Los cambios en la norma de finanzas abiertas: aumento del requerimiento de garantías y experiencia acreditable específica para proveedores

En pleno proceso de análisis. Así se encuentran la mayoría de los actores del sistema financiero chileno, desde que a inicios de la semana, la Comisión para el Mercado Financiero (CMF) emitiera la norma que regulará el sistema de finanzas abiertas, el cual conectará a los bancos del país con las fintech.

Aprobada en 2023, la Ley Fintech implicaba la emisión de decenas de normativas por parte de la CMF, siendo la de Finanzas Abiertas la que causaba mayor expectación, considerando que permitiría el intercambio de información entre prestadores de servicios financieros, previo consentimiento del cliente, lo que podría llevar a mejores precios justamente para los clientes.

En concreto, la norma establece los lineamientos para que se puedan compartir información de diferentes productos financieros, como diversos tipos de cuentas, tarjetas, créditos, líneas de crédito, pólizas de seguro, entre otros, así como también la provisión del servicio de iniciación de pagos, en el que Instituciones Proveedores de Información, Instituciones Proveedoras de Cuentas, Proveedores de Servicios Basados en Información, y Proveedores de Servicios de Iniciación de Pagos, pueden conectarse con bancos y cooperativas.

A juicio de Esperanza Gómez, gerenta de Riesgo Regulatorio en Deloitte, las instituciones que se unan al marco regulatorio de la CMF en este ámbito enfrentarán desafíos significativos, “por ejemplo, como entidades dentro del perímetro regulatorio, deberán mantener la información disponible para el regulador, la cual considera desde datos de identificación básicos de la entidad (estructura corporativa, plan de negocios, organigrama, etc.) hasta información relacionada con cómo gestionan los riesgos involucrados en sus operaciones”.

Ese es un primer punto. Pero la normativa contempla una serie de especificaciones técnicas relativas a los sistemas computacionales, redes, etc. “Uno de los mayores desafíos para los participantes del SFA será cumplir con el mandato de obtener el consentimiento explícito del titular de los datos, lo cual obligará a las empresas a desarrollar mecanismos tecnológicos idóneos”, dice Gómez.

Además, precisa que “otro aspecto relevante es el establecimiento de estándares explícitos para el uso de APIs para la conexión e intercambio de información entre las empresas participantes del sistema de finanzas abiertas. Los parámetros definidos facilitarán la interoperabilidad de los actores de sistema; no obstante, los obligará a revisar y eventualmente adaptar su funcionamiento para cumplir con los requisitos técnicos, de seguridad y de gestión de riesgos, los cuales simultáneamente deberán garantizar la disponibilidad, rendimiento y cumplimiento de los umbrales definidos”.

Respecto de los cambios entre el texto en consulta versus la regulación finalmente emitida, apunta al “aumento del requerimiento de garantías para las PSIP (Proveedores de Servicios de Iniciación de Pagos) en función de los montos operados”, es decir que se incorpora un período más largo para su cálculo. Esto hace sentido, dado que “suaviza” los datos utilizados”.

Así como “mayores especificaciones respecto del tercero que provea el reporte de hallazgos, necesario para la autorización”. De esta forma, “los requisitos para el proveedor explicitan que se debe tratar de empresas con experiencia acreditable específica en este ámbito, lo cual eleva el estándar requerido”.

Los otros aspectos que destaca Gómez, es la “disminución de la periodicidad del requisito de pruebas de calidad de los datos, pasando de frecuencia trimestral a semestral”, y que “en relación con la función de riesgos, el directorio vele por una adecuada segregación de funciones e independencia respecto de las áreas de negocio”.

En una declaración emitida tras la publicación de la norma, la ABIF dijo que el texto “mantiene importantes aspectos que comprometen la implementación del sistema de finanzas abiertas. En particular, no establece resguardos suficientes para proteger la información de los usuarios; la CMF no asume un rol activo en un esquema de centralización de servicios de certificación operacional”, y que “no reconoce los costos en que incurren los proveedores de cuentas al canalizar pagos; y plantea exigencias tecnológicas de disponibilidad excesivas”.

Actores de la banca, apuntan a que por ejemplo, la normativa final apunta a que los sistemas API - por el cual se conectarán bancos y fintech- apunta a un rendimiento mínimo de 99,5% mensual y 95% diaria, algo que en la banca consideraban que debía tener un período de aprendizaje, pues dicha cifra implica fuertes inversiones para mantener las plataformas disponibles esa cantidad de tiempo.

Al mismo tiempo, indican que era necesario crear un mecanismo para remunerar a las Instituciones Proveedoras de Cuentas, es decir entidades como bancos, pero la normativa estableció no se puede cargar a los Proveedores de Servicios de Iniciación de Pagos ni al usuario un cargo.

Uno de los aspectos que en la banca es un tema relevante, es que la en caso de fraudes, la normativa no definió las responsabilidad, algo que en la banca indican debería recaer sobre los Proveedores de Servicios Basados en Información y Proveedores de Servicios de Iniciación de Pagos, es decir las fintech que se conecten a las bases de datos de los bancos.