El uso los medios electrónicos por parte de las instituciones financieras para operar con sus usuarios se encuentra regulado en distintas disposiciones, entre las principales, el Código de Comercio, la Ley de Instituciones de Crédito, la Ley para Regular las Instituciones de Tecnología Financiera, la Ley General de Organizaciones y Actividades Auxiliares del Crédito, así como las disposiciones secundarias emitidas por Secretaría de Hacienda y Crédito Público, el Banco de México, la Comisión Nacional Bancaria y de Valores y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) en materia de medios electrónicos, pagos electrónicos, medios de autenticación, firmas electrónicas y seguridad de la información.
Algunos de los casos de uso más relevantes que la misma regulación financiera en relación al uso de medios y firmas electrónicos son:
- Contratación de productos y servicios financieros a distancia.
Uno de los casos de uso de los medios electrónicos y las firmas electrónicas por parte de las instituciones financieras que más beneficios ha tenido en los últimos meses es la contratación de productos y servicios a distancia o de manera remota, tales como, la créditos personales o empresariales, la apertura de cuentas de depósito, la contratación de instrumentos de inversión, así como la contratación de wallets o billeteras electrónicas para la realización de pagos mediante transferencias electrónicas o con cargo a trajetas de débito o crédito y otros servicios de banca electrónica.
Esta actividad puede ser llevada a cabo por diversas instituciones financieras, por ejemplo, los Bancos, las SOFOMES, SOFIPOS, Fintechs, Aseguradoras, entre otras, y se encuentra regulada en distintas normas financieras aplicables para cada tipo de institución, en las cuales se permite y prevé el uso de tecnologías a distancia y firmas electrónicas.
2. Identificación de los usuarios o “Know Your Customer” en remoto.
Otro requisito indispensable señalado en las disposiciones financieras para la contratación de servicios financieros a distancia es la validación en línea con las autoridades correspondientes de las credenciales oficiales y datos personales de los usuarios de las financieras en el momento en que se está llevando a cabo la contratación de los productos y/o servicios financieros respectivos. Lo anterior con el objeto de verificar la identidad de la persona contratante y evitar la comisión de delitos como suplantación de identidad, fraudes, lavado de dinero y/o financiamiento al terrorismo.
Los elementos de identificación de los usuarios o contratantes que las instituciones financieras, por ejemplo Bancos y SOFOMES[1], deberán verificar en línea con las autoridades correspondientes son:
- Credencial para Votar: las instituciones financieras deberán validar el momento de la contratación en línea del producto o servicio correspondiente que los datos de la credencial para votar que el usuario o contratante presente como identificación oficial corresponda con los datos resguardados en la base de datos del Instituto Nacional Electoral.
- Clave Única de Registro de Población (CURP): de igual forma, las instituciones financieras deberán validar que los datos que conforman la CURP que el usuario contratante proporcione en ese momento sea una clave válida y correcta, para lo cual deberá consultar en línea con la Secretaría de Gobernación, en específico con el Registro Nacional de Población (RENAPO), que la información relacionada con la CURP proporcionada sea correcta y existente.
Asimismo, las instituciones financieras deberán verificar que los apellidos paternos, maternos y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población.
3. Conservación de mensajes de datos de acuerdo con la NOM 151.
Diversas disposiciones financieras señalan que las operaciones electrónicas que celebren las instituciones financieras con sus usuarios deberán ser conservadas de conformidad con la NORMA Oficial Mexicana NOM-151-SCFI-2016, Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos (NOM 151), es decir, deberán generar sellos y constancias de conservación respectivas por cada una de las operaciones celebradas por medios digitales.
Las mismas disposiciones señalan que estos mensajes de datos y sus respectivas constancias de conservación de la NOM 151 deberán ser conservadas por las instituciones financieras al menos por el plazo de 10 años.
Un ejemplo de lo anterior, es lo dispuesto en la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech)[2] que señala en su artículo 48 lo siguiente:
Artículo 48.- […]
Las ITF deberán conservar por un plazo mínimo de diez años los comprobantes originales de sus Operaciones, debidamente archivados y, en formato impreso, o en medios electrónicos, ópticos o de cualquier otra tecnología, siempre y cuando, en estos últimos medios, se observe lo establecido en la norma oficial mexicana sobre digitalización y conservación de mensajes de datos aplicable, de tal manera que puedan relacionarse con dichas Operaciones y con el registro que de ellas se haga. […]
El incumplimiento de la obligación de conservar los mensajes de datos bajo la NOM 151 y durante los pazos correspondientes puede conllevar sanciones económicas importantes para las instituciones financieras.
4. Realización de operaciones financieras en banca electrónica.
La Ley de Instituciones de Crédito[3] permite que las instituciones de crédito celebren operaciones financieras con sus usuarios a través de claves, contraseñas, firmas electrónicas avanzadas o cualquier otra forma de autenticación y mediante el uso de medios electrónicos, o mejor conocida como banca electrónica.[4]
De esta forma, las Disposiciones de carácter general aplicables a las instituciones de crédito o también conocidas com “Circular Única de Bancos”[5], como regulación secundaria, introduce los conceptos de “identificador” del cliente y los “factores de autenticación”, que van desde preguntas secretas, passwords, y tokens, hasta el uso de factores biométricos para autenticar que la persona es quien dice ser, y en conjunto, identificadores más factores de autenticación son utilizados para permitir que un usuario de la banca pueda iniciar sesión en su servicio de banca electrónica que previamente tenga contratado con la institución y llevar acabo operaciones, tales como contratación de créditos, inversiones, transferencias a terceros, consulta de saldos y estados de cuenta, entre otros.
Fuentes consultadas
[1] Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito y las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple, aplicables a Bancos y SOFOMES, respectivamente.
https://www.gob.mx/shcp/documentos/uif-marco-juridico-disposiciones-de-caracter-general.aspx
[2] Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech)
http://www.diputados.gob.mx/LeyesBiblio/pdf/LRITF_090318.pdf
[3] Artículo 52 de la Ley de Instituciones de Crédito.
http://www.diputados.gob.mx/LeyesBiblio/pdf/43_270320.pdf
[4] De acuerdo el artículo 1, fracción XVI de la Circular Única de Bancos, “Banca Electrónica” es el conjunto de servicios y operaciones bancarias que las Instituciones realizan con sus usuarios a través de Medios Electrónicos.
[5] Disposiciones de carácter general aplicables a las instituciones de crédito (Circular Única de Bancos)