SEGURIDAD DE LA INFORMACIÓN EN EL MERCADO DE SERVICIOS FINANCIEROS DIGITALES
Jimena Moreno González/ María Solange Maqueo
José María Morales Oliveros / Asistente de investigación
RESUMEN EJECUTIVO
El propósito fundamental del sistema financiero digital es que, a través de la tecnología, se hagan más accesibles los productos y servicios financieros y se puedan incluir sectores de la población que no participan o que participan poco en el sistema financiero en general y en el sistema financiero digital en particular. Una característica de este sector es la constante innovación en la prestación de servicios a través de plataformas financieras digitales. El uso de plataformas digitales a través de la banca electrónica y de las Instituciones de Tecnología Financiera (IFT) promueve mercados más dinámicos y eficientes. Sin embargo, las instituciones financieras están expuestas a riesgos y vulneraciones a sus sistemas operativos poniendo en riesgo no sólo el uso de las plataformas digitales y sistemas de pago sino también la información personal y el patrimonio de los usuarios. De acuerdo con la Encuesta Nacional de Inclusión Financiera (2021), un tercio de la población encuestada considera que sus recursos y su información personal no están protegidos.
Lo anterior implica que las instituciones financieras deben, además de cumplir con la regulación relacionada con la seguridad y ciberseguridad emitida por las autoridades financieras (BANXICO, CNBV, SHCP, CONDUSEF), comunicar a sus clientes toda incidencia y generar canales de resolución de quejas y reclamaciones con el objeto de elevar los niveles de confianza.
Uno de los mecanismos de seguridad de la información más usados en la banca electrónica son los de identificación y autenticación del usuario, así como la implementación de medidas y mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información, a fin de evitar que sea conocida por terceros. Dentro de las medidas y responsabilidades que la legislación impone, está la del Director General de las instituciones financieras quien es el responsable del sistema de control interno en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad.
Asimismo, las Instituciones de Tecnología Financiera deberán contar con una persona encargada de desempeñar las funciones de jefe de seguridad de la información y, cuando existan eventos o incidentes a la seguridad, están obligados a reportar inmediatamente a la CNBV, y notificar a los clientes cuya información sensible haya sido comprometida.
El robo de información y los constantes ataques y vulneraciones a los sistemas de pago y a las plataformas digitales exige una coordinación permanente entre las autoridades y las instituciones financieras, pero también se requiere investigación e inversión para mitigar los daños. Por ello, al ser un sector en constante evolución, requiere contar con un marco normativo que permita mitigar riesgos y promover la inclusión e innovación tecnológica para expandir su aplicación. Cuanto más sean los incidentes que vulneran la información, sistemas de seguridad, datos, etc., más aumentará la desconfianza e inseguridad de las personas en el sector financiero digital, lo cual inhibe el desarrollo de este sistema y de los mercados financieros. Es importante mencionar los resultados de OEA/CNBV (2019), que señalan que las instituciones financieras destinan, en promedio, sólo 2.3% de su presupuesto en relación con el EBITDA, lo que significa que no invierten lo necesario en desarrollar o implementar medidas de seguridad, comparado con las mejores prácticas internacionales.
La participación de todos los sectores de la sociedad en el mercado digital de servicios financieros es fundamental para el desarrollo del país. El uso de la tecnología en estos mercados es cada vez más intenso. Esto permite grandes avances, pero también genera desigualdades. Uno de los eslabones más débiles en este mercado son los grupos marginados (mujeres, adultos mayores y habitantes de localidades pequeñas, entre otros) quienes además pueden ser objeto de otras formas de discriminación debido a su raza, origen étnico, lengua, discapacidad, edad, nivel educativo u otros factores. La tarea urgente es incluirlos a través de la generación de políticas con perspectiva de género y de inclusión de estos grupos en el ámbito tecnológico, de capacitación y de seguridad para evitar que se siga incrementando la brecha de desigualdad.
Finalmente, otra característica que hemos encontrado está relacionada con el exceso y la dispersión regulatoria. Existen muchos requisitos y autorizaciones de diversas instituciones gubernamentales que las entidades financieras deben cumplir para poder participar en el mercado financiero digital. Esto genera grandes costos y barreras legales importantes que inciden en la eficiencia y en la generación de mayor competencia en el mercado.
SEGURIDAD DE LA INFORMACIÓN EN EL MERCADO
DE SERVICIOS FINANCIEROS DIGITALES
- El marco normativo que regula al sector bancario y a las instituciones de tecnología financiera se encuentra disperso en diversos ordenamientos jurídicos, haciendo compleja su regulación y cumplimiento.
- La ciberseguridad es esencial para que las empresas puedan operar debidamente y generen un vínculo de confianza entre las autoridades financieras y los usuarios, elemento fundamental para el desarrollo del sector.
- La protección del patrimonio de los usuarios y la seguridad de las plataformas digitales son elementos fundamentales para reducir las brechas de acceso y promover la inclusión de grupos de la población rezagados.
- Uno de cada tres mexicanos percibe que sus recursos no están protegidos; porcentaje muy elevado pues está en juego el patrimonio de las personas.
- Sólo la mitad de la población considera que la institución financiera resolverá su queja o reclamación.
- Dos de cada cinco personas no saben a dónde acudir en caso de quejas o reclamos. 39.3% de la población, acudiría a su institución financiera como primera instancia.
- La certeza de que la información financiera (ahorro, inversiones y patrimonio) está protegida y resguardada con mecanismos confiables es un elemento fundamental para generar mayor participación en el mercado financiero.
- 17% de la población ha sufrido algún tipo de vulneración: clonación de tarjeta de crédito o débito (delito más frecuente); robo de identidad; o, fraude.
- El desarrollo de políticas transparentes y eficientes para resolver quejas (relacionadas con productos financieros, cuentas, inversiones o plataformas digitales) es indispensable para incrementar la confianza y promover la inclusión.
- Los riesgos cibernéticos que merecen mayor atención son (i) pérdida/robo de activos de información clasificada (confidencial o sensible); (ii) secuestro de la información; (iii) compromiso de credenciales de usuarios privilegiados; (iv) sabotaje o fraude a través de personal interno; (v) denegación del servicio; y, (vi) alteración en sitio web.
- Las actividades digitales han agilizado la operación del sistema financiero mexicano, a través de la banca electrónica y las plataformas financieras digitales.
- La banca electrónica es el conjunto de servicios y operaciones bancarias que las instituciones realizan con sus usuarios a través de medios electrónicos.
- El marco normativo de las operaciones y prestación de servicios bancarios realizados a través de medios electrónicos está establecido en: (i) Código de Comercio, (ii) Ley de Instituciones de Crédito, (iii) Disposiciones de Carácter General aplicables a las Instituciones de Crédito; y, (iv) Circulares emitidas por las autoridades competentes.
- El ecosistema de las plataformas financieras digitales está compuesto por diversas organizaciones que proveen servicios financieros sustentados en tecnología que proporciona entornos y plataformas digitales para sistematizar sus operaciones.
- La Ley para Regular las Instituciones de Tecnología Financiera únicamente reconoce dos esquemas regulatorios: (i) las transferencias de fondos de pago electrónico; y, (ii) el financiamiento colectivo; por lo que, todas aquellas empresas o servicios que quedan fuera de esta Ley pueden seguir dentro del concepto de plataformas financieras digitales, pero sin estar reguladas por esta normatividad.
- La ciberseguridad es el conjunto de acciones tomadas por organizaciones e individuos para mitigar los riesgos que enfrentan en el ciberespacio, con el propósito de disminuir la probabilidad de sufrir un ciberataque.
- Actualmente, en México, no existe una ley específica que establezca los parámetros y regulaciones específicas en materia de ciberseguridad.
- Para la banca electrónica, los parámetros de ciberseguridad están regulados indirectamente en la Circular Única de Bancos, Circular 24/2020, Circular 3/2012, Circular 8/2019 y Circular 1/2022 dirigidas a los participantes del SPEI y, de forma no vinculante, los principios para reforzar la seguridad de la información en el sistema financiero y bases de coordinación en materia de seguridad de la información, emitidos por BANXICO, en coordinación con la SHCP.
- En cuanto a las Instituciones de Tecnología Financiera, el cumplimiento respecto de los requisitos de ciberseguridad están desarrollados en la Ley para Regular las Instituciones de Tecnología Financiera, las Disposiciones Generales emanadas de la Ley, Circulares emitidas por la SHCP, CNBV, CONDUSEF y la Circular Única de Instituciones de Fondo de Pago Electrónico (CUIFPE).
INTRODUCCIÓN
En las últimas décadas, el sector financiero ha tenido un amplio crecimiento y grandes innovaciones a partir del uso de nuevas tecnologías y del desarrollo de plataformas digitales que permiten la operación de transacciones financieras, creando nuevos modelos de negocio. La incorporación de estas tecnologías facilita el acceso a nuevos servicios y productos financieros y contribuye a que los usuarios tengan un servicio más expedito y eficiente en sus operaciones financieras. Sin embargo, el uso de este tipo de tecnologías y de las plataformas digitales también conlleva mayores riesgos que se deben prevenir y mitigar. Las vulneraciones a la seguridad cometidas en contra de las instituciones financieras son cada vez más frecuentes y disruptivas, generando grandes pérdidas y poniendo en riesgo el patrimonio de los usuarios, el sistema de pagos y el sistema financiero en su conjunto.
Por ello, es fundamental contar con mecanismos de seguridad de las transacciones financieras digitales, confiables y seguros, que generen mayor certeza y estabilidad estructural. En este sentido, la tecnología es un elemento fundamental para reducir la brecha digital y propiciar mayor inclusión financiera. Sin embargo, es necesaria la adopción de políticas incluyentes de tecnología segura que integre y genere confianza entre los grupos marginados como son las mujeres, los adultos mayores y los habitantes de localidades pequeñas, quienes además pueden ser objeto de otras formas de discriminación debido a su raza, origen étnico, lengua, discapacidad, edad, nivel educativo u otros factores.
La gran cantidad de datos financieros que resguardan las instituciones financieras ha motivado a las entidades gubernamentales a generar normas relacionadas con la implementación de medidas de seguridad y de protección. Adicionalmente, las instituciones financieras son susceptibles de ataques a sus sistemas y plataformas digitales, lo que ha llevado a que también exista una regulación que establezca medidas de seguridad con el objeto de mitigar riesgos. La seguridad es un elemento clave que propicia que los usuarios tengan confianza en las instituciones financieras y participen de manera más activa en los mercados de servicios financieros. La confianza incide de manera directa en el desarrollo de este sector y en el mejor funcionamiento del sistema financiero digital.
Por ello, en este estudio se analizan los temas relacionados con las medidas de seguridad que las instituciones financieras deben cumplir para evitar riesgos y robo de información. Este documento está dividido en seis capítulos. En el primero, se analizan los niveles de confianza y protección de la población usuaria en las instituciones financieras a partir de la Encuesta Nacional de Inclusión Financiera (ENIF 2021) elaborada por la Comisión Nacional Bancaria y de Valores (CNBV) y el Instituto Nacional de Estadística y Geografía (INEGI). Además, se incorporan los resultados del Informe de Autoevaluación de la CONDUSEF (enero-diciembre 2021), para el seguimiento de las quejas y mecanismos de protección a los usuarios de servicios financieros. Finalmente, se analiza el estado de la seguridad del sistema financiero mexicano a partir del informe sobre el “Estado de la Ciberseguridad en el Sistema Financiero Mexicano”, elaborado en 2019 por la Organización de los Estados Americanos (OEA), en coordinación con la CNBV.
En el segundo capítulo, se aborda de manera general el sistema financiero digital, haciendo una breve referencia al concepto, los participantes y el marco normativo. En el capítulo tres se hace un análisis normativo de la regulación existente para la banca electrónica. Los elementos relevantes para las sociedades financieras populares (SOFIPO) y las sociedades financieras de objeto múltiple (SOFOM) son analizado en el capítulo cuatro.
En el quinto capítulo se establecen las definiciones más importantes y el marco normativo vigente para las instituciones de tecnología financiera y las plataformas financieras digitales. En el capítulo seis se introduce el tema de ciberseguridad y las medidas emitidas por las autoridades competentes. Finalmente, se presentan las conclusiones y recomendaciones.
CAPÍTULO UNO
NIVELES DE CONFIANZA Y SEGURIDAD
EN LAS INSTITUCIONES FINANCIERAS
- La protección del patrimonio de los usuarios y la seguridad de las plataformas digitales son elementos fundamentales para reducir las brechas de acceso entre los usuarios del sistema financiero y promover la inclusión de grupos de la población rezagados.
- El desarrollo de políticas transparentes y eficientes para resolver quejas (relacionadas con productos financieros de ahorro y crédito, cuentas, inversiones, o plataformas digitales) es indispensable para incrementar la confianza en el sistema financiero y promover la inclusión.
- Uno de cada tres mexicanos percibe que sus recursos no están protegidos; porcentaje muy elevado pues lo que está en juego es el patrimonio de las personas.
- Sólo la mitad de la población considera que la institución financiera resolverá su queja o reclamación.
- Dos de cada cinco personas no saben a dónde acudir en caso de quejas o reclamos; mientras que 39.3% de la población acudiría a su institución financiera como primera instancia.
- La certeza de que la información financiera de los usuarios, su ahorro, inversiones y patrimonio están protegidos y resguardados con mecanismos de seguridad confiables es un elemento fundamental para generar mayor participación en el mercado financiero.
- 17% de la población ha sufrido algún tipo de vulneración: clonación de tarjeta de crédito o débito (delito más frecuente); robo de identidad; o, fraude.
- De acuerdo con la CONDUSEF, las acciones de protección y defensa a los usuarios de servicios financieros se incrementaron 35% con respecto a 2020; esto significa que se promovieron 1’859,933 acciones de defensa (considerando el chat y el chatbot).
- 68.2% de las reclamaciones que llevó a cabo la CONDUSEF fueron dirigidas a instituciones de crédito: 39% relacionadas con tarjetas de crédito, débito y crédito personal; 13.3% con SOFOM; 13% con instituciones de seguros; y, 3.6% con instituciones del Sistema de Ahorro para el Retiro.
- Los riesgos cibernéticos que merecen mayor atención son (i) pérdida/robo de activos de información clasificada (confidencial o sensible); (ii) secuestro de la información; (iii) compromiso de credenciales de usuarios privilegiados; (iv) sabotaje o fraude a través de personal interno; (v) denegación del servicio; y, (vi) alteración en sitio web.
Introducción
En este capítulo se analizan los niveles de confianza y protección de la población usuaria en las instituciones financieras a partir de los resultados de dos instrumentos: la ENIF 2021 y el informe de la OEA/CNBV (2019). Se analizan las variables sobre percepción de seguridad de su dinero y la capacidad de las instituciones para resolver sus quejas y reclamaciones.
1.1 Niveles de confianza y protección de la población usuaria
Uno de los elementos fundamentales para reducir la brecha entre los usuarios del sistema financiero y promover la inclusión es a través de la capacidad que tengan las instituciones financieras para proteger la información relacionada con el patrimonio de los usuarios y las vulneraciones hacia las plataformas digitales.
En el reporte de resultados de la ENIF 2021, por primera vez se incluyó un apartado con el propósito de identificar los niveles de confianza y protección de la población usuaria en las instituciones financieras, en temas relacionados con la percepción de seguridad de su dinero, la protección de sus datos personales y la capacidad de las instituciones de resolver sus quejas y reclamaciones. Tener la certeza de que la información financiera de los usuarios, su ahorro e inversiones, están protegidos y resguardados con mecanismos de seguridad confiables es un elemento fundamental para generar mayor participación en el sistema financiero.
Por otra parte, el desarrollo de políticas transparentes y eficientes para recibir y resolver quejas de los usuarios en caso de tener problemas con las plataformas digitales, sus productos financieros, cuentas e inversiones, es indispensable para tener confianza en el sistema financiero y promover la inclusión.
1.2 Seguridad de los recursos depositados en una institución financiera
La ENIF 2021 se aplicó a la población de 18 a 70 años para estimar la percepción en la confianza al solicitar un servicio financiero, según sexo. Los resultados de la Gráfica 1 muestran que 60.7% de los usuarios, con al menos un producto financiero, percibe que el dinero está seguro en un banco o en una institución financiera, mientras que 31% no se siente seguro y 8.4% no sabe.
Para el caso de las mujeres, 58.5% considera que su dinero está seguro, 31.8% que no está seguro y 9.7% no sabe. Para los hombres, el porcentaje de confianza sube a 63.1%, 30% no se siente seguro y 6.9% no sabe. Es decir, los hombres tienen mejor percepción sobre la seguridad de su dinero. Los resultados no son alentadores, un tercio de la población considera que sus recursos no están seguros, este porcentaje es muy elevado si consideramos que lo que está en juego es el patrimonio de las personas. La percepción de falta de seguridad de sus recursos inhibe a la población a participar en el sistema financiero.
Gráfica 1. Porcentaje de la población que considera que su dinero está seguro, 2021
1.3 Respuesta de las instituciones financieras a quejas y reclamos
Cuando se pregunta si la institución financiera resolverá quejas y reclamaciones, 53.3% de la población considera que sí se van a resolver, 37.7% que no y 9% que no sabe (Gráfica 2). Para las mujeres, 51.8% considera que sí se van a resolver, 37.8% que no y 10.3% no sabe. Para los hombres, 54.9% de los entrevistados considera que sí se van a resolver, 37.5% que no y 7.6% que no sabe.
Gráfica 2. Población que considera que se resolverán sus quejas y reclamaciones, 2021
1.4 Robo de identidad, clonación y fraude
Los problemas más importantes relacionados con la ciberseguridad son: (i) robo de identidad; (ii) clonación de tarjeta de débito o crédito; y, (iii) fraude (pirámide, arbolito, flor de la abundancia) y fraude de producto financiero o premio (Gráfica 3). Respecto al robo de identidad, 5.2% de la población respondió haber experimentado el robo de identidad, mientras que 93.9% dijo que no. De los hombres, 5.4% respondió afirmativamente; y, de las mujeres, sólo 5%. De acuerdo con estos datos, el porcentaje de robo de identidad en los servicios financieros es bajo.
Gráfica 3. Población con problema de clonación, robo de identidad o fraude, 2021
En cuanto a la clonación de tarjetas de débito y crédito, 5.6% del total contestó que sí lo ha experimentado. De los hombres, 6.5% respondió que sí, mientras que sólo 4.7% de las mujeres dijo haberlo experimentado. En general, alrededor de 90% de los encuestados contestó no haber experimentado clonación en sus tarjetas.
Por último, los fraudes tienen los porcentajes más bajos de respuestas afirmativas. Respecto al fraude (pirámide, arbolito, flor de la abundancia), sólo 2.7% de la población contestó haber tenido una experiencia fraudulenta. De las mujeres, 2.8%; y, de los hombres, 2.7% contestó que sí. En relación con el fraude de un producto financiero o premio, 3.4% contestó haber tenido una experiencia fraudulenta. De las mujeres, 2.8%; y, de los hombres, 4.2% contestó que sí.
1.5 Lugar para presentar una queja o reclamación
En la ENIF 2021 se pregunta a la población a qué institución acudiría en caso de presentar una queja (Gráfica 4). De la totalidad de la población, 39.3% contestó que acudiría al banco o institución financiera, 12.2% contestó que a la CONDUSEF, 7.4% a la PROFECO, 3.9% a otra y, la mayoría, contestó que no sabía (40.5%).
Gráfica 4. Población que acudiría a presentar una queja o reclamación, por tipo de institución, 2021
En cuanto a las mujeres, 37.9% acudiría al banco o institución financiera, 10.9% a la CONDUSEF, 7.1% a la PROFECO, 3.2% a otra y, una vez más, la mayoría contestó no saber (43.5%). Por último, 40.8% de los hombres acudiría al banco o entidad financiera, 13.7% a la CONDUSEF, 7.8% a la PROFECO, 4.7% a otra y, por último, 37.2% contestó no saber.
Podemos concluir que la mayoría de la población, en todos los casos, no sabe a dónde acudir en caso de presentar algún problema relacionado con su seguridad financiera, y, por lo tanto, no conoce los procesos para levantar una queja o reclamo ante un problema. Por otra parte, 17% de la población entrevistada ha sufrido algún tipo de vulneración en algunos de los rubros señalados. Este porcentaje es un elemento que incide en la falta de confianza hacia las instituciones financieras.
Finalmente, hemos observado una percepción de mayor vulnerabilidad y falta de confianza en las mujeres en cuanto a la protección y seguridad del patrimonio, clonación de tarjetas de crédito o débito, robo de identidad, fraudes y reclamaciones, respecto de los hombres. Esta situación se agrava si se presenta mayor desigualdad, como en el acceso al mercado de ahorro. De acuerdo con Carreón y Guajardo (2022), hubo más hombres (29.3 millones) que mujeres (27.4 millones) con algún producto financiero formal; y concluyen que sus resultados muestran claramente una desigualdad en el acceso al mercado de ahorro, tanto en el formal como en el informal, en los cuales se presenta un sesgo en contra de las mujeres.
Una estrategia importante para disminuir esta brecha, y promover la inclusión, es a través de la adopción de tecnología que integre a las mujeres, promueva capacitaciones, procesos y publicidad con perspectiva de género para acercarlas al sistema financiero en general y al digital en particular.
1.6 Atención a usuarios en CONDUSEF
De acuerdo con el Informe de Autoevaluación de la CONDUSEF (enero-diciembre de 2021),[1] las acciones de protección y defensa a los usuarios de servicios financieros se incrementaron 35% con respecto a 2020; esto significa que se promovieron 1’859,933 acciones de defensa (considerando el chat y el chatbot). De esas reclamaciones, 68.2% fueron dirigidas a las instituciones de crédito, de las cuales 39% estaban relacionadas con tarjetas de crédito, débito y crédito personal; 13.3% con las SOFOM; 13% con las instituciones de seguros; y, 3.6% con las instituciones del Sistema de Ahorro para el Retiro.
En cuanto al robo o usurpación de identidad hubo una disminución de 4%, al pasar de 3,524 asuntos en 2020 a 3,383 en 2021. Sin embargo, de estos, se confirmaron, mediante el protocolo PORI, 2,168, lo que significó un incremento de 13.4% con respecto al año anterior.
En cuanto a la solución de las reclamaciones en favor del usuario, 41.3% de los asuntos concluidos fueron a favor del usuario. Los sectores más representativos que se solucionaron a favor del usuario fueron: SOFOM con 65.3%; Instituciones de Crédito con 43.6%; y, SAR con 38.8%.
1.7 Estado de la seguridad en el Sistema Financiero Mexicano
En 2019, la OEA y la CNBV elaboraron el informe “Estado de la ciberseguridad en el Sistema Financiero Mexicano”. En este estudio se revisó lo relacionado con la seguridad y las acciones y medidas que emplean las instituciones financieras para proteger los sistemas de información. Se llegó a la conclusión que los cortafuegos son el método más utilizado por estas instituciones (85%); mientras que el Master Data Management (MDM) es el menos usado (4%). En el informe se destaca que hay otros procesos y programas que las entidades implementan, como la administración de accesos e identidades (62%), la protección de datos personales (61%), la educación y concientización (54%) y la continuidad del negocio (46%). Además, concluyó que 100% de los bancos grandes incluyen gobierno de seguridad de la información, identificación de sistemas y datos críticos, evaluación de riesgos de seguridad de la información, educación y concientización, gestión de amenazas y vulnerabilidades y protección de datos personales. Sin embargo, hay un rezago de las entidades en relación con medidas tecnológicas digitales emergentes, como inteligencia artificial y analítica (con sólo 7%) o Machine Learning (con el mismo porcentaje).
Respecto a los riesgos cibernéticos que merecen mayor atención por parte de las instituciones financieras, se realizaron entrevistas a los profesionales, quienes tenían que priorizar los riesgos del 1 al 7, siendo el uno el riesgo más alto y siete el más bajo (Cuadro 1). El mayor riesgo se da en la pérdida/robo de activos de información clasificada (confidencial o sensible) con un puntaje de 2.55 en promedio; seguido de secuestro de la información con 2.91; compromiso de credenciales de usuarios privilegiados con 3.17; sabotaje o fraude a través de personal interno con 3.25; denegación del servicio 3.88; y, alteración en sitio web con 4.76 puntos.
Cuadro 1. Riesgo cibernético, por tamaño de empresa, 2019
Los ataques de seguridad más comúnmente identificados son el malware (56% de las entidades) y phishing dirigido para tener acceso a los sistemas de las instituciones (47% de las entidades).
Otro análisis relevante que presenta el estudio es el relacionado a si los clientes son informados de la vulneración de sus datos personales por parte de las entidades. El Cuadro 2 muestra las información proporcionada a los clientes. Es decir, la gran mayoría de las entidades financieras grandes sí tienen un plan de comunicación, mientras que menos de la mitad de las instituciones financieras medianas y pequeñas informan sobre los ataques.
Cuadro 2. Uso de mecanismos de comunicación para reportar incidentes, por tamaño de empresa, 2021
En promedio, 61% de las instituciones no son transparentes con el usuario cuando se presenta una vulneración y dado que no hay tampoco obligación de reportarlo al INAI, estamos frente a un vacío legal que desatiende la protección, la cual es un derecho humano.
En relación con el presupuesto de seguridad de la información (incluyendo ciberseguridad), como porcentaje del EBITDA (Earnings Before Interest Taxes Depreciation and Amortization), el panorama no es positivo. Las entidades destinan sólo 2.3% del EBITDA para la seguridad de la información. Además, en los últimos años ha disminuido. El estudio señala que las dos razones principales para disminuirlo fueron un ajuste presupuestal debido a lo costoso de la seguridad de la información y un cambio en el impacto en el apetito de riesgo.
CAPÍTULO DOS
EL SISTEMA FINANCIERO DIGITAL MEXICANO
- El marco normativo que regula al sector bancario y a las instituciones de tecnología financiera se encuentra disperso en diversos ordenamientos jurídicos, haciendo compleja su regulación y cumplimiento, generando confusiones en todos los participantes.
- La seguridad y ciberseguridad es esencial para que las empresas relacionadas con este ecosistema puedan operar debidamente y generen un vínculo de confianza entre las autoridades financieras y los usuarios, elemento fundamental para el desarrollo del sector.
- En el sistema financiero digital, las instituciones financieras y los usuarios acceden a sistemas tecnológicos digitales para efectuar transacciones, revisar estados de cuenta, otorgar créditos, administrar fondos e inversiones, contratar seguros, etc.
- Las actividades digitales han agilizado la operación del sistema financiero mexicano a través de la banca electrónica y las plataformas financieras digitales.
Introducción
En este capítulo se aborda de manera general el sistema financiero digital, haciendo una breve referencia al concepto, los participantes y el marco normativo, con el objetivo de plasmar sus características más importantes, así como las diferencias entre los diferentes participantes de este sector.
2.1 Concepto de Sistema Financiero Digital
El sistema financiero mexicano es un concepto amplio que ha tenido diferentes definiciones y perspectivas a lo largo del tiempo. Especialmente, hoy es complicado proporcionar una definición debido a la gran influencia de las nuevas tecnologías que desarrollan y operan actividades financieras. También encontramos que se ha definido al sistema financiero mexicano como “el conjunto de autoridades que lo regulan y supervisan; entidades financieras que intervienen en el ahorro e inversión; las instituciones de servicios complementarios, auxiliares o de apoyo a dichas entidades; así como otras entidades financieras que presten servicios integrados y entidades que limiten sus actividades a información sobre operaciones activas o prestan servicios bancarios con residentes en el extranjero”.[1]
Otra forma de comprender el sistema financiero mexicano es entenderlo como el conjunto de personas e instituciones, privadas y públicas, que captan, administran, regulan y dirigen los recursos financieros, con la finalidad de introducirlos en el mercado para su negociación, dentro del marco jurídico vigente aplicable. En ese sentido, el objetivo principal del sistema financiero mexicano es la captación del dinero ahorrado para ponerlo a disposición de quien lo necesite, así como de captar, administrar y dirigir el ahorro para inversión o gasto.
Sin embargo, podemos observar que este concepto no toma en cuenta la incorporación de la tecnología en las transacciones financieras, y tampoco incluye a las plataformas financieras digitales, así denominadas por ofrecer productos y servicios financieros a través de plataformas digitales utilizando tecnología disruptiva para su operación. Es decir, no se incluyen los servicios financieros digitales.
De esta manera, las instituciones y usuarios acceden a los diversos sistemas tecnológicos digitales para realizar operaciones financieras. Por ejemplo, efectuar transacciones, revisar estados de cuenta, otorgar créditos, administrar fondos e inversiones, entre otras operaciones. Este tipo de actividades digitales han agilizado la operación del sistema financiero mexicano, especialmente, dentro del sector bancario a través de la banca electrónica y las plataformas financieras digitales, pues las instituciones y empresas pertenecientes a estos sectores han podido implementar plataformas electrónicas que facilitan la consecución de actividades financieras de forma remota.
El sistema financiero digital a través de las plataformas financieras digitales y la banca electrónica utilizan medios electrónicos y tecnologías novedosas para la prestación y operación de servicios y productos financieros. En ese sentido, esta industria de tecnología financiera, por su naturaleza, debe ser supervisada, monitoreada y regulada por diferentes autoridades como la CNBV, CONDUSEF, BANXICO, CNSF y CONSAR. Para que aquellas instituciones puedan llevar a cabo sus operaciones y actividades, es necesario que mantengan un estricto cumplimiento normativo, de interés público, en beneficio de la economía individual y colectiva, así como de la protección de los usuarios, clientes y terceros.
Adicionalmente, la ciberseguridad es esencial para que las empresas relacionadas con este ecosistema puedan operar debidamente y generen un vínculo de confianza entre las autoridades financieras y los usuarios, elemento fundamental para el desarrollo de este sector.
2.2 Participantes que regulan el sector
El funcionamiento del Sistema Financiero Mexicano está condicionado por los diferentes participantes que lo monitorean y regulan, con la finalidad de cuidar su correcta operatividad y desarrollo. Las principales autoridades del Sistema Financiero Mexicano son las siguientes: (i) Secretaría de Hacienda y Crédito Público (SHCP); (ii) Banco de México (BANXICO); (iii) Comisión Nacional Bancaria y de Valores (CNBV); (iv) Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF); (v) Instituto para la Protección del Ahorro Bancario (IPAB); (vi) Comisión Nacional de Seguros y Fianzas (CNSF); (vii) Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR); y, (viii) Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
2.3 Marco normativo
En México, el marco normativo que regula al sector bancario y a las instituciones de tecnología financiera se encuentra en diversos ordenamientos jurídicos. Por un lado, al sector bancario se aplican, principalmente, las siguientes leyes y sus respectivos reglamentos y circulares: (i) Ley de Instituciones de Crédito; (ii) Ley del Banco de México; (iii) Ley de Protección al Ahorro Bancario; y, (iv) Ley de la Comisión Nacional Bancaria y de Valores.
Para el sector de tecnología financiera, se aplica la Ley para Regular las Instituciones de Tecnología Financiera, únicamente regulando las siguientes actividades: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo. A las plataformas financieras digitales que realicen otro tipo de actividades se les aplicarán las disposiciones relacionadas a sus actividades y objeto social.
Adicionalmente, existen otros ordenamientos jurídicos que regulan otras áreas del sector financiero. Lo anterior debido a que este sistema complejo está integrado por diferentes instituciones, actividades y operaciones financieras que cumplen con funciones y características especiales, las cuales son atendidas de manera específica en sus respectivos ordenamientos jurídicos.
Por ejemplo, el sector de ahorro y crédito popular compuesto por entidades financieras como las Sociedades Financieras Populares (SOFIPO),Sociedades de Ahorro y Préstamo (SOCAP) y Sociedades Financieras Comunitarias (SOFINCO) está regulado por la Ley de Ahorro y Crédito Popular y sus respectivas disposiciones y reglamentos. De igual manera, las entidades financieras que componen a las organizaciones y actividades auxiliares de crédito, como son las Sociedades Financieras de Objeto Múltiple (SOFOM), Transmisores de Dinero, Casas de Bolsa, Uniones de Crédito y los Almacenes Generales de Depósito, están específicamente reguladas por la Ley General de Organizaciones y Actividades Auxiliares de Crédito, así como de sus disposiciones de carácter general emitidas por reservas de ley.
La dispersión de reglamentos y circulares emitidas por las distintas instituciones financieras que la regulan hacen compleja su regulación, implementación y cumplimiento.
CAPÍTULO TRES
BANCA ELECTRÓNICA EN MÉXICO
- La banca electrónica es el conjunto de servicios y operaciones bancarias que las instituciones realizan con sus usuarios a través de medios electrónicos.
- El marco normativo de las operaciones y prestación de servicios bancarios realizados a través de medios electrónicos está establecido en: (i) Código de Comercio, (ii) Ley de Instituciones de Crédito, (iii) Disposiciones de Carácter General aplicables a las Instituciones de Crédito; y, (iv) Circulares emitidas por las autoridades competentes.
- En materia de seguridad de los usuarios, existen diversas disposiciones emitidas por las autoridades financieras que las instituciones bancarias deberán cumplir para proteger la identidad y patrimonio de los clientes cuando utilizan la banca electrónica.
- Las instituciones bancarias deben señalar los mecanismos y procedimientos de identificación y autenticación del usuario, así como sus responsabilidades y las de la institución financiera responsable respecto del uso del servicio de la banca electrónica.
- Las Instituciones de crédito que utilicen medios electrónicos para la celebración de operaciones y de prestación de servicios, deberán implementar medidas y mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información, a fin de evitar que sea conocida por terceros.
- El Director General de las instituciones financieras será responsable de implementar el sistema de control interno en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad.
- Las instituciones de crédito deben tener políticas y lineamientos de privacidad de datos para garantizar el manejo adecuado y control de documentos que contengan información confidencial de los clientes.
Introducción
En este capítulo se hace un análisis normativo de la regulación existente de la banca electrónica desde su concepto hasta las medidas de seguridad emitidas por las instituciones competentes. En este sentido, dividimos el capítulo en distintos mecanismos de seguridad partiendo del análisis de: (i) mecanismos de seguridad para la protección de los usuarios; (ii) mecanismos de seguridad en las instituciones de crédito; (iii) mecanismos de seguridad de la información; (iv) mecanismos de seguridad en el sistema de pagos de la banca electrónica; y, (v) las políticas y lineamientos de privacidad que las instituciones de crédito deben tener para garantizar el manejo adecuado de información confidencial de los clientes.
3.1 Concepto de Banca Electrónica
La banca electrónica o banca digital se define en las Disposiciones de Carácter General aplicables a las Instituciones de Crédito[2] conocidas como la Circular Única de Bancos (CUB), y se refiere a: “el conjunto de servicios y operaciones bancarias que las instituciones realizan con sus usuarios a través de medios electrónicos”. Adicionalmente, podemos añadir que también se puede definir como la digitalización completa de las operaciones y transacciones de los bancos y todas sus actividades, programas y funciones. Dicha banca se encuentra segmentada con base en los diferentes servicios y herramientas que utilizan para ofrecer productos y servicios específicos. Es decir, se refiere a los paquetes de herramientas bancarias con las que las instituciones financieras facilitan la interacción con sus clientes a través de dispositivos y plataformas digitales móviles.
3.2 Características de la banca electrónica
De acuerdo con la CUB, los bancos tienen la facultad de pactar la celebración de sus operaciones y la prestación de servicios con el público, a través de servicios de banca electrónica. Sin embargo, para que esto sea posible, estas tecnologías deben cumplir ciertas características, así como el cumplimiento de requisitos y obligaciones por parte de las instituciones de crédito que las operen. En principio, las operaciones y servicios deberán ser proporcionados a través de medios electrónicos (equipos, medios ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean públicos o privados).
3.3 Marco normativo
El marco normativo de las operaciones y prestación de servicios bancarios realizados a través de medios electrónicos está establecido en los siguientes instrumentos.
- Código de Comercio: dedica el título segundo al comercio electrónico y en este se establecen las bases de su regulación y la posibilidad de usar los registros electrónicos como medio de prueba (artículos 89-114).
- Ley de Instituciones de Crédito: establece el uso de la firma electrónica avanzada o cualquier otra autenticación que podrán, las instituciones de crédito y los clientes, pactar para la celebración de sus operaciones y la prestación de servicios con el público mediante el uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos (art. 52). También se regula la posibilidad de que los clientes puedan autorizar a terceros para que hagan disposiciones en efectivo y aceptar préstamos y crédito a través de medios electrónicos ópticos o de cualquier otra tecnología (art. 57).
- Disposiciones de Carácter General aplicables a las Instituciones de Crédito: regulan, en el capítulo X, sección cuarta, el uso del servicio de banca electrónica.
- Circulares emitidas por las autoridades competentes: como la CIRCULAR 3/2012 emitida por BANXICO y que se refiere a las disposiciones aplicables a las operaciones de las instituciones de crédito, las sociedades financieras de objeto múltiple reguladas que mantengan vínculos patrimoniales con instituciones de crédito y la financiera nacional de desarrollo agropecuario, rural forestal y pesquero.
3.4 Mecanismos de seguridad para la protección de los usuarios
En materia de seguridad de los usuarios, existen diversas disposiciones emitidas por las autoridades financieras que las instituciones bancarias deberán cumplir para proteger la identidad y patrimonio de los clientes cuando utilizan la banca electrónica. Estas deberán tener medidas de seguridad adecuadas para evitar fraudes y malas prácticas y generar una relación de confianza entre los usuarios y las instituciones bancarias. Las instituciones bancarias deben señalar los mecanismos y procedimientos de identificación y autenticación del usuario, así como sus responsabilidades y las de la institución financiera responsable respecto del uso del servicio de la banca electrónica.
La CUB determina que las instituciones de crédito deben utilizar factores de autenticación para verificar la identidad de sus usuarios y las faculta para realizar operaciones a través del servicio de banca electrónica. En el artículo 1, fracción LXVI de la CUB se define el factor de autenticación como: “el mecanismo de autenticación, tangible o intangible, basado en las características físicas del usuario, en dispositivos o información que solo el usuario posea o conozca”. Los procesos de autenticación, dependiendo del medio electrónico de que se trate y de lo establecido en la CUB, establecen diferentes mecanismos para la obtención, retención y tratamiento de datos de los usuarios.
En el capítulo X, sección segunda de la CUB referente a la identificación del usuario y la autenticación del uso del servicio de la banca electrónica (artículos 308-313), se establecen medidas de seguridad que las instituciones bancarias deben implementar en la banca electrónica y se señalan distintos factores de autenticación divididos en 4 categorías, que a continuación se señalan.
- Categoría 1: información que el usuario conozca y que la institución valide a través de cuestionarios practicados por operadores de centros de atención telefónica.
- Categoría 2: información que solamente el usuario conozca, tales como contraseñas y Números de Identificación Personal (NIP). Es importante mencionar que, en el caso en que las instituciones financieras los generen durante la contratación de un servicio de banca electrónica o durante el restablecimiento de contraseñas o NIP, deberán prever mecanismos y procedimientos por medio de los cuales el usuario deba modificarlos inmediatamente después de iniciar la sesión correspondiente.
- Categoría 3: información contenida, recibida o generada en medios o dispositivos respecto de los cuales el usuario tenga posesión, tales como dispositivos o mecanismos generadores de contraseñas dinámicas de un solo uso y tarjetas bancarias con circuito integrado, que tengan propiedades que impidan la duplicación de dichos medios, dispositivos o de la información que estos contengan o generen.
- Categoría 4: información del usuario derivada de sus características físicas, tales como huellas dactilares, geometría de la mano o patrones en iris o retina, siempre que dicha información no pueda ser duplicada y utilizada posteriormente
Adicionalmente, la Circular Única de Bancos señala otras medidas de seguridad, tales como:
- Proveer lo necesario para impedir la lectura en la pantalla del dispositivo de acceso, de la información de identificación y autenticación proporcionada por los usuarios.
- Contar con procedimientos para invalidar los factores de autenticación para impedir su uso en un servicio de banca electrónica, cuando un usuario o la misma institución cancele el uso de dicho servicio o cuando dicho usuario deje de ser cliente de la institución.
- Asegurar que en la generación, entrega, almacenamiento, desbloqueo y restablecimiento de los Factores de Autenticación, únicamente sea el usuario quien los reciba, active, conozca, desbloquee y restablezca.
- Permitir a los usuarios cambiar sus contraseñas, números de identificación personal y otra información de autenticación estática, cuando este último así lo requiera, utilizando los servicios de banca electrónica.
- Establecer los mecanismos y procedimientos para la notificación de las operaciones realizadas y servicios prestados por las instituciones, a través del servicio de banca electrónica.
- Informar a los clientes, en forma previa a la contratación, los términos y condiciones para el uso del servicio de la banca electrónica, debiendo mantener dicha información disponible para su consulta en cualquier momento.
- Notificar a los usuarios los riesgos inherentes a la utilización del servicio de banca electrónica, así como sugerencias para prevenir la realización de operaciones irregulares o ilegales que vayan en detrimento del patrimonio de los clientes y de las instituciones, pudiendo efectuarse, entre otros, mediante campañas periódicas de difusión de recomendaciones de seguridad para la realización de operaciones a través de dicha banca electrónica.
3.5 Mecanismos de seguridad en las instituciones de crédito
Las Instituciones de crédito que utilicen medios electrónicos para la celebración de operaciones y de prestación de servicios, deberán implementar medidas y mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información, a fin de evitar que sea conocida por terceros.
En la CUB existe un capítulo sobre el monitoreo, control y continuidad de las operaciones y servicios de banca electrónica en el cual se establecen mecanismos de control para la detección y prevención de eventos que se aparten del uso habitual de los usuarios o de movimiento no reconocidos. Entre algunas de las medidas más relevantes se encuentran las siguientes:
- Contar con áreas de soporte técnico y operacional, integradas por personal capacitado.
- Procurar la operación continua de la infraestructura de cómputo y de telecomunicaciones, así como dar pronta solución, para restaurar el servicio de banca electrónica, en caso de presentarse algún incidente.
- Informar las incidencias a los Comités de Auditoría y de Riesgos de la institución en la sesión inmediata siguiente a la verificación del evento de que se trate, a efecto de que se adopten las medidas conducentes para prevenir o evitar que se presenten nuevamente.
- Implementar las acciones correctivas que la CNBV requiera a las instituciones, como resultado de la identificación de riesgos asociados con el uso de los servicios de banca electrónica.
3.6 Mecanismos de seguridad de la información
En la CUB se establece que el Director General de las instituciones financieras será responsable de implementar el sistema de control interno en materia de seguridad de la información, que procure su confidencialidad, integridad y disponibilidad (artículo 168 Bis). Tratándose de incidentes de seguridad de la información, las instituciones deberán contar con procesos de gestión que aseguren la detección, clasificación, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, reporte a niveles jerárquicos competentes, solución, seguimiento y comunicación a autoridades, clientes y contrapartes de dichos incidentes. Asimismo, el Director General deberá designar a un equipo con personal de las distintas áreas de la institución para apoyar la gestión y se deberá incluir al oficial jefe de seguridad de la información.
En caso de que existan vulnerabilidades o deficiencias en la infraestructura tecnológica, deberán tomarse las acciones correctivas o controles compensatorios de acuerdo al nivel de riesgo de que se trate.
3.7 Mecanismos de seguridad en el sistema de pagos de la banca electrónica
En México, la principal función de la banca electrónica es otorgar a los clientes y usuarios agilidad, simplicidad y optimización en sus operaciones financieras. No obstante, esta función no tendría el alcance esperado si los medios electrónicos empleados para dichos propósitos únicamente son implementados para operaciones y servicios proporcionados entre las mismas instituciones bancarias. En efecto, resulta oportuno que los diversos bancos utilicen sistemas electrónicos que conectan con otros bancos y autoridades. En ese sentido, actualmente, existen determinados sistemas electrónicos de pago que permiten la operación de transacciones y actividades entre bancos. Estos son (i) Sistema de Pagos Electrónicos Interbancarios (SPEI); y, (ii) Transferencias Electrónicas de Fondos (TEF).
De acuerdo con BANXICO, el SPEI es un sistema desarrollado y operado por la misma institución, el cual permite al público en general realizar en cuestión de segundos, pagos electrónicos, también llamados transferencias electrónicas, a través de la banca por internet o de la banca móvil. Este sistema permite transferir dinero electrónicamente entre cuentas de depósito de distintos bancos de manera casi instantánea.
El SPEI es un sistema regulado por BANXICO y sujeto a la normatividad que el propio Banco determina para su implementación. Dentro del proceso que cubre el SPEI, se incluyen instituciones financieras bancarias y no bancarias, plataformas financieras digitales y cualquier otra institución que por su naturaleza u operación requiere una conexión al SPEI. Este sistema permite realizar transferencias de fondos entre sus participantes y llevar información para indicar si un cliente ordenó el pago y, en su caso, para identificarlo. Asimismo, este puede llevar información para instruir al participante receptor para que acredite el pago a uno de sus clientes y ejecute con frecuencia un proceso que determina qué pagos pueden liquidarse con los saldos que los participantes tienen en ese momento. Los participantes deben enviar los pagos que soliciten sus cuentahabientes a más tardar 5 segundos después de aceptar la solicitud. Asimismo, los receptores de un pago deberán acreditar la cuenta de su cliente beneficiario a más tardar 5 segundos después de recibir el aviso de que se ha liquidado el pago.
El sistema TEF, se refiere a un medio de pago utilizado para realizar pagos interbancarios, sin límite de monto y que pueden ser periódicos (como pagos de nómina) u ocasionales entre los cuentahabientes de la banca en México. Este consiste en la transferencia o envío electrónico de fondos programados en moneda nacional, a 24 o 48 hrs., de una cuenta de cheques o tarjeta de débito de un banco, a una cuenta de cheques o tarjeta de débito, de cualquier otra institución bancaria participante. Este medio de pago permite a los bancos y a sus clientes, una forma segura de realizar sus operaciones con rapidez, oportunidad y confidencialidad, así como eliminar los costos y riesgos de realizar pagos en efectivo o con cheques, ofreciendo mayor comodidad y seguridad a los emisores y receptores de los pagos, además que ofrece servicios de valor agregado.
Estos sistemas de pagos están regulados por la Ley de Sistemas de Pago, las disposiciones de carácter general aplicables, así como los lineamientos y circulares emitidas por BANXICO para tales efectos. Estas regulaciones, entre otras, tienen disposiciones que establecen elementos de protección como: (i) uso de firma electrónica; (ii) plataformas de telecomunicaciones privadas y cifradas; y, (iii) mecanismos automatizados orientados a mantener la integridad de los datos intercambiados.
Cabe destacar que, en materia de protección de datos y ciberseguridad, BANXICO, durante 2019 y 2020, implementó diversos programas de reforzamiento a la seguridad, los cuales han tenido, como consecuencia, la creación y formalización de documentos, normas, procesos o lineamientos a nivel institucional para regular la gobernanza, cumplimiento y organización; protección de datos; gestión de riesgos de seguridad; gestión de identidad y autenticación; respuesta a incidentes; administración de terceros y proveedores; protección de equipos de punto final; protección de aplicaciones y bases de datos; protección de redes y centros de datos; y, capacitación y concientización en seguridad. A finales de 2020, BANXICO amplió las facultades de la Dirección de Ciberseguridad (creada en 2018) para que absorba funciones de seguimiento al cumplimiento de normas y disposiciones internas y externas en materia de ciberseguridad, así como de análisis de información de inteligencia en ciberseguridad y de coordinación en incidentes de ciberseguridad.
3.8 Políticas y lineamientos de privacidad
En el Capítulo IX Microfilmación y digitalización de documentos relacionados con las operaciones activas, pasivas y de servicios, sección tercera, artículo 304, segundo párrafo de la CUB, se establecen las políticas y lineamientos de privacidad que las instituciones de crédito deben tener para garantizar el manejo adecuado, y control de documentos que contengan información confidencial de los clientes, a fin de asegurar que exclusivamente accedan a ella las personas que por sus funciones deban conocerla (fracción I), adicionalmente deberán cumplir en todo momento con las disposiciones relacionadas con el secreto bancario y fiduciario respecto de la información relativa a las operaciones activas, pasivas y de servicios de sus clientes y, además, deberán establecer controles estrictos para evitar la sustracción de información relacionada con los libros, registros y documentos en general (fracc. II).
CAPÍTULO CUATRO
AHORRO Y CRÉDITO POPULAR
Y ORGANIZACIONES AUXILIARES DE CRÉDITO
- El sistema financiero digital, en los últimos años, también ha cobrado relevancia en el sector de ahorro y crédito popular.
- Este sector está integrado por tres entidades financieras reguladas: (i) Sociedades Cooperativas de Ahorro y Préstamo (SOCAP); (ii) Sociedades Financieras Populares (SOFIPO); y, (iii) Sociedades Financieras Comunitarias (SOFINCO).
- Las entidades influyentes en la tecnología financiera y en las plataformas financieras digitales son las SOFIPO.
- Las SOFIPO tienen facultad de prestar servicios financieros como depósitos, préstamos y créditos, emitir tarjetas de débito y crédito.
- Para que una SOFIPO pueda desarrollar un esquema de ofrecimiento de productos y servicios financieros de manera digital es necesario que implemente un Programa General de Operación.
- Las SOFIPO deben contar con un manual de tecnologías de la información y requerimiento de información con el objeto de incorporar los elementos mínimos relativos a la seguridad de los sistemas informáticos e infraestructura tecnológica con la cual se pretende soportar la operación.
- Las Sociedades Financieras de Objeto Múltiple (SOFOM) son entidades financieras reguladas por la Ley de Organizaciones y Actividades Auxiliares de Crédito, son sociedades anónimas que cuentan con un registro vigente ante la CONDUSEF.
- Las SOFOM pertenecen al sector de intermediarios financieros no bancarios y su principal actividad es otorgar créditos a las pequeñas y medianas empresas.
- Las SOFOM son entidades financieras que pueden ser Reguladas (SOFOM ER) o No Reguladas (SOFOM ENR).
- Las SOFOM reguladas mantienen vínculos patrimoniales con otras entidades financieras reguladas como las SOFIPO, SOFINCO, SOCAP e Instituciones de Crédito y aquellas SOFOM que para fondear sus operaciones emitan valores de deuda.
- Todas las SOFOM que no actualicen ninguno de los requisitos y supuestos señalados para las SOFOM Reguladas, entonces serán SOFOM No Reguladas.
Introducción
En este capítulo presentamos dos participantes relevantes en el sistema financiero digital: las Sociedades Financieras Populares y las Sociedades Financieras de Objeto Múltiple. Lo anterior con la finalidad de exponer algunas de las instituciones financieras que han tenido impacto en el desarrollo de plataformas financieras electrónicas que facilitan la inclusión financiera de la población en su conjunto.
4.1 Sociedades Financieras Populares
El sistema financiero digital, en los últimos años, también ha cobrado relevancia en el sector de ahorro y crédito popular. Particularmente, en estas instituciones, debido a que cuentan con regulaciones y disposiciones menos estrictas que el sector bancario, específicamente en los requerimientos de capital y activos, ha generado que sean atractivas para ciertos inversionistas que pretenden ofrecer productos y servicios financieros de manera tecnológica. Un ejemplo reciente de esto fue la adquisición de Akala, una SOFIPO, por la empresa tecnológica Nu en febrero del 2022.[3]
El sector financiero de ahorro y crédito popular tiene su naturaleza y regulación en la Ley de Ahorro y Crédito Popular y en la Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo. La principal función de este ordenamiento jurídico es regular la actividad financiera de instituciones que tengan la capacidad y finalidad de apoyar a micro, pequeñas y medianas empresas, así como de las comunidades y de la población que no cuenten con los requisitos prácticos que exigen las instituciones bancarias. Este sector está integrado por tres entidades financieras reguladas: (i) Sociedades Cooperativas de Ahorro y Préstamo (SOCAP); (ii) Sociedades Financieras Populares (SOFIPO); y, (iii) Sociedades Financieras Comunitarias (SOFINCO). Estas tres entidades son instituciones autorizadas para realizar actividades reservadas de captación y colocación de los recursos provenientes del público. En ese sentido, requieren de autorización y supervisión por parte de la CNBV y sus respectivas Federaciones (instituciones de interés público, con personalidad jurídica y patrimonio propios, sin fines de lucro).
Para efectos del presente estudio, las entidades realmente influyentes en la tecnología financiera y en las plataformas financieras digitales son las SOFIPO. Lo anterior debido a que son las únicas que tienen la naturaleza de una sociedad anónima que puede realizar operaciones activas y pasivas de manera análoga a una institución de banca múltiple, pero en cantidades menores. De conformidad con la Ley de Ahorro y Crédito Popular, una SOFIPO es una institución de microfinanzas constituida como sociedad anónima de capital variable que opera mediante autorización otorgada por la CNBV, conforme a la facultad que le confiere el artículo 9 de la mencionada ley y previo dictamen otorgado por una Federación.
Las SOFIPO tienen facultad de prestar servicios financieros como depósitos, préstamos y créditos, emitir tarjetas de débito y crédito, entre otras, dependiendo de su nivel de operación otorgado por la CNBV.[4]En ese sentido, al analizar esta entidad financiera, el ordenamiento jurídico que será explicado a continuación será la Ley de Ahorro y Crédito Popular, así como sus disposiciones secundarias emanadas de ella.
4.1.1 Marco Normativo
El marco normativo de las operaciones y prestación de servicios ofrecidos en el sector popular realizados a través de medios electrónicos está establecido en los siguientes instrumentos.
- Ley de Ahorro y Crédito Popular: regula en lo general los aspectos societarios, regulatorios y operativos de las entidades financieras pertenecientes al sector del ahorro y crédito popular. Específicamente, por lo que respecta a lo relacionado con seguridad de la información y protección de datos, el artículo 34 establece el principio de confidencialidad de la información y documentación que recaben estas instituciones con la finalidad de garantizar y proteger el derecho a la privacidad de los clientes y usuarios. Adicionalmente, el artículo 124 de esta ley establece un principio de reserva de ley para establecer mediante otro instrumento normativo las bases sobre las cuales deben operar las SOFIPO en observancia con los estándares de seguridad de la información y políticas de conocimiento de los usuarios y clientes.
- Disposiciones de Carácter General Aplicables a las Entidades de Ahorro y Crédito Popular, Organismos de Integración, Sociedades Financieras Comunitarias y Organismos de Integración Financiera Rural, a que se refiere la Ley de Ahorro y Crédito Popular: establece los estándares, políticas, manuales y lineamientos con los que las entidades de dicho sector deben contar en relación con seguridad de la información y protección de datos.
- Disposiciones de Carácter General a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular: regula la obtención de información y datos de los usuarios de las plataformas tecnológicas o clientes de las entidades financieras pertenecientes a este sector, así como los factores de autenticación de los mismos con sus estándares de seguridad y protección.
4.1.2 Medidas de seguridad de la información y tecnologías de la información
Para que una SOFIPO pueda desarrollar un esquema de ofrecimiento de productos y servicios financieros de manera digital es necesario que implemente un Programa General de Operación (PGO), el cual tenga sincronía con las actividades que tenga autorizadas realizar con base en el monto de sus activos. Además de este PGO, las SOFIPO tienen la obligación de cumplir con ciertas autorizaciones especiales, infraestructura y requisitos mínimos para poder operar plataformas tecnológicas donde ofrezcan sus servicios y productos financieros.
Por un lado, el PGO es el documento que describe de forma detallada el modelo concreto de operatividad, desarrollo y ejecución de las SOFIPOS, con la finalidad de alcanzar el objetivo definido en su respectiva estrategia de negocio. Lo anterior en virtud del cual la CNBV evalúa para determinar si la SOFIPO podrá cumplir adecuadamente con el objeto establecido en sus estatutos sociales y con los requisitos necesarios para llevar a cabo las operaciones que pretende realizar.[5] Dentro de su contenido, este documento, entre otros, debe contener lo siguiente.
4.1.3 Programas de contingencia y seguridad.
Dentro de las obligaciones de contar con determinados manuales y políticas que integran estos programas de contingencia y seguridad, está establecida la obligación de las SOFIPO de mantener un manual de tecnologías de la información y requerimiento de información. Este manual tiene por objeto incorporar los elementos mínimos relativos a los sistemas informáticos e infraestructura tecnológica con la cual se pretende soportar la operación de la SOFIPO.
4.1.4 Medidas o mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información a través de Medios Electrónicos
Las SOFIPO deben implementar medidas o mecanismos que comprendan políticas y procedimientos para preservar la continuidad de la operación de la SOFIPO en condiciones normales, asegurar el resguardo y protección de su información, de la de sus clientes y diferentes usuarios, en cumplimiento con la regulación a que estará sujeta la misma. Algunas de las medidas que deben contemplar son (i) cifrar los mensajes o utilizar medios de comunicación cifrada; (ii) contar con controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios efectuados a través de medios electrónicos; y, (iii) utilizar tecnologías que manejan cifrado y que requieran el uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos.[6]
Por el otro lado, las SOFIPO deben cumplir con ciertos parámetros y obligaciones establecidas en las Disposiciones de Carácter General a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular para poder realizar contrataciones y ofrecimiento de productos y servicios de manera digital. Dentro de estos requisitos, están contemplados los siguientes.[7]
- Las SOFIPO que pretendan recibir aportaciones de capital social y apertura de cuentas de depósito de manera digital cuya suma de los abonos en el transcurso de un mes calendario que no exceda el equivalente en moneda nacional a 30,000 Unidades de Inversión o quieran ofrecer líneas de crédito o monto otorgado no mayor a 60,000 Unidades de Inversión, deberán implementar un mecanismo que permita identificar al solicitante mediante una grabación que contenga imagen y sonido. Para realizar estas operaciones, además, la SOFIPO deberá avisar a la CNBV con la información detallada y desglosada de las actividades, clientes y operaciones planeadas, así como asumir la obligación de emitir reportes de tiempo en tiempo a la CNBV.
- Las SOFIPO que pretendan recibir aportaciones de capital social y apertura de cuentas de depósito de manera digital cuya suma de los abonos en el transcurso de un mes calendario que no exceda el equivalente en moneda nacional a 60,000 Unidades de Inversión o quieran ofrecer líneas de crédito o monto otorgado no mayor a 100,000 Unidades de Inversión, deberán implementar una tecnología que permita verificar la coincidencia de la información biométrica del solicitante. Lo anterior, ya sea con los registros del Instituto Nacional Electoral (INE), la Secretaría de Relaciones Exteriores (SRE) o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, así como que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido. Para poder operar este tipo de tecnologías y realizar estas operaciones, la SOFIPO necesita una autorización especial emitida por la CNBV.
- En el supuesto de que el nivel transaccional supere aquellos montos máximos establecidos, la SOFIPO deberá realizar una entrevista presencial al cliente e integrar su expediente de identificación respectivo con la totalidad de la información y documentación que corresponda. Asimismo, la SOFIPO deberá informar a sus clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
4.2 Sociedades Financieras de Objeto Múltiple
Otro de los sectores que ha tenido influencia relevante en el sistema financiero digital es el de los intermediarios financieros no bancarios. En principio, los intermediarios financieros no bancarios, conforme a la Ley de Instituciones de Crédito, son todas aquellas instituciones financieras reguladas que tienen la finalidad de colocar financiamiento a sus acreditados. No obstante, estas están impedidas por sus respectivos ordenamientos jurídicos de realizar las actividades de banca y crédito. Estas actividades, según lo dispuesto en el artículo 2 de la Ley de Instituciones de Crédito, son la captación de recursos del público en el mercado nacional para su colocación en el público, mediante actos causantes de pasivo directo o contingente, quedando el intermediario obligado a cubrir el principal y, en su caso, los accesorios financieros de los recursos captados.[8]
La relevancia de este sector en el aceleramiento de la digitalización del sistema financiero mexicano tiene raíz en la pandemia COVID-19. Uno de los efectos de la pandemia fue la necesidad de varias pequeñas y medianas empresas de acceder a créditos para evitar la insolvencia o pérdidas significativas de capital. En ese sentido, dentro de las instituciones que impulsaron sus desarrollos tecnológicos para ofrecer productos y servicios financieros a estas empresas fueron las SOFOM, mismas que pertenecen al sector de intermediarios financieros no bancarios.[9]
4.2.1 Concepto de SOFOM ER y SOFOM ENR
Las Sociedades Financieras de Objeto Múltiple son entidades financieras reguladas por la Ley de Organizaciones y Actividades Auxiliares de Crédito. Esencialmente, son sociedades anónimas que cuentan con un registro vigente ante la CONDUSEF, y cuyo objeto social principal es la realización habitual y profesional de una o más de las actividades de otorgamiento de crédito, arrendamiento financiero o factoraje financiero.[10]
Las SOFOM son entidades financieras que pueden ser “Reguladas” (SOFOM ER) o “No Reguladas” (SOFOM ENR). Por un lado, con el decreto por el que se reformaron, adicionaron y derogaron diversas disposiciones en materia financiera publicado el 10 de enero de 2014 en el Diario Oficial, se incorporó la figura jurídica de las Sociedades Financieras de Objeto Múltiple Reguladas. Esta figura hace referencia a aquellas entidades financieras que mantienen vínculos patrimoniales con otras entidades financieras reguladas como SOFIPO, SOFINCO, SOCAP e Instituciones de Crédito. Asimismo, se agregan a este régimen aquellas SOFOM que para fondear sus operaciones emitan valores de deuda inscritos en el Registro de Nacional de Valores conforme a la Ley del Mercado de Valores. Todas las SOFOM que no actualicen ninguno de los requisitos y supuestos señalados para las SOFOM Reguladas, entonces serán SOFOM No Reguladas.
Un beneficio de crear una SOFOM es que no se requiere autorización del gobierno federal para realizar una o más actividades de otorgamiento de crédito, arrendamiento financiero y factoraje financiero, y se tienen las ventajas fiscales y procesales que actualmente tienen las arrendadoras financieras, las empresas de factoraje financiero y las sociedades financieras de objeto limitado. Lo anterior, con el fin de tener mayor efecto promotor en el crédito, mayor competencia, menores costos de operación y, por ende, menores tasas de interés para el consumidor.
4.2.2 Marco Normativo
Las disposiciones que por su propia naturaleza le resultan aplicables a las SOFOM Reguladas son aquellas, de acuerdo al tipo de entidad financiera con la cual tiene vínculo patrimonial, y adquieren su carácter de reguladas. En ese sentido, las SOFOM Reguladas, si tienen vínculo patrimonial con una Institución de Crédito, le resultará aplicable la Ley de Instituciones de Crédito. En efecto, la regulación en materia de seguridad de la información de este tipo de SOFOM está regulada por ordenamientos jurídicos distintos que, los principales, ya fueron mencionados en la presente investigación (SOFIPO e Instituciones de Crédito).
Por su parte, la protección y defensa de la seguridad de la información del público usuario de los servicios que preste la SOFOM No Regulada en plataformas digitales está a cargo de la CNBV y CONDUSEF, con base en la Ley General de Organizaciones y Actividades Auxiliares del Crédito y las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-B (DCG SOFOM), entre otras de carácter general aplicables a los proveedores de servicios financieros y protección de los usuarios de los servicios financieros (Ley para la Transparencia y Ordenamiento de los Servicios Financieros y la Ley de Protección y Defensa al Usuario de Servicios Financieros). La CONDUSEF está facultada para emitir requerimientos a la SOFOM para que cumpla con lo dispuesto en la LGTOC e incluso, puede llevar a cabo visitas de verificación. La SOFOM No Regulada está obligada a colaborar con la CONDUSEF proporcionando la información que dicha autoridad le solicite para efectos de que dé a conocer los componentes, la metodología de cálculo y la periodicidad del costo anual total a que dicho precepto se refiere.
4.2.3 Seguridad de la información
Entre las obligaciones más relevantes en materia de seguridad de la información de las SOFOM, se encuentran las siguientes.
4.2.3.1 Sistemas Automatizados
El artículo 43 de la DCG SOFOM establece que cada SOFOM, como parte de su infraestructura tecnológica, deberá contar con sistemas automatizados que realicen, entre otras, las actividades y funciones siguientes:
- Conservar y actualizar, así como permitir la consulta de los datos relativos a los registros de la información que obre en el respectivo expediente de identificación de cada cliente;
- Generar y transmitir de forma segura a la SHCP, por conducto de la CNBV, la información relativa a los reportes de Operaciones Relevantes, Operaciones Inusuales y Operaciones Internas Preocupantes[11], así como aquella que deba comunicar a la SHCP o a la CNBV, en los términos y conforme a los plazos establecidos en las Disposiciones;
- Detectar y monitorear las Operaciones realizadas por un mismo Cliente, o por un mismo Usuario de los señalados en la 14ª, 15ª y 16ª de las Disposiciones, así como aquellas previstas en la fracción IV de la 30ª de estas Disposiciones;
- Ejecutar el sistema de alertas contemplado en la 21ª de las presentes Disposiciones;
- VBis. Contribuir a la detección, seguimiento y análisis de las posibles Operaciones Inusuales y Operaciones Internas Preocupantes, considerando al menos, la información que haya sido proporcionada por el Cliente al inicio de la relación comercial, los registros históricos de las Operaciones realizadas por este, el comportamiento transaccional, los saldos promedio y cualquier otro parámetro que pueda aportar mayores elementos para el análisis de este tipo de Operaciones;
- Agrupar en una base consolidada los diferentes contratos de un mismo Cliente, a efecto de controlar y dar seguimiento integral a sus saldos y Operaciones;
- Conservar registros históricos de las posibles Operaciones Inusuales y Operaciones Internas Preocupantes; y,
- Mantener esquemas de seguridad de la información procesada, que garanticen la integridad, disponibilidad, auditabilidad y confidencialidad de la misma.
4.2.3.2 Confidencialidad de la información
El artículo 44 de la DCG establece que los miembros del Comité, el Oficial de Cumplimiento, así como los directores, dignatarios, empleados y apoderados de las SOFOM, según sea el caso, deberán guardar absoluta confidencialidad respecto de la información relacionada con los informes previstos en la DCG SOFOM, salvo que lo solicite la SHCP, a través de la CNBV y demás autoridades expresamente autorizadas para ello.[12]
4.2.3.3 Protección al Usuario y Transparencia
El artículo 50 Bis de la Ley de Protección y Defensa al Usuario de Servicios Financieros establece que cada SOFOM deberá contar con una Unidad Especializada, cuya finalidad será la atención de consultas y reclamos de los usuarios. Las SOFOM deberán informar mediante avisos colocados en lugares visibles de todas sus sucursales, la ubicación, horario de atención y persona o personas a cargo de la Unidad Especializada. Los usuarios podrán, a su elección, presentar su consulta o reclamo ante la Unidad Especializada de la Entidad de que se trate o ante la CONDUSEF. En caso de que la SOFOM no cuente con sucursales u oficinas de atención al público, únicamente deberá indicar los datos de contacto de su Unidad Especializada en un lugar visible y de fácil acceso al público en general en los medios electrónicos utilizados para ofrecer sus servicios.
El titular de la Unidad Especializada deberá presentar dentro de los diez días hábiles siguientes al cierre de cada trimestre, un informe a la CONDUSEF de todas las consultas, reclamos y aclaraciones recibidas.
CAPÍTULO CINCO
INSTITUCIONES DE TECNOLOGÍA FINANCIERA
Y PLATAFORMAS FINANCIERAS DIGITALES
- El ecosistema de plataformas financieras digitales está compuesto por diversas organizaciones que proveen servicios financieros sustentados en tecnología que proporciona entornos y plataformas digitales para sistematizar sus operaciones.
- La Ley para Regular las Instituciones de Tecnología Financiera únicamente reconoce dos esquemas regulatorios: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo; por lo que todas aquellas empresas o servicios que quedan fuera de esta Ley pueden seguir dentro del concepto de plataforma financiera digital, pero sin estar reguladas por esta normatividad.
- Las ITF deberán contar con una persona encargada de desempeñar las funciones de jefe de seguridad de la información.
- En caso de eventos o incidentes a la seguridad, las ITF están obligadas a reportar inmediatamente a la CNBV, enviar informes detallados de los incidentes de seguridad, así como los reportes de los eventos de seguridad, llevar a cabo investigaciones sobre las causas que generaron los incidentes y notificar a los clientes cuya información sensible haya sido comprometida.
- El cumplimiento respecto de los requisitos de ciberseguridad está desarrollado en la Ley para Regular las Instituciones de Tecnología Financiera, las Disposiciones Generales emanadas de la Ley, Circulares emitidas por la SHCP, CNBV, CONDUSEF y la Circular Única de Instituciones de Fondo de Pago Electrónico (CUIFPE).
Introducción
En este capítulo presentamos la definición de las instituciones de tecnología financiera y los mecanismos de regulación que les aplican en materia de seguridad, con el objetivo que puedan participar en los mercados de productos y/o servicios financieros del país.
5.1 Definición de Instituciones de Tecnología Financiera y de plataformas financieras digitales
El concepto de tecnología financiera (FinTech o plataformas financieras digitales) proviene de dos palabras: Finance y Technology. El concepto se refiere al software y otras tecnologías modernas utilizadas por instituciones o empresas que ofrecen y brindan servicios financieros automatizados y mejorados. En ese sentido, el ecosistema plataformas financieras digitales está compuesto por diversas organizaciones que proveen servicios financieros sustentados en tecnología que proporciona entornos y plataformas digitales para sistematizar sus operaciones.
Las plataformas financieras digitales comprenden un ecosistema de diferentes empresas que ofrecen diversos servicios financieros: (i) medios de pago y transferencias; (ii) infraestructura para servicios financieros; (iii) organización digital de créditos; (iv) financiamiento colectivo (crowdfunding); (v) criptoactivos; y, (vi) blockchain, entre otros.
5.2 Características del ecosistema de plataformas financieras digitales
Por primera vez en México se emitió un instrumento normativo para regular las instituciones de tecnología financiera; el 9 de marzo de 2018 se publicó en el Diario Oficial de la Federación la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) con el propósito primordial de facilitar y hacer más accesibles los productos y servicios financieros.
En principio, como se mencionó, es fundamental distinguir entre lo que la LRITF regula y aquello que no está dentro de su ámbito material de aplicación. La LRITF únicamente reconoce dos tipos de instituciones de tecnología financiera que entran bajo los distintos esquemas regulatorios: (i) transferencias de fondos de pago electrónico; y, (ii) financiamiento colectivo. Así, todas aquellas empresas o servicios que quedan fuera de la LRITF pueden seguir dentro del concepto de plataformas financieras digitales pero sin estar reguladas por la normatividad específica de la LRITF.
La expresión FinTech se emplea para describir tecnologías que buscan mejorar y automatizar el servicio y operación de productos financieros. Es decir, este concepto hace referencia a un ecosistema digital económico conformado por empresas que usan tecnologías como internet, plataformas digitales, aplicaciones, algoritmos, big data, etc., para ofrecer servicios financieros a un menor costo y de manera eficiente, ágil, cómoda y confiable.
Existen diferentes clases de plataformas financieras digitales dependiendo de los servicios que ofrecen. En esencia, existen, entre otros, los siguientes: (i) medios de pago y transferencias; (ii) infraestructura para servicios financieros; (iii) soluciones financieras para empresas; (v) finanzas personales y asesoría financiera; (vi) mercados financieros; (vii) crowdfunding; (viii) criptomonedas; y, (ix) blockchain.
5.3 Instituciones Reguladas por la LRITF
5.3.1 Instituciones de Fondo de Pago Electrónico (IFPE)
Conforme al artículo 22 de la LRITF, estas son personas morales autorizadas por la CNBV para prestar de forma habitual y profesional los servicios de emisión, administración, redención y transmisión de fondos de pago electrónicos, a través de aplicaciones informáticas, interfaces, páginas de internet o cualquier otro medio de comunicación digital o electrónica.
5.3.2 Instituciones de Financiamiento Colectivo (IFC)
De acuerdo con lo dispuesto por el artículo 15 de la LRITF, las IFC son personas morales que pueden realizar actividades destinadas a poner en contacto a personas del público en general, con la finalidad de que entre ellas se otorguen financiamientos mediante alguna de las operaciones señaladas en el artículo 16 del citado ordenamiento (financiamiento colectivo de deuda, financiamientos de capital y financiamiento colectivo de copropiedad o regalías), realizadas de manera habitual y profesional, a través de comunicación electrónica o digital.
5.3.3 Otras Figuras
5.3.3.1 Sociedades autorizadas para operar con modelos novedosos
De acuerdo con la LRITF, un modelo novedoso es aquel que para la prestación de servicios financieros utiliza herramientas o medios tecnológicos con modalidades distintas a las existentes en el mercado, al momento en que se otorgue la autorización temporal en términos de la LRITF.
Existen dos tipos de modelos novedosos en función de la naturaleza de las organizaciones que las desarrollan. Por un lado, los modelos novedosos en instituciones no supervisadas y que pueden ser personas morales constituidas conforme a la legislación mercantil mexicana, distintas a las instituciones de tecnología financiera reguladas. Por otro lado, modelos novedosos en entidades financieras reguladas o sujetas a la supervisión de las autoridades financieras como bancos, SOFOM, SOFIPO, casas de bolsa, entre otras.
5.3.3.2 Aplicaciones Informáticas Estandarizadas (API)
El artículo 76 de la LRITF establece la obligación a las entidades financieras, a los transmisores de dinero, a las sociedades de información crediticia, a las cámaras de compensación, a las ITF y a las sociedades autorizadas para operar con modelos novedosos, a establecer interfaces de programación de Aplicaciones Informáticas Estandarizadas que posibiliten la conectividad y acceso de otras interfaces desarrolladas o administradas por estos sujetos y terceros especializados en tecnologías de la información, con la finalidad de compartir datos abiertos, datos agregados y datos transaccionales.
El modelo anterior obliga a determinadas entidades del sistema financiero, de distintas figuras, a establecer API para el intercambio de información entre ellas y así generar diversos beneficios para los usuarios de servicios financieros y brindar mayor control a estos en lo que respecta al uso de su información.
Dada la naturaleza y relevancia de los datos que se pondrían a disposición del resto de entidades obligadas y de terceros, la LRTIF establece que se deberá interrumpir el acceso a estos cuando: (i) el titular retire su consentimiento; (ii) existan vulnerabilidades que pongan en riesgo la información de los clientes; y, (iii) el tercero incumpla con los términos y condiciones que se hayan pactado en el intercambio. La misma ley indica que cualquier interrupción del acceso de datos deberá notificarse a las autoridades financieras correspondientes en un plazo no mayor a 2 horas posteriores a la incidencia.
5.4 Mecanismos de seguridad en las ITF
En el artículo 73, primer párrafo de la LRITF se establece el principio de secreto financiero de las instituciones de tecnología financiera. En este precepto se establece, por un lado, la prohibición de dichas instituciones de dar noticias, información o documentación acerca de los servicios y actividades que presten o se realicen a través de ellas.
Por otro lado, está contemplada la obligación de dichas instituciones de cumplir con los estándares tecnológicos y de seguridad para su debido desarrollo operativo. La finalidad de aquel principio es proteger el derecho a la privacidad y seguridad de los usuarios y clientes. Este mismo artículo establece como sanción la reparación de daños y perjuicios así como las medidas correctivas e imposición de multas aplicables. En ese sentido, las diferentes instituciones reguladas bajo la LRITF deben cumplir ciertos controles regulatorios en materia de seguridad de la información y de los usuarios o clientes.
5.4.1 Mecanismos de seguridad en las IFPE
Conforme a lo establecido en el artículo 48 de la LRITF, existe una reserva de ley consistente en la emisión por parte de la CNBV y BANXICO respecto de disposiciones de carácter general que regulen y establezcan los estándares mínimos que deben cumplir las IFPE en materia de seguridad de la información, políticas de confidencialidad, recaudación de datos, uso de medios electrónicos, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, tanto públicas como privadas.[1]
En relación a estos aspectos, los artículos 54 y 56 del mismo ordenamiento facultan a las mismas autoridades a emitir disposiciones en materia de contratación con terceros para su efectiva operatividad y el uso de medios electrónicos por parte de las IFPE.
En ese sentido, el 28 de enero de 2021, en el Diario Oficial de la Federación se publicaron las disposiciones denominadas “Disposiciones aplicables a las instituciones de Fondos de Pago Electrónico a que se refieren los artículos, 48, segundo párrafo, 54, primer párrafo y 56 primer y segundo párrafos de la Ley para Regular las Instituciones de Tecnología Financiera” (CUIFPE). Estas Disposiciones emiten regulación específica para que las instituciones de fondos de pago electrónico garanticen la seguridad de las operaciones celebradas con los clientes. Entre algunas de las medidas de seguridad encontramos las siguientes.
- Los requisitos para la autenticación del cliente.
- Los requerimientos de seguridad de la información respecto de los canales de instrucción[2] con el fin de garantizar la confidencialidad y evitar vulnerabilidades.
- Los mecanismos de seguridad para el caso en el que las IFPE sufran alguna eventualidad y reduzcan riesgos, tales como: (i) designación de la persona responsable de la administración de contingencias; y, (ii) certificaciones necesarias en la materia cuando las referidas instituciones financieras contraten los servicios de terceros para soportar su operación.
- La obligación para que las IFPE notifiquen a sus clientes la existencia de incidentes de seguridad de la información en los que se involucre la pérdida, extracción, eliminación o alteración de información personal[3] o de información sensible,[4] ya sea que se encuentre en posesión de las propias instituciones de fondos de pago electrónico o de terceros que les presten servicios. Asimismo, tiene la obligación de implementar medidas para salvaguardar la información de los clientes y, en su caso, la reposición o sustitución de los medios de disposición o factores de autenticación.
- Deberán dar a conocer a la CNBV y a BANXICO las contingencias operativas[5] con una duración de al menos 30 minutos, suscitadas en cualquiera de los canales de atención al público o al interior de la IFPE.
- Se establecen los términos y requisitos para la contratación de servicios con terceros y para celebrar comisiones mercantiles.
- La obligación de contratar los servicios de un tercero independiente para la evaluación del cumplimiento de los requerimientos de seguridad de la información, el uso de canales de instrucción y la continuidad operativa.
5.4.1.1 Seguridad de la Información en las IFPE
Es importante señalar que el capítulo II señala medidas específicas para la seguridad de la información, el cual está dividido en tres secciones. La primera regula la infraestructura tecnológica frente a clientes en tres apartados. La segunda establece los estándares respecto de la infraestructura tecnológica en los procesos internos. Finalmente, la tercera está enfocada en aspectos generales.
5.4.1.1.1 Sección Primera: De la Infraestructura tecnológica frente a los Clientes
En el apartado A están establecidas tres categorías de obligaciones específicas para las IFPE: (i) obligaciones al pactar la celebración de operaciones y prestación de servicios a través de los Canales de Instrucción, tales como autenticación al cliente, consentimiento y de informar al cliente los términos y condiciones; (ii) obligaciones en relación con los Canales de Instrucción, tales como la posibilidad de que sus Clientes contraten el uso de otro Canal de Instrucción; y, (iii) obligaciones de notificación e información al Cliente cuando se soliciten operaciones y servicios a través de los Canales de Instrucción.
En el apartado B se establece que (i) las categorías de información que podrán incluir los mecanismos de autentificación (datos de carácter biométrico, huellas dactilares, geometría de la mano o de la cara, patrones en iris o retina y reconocimiento de voz, entre otros) requieren autorización por parte de la CNBV y de BANXICO; (ii) la obligación de autentificar al cliente para permitir su acceso a los Canales de Instrucción; (iii) la obligación de solicitar, al menos dos factores de autenticación independientes en cada ocasión en que se pretenda realizar una alta, baja o cualquier otra modificación relacionada con los beneficiarios de la cuenta, cambios respecto de los factores de autenticación, solicitud de estado de cuenta y alta y modificación del medio de notificación al cliente; y, (iv) la obligación de contar con políticas y procedimientos para asegurar que, en la generación, entrega, almacenamiento, desbloqueo y restablecimiento de los mecanismos de autenticación, únicamente sea el cliente quien los reciba, active, conozca, desbloquee y restablezca.
En el último apartado de esta sección se establece (i) la obligación de las IFPE de establecer mecanismos y procedimientos para que sus clientes, al acceder a los Canales de Instrucción puedan reconocer a las propias IFPE; (ii) la obligación de que las IFPE provean lo necesario para que, una vez autentificado el cliente, la sesión no pueda ser utilizada por un tercero; (iii) los requisitos necesarios para el uso de identificadores y mecanismos de autentificación; (iv) los estándares para que las IFPE puedan almacenar información bajo protocolos criptográficamente seguros; y, (v) la obligación de establecer mecanismos y procedimientos para que los clientes puedan desactivar en todo momento la realización de operaciones o la prestación de servicios.
5.4.1.1.2 Sección Segunda: De la Infraestructura Tecnológica en los procesos internos
En relación con los procesos internos, las IFPE deben: (i) contar con tres requisitos de seguridad en los componentes de comunicaciones y de cómputo (segregación lógica, o lógica y física, de las diferentes redes en distintos dominios y subredes; configuración segura considerando, al menos, puestos y servicios; y, mecanismos de seguridad informática); (ii) cuidar la información personal y la información sensible recibida, generada, almacenada o transmitida en la infraestructura tecnológica propia o de terceros contratados, así como las imágenes de documentos de identificación expedidos por autoridades oficiales e información biométrica de los clientes, y cualquier otra que determinen de acuerdo con sus políticas; (iii) establecer procedimientos y mecanismos que aseguren que, al desechar o dar de baja componentes de almacenamiento o dispositivos físicos, la información del cliente sea irrecuperable; (iv) utilizar herramientas que permitan detectar virus informáticos o códigos maliciosos en la infraestructura tecnológica, así como procedimientos que permitan su actualización periódica; (v) realizar pruebas de vulnerabilidades cada dos meses, así como planes de remediación validados por el oficial en jefe de seguridad; y, (vi) obtener autorización de la CNBV y BANXICO en caso de que se pretenda utilizar cualquier práctica o estándar distinto que no cuente con elementos robustos y seguros, así como requisitos de mecanismos de control de acceso a la infraestructura tecnológica.
5.4.1.1.3 Sección Tercera: Disposiciones Generales para la Infraestructura Tecnológica
En esta sección se establecen mecanismos de seguridad para la infraestructura tecnológica que las IFPE deben cumplir, entre las que se encuentran: (i) garantizar la confidencialidad de la información en la comunicación punto a punto, con base en las mejores prácticas y estándares internacionales de seguridad informática que, previo acuerdo entre la CNBV y BANXICO, sean publicadas en sus respectivos sitios de internet; (ii) implementar procedimientos y mecanismos que deberán seguir para la atención a incidentes de seguridad en la infraestructura tecnológica en los que comprendan la identificación, contención y adecuada recolección y resguardo de evidencias de dichos incidentes, para lo que la IFPE debe contratar con un tercero con capacidades técnicas comprobables para que, al menos, cada dos años realice pruebas de penetración y vulnerabilidad en los diferentes sistemas de la infraestructura tecnológica, y en caso de que existan pruebas deberán ser presentadas a la CNBV y a BANXICO, quienes emitirán medidas correctivas al respecto; y, (iii) diversas obligaciones del CISO (Chief Information Security Officer, por sus siglas en inglés).
5.4.1.2 Continuidad Operativa
Dentro de las obligaciones más relevantes está la de contar con un Plan de Continuidad de Negocio. De acuerdo con el artículo 1 de la CUIFPE, este documento integra las estrategias, procedimientos y acciones previamente determinadas por la IFPE para que, cuando ocurra una Contingencia Operativa, exista continuidad en las operaciones, actividades o en la realización de los procesos críticos de dicha institución, o bien, su restablecimiento oportuno, así como la mitigación de las afectaciones producto de dichas Contingencias Operativas. En ese sentido, las IFPE deben contar con ciertos mecanismos y procedimientos de análisis de riesgo, impacto y acción.
5.4.1.3 Disposiciones Comunes en materia de Seguridad de la Información y de Continuidad Operativa
Respecto al tema seguridad de la información, lo más destacable es que las IFPE tienen la obligación de llevar un registro de los eventos de seguridad de la Información calificados por la propia IFPE como relevantes, incidentes de seguridad de la información, así como fallas o vulnerabilidades detectadas en la infraestructura tecnológica. En caso de que exista alguno de estos casos, tanto en la infraestructura tecnológica propia de la IFPE como de un tercero que afecte la operación, el Director General de la IFPE, o administrador único, deberá notificarle a BANXICO y a la CNBV.
Respecto de los incidentes de seguridad de la información, la notificación debe hacerse inmediatamente. En el caso de eventos de seguridad de la información, deberán reportarse sólo aquellos que, de acuerdo con las políticas y procedimientos establecidos por la propia IFPE, sean calificados como relevantes. Lo anterior debido a que dichos eventos tienen potencial de afectación para la IFPE, sus clientes, contrapartes, proveedores u otras entidades del sistema financiero, además de los relacionados con información personal o información sensible, imágenes de identificaciones, entre otras.
Adicionalmente, las IFPE tienen la obligación de hacer del conocimiento de BANXICO y de la CNBV de las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia IFPE, mediante correo electrónico [email protected], [email protected] y [email protected], o a través de otros medios que el propio BANXICO o la CNBV dispongan, debiendo obtener debido acuse electrónico. Esta notificación debe ser efectuada dentro de los sesenta segundos siguientes al momento que haya tenido lugar la Contingencia Operativa; la indicación de si continúa o si ha concluido y su duración, los procesos, sistemas y canales afectados, y una descripción del evento con una evaluación inicial del impacto.
Además, en estos casos, las IFPE deben realizar investigaciones inmediatas y enviar los resultados a BANXICO y a la CNBV en un plazo no mayor a cinco días hábiles.
Por último, en el supuesto en que derivado de una Contingencia Operativa se afecten uno o más Canales de Instrucción, la IFP debe hacer conocimiento a sus clientes respecto del medio de disposición que esté siendo afectado. Esta obligación deberá ser efectuada por la IFPE en un plazo no mayor a cinco segundos contados a partir del momento en que tenga lugar la Contingencia Operativa.
5.4.1.4 Contratación de Servicios con Terceros y Comisionistas
Para efectos del propósito del presente estudio, este capítulo es el último de este ordenamiento que ofrece regulación en materia de seguridad de la información. En ese sentido, respecto de la infraestructura tecnológica y seguridad de la información, existe la obligación de las IFPE de obtener determinada información respecto de la infraestructura tecnológica a utilizar.
Algunos de estos documentos son, por ejemplo, la descripción de las características técnicas de los sistemas, información con el señalamiento de los mecanismos para asegurar la transmisión y almacenamiento de la información personal o información sensible en forma cifrada, mecanismos de continuidad del servicio contratado, documentación que contenga la descripción de los enlaces de comunicación utilizados para conectarse con el proveedor de servicios, que incluya el nombre del proveedor, el ancho de banda y el tipo de servicio prestado, entre otros.
5.4.2 Mecanismos de seguridad en las IFC
Las IFC deben desarrollar una infraestructura tecnológica propia o provista por terceros apegada a las disposiciones vigentes aplicables. Para tales efectos, el artículo 63 de la CUITF establece las siguientes obligaciones en materia de seguridad de la información en la infraestructura tecnológica de las IFC.
- Cada uno de los componentes de la infraestructura tecnológica debe realizar las funciones para las que fue diseñada, desarrollada o adquirida, todos los procesos, funcionalidades y configuraciones, incluyendo su metodología de desarrollo o adquisición, así como el registro de sus cambios, actualizaciones y el inventario detallado de cada componente deben estar documentados.
- En cuanto a las medidas de seguridad de la información, los componentes deben contener la elaboración de requerimientos, diseño, desarrollo o adquisición, pruebas de implementación, pruebas de aceptación por parte de los usuarios de las infraestructuras tecnológicas, procesos de liberación, incluyendo pruebas de vulnerabilidades y análisis de código previos a su puesta en producción, pruebas periódicas, gestión de cambios, reemplazo y destrucción de información.
- Los componentes de comunicación y cómputo deben incluir, por lo menos, segregación lógica o lógica y física de diferentes redes y subredes, configuraciones seguras que consideren determinados puertos o servicios y mecanismos de seguridad en las aplicaciones que protejan ataques o intrusiones.
- Realizar pruebas previas y contar con licencias o autorizaciones de uso.
- Contar con medidas de seguridad para la protección, acceso y uso de la información que sea recibida, generada, transmitida, almacenada y procesada en la propia infraestructura, la cual debe contar con mecanismos de identificación y autentificación de los usuarios; cifrado de la información conforme al grado de sensibilidad o clasificación de la información determinada por la propia IFC en sus políticas internas; claves de acceso que eviten accesos no autorizados; controles para terminar automáticamente sesiones no atendidas, así como sesiones simultáneas; mecanismos de seguridad físicas y ambientales de energía eléctrica, y medidas de validación para verificar la autenticidad de las transacciones ejecutadas.
- Contar con requerimientos de respaldo y recuperación; registro de auditoría de accesos; procesos de gestión para eventos e incidentes de seguridad de la información; capacidad y actualización; controles, niveles de disponibilidad y tiempos de respuesta; mecanismos para detectar y prevenir eventos e incidentes de la seguridad de la información, y de la protección en la estrategia, diseño, transición, operación y mejora continua.
Por su parte, el Director General o administrador único de la IFC tiene un papel muy importante respecto al cumplimiento y verificación de las medidas de seguridad de las IFC, el artículo 64 de la CUIFT señala las obligaciones a cumplir:
- Aprobar el Plan Director de Seguridad.
- Realizar las revisiones de seguridad enfocadas a verificar la suficiencia en los controles aplicables a la infraestructura tecnológica.
- Elaborar un calendario anual para la realización de pruebas de escaneo de vulnerabilidades.
- Contratar a un tercero independiente, con capacidad técnica comprobable, para detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la seguridad de la infraestructura tecnológica.
- Elaborar planes de remediación respecto de hallazgos de vulnerabilidades.
- Implementar programas de capacitación y concientización al personal en materia de seguridad de la información.
Adicionalmente, la CUITF, en el artículo 65, establece la obligación de contar con una persona encargada de desempeñar las funciones de jefe de seguridad de la información. Estas funciones consisten en cumplir e implementar lo establecido en las regulaciones aplicables; verificar el cumplimiento de los mecanismos y procedimientos de seguridad establecidos en los manuales y controles internos; y, gestionar las alertas e incidentes de seguridad de la información de la infraestructura tecnológica comunicadas por la CNBV, entre otras.
Finalmente, el artículo 66 de la CUITF establece las acciones que deben tomar las IFC cuando se presente un evento o incidente de seguridad de la información. Un evento se refiere a una suposición de afectación, mientras que incidente se refiere a la materialización de la misma.[6] En estos casos, las IFC están obligadas a reportar inmediatamente a la CNBV mediante correo electrónico a la cuenta [email protected] o a través de otros medios que la propia CNBV señale y enviar informes detallados de los incidentes de seguridad, así como los reportes de los eventos de seguridad. Además, deben llevar a cabo investigaciones inmediatas sobre las causas que generaron los incidentes de seguridad de la información y notificar a los clientes cuya información sensible haya sido comprometida.
Las ITF (IFC e IFPE) deben notificar a la CONDUSEF cuando se presenten fallas en las plataformas que generen interrupciones que presenten una duración de al menos 24 horas, con la finalidad de que la CONDUSEF informe a los usuarios a través de los medios que estime convenientes, y en su caso, pueda atender las consultas y reclamaciones de los usuarios de las ITF. Las ITF deben enviar dicha notificación al correo [email protected], recabando acuse de recibo electrónico (artículo 3, párrafos segundo a cuarto de las DCG-CONDUSEF-ITF).
5.4.3 Mecanismos de seguridad en los Modelos Novedosos
Es importante destacar las regulaciones vigentes respecto de las tecnologías innovadoras o novedosas, ya que estas tecnologías todavía no tienen una implementación y conocimiento lo suficientemente desarrollado que permita conocer sus estándares de seguridad, así como los elementos específicos para su monitoreo y supervisión por parte de las autoridades. Por estos motivos, la LRITF señala específicamente que estas tecnologías deben contar con determinados controles de riesgos y medidas de seguridad de la información.[7]A continuación se muestran las diferentes normatividades en materia de seguridad de la información respecto de las sociedades que quieren obtener o han obtenido autorización para operar con Modelos Novedosos.
5.4.3.1 Disposiciones de Carácter General para Modelos Novedosos
En estas disposiciones, el artículo 11 establece la obligación de las sociedades autorizadas de presentar un reporte a la CNBV durante los primeros quince días naturales de enero, abril, julio y octubre de cada año. Dicho reporte, en adición a lo señalado en el artículo 89 de la LRTIF, deberá contener, entre otros, una relación de las contingencias operativas e incidentes de seguridad de la información que, en su caso, se hayan presentado al cierre del trimestre inmediato anterior, que incluya la fecha y hora de inicio y su duración; los procesos, sistemas y canales afectados; clientes y, en su caso, montos afectados; una descripción del evento que se haya registrado y las causas que lo motivaron; y, la indicación de las acciones que se implementaron para solventarlas y aquellas para evitar su recurrencia.
5.4.3.2 Circular 5/2019
De acuerdo con esta circular, la persona moral constituida de conformidad con la legislación mercantil mexicana, distinta a las instituciones de tecnología financiera, a las entidades financieras y a otros sujetos supervisados por alguna comisión supervisora o por BANXICO que pretendan operar algún modelo novedoso, deberán presentar su solicitud de autorización para tales efectos, las cuales, entre otros requerimientos, debe contener la forma en que enlazarán sus sistemas de procesamiento con los de sus clientes y con otras cámaras de compensación con las que interactúen o pretendan interactuar o con otras infraestructuras que permitan la interoperabilidad con sus respectivas características técnicas y de seguridad de dichos enlaces.
Además, estas sociedades tienen la obligación de desarrollar un esquema de seguridad informática que contenga los criterios fundamentales para la protección de los recursos e información de los clientes. En particular, estándares que cubran:
- Confidencialidad: la información que se transmite y se almacena debe tener controles que garanticen la confidencialidad y privacidad de la información de los clientes y sus operaciones. Se debería contar con procedimientos que al menos consideren lo siguiente:
- Mecanismos de autenticación.
- Acceso, contraseña y otros, tales como huellas dactilares, elementos de reconocimiento facial, entre otros.
- Gestión de privilegios en los aplicativos.
- Mecanismos de cifrado de información.
- Cifrado de datos sensibles, uso de conexiones cifradas.
- Integridad y no repudio: la información que se transmite y se almacena debe contener mecanismos que permitan validar que la información procesada proviene de una fuente confiable y que no ha sido modificada en el proceso de la transferencia. Se debe contar con mecanismos que al menos consideren lo siguiente:
- Implementación de firmas en la transmisión de mensajes.
- Mecanismos de autorización.
5.4.4 Mecanismos de seguridad en las API
En cuanto a la seguridad e intercambio de la información en las API, es fundamental destacar el contenido del artículo 77 de la LRITF. Este artículo indica específicamente que el intercambio de información entre estas aplicaciones no es una violación a las obligaciones de confidencialidad impuestas en la LRITF y demás leyes aplicables.[8] No obstante, no toda la información puede intercambiarse sin límite alguno. En ese sentido, existen tres tipos de datos que pueden ser compartidos.
- Datos abiertos: son aquellos generados por las entidades financieras, los transmisores de dinero, las sociedades de información crediticia, las cámaras de compensación a que se refiere la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, las ITF y las sociedades autorizadas para operar con modelos novedosos que no contienen información confidencial, tales como información de productos y servicios que ofrecen al público general, la ubicación de sus oficinas y sucursales, cajeros automáticos u otros puntos de acceso a sus productos y servicios, entre otros, y según sea aplicable.
- Datos agregados: son los relativos a cualquier tipo de información estadística relacionada con operaciones realizadas por, o a través de, las entidades mencionadas en el párrafo anterior, sin contener un nivel de desagregación tal que puedan identificarse los datos personales o transacciones de una persona. Cabe destacar que solamente tendrán acceso a los datos agregados las personas que cuenten con los mecanismos de autenticación que establezcan las Comisiones Supervisoras, o BANXICO para el caso de las cámaras de compensación y sociedades de información crediticia.
- Datos transaccionales: son aquellos relacionados con el uso de un producto o servicio, incluyendo cuentas de depósito, créditos y medios de disposición contratados a nombre de los clientes de las entidades ya mencionadas, entre otra información relacionada con las transacciones que los clientes hayan realizado o intentado realizar en su infraestructura tecnológica. Estos datos, en su carácter de datos personales de los clientes, solo podrán compartirse con la previa autorización expresa de estos.
Las Entidades mencionadas y terceros referidos en el artículo 76 de la LRTIF[9] están obligadas a obtener autorización por parte de las autoridades financieras competentes en su materia (CNBV, BANXICO, etc.) para tener acceso a los datos disponibles a través de las API. En ese sentido, existen diferentes disposiciones de carácter general, las cuales establecen los requisitos para obtener dicha autorización, el tipo de información que se puede intercambiar, mecanismos de seguridad, mecanismos de protección, entre otros. Actualmente, sólo se han emitido dos disposiciones al respecto: una por parte de BANXICO (Circular 2/2020) y otra por la CNBV (APIS-CNBV[10]).
Al respecto, aquellas disposiciones, entre otras, establecen obligaciones consistentes en que los datos que se compartan por medio de las API deben estar protegidos por mecanismos de privacidad e integridad durante la transferencia por medio de red y obligaciones de confidencialidad, seguridad e integridad de la información, en congruencia con lo establecido en la LRITF. Por otro lado, también mencionan obligaciones en cuanto al tratamiento de información. Por ejemplo, la Circular 2/2020 establece que las entidades (cámaras de compensación y sociedades de información crediticia) que hayan obtenido autorización de BANXICO para intercambiar datos agregados y, en su caso, datos abiertos, deberán presentar una solicitud de autorización adicional para intercambiar los datos transaccionales que resulten procedentes de conformidad con los requisitos que BANXICO establezca. Es fundamental destacar que en la solicitud para aquellas autorizaciones, las entidades deben contener, entre otras, las medidas y políticas en materia de control de riesgos operativos y de ciberseguridad.
Asimismo, cabe destacar que para el intercambio de información es necesario que las entidades celebren los llamados Contratos de Interconexión, se establezcan los términos y condiciones para la conectividad y acceso de los aplicativos desarrollados o administrados por las entidades a las API, con el fin de compartir datos e información. Es elemental que en estos contratos se establezcan obligaciones de confidencialidad, seguridad e integridad de la información, así como los mecanismos y esquemas de soporte para solucionar problemas e incidencias de carácter técnico.
CAPÍTULO SEIS
CIBERSEGURIDAD
- La ciberseguridad es el conjunto de acciones tomadas por organizaciones e individuos para mitigar los riesgos que enfrentan en el ciberespacio, con el propósito de disminuir la probabilidad de sufrir un ciberataque.
- Actualmente, en México, no existe una ley específica que establezca los parámetros y regulaciones específicas en materia de ciberseguridad.
- Para la banca electrónica, sus parámetros de ciberseguridad están regulados indirectamente en la Circular Única de Bancos, Circular 24/2020, Circular 3/2012, Circular 8/2019 y Circular 1/2022 dirigida a los participantes del SPEI y, de forma no vinculante, los principios para reforzar la seguridad de la información en el sistema financiero y bases de coordinación en materia de seguridad de la información, emitidos por BANXICO, en coordinación con la SHCP.
- Para las ITF bajo la LFRITF (IFPE, IFC, API y Modelos Novedosos), el cumplimiento de los requisitos de ciberseguridad está desarrollado en la mencionada LFRITF, las Disposiciones Generales emanadas de esta, la Circular 5/2019, la Circular 2/2022 y la Circular Única de Instituciones de Fondo de Pago Electrónico, entre otras.
Introducción
En este capítulo se presenta la regulación existente aplicable a la banca electrónica y a las plataformas financieras digitales. Con ello se muestran los nichos de oportunidad que existen en materia de esta legislación en nuestro país.
6.1 Concepto de Ciberseguridad
El concepto de ciberseguridad ha tenido una evolución diversa en cuanto a la definición y su alcance. Para efectos del presente documento entendemos a la ciberseguridad como: “el conjunto de acciones tomadas por organizaciones e individuos para mitigar los riesgos que enfrentan en el ciberespacio, con el propósito de disminuir la probabilidad de sufrir un ciberataque”.[11]
6.2 Normatividad
En materia de ciberseguridad, actualmente en México no existe una ley específica que establezca los parámetros y regulaciones concretas. No obstante, es necesario que las instituciones financieras observen la regulación aplicable para el cumplimiento de requerimientos mínimos en cuanto a infraestructura tecnológica, procedimientos y mecanismos de seguridad y manuales de control interno, operación y desarrollo tecnológico.
6.2.1 Políticas de ciberseguridad para banca electrónica
Actualmente, para la banca electrónica, sus parámetros de ciberseguridad están regulados indirectamente en la Circular Única de Bancos, Circular 24/2020, Circular 3/2012, Circular 8/2019 y Circular 1/2022 dirigidas a los participantes del SPEI. Además, de forma no vinculante, se tienen los principios para reforzar la seguridad de la información en el sistema financiero y las bases de coordinación en materia de seguridad de la información, del 24 de mayo de 2018, emitidos por BANXICO en coordinación con la SHCP.
6.2.2 Normatividad de Ciberseguridad para las IFT
En cuanto a las ITF bajo la LFRITF (IFPE, IFC, API y Modelos Novedosos), el cumplimiento respecto de los requisitos de ciberseguridad está desarrollado en la mencionada Ley, las Disposiciones Generales emanadas de esta (CUITF), DCGMN-CNBV, Circular 5/2019, DCGMN-SHCP, DCG-CONDUSEF-ITF (especialmente el capítulo VII), Circular 2/2022, DCGIPAIE-LRITF y la Circular Única de Instituciones de Fondo de Pago Electrónico (CUIFPE).
6.3 Contexto actual en materia de ciberseguridad en México
En este momento, existe un riesgo respecto de la información y seguridad digital en el sector financiero en México. Esto debido a que el sistema financiero afronta grandes retos estructurales bajo fuertes procesos de transformación digital. Tanto la ciberseguridad, como la protección de datos personales, son aspectos críticos para las entidades e instituciones financieras, las cuales deben estar preparadas para recibir ataques sin precedentes que pretenden obtener sus recursos económicos y los de sus clientes, así como información y datos de carácter privado o confidencial. En ese sentido, el sistema financiero mexicano debe contar con instituciones que velen por la estabilidad y el desarrollo del sistema financiero y cumplan funciones de autorización, regulación, supervisión y sanción, entre otras, sobre los diversos sectores y entidades e instituciones que integran dicho sistema, así como sobre aquellas personas físicas y morales que realicen actividades previstas en las leyes relativas al mismo. Por tanto, es relevante mencionar las distintas autoridades y participantes en el sector financiero digital en México, así como el marco regulatorio vigente y las disposiciones emitidas con dichos propósitos.
Es relevante mencionar que no sólo las autoridades financieras emiten regulación y establecen guías o lineamientos en esta materia, también existen otras autoridades que participan en el modelo de gobernanza como lo son: (i) la Guardia Nacional, a través del Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX); (ii) el Instituto Nacional de Transparencia y Acceso a la Información y Protección de Datos Personales; y, (iii) la Fiscalía General de la República, a través de la unidad de investigación de delitos cibernéticos.
En relación con la Guardia Nacional, el CERT-MX emitió el Manual Básico de Ciberseguridad para la Micro, Pequeña y Mediana Empresa que establece recomendaciones para el manejo de información y para la reducción de riesgos frente a las amenazas cibernéticas. Además, señala los mecanismos de protección que las empresas están obligadas a desarrollar cuando tienen información que incluye datos personales de sus clientes. El Manual está basado en las mejores prácticas y estándares internacionales.
En este contexto, la participación de las universidades y de la iniciativa privada es fundamental para continuar innovando tecnología que contribuya a mejorar la seguridad y a mitigar los riesgos.
6.3.1 Análisis de las Circulares 11/2023, 13/2023 y 12/2023 del Banco de México
Con el propósito de impulsar el desarrollo normativo del sistema financiero mexicano en un entorno digital, el Banco de México (Banxico) ha introducido cambios significativos en tres circulares clave: la Circular 13/2023, que modifica las reglas del Sistema de Pagos Interbancarios en Dólares (SPID), la Circular 12/2023, centrada en el Sistema de Pagos Electrónicos Interbancarios (SPEI), y la Circular 11/2023, cuyo enfoque es esencial para comprender la evolución de la seguridad en estos sistemas. Estas modificaciones buscan garantizar la seguridad, clarificar aspectos técnicos y fortalecer la ciberresiliencia de los participantes en estas plataformas.
- Circular 11/2023: Impulso a la Ciberseguridad. La Circular 11/2023 introduce esquemas normativos que buscan impulsar la ciberseguridad en el entorno financiero digital. Sus disposiciones se centran en el nombramiento de oficiales de seguridad de la información y la realización de verificaciones regulares del cumplimiento de sus funciones. Además, se establece la obligación de poner a disposición del CISO el listado actualizado de personas con acceso a información crítica, estableciendo así un marco robusto para la protección de datos.
- Circular 13/2023: Modificaciones al SPID. Con el objetivo de salvaguardar los intereses del público y garantizar el adecuado funcionamiento de los sistemas de pagos interbancarios en dólares, la Circular 13/2023 introduce cambios importantes en las reglas del SPID. Las modificaciones clave son las siguientes:
- Clarificación de la Infraestructura Tecnológica: Proporciona mayor claridad sobre el componente específico de la infraestructura tecnológica sujeto al cumplimiento de los marcos de ciberseguridad.
- Elementos Obligatorios y Seguridad Informática: Precisa los elementos obligatorios que los participantes del SPID deben cumplir en relación con los requisitos de seguridad informática actualmente incluidos en las Reglas.
- Obligaciones sobre Oficiales de Seguridad: Establece obligaciones específicas para los participantes en el SPID relacionadas con la designación de oficiales de seguridad de la información y las actividades que dichos oficiales realizarán.
- Reforzamiento del Marco de Ciberseguridad: Introduce elementos adicionales destinados a reforzar el marco de ciberseguridad y ciberresiliencia de los participantes del SPID.
- Circular 12/2023: Mejoras en el SPEI. En el ámbito del SPEI, la Circular 12/2023 tiene como objetivo fundamental fortalecer la seguridad, clarificar aspectos técnicos y agregar medidas para mejorar la ciberresiliencia de los participantes. Las principales modificaciones incluyen:
- Definición de Ciberresiliencia: Introduce la definición de ciberresiliencia, conceptualizándola como la capacidad de prevenir, adaptar, responder o recuperar la operación en el SPEI ante ciberataques o incidentes.
- Nuevas Definiciones Claves: Añade definiciones cruciales como las de Centro de Datos (CD), Infraestructura de Cómputo (IC), e Infraestructura de Telecomunicaciones (IT).
- Controles Adicionales y Gestión de Vulnerabilidades: Incorpora controles adicionales para garantizar la seguridad de la información e intensifica las medidas de control de acceso y gestión de vulnerabilidades en la IT.
- Procedimientos de Contingencia y Reportes Periódicos: Establece procedimientos de contingencia para participantes con un porcentaje significativo de participación y exige la presentación de informes periódicos sobre seguridad informática.
En resumen, estas adaptaciones buscan no solo cumplir con los estándares actuales de seguridad informática, sino también anticiparse y prepararse para las amenazas futuras en el ámbito de los sistemas de pagos digitales. La combinación de estas circulares proporciona un marco integral para el fortalecimiento de la ciberseguridad y la protección de datos en el entorno financiero digital.
6.4 Propuesta de Ley General de Ciberseguridad en discusión
En el contexto del hackeo realizado recientemente, se reavivó la discusión legislativa sobre ciberseguridad. Así, hoy existe una alta probabilidad de que se apruebe una Ley General de Ciberseguridad. La discusión de esta Ley puede ser beneficiosa para los usuarios de servicios financieros. Sin embargo, para que la Ley cumpla su propósito, sin inhibir la competencia o la innovación, la discusión del proyecto de ley debe incluir a todos los participantes, incluidas las empresas privadas, las instituciones de educación superior, la sociedad civil, entre ellas. Además, tratándose de una ley general, se establece el marco base para que las entidades federativas regulen estos temas en el ámbito local.
Es importante tomar en cuenta que en las cuestiones de ciberseguridad, la perspectiva internacional debe ser un eje rector. Hay temas relevantes que inciden en la regulación y en la elaboración de políticas públicas para el desarrollo de este sector. Así por ejemplo, los temas de jurisdicción, del derecho aplicable y la cooperación deben ser temas transversales a atender.[12]
En cuanto a la jurisdicción, una regla de aplicación para definir el tribunal competente es con base en el territorio. Ante la presencia cada vez más extendida del internet, la dificultad para definir el lugar donde se cometió un ciberdelito es muy complejo, por lo que identificar al tribunal competente es un gran desafío. Sin embargo, existen algunos tratados internacionales como el Convenio de Budapest en donde hay reglas para determinar en dónde se cometió el ilícito. Desafortunadamente, México todavía no es parte de este Convenio.
Adicionalmente, el derecho aplicable es otro reto debido a la falta de regulación específica en temas de ciberseguridad y ciberdelitos.[13] Como se ha mostrado en este estudio, existe todo un entramado de regulación, sin que exista una normatividad común y coherente que incorpore las características de los mercados de productos y servicios financieros, así como la velocidad con la que está ocurriendo la innovación y el cambio tecnológico en este sector.
Por otra parte, el diseño y la aprobación de una ley general de ciberseguridad demanda el diseño de políticas públicas que incluyan un programa de educación digital. “Se requiere comprender e integrar las tecnologías al proceso de enseñanza aprendizaje, tomando en cuenta las necesidades y particularidades de los diversos contextos sociales, culturales y económicos …. creando una cultura de ciberseguridad”[14]
Además, el Estado debe diseñar una política pública a través de mecanismos e incentivos que impulsen el desarrollo de sistemas que tengan por objetivo innovar sobre medidas de prevención y seguridad para mitigar los ciber ataques.
Con el objetivo de abonar a la discusión en materia de ciberseguridad, algunos de los elementos que se deben incluir son los siguientes.
- La política y la regulación de ciberseguridad deben fomentar la cooperación nacional e internacional y la armonización legal entre diferentes jurisdicciones.
- Debe existir un equilibrio entre la seguridad y el derecho a la protección de datos personales y a la privacidad.
- Es fundamental establecer criterios de protección a los derechos humanos para garantizar que no sean vulnerados.
- Es importante implementar esquemas de prevención de riesgos, mecanismos de alertas de seguridad y procesos de resiliencia para minimizar daños.
- Las discusiones y la política que emanen deben incluir y alentar la participación de diferentes partes interesadas: ONG, industria, sociedad civil y gobierno.
- Las organizaciones de estandarización (NIST, ISO, etc.) y el gobierno deben priorizar la convergencia y la aceptación de estándares globales, así como establecer una visión equilibrada entre la seguridad y la capacidad de la industria para sostener la innovación y el crecimiento.
- Las asociaciones públicas/privadas son relevantes, especialmente para fomentar la adopción de estándares globales. Esto se logra a través de mecanismos de autorregulación como: certificaciones, mejores prácticas, protocolos internacionales, y normas corporativas vinculantes[15].
- La ciberseguridad es una actividad multifuncional, compartida y holística y requiere un enfoque coordinado entre diferentes partes interesadas, ya sean privadas o públicas.
- Las políticas de ciberseguridad deben coordinarse para evitar la superposición de atribuciones entre diferentes agencias.
- Una buena política de ciberseguridad debe mejorar la coordinación operativa, incentivar el intercambio de inteligencia y datos y la resiliencia de la infraestructura
- La ciberseguridad no es solo un problema tecnológico, sino que necesita un enfoque holístico que abarque a las personas (educación y habilidades), los procesos y la propia tecnología.
6.5 Recomendaciones para México
Aunque no hay definiciones, ni una ley específica en la materia, existen diversas normas e instituciones que intervienen en los asuntos de ciberseguridad. La segmentación en distintas leyes y códigos es notable, generando ineficiencias y barreras regulatorias que aumentan los costos de entrada y de operación para las instituciones financieras. Por ello, es importante unificar criterios e instituciones para coordinar este tema.
Por otra parte, existen algunos delitos tipificados en el Código Penal Federal como delitos financieros, seguridad de la información y el uso de tecnología. Sin embargo, hay lagunas jurídicas y procedimentales que es importante regular. Por ejemplo, el Código Penal Federal establece sanciones que van de seis meses a dos años de prisión a quien, sin autorización, modifique, destruya o cause la pérdida de información contenida en sistemas o equipos informáticos protegidos por un mecanismo de seguridad.[16] Además, en la Ley de Instituciones de Crédito, hay sanciones de tres a nueve años de prisión y multa de treinta mil a trescientas mil UMAS a quien suplante la identidad de una autoridad financiera.[17] Esto genera una dispersión normativa que debería homologarse.
Además de lo anterior, existen delitos del fuero común que también involucran cuestiones de ciberdelitos y ciberseguridad, por lo que regular el ámbito federal es importante pero se debe de ir caminando junto con las entidades federales.
Así, sería importante que la discusión en la materia incluyera los siguientes componentes, con el fin de establecer una regulación transversal, concentrada en un conjunto homogéneo de normas que permita una regulación integral.
- México no ha adoptado Tratados Internacionales, como el Convenio de Budapest sobre Ciberdelincuencia para homologar delitos cibernéticos e incrementar la cooperación internacional. Es importante que México sea parte de este Convenio.
- Hay que analizar con detalle la pertinencia de los requisitos de localización de datos para empresas; si fueran necesarios, garantizar que el reporte de datos de localización no genere fricciones con los usuarios.
- Garantizar que la regulación no prohíba ni obstaculice el uso de proveedores externos para servicios estratégicos, como nube/almacenamiento, análisis de datos y otros.
- Asegurar la continuidad del flujo de datos transfronterizo entre México y países relevantes, como Estados Unidos, Alemania, Brasil, Colombia, entre otros.
- Garantizar que la ley de protección de datos de México siga siendo convergente con las de las principales jurisdicciones, como en Brasil y la Unión Europea.
- Evitar requisitos excesivos de evaluación previa para los proveedores.
- Evitar la creación de una Agencia Nacional que podría implicar costos adicionales innecesarios de reporte y cumplimiento.
- Evitar la dispersión de facultades entre la CNBV, la Guardia Nacional y otras instituciones que emiten regulaciones en materia de ciberseguridad.
- Evitar requisitos excesivos de prevención de fraude y presentación de informes para las instituciones financieras.
La necesidad de coordinar acciones y respuestas de todos los sectores a través de abordajes colectivos es fundamental para generar respuestas de seguridad cibernética sólidas, reducir ataques y crear mecanismos de resiliencia que contribuyan a mitigar los daños.
CONCLUSIONES Y RECOMENDACIONES
El propósito fundamental del sistema financiero digital es que, a través de la tecnología, se faciliten y se hagan más accesibles los productos y servicios financieros. Al respecto, al ser un sector muy dinámico, debido a su constante innovación y desarrollo, requiere contar con un marco normativo que permita a las autoridades mitigar riesgos y permitir la inclusión e innovación tecnológica para expandir su aplicación. En esa sintonía, específicamente, la inclusión financiera se ha vuelto uno de los principios rectores del sistema financiero digital. Por la naturaleza de los servicios y productos financieros, se vuelve necesario que exista un sistema coordinado que permita acercar a las personas con estas actividades y operaciones. Lo anterior, con la condición de que efectivamente exista la debida certeza jurídica respecto a la protección al cliente. En términos generales, según la ENIF 2021, para el caso de la confianza de los usuarios en las instituciones de servicios financieros, casi un tercio de los encuestados (31%) respondió que no confía en que su dinero está seguro.
Por otro lado, la ENIF 2021 expone que la educación financiera es un tema al que las instituciones y el Estado deben prestar atención: al menos 17% de personas ha experimentado algún tipo de problema (fraude, robo de identidad o clonación de tarjetas); y, 40.5% de la población no sabe a quién acudir a presentar una queja o reclamo. Es decir, existe un desconocimiento sobre la labor de las instituciones públicas que forman parte del sistema financiero mexicano.
Asimismo, la población tampoco tiene buena percepción respecto a la resolución de conflictos de las entidades financieras, pues al menos un tercio considera que aun cuando presenten una queja o reclamación, estas no serán resueltas de manera favorable.
Otro dato crítico es el porcentaje del presupuesto EBITDA que las entidades destinan a la seguridad de la información, pues representa sólo 2.3%. Como lo muestra el estudio de la ciberseguridad en el Sistema Financiero Mexicano, el encarecimiento de la seguridad de la información ha llevado a que las empresas descuiden la seguridad y patrimonio de sus usuarios.
A partir de lo anterior, es posible enfatizar la importancia que tiene la educación financiera en México. Si existe un esfuerzo por mostrar qué instituciones públicas se encargan de su seguridad, o qué productos financieros hay en el mercado, los usuarios no sólo comenzarán a adquirir de manera informada productos financieros acorde con sus objetivos y características, sino que podrán confiar en que su dinero estará protegido.
Por lo anterior, es necesario que, además de una robusta y estricta normatividad financiera, exista regulación específica en materia de protección de información y ciberseguridad. Estos sectores jurídicos aportan elementos fundamentales para el debido funcionamiento del sistema financiero digital en su totalidad. Esencialmente, los pilares del funcionamiento de este sistema, tanto de la banca electrónica como de las plataformas financieras digitales son la confianza y reputación de estas. Un debido cumplimiento regulatorio en materia de seguridad y ciberseguridad, aportan a que sean más seguras y confiables las entidades financieras y sus respectivas plataformas digitales. Cuanto más sean los incidentes a la información, sistemas de seguridad, vulnerabilidad de datos, discriminación, etc., más aumentará la desconfianza e inseguridad de las personas en el sector financiero digital, lo cual inhibe el desarrollo de este sistema y de los mercados financieros. Adicionalmente, las instituciones financieras deben seguir invirtiendo en mecanismos de seguridad.
A pesar de que ambas áreas del sistema financiero digital cuentan con regulación específica en materia de protección de la información, seguridad y ciberseguridad, existe exceso y una gran dispersión regulatoria. En efecto, existen muchos requisitos y autorizaciones con las que tienen que cumplir las entidades financieras para participar en el mercado y poder ofrecer sus productos y servicios financieros. Por ejemplo, para que una institución pueda operar como banco, o como plataforma financiera digital, es necesario cumplir con innumerables requisitos que vuelven muy complicada la entrada al sector financiero digital. Esto genera grandes costos y barreras legales que inciden en la eficiencia y en la generación de mayor competencia en el mercado.
A partir de lo anterior, las empresas que no pueden obtener dichas autorizaciones han encontrado formas de darle vuelta a la ley y, por ende, poner en riesgo la protección de datos y seguridad de la información de los clientes. Entre estas formas, resalta la figura de “Banking o Fintech as a Service” (BaaS o FaaS) o algunas conocidas bajo la LRITF como las API. Este servicio consiste en que las empresas que no pueden obtener autorizaciones como instituciones de crédito o ITF optan por conectarse con sistemas y funcionalidades bancarias a través de interfaces de programación de aplicaciones, lo cual permite a la empresa ofrecer servicios y/o productos financieros sobre infraestructura regulada. Si bien esta práctica no es completamente ilegal, pues lo que efectivamente está regulado es la figura de banca abierta o las API (la cual también requiere autorización por parte de las autoridades financieras), es relevante tener en cuenta que a través de esta se comparten datos personales financieros de los usuarios. Un riesgo relevante surge al incrementar el número de empresas no reguladas que administran y obtienen datos personales de los clientes, pues existe mayor probabilidad de mal uso de datos y de los estándares de seguridad de la información.
Otro problema dentro del ámbito de protección de seguridad y ciberseguridad es que no existe una regulación que propiamente señale las sanciones y mecanismos de protección ante vulnerabilidades o contingencias. En el marco jurídico actual, las entidades financieras tienen la obligación de reportar los incidentes en la seguridad de la información o de la infraestructura tecnológica a las autoridades financieras.
En consecuencia, se plantea la cuestión de poder implementar regulaciones específicas en cuanto a seguridad y ciberseguridad en las plataformas e infraestructuras tecnológicas financieras en general, sin limitar la competencia e innovación, elementos clave para el desarrollo del sector y la inclusión. Con esto, se puede facilitar el cumplimiento normativo de dichas materias debido a que ya no estarían sectorizadas y comprometidas sus respectivas obligaciones a solo las instituciones financieras autorizadas. Además, esto también tendría un impacto en la inclusión financiera, debido a que más empresas podrían entrar al mercado financiero digital para ofrecer servicios y productos financieros con estándares y directrices, tanto en el manejo, desarrollo y administración de controles y mecanismos de seguridad de la información como de ciberseguridad.
Asimismo, con lo anterior, los usuarios y clientes de los servicios financieros tendrían certeza y seguridad jurídica respecto de las autoridades a las que podrían acudir en caso de alguna contingencia o incidente en su esfera jurídica, así como el ordenado procedimiento para la implementación de sanciones a las empresas cuando les sean imputables por incumplimiento.
Ahora bien, para demostrar lo anterior, estadísticamente, la confianza de los usuarios en las instituciones financieras y en las plataformas digitales es baja. Alrededor de 30% de los clientes no tienen la seguridad de que sus ahorros están protegidos y 40% de los usuarios no saben a dónde acudir en caso de presentar una queja o reclamación. En este sentido, es importante que las instituciones financieras trabajen en socializar las medidas de seguridad e informen de manera detallada los procesos y las instancias para el caso de una queja o reclamación.
BIBLIOGRAFÍA
Abusaid, D., Cristofori, A., Fernández MacGregor, R. y Waisser, S. (2018). Perspectiva de ciberseguridad en México. McKinsey & Company. Disponible en: http://consejomexicano.org/multimedia/1528987628-817.pdf
Carreón Rodríguez, V.G. y Guajardo Mendoza, M.A. (2022). Desigualdad en el acceso al crédito en las localidades pequeñas. México Exponencial. Disponible en https://mexicoexponencial.mx/desigualdad-genero-acceso-ahorro/
De la Fuente Rodríguez, J. (2007). Tratado de Derecho Bancario y Bursátil. México: Editorial Porrúa.
Organización de los Estados Americanos, Comisión Nacional Bancaria y de Valores. (2019). Estado de la Ciberseguridad en el Sistema Financiero Mexicano.
Comisión Nacional Bancaria y de Valores (2021). Reporte de resultados. Encuesta Nacional de Inclusión Financiera 2021. https://www.cnbv.gob.mx/Inclusión/Anexos%20Inclusin%20Financiera/Reporte_Resultados_ENIF_2021.pdf-.
Comisión Nacional Bancaria y de Valores e Instituto Nacional de Estadística y Geografía. (2021). Encuesta Nacional de Inclusión Financiera 2021. Tabulados. Confianza y protección: estimaciones puntuales. INEGI. https://www.inegi.org.mx/programas/enif/2021/#Tabulados.
Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (2021). Informe de Autoevaluación, enero-diciembre 2021. Disponible en: https://www.condusef.gob.mx/documentos/transparencia/IAENEDIC2021.pdf
Moreno, J., Albornoz, M. y Maqueo, M.S. (2019). Ciberseguridad: Estado de la cuestión en América Latina. Instituto Nacional de Administración Pública, A.C. Volumen LIV, No. 1.ISSN 0482-5209. 2019. p.p.35
Legislación consultada
Código de Comercio, publicada en DOF, 7 de octubre a 13 de diciembre de 1889; última reforma publicada en DOF, 28 de marzo de 2018. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf_mov/Codigo_de_Comercio.pdf
Ley de Ahorro y Crédito Popular, publicada en el DOF el 4 de junio de 2001, última reforma publicada en el DOF el 20 de mayo de 2021. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/17_200521.pdf
Ley del Banco de México, publicada en el DOF 23 de diciembre de 1993, última reforma publicada en el DOF el 10 de enero de 2014. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/74.pdf
Ley de la Comisión Nacional Bancaria y de Valores, publicada en el DOF el 28 de abril de 1995, última reforma publicada en el DOF el 1 de mayo del 2022. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/LCNBV.pdf
Ley de Fondos de Inversión, publicada en el DOF el 4 de junio del 2001, última reforma publicada en el DOF el 20 de mayo del 2021. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/69_200521.pdf
Ley de Instituciones de Crédito, publicada en el Diario Oficial de la Federación el 18 de julio de 1990, última reforma publicada en el DOF el 11 de marzo del 2022. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/LIC.pdf
Ley de Protección y Defensa al Usuario de Servicios Financieros, publicada en el Diario Oficial de la Federación el 18 de enero de 1999, última reforma publicada en el DOF el 9 de marzo del 2018. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/64_090318.pdf
Ley de Protección al Ahorro Bancario publicada en el DOF el 19 de enero de 1999. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/LPAB.pdf
Ley para Regular las Instituciones de Tecnología Financiera. Publicada el 9 de marzo de 2018 en el Diario Oficial de la Federación. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/LRITF_200521.pdf
Ley de Sistemas de Pago, publicada en el Diario Oficial de la Federación el 12 de diciembre de 2002. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/pdf/255.pdf
Reglamentos
Estatuto Orgánico del IPAB, publicado en el DOF el 27 de marzo de 2014. Disponible en: https://www.diputados.gob.mx/LeyesBiblio/regla/n52.pdf
Reglamento Interior del Banco de México, publicado en el DOF el 30 de septiembre de 1994. Disponible en: https://www.banxico.org.mx/marco-normativo/d/%7B1E86F717-3BAD-946D-5BF7-0DD22495D326%7D.pdf
Reglamento Interior de la CNBV, publicado el 12 de noviembre de 2014. Disponible en: https://www.cnbv.gob.mx/Normatividad/Reglamento%20Interior%20de%20la%20Comisi%C3%B3n%20Nacional%20Bancaria%20y%20de%20Valores.pdf
Circulares
CIRCULAR 3/2012 emitida por el Banco de México. Publicada en el Diario Oficial de la Federación el 2 de marzo de 2012, última modificación el 23 de marzo de 2022. Disponible en: https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-3-2012/%7B4E0281A4-7AD8-1462-BC79-7F2925F3171D%7D.pdf
Circular 3/2022 emitida por el Banco de México. Publicada en el Diario Oficial de la Federación el 15 de marzo de 2022. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5646520&fecha=23/03/2022#gsc.tab=0
Circular 1/2022 emitida por el Banco de México. Publicada en el Diario Oficial de la Federación el 23 de marzo de 2022. Disponible en: https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-14-2017/%7B33EFD864-87F6-89BF-9F19-35E4D80E4CF4%7D.pdf
Circular 5/2019 emitida por el Banco de México. Publicada en el Diario Oficial de la Federación el 8 de marzo de 2019. Disponible en: https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-5-2019/%7B341F3815-9123-F1EC-DA2B-D58EB41EFAFC%7D.pdf
Disposiciones de Carácter General de la Condusef en Materia de Transparencia y Sanas Prácticas aplicables a las Instituciones de Tecnología Financiera. (DCG-CONDUSEF-ITF) emitida por la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros. Publicada en el Diario Oficial de la Federación el 9 de julio de 2019. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5565233&fecha=09/07/2019#gsc.tab=0
Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple. Publicada el 21 de marzo de 2019. https://www.dof.gob.mx/nota_detalle.php?codigo=5554779&fecha=21/03/2019#gsc.tab=0
Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera. Publicada en el Diario Oficial de la Federación el 10 de septiembre de 2018, última modificación el 15 de diciembre de 2021. Disponible en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20aplicables%20a%20las%20instituciones%20de%20tecnolog%C3%ADa%20financiera.pdf
Disposiciones de Carácter General aplicables a las Instituciones de Crédito. Publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005, última modificación el 2 de septiembre de 2022. Disponible en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20aplicables%20a%20las%20instituciones%20de%20cr%C3%A9dito.pdf
Disposiciones de Carácter General relativas a las Sociedades Autorizadas para Operar Modelos Novedosos a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera. Publicadas en el Diario Oficial de la Federación el 19 de marzo de 2019. Disponible en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20relativas%20a%20las%20sociedades%20autorizadas%20para%20operar%20modelos%20novedosos%20a%20que%20hace%20referencia%20la%20Ley%20para%20Regular%20las%20Instituciones%20de%20Tecnolog%C3%ADa%20Financiera.pdf
Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas a que hace referencia la Ley para Regular las Instituciones de Tecnología Financiera. Publicada en el DOF el 4 de junio del año 2020.Disponible en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20de%20car%C3%A1cter%20general%20relativas%20a%20las%20interfaces%20de%20programaci%C3%B3n%20de%20aplicaciones%20inform%C3%A1ticas%20estandarizadas%20a%20que%20hace%20referencia%20la%20Ley%20para%20Regular%20las%20Instituciones%20de%20Tecnolog%C3%ADa%20Financiera.pdf
Disposiciones aplicables a las instituciones de Fondos de Pago Electrónico a que se refieren los artículos, 48, segundo párrafo, 54, primer párrafo y 56 primer y segundo párrafos de la Ley para Regular las Instituciones de Tecnología Financiera (“CUIFPE”). Publicadas en el Diario Oficial de la Federación el 28 de enero de 2021. Disponible en: https://www.cnbv.gob.mx/Normatividad/Disposiciones%20aplicables%20a%20las%20instituciones%20de%20fondos%20de%20pago%20electr%C3%B3nico%20a%20que%20se%20refieren%20los%20art%C3%ADculos%2048,%20segundo%20p%C3%A1rrafo;%2054,%20primer%20p%C3%A1rrafo%20y%2056,%20primer.pdf
Guardia Nacional. CERT-MX. Manual Básico de Ciberseguridad para la Micro Pequeña y Mediana Empresa https://www.gob.mx/gncertmx/documentos/guias-de-ciberseguridad-263401
Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-B, las Operaciones Relevantes, Operaciones Inusuales y Operaciones Internas Preocupantes están definidas en el artículo 1 fracciones XXV, XXVI y XXVII, disponible en: https://www.gob.mx/cms/uploads/attachment/file/672524/Compilado_DCG_PLDFT_SOFOMES.pdf y sus modificaciones https://www.dof.gob.mx/nota_detalle.php?codigo=5629270&fecha=09/09/2021#gsc.tab=0