18 June, 2018
Carlos Orta, CNBV, on regulating fintech in Mexico

Carlos Orta is the vice-president for regulatory policy at Mexico’s securities regulator, the CNBV.

In this episode, Orta discusses fintech regulation in Mexico. Among the topics discussed, Orta explains:

  • Risks he sees in the fintech sector
  • The role of regulation for cybersecurity
  • The importance of the secondary regulations on open banking
  • The biggest regulatory challenge for Mexico’s fintechs

This interview is part of iupanas special series on regulation in June 2018.

Read also: Mexico fast-tracks open banking rules

Escúchalo en Apple Podcasts ES

Imagen

Escúchalo en Apple Podcasts ES

Transcript

This podcast is in Spanish – but did you see our English-language coverage of the interview here?

Preparamos nuestros podcasts para tu sentido auditivo. Recomendamos que lo escuches para captar todo el enfasis y la emoción que no se pueden transmitir a través de la lectura. Proporcionamos la transcripción para tu conveniencia pero con el aviso que puede contener errores.

 

Cuéntame de los riesgos que ves, en el sector fintech, los riesgos que hay que regular.

Carlos Orta, CNBV: En el sector fintech, los riesgos más comunes que vemos tienen que ver con quienes están detrás de las plataformas que van a prestar los servicios de financiamiento colectivo o de pagos electrónicos, es decir, ahí necesitamos saber, para la autorización de estas entidades, quiénes son los accionistas, quiénes son los dueños, cómo están formados los órganos de Gobierno de estas entidades, por un lado. Por otro lado, tener también certeza de qué tipo de proyecto se va a subir a estas plataformas, es decir, que exista realmente un proyecto detrás de un financiamiento colectivo de capital, por ejemplo.

También saber quiénes son las personas que van a invertir en los financiamientos que se publiciten a través de otras plataformas, queremos saber quiénes son las personas, de dónde provienen sus recursos y por eso es necesario tener una regulación suficientemente sólida para prevenir el lavado de dinero y financiamiento al terrorismo, otro de los riesgos importantes es el de cyberseguridad, ahí tendremos que establecer regulación que prevenga posibles ataques, que prevenga la discontinuidad operativa, es decir, tener mecanismos a través de las plataformas en los que puedan seguir operando, aún cuando su plataforma principal deje de hacerlo.

También riesgos prudenciales, riesgos de operación y la salud financiera de las plataformas, como puedan mantenerse a lo largo del tiempo, sin que tengan problemas financieros, y también el riesgo que existe o que existía antes de la ley, para que los usuarios de los servicios financieros tuvieran quién los defendiera ante incumplimientos, por ejemplo, en un tema contractual.

 

Es una lista bastante larga, ¿cierto?

Carlos Orta, CNBV: Sí, correcto.

 

¿Por qué es tan importante saber quiénes son los accionistas de las entidades?

Carlos Orta, CNBV: Ahí, como en cualquier otra entidad financiera que administre recursos del público, queremos saber quién está detrás de ella, que podrían evitar de esa forma fraudes, se podría evitar que no supiéramos quién está o dónde está físicamente la plataforma, lo que se establece en la ley son requerimientos mínimos para la autorización de las plataformas y que en regulación secundaria se puedan poner requisitos adicionales y aquí estamos pensando que sea algo bastante similar a lo que ya ocurre para autorizar a otro tipo de entidades que regula la comisión bancaria.

Escúchalo en Apple Podcasts ES

 

¿Las regulaciones para registrar un fintech serían más o menos lo mismo como para registrar un banco?

Carlos Orta, CNBV: Sí, tendrían elementos muy similares.

 

Esa iba a ser una pregunta mía en tema filosófico: ¿Por qué es importante establecer una regulación diferente para los fintech, que para los bancos? Por ejemplo, mencionaste temas prudenciales, yo me imagino que una regulación que aplica a un banco, podría ser parecido para un Fintech?

Carlos Orta, CNBV: Tiene similitudes, pero no necesariamente son iguales, por ejemplo, en el caso de las plataformas de Fondeo colectivo, ahí realmente no están usando los recursos del balance de la plataforma para fondear los proyectos, a diferencia de lo que ocurre con un banco, aquí por ejemplo, la plataforma no incurre en riesgo de crédito, sí incurre en otros riesgos, como el riesgo operacional, que ese también lo tienen los bancos.

Ahí en la medida en que la complejidad en que las operaciones que hagan las plataformas nuevas, se asimile a los riesgos que enfrentan los bancos, también tendrán que tener un requerimiento de capital vinculado con ese tema o por ejemplo con el riesgo de mercado.

 

En relación a la ciberseguridad, ¿Cómo se puede regular eso? ¿Cómo estás viendo eso para regularlo, para seguir al tanto de un tipo de crimen que se puede cambiar de forma bastante rápida?

Carlos Orta, CNBV: Bueno. Ahí, como sabes, las autoridades financieras han emitido recientemente unas bases para las recuperación, el tema de cyberseguridad, los lineamientos, y crear estructuras al interior de las entidades, ahí seguramente habrá una regulación que también sea semejante en alguna materia con la que existe para otras entidades financieras, que protejan los datos de los clientes, las operaciones y estar siempre atentos a los nuevos riesgos que puedan surgir y tener una regulación lo suficientemente flexible como para poder ir incorporando mejores prácticas en la materia,

 

Me puede comentar un poco sobre algunos de los requisitos que estás pensando incluir en la regulación secundaria en relación a la ciberseguridad.

Carlos Orta, CNBV: Ahí tenemos que discutir esta regulación con el banco de México, es una regulación que se emite de manera paralela entre ambas autoridades para las instituciones de fondeo colectivo y para las instituciones de pago electrónico.

Ahí, lo que hemos venido discutiendo las autoridades es el alcance de la regulación, ¿A qué entidades va a aplicar? Si va a haber algún mecanismo que diferencie el alcance de la regulación por tipo de operación, por los riesgos que incurran, y en la medida en que sean más grandes las plataformas, la regulación tendrá que ser más robusta y completa pudiera haber algunas diferencias, algunas entidades que no hagan todos los servicios o que tengan un número menor de usuario, etcétera.

 

En relación a eso, me interesa la regulación que salió el año pasado sobre la biometría e identificación biométrica, porque ahí también hay una cuestión de protección de datos, todos los datos de la huella digital, de autenticación biométrica digamos, ¿Cómo estás regulando eso en temas de cyberseguridad? Regulación de esos datos y protección de esos datos y eso sería parecido para los fintech también.

Carlos Orta, CNBV: Sí, ahí lo que hizo la comisión bancaria el año pasado, fue publicar en la circular única de bancos un mecanismo de autenticación de usuarios, para evitar la suplantación de identidad y lo que la regulación prevé es que al momento de que se abra de una nueva cuenta, o se contrate algún nuevo producto financiero en sucursal, los usuarios tengan que poner sus huellas digitales, y esas huellas digitales se validan en línea con el INE, de esta forma lo que se certifica es que la persona que se presenta en una sucursal sea la misma que se registró en el INE.

De esta forma poder saber que no está haciendo una suplantación de identidad. Los mismo ocurre para el retiro de efectivo en ventanillas bancarias, a partir de cierto monto, las persona tendrían que poner sus datos biométricos de huella, pero también esa regulación, lo que permitió fue abrir cuentas bancarias de manera remota de nivel cuatro, como sabes existen cuatro niveles de cuentas que van aumentando su complejidad en términos de operación y saldos, conforme cuentan con mayores elementos de identificación de las personas.

Las cuentas de nivel cuatro, que son las cuentas más completas, ahora se pueden abrir también de manera virtual y esto es a través de un teléfono móvil, por ejemplo, en el que la institución financiera que quiera abrir una cuenta de nivel cuatro, tiene que tener una aplicación móvil tal, que le permita validar el rostro de la persona, el dato biométrico del rostro con el de la credencial para votar, y también tiene haber una entrevista, se recolectan los datos de manera digital de comprobantes de domicilio, entre otros así podemos tener mayores elementos de certeza que la persona que está abriendo una cuenta de manera remota es quien dice ser.

 

Además de eso, ¿Cómo se puede asegurar que esos datos se guardan de una forma segura? De que no hay hackeo de esos datos.

Carlos Orta, CNBV: Sí, lo que ocurre con esta regulación es que el INE no comparte información de los usuarios, aquí es la institución de crédito la que manda cifrada la información de la huella digital, por ejemplo, al INE para su validación, y el INE lo único que contesta si esa huella coincide o no con la que le mandó el banco. De esta forma, no estamos nosotros diciendo que entidades tengan que almacenar las huellas, pero si podrían hacerlo, podrían tener una base de datos biométricos propio como hoy ya ocurre o como ocurría antes de esta regulación y en ese sentido tiene que haber elementos necesarios para una debida guarda de la información.

 

En relación al mismo tema y que va más hacia la ley de fintech también, es el tema de open banking ¿tú crees que open banking de alguna forma aumente los riesgos de protección de los datos?

Carlos Orta, CNBV: En la medida en que los datos transaccionales de las personas tienen que ser autorizados por estas, tendrían que haber mecanismos lo suficientemente robustos para que se pueda contar con una validación certera de que algún usuario de servicios financieros está autorizando a una aplicación el uso de sus datos transaccionales en alguna entidad, en muchos países ya ocurre esto y hay elementos como por ejemplo, claves que usa el propio banco con sus clientes para tener acceso de información.

Se podrían replicar, no es algo que estemos innovando y que ya hay distintos mecanismos a nivel internacional donde se previene este tipo de ataques.

 

De forma un poco más amplia en relación a open banking ¿cómo va el desarrollo de la regulación secundaria? Porque eso es algo que de alguna forma estás empezando de cero, no es como otras partes de la regulación secundaria que ya se ha desarrollado para el sistema financiero tradicional.

Carlos Orta, CNBV: Es correcto y por eso la propia ley puso la regulación de las APIs a un plazo de 24 meses, sin embargo, lo que queremos hacer como autoridades, es tratar de terminar esta regulación de la manera más pronta posible, pero sin descuidar la certeza que le vayamos a dar a su uso, creemos que es un pilar fundamental de la ley, el tema de los datos abiertos que va a poder fomentar la competencia, que va a poder fomentar mayor inclusión financiera.

Que va a poder permitirles a los usuarios tener mayores opciones de financiamiento y de ahorro.

 

Es un tema bastante importante, es un trabajo bastante importante que hay que hacer en adelante, pero entiendo porque me estás diciendo que va a tomar esos 24 meses.

Carlos Orta, CNBV: Desde luego que no, queremos hacerlo antes de ese plazo de los 24 meses, queremos que esta regulación sea también de las primeras que estén publicadas y nos hemos acercado también para esta misma regulación, a ver regulaciones de otros países, por ejemplo, la regulación británica de datos abiertos, hemos trabajado ahí a través del Prosperity Fund, con algunas entidades británicas para poder hacer un diagnóstico claro de cuáles son los mejores estándares.

Hemos trabajado con estrategia digital de la presidencia, estrategia digital nacional, porque ellos tienen también un estándar abierto de datos públicos, ellos ya tienen experiencia también en esta materia, por lo tanto, estamos viendo las mejores prácticas a nivel global tanto para la unión europea como el Reino Unido en particular y con lo que ha hecho el Gobierno Mexicano también, si creemos que esta regulación va a estar mucho antes de esos 24 meses.

 

En relación a Sandbox, el arenero, ¿cómo ves el interés por parte del sector financiero tradicional y en usar ese sandbox? ¿Se ha mostrado interés algunas instituciones en usar ese instrumento?

Carlos Orta, CNBV: Creemos también que esta es una de las fases, uno de los pilares fundamentales de la ley, que fomenta desde luego la innovación financiera y si hay ya el interés manifestado por distintos participantes, tanto regulados, como nuevas Fintech, una vez que las reglas para el registro, la autorización de estos sandbox regulatorios esté lista, yo creería que empezaremos a recibir en muy corto plazo, solicitudes formales para la autorización de alguna entidad para prestar un servicio financiero de manera innovadora.

 

De todas partes del sistema financiero.

Carlos Orta, CNBV: Correcto.

 

Carlos me gustaría preguntarte sobre lo que has aprendido en el desarrollo de la ley Fintech y lo que estás aprendiendo ahora en el desarrollo de las disposiciones secundarias. Es decir si reguladores en otras partes de América Latina están viendo cómo ellos pueden ir avanzando con sus propias regulaciones ¿qué les dirías?

Carlos Orta, CNBV: Hemos tenido muchas pláticas y muchos encuentros con los países de la región y de otras latitudes, la ley Fintech en México, fue un parte aguas al cubrir en un solo cuerpo normativo distintas modalidades del Fintech, es la primera ley, tal vez a nivel mundial que incorpora tanto activos virtuales como plataformas del sondeo colectivo, como de pagos electrónicos, el sandbox regulatorio y los datos abiertos.

Hay regulaciones en otros países de manera independiente para cada uno de estos temas, pero en México hicimos una ley que abarca todos los temas Fintech que ahora conocemos y ha sido muy innovadora esta ley y por tanto hemos tenido mucho contacto con otros países que quieren emprender un camino similar.

 

De hacerlo otra vez, lo harías de esa forma, de tener todo en una misma ley – o es algo que se podría poner en partes?

Carlos Orta, CNBV: Yo creo que fue muy acertado que la ley estuviera basada en principios, para que en regulación secundaria se establecieran los lineamientos más claros y se aterrizará la forma en que deben de operar las entidades, los límites, por ejemplo, que deben de tener para la operación, entre otras cosas, no es una ley rígida, es una ley que nos permite tener flexibilidad en regulación secundaria.

Lo cual es muy importante dada la velocidad de la innovación tecnológica y no tener todo en una ley que fuera rígida y por eso creo que, sí fue un acierto por parte de las autoridades y el congreso de aprobar una ley con estas características, que nos da las bases para regular, para autorizar, para supervisar y para sancionar a las entidades simples.

 

¿Qué tan importante es la regulación para el sector fintech?

Carlos Orta, CNBV: Es muy importante porque les da certeza jurídica en las actividades que están haciendo, establecen lineamientos mínimos, que podrán brindar seguridad financiera informática, tecnológica y para los usuarios

 

¿Cuál es el mayor reto regulatorio para las fintech en México?

Carlos Orta, CNBV: El mayor reto regulatorio para las Fintech en México, podría estar vinculado con la adecuación de los modelos de negocio que ya tenían a la nueva regulación, generalmente será un proceso que les tome tiempo, pero queremos que la regulación está bastante equilibrada, por lo tanto, creemos que va a ser en beneficio de estas entidades.

 

¿Qué pueden aprender otros países del ejemplo de México en relación a la regulación?

Carlos Orta, CNBV: Pueden aprender que es necesario tener una regulación basada en principios, que la regulación secundaria sea dinámica, que pueda cambiar conforme va avanzando la tecnología financiera y la forma en que se presten estos servicios y que deben de contemplar la seguridad de los usuarios, la seguridad para prevenir el lavado de dinero y la seguridad financiera de las entidades.

 

¿Qué crees que México puede aprender todavía de otros países en relación a ese tema?

Carlos Orta, CNBV: Ahora hay temas muy importantes como el Subtech y el Rectech, es cómo actualizar a las autoridades reguladoras y supervisoras en nuevos mecanismos y enfoques que optimicen los esfuerzos de supervisión y de detección de fraudes a través de tecnologías.

 

¿Cuál es la incertidumbre regulatoria más grande para fintech en México?

Carlos Orta, CNBV: Yo creo que no habrá incertidumbre regulatoria. La Comisión Bancaria y las autoridades financieras tienen procesos de consulta pública de las propuestas de regulación que hacen. Entonces en esa medida en que los intermediarios y los sujetos objeto de la regulación puedan opinar con respecto a la regulación que les será aplicable, será atendida esa incertidumbre.

LatAm fintech insights
Get the scoop on how your peers, competitors and clients are using fintech to get ahead. Leave your details to receive iupana's exclusive, in-depth coverage of banking technology in Latin America and the Caribbean in your inbox on Monday mornings. (You can unsubscribe in one-click if you decide it's not for you.)
Quiz