La Asociación de Agregadores de Medios de Pago, A.C (ASAMEP) en conjunto con la Asociación Fintech México, A.C (Fintech MX) hacemos referencia a la Resolución que modifica las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito en materia de Comisionistas, relativa al expediente no. 05/0057/140721 disponible en la página electrónica de esa Comisión Nacional de Mejora Regulatoria en el sitio web: https://www.cofemersimir.gob.mx/expedientes/26155 Al respecto, dentro de esta consulta pública la ASAMEP y Fintech MX deseamos emitir los siguientes comentarios y propuestas respecto de ciertos artículos que se pretenden reformar mediante dicha Resolución, toda vez que, respetuosamente, consideramos que la actual propuesta, en algunos de sus artículos, no abona a la inclusión y modernización financiera ni a la mejora regulatoria. Por ello, exponemos los siguientes comentarios y propuestas con el fin de contribuir a tales objetivos. Sin perjuicio de que, paralelamente, a esta publicación se enviará vía correo electrónico una detallada tabla comparativa de los artículos junto con nuestras propuestas y comentarios, exponemos por este medio que: Respecto de la reforma al artículo 308: Considerando que el artículo 308 señala cómo un Usuario puede iniciar una sesión de Banca Electrónica, se sugiere aclarar la idea de que no se permita el uso de medios o dispositivos electrónicos externos o físicos; debido a que el artículo 308 hace alusión a las consideraciones que deberá implementar la institución para la autenticación de las personas; es decir, la información que el cliente y/o usuario proporcione a través de cuestionarios, contraseñas, NIP, información dinámica, dispositivos utilizados, etc. y que por lo cual la institución tenga el Back Office (infraestructura) para poder llevar a cabo de manera exitosa y segura la autenticación de los clientes y/o usuarios. Consideramos que el limitar el FA3 para efectos del inicio de sesión en Banca Electrónica, puede generar un efecto disuasivo o barrera que impida que más clientes/usuarios puedan realizar operaciones a través de este canal, lo cual es contrario a la finalidad de la resolución. Asimismo, conforme al artículo 310, se permite y considera a los tokens externos como un FA3 y al no permitirlo para el inicio de sesión se podrían generar asimetrías regulatorias para temas como doble factor de autenticación. Consideramos que se debe permitir el uso de medios o dispositivos electrónicos externos o físicos siempre y cuando sean proporcionados por las Instituciones a sus Usuarios y cumplan con lo demás establecido en la disposición 310. Por otro lado, el no aceptar tokens externos para efectos de este artículo generaría un costo desmedido para la industria, considerando que, en algunos casos, se deberían tomar medidas para reemplazarlos y no es viable tanto legalmente como en experiencia fáctica del usuario forzar a los clientes a acudir a realizar el trámite correspondiente para su sustitución. Lo anterior además de afectar a la industria podría tener efectos adversos en la inclusión y modernización financiera. Respecto de la reforma al artículo 317: Se sugiere contemplar la redacción original del artículo para que quede claro que la contratación puede ser de terceros o entidades financieras nacionales o extranjeras. Sugerimos incluir a los Titulares de Marca en la lista de supuestos en los que no serán aplicables las disposiciones del Capítulo XI, en virtud de que se trata de entidades que ya están sujetas a la supervisión de la Comisión. Finalmente, agregaría claridad al texto definir el término “pagos referenciados.” En la fracción IV se solicita se dé un tratamiento distinto a los pagos referenciados en efectivo dado que no es un proceso regulado por las Disposiciones de carácter general aplicables a las redes de medios de disposición, al no ser necesario ser un agregador o adquirente para aceptar pagos a favor de terceros en efectivo. En ese sentido, se sugiere agregar la propuesta de fracción IV Bis. De igual manera se solicita distinguir la cobranza ordinaria de la cobranza de la cartera vencida. Se sugiere se incluya en general a participantes en la red de pagos con tarjeta no solo a empresas especializadas. En la fracción V se solicita se vuelva a integrar como en la normativa vigente las tarjetas de débito activas Cuentas Nivel 1 considerando que la distribución de dichas tarjetas se hace en muchos casos en puntos de venta y son activadas al momento de la “compra”. Considerar que para casos de cartera vencida las agencias de cobranza puedan efectuar los cobros de dichos créditos a través de cualquier medio pactado con la Institución. En la fracción VIII se solicita incluir a los servicios de “soporte”, y señalar que las condiciones establecidas en esta fracción deberán señalarse en el contrato. En la fracción XIII se solicita precisar que esta excepción incluye las actividades necesarias que, conforme a la legislación fiscal (por ejemplo la verificación del RFC), deban realizar en forma previa las empresas certificadoras para poder llevar a cabo el timbrado. De igual manera, se solicita se incluya dentro de la excepción el timbrado de los comprobantes fiscales. Se sugiere ampliar la redacción de las autoridades permitidas para que este proyecto de reformas sea consistente con el proyecto de reforma de las Disposiciones en materia de PLD. Se solicita eliminar los requisitos adicionales que está señalando la nueva normativa, considerando que en este caso se contrataría a entidades reguladas y supervisadas por la Comisión por lo que los requisitos regulatorios de dichas entidades no debieran ser un requisito a validar por las entidades contratantes. Respecto a la reforma al artículo 317 Bis: Se sugiere dejar exclusivamente la excepción de la fracción III considerando que para encuadrar en la excepción de la fracción IV es necesario contratar a una Empresa Especializada que además esté supervisada por la Comisión como Participante en la Red de Medios de Pagos con Tarjeta. De igual manera se solicita poner una excepción adicional para el uso de efectivo al no ser dicho medio de pago regulado por las Disposiciones de Carácter General aplicables a las Redes de Medios de Disposición. Respecto a la reforma al artículo 318: Si bien el regulador tiene conocimiento de que existen terceros que operan mediante contratos globales (marco) y permiten su adecuación al marco jurídico mexicano mediante convenios/T&C locales, coincidimos en mantener la redacción original para efectos de seguridad jurídica. Se solicita se conserve la redacción original del inicio de la fracción III considerando que hay contratos de adhesión con ciertos prestadores de servicios donde las cláusulas regulatorias indicadas en este inciso generalmente se documentan en un convenio adicional al contrato marco de prestación de servicios. Se sugiere no incluir en el contrato los procedimientos para vigilar el cumplimiento de las obligaciones puesto que es redundante con las facultades de auditoría que el prestador o comisionista deberá permitir conforme a los numerales 1 a 3 del apartado (a) del artículo 318. De igual manera dichos procedimientos deben ser elaborados por la Institución y deberán constar en sus políticas, no siendo recomendable que dichos procedimientos se revelen en el contrato, y pudiesen llegar a negociarse. Se sugiere incluir en este numeral 7 lo correspondiente a las sanciones y la rescisión del contrato en el caso de incumplimiento por parte de los terceros prestadores de servicios o comisionistas. Se solicita detallar a qué se refiere la fracción VI con “subcontratados”, es decir hasta qué nivel de relación con el tercero se deben revisar a dichos subcontratados, considerando que, con hacer la validación del tercero que proporcionará el servicio debiese ser suficiente. De igual modo se sugiere eliminar las listas de autoridades de otros países al ser un concepto sumamente amplio que deja en estado de indefensión a las Instituciones, al no tener claridad si la revisión se debe hacer en uno, dos o todos los países que cuenten con dichas listas, además de que ya se realizará la verificación con listas de autoridades mexicanas, organismos internacionales y agrupaciones intergubernamentales. Respecto a la reforma al artículo 318 Bis 1: Se solicita precisar si esta auditoría se puede hacer de forma indistinta por el auditor interno o por el auditor externo, o si debe ser de forma alternada. De igual manera, se solicita precisar si los resultados de esta auditoría deben presentarse a y/o aprobarse por algún órgano de gobierno de la institución o a algún funcionario de la misma. Confirmar o aclarar si al hablar de procesos operativos, administración de bases de datos y sistemas informáticos, el CISO o los comités internos aplicables deberá participar de alguna manera en estas auditorías. Emitimos las siguientes preguntas: ¿Este tipo de auditorías no pueden incluirse en las aplicables a INFOSEC?, ¿Deben documentarse en las políticas y planes correspondientes (INFOSEC, riesgos, plan general de negocios)? Por otro lado, y con la finalidad de dar seguridad jurídica, se solicita definir lo que para efectos de la CUB se entenderá por “proceso operativo” y “administración de bases de datos o sistemas informáticos”, para que se tenga total claridad del sentido de la norma y no haya lugar a dudas. De igual manera se solicita precisar si la prestación de servicios de “administración de bases de datos o sistemas informáticos” incluye al servicio conocido como “nube” o cloud computing. Respecto a la reforma al artículo 320: Se solicita precisar la anticipación con la que se debe presentar a la Comisión en plan estratégico de negocios para efectos de su autorización. Consideramos que esto, además de dar seguridad jurídica, permite a los supervisados tener un tiempo estimado de respuesta. En este sentido, consideramos que debe incluirse que, en caso de no tener comentarios al plan estratégico durante los siguientes 20 días, se considerará afirmativa ficta. Se sugiere detallar que una vez obtenida la aprobación del Plan Estratégico no será necesario autorizar a cada comisionista en lo individual. Considerando que el Plan Estratégico se aprobará por única ocasión se sugiere cambiar la redacción para que englobe a cualquier comisionista contratado. Se solicita eliminar el requisito de solicitar autorización a la Comisión cuando se pretenda operar con otros comisionistas que no estén en el Plan Estratégico dado que dentro de los requisitos del plan no se señala detallar a los comisionistas con los que se operará, considerando que adicionalmente esto implicaría presentar de nuevo el plan por cada Comisionista quitando la flexibilidad de poder contratar Comisionistas de manera más ágil. De igual forma de ser necesario presentar el Plan Estratégico por cada Comisionista adicional se pierde el efecto buscado de que sólo se autorice el Plan Estratégico por única ocasión. Consideramos que para efectos de agilizar los procesos de contratación y facilitar la inclusión financiera en beneficio del sistema en su conjunto, sería deseable no incluir una lista de comisionistas dentro del plan estratégico; es decir, mantener el espíritu de la resolución y mantenerlo por operaciones considerando que ya existen controles que serán aplicables a todo comisionista, como auditorías, cláusulas dentro del modelo de contrato, seguridad de la información y demás procedimientos aplicables al servicio que se pretenda contratar (además de contemplarse autorización por cada operación adicional a las incluidas en plan), no en atención al tercero, ya que no existe flexibilidad (salvo por entidades reguladas) dependiendo del prestador o comisionista. Respecto a la reforma al artículo 321: Se sugiere eliminar la referencia a comisionistas autorizados porque de la lectura del artículo 320 se desprende que el documento que se somete a aprobación es el Plan Estratégico que operará para todos los comisionistas que se contraten siempre que dicha contratación y vigilancia del comisionista esté de acuerdo con el Plan autorizado. Se sugiere ampliar la redacción para que quede claro que se cambiará el formato a aplicar con todos los nuevos comisionistas con los cuales se implemente la nueva operación o tecnología sometida a autorización de la Comisión. En la fracción II, se solicita que se incorpore que la facultad de la Comisión de requerir la suspensión o terminación de operaciones con el comisionista que no cumpla las presentes Disposiciones se apegue al procedimiento señalado en el Artículo 332 de este ordenamiento (derecho de audiencia). Respecto a la reforma al artículo 321 Bis 1: Se sugiere agregar que dentro de la propia página de internet también se puedan dar a conocer otros medios por los cuales se puede tener conocimiento de los terceros contratados como comisionistas. Respecto a la reforma al artículo 321 Bis 2: Se solicita precisar el plazo de anticipación con la que se debe presentar la autorización de la Comisión para contratar con el Administrador de Comisionistas, así como señalar el plazo que tendría la Comisión para resolver y, en su caso, si aplicaría afirmativa ficta. Consideramos que esto, además de dar seguridad jurídica, permite a los supervisados tener un tiempo estimado de respuesta, facilitar la carga de trabajo del regulador y una reducción de gasto para la administración pública mediante la implementación de la afirmativa ficta. Dado que los Considerandos de la propuesta de modificación hace referencia a la "flexibilización" del marco regulatorio, pensamos que podría ser razonable que las pruebas fueran de manera semestral. Se sugiere adecuar la redacción para que quede claro que no se puede subcontratar los servicios del Administrador, dado que el Administrador subcontrata con los comisionistas bancarios a nombre de la Institución. Respecto a la reforma al artículo 321 Bis 3: Duda: ¿El informe y reporte debe ser supervisado/aprobado por algún órgano o funcionario? Respecto a la reforma al artículo 324: Se sugiere eliminar la prohibición de contratar de manera exclusiva a comisionistas que durante los 12 meses anteriores se hubiesen desempeñado como comisionistas exclusivos de otra institución a fin de no poner barreras de entrada en el mercado al momento de contratar comisionistas. Respecto a la reforma al artículo 333: Se propone adicionar el Plan Estratégico bajo el cual opera el comisionista en cuestión dentro del inciso i) de la fracción I. Respecto a los artículos transitorios: Se sugiere que se establezca un plazo transitorio de al menos 60 días para la entrada en vigor general del contenido de la Resolución a fin de estar en la aptitud de poder cumplir con lo establecido en la misma. Consideramos que sería apropiado ampliar la entrada en vigor a 240 días (al igual que la resolución del 4 de diciembre de 2008 en la que se incorporó el capítulo XI) ya que será necesario adecuar sistemas, canales, controles internos, funciones, políticas internas, el plan estratégico de negocios, entre otras. Adicionalmente, es necesario: (i) incluir un régimen transitorio para los comisionistas y prestadores previamente contratados, a fin de dar seguridad jurídica; (ii) aclarar si las auditorías deberán realizarse respecto de los terceros ya contratados; (iii) aclarar si los contratos ya firmados deberán modificarse (consideramos que esto es inviable); (iv) a partir de cuándo se debe ajustar el padrón de los previamente contratados, considerando que muchas de las prestaciones de servicios están vigentes desde hace varios años (consideramos que esto es inviable) y; qué pasará con los administradores de comisionistas previamente autorizados y los cambios en los requisitos contractuales y de elegibilidad, entre otros. Por último, consideramos que debe ampliarse a 240 días el plazo establecido en el segundo transitorio, ya que implica la construcción y adecuación de sistemas y controles. Respecto a la reforma al Anexo 59: Estimamos contradictorio señalar el Anexo 59 al eliminarse la obligación de solicitar autorización de la Comisión por cada comisionista siendo la obligación solicitar en una única ocasión autorización para el Plan Estratégico a implementar en caso de contratar comisionistas. Por último, sin más por el momento, agradecemos su atención y consideración. ASAMEP y Fintech MX