Resolución No. SB-2023-02416 de la Superintendencia de Bancos

El 21 de noviembre de 2023 se expidió y entro en vigencia la Resolución Administrativa No. SB-2023-02416 la cual resuelve como articulo único agregar el CAPITULO VI “Norma de Calificación, Supervisión y Control para las Entidades de Servicios Financieros Tecnológicos; y, de la Emisión de la Licencia para el Ejercicio de las Actividades Fintech de las Sociedades Especializadas de Depósito y Pagos Electrónicos”, del Título II “De la constitución y emisión de la autorización para el ejercicio de las actividades financieras y permisos de funcionamiento de las entidades de los sectores financieros público y privado”, Libro I “Normas de Control para las entidades de los sectores financiero público y privado”, de la Codificación de las Normas de la Superintendencia de Bancos, referente a la normativa secundaria de la Ley Fintech”. Este capítulo cuenta con 12 secciones, 47 artículos, 3 disposiciones generales y 1 disposición final.

Su objetivo es establecer los requisitos, políticas, procesos, procedimientos de gestión de gobierno corporativo y administración de riesgos, incluyendo aspectos de ciberseguridad y seguridad de la información, aplicables para las entidades de servicios financieros tecnológicos; y, a las Sociedades Especializadas de Depósitos y Pagos Electrónicos (SEPES), para su calificación y emisión de la licencia, según corresponda.

A continuación los elementos más relevantes de esta Resolución:

SECCION II. SOBRE LAS ENTIDADES DE SERVICIOS FINANCIEROS TECNOLÓGICOS DE CONCESIÓN DIGITAL DE CRÉDITOS.

Constitución – Las entidades que otorgan créditos digitales se constituirán como Sociedad Anónima SA. (Art. 3) Su objeto social es específico y exclusivo para realizar las actividades financieras tecnológicas. (Art. 4) Excepciona al financiamiento colectivo. Dentro de su razón social deberá constar específicamente “entidad de concesión digital de créditos”. (Art. 5)

Prohibición de intermediación – Los productos de concesión de crédito digitales que se ofrezcan a través de plataformas electrónicas no deben implicar la captación de recursos del público con finalidad de intermediación.  (Art. 6) Las entidades de concesión de crédito solo pueden otorgar productos de: (i) concesión de crédito directo y (iii) emisión de tarjetas de crédito. (Art. 7)

SECCION III. SOBRE LAS SOCIEDADES ESPECIALIZADAS DE DEPÓSITOS Y PAGOS ELECTRÓNICOS (SEDPES).

Constitución – Las SEDPES se constituirán con requisitos y procedimientos ya establecidos por la Junta Monetaria (JPRM). (Art. 10)

Administradoras de Sistemas Auxiliares de Pago (ASAP) – para prestar sus servicios a una entidad financiera controlada y obtener la calificación, deben observar lo ya establecido en el Capítulo IV, Titulo II, Libro I de la Codificación de las Normas de las Superintendencia de Bancos y Norma de Riesgo Operativo. (Art.11)

Calificación vigente – las entidades controladas por la Superintendencia de Bancos que contraten con las SEDPES o ASAP, deberán verificar que mantenga vigente su calificación. (Art.12)

La Superintendencia de Bancos podrán revocar la licencia de las SEDPES y ASAP cuando: (i) incumpla reiteradamente la prestación de sus servicios, (ii) afecte a los derechos del usuario financiero, (iii) incumpla la normativa de control vigente (Art.13)

SECCION IV. SOBRE EL ESTUDIO DE FACTIBILIDAD ECONÓMICO-FINANCIERO Y MODELO DE INNOVACIÓN TECNOLÓGICA PARA ENTIDADES DE SERVICIOS FINANCIERO TECNOLÓGICOS Y SEDPES

Requisitos previo constitución – previo a la solicitud de calificación o emisión de la licencia deberán presentar: (Art.14)

1. Estudio de Factibilidad Económico-Financiero: Un estudio de factibilidad económico-financiero considerando tasas de interés y tarifas establecidas por la Junta Financiera (JPRF), y Junta Monetaria (JPRM)
2. Modelo de Innovación: El modelo de innovación tecnológica y de tecnología crediticia actualizado
3. Plan Estratégico: Detalle del plan estratégico que incluya (i) estudio de mercado y posición competitiva (ii) modelo de gestión de riesgos, (iii) servicios y productos que se ofrecerán (iv) estructura administrativa orgánico-funcional,
4. Contratos: En el caso de las SEDPES, deberán presentar los contratos de los canales a utilizar, del consumidor y servicios financieros y sus normas de gestión de riesgo y continuidad del negocio. (Art. 16)

Las entidades deben incluir y acreditar dentro del Estudio y Modelo: (Art.15)

1. Sistema alternativo de transacción (DCA): deben contener cotizaciones y operaciones que se realicen en sistemas o infraestructura, las condiciones de acceso, funcionamiento y liquidación, y la estrategia de mitigación de interrupciones
2. Enrutamiento de órdenes: deben contener las condiciones de acceso y funcionamiento de sus sistema e infraestructura, y la estrategia de mitigación de interrupciones
3. Modelo de gestión crediticia: deben contener el criterio de tratamiento de conflictos, las variables, métodos, criterios o directrices generales que quien el proceso de evaluación, y el modelo de innovación con base tecnológica
4. Seguridad de la información incluida ciberseguridad: deben contener estándares ISO/IEC 27000 u otras normas internacionales que lo sustituyan, y claridad en la determinación de responsables y funciones que deberán cumplir

La Superintendencia de Bancos trasladará las observaciones del estudio de factibilidad para que sean subsanadas en término de 60 días, si no se subsanan se archivará la solicitud de calificación o licencia. (Art.17)

SECCION V. REQUISITOS COMUNES PARA CALIFICACIÓN Y EMISIÓN DE LICENCIAS –

Una vez aprobado el estudio de factibilidad económico-financiero y modelo de innovación se deberá presentar las entidades deberán presentar los siguientes requisitos comunes para (i) la calificación de entidades de Servicios Tecnológicos Concesión Digital de Créditos y (ii) la emisión de Licencia para las Sociedades Especializadas de Depósitos y Pagos Electrónicos (Art. 18):

1. Solicitud – Solicitud de calificación suscrita por el representante legal o apoderado de la compañía. *los administradores deben tener al menos 4 años de experiencia en el sistema financiero
2. Formulario – Formulario para la calificación publicado en la página web (Anexo 1)
3. Nómina de Accionistas – Copia certificada de la nómina de accionistas de la Compañía a la fecha de presentación de la solicitud
4. Certificado de la UAFE – Certificado de la Unidad de Análisis Financiero y Económico (UAFE)
5. Escritura de constitución – Copia notariada de la escritura de la constitución que contenga, el estatuto social y razón de la inscripción en el Registro Mercantil
6. Nombramiento – Copia notariada del nombramiento vigente del representante legal o apoderado inscrito en el Registro Mercantil
7. Certificado SRI y SCVS – Certificado de cumplimiento de obligaciones otorgado por el SRI y la Superintendencia de Compañías, válidos a la fecha de presentación de la solicitud
8. Estados financieros – Estados financieros históricos de al menos un ejercicio económico, cuando aplique, y los estados financieros proyectados a dos años para entidades nuevas o existentes. (Anexo 2)
9. Plan de negocios – Plan de negocios con la estructura definida y publicada en la página web de la Superintendencia de Bancos (Anexo 3)
10. Infraestructura tecnológica – Documentación que detalle la infraestructura tecnológica, su capacidad y desempeño, metodología de administración del riesgo operativo y matriz de riesgos operativos (Anexo 4)
11. Seguridad de la información – Planes, políticas, procesos, procedimientos y medidas para la gestión de seguridad de la información (incluidas las de ciberseguridad)
12. Continuidad del negocio – Planes, políticas, procesos y procedimientos para la gestión de continuidad del negocio para los servicios ofertados
13. Políticas y procesos – Políticas y procesos que serán implementados para ofertar los servicios de concesión digital
14. Modelo de score crediticio – Modelo de score crediticio a aplicar, con los sustentos de las variables y pruebas realizadas,
15. Proyecciones – Proyecciones a dos años de liquidez, solvencia y patrimonio técnico
16. Procesos digitales – Procesos digitales utilizados para el seguimiento y monitoreo de los créditos otorgados

SECCION VI. PROCESO DE CALIFICACIÓN Y EMISIÓN DE LICENCIA

Una vez reciba la solicitud de calificación o de licencia la Superintendencia de Bancos, la admitirá a trámite si cumple los requisitos antes mencionados, y se procederá a verificación (Art.19). La Superintendencia podrá requerir cualquier documento o información adicional para verificar el cumplimiento de los requisitos, para ello el solicitante tiene un término de 10 días para dar cumplimiento, osino será archivado (Art. 20). Previo a expedir la resolución de calificación, la Superintendencia podrá disponer la reforma del estatuto social y el incremento del capital pagado de la entidad solicitante. (Art. 21). La Superintendencia de Bancos resolverá la calificación en término máximo de 60 días contados desde la presentación de todos los documentos. (Art. 22)

SECCION VII. POLITICAS Y PROCESOS INTERNOS

SECCION VIII. PROCEDIMIENTO PARA LA CONCESIÓN DIGITAL DE CRÉDITOS-

Las entidades de concesión digital de créditos deberán:

1. Procedimientos de Identificación y autenticación del cliente – Implementar mecanismos de seguridad en sus plataformas de acuerdo con la Codificación de las Normas de la Superintendencia de Bancos y protección de datos personales. (Art. 29)
2. Procedimientos de Scoring y modelización de riesgos – Implementar sistemas de scoring y modelización de riesgos para evaluar la solvencia y el riesgo crediticio de los solicitantes. (Art. 30)
3. Procedimientos de Gestión de cobranzas – Establecer procedimientos de gestión de cobranzas. (Art. 31)
4. Procedimientos de Informes y reportes – Mantener procedimientos para la generación de informes o reportes contables. (Art. 32)

SECCION IX. GOBIERNO CORPORATIVO

SECCION X. GESTIÓN Y ADMINISTRACIÓN DE RIESGOS-

1. Evaluación y clasificación de riesgos- las entidades que soliciten la calificación o la licencia deben llevar a cabo una evaluación de riesgos. (Art.37)
2. Evaluación de riesgos de ciberseguridad y seguridad de la información- las entidades tecnológicas deben implementar mecanismos de monitoreo a sus plataformas. (Art. 38)
3. Monitoreo y control de riesgos operativos- las entidades de servicios financieros tecnológicos deben implementar mecanismos de monitoreo y control a sus plataformas. (Art.39)
4. Riesgos de lavado de activos- las entidades de concesión digital de créditos deben implementar los mecanismos, procesos y procedimientos conforme la Codificación de las Normas de la Superintendencia de Bancos. (Art. 40)

SECCION XI. CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN-

Las entidades que ejerzan las actividades de Servicio Financieras Tecnológicas, así como las SEDPES y las ASAP, deben cumplir con lo establecido en los artículos 24, 25 y 26 de la Sección VIII, Capítulo V, Título IX, Libro I. (Art. 41)

Estas entidades deberán: (i) Implementar políticas y procedimientos de seguridad de datos. (ii) Establecer medidas de protección contra amenazas cibernéticas. (iii) Desarrollar un plan de respuesta a incidentes de seguridad que establezca claros para la identificación, notificación, contención y recuperación de incidentes de seguridad. (iv) Proporcionar capacitación continua de ciberseguridad a su personal. (v) Realizar auditorías periódicas de seguridad de la información y pruebas de vulnerabilidad. (Art. 42)

SECCION XII. RÉGIMEN CONTABLE-

Las entidades de servicios financieros tecnológicos aplicarán el régimen contable expedido por la Superintendencia de Bancos. (Art. 47)

Si se encuentran interesados en constituir y certificar una actividad tecnológica financiera, una SEPDES o una ASAP. Les recomendamos agendar una reunión con nuestro equipo para hacer una revisión del esquema de los nuevos requisitos y levantar lineamientos sobre el procedimiento a seguir para conseguirlo con éxito según establezca la norma.

Si se encuentran interesados en constituir y certificar una actividad tecnológica financiera, una SEPDES o una ASAP. Contáctanos al correo ateran@heka.com.ec