Finalmente, ¿Apertura a la tecnología blockchain?

A finales del año pasado la Superintendencia Financiera de Colombia (SFC) actualizó la Circular Básica Jurídica y autorizó a sus vigilados (entidades del sector financiero) la adopción de nuevas tecnologías para mejorar la prestación de servicios a los usuarios y optimizar sus procesos.

La Circular Externa No. 29 del 11 de diciembre de 2019 de la SFC modificó la Circular Básica Jurídica en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones y acceso e información al consumidor financiero y uso de factores biométricos. A través de esta circular, la SFC menciona que la transformación de los servicios financieros y la necesidad de regulación y supervisión fortalecen el uso de canales digitales para la prestación de servicios con seguridad.

La SFC establece que, “las entidades vigiladas pueden adoptar tecnologías como realidad aumentada, internet de las cosas, blockchain, inteligencia artificial, machine learning, big data, robots, entre otras, cuando lo consideren pertinente para mejorar la prestación de servicios a los consumidores financieros y optimizar sus procesos.” En este caso, las entidades financieras deben gestionar los riesgos asociados a la tecnología adoptada, verificar la efectividad de los controles implementados y cumplir con las normas relacionadas con protección de datos y habeas data [subrayado propio] 

Mediante esta norma, la SFC autoriza el uso de las nuevas tecnologías –señaladas anteriormente– que promuevan la eficiencia en la prestación de los servicios financieros en los siguientes aspectos específicos y vigencia para su adopción:

A partir de la publicación de la circular externa (11 de diciembre de 2019)

  • Uso de servicios de computación en la nube: La norma establece que la entidad debe verificar que el proveedor ofrezca una disponibilidad de al menos el 99.95% en los servicios prestados en la nube en los modelos Iaas y PaaS y para el modelo Saas de al menos el 99.5% (subnumeral 3.5 del Capítulo VI, Título I, Parte I de la Circular Básica Jurídica).                                                                     
  • Condiciones para el intercambio de información: En cuanto a la difusión de la información a los consumidores financieros, la información actualizada de los productos, canales, puntos de atención, servicios y tarifas, puede ser puesta a disposición de terceros desarrolladores de API (Application Programming Interface) o cualquier otro mecanismo que permita el intercambio automático de información. También está considerada la información suministrada y recibida de los consumidores financieros que autoricen expresamente (subnumeral 3.2.3.4. del Capítulo I del Título III de la Parte I de la Circular Básica Jurídica).                                                                                                                  
  • Generación de soportes al momento de realizar operaciones monetarias: El soporte al momento de la realización de cada operación monetaria debe contener una información mínima, se deben ocultar los números de las cuentas y advertir cuando no se pueda generar el soporte. Para el caso de Sistemas de Audio Respuesta (IVR) y dispositivos móviles basta con informar el número de la operación. Para los pagos sin contacto no es obligatoria la entrega del soporte impreso de la operación, salvo que sea solicitado por el cliente (subnumeral 3.2.4.6. del Capítulo I del Título III de la Parte I de la Circular Básica Jurídica).                                                                                                  
  • Canales e instrumentos de prestación de servicios financieros: Al respecto, se reconocen como canales adicionales en la distribución de los servicios ofrecidos por las entidades vigiladas los Cajeros Automáticos (ATM), los receptores de cheques, los receptores de dinero en efectivo, POS (incluye PIN Pad), Sistemas de Audio Respuesta (IVR), Centro de atención telefónica (Call Center, Contact Center), Sistemas de acceso remoto para clientes (RAS), Internet, Banca móvil y demás dispositivos electrónicos que sirvan para realizar operaciones y las órdenes electrónicas, así como los elementos a través de los cuales se imparten las órdenes que materializan las operaciones a través de los canales de distribución (subnumeral 1.3. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).                                                                                                                          
  • Seguridad y calidad de la información: Entre otros aspectos, las entidades vigiladas deben cumplir unos requerimientos generales y específicos en materia de seguridad y calidad de la información. En particular, la circular hace referencia a las, modificaciones realizadas para promover estrategias de omnicanalidad, contar con soporte para los sistemas informáticos empleados en la prestación de servicios, y promover alternativas para realizar operaciones de comercio electrónico con cargo a productos distintos a las tarjetas de crédito aprobadas a sus clientes y plataformas tecnológicas como los botones de pago. Además, establecer medidas de seguridad y mecanismos fuertes de autenticación para la emisión de tarjetas personalizadas. Las entidades pueden emitir tarjetas innominadas cuando el análisis de riesgo realizado lo estime procedente (subnumerales 2.3.3.1.25., 2.3.3.1.28., 2.3.3.1.29. y 2.3.4.12.9. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).

A partir del 1 de diciembre de 2020

  • Seguridad y calidad de la información: Entre otros aspectos, las entidades vigiladas deben cumplir unos requerimientos generales y específicos en materia de seguridad y calidad de la información. En particular, la circular hace referencia a las modificaciones realizadas para establecer mecanismos fuertes de autenticación para las transacciones realizadas mediante pago con o sin contacto y mecanismos fuertes de autenticación para las operaciones que generen mayor exposición al riesgo de fraude o suplantación. Además, establecer los procedimientos, controles y medidas para la notificación al cliente de la inscripción de pagos en la entidad financiera o por parte de terceros con cargo a sus cuentas o tarjetas de crédito; y establecer procedimientos que incentiven la domiciliación de los pagos y adelantar campañas para dar a conocer este servicio (subnumerales 2.3.3.1.26., 2.3.3.1.27., 2.3.4.12.8. y 2.3.10. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).

A partir del 1 de junio de 2021

  • Uso de factores biométricos en la prestación de servicios financieros: Entre los mecanismos fuertes de autenticación se considera el uso de la biometría. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación (subnumeral 2.2.6.1. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).                                                                                                                                                    
  • Adicionalmente, en cuanto a requerimientos mínimos para la implementación y uso de la biometría como factor de autenticación electrónica, la SFC establece que se debe realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos. También se deben establecer mecanismos alternativos de autenticación para casos en los que el cliente no puede hacer uso de esta por razones médicas o físicas. Se pueden almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes como AES256, RSA, 3DES o superiores, pero en todo caso bajo estándares en materia de seguridad de datos biométricos, tales como ISO 24741:2007 y 24745:2011. Se puede almacenar la información demográfica del cliente de manera separada de las plantillas biométricas, relacionándolas entre sí por medio de códigos generados por algoritmos matemáticos que no sean fácilmente descifrados. Se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema biométrico tales como: i) medición de propiedades fisiológicas del individuo, ii) identificación de respuestas de comportamiento humano o iii) protocolos de desafío-respuesta. Finalmente, establecer controles en la captura inicial de las muestras biométricas de los clientes que aseguren que la información se obtenga directamente del titular del dato (subnumeral 2.3.9. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).                                                                                                                                                    
  • Seguridad y calidad de la información: Entre otros aspectos, las entidades vigiladas deben cumplir unos requerimientos generales y específicos en materia de seguridad y calidad de la información. En particular, la circular hace referencia a las modificaciones realizadas para contar con mecanismos que permitan a la entidad emisora del instrumento de pago reversar automáticamente –sin cobro– los retiros realizados en cajeros en territorio nacional, así como adoptar los procedimientos necesarios para permitir, en su red de cajeros, el retiro en una sola operación del monto máximo diario establecido por la entidad según su evaluación de riesgos. Además, las entidades deben adoptar mecanismos adicionales de seguridad para la realización de operaciones con tarjetas débito y crédito en ambiente no presente, tales como autorización por parte del consumidor financiero desde la app, CVV dinámico, tokenización y 3DSecure, entre otros. (subnumerales 2.3.4.2.8., 2.3.4.2.9., 2.3.4.12.12. y 2.3.9. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).

A partir del 1 de diciembre de 2021

  • Seguridad y calidad de la información: Entre otros aspectos, las entidades vigiladas deben cumplir unos requerimientos generales y específicos en materia de seguridad y calidad de la información. En particular, la circular hace referencia a las modificaciones realizadas para contar con mecanismos que permitan a la entidad emisora del instrumento de pago reversar automáticamente los retiros realizados en redes de cajeros no propias, en territorio nacional, cuando el dinero no haya sido entregado por causas que sean atribuibles al funcionamiento de este y que sean conocidas por la entidad. En este caso, se deberá realizar la reversión, sin cobro. Por otra parte, cuando la clave (PIN) asociada a una tarjeta débito o crédito haya sido asignada por la entidad vigilada, esta debe ser cambiada por el cliente antes de realizar su primera operación con este PIN y ofrecerle mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito o crédito en el momento que éste lo considere necesario (subnumerales 2.3.4.2.8., 2.3.4.12.6. y 2.3.4.12.7. del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica).

En resumen, la SFC establece la posibilidad de adopción de nuevas tecnologías, entre ellas blockchain, para algunos aspectos específicos tales como el uso de servicios de computación en la nube, uso de factores biométricos, seguridad y calidad para la realización de operaciones, uso de canales e instrumentos de los servicios financieros, condiciones para el intercambio de información y la generación de soportes al momento de realizar operaciones monetarias. Las entidades financieras vigiladas pueden adoptar estas nuevas tecnologías a partir del 11 de diciembre de 2019, 1 de diciembre de 2020, 1 de junio de 2021 y 1 de diciembre de 2021, según las instrucciones de la SFC.

Blockchain y bitcoin

La gran mayoría de autores atribuye el origen de la tecnología de cadena de bloques “blockchain” a la publicación, en 2008, del documento que propuso Bitcoin como un sistema descentralizado de pago digital.

Sin embargo, otros autores afirman que el origen de la tecnología blockchain data de 1991, cuando los investigadores Stuart Haber y W. Scott Stornetta introdujeron una solución práctica para incluir a los documentos digitales un sello de tiempo para que no pudieran ser modificados o manipulados. Este sistema usó una cadena de bloques con seguridad criptográfica para almacenar los documentos con sello de tiempo y en 1992 se incorporó al diseño los árboles de Merkle, al permitir que varios documentos se reunieran en un solo bloque. Esta idea no se utilizó y la patente caducó en 2004.

Luego, en 2004 apareció el concepto de “prueba de trabajo reutilizable” cuando Harold Thomas Finney introdujo un sistema llamado RPoW (Reusable Proof Of Work). Este sistema funcionaba al recibir un token de prueba de trabajo no intercambiable (no fungible) basado en hashcash y, a cambio, creaba un token firmado por RSA que luego podría transferirse de una persona a otra. Esta prueba resolvía el problema del doble gasto para asegurar la propiedad del token. RPoW se considera el prototipo de la versión actual de bitcoin y las criptomonedas.

La tecnología blockchain o “cadena de bloques” ofrece una respuesta a la desconfianza y al desprestigio de la palabra con múltiples ventajas. Esta tecnología de contabilidad distribuida (DTL – Distributed Ledger Technology) hace un registro público y abierto de transacciones para ser avalado entre una comunidad (consenso). Es decir, el registro y almacenamiento de las transacciones se hace en tiempo real, de manera distribuida, inmutable y pública.

La principal intención del registro de las transacciones, según el libro blanco (whitepaper) de Bitcoin, origen de la tecnología blockchain como la conocemos, era la supresión de terceros con el fin de posibilitar el intercambio de dinero entre pares sin intermediarios.

Este artículo, escrito con el seudónimo de Satoshi Nakamoto, dio origen a Bitcoin y fue publicado en octubre de 2008, con el que se propuso una forma de dinero en electrónico peer-to-peer que permite enviar pagos en línea entre las partes, de forma segura y sin pasar a través de un intermediario.

Blockchain está asociado, inicialmente, a las criptomonedas debido a su origen en el Bitcoin; sin embargo, la tecnología tiene varias aplicaciones gracias a su descripción técnica del registro y almacenamiento de transacciones en cadenas de bloques.

Hoy se distinguen tres generaciones de blockchain: la primera asociada a las criptomonedas (Blockchain versión 1.0); la segunda a los contratos inteligentes o smart contracts que realizan transacciones o transferencia de activos y acuerdos confiables sin intermediación, los hacen rastreables, seguros e irreversibles (Blockchain versión 2.0); y la tercera (Blockchain versión 3.0) se refiere a aplicaciones en temas públicos de gobierno, salud, seguridad, ciencia e incluso internet de las cosas (IoT – Internet of Things).

Actualmente, en el mundo de los criptoactivos hay más de 5.000 criptomonedas y tokens con una capitalización de mercado de 275.736 millones de dólares (según indican para el momento de escritura páginas como CoinMarketCap). Bitcoin ocupa el primer lugar con una capitalización de USD 177.507 millones (64,3% del total).

En suma, la tecnología de cadena de bloques “blockchain” apareció en 2008 con la publicación del documento que propuso Bitcoin como un sistema descentralizado de pagos entre pares. La versión 1.0 de la tecnología blockchain son las criptomonedas o activos digitales que funcionan como un medio de intercambio de valor. Hasta el momento, Bitcoin es la criptomoneda más representativa.

Las criptomonedas en Colombia

Según el documento técnico sobre criptomonedas del Banco de la República, (i) el peso colombiano es el único medio de pago reconocido con poder liberatorio ilimitado; (ii) los criptoactivos tales como el bitcoin no son reconocidos como una moneda en Colombia; (iii) tampoco son reconocidos como divisas ni para cumplir operaciones de cambio; (iv) los intermediarios del mercado cambiario (IMC) no han sido autorizados para comprar o vender criptoactivos.

A su turno, la Dirección de Impuestos y Aduanas Nacionales (DIAN) acoge la definición del GAFI (FATF por sus siglas en inglés) de monedas virtuales como “una representación digital de valor que puede ser comercializada digitalmente y funciona como: (1) un medio de cambio; y/o (2) una unidad de cuenta; y/o (3) un depósito de valor, pero no tiene curso legal en ninguna jurisdicción”.

La DIAN concluye que “las monedas virtuales no son dinero para efectos legales. No obstante, en el contexto de actividad de minería, en tanto se perciben a cambio de servicios y/o comisiones, corresponden a ingresos y, en todo caso, a bienes susceptibles de ser valorados y generar una renta para quien las obtiene como de formar parte de su patrimonio y surtir efectos en materia tributaria”. [subrayado propio]

Por lo tanto, la DIAN señala que las criptomonedas “implican un nuevo concepto al reconocer valor a los datos digitales, esto implica (sic), para efectos tributarios determinar en primer lugar la naturaleza jurídica de los bienes producto del minado”. Además, clasifica a las “monedas virtuales” como “un bien de carácter incorporal o inmaterial susceptible de ser valorado”.

Al respecto, el Consejo Técnico de la Contaduría Pública (CTCP) consideró que (i) las NIIF (Normas Internacionales de Información Financiera) no se refieren explícitamente a las criptomonedas; (ii) la política contable para un criptoactivo debe ser evaluada en función de las características y el mercado de cada criptomoneda. Luego del análisis, el CTCP concluye que actualmente no existe ninguna categoría de activos que sea apropiada para los activos virtuales.

Por su parte, la Superintendencia Financiera de Colombia (SFC) ha reiterado que las entidades vigiladas “no se encuentran autorizadas para custodiar, invertir, intermediar ni operar con estos instrumentos, así como tampoco permitir el uso de sus plataformas para que se realicen operaciones con monedas virtuales”.

SFC: no autoriza operaciones con criptomonedas

Frente a las criptomonedas, la SFC ha reiterado lo indicado por el Banco de la República y ha impartido instrucciones a sus vigilados para prohibir la realización de operaciones con monedas virtuales y el uso de sus plataformas con dichos instrumentos.

La primera advertencia de la SFC sobre el tema fue mediante la Carta Circular No. 29 de 2014, la cual describió el auge de los instrumentos denominados “monedas virtuales” y los recientes problemas que han enfrentado las plataformas transaccionales en las que se cotizan y negocian estas “monedas”, en especial, la denominada bitcoin; advirtió

sobre los riesgos a los que se exponen quienes transan con estos instrumentos que no están regulados, ni respaldados por ninguna autoridad monetaria o activos físicos, y cuya aceptación es muy limitada. Al final, recordó a sus entidades vigiladas que “no se encuentran autorizadas para custodiar, invertir, ni intermediar con estos instrumentos” (MV – monedas virtuales).

Posteriormente, la SFC expidió la Carta Circular No. 78 de 2016 y se refirió a las operaciones con monedas virtuales, debido a la expansión de las MV. Reiteró la instrucción a sus entidades vigiladas “que no se encuentran autorizadas para custodiar, invertir, intermediar ni operar con estos instrumentos, así como tampoco permitir el uso de sus plataformas para que se realicen operaciones con MV” y señaló al público en general que deben asumir los riesgos inherentes a las operaciones que realicen con este tipo de “monedas virtuales”, pues no se encuentran amparadas por ningún tipo de garantía privada o estatal.

Por último, mediante la Carta Circular No. 52 de 2017 la SFC se refiere a los riesgos potenciales asociados a las operaciones que se realizan con las denominadas “Monedas Electrónicas- Criptomonedas o Monedas Virtuales”. Al respecto, señala que dichas operaciones se caracterizan por ser pseudoanónimas, presentan una alta dificultad para la identificación de sus beneficiarios finales, son poco trazables por las autoridades y no están respaldadas por bancos centrales, según lo señalan documentos del GAFI (“Directrices para un Enfoque Basado en Riesgo para Monedas Virtuales”) y Europol (“SOCTA –Europol de 2017”). Las monedas virtuales son consideradas como un instrumento que podría facilitar el manejo de recursos provenientes de actividades ilícitas.

Esta última carta circular i) reitera lo indicado por el Banco de la República y la SFC con anterioridad; ii) aclara que las MV no constituyen un valor –en los términos de la Ley 964 de 2005– y por lo tanto no hacen parte de la infraestructura del mercado de valores colombiano, no constituyen una inversión válida para las entidades vigiladas, y tampoco sus operadores se encuentran autorizados para asesorar y/o gestionar operaciones sobre las mismas; y iii) señala que la SFC no ha autorizado a entidad vigilada alguna para custodiar, invertir, intermediar ni operar con tales instrumentos, como tampoco para permitir el uso de sus plataformas por parte de los participantes, en lo que se conoce como “Sistema de Monedas Virtuales”.

En conclusión, la SFC ha impartido instrucciones precisas desde 2014 y ha reiterado en varias oportunidades (2016 y 2017) que las entidades vigiladas no están autorizadas para custodiar, invertir, intermediar ni operar con monedas virtuales –o criptomonedas–, como tampoco para permitir el uso de sus plataformas por parte de los participantes, en lo que se conoce como “Sistema de Monedas Virtuales”.

Entonces, ¿blockchain sí, pero criptomonedas no?

Al final, la Superintendencia Financiera de Colombia ha autorizado a sus vigilados, en noviembre de 2017, la adopción de nuevas tecnologías, entre ellas la de cadena bloques o “blockchain” con el fin de mejorar la prestación de servicios a los usuarios y optimizar sus procesos. Dicha adopción está autorizada en forma gradual y para algunos temas como servicios de computación en la nube, uso de factores biométricos, uso de canales e instrumentos de los servicios financieros, condiciones para el intercambio de información y generación de soportes de las operaciones monetarias.

Sin embargo, desde 2014 ha reiterado a sus vigilados que no están autorizados para custodiar, invertir, intermediar ni operar con monedas virtuales o criptomonedas, como tampoco para permitir el uso de sus plataformas para que se realicen operaciones con estas.

Nótese que, como se mencionó antes, el origen de la tecnología blockchain se atribuye al documento de bitcoin publicado en 2008. Es decir, bitcoin es la primera criptomoneda desarrollada con la tecnología denominada blockchain.

Entonces, en buena hora se trata de la apertura de la SFC para la adopción de la tecnología blockchain. Sin embargo, ¿qué pasará con las criptomonedas?, pues se trata de la primera versión de esta tecnología y, seguramente, la adopción por parte de las entidades vigiladas para mejorar el servicio a sus usuarios o sus procesos implicará el uso de estas.

Dicho de otra forma, como algunos autores ya lo han manifestado, esta situación de blockchain versus criptomonedas es similar a aquella en la que algunas personas o entidades hacen afirmaciones equívocas cuando aceptan el internet [la tecnología], pero prohíben –no autorizan– el uso del correo o algún dispositivo electrónico [versión de uso de la tecnología]. Las criptomonedas son una forma de uso de blockchain y blockchain es la tecnología que desarrolló las monedas virtuales o criptomonedas –Bitcoin es la más representativa–, entre otros modelos de uso.

¿En qué sector te gustaría ver una innovación gracias a tecnología blockchain?¿Crees tu que la tecnología blockchain puede estar desligadas de los activos digitales? No olvides compartir con nosotros tus opiniones más abajo en la sección de comentarios.

Comentarios

Comentarios