RESOLUCIÓN que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión |
Jueves 09 de Septiembre de 2021 |
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.
RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIERE EL ARTÍCULO 91 DE LA LEY DE FONDOS DE INVERSIÓN
ROGELIO EDUARDO RAMÍREZ DE LA O, Secretario de Hacienda y Crédito Público, con fundamento en lo dispuesto por los artículos 31, fracciones VII y XXXII, de la Ley Orgánica de la Administración Pública Federal; 91 de la Ley de Fondos de Inversión, en ejercicio de las atribuciones que me confiere el artículo 6º, fracción XXXIV, del Reglamento Interior de la Secretaría de Hacienda y Crédito Público, y contando con la previa opinión de la Comisión Nacional Bancaria y de Valores emitida mediante oficio número VSPP-220/10030526/2021 de fecha 29 de julio de 2021; y
CONSIDERANDO
Que desde el año 2000 México es miembro de pleno derecho del Grupo de Acción Financiera (GAFI), organismo intergubernamental que fija los estándares internacionales en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 22 de julio de 2019, la Secretaría de Hacienda y Crédito Público publicó en el Diario Oficial de la Federación diversas modificaciones a las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, con el objeto de atender las recomendaciones del GAFI y establecer un régimen de identificación no presencial, otorgando con ello la posibilidad a las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión de llevar a cabo la identificación del cliente a través de una videoconferencia en tiempo real y en línea, así como la obligación de las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión para obtener la geolocalización de sus clientes, definida esta como las coordenadas geográficas de latitud y longitud en que se encuentre el dispositivo a través del cual sus clientes celebren operaciones; lo cual resultó en un robustecimiento a la metodología de evaluación de riesgos para que dichas entidades evalúen sus riesgos de ser utilizadas para llevar a cabo operaciones con recursos de procedencia ilícita y financiamiento al terrorismo previo al uso de nuevas tecnologías.
Que el 6 de marzo de 2020, el GAFI publicó la Guía sobre Identificación Digital, resultando como parteaguas en el tema de tecnología financiera, mostrando los beneficios de la identidad digital en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, presentando a la tecnología financiera como una manera más confiable y segura para las entidades financieras al momento de llevar a cabo la identificación de sus clientes a través del uso de mecanismos como la prueba de vida, el uso de elementos biométricos y factores de autenticación, entre otros, que permitan la mitigación de riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 11 de marzo de 2020, la Organización Mundial de la Salud declaró la enfermedad por el virus SARS-CoV2 (COVID-19) como pandemia, haciendo un llamado a los países para que: (i) adopten medidas urgentes y agresivas para contener la propagación del virus, (ii) implementen un enfoque basado en la participación de todo el gobierno y de toda la sociedad, en torno a una estrategia integral dirigida a prevenir las infecciones, salvar vidas y reducir al mínimo sus efectos, y (iii) encuentren un delicado equilibrio entre la protección de la salud, la minimización de los trastornos sociales y económicos, y el respeto a los derechos humanos.
Que el 24 de marzo de 2020, la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen las medidas preventivas que se deberán implementar para la mitigación y control de los riesgos para la salud que implica la enfermedad por el virus SARS-CoV2 (COVID-19)", el cual establece en su Artículo Segundo, inciso c) "Suspender temporalmente las actividades de los sectores público, social y privado que involucren la concentración física, tránsito o desplazamiento de personas a partir de la entrada en vigor de este Acuerdo y hasta el 19 de abril del 2020".
Que el 31 de marzo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2", el cual, en su artículo Primero, fracción I, ordena la suspensión inmediata, del 30 de marzo al 30 de abril de 2020, de las actividades no esenciales, con la finalidad de mitigar la dispersión y transmisión del virus SARS-CoV2 en la comunidad.
Que mediante el "Acuerdo por el que se modifica el similar por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2, publicado el 31 de marzo de 2020", publicado el 21 de abril de 2020 en el Diario Oficial de la Federación, la Secretaría de Salud resolvió necesario mantener y extender la Jornada Nacional de Sana Distancia hasta el 30 de mayo de 2020, así como asegurar la adecuada implementación y cumplimiento de las medidas de seguridad sanitaria.
Que el 15 de mayo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se modifica el diverso por el que se establece una estrategia para la reapertura de las actividades sociales, educativas y económicas, así como un sistema de semáforo por regiones para evaluar semanalmente el riesgo epidemiológico relacionado con la reapertura de actividades en cada entidad federativa, así como se establecen acciones extraordinarias, publicado el 14 de mayo de 2020" con el objetivo de establecer un mecanismo que involucre a los sectores público, social y privado para retomar las actividades bajo protocolos de seguridad sanitaria, que garanticen tanto a sus trabajadores, como al público en general que se está cumpliendo con estándares que reducen los riesgos asociados al SARS-CoV2.
Que en ese sentido y particularmente por lo que respecta al sistema financiero, hubo un cierre masivo de sucursales de diversas entidades financieras, en cumplimiento a las medidas sanitarias declaradas por el Gobierno Federal por el periodo que se encuentre vigente la contingencia por el COVID-19; lo cual se tradujo en uno de los principales retos para garantizar la continuidad del ofrecimiento y la prestación de servicios financieros al público en general atendiendo a la nueva normalidad, sin descuidar y menoscabar el régimen de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que el 1 de abril de 2020, el GAFI emitió un comunicado en relación a la emergencia sanitaria generada por el COVID-19 y las medidas para combatir el financiamiento ilícito, haciendo un llamado para que (i) los países exploren el uso apropiado de medidas de identificación simplificada y la identificación digital para facilitar las operaciones financieras mientras se mitigan los riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, y (ii) los reguladores, supervisores y demás autoridades involucradas en la materia, brinden la asistencia necesaria al sector privado respecto a cómo será aplicada la regulación en la materia durante la actual crisis sanitaria.
Que, aun y cuando actualmente las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión, cuentan desde julio de 2019 con un régimen de identificación no presencial, no resultó suficiente para atender las necesidades del público en general para celebrar contratos y, a su vez, mitigar los riesgos en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que en ese sentido y con base en la Guía de Identificación Digital del GAFI, así como en cumplimiento a las Recomendaciones 10 y 15 de dicho grupo, resulta necesario, al igual que con otros participantes regulados en la materia, en primer lugar, reconocer la posibilidad legal de que las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión puedan cumplir con sus obligaciones en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a través del uso de nuevas tecnologías, desde luego con la responsabilidad de que cumplan con las normas aplicables al efecto para que tengan el valor que en derecho corresponde.
Que en adición a lo anterior y a efecto de dar seguridad jurídica a las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión en el cumplimiento de la obligación de obtención de la geolocalización en operaciones no presenciales, prevista en la Resolución que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, publicada en el Diario Oficial de la Federación el 22 de julio de 2019 (Resolución 2019), se aclara su alcance y definición y se establece un nuevo plazo para dar cumplimiento a la obtención de las coordenadas geográficas de latitud y longitud cuando estas se encuentren basadas en el emparejamiento de la dirección de protocolo de Internet del dispositivo desde el cual los clientes celebren operaciones no presenciales con las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión, dejando sin efectos el plazo previsto en la fracción IV de la Tercera Disposición Transitoria de la Resolución 2019 para este supuesto en particular.
Que, en apego a la Recomendación 10 del GAFI que permite la aplicación de medidas simplificadas con base en un enfoque basado en riesgo, se considera relevante aumentar el nivel transaccional para los contratos de identificación simplificada considerados de bajo riesgo que ofrezcan las sociedades operadoras de fondos de inversión y distribuidoras de acciones de fondos de inversión.
Que, adicionalmente, en apego a la Recomendación 4 del GAFI y al contenido del Informe de Evaluación Mutua, emitido por dicho organismo intergubernamental, en enero de 2018, resulta necesario fortalecer el marco legal respecto a la conformación de la Lista de Personas Bloqueadas, en razón de que nuestro país, como miembro del GAFI, ha reconocido la conformación de empresas fantasma como técnica generalizada para realizar operaciones con recursos de procedencia ilícita; en este sentido se adiciona el supuesto de inclusión a la Lista de Personas Bloqueadas a aquellos contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación, lo anterior a efecto de prevenir la comisión de los delitos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de cumplir con el requerimiento de simplificación regulatoria para la emisión de la presente Resolución, se tomarán los ahorros generados en la "Resolución que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, dictaminados por la Comisión Nacional de Mejora Regulatoria en el expediente CONAMER/21/3586, con un monto de $1,462,095,506.69 pesos.
RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIERE EL ARTÍCULO 91 DE LA LEY DE FONDOS DE INVERSIÓN
ARTÍCULO ÚNICO.- Se REFORMAN la 1ª, último párrafo; 2ª, fracciones VIII y XIV; 4ª Bis primer, segundo, cuarto y sexto párrafos; 6ª, segundo párrafo; 7ª; 12ª, primer y cuarto párrafos; 13ª; 20ª segundo párrafo; 21ª, cuarto y último párrafos; 23ª; 31ª primer párrafo; 36ª primer párrafo; 41ª Bis primer y último párrafos; 43ª primer párrafo fracciones I a III; 63ª segundo párrafo; el Anexo 2 artículo 1, 2 y 4; se ADICIONAN la 2ª fracciones XX Bis y XXIV Bis; 4ª Bis tercer y sexto párrafos recorriéndose los demás en su orden; 6ª, quinto y sexto párrafos; 12ª, segundo, quinto y sexto párrafos recorriéndose los demás en su orden; 20ª tercer y cuarto párrafos; 21ª quinto párrafo recorriéndose los demás en su orden, 64ª primer párrafo, fracción VII; 67ª primer párrafo, fracción V; Anexo 2 Capítulo I “Objeto”, Capítulo II “Umbrales para la identificación no presencial”, Capítulo III “Mecanismos Tecnológicos de Identificación”, Capítulo IV “Requisitos” y Capítulo V “Otras disposiciones”, recorriéndose los artículos en su orden; y se DEROGAN la 4ª Bis tercer párrafo; 12ª, segundo párrafo; Anexo 2 artículo 3, todas ellas de las Disposiciones de carácter general a que se refiere artículo 91 de la Ley de Fondos de Inversión, para quedar como sigue:
1ª.- ...
...
Respecto de las actividades a que se refieren la fracción V, del artículo 39 Bis y el último párrafo del artículo 40 Bis de la Ley, las Entidades no estarán obligadas a cumplir con lo dispuesto en los Capítulos IV, y XIII, las fracciones II, III, IV, VIII y IX de la 46ª y el segundo párrafo de la 20ª de las presentes Disposiciones, así como con aquellas obligaciones respecto a las Cuentas Concentradoras, además de aquellas derivadas de las mismas conforme a las presentes Disposiciones.
2ª.- ...
I. a VII. ...
VIII. Dispositivo, al equipo que permite acceder a la red mundial denominada Internet, utilizado para celebrar contratos o realizar Operaciones a través de páginas de Internet o aplicaciones móviles, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.
No se considerarán Dispositivos aquellos que:
a) Sean propiedad de las Entidades.
b) Se encuentren en control de las Entidades.
c) Sean otorgados bajo controles adicionales por las Entidades a sus Clientes para que puedan realizar Operaciones, o
d) Se encuentren instalados en las sucursales de las propias Entidades o en sitios públicos, cumpliendo con la regulación respectiva para que los Clientes puedan celebrar contratos o realizar Operaciones;
IX. a XIII. ...
XIV. Geolocalización, a la ubicación geográfica del Dispositivo utilizado para celebrar contratos o realicen Operaciones no presenciales, la cual consiste en obtener las coordenadas geográficas de latitud y longitud a través del sistema de posicionamiento global (GPS) en que se encuentre el Dispositivo.
En caso de que los Clientes celebren contratos o realicen Operaciones no presenciales desde un Dispositivo que, por sus características, no pueda proporcionar las coordenadas geográficas de latitud y longitud a través del GPS, las Entidades deberán obtener las coordenadas geográficas de latitud y longitud basadas en el emparejamiento de la dirección de protocolo de Internet que proporcione el Dispositivo del Cliente con una ubicación geográfica, para la obtención aproximada de dichas coordenadas.
Las coordenadas geográficas de latitud y longitud obtenidas a través del GPS o basadas en el emparejamiento de la dirección de protocolo de Internet deberán obtenerse previo consentimiento del Cliente en términos de la regulación que en materia de protección de datos resulte aplicable;
XV. a XX. ...
XX. Bis. Mecanismo Tecnológico de Identificación, a alguno de los procedimientos a que se refiere el Anexo 2, a través de los cuales las Entidades lleven a cabo el cotejo del documento válido de identificación y la aplicación de pruebas de vida;
XXI. a XXIV. ...
XXIV. Bis. Oficial de Cumplimiento Interino, a la persona a que se refiere la 41ª Bis de las presentes Disposiciones;
XXV. a XXXV. ...
4ª Bis.- Las Entidades que celebren un contrato a través de Dispositivos de forma no presencial con Clientes personas físicas o morales, ambas de nacionalidad mexicana, de acuerdo con lo establecido en el Anexo 2 de las presentes Disposiciones, además de los datos de identificación a que se refiere la 4ª de las presentes Disposiciones, según sea el caso, deberán requerir y obtener de sus Clientes la Geolocalización del Dispositivo desde el cual estos celebren el contrato, así como:
I. Tratándose de Clientes personas físicas que declaren a la Entidad ser de nacionalidad mexicana:
a) Se deroga.
b) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada. Dicho consentimiento hará prueba para acreditar legalmente la celebración del contrato que realice con la Entidad de forma no presencial.
c) ...
d) Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con el nombre a que se refiere la 4ª, fracción I de las presentes Disposiciones.
e) La manifestación de la persona física en la que señale que actúa por cuenta propia. Dicha manifestación podrá establecerse en los Términos y Condiciones que al efecto establezca la Entidad.
f) La versión digital del documento válido de identificación personal oficial vigente de donde provengan los datos referidos en la presente Disposición.
g) La versión digital del comprobante de domicilio que podrá ser alguno de los señalados en el inciso b), numeral iii. de la fracción I de la 4ª de las presentes Disposiciones.
No obstante, cuando el domicilio manifestado coincida con el de la credencial para votar del Cliente expedida por autoridad mexicana, en caso de que se haya identificado con la misma, esta funcionará como el comprobante de domicilio a que se refiere el presente inciso.
II. Tratándose de Clientes que sean personas morales de nacionalidad mexicana:
a) Correo electrónico.
b) Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con la denominación o razón social a que se refiere la 4ª, fracción II de las presentes Disposiciones.
c) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada, del representante legal. Dicho consentimiento hará prueba para acreditar legalmente la celebración del contrato que realice con la Entidad de forma no presencial.
d) La información a que se refiere la 4ª, fracción II, inciso c) y fracción VI de las presentes Disposiciones.
e) La versión digital de los documentos de identificación a que se refiere la 4ª, fracción II, inciso b) de las presentes Disposiciones, con excepción de los señalados en el numeral ii del mismo inciso.
Las Entidades no deberán llevar a cabo celebración del contrato de forma no presencial cuando no recaben el dato relativo a la Geolocalización.
Las Entidades no estarán obligadas a recabar el dato relativo a la Geolocalización tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 21ª de estas Disposiciones.
Párrafo derogado.
Se entenderá como documento válido de identificación personal oficial vigente para el cumplimiento de la presente Disposición, a la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, el pasaporte y el certificado de matrícula consular.
...
La versión digital del documento válido de identificación personal oficial vigente que las Entidades recaben para efectos de identificación deberá permitir su verificación en términos de las presentes Disposiciones.
Adicionalmente, las versiones digitales de los documentos que las Entidades recaben deberán conservarse en sus Archivos o Registros conforme a las presentes Disposiciones. Las Entidades deberán conservar los documentos de conformidad con la norma oficial mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.
...
6ª.- ...
Tratándose de contratos celebrados conforme a la 4ª Bis de estas Disposiciones, en sustitución de la entrevista a que se refiere el párrafo anterior, las Entidades podrán establecer los Mecanismos Tecnológicos de Identificación a que se refiere el Anexo 2 de las presentes Disposiciones.
...
...
En lo relativo a los contratos de bajo Riesgo referidos en la 12ª de estas Disposiciones, las Entidades podrán llevar a cabo la recepción o captura de los datos de forma remota, en sustitución de la entrevista mencionada en el primer párrafo de esta disposición, siempre y cuando la Entidad de que se trate, verifique la autenticidad de los datos del Cliente, para lo cual deberán, ya sea directamente o a través de un tercero, realizar una consulta al Registro Nacional de Población a fin de integrar la Clave Única del Registro de Población del Cliente y, validar que los datos proporcionados de manera remota por el mismo, con excepción del domicilio, coincidan con los registros existentes en las bases de datos de dicho Registro.
La validación de los datos de identificación a que se refiere la presente Disposición podrá llevarse a cabo a través de procedimientos distintos al señalado en el párrafo anterior, previa autorización de la Comisión, con opinión de la Secretaría.
7ª.- Las Entidades deberán conservar, como parte del expediente de identificación de cada uno de sus Clientes, los datos y documentos mencionados en las Disposiciones del presente Capítulo, en su caso, el documento que contenga los resultados de la entrevista o de los Mecanismos Tecnológicos de Identificación a que se refieren la 6ª y la 13ª, según corresponda, el de la visita a que se refiere la 17ª, en su caso, y el cuestionario previsto en la 21ª de las presentes Disposiciones.
12ª.- Para el caso de contratos en los que se pacte que la realización de Operaciones se encuentre limitada a niveles transaccionales inferiores a tres mil Unidades de Inversión por Cliente y por Entidad, en el transcurso de un mes calendario, las Entidades estarán obligadas a integrar los respectivos expedientes de identificación de sus Clientes, únicamente con los datos relativos al nombre completo, sin abreviaturas, fecha de nacimiento y domicilio de estos, compuesto por los elementos a que se refiere la 4ª de las presentes Disposiciones.
Respecto de los contratos celebrados de forma remota en términos de lo establecido en la 6ª, párrafo quinto de las Disposiciones, las Entidades deberán integrar los expedientes de identificación de sus Clientes con los datos relativos al nombre completo, sin abreviaturas, género, entidad federativa de nacimiento, fecha de nacimiento, así como domicilio de estos, compuesto por los elementos a que se refiere la 4ª de las presentes Disposiciones.
Se deroga.
...
En el supuesto de que se sobrepase el nivel transaccional establecido en el primer párrafo de la presente Disposición, las Entidades deberán proceder a realizar la entrevista presencial o aplicar alguno de los Mecanismos Tecnológicos de Identificación a que se refiere la 6ª y Anexo 2, respectivamente, de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas.
Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar Operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no están obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación, incluyendo aquellos importes relativos a los derechos patrimoniales del Cliente, que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
13ª.- Para la realización de Operaciones a través de medios electrónicos, ópticos o cualquier otra tecnología, las Entidades deberán integrar previamente el expediente de identificación del Cliente de conformidad con lo establecido en estas Disposiciones, establecer mecanismos para identificar al mismo, así como desarrollar procedimientos para prevenir el uso indebido de dichos medios o tecnologías, los cuales deberán estar contenidos en su Manual de Cumplimiento o en algún otro documento o manual elaborado por la propia Entidad.
20ª.- ...
Tratándose de aquellas Operaciones realizadas de forma no presencial, además de los elementos para determinar el perfil transaccional del Cliente señalados en el párrafo anterior, la Entidad deberá tomar en cuenta la Geolocalización del Dispositivo de donde se lleve a cabo dicha Operación.
La Geolocalización a que se refiere el párrafo anterior podrá amparar las diversas Operaciones que realice el Cliente en la sesión activa dentro de la página de Internet o aplicación móvil, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.
Las Entidades no estarán obligadas a tomar en cuenta el dato relativo a la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 21ª de estas Disposiciones.
21ª.- ...
...
...
En el caso de celebración de contratos de forma no presencial a que se refiere la 4ª Bis de las presentes Disposiciones, las Entidades deberán considerar la información de la Geolocalización, del Dispositivo desde el cual el Cliente realice la Operación, actividad o servicio con la respectiva Entidad.
Las Entidades no estarán obligadas a considerar información de la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la presente Disposición.
...
...
...
...
Para determinar el Grado de Riesgo en el que deban ubicarse los Clientes, así como si deben considerarse Personas Políticamente Expuestas, cada una de las Entidades establecerá en su Manual de Cumplimiento los criterios conducentes para ese fin, que tomen en cuenta, entre otros aspectos, los antecedentes del Cliente, su profesión, actividad o giro del negocio, el origen y destino de sus recursos, el lugar de su residencia, Geolocalización, la metodología a que se refiere el Capítulo II Bis de las presentes Disposiciones y las demás circunstancias que determine la propia Entidad.
23ª.- Previamente a la celebración de contratos con Clientes que, por sus características sean clasificados con un Grado de Riesgo alto por la Entidad, al menos un directivo o su equivalente que cuente con facultades específicas para aprobar la celebración de dichos contratos, deberá otorgar, por escrito, de forma digital o electrónica, la aprobación respectiva. Asimismo, para los efectos a que se refieren las fracciones IV y V de la 41ª, así como las fracciones IV y X de la 42ª de las presentes Disposiciones, según sea el caso, las Entidades deberán prever en su Manual de Cumplimiento, los mecanismos para que sus respectivos Oficiales de Cumplimiento o representantes a que se refiere la 42ª de las presentes Disposiciones, según sea el caso, tengan conocimiento de aquellos Clientes que sean clasificados con un Grado de Riesgo alto por las propias Entidades, así como los procedimientos que se deberán llevar a cabo para tramitar la aprobación señalada en esta Disposición.
31ª.- Por cada Operación Inusual que detecte una Entidad, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que se genere la alerta por medio de su sistema, modelo, proceso o por el empleado de la Entidad, lo que ocurra primero.
...
36ª.- Por cada Operación Interna Preocupante que detecte una Entidad, ésta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que dicha Entidad detecte esa Operación, por medio de su sistema, modelo, proceso o de cualquier empleado de la misma, lo que ocurra primero.
...
...
41ª Bis.- El Comité de cada Entidad o bien, su consejo de administración o director general, podrá nombrar a un funcionario de la Entidad que interinamente ejercerá las funciones de Oficial de Cumplimiento, en el cumplimiento de sus obligaciones conforme a las presentes Disposiciones, hasta por noventa días naturales durante un año calendario, contados a partir de que el funcionario designado como Oficial de Cumplimiento deje, le sea revocado o se encuentre imposibilitado para realizar el encargo en cuestión.
...
...
El Oficial de Cumplimiento Interino deberá desempeñar las funciones y obligaciones señaladas en las presentes Disposiciones, hasta el momento en que se informe la revocación señalada en la fracción II de la 43ª de estas Disposiciones.
43ª.- ...
I. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento o del representante a que se refiere la 42ª de las presentes Disposiciones, según sea el caso, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que se haya efectuado la designación correspondiente;
II. La revocación de la designación del Oficial de Cumplimiento, u Oficial de Cumplimiento Interino o del representante que hubiere sido designado en términos de lo establecido tanto en la 41ª, 41ª Bis y 42ª de las presentes Disposiciones, según sea el caso, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido, ya sea por determinación de la Entidad, rechazo del encargo, por terminación laboral o imposibilidad, así como la demás información que se prevea en el formato señalado, y
III. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento en términos de lo establecido en la 41ª Bis de las presentes Disposiciones, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido.
63ª.- ...
Las Entidades deberán adoptar e implementar mecanismos que permitan identificar a los Clientes que se encuentren dentro de la Lista de Personas Bloqueadas, así como cualquier tercero que actúe en nombre o por cuenta de los mismos, y aquellas Operaciones que hayan realizado, realicen o que pretendan realizar. Dichos mecanismos deberán estar previstos en el Manual de Cumplimiento de la propia Entidad.
64ª.- ...
I. a VI. ...
VII. Aquellas que aparezcan en la lista de contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación.
67ª.- ...
I. a IV. ...
V. Se encuentren en el supuesto del párrafo sexto del artículo 69-B del Código Fiscal de la Federación.
...
ANEXO 2
...
Capítulo I “Objeto”
Artículo 1.- El presente Anexo tiene por objeto establecer las medidas y procedimientos mínimos que las Entidades deberán observar a efecto de dar cumplimiento a la 4ª Bis de las presentes Disposiciones, sin perjuicio del cumplimiento de las diversas obligaciones establecidas en las mismas.
Capítulo II “Umbrales para la identificación no presencial”
Artículo 2.- Respecto al Mecanismo Tecnológico de Identificación previsto en el Artículo 4 del presente Anexo, en la celebración de contratos con solicitantes que sean personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, cuyos recursos provengan de una cuenta aperturada en una entidad financiera autorizada para ello, la suma de las Operaciones no deberá exceder del equivalente en moneda nacional a 30,000 Unidades de Inversión en el transcurso de un mes calendario.
En caso de que el nivel transaccional sobrepase el monto máximo establecido en el párrafo anterior, la Entidad deberá realizar el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo en caso de contar con la autorización correspondiente o realizar la entrevista presencial a que se refiere el primer párrafo de la 6ª de las presentes Disposiciones e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones hasta que se concluya con el proceso de identificación que corresponda.
Para determinar el nivel transaccional a que se refiere la presente disposición, las Entidades no estarán obligadas a considerar los importes relativos a intereses generados o cualquier otra bonificación, incluyendo aquellos importes relativos a los derechos patrimoniales del Cliente, que dichas Entidades otorguen por el uso o manejo de la cuenta respectiva que, en su caso, se efectúen en el período de que se trate.
Las Entidades deberán tomar como valor de referencia de las Unidades de Inversión a que se refiere el presente artículo, aquel aplicable para el último día del mes calendario anterior a aquel en que se lleve a cabo el cómputo del nivel transaccional de que se trate.
Capítulo III “Mecanismos Tecnológicos de Identificación”
Artículo 3.- Las Entidades podrán optar por alguno o ambos de los Mecanismos Tecnológicos de Identificación que se señalan en los artículos 4 o 5 sujetos a los umbrales señalados en el artículo 2 de este Anexo.
Sin perjuicio de lo anterior, adicionalmente las Entidades podrán llevar a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo sujeto a los umbrales a que se refiere el primer párrafo del artículo 2 del presente Anexo.
Artículo 4.- Las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia del contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la relación contractual.
Adicionalmente, durante el desarrollo del Mecanismo Tecnológico de Identificación a que se refiere el párrafo anterior, las Entidades deberán observar lo siguiente:
a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.
b) Implementarlo a través de herramientas automatizadas que permitan su grabación y posterior reproducción.
c) Verificar que la calidad de la imagen y sonido permita la plena identificación del solicitante, según los parámetros que establezcan las propias Entidades para tal efecto.
d) Requerir al solicitante que muestre el documento válido de identificación que envió junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, tanto por el lado anverso como por el reverso, verificando que contenga los mismos datos y fotografía que el documento válido de identificación previamente enviado.
e) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, asegurándose de que exista coincidencia entre su rostro y el del documento válido de identificación previamente enviado.
f) Realizar una prueba de vida al solicitante.
Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.
Artículo 5.- Las Entidades deberán verificar la coincidencia de la información biométrica del solicitante, ya sea con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del solicitante, las Entidades deberán asegurarse que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del solicitante coincida, al menos, en un noventa por ciento con los registros de las bases de datos ya sea del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.
Adicionalmente, las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia del contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la relación contractual, y deberán observar los requisitos a que se refiere el artículo 4, párrafo segundo del presente Anexo. Para cumplir con el inciso c) será necesario verificar la calidad del sonido cuando resulte aplicable.
Artículo 6.- En caso de que el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, no puedan responder a las solicitudes de verificación de información biométrica a que se refiere el artículo 5 del presente Anexo por fallas técnicas o de comunicación imputables a la autoridad mexicana correspondiente, las Entidades podrán, en caso de contar con la autorización correspondiente, llevar a cabo el Mecanismo Tecnológico de Identificación del artículo 4 del presente Anexo 2, sujetándose a los límites ahí establecidos.
En el supuesto de que el nivel transaccional sobrepase el monto máximo establecido del Mecanismo Tecnológico de Identificación a que se refiere el artículo 4 del presente Anexo, la Entidad deberá realizar la entrevista presencial a que se refiere la 6ª de las presentes Disposiciones o aplicar el Mecanismo Tecnológico de Identificación previsto en el artículo 5 de este Anexo, en caso de contar con la autorización correspondiente de este último, e integrar el expediente de identificación del Cliente respectivo con la totalidad de la información y documentación que corresponda, en términos de lo previsto en la 4ª o 4ª Bis de las presentes Disposiciones, así como cumplir con las diversas obligaciones establecidas en las mismas. Asimismo, las Entidades deberán informar a sus Clientes que no podrán realizar operaciones por encima del límite hasta que se concluya con el proceso de identificación que corresponda.
Capítulo IV “Requisitos”
Artículo 7.- Adicionalmente, para efectos de lo establecido en el presente Anexo, las Entidades deberán:
I. Obtener la previa autorización de la Comisión.
No será necesaria la autorización a que se refiere el párrafo anterior, cuando las Entidades se sujeten a los umbrales a que se refiere el primer párrafo del artículo 2 del presente Anexo y lleven a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo. En este supuesto, las Entidades deberán informar de manera previa a la Comisión los productos y la fecha en la que empezarán a ofrecerlos, a través de los medios electrónicos que esta última señale.
Asimismo, las Entidades deberán observar lo establecido en las fracciones II a VII del presente artículo, así como los requisitos previstos en los artículos 8 y 9 del presente Anexo.
Las Entidades deberán conservar toda la información y documentación soporte, misma que deberá estar a disposición de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.
II. Requerir al solicitante que declare si ya es Cliente de la Entidad. En caso de que la declaratoria sea afirmativa, la Entidad deberá observar lo previsto en la fracción IV del presente Artículo. Con independencia de la declaratoria del solicitante, la Entidad deberá completar su expediente de identificación de acuerdo con el producto que pretenda contratar.
III. Requerir al solicitante que haya declarado no ser Cliente de la Entidad el envío de un formulario a través del medio electrónico que la Entidad establezca al efecto, en el cual se deberán incluir, al menos, los datos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, así como la especificación del producto que se pretende contratar.
El formulario mencionado deberá incluir una manifestación que señale que su envío a la Entidad de que se trate constituye la aceptación del solicitante para que su imagen y, en su caso, su voz sean grabadas en alguno de los Mecanismos Tecnológicos de Identificación a que se refiere el Capítulo III de este Anexo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.
IV. En caso de que el solicitante declare ser Cliente de la Entidad, esta deberá verificar como mínimo los datos de nombre completo, número de Cliente y Clave Única del Registro de Población del Cliente, así como los demás datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un Cliente, y en caso de que así sea, la Entidad deberá autenticarlo con un factor de autenticación categoría 3.
Se entenderá como factor de autenticación categoría 3 a la información contenida, recibida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso. Dichos medios o dispositivos deberán ser proporcionados por las Entidades a sus Clientes y la información contenida, recibida o generada por ellos deberá cumplir con las características siguientes:
a) Contar con propiedades que impidan su duplicación o alteración.
b) Ser información dinámica que no podrá ser utilizada en más de una ocasión.
c) Tener una vigencia que no podrá exceder de dos minutos.
d) No ser conocida con anterioridad a su generación y a su uso por los funcionarios, empleados, representantes o comisionistas de la Entidad o por terceros.
En caso de que la verificación a que se refiere el primer párrafo de esta fracción sea exitosa, la Entidad podrá proceder a la contratación de los productos previstos en el Artículo 2 de este Anexo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.
Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Entidad deberá observar los mismos requisitos previstos en el presente Anexo para los solicitantes que declaren no ser Clientes.
V. Si la Entidad corrobora que el solicitante no es su Cliente, conjuntamente con el formulario a que se refiere la fracción III del presente artículo, deberá requerir al solicitante el envío de una fotografía a color de alguno de los documentos válidos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, por el anverso y el reverso y verificar los elementos de seguridad a fin de detectar si presentan alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.
Se deroga.
Se deroga.
...
Se deroga.
Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio Instituto o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar o, en su caso, el Código de Reconocimiento Óptico de Caracteres (OCR).
b) a d) ...
Las Entidades deberán verificar que los apellidos paterno y materno y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de dicho documento de identificación.
Tratándose del pasaporte mexicano expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) El Código de Reconocimiento Óptico de Caracteres (OCR).
b) Apellidos paterno y materno y nombre(s), tal como aparezcan en el pasaporte mexicano.
c) Número de Pasaporte.
En caso del certificado de matrícula consular expedido por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:
a) Apellidos paterno y materno y nombre(s), tal como aparezcan en el certificado de matrícula consular.
b) Fecha de expedición y fecha de expiración.
c) Número del documento.
Adicionalmente, las Entidades deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en la 4ª Bis de las presentes Disposiciones.
VI. Informar al solicitante el procedimiento que se seguirá en el Mecanismo Tecnológico de Identificación que corresponda previstos en el Capítulo III del presente Anexo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante al inicio del Mecanismo Tecnológico de Identificación de que se trate.
Se deroga.
VII. Las Entidades deberán suspender el proceso de contratación del solicitante cuando se presente cualquiera de los casos siguientes:
a) La calidad de la imagen y, en su caso, la del sonido, no permitan realizar una identificación plena del solicitante.
b) El solicitante no presente el documento válido de identificación previamente enviado junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica respecto a dicho documento de identificación o, el resultado de la validación de los elementos de seguridad de los mencionados documentos o de las verificaciones biométricas del rostro del solicitante a que se refiere el artículo 5 anterior, no alcancen la efectividad o nivel de fiabilidad a que hace referencia la fracción VII del artículo 9 del presente Anexo .
c) y d) ...
e) Se presenten situaciones atípicas o riesgosas, o bien, la Entidad tenga dudas acerca de la autenticidad del documento válido de identificación o de la identidad del solicitante.
Se deroga.
En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Entidades deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Entidades en los controles previstos en estas Disposiciones.
Para el caso de Clientes o solicitantes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Entidades deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes que declaren no ser Clientes, el envío del formulario a que se refiere la fracción III de este artículo, deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada de la persona moral de que se trate.
La tecnología utilizada para los procedimientos a que se refiere el presente Anexo deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Entidades.
Las Entidades podrán pactar durante el desarrollo del Mecanismo Tecnológico de Identificación para la celebración de los contratos a que se refiere el presente Anexo, la contratación de los servicios electrónicos asociados a tales productos, sin que puedan permitir que mediante los servicios contratados conforme a lo establecido en este artículo se instruya la celebración de operaciones con cargo a otros productos del mismo Cliente. La anterior prohibición no será aplicable cuando el Cliente acuda a las oficinas a realizar la contratación de los servicios electrónicos.
Se deroga.
Artículo 8.- Las Entidades deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el artículo 7 del presente Anexo, los cuales garanticen la integridad, de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.
Las Entidades podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, cuando se muestre alguno de los documentos válidos de identificación y se realice el reconocimiento facial del solicitante, las cuales deberán ser aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
Capítulo V “Otras disposiciones”
Se deroga.
Artículo 9.- Las Entidades, al solicitar la autorización a que se refiere el artículo 7, deberán presentar lo siguiente:
I. Descripción detallada del proceso de identificación no presencial, así como la Infraestructura Tecnológica utilizada en cada parte de este, especificando la función de cada componente de dicha infraestructura, el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
Asimismo, las Entidades deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.
II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hyper Text Transfer Protocol Secure, o Transport Layer Security versión 1.2 o superior.
III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado para la conservación de la versión digital de alguno de los documentos válidos de identificación a que se refiere la 4ª Bis de las presentes Disposiciones, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.
IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.
Se deroga.
V. Información detallada sobre si las imágenes de los documentos válidos de identificación, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Entidad, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.
VI. Evidencia de que los medios de verificación de la validez de los documentos de identificación tienen la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de las Entidades.
VII. En su caso, evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen, tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.
VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen.
Dichas pruebas deben ser realizadas conforme a los umbrales establecidos por la Entidad, los cuales deberán contemplar los resultados de estas pruebas, y los ajustes del motor de validación derivado de ellos. Las Entidades deberán acompañar a su solicitud de autorización evidencias de todo lo anterior.
IX. Los estándares de calidad de la imagen y, en su caso, de sonido.
X. En su caso, la descripción técnica de los factores de autenticación categoría 3 que se requerirán para corroborar que un solicitante es Cliente de la Entidad, conforme a lo previsto en el Artículo 7 del presente Anexo, así como las características del código de un solo uso.
XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.
XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Anexo.
XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.
XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.
XV. Políticas y procedimientos de gestión de incidentes de seguridad de la información.
XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VII del artículo 7 del presente Anexo.
XVII. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.
Las Entidades deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XVII del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el Artículo 7 del presente Anexo.
Será responsabilidad de las Entidades que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.
Cuando las Entidades pretendan modificar alguno de los procedimientos que tengan autorizados para dar cumplimiento al artículo 4 o artículo 5, según corresponda, del presente Anexo, requerirán de la previa autorización de la Comisión
Artículo 10.- Los procedimientos establecidos en los artículos 4 o 5 del presente Anexo son independientes de los utilizados en las contrataciones y operaciones que las Entidades realicen con sus Clientes en términos del Capítulo II del Título Quinto de las Disposiciones de carácter general aplicables a los fondos de inversión y a las personas que les prestan servicios emitidas por la Comisión o las que las sustituyan.
Disposiciones Transitorias
Primera.- La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación salvo por lo previsto en las siguientes Disposiciones Transitorias.
Segunda.- Los lineamientos, interpretaciones y criterios emitidos por la Secretaría o por la Comisión, con fundamento en lo dispuesto en la Resolución del 31 de diciembre de 2014 y Resoluciones subsecuentes mediante las que hayan sido adicionadas o reformadas las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, seguirán siendo aplicables en lo que no se opongan a lo establecido en la presente Resolución.
Tercera.- Las Entidades que hayan obtenido la aprobación de la Comisión Nacional Bancaria y de Valores a los mecanismos de identificación no presencial en términos del Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de doce meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de autorización en apego al artículo 7, fracción I del Anexo 2 que se reforma con el presente instrumento.
La autorización a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión resuelva sobre la solicitud de autorización que las Entidades hayan presentado ante la propia Comisión conforme a lo indicado por el Anexo 2 de las Disposiciones de carácter general a que se refiere el artículo 91 de la Ley de Fondos de Inversión, que se reforman con esta Resolución.
Cuarta.- Las Entidades que hayan optado por implementar, con carácter temporal, la facilidad administrativa contenida en oficio número P322/2020 del 15 de junio de 2020 emitido por la Comisión, al amparo del CUARTO del ACUERDO por el que se establecen las medidas temporales y extraordinarias y se suspenden algunos plazos para la atención de las entidades financieras y personas sujetas a supervisión de la Comisión Nacional Bancaria y de Valores, a causa del coronavirus denominado COVID-19, publicado en el Diario Oficial de la Federación el 26 de marzo de 2020, podrán continuar aplicándola por el plazo que la Comisión les dé a conocer mediante oficio. Lo anterior, sin perjuicio de que dicha Comisión pueda modificar las referidas facilidades administrativas, por virtud de la entrada en vigor de la presente Resolución.
Quinta.- Las Entidades deberán dar cumplimiento a las obligaciones contenidas en la presente Resolución, en los términos y de conformidad con los plazos que se señalan a continuación:
I. Cuatro meses contados a partir de la entrada en vigor de la presente Resolución para modificar el Manual de Cumplimiento y presentarlo a la Comisión.
II. Nueve meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para modificar la metodología a que hace referencia el Capítulo II Bis de las Disposiciones.
III. Dieciocho meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para actualizar los sistemas automatizados a que se refiere la 46ª de las Disposiciones.
IV. Seis meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para obtener las coordenadas geográficas de latitud y longitud basadas en el emparejamiento de la dirección de protocolo de Internet que proporcione el dispositivo del cliente con una ubicación geográfica, para la obtención aproximada de dichas coordenadas, en caso de que los Clientes realicen Operaciones no presenciales desde un dispositivo que, por sus características, no pueda proporcionar las coordenadas geográficas de latitud y longitud a través del sistema de posicionamiento global (GPS).
Sexta.- En caso de que las Entidades actualicen el supuesto previsto en el artículo 7, fracción I párrafo segundo del Anexo 2 que se reforma con la presente Resolución, deberán informar a través del correo electrónico prevencion.lavado@cnbv.gob.mx, mediante escrito libre dirigido a las Direcciones Generales de Prevención de Operaciones con Recursos de Procedencia Ilícita A y B de la Comisión, la situación prevista en dicho artículo en tanto la Comisión establezca los medios electrónicos idóneos para que las Entidades cumplan con lo previsto en dicho artículo.
Séptima.- Aquellas referencias de beneficiario final que se encuentren previstas en otro marco normativo, lineamientos o guías emitidas por las autoridades competentes en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo distinto a las presentes Disposiciones, así como en las bases de datos públicas de consulta a cargo de las autoridades competentes, las Entidades podrán equipararlo al término definido de Propietario Real a que se refiere las presentes Disposiciones.
Ciudad de México, a 25 de agosto de 2021.- El Secretario de Hacienda y Crédito Público, Rogelio Eduardo Ramírez de la O.- Rúbrica.