección de datos.

ESTADOS UNIDOS

El gobierno federal, incluidos los reguladores financieros, puso un énfasis considerable en la IA durante 2021.

En marzo de 2021, los Reguladores Financieros de EE. UU. emitieron una Solicitud de información (RFI, por sus siglas en inglés) acerca del uso que las IF hacen de la IA, incluido el aprendizaje automático. El propósito de la RFI era:

 "entender las opiniones de los encuestados sobre el uso de la IA por parte de las autoridades financieras a la hora de prestar servicios a sus clientes y para otras actividades o fines operacionales; sobre la gobernanza, la gestión de riesgos y los controles adecuados para la IA; y sobre los posibles desafíos del desarrollo, la adopción y la gestión de la IA".

También en marzo, la Comisión de Seguridad Nacional sobre Inteligencia Artificial publicó un Informe definitivo que resume la estrategia para "ganar la contienda tecnológica en general" a largo plazo en la era de la IA.

El pasado mes de abril, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) publicó una entrada de blog denominada "Aiming for truth, fairness, and equity in your company’s use of AI" en la que se ofrecen pautas para evitar resultados negativos, como el sesgo racial.

En julio, el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés) publicó una RFI para solicitar información para la redacción del Marco de gestión de riesgos de inteligencia artificial, una "guía de uso voluntario destinada a ayudar a desarrolladores, usuarios y evaluadores de tecnologías a mejorar la confiabilidad de los sistemas de IA".

En octubre, la Oficina de la Casa Blanca para Políticas de Ciencia y Tecnología (OSTP, por sus siglas en inglés) publicó una RFI centrada en el uso de tecnologías biométricas a efectos de verificación de identidad, identificación de personas e interferencia de atributos, incluidos los estados mental y emocional de las personas. En palabras de la OSTP, el propósito de la RFI es:

“comprender el alcance y la variedad de tecnologías biométricas en uso en el pasado, el presente y el futuro; los dominios en los que se están utilizando estas tecnologías; las entidades que hacen uso de ellas; los principios, prácticas o políticas actuales que rigen su uso; y las partes interesadas que se ven afectadas, o puedan verse afectadas, por su uso o regulación”.

Con toda esta plétora de actividades, se prevé que haya actividad reguladora relativa a la IA en 2022.

Identidad digital

DINAMARCA

MitID, la esperada infraestructura de identidad digital, sustituirá a NemID. MitID será más flexible y segura que su antecesora. Será una aplicación que podrá utilizarse para autorizar inicios de sesión y pagos. Luego de que MitID se haya testado lo suficiente, se lanzará en toda Dinamarca, con un período de transición de seis meses hasta que NemID se haya retirado por completo. Debido a diversas demoras, lo más probable es que esta solución esté lista para el verano de 2022.

CANADÁ

El tan esperado Pan-Canadian Trust Framework (PCTF) de Canadá, encabezado por el Consejo de Autenticación e Identificación Digital de Canadá (DIACC, por sus siglas en inglés) lanzará en 2022 su programa de marcas de confianza Voilà Verified. Las marcas de confianza se emitirán para aquellas organizaciones que demuestren haber cumplido los componentes del PCTF.

UNIÓN EUROPEA

Aunque aún faltan un par de años para la tan publicitada iniciativa de cartera digital de la UE, 2022 será el año para centrarse en identificar arquitecturas, estándares y referencias específicos, así como pautas y prácticas recomendadas. Para finales de año, la Comisión Europea publicará una caja de herramientas para su uso por parte de los Estados miembros y otras partes interesadas.

En diciembre de 2021, la Autoridad Bancaria Europea publicó para su consulta pública el borrador de una Guía para la incorporación de clientes digitales. Varios Estados miembros ya adoptaron la incorporación digital empleando para ello soluciones de verificación de identidad biométrica y verificación de documentos. Como era de esperar, los reguladores de los Estados miembros han adoptado diferentes planteamientos, como permitir los selfies o prohibirlos en favor de un video. Aún está por ver el contenido de la guía final de la ABE. El período de consulta está abierto hasta el 10 de marzo de 2022, y es probable que la guía final se publique en la segunda mitad de 2022.

SUIZA

El Consejo Federal del gobierno suizo anunció sus planes para desarrollar una infraestructura pública de E-ID que se construiría sobre los principios de la auto-identidad soberana (SSI, por sus siglas en inglés). Aunque es propiedad del gobierno, se espera que el sector privado desempeñe un papel importante como proveedores de identidad, agentes, partes confiantes o proveedores de carteras de identidad. Está previsto que Suiza promulgue legislación en materia de la e-ID durante 2022.

ESTADOS UNIDOS

Se espera que el Instituto Nacional de Normas y Tecnología publique a principios de 2022 un borrador de sus Directrices de identidad digital revisadas para su consulta pública. Se tratará de su primera actualización desde 2017. Si bien solo las agencias y los contratistas del gobierno federal de los EE. UU. están obligados a cumplir las directrices del NIST, numerosas organizaciones de los sectores público y privado de todo el mundo, incluido el sector financiero, las han adoptado históricamente. No se esperan enmiendas importantes, pero dado el énfasis de la administración Biden en la lucha contra los ataques de phishing con autenticadores a prueba de phishing, se espera una diferenciación entre los autenticadores clasificados con el nivel de aseguramiento de autenticador 2 (AAL, por sus siglas en inglés).

Protección de datos

JAPÓN

En 2021 se publicaron enmiendas para las Reglas de aplicación de la Ley de protección de la información personal (APPI, por sus siglas en inglés), que entran en vigor el 1 de abril de 2022.

La APPI así enmendada refuerza los derechos de los interesados e impone nuevos requisitos a las entidades que tratan datos personales. Obliga a las entidades a reportar las violaciones de datos a la Comisión para la Protección de la Información Personal (PPC, por sus siglas en inglés), amplía las competencias de la PPC –como la facultad para exigir informes o investigar a las sociedades offshore–, aumenta las cuantías de las sanciones en caso de incumplimiento e introduce el concepto de la seudonimización.

La seudonimización es un procedimiento de gestión de datos por el cual la información de identificación personal de un interesado se sustituye por un seudónimo, protegiendo así sus derechos y permitiendo a los encargados del tratamiento utilizar su información con mayor facilidad. La APPI enmendada también amplía los derechos del interesado en cuanto a supresión y cese en el uso de los datos personales y permite a los interesados elegir el método por el que reciben sus datos (impresos o por correo electrónico) cuando ejercen su derecho de acceso.

Tal y como ocurre con el Reglamento General de Protección de Datos (RGPD) de la UE, la APPI tiene un ámbito extraterritorial y rige para todas las entidades que traten datos personales de ciudadanos japoneses, independientemente de la ubicación física de las entidades. La APPI enmendada permite a la PPC exigir que las entidades extranjeras sujetas reporten acerca de sus actividades de tratamiento; la PPC podrá también imponerles sanciones económicas en caso de incumplimiento.

SUIZA

Aprobada en 2020, la Ley suiza de protección de datos revisada (o revDPA), implementa gran parte de las disposiciones del RGPD, si bien deja margen para ciertas diferencias significativas. Esta ley revisada entrará en vigor en la segunda mitad de 2022.

En virtud de esta ley, las compañías estarán obligadas a comunicar de inmediato cualquier violación grave de los datos al Comisionado Federal de Protección de Datos e Información (FDPIC, por sus siglas en inglés); a emplear evaluaciones de impacto de la protección de datos con anterioridad a cualquier tratamiento de datos potencialmente riesgoso; a solicitar una aprobación antes de subcontratar encargados del tratamiento; y a presentar un aviso de privacidad cada vez que se recojan datos. En contraste con el RGPD, los responsables del tratamiento tienen la opción –aunque no la obligación– de designar un delegado de protección de datos. Si se produjera una violación intencional de la revDPA, las personas individuales que representan a la compañía podrían enfrentarse a sanciones penales.

TAILANDIA

Debido a la pandemia de COVID-19, el Gabinete tailandés pospuso la entrada en vigor de la Ley de protección de datos personales (PDPA, por sus siglas en inglés) al 1 de junio de 2022. La PDPA, publicada originalmente en mayo de 2019, sigue la pauta del Reglamento General de Protección de Datos (RGPD) de la UE y estipula requisitos para el tratamiento de datos personales y las responsabilidades de los responsables del tratamiento de datos y encargados del tratamiento. Esta ley tiene carácter extraterritorial, por lo que rige para cualquier entidad que emplee datos personales de los ciudadanos tailandeses, incluso si la entidad no tiene sede en Tailandia. En el caso de las transferencias transfronterizas de datos personales, el país destinatario debe adherirse a unos "estándares adecuados de protección de los datos personales". En virtud de la PDPA, se creará también una agencia nacional de protección de datos que monitoreará la conformidad normativa y que se conocerá como el Comité de Protección de Datos Personales (PDPC, por sus siglas en inglés).

Lucha antiblanqueo de capitales y contra el financiamiento del terrorismo

UNIÓN EUROPEA

La pasada primavera, la Autoridad Bancaria Europea inició consultas públicas acerca del borrador de las Normas Técnicas Reglamentarias (RTS, por sus siglas en inglés) relativas a la creación de una base de datos central destinada a la lucha antiblanqueo de capitales y el financiamiento del terrorismo. Tras los comentarios públicos, la ABE publicó en diciembre un informe definitivo.La intención del borrador de las RTS fue plantear reglas que protegieran la eficacia y la confidencialidad de la base de datos lo que, a su vez, favorecería la coordinación y armonización del enfoque de la UE frente a la lucha contra el blanqueo de capitales y el financiamiento del terrorismo. Esta faceta resulta especialmente importante, dado que las directivas de la UE sobre blanqueo de capitales tienen carácter discrecional –permiten a los Estados miembros transponerlas a la legislación nacional e implementarlas de distintas maneras– y no han facilitado necesariamente un enfoque paneuropeo. A medida que la ciberdelincuencia se torna más sofisticada e internacional en un ambiente de creciente digitalización, una base de datos central agilizará las medidas de lucha contra el blanqueo de capitales y financiamiento del terrorismo. Las RTS también garantizarán que la base de datos satisfaga la legislación en materia de protección de datos.

La ABE someterá el borrador de estas RTS a la aprobación de la Comisión Europea. Una vez aprobadas, las RTS serán de aplicación directa en todos los Estados miembros. En función de la agilidad con que ocurra todo ello, sería posible la aprobación por la Comisión en 2022.

ESTADOS UNIDOS

En diciembre, la Red de Control de Delitos Financieros del Departamento del Tesoro (FinCEN, por sus siglas en inglés) publicó un anuncio de proyecto de norma (NPRM) relativo a los Requisitos para la presentación de informes sobre la propiedad efectiva. La legislación propuesta implementará la sección 6403 de la Ley de transparencia corporativa promulgada como parte de la Ley de autorizaciones para la defensa nacional para el ejercicio de 2021. Una vez en su versión definitiva, exigirá a las entidades presentar a la FinCEN información sobre la compañía declarante y la propiedad efectiva con el objetivo de prevenir y combatir el blanqueo de capitales, el financiamiento del terrorismo, el fraude fiscal y otras actividades ilícitas. En el anuncio se detallaba lo siguiente:

“La legislación propuesta aborda: (1) quién debe presentar la información; (2) cuándo debe presentarla; y (3) qué tipo de información debe presentar. Al recoger esta información y dar acceso a las autoridades policiales, la comunidad de inteligencia y otras partes interesadas clave, los agentes con malas intenciones verán reducida su capacidad para ofuscar sus actividades mediante el uso de compañías fantasma o instrumentales anónimas.”

El período de consulta pública finaliza el 7 de febrero, y se espera que la FinCEN publique una norma definitiva este 2022.

También en n diciembre, la FinCEN publicó una solicitud de información sobre la Modernización del régimen regulatorio de la lucha contra el blanqueo de capitales y el financiamiento del terrorismo.. La FinCEN está interesada en las formas de modernizar los reglamentos y las directrices sobre la lucha contra el blanqueo de capitales y el financiamiento del terrorismo basadas en riesgos, emitido de conformidad con la Ley de secreto bancario (BSA, por sus siglas en inglés). La revisión formal también permitirá a la FinCEN identificar aquellos reglamentos o directrices obsoletos, redundantes o que no fomenten en modo alguno un régimen de conformidad normativa basado en riesgos para la lucha contra el blanqueo de capitales y el financiamiento del terrorismo para las instituciones financieras, o que no se adhieran a los compromisos de los EE. UU. respecto al cumplimiento de las normas internacionales relativas a esta materia. El período de consulta pública finaliza el 14 de febrero de 2022 y podría publicarse un anuncio de proyecto de norma (NPRM, por sus siglas en inglés) a finales de 2022.

 

ARGENTINA

En enero de 2021, el banco central emitió una circular en la que se definían normas para el acceso a cajeros automáticos mediante el uso de lectores de huellas dactilares. Según estas nuevas normas, los usuarios deberán acceder a los cajeros automáticos con la huella digital y un código conocido (el PIN o el número del documento nacional de identidad). Estas normas se implementarán de forma secuencial. A 31 de diciembre de 2021, el 35 % de los cajeros automáticos estaban obligados a incluir un lector biométrico. Este porcentaje será del 60 % llegado el 20 de junio de 2022 y, llegado el 31 de diciembre de 2022, el 100 % de los cajeros automáticos deberán incluir un lector biométrico.

Firma electrónica

JAPÓN

Una medida anunciada por el Primer Ministro Suga en octubre de 2020 obliga a los bancos y otras instituciones financieras a estar utilizando tecnología de firma electrónica y tener digitalizados sus formularios para finales de 2022. Tradicionalmente, las compañías presentaban documentos en papel a la Agencia de Servicios Financieros, lo cual reducía la eficiencia y aumentaba los costos.

EMIRATOS ÁRABES UNIDOS

En septiembre de 2021, se promulgó el Decreto-ley federal n.º 46/2021 sobre transacciones electrónicas y servicios de confianza para derogar la Ley federal n.º 1/2006 sobre comercio y transacciones electrónicas, en vigor desde hace 15 años. A fin de respaldar las iniciativas de transformación digital en EAU, esta nueva ley fomenta y facilita todo tipo de transacción electrónica, al tiempo que protege los derechos de los clientes que las realicen.

Según esta ley, los servicios de confianza realizan tareas como crear firmas electrónicas, emitir certificados de autenticación para las firmas electrónicas calificadas, crear sellos electrónicos, emitir certificados de autenticación para los sellos electrónicos calificados y emitir certificados de autenticación para sitios web.

La nueva ley entró en vigor el 2 de enero de 2022. Proporciona a las compañías un período de gracia de un año para su cumplimiento.

ESTADOS UNIDOS

La notarización remota online (RON, por sus siglas en inglés) sigue gozando de una gran aceptación. Hasta la fecha, 39 estados han aprobado legislación en materia de RON, siendo el gobernador de Nueva York el más reciente en promulgar leyes con medidas permanentes en materia de RON, el pasado 22 de diciembre de 2021. La ley de Nueva York entrará en vigor el 20 de junio de 2022.

Nueva York se suma a Alaska, Arizona, Arkansas, Colorado, Florida, Hawái, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Luisiana, Maryland, Míchigan, Minnesota, Misuri, Montana, Nebraska, Nevada, Nuevo Hampshire, Nuevo México, Nueva Jersey, Dakota del Norte, Ohio, Oklahoma, Oregón, Pensilvania, Tennessee, Texas, Utah, Vermont, Virginia, Washington, Virginia Occidental, Wisconsin y Wyoming.

Los estados comenzaron a adoptar medidas sobre RON a medida que la pandemia de COVID-19 llevaba al distanciamiento social y obligaba a las empresas a trasladar sus operaciones al ambiente online. Las medidas de cada estado comparten los mismos elementos básicos, como el uso de métodos de comunicación audiovisual, grabación de la comunicación audiovisual y autenticación por el notario del signatario.

Banca abierta

BRASIL

La cuarta y última fase de la puesta en funcionamiento de la banca abierta de Brasil arrancó a mediados de diciembre. Fue todo un hito, ya que marcaba la migración de la banca abierta a las finanzas abiertas, con la incorporación de productos de inversión, seguros y cambio de moneda extranjera a la información que se debe compartir con API de terceros de confianza, previo consentimiento del consumidor. Estas nuevas opciones completan las ya existentes: hipotecas, cuentas corrientes y de ahorro, pensiones y tarjetas de crédito.

Un componente clave de esta cuarta fase es el requisito de compartir las API relacionadas con productos financieros para someterlas a un proceso de certificación. De este modo, se garantizará la conformidad normativa con los requisitos tecnológicos del banco central

Plazos de certificación:

  • 4 de marzo de 2022: seguros, pensiones complementarias abiertas y capitalización
  • 11 de marzo de 2022: servicios de acreditación en los acuerdos de pago
  • 18 de marzo de 2022: operaciones de cambio de divisas
  • 25 de marzo de 2022: cuentas de depósito a plazo y otros productos de inversión

La segunda etapa de la fase 4 comenzará el 31 de mayo de 2022, y los consumidores podrán otorgar su consentimiento al intercambio de datos a partir de esa fecha. En este punto, las finanzas abiertas serán visibles para los consumidores, dado que el modelo permitirá otorgar el consentimiento al intercambio de datos entre los servicios de las instituciones participantes. Se espera que el despliegue de las finanzas abiertas se complete de aquí al 30 de septiembre de 2022.

CANADÁ

En agosto de 2021, el comité asesor del gobierno federal publicó un informe acerca de la banca abierta. Según este informe, la fase inicial debería comenzar en enero de 2023 con una hoja de ruta que contará con la colaboración del gobierno y de la industria. 2022 se dedicará principalmente a preparar el lanzamiento de 2023.

COLOMBIA

Los legisladores están trabajando en el borrador de una norma dedicada al desarrollo de un modelo de banca abierta. Se prevé que la ley en cuestión se introduzca durante 2022, si bien no se dispone de un calendario definitivo.

HONG KONG

La Autoridad Monetaria de Hong Kong (HKMA, por sus siglas en inglés) inició el despliegue del Marco de API Abierta para el sector de la banca con la participación de 28 entidades bancarias. Los bancos iniciaron las fases III y IV a finales de 2021 con un énfasis inicial en la información de las cuentas de depósito y los pagos a comerciantes online

A tenor del sitio webde la HKMA, en la fase III, 25 bancos planean lanzar las funciones de la API para los clientes minoristas a más tardar el 30 de junio de 2022. 23 bancos lanzarán las funciones de la API para clientes corporativos y PYME de aquí al 30 de junio de 2022.

En la fase IV, 27 de las 28 entidades bancarias participantes lanzarán la funcionalidad de pagos de app a app de aquí al 30 de junio de 2022. La entidad restante prevé desplegar esta misma funcionalidad como muy tarde el 30 de septiembre de 2022.

REINO DE ARABIA SAUDITA

El banco central publicó su reporte Política de banca abierta, con el que pretende promover la competencia, la innovación, la inclusión financiera y la eficiencia del sistema bancario. Este banco central está evaluando en la actualidad los impactos potenciales de la banca abierta y la mejor forma de adoptarla en el Reino. El lanzamiento de la banca abierta tendrá lugar en tres fases: diseño, implementación y activación.

Tal como reza este documento de política del banco central: "La fase de implementación abarcará el desarrollo de los marcos definidos, los elementos tecnológicos de base y las actividades de despliegue, incluida una serie de pruebas con participantes de los mercados financieros y la mejora de la concientización de los clientes". Este banco central prevé la activación de las nuevas funcionalidades en la primera mitad de 2022.

REINO UNIDO

En mayo de 2021, la Autoridad de Servicios Financieros (FCA, por sus siglas en inglés) anunció una prórroga en la implementación de los requisitos de autenticación reforzada de clientes (SCA, por sus siglas en inglés) en las transacciones de comercio electrónico hasta el 14 de marzo de 2022. Esta prórroga de seis meses pretende "garantizar una mínima disrupción para los comerciales y los consumidores y reconoce que la industria afrontaba desafíos pendientes de cara a la previa fecha límite del 14 de septiembre de 2021".

ESTADOS UNIDOS

Hasta la fecha, la banca abierta de los Estados Unidos se regía por el mercado, pero esta situación podría cambiar en breve. En julio de 2021, el presidente Biden emitió el decreto ejecutivo Promoción de la competencia en la economía estadounidense, que abarca 72 iniciativas provenientes de más de una docena de agencias federales para abordar los problemas de competencia más apremiantes de toda la economía. Una de las 72 tareas que el director de la Oficina para la Protección Financiera del Consumidor debe considerar emprender o proseguir es la elaboración de normas en virtud de la sección 1033 de la Ley Dodd-Frank para facilitar la portabilidad de los datos de las transacciones financieras de los consumidores. Estas normas permitirían a los consumidores cambiar más fácilmente de una institución financiera a otra y usar productos financieros nuevos e innovadores. También actuaría como un catalizador de la banca abierta en los Estados Unidos.

Predicciones para 2022

En vista de la ingente colección de cambios regulatorios, sometemos a su consideración estas predicciones audaces para el año que afrontamos:

  1. Prevemos que los Estados Unidos den a conocer un anuncio anticipado de proyecto de norma relativo a la legislación de la criptobanca.
  2. Los reguladores financieros de los Estados Unidos, la Oficina del Contralor de la Moneda (OCC), la Comisión de la Reserva Federal (FRB), el Fondo de Garantía de Depósitos (FDIC) y la Comisión de Valores y Bolsa (SEC) presentarán un anuncio de proyecto de norma relativo a una regulación completa similar a la Regla de Salvaguardias de la Comisión Federal de Comercio.
  3. La Oficina para la Protección Financiera del Consumidor de los Estados Unidos anunciará políticas para impulsar la banca abierta en los Estados Unidos.
  4. Los bancos centrales también agregarán requisitos de seguridad estrictos, incluida la autenticación multifactor de base biométrica con rostro y huellas digitales y el blindaje de aplicaciones móviles, para las carteras digitales empleadas en la custodia y las transacciones con las monedas digitales de los bancos centrales (las MDBC). La seguridad reviste la máxima importancia para los bancos centrales, y estos requisitos serán la norma a medida que se lancen MDBC por todo el globo.
  5. El regulador francés en materia de privacidad de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL), anunciará que ya no se admitirá el uso de contraseñas para obtener acceso a datos personales sensibles. Los sistemas y bases de datos accesados mediante la autenticación de un solo factor (nombre de usuario y contraseñas) ya no cumplirá el RGPD.

Regulación bancaria y oportunidades

2022 marca un periodo de grandes cambios regulatorios en todo el mundo para los bancos comunales, los bancos nacionales, los holdings bancarios, las uniones de crédito y el sistema financiero. Por este motivo, es imperativo mantenerse al día acerca de los cambios regulatorios actuales y la legislación bancaria, así como con las nuevas propuestas que se estén debatiendo en las jurisdicciones en las que opere. Todos estos factores podrían tener un impacto crucial en sus iniciativas de transformación digital.

Descubra más acerca de las soluciones para seguridad y conformidad normativa visitando nuestra página dedicada a resumir el desafío de la conformidad normativa..

Cover of a physical copy of the OneSpan Global Financial Regulations Report

OneSpan Global Financial Regulations Report 2022

Keep pace with the latest regulatory changes driving digital financial services.

Download Now
OneSpan Team
OneSpan Team

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.

Volver arriba
Compartir

Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Sepa por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento.

Obtener más información

Popup default