Principales requisitos de cumplimiento de seguridad y normativas bancarias [2021]

Michael Magrath, 31 de Marzo de 2021

En 2020, la pandemia del coronavirus hizo que los reguladores y legisladores de todo el mundo promulgaran leyes, políticas y regulaciones nuevas, o modificaran las existentes rápidamente, con el objetivo de permitir que el comercio continuara de manera segura pese a las medidas de distanciamiento social. Aunque la pandemia afectó en gran manera el panorama regulatorio y muchas de las nuevas regulaciones de este año se derivan de ese evento, también se promulgó legislación no relacionada con la pandemia.

A continuación, le mostramos algunas de las regulaciones, leyes y estándares globales clave que afectarán a las Instituciones Financieras (IF).

Índice de contenidos:

Principales regulaciones de seguridad de 2021 para la industria financiera

Regulaciones de seguridad cibernética

Colombia

En diciembre de 2019, el regulador financiero, Superintendencia Financiera de Colombia (SFC), emitió una circular que tenía como objetivo fortalecer el uso de canales digitales para la prestación de servicios financieros y promover la adopción de tecnologías para ofrecer mejor servicios financieros a los consumidores. Esas tecnologías incluyen la autenticación biométrica, "blockchain", inteligencia artificial y realidad aumentada, entre otras. La SFC proporcionó un período de gracia de 18 meses para el cumplimiento, por lo que las instituciones financieras tienen hasta junio de 2021 para cumplir plenamente con los nuevos estándares de seguridad.

La SFC exige el uso de una autenticación de calidad para transacciones y pagos remotos que no tengan lugar en persona.

Será necesario utilizar dos o más factores de autenticación cuando se utilicen contraseñas de un solo uso (One Time Passcodes, OTP, por sus siglas en inglés), datos biométricos, certificados digitales y pagos con tarjetas EMV.

Las IF deberán utilizar mecanismos de autenticación de calidad basados en un análisis de riesgo de cada cliente, lo que puede generar una mayor exposición al riesgo de fraude o suplantación de identidad. El análisis debe estar documentado y considerar aspectos de la cuenta, como el perfil transaccional del cliente, número de transacciones, monto en pesos, tipo de producto, canal, etc.

Además, se requerirá una autenticación de calidad cuando:

  • Se actualicen los datos del cliente para la notificación de operaciones monetarias o cuando se generen alertas por correo electrónico o teléfono celular
  • Cuando las transacciones de crédito y débito se realicen fuera de Colombia

La circular también cubre:

  • El tipo de servicios disponibles en la nube, el tipo de información recopilada para su procesamiento y los controles de seguridad para la protección de datos en "entornos virtualizados" o aplicaciones en la nube
  • Portabilidad de los datos: estándares para el intercambio de información al realizar operaciones monetarias, como, por ejemplo, transacciones electrónicas

India

El 18 de febrero, el Banco de la Reserva de India (Reserve Bank of India, RBI, por sus siglas en inglés) publicó una circular con el título Controles de seguridad de pagos digitales, según la cual, se requiere que las entidades reguladas (ER) establezcan una estructura de administración para los productos y servicios de pago digital e implementen estándares mínimos de seguridad informática. Las entidades reguladas incluyen:

  1. Bancos comerciales registrados (lo que excluye los bancos rurales regionales)
  2. Pequeños bancos de financiación
  3. Bancos de pagos
  4. Compañías financieras no bancarias emisoras de tarjetas de crédito (Non-Bank Financial Companies, NBFC, por sus siglas en inglés)

Esto incluye la administración y manejo de riesgos de seguridad, controles de seguridad, autenticación, manejo de riesgos de fraude, protección del cliente, banca por Internet, controles de seguridad de aplicaciones de pagos celulares y estándares de seguridad y conciliación para los pagos con tarjeta.

Una sección clave es el Marco de autenticación (Authentication Framework, en inglés). RBI señala que, “en vista de la proliferación de los ataques cibernéticos y sus posibles consecuencias, las ER deben implementar, excepto cuando lo contrario esté permitido o haya sido relajado de manera explícita, autenticación multifactorial (Multi-Factor Authentication, MFA, por sus siglas en inglés) para pagos a través de modos electrónicos y transferencias de fondos. Esto incluye retiros de efectivo de cajeros automáticos/micro-cajeros automáticos/corresponsales comerciales, mediante aplicaciones de pago digital. Al menos uno de los métodos de autenticación debe ser generalmente dinámico s o no replicable. Por ejemplo, el uso de una contraseña de un solo uso; de dispositivos móviles (enlace de dispositivos y SIM), de tokens biométricos, PKI, o de hardware, y las tarjetas con chip EMV (para transacciones con tarjeta presente) con verificación por parte del servidor podrían denominarse métodos dinámicos o no replicables".

Según el perfil de riesgo y el comportamiento del usuario, las ER también pueden implementar una autenticación adaptativa después de completar una evaluación de riesgos.

Los requisitos de control de seguridad entrarán en vigor en agosto.

Perú

El regulador financiero de Perú, la Superintendencia de Banca, Seguros y AFP (SBS Perú) publicó la Resolución SBS 504-2021 en febrero, la cual define las reglas de ciberseguridad para el sector de servicios financieros.

Se requiere que las IF implementen un programa de seguridad cibernética, lo que incluye procedimientos y operaciones. También hay un claro enfoque en fortalecer la autenticación a través de los canales digitales, lo que incluye aquellos que “impliquen pagos o transferencia de fondos a terceros, registro de un beneficiario de confianza, modificación en los productos de seguros de ahorro/inversión contratados, la contratación de un producto o servicio, modificación de límites y condiciones".

Al igual que en otras jurisdicciones, SBS también está exigiendo a las instituciones financieras que refuercen las prácticas de seguridad de sus proveedores externos. Las disposiciones entrarán en vigor el 1 de julio de 2021, salvo los requisitos de autenticación, para los que hay un plazo que va hasta el 1 de julio de 2022. Las compañías deben presentar un plan de adaptación dentro de los 60 días naturales siguientes al 19 de abril de 2021.

Estados Unidos

El 12 de enero de 2021, la Oficina del Contralor de la Moneda (Office of the Comptroller of the Currency, OCC, por sus siglas en inglés), la Junta de Gobernadores del Sistema de la Reserva Federal (Junta) y la Corporación Federal de Seguros de Depósitos (Federal Deposit Insurance Corporation, FDIC, por sus siglas en inglés) publicaron un Aviso de propuesta de reglamentación. El aviso tiene por título Requisitos de notificación de incidentes de seguridad informática para organizaciones bancarias y sus proveedores de servicios bancarios.

La regla propuesta en el aviso estipula que los bancos deberán notificar a la OCC lo antes posible y a más tardar 36 horas después de que el banco crea de buena fe que ha ocurrido un “incidente digno de aviso” cibernético.

Los bancos pueden notificar a la OCC utilizando un punto de contacto designado en cualquier forma, ya sea de manera escrita u oral, y a través de medios tecnológicos.

Si el banco experimenta un incidente de seguridad que podría, a su entender, interrumpir, degradar o deteriorar los servicios durante cuatro horas o más, este cambio requerirá que un proveedor de servicios bancarios externo notifique a un mínimo de dos personas en cada banco afectado. Esta regla todavía está sujeta a la Ley de Compañías de Servicios Bancarios.

Al momento de escribir este artículo, la regla propuesta está abierta a comentarios públicos. La fecha límite para comentarios es el 12 de abril de 2021.

Regulaciones contra el blanqueo de capitales y la financiación del terrorismo

Dado que el valor de Bitcoin ha superado el umbral de 60.000 dólares estadounidenses a nivel mundial, los reguladores han hecho ajustes en cuanto al contexto de los activos criptográficos. En su sesión plenaria de febrero de 2021, el Grupo de Acción Financiera Internacional (GAFI) anunció que publicará una actualización de la guía GAFI para activos virtuales y proveedores de servicios de activos virtuales (Virtual Asset Service Providers, VASP) para consulta pública.

El GAFI define un VASP como una compañía que lleva a cabo una o más de las siguientes acciones en nombre de sus clientes:

  • intercambio entre activos virtuales y monedas fiduciarias;
  • intercambio entre una o más formas de activos virtuales;
  • transferencia de activos virtuales;
  • custodia y/o manejo de activos virtuales o instrumentos que permiten el control sobre activos virtuales; y
  • participación y prestación de servicios financieros relacionados con la oferta y/o venta de un activo virtual por parte de un emisor.

Algunos ejemplos de VASP incluyen: cambio de criptomonedas, custodios de billeteras, fondos de cobertura y operadores de cajeros automáticos aplicables.

El GAFI publicó su guía inicial en 2019. Esta guía recomendaba que los VASP implementen los mismos requisitos contra el blanqueo de dinero y la financiación del terrorismo (Anti Money Laundering y Counter-terrorismo financing, ALD y CTF respectivamente, por sus siglas en inglés) que las instituciones financieras tradicionales, de manera que estén registradas, reguladas y autorizadas, así como sujetas a sistemas efectivos para el seguimiento y supervisión.

Según el GAFI, “publicará el borrador de la consulta pública en marzo. El GAFI espera aprobar la guía en junio de 2021, y los comentarios de la consulta serán utilizados para la redacción de la guía final aprobada. El borrador incluirá información sobre cómo aplicar la guía del GAFI a las "stablecoins", abordando los riesgos de las transacciones entre pares y la implementación de los requisitos de intercambio de datos, conocidos como la 'Regla de viaje'."

Después de la publicación de la guía final, se espera que varios reguladores globales revisen sus regulaciones para asegurarse de cumplir con el GAFI para finales del 2021.

Sexta Directiva contra el blanqueo de dinero de la Unión Europea (6AMLD)

La sexta directiva y sus predecesoras tienen como objetivo combatir el blanqueo de capitales y la financiación del terrorismo y crear un único entorno regulador en toda la UE.

El Parlamento Europeo emitió la directiva 6AMLD en octubre de 2018 con una fecha límite del 3 de diciembre de 2020 para que los estados miembros de la UE incorporen la directiva en la legislación nacional. Los estados miembros deben implementar las nuevas regulaciones antes del 3 de junio de 2021.

La 6AMLD incluye numerosas disposiciones, tales como la creación de una definición armonizada de 22 delitos de lavado de dinero que se usen en todos los estados miembro. También amplía la responsabilidad penal más allá de las personas que cometen delitos a quienes intentan hacerlo y a quienes incitan al lavado de dinero y/o ayudan e instigan a cometer estos delitos. También amplía la responsabilidad penal a las “personas jurídicas”, lo que incluye no solo a individuos, sino también a sociedades y corporaciones.

Aunque las sanciones todavía se consideran demasiado leves, la 6AMLD extiende la pena máxima, la cual pasará de un año a cuatro años de prisión.

Rusia

Una ley sobre "activos financieros digitales" se convirtió en ley el 30 de julio de 2020 y entró en vigor el 1 de enero de 2021. Esta ley introduce una definición legal para las monedas digitales que cubre las criptomonedas y establece los procedimientos para emitir, circular y registrar sus transferencias. Estos cambios en los activos digitales siguen a enmiendas a la ley "sobre el sistema de pago nacional". Ahora, las personas rusas deben proporcionar una identificación o identificación simplificada, lo que incluye el nombre completo de la persona, para depositar fondos con un operador de dinero electrónico, y solo pueden hacerlo utilizando una cuenta bancaria.

Estados Unidos

La Ley de Autorización de Defensa Nacional de Estados Unidos (National Defense Authorization Act, NDAA, por sus siglas en inglés) para el año fiscal 2021 se promulgó el 1 de enero de 2021. Aunque el propósito principal de la NDAA es autorizar un aumento de salario para los miembros del servicio y proporcionar fondos para la infraestructura militar, la legislación está incluida en la Ley contra el lavado de dinero de 2020 y la Ley de transparencia corporativa (Corporate Transparency Act, CTA, por sus siglas en inglés). Estas dos regulaciones imponen grandes cambios a las leyes federales contra el lavado de capital (Anti-Money Laundering, AML, por sus siglas en inglés).

La CTA tiene como objetivo combatir el uso de compañías fantasma establecidas para llevar a cabo actividades ilegales, algo que a menudo incluye el lavado de dinero, la elusión o la evasión fiscales, y al mismo tiempo proporciona anonimato a los verdaderos propietarios.

Las IF con sede en Estados Unidos deben recopilar información sobre el beneficiario final de las entidades legales, generalmente clientes comerciales. La ley añade nuevos requisitos de información sobre beneficiarios reales para las IF en una amplia gama de clases de entidades comerciales, por ejemplo, corporaciones y compañías de responsabilidad limitada (Limited Liability Companies, LLC, por sus siglas en inglés). Un beneficiario final se define como una persona que posee o controla el 25% o más de una entidad o ejerce un control sustancial ella. Se espera que se defina un control sustancial en las regulaciones en el futuro cercano.

La ley también añadirá nuevas herramientas y recursos para hacer cumplir la ley, y requiere que FinCEN publique regulaciones sobre divulgaciones de beneficiarios reales en un plazo de un año desde su promulgación.

La FinCEN también tiene la tarea de crear un registro no público para hacer un seguimiento de los beneficiarios finales de las compañías que reportan. El registro puede ser compartido con las fuerzas del orden y las IF en determinadas circunstancias.

Sistemas de pagos

Muchos países están modernizando su sistema de pagos instantáneos. En Brasil, PIX se lanzó en octubre de 2020, y Estados Unidos planea lanzar su Servicio FedNow en 2023.

Canadá

En su reporte anual de 2019 publicado el 28 de mayo de 2020, el Banco de Canadá anunció planes para reemplazar sus dos sistemas de pago instantáneo, el Sistema de Transferencia de Gran Valor y el Sistema Automatizado de Compensación y Liquidación (Large Value Transfer System, LVTS, y Automated Clearing and Settlement System, ACSS, respectivamente, por sus siglas en inglés). El LVTS será reemplazado en el segundo trimestre de 2021 por un nuevo sistema de pago de alto valor llamado Lynx, y en 2022 se lanzará un nuevo sistema de pagos instantáneos llamado Real-Time Rail (RTR).

Payments Canada, el operador de pagos instantáneos de Canadá presentó en detalle sus planes para los tres sistemas en su Plan Corporativo para 2020-2024. El ACSS será reemplazado por una nueva infraestructura de pagos instantáneos para pagos minoristas entre individuos y compañías, pero la planificación y el diseño del sistema no comenzarán hasta más tarde este año.

Reino Unido

Los requisitos de autenticación de calidad de clientes (Strong Customer Authentication, SCA, por sus siglas en inglés) de la segunda Directiva de Servicios de Pago (PSD2), originalmente programada para entrar en vigor en septiembre de 2019, recibieron una extensión de la Autoridad de Conducta Financiera (Financial Conduct Authority, FCA, por sus siglas en inglés) para permitir tiempo adicional de preparación para los comerciantes. La FCA comenzará a hacer cumplir la SCA a partir del 14 de septiembre de 2021.

Normativas de las firmas electrónicas

Australia

En mayo de 2020, el gobierno australiano autorizó el uso de documentos y firmas electrónicos para ejecutar contratos corporativos. Este fallo ahora se ha extendido hasta el 21 de marzo de 2021. Además, Australia anunció planes para enmendar la Ley de Sociedades Anónimas de 2001, así como otras leyes y normativas relacionadas, con el objetivo de ampliar los usos aceptables de las firmas electrónicas. Las enmiendas permitirían el uso de firmas electrónicas para ejecutar documentos legales, así como presenciar documentos oficiales a través de videoconferencias u otros medios tecnológicos seguros.

Estados Unidos

En diciembre de 2020, la Comisión de Valores y Bolsa de Estados Unidos (Securities and Exchange Commission, SEC) enmendó la Regulación S-T y el Manual del Declarante del Sistema de Recopilación, Análisis y Recuperación de Datos Electrónicos (Electronic Data Gathering, Analysis, and Retrieval, EDGAR, por sus siglas en inglés). La enmienda permite el uso de firmas electrónicas para presentaciones en EDGAR que deben estar firmadas. También ha llevado a cabo revisiones relacionadas con varias reglas y formularios bajo la Ley de Valores de 1933, la Ley de Bolsa de Valores de 1934 y la Ley de Sociedades de Inversión de 1940.

Antes del cambio, el Título 17, sección 232.302 (b) (Regla 302 (b)) requería que cada firmante de una presentación electrónica firmara manualmente una página de firma u otro documento antes o en el momento de la presentación electrónica para autenticar, reconocer o adoptar la firma mecanografiada en la presentación electrónica.

De acuerdo con el cambio, el proceso de firma debe incorporar un procedimiento de seguridad que requiera la autenticación de la identidad individual del firmante a través de credenciales físicos, lógicos o digitales, y el proceso de firma debe prever razonablemente que la firma electrónica no pueda ser repudiada.

Visite la Guía de legalidad de las firmas electrónicas de Onespan para obtener descripciones detalladas de las leyes, las normativas y las excepciones indicadas para varios países.

Regulaciones de privacidad y protección de datos

Canadá

En 2020 se presentó un proyecto de ley llamado Ley de Implementación de la Carta Digital (Proyecto de Ley C-11). El proyecto de ley tiene como objetivo modernizar las leyes de privacidad de datos de Canadá. La reforma integral del proyecto de ley incluye dos partes:

  • La Parte 1 enmienda la Ley de Protección de la Información Personal y Documentos Electrónicos (Protection and Electronic Documents Act, PIPEDA, por sus siglas en inglés), y la denomina la Ley de Protección de la Privacidad del Consumidor.
  • La Parte 2 establece un tribunal especializado en privacidad y protección de datos a través de la Ley del Tribunal de Protección de Datos e Información Personal. Se presentarían al tribunal recomendaciones y apelaciones de decisiones del Comisionado de Privacidad de Canadá.

Aunque el gobierno presentó el proyecto de ley el 17 de noviembre de 2020, vale la pena ver seguir esta legislación. En caso de que se apruebe, hay muy pocas posibilidades de que alguna de las disposiciones entre en vigor en 2021; sin embargo, todas las organizaciones de Canadá deben comenzar a prepararse para cumplir con esta normativa.

Nueva Zelanda

Las enmiendas a la Ley de Privacidad de 1993 se aprobaron en junio de 2020 y entraron en vigor el 1 de diciembre de 2020. A diferencia de otras jurisdicciones que están tomando como modelo para sus leyes el Reglamento General de Protección de Datos (General Protection Data Regulation, GDPR, por sus siglas en inglés) de la UE, la nueva ley es de poco peso en comparación. La ley enmendada se aplica a todas las compañías que hacen negocios en Nueva Zelanda, sin importar dónde estén basadas.

La ley incluye nuevos requisitos relacionados con la notificación de infracciones, requisitos de datos transfronterizos y multas. También expande los poderes regulatorios y de ejecución de la Oficina de Privacidad.
Las infracciones sujetas a notificación son aquellas que presenten un riesgo probable de daño, como la divulgación de información personal confidencial.

La ley también afecta los datos transfronterizos ya que, a menos que una persona haya autorizado la divulgación fuera de Nueva Zelanda, la compañía deberá asegurarse de que la información de la persona quede protegida antes de transferirla al extranjero.

Singapur

En noviembre de 2020, el Parlamento aprobó las Enmiendas de Protección de Datos Personales (Personal Data Protection Amendments, PDPA, por sus siglas en inglés) y estas comenzaron a entrar en vigor en fases a partir del 1 de febrero de 2021. Las enmiendas mejoran la protección del consumidor e incrementan la responsabilidad de las organizaciones.

Los cambios clave incluyen:

  • Nuevas notificaciones obligatorias de violación de datos
  • Sanciones por nuevos delitos en caso de mal manejo de los datos personales
  • Aumento del límite de sanciones financieras debidas a infracciones
  • Normas adicionales sobre telemarketing y control de spam

Las enmiendas que entraron en vigor el 1 de febrero de 2021 incluyen:

  • Notificación de incumplimiento obligatoria para infracciones que podrían causar daños significativos o afectar a 500 o más personas
  • Mensajes no solicitados y spam: se aplica a llamadas telefónicas, mensajes de texto y mensajes instantáneos.
  • En cuanto a prestadores de terceros contratados para agencias del sector público: ya no están excluidos si los datos personales se manejan incorrectamente durante la recopilación, el uso y la divulgación de datos personales.
  • Reglas: para el uso de datos y la innovación
  • Responsabilidad: las organizaciones son responsables de los datos personales que estén en su posesión o bajo su control.

Las enmiendas que entrarán en vigor en fases futuras incluyen normas sobre la portabilidad de datos y sanciones financieras más altas. Actualmente tienen un límite de 1 millón de dólares singapurenses (S$1 millón, aproximadamente US $742,500). Para las organizaciones con ingresos anuales de más de S$10 millones en Singapur, la nueva sanción financiera máxima se incrementará al 10% de los ingresos anuales (mínimo de S$1 millón). Se han modificado las sanciones máximas para organizaciones con menos de S$10 millones. La nueva sanción económica máxima será de S$1 millón.

Sudáfrica

La Ley de Protección de Información Personal de 2013 (Protection of Personal Information Act, POPIA, por sus siglas en inglés) entró en vigor en julio de 2020 y el Banco de Reserva de Sudáfrica (South African Reserve Bank, SARB, por sus siglas en inglés) alentó a las IF a cumplir con las regulaciones de POPIA  de manera proactiva. SARB comenzará la aplicación completa de las Secciones 110 y 114 (4) el 30 de junio de 2021. Estas secciones están relacionadas con la enmienda de leyes y la transferencia de funciones de la Comisión de Derechos Humanos de Sudáfrica al Regulador de Información con respecto a la Ley de Promoción del Acceso a la Información (Promotion of Access to Information Act, EPAI, por sus siglas en inglés).

Estados Unidos

Siguiendo el modelo del Reglamento General de Protección de Datos de la Unión Europea (General Data Protection Regulation, GDPR, por sus siglas en inglés), California tiene dos leyes, la Ley de Privacidad del Consumidor de California (Consumer Privacy Act, CCPA) y su reemplazo, la Ley de Derechos de Privacidad de California (Privacy Rights Act, CPRA), que entrará en vigor el 1 de enero de 2023 con plena aplicación desde el 1 de julio de 2023.

La CPRA entra en vigor el 1 de enero de 2023. Sin embargo, incluye una retrospectiva de 12 meses en relación con las solicitudes de acceso. Esto significa que una compañía debe definir e implementar protocolos de retención en 2021 para cumplir con las disposiciones de solicitud de acceso de la CPRA antes del 1 de enero de 2022.
Virginia se convirtió en el segundo estado en aprobar una legislación integral de protección de datos cuando promulgó la Ley de Protección de Datos del

Consumidor (Consumer Data Protection Act , CDPA, por sus siglas en inglés) el 2 de marzo de 2021. La CDPA entrará en vigor el 1 de enero de 2023. La CDPA establecerá un marco legal para recopilar, controlar y procesar los datos personales. El aspecto positivo para las IF es que las que están sujetas al cumplimiento de la Ley Gramm-Leach-Bliley (Gramm-Leach-Bliley Act, GLBA) están exentos.

Banca Abierta

Australia

La Comisión Australiana de Competencia y Consumidores (Australian Competition and Consumer Commission, ACCC, por sus siglas en inglés) comenzó una implementación gradual de las reglas bajo una iniciativa nacional de Banca Abierta en el año 2020.

Las reglas entraron en vigor de forma oficial el 5 de agosto de 2020 y los estándares de datos bajo la ley entrarán en vigor en noviembre de 2020. Todos los bancos del país tienen hasta julio de 2021 para cumplir con las obligaciones requeridas de comunicación de los datos de los consumidores de acuerdo con las nuevas reglas.

Brasil

En mayo de 2020, el Banco Central de Brasil (Central Bank of Brazil, BCB, por sus siglas en inglés) publicó las regulaciones para la Banca Abierta en el país permitiendo la comunicación de datos personales entre instituciones financieras e integrando los sistemas API de las instituciones financieras existentes. Brasil está en proceso de implementar Banca Abierta en cuatro fases para permitir el acceso en diferentes canales, productos y servicios.

  • Noviembre de 2020: habilitar canales de acceso, productos y servicios
  • Mayo de 2021: comunicación de datos de clientes
  • Agosto de 2021: comunicación de iniciación de transacciones de pago
  • Octubre de 2021: comunicación de todos los demás servicios e información

Canadá

  • El Comité Asesor de Banca Abierta, creado por el Ministro de Finanzas en 2018, tuvo la tarea de entregar un reporte "evaluando los méritos potenciales de la Banca Abierta para Canadá, con el mayor respeto por la privacidad, seguridad y estabilidad financiera de los consumidores".
  • Una cosa que surgió del reporte de enero de 2020 fue el nombre "financiamiento dirigido al consumidor" (Consumer-Directed Finance, CDF, por sus siglas en ingles) en lugar de Banca Abierta (Open Banking, en inglés). Canadá lanzó la segunda fase de su consulta financiera dirigida a los consumidores el año pasado, con un enfoque en la seguridad de los datos. El otoño pasado, el Comité Asesor inició la Fase 2 con la celebración de una serie de reuniones virtuales de partes interesadas. La Fase 2 se enfoca en cómo los reguladores financieros canadienses y las IF pueden mejorar la protección de datos y mitigar los riesgos relacionados con la privacidad. Es poco probable que el CDF se lance en 2021, pero las instituciones financieras están observando el progreso de cerca.

México

En marzo de 2020, el Banco Central de México publicó el primer conjunto de normas para la Banca Abierta de acuerdo con su Ley Fintech. Las normas iniciales integran los burós de crédito y las cámaras de compensación en el marco de la Banca Abierta. En junio de 2020, el banco central publicó reglas sobre API de datos abiertos y durante el primer trimestre de 2021 se espera que aparezcan regulaciones secundarias sobre datos de transacciones.

Nigeria

En febrero, el Banco Central de Nigeria publicó el Marco Regulatorio para la Banca Abierta. El Marco se aplica a la banca, así como a otros servicios relacionados. Estos servicios incluyen:

  • Pagos y servicios de remesas
  • Servicios de cobros y desembolsos
  • Recepción de depósitos
  • Crédito
  • Asesoramiento y manejo de finanzas personales
  • Calificaciones/puntuación de crédito
  • Arrendamiento/compra a plazos
  • Hipotecas

Estados Unidos

La Oficina de Protección Financiera del Consumidor de Estados Unidos tiene planeado emitir un Aviso Anticipado de Propuesta de Reglamentación (Advance Notice of Proposed Rulemaking, ANPR, por sus siglas en inglés) más adelante en 2021, con respecto al acceso a registros financieros autorizado por los consumidores. Se espera que esto afecte tanto a las firmas de servicios financieros tradicionales como a las de tecnología financiera. Además, la reglamentación está muy relacionada con el concepto de Banca Abierta. La ANPR tratará de obtener una variedad de información, lo que incluye el alcance de los datos que potencialmente podrían estar sujetos a acceso protegido. Además, podría incluir información con posibles efectos en otros términos de acceso, como información relacionada con la seguridad, la privacidad, el control de facto del consumidor sobre el acceso y los datos a los que se accede, y la responsabilidad por errores relacionados con datos y acceso no autorizado.

Principales regulaciones de seguridad de 2020 para la industria financiera

Regulaciones de seguridad cibernética

PSD2: Segunda Directiva de servicios de pago

Aunque los requisitos de banca abierta entraron en vigor el 14 de septiembre de 2019, en octubre de 2019, la Autoridad Bancaria Europea (European Banking Authority, EBA) publicó una fecha límite revisada para el cumplimiento de las Normas Técnicas de Regulación (Regulatory Technical Standards, RTS, por sus siglas en inglés) sobre autenticación segura de clientes (Strong Customer Authentication, SCA, por sus siglas en inglés) y comunicación segura bajo PSD2. La nueva fecha límite es ahora el 31 de diciembre de 2020. Si bien la mayoría de las autoridades miembro han seguido el ejemplo de la Autoridad Bancaria Europea, la Autoridad de Conducta Financiera del Reino Unido (Financial Conduct Authority, FCA, por sus siglas en inglés) no hará cumplir la SCA hasta el 14 de marzo de 2021. El Banco de Francia cumplió con la fecha límite del 31 de diciembre de la EBA, pero incorporó un período de gracia de 3 meses según cada caso.

Los criterios PSD2 incluyen:

  • Autenticación segura del cliente: La autenticación debe basarse en dos o más factores, incluidas contraseñas o PIN, tokens o dispositivos celulares, o biometría.
  • Análisis de riesgo de transacción: PSD2 exige el uso de análisis del riesgo de transacciones para evitar los pagos fraudulentos.
  • Vinculación dinámica: El código de autenticación debe estar vinculado de forma dinámica tanto al beneficiario como al monto en las transacciones de pago.
  • Seguridad en aplicaciones celulares: Los proveedores de servicios de pago deben adoptar medidas de seguridad para mitigar el riesgo asociado a los dispositivos celulares que hayan sido infiltrados. PSD2 también exige el uso de contramedidas con respecto a la replicación de aplicaciones celulares en las aplicaciones, algo también conocido como protección contra la replicación.

Canadá: la guía actualizada de Conocer a su cliente de FINTRAC que permite la incorporación digital

La incorporación digital ha sido adoptada rápidamente en países de todo el mundo, incluidos Hong Kong, Singapur y Estados Unidos. Tanto las instituciones financieras como los clientes han participado en la incorporación digital, ya que esta equilibra la seguridad con la comodidad del usuario y cumple con los requisitos legales.

Canadá continúa avanzando en cuanto a la identidad digital con el desarrollo continuo del Marco de Confianza Pan-Canadiense (Pan-Canadian Trust Framework, PCTF, por sus siglas en inglés) liderado por el Gobierno de Canadá y el Consejo de Autenticación e Identidad Digital de Canadá (Digital Identity and Authentication Council of Canada, DIACC).

El 14 de noviembre de 2019, el Centro de Análisis de Reportes y Transacciones Financieros de Canadá (Transactions and Reports Analysis Centre, FINTRAC, por sus siglas en inglés) publicó una actualización para obtener orientación sobre los requisitos de Conocer a su cliente (Know Your Customer, KYC, por sus siglas en inglés), con el título "Métodos para verificar la identidad de un individuo y confirmar la existencia de una corporación o una entidad que no sea una corporación".

FINTRAC soporta diferentes tecnologías, lo que incluye entrevistas en video en vivo y lo que se está convirtiendo en el método favorito: “se le podría pedir a una persona que se tomara una foto 'selfie' con la cámara de su teléfono celular o dispositivo electrónico, y una aplicación utilizaría tecnología de reconocimiento facial para comparar las características de esa 'selfie' con la foto del documento auténtico de identificación con fotografía emitido por el gobierno".

FINTRAC destaca que “no basta con ver a una persona y su documento de identificación con fotografía oficial en línea en una videoconferencia o cualquier otro tipo de aplicación virtual”. La institución financiera “debe utilizar software o algún tipo de tecnología que pueda autenticar el documento de identificación oficial con fotografía. Las instituciones financieras también deben verificar que el nombre y la imagen coincidan con los correspondientes a la persona en el documento de identificación auténtico con fotografía emitido por el gobierno".

Canadá - Enmiendas a la Ley sobre Productos de Delitos (blanqueo de capitales) y Financiación del terrorismo (PCMLTFA, por sus siglas en inglés)

Publicado por FINTRAC en julio de 2019. Las enmiendas afectan directamente a los cambios de criptomonedas, que hasta ahora han estado excluidos de muchas regulaciones.

A partir del 1 de junio de 2020, todos los cambios de criptomonedas en Canadá deben registrarse en FINTRAC. Las compañías de cambio de criptomonedas se clasificarán como compañías de servicios monetarios (Money Service Businesses, MSB, por sus siglas en inglés), compañías que tradicionalmente han ofrecido servicios de cambio de moneda extranjera y cambio de cheques junto con ventas de giros postales.

Al igual que las instituciones financieras, los intercambios de criptomonedas deberán tener un oficial de cumplimiento, cumplir con las políticas de Conocer a su cliente (KYC) e informar de transacciones sospechosas a FINTRAC. Las compañías de cambio de criptomonedas podrán utilizar las disposiciones de incorporación digital detalladas anteriormente.

Estados Unidos - Enmiendas a las reglas de protección y privacidad en virtud de la Ley Gramm-Leach-Bliley

En 2020, se espera que la Comisión Federal de Comercio anuncie cambios en la Regla de Protección y la Regla de Privacidad de acuerdo con la Ley Gramm-Leach-Bliley, que requiere que las instituciones financieras (IF) expliquen a sus clientes las políticas y prácticas de comunicación de información de la organización y protejan los datos sensibles.

Es probable que las regulaciones revisadas incorporen la retroalimentación recibida en  los cambios propuestos anunciados por la FTC en 2019.

Según la regla de protección, los bancos e instituciones financieras de Estados Unidos deben implementar medidas para mantener la seguridad de la información de los clientes. Además, también deben tomar medidas para asegurarse de que sus afiliados y proveedores de servicios también protejan la información de clientes a la que tengan acceso. La Regla de Privacidad requiere que una IF permita a sus clientes la opción de no compartir su información con ciertos terceros después de que el cliente haya recibido una explicación de las prácticas de intercambio de información de la organización. La propuesta requeriría que las instituciones financieras cifren todos los datos de sus clientes, utilicen autenticación multifactorial para acceder a los datos, e implementen más controles de acceso para evitar que usuarios no autorizados puedan acceder a la información de los clientes.

Estos cambios propuestos se basan en las Regulaciones de Seguridad Cibernética del Departamento de Servicios Financieros de Nueva York que entraron en vigor en 2019. La realidad es que no todas las instituciones financieras de Estados Unidos están sujetas a las regulaciones de NYDFS, por lo que siguen existiendo brechas en la protección de la privacidad y la seguridad de los clientes. Sin embargo, todas las instituciones financieras en los Estados Unidos están regidas por la FTC, lo que significa que las regulaciones propuestas por la FTC eliminarán absolutamente todas las brechas.

Unión Europea - Quinta directiva contra el blanqueo de dinero (AMLD5)

En julio de 2018, la directiva de la UE 2018/843, la quinta versión de la Directiva contra el blanqueo de dinero de la UE (AMLD5) entró en vigor. Esta directiva exige que los estados miembros de la UE incorporen la AMLD 5 a la legislación nacional antes del 10 de enero de 2020.

Al igual que las versiones anteriores, AMLD5 se aplica a las instituciones financieras, incluidos los bancos y las compañías de servicios monetarios (MSB). El cambio significativo es que AMLD5 se aplica a las compañías de cambio de criptomonedas virtuales (Virtual Cryptocurrency Exchanges, VCEP) y a los proveedores de custodia de monedas virtuales (Custodian Wallet Providers, ambas por sus siglas en inglés) como "entidades obligadas" sujetas a las regulaciones de la UE.

Las VCEP y CWP que anteriormente no estaban reguladas por la directiva ahora deben seguir las mismas reglas que cualquier otra organización de servicios financieros, lo que incluye verificaciones de identidad obligatorias para nuevos clientes.

En cuanto a la verificación de identidad, AMLD5 reconoce las tecnologías de identidad digital.

El elemento número 22 incluye: “una identificación y verificación precisas de los datos de personas físicas y jurídicas son esenciales para combatir el lavado de capitales o el financiamiento del terrorismo. Los últimos avances técnicos en la digitalización de transacciones y pagos permiten la identificación remota o electrónica segura. Esos medios de identificación ... deben ser considerados, en particular con respecto a los sistemas de identificación electrónica notificados y a las maneras de garantizar el reconocimiento legal transfronterizo que ofrece herramientas seguras de alto nivel y proporcionan un punto de referencia con el que contrastar los métodos de identificación establecidos a nivel nacional. Además, se podrán considerar otros procesos seguros de identificación remota o electrónica, regulados, reconocidos, aprobados o aceptados a nivel nacional por la autoridad nacional correspondiente.

El incumplimiento puede resultar en sanciones severas, lo que incluye multas de hasta 5 millones de euros o el 10% de la facturación anual. En cuanto a la gerencia, se podría prohibir a las personas manejar un negocio regulado e impedir que la organización lleve a cabo transacciones comerciales debido a violaciones de cumplimiento.

Regulaciones de privacidad y protección de datos

Los organismos gubernamentales en todo el mundo están considerando nuevas regulaciones relacionadas con la privacidad de datos. Muchas de estas regulaciones están basadas en el RGPD de la UE y representan una mayor conciencia sobre la privacidad de los datos y los problemas relacionados con la protección de datos.

Estados Unidos - Ley de Privacidad del Consumidor de California (CCPA)

La Ley de privacidad del consumidor de California (California Consumer Privacy Act, CCPA, por sus siglas en inglés) introduce nuevos derechos de privacidad para los consumidores y obligará a las compañías que llevan a cabo negocios en California a implementar cambios estructurales en sus programas de privacidad. Siguiendo el modelo del Reglamento General de Protección de Datos (RGPD) de la UE, la CCPA entró en vigor el 1 de enero de 2020 y comenzó a aplicarse el 1 de julio de 2020.

La CCPA se aplica a las compañías definidas como "una entidad con fines de lucro que recopila datos personales de los consumidores" (en este caso, residentes de California) y cumple con al menos una de las siguientes condiciones:

  • La compañía compra, recibe, vende o comparte la información personal de 50.000 o más consumidores, hogares o dispositivos anualmente.
  • La compañía tiene ingresos brutos anuales de más de $25 millones.
  • La compañía obtiene el 50% o más de sus ingresos anuales a través de la venta de información personal de consumidores".

Algunas de las disposiciones clave incluyen el derecho del consumidor a acceder, eliminar y transferir información personal. Según la ley, los consumidores pueden pedir acceder, eliminar o transferir la información personal que han proporcionado a una compañía, hasta dos veces en un período de 12 meses.

En las interacciones digitales con una compañía, se genera una enorme cantidad de datos personales. Esto incluye información habitual como nombre, dirección postal, teléfono, dirección de correo electrónico, estado civil, religión y etnia, pero también información digital como su dirección IP, nombre de usuario, contraseñas, datos de navegación, historial de compras y autenticadores. La lista de autenticadores incluye además datos biométricos como datos de reconocimiento facial, impresiones de voz y huellas dactilares.

Para proteger la privacidad y seguridad de los consumidores, la ley requiere que las compañías tengan procesos para verificar la identidad y autorización de los consumidores.

Las sanciones por no cumplir con la CCPA pueden ser elevadas. Las infracciones no intencionales están sujetas a una multa máxima de $2.500, mientras que las infracciones intencionales tienen una multa máxima de $ 7.500. Para una corporación multimillonaria, estas cantidades son de poca importancia.

Sin embargo, la CCPA tiene un gran efecto en relación con el derecho de los consumidores a presentar demandas. Según la CCPA, los consumidores pueden solicitar entre $100 y $750 por cada evento. En esta era de infracciones a gran escala, si los daños superan los $750, el consumidor puede recibir aún más dinero. Este tipo de situaciones puede surgir de casos en los que se produce una vulneración de la "información personal no cifrada o no redactada" de un cliente.

Brasil - Ley General de Protección de Datos (LGPD)

En julio de 2019, se firmó la Ley General de Protección de Datos (Lei Geral de Proteção de Dados Pessoais) (Ley N° 13.709/2018) ("LGPD") que entrará en vigor el 15 de agosto de 2020.

La LGPD sigue el modelo del RGPD de la UE y se aplica a cualquier persona física o jurídica (independientemente de su ubicación) que ofrezca o preste bienes o servicios a Brasil, procese datos en Brasil o procese datos recopilados en Brasil o que pertenezcan a personas brasileñas.

La LGPD requiere que los controladores y procesadores de datos adopten medidas administrativas, técnicas y de seguridad diseñadas para proteger los datos personales de accesos no autorizados, además de contra la pérdida, destrucción, alteración y comunicación accidentales o ilegales.

La Autoridad Nacional de Protección de Datos (Autoridade Nacional de Proteção de Dados) (ANPD) supervisará y se encargará del cumplimiento de la normativa de protección de datos. Se espera que la ANPD publique estándares técnicos mínimos en 2020.

Aunque aún no se sabe qué incluirán los estándares técnicos mínimos, los bancos afectados y otras compañías que actualmente protegen los datos de los clientes con nombres de usuario y contraseñas estáticos deberían elevar su manejo de tecnologías de identidad y autenticación para incluir la autenticación multifactorial.

Tailandia - Ley de protección de datos personales (PDPA)

En mayo de 2019, la Ley de Protección de Datos Personales BE 2562 (2019) se publicó en el boletín oficial de Tailandia. Esta ley incluye un período de gracia de 1 año y el cumplimiento comienza a ser obligatorio el 27 de mayo de 2020.

La PDPA incluye una disposición para la creación del Comité de Protección de Datos Personales (Personal Data Protection Committee, PDPC, por sus siglas en inglés), encargado de hacer cumplir y de publicar la guía.

La PDPA ha sido influenciada por varios conceptos de RGPD, pero también se basa en conceptos desarrollados desde la perspectiva tailandesa. No debe asumir que el cumplimiento de RGPD se alineará con el cumplimiento de PDPA. Recomiendo una revisión minuciosa y cuidadosa de las diferencias entre estas dos legislaciones para todas las organizaciones bancarias internacionales que operan en ambas regiones.

Al igual que el RGPD, el consentimiento del consumidor debe obtenerse de una manera que sea fácil de entender y no compleja.

Las compañías deberán solidificar sus políticas y prácticas de manejo de datos de clientes, ya que el PDPA clasifica los datos de los clientes en tres categorías: recopilación de datos personales, uso de datos y divulgación de datos. Las compañías deben obtener el consentimiento específico del cliente para cada propósito.

La PDPA tiene aplicabilidad extraterritorial, lo que significa que los controladores y los procesadores de datos tanto dentro como fuera de Tailandia podrían estar sujetos a ella. Esto afectaría a muchos bancos mundiales y regionales, así como a otras instituciones financieras.

Al igual que el RGPD y otras leyes de protección de datos, la PDPA incluye sanciones severas por incumplimientos. Esto incluye multas de hasta 5 millones de THB por incumplimientos administrativos, encarcelamiento de hasta un año y/o multas de hasta 1 millón de THB) y daños punitivos de hasta el doble del monto de los daños reales. Además, Tailandia ahora permite que los interesados presenten demandas colectivas, lo que significa que los daños civiles en virtud de la PDPA pueden hacerse mucho mayores. El director de la compañía también puede estar sujeto a sanciones.

Regulaciones bancarias y oportunidades

2021 marca un período de grandes cambios regulatorios en todo el mundo. Por esa razón, es muy importante mantenerse actualizado en cuanto a los cambios regulatorios actuales, así como las nuevas propuestas de las que se está hablando en las jurisdicciones en las que usted opera. Pueden tener un impacto crucial en sus iniciativas de transformación digital.

Puede encontrar más información sobre las soluciones de seguridad y el cumplimiento de las normativas visitando nuestra página que describe desafío del cumplimiento.

Informe sobre el Reglamento Financiero Global de OneSpan
Informe

Informe sobre el Reglamento Financiero Global de OneSpan

Descargue este informe de 2020 para estar al día de los últimos cambios normativos y legislativos en todo el mundo, en relación con la firma electrónica, la identidad digital, la ciberseguridad, etc.

Descargar ahora

Michael Magrath es responsable de alinear la hoja de ruta de las soluciones de OneSpan con las normas y los requisitos reglamentarios a nivel mundial. Es copresidente del Grupo de Trabajo de Despliegue Gubernamental de la Alianza FIDO y forma parte de la Junta Directiva de la Asociación de Firma y Registros Electrónicos (ESRA)

Conformidad normativa

Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Descubra por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento. Sepa por qué los principales bancos del mundo confían en OneSpan para cumplir con los complejos requisitos de cumplimiento.

Obtener más información