Comentarios a la Resolución que modifica las Disposiciones de Carácter General aplicables a las Instituciones de Crédito (Comisionistas) No. Expediente: 05/0057/140721 Implicaciones técnicas y operativas de la regulación Tratándose del servicio para el desarrollo o administración de interfaces de programación de aplicaciones informáticas estandarizadas (“APIs”) contenidos en el anteproyecto del artículo 317 de las Disposiciones de carácter general aplicables a las Instituciones de Crédito (“Anteproyecto”) que permiten compartir datos transaccionales (“Datos Transaccionales”) a que se refiere la fracción III del Artículo 76 de la Ley para Regular las Instituciones de Tecnología Financiera (“LRITF”), se considera que ésta se aleja de la realidad el pretender hacer dicho servicio equiparable a la realización de un proceso operativo o para la administración de bases de datos y sistemas informáticos a que se refieren los Artículos 326 y 328 de las Disposiciones de carácter general aplicables a las Instituciones de Crédito (“Disposiciones”). Lo anterior, a muy grandes rasgos y según se desarrolla en párrafos siguientes, por los siguientes motivos: (i) El tipo de acceso a las bases de datos, sistemas informáticos y/o procesos operativos de las Instituciones que requiere el servicio de desarrollo o administración de APIs no implica el mismo nivel de criticidad o riesgos equiparables a aquellos que implican los servicios a que se refieren los Artículos 326 y 328 de las Disposiciones; (ii) la necesidad de presentar un aviso y/o solicitar autorización a la Comisión Nacional Bancaria y de Valores (“CNBV”) para llevar a cabo la contratación del servicio de desarrollo o administración de APIs en los términos de los Artículos 326 y 328 de las Disposiciones (las “Obligaciones de Aviso y Autorización”), así como los retrasos y costos operativos que ello implica, constituye una medida regulatoria desproporcionada que promueve la concentración del mercado y obstaculiza el dinamismo y el desarrollo del sector de finanzas abiertas “open finance” en el país; (iii) imponer a las Instituciones la carga regulatoria asociada con el cumplimiento los Artículos 326 y 328, respectivamente, para llevar a cabo la contratación del servicio de desarrollo o administración de APIs, provocará que los desarrolladores y proveedores de APIs del extranjero prefieran expandir sus servicios en otras jurisdicciones antes que en México, restando competitividad e innovación al sector financiero mexicano; y (iv) el imponer las Obligaciones de Aviso y Autorización a las Instituciones va más allá de lo dispuesto por la LRITF. La prestación del servicio de desarrollo o administración de APIs no conlleva riesgos equiparables a aquellos servicios a que se refieren los artículos 326 y 328 de las Disposiciones. Contrario a la regulación existente en lugares como el Reino Unido (Open Banking) y la Unión Europea (Payment Services Directive 2- Directiva PSD2), el artículo 76 de la LRITF no prevé el establecimiento de APIs financieras que permitan a los terceros operadores o proveedores de dichas APIs llevar a cabo la iniciación de pagos y/u operaciones bajo el consentimiento de los usuarios. Las APIs establecidas de conformidad con el Artículo 76 de la LRITF únicamente permiten llevar a cabo la compartición de información relativa a datos abiertos, datos agregados y datos transaccionales, según indican las fracciones I, II y III del mencionado Artículo, respectivamente. Esto quiere decir que las APIs a ser establecidas por las Entidades Financieras, incluidas las Instituciones, en términos de la LRITF, estarán diseñadas de manera tal que no puedan sobreescribir y/o modificar las bases de datos o los sistemas informáticos que para tal efecto mantengan las Instituciones; por el contrario, únicamente podrán acceder a dichas bases de datos y sistemas informáticos en modo lectura (read-only - read access) a efecto de compartir -sin modificaciones o alteraciones- la información solicitada a la Institución por parte de los terceros solicitantes. En ese sentido, los proveedores de servicios de administración o desarrollo de APIs en los términos del Artículo 76 de la LRITF, estarán estrictamente limitados en sus funciones a la operación de APIs que, más allá de la simple lectura y transferencia de información a terceros solicitantes de la misma, no podrán impactar en modo alguno las bases de datos y/o los sistemas informáticos de las Instituciones, mucho menos realizar modificaciones que pudieran derivar en el movimiento o desviación de fondos de los clientes de las Instituciones. Es decir, la integridad, la composición, la confiabilidad y fiabilidad de los datos de los clientes mantenidos por las Instituciones no podrán ser comprometidas por el desarrollador y/o administrador de las APIs que, en su caso, contrate la Institución; ello, pues las APIs utilizadas para tal efecto, por diseño, no tendrán ni las autorizaciones ni los permisos necesarios para crear tales riesgos (no contarán con write access). En contraste con las APIs a que se refiere el Artículo 76 de la LRITF, la prestación de un servicio que tenga que ver con la realización de un proceso operativo o para la administración de bases de datos y sistemas informáticos a que se refieren los Artículos 326 y 328 de las Disposiciones, sí pudiera implicar que el proveedor o el prestador del servicio contratado por la Institución obtenga permisos y accesos que comprendan la posibilidad de alterar, modificar, sobreescribir, etc., las propias bases de datos y/o sistemas informáticos de la Institución, situación que crea riesgos que son inexistentes en el caso de las APIs a que se refiere el Artículo 76 de la LRITF, debido a lo cual resulta por lo menos injustificado el pretender dar al servicio de desarrollo y administración de las citadas APIs exactamente el mismo tratamiento regulatorio que se da a los servicios relacionados con los procesos operativos o para la administración de bases de datos y sistemas informáticos de las Instituciones. En adición, cabe mencionar que de eliminarse las Obligaciones de Aviso y Autorización respecto de la contratación del servicio para el desarrollo o administración de APIs que permitan la transferencia de Datos Transaccionales, no quedaría el regulador sin posibilidad de supervisar de manera oportuna y eficiente, tanto el nivel de desempeño, como el grado de cumplimiento regulatorio que mantengan los proveedores de APIs y las Instituciones que los contraten. Ello, en virtud de que las Instituciones tendrán, independientemente de que se mantengan o no las obligaciones que por esta vía se señalan como inapropiadas, la obligación de: (i) incluir a los proveedores del servicio de APIs dentro de su padrón de proveedores; y (ii) atender cualquier solicitud de información que el regulador les formule respecto de la contratación de proveedores en específico. En atención a lo anterior, se considera que requerir a las Instituciones que cumplan con las Obligaciones de Aviso y Autorización a que se refieren los Artículos 326 y 328, respectivamente, para llevar a cabo la contratación del servicio para el desarrollo administración de APIs que permitan la transferencia de Datos Transaccionales, constituye una obligación que resulta desproporcionada e injustificada al ponderarse objetivamente contra los riesgos reales a que dará pie la contratación de los servicios de referencia. Las Obligaciones de Aviso y Autorización promueven la concentración del sector en el país y obstaculizan el dinamismo y el desarrollo del sector de finanzas abiertas “open finance” en el país. Por otro lado, es necesario sopesar, de cara a las necesidades de la industria y el ecosistema “open finance”, no sólo en México sino en el extranjero, las implicaciones de requerir a las Instituciones el cumplir con las Obligaciones de Aviso y Autorización cada una de las veces que deseen contratar a un proveedor de desarrollo o administración de APIs en términos del Artículo 76, fracción III de la LRITF. En ese sentido, es importante tener en consideración que en el mercado existen, por lo menos, dos tipos distintos de proveedores de servicios de desarrollo o administración de APIs financieras (según el tipo de clientes que atienden), a saber, aquellos que actúan meramente como intermediarios en la transferencia de datos que ocurre entre la entidad que comparte información y la entidad que la solicita (business-to-business), y aquellos que además de ofrecer y mantener las APIs que les permiten solicitar información de otras entidades, tienen una relación directa de servicios con consumidores finales propios (business-to-consumer), a los cuales les ofrecen soluciones de valor agregado. La flexibilidad que permite el modelo de negocios de “open finance” y que se describe en el párrafo anterior, ha provocado a nivel internacional que el sector de proveedores de este tipo de soluciones crezca súbitamente en cuanto a complejidad y competitividad. En un periodo de tiempo llamativamente corto, el mercado ha visto una gran cantidad de jugadores sumarse a la prestación de este tipo de servicios. Desde empresas que por sí mismas han conseguido valuaciones mayores a los $5 billones de dólares, hasta pequeños emprendimientos con enfoques innovadores que buscan atender a segmentos específicos de la población. En ese sentido se estima que el regulador debe reconocer la composición estructural de la industria “open finance” y debe buscar establecer una regulación adecuada que atienda a sus particularidades. Así, se considera necesario ponderar el beneficio regulatorio que depararía el que las Instituciones se vean en la necesidad de presentar tantos avisos y solicitudes de autorización como proveedores de APIs financieras haya en el mercado, contra la carga de trabajo y los costos operativos que el cumplimiento de dichas obligaciones generará tanto para las propias Instituciones como para el regulador. Lo anterior, sin dejar de considerar que el cumplimiento de las Obligaciones de Aviso y Autorización, según corresponda, son independientes de otras facultades de supervisión que podrá ejercer el regulador para vigilar el cumplimiento de la normatividad aplicable en el contexto de la prestación de servicios de desarrollo o administración de APIs en términos del Artículo 76, fracción III de la LRITF. En adición, no se debe perder de vista que la problemática expuesta en el párrafo que antecede, esto es, los costos asociados al cumplimiento de las Obligaciones de Aviso y Autorización, crearán incentivos y costos de cara a las Instituciones que favorezcan la concentración de proveedores de servicios de desarrollo y administración de APIs en el mercado mexicano (switching costs), lo cual limitará la competencia y la innovación en los servicios financieros y terminará por perjudicar a los usuarios finales de dichos servicios financieros. Estos (des)incentivos consisten en que si las Instituciones tienen la posibilidad de contratar con un solo desarrollador o administrador de APIs que agregue a varios solicitantes de datos, con tal de evitar incurrir en los costos regulatorios que implica el cumplir con las Obligaciones de Aviso y Autorización por cada uno de los proveedores con quienes quisieran contratar, es altamente probable que prefieran mantener una única relación contractual, lo cual derivaría en una medida que promueve la concentración del mercado. Más aún, se debe tener en consideración que en otros países como el Reino Unido, en donde se ha creado un próspero -y muy competitivo- ecosistema de proveedores de servicios relacionados con la compartición de datos financieros (open finance), se ha promovido la reducción de los costos de sustitución de proveedores (switching costs) y se ha incentivado la competencia entre los mismos a través de la creación de organismos públicos que tienen la finalidad de promover la estandarización de la tecnología y los protocolos mediante los cuales las instituciones financieras comparten la información de sus usuarios. En efecto, tal es el objeto de la Open Banking Implementation Entity (“OBIE”, por sus siglas en inglés), entidad que se encarga de crear estándares en el desarrollo de software para fomentar la interoperabilidad entre las soluciones tecnológicas creadas por los participantes de la industria open finance. De implementar mecanismos similares para la estandarización e interoperabilidad de la tecnología en México, se permitiría la creación de las condiciones necesarias para el establecimiento de un piso parejo entre los jugadores en territorio mexicano (reducción de switching costs), mientras que al mismo tiempo se evitaría una sobrerregulación que sofoque el desarrollo de productos innovadores y se respetarían los principios de neutralidad e innovación tecnológica. Finalmente, se debe tener en cuenta que el requerir a las Instituciones que lleven a cabo el cumplimiento de las Obligaciones de Aviso y Autorización, según corresponda, con veinte días hábiles de anticipación a la fecha en la que pretendan contratar los servicios de desarrollo o administración de APIs a que se refiere el Artículo 76, fracción III de la LRITF, así como preparar la documentación regulatoria que ello implica, provocará que en México se frene considerablemente el dinamismo con el que opera el sector “open finance”. La carga regulatoria asociada con las Obligaciones de Aviso y Autorización, desincentivará la inversión en el país por parte de desarrolladores y proveedores de APIs financieras, restando competitividad e innovación en el sector doméstico. No se debe perder de vista que las Obligaciones de Aviso y Autorización que el Anteproyecto pretende imponer a las Instituciones en el contexto de la contratación del servicio de desarrollo o administración de APIs en términos del Artículo 76, fracción III de la LRITF, constituyen un factor que los proveedores de dichas APIs o servicios tomarán en consideración en las evaluaciones que realicen al momento de decidir expandir sus operaciones a otras jurisdicciones. Dado el estado de madurez en que actualmente se encuentra la industria “open finance” en México y la ausencia de jugadores que se encuentren debidamente establecidos en el mercado, se considera que el imponer la carga regulatoria que se ha descrito en los presentes comentarios, desincentivará la inversión por parte de los proveedores de dichos servicios en el país y resultará en que éstos prefieran incursionar en otros mercados antes que en el mexicano, frenando así la competitividad de nuestro país frente a otras jurisdicciones y retrasando el acceso de los usuarios financieros mexicanos a servicios innovadores facilitados por soluciones “open finance”. En ese sentido, el texto propuesto por el Anteproyecto es contrario a los principios de innovación financiera, promoción de la competencia y neutralidad tecnológica que deben ser respetados por las Autoridades Financieras en el ejercicio de sus facultades, según dispone el artículo 2 de la LRITF. Las Obligaciones de Aviso y Autorización en el contexto de la prestación del servicio de desarrollo o administración de APIs van más allá de lo dispuesto en la LRITF, violando el principio de reserva de ley. El párrafo cuarto del artículo 76 de la LRITF, señala que únicamente se requerirá autorización previa de las Comisiones Supervisoras o del Banco de México en el contexto del acceso de la información a través de APIs, cuando se trate de las sociedades de información crediticia y las cámaras de compensación. En sentido contrario, el referido artículo 76 no prevé, más allá del caso referido en el párrafo anterior, el que las Entidades Financieras deban dar aviso o, en su caso, solicitar autorización a las Comisiones Supervisoras o al Banco de México, para llevar a cabo la contratación del servicio de desarrollo o administración de APIs para compartir y/o solicitar información relativa a datos financieros abiertos, datos agregados o datos transaccionales. Por lo anterior, consideramos que al pretender establecer las Obligaciones de Aviso y Autorización en el contexto de contratación del servicio de desarrollo o administración de las APIs referidas, el regulador va más allá de lo dispuesto por la propia LRITF y contraviene el principio de reserva de ley. Antecedentes y consideraciones complementarias en materia de competencia económica Postura de la Comisión Federal de Competencia Económica, y otras autoridades de competencia, en materia de acceso abierto a la información. En octubre de 2017, el Pleno de la Comisión Federal de Competencia Económica (“Cofece”) emitió por unanimidad una opinión sobre la entonces iniciativa de Ley para Regular las Instituciones de Tecnología Financiera, en la que reconoció el impacto procompetitivo de las Instituciones de Tecnología Financiera. En específico, identificó que una de las particularidades del sector financiero es que los incumbentes -bancos e instituciones financieras tradicionales- cuentan con ciertos insumos -datos transaccionales de los clientes, historial bancario y crediticio, entre otros datos- que son indispensables para el funcionamiento eficiente y competitivo de las Instituciones de Tecnología Financiera. Por lo tanto, en la OPN-007-2017 se reconoce la importancia de establecer la obligación de acceso abierto y no discriminatorio a dichos insumos, en la medida que sea técnicamente viable.,, Lo anterior es acorde con la experiencia internacional, específicamente con la Directiva PSD2 de la Unión Europea, en la que se establece que el desarrollo de nuevas soluciones de pago y la entrada de un mayor número de oferentes de estas, depende, en gran medida, del acceso que los bancos provean a las Instituciones de Tecnología Financiera y a otros proveedores de dichos servicios a la información de cuentas, de forma segura, a través de una API. En ese sentido, el regulador europeo impuso condiciones en la legislación para generar tal situación, al proveer de datos e información necesaria para que las Instituciones de Tecnología Financiera y otros proveedores pudieran competir en igualdad de circunstancias. Asimismo, la autoridad de competencia del Reino Unido (“CMA”), impuso la iniciativa del Open Banking, la cual se centra en el acceso abierto a información crediticia, de cuentas personales y aquellas que permitan comparar productos y servicios por las instituciones financieras, así como permitir a terceros autorizados extraer información de cuentas personales (previa autorización del titular de la cuenta) e iniciar pagos sin tener que usar los servicios de banca en línea. De la experiencia internacional mencionada, la Cofece reconoce que, en los lugares donde han sido instrumentadas nuevas regulaciones que atienden a la democratización y el acceso abierto a datos (open banking), se ha logrado proveer de certidumbre jurídica, así como piso parejo y oportunidades a los participantes en los mercados de tecnologías financieras, para competir de frente con los incumbentes quienes, por naturaleza, han tenido una ventaja competitiva gracias a su acceso irrestricto a dicha información. En este sentido, la implementación de regulación secundaria, tal como las Obligaciones de Aviso y Autorización propuestas, dificultan la consolidación del principio de open banking en detrimento de los servicios que pueden ofrecer las Instituciones de Tecnología Financiera y otros proveedores en beneficio de los usuarios de servicios financieros. Impacto de las nuevas disposiciones en el ámbito de la competencia económica. Las Obligaciones de Aviso y Autorización que propone el Anteproyecto imponen restricciones regulatorias excesivas, e injustificadas, que dificultan el desarrollo de nuevas APIs y favorece la concentración de los servicios de desarrollo y administración de interfaces de programación en pocos oferentes, lo cual no sólo afecta a posibles competidores, sino también repercute en los productos y servicios que obtiene el consumidor final. A diferencia de lo que se propone en el Anteproyecto, el marco normativo debiera favorecer el correcto funcionamiento de los mercados mediante regulación idónea que atienda los problemas que se identifiquen, así como favorable a la innovación y la entrada de nuevos competidores. En efecto, la Cofece reconoce que el marco normativo que se emita debe favorecer el desarrollo del proceso disruptivo y no obstaculizarlo. Los tres principios básicos de regulación que menciona Cofece en el OPN-007-2017 son: (i) la neutralidad a la tecnología y trato no discriminatorio, es decir, garantizar que actividades equiparables no estén sujetas a regulaciones distintas; (ii) proporcionalidad, en el sentido de que la regulación que enfrente cualquier empresa debe ser acorde a su modelo de negocio, complejidad y nivel de riesgo, y (iii) flexibilidad, a saber, la regulación debe considerar la implementación de nuevos modelos a efecto de no inhibir la innovación. En atención al principio de neutralidad y trato no discriminatorio, queda claro que el Anteproyecto, en todo caso, debiera considerar que las APIs y los servicios contemplados en los Artículos 326 y 328 de las Disposiciones, no son equiparables. Lo que es más, de implementarse el artículo 317 de las Disposiciones, se estaría obstaculizando la contratación de un mayor número de Instituciones de Tecnología Financiera u otras entidades financieras, con el riesgo de que se perjudiquen los nuevos modelos disruptivos y la democratización de los servicios financieros. Asimismo, se debe respetar el principio de neutralidad en la regulación, de forma que se evite inhibir innecesariamente la velocidad de innovación y con ello el proceso competitivo; además, crear disposiciones demasiado específicas podría resultar en la obsolescencia temprana del marco regulatorio. Ahora bien, las Obligaciones de Aviso y Autorización propuestas tampoco cumplen con el principio de proporcionalidad requerido para evitar la sobre regulación o la regulación ineficiente de los servicios financieros. Efectivamente, la falta de proporcionalidad en la regulación inhibe la competencia, ya que no se toma en cuenta el alcance de los servicios que presta cada agente económico, sus modelos de negocio, la complejidad de sus procesos y los riesgos que estos implican. En efecto, en el caso que nos ocupa, la regulación resulta desproporcional en tanto que trata de la misma forma a empresas que se dedican a la integración, modificación o eliminación de elementos de configuración, procesos, documentación, datos o relaciones entre componentes de un sistema, y a empresas que únicamente procesan los datos contenidos en las bases o sistemas informáticos, por medio de una API, sin que puedan modificar, alterar o cambiar los mismos. En otras palabras, sujetar una norma que regula actividades realizadas por Instituciones de Tecnología Financiera y otros proveedores de los servicios relevantes, al cumplimiento de otra disposición distinta elaborada para regular a instituciones financieras tradicionales, constituye una regulación excesiva que no es proporcional a los esquemas de negocio de las Instituciones de Tecnología Financiera y otros proveedores de información. En efecto, la regulación pretende implementar las mismas reglas y obligaciones a sujetos de distinta naturaleza y con servicios diferenciados, haciendo que la regulación sea ineficiente y proclive a desincentivar la entrada de nuevos jugadores al mercado. Conclusión. Imponer las Obligaciones de Aviso y Autorización constituiría una barrera adicional a la entrada para nuevos competidores y desincentivaría la inversión e innovación entre los existentes. A mayor abundamiento, dada la carga regulatoria adicional, el efecto previsible sería desincentivar la contratación de los desarrolladores y administradores de APIs gracias a que, con los nuevos requerimientos regulatorios, se hace más complicado cambiar de proveedor (switching costs). Lo anterior afectaría directamente a las Instituciones de Tecnología Financiera dado que, por sus características de innovación y desarrollo, se les desincentivaría incursionar en el negocio del desarrollo y/o administración APIs, ya que los costos en los que tendrían que incurrir los bancos para cambiar de proveedor serían sumamente altos. En ese sentido, el sector financiero mexicano se vería más beneficiado en el contexto de un ecosistema de open finance diverso, en el que no existan restricciones arbitrarias para contratar proveedores de APIs, se incentive la participación de diversos jugadores, sin importar si son nacionales o extranjeros, y finalmente se promueva la innovación y la competencia. Por ello, resulta necesario y apropiado que la Cofece, en cumplimiento del mandato constitucional conferido, así como en el ejercicio de las facultades concedidas en su carácter de autoridad antimonopolios, emita una opinión a la Comisión Nacional de Mejora Regulatoria respecto del Anteproyecto, en aras de que esta última alinee la regulación propuesta con principios en materia de competencia y libre concurrencia.