Antecedentes y Contexto

FinTech es una industria en la que las empresas usan la tecnología para brindar servicios financieros de manera eficiente, ágil, cómoda y confiable. La palabra se forma a partir de la contracción de los términos finance y technology en inglés.

FINANZAS + TECNOLOGÍA = FINTECH

Las empresas FinTech ofrecen diversos tipos de servicios financieros y operan dentro de mercados variados, algunas prestan servicios directamente a los usuarios del sistema financiero y otras diseñan soluciones para otras empresas. Este nuevo concepto de negocio está revolucionando el mercado financiero a escala mundial, ya que define a aquellos servicios financieros que usan la tecnología para facilitar la vida al cliente y mejorar la experiencia de usuario. Es decir, créditos online, cambio de divisas a través de la red, pagos online, banca digital, entre otros servicios.

Según la Asociación FinTech de México, se consideran los siguientes tipos de negocios:

  • Medios de pago y transferencias. Las plataformas de pagos, comercio electrónico y transferencias internacionales.
  • Infraestructura para servicios financieros. Evaluación de clientes y perfiles de riesgo, prevención de fraudes, verificación de identidades, APIs bancarias, agregadores de medios de pago, big data & analytics, inteligencia de negocios, ciberseguridad y contratación electrónica.
  • Originación digital de créditos. Son empresas que ofrecen productos de crédito a través de plataformas electrónicas.
  • Soluciones financieras para empresas. Software para contabilidad e infraestructuras de facturación y gestión financiera.
  • Finanzas personales y asesoría financiera. Administración de finanzas personales, comparadores y distribuidores de productos financieros, educación financiera, asesores automatizados y planeación financiera.
  • Mercados financieros. Servicios digitales de intermediación de valores, instrumentos financieros y divisas.
  • Crowdfunding.
  • InsurTech. Tecnología aplicada a la prestación de servicios en el sector asegurador.
  • Criptomonedas y blockchain. Desarrolladores de soluciones basadas en el blockchain, intermediarios y mercados de activos digitales.
  • Entidades financieras disruptivas. Bancos u otras entidades financieras 100% digitales.

Una de las oportunidades que las FinTech deben de aprovechar es la tendencia en la reducción de efectivo y la incipiente inclusión financiera, se prevee que para el 2021, el 55% de los pagos se realicen sin efectivo. Por esta razón, es muy probable que las FinTech cambien de arriba abajo el sector de la finanzas tradicionales, tanto a nivel de particulares como de empresas, porque si bien su tamaño en la actualidad es muy pequeño y no preocupa ahora a la banca, está previsto que este sector crezca de forma exponencial y que para los próximos 3 años las cifras de millones que muevan las empresas FinTech sean de miles de millones, sobre todo en Reino Unido y en EEUU.

Debido a su tamaño, al enfoque disruptivo y el gran crecimiento por las oportunidades que sea abren para las FinTech, el riesgo de ser víctimas de ciberataques se incrementarán en la medida de que se incremente su visibilidad a nivel comercial.

Panorama de Riesgos para Fintech

Al tratarse de empresas de nueva creación, nacen con estructuras delgadas y modelos de negocio adaptados a las nuevas circunstancias que está demandando el mercado: agilidad, flexibilidad, privacidad, seguridad, precios bajos; pero, sobre todo, el aprovechamiento de los cuatro pilares de las tecnologías de la información y la comunicación en la actualidad: la nube, el big data y la analítica, las redes sociales y la movilidad.

Hoy en día compañías de este sector a nivel mundial están empezando a ser vistas como objetivo de ciberataques, y la ciberseguridad es uno de los focos principales que las FinTech deberán considerar para protegerse contra el fraude interno y externo, para lo cual, el involucramiento y concientización de toda la organización respecto a seguridad debe ser tomado en cuenta, desde temas relacionados con tecnología y cumplimiento regulatorio, así como actividades proactivas.

Ley Fintech

Con la finalidad de incrementar el nivel de inclusión financiera y mejorar las condiciones de competencia del sistema financiero en México, en marzo de 2018, se publicó en el Diario Oficial de la Federación, la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech).

La Ley Fintech tiene como objetivo, aprovechar la evolución que ha tenido la tecnología aplicada a los servicios financieros para hacerlos cada vez más accesibles, más baratos y más eficientes. Cualquier persona que realice o pretenda realizar alguna de las siguientes actividades en México, deberá obtener una autorización, por parte de la Comisión:

  1. Institución de Financiamiento Colectivo. Poner en contacto a personas del público en general, con el fin de que entre ellas se otorguen financiamientos mediante operaciones de deuda, que son préstamos, créditos o mutuos o cualquier otro financiamiento causante de un pasivo directo o contingente; capital, que son financiamientos mediante los cuales se adquieren títulos representativos del capital social de personas molares, o copropiedad o regalías, que es el otorgamiento de financiamiento por el cual se convenga la adquisición de una parte alícuota o participación de un bien presente o futuro, o en los ingresos, utilidades, regalías o pérdidas que se obtengan de la realización de una o más actividades o de un proyecto.
  2. Institución de Fondos de Pago Electrónico. Prestar al público los servicios de emisión, administración, redención y transmisión de fondos de pago electrónico; es decir, aquellos fondos que estén contabilizados en un registro electrónico de cuentas transaccionales, y que queden referidos a un valor monetario equivalente a una cantidad determinada de dinero;  sean emitidos contra la recepción de dicha cantidad de dinero con el propósito de abonar, transferir o retirar los fondos, total o parcialmente, mediante instrucción de su titular; correspondan a una obligación de pago a cargo de su emisor por la cantidad de dinero que haya sido entregada para su emisión, y sean aceptados por un tercero como recepción de la cantidad de dinero.

Puntos relevantes:

  • El objetivo de la Ley FinTech es brindar confianza y certeza a los usuarios de servicios financieros, que la gente no tenga miedo y que sepan que hay autoridades que los protegen.
  • La fecha límite para solicitar autorización para operar como Institución de Tecnología Financiera, es el 25 de septiembre de 2019.
  • La multa por incumplir con los requerimientos de seguridad y/o de continuidad del negocio está establecido de 30,000 a 150,000 unidades UMA, que en el año 2019 equivale a un rango que va de $2,534,700.00 a $12,673,500.00

La Ley FinTech permite que las personas que realizaban las actividades descritas con anterioridad a su entrada en vigor, continúen sus operaciones hasta en tanto obtengan su autorización.

Enfocaremos este espacio para revisar los requerimientos que atañen a temas en materia de seguridad y protección.

Los roles que están involucrados en las actividades de Continuidad de Negocio y Seguridad de la información son:

  • Director General o Administrador Único.
  • Órgano de Administración o Consejo de Administración (Figura optativa)
  • Oficial en Jefe de Seguridad de la Información (CISO, puede ser cubierto mediante un tercero)
  • Responsable de la Administración de Riesgos.
  • Comité de Auditoría y Comité de Riesgos. (Figura Optativa)
  • Equipo de Respuesta a Incidentes de Ciberseguridad

Comenzaremos con el Capítulo V que se refiere al “Plan de Continuidad de Negocio”, publicado en las Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera.

Se deberá desarrollar un “Plan de Continuidad de Negocio”, que permita, ante Contingencias Operativas, la continuidad en la prestación de sus servicios y en la realización de sus procesos, su restablecimiento oportuno, así como la mitigación de las afectaciones producto de dichas contingencias. Deberá contar mínimamente con lo siguiente:

  1. Un Plan de Continuidad del Negocio con requerimientos específicos descritos en el anexo X.
    1. Elaborar, probar y actualizar anualmente
  2. Análisis de impacto al negocio,  procesos que tendrán prioridad en la recuperación cuando se presente una Contingencia Operativa.
  3. Acciones de prevención, de contingencia, de restauración y de evaluación.
  4. Procesos de comunicación ante las autoridades sobre cualquier contingencia operativa, en particular con la CNBV.

Una vez desarrollado el Plan de Continuidad de Negocios, debemos considerar los requerimientos expresados en el Capítulo VI referente a la “Seguridad de la Información”, los cuales analizaremos de forma resumida a continuación:

El Director General será el responsable de los controles internos en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad. Deberá asegurar que la Infraestructura Tecnológica de la institución, ya sea propia o provista por terceros, se apegue a los requerimientos siguientes:

  • Que cada uno de sus componentes realice las funciones para las que fue diseñado, desarrollado o adquirido.
  • Que sus procesos, funcionalidades y configuraciones, incluyendo su metodología de desarrollo o adquisición, así como el registro de sus cambios, actualizaciones y el inventario detallado de cada componente de la Infraestructura Tecnológica, estén documentados.
  • Que se hayan considerado aspectos de seguridad en todos los componentes tecnológicos como la segregación lógica y física de redes y mecanismos de seguridad en las aplicaciones.
    • Hardening.
    • Seguridad perimetral y en profundidad. En particular haciendo énfasis en integridad y soluciones antimalware.
    • Actualizaciones de seguridad.
    • Cifrado de información  de acuerdo al grado de sensibilidad.
    • Conjunto de políticas de seguridad apegadas a la normativa.
    • Mecanismos de respaldo y procesos de recuperación de información.
    • Que cuente con mecanismos de identificación y autenticación de todos los usuarios.
  • Pruebas de implementación de aplicaciones, análisis de código, pruebas  vulnerabilidades y de penetración en aplicaciones e infraestructura de forma anual.
    • Notificación de resultados de algunas de estas pruebas a la CNBV.
  • Planes de remediación y verificación de las medidas correctivas.
  • Programas de capacitación y concientización en temas de seguridad con empleados, clientes y terceros.
  • Monitoreo y alertamiento de transacciones atípicas.
  • Que cuenten con licencias o autorización de uso.
  • Bitácoras de usuarios y sus actividades, en cada componente de infraestructura de TI.
  • Aplicar la regulación aplicable que se determine en materia de seguridad.
  • Gestionar el equipo de Respuesta a Incidentes de Ciberseguridad.
  • Gestionar los comunicados con la CNBV.
  • Presentar informes periódicos en materia de seguridad.
  • Entre otras.

El “Director General” tendrá muchas responsabilidades en materia de seguridad, que van desde asegurar que se desarrolle el “Plan Director de Seguridad”, verificar su contenido, aprobación y mantener revisiones de seguridad constantes.

Otra de las figuras relevantes consideradas en la Ley y que su función es sumamente importante es el “Oficial en Jefe de Seguridad de Información” (CISO por sus siglas en inglés), quien es el responsable de diseño, implementación, seguimiento y actualización del Plan Director de Seguridad, así como de la contratación de proveedores en materia de seguridad. Una gran innovación es que permite la externalización del CISO, lo que genera que las empresas FinTech puedan acceder a servicios profesionales sin necesidad de crear las capacidades internas y seguir concentrándose en la creación y valor de su negocio.