Archivo de la categoría: Digital Onboarding

Sandbox regulatorio: Una oportunidad de negocio


Sabadell-Hub-EmpresaEl próximo 6 de julio a las 17:30h tedrá lugar un evento online impulsado por el Colegio Oficial de Ingenieros de Telecomunicación Región de Murcia y el Hub Empresa de Banco Sabadell, con el título Sandbox regulatorio: Una oportunidad de negocio.

Hay que inscribirse en este enlace.

Colegio de Ingenieros de Teleco - MurciaEn esta sesión hablaremos del Sandbox regulatorio como punta de lanza de la creación de un nuevo modelo de negocio que aflora infinidad de oportunidades empresariales.

En esta sesión, moderada por Fernando Canos, Director Comercial Territorial Este en Banco Sabadell, contaremos con las siguientes intervenciones:

  • Denis Nakagaki, Head of Digital Strategy and Partnerships de Innocells by Banco Sabadell: “Sandbox regulatorio como palanca para acelerar la innovación y acompañar mejor a nuestros clientes
  • Juan Luis Pedreño, Decano del Colegio de Ingenieros de Telecomunicación Región de Murcia, Catedrático de la Universidad Politécnica de Cartagena y Diputado Nacional en el Congreso de los Diputados: “Sandbox regulatorio en España, atracción de proyectos para el desarrollo de la Transformación Digital” –
  • Julian Inza, Chief Audit Officer de TCAB (Trust Conformity Assessment Body): “Sandbox regulatorio para mejorar la competitividad de la innovación Fintech, Insurtech, Regtech, Suptech desde España”.

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen (“Respuestas-anteproyecto-Ley-Servicios-Confianza“) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.”

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado”, por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”.

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.”

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

El Grupo de Expertos de la Comisión Europea sobre los obstáculos normativos a la innovación financiera insta a la UE para que empiece las reformas legales ya


El Grupo de Expertos de la Comisión Europea sobre los obstáculos reglamentarios a la innovación financiera (Expert Group on Regulatory Obstacles to Financial Innovation – ROFIEG)  insta a la reforma de la normativa financiera de la UE para fomentar la innovación en el sector de las finanzas.

El pasado 13 de diciembre de 2019 se ha publicado su esperado informe sobre cómo mejorar y fortalecer el panorama europeo del sector FinTech y sobre como fomentar una mayor inversión e innovación, además de poner fin a la fragmentación normativa y establecer un marco regulatorio más sólido.

Compuesto por expertos del sector, representantes de  instituciones financieras, académicos y juristas, junto con observadores de organismos como la ABE, la AEVM y el BCE, el Grupo de Expertos ha estado trabajando desde junio de 2018 en la creación de un marco de adaptación para el sector FinTech en la UE. El informe contiene 30 recomendaciones de medidas legislativas y no legislativas para abordar los problemas que actualmente obstaculizan la adopción o la ampliación del sector FinTech en toda la UE. Entre ellas se incluyen acciones para facilitar el uso de la IA (Inteligencia Artificial) y las tecnologías asociadas, las DLT (tecnologías de tipo blockchain) y los criptoactivos  e impulsar ámbitos conexos como RegTech y SupTech. También se recomiendan acciones para fortalecer el marco de acceso, intercambio y procesamiento de datos.

“En general, las recomendaciones tienen por objeto apoyar un marco más flexible y tecnológicamente neutro para el sector FinTech en toda la UE, que permita aprovechar las ventajas de las tecnologías afines al sector financiero y, al mismo tiempo, mitigar eficazmente el riesgo”, nos explica Elisabeth Noble, Asesora Principal de Políticas de la EU Banking Authority (Autoridad Bancaria de la UE) y uno de los miembros del Grupo de Expertos.

Actualmente, la UE acoge sólo el 5% del valor global de las empresas tecnológicas, frente al 65% de Estados Unidos y el 35% de China, y el grupo ha criticado el marco regulatorio actual tildándolo de “ausente, fragmentado o poco claro” que impide que los mercados financieros de la UE pongan en valor los beneficios de los avances tecnológicos. “La competitividad y la soberanía regulatoria en relación con un sector financiero que hiciera un mayor uso de la tecnología requieren un marco considerablemente más armonizado sobre la base de los axiomas regulatorios existentes que el que existe actualmente en la UE”, advierte el informe.

El informe propone la creación de una “agenda exhaustiva y ambiciosa” para apoyar la adopción de tecnologías digitales por reguladores y supervisores en lo que se denomina  RegTech (tecnología en el ámbito de la regulación financiera) y SupTech (tecnología en el ámbito de la supervisión financiera) para enmarcar el impulso al sector financiero,  así como la adopción de una estrategia para hacer que los procesos de envíos de informes al regulador y al supervisor y las obligaciones de cumplimiento legal cuenten con versiones procesables por máquina así como destinadas a la lectura por humanos.

También recomienda el establecimiento de cámaras de compensación regulatorias para centralizar la difusión de las normas a las entidades reguladas, recibir información sobre incidentes e informes regulatorios y recopilar datos de mercado, junto con la creación de una nueva “regulatory sandbox” (entorno de pruebas supervisado por el regulador)  a nivel de la UE para apoyar la innovación y la estandarización.

Según el grupo de expertos, los procesos KYC (Know Your Customer, conoce a tu cliente) deberían armonizarse plenamente en todos los Estados miembros,  mientras que la diligencia debida con respecto a los clientes (CDD, customer due diligence) y la incorporación de éstos a las propias entidades financieras y Fintech (lo que se denomina “client onboarding”)  también podrían regularse y se podría introducir legislación expresa como ya ocurre en algunos países como España, sobre la verificación de la identidad digital. Entre las recomendaciones se incluyen  aspectos sobre el intercambio y procesamiento de datos proponiendo el uso obligatorio de interfaces estandarizadas de intercambio de datos.

Desde el punto de vista regulatorio, el informe subraya que, si bien la legislación de la UE sobre servicios financieros debería ser “tecnológicamente neutra, suficientemente preparada para el futuro y apta para su finalidad”, no tiene mucho sentido crear marcos específicos para la tecnología (como una “reglamentación de la cadena de bloques” blockchain) y la cuestión debería abordarse en cambio desde una perspectiva temática. Hay cinco temas sobre los que se sugieren recomendaciones:  la comprensión de la tecnología y su impacto, la ciberresiliencia (resistencia los ataques cibernéticos), la subcontratación, la gobernanza de las redes financieras distribuidas (incluyendo el marco legal para los cripto-activos), y la estandarización en lo que respecta a RegTech y SupTech.

En el espacio RegTech, es notable que entre 2008-2016, hubo un aumento del 500% en los cambios regulatorios en los mercados desarrollados, lo que evidencia la necesidad de soluciones RegTech escalables, fiables y eficientes. A medida que las empresas buscan reducir las cargas de cumplimiento legal y minimizar las sanciones regulatorias, las investigaciones predicen que en los próximos años el gasto en RegTech crecerá en un 48% anual, pasando de 10.600 millones de dólares en 2017 a 76.300 millones en 2022. Y eso que, según el grupo de expertos, “el marco actual es ineficiente”, particularmente en lo que se refiere a los requisitos de presentación de informes.

“Un enfoque proactivo para aportar claridad sobre las expectativas de regulación y supervisión de la adopción de FinTech en el sector financiero puede fomentar la inversión al proporcionar la tan deseada certidumbre”, afirma la señora Noble. “Al crear estas condiciones que permitan a las empresas escalar más fácilmente a nivel transfronterizo, las empresas estarán mejor situadas para aprovechar el mercado local y convertirse potencialmente en campeonas no sólo de la UE, sino también del mundo”.

El informe recomienda la introducción de pautas legislativas legibles y ejecutables por máquina, incluyendo la estandarización de instrucciones regulatorias en una versión ejecutable por máquina que pueda facilitar la generación de informes a los supervisores automatizada. Este aspecto posiblemente requiera el desarrollo de un lenguaje de especificaciones para generación de informes que sirva de base a este tipo de iniciativas. También deben considerarse soluciones automatizadas y de Inteligencia Artificial para la entrada, agregación y análisis de datos, incluyendo soluciones que permitan el “procesamiento directo” de las declaraciones reglamentarias. Y las cámaras de compensación regulatorias ya mencionadas deberían trabajar en la vinculación entre la regulación, los procesos de cumplimiento y la elaboración de informes a los supervisores para fomentar que estos sean más rápidos, precisos y de menor coste, haciendo que la  regulación y la supervisión sean más eficaces.

“La adopción de soluciones RegTech y SupTech comunes basadas en normas técnicas ayudaría a las empresas (por ejemplo, en la información regulatoria diaria), a los supervisores (por ejemplo, en el análisis de informes sobre transacciones sospechosas, datos notificados y datos compartidos a nivel transfronterizo) y a las AES, Agencias Supervisoras Europeas, European Supervisory Agencies  (por ejemplo, en el contexto de la notificación de datos para los ejercicios de pruebas de estrés  y la supervisión de los riesgos macroprudenciales)”, concluye.

Entre las recomendaciones también se incluyen: una taxonomía común que permita armonizar diferentes clasificaciones de servicios, un enfoque reglamentario unificado y una norma que establezca la precedencia normativa que ayude a minimizar situaciones de conflicto de leyes para los cripto-activos; la supervisión de la subcontratación externa por parte de las instituciones financieras de servicios esenciales a fin de mitigar los riesgos de concentración; la elaboración de un nuevo marco de pruebas de ciberresiliencia para el sector financiero; y la publicación de pautas orientativas sobre normas para la tecnología de la inteligencia artificial.

“Ninguna de nuestras recomendaciones son soluciones rápidas”, advierte el presidente del Grupo de Expertos Philipp Paech. “Algunas incluso pueden ser bastante complejas en términos de implementación. Aún así, estamos convencidos de que la UE no debería restringir sus iniciativas hacia los objetivos que parecen más al alcance de la mano, sino que debería apostar por por una visión a largo plazo que logre de forma sostenida  que su sector financiero sea competitivo en todo momento, lo que beneficiará a los ciudadanos”.

Los miembros del Grupo de Expertos son:
Type A – Individual expert appointed in his/her personal capacity

Name Nationality Professional Title Membership Status
Philipp Paech Germany Director Law and Financial Markets Project Member

Type B – Individual expert appointed as representative of a common interest

Name Nationality Professional Title Membership Status
Sofie Van de Velde Belgium Head of Legal support Member
Thomas Jantsch Germany Attorney-at-Law Member
Simon Maisey United Kingdom Managing Director and Global Head of Business Development Member

Type C – Organisation

Name of Organisation Category Countries/Areas represented Membership Status
AXA Banks/Financial Institutions
France
Member
BANCO BILBAO VIZCAYA ARGENTARIA (BBVA) Banks/Financial Institutions
Spain
Member
Barclays PLC Banks/Financial Institutions
United Kingdom
Member
Deutscher Sparkassen-und Giroverband (DSGV) Banks/Financial Institutions
Germany
Member
FinLeap GmbH Companies/Groups
Austria
Member
France Fintech Banks/Financial Institutions
France
Member
ING Group Banks/Financial Institutions
Netherlands
Member
London Stock Exchange Group (LSEG) Banks/Financial Institutions
United Kingdom
Member
Università Cattolica del Sacro Cuore (UCSC) Academia, Research Institute and Think Tanks
Italy
Member
University College Cork, National University of Ireland, Cork (UCC) Academia, Research Institute and Think Tanks
Ireland
Member

Type E – Other public entity

Name of Organisation Entity type Countries/Areas represented Membership Status
Committee on Payments and Market Infrastructures International/Intergovernmental Organisations
European
Observer
European Banking Authority EU Institutions/Bodies
European
Observer
European Central Bank EU Institutions/Bodies
European
Observer
European Insurance and Occupational Pensions Authority EU Institutions/Bodies
European
Observer
EUROPEAN SECURITIES & MARKETS AUTHORITY EU Institutions/Bodies
European
Observer