Es responsabilidad del Gobierno asegurarse de evitar que las nuevas tecnologías, como Bitcoin, sirvan para el fraude y el terrorismo y al mismo tiempo favorecer la libre competencia y la innovación tecnológica. Con el objetivo de establecer un balance entre estos dos objetivos, el Gobierno Mexicano es pionero en crear la Ley Fintech para la regulación de lo referente a los Activos Virtuales (Criptomonedas). En este artículo se presenta un resumen de lo establecido en las regulaciones secundarias de la Ley Fintech.

El pasado Marzo del 2018 se emitió la primera parte de la Ley para Regular las Instituciones de Tecnología Financiera, también conocida como Ley Fintech, sobre la cual puedes encontrar más información aquí. Quedó pendiente la emisión de las regulaciones secundarias que darían sentido y que guiarían a las Instituciones de Tecnología Financiera (ITF) en la toma de medidas concretas para operar con seguridad y bajo la mirada de las autoridades Mexicanas.

Ayer, 10 de Septiembre del 2018, la Secretaría de Hacienda y Crédito Público ha publicado a través del Diario Oficial de la Federación, las regulaciones secundarias en las que se establecen los requisitos que solicitan a las ITF para operar legalmente en México.

¿Qué tienen que hacer las ITF?

En resumen, las actualizaciones de la Ley Fintech dicen que las ITF tienen que:

1. Implementar metodologías para evaluar los riesgos. Deberán de hacer un proyecto en el que analicen los riesgos a los que están expuestas y diseñar e implementar medidas que mitiguen los riesgos. (Título segundo).

2. Identificar a sus clientes. Las ITF deberán de hacer un expediente por cada uno de sus clientes que deberán de conservar durante 10 años y que tendrán que actualizar cada seis meses. (Título tercero).

Este registro deberá de estar disponible cada vez que la CNBV (Comisión Nacional Bancaria y de Valores) quiera revisarlo. En cualquier momento la CNBV puede solicitar el historial de transacciones de los clientes y las ITF deben de contar con un sistema automatizado para transmitirlo. (Título sexto).

En este expediente se deben de incluir los siguientes datos acerca de los clientes: Nombre, apellidos, género, fecha de nacimiento, entidad y país de nacimiento, nacionalidad, clave de elector, domicilio actualizado, ocupación, CURP, firma autógrafa digitalizada, teléfono, correo, CLABE bancaria. Al tratarse de personas morales se solicitará también el RFC y las cédulas que comprueben que se opera legalmente. (Título tercero).

Artículo 11.- (...) al momento de iniciar la relación contractual con el Cliente, deberán realizar una entrevista con este o con su representante legal (...) esta entrevista puede ser remota, se pueden hacer cuestionarios automatizados.

• Además, las ITF deben de asegurar que están tratando con el propietario real de la cuenta y se debe de recaudar información que permita asegurar que los datos de identificación del cliente son reales.

Artículo 14 "Las ITF tienen prohibido prestar servicios cuando no se pueda identificar al propietario real de una cuenta."

3. Monitorear las operaciones de sus clientes. Las ITF deben de tener un sistema automático para revisar constantemente las operaciones de los clientes. Deberán de hacer un perfil de transacciones de cada cliente (Artículo 34) y tener un sistema de alertas para detectar actos sospechosos (Artículo 36). Esto permitirá identificar operaciones inusuales y darles seguimiento.

Artículo 26.- Cuando se tenga la sospecha de que los recursos sean de origen dudoso y que haya cambios significativos en el comportamiento transaccional, sin causa justificada, se deberán analizar los datos, actualizar el expediente de identificación, calificar al cliente en un grado de riesgo superior, remitir en su caso un reporte de operación inusual.

4. Clasificar a los clientes en un grado de riesgo. Bajo, medio o alto. Mientras mayor sea el grado de riesgo, se deberá de hacer un monitorero más estricto. Cada seis meses se debe de evaluar si el grado de riesgo asignado es el adecuado. (Título tercero, capítulo II).

5. Tener funcionarios capacitados para hacer las auditorías. Todas estas exigencias emitidas en la Ley Fintech, deben de ser aplicadas por personal preparado. Además, el personal de las ITF deberá de recibir capacitación una vez al año para aprender a aplicar las exigencias de esta ley (Artículo 54).

Artículo 45.- Las ITF deberán contar con un órgano colegiado que se denominará "Comité de Comunicación y Control", que tendrá las siguientes funciones y obligaciones: Hacer auditorías, implementar la metodología, hacer revisiones anualmente, conocer las características de las operaciones de alto riesgo, establecer los criterios para clasificar a los clientes, dictaminar las operaciones que deben ser reportadas.

6. Mantener confidencialidad. Las personas no podrán saber dentro de qué nivel de riesgo están clasificadas y tampoco serán informadas si se detecta actividad sospechosa en sus cuentas.

Artículo 58.- Queda estrictamente prohibido Alertar a los clientes sobre cualquier referencia que se haga sobre ellos en los reportes.

Aunque por otra parte, se permite a las ITF intercambiar información entre sí, para agilizar la transmisión y recaudación de los datos de los clientes.

7. No tratar con personas bloqueadas. Habrá una lista de personas bloqueadas que no podrán contratar los servicios de ninguna ITF. Esta lista contiene los nombres de personas con antecedentes fraudulentos y la proporcionan las Naciones Unidas, organismos internacionales y el Estado Mexicano. Si una ITF encuentra que el nombre de uno de sus clientes está en esta lista, deberá suspender de inmediato cualquier actividad con esa persona. (Título octavo).

8. Hacer reportes a la secretaría.

   • Cada operación inusual que se detecte, deberá de ser informada a la secretaría.
   • Operaciones con Activos Virtuales. Se deberá de registrar la denominación del Código Virtual de las transacciones, el número de unidades, el equivalente a la moneda nacional y la fecha de operación.

Artículo 74.- Las ITF deberán remitir a la Secretaría, por conducto de la CNBV, (...) un reporte cuando el Cliente realice la compra de Activos Virtuales con moneda nacional o cualquier divisa y cuando haga la venta de Activos Virtuales y a cambio reciba moneda de curso legal en territorio nacional, por un monto igual o superior al equivalente de siete mil quinientas unidades de inversión.

• Transferencias internacionales. Las Instituciones de Fondos de Pago electrónico deberán de entregar un reporte por cada transferencia internacional de dinero. (Artículo 102).

Conclusiones

La Secretaría de Hacienda, establece con esto un listado de requisitos con los que las ITF deben de cumplir para operar legalmente, de la misma manera, el Banco de México también ha establecido requerimientos. Se asume que las ITF cuentan con las herramientas tecnológicas para manejar y transmitir ágilmente toda la información requerida. Se espera que al tener información de los clientes, se mitigue el riesgo de que las ITF sean utilizadas para realizar operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

La actualización de la Ley Fintech significa un gran reto para las Instituciones de Tecnología Financiera, quienes tendrán que duplicar esfuerzos en el almacenamiento de información para garantizar la legitimidad de los movimientos.

Fuentes
-Disposiciones de carácter general para regular a las Instituciones Fintech emitidas por la Secretaría de Hacienda y Crédito Público. Diario Oficial de La Federación. México: 10 de Septiembre, 2018. Obtenido de: https://www.dof.gob.mx/nota_detalle.php?codigo=5537449&fecha=10/09/2018