Conozca las medidas dispuestas por el Banco Central en el último tiempo para mitigar el fraude y reforzar la seguridad de las operaciones con billeteras digitales.
El pasado 24 de febrero de 2022, el Banco Central de la República Argentina (el “BCRA”) dictó las Comunicaciones “A” 7462 y 7463 (las “Comunicaciones”). Mientras que la Comunicación “A” 7462 trae una gran cantidad de novedades regulatorias, sobre todo al adecuar de manera significativa las normas sobre “Proveedores de servicios de pago” (las “Normas PSP”) mediante la introducción de nuevas definiciones y la creación de nuevos registros, la Comunicación “A” 7463 es más técnica al requerir medidas de prevención y gestión del fraude para los esquemas de transferencias.
A continuación, se resumen los cambios y novedades más significativos que introdujeron las Comunicaciones.
• Comunicación “A” 7462
o Nuevas definiciones
En primer lugar, la Comunicación “A” 7462 brinda una definición del servicio de “billetera digital”, concepto que el BCRA ya había introducido (y regulado) en normas anteriores como las Comunicaciones “A” 7328 y 7363, pero que no había definido. De esta manera, se define al servicio de billetera digital como “el servicio ofrecido por una entidad financiera o proveedor de servicios de pago (“PSP”) a través de una aplicación en un dispositivo móvil o en un navegador web que debe permitir –entre otras transacciones– efectuar pagos con transferencia (PCT) y/o con otros instrumentos de pago –tales como tarjetas de débito, de crédito, de compra o prepagas–“.
Asimismo, el BCRA aclara que las cuentas (a la vista o de pago) que sean debitadas para los pagos con transferencia y los restantes instrumentos de pago pueden ser provistas o emitidos, según el caso:
- por la misma entidad financiera o proveedor de servicios de pago que ofrece cuentas de pago (“PSPOCP”) que brinda el servicio de billetera digital; y/o
- por otras entidades financieras y/o PSPOCP, cuando el proveedor del servicio de billetera digital solo cumple la función de iniciación definida en el punto 2. de esta comunicación.
En segundo lugar, se amplía el concepto de PSP, al incorporar nuevas funciones que los PSP pueden cumplir dentro de un esquema de pago.
Así, las nuevas funciones que incorpora de manera explícita a las Normas PSP son:
- Iniciación: remitir una instrucción de pago válida a petición de un cliente ordenante al proveedor de una cuenta –de pago o a la vista– o emisor de instrumento de pago.
- Redes de cajeros automáticos: administrar transacciones ordenadas a través de cajeros automáticos.
- Redes de transferencias electrónicas de fondos (procesamiento u operación): transmitir instrucciones electrónicas de movimientos de fondos entre entidades financieras y, de corresponder, notificar al PSPOCP de las acreditaciones en su cuenta a la vista, para que éste proceda al efectivo cumplimiento de la función de traspaso que le compete de acuerdo con lo definido en el punto 1.3.11. de las normas sobre "Sistema Nacional de Pagos – Transferencias – normas complementarias."
De esta manera, sociedades u empresas que con anterioridad podían no considerarse PSPs (como las empresas de redes de cajeros automáticos), ahora sin lugar a dudas pasan a integrar esta figura regulatoria genérica.
o PSP iniciador que no ofrece cuentas de pago
Una de las particularidades de la Comunicación “A” 7462 es que introduce una figura que con anterioridad no estaba explícitamente regulada por las Normas PSP: el PSP que cumple con la función de iniciación (en adelante, “PSPI”)
En la gran mayoría de los casos sucede que el PSP que inicia un pago (PSPI) a su vez también ofrece a sus clientes una cuenta de pago (PSPOCP), de la cuál son debitados los fondos en caso de efectuarse un pago con transferencia. Al ofrecer cuentas de pago, esos PSPOCPs ya se encontraban regulados y debían cumplir con todas las exigencias de la sección 2 de las Normas PSP e incluso con las disposiciones en materia de seguridad y mitigación de fraudes introducidas por la Comunicación “A” 7328.
Sin embargo, puede suceder que un PSP cumpla únicamente con la función de iniciación (PSPI) y no ofrezca cuentas de pago (no sea un PSPOCP). Con la publicación de esta nueva norma, se extienden las disposiciones introducidas por la Comunicación “A” 7328 a los PSPI. De este modo, los PSPI que ofrezcan el servicio de billetera digital, deberán:
- Verificar la identidad de los clientes, cumpliendo con las exigencias que el BCRA establece en materia de identificación de clientes de entidades financieras para la apertura de cajas de ahorro en las normas sobre “Depósitos de ahorro, cuenta sueldo y especiales” (puntos 3, 4.1, 4.2 y 4.16 de esas normas).
- Asociar a las "billeteras digitales" solo aquellos instrumentos de pago o cuentas -de pago o a la vista- cuyo titular (o alguno de los cotitulares) coincida con el titular de la "billetera digital".
- Arbitrar mecanismos de identificación y autenticación del usuario fuertes para acceder a la "billetera".
De este modo, toda entidad financiera, PSPOCP o PSPI que ofrezca el servicio de billetera digital deberá cumplir con estas exigencias.
o Modificaciones en el Registro PSP
Con anterioridad a esta normativa, únicamente se encontraban obligados a inscribirse ante el BCRA, en virtud de la Comunicación “A” 6885, los PSPOCP. De ahí que el registro recibía el nombre de “Registro de proveedores de servicios de pago que ofrecen cuentas de pago”.
A partir del dictado de esta nueva normativa, y en función de las nuevas funciones introducidas, el BCRA modifica la denominación del registro por “Registro de proveedores de servicios de pago” y establece que, además de los PSPOCPs, aquellos PSP que cumplan con las funciones de “iniciación”, “redes de cajeros automáticos” y de “redes de transferencias electrónicas de fondos” deberán inscribirse en dicho registro (en adelante, el “Registro PSP”).
A su vez, el BCRA aclaró que los PSPs que desempeñen más de una función sujeta a registración deberán identificarlas en el Registro PSP en forma separada y completar los apartados correspondientes a la "Descripción operativa y comercial" de cada función, excepto que se trate de PSPs que cumplan en simultáneo funciones de iniciación y provisión de cuentas de pago, en cuyo caso solo se requerirá la registración de esta última función.
Adicionalmente, y en línea con estas modificaciones en el Registro PSP, el BCRA realizó ajustes en la información que debe ser suministrada para solicitar la inscripción, al indicar que el contrato social o estatuto ahora debe presentarse con la constancia de inscripción en el registro público de la jurisdicción del caso y que el objeto social debe contemplar de manera explícita el desarrollo de las actividades relacionadas con la provisión de servicios de pago que motivan la inscripción en el Registro PSP. Por su parte, según el PSP en cuestión, se requiere la siguiente información adicional en la descripción operativa y comercial:
- para los PSPOCP y los PSPI que ofrezcan el servicio de billetera digital se requiere que indiquen si dicho servicio permitirá iniciar pagos mediante la lectura de códigos QR y detallar con qué instrumentos –tales como pago con transferencia y tarjeta de crédito– esos pagos podrán ser efectuados.
- para las redes de cajeros automáticos y las redes de transferencias electrónicas de fondos se requiere la presentación de (i) una del reglamento o manual operativo que contemple las especificaciones del servicio y responsabilidades asumidas por los participantes, y (ii) una nómina de sus participantes, agrupados por tipo o función asumida.
o Régimen informativo
En función de la ampliación en el alcance del Registro, el BCRA estableció que los PSP inscriptos en el "Registro de proveedores de servicios de pago" deberán dar cumplimiento al régimen informativo que se establezca.
Asimismo, este régimen informativo también deberá ser cumplido por las entidades financieras que presten el servicio de billetera digital.
o Nuevo Registro de billeteras digitales interoperables
Otra de las grandes novedades que introduce la Comunicación “A” 7462 es una serie de puntos en relación a los pagos con códigos QR interoperables. El BCRA desde el lanzamiento del programa Transferencias 3.0 viene impulsando esta credencial ampliamente utilizada para los pagos en nuestro país para alcanzar una interoperabilidad entre las distintas billeteras digitales.
Así, en primer término, el BCRA dispuso la creación del “Registro de billeteras digitales interoperables”, al cuál deben inscribirse todos los PSPs y entidades financieras que, brindando un servicio de billetera digital, permitan efectuar pagos con transferencia iniciados mediante la lectura de códigos QR.
Para la inscripción en el registro se requiere:
- Una certificación extendida por el representante legal de cada administrador de esquema de transferencias inmediatas autorizado por el BCRA en la que afirme –en carácter de declaración jurada– que la billetera cumplimentó exitosamente la integración con cada uno de los aceptadores adheridos a su esquema y que se encuentra en condiciones de ser utilizado por el público en general para efectuar pagos con transferencia mediante la lectura de los códigos QR generados por todos y cada uno de esos aceptadores.
- Información sobre (i) el responsable de las tareas de tecnología y sistemas de información, (ii) el responsable de las tareas vinculadas con la seguridad de la información y protección de activos, (iii) la ubicación de los centro/s de procesamiento principal y alternativo, y (iv) listado de los proveedores que prestan servicios de tecnología informática, sistemas y de seguridad de la información.
- En caso de PSP, encontrarse previamente inscripto como PSPOCP o PSPI.
• Comunicación “A” 7463
La Comunicación “A” 7463 dispone medidas vinculadas a la mitigación, prevención y gestión del fraude en las operaciones de transferencias.
En primer lugar, el BCRA estableció que el prestador del servicio de billetera digital deberá habilitar los medios técnicos para que el cliente al momento del enrolamiento de su cuenta a la vista o de pago brinde en la entidad financiera o el PSPCP, según corresponda, el consentimiento de forma simple e inmediata. Esta medida es subsecuente de la medida adoptada por el BCRA el año pasado a través de la Comunicación “A” 7363 que dispuso permitir que los titulares de las billeteras puedan asociar a éstas las cuentas a la vista y de pago de las que sean titulares o cotitulares.
Asimismo, el BCRA, respecto de las entidades financieras y PSPOCP, estableció la medida análoga de que los clientes puedan brindar su consentimiento en forma simple e inmediata, y a su vez (i) verificar en la autorización de toda instrucción de pago ordenada por el cliente a través del servicio de billetera digital, que el consentimiento brindado se encuentra vigente, y (ii) brindar al cliente ordenante la posibilidad de establecer, visualizar y modificar parámetros de uso de los servicios de billetera digital (por ejemplo: límites de montos por periodos y cantidad de operaciones), como a su vez poder desvincular esa cuenta (de vista o de pago) de la billetera digital.
Por último, el BCRA reforzó, mediante distintos requisitos técnicos, las directrices para la mitigación de fraude que establecía hasta el momento el punto 2.6 de las normas sobre Transferencias – Normas complementarias. Así, entre otras cuestiones, los esquemas de transferencias inmediatas deben
- Tener identificadas las responsabilidades de cada participante del esquema. A su vez, la atención al cliente para reclamos por fraude deberá recaer en el proveedor de la cuenta afectada (entidad financiera o PSPCP);
- Apoyar sus análisis de fraude con herramientas que permitan identificar patrones sospechosos;
- Establecer procedimientos para resolución de reclamos que permitan una gestión planificada, coordinada entre los participantes de los esquemas de pago involucrados, oportuna para la atención y respuesta a los reclamos de pagos no autorizados, fraudulentos, erróneos, no concretados, etc. efectuados por los clientes;
- Definir la información necesaria a registrar por cada uno de los participantes del esquema (o, en su caso, de los esquemas) para contar con la trazabilidad de las operaciones de extremo a extremo;
- Adoptar las medidas para dotar de confidencialidad e integridad a la información que se intercambia entre los participantes de extremo a extremo; y
- Intercambiar de información complementaria para la prevención, detección y mitigación del fraude, considerando al menos, información sobre patrones de comportamiento sospechosos, alertas, vulnerabilidades y amenazas detectadas.
Este insight es un comentario breve sobre novedades legales en Argentina; no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.