Compartir en Redes Sociales

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.

RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIERE EL ARTÍCULO 124 DE LA LEY DE AHORRO Y CRÉDITO POPULAR
ROGELIO EDUARDO RAMÍREZ DE LA O, Secretario de Hacienda y Crédito Público, con fundamento en lo dispuesto por los artículos 31, fracciones VII y XXXII, de la Ley Orgánica de la Administración Pública Federal; 46 Bis primer párrafo y 124 de la Ley de Ahorro y Crédito Popular, en ejercicio de las atribuciones que me confiere el artículo 6º, fracción XXXIV, del Reglamento Interior de la Secretaría de Hacienda y Crédito Público, y contando con la previa opinión de la Comisión Nacional Bancaria y de Valores emitida mediante oficio número VSPP-220/10030526/2021 de fecha 29 de julio de 2021; y
CONSIDERANDOS
Que desde el año 2000 México es miembro de pleno derecho del Grupo de Acción Financiera (GAFI), organismo intergubernamental que fija los estándares internacionales en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 20 de marzo de 2019, la Secretaría de Hacienda y Crédito Público publicó en el Diario Oficial de la Federación diversas modificaciones a las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, con el objeto de atender las recomendaciones del GAFI y establecer un régimen de identificación no presencial, otorgando con ello la posibilidad a las sociedades financieras populares, sociedades financieras comunitarias con niveles de operación I a IV y organismos de integración financiera rural, de llevar a cabo la identificación del cliente a través de una videoconferencia en tiempo real y en línea; lo cual resultó en un robustecimiento a la metodología de evaluación de riesgos para que dichas entidades evalúen sus riesgos de ser utilizadas para llevar a cabo operaciones con recursos de procedencia ilícita y financiamiento al terrorismo previo al uso de nuevas tecnologías.
Que el 6 de marzo de 2020, el GAFI publicó la Guía sobre Identificación Digital, resultando como parteaguas en el tema de tecnología financiera, mostrando los beneficios de la identidad digital en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, presentando a la tecnología financiera como una manera más confiable y segura para las entidades financieras al momento de llevar a cabo la identificación de sus clientes a través del uso de mecanismos como la prueba de vida, el uso de elementos biométricos y factores de autenticación, entre otros, que permitan la mitigación de riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 11 de marzo de 2020, la Organización Mundial de la Salud declaró la enfermedad por el virus SARS-CoV2 (COVID-19) como pandemia, haciendo un llamado a los países para que: (i) adopten medidas urgentes y agresivas para contener la propagación del virus, (ii) implementen un enfoque basado en la participación de todo el gobierno y de toda la sociedad, en torno a una estrategia integral dirigida a prevenir las infecciones, salvar vidas y reducir al mínimo sus efectos, y (iii) encuentren un delicado equilibrio entre la protección de la salud, la minimización de los trastornos sociales y económicos, y el respeto a los derechos humanos.
Que el 24 de marzo de 2020, la Secretaría de Salud publicó en el Diario Oficial de la Federación el «Acuerdo por el que se establecen las medidas preventivas que se deberán implementar para la mitigación y control de los riesgos para la salud que implica la enfermedad por el virus SARS-CoV2 (COVID-19)», el cual establece en su Artículo Segundo, inciso c) «Suspender temporalmente las actividades de los sectores público, social y privado que involucren la concentración física, tránsito o desplazamiento de personas a partir de la entrada en vigor de este Acuerdo y hasta el 19 de abril del 2020».
Que el 31 de marzo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el «Acuerdo por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2», el cual, en su artículo Primero, fracción I, ordena la suspensión inmediata, del 30 de marzo al 30 de abril de 2020, de las actividades no esenciales, con la finalidad de mitigar la dispersión y transmisión del virus SARS-CoV2 en la comunidad.
Que mediante el «Acuerdo por el que se modifica el similar por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2, publicado el 31 de marzo de 2020», publicado el 21 de abril de 2020 en el Diario Oficial de la Federación, la Secretaría de Salud resolvió necesario mantener y extender la Jornada Nacional de Sana Distancia hasta el 30 de mayo de 2020, así como asegurar la adecuada implementación y cumplimiento de las medidas de seguridad sanitaria.
Que el 15 de mayo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el «Acuerdo
por el que se modifica el diverso por el que se establece una estrategia para la reapertura de las actividades sociales, educativas y económicas, así como un sistema de semáforo por regiones para evaluar semanalmente el riesgo epidemiológico relacionado con la reapertura de actividades en cada entidad federativa, así como se establecen acciones extraordinarias, publicado el 14 de mayo de 2020″ con el objetivo de establecer un mecanismo que involucre a los sectores público, social y privado para retomar las actividades bajo protocolos de seguridad sanitaria, que garanticen tanto a sus trabajadores, como al público en general que se está cumpliendo con estándares que reducen los riesgos asociados al SARS-CoV2.
Que en ese sentido y particularmente por lo que respecta al sistema financiero, hubo un cierre masivo de sucursales de diversas entidades financieras, en cumplimiento a las medidas sanitarias declaradas por el Gobierno Federal por el periodo que se encuentre vigente la contingencia por el COVID-19; lo cual se tradujo en uno de los principales retos para garantizar la continuidad del ofrecimiento y la prestación de servicios financieros al público en general atendiendo a la nueva normalidad, sin descuidar y menoscabar el régimen de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 1 de abril de 2020, el GAFI emitió un comunicado en relación a la emergencia sanitaria generada por el COVID-19 y las medidas para combatir el financiamiento ilícito, haciendo un llamado para que (i) los países exploren el uso apropiado de medidas de identificación simplificada y la identificación digital para facilitar las operaciones financieras mientras se mitigan los riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, y (ii) los reguladores, supervisores y demás autoridades involucradas en la materia, brinden la asistencia necesaria al sector privado respecto a cómo será aplicada la regulación en la materia durante la actual crisis sanitaria.
Que, aun y cuando actualmente las sociedades financieras populares, sociedades financieras comunitarias con niveles de operación I a IV y organismos de integración financiera rural, cuentan desde marzo de 2019 con un régimen de identificación no presencial, no resultó suficiente para atender las necesidades del público en general para abrir cuentas o celebrar contratos y, a su vez, mitigar los riesgos en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que en ese sentido y con base en la Guía de Identificación Digital del GAFI, así como en cumplimiento a las Recomendaciones 10 y 15 de dicho grupo, resulta necesario, al igual que con otros participantes regulados en la materia, reconocer la posibilidad legal de que las sociedades financieras populares, sociedades financieras comunitarias con niveles de operación I a IV y organismos de integración financiera rural puedan cumplir con sus obligaciones en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a través del uso de nuevas tecnologías, desde luego con la responsabilidad de que cumplan con las normas aplicables al efecto para que tengan el valor que en derecho corresponde.
Que, adicionalmente, en apego a la Recomendación 4 del GAFI y al contenido del Informe de Evaluación Mutua, emitido por dicho organismo intergubernamental, en enero de 2018, resulta necesario fortalecer el marco legal respecto a la conformación de la Lista de Personas Bloqueadas, en razón de que nuestro país, como miembro del GAFI, ha reconocido la conformación de empresas fantasma como técnica generalizada para realizar operaciones con recursos de procedencia ilícita; en este sentido se adiciona el supuesto de inclusión a la Lista de Personas Bloqueadas a aquellos contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación, lo anterior a efecto de prevenir la comisión de los delitos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de cumplir con el requerimiento de simplificación regulatoria para la emisión de la presente Resolución, se tomarán los ahorros generados en la «Resolución que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular», dictaminados por la Comisión Nacional de Mejora Regulatoria en el expediente CONAMER/21/3432, con un monto de $59,313,176.48 pesos.
RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIERE EL ARTÍCULO 124 DE LA LEY DE AHORRO Y CRÉDITO POPULAR.
ARTÍCULO ÚNICO .- Se REFORMAN la 2ª fracciones X y XVII; 4ª Bis primer, segundo, cuarto y sexto párrafos; 7ª segundo, cuarto y séptimo párrafos; 8ª; 14ª tercer párrafo; 17ª; 26ª segundo párrafo; 27ª cuarto y último párrafos; 29ª; 38ª primer párrafo; 40ª primer párrafo; 45ª primer párrafo; 50ª Bis primer y último párrafos; 51ª primer párrafo, fracciones I a III; 73ª segundo párrafo; Anexo 2 artículos 1, 2 y 4; se ADICIONA la 2ª fracciones XXIII Bis y XXVII Bis; 4ª Bis tercer y sexto párrafos recorriéndose los demás en su orden; 14ª cuarto y quinto párrafos recorriéndose los demás en su orden; 15ª quinto, sexto y séptimo párrafos; 26ª tercer y cuarto párrafos; 27ª quinto párrafo recorriéndose los demás en su orden; 38ª último párrafo; 74ª primer párrafo, fracción VII; 77ª primer párrafo, fracción V; Anexo 2 Capítulo I «Objeto», Capítulo II «Umbrales para la identificación no presencial», Capítulo III «Mecanismos Tecnológicos de Identificación», Capítulo IV
«Requisitos» y Capítulo V «Otras disposiciones», recorriéndose los artículos en su orden, y se DEROGA la 4ª Bis tercer párrafo; 18ª Bis; Anexo 2 artículo 3, todas ellas de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, para quedar como sigue:
2ª.- …
I. a IX. …
X. Dispositivo, al equipo que permite acceder a la red mundial denominada Internet, utilizado para abrir cuentas, celebrar contratos, o realizar Operaciones a través de páginas de Internet o aplicaciones móviles, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.
No se considerarán Dispositivos aquellos que:
a) Sean propiedad de las Entidades.
b) Se encuentren en control de las Entidades.
c) Sean otorgados bajo controles adicionales por las Entidades a sus Clientes para que puedan realizar Operaciones, o
d) Se encuentren instalados en las sucursales de las propias Entidades o en sitios públicos, cumpliendo con la regulación respectiva para que los Clientes puedan celebrar contratos o realizar Operaciones;
XI. a XVI. …
XVII. Geolocalización, a la ubicación geográfica del Dispositivo utilizado para abrir cuentas, celebrar contratos o realizar Operaciones no presenciales, la cual consiste en obtener las coordenadas geográficas de latitud y longitud a través del sistema de posicionamiento global (GPS) en que se encuentre el Dispositivo.
En caso de que los Clientes abran cuentas, celebren contratos o realicen Operaciones no presenciales desde un Dispositivo que, por sus características, no pueda proporcionar las coordenadas geográficas de latitud y longitud a través del GPS, las Entidades deberán obtener las coordenadas geográficas de latitud y longitud basadas en el emparejamiento de la dirección de protocolo de Internet que proporcione el Dispositivo del Cliente con una ubicación geográfica, para la obtención aproximada de dichas coordenadas.
Las coordenadas geográficas de latitud y longitud obtenidas a través del GPS o basadas en el emparejamiento de la dirección de protocolo de Internet deberán obtenerse previo consentimiento del Cliente en términos de la regulación que en materia de protección de datos resulte aplicable;
XVIII. a XXIII. …
XXIII Bis. Mecanismo Tecnológico de Identificación, a alguno de los procedimientos a que se refiere el Anexo 2, a través de los cuales las Entidades lleven a cabo el cotejo del documento válido de identificación y la aplicación de pruebas de vida;
XXIV. a XXVII. …
XXVII. Bis. Oficial de Cumplimiento Interino, a la persona a que se refiere la 50ª Bis de las presentes Disposiciones;
XXVIII. a XXXIX. …
4ª Bis.- Las Entidades que reciban aportaciones al capital social de la misma, abran una cuenta o celebren un contrato a través de Dispositivos de forma no presencial a Clientes personas físicas o morales, ambas de nacionalidad mexicana, conforme a lo establecido en el Anexo 2 de las presentes Disposiciones, además de los datos de identificación a que se refiere la 4ª de las presentes Disposiciones, según sea el caso, deberán requerir y obtener de sus Clientes la Geolocalización del Dispositivo desde el cual estos abran la cuenta o celebren el contrato, así como:
I. Tratándose de Clientes personas físicas que declaren a la Entidad ser de nacionalidad mexicana:
a) Se deroga.
b) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada. Dicho consentimiento hará prueba para acreditar legalmente la apertura de la cuenta o celebración del contrato que realice con la Entidad de forma no presencial.
c) …
d) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con el nombre a que se refiere la 4ª, fracción I de las presentes Disposiciones.
e) La manifestación de la persona física en la que señale que actúa por cuenta propia. Dicha manifestación podrá establecerse en los Términos y Condiciones que al efecto establezca la Entidad.
f) La versión digital del documento válido de identificación personal oficial vigente de donde provengan los datos referidos en la presente Disposición.
g) La versión digital del comprobante de domicilio que podrá ser alguno de los señalados en el inciso b), numeral iii. de la fracción I de la 4ª de las presentes Disposiciones.
No obstante, cuando el domicilio manifestado coincida con el de la credencial para votar del Cliente expedida por autoridad mexicana, en caso de que se haya identificado con la misma, esta funcionará como el comprobante de domicilio a que se refiere el presente inciso.
II. Tratándose de Clientes que sean personas morales de nacionalidad mexicana:
a) Correo electrónico.
b) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con la denominación o razón social a que se refiere la 4ª, fracción II de las presentes Disposiciones.
c) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada del representante legal. Dicho consentimiento hará prueba para acreditar legalmente la apertura de la cuenta o celebración del contrato que realice con la Entidad de forma no presencial.
d) La información a que se refiere la 4ª, fracción II, inciso c) y fracción VI de las presentes Disposiciones.
e) La versión digital de los documentos de identificación a que se refiere la 4ª, fracción II, inciso b) de las presentes Disposiciones, con excepción de los señalados en el numeral ii del mismo inciso.
Las Entidades no deberán llevar a cabo la recepción de aportaciones al capital social de las mismas, la apertura de la cuenta o la celebración del contrato de forma no presencial, cuando no recaben el dato relativo a la Geolocalización.
Las Entidades no estarán obligadas a recabar el dato relativo a la Geolocalización tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 27ª de estas Disposiciones.
Párrafo derogado.
Se entenderá como documento válido de identificación personal oficial vigente para el cumplimiento de la presente Disposición, la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, el pasaporte y el certificado de matrícula consular.
La versión digital del documento válido de identificación personal oficial vigente que las Entidades recaben para efectos de identificación deberá permitir su verificación en términos de las presentes Disposiciones.
Adicionalmente, las versiones digitales de los documentos que las Entidades recaben deberán conservarse en sus Archivos o Registros conforme a las presentes Disposiciones. Las Entidades deberán conservar los documentos de conformidad con la norma oficial mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.
7ª.- …
Tratándose de aportaciones al capital social de las mismas, cuentas abiertas o contratos celebrados conforme a la 4ª Bis de estas Disposiciones, en sustitución de la entrevista a que se refiere el párrafo anterior, las Entidades podrán establecer los Mecanismos Tecnológicos de Identificación a que se refiere el Anexo 2 de las presentes Disposiciones.
En lo relativo a las cuentas referidas en la 15ª de estas Disposiciones, las Entidades podrán llevar a cabo la recepción o captura de los datos de forma remota, en sustitución de la entrevista mencionada en el primer párrafo de esta disposición, siempre y cuando la Entidad de que se trate, verifique la autenticidad de los datos del Cliente, para lo cual deberán sujetarse al siguiente procedimiento:
La validación de los datos de identificación a que se refiere la presente Disposición podrá llevarse a cabo a través de procedimientos distintos a los señalados en el párrafo anterior, previa autorización de la Comisión, con opinión de la Secretaría.
8ª.- Las Entidades deberán conservar, como parte del expediente de identificación de cada uno de sus Clientes, los datos y documentos mencionados en las disposiciones del presente Capítulo, en su caso, el documento que contenga los resultados de la entrevista o de los Mecanismos Tecnológicos de Identificación a que se refiere la 7ª, según corresponda, el de las visitas a que se refiere la 23ª, en su caso, y el cuestionario previsto en la 27ª de las presentes Disposiciones.
14ª.- …
En el supuesto de que el nivel transaccional de cualquiera de los productos o servicios a que se refiere el primer párrafo de la presente Disposición sobrepase el monto máximo establecido por la Entidad para que sean considerados como de bajo riesgo, dicha Entidad deberá proceder a realizar la entrevista presencial o aplicar alguno de los Mecanismos Tecnológicos de Identificación a que se refiere la 7ª y Anexo 2, respectivamente, de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas.
Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar Operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no estarán obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
15ª.- …
En el supuesto de que el nivel transaccional de cualquiera de los productos o servicios a que se refiere el primer párrafo de la presente Disposición sobrepase el monto máximo establecido por la Entidad para que sean considerados como de bajo Riesgo, dicha Entidad deberá proceder a realizar la entrevista presencial o aplicar alguno de los Mecanismos Tecnológicos de Identificación a que se refiere la 7ª y Anexo 2, respectivamente, de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas.
Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar Operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no estarán obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
17ª.- Para la realización de Operaciones a través de medios electrónicos, ópticos o de cualquier otra tecnología, las Entidades deberán integrar previamente el expediente de identificación del Cliente de conformidad con lo establecido en estas Disposiciones, establecer mecanismos para identificar al mismo, así como desarrollar procedimientos para prevenir el uso indebido de dichos medios o tecnologías, los cuales deberán estar contenidos en su Manual de Cumplimiento o en algún otro documento o manual elaborado por la propia Entidad.
18ª Bis.- Se deroga.
26ª.- …
Tratándose de aquellas Operaciones realizadas de forma no presencial, además de los elementos para determinar el perfil transaccional del Cliente señalados en el párrafo anterior, la Entidad deberá tomar en
cuenta la Geolocalización del Dispositivo de donde se lleve a cabo dicha Operación.
La Geolocalización a que se refiere el párrafo anterior podrá amparar las diversas Operaciones que realice el Cliente en la sesión activa dentro de la página de Internet o aplicación móvil, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.
Las Entidades no estarán obligadas a tomar en cuenta el dato relativo a la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 27ª de estas Disposiciones.
27ª.- …
En el caso de aportaciones de capital social, apertura de cuentas o celebración de contratos de forma no presencial a que se refiere la 4ª Bis de las presentes Disposiciones, las Entidades deberán considerar la información de la Geolocalización del Dispositivo desde el cual el Cliente realice la Operación, actividad o servicio con la respectiva Entidad.
Las Entidades no estarán obligadas a considerar información de la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la presente Disposición.
Para determinar el Grado de Riesgo en el que deban ubicarse los Clientes, así como si deben considerarse Personas Políticamente Expuestas, cada una de las Entidades establecerá en su Manual de Cumplimiento los criterios conducentes a ese fin, que tomen en cuenta, entre otros aspectos, los antecedentes del Cliente, su profesión, actividad o giro del negocio, el origen y destino de sus recursos, el lugar de su residencia, Geolocalización, la metodología a que se refiere el Capítulo II Bis de las presentes Disposiciones y las demás circunstancias que determine la propia Entidad.
29ª.- Previamente a la apertura de cuentas o celebración de contratos de Clientes que, por sus características sean clasificados con un Grado de Riesgo alto por la Entidad, al menos un directivo o su equivalente que cuente con facultades específicas para aprobar la apertura o celebración de dichas cuentas o contratos, según corresponda, deberá otorgar por escrito, de forma digital o electrónica, la aprobación respectiva. Asimismo, para los efectos a que se refieren las fracciones IV y V de la 50ª de las presentes Disposiciones, las Entidades deberán prever en su Manual de Cumplimiento, los mecanismos para que sus respectivos Oficiales de Cumplimiento tengan conocimiento de aquellos Clientes que sean clasificados con un Grado de Riesgo alto por las propias Entidades, así como los procedimientos que se deberán llevar a cabo para tramitar la aprobación señalada en esta Disposición.
38ª.- Las Entidades deberán remitir mensualmente a la Secretaría, por conducto de la Comisión, a más tardar dentro de los quince días hábiles siguientes al último día hábil del mes inmediato anterior, un reporte por cada transferencia internacional de fondos que, en lo individual, haya recibido o enviado cualquiera de sus Clientes o Usuarios durante dicho mes, por un monto igual o superior a mil dólares de los Estados Unidos de América o su equivalente en moneda nacional o en la moneda extranjera en que se realice.
Para efectos del cálculo del importe de las Operaciones a su equivalente en moneda nacional, se considerará el tipo de cambio para solventar obligaciones denominadas en moneda extranjera pagaderas en la República Mexicana, que publique el Banco de México en el Diario Oficial de la Federación, el día hábil bancario inmediato anterior a la fecha en que se realice la Operación.
40ª.- Por cada Operación Inusual que detecte una Entidad, esta deberá remitir a la Secretaría, por
conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de los sesenta días naturales contados a partir de que se genere la alerta por medio de su sistema, modelo, proceso o por el empleado de la Entidad, lo que ocurra primero.
45ª.- Por cada Operación Interna Preocupante que detecte una Entidad, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que dicha Entidad detecte esa Operación, por medio de su sistema, modelo, proceso o de cualquier empleado de la misma, lo que ocurra primero.
50ª Bis.- El Comité de cada Entidad o bien, su consejo de administración o director general, podrá nombrar a un funcionario de la Entidad que interinamente ejercerá las funciones de Oficial de Cumplimiento, en el cumplimiento de sus obligaciones conforme a las presentes Disposiciones, hasta por noventa días naturales durante un año calendario, contados a partir de que el funcionario designado como Oficial de Cumplimiento deje, le sea revocado o se encuentre imposibilitado para realizar el encargo en cuestión.
El Oficial de Cumplimiento Interino deberá desempeñar las funciones y obligaciones señaladas en las presentes Disposiciones, hasta el momento en que se informe la revocación señalada en la fracción II de la 51ª de estas Disposiciones.
51ª.- …
I. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que se haya efectuado la designación correspondiente;
II. La revocación de la designación del Oficial de Cumplimiento u Oficial de Cumplimiento Interino que hubiere sido designado en términos de lo establecido tanto en la 50ª, como en la 50ª Bis de las presentes Disposiciones, según sea el caso, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido, ya sea por determinación de la Entidad, rechazo del encargo, por terminación laboral o imposibilidad, así como la demás información que se prevea en el formato señalado, y
III. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento en términos de lo establecido en la 50ª Bis de las presentes Disposiciones, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido.
73ª.- …
Las Entidades deberán adoptar e implementar mecanismos que permitan identificar a los Clientes o Usuarios que se encuentren dentro de la Lista de Personas Bloqueadas, así como cualquier tercero que actúe en nombre o por cuenta de los mismos, y aquellas Operaciones que hayan realizado, realicen o que pretendan realizar. Dichos mecanismos deberán estar previstos en el Manual de Cumplimiento de la propia Entidad.
74ª.- …
I. a VI. …
VII. Aquellas que aparezcan en la lista de contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación.
77ª.- …
I. a IV. …
V. Se encuentren en el supuesto del párrafo sexto del artículo 69-B del Código Fiscal de la Federación.
Anexo 2
Capítulo I «Objeto»
Artículo 1.- El presente Anexo tiene por objeto establecer las medidas y procedimientos mínimos que las Entidades deberán observar a efecto de dar cumplimiento a la 4ª Bis de las presentes Disposiciones, sin perjuicio del cumplimiento de las diversas obligaciones establecidas en las mismas.
Capítulo II «Umbrales para la identificación no presencial»
Artículo 2.- Las Entidades deberán observar los siguientes umbrales por tipo de Mecanismo Tecnológico de Identificación y producto sobre el cual estas soliciten autorización a la Comisión para efectos del cumplimiento de la 4ª Bis de estas Disposiciones:
I. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 4 del presente Anexo, para la realización o contratación de:
a) Las aportaciones de capital social y apertura de cuentas de depósito que ofrezcan las Entidades a solicitantes que sean personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, se deberá pactar en los contratos respectivos que la suma de los abonos en el transcurso de un mes calendario no exceda del equivalente en moneda nacional a 30,000 Unidades de Inversión.
En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido en el párrafo anterior, la Entidad deberá realizar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente, o realizar la entrevista presencial a que se refiere la 7ª de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no están obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
b) Los créditos al consumo que ofrezcan las Entidades a solicitantes personas físicas, así como créditos comerciales que se otorguen a personas físicas con actividad empresarial y personas morales, todos de nacionalidad mexicana, en ambos casos se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.
II. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 5 del presente Anexo:
a) Las aportaciones de capital social y apertura de cuentas de depósito que ofrezcan las Entidades a solicitantes que sean personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, se deberá pactar en los contratos respectivos que la suma de los abonos en el transcurso de un mes calendario no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.
En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido en el párrafo anterior, la Entidad deberá realizar la entrevista presencial a que se refiere el primer párrafo de la 7ª de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar Operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no estarán obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
b) Los créditos al consumo que ofrezcan las Entidades a solicitantes personas físicas, así como créditos comerciales que se otorguen a personas físicas con actividad empresarial y personas morales, todos de nacionalidad mexicana, en ambos casos se deberá pactar en los contratos respectivos que la línea de
crédito o monto otorgado no exceda del equivalente en moneda nacional a 100,000 Unidades de Inversión.
Las Entidades deberán tomar como valor de referencia de las Unidades de Inversión a que se refiere el presente artículo, aquel aplicable para el último día del mes calendario anterior a aquel en que se lleve a cabo el cómputo del nivel de contrato para el otorgamiento de crédito de que se trate.
Capítulo III «Mecanismos Tecnológicos de Identificación»
Artículo 3.- Las Entidades podrán optar por alguno o ambos de los Mecanismos Tecnológicos de Identificación que se señalan en los artículos 4 o 5 sujetos a los umbrales señalados en el artículo 2 de este Anexo.
Sin perjuicio de lo anterior, adicionalmente las Entidades podrán llevar a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo sujeto a los umbrales a que se refiere la fracción I del artículo 2 del presente Anexo.
Artículo 4.- Las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la apertura de cuenta o relación contractual.
Adicionalmente, durante el desarrollo del Mecanismo Tecnológico de Identificación a que se refiere el párrafo anterior las Entidades deberán observar lo siguiente:
a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.
b) Implementarlo través de herramientas automatizadas que permitan su grabación y posterior reproducción.
c) Verificar que la calidad de la imagen y sonido permita la plena identificación del solicitante, según los parámetros que establezcan las propias Entidades para tal efecto.
d) Requerir al solicitante que muestre el documento válido de identificación que envió junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, tanto por el lado anverso como por el reverso, verificando que contenga los mismos datos y fotografía que el documento válido de identificación previamente enviado.
e) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, asegurándose de que exista coincidencia entre su rostro y el del documento válido de identificación previamente enviado.
f) Realizar una prueba de vida al solicitante.
Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.
Artículo 5.- Las Entidades deberán verificar la coincidencia de la información biométrica del solicitante ya sea con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del solicitante, las Entidades deberán asegurarse de que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del solicitante, coincida, al menos, en un noventa por ciento con los registros de las bases de datos ya sea del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
Adicionalmente, las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia de la cuenta o contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la apertura de cuenta o relación contractual, y deberán observar los requisitos a que se refiere el artículo 4, párrafo segundo del presente Anexo. Para cumplir con el inciso c) será necesario verificar la calidad del sonido cuando resulte aplicable.
Artículo 6.- En caso de que el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, no puedan responder a las solicitudes de verificación de información biométrica a que se refiere el artículo 5 del presente
Anexo por fallas técnicas o de comunicación imputables a la autoridad mexicana correspondiente, las Entidades podrán, en caso de contar con la autorización correspondiente, llevar a cabo el Mecanismo Tecnológico de Identificación del artículo 4 del presente Anexo 2, sujetándose a los límites correspondientes.
En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido del Mecanismo Tecnológico de Identificación a que se refiere el artículo 4 del presente Anexo, la Entidad deberá realizar la entrevista presencial a que se refiere la 7ª de las presentes Disposiciones o aplicar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente de este último, e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Capítulo IV «Requisitos»
Artículo 7.- Adicionalmente, para efectos de lo establecido en el presente Anexo, las Entidades deberán:
I. Obtener previa autorización de la Comisión.
No será necesaria la autorización a que se refiere el párrafo anterior, cuando las Entidades se sujeten a los umbrales a que se refiere el artículo 2, fracción I del presente Anexo y lleven a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo. En este supuesto, las Entidades deberán informar de manera previa a la Comisión los productos y la fecha en la que empezarán a ofrecerlos, a través de los medios electrónicos que esta última señale.
Asimismo, las Entidades deberán observar lo establecido en las fracciones II a VII del presente artículo, así como los requisitos previstos en los artículos 8 y 9 del presente Anexo.
Las Entidades deberán conservar toda la información y documentación soporte, misma que deberá estar a disposición de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.
II. Requerir al solicitante que declare si ya es Cliente de la Entidad. En caso de que la declaratoria sea afirmativa, la Entidad deberá observar lo previsto en la fracción IV del presente artículo. Con independencia de la declaratoria del solicitante, la Entidad deberá completar su expediente de identificación de acuerdo con el producto que pretenda contratar.
III. Requerir al solicitante que haya declarado no ser Cliente de la Entidad el envío de un formulario a través del medio electrónico que la Entidad establezca al efecto, en el cual se deberán incluir, al menos, los datos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, así como la especificación del producto que se pretende contratar de los previstos en el artículo 2 del presente Anexo.
El formulario mencionado deberá incluir una manifestación que señale que su envío a la Entidad de que se trate constituye la aceptación del solicitante para que su imagen y, en su caso, su voz sean grabadas en alguno de los Mecanismos Tecnológicos de Identificación a que se refiere el Capítulo III de este Anexo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.
IV. En caso de que el solicitante declare ser Cliente de la Entidad, esta deberá verificar como mínimo los datos de nombre completo, número de Cliente y Clave Única del Registro de Población del Cliente, así como los demás datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un Cliente, y en caso de que así sea, la Entidad deberá autenticarlo con un factor de autenticación categoría 3 de acuerdo con las Disposiciones de carácter general aplicables a las entidades de ahorro y crédito popular, organismos de integración, sociedades financieras comunitarias y organismos de integración financiera rural, a que se refiere la Ley de Ahorro y Crédito Popular, emitidas por la Comisión o las que las sustituyan.
En caso de que la verificación a que se refiere el párrafo anterior sea exitosa, la Entidad podrá proceder a la contratación de los productos previstos en el artículo 2 de este Anexo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.
Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Entidad deberá observar los mismos requisitos previstos en el presente Anexo para los solicitantes que declaren no ser Clientes.
V. Si la Entidad corrobora que el solicitante no es su Cliente, conjuntamente con el formulario a que se
refiere la fracción III del presente artículo, deberá requerir al solicitante el envío de una fotografía a color de alguno de los documentos válidos de identificación, a que se refiere la 4ª Bis de las presentes Disposiciones, por el anverso y el reverso y verificar los elementos de seguridad, a fin de detectar si presentan alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.
Se deroga.
Se deroga.
Se deroga.
Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio Instituto o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar o, en su caso, el Código de Reconocimiento Óptico de Caracteres (OCR).
b) a d) …
Las Entidades deberán verificar que los apellidos paterno y materno y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de dicho documento de identificación.
Tratándose del pasaporte mexicano expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código de Reconocimiento Óptico de Caracteres (OCR).
b) Apellidos paterno y materno y nombre(s), tal como aparezcan en el pasaporte mexicano.
c) Número de Pasaporte.
En caso del certificado de matrícula consular expedido por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) Apellidos paterno y materno y nombre(s), tal como aparezcan en el certificado de matrícula consular.
b) Fecha de expedición y fecha de expiración.
c) Número del documento.
Adicionalmente, las Entidades deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en la 4ª Bis de las presentes Disposiciones.
VI. Informar al solicitante el procedimiento que se seguirá en el Mecanismo Tecnológico de Identificación que corresponda previstos en el Capítulo III del presente Anexo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante al inicio del Mecanismo Tecnológico de Identificación de que se trate.
Se deroga.
VII. Las Entidades deberán suspender el proceso de contratación del solicitante cuando se presente cualquiera de los casos siguientes:
a) La calidad de la imagen y, en su caso, la del sonido, no permitan realizar una identificación plena del solicitante.
b) El solicitante no presente el documento válido de identificación previamente enviado junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, los datos obtenidos de este no coincidan con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica respecto a dicho documento de identificación o, el resultado de la validación de los elementos de seguridad de los mencionados documentos o de las verificaciones biométricas del rostro del solicitante a que se refiere el artículo 5 anterior, no alcancen la efectividad o nivel
de fiabilidad a que hace referencia la fracción VII del artículo 9 del presente Anexo.
c) y d) …
e) Se presenten situaciones atípicas o riesgosas, o bien, la Entidad tenga dudas acerca de la autenticidad del documento válido de identificación o de la identidad del solicitante.
Se deroga.
En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Entidades deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Entidades en los controles previstos en estas Disposiciones.
Para el caso de Clientes o solicitantes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Entidades deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes que declaren no ser Clientes, el envío del formulario a que se refiere la fracción III de este artículo, deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada de la persona moral de que se trate.
La tecnología utilizada para los procedimientos a que se refiere el presente Anexo deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad.
Las Entidades podrán pactar durante el desarrollo del Mecanismo Tecnológico de Identificación para la celebración de los contratos de cuentas de depósito a que se refiere el presente Anexo, la contratación de los servicios electrónicos a que se refieren las disposiciones de carácter general a que se refiere la Ley asociados a tales cuentas, sin que puedan permitir que mediante los servicios contratados conforme a lo establecido en este artículo se instruya la celebración de operaciones con cargo a otras cuentas del mismo Cliente. La anterior prohibición no será aplicable cuando el Cliente acuda a las oficinas a realizar la contratación de los servicios electrónicos.
Se deroga.
Se deroga.
Se deroga.
Artículo 8.- Las Entidades deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el artículo 7 del presente Anexo, los cuales garanticen la integridad, de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.
Las Entidades podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, cuando se muestre alguno de los documentos válidos de identificación y se realice el reconocimiento facial del solicitante, las cuales deberán ser aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
Capítulo V «Otras disposiciones»
Se deroga.
Artículo 9 – Las Entidades, al solicitar la autorización a que se refiere el artículo 7 deberán presentar lo siguiente:
I. Descripción detallada del proceso de identificación no presencial, así como la Infraestructura Tecnológica utilizada en cada parte de este, especificando la función de cada componente de dicha infraestructura, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
Asimismo, las Entidades deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hyper Text Transfer Protocol Secure, o Transport Layer Security versión 1.2 o superior.
III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado para la conservación de la versión digital de alguno de los documentos válidos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.
IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.
Se deroga.
V. Información detallada sobre si las imágenes de los documentos válidos de identificación, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Entidad, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
VI. Evidencia de que los medios de verificación de la validez de los documentos de identificación tienen la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Entidades.
VII. En su caso, evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen.
Dichas pruebas deben ser realizadas conforme a los umbrales establecidos por la Entidad, los cuales deberán contemplar los resultados de estas pruebas, y los ajustes del motor de validación derivado de ellos. Las Entidades deberán acompañar a su solicitud de autorización evidencias de todo lo anterior.
IX. Los estándares de calidad de la imagen y, en su caso, de sonido.
X. En su caso, la descripción técnica de los factores de autenticación categoría 3 que se requerirá para corroborar que un solicitante es Cliente de la Entidad, conforme a lo previsto en el artículo 7 del presente Anexo, así como las características del código de un solo uso.
XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.
XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Anexo.
XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.
XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.
XV. Políticas y procedimientos de gestión de incidentes de seguridad de la información.
XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VII del artículo 7 del presente Anexo.
XVII. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.
Las Entidades deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XVII del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el artículo 7 del presente Anexo.
Será responsabilidad de las Entidades que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.
Cuando las Entidades pretendan modificar alguno de los procedimientos que tengan autorizados para dar cumplimiento al artículo 4 o artículo 5, según corresponda, del presente Anexo, requerirán de la previa autorización de la Comisión.
Artículo 10.- Los procedimientos establecidos en los artículos 4 o 5 del presente Anexo son independientes de los utilizados en las contrataciones y operaciones que las Entidades realicen con sus Clientes en términos del Capítulo VIII del Título Cuarto de las Disposiciones de carácter general aplicables a las entidades de ahorro y crédito popular, organismos de integración, sociedades financieras comunitarias, y organismos de integración financiera rural, a que se refiere la Ley de Ahorro y Crédito Popular emitidas por la Comisión o las que las sustituyan.
Disposiciones Transitorias
Primera. – La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación salvo por lo previsto en las siguientes Disposiciones Transitorias.
Segunda. – Los lineamientos, interpretaciones y criterios emitidos por la Secretaría o por la Comisión, con fundamento en lo dispuesto en la Resolución del 31 de diciembre de 2014 y Resoluciones subsecuentes mediante las que hayan sido adicionadas o reformadas las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, seguirán siendo aplicables en lo que no se opongan a lo establecido en la presente Resolución.
Tercera.- Las sociedades financieras populares, sociedades financieras comunitarias con niveles de operación I a IV y organismos de integración financiera rural, que hayan obtenido la aprobación de la Comisión a los mecanismos de identificación no presencial en términos del Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de doce meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de autorización en apego al artículo 7, fracción I del Anexo2 que se reforma con el presente instrumento.
La autorización a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión resuelva sobre la solicitud de autorización que las sociedades financieras populares, sociedades financieras comunitarias, con niveles de operación I a IV y organismos de integración financiera rural, hayan presentado ante la propia Comisión conforme a lo indicado por el Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 124 de la Ley de Ahorro y Crédito Popular, que se reforman con esta Resolución.
Cuarta.- Las Entidades que hayan optado por implementar, con carácter temporal, la facilidad administrativa contenida en los oficios números P294/2020 y P311/2020 del 17 de abril y 6 de mayo, ambos del 2020, respectivamente, emitidos por la Comisión, al amparo del CUARTO del ACUERDO por el que se establecen las medidas temporales y extraordinarias y se suspenden algunos plazos para la atención de las entidades financieras y personas sujetas a supervisión de la Comisión Nacional Bancaria y de Valores, a causa del coronavirus denominado COVID-19, publicado en el Diario Oficial de la Federación el 26 de marzo de 2020, podrán continuar aplicándola por el plazo que la Comisión les dé a conocer mediante oficio.
Lo anterior, sin perjuicio de que dicha Comisión pueda modificar las referidas facilidades administrativas, por virtud de la entrada en vigor de la presente Resolución.
Quinta. – Las Entidades deberán dar cumplimiento a las obligaciones contenidas en la presente Resolución, en los términos y de conformidad con los plazos que se señalan a continuación:
I. Cuatro meses contados a partir de la entrada en vigor de la presente Resolución para modificar el Manual de Cumplimiento y presentarlo a la Comisión.
II. Nueve meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para modificar la metodología a que hace referencia el Capítulo II Bis de las Disposiciones.
III. Dieciocho meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para actualizar los sistemas automatizados a que se refiere la 54ª de las Disposiciones.
Sexta.- En caso de que las Entidades actualicen el supuesto previsto en el artículo 7, fracción I párrafo segundo del Anexo 2 que se reforma con la presente Resolución, deberán informar a través del correo electrónico prevencion.lavado@cnbv.gob.mx, mediante escrito libre dirigido a las Direcciones Generales de Prevención de Operaciones con Recursos de Procedencia Ilícita A y B de la Comisión, la situación prevista en dicho artículo, en tanto la Comisión establezca los medios electrónicos idóneos para que las Entidades cumplan con lo previsto en dicho artículo.
Séptima.- Aquellas referencias de beneficiario final que se encuentren previstas en otro marco normativo,
lineamientos o guías emitidas por las autoridades competentes en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo distinto a las presentes Disposiciones, así como en las bases de datos públicas de consulta a cargo de las autoridades competentes, las Entidades podrán equipararlo al término definido de Propietario Real a que se refiere las presentes Disposiciones.
Ciudad de México, a 25 de agosto de 2021.- El Secretario de Hacienda y Crédito Público, Rogelio Eduardo Ramírez de la O.- Rúbrica.