Los presentes son comentarios al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera que se emiten en nombre de Stripe Payments México, S. de R.L. de C.V. ("Stripe"). Se reconoce el esfuerzo de las autoridades mexicanas por generar una base sólida basada en las buenas prácticas para las instituciones de fondos de pago electrónico (IFPE). Sin embargo, preocupa el nivel de detalle y contenido prescriptivo de los preceptos, los cuales podrán tener como consecuencia un alto costo de cumplimiento para las empresas de tecnología financiera (Fintech), en detrimento del desarrollo de productos y servicios que fomenten el acceso a la economía digital, el desarrollo del comercio electrónico y la inclusión financiera en México. En ese sentido, se reitera que existe un gran interés y oportunidad para que las Fintech en México tengan un impacto relevante en la economía nacional y sean un aliado del gobierno en las metas de desarrollo e inclusión financiera que se han planteado. Para que esto se haga una realidad, el marco regulatorio debería servir como un catalizador mediante el establecimiento de objetivos claros (basada en principios) y no previendo de forma detallada el cómo las Fintech se deben organizan al interior para llegar a esos objetivos. Una regulación basada en principios fomentaría la innovación, el uso de nuevas tecnologías y reduciría los costos de cumplimiento normativo. Es particularmente importante el papel que pueden jugar las Fintech en el contexto actual de México y del mundo, en el cual la pandemia ocasionada por COVID-19 ha causado que la mayoría de la economía presencial se detenga como medida sanitaria. Esta experiencia está demostrando la relevancia del comercio electrónico y la importancia de contar con medios pago electrónicos como la alternativa para que la población adquiera productos y servicios, así como para que pequeños y medianos comerciantes puedan subsistir. Dada la coyuntura, se estima las IFPE ofrecen una alternativa viable para que el sector de la población que no es parte del sistema financiero (cerca del 50%), se incorpore al mismo de manera ágil, remota y flexible a través de sus dispositivos móviles, y de esta manera puedan realizar transacciones digitales. Comentarios Generales al Anteproyecto El Anteproyecto sigue la estructura y preceptos prevista para las Instituciones de Financiamiento Colectivo en la Circular Única de Instituciones de Tecnología Financiera (CUITF), lo cual facilitará la adecuación de los manuales y procedimientos dado que dichas normas sirvieron de referencia para la empresas que se encuentran operando bajo el Octavo Transitorio de la Ley para Regular las Instituciones de Tecnología Financiera (Ley) y presentaron solicitudes de autorización como IFPE dentro del plazo legal. No obstante lo anterior, se observa que las reglas en general son muy detalladas y prescriptivas, lo cual genera preocupaciones relacionadas con el costo operativo, el costo legal y la carga relacionada con adecuar productos y procesos exprofeso al cumplimiento normativo y en perjuicio de la innovación, la experiencia del usuario y el desarrollo de nuevos productos. De tal forma, se sigue observando que la regulación es desproporcionada respecto a los posibles riesgos que pueden generar las IFPE y, en consecuencia, seguirá siendo un obstáculo para el desarrollo del sector. Comentarios Particulares Periodo transitorio entrada en vigor del anteproyecto: Toda vez que las empresas que solicitaron la autorización como IFPE al amparo de la Disposición Transitoria Octava de la Ley lo hicieron bajo supuesto de la falta de la normatividad correspondiente a dichas entidades, se solicita a las autoridades incluir un periodo transitorio suficiente para hacer los ajustes necesarios a la operación y documentación presentada como parte de las solicitudes de autorización correspondientes. Adicionalmente, a la luz de la pandemia mundial del Covid-19 referida anteriormente y la incertidumbre respecto sus posibles impactos en la economía en los siguientes meses, se solicita el periodo transitorio a fin de poder adoptar las medidas necesarias para hacer frente a la situación y garantizar continuidad de las IFPE, sin tener que dedicar recursos limitados a realizar modificaciones a los procesos y documentación presentada. Al efecto, considerando nuestras estimaciones iniciales, se solicita a las autoridades prevean como fecha de entrada en vigor 12 meses, contados a partir de la fecha de la publicación de la regulación en el Diario Oficial de la Federación. Contratación de terceros y uso de servicios en la nube: Vemos como una señal positiva que se reconozca a nivel regulatorio la posibilidad de operar con proveedores en la nube. Muchas de las funcionalidades y capacidades de empresas de tecnología se sustentan en poder apalancar sus desarrollos y productos en la capacidad ofrecida por proveedores de clase mundial. Además de la importancia de centrar los esfuerzos en garantizar la correcta contratación y supervisión de los proveedores en la nube, particularmente por lo que se refiere a su continuidad y niveles de servicios. Comprendemos la motivación de las autoridades para regular la contratación de los proveedores de servicios. Sin embargo, los requisitos que se incluyen en el Anteproyecto para la contratación de estos terceros hará muy oneroso y tardío el proceso y compleja la administración de dichos proveedores. Lo anterior si consideramos que en la práctica los proveedores de cómputo en la nube son: a) empresas globales cuyos servicios son ofrecidos de forma masiva (contratos de marco de adhesión utilizados en diversos países), sin que exista un posibilidad de negociar los términos y condiciones de la contratación, tomando en cuenta que cualquier ajuste tiene que ser aprobado por equipos de cumplimiento globales, conformados por miembros de distintas jurisdicciones. A manera de ejemplo, Amazon Web Services (AWS) ofrece servicios de nube en 190 países, con un contrato marco de adhesión que no puede ajustarse sin aprobación previa de sus equipos comerciales y de cumplimiento regulatorio globales; y b) empresas sólidas y robustas que están dedicadas a brindar certeza a sus usuarios, basándose en estrictos controles de continuidad, confidencialidad y protección de datos personales, protección de la información, análisis de riesgos. Todos estos elementos hacen que sean muy confiables. Tomando en cuenta los puntos referidos, se solicita a las autoridades que consideren esquemas más eficientes o que reduzcan la carga administrativa que tendrán que llevar a cabo las IFPE que pretendan contratar los servicios de estos proveedores. La velocidad y capacidad de contratación de dichos terceros es un elemento esencial en la operación de las IFPE y, en ese sentido, el tener que esperar la autorización de la autoridad o tener largos procesos de negociación afectarán su operación. En particular, en las negociaciones con proveedores internacionales se ha observado que estos no están dispuestos a cumplir con los requisitos siguientes: cumplimiento del artículo 54 de la Ley (bajo el contexto de que el sujeto regulado es la IFPE, no el proveedor), aviso a CNBV ante cualquier requerimiento de información de cualquier autoridad, localización detallada de servidores (misma que por cuestiones de prevención de ataques o sabotaje, es extremadamente confidencial), permitir cláusulas de auditoría in situ por autoridades mexicanas (particularmente cuando los centros de datos se encuentran en el extranjero, sujetos a las más altas medidas de seguridad con varios filtros de acceso y a jurisdicciones distintas), requisitos de subcontratación, descripción de flujos de los procesos de los terceros, medidas correctivas a aplicar al tercero en caso de incumplimiento. Como referencia de otras jurisdicciones y marcos regulatorios en los que operamos, así como recomendaciones de FSB, IOSCO, CPMI respecto la contratación de proveedores de servicios, se resaltan controles menos restrictivos. Un ejemplo de mejor práctica de contratación de terceros es la obligación de mantener la información y documentación disponible para la autoridad a fin de que esta pueda tener acceso en cualquier momento a la información que requiera, así como la obligación de informar de nuevas contrataciones dentro de un periodo razonable después de la contratación. En ese sentido, en lugar de que el Anteproyecto contemple procesos de autorización y cláusulas específicas, se solicita que se permita que las IFPE dependan de sus procesos y controles internos de contratación de terceros, continuidad de negocios, infraestructura y seguridad de la información y que únicamente estén obligados a dar un aviso posterior a la contratación, de forma tal que permita a las autoridades tener información respecto a los proveedores y servicios contratados. Esta alternativa daría libertad a las IFPE de operar sus modelos de negocios, mecanismos de control interno y administración de riesgos, a la vez que reduciría los costos administrativos, de complumiento y agilizaría el proceso de desarrollo de nuevos productos y operación de las fintech. Otra alternativa podría ser contar con un padrón de proveedores certificados por las autoridades y que se suficiente que las IFPE avisen a las autoridades qué proveedor y servicios utilizarán. Esto evitaría tener que enviar la misma información que otros participantes enviaron. Una opción para preparar ese padrón, es utilizar la información proporcionada por otros participantes del sistema financiero y permitir un registro simplificado a aquellos proveedores que ya han sido aprobados para celebrar contratos de servicios de nube con instituciones de crédito, considerando que las autoridades ya han revisando sus productos, controles, funcionalidad y medidas de protección de la información que suben las instituciones de crédito. Diferencia entre aviso y autorización para contratación de terceros: El Art. 44 del Anteproyecto contempla un supuesto adicional a las reglas de IFC referente a proveedores primarios críticos. Al no estar previsto en las normas de IFC, utilizada como referencia en las solicitudes de autorización, se estima necesario la inclusión de un periodo transitorio particular para realizar el análisis y cumplimiento de los requisitos aplicables a la contratación de dichos terceros. Sugerimos para lo anterior un periodo de 12 meses, contados a partir de la fecha de la publicación de la regulación en el Diario Oficial de la Federación. Por otra parte, dado que los servicios motivo de aviso son de menor criticidad se sugiere que no estén sujetos al mismo nivel de información y detalle previsto en el Art. 49 del Anteproyecto. De no modificarse, como se mencionó anteriormente, se haría muy complejo el proceso de contratación y relación con terceros. Adicionalmente, se solicita mayor claridad en los supuestos que requieren aviso previstos en el Art. 45 respecto aquellos que requieren autorización. En particular no es clara la diferencia entre la fracción I que requiere la misma información que el supuesto de autorización previsto en el Art. 44. Positiva ficta en solicitudes de autorización para usar esquemas alternos (Art. 6 y 11, entre otros): Se reconoce como positivo el hecho que a lo largo del anteproyecto se prevea que las IFPE puedan solicitar una autorización cuando se pretendan utilizar mecanismos o tecnologías alternas a las previstas en la norma, sin duda esto permitirá que se siga innovando y desarrollando nuevos productos. Con el fin de mejorar el esquema existente y evitar retrasos en la implementación de nuevos esquemas, se sugiere contemplar positiva ficta a las solicitudes de forma que simplifique el trámite y no retrase el desarrollo de productos o innovaciones. En el caso particular de Stripe, cuya visión es construir y ofrecer a nuestros clientes las APIs más robustas y limpias posibles para que se estos puedan construir excelentes productos, mejorando constantemente su experiencia en nuestra plataforma, resulta de mayor importancia el contar con esquemas que nos garanticen que se podrá utilizar esquemas alternos de autenticación que sean seguros, programables y automatizables. El ejemplo en particular sería utilizar mecanismos de autenticación similares a través de protocolos OAUTH2 y canales de acceso y comunicación via APIS (ver el Anteproyecto ¨APIS_ATM¨, Anexo 1, numeral 2.2. Padron de proveedores (Art. 52): Considerando el nivel de detalle a incluirse en el padrón de proveedores se solicita un periodo transitorio suficiente para recolectar dicha información (al menos 12 meses, contados a partir de la fecha de la publicación de la regulación en el Diario Oficial de la Federación) . Por otra parte, se estima que mantener el padrón actualizado y al día requería una carga administrativa muy alta para las IFPE lo cual afectará el número y tipo de entidades que puedan actuar como IFPE. Por otra parte, considerando los argumentos expresados respecto la contratación de proveedores se sugiere que se prevea únicamente la información correspondiente a proveedores considerados críticos y no todos los proveedores. Como alternativa se propone que se establezca únicamente la facultad de las autoridades de requerir información respecto proveedores contratados y revisar que el proceso de contratación haya sido realizado conforme a las políticas y controles internos. Copia local (Art 49, frac. IV): Considerando la operatividad y modelos de continuidad operativa implementadas y siguiendo con el comentario respecto a la operación en la nube, el requisito de mantener una copia de las operaciones realizadas y de los registros contables en las instalaciones físicas de la IFPE resulta contrario a los esquemas de redundancia y continuidad operativa, agrega un costo operativo significativo y no es claro como contribuye al objetivo de continuidad operativa. Se sugiere que se modifique este artículo para permitir que las IFPE utilicen sus procesos internos de continuidad de negocio, resaltando la importancia de garantizar el acceso a las autoridades a la información, documentación y registros operativos que estimen necesarios para la operación de la IFPE en caso de falla de algún proveedor de servicio crítico. Se estima que lo anterior debería ser suficiente para el objeto que buscan las autoridades, sin que esto implique la adopción de medidas adicionales (servidor físico local), que resultan incompatibles con el resto de la forma de operación de la IFPE. Contingencias operativas (Art. 43): Se comparte la preocupación e importancia de una identificación y atención oportuna de este tipo de contingencias . Sin embargo, la obligación de informar a las autoridades del incidente mientras este está siendo atendido puede resultar contraproducente para los esfuerzos de mitigación de los impactos. En particular observamos posibles riesgos de que el aviso asevere la situación y reduzca nuestra capacidad de utilizar las herramientas de mitigación internas descritas en la documentación presentada a la CNBV. Sugerimos que se incluya la obligación de reportar los incidentes una vez que estos hayan sido controlados, entregando bitácoras de resumen, mitigantes y remediaciones. Lo anterior resulta de mayor relevancia tomando en cuenta lo amplio de la definición de ¨Contingencia Operativa¨. Se sugiere que se permita que cada entidad determine conforme a sus procesos internos aquellas situaciones que se consideran como contingencia operativa y en consecuencia ameritan hacer el aviso a las autoridades una vez que sea atendido. Por otra parte, sugerimos que se utilice un canal de comunicación distinto al correo electrónico que garantice la confidencialidad de la información, dada la naturaleza sensible de la misma. Definición de IFPE críticas y sus esquemas de respaldo (Art. 50): Como se mencionó anteriormente, las empresas que prestan servicios de cómputo en la nube son pocas y la contratación de sus servicios son caros. En ese sentido, tener distintos proveedores como respaldo no da mayores certezas respecto a la continuidad de la operación, sobretodo considerando que existen proveedores que ofrecen multiregion como mecanismo de continuidad. Cabe resaltar que este fue un punto que se discutió en la primera Sesión Ordinaria del Grupo de Innovación Financiera (diciembre 2019) en el que se tuvo una discusión sobre los costos, beneficios y operación en general de un esquema multi-nube comparado con las diferentes modalidades y redundancias ofrecidas por un solo proveedor que cuenta con esquemas de recuperación y continuidad que permiten garantizar continuidad. Al efecto se sugiere se tomen en cuenta las alternativas en arquitectura de nube y continuidad de negocio que las propias instituciones tengan implementadas como parte de sus procesos internos, en lugar de establecer un requerimiento oneroso y que puede resultar distinto a lo previsto en las prácticas internas y mejores prácticas del sector financiero. Además de los argumentos señalados, se observa que este requisito es más oneroso que aquellos aplicables para las IFC e incluso Instituciones de Crédito, lo cual pone a las IFPE en una posición menos favorable para competir con los otros participantes. Se sugiere se modifique este requisito para contemplar mecanismos alternos de continuidad que sean documentados y aprobados por cada IFPE y sean consistentes con requisitos aplicables a los diferentes participantes del sector, de forma que fomenten la competencia en el sistema financiero. Simplificar canales de comunicación con autoridades (Art. 6, último párrafo, entre otros): Se entiende que la coordinación entre ambas autoridades competentes es un reto considerando las facultades conjuntas, sin embargo, pensando en las entidades y el costo administrativo que implica hacer notificaciones en el Módulo de Atención Electrónica (MAE) a Banxico y por oficialía de partes a CNBV, se solicita que se simplifiquen los canales de comunicación con ambas autoridades, de preferencia utilizando canales electrónicos que permitan hacer una sola notificación a ambas autoridades sin tener que duplicar esfuerzos. Consistencia en el marco jurídico aplicable a las IFPE: Se observan diferencias en las definiciones y conceptos utilizados en los diferentes ordenamientos aplicables a las IFPE (Circular 12/2018, CUITF y Anteproyecto) lo cual podría generar incertidumbre jurídica en cuanto al criterio que se deberá utilizar. Se sugiere uniformar. Algunos ejemplos son: definición de límites para operaciones en efectivo a través de terceros (Art. 48 del Anteproyecto, comparado con el Art. 9 de la CUITF), definición de transferencia de fondos (Art. 2 del Anteproyecto, comparado con el Art. 2 de la Circular 12/2018), supuestos de contratación que requieren autorización y aviso (Art. 44 y 45 del Anteproyecto, comparados con el Art. 85 de la CUITF).