CONAMER - Sistema de Mejora Regulatoria

Estás aquí: Inicio /mirs/46878

AIR de impacto Moderado

Información General
Calidad regulatoria
Formulario

Información general

Tipo de MIR:

Air de impacto moderado

Título del anteproyecto:

Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de tecnología financiera (1a resolución modificatoria cuitf)

Dependencia:

Secretaría de hacienda y crédito público

Responsable Oficial:

Herrera gutiérrez arturo

Editor del anteproyecto:

Torres herrera janet rosalia

Estatus del anteproyecto:

En cofemer

Ordenamiento Jurídico:

Resolución

Punto de contacto

Nombre(s):

diana canela valle

Cargo:

Director

Teléfono:

14546236

Correo electrónico:

Dcanela@cnbv.gob.mx

¿DESEA QUE LA MIR Y EL ANTEPROYECTO NO SE PUBLIQUEN EN EL PORTAL?

Indique si la regulación propuesta requiere la no publicidad a la que se refiere el artículo 69-K de la Ley Federal de Procedimiento Administrativo (en caso de responder afirmativamente, proporcione la justificación correspondiente):

Justificación:

¿DESEA CONSTANCIA DE QUE EL ANTEPROYECTO FUE PUBLICO AL MENOS 20 DIAS HABILES?

« Sección inhabilitada derivado de cambios producidos por la entrada en vigor el pasado 10 de mayo de 2016 del “Decreto por el que se abroga la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y se expide la Ley Federal de Transparencia y Acceso a la Información Pública.»

Archivo(s) que contiene(n) la regulación

20190207144938_46878_Resolución modificatoria CUITF 12 meses LIMPIO (7-febrero-2019) CONAMER.docx

20190207145053_46878_ANEXO 8 constancia conocimiento riesgos (7 febrero 2019).docx

20190207145149_46878_ANEXO 9 inversionista experimentado (7 febrero 2019).docx

20190207145303_46878_ANEXO 11 incidentes de afectación (7 febrero 2019).docx

20190207145351_46878_ANEXO 12 informe de incidentes (7 febrero 2019).docx

20190207145435_46878_ANEXO 13 indicadores de seguridad info (7 febrero 2019).docx

20190207145607_46878_ANEXO 14 Formato de info sistemas aplicativos (7 febrero 2019).docx

20190207145651_46878_ANEXO 15 Revelación de Información (7 febrero 2019).docx

20190207145754_46878_ANEXO 16 Revelación de Información (7 febrero 2019).docx

20190207145838_46878_ANEXO 17 Revelación de Información (7 febrero 2019).docx

20190207145921_46878_ANEXO 18 CUITF IFC.zip

20190207150104_46878_ANEXO 19 CUITF IFPE.zip

20190207150146_46878_ITF Anexo 20 Responsable del Envío y Calidad de la Información.docx

Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.

Es un instrumento que se deriva de una obligación específica establecida alguna ley, reglamento, decreto, acuerdo u otra disposición de carácter general expedidos por el Titular del Ejecutivo Federal:

Es un instrumento que se deriva de un compromiso internacional:

Es un instrumento que representa beneficios notoriamente superiores a sus costos en términos de la competitividad y eficiencia de los mercados:

Se trata de un anteproyecto que será expedido por el Titular del Ejecutivo Federal, por lo que no es aplicable el Acuerdo de Calidad Regulatoria:

Brinde la justificación por la que el (los) supuesto (s) de calidad anteriormente señalado (s) es (son) aplicable (s) al anteproyecto:

La Comisión Nacional Bancaria y de Valores (CNBV) como órgano desconcentrado de la Secretaría de Hacienda y Crédito Público, es la responsable de procurar la estabilidad y correcto funcionamiento del sistema financiero mexicano, así como de mantener y fomentar su sano y equilibrado desarrollo, erigiéndose como la autoridad que supervisa y regula dicho sistema. La CNBV tiene la facultad de regular y supervisar a las entidades financieras y demás personas señaladas en la Ley de la Comisión Nacional Bancaria y de Valores (LCNV). Como reguladora del sistema financiero, desarrolla proyectos tendientes a la emisión y mejoramiento de la normatividad de su competencia, tomando en cuenta las mejores prácticas nacionales e internacionales, lo cual implica tanto la revisión y reforma de la norma vigente, como la creación de nuevos instrumentos normativos para completar los marcos jurídicos derivados de la legislación originada por los cambios económicos, sociales y tecnológicos. En este orden de ideas, el 9 de marzo de 2018, se publicó en el Diario Oficial de la Federación el “Decreto por el que se expide la Ley para Regular las Instituciones de Tecnología Financiera y se reforman y adicionan diversas disposiciones de la Ley de Instituciones de Crédito, de la Ley del Mercado de Valores, de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, de la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, de la Ley para Regular las Sociedades de Información Crediticia, de la Ley de Protección y Defensa al Usuario de Servicios Financieros, de la Ley para Regular las Agrupaciones Financieras, de la Ley de la Comisión Nacional Bancaria y de Valores y, de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita”. Particularmente, la Ley para Regular las Instituciones de Tecnología Financiera (LRITF), publicada en el Diario Oficial de la Federación el 9 de marzo de 2018, establece la facultad de la CNBV para emitir disposiciones de carácter general tendientes a regular a las instituciones de tecnología financiera (ITF), siendo estas las instituciones de financiamiento colectivo (IFC) y las instituciones de fondos de pago electrónico, al igual que el nacimiento y creación de nuevos productos, servicios, modelos de negocios y mecanismos, de carácter innovador, a través de los denominados “modelos novedosos”. Todo ello, con el objetivo de fomentar el crecimiento de este nuevo sector, al igual que para preservar su estabilidad y correcto funcionamiento. Es de resaltar que, la Propuesta Regulatoria que ahora se presenta constituye la continuación del mandato legal contenido en las Disposiciones Tercera y Séptima Transitorias de la LRITF que precisa aquellas materias cuya regulación secundaria debe emitir la CNBV en un plazo de doce meses contado a partir de la entrada en vigor del citado ordenamiento legal. En este tenor, las materias a regular tienen como destinatarias a las IFC y versan sobre revelación de información; contratación de servicios con terceros, nacionales o extranjeros, para la prestación de servicios necesarios para la operación de las propias IFC; funcionamiento y uso de medios electrónicos, ópticos de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, y seguridad de la información. A continuación, se indican los artículos de la LRITF y de la LCNBV que facultan a esta CNBV para emitir disposiciones de carácter general en la materia objeto de la presente Propuesta Regulatoria que se somete a consideración de esa Comisión Nacional de Mejora Regulatoria (CONAMER) mediante este Análisis de Impacto Regulatorio (AIR), a saber: LRITF: “Artículo 18.- Las instituciones de financiamiento colectivo deberán cumplir con las obligaciones siguientes: I. a III. . . . IV. Tener, una vez que se haya efectuado alguna Operación, a disposición de los inversionistas que estén participado en ella, la información acerca del comportamiento de pago del solicitante, de su desempeño, o cualquier otra que sea relevante para ellos. La CNBV establecerá, mediante disposiciones de carácter general que para tal efecto emita, los requisitos para dar cumplimiento a esta obligación; V. a X. . . . . . .” (énfasis añadido) “Artículo 48.- La CNBV deberá emitir disposiciones de carácter general orientadas a preservar la estabilidad y correcto funcionamiento de las ITF en materia de controles internos y administración de riesgos a que deberán sujetarse en la realización de las Operaciones, segregación de funciones respecto de las modalidades de Operaciones que realicen y demás servicios que ofrezcan, prevención de conflictos de interés, identificación de sus Clientes, prácticas societarias y de auditoría, contabilidad, revelación de información, transparencia y equidad en las actividades y servicios relacionados con la actividad de que se trate. Asimismo, tratándose de instituciones de financiamiento colectivo podrá emitir disposiciones de carácter general en materia de seguridad de la información, incluyendo las políticas de confidencialidad, uso de medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos y continuidad operativa. . . . . . . . . . . . . . . .” (énfasis añadido) “Artículo 54.- Las ITF podrán pactar con terceros, localizados en el territorio nacional o el extranjero, la prestación de servicios necesarios para su operación, de conformidad con las disposiciones de carácter general que para tal efecto emitan la CNBV respecto de instituciones de financiamiento colectivo y conjuntamente con el Banco de México respecto de las instituciones de fondos de pago electrónico. Dichas Autoridades Financieras podrán señalar en estas disposiciones el tipo de servicios que requerirán de autorización. . . . . . .” (énfasis añadido) “Artículo 56.- . . . El funcionamiento y uso de tales equipos, medios y formas de autenticación se sujetará a los requisitos establecidos en las disposiciones de carácter general que para tal efecto emita la CNBV, respecto de las instituciones de financiamiento colectivo, o la propia CNBV y el Banco de México, de manera conjunta, respecto de las instituciones de fondos de pago electrónico. . . . . . . Artículo 57.- Las ITF deberán reportar a la CNBV, a la CONDUSEF y al Banco de México, en el ámbito de sus respectivas competencias, aquella información relacionada con sus actividades y las Operaciones que determine la Autoridad Financiera que corresponda en disposiciones de carácter general, con la periodicidad que en dichas disposiciones se señale.” LCNBV: “Artículo 4.- Corresponde a la Comisión: I. Realizar la supervisión de las entidades financieras; del fondo de protección a que se refiere la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo; de las Federaciones y del fondo de protección a que se refiere la Ley de Ahorro y Crédito Popular, así como de las personas físicas y demás personas morales cuando realicen actividades previstas en las Leyes relativas al sistema financiero. Tratándose de sociedades cooperativas de ahorro y préstamo, únicamente corresponderá a la Comisión la supervisión de aquellas con niveles de operación I a IV a que se refiere la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo; II. a XXXV. . . . XXXVI. Emitir las disposiciones necesarias para el ejercicio de las facultades que esta Ley y demás leyes le otorgan y para el eficaz cumplimiento de las mismas y de las disposiciones que con base en ellas se expidan; XXXVII. . . . XXXVIII. Las demás facultades que le estén atribuidas por esta Ley, por la Ley Reglamentaria de la Fracción XIII Bis del Apartado B, del Artículo 123 de la Constitución Política de los Estados Unidos Mexicanos y por otras leyes.” (énfasis añadido) Derivado de lo preceptuado por la LRITF, y como consecuencia de su reciente expedición, aun no hay disposiciones de carácter general en las materias de la presente Propuesta Regulatoria y con la intención de no generar lagunas normativas que puedan causar incertidumbre jurídica, esta CNBV somete a consideración de CONAMER la Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de tecnología financiera (Resolución Modificatoria).

Apartado I.- Definición del problema y objetivos generales de la regulación

1. Describa los objetivos generales de la regulación propuesta:

1. Describa los objetivos generales de la regulación propuesta^#1 La CNBV se encuentra facultada para emitir disposiciones de carácter general, orientadas a preservar la estabilidad y correcto funcionamiento de las IFC, de manera concreta en las siguientes materias: 1) seguridad de la información; 2) funcionamiento y uso de medios electrónicos, ópticos de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones; 3) contratación de servicios con terceros, nacionales o extranjeros, para la prestación de servicios necesarios para la operación de las propias IFC; 4) revelación de información. En este sentido, los objetivos de la Propuesta Regulatoria son los siguientes: 1. Que las IFC estén en condiciones de hacer frente a riesgos y ataques que pudieran ocasionarles afectaciones a ellas y a la realización de operaciones con sus clientes, por lo que resulta conveniente establecer el marco normativo sobre seguridad de sus sistemas e infraestructura tecnológica, así como determinar los controles internos que deberán tener, contando con un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, teniendo medidas específicas para proteger su información, otorgar certeza en su operación y continuidad de los servicios. 2. Que, toda vez que las IFC operan a través de medios remotos, esto es, aplicaciones informáticas, interfaces, páginas de Internet o cualquier otro medio de comunicación electrónica o digital, resulta indispensable a la luz del artículo 56 de la LRITF, regular el funcionamiento y uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, incluyendo las formas de autenticar tanto a las propias IFC como a sus clientes, cumpliendo con los principios de neutralidad tecnológica y protección al consumidor establecidos en la LRITF. 3. Que las IFC estén en condiciones jurídicas de pactar con terceros la prestación de servicios necesarios para su operación a través de la contratación, así como aquellos servicios que requerirán de la autorización de la propia CNBV tomando en cuenta para ello la debida protección de la información sensible de los clientes de estas entidades financieras. 4. Que los clientes de las IFC cuenten con información necesaria para identificar los riesgos en que incurren por la celebración de operaciones y la toma de decisiones de inversión, por lo que se incorpora el régimen aplicable a la revelación de información sobre los solicitantes de financiamiento, acorde con la facultad con la que cuenta la CNBV sobre normas en materia de transparencia de los servicios de dichas entidades financieras. 5. Que las IFC tengan a disposición de los inversionistas que estén participando en las operaciones, la información acerca del comportamiento de pago del solicitante de financiamiento, de su desempeño o cualquier otra que sea relevante. Para lo cual, se establece el contenido de la información, así como su forma y periodicidad de revelación, a fin de que los inversionistas cuenten en todo momento elementos e valoración que les permita tomar decisiones sobre sus inversiones y, de ser el caso, dar continuidad a la operación en la que hayan participado. 6. Que la CNBV cuente con la información correspondiente a las actividades y operaciones de las instituciones de tecnología financiera, la cual será proporcionada a mediante reportes, y señalando al responsable de su envío y de la calidad de su contenido, así como los plazos y medios para su presentación. Como se ha indicado, actualmente no existe un marco jurídico secundario en las materias objeto de la presente Propuesta Regulatoria, por lo cual, con la entrada en vigor de la Resolución Modificatoria se persigue que el mercado de las tecnologías financieras se desarrolle de manera ordenada con un marco jurídico apegado a las mejores prácticas nacionales e internacionales, buscando así condiciones homogéneas con el resto de las entidades financieras, al igual que una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y cuidar, en virtud de que la industria de tecnología financiera permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios.

2. Describa la problemática o situación que da origen a la intervención gubernamental a través de la regulación propuesta: *

Como se ha expuesto a lo largo del presente AIR, la Propuesta Regulatoria surge principalmente por la falta de marco secundario aplicable a las IFC como destinatarias de la norma en las materias señaladas, y para la elaboración de las normas que esta CNBV está proponiendo se tomó en consideración la regulación aplicable a otras entidades del sistema financiero, así como los principios contenidos en la propia LRITF relativos a la innovación financiera, competencia e inclusión financiera para que, en atención a ello, se fomente por un lado el crecimiento de las IFC, y por otro se evite que, a través de estas nuevas entidades financieras, se lleven a cabo operaciones con estándares regulatorios distintos a los aplicables a otras instituciones financieras que realizan actividades similares; lo anterior, en protección de los intereses de los clientes de las IFC, al igual que del sistema financiero en su conjunto y, sobre todo, para preservar la estabilidad y correcto funcionamiento de la operación y servicios que prestan dichas IFC. Adicionalmente a la problemática o situación que se pretende atender, también es de destacarse que, por la carencia del marco secundario descrito en el párrafo anterior: i) las operaciones y servicios que se celebran mediante las IFC no pueden desarrollarse de manera adecuada por la incertidumbre jurídica que se deriva de dicha carencia; ii) nuevos participantes que desean incorporarse a esta innovadora forma de prestar servicios financieros a través de soluciones tecnológicas, se vean desalentados, y iii) no es posible tomar medidas necesarias en aras de prevenir la realización de operaciones con recursos de procedencia ilícita.

3. Indique el tipo de ordenamiento jurídico propuesto: *

Disposiciones de carácter general.

Asimismo, señale si existen disposiciones jurídicas vigentes directamente aplicables a la problemática materia del anteproyecto. Enumérelas y explique por qué son insuficientes para atender la problemática identificada:

Disposiciones jurídicas vigentes^#1 Ante la inexistencia de disposiciones jurídicas vigentes aplicables a la problemática expuesta, la Resolución Modificatoria materia del presente AIR constituirá la regulación secundaria por virtud del cual se determinará el marco normativo tendiente a mantener el sano desarrollo, estabilidad y crecimiento del sistema financiero mexicano, atendiendo al mandato que la LRITF otorga a la CNBV, concretamente en sus artículos 18, fracción IV; 48, primer, párrafo; 54, primer párrafo y 56, segundo párrafo. En este entendido, con la entrada en vigor de la Resolución Modificatoria se persigue que el mercado de las tecnologías financieras se desarrolle con el mejor estándar, buscando así paridad de condiciones y una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y preservar, en virtud de que la industria en análisis permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera, así como la reducción de costos y mejora en la prestación de dichos servicios.

Apartado II.- Identificación de las posibles alternativas a la regulación

4. Señale y compare las alternativas con que se podría resolver la problemática que fueron evaluadas, incluyendo la opción de no emitir la regulación. Asimismo, indique para cada una de las alternativas consideradas una estimación de los costos y beneficios que implicaría su instrumentación:

Alternativas^#1 Esquemas de autorregulación Descripción de las alternativas y estimación de los costos y beneficios^#1 Como se ha expuesto en los párrafos que anteceden, la regulación es una de las principales funciones de todo Gobierno, así como el principal instrumento mediante el cual promueve el bienestar social y económico. La calidad de la regulación y del proceso de diseño e implementación de sus políticas es un factor clave para lograr estabilidad macroeconómica, el incremento en el empleo, la calidad en los servicios sociales, la innovación y desarrollo empresarial, entre otros. Además, la CNBV tiene por mandato de ley supervisar y regular en el ámbito de su competencia a las entidades integrantes del sistema financiero mexicano.
Alternativas^#2 Esquemas voluntarios Descripción de las alternativas y estimación de los costos y beneficios^#2 No es factible la existencia de esquemas voluntarios toda vez que la propia LRITF, en sus artículos 18, fracción IV; 48, primer párrafo; 49, primer párrafo; 54, primer párrafo, y 56, segundo párrafo establece que la CNBV será la autoridad competente para expedir las disposiciones de carácter general relativas a las materias de la presente Propuesta Regulatoria.
Alternativas^#3 Incentivos económicos Descripción de las alternativas y estimación de los costos y beneficios^#3 No se estimó viable la emisión de un esquema de incentivos económicos, pues las disposiciones materia de la presente Propuesta Regulatoria, versan sobre facultades de la CNBV previstas en la LRITF, por lo que el cumplimiento a las leyes no puede estar supeditado a la obtención de un beneficio económico por parte de los particulares.
Alternativas^#4 No emitir regulación alguna Descripción de las alternativas y estimación de los costos y beneficios^#4 No emitir regulación alguna no es una alternativa viable, en razón de que existe potestad prevista en la LRITF para que la CNBV emita, respecto de las IFC, disposiciones de carácter general en las materias objeto de la Propuesta Regulatoria. En este sentido, es necesario emitir la regulación correspondiente a fin de evitar lagunas jurídicas, al tiempo que se promueve un marco normativo completo y actual, que brinde certeza jurídica y permita un sano desarrollo del sistema financiero mexicano. Cabe señalar que, el Congreso de Unión otorgó a la CNBV plazos diversos para la expedición de la normatividad secundaria, los cuales son de 6, 12 y 24 meses, y las materias que conforman la Propuesta Regulatoria son aquellas con plazo de expedición de 12 meses.
Alternativas^#5 Otro tipo de regulación Descripción de las alternativas y estimación de los costos y beneficios^#5 No se consideró adecuada la emisión de otro tipo de regulación ya que, como se ha señalado anteriormente, la Propuesta Regulatoria es el instrumento jurídico mediante el cual la CNBV cumple con el mandato de la LRITF al ejercer su facultad para emitir la regulación aplicable para las IFC. En tal virtud, la emisión de otro tipo de regulación daría lugar a incertidumbre jurídica y se perdería el orden normativo que prevalece con la Resolución Modificatoria que se emite con la presente Propuesta Regulatoria y que, además, permite la existencia de un sistema financiero mexicano ordenado, seguro y eficiente en protección de los intereses de las destinatarias de la norma y de los clientes de las IFC.

5. Justifique las razones por las que la regulación propuesta es considerada la mejor opción para atender la problemática señalada: *

La Propuesta Regulatoria objeto del presente AIR se considera la mejor opción para atender la situación señalada, ya que permitirá que las IFC, como destinatarias de la norma, cuenten con un marco secundario que genere que el mercado de las tecnologías financieras se desarrolle con el mejor estándar, buscando una competencia sana y equilibrada, tomando en cuenta que esta última es uno de los factores clave que se pretende impulsar y preservar, en virtud de que la industria de tecnología financiera permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, así como la reducción de costos y mejora en la prestación de dichos servicios, sin dejar de lado el impulso en la inclusión financiera para todos los sectores de la población. Adicionalmente, se consideró conveniente normar las obligaciones para las IFC a nivel reglas secundarias, como es el caso de la Propuesta Regulatoria, porque con la promulgación de la LRITF se atendió la necesidad de otorgarle un marco jurídico a las actividades financieras que se venían realizando, mientras que a las autoridades financieras se les estarían otorgando facultades para regular la mayoría de las obligaciones en disposiciones secundarias con el objetivo de tener un marco flexible, susceptible de modificaciones periódicas en atención a la evolución de las necesidades de la industria de las tecnologías financieras. En cuanto a la normatividad secundaria, la experiencia internacional arroja que países como España, Canadá, India, Argentina, Estado Unidos de Norte América, Reino Unido e Israel ya han desarrollado reglas similares a las contenidas en Propuesta Regulatoria, con la finalidad de contar con un marco susceptible de modificarse de cuando en cuando. Véase: España: Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, https://www.boe.es/boe/dias/2015/04/28/pdfs/BOE-A-2015-4607.pdf Canadá: Multilateral Instrument 45-108 Crowdfunding, http://www.osc.gov.on.ca/en/SecuritiesLaw_mi_20160114_45-108_crowdfunding.htm India: Peer to Peer Lending Platform (Reserve Bank) Directions, 2017 , Reserve Bank of India, Argentina: Reglamentación Argentina, http://www.cnv.gob.ar/LeyesyReg/CNV/esp/RGCRGN700.htm Estados Unidos de Norteamérica, Regulation Crowdfunding, https://www.sec.gov/rules/final/2015/33-9974.pdf Reino Unido y Canadá: Review of Crowdfunding Regulation 2017, http://eurocrowd.org/wp-content/blogs.dir/sites/85/2017/10/ECN_Review_of_Crowdfunding_Regulation_2017.pdf

Apartado III.- Impacto de la regulación

6. ¿La regulación propuesta crea, modifica o elimina trámites?:

Accion^#1* Crea Tipo^#1* Conservación Vigencia^#1* Seis meses o tres años Medio de presentación^#1* NO APLICA Requisitos^#1* Información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por los usuarios de la infraestructura tecnológica. Población a la que impacta^#1* Instituciones de financiamiento colectivo. Ficta^#1* No aplica Plazo^#1* NO APLICA Justificación^#1 (Artículo 63, fracción VIII, último párrafo de la Propuesta Regulatoria) Con el fin de asegurar que la CNBV tenga conocimiento y pueda ejercer su facultad de vigilancia de los accesos o intentos de acceso y las actividades efectuadas por los usuarios de la infraestructura tecnológica de las IFC, estas estarán obligadas a conservar los registros de auditoría que incluyan los accesos o intentos de acceso y la operación de los usuarios de la infraestructura cuando dichos registros se refieran a actividades realizadas sobre componentes que procesen o almacenen información considerada como crítica por la IFC, durante al menos tres años, tratándose de otros accesos la conservación se realizará por al menos seis meses. Nombre del trámite^#1 Conservación de registro de accesos y actividades de los usuarios de la infraestructura tecnológica. Homoclave^#1* No aplica por tratarse de un trámite nuevo.
Accion^#2* Crea Tipo^#2* Obligación Vigencia^#2* Indefinida Medio de presentación^#2* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#2* Conclusiones de las pruebas de penetración en los sistemas y aplicativos de la institución, las cuales deberá notificarse dentro de los siguientes veinte días hábiles de haberse finalizado dichas pruebas. Población a la que impacta^#2* Instituciones de financiamiento colectivo. Ficta^#2* No aplica Plazo^#2* NO APLICA Justificación^#2 (Artículo 64, fracción IV, último párrafo de la Propuesta Regulatoria) Con el fin de preservar la estabilidad financiera de las IFC y el patrimonio e información de estas y de sus clientes, así como para detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga en riesgo la información y patrimonio de los clientes y de las propias IFC, al igual que para verificar la integridad de los componentes de hardware y software que permitan detectar alteraciones de estos, es necesario que la CNBV tenga conocimiento de las pruebas de penetración realizadas en los sistemas y aplicativos de las IFC y, por ende, de las vulnerabilidades detectadas por dichas IFC en estos. Nombre del trámite^#2 Notificación de conclusiones de pruebas de penetración. Homoclave^#2* No aplica por tratarse de un trámite nuevo.
Accion^#3* Crea Tipo^#3* Obligación Vigencia^#3* Indefinida Medio de presentación^#3* Escrito libre presentado ante la oficialía de partes de la CNBV Requisitos^#3* Indicar el personal responsable de la implementación y ejecución de los planes de remediación, los plazos en que se realizarán, las actividades llevadas a cabo y por realizar, así como los recursos técnicos, materiales y humanos que serán empleados. Población a la que impacta^#3* Instituciones de financiamiento colectivo Ficta^#3* No aplica Plazo^#3* NO APLICA Justificación^#3 (Artículo 64, fracción VI, segundo párrafo de la Propuesta Regulatoria). Con el fin de preservar la estabilidad financiera y operativa de las IFC, estas deberán enviar a la CNBV planes de remediación respecto de las vulnerabilidades que las IFC hayan detectado en sus sistemas y componentes críticos, previa la realización de escaneos y pruebas de penetración; de esta manera, la CNBV verificará que las vulnerabilidades halladas por las IFC se subsanarán y, de esta forma, se protegerán los intereses de sus usuarios. Nombre del trámite^#3 Notificación de planes de remediación sobre vulnerabilidades en componentes y sistemas críticos. Homoclave^#3* No aplica por tratarse de un trámite nuevo.
Accion^#4* Crea Tipo^#4* Obligación Vigencia^#4* Indefinida Medio de presentación^#4* Por escrito enviado a la dirección electrónica Ciberseguridad_CNBV@cnbv.gob.mx u otros medios que disponga la CNBV al efecto. Requisitos^#4* (1) Reportar incidentes de seguridad de la información que se presenten en: i) los componentes de la infraestructura tecnológica; ii) los canales de atención a clientes, tales como medios electrónicos, o iii) la infraestructura tecnológica de cualquier tercero que afecte la operación o la infraestructura tecnológica de las IFC; o (2) Reportar eventos de seguridad de la información sean clasificados como graves a juicio de la IFC. Población a la que impacta^#4* Instituciones de financiamiento colectivo. Ficta^#4* No aplica Plazo^#4* NO APLICA Justificación^#4 (Artículo 67, fracción I de la Propuesta Regulatoria) Con el fin de asegurar que la CNBV tenga conocimiento de los eventos de seguridad de la información graves e incidentes de seguridad de la información que se presenten en las IFC, se establece la obligación de notificar a la CNBV, de manera inmediata, cuando dichas contingencias tengan lugar, y así, esta autoridad pueda actuar en consecuencia, a fin de evitar que estos se repliquen hacia otras instituciones del sistema financiero. Para alcanzar lo anterior, es necesario también que, dentro de los siguientes cinco días de ocurridos incidentes de seguridad de la información, se envíe la información contenida en los Anexos 11 y 12 de la Propuesta Regulatoria. Asimismo, con el objetivo de información y prevención antes indicado, las IFC también deberán enviar a la CNBV el resultado de la investigación y el plan de trabajo, el cual debe ser elaborado por el director general o el administrador único de la IFC, incorporando las causas que generaron el incidente de seguridad de la información y estableciendo en un plan de trabajo las acciones a implementar para eliminar o mitigar los riesgos y vulnerabilidades que propiciaron el incidente. Nombre del trámite^#4 Notificación de incidentes de seguridad de la información. Homoclave^#4* No aplica por tratarse de un trámite nuevo.
Accion^#5* Crea Tipo^#5* Obligación Vigencia^#5* Indefinida Medio de presentación^#5* Escrito libre presentado ante la oficialía de partes de la CNBV Requisitos^#5* Indicar, al menos, el personal responsable del diseño del plan del trabajo, implementación, ejecución y seguimiento, plazos para su ejecución, así como los recursos técnicos, materiales y humanos que se emplearán al efecto. Población a la que impacta^#5* Instituciones de financiamiento colectivo. Ficta^#5* No aplica Plazo^#5* No aplica. Justificación^#5 (Artículo 67, fracción II de la Propuesta Regulatoria) Con el fin de preservar la estabilidad financiera de las IFC, así como el patrimonio e información de estas y de sus clientes, las IFC, al generarse un incidente de seguridad de la información, deberán elaborar un plan de trabajo en el que se detallen acciones a tomar a efecto de mitigar o eliminar los riesgos o vulnerabilidades que hayan dado margen al incidente de seguridad de la información y, de esta manera, asegurar que dicho incidente no permee al interior del sistema financiero. Nombre del trámite^#5 Notificación de plan de trabajo para eliminar o mitigar riesgos y vulnerabilidades que generen incidentes de seguridad de la información. Homoclave^#5* No aplica por tratarse de un trámite nuevo.
Accion^#6* Crea Tipo^#6* Conservación Vigencia^#6* 10 años. Medio de presentación^#6* No aplica. Requisitos^#6* i) Conservación de bases de datos de eventos de seguridad de la información calificados como graves por la IFC e incidentes de seguridad de la información, y ii) Incluir la información relacionada con la detección de fallas, errores operativos, intentos de ataques informáticos y aquellos efectivamente llevados a cabo, así como la pérdida, extracción, alteración, extravío o uso indebido de información de los usuarios de la infraestructura tecnológica en donde se contemple la fecha del suceso y descripción de este, duración, servicio o canal afectado, clientes afectados, montos y las medidas correctivas implementadas. Población a la que impacta^#6* Instituciones de financiamiento colectivo. Ficta^#6* No aplica Plazo^#6* No aplica. Justificación^#6 (Artículo 68 de la Propuesta Regulatoria) Con el fin de asegurar que, en el momento que así lo requiera, la CNBV tenga conocimiento de los eventos de seguridad de la información, incidentes de seguridad de la información, fallas o vulnerabilidades detectadas en la infraestructura tecnológica, las IFC estarán obligadas a conservar un registro de bases de datos de todos estos sucesos, así como de las medidas correctivas que hayan implementado en razón de los eventos, incidentes, fallas o vulnerabilidades detectadas; de esta manera, la CNBV puede llevar a cabo procedimientos de prevención para evitar que estos sucesos para evitar que se repitan o repliquen al interior del sistema financiero. Nombre del trámite^#6 Conservación de registro en bases de datos de incidentes, fallas o vulnerabilidades en la infraestructura tecnológica. Homoclave^#6* No aplica por tratarse de un trámite nuevo.
Accion^#7* Crea Tipo^#7* Beneficio Vigencia^#7* Indefinida. Medio de presentación^#7* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#7* Acreditar ante la CNBV que la tecnología utilizada resulta fiable para autenticar a sus clientes. Asimismo, la solicitud de autorización deberá contener: (i) La descripción detallada de los procesos relacionados con el uso de la tecnología utilizada; (ii) Evidencia que acredite el funcionamiento de dicha tecnología, así como que la tecnología utilizada presenta características similares o superiores en términos de calidad respecto de los factores de autenticación, y (iii) Evidencia de la aprobación de la tecnología, por el órgano de administración de la IFC. Población a la que impacta^#7* Instituciones de financiamiento colectivo. Ficta^#7* Negativa Plazo^#7* 90 días (Artículo 5 de la LRITF). Justificación^#7 (Artículo 73 de la Propuesta Regulatoria). El presente trámite prevé que las IFC podrán obtener autorización para utilizar factores de autenticación distintos a los de categoría 4, siempre y cuando se acredite de manera indubitable ante la CNBV que la tecnología utilizada resulta fiable para autenticar a sus Clientes. Lo anterior, considerando que la pérdida de datos o violación de estos implica un grave riesgo para cualquier tipo de industria. Además de los costos tangibles, como multas y honorarios legales, los efectos sobre la reputación pueden ser particularmente devastadores. Según American Banker, el 82 % de los clientes abandonaría una institución financiera si tuvieran una brecha de seguridad y el 74 % seleccionaría una entidad financiera basada en la reputación de la organización. La confianza es clave en el sector financiero. Esta necesidad de confianza y seguridad es un desafío siempre que se adoptan nuevas tecnologías. Aunque estos pueden traer importantes beneficios, también pueden crear vulnerabilidades o nuevos puntos de acceso para las partes malintencionadas que buscan información de clientes u otra información financiera delicada. No obstante lo anterior, también se busca fomentar la inclusión financiera, acercando los servicios financieros a personas y sectores que tradicionalmente no han sido parte del sistema financiero, promoviendo una mayor educación financiera y asesoría sobre estas nuevas alternativas. Como consecuencia, se busca generar innovación en la prestación de servicios financieros, a través de otorgar herramientas a las entidades financieras para propiciar un aumento en el uso de los servicios mencionados, al tiempo de preservar la estabilidad financiera mediante la implementación de un marco regulatorio general con reglas prudenciales proporcionales a los riesgos que representan en distintas materias, como son aquellos financieros, operacionales, de mercado y tecnológicos (ciber-seguridad), que de igual forma cuente con un rango de flexibilidad razonable que no implique una barrera al acceso o al a prestación de servicios financieros. Por dicha razón es que aquellas IFC que tengan intención de utilizar un factor de autenticación distinto a los de categoría 4 tendrán la posibilidad de solicitar autorización de la CNBV con la intención de acreditar que los medios que pretenden utilizar para autenticar a sus clientes no vulneran o ponen riesgo de ninguna manera la seguridad en las operaciones de sus clientes y que, al contrario, implican un beneficio para el sector financiero. Nombre del trámite^#7 Autorización para utilizar factores de autenticación distintos a los de categoría 4. Homoclave^#7* No aplica por tratarse de un trámite nuevo.
Accion^#8* Crea Tipo^#8* Obligación Vigencia^#8* Indefinida. Medio de presentación^#8* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#8* La solicitud de autorización debe estar acompañada de los siguientes requisitos enunciados en el Artículo 86 de la Propuesta Regulatoria: i) Descripción detallada de los servicios a contratar; ii) Documentación que acredite que el tercero cumplirá con mantener registros de auditoría, contar con políticas y procedimientos de control de acceso a la información y realizar revisiones de seguridad a los servicios contratados; iii) Proyecto de contrato de prestación de servicios que contemple las obligaciones mencionadas en los incisos a) a f) de la misma fracción; iv) Términos, condiciones y procesos para que el tercero garantice a la IFC la transferencia o devolución de la información sujeta al servicio contratado; v) Descripción de los controles de vigilancia del desempeño del tercero; vi) Descripción de los servicios que los terceros podrán subcontratar, ya sea parcial o totalmente; vii) Descripción de los mecanismos de control e interfaces, que permitan mantener la integridad de la información durante todo el proceso operativo; viii) Documentación respecto de la infraestructura tecnológica descritas en los incisos a) a h) de la fracción mencionada, entre las que se incluyen la descripción de las características técnicas de los sistemas, equipos y aplicaciones objeto de la contratación que contenga, al menos, lo señalado en el Anexo 14 de la Propuesta Regulatoria; ix) Documentación respecto a la seguridad de la información; x) Políticas y procedimientos relativos a la realización de auditorías internas o externas sobre la infraestructura tecnológica y controles, relacionados con el servicio contratado, al menos anualmente; xi) Descripción de los servicios de “Cómputo en la Nube”, y xii) Tratándose de la contratación de nubes públicas o de virtualización en infraestructura compartida con otros clientes, la descripción de los mecanismos de control que serán utilizados por la propia institución para garantizar la confidencialidad, integridad y disponibilidad de la denominada “Información Sensible”. Población a la que impacta^#8* Instituciones de financiamiento colectivo. Ficta^#8* Negativa Plazo^#8* 90 días (Artículo 5 de la LRITF). Justificación^#8 (Artículo 85 y Anexo 14 de la Propuesta Regulatoria). Resulta necesario que las IFC que contraten servicios con un tercero soliciten a la CNBV una autorización acompañada de la información necesaria, con la intención de verificar que el tercero que preste cualquiera de los servicios señalados en las Disposiciones aplicables a las instituciones de tecnología financiera (Disposiciones ITF) cumpla con los requisitos necesarios para prestar un servicio de calidad y que la prestación de esos servicios no va a poner en peligro el buen funcionamiento de la IFC; asimismo la información que contienen estos documentos es esencial para que la CNBV realice sus labores de supervisión adecuadamente. Al incorporar estas normas al marco jurídico aplicable a las IFC, se logra disminuir el riesgo tecnológico que pudieran tener los servicios en nube si se alojaran en jurisdicciones sujetas a regulación distinta de la aplicable a las IFC mexicanas. Para alcanzar lo anterior, la Propuesta Regulatoria prevé políticas y procedimientos para seleccionar y contratar al tercero, o bien, para supervisar los servicios contratados, al igual que mecanismos que permitan contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF. Nombre del trámite^#8 Autorización para que las instituciones de financiamiento colectivo contraten servicios con terceros. Homoclave^#8* No aplica por tratarse de un trámite nuevo.
Accion^#9* Crea Tipo^#9* Obligación Vigencia^#9* Indefinida. Medio de presentación^#9* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#9* El contrato, que deberá presentarse 5 días hábiles posteriores a su celebración, deberá apegarse a lo siguiente: i) Prever las obligaciones de la IFC y del tercero, incluyendo la determinación sobre la propiedad intelectual respecto de los diseños, desarrollos o procesos utilizados para la prestación del servicio; ii) Estar redactado en idioma español; iii) Aceptación expresa del tercero para: a) Apegarse a lo previsto en el artículo 54 de la LRITF; b) Entregar, en el desarrollo de una auditoría y a solicitud de la IFC, al auditor externo independiente de la propia IFC y a la CNBV, los libros, sistemas, registros, manuales y documentos en general, relacionados con la prestación del servicio de que se trate, así como al auditor externo independiente o al personal de la CNBV el acceso a sus oficinas e instalaciones en general, relacionadas con la prestación del servicio en cuestión; c) Informar a la IFC respecto de cualquier modificación a su objeto social o cualquier otro cambio que pudiera afectar la prestación del servicio objeto de la contratación con, por lo menos, treinta días de anticipación a que suceda dicha modificación o cambio; d) Guardar confidencialidad respecto de la información que haya sido recibida, transmitida, procesada o almacenada durante la prestación de los servicios, al igual que aceptar que dicha información solamente pueda usarse y explotarse para los fines pactados en la prestación del servicio; e) Ajustarse a las condiciones establecidas por la IFC para efectuar la subcontratación parcial o total de los servicios, cuando así se haya permitido, y f) Presentar, dentro del periodo que la IFC establezca, un plan de migración de información que contenga términos, condiciones y procesos para que el tercero garantice a la propia IFC la transferencia, devolución o eliminación segura de la información sujeta al servicio contratado cuando deje de prestarlo. Población a la que impacta^#9* Instituciones de financiamiento colectivo. Ficta^#9* No aplica Plazo^#9* No aplica. Justificación^#9 (Artículos 86, fracción III y 87, fracción V de la Propuesta Regulatoria). La presentación del contrato de prestación de servicios ante la CNBV, tiene como objetivo que esta autoridad cuente con la información necesaria para realizar una adecuada supervisión de los términos y condiciones de la contratación con terceros que prestan estos servicios tecnológicos, por lo anterior, la Propuesta Regulatoria persigue disminuir el riesgo tecnológico que pudieran tener los servicios contratados si se alojaran en jurisdicciones sujetas a regulación diferente de la aplicables a IFC mexicanas. En tal virtud, se proponen mecanismos para contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF. Nombre del trámite^#9 Presentación del contrato de prestación de servicios con terceros. Homoclave^#9* No aplica por tratarse de un trámite nuevo.
Accion^#10* Crea Tipo^#10* Obligación Vigencia^#10* Indefinida Medio de presentación^#10* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#10* Se presentará, dentro de los diez días hábiles posteriores a las modificaciones, cuando se considere que estas tienen un impacto en cuanto al servicio proporcionado o que estén relacionadas con los sistemas, equipos y aplicaciones objeto de la contratación o con sus características técnicas, de las descritas en el inciso e) de la fracción VIII del artículo 86 de la Propuesta Regulatoria. Población a la que impacta^#10* Instituciones de financiamiento colectivo Ficta^#10* No aplica Plazo^#10* No aplica Justificación^#10 (Artículo 87, fracción IX de la Propuesta Regulatoria). La entrega de las modificaciones a que se refiere el presente trámite tiene como finalidad que la CNBV, conozca en todo momento los términos y condiciones de las contrataciones realizadas con terceros que pudieran tener algún impacto en cuanto al servicio proporcionado o que estén relacionadas con los sistemas, equipos y aplicaciones objeto de la contratación o con sus características técnicas, lo que generaría certeza jurídica a las destinatarias de la norma, disminuyendo el riesgo tecnológico que pudieran tener los servicios contratados si se alojaran en jurisdicciones sujetas a regulación diferente de la aplicables a IFC mexicanas. En tal virtud, se proponen mecanismos para contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF. Nombre del trámite^#10 Presentación de modificaciones que tengan impacto en el servicio proporcionado por terceros. Homoclave^#10* No aplica por tratarse de un trámite nuevo.
Accion^#11* Crea Tipo^#11* Obligación Vigencia^#11* Indefinida. Medio de presentación^#11* Escrito libre presentado ante la oficialía de partes de la CNBV. Requisitos^#11* El padrón de prestadores de servicios, que deberá presentarse dentro del primer trimestre de cada año, deberá estar suscrito por el órgano de administración, e incluir la siguiente información: i) Nombre, denominación o razón social del prestador de servicios; ii) Nombres del representante legal del prestador de servicios ; iii) Descripción del servicio, proceso operativo o sistema contratado con el tercero, incluyendo los datos o información que, en su caso, son almacenados o procesados por este; iv) En su caso, nombre del sistema que soporta el proceso operativo contratado con el tercero; v) En su caso, interfaces con otros sistemas y el propósito de estas, incluyendo el detalle de la información que intercambia; vi) Ubicación en donde se realiza el proceso y en donde se encuentra el personal responsable de llevarlo a cabo; vii) Ubicación del centro de datos principal en donde se encuentran los equipos de procesamiento del sistema contratado; viii) Ubicación del centro de datos alterno en donde se encuentran los equipos de procesamiento, en caso de recuperación del sistema informático contratado, y ix) En su caso, número y fecha del oficio con el que la CNBV otorgó la autorización en el momento en que cuenten con ella. Población a la que impacta^#11* Instituciones de financiamiento colectivo. Ficta^#11* No aplica Plazo^#11* No aplica Justificación^#11 (Artículo 88, último párrafo de la Propuesta Regulatoria). Resulta necesario que las IFC cuenten con un padrón de prestadores de servicios, que tenga la información necesaria para identificar a dichos prestadores, así como los términos y condiciones de los servicios que les prestarán a estas entidades; lo anterior, con el objetivo de que la CNBV cuente con los insumos necesarios para realizar sus labores de supervisión adecuadamente, además de que se generaría certeza jurídica a las destinatarias de la norma, disminuyendo el riesgo tecnológico. Nombre del trámite^#11 Presentación del padrón de prestadores de servicios. Homoclave^#11* No aplica por tratarse de un trámite nuevo.
Accion^#12* Crea Tipo^#12* Obligación Vigencia^#12* Indefinida. Medio de presentación^#12* A través del Sistema Institucional de Transferencia de Información (SITI) de la CNBV, y con la temporalidad indicada en los artículos 100 y 102 de la Propuesta Regulatoria. Requisitos^#12* Utilizando los reportes regulatorios contenidos en los Anexos 18 y 19 de las Disposiciones ITF. Población a la que impacta^#12* Instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico. Ficta^#12* No aplica Plazo^#12* No aplica. Justificación^#12 (Artículos 99 a 104 de la Propuesta Regulatoria). A fin de que la CNBV tenga conocimiento de la información relacionada con las operaciones y actividades llevadas a cabo los las IFC y las instituciones de fondos de pago electrónico, resulta necesario estas entidades envíen, según sea el caso, diariamente, mensualmente, trimestralmente o por evento, los diversos reportes regulatorios; lo anterior, permitirá que la CNBV, como autoridad supervisora, cuente con los insumos necesarios que le permitan llevar a cabo sus labores de inspección y vigilancia. Nombre del trámite^#12 Envío de reportes regulatorios. Homoclave^#12* No aplica por tratarse de un trámite nuevo.
Accion^#13* Crea Tipo^#13* Obligación Vigencia^#13* Indefinida. Medio de presentación^#13* A través de un correo electrónico a la dirección cesiti@cnbv.gob.mx. Requisitos^#13* indicar el nombre de la persona responsable de la calidad y envío de la información contenida en los reportes regulatorios, y en la forma señalada en el Anexo 20 de las Disposiciones ITF. Población a la que impacta^#13* Instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico. Ficta^#13* No aplica Plazo^#13* No aplica. Justificación^#13 (Artículo 104, cuarto párrafo y Anexo 20 de la Propuesta Regulatoria). A fin de que la CNBV tenga conocimiento de la persona o personas que serán responsables del envío de los reportes regulatorios y de la calidad de su contenido, y sea precisamente con estas personas con quien la CNBV tenga contacto para cualquier aclaración o ampliación de la información. Nombre del trámite^#13 Designación de responsables de envío de reportes regulatorios. Homoclave^#13* No aplica por tratarse de un trámite nuevo.

7. Seleccione las disposiciones, obligaciones y/o acciones distintas a los trámites que correspondan a la propuesta:

Obligaciones^#1* Otras Artículos aplicables^#1* Artículo 51, segundo párrafo de las Disposiciones ITF. Justificación^#1 Como una flexibilización para las IFC, se elimina el requisito de que los accionistas que tengan el control de la IFC actúen como avalistas, garantes o fiadores en cada uno de los préstamos o créditos, en el trámite de autorización para obtener créditos de los referidos en el artículo 19, fracción IV de la LRITF, los cuales tienen como destino compartir con los inversionistas los riesgos de los proyectos, subsistiendo únicamente el requisitos consisten en que la IFC acredite ante la CNBV que los términos de dichos préstamos o créditos no ponen en riesgo su solvencia y estabilidad financiera.
Obligaciones^#2* Establecen obligaciones Artículos aplicables^#2* Artículos 63; 64; 65, segundo párrafo, y 67, así como Anexos 11 y 12 de la Propuesta Regulatoria. Justificación^#2 La Propuesta Regulatoria plantea las obligaciones que tendrá el director general o, en su caso, el administrador único, respecto a la seguridad de la información, las cuales tienen como fin crear los controles internos con los que deberán contar las IFC para la protección de la información que tengan en su poder. Al efecto, se está proponiendo regular las funciones respecto de la infraestructura tecnológica, la salvaguarda de la confidencialidad, integridad y disponibilidad de la información de los usuarios de la infraestructura tecnológica contenida en aplicativos y sistemas, toda vez que repercute en la estabilidad financiera de la IFC, así como de sus clientes. Con lo anterior, se persigue evitar la fuga de información, el fortalecimiento de los activos tecnológicos para lograr la estabilidad de las IFC y salvaguardar a otras instituciones que integran el sistema financiero, al evitar que las vulnerabilidades en la infraestructura tecnológica detectados permeen hacia estas últimas.
Obligaciones^#3* Establecen obligaciones Artículos aplicables^#3* Artículos 65, 66 y Anexo 13 de la Propuesta Regulatoria. Justificación^#3 Es menester que exista una figura que vele por la seguridad de la información de las IFC y que asuma un rol activo en la búsqueda de vulnerabilidades en los sistemas para la detección de fallas, errores o vulnerabilidades en la infraestructura tecnológica que permita su identificación para crear medidas y procedimientos tendientes a evitar la materialización de un incidente de seguridad de la información y, de esta forma, preservar la estabilidad financiera de las IFC y de sus clientes, todo ello utilizando al efecto los lineamientos y criterios establecido en el Anexo 13 de la Propuesta Regulatoria. Cabe destacar que, el CISO puede ser designado como tal para varias entidades financieras que formen parte de consorcios o grupos empresariales.
Obligaciones^#4* Establecen obligaciones Artículos aplicables^#4* Artículos 69, 78 y 79 de la Propuesta Regulatoria. Justificación^#4 Los artículos en cuestión tienen como finalidad que las IFC transparenten en todo momento que las operaciones que se realicen mediante medios electrónicos cuentan con el soporte de procedimientos y mecanismos previamente desarrollados por las propias IFC, para que estas se desenvuelvan en un ambiente seguro que fomente el debido desarrollo del sistema financiero en su conjunto. Esto, mediante la constante comunicación entre las IFC y sus clientes, a efecto de que estos conozcan los riesgos y responsabilidad en la celebración de operaciones a través medios electrónicos antes y durante la celebración de estas, que los clientes sean notificados por las IFC al celebrar una operación de este tipo y que puedan conocer cualquier tipo de modificación a los términos y condiciones para el uso de medios electrónicos previo a la fecha en que las IFC pretendan aplicarlas. Lo anterior, con el propósito de proteger al consumidor, toda vez que el desarrollo de nuevas tecnologías y el avance de las existentes, generan nuevos riesgos y desafíos, por lo cual resulta conveniente establecer el marco jurídico específico que deberán observar las IFC, a fin de fortalecer la seguridad y confidencialidad de la información transmitida, almacenada o procesada a través de medios electrónicos, contando con mecanismos que controlen la integridad de dicha información.
Obligaciones^#5* Establecen obligaciones Artículos aplicables^#5* Artículos 71, 72, 76, 80 y 81 de la Propuesta Regulatoria. Justificación^#5 Los artículos que nos ocupan tienen como finalidad establecer los mecanismos de identificación y autenticación mediante los cuales las IFC puedan asegurarse de que los únicos que tendrán acceso a la sesión correspondiente para llevar a cabo operaciones a través de medios electrónicos sean los usuarios. Por dicha razón, resulta necesario establecer procedimientos y mecanismos que las IFC deberán utilizar para identificar a la persona que realiza operaciones a través de medios electrónicos, con el propósito de coadyuvar a prevenir, inhibir, mitigar y, en su caso, detectar alguna conducta ilícita que tuviera como fin la suplantación de identidad. En consistencia con lo señalado anteriormente y para efecto de otorgar certeza en la identidad de los posibles clientes de las IFC en la contratación, sin presencia física, de ciertas operaciones, se establece la forma y mecanismos para llevar a cabo la identificación de las personas en dichas contrataciones, considerando los estándares tecnológicos utilizados en otros países, ello con la intención de prevenir la realización de operaciones irregulares o ilegales que puedan resultar en una afectación a la situación financiera de las IFC o de sus clientes.
Obligaciones^#6* Establecen obligaciones Artículos aplicables^#6* Artículo 77 de la Propuesta Regulatoria. Justificación^#6 Mediante la incorporación del presente artículo se pretende que las IFC, previo a que sus clientes realicen operaciones mediante medios electrónicos, se aseguren de que la cuenta de destino haya sido registrada con anterioridad, con la intención de evitar afectaciones al patrimonio de las propias IFC o de sus clientes.
Obligaciones^#7* Establecen obligaciones Artículos aplicables^#7* Artículos 82 y 83 de la Propuesta Regulatoria. Justificación^#7 El objetivo de estos preceptos es hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las IFC y a la realización de operaciones con sus clientes. Por dicha razón, resulta conveniente establecer un marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como reforzar los controles internos con los que deberán contar, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, a fin de que cuenten con medidas específicas, tendientes a proteger su información, certeza en su operación y continuidad de los servicios.
Obligaciones^#8* Establecen obligaciones Artículos aplicables^#8* Artículo 84 de la Propuesta Regulatoria. Justificación^#8 Con la finalidad de que las IFC cuenten con personal calificado y apto para brindar a los usuarios soporte técnico y operacional, se establece la obligación para dichas entidades financieras de contratar al personal necesario a fin de que, en caso de alguna eventualidad, las IFC tengan los recursos humanos, tecnológicos y materiales para hacerle frente sin poner en riesgo la estabilidad de su patrimonio y el de sus clientes.
Obligaciones^#9* Establecen obligaciones Artículos aplicables^#9* Artículo 87 de la Propuesta Regulatoria. Justificación^#9 Resulta necesario, establecer las obligaciones adicionales que deben cumplir las IFC en materia de contratación de terceros que les presten servicios que sean objeto de autorización por parte de la CNBV, con la finalidad de evitar todo tipo de incertidumbre jurídica para las destinatarias de la norma en virtud de que saben con precisión cuáles obligaciones adicionales habrán de observar. Como ya se ha mencionado, actualmente no existe marco normativo que regule esta la materia, por lo que, al incorporar estas normas al marco jurídico aplicable a las IFC, se logran disminuir los riesgos tecnológicos, legales y de reputación de las IFC por incumplimientos en los servicios contratados; asimismo, se prevén los elementos para realizar una adecuada supervisión y los mecanismos que permitan contar con información detallada, actualizada y oportuna, y establecer los controles mínimos para la contratación de dichos proveedores, dando cumplimiento en todo momento a lo establecido por la LRITF.
Obligaciones^#10* Establecen obligaciones Artículos aplicables^#10* Artículo 89 de la Propuesta Regulatoria. Justificación^#10 La obligación para las IFC que contraten con terceros servicios relacionados con algún proceso operativo o tecnológico que contemple la transmisión, almacenamiento, procesamiento, resguardo y custodia de la información sensible o con la administración de sus bases de datos o sistemas informáticos, de integrar un expediente por cada uno de los terceros contratados, se prevé con la finalidad de que dichas entidades cuenten con información que demuestre que los terceros que contrataron cumplen con las disposiciones aplicables y, así, tener un control de dicha información, lo que facilita las labores de supervisión de la CNBV.
Obligaciones^#11* Establecen obligaciones Artículos aplicables^#11* Artículo 90 de la Propuesta Regulatoria. Justificación^#11 Que las IFC proporcionen a los posibles inversionistas la mayor cantidad de información posible a efecto de que estos puedan realizar inversiones informadas. Esto tiene relevancia considerando que los resultados del estudio “Beyond information: Disclosure, distracted attention, and investor behavior”, de Hillenbrand y Schmelzer, mostraron que las personas invirtieron en promedio 14 % más en aquellas instituciones en los que la información presenta elementos adicionales, respecto de aquellos en los que la información se presentaba de manera menos clara, lo cual podría generar un aumento en la cartera de clientes de las IFC, al tiempo en el que se protegen los intereses de sus clientes.
Obligaciones^#12* Establecen obligaciones Artículos aplicables^#12* Artículos 91, 92, 95 y Anexo 15 de la Propuesta Regulatoria. Justificación^#12 Con la incorporación de los artículos que nos ocupan, se promoverá la transparencia en las operaciones que celebren las IFC con sus clientes y posibles clientes, ya que se pone a su disposición toda la información relevante respecto de los proyectos de inversión, informando las ventajas, beneficios, riesgos y costos. Con lo anterior, se generará que los clientes adopten decisiones económicas más acertadas causando un aumento tanto en el patrimonio de estos como en los activos de las IFC, lo cual fomentará el crecimiento sostenido de este nuevo sector y del sistema financiero mexicano en su conjunto.
Obligaciones^#13* Establecen obligaciones Artículos aplicables^#13* Artículos 93, 96 y Anexo 16 de la Propuesta Regulatoria. Justificación^#13 Con la inserción de los artículos en cuestión, se atiende a las mejores prácticas financieras, considerando que las IFC, como profesionales en la materia, respecto de cada proyecto que promuevan en su plataforma, les sea exigible que velen tanto por sus intereses como por los de sus clientes, lo que se traducirá en el deber de facilitar información financiera completa y comprensible de los proyectos de inversión que estas publican a través de sus plataformas. Con lo anterior, se pretende garantizar el derecho de los clientes a seleccionar la IFC y el proyecto que mejor convenga a sus intereses, así como para que puedan seguir comparando otras ofertas del mercado, durante la vida de una operación, ya que, llegado el caso, puede resultarle interesante cancelar la operación en vigor y concertar otra nueva, más ventajosa, con otra IFC.
Obligaciones^#14* Establecen obligaciones Artículos aplicables^#14* Artículos 94 y 97 de la Propuesta Regulatoria. Justificación^#14 Con la inserción de los artículos que se indican se busca minimizar los riesgos que conlleva el que un posible inversionista no cuente con información adecuada y suficiente y consecuentemente, carezca de un adecuado entendimiento sobre la operación financiera que pretenda realizar con lo que se genere una falsa percepción de satisfacción de corto plazo, sin que entienda los riesgos o costos implícitos o no evidentes que a largo plazo afecten su patrimonio. De lo anterior, deviene la importancia de que los inversionistas cuenten con toda la información que les permita conocer de manera puntual cuáles son las características técnicas y de operación de los proyectos de inversión que las IFC promueven a través de sus plataformas, en particular de aquello que afectará el desempeño de su inversión, como lo es el nivel de tasa, las condiciones de contratación general y el nivel de riesgo.
Obligaciones^#15* Establecen obligaciones Artículos aplicables^#15* Artículo 98 y Anexo 17 de la Propuesta Regulatoria. Justificación^#15 El objetivo que se persigue es que las IFC pongan a disposición de sus clientes y posibles clientes la información estadística agregada por cada plataforma, permitiéndoles allegarse de información oportuna, comparable y estandarizada para evaluar la orientación de negocio y los resultados obtenidos por las IFC, para que de esta manera se encuentren en posición de tomar la mejor decisión para sus intereses y salvaguardando su patrimonio.
Obligaciones^#16* Establecen obligaciones Artículos aplicables^#16* 104, quinto, sexto y séptimo párrafos de la Propuesta Regulatoria. Justificación^#16 La posibilidad de cambiar las claves de acceso al SITI a las personas designadas por la IFC o la institución de fondos de pago electrónico como responsable del envío de los reportes regulatorios y de la calidad de su contenido, tienen como finalidad que la CNBV tenga certeza de la identidad de dichas personas designadas, en caso de que sea necesario sustituir a las originalmente designadas.
Obligaciones^#17* Otras Artículos aplicables^#17* Artículo 2, fracciones I, II, III, V, VII, VIII, IX, X, XI, XII, XIX, XX, XXI, XXVI, XXVII, XXX, XXXIV, XXXV, XXXVI y XXXIX, y 50, fracciones V, tercer párrafo de las Disposiciones ITF. Justificación^#17 Los cambios propuestos no representan una acción regulatoria en sí y, por tanto, no generan costo alguno para las instituciones de tecnología financiera; sin embargo, para que CONAMER cuente con toda la información soporte para su análisis respecto la Propuesta Regulatoria, se le manifiesta lo siguiente: 1. Se incorporaron 20 nuevas figuras y su correspondiente definición, ello con el fin de facilitar a las destinatarias de la norma el cumplimiento de sus obligaciones en términos de la mencionada sección. 2. Se ajustan las siguientes referencias normativas: a) Artículo 50, fracción V, tercer párrafo, para precisar que los inversionistas experimentados son los referidos ahora en el inciso d), fracción XXIII del artículo 2 de las Disposiciones ITF. b) Anexo 9 de la Disposiciones ITF, para precisar la fracción correlativa del artículo 2 de las Disposiciones ITF, debido a la inserción de las nuevas definiciones y consecuente cambio en el orden de su numeración.

9.1 Costos:

Grupo o industria al que le impacta la regulación^#1* Instituciones de tecnología financiera. Describa o estime los costos^#1* Como se indicó en el Apartado denominado “Calidad Regulatoria” del presente AIR, el 9 de marzo de 2018 se publicó en el DOF la LRITF. Esta ley tiene por objeto regular la prestación de servicios financieros a través de tecnología y mandata a las autoridades financieras, entre ellas a la CNBV, a emitir en plazos determinados regulación a fin de permitir la debida operación de las IFC, las cuales pueden dedicarse a la prestación de servicios consistentes en poner en contacto a solicitantes de financiamiento con inversionistas, a fin de que entre ellos se destinen recursos para el financiamiento de actividades; el financiamiento puede ser de deuda, de capital o de copropiedad o regalías. Necesariamente, las IFC deben incorporar el uso de aplicaciones informáticas, interfaces, páginas de Internet o cualquier otro medio de comunicación electrónica o digital. Así, es necesario resaltar que estas actividades de financiamiento deben prestarse invariablemente a través de tecnología y ello es una característica que distinguirá la prestación de estos servicios. Ahora bien, por lo que toca a la emisión de la regulación que compete a la CNBV, el Congreso de la Unión mandató que ciertas reglas deben emitirse en un plazo de 12 meses contados a partir de la entrada en vigor de la citada Ley. En este orden de ideas, es indispensable hacer del conocimiento de CONAMER que las reglas serán aplicables a un sector de reciente creación e incorporación al sistema financiero y respecto del cual esta CNBV carece de información suficiente a fin de estimar los posibles costos de cumplimiento de su aplicación, ello debido a que se desconoce el número de entidades que lo conforman, pues las sociedades actualmente interesadas en constituirse como IFC se encuentran realizando o por realizar las gestiones conducentes a obtener la autorización que al efecto podrá otorgar la CNBV. Dicho de otra manera, a diferencia de los sectores actualmente regulados por la CNBV, respecto de los cuales existe una estrecha interrelación, así como flujo continuo de información, esta autoridad desconoce el número total de las entidades que eventualmente conformarán este nuevo sector y no cuenta con las facultades y mecanismos suficientes para poder estimar el costo de la implementación de la regulación. No obstante lo anterior, debe hacerse énfasis en que la CNBV estima que los costos de cumplimiento no serán significativos por una sencilla razón: las IFC usan tecnología, lo cual hace sus procesos altamente escalables, más económicos y la prestación de sus servicios más transparente y estandarizada. Incluso, la LRITF no les impone obligaciones en relación con su estructura de gobierno corporativo. Es imperante establecer que este sector será de los conformados por las llamadas start-ups y eso se tomó en cuenta en el diseño de la regulación que con anterioridad dictaminó CONAMER y la complementaria que ahora se presenta a esa autoridad. Todo ello en beneficio del propio sector y de sus clientes. Ahora bien, para el análisis de los costos de cumplimiento de la regulación, y con el fin de coadyuvar a CONAMER, la CNBV consideró la información pública que existe, así como los costos de cumplimiento que para otras entidades financieras ha llegado a representar la implementación de regulación similar. Considerando todo lo anterior, esta CNBV presenta los posibles costos de cumplimiento, habiendo realizado un ejercicio de aproximación en relación con el número hipotético de 21 IFC, lo que no significa que ese será el definitivo de entidades que conformarán este sector. Cabe destacar que este número es la media más 1 del propuesto por la CNBV de 41 instituciones de tecnología financiera –conformadas por IFC e instituciones de fondos de pago electrónico- en el AIR que se sometió a dictamen de CONAMER para la expedición de las disposiciones de carácter general con plazo de expedición de 6 meses, la cual obra en el expediente número 05/0082/070818. Véase: http://www.cofemersimir.gob.mx/portales/resumen/45920# VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”.

8. ¿La propuesta de regulación contempla esquemas que impactan de manera diferenciada a sectores o agentes económicos?: *

No, la propuesta no contempla esquemas que impactan de manera diferenciada a sectores o agentes económicos, ya que las disposiciones deberán ser observadas por todas las IFC de forma general y en igualdad de circunstancias.

9. Proporcione la estimación de los costos y beneficios que supone la regulación para cada particular o grupo de particulares:

9.2 Beneficios:

Grupo o industria al que le impacta la regulación^#1 Describa de manera general los beneficios que implica la regulación propuesta^#1* Instituciones de tecnología financiera. Como se ha indicado, por tratarse de un sector de reciente creación, la CNBV carece de información que le permita obtener una monetización de los beneficios que conllevaría la implementación de la Propuesta Regulatoria; no obstante lo anterior, en el anexo denominado “Monetización costos y beneficios”, se describen de manera cualitativa, y en los casos en que procedió, cualitativamente, los beneficios solicitados. Proporcione la estimación monetizada de los beneficios que implica la regulación^#1* VÉASE: ANEXO “MONETIZACIÓN COSTOS Y BENEFICIOS”.

10. Justifique que los beneficios de la regulación son superiores a sus costos: *

La CNBV considera que los beneficios serán notoriamente superiores, desde el punto de vista cualitativo, a cualquier costo monetario que pudiera generar la implementación de la Propuesta Regulatoria debido a que: 1. Traerá como resultado un ordenamiento del mercado en el que operarán las IFC, debido a que se tendrán normas claras para los participantes que generarán certidumbre y seguridad jurídica, que incentivarán la realización de nuevos negocios. 2. Cimentará las condiciones de seguridad y certeza que permitirán a los solicitantes de financiamiento y a los inversionistas realizar nuevos negocios, utilizar la innovación financiera y generar con ello mayores ganancias, al mismo tiempo que se apoya la inclusión financiera al ampliarse la base de personas que utilizarán servicios financieros. 3. Generará mayor confianza a los clientes de las IFC, tal como ahora se advierte en las entidades supervisadas, al gozar de mayor confianza. 4. Permitirá que más personas tengan acceso a servicios financieros debidamente regulados y que incremente el contacto entre oferentes y demandantes de recursos, con una reducción en los costos de los productos y servicios financieros, toda vez que el uso de la tecnología genera mayor competencia y mejores precios por los servicios, siempre en beneficio de los clientes de las IFC. 5. La CNBV contará con un marco secundario que le permitirá, a través de sus facultades de supervisión, detectar posibles riesgos tecnológicos, legales y de reputación que impidan el correcto funcionamiento de las IFC. 6. Las IFC se desarrollarán en un ambiente adecuado y competitivo con apego a lo previsto en la LRITF. 7. Se atenderá el dinamismo y crecimiento inherente al sector de las IFC, así como su consecuente fortalecimiento y encauce normativos. 8. Se permitirá mayor diversidad y nuevos canales de distribución de servicios financieros, promoviendo una mayor inclusión financiera dirigida al público que requiere instrumentos innovadores para invertir o solicitar financiamiento. 9. Las IFC estarán en condiciones de hacer frente a riesgos y ataques que pudieran ocasionarles afectaciones a ellas y a la realización de operaciones con sus clientes, contando con medidas específicas para proteger su información, otorgar certeza en su operación y continuidad de los servicios. 10. Se regulará el funcionamiento y uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que componen su infraestructura tecnológica, cumpliendo con los principios de neutralidad tecnológica y protección al consumidor establecidos en la LRITF. 11. Las IFC están en condiciones jurídicas de pactar con terceros la prestación de servicios necesarios para su operación, así como aquellos servicios que requerirán de la autorización de la propia CNBV, tomando en cuenta para ello la debida protección de la información sensible de los clientes de estas entidades financieras. 12. Los clientes de las IFC contarán con información necesaria para identificar los riesgos en que incurren por la celebración de operaciones y la toma de decisiones de inversión. 13. Las IFC pondrán a disposición del público en general y, en especial, de los inversionistas que estén participando en las operaciones, la información acerca del comportamiento de pago del solicitante de financiamiento, de su desempeño o cualquier otra que sea relevante. 14. Que la CNBV cuente con la información correspondiente a las actividades y operaciones de las instituciones de tecnología financiera, la cual será proporcionada a mediante reportes regulatorios.

Apartado IV. Cumplimiento y aplicación de la propuesta

11. Describa la forma y/o los mecanismos a través de los cuales se implementará la regulación (incluya recursos públicos): *

La implementación de la Propuesta Regulatoria se llevará a cabo a través de su publicación en el DOF y sin que se requiera de un programa en particular por parte de la CNBV para tal fin.

Apartado V. Evaluación de la propuesta

13. Describa la forma y los medios a través de los cuales se evaluará el logro de los objetivos de la regulación: *

La CNBV evaluará el logro de los objetivos de la regulación a través del ejercicio de las atribuciones en materia de inspección y vigilancia, tales como el análisis de la información y documentación que presenten las destinatarias de la norma en su solicitud de autorización ante esta autoridad.

Apartado VI. Consulta pública

14. ¿Se consultó a las partes y/o grupos interesados para la elaboración de la regulación?: *

Mecanismo mediante el cual se realizó la consulta^#1* Circulación del borrador a grupos o personas interesadas y recepción de comentarios Señale el nombre del particular o el grupo interesado^#1* Integrantes del sector de instituciones de tecnología financiera en México. Describa brevemente la opinión del particular o grupo interesado^#1 Se incluyó en la Propuesta Regulatoria.

15. Indique las propuestas que se incluyeron en la regulación como resultado de las consultas realizadas:

Se contienen en la Propuesta Regulatoria.

Apartado VII. Anexos

Archivo que contiene la regulación:

20190207150248_46878_Acuerdo 1X1.docx

20190207150345_46878_Monetización costos vs. beneficios.docx

Manual

COMISIÓN NACIONAL DE MEJORA REGULATORIA

Reporte de fallas o problemas técnicos a: soportetics@conamer.gob.mx

Calle Frontera 16, Colonia Roma Norte, Alcaldía Cuauhtémoc, 06700 Ciudad de México
Tel. (55) 5629-9500 ext. 22602.
Aviso de Privacidad

Sistema de Manifestación de Impacto Regulatorio

AIR de impacto Moderado

Indique el (los) supuesto (s) de calidad para la emisión de regulación en términos del artículo 3 del Acuerdo de Calidad Regulatoria.

Confirmar cuenta