MercadoLibre, S. de R.L. de C.V. realiza comentarios al Proyecto de Disposiciones aplicables a las Instituciones de Fondos de Pago Electrónico a que se refieren los artículos 48, segundo párrafo; 54, primer párrafo y 56, primer y segundo párrafo de la Ley para Regular las Instituciones de Tecnología Financiera (Proyecto): -Artículo 1- Se incluyen definiciones que se sugiere unificar en las distintas regulaciones aplicables a las Instituciones de Tecnología Financiera emitidas por las distintas autoridades. De igual modo se utilizan términos no definidos dentro de las disposiciones (p.e. Operaciones), por lo que se sugiere un documento autocontenido. -Artículo 2- Respecto a la fracción I inciso b) para que no se entienda que los mecanismos y procedimiento para la Autenticación del Cliente deben aprobarse de manera previa a la contratación, se sugiere la siguiente redacción: “b) Los mecanismos y procedimientos para la Autenticación del Cliente para realizar las Operaciones…”. -Artículo 4- Se sugiere revisar los tiempos de notificación a los clientes contemplados, ya que son cortos. -Artículo 5- Entendemos que se busca proteger la información de los clientes y sobre todo la información de carácter biométrico, pero las Instituciones de Tecnología Financiera cuentan con políticas robustas en materia de seguridad de la información, por lo que se solicita considerar la eliminación de la autorización previa por parte de la CNBV y Banxico para el uso de información de carácter biométrico. -Artículo 6- En concordancia con la propuesta hecha anteriormente respecto al artículo 5, se sugiere eliminar el tercer párrafo del Artículo 6. Asimismo, por lo que se refiere al penúltimo párrafo, en virtud de que la información derivada de características propias del cliente, tales como aquellas de carácter biométrico son siempre las mismas, toda vez que pertenecen a la misma persona, se sugiere modificar la redacción para que se entienda claramente la intención de la norma: "Las instituciones de fondos de pago electrónico deberán contar con mecanismos y procedimientos para asegurar que, en el uso de los Factores de Autenticación a que se refiere la fracción III del artículo 5, la información transmitida para el proceso de Autenticación sea ingresada cada vez que se emplee dicho Factor de Autenticación sin que puedan usarse imágenes o dispositivos que repliquen el factor." En diversos artículos del Proyecto (6, 11, 24, 26, 33, 34 y 49) para presentar solicitudes e información a BANXICO y a la CNBV, se establecen dos distintos canales de comunicación: el Módulo de Atención Electrónica (MAE) para BANXICO y la oficialía de partes para la CNBV, por lo que se sugiere considerar un sólo canal a través del cual se presenten las solicitudes e información a ambas autoridades, pudiendo lograr de este modo una comunicación más sencilla, eficaz, ordenada y en menor tiempo. De igual forma, tanto en el artículo 6, como en los artículos 11, 24, 26, 45 y 47, se sugiere establecer plazos con la intención de que se proporcione certeza en cuanto a respuestas por parte de la autoridad y, en su caso, afirmativa ficta. -Artículo 8- Considerando que, con la información proporcionada mediante los estados de cuenta, ningún tercero podría realizar operaciones y, por lo tanto, la exposición de información relacionada con el estado de cuenta no constituye un riesgo mayor para el cliente, se propone eliminar la fracción III. Lo anterior, toda vez, que un factor, (el mismo utilizado durante el acceso al Canal de Instrucción) brinda seguridad suficiente al usuario, respecto a la información proporcionada en el estado de cuenta. Para este mismo artículo se sugiere aclarar en el segundo párrafo, que las operaciones a las que aplica el uso de segundo factor de autenticación y a las que aplicará lo establecido en la Circular 12/2018 de Banxico, son únicamente las señaladas en este artículo. Por lo anterior, se sugiere dejarlo redactado de la siguiente manera: “Las instituciones de fondos de pago electrónico deberán apegarse a lo establecido en la Circular 12/2018 emitida por el Banco de México para los casos en que sus Clientes no reconozcan algunas de las Operaciones detalladas en el presente artículo y que no hayan sido instruidas con al menos dos Factores de Autenticación independientes”. -Artículo 11- Para el caso de la detección de intentos de acceso al Canal de Instrucción con información incorrecta considerado en la fracción II, se sugiere considerar, lo siguiente: a) Toda vez que lo que está bajo intentos de ataque es un factor, la restricción a aplicar podría limitarse a acciones sobre el uso o disponibilidad del mismo para acceder a la cuenta. Por lo anterior, se propone que, ante múltiples intentos de ataque, se permita la restricción temporal del factor bajo ataque, sin negar el acceso al Canal de Instrucción por medio de otros factores que califiquen para tal fin. b) En la experiencia, al ser una operatoria habitual de los clientes llegar a realizar hasta 3 intentos de acceso fallido, se sugiere modificar de la siguiente manera: Permitir más intentos, cuando dichos intentos de acceso al Canal de Instrucción provengan de un dispositivo identificado unívocamente y sobre el cual, por opción previa del cliente autenticado, el mismo se encuentre vinculado a su cuenta, depositando de esta manera un nivel de confianza mayor. En esta propuesta, el dispositivo constituye "algo que se tiene" que, aunque por sí solo no califica como factor de acceso al Canal de Instrucción, suma condiciones de confianza. De esta manera se lograría que el cliente no se vea afectado por ataques de bloqueo del Canal de instrucción, ni se vea rápidamente imposibilitado de acceder al Canal de instrucción por intentos fallidos propios. -Artículo 12- Se sugiere considerar que, el identificador de cliente puede ser su correo electrónico, su número de teléfono, etc. que, a diferencia de una contraseña, no constituye un secreto. En ese sentido y en favor de poder ayudar al cliente en el ingreso de sus credenciales identificatorias al acceder al canal de instrucción o al administrarlas, la propuesta es que el Identificador de cliente no esté alcanzado por lo señalado en la fracción I, si es que no constituye un secreto. -Artículo 15- Considerar otros mecanismos de seguridad y no sólo los señalados en la fracción I, toda vez que, bajo metodologías actuales existen arquitecturas que permiten asegurar los datos de los clientes, así como la segregación de funciones. -Artículo 21- El periodo de dos meses para realizar el análisis de vulnerabilidades es corto, por lo que se sugieren períodos más largos (6 meses), toda vez que permite realizar análisis más robustos. -Artículo 43- Para tener mayor certeza de lo que se busca hacer del conocimiento del cliente, se sugiere acotar los conceptos de intermitencia o imposibilidad de uso de los Canales de Instrucción, señalados en el penúltimo párrafo, sólo a aquellos con un periodo de duración determinado. Lo anterior, como ha quedado señalado en el primer párrafo de este artículo (interrupciones con duración de, al menos, 30 minutos). Asimismo, se sugiere revisar el plazo de 5 segundos para avisar a los clientes, toda vez que es corto. -Artículo 44- Aclarar el alcance de “proveedor primario”, y establecer un transitorio considerando el tiempo que tomará a las personas que venían operando bajo la Disposición Octava Transitoria de la Ley para Regular las Instituciones de Tecnología Financiera (“LRITF”), para cumplir con lo establecido en el presente artículo, respecto a los contratos que ya tienen celebrados previamente. -Artículo 45- Aclarar el alcance de “proveedor secundario o de respaldo” establecer un transitorio considerando el tiempo que tomará a las personas que venían operando bajo la Disposición Octava Transitoria de la LRITF, para cumplir con lo establecido en este artículo, respecto a los contratos que ya tienen celebrados previamente. Asimismo, considerar la solicitud de más información del tercero a ser contratado, previo al requerimiento a la Institución de Fondos de Pago Electrónico (“IFPE”) de que la prestación de servicios no se realice a través de dicho tercero. -Artículo 47- Se sugiere aclarar el alcance de la figura Administrador de comisionistas, indicando: a) si es posible que una IFPE tenga más de un Administrador de comisionistas, toda vez que en este artículo y en el artículo 51 se hacen menciones en singular y plural indistintamente; b) si el Administrador de comisionistas le reporta directamente a la IFPE o le reporta a otro comisionista, ya que el numeral iii del inciso g) indica que el comisionista o Administrador de comisionistas debe informar a la IFPE sobre algún cambio en su objeto social; mientras que en el antepenúltimo párrafo de este mismo artículo se menciona que la contratación del administrador de comisionistas será a través de un comisionista o mandatario; c) Considerando eliminar el numeral iv del inciso f) de la fracción II, que se refiere a la prohibición de subcontratación de servicios relacionados con la comisión mercantil, toda vez que el mismo se contrapone con lo establecido en el inciso a) segundo párrafo, de la misma fracción de este artículo, siendo en este sentido poco claro el objetivo de la figura de Administrador de comisionistas. Lo anterior, permitiendo la contratación de comisionistas por parte del Administrador de comisionistas a fin de tener paridad con las entidades bancarias. Asimismo, se sugiere eliminar el requerimiento de solicitar autorización para la contratación de comisionistas con los que se pretenda llevar a cabo operaciones de retiro de efectivo, a fin de equiparar la carga regulatoria con la Circular Única de Bancos (Art. 320 primer párrafo) y no poner a las Instituciones de Fondos de Pago Electrónico en plano desigual respecto a dicho flujo. -Artículo 48- Tratándose de comisionistas que sean sucursales bancarias, se sugiere considerar: a) en el caso de montos de retiro diarios, límites con montos más altos y/o la no existencia de límites y; b) en el caso de montos de recepción por pago referenciado, considerar límites con montos más altos. -Artículo 49- Para mayor claridad, se sugiere establecer la diferencia entre aviso y autorización, toda vez que en los dos casos Banxico y la CNBV podrá manifestar su anuencia respecto a la contratación del tercero, debiendo cumplir los mismos requerimientos de información. Por lo que se refiere a la fracción IV, es importante señalar que coincidimos en buscar la continuidad de la operación, por ello consideramos que actualmente, existen metodologías y soluciones tecnológicas prácticas y muy avanzadas que permiten asegurar el resguardo de la continuidad de los servicios a los usuarios, sin la necesidad de cubrir costos importantes, manteniendo en las instalaciones los registros detallados de todas las operaciones que se realicen, así como de registros contables de forma que se asegure la continuidad operativa en todo momento. -Artículo 50- Entendemos la intención y preocupación de resguardar la continuidad de la operación, pero la obligación de tener servicios de cómputo en la nube en jurisdicción nacional, o en jurisdicciones nacionales distintas y con prestadores de servicios distintos, plantea desventajas desde distintos puntos de vista. Actualmente, existen metodologías y soluciones tecnológicas prácticas y muy avanzadas que permiten asegurar el resguardo de la seguridad operacional y la continuidad de los servicios a los usuarios independientemente de la jurisdicción de que se trate, tales como DRP (Disaster Recovery Plan), políticas de gestión de incidentes y de gestión de crisis. Para lograr los niveles de eficiencia objetivo, el modelo de procesamiento de Cómputo en la Nube no distingue entre centro de datos primario y secundario, esto porque los datos se procesan al mismo tiempo en diferentes nubes, existiendo duplicidad en la operación. Bajo esta modalidad y en caso de un escenario de contingencia, existiría continuidad del negocio dado que el procesamiento se podría distribuir en distintos centros de datos operativos, lo que permite la escalabilidad y flexibilidad en el modelo operacional. Por otra parte, el impacto en la industria de pagos sería importante, generando una posible barrera de entrada para las Fintech’s o start-up’s que no puedan afrontar el costo que ello conlleva y, por consiguiente, desalentando la competencia. Este requerimiento regulatorio en realidad implica: (i) duplicar los costos de las entidades reguladas con servicios de cómputo en la nube en el exterior, o (ii) sugerir que las entidades reguladas tengan dicho servicio localmente para no incurrir en dicha duplicación de costos que implica contar también con un servicio en el exterior. Sería importante tomar en consideración que los principales prestadores de servicios de cómputo en la nube cuentan con niveles de servicio que permiten la continuidad operativa, sin importar la jurisdicción en la que se ubiquen. Asimismo, las empresas que ya vienen operando bajo la Octava de las Disposiciones transitorias de la LRITF se verían seriamente afectadas por el costo y tiempo de contratar a un tercero distinto y en otra jurisdicción a aquel con el que ya vienen operando. Además, esto implicaría desarrollo importante, cambios en la infraestructura, operación y continuidad de negocio, que requerirían un plazo más amplio del que ha quedado señalado en el último párrafo (180 días). Finalmente, por lo que se refiere a los transitorios, consideramos que se requieren transitorios que contemplen períodos de adaptación para las personas que se encuentran operando bajo la Disposición Octava Transitoria de la LRITF y que presentaron solicitudes de autorización a la CNBV previo a la emisión de estas disposiciones. Siguiendo el caso de las SIC/Cámaras de Compensación para las cuales se proporcionó un plazo de 1 año para la entrada en vigor de la regulación, en caso contrario la documentación en evaluación por las autoridades se estaría revisando bajo requerimientos distintos a los prescritos en este Proyecto.