El 31 de marzo de 2020 la Secretaría de Hacienda y Crédito Público (SHCP), y la Comisión Nacional Bancaria y de Valores (CNBV), emitieron un documento con las "nuevas facilidades administrativas temporales" que facultan el uso de videograbación para la contratación remota de productos financieros, con el objetivo de reactivar la economía de las personas durante y con posterioridad a la contingencia sanitaria.
Dicho documento menciona que el principal objetivo es: “Flexibilizar los procesos de evaluación y autorización de los mecanismos para la verificación de identidad, validación de documentos de identificación y contratación de productos a través de medios remotos, con el propósito de incorporar al mercado mexicano más herramientas que permitan a los usuarios realizar transacciones financieras a distancia, así como instrumentar los apoyos que ofrecen los bancos y Sofomes”.
En NAAT.TECH contamos con la plataforma más confiable de México para la identificación y contratación remota en el sector financiero, Cloud Identity, tecnología probada en más de 30 bancos nacionales e internacionales. Somos expertos en el sector financiero y sabemos la dificultad que implica la innovación ante las constantes y exigentes regulaciones por parte de las autoridades. Por ello, a continuación te compartimos un resumen de las regulaciones vigentes, con el objetivo de ayudarte a saber cómo si podemos utilizar la tecnología para innovar en los procesos de contratación no presencial, en pro de los usuarios y de la recuperación de la economía nacional.
Derivado de lo anterior, se informan las facilidades administrativas que las Instituciones de Crédito podrán adoptar, con carácter temporal, para observar lo previsto en el Título Segundo, Capitulo II, Sección Segunda, Apartado B, así como lo previsto en el Título Quinto, Capítulo XI, Sección Tercera de las Disposiciones de carácter general aplicables a las instituciones de crédito, conforma a lo siguiente:
Disposiciones prudenciales - Datos de los clientes (Videograbación)
A. Las instituciones podrán celebrar de manera no presencial, contratos para la apertura de Cuentas Bancarios Nivel 4 (máximo 30,000 UDIs al mes), así como créditos al consumo y comerciales para clientes o solicitantes de nacionalidad mexicana que sean personas físicas, físicas con actividad empresarial o personas morales.
Deberán identificar si el solicitante es su cliente, verificando los datos en los registros de la propia institución. En caso de ser cliente, deberán corroborar la información biométrica de su cliente ente el Instituto Nacional Electoral (INE).
Si la verificación antes mencionada, es exitosa, las instituciones podrán proceder con la contratación a distancia, requiriendo la documentación digitalizada necesaria para complementar los expedientes correspondientes, según los términos de las Disposiciones de carácter general aplicables a las instituciones de crédito y de las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito, emitidas por la SHCP. En caso de que la institución no realice la verificación biométrica, o corrobore contra sus propios registros, deberá implementar lo siguiente:
KYC en México para la apertura de cuentas bancarias online
Conoce las principales regulaciones para la apertura de cuenta bancaria de forma remota en México y cómo solucionar los requerimientos.
¿Cómo implementar un proceso de onboarding digital seguro?
Vamos a revisar un plan de onboarding para ayudarte a saber cuándo y cómo implementar un proceso de onboarding digital.
Para el caso de que el solicitante no es cliente:
1. Recabar, cuando menos y a través de un formulario:
i) Personas físicas: nombre completo, género, fecha de nacimiento, entidad federativa y país de nacimiento, nacionalidad, ocupación, profesión, actividad o giro del negocio al que se dedique; domicilio, número de teléfono, número de celular, correo electrónico, Clave Única de Registro de Población (CURP), Registro Federal de Contribuyentes (RFC), RFC con homoclave, número de serie de la Firma Electrónica Avanzada (FEA), cuando cuente con ella, y número de cuenta y CLABE interbancaria.
ii) Personas morales: denominación o razón social, giro mercantil, actividad y objeto social; nacionalidad, RFC, número de serie de la FEA, domicilio, número de teléfono del domicilio, correo electrónico, fecha de constitución, nombre completo, FEA del administrador (es), director, gerente general o apoderado legal, número de cuenta y CLABE interbancaria.
Para el caso de personas morales, la identificación de sus apoderados o representantes legales deberá realizarse el mismo procedimiento señalado en los párrafos segundo, tercero y cuarto del apartado A de este documento, con la salvedad de que el envío del formulario deberá hacerse mediante un archivo firmado con la FEA de la persona moral de que se trate.
2. Recabar la manifestación del solicitante en la que exprese su consentimiento para que su voz e imagen sean grabadas al establecer una comunicación a través de videograbación (deberán mencionar cuál es el medio a utilizar).
3. Requerir al solicitante el envío en formato digital de la credencial para votar (INE) por anverso y reverso, así como verificar la coincidencia de los siguientes datos, con los registro del propio INE:
- Apellido paterno, materno y nombre (s)
- Código Identificador de Credencial (CIC), impreso en la credencial
- Año de registro
- Clave de elector
- Número y año de emisión
4. Personas físicas: requerir envío en formato digital de comprobante de domicilio, en caso de que no coincida con el señalado en la credencial, que no lo contenga o que contenga una versión simplificada.
Personas morales: requerir el envío en formato digital de los documentos la fracción II, inciso b), de la 4ª de las Disposiciones de PLD / FT, así como la información a que se refiere de 4ª, fracción II, inciso c) y fracción VI de las mismas disposiciones.
5. Confirmar la existencia y coincidencia de la CURP ante el Registro Nacional de Población (RENAPO).
6. Requerir y obtener la geolocalización del dispositivo desde el cual el solicitante abra la cuenta o celebre el contrato.
7.Capturar, durante la videograbación, los datos generales del solicitante, así como requerir que muestre la credencial de elector por ambos lados, en su caso, el comprobante de domicilio. Asimismo, deberá realizar una prueba de vida del solicitante entendiéndose como tal a las pruebas técnicas realizadas por las instituciones con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias o involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida. Para los efectos de realizar la videograbación, se podrán utilizar herramientas automatizadas que permitan su grabación y posterior reproducción. Dichas grabaciones deberán durar 30 segundos continuos y sin interrupción, y deberán realizarse conforme a las guías de diálogo aleatorias que establezcan las instituciones.
8. Pedir al solicitante un código de un solo uso, previo al inicio de la videograbación.
9.Contar con los medios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos, que garanticen su integridad, la correcta lectura, así como su adecuada conservación y localización. Asimismo, grabar y conservar sin ediciones la videograbación.
10. Verificar la coincidencia del rostro del cliente que aparece en la credencial, y el rostro del cliente durante la videograbación, lo cual debe realizar por medio de una herramienta de reconocimiento biométrico facial.
11. Una vez realizada la videograbación, se debe solicitar el consentimiento del cliente para acreditar legalmente la apertura de la cuenta o celebración del contrato de crédito que realice con la institución de forma no presencial, el cual se puede obtener a través de firma electrónica o firma autógrafa digitalizada (grafo de la firma sobre el dispositivo) o FEA.
12. Evaluar los posibles riesgos derivados del lanzamiento o uso de nuevos canales de envío o distribución, de conformidad con el último párrafo de la 21ª – 1 de las Disposiciones de PLD / FT.
13. Documentar mediante acta de comité de comunicación y control la adopción de las medidas temporales, en la que se incluyan: i) criterios, situaciones atípicas o riesgosas por las que se procederá a suspender el proceso de identificación remota, ii) el procedimiento para verificar la coincidencia en la lista de personas bloqueadas, lista de personas políticamente expuestas y las demás listas con las que cuenta la institución, iii) procedimiento para determinar el perfil transaccional inicial y el grado de riesgo de los clientes, iv) conexión con el o los sistemas automatizados a que se refieren las Disposiciones de PLD / FT.
14.Describir los mecanismos que se utilizarán para recabar la geolocalización a que se refiere el numeral 6 del presente apartado.
15. Notificar a sus clientes, a través de teléfono móvil o correo electrónico, cualquier contratación de productos o servicios realizada de forma no presencial, así como las operaciones que se realicen en la cuenta contratado, incluyendo notificaciones sobre abonos.
16. Contar con una descripción detallada de la infraestructura tecnológica utilizada en cada parte del proceso de identificación no presencial. Asimismo, las instituciones deberán incluir a todos los proveedores de tecnología que intervienen, y en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
17. Disponer de una descripción de los medios utilizados para que los solicitantes envíen el formulario y documentos por un canal seguro, considerando al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario.
18. Disponer de una descripción del proceso que la entidad llevará a cabo para contactar al cliente en caso de eventos sospechosos en sus cuentas y transacciones, incluyendo los mecanismos utilizados para dicho fin.
19. Elaborar un diagrama de red que muestre todos los componentes de la infraestructura tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia. También, deberá incluir el servidor de tiempo protegido en dicho diagrama con el cual se estampará la fecha y la hora en la que fueron tomadas las imágenes del solicitante y de la credencial.
20. Tener información detallada sobre si las imágenes de identificaciones oficiales, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la institución, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
21. Contar con evidencia de que los medios de verificación de los documentos de identificación de los clientes o solicitantes tienen la efectividad aprobada por el comité de riesgos de la institución.
22. Disponer de evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico, tengan el nivel de fiabilidad determinado por el comité de riesgos de la institución.
23. Tener información sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para la identificación de rostro o las verificaciones de cualquier otro elemento biométrico, realizadas conforme a los umbrales establecidos por la institución, que contemple los resultados de dichas pruebas, ajustes del motor de validación.
24. En su caso, contar con los estándares de calidad de la imagen y sonido que se utilizarán para efectuar la videograbación.
25. En su caso, tener la descripción técnica de los factores de autenticación que se requerirán para la contratación de productos, así como las características del código de un sólo uso.
26. Disponer de mecanismos a través de los cuales las instituciones se asegurarán de contar con los medios necesarios para la transmisión y resguardo de la información, datos y documentos generados en el procedimiento de identificación no presencial.
27. Contar con mecanismos para garantizar la integridad, correcta lectura, imposibilidad de manipulación y seguridad, conservación y localización de la información, datos y documentos.
28. Tener mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando qué información será transmitida en cada uno de los canales.
29. Disponer de mecanismos utilizados para la gestión de accesos a los sistemas, así como proporcionar las políticas en las que se incluyan el uso de contraseñas robustas.
30. Contar con políticas y procedimientos de gestión de incidentes de seguridad de la información.
31. Tener mecanismos o herramientas utilizadas por las instituciones para el monitoreo y bloqueo de contrataciones sospechosas.
32. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como penetración en los diferentes componentes de la infraestructura tecnológicas. Las pruebas deberán realizarse por un tercero independiente, con personal que cuente con certificaciones especializadas.
33. Establecer responsabilidades respecto de la seguridad de la información, así como sanciones en caso de incumplimiento en los contratos entre la institución y distintos proveedores de servicios.
Otras disposiciones - Contratación de proveedores para identificación no presencial
B. Las instituciones que celebren contratos con terceros para un proceso operativo, administración de bases de datos o sistemas que soporten o se relacionen con la identificación no presencial, deberán presentar el aviso o solicitud de autorización, suscrito por el Director General, debiendo acompañar a dicho escrito únicamente lo establecido en el tercer párrafo del numeral 1, Apartado C del presente documento.
Será responsabilidad de las instituciones realizar la vigilancia del cumplimiento a las disposiciones señaladas, por parte de los proveedores de distintos servicios.
C. Adicionalmente, las instituciones deberán:
1. Notificar a la Comisión por lo menos con siete días hábiles de anticipación a que se pretenda implementar cualquiera de los procedimientos de identificación no presencial, mediante escrito libre dirigido a la Dirección General encargada de su supervisión, firmado por la persona autorizada. En caso de que la Oficialía de Partes de la Comisión se encuentre cerrada, enviar el escrito a los correos electrónicos: VPSupervisionA@cnbv.gob.mx; VPSupervisionB@cnbv.gob.mx, según corresponda, así como a prevencion.lavado@cnbv.gob.mx
En la notificación deberán incluir el proceso a realizar de forma detallada que cumpla con los numerales 1 al 11 del apartado A, así como la evidencia de la evaluación a se refiere el numeral 13 y el acta a que se refiere el numeral 13. Asimismo, incluir la información contenido en los numerales 15, 16, 17, 19, 20, 24, 25, 26, 28, 31 y 32 del presente oficio.
Para efecto del tercero que contraten las instituciones, deberán enviar a la Comisión el aviso o solicitud de autorización señalados en los artículos 326 o 328 de las Disposiciones, según sea el caso, suscrito por el Director General, anexando únicamente el contrato firmado que celebren con dicho tercero y la información contenido en los numerales 16, 19 y 20 del apartado A del presente oficio.
2. Remitir a la CNBV un informe de aquellas cuentas y créditos contratados, así como de aquellos en los que se dio por terminada la relación contractual de manera mensual, en tanto se da por finalizada la presente autorización.
3. Remitir un informe mensual de reclamaciones por cada cliente de las cuentas y créditos contratados u operaciones recibidas para este tipo créditos, incluyendo información relevante y el estado que guarda cada una.
4. Entregar a esta Comisión dentro de los siguientes 7 días hábiles a que se actualice el supuesto previste en el antepenúltimo párrafo de este oficio, la evidencia de la implementación de los numerales 14, 18, 21, 22, 23, 27, 29, 30 y 33 del apartado A. Asimismo deberá incluirse la evidencia de la mitigación de vulnerabilidad y pruebas de penetración a la infraestructura tecnológica (incluyendo proveedores).
5. En caso de presentarse reclamaciones de clientes, ya sea de fraudes por suplantación de identidad o por algún otro fraude, comprometerse a que las reclamaciones deberán ser abonadas a los clientes, a más tardar, cuarenta y ocho horas posteriores a la reclamación.
6. Incluir, dentro de la revisión anual de auditoría interna, o bien del auditor externo, la evaluación de los procedimientos respectivos y el cumplimiento a los requisitos señalados en el presente oficio.
7. Para efectos de este documento, no se estarían considerando las siguientes operaciones:
- Cambios de información sensible
- Desbloqueo de cuentas
- Cambio de beneficiarios
Las facilidades administrativas establecidas estarán vigentes hasta que la CNBV publique en el Diario Oficial de la Federación (DOF) la resolución modificatoria a la “Disposiciones de carácter general aplicables a las instituciones de crédito” en materia de identificación no presencial, prevista en el Título Segundo, Capítulo II, Sección Segundo, Apartado B, que comprende los artículos 51 Bis 6 a 51 Bis 9.
Como observamos en el resumen de la regulación vigente, el gobierno mexicano está trabajando fuertemente para regular el uso de plataformas tecnológicas que permiten la contratación de manera remota, con total seguridad para las instituciones y los usuarios. Es gratificante saber que en México contamos con tecnología de vanguardia capaz de realizar procesos no presenciales con total seguridad y validez jurídica. Tal es el caso de Cloud Identity, plataforma que permite validar la identidad de los usuarios de manera remota, realizar la comunicación entre el usuario y la institución a través de una videograbación, así como firmar documentos para contratación de cualquier producto financiero, con el mismo nivel de seguridad que los métodos presenciales.