La SBS está de acuerdo con lo que plantea el Indecopi en su estudio sobre el sector Fintech, sin embargo, le ha hecho algunas precisiones, declara Jorge Mogrovejo González a Microfinanzas. Agrega que aún no está decidido el modelo para llevar a cabo la banca abierta en el Perú y que se podría perfeccionar la regulación en ciberseguridad ante el ingreso de las fintech.
¿Qué proyectos se están trabajando o están en cartera para el desarrollo del sistema financiero peruano con todo lo que implica para la inclusión financiera?
Hay dos proyectos u objetivos importantes en el sistema financiero. Uno liderado por el Banco Central de Reserva (BCR) y otro por la Superintendencia de Banca, Seguros y AFP (SBS), que están conectados. Estos son la interoperabilidad de los sistemas de pagos y el ‘open banking’.
En el caso de la interoperabilidad es conocido por todos que ya está en plena implementación. La primera etapa de interconexión de las dos principales billeteras ya se concluyó.
De ahí viene, según lo anunciado por el Banco Central de Reserva (BCR), conectar a las demás entidades financieras y, en una tercera etapa, conectar a los no regulados. Ahí, está la participación de las fintech y demás empresas que pueden realizar actividades, por ejemplo, de iniciación de pagos.
¿Qué tan avanzado está el proyecto del ‘open banking’?
En el caso del ‘open banking’, la Superintendencia cuenta con un proyecto que ha recibido la consultoría del Banco Mundial, en el 2020, en el que hoy venimos trabajando. La diferencia es que en el ‘open banking’ hay un requisito esencial [para su implementación], que es primero contar con sólidos fundamentos de ciberseguridad, y esa parte ya se empezó.
La norma [para alcanzar mejores estándares en ciberseguridad] existe y está en supervisión. De hecho, algunas empresas [supervisadas] en su momento pidieron una prórroga, porque representa un reto grande para estas cumplir con los estándares más exigentes que son un prerrequisito [para la banca abierta].
¿Cómo va el avance?
Recordemos que el ‘open banking’ implica, a través de las API [piezas de código que permite a diferentes aplicaciones comunicarse entre sí y compartir información y funcionalidades] acceder a la información de un cliente para ser compartida con otra entidad. Con lo cual, si todo el tema de ciberseguridad no está trabajado adecuadamente, pasaremos a una peor situación.
Siempre debemos recordar que el que está en peligro es el cliente con su data, con lo cual, para que el ‘open banking’ funcione debe hacerse sobre cimientos sólidos y esto está en curso, no es que no se haya hecho nada. Lo que sucede es que va a aparecer en un momento posterior a la interoperabilidad, que es un primer buen paso de interconexión entre las entidades.
¿Es decir, este proceso de mejora en la ciberseguridad está en curso?
Así es.
¿Han estado trabajando el modelo del proyecto del ‘open banking’ de la mano del Banco Mundial y del BCR?
Se hizo la consultoría del Banco Mundial hace un tiempo. Me parece que se está retomando, no te puedo confirmar. Pero, de que se está trabajando, se está trabajando. Como indiqué requiere primero de cimientos sólidos que es que el sistema en su conjunto tenga una buena gestión de ese riesgo [cibernético]. De hecho, algunos bancos están más avanzados que otros. Eso suele pasar.
Indecopi
El Indecopi, en su reciente Estudio de Mercado del Sector Fintech, recomienda a la SBS que impulse una agenda de trabajo con hitos para la implementación progresiva del ‘open banking’. Considerando lo que ha comentado, ¿qué podemos decir sobre esa recomendación?
Sí, efectivamente, hay un informe del Indecopi al que hemos alcanzado un oficio con algunos comentarios, que probablemente serán recogidos en una siguiente versión del informe.
¿Cuáles han sido los comentarios de la SBS acerca de trabajar en la banca abierta para que las fintech puedan participar?
El comentario principal de la Superintendencia es que estamos de acuerdo. Si vemos cuál es el concepto de ‘open banking’ óptimo en los países que más han avanzado, se podrá verificar que implica que no solo una Caja pueda pedir la información de su cliente a un banco y viceversa, sino que una fintech también lo pueda hacer. Pero ahí, lo que advierte la SBS es que el esquema tiene que estar centrado alrededor del usuario.
Es decir, a quien tiene que favorecer el ‘open banking’ es al usuario y no necesariamente hacerse pensando en favorecer a la fintech. ¿Por qué? Porque si pensamos en favorecer al usuario significa que es un prerrequisito exigir sólidos fundamentos de gestión de ciberseguridad a las fintech.
Ello porque, si lo que hacemos es darle mayor énfasis para que la fintech se conecte sin habernos preocupado de la ciberseguridad, estaríamos poniendo en peligro al cliente. Además, hay que notar que una cosa es abrir la información a una Caja, una financiera o un banco, que ya tienen normativas de este tipo, y otra es hacerlo a una fintech que no la tiene.
También, una fintech podría sin regulación tener hasta un estándar de ciberseguridad más avanzado, pero todo depende de su voluntad de hacerlo. Sin embargo, otra fintech puede no haber asumido ese reto y querer conectarse sin tener detrás toda la gestión de riesgos apropiada.
Por ello, lo que la Superintendencia dice es sí, de acuerdo, con el impulso del ‘open banking’ para fomentar más competencia, pero poniendo el interés del cliente en el centro. Esto tiene que ser hecho en un entorno que mitigue o reduzca el riesgo de causarle daños al cliente con su información.
Modelos
Hay distintos modelos para llevar a cabo la banca abierta. ¿Han evaluado cuál se usará en Perú?
No está decidido, pero tienes razón, hay varias formas de hacerlo. Tienes desde los países en los que el ‘open banking’ es puramente voluntario. Es decir, los bancos o empresas financieras que lo quieren hacer lo hacen y el resto no. Luego se tienen los esquemas en los que es obligatorio.
Es decir, todo aquel supervisado debe hacerlo. También hay países en donde las API son específicamente definidas por el regulador y otras en donde hay un mercado abierto y las API deben cumplir con estándares, pero hay libertad para utilizarlas.
No hemos llegado todavía a determinar exactamente el esquema del cual se hará, pero sí es cierto y es importante notar que hay varias formas de hacerlo y en algunas hay más riesgos que en otras; otras son más exigentes en el tiempo y otras se pueden empezar más pronto.
Por ejemplo, hay países en donde se juntan los 4 o 5 bancos que están más avanzados en el tema y están con ‘open banking’ entre ellos y fijan ciertos criterios para poder admitir a terceros que pueden inclusive no ser supervisados. Esta es una decisión que aún no se ha tomado, pero que se va a hacer ‘open banking’, está claro que sí.
Ciberseguridad
¿Cómo garantizamos que empresas no reguladas como las fintech cumplan con estándares de ciberseguridad rigurosos?, ¿tal vez con un modelo acotado de ‘open banking’ que permita minimizar esos riesgos o regulando a las fintech en este aspecto?
Es más complicado regular a una empresa que no es parte del perímetro de la Superintendencia. Quizás con lo que voy a decir me estoy adelantando, porque todavía no se ha decidido, pero existen varias fórmulas alternativas.
Por ejemplo, exigir que las fintech pudieran cumplir con ciertos estándares que son certificados por auditoras o empresas certificadoras. Se puede hacer eso. No es un obstáculo para el ‘open banking’ que la empresa no sea supervisada o regulada. Lo que interesa aquí es que cuente con una debida gestión de esos riesgos. Si lo acredita, no debería haber ningún problema.
Acá es muy importante este principio básico que es la protección de la data personal de los clientes. Imagínate no una fintech, sino cualquier empresa que no tenga una adecuada gestión de ese tipo de riesgos y que toda la data de sus clientes, que era información que provenía de una entidad regulada, que sí cuenta con una buena gestión de riesgos, aparece vendida en el mercado, eso no sería correcto.
Por esa razón, el BCR ha arrancado la interoperabilidad primero con las billeteras, luego viene la interconectividad de todos los bancos, financieras y Cajas supervisadas y, en una tercera etapa, entrarán las empresas no supervisadas como las fintech.
¿De quién sería el rol de fijar estándares de ciberseguridad, de la SBS o del BCR?
Esa parte [la regulación sobre ciberseguridad] es nuestra, sin duda, porque el Banco Central tiene otras competencias. De hecho, el BCR parte y asume que hay una regulación apropiada para que ellos puedan hacer lo que están haciendo [la interoperabilidad].
¿Podrían venir nuevas regulaciones en el ámbito de ciberseguridad?
Ya existe una regulación en curso, que no es tan antigua, que está siendo objeto de revisión. Probablemente, y de nuevo me estoy adelantando, podría ser que se perfeccione. Ya se lanzó una norma sobre las API, pero todavía es algo inicial. No descarto que esto requiera un tratamiento regulatorio adicional. Es importante que se termine exitosamente la segunda etapa de la interoperabilidad para ver cómo funciona esta interconexión total a nivel de pagos, que ya es un avance el hecho de que los bancos puedan conversar entre sí en pagos. Recordemos que el ‘open banking’ tiene la misma figura, que es conversar con otra data.
Casas de cambios
Regresando a las recomendaciones de Indecopi, otra crítica es que la SBS estaría exigiendo a las casas de cambio virtuales contar con licencias municipales que aplican para locales físicos, lo que representa una barrera para la competencia de las fintech, ¿por qué ocurre ello?
En primer lugar, las casas de cambio no son entidades supervisadas por la SBS. Este es un tema importantísimo que destacar. Las casas de cambio son sujetos obligados a reportar [información relevante para la prevención y análisis del lavado de activos y del financiamiento del terrorismo] a la Unidad de Inteligencia Financiera (UIF).
Y ser sujeto obligado no es igual a ser supervisado. Un supervisado para operar requiere una licencia, una autorización de funcionamiento y debe cumplir con todo el marco regulatorio. Mientras que un sujeto obligado solo está obligado a entregar cierta información para la prevención de lavado de activos. Nada más.
Entonces, no sé por qué se puede hablar [de que la SBS haya fijado a las casas de cambio la obligatoriedad de contar con una licencia municipal]. Por eso, hemos enviado una carta al Indecopi en la que hacemos notar, que este no es un supervisado, por lo tanto, ¿qué barrera [por parte de la SBS] hay acá? Ninguna.
¿Entonces, la SBS no es la que dicta a las fintech de casas de cambio virtuales que deban contar con una licencia municipal?
No. La licencia municipal no es un requisito que fije la Superintendencia para que puedan operar. De hecho, la SBS no obliga a sus supervisados a contar con un local físico. Esto se puede verificar en las recientes modificaciones en la Ley General del Sistema Financiero, que fueron propuestas por la SBS y se aprobaron por delegación de facultades en la que se señala que las empresas del sistema financiero pueden realizar de manera digital todas las operaciones para las que se encuentren autorizadas. La regulación para los supervisados está pensada para favorecer la virtualidad. Acá no hay ninguna barrera.
Cierre de cuentas
El Indecopi también recomienda la asistencia de la SBS para que los bancos revisen sus políticas y criterios de evaluación para la apertura de cuentas corrientes. El informe revela que los bancos más grandes están negando la apertura de cuentas a las fintech bajo la justificación de lavado de activos y el Código del Consumidor que no aplica a proveedores de servicios como las fintech. Si esto es cierto, ¿la Superintendencia Adjunta de Conducta de Mercado no debería hacer algo?
En todo el mundo pasa el famoso ‘de-risking’ [que es la práctica de eliminar el riesgo a través de la restricción de vínculos con ciertas contrapartes, en lugar de gestionarlo], en el cual bancos o empresas financieras cortan relaciones con empresas o sectores que los consideran riesgosos per se.
Por ello, la SBS ha emitido oficios múltiples en los que se les indica a los supervisados que tienen que evaluar de manera individual a cada cliente para determinar si inician o cortan relaciones comerciales o, si rescinden el contrato. Si las causales de esa decisión están vinculadas con medidas del sistema de prevención de lavados de activos, tienen que ser precisas en cuanto a por qué se aplican.
Luego, hemos emitido otro oficio para la evaluación de riesgos no mitigables que guarda la misma lógica. Pero la SBS tampoco puede decirle a un banco: “Contrata con esta empresa”, porque hay un tema de libertad contractual también.
¿Cómo podríamos resolver este problema?
El Indecopi ve los temas de competencia y podría determinar o proponer una ley por el cual diga que esto [permitir a las fintech abrir cuentas corrientes en los bancos] es algo que se tiene que hacer, lo que son palabras mayores. Lo que la SBS ha hecho es emitir oficios indicando a los bancos que tienen que hacer un análisis detallado. No es cuestión de alegar el cierre de cuentas corrientes por lavado sin la respectiva justificación.
También, es cierto que hay algunos bancos que tienen una política previa por la cual no quieren operar con ciertos sectores que consideran que tienen ciertos riesgos.
Ahí es un tanto difícil para nosotros como supervisor prudencial forjar u obligar a que el banco contrate con alguien o no corte relación. Pero recordemos que Indecopi es el regulador de la competencia. Si hay un tema de competencia, la institución podría aportar o promover alguna ley o regulación al respecto.
El Indecopi ha identificado barreras a la competencia de las fintech por parte del sistema financiero regulado, por lo que hace ciertas sugerencias, ¿qué puede decir de las conclusiones y recomendaciones del estudio de Indecopi?
En líneas generales, estamos de acuerdo con la orientación que tiene el informe, pero he dado ejemplos de algunos aspectos [respecto a los hallazgos del estudio] que debieran revisarse. Por ejemplo, cuando asumen que la casa de cambio es supervisada por la SBS y no lo es, o cuando el estudio hace énfasis a una norma de la Superintendencia que disminuye los montos límites de las cuentas de dinero electrónico simplificadas.
En realidad, las cuentas de dinero electrónico simplificadas están sujetas a un monto reducido, por eso son simplificadas. Para las operaciones de mayor monto siempre están las cuentas generales de dinero electrónico.
Entonces, ¿algunos hallazgos o conclusiones del estudio del Indecopi deben revisarse?
Indecopi no necesariamente tiene por qué saber el detalle de nuestra regulación y nuestro enfoque. Por ello, ha recibido un oficio nuestro con los comentarios a sus recomendaciones.
Nuestro oficio con la mejor intención les dice cuidado, hay que hacer ciertas precisiones.
Y creo que estamos remando en el mismo sentido, en cuanto a que sí hay que procurar que haya una mayor interconexión, que haya más participantes en el mercado, que las fintech puedan participar en alguna medida con los cuidados que comentaba.
Por ello, es importante hacer notar que dicho informe tiene un oficio con nuestros comentarios, que debieran ser tomados en cuenta para que el estudio de mercado de Indecopi esté acorde con las regulaciones vigentes.