Con fecha 3 de julio de 2024, la Comisión para el Mercado Financiero (la “CMF”) haciendo uso de sus facultades legales, publicó la Norma de Carácter General N°514 (en adelante, la “NCG 514” o la “Normativa”) que regula el Sistema de Finanzas Abiertas (en adelante, el “Sistema” o el “SFA”), conforme a las disposiciones del Título III de la Ley 21.521, también conocida como “Ley Fintech”.

El SFA tiene por objeto permitir el intercambio, entre distintos prestadores de servicios, de información de clientes financieros, que hayan consentido expresamente en ello, y otros tipos de datos a través de interfaces de acceso remoto y automatizado que permitan una interconexión y comunicación directa entre los Participantes (según dicho término es definido más adelante), bajo adecuados estándares de seguridad y sujeto al cumplimiento de las exigencias y condiciones establecidas en la Ley Fintech.

La Normativa se divide en las siguientes secciones:

• Perímetro del sistema de finanzas abiertas

Identifica a todas las instituciones participantes en el SFA (colectivamente, los “Participantes”), para lo cual se dictan los requerimientos que les permiten participar en el SFA de acuerdo con los roles específicos que posean según lo establecido en el Directorio de Participantes, que será implementado por la CMF para facilitar una adecuada interacción de los diversos participantes en el contexto del SFA y que permitirá la “búsqueda, consulta y actualización de los participantes habilitados en el SFA, incluyendo sus datos de registro o autorización, roles y perfiles, recursos de API y certificados digitales, entre otros”.

El Directorio de Participantes estará compuesto por dos registros y dos nóminas asociadas a entidades que deben participar obligatoriamente en el Sistema, o bien que, ya encontrándose incorporadas al perímetro de la CMF, pueden participar del SFA sin necesidad de un nuevo proceso de registro conforme al nivel de requisitos que les aplique. Estos son:

• Registro de prestadores de servicios basados en información. Es un registro voluntario para proveedores de servicios habilitados por información financiera que pretendan participar del SFA con el fin de consultar, acceder y recibir datos para efectos de proveer servicios a los clientes, que está reservado para personas jurídicas constituidas bajo las leyes de Chile y con domicilio dentro del territorio chileno. Excepcionalmente podrán participar entidades extranjeras siempre que hayan constituido una agencia en Chile en forma previa a la solicitud.
• Registro de proveedores de servicios de iniciación de pagos. En este registro podrán inscribirse las entidades que pretendan prestar servicios consistentes en instruir a nombre de un cliente ante una Institución Proveedora de Cuentas, la ejecución de órdenes de pago o transferencias electrónicas, incluyendo pagos recurrentes predefinidos en favor de los terceros beneficiarios que los clientes indiquen, con cargo a sus respectivas cuentas y medios de pago (en adelante, los “PSIP”)
• Nómina de instituciones proveedoras de información y proveedores de cuentas. Todas las entidades consideradas como Institución Proveedora de Información (“IPI”) e Institución Proveedora de Cuentas (“IPC”) de conformidad con la Ley Fintech, deberán presentar los antecedentes que les permitan ser incorporados y habilitados en los listados de entidades denominados “Nómina IPI” para la provisión de información y “Nómina IPC” sobre órdenes de pago o transferencias electrónicas.
• Nómina de Proveedores de Servicios Basados en Información (“Nómina PSBI”). Podrán participar voluntariamente en el Sistema como Proveedor de Servicios Basados en Información (“PSBI”) las entidades que califiquen como IPI y las inscritas en el Registro de Prestadores de Servicios Financieros. Para ello, estas entidades deberán solicitar su incorporación voluntaria a la Nómina PSBI. La Ley Fintech considera como PSBI a las entidades habilitadas para participar en el SFA con el fin de consultar, acceder y recibir datos para efectos de proveer servicios a sus clientes.

1. Funcionamiento del SFA.

De conformidad a lo establecido en la Ley Fintech, la NCG 514 establece que el mecanismo de intercambio de información de datos dentro del SFA son las Application Programming Interfaces (“APIs”), y las define como aquel “mecanismo tecnológico por medio del cual dos o más programas o sistemas computacionales pueden comunicarse entre sí” y que, en conformidad a lo señalado en la Ley Fintech, permiten una interconexión y comunicación directa entre instituciones participantes del SFA. Luego, se definen los estándares básicos que les serán aplicables a las APIs, junto a los niveles de disponibilidad y rendimiento que estas interfaces deberán cumplir.

Asimismo, se señalan las condiciones que deben considerarse para el uso de un mecanismo alternativo para el intercambio de datos, el cual debe estar disponible para asegurar la continuidad operacional del SFA, cumpliendo los requisitos que se definan en las especificaciones técnicas de la NCG 514.

Por último, se abordan los requisitos relativos a la calidad de la información que se intercambiará dentro del SFA, y se establecen los mecanismos de comunicación ante contingencias, y el procedimiento de notificación a los Participantes involucrados y a la CMF, según corresponda.

• Seguridad y resguardos del sistema

La Normativa regula los requisitos atingentes a la gestión de riesgos y control interno de los participantes; a la ciberseguridad y el reporte de incidentes; al mecanismo de reporte de incidentes operacionales; y a los elementos que deben considerar los participantes en materia de continuidad de negocio. En particular, se establecen los estándares de seguridad de la información en el sistema; la autenticación y confirmación de clientes; y la verificación de vigencia y roles de los PSBI y PSIP pertenecientes al Directorio de Participantes. Además, en esta sección se indican los casos en que resultarán aplicables la interrupción de acceso de la información y la denegación de nuevas órdenes de pago.

Adicionalmente, considera los requisitos y forma en que se debe otorgar el consentimiento de los clientes como condición esencial para que las entidades accedan a su información financiera, así como la gestión de estos consentimientos mientras se encuentren vigentes. Finalmente, se señalan otros estándares en materia de interoperabilidad y de distribución de costos reembolsables.

• • Información del sistema

Establece los datos propios del SFA que se permiten intercambiar de acuerdo con diversas categorías de información, clasificadas por tipo y su detalle respectivo, señalando las condiciones de disponibilidad, vigencia, actualizaciones y medios de intercambio aplicables.

Asimismo, se explicitan las obligaciones y responsabilidades de los Participantes respecto al resguardo de la integridad, disponibilidad, seguridad y confidencialidad de los datos involucrados en cada transacción y la adecuada protección de los datos personales de los clientes.

También se establecen los requisitos de divulgación de información relacionados a la implementación del SFA en los portales web de las entidades supervisadas.

• • Otras disposiciones

La Normativa contiene una serie de disposiciones relativas a la aplicación de medidas de suspensión temporal y sanciones asociadas al incumplimiento de la NCG 514.

En cuanto a los plazos de implementación y vigencia de la Normativa, esta contempla un periodo de implementación que se divide en dos etapas:

La primera durará 24 meses contados desde la publicación de la norma y tiene por objeto la preparación tecnológica y el desarrollo de las tareas que le corresponden a los participantes y a la CMF. Terminado este periodo, la Normativa entrará en vigencia. Finalmente, la segunda etapa establece plazos graduales de cumplimiento de disponibilidad según el tipo de participante y APIs, que van desde los 6 a los 36 meses contados desde la entrada en vigencia de la Normativa.

En caso de requerir información adicional sobre esta materia, puede contactar a Christian Schiessler (cshiesslerq@jdf.cl) y a Diego Miranda (dmiranda@jdf.cl).