Open Banking y las implicaciones – Decreto 1297 de 2022

La masificación y accesibilidad del comercio electrónico ha dado paso a nuevas dinámicas del mercado financiero y de la industria de pagos, particularmente en la prestación de servicios financieros a través de canales de terceros. Desde hace relativamente poco – del año 2017 a la actualidad – las empresas de comercio electrónico, han adoptado un esquema de negocio colaborativo (Crowdsourcing) en virtud de la cual intermedian, a través de aplicaciones móviles o portales transaccionales en internet, la oferta de productores y la demanda de consumidores o compradores. Esta nueva dinámica demandó la necesidad que tales empresas de comercio electrónico también procesarán el pago de tales compras o ventas que se realizarán en su ecosistema digital.

Las restricciones legales sobre la captación masiva y habitual de recursos del público y el desarrollo de la tecnología de integración permitieron que dentro de las aplicaciones móviles de comerciantes (p.e. Rappi, Tpaga, Lifemiles, entre otros), se pusieran a disposición de los consumidores accesos a los servicios de entidades financieras, de seguros y del mercado de valores, así como instruir a las respectivas entidades las distintas órdenes para la prestación de los servicios.

Esta normatividad es relevante para entidades vigiladas por la SFC y Fintech que son o tienen el interés de constituirse como aliados de entidades vigiladas para la promoción o desarrollo de sus productos o servicios. A continuación, le contamos las implicaciones:

El Decreto 1297 de 2022 cristalizó las reglas aplicables a:

Las dinámicas entre las entidades vigiladas y las aplicaciones móviles operadas por terceros, en cuyos ecosistemas digitales serán ofrecidos o prestados los servicios financieros de aquellas entidades;
Las medidas sobre el tratamiento de datos personales por parte de entidades vigiladas en el marco de las anteriores dinámicas con terceros aliados, en los ecosistemas digitales.

Sobre el servicio de iniciación de pagos

En las dinámicas del comercio electrónico, una de las mayores preocupaciones por parte de los operadores de tales plataformas digitales se relaciona con la custodia y manejo de los recursos dinerarios que se destinarían para el pago del precio de los productos ofrecidos en tales plataformas. Lo anterior, teniendo en cuenta la regulación sobre la actividad de captación masiva y habitual de recursos de público que impide que terceros distintos a determinadas entidades vigiladas por la SFC puedan captar y manejar ahorros del público.

Esto dio paso a las integraciones entre los sistemas tecnológicos de las entidades vigiladas y las plataformas digitales de terceros aliados, donde desde las aplicaciones de tales terceros se habilita la posibilidad de que los consumidores financieros puedan instruir a su banco o Sedpe la transferencia de recursos: dicha habilitación técnica se conoce como el servicio de iniciación de pagos.

Se destaca de lo incluido por el Decreto:

La autorización a establecimientos de crédito, Sedpes y a entidades no vigiladas por la SFC, como aliados de entidades financieras, prestar servicios de iniciación de pagos (los “iniciadores de pago”)
Las reglas que deben observar los iniciadores de pago en la actividad de iniciación de pago: como la autenticación y aprobación previa del cliente ordenante a la transmisión de la orden de recaudo y transferencia; y la imposibilidad de los iniciadores de pago de acceder a datos reservados de los consumidores financieros como claves y contraseñas para la realización de transacciones;
La posibilidad que iniciadores de pagos no vigilados por la SFC accedan a los sistemas de pago de bajo valor, en condiciones de seguridad y calidad, que les permita remitir directamente órdenes de recaudo y transferencia de recursos a través de tales sistemas de pago.

Sobre los ecosistemas digitales

El Decreto 1297 de 2022 estableció la reglamentación sobre los ecosistemas digitales de prestación de servicios financieros a través de canales digitales propios o de terceros. Esta reglamentación se refiere a:

La posibilidad que, desde los canales no presenciales de una entidad vigilada por la SFC se ofrezcan y comercialicen productos de otras entidades o de comerciantes no vigilados. Si los productos a ofrecerse son de otra entidad vigilada, deberá celebrarse un contrato de uso de red. Si los productos son de un comerciante aliado no vigilado, deberá verificarse que los productos a ofrecerse guarden una relación de conexidad con los productos o servicios financieros de la entidad vigilada. En estos casos la entidad vigilada será un portal de contacto que se refiere el Art. 53 de la Ley 1480 de 2011, lo cual le implicará la obligación a la de llevar un registro con el nombre o razón social, documento de identificación, dirección física de notificaciones y teléfonos del productor o proveedor de los productos no financieros que se comercializan en sus canales.;

La posibilidad que, desde plataformas digitales de comerciantes no vigilados, se ofrezcan y presten servicios financieros, de seguros y/o del mercado de valores, para lo cual deberá celebrase un contrato de corresponsalía digital entre la entidad y el comerciante aliado;

El redireccionamiento de consumidores entre las plataformas digitales de comerciantes a los canales no presenciales de atención de entidades vigiladas. El cual consiste en el ofrecimiento de productos financieros para cuyo acceso los consumidores serán redirigidos (mediante hipervínculos) a los canales de la entidad vigilada. En estos casos, el tercero no será corresponsal digital. El mero ofrecimiento de productos financieros en canales de atención no presenciales de terceros comerciantes, no los constituye en corresponsales digitales de entidades vigiladas; y

La autorización a las entidades vigiladas de comercializar su infraestructura, en el marco de la Banca como Servicio. Lo anterior dado que las APIs (o sus equivalentes funcionales) constituyen el elemento indispensable para la estructuración de modelos operativos de la banca como servicio.

A continuación, una gráfica ilustrativa del régimen aplicable al ecosistema digital, según el canal y el producto ofrecido:

Figura A: Régimen aplicable al ecosistema digital

Sobre el tratamiento de datos personales

La Banca como Servicio tiene dos (2) elementos: (i) la integración e interconexión de los sistemas tecnológicos de las entidades vigiladas con las plataformas digitales de terceros aliados, para el ofrecimiento y prestación de servicios financieros a través de tales plataformas; y (ii) el acceso a datos de consumidores por parte de tales aliados para la prestación de los servicios financieros. Por esta razón se denomina finanzas abiertas, porque los datos de los consumidores pueden ser accedidos y tratados por los aliados de las entidades.

Con todo lo anterior, y considerado la tendencia de las autoridades de protección de datos –SFC y SIC– de exigir contundentemente a sus vigiladas la implementación y el fortalecimiento de medidas internas que garanticen la protección de datos personales, en consonancia con los estándares europeos de protección de datos.

Sobre la vigencia del Decreto

El Decreto entró en vigencia desde su expedición: el 25 de julio de 2022 –salvo las normas dirigidas a los establecimientos de crédito, sociedades especializadas en depósitos y pagos electrónicos, entidades administradoras de sistemas de pago de bajo valor y sociedades no vigiladas que desarrollen la actividad de iniciación de pagos. Asimismo, como se mencionó párrafos atrás, la Superintendencia Financiera tiene doce (12) meses para reglamentar los estándares tecnológicos de seguridad del intercambio, transferencia y circulación de los datos personales a favor de terceros aliados en desarrollo de relaciones de corresponsalía digital.