Kevin Cowan por regulación de fintech: “Entidades que cumplan funciones similares debieran tener estándares similares de seguridad, independiente de si son bancos”

La iniciativa de finanzas abiertas, en el marco de la Ley Fintech que se tramita en el Congreso, es uno de los aspectos clave del proyecto, y uno de los que genera mayor atención por parte de la industria financiera. Pero también, uno de los que genera más dudas.

El proyecto, que a principios de mayo aprobó el Senado y que ahora debe verse en particular, no sólo establece regulaciones especiales para estas tecnológicas financieras, sino que también avanza en lo que se conoce como open banking, es decir, se permitirá a las entidades financieras entregar aquella información autorizada por sus clientes a otras instituciones financieras, lo que llevará a los receptores de ella a poder competir ofreciendo mejores condiciones, servicios que permitan a las personas a mejorar sus finanzas personales, y ayudar a las Pymes en su gestión financiera, de caja, tributaria, entre otros. Ese, al menos, es el espíritu de lo que se tramita.

Sin embargo, hay aspectos de ciberseguridad y de regulación que despiertan dudas entre economistas y la industria financiera.

Ante tales inquietudes, Kevin Cowan, comisionado de la Comisión para el Mercado Financiero (CMF), señala que “el proyecto es explícito en señalar que las entidades que participan en el sistema de finanzas abiertas son responsables de los datos que gestionan, son responsables de la integridad de los datos, la disponibilidad, la seguridad y la privacidad. Luego, a la CMF se le entrega la facultad de supervisar que se cumplan esos estándares, y si no se cumplen tenemos la facultad de sancionar, y además se establece la posibilidad de suspender inmediatamente el acceso de una entidad a la red”.

La iniciativa entrega a la CMF amplías facultades normativas, y la complejidad es tal, que en la entidad ya están trabajando. “Lo que estamos haciendo, en anticipación de la aprobación de la ley, es conversar con entidades que han facilitado la implementación del open banking en Europa y Gran Bretaña, hemos mirado experiencia de otros reguladores para tener trabajan avanzado respecto de la norma”, cuenta Cowan.

Bancos importantes han sido vulnerados en el país en los últimos años, y se han producido filtraciones de datos de entidades de gran tamaño. ¿Cómo se asegurarán de que empresas de menor envergadura no sufran situaciones similares, cómo regularán el riesgo operacional?

-Uno de los principales riesgos de las instituciones fintech, en general, y de aquellos que participarán del sistema de finanzas abiertas, es el operacional. El proyecto de ley le da a la CMF facultadas bien amplias para regular los ámbitos operacionales de la industria fintech, para regular las plataformas de financiamiento colectivo, las de transacciones, enrutadores y custodios; y en el ámbito de los datos, a los actores que participen en finanzas abiertas.

La facultad es amplia porque debe ser flexible y darle la posibilidad a la CMF de establecer los requisitos operacionales para estas entidades. Temas como ciberseguridad, contratación de terceros como data centers, la nube, todo quedará englobado en la regulación de la CMF, siguiendo la línea que hemos tomado con la banca. Pero dentro de la ley se establecen principios claros que deben guiar la regulación, como el de la proporcionalidad, de neutralidad (más que la tecnología, uno quiere resguardar el riesgo), y modularidad en el sentido de que algunas fintech harán cosas muy específicas, como un enrutador, y por tanto los riesgo operacionales que se aborden para esas entidades son las propias de su negocio.

¿Estará alineada esa regulación fintech con la de riesgo operacional de los bancos, por ejemplo?

-El punto específico de cuál es la regulación más adecuada para cada entidad dependerá del negocio específico que realiza. Esos mismos criterios se deberían aplicar a las distintas piezas del ecosistema fintech. Más que decir “esta entidad tendrá este requisito de un servidor”, lo que uno busca es establecer un estándar mínimo de seguridad, que no se filtren o pierdan datos, y de continuidad operacional. ¿Cuál es la mejor manera de hacerlo? Eso es lo que iremos determinando en función del modelo de negocios de cada fintech y de la tecnología disponible. No hay un esquema único, pero sí criterios generales que debieran guiar lo que hace la CMF.

Entonces, ¿para aquellos que realicen negocios similares a la banca, por ejemplo, tendrán una regulación similar?

-Lo que debe cumplir la institución es tener un sistema que dé seguridad y continuidad. Si eso lo hace con un servidor en Chile o afuera, o en al nube, dependerá de la naturaleza del negocio. Pero entidades que cumplan funciones similares, en pagos por ejemplo, debieran tener estándares similares de seguridad, independiente de si son bancos, emisores de tarjeta o iniciador de pagos. Quizás la gran diferencia en la regulación es que, en general, separamos a quienes mueven información, inician órdenes, de los que mueven recursos y manejo de caja, que tienen estándares más altos en el proyecto de ley fintech.

El foco de la CMF siempre ha estado más ligado a la protección de la industria financiera y de las entidades del sector. ¿Cómo conversa eso con facultades que les dan en el ámbito de la protección del consumidor?

-Nuestro foco no es sólo de empresas. Nuestros tres objetivos institucionales son el prudencial, conducta y desarrollo de mercado, y todos apuntan a la protección final del cliente financiero. Cuando regulamos a los bancos y compañías de seguros en ámbitos prudenciales, como capital, riesgo operacional y de liquidez, el objetivo final es que el depositante tenga sus depósitos en forma y plazo, y se le paguen los seguros en la manera y tiempo correcto. El segundo pilar, de conducta, también busca proteger al cliente, en este caso de establecer acceso a información en el mercado de valores, y de trato justo e idoneidad de productos en bancos y seguros. De nuevo, el objetivo final es que se le ofrezca el producto adecuado al cliente.

Tenemos como último objetivo el resguardar a las personas, y lo hacemos a través de la supervisión y fiscalización de las entidades. Hay desafíos, porque la tecnología es nueva, pero no estamos saltando a un mandato distinto, estamos ampliando el campo y reaccionando a tecnologías nuevas.

El proyecto de ley le entrega 17 funcionarios adicionales a la CMF para cumplir con su labor, ¿es suficiente eso, considerando que bancos grandes, muy regulados por ustedes, han sufrido graves incidentes de ciberseguridad?

-Hay dos ámbitos al respecto. El primer responsable de la seguridad de su institución y de la ciberseguridad, es la institución y su directorio. Segundo, la fiscalización de la CM busca de forma preventiva asegurar que estos sistemas funcionen con un razonable grado de certeza, pero no sólo en bancos, en emisores de valores, operadores, compañías de seguros, también. El marco regulatorio y enfoque se extrapola a las fintech, y hemos dicho que creemos que es necesario tener más de 17 personas para hacer esto bien. Lo hemos dicho en la comisión de Hacienda del Senado, y vemos una muy buena disposición del Ejecutivo de corregir eso en el corto plazo para que la CMF tenga los recursos para cumplir con una adecuada supervisión de la regulación.

A la CMF se le entregan facultades para supervisar el manejo de los datos personales, ¿es suficiente aquello? ¿Qué tan rápido se debiera avanzar en el proyecto de Ley de Datos Personales?

-En finanzas abiertas la ley fintech replica gran mayoría de los conceptos del proyecto de ley de datos personales, como el consentimiento, que debe ser previo al flujo de información, explícito, informado y específico, y debe ser expreso. Después, la ley fintech dice que el uso de estos datos debe ser para los fines específicos que se autorizaron y por un tiempo finito. Y además da la responsabilidad a los partícipes de establecer sistemas que aseguren consentimiento y uso. Y finalmente, la ley mandata a la CMF a regular y supervisar para que se cumplan estos temas. En ese ámbito el proyecto de ley es robusto. Tema aparte es que para datos personales de otras industrias y ámbitos, se debiera avanzar en la ley de datos personales.