En los últimos meses el BCRA ha emitido importantes normativas con impacto directo en múltiples aspectos vinculados a la operatoria de los Proveedores de Servicios de Pagos, Fintechs y Aplicaciones Bancarias.

Muchas de las consecuencias se verán reflejadas en la experiencia de los usuarios ya que crean o modifican funcionalidades y refuerzan la seguridad, pero también tendrán repercusiones en aspectos tanto económicos, técnicos, de producto y en la relación entre los principales actores del Sistema de Pagos.

A modo de recapitulación y previa aclaración es importante marcar la distinción que hace el BCRA considerando a los Proveedores de Servicios de Pago (PSP) como personas jurídicas que, sin ser entidades financieras, cumplen al menos una función dentro de un esquema de pago minorista -como género- y a los Proveedores de Servicios de Pagos que ofrecen cuentas de pago (PSPCP) como una subcategoría que empresas que ofrecen a sus clientes cuentas de pago de libre disponibilidad.

Éstos últimos permiten a sus usuarios tener saldos vista en cuentas virtuales manejadas desde aplicaciones móviles para que sus usuarios manejen su dinero ya sea para luego poder invertir en Fondos Comunes de inversión como en diversos instrumentos del mercado, ordenar transferencias a terceros o realizar pagos de servicios o a terceros mediante QR, NFC o tarjetas prepagas, entre otras funcionalidades.

Desde 2021, las Fintech de pagos se encuentran reguladas bajo la órbita del BCRA; deben estar inscriptas en el Registro de Proveedores de Servicios de Pago creado a tal fin y poseen regímenes informativos, de vigilancia y sancionatorios por parte de la entidad de control.

En este artículo repasaremos las últimas novedades regulatorias que reconfiguran un ecosistema de pagos que sigue buscando su punto de equilibrio.

Comunicación “A” 7841 – Septiembre de 2023 – Debin recurrente

Esta norma actualiza los Textos Ordenados del Sistema Nacional de Pagos vinculados a los Débitos Inmediatos, Débitos Directos, Transferencias y normas complementarias.

En primer lugar, ordena discontinuar la operatoria montada en los rieles de la Compensadora Electrónica COELSA que a través de los DEBINES RECURRENTES (Débitos Inmediatos recurrentes) era utilizada para el ingreso de dinero provenientes de cuentas de la misma titularidad de los usuarios.

Es decir que este era un circuito mediante el cual un usuario desde una billetera virtual “asociaba o enrolaba” una cuenta propia del sistema financiero para efectuar ingresos de dinero de manera recurrente por montos diferentes con una única autorización hacia su cuenta virtual.

Siendo esta una de las funcionalidades más utilizadas por las billeteras para ingreso de dinero, deberá darse de baja a partir del 01 de diciembre de 2023 y ser reemplazada por la creada específicamente para dicho fin en la Comunicación “A” 7514 de mayo de este año bajo el concepto de “Transferencias PULL”.

La justificación que dio el BCRA para suspender esta operatoria para el público en general está vinculada a la gran cantidad de fraudes que se cometen con esta modalidad: como en el DEBIN quien cobra o recibe el dinero es quien inicia el trámite y quien paga sólo debe aceptarlo, las estafas virtuales consistían en que una persona engañaba a un tercero avisándole que le haría un pago a través de este método cuando en realidad en vez de enviarle dinero, se lo sacana.

Es por eso que además de estas modificaciones, la norma obliga a los Proveedores de Servicios de Pagos que cuando un cliente reciba un DEBIN en su cuenta, esta orden venga acompañada de una aclaración lo suficientemente visible de que la operación implica un débito en su cuenta y que le van a retirar fondos.

El sistema de DEBINES RECURRENTES quedará operativo para aquellos casos de uso para los que fuera creado originalmente, es decir cobranzas habituales por parte de empresas que poseen una relación contractual con los usuarios y cobran sus servicios a través de esta herramienta (instituciones educativas, servicios, seguros, etc.)

Por último, la Comunicación actualizó y estableció un tope de 0,12 UVA para la tasa de intercambio, que las entidades receptoras de DEBIN recurrentes podrán cobrar a las entidades financieras originantes.

Comunicación “A” 7825 – Agosto de 2023 – Retribuciones de saldos

Esta disposición obliga a los proveedores de servicios de pago que ofrecen cuentas de pago (PSPCP) a devolver y depositar en las cuentas de sus clientes el 100% de las retribuciones que perciban por los saldos en pesos de las cuentas de depósito en las entidades financieras.

Desde la Comunicación “A” 6885 de 2020 ya el BCRA había obligado a los PSPCP a que el 100% de los fondos de los clientes que no se encontraran invertidos en Fondos Comunes de Inversión, debían estar depositados en todo momento en cuentas vista en pesos denominadas “recaudadoras” en bancos del Sistema Financiero.

Por ese depósito efectuado por los PSPCP (los que ofrecen cuentas de pago) los bancos retribuyen una tasa que desde esta nueva normativa deberá volver completamente a los titulares originales de los fondos que son los usuarios de las cuentas virtuales.

Com “A” 7759 – Mayo de 2023 - Prohibición de operar y facilitar operaciones con Criptomonedas 

Esta disposición prohíbe a los PSPCP la realización o facilitación de operaciones con activos digitales, es decir que ya no podrán ofrecer la posibilidad de operar con activos digitales ya sea por sí mismos o a través de terceros, facilitando o redirigiendo la operatoria desde sus plataformas a aplicaciones de otras empresas o exchanges.

Esta normativa va en línea con la Comunicación “A” 7506 de mayo de 2022 cuando el BCRA dispuso la misma prohibición para entidades financieras cuando algunos bancos comenzaban a promocionar la operatoria con criptomonedas desde sus aplicaciones móviles, servicio que no llegó a impactar al público masivo.

La justificación brindada por el regulador para prohibir las transacciones con criptomonedas y activos digitales en aplicaciones que utiliza el público en general para la administración de dinero es la de eliminar los riesgos asociados a la volatilidad extrema de estos activos, los posibles casos de fraude y cuestiones vinculadas con el lavado de activos.

Comunicación “A” 7769 - Una nueva etapa en materia de pagos QR

Otra de las grandes novedades fue que el BCRA amplió el concepto de interoperabilidad que ya rige para las compras efectuadas a través de la lectura de QRs con dinero en cuenta a través del esquema de Pagos con Transferencia (o PCT) también a la aceptación de tarjetas de crédito.

Es decir, que todo QR adquirente (los que muestran los comercios para cobrar ventas) que acepte tarjetas de crédito tiene que aceptar pagos con tarjetas de crédito de cualquier participante del Registro de Billeteras Interoperables.

Esta medida “abre” el circuito cerrado de los adquirentes que aceptaban pagos con QR únicamente de sus propias billeteras emisoras a todos aquellas aplicaciones que asocien tarjetas de crédito y ofrezcan pagos con esta modalidad. A raíz de las distintas discusiones técnicas, de medidas de seguridad y anti fraude es que la aplicación de esta normativa se pospuso por 180 días.

La norma también aporta nuevas definiciones como el concepto de "aceptación" dentro de las funciones de los PSP. Ahora los define como aquellos que adhieren comercios a esquemas de pagos con transferencia y facilitan los mecanismos para iniciar los pagos, transmitir la información de la orden de pago y, en caso de autorización, confirmar las operaciones.

Asimismo, incorpora a los Adquirentes, Agregadores o Subadquirentes y a las Empresas de cobranza extrabancaria de impuestos o servicios como Proveedores de Servicios de Pago.

A todos ellos se los incorpora dentro de los regímenes de supervisión e información del BCRA, obligándolos a inscribirse en los registros creados a tal fin, para profundizar su fiscalización garantizando que cumplan con las normativas establecidas y brinden un servicio de calidad a los usuarios.

Aumentan los requisitos sobre los riesgos de Tecnología y Seguridad de la información

Para cerrar este resumen, destacamos la actualización que realizó el BCRA en materia de Seguridad y Riesgos de Tecnología, tanto para Entidades Financieras como para “Servicios Financieros Digitales”.

Sin distinción de tamaño entre grandes y pequeños jugadores, estas normas apuntan a que cada sujeto obligado comprenda los riesgos de su operación, releve y aplique las medidas de protección, detección y dimensionamiento de riesgos vinculados a la Seguridad de la Información y la Tecnología a través de Principios rectores, políticas y buenas prácticas, que quedarán a criterio de cada Sujeto Obligado.

Además, establece medidas de seguridad mínimas ante operaciones críticas (contratación de servicios, administración de dispositivos, cambios de métodos de contacto) para los cuales la identificación de los usuarios y la validación con técnicas multifactor se vuelven cada vez más robustas.

Entre otras recomendaciones para la provisión de aplicaciones o dispositivos para ofrecer servicios financieros digitales, se destacan las de la detección y finalización de sesión del cliente no autorizada, inhabilitación del servicio cuando se produzcan fallas de seguridad, la limitación de exposición de datos (que deben estar cifrados en toda la interacción del usuario), impedir el acceso a través de un dispositivo que no satisfaga los criterios de admisibilidad y solicitar los permisos mínimos necesarios de los dispositivos.

Lejos de ser un tema sencillo y meramente técnico o de seguridad, todas estos lineamientos no deben ser aplicados de forma aislada, ya que cada participante del sistema de pagos, ya sea entidades financieras o proveedores de servicios de pago, deberán analizar y definir su apetito de riesgo en base a la operatoria que realicen, en línea con los servicios que ofrezcan, las medidas de seguridad que puedan establecer sin obturar la innovación y la inclusión financiera.