Derivado de la gran falla que hubo en el Sistema de Pago Electrónicos Interbancarios, mejor conocido como SPEI, a finales del mes de abril y durante principios de mayo del año pasado, las autoridades responsables, en especial el Banco de México (Banxico), en su carácter de administrador de dicho sistema, a través de dos circulares, modifican y adicionan disposiciones contenidas en las circulares 13 y 14 del 2017, con el propósito de que continúen proporcionando un adecuado funcionamiento de los sistemas de pagos así como el sano desarrollo el sistema financiero nacional, y en relación a la problemática adyacente, ha considerado reforzar e intensificar las medidas de prevención de riesgos concerniente al manejo de recursos derivados de trasferencias de fondos no autorizados legítimamente y/o provenientes de cuentas de clientes que impliquen un mayor riesgo.
Durante el viernes 27 de julio del presente año, en el Diario Oficial de la Federación (DOF) fueron emitidas dos circulares por parte de Banco de México, la 10/2018 y la 11/2018, principalmente para la protección de los intereses públicos. La primera de ellas está dirigida a las instituciones de crédito y empresas que prestan de manera profesional el servicio de transferencias de fondos, con respecto a la reforma a las disposiciones generales aplicables a los participantes en el SPEI, en materia de mitigación de riesgos, resolviendo en modificar las fracciones IV y V de la 15° así como en adicionar las fracciones VI a XVII de la misma. Básicamente estas nuevas disposiciones buscan identificar, de entre sus clientes, definiendo a aquellos sujetos diversos a entidades financieras que ofrezcan, intercambios o compraventa de activos virtuales, mencionados en el art. 17 de la Ley Federal. En las demás fracciones, en un segundo plano se encuentran las acciones y medidas preventivas en caso de manejar alguna cuenta de estos tipos de clientes descritos anteriormente, entre las más destacadas respecto a estos son, que deben únicamente llevarles cuentas que correspondan a cuentas de deposito de dinero a vista abierta, respecto de las cuales los participantes del SPEI recabe la misma documentación y datos de identificación de las disposiciones de carácter general contenidas dentro del 115 de la Ley de Instituciones de Crédito que establecen para las cuentas nivel 4; por otro lado también menciona la abstención de abrir a dichos clientes , cuentas de clientes que estos a su vez, pueden ofrecer a sus usuarios el envío o recepción de transferencias de fondo por medio del SPEI a favor de dichos clientes, en ese mismo sentido, deben abstenerse, primeramente a poner a disposición de los clientes, el mismo día hábil bancario en que reciba la orden de trasferencia por SPEI dirigida a la cuenta del mencionado cliente, los recursos correspondientes al abono que haya resultado procedente realizar, todo esto y cuando el Administrador emita un aviso sobre las situaciones en que los participantes del SPEI deberán elevar sus mecanismo de monitoreo y alerta con respecto a las transferencias de fondos que procesan por medio del SPEI y de emitir ordenes de transferencias a nombre del participante del SPEI de que se trate y por cuenta de terceros, para bono de los recursos correspondientes en cualquiera de las cuentas de los clientes; también deberán realizar validaciones adicionales respecto a las transferencias de fondo dirigidas a cuentas de los clientes beneficiarios mencionados con anterioridad, por otro lado, deberán de realizar verificaciones periódicas al cumplimiento de los requisitos de seguridad de la información de su infraestructura tecnológica o de cualquier tercero que pudiera tener afectación en la operación la en la misma infraestructura tecnológica del participante del SPEI además de atención a los incidentes de seguridad de la información dentro de sus canales electrónicos , así mismo deben contar con ciertas políticas y procedimientos documentados, una en materia de pruebas de confianza e integridad aplicados a sus mismo personal así como a los mismos terceros que proveen servicios de tecnologías de la información y comunicación, que cuenten con acceso a información y sistemas relevantes a la operación de SPEI y la otra, en materia para la prevención de operaciones con recursos de procedencia ilícita, otra cosa con la que deben de contar en todo momento es con un oficial de seguridad de información, al cual le deben poner a disposición el listado actualizado de las personas que cuenten con acceso a la información relacionada con las operaciones en las que interviene el propio participante, de igual manera aquéllas que se encuentren en el extranjero como de los usuarios de la infraestructura tecnológica que cuenten con alto privilegios.
Esta circular junto con los nuevos lineamientos entraran en vigor al día hábil bancario inmediato siguiente a la fecha de publicación de esta Circular, pero lo dispuesto en las fracciones VI, VII, VIII, XI, XVI y XVII, de esta misma disposición, entrara en vigor a los tres días hábiles bancarios siguientes a la fecha de publicación de esta circular, las fracciones XII, XIII y XIV entraran en vigor veinte días hábiles bancarios siguientes ala fecha de publicación de esta misma y por último la fracción XV, entrara en vigor a los treinta días hábiles bancarios siguientes a la fecha de publicación de esta circular en el DOF.
Dentro de la otra circular 11/2018, la cual va dirigida a los participantes del SPEI y demás interesados en actuar con tal carácter, relativa a las Reformas a las Reglas del SPEI, en materia Mitigación de Riesgos. El Banco de México cree conveniente establecer requerimientos adicionales a dichos participantes en materia de seguridad de la información buscando reforzar los objetivos, consistente en robustecer la seguridad de dichos participantes, promoviendo beneficios a la población en general, todo esto con el propósito de propiciar condiciones adecuadas para que se de un ambiente de control de riesgos conveniente que brinde certeza como confianza tanto a los participantes, como a los usuarios del sistema.
Dicha circular establece modificar ciertas fracciones, así como adicionar otras más para complementar los objetivos que fueron contenidos en las reglas del sistema de pagos interbancarios establecido dentro de la Circular 14/2017. La primera de las adiciones se ve reflejada dentro de la regla 19ª. Acreditación de Ordenes de Transferencia Aceptadas por SPEI, añadiendo un cuarto párrafo, en el cual trata de aquellas transferencias de fondos dirigidas a cuentas de clientes beneficiarios, en donde los Participantes Receptores respectivos deberán realizar validaciones adicionales a las previstas antes de llevar a cabo el abono al cual se refiere para así poder determinar si aceptan las respectivas Ordenes de Transferencias Aceptadas por SPEI, otros aspectos determinados, son la fecha de las Cuentas de Clientes correspondientes, así como los patrones transaccionales en comparación con aquellos que sean considerados inusuales, los participantes referidos no estarán obligados a dar cumplimiento con los plazos señalados, según sea el caso, así mimos podrán realizar los abonos correspondientes en el plazo que, al efecto, el administrador autorice a cada participante en respuesta a la solicitud que presente ante la gerencia de operación y continuidad de negocio de los sistemas de pagos, en lo que concerniente a los participantes que no cuenten con previa autorización por parte del Banco de México, deberán llevar a cabo a cada uno de los abonos en el día hábil bancario inmediato siguiente a aquel cuando reciban la orden de trasferencia. Dentro de la sección XI contingencias en la regla 45ª. Contingencias, que fueron modificadas las fracciones IV y V, adicionando una fracción VI, la cual establece que se deberá notificar a través de los medios electrónicos de comunicación establecidos en el manual de avisos sobre situaciones en que deberán de elevar sus mecanismos de monitoreo y alerta con respecto a las trasferencias de fondos que procesan por medio del SPEI; dentro de la regla 58ª. Requisitos para la admisión como participante, se agregó un inciso al apartado (a de la fracción I, en el cual se hace mención de las medidas y acciones que se deberán adoptar para la atención de incidentes de seguridad de la información en su infraestructura tecnológica o en la infraestructura de cualquier otro tercero que pudieran ocasionar una afectación en al operación o en dichas infraestructuras; de igual manera fue añadido un inciso g) en el apartado B), en el cual también mencionan las medidas y acciones que se deberán adoptar pero en este caso para la atención de incidentes de seguridad de la información en su canales electrónicos, también deberán contar con una política y procedimientos documentados de pruebas de confianza e integridad de los miembros de su personal y de terceros que proveen servicios en materia de tecnologías de la información y comunicación. Así como se menciono en la circular 10/2018 se tomo en cuenta que también deberán de tener una policía de procedimientos, incluyendo, las actividades que realizara para identificar cuentas de clientes correspondientes a sujetos diferentes a entidades financieras que ofrezcan de manera habitual y profesional, intercambios o compraventas de activos virtuales.
En su sección II, responsables de cumplimientos normativo y de seguridad de la información del SPEI fue agregado un cuarto párrafo dentro de la regla 59ª. Responsables de cumplimiento normativo del SPEI, en el cual establece que lo dispuesto en dicha regla será aplicable sin perjuicio de la responsabilidad que corresponda al participante por las violaciones cometidas; así mismo fue adicionada una regla bis a las 59ª. Oficial de seguridad de la información del SPEI, el cual desglosa las actividades de las cuales estará encargado de llevar a cabo el oficial de seguridad, en el cual una de sus actividades primordiales, es la participación activa en al definición y verificación de la implementación y continuo cumplimiento de la políticas y procedimiento de seguridad informática y como lo establece en la Circular comentada anteriormente, deberá tener a su disposición el listado actualizado de las personas que cuente accesos a la información relacionada con las operaciones en las que interviene el propio participante, tanto de aquellas que se encuentran en el extranjero como de los usuarios de la Infraestructura Tecnológica que cuenten con alto privilegios.
Para el registro ante el administrador contemplada en la regla 60ª., el interesado deberá informar, mediante escrito dirigido al Administrador a través de la Gerencia de Operación y Continuidad de Negocio de los Sistemas de Pagos, el nombre de las personas designadas como responsable del cumplimento normativo del SPEI y oficial de seguridad de la información del SPEI.
Por último, fueron modificadas las fracciones I y II de la regla 72ª. Requisitos de permanencia en materia de riesgos adicionales, las cuales no cambian el trasfondo del sentido de dicha regla pero en cambio fueron agregadas ciertas fracciones, en las cuales pretende que los participantes se abstenga primeramente en abrir a los clientes señalados en dichas fracciones Cuentas de Clientes que estos, a su vez pueden ofrecer a sus usuarios par el envío o recepción de transferencias de fondos por medio del SPEI a favor de dichos Clientes; en cuanto en el caso de que el Administrador emita el aviso, relativo a situaciones que obliguen a los participantes a elevar sus mecanismos de monitoreo y alerta, le participante receptor que lleve alguna de la cuentas de clientes, a partir del momento de dicho aviso, cualquier orden de transferencia aceptada por SPEI dirigida a dicha cuenta, tendrá que abstenerse a poner a disposición en el mismo día hábil bancario en que haya recibido dicha orden de transferencia, los recursos correspondiente al abono que haya resultado procedente realizar, como resultado a esto deberá poner a discusión dichos recursos a partir del siguiente día hábil bancario en que se haya concluido las respectivas validaciones, así como aquellas otras que deba llevar a cabo como parte de mecanismo de monitoreo y alerta que deba elevar, en dicho caso los participantes Receptores deberán observar el plazo que le Administrador indique la respecto de la comunicación emitida y ya por ultimo también deberán abstenerse de la emisión de ordenes de Transferencias a nombre del participante de que se trate y por cuenta de terceros, para abono de los recursos correspondientes en cualquiera de las cuentas de dichos Clientes abiertas en el mismo Participante o en cualquier otro. Todas estas disposiciones y lineamientos entraran en vigor al día hábil bancario inmediato a la fecha de publicación de esta circular.
No obstante, de lo anterior, aquellos sujetos que, a la fecha de publicación de la presente Circular, hayan quedado admitidos como Participantes del SPEI, quedarán sujetos a que deberán cumplir los requisitos referidos en las reglas 58ª., fracción V, ultimo párrafo, y 72ª, de esta circular a partir de los tres días hábiles bancarios posteriores a la fecha de publicación, así mismo para la designación de la persona que se desempeñe como oficial de seguridad y el informar al Banco de México el nombre de dichas personas de conformidad con lo establecido en la 60ª, de las reglas, a mas tardar a los veinte días hábiles bancarios posteriores a la fecha de publicación de esta circular y deberán cumplir con los requisitos referidos en las Reglas 58ª, a partir de los sesenta días hábiles bancarios posteriores a la fecha de publicación de la ya mencionada circular.
Aunado a lo mencionado anteriormente también se contempla a aquellos participantes del SPEI que estén sujetos a una imposibilidad material para dar cabal cumplimiento a los requisitos en los plazos indicados, deberán notificar la situación al Administrador, con la finalidad de que el administrador resuelva lo que, en su caso, resulte procedente.
Como comentario final, quisiera agregar que derivada a estos nuevos lineamientos que establece el Banco de México, servirá como parte-aguas para brindar una mayor protección, certidumbre, eficacia y certeza en la operación del sistema de pagos, a los participantes, instituciones financieras, usuarios y demás personas que están involucradas indirecta o directamente con la funcionalidad del SPEI.
Lic. Alejandro Armijo
Gloria Ponce de León & Hernández
