Cumplimiento regulatorio con SPEI y SPID

Banxico

Es el operador y regulador principal de SPEI y SPID:

• SPEI: sistema de liquidación bruta en tiempo real (RTGS, por sus siglas en inglés) para pagos en pesos. Banxico estable requisitos como:
  • Liquidación en menos de 30 segundos
  • Uso de certificados digitales
  • Red privada para transmisión segura
• SPID: sistema exclusivo para transacciones interbancarias en dólares entre personas morales residentes en México. Requiere:
  • Disponibilidad mínima del 99.8%
  • Seguridad informática robusta
  • Prevención de lavado de dinero
  • Operación en horario diurno¹

CNBV

Organismo técnico que supervisa y regula a las entidades del sistema financiero en México, y que emite disposiciones generales en materia de seguridad y prevención de fraudes, alineadas con estándares internacionales.

_{1 Información del Sistema de Pagos Internacionales en Dólares (SPID®), Banxico, s/a.}

Participantes en SPEI

• Entidades reguladas por autoridades federales, incluyendo Banxico
• Dependencias y entidades de la administración pública federal
• Instituciones que operen sistemas internacionales de liquidación que incluyan al peso como divisa participante
• Entidades financieras autorizadas para enviar o recibir transferencias de fondos con autorización de Banxico

Participantes en SPID 

• Instituciones de banca múltiple y de desarrollo que cumplan con los requisitos técnicos y operativos
• Instituciones con autorización expresa de Banxico, previa acreditación de cumplimiento normativo
• Instituciones de crédito que ofrezcan cuentas de depósito en dólares a personas morales residentes en México
• Clientes: personas morales domiciliadas en México, con cuentas en dólares e inscritas en el Registro Federal de Contribuyentes (RFC) y que cuenten con firma electrónica (FIEL) vigente
• Participantes que cumplan con exigencias en ciberseguridad, transacciones inusuales, entre otros 

Ambos sistemas se rigen por circulares específicas que establecen reglas y manuales operativos. Estas constituyen las “normas internas” conforme a la Ley de Sistemas de Pagos.

Cumplimiento en SPEI

• Regla 58.a: requisitos técnicos, seguridad informática y gestión de riesgos (apéndice M)
• Regla 60.a: registro de responsables ante Banxico (cumplimiento normativo, seguridad de la información), así como mantener actualizada dicha información
• Regla 59.a Bis: designación y ratificación de oficiales responsables
• Regla 9.a Bis 4: controles de ciberseguridad (endurecimiento de sistemas, pruebas, monitoreo)
• Regla 35.a: horarios de operación y ventanas de liquidación

Capítulo X:

• Regla 82.a: disponibilidad mínima del servicio
• Regla 83.a: información a clientes sobre órdenes aceptadas, con elementos y canales específicos para consulta y seguimiento (incluye plazos y contenidos)
• Reglas 43.a y 44.a: convenio de colaboración para protección de clientes que estandariza el procedimiento de apoyo y recuperación ante órdenes no solicitadas (fraude)

Cumplimiento en SPID

• Incorpora controles técnicos, de gobernanza y un modelo de riesgos adicionales orientado a lavado de dinero y financiamiento al terrorismo (LD/FT)
• Reportes periódicos a Banxico y mecanismos de certificación/auditoría alternados anual y bianualmente
• Las reglas y manuales constituyen las normas internas del SPID; Banxico es el administrador (Normas Internas 1.ª)

Seguridad informática y ciberresiliencia - Capitulo VI

• Políticas y controles de seguridad acreditables conforme al manual
• Ciberresiliencia: capacidad para prevenir, adaptarse, responder y recuperarse de incidentes mediante controles, procesos y estructuras documentadas
• Designaciones obligatorias (Capítulo VII, 43.ª – 45.ª): responsables del cumplimiento normativo y oficiales de seguridad, incluyendo sus funciones y reportes al Comité de Auditoría (informes semestrales y reportes inmediatos de irregularidades)
• Informe y certificación 52.ª: revisión anual alternada entre auditoría interna y externa
• Plan de cumplimiento forzoso 53.ª: ante incumplimientos detectados por Banxico, pueden imponerse restricciones operativas
• Gestión de cambios tecnológicos: notificación de nuevas versiones del aplicativo
• Identificación y autenticación de clientes (13.ª y 50.ª): validación de clientes conforme a las disposiciones de la CNBV y el manual, además de verificaciones internas, antes de emitir órdenes
• Modelo de evaluación de riesgos adicionales (Anexo): reportar los estándares mínimos para modelos de LD/FT (factores de riesgo, medición, clasificación, mitigantes, documentación y validación)

Niveles de servicio, información y CEP - Capitulo X

• Disponibilidad mínima 58.ª: servicio para personas morales con cuentas en dólares
• Información a clientes y comprobación 60.ª: debe mostrarse la información de órdenes de transferencia aceptadas por SPID en canales de atención de manera mensual, así como proporcionar el vínculo electrónico (conforme al manual) para consulta del estado y la generación de comprobantes electrónicos de pago (CEP)