RESOLUCIÓN que reforma, adiciona y deroga las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito RESOLUCIÓN que reforma, adiciona y deroga las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.
RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIERE EL ARTÍCULO 129 DE LA LEY DE UNIONES DE CRÉDITO
ROGELIO EDUARDO RAMÍREZ DE LA O, Secretario de Hacienda y Crédito Público, con fundamento en lo dispuesto por los artículos 31, fracciones VII y XXXII, de la Ley Orgánica de la Administración Pública Federal; 129 de la Ley de Uniones de Crédito, en ejercicio de las atribuciones que me confiere el artículo 6º, fracción XXXIV, del Reglamento Interior de la Secretaría de Hacienda y Crédito Público, y contando con la previa opinión de la Comisión Nacional Bancaria y de Valores emitida mediante oficio número 221/DGPORPIA-2508781/2022 y 213-2/2513063/37/2022 de fecha 24 de noviembre de 2022; y
CONSIDERANDO
Que desde el año 2000 México es miembro de pleno derecho del Grupo de Acción Financiera (GAFI), organismo intergubernamental que fija los estándares internacionales en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que el 22 de marzo de 2019, la Secretaría de Hacienda y Crédito Público publicó en el Diario Oficial de la Federación diversas modificaciones a las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito, con el objeto de atender las recomendaciones del GAFI y establecer un régimen de identificación no presencial, otorgando con ello la posibilidad a las uniones, de llevar a cabo la identificación del cliente a través de una videoconferencia en tiempo real y en línea, así como la obligación de aquellas para obtener la geolocalización de sus clientes; lo cual resultó en un robustecimiento a la metodología de evaluación de riesgos para que dichas entidades evalúen sus riesgos de ser utilizadas para llevar a cabo operaciones con recursos de procedencia ilícita y financiamiento al terrorismo previo al uso de nuevas tecnologías;
Que el 6 de marzo de 2020, el GAFI publicó la Guía sobre Identificación Digital, resultando como parteaguas en el tema de tecnología financiera, mostrando los beneficios de la identidad digital en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, presentando a la tecnología financiera como una manera más confiable y segura para las entidades financieras al momento de llevar a cabo la identificación de sus clientes a través del uso de mecanismos como la prueba de vida, el uso de elementos biométricos y factores de autenticación, entre otros, que permitan la mitigación de riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que el 11 de marzo de 2020, la Organización Mundial de la Salud declaró la enfermedad por el virus SARS-CoV2 (COVID-19) como pandemia, haciendo un llamado a los países para que: (i) adopten medidas urgentes y agresivas para contener la propagación del virus, (ii) implementen un enfoque basado en la participación de todo el gobierno y de toda la sociedad, en torno a una estrategia integral dirigida a prevenir las infecciones, salvar vidas y reducir al mínimo sus efectos, y (iii) encuentren un delicado equilibrio entre la protección de la salud, la minimización de los trastornos sociales y económicos, y el respeto a los derechos humanos;
Que el 24 de marzo de 2020, la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen las medidas preventivas que se deberán implementar para la mitigación y control de los riesgos para la salud que implica la enfermedad por el virus SARS-CoV2 (COVID-19)", el cual establece en su Artículo Segundo, inciso c) "Suspender temporalmente las actividades de los sectores público, social y privado que involucren la concentración física, tránsito o desplazamiento de personas a partir de la entrada en vigor de este Acuerdo y hasta el 19 de abril del 2020";
Que el 31 de marzo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2", el cual, en su artículo Primero, fracción I, ordena la suspensión inmediata, del 30 de marzo al 30 de abril de 2020, de las actividades no esenciales, con la finalidad de mitigar la dispersión y transmisión COVID-19 en la comunidad;
Que mediante el "Acuerdo por el que se modifica el similar por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2, publicado el 31 de marzo de 2020", publicado el 21 de abril de 2020 en el Diario Oficial de la Federación, la Secretaría de Salud resolvió necesario mantener y extender la Jornada Nacional de Sana Distancia hasta el 30 de mayo de 2020, así como asegurar la adecuada implementación y cumplimiento de las medidas de seguridad sanitaria;
Que el 15 de mayo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se modifica el diverso por el que se establece una estrategia para la reapertura de las actividades sociales, educativas y económicas, así como un sistema de semáforo por regiones para evaluar semanalmente el riesgo epidemiológico relacionado con la reapertura de actividades en cada entidad federativa, así como se establecen acciones extraordinarias, publicado el 14 de mayo de 2020" con el objetivo de establecer un mecanismo que involucre a los sectores público, social y privado para retomar las actividades bajo protocolos de seguridad sanitaria, que garanticen tanto a sus trabajadores, como al público en general que se está cumpliendo con estándares que reducen los riesgos asociados al COVID-19;
Que en ese sentido y particularmente por lo que respecta al sistema financiero, hubo un cierre masivo de sucursales de diversas entidades financieras, en cumplimiento a las medidas sanitarias declaradas por el Gobierno Federal por el periodo que se encuentre vigente la contingencia por el COVID-19; lo cual se tradujo en uno de los principales retos para garantizar la continuidad del ofrecimiento y la prestación de servicios financieros al público en general atendiendo a la nueva normalidad, sin descuidar y menoscabar el régimen de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que el 1 de abril de 2020, el GAFI emitió un comunicado en relación a la emergencia sanitaria generada por el COVID-19 y las medidas para combatir el financiamiento ilícito, haciendo un llamado para que (i) los países exploren el uso apropiado de medidas de identificación simplificada y la identificación digital para facilitar las operaciones financieras mientras se mitigan los riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, y (ii) los reguladores, supervisores y demás autoridades involucradas en la materia, brinden la asistencia necesaria al sector privado respecto a cómo será aplicada la regulación en la materia durante la actual crisis sanitaria;
Que, aun y cuando desde marzo de 2019 las Uniones cuentan con un régimen de identificación no presencial, no resultó suficiente medida para atender las necesidades del público en general para celebrar contratos y, a su vez, mitigar los riesgos en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que en ese sentido y con base en la Guía de Identificación Digital del GAFI, así como en cumplimiento a las Recomendaciones 10 y 15 de dicho grupo, resulta necesario, al igual que con otros participantes regulados en la materia, reconocer la posibilidad legal de que las uniones puedan cumplir con sus obligaciones en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a través del uso de nuevas tecnologías, desde luego con la responsabilidad de que cumplan con las normas aplicables al efecto para que tengan el valor que en derecho corresponde;
Que la Recomendación 1 del GAFI y su Nota Interpretativa señalan que cuando los países identifiquen riesgos mayores, estos deben asegurar que sus respectivos regímenes de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo los aborden adecuadamente;
Que, en ese sentido, al determinar cómo se debe implementar el enfoque basado en riesgos en un sujeto obligado, entre otros, los supervisores deben revisar los perfiles y evaluaciones del riesgo de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo que los sujetos obligados implementen, así como tomar en cuenta el resultado de esta revisión en el ejercicio de sus facultades de supervisión;
Que, con base en lo anterior, se considera necesario que la Comisión Nacional Bancaria y de Valores, como autoridad supervisora, conozca la exposición al riesgo de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo de las uniones de crédito, a través de la recopilación de información adicional cuantitativa que estas proporcionen;
Que, adicionalmente, en apego a la Recomendación 4 del GAFI y al contenido del Informe de Evaluación Mutua, emitido por dicho organismo intergubernamental, en enero de 2018, resulta necesario fortalecer el marco legal respecto a la conformación de la Lista de Personas Bloqueadas, en razón de que nuestro país, como miembro del GAFI, ha reconocido la conformación de empresas fachada como técnica generalizada para realizar operaciones con recursos de procedencia ilícita; en este sentido se adiciona el supuesto de inclusión a la Lista de Personas Bloqueadas a aquellos contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación, lo anterior a efecto de prevenir la comisión de los delitos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo;
Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de cumplir con el requerimiento de simplificación regulatoria para la emisión de la presente Resolución, se tomarán los ahorros generados en la "Resolución que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito.", dictaminados por la Comisión Nacional de Mejora Regulatoria en el expediente CONAMER/22/5449, con un monto de $75,051,600.00 pesos, y
Que una vez escuchada la opinión de la Comisión Nacional Bancaria y de Valores, he tenido a bien emitir la siguiente:
RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA LAS DISPOSICIONES DE CARÁCTER GENERAL
A QUE SE REFIERE EL ARTÍCULO 129 DE LA LEY DE UNIONES DE CRÉDITO
ARTÍCULO ÚNICO.- Se REFORMAN la 2ª, fracciones VIII y XIII; 4ª, fracción I, inciso b, numeral i., segundo párrafo; 4ª Bis, primero, segundo, cuarto y sexto párrafos; 6ª, segundo párrafo; 7ª; 12ª; 18ª, segundo párrafo; 19ª, primero, cuarto y último párrafos; 21ª; 28ª, primer párrafo; 33ª, primer párrafo; 38ª Bis, primero y último párrafos; 39ª, primer párrafo, fracciones I a III; 59ª, último párrafo; Anexo 2 artículos 1, 2 y 4; se ADICIONA la 2ª, fracciones XIX Bis y XXIII Bis; 4ª Bis, tercero y séptimo párrafos, recorriéndose los demás en su orden; 18ª, tercero y cuarto párrafos; 19ª, quinto párrafo, recorriéndose los demás en su orden; 52ª Bis; 60ª, primer párrafo, fracción VII; 63ª, primer párrafo, fracción V; Anexo 2 Capítulo I "Objeto", Capítulo II "Umbrales para la identificación no presencial", Capítulo III "Mecanismos Tecnológicos de Identificación", Capítulo IV "Requisitos" y Capítulo V "Otras disposiciones", recorriéndose los artículos en su orden, y se DEROGA la 4ª Bis, primer párrafo, fracción I, inciso a) y tercer párrafo; Anexo 2 artículo 3, todas ellas de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito, para quedar como sigue:
2ª.- ...
I. a VII Bis. ...
VIII. Dispositivo, al equipo que permite acceder a internet, utilizado para realizar aperturas de cuenta o celebrar contratos, así como realizar Operaciones a través de páginas de internet o aplicaciones móviles, entre otros desarrollos tecnológicos, que las propias Uniones pongan a disposición de sus clientes para llevarlas a cabo.
No se considerarán Dispositivos aquellos que:
a) Sean propiedad de las Uniones.
b) Se encuentren en control de las Uniones.
c) Sean otorgados bajo controles adicionales por las Uniones a sus Clientes para que puedan realizar Operaciones, o
d) Se encuentren instalados en las sucursales de las propias Uniones o en sitios públicos, cumpliendo con la regulación respectiva para que los Clientes puedan realizar Operaciones.
IX. a XII. ...
XIII. Geolocalización, a la ubicación geográfica del Dispositivo utilizado para realizar Operaciones no presenciales, la cual consiste en obtener las coordenadas geográficas de latitud y longitud a través del sistema de posicionamiento global (GPS por sus siglas en inglés) en que se encuentre el Dispositivo;
En caso de que los Clientes realicen Operaciones no presenciales desde un Dispositivo que, por sus características, no pueda proporcionar las coordenadas geográficas de latitud y longitud a través del GPS, las Uniones deberán obtener las coordenadas geográficas de latitud y longitud basadas en el emparejamiento de la dirección de protocolo de internet que proporcione el Dispositivo del Cliente con una ubicación geográfica, para la obtención aproximada de dichas coordenadas.
Las coordenadas geográficas de latitud y longitud obtenidas a través del GPS o basadas en el emparejamiento de la dirección de protocolo de Internet deberán obtenerse previo consentimiento del Cliente en términos de la normatividad que en materia de protección de datos resulte aplicable.
XIV. a XIX. ...
XIX Bis. Mecanismo Tecnológico de Identificación, a alguno de los procedimientos a que se refiere el Anexo 2, a través de los cuales las Uniones lleven a cabo el cotejo del documento válido de identificación y la aplicación de la prueba de vida.
XX. a XXIII. ...
XXIII Bis. Oficial de Cumplimiento Interino, a la persona a que se refiere la 38a Bis de las presentes disposiciones;
XXIV. a XXXV. ...
4ª.- ...
...
I. ...
a) ...
b) ...
i. ...
Para efectos de lo dispuesto por este inciso, se considerarán como documentos válidos de identificación personal los siguientes expedidos por autoridades mexicanas: la credencial para votar, el pasaporte, la cédula profesional, la cartilla del servicio militar nacional, el certificado de matrícula consular, la credencial de identidad militar, la tarjeta de afiliación al Instituto Nacional de las Personas Adultas Mayores, las credenciales y carnets expedidos por el Instituto Mexicano del Seguro Social, por el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, por el Instituto de Seguridad Social para las Fuerzas Armadas Mexicanas o por el Seguro Popular, la licencia para conducir, las credenciales emitidas por autoridades federales, estatales y municipales, las constancias de identidad emitidas por autoridades municipales y las demás identificaciones nacionales que, en su caso, apruebe la Comisión. Asimismo, respecto de las personas físicas de nacionalidad extranjera a que se refiere esta fracción, se considerarán como documentos válidos de identificación personal, además de los anteriormente referidos en este párrafo, el pasaporte, tarjeta pasaporte o la documentación expedida por el Instituto Nacional de Migración que acredite su calidad migratoria, así como la tarjeta de acreditación que expida la Secretaría de Relaciones Exteriores a cuerpos diplomáticos o consulares.
ii. a v. ...
II. a IX. ...
...
...
...
...
...
...
4ª Bis. - Las Uniones que opten por celebrar un contrato a través de Dispositivos de forma no presencial con Clientes personas físicas o morales, ambas de nacionalidad mexicana, de acuerdo con lo establecido en el Anexo 2 de las presentes Disposiciones, además de los datos de identificación a que se refiere la 4ª de las presentes Disposiciones, según sea el caso, deberán requerir y obtener de sus Clientes la Geolocalización del Dispositivo desde el cual éstos celebren el contrato, así como:
I. Tratándose de Clientes personas físicas que declaren a la Unión ser de nacionalidad mexicana:
a) Se deroga.
b) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada Dicho consentimiento hará prueba para acreditar legalmente la celebración de la Operación que realice la Unión de forma no presencial.
c) ...
d) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con el nombre a que se refiere la 4ª, fracción I de las presentes Disposiciones.
e) La manifestación de la persona física en la que señale que actúa por cuenta propia. Dicha manifestación podrá establecerse en los Términos y Condiciones que al efecto establezca la Unión.
f) La versión digital del documento válido de identificación personal oficial vigente de donde provengan los datos referidos en la presente Disposición.
g) La versión digital del comprobante de domicilio que podrá ser alguno de los señalados en la 4ª, fracción I, inciso b), numeral iii., de las presentes Disposiciones.
No obstante, cuando el domicilio manifestado coincida con el de la credencial para votar del Cliente expedida por autoridad mexicana, en caso de que se haya identificado con la misma, esta funcionará como el comprobante de domicilio a que se refiere el presente inciso.
II. Tratándose de Clientes que sean personas morales de nacionalidad mexicana:
a) Correo electrónico.
b) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con la denominación o razón social a que se refiere la 4ª, fracción II de las presentes Disposiciones.
c) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada, del representante legal. Dicho consentimiento hará prueba para acreditar legalmente la celebración del contrato que realice con las Unión de forma no presencial.
d) La información a que se refiere la 4ª, fracción II, inciso c) y fracción VI de las presentes Disposiciones.
e) La versión digital de los documentos de identificación a que se refiere la 4ª, fracción II, inciso b) de las presentes Disposiciones, con excepción de los señalados en el numeral ii del mismo inciso.
Las Uniones no deberán llevar a cabo la celebración del contrato de forma no presencial, cuando no recaben el dato relativo a la Geolocalización.
Las Uniones no estarán obligadas a recabar el dato relativo a la Geolocalización tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 19ª de estas Disposiciones.
Párrafo derogado.
Se entenderá como documento válido de identificación personal oficial vigente para el cumplimiento de la presente Disposición, la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, el pasaporte y el certificado de matrícula consular ambos expedidos por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero.
...
La versión digital del documento válido de identificación personal oficial vigente que las Uniones recaben para efectos de identificación deberá permitir su verificación en términos de las presentes Disposiciones.
Adicionalmente, las versiones digitales de los documentos que las Uniones recaben deberán conservarse en sus Archivos o Registros conforme a las presentes Disposiciones. Las Uniones deberán conservar los documentos de conformidad con la norma oficial mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.
...
6a.- ...
Tratándose de contratos celebrados conforme a la 4ª Bis de estas Disposiciones, en sustitución de la entrevista a que se refiere el párrafo anterior, las Uniones podrán establecer los Mecanismos Tecnológicos de Identificación a que se refiere el Anexo 2 de las presentes Disposiciones.
...
7ª.- Las Uniones deberán conservar, como parte del expediente de identificación de cada uno de sus Clientes, los datos y documentos mencionados en las disposiciones del presente Capítulo, el documento que contenga los resultados de la entrevista o de los Mecanismos Tecnológicos de Identificación a que se refiere la 6ª de estas Disposiciones, según corresponda, el de las visitas a que se refiere la 15ª, en su caso, y el cuestionario previsto en la 19ª de las presentes Disposiciones.
12ª.- Para la realización de Operaciones a través de medios electrónicos, ópticos o de cualquier otra tecnología, las Uniones deberán integrar previamente el expediente de identificación del Cliente de conformidad con lo establecido en estas Disposiciones, establecer mecanismos para identificar al mismo, así como desarrollar procedimientos para prevenir el uso indebido de dichos medios o tecnologías, los cuales deberán estar contenidos en su Manual de Cumplimiento o el algún otro documento o manual elaborado por la propia Unión.
18ª.- ...
Tratándose de aquellas Operaciones realizadas de forma no presencial, además de los elementos para determinar el perfil transaccional del Cliente señalados en el párrafo anterior, la Unión deberá tomar en cuenta la Geolocalización del Dispositivo de donde se lleve a cabo dicha Operación.
La Geolocalización a que se refiere el párrafo anterior podrá amparar las diversas Operaciones que realice el Cliente en la sesión activa dentro de la página de Internet o aplicación móvil, entre otros desarrollos tecnológicos, que las propias Uniones pongan a disposición de sus Clientes para llevarlas a cabo.
Las Uniones no estarán obligadas a tomar en cuenta el dato relativo a la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 19ª de estas Disposiciones,
19ª.- La aplicación de la política de conocimiento del Cliente se deberá basar en el Grado de Riesgo que represente un Cliente; de tal manera que, cuando el Grado de Riesgo sea mayor, la Unión deberá recabar mayor información sobre su actividad económica preponderante, así como realizar una supervisión más estricta a su comportamiento transaccional.
...
...
En el caso de celebración de contratos de forma no presencial a que se refiere la 4ª Bis de las presentes Disposiciones, las Uniones deberán considerar, la información de la Geolocalización del Dispositivo desde el cual el Cliente realice la Operación, actividad o servicio con la respectiva Unión.
Las Uniones no estarán obligadas a considerar información de la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la presente Disposición.
...
...
...
...
Para determinar el Grado de Riesgo en el que deban ubicarse los Clientes, así como si deben considerarse Personas Políticamente Expuestas, cada una de las Uniones establecerá en los documentos señalados en el párrafo anterior los criterios conducentes a ese fin, que tomen en cuenta, entre otros aspectos, los antecedentes del Cliente, su profesión, actividad o giro del negocio, el origen y destino de sus recursos, el lugar de su residencia, la Geolocalización, la metodología a que se refiere el Capítulo II Bis de las presentes Disposiciones y las demás circunstancias que determine la propia Unión.
21ª.- Previamente a la celebración de contratos de Clientes que, por sus características, sean clasificados con un Grado de Riesgo alto por la Unión, al menos un directivo o su equivalente que cuente con facultades específicas para aprobar la celebración de dichos contratos, según corresponda, deberá otorgar por escrito o de forma digital o electrónica, la aprobación respectiva. Asimismo, para los efectos a que se refieren las fracciones IV y V de la 38ª de las presentes Disposiciones, las Uniones deberán prever en su Manual de Cumplimiento, los mecanismos para que sus respectivos Oficiales de Cumplimiento tengan conocimiento de aquellos Clientes que sean clasificados con un Grado de Riesgo alto por las propias Uniones, así como los procedimientos que se deberán llevar a cabo para tramitar la aprobación señalada en esta Disposición.
28ª.- Por cada Operación Inusual que detecte una Unión, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Unión a través de su Comité contará con un periodo que no excederá de sesenta días naturales contados a partir de que se genere la alerta por medio de su sistema, modelo, proceso o por el empleado de la Unión, lo que ocurra primero.
...
33ª.- Por cada Operación Interna Preocupante que detecte una Unión, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Unión a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que dicha Unión detecte esa Operación, por medio de su sistema, modelo, proceso o de cualquier empleado de la misma, lo que ocurra primero.
...
...
38ª Bis.- El Comité de cada Unión o bien, su consejo de administración o director general, podrá nombrar a un funcionario de la Unión que interinamente ejercerá las funciones de Oficial de Cumplimiento en el cumplimiento de sus obligaciones conforme a las presentes Disposiciones, hasta por noventa días naturales durante un año calendario, contados a partir de que el funcionario designado como Oficial de Cumplimiento deje, le sea revocado o se encuentre imposibilitado para realizar el encargo en cuestión.
...
...
El Oficial de Cumplimiento Interino deberá desempeñar las funciones y obligaciones señaladas en las presentes Disposiciones, hasta el momento en que se informe la revocación señalada en la fracción II de la 39ª de estas Disposiciones.
39ª.- ...
I. El nombre completo sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que se haya efectuado la designación correspondiente;
II. La revocación de la designación del Oficial de Cumplimiento u Oficial de Cumplimiento Interino que hubiere sido designado en términos de lo establecido tanto en la 38a, como en la 38a Bis de las presentes Disposiciones, según sea el caso, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido, ya sea por determinación de la Unión, rechazo del encargo, por terminación laboral o imposibilidad, así como la demás información que se prevea en el formato señalado, y
III. El nombre completo sin abreviaturas del funcionario que haya sido designado como Oficial de Cumplimiento Interino en términos de lo establecido en la 38ª Bis de las presentes Disposiciones, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido.
52ª Bis. - Las Uniones deberán remitir a la Comisión, dentro de los últimos diez días hábiles del mes de abril de cada año, a través de los medios electrónicos y en el formato oficial que para tal efecto expida, información cuantitativa sobre sus operaciones, canales, tipo de Clientes, tipo de productos y servicios, así como las zonas geográficas en donde opera. Dicha información deberá corresponder al periodo de enero a diciembre del año anterior a aquel en que deba enviarse, o bien, al periodo que resulte de la fecha en que la Comisión autorice el inicio de operaciones de la Unión en cuestión a diciembre del respectivo año.
59a.- ...
Las Uniones deberán adoptar e implementar mecanismos que permitan identificar a los Clientes que se encuentren dentro de la Lista de Personas Bloqueadas, así como cualquier tercero que actúe en nombre o por cuenta de los mismos, y aquellas Operaciones que hayan realizado, realicen o que pretendan realizar. Dichos mecanismos deberán estar previstos en el Manual de Cumplimiento de la propia Unión.
60a .-...
I. a VI. ...
VII. Aquellas que aparezcan en la lista de contribuyentes a que se refiere el cuarto párrafo del artículo 69- B del Código Fiscal de la Federación.
63a.- ...
I. a IV. ...
V. Se encuentren en el supuesto del párrafo sexto del artículo 69- B del Código Fiscal de la Federación.
...
Anexo 2
...
Capítulo I "Objeto"
Artículo 1.- El presente Anexo tiene por objeto establecer las medidas y procedimientos mínimos que las Uniones deberán observar a efecto de dar cumplimiento a la 4ª Bis de las presentes Disposiciones, sin perjuicio del cumplimiento de las diversas obligaciones establecidas en las mismas.
Capítulo II "Umbrales para la identificación no presencial"
Artículo 2.- Las Uniones deberán observar los siguientes umbrales por tipo de Mecanismo Tecnológico de Identificación y producto sobre el cual estas soliciten autorización a la Comisión para efectos del cumplimiento de la 4ª Bis de estas Disposiciones:
I. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 4 del presente Anexo, con relación a las Uniones, para efectos de la identificación de sus solicitantes, en la celebración no presencial de contratos de crédito que se otorguen a personas físicas o personas morales, todos de nacionalidad mexicana, y que no cuenten con garantía de inmuebles, se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 30,000 Unidades de Inversión.
II. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 5 del presente Anexo, con relación a las Uniones, para efectos de la identificación de sus solicitantes, en la celebración no presencial de contratos de créditos que se otorguen a personas físicas o personas morales, todos de nacionalidad mexicana, y que no cuenten con garantía de inmuebles, se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.
Las Uniones deberán tomar como valor de referencia de las Unidades de Inversión a que se refiere el presente artículo, aquel aplicable para el último día del mes calendario anterior a aquel en que se lleve a cabo el cómputo del nivel de contrato para el otorgamiento de crédito de que se trate.
Capítulo III "Mecanismos Tecnológicos de Identificación"
Artículo 3.- Las Uniones podrán optar por alguno o ambos de los Mecanismos Tecnológicos de Identificación que se señalan en los artículos 4 o 5 del presente Anexo sujetos a los umbrales señalados en el artículo 2 de este Anexo.
Sin perjuicio de lo anterior, adicionalmente las Uniones podrán llevar a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo sujeto a los umbrales a que se refiere la fracción I del artículo 2 del presente Anexo.
Artículo 4.- Las Uniones deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la relación contractual.
Adicionalmente, durante el desarrollo del Mecanismo Tecnológico de Identificación a que se refiere el párrafo anterior las Uniones deberán observar lo siguiente:
a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.
b) Implementarlo través de herramientas automatizadas que permitan su grabación y posterior reproducción.
c) Verificar que la calidad de la imagen y sonido permita la plena identificación del solicitante, según los parámetros que establezcan las propias Uniones para tal efecto.
d) Requerir al solicitante que muestre el documento válido de identificación que envió junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, tanto por el lado anverso como por el reverso, verificando que contenga los mismos datos y fotografía que el documento válido de identificación previamente enviado.
e) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, asegurándose de que exista coincidencia entre su rostro y el del documento válido de identificación previamente enviado.
f) Realizar una prueba de vida al solicitante.
Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.
Artículo 5.- Las Uniones deberán verificar la coincidencia de la información biométrica del solicitante ya sea con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del solicitante, las Uniones deberán asegurarse de que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del solicitante, coincida, al menos, en un noventa por ciento con los registros de las bases de datos ya sea del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
Adicionalmente, las Uniones deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la apertura de cuenta o relación contractual, y deberán observar los requisitos a que se refiere el artículo 4, párrafo segundo del presente Anexo. Para cumplir con el inciso c) será necesario verificar la calidad del sonido cuando resulte aplicable.
Artículo 6.- En caso de que el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, no puedan responder a las solicitudes de verificación de información biométrica a que se refiere el artículo 5 del presente Anexo por fallas técnicas o de comunicación imputables a la autoridad mexicana correspondiente, las Uniones podrán, en caso de contar con la autorización correspondiente, llevar a cabo el Mecanismo Tecnológico de Identificación del artículo 4 del presente Anexo 2, sujetándose a los límites correspondientes.
En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido del Mecanismo Tecnológico de Identificación a que se refiere el artículo 4 del presente Anexo, la Unión deberá realizar la entrevista presencial a que se refiere la 6ª de las presentes Disposiciones o aplicar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente de este último, e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Uniones deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Capítulo IV "Requisitos"
Artículo 7.- Adicionalmente, para efectos de lo establecido en el presente Anexo, las Uniones deberán:
I. Obtener previa autorización de la Comisión.
No será necesaria la autorización a que se refiere el párrafo anterior, cuando las Uniones se sujeten a los umbrales a que se refiere el artículo 2, fracción I del presente Anexo y lleven a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo. En este supuesto, las Uniones deberán informar de manera previa a la Comisión los productos y la fecha en la que empezarán a ofrecerlos, a través de los medios electrónicos que esta última señale.
Asimismo, las Uniones deberán observar lo establecido en las fracciones II a VII del presente artículo, así como los requisitos previstos en los artículos 8 y 9 del presente Anexo.
Las Uniones deberán conservar toda la información y documentación soporte, misma que deberá estar a disposición de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.
...
II. Requerir al solicitante que declare si ya es Cliente de la Unión. En caso de que la declaratoria sea afirmativa, la Unión deberá observar lo previsto en la fracción IV del presente artículo. Con independencia de la declaratoria del solicitante, la Unión deberá completar su expediente de identificación de acuerdo con el producto que pretenda contratar.
III. Requerir al solicitante que haya declarado no ser Cliente de la Unión el envío de un formulario a través del medio electrónico que la Unión establezca para tal efecto, en el cual se deberán incluir, al menos, los datos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, así como la especificación del producto que se pretende contratar.
El formulario mencionado deberá incluir una manifestación que señale que su envío a la Unión de que se
trate constituye la aceptación del solicitante para que su imagen y, en su caso, su voz, sean grabadas en alguno de los Mecanismos Tecnológicos de Identificación a que se refiere el Capítulo III de este Anexo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.
IV. En caso de que el solicitante declare ser Cliente de la Unión, esta deberá verificar como mínimo los datos de nombre completo, número de Cliente y Clave Única del Registro de Población del Cliente, así como los demás datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un Cliente, y en caso de que así sea, la Unión deberá autenticarlo con un factor de autenticación categoría 3.
Se entenderá como factor de autenticación categoría 3 a la información contenida, recibida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso. Dichos medios o dispositivos deberán ser proporcionados por las Uniones a sus Clientes y la información contenida, recibida o generada por ellos deberá cumplir con las características siguientes:
a) Contar con propiedades que impidan su duplicación o alteración.
b) Ser información dinámica que no podrá ser utilizada en más de una ocasión.
c) Tener una vigencia que no podrá exceder de dos minutos.
d) No ser conocida con anterioridad a su generación y a su uso por los funcionarios, empleados, representantes de la Unión o por terceros.
En caso de que la verificación a que se refiere el párrafo anterior sea exitosa, la Unión podrá proceder a la contratación de los productos previstos en el artículo 2 de este Anexo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.
Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Unión deberá observar los mismos requisitos previstos en el presente Anexo para los solicitantes que declaren no ser Clientes.
V. Si la Unión corrobora que el solicitante no es su Cliente, conjuntamente con el formulario a que se refiere la fracción III del presente artículo, deberán requerir al solicitante el envío de una fotografía a color de alguno de los documentos válidos de identificación, a que se refiere la 4ª Bis de las presentes Disposiciones, por el anverso y el reverso y verificar los elementos de seguridad, a fin de detectar si presentan alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.
Se deroga.
Se deroga.
...
Se deroga.
Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Uniones deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio Instituto o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar o, en su caso, Código de Reconocimiento Óptico de Caracteres (OCR, por sus siglas en inglés de Optical Character Recognition).
b) a d) ...
Las Uniones deberán verificar que el nombre completo, tal como aparezcan en la credencial para votar presentada, coincida con los registros del Instituto Nacional Electoral o del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de dicho documento de identificación.
Tratándose del pasaporte mexicano expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, las Uniones deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código de Reconocimiento Óptico de Caracteres (OCR).
b) Nombre completo, tal como aparezcan en el pasaporte mexicano.
c) Número de Pasaporte.
En caso del certificado de matrícula consular expedido por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Uniones deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) Nombre completo, tal como aparezcan en el certificado de matrícula consular.
b) Fecha de expedición y fecha de expiración.
c) Número del documento.
Adicionalmente, las Uniones deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en la 4ª Bis de las presentes Disposiciones.
VI. Informar al solicitante el procedimiento que se seguirá en el Mecanismo Tecnológico de Identificación que corresponda previsto en el Capítulo III del presente Anexo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante al inicio del Mecanismo Tecnológico de Identificación de que se trate.
Se deroga.
VII. Las Uniones deberán suspender el proceso de contratación del solicitante cuando se presente cualquiera de los casos siguientes:
a) La calidad de la imagen y, en su caso, del sonido, no permitan realizar una identificación plena del solicitante.
b) El solicitante no presente el documento válido de identificación previamente enviado junto con el formulario a que se refiere la fracción III del artículo 7 del presente anexo, los datos obtenidos de este no coincidan con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica respecto a dicho documento de identificación o, el resultado de la validación de los elementos de seguridad de los mencionados documentos, o de las verificaciones biométricas del rostro del solicitante a que se refiere el artículo 5 anterior, no alcancen la efectividad o nivel de fiabilidad a que hace referencia la fracción VII del Artículo 9 del presente Anexo.
c) y d) ...
e) Se presenten situaciones atípicas o riesgosas, o bien, la Unión tenga dudas acerca de la autenticidad del documento válido de identificación o de la identidad del solicitante.
Se deroga.
En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Uniones deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Uniones en los controles previstos en estas Disposiciones.
Para el caso de Clientes o solicitantes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Uniones deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes que declaren no ser Clientes, el envío del formulario a que se refiere la fracción III de este artículo, deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada de la persona moral de que se trate.
La tecnología utilizada para los procedimientos a que se refiere el presente Anexo deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Unión.
Las Uniones podrán pactar durante el desarrollo de Mecanismos Tecnológicos de Identificación para la celebración de los contratos a que se refiere el presente Anexo, la contratación de los servicios electrónicos a que se refieren las disposiciones de carácter general a que se refiere la Ley asociados a tales productos, sin que puedan permitir que mediante los servicios contratados conforme a lo establecido en este artículo se instruya la celebración de operaciones con cargo a otros productos del mismo Cliente. La anterior prohibición no será aplicable cuando el Cliente acuda a las oficinas a realizar la contratación de los servicios electrónicos.
Se deroga.
Artículo 8.- Las Uniones deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el Artículo 7 del presente Anexo, los cuales garanticen la integridad de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.
Las Uniones podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, cuando se muestre alguno de los documentos válidos de identificación y se realice el reconocimiento facial del solicitante, las cuales deberán ser aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, consejo de administración o administrador único.
Capítulo V "Otras disposiciones"
Se deroga.
Artículo 9.- Las Uniones, al solicitar la autorización a que se refiere el Artículo 7 deberán presentar lo siguiente:
I. Descripción detallada del proceso de identificación no presencial, así como de la Infraestructura Tecnológica utilizada en cada parte de este, especificando la función de cada componente de dicha infraestructura, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
Asimismo, las Uniones deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como protocolo seguro de transferencia de hipertexto (HTTPS pos sus siglas en inglés), o el protocolo de seguridad TLS (Transport Layer Security por su nombre en inglés) versión 1.2 o superior.
III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado para la conservación de la versión digital de alguno de los documentos válidos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de dicha norma oficial mexicana y no contravenga la misma.
IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.
Se deroga.
V. Información detallada sobre si las imágenes de los documentos válidos de identificación, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Unión, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
VI. Evidencia de que los medios de verificación de la validez de los documentos de identificación tienen la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Uniones.
VII. En su caso evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen.
Dichas pruebas deben ser realizadas conforme a los umbrales establecidos por la Unión, los cuales deberán contemplar los resultados de estas pruebas, y los ajustes del motor de validación derivado de ellos. Las Uniones deberán acompañar a su solicitud de autorización evidencias de todo lo anterior.
IX. Los estándares de calidad de la imagen y, en su caso, de sonido.
X. En su caso, la descripción técnica de los factores de autenticación categoría 3 que se requerirán para corroborar que un solicitante es Cliente de la Unión, conforme a lo previsto en el artículo 7 del presente Anexo, así como las características del código de un solo uso.
XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.
XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Anexo.
XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.
XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.
XV. Políticas y procedimientos de gestión de incidentes de seguridad de la información.
XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VII del artículo 7 del presente Anexo.
XVII. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.
Las Uniones deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XVII del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el artículo 7 del presente Anexo.
Será responsabilidad de las Uniones que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.
Cuando las Uniones pretendan modificar alguno de los procedimientos que tengan autorizados para dar cumplimiento al artículo 4 o artículo 5, según corresponda, del presente Anexo, requerirán de la previa autorización de la Comisión.
Disposiciones Transitorias
Primera. - La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación salvo por lo previsto en las siguientes Disposiciones Transitorias.
Segunda. - Los lineamientos, interpretaciones y criterios emitidos por la Secretaría o por la Comisión, con fundamento en lo dispuesto en la Resolución del 26 de octubre de 2012 y Resoluciones subsecuentes mediante las que hayan sido adicionadas o reformadas las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito, seguirán siendo aplicables en lo que no se opongan a lo establecido en la presente Resolución.
Tercera.- Las Uniones, que hayan obtenido la autorización de la Comisión a los mecanismos de identificación no presencial en términos del Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito, vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de doce meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de autorización en apego al artículo 7, fracción I del Anexo 2 que se reforma con el presente instrumento.
La autorización a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión resuelva sobre la solicitud de autorización que las Uniones, hayan presentado ante la propia Comisión conforme a lo indicado por el Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 129 de la Ley de Uniones de Crédito, que se reforman con esta Resolución.
Cuarta. - Las Uniones deberán dar cumplimiento a las obligaciones contenidas en la presente Resolución, en los términos y de conformidad con los plazos que se señalan a continuación:
I. Cuatro meses contados a partir de la entrada en vigor de la presente Resolución para modificar el Manual de Cumplimiento y presentarlo a la Comisión.
II. Nueve meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para modificar la metodología a que hace referencia el Capítulo II Bis de las Disposiciones.
III. Dieciocho meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para actualizar los sistemas automatizados a que se refiere la 42ª de las Disposiciones.
Quinta.- En caso de que las Uniones actualicen el supuesto previsto en el artículo 7, fracción I párrafo segundo del Anexo 2 que se reforma con la presente Resolución, deberán informar a través del correo electrónico prevencion.lavado@cnbv.gob.mx, mediante escrito libre dirigido a las Direcciones Generales de Prevención de Operaciones con Recursos de Procedencia Ilícita A y B de la Comisión, la situación prevista en dicho artículo en tanto la Comisión establezca los medios electrónicos idóneos para que las Uniones cumplan con lo previsto en dicho artículo.
Sexta. - Las Uniones deberán comenzar a remitir a la Comisión la información a que se refiere la 52ª Bis que se adiciona en la presente Resolución, a partir de la fecha que se señale en la resolución que para tales efectos emita la Comisión.
Séptima. - Las Uniones podrán equiparar el término definido de Propietario Real a que se refiere las presentes Disposiciones a las referencias de beneficiario final que se encuentren previstas en otros ordenamientos jurídicos en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, así como en las bases de datos de consulta a cargo de las autoridades competentes.
Ciudad de México, a 04 de enero de 2023.- El Secretario de Hacienda y Crédito Público, Rogelio Eduardo Ramírez de la O.- Rúbrica.
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|