El pasado 22 de marzo de 2024, la Gerencia de Sistema de Pagos (la “GSP”) del Banco Central del Uruguay (el “BCU”) publicó un proyecto normativo (el “Proyecto”) por medio del cual se introducirían modificaciones relevantes que impactan a varias de las licencias y registros alcanzadas por la Recopilación de Normas del Sistema de Pagos (la “RNSP”).

En líneas generales, se modifican artículos y se introducen nuevas disposiciones en: (i) el Libro IV, que refiere al régimen sancionatorio y procesal; (ii) el Libro VII que refiere a los medios de pago electrónicos e instituciones participantes del sistema de pagos; y (iii) el Libro IX que refiere a las entidades que prestan servicios de pago y cobranza. En dicho sentido, las modificaciones más relevantes contempladas bajo el Proyecto afectarían –en particular– a (a) los procesadores y adquirentes, (b) los administradores de terminales de procesamiento (los “Administradores de POS”), (c) los switch, (d) las instituciones emisoras de dinero electrónico (las “IEDE”), y (e) los proveedores de servicios de pagos y cobranza (los “PSPC”), sin perjuicio de la existencia de otras modificaciones que, con carácter general, alcanzarían a otras instituciones supervisadas por la GSP.

El Proyecto se encuentra disponible para su descarga a través del siguiente link.

El plazo para la recepción de comentarios respecto del Proyecto vence el 12 de abril de 2024, recibiéndose comentarios a través del correo electrónico normativayvigilancia@bcu.gub.uy

A continuación, resumimos brevemente los principales cambios contemplados en el Proyecto.

   1. Cambios respecto del régimen sancionatorio y procesal

El Proyecto introduce algunas modificaciones de texto a la RNSP, sin variar el elenco de sanciones que pueden ser aplicadas a las instituciones supervisadas.

En ese sentido, el Proyecto (i) viene a aclarar que las hipótesis en que dichas sanciones pueden ser aplicadas abarca no solo a las infracciones a la RNSP, sino también a “las normas generales e instrucciones particulares” que el BCU dicte, (ii) prevé que el elenco de posibles sanciones pasibles de ser aplicadas pasaría a ser facultativa del BCU, en lugar de preceptiva, y (iii) otorga la facultad a la GSP para disponer observaciones y apercibimientos a las entidades supervisadas, comunicándoselo al Directorio del BCU, pudiendo este último disponer cualquiera de las sanciones previstas en la RNSP.

Finalmente, el Proyecto –en línea con las soluciones previstas en las disposiciones reglamentarias dictadas por la Superintendencia de Servicios Financieros (la “SSF”) para otras entidades supervisadas– prevé que tanto el Directorio como la GSP, indistintamente, podrán disponer (en forma debidamente fundada) la aplicación de otras sanciones en sustitución de las establecidas en la RNSP, así como disminuir la cuantía o importancia de las previstas, o incrementarla, siempre y cuando la gravedad del caso así lo requiera, valorando las circunstancias que motivaron el incumplimiento, la naturaleza de la infracción cometida y, en general, las consideraciones de hecho y de derecho que en cada caso puedan corresponder.

   2. Cambios respecto de los medios de pago electrónicos e instituciones participantes del sistema de pagos

El Proyecto incluye varias modificaciones de relevancia que, en algunos casos, refieren a los requerimientos exigibles para la obtención de las licencias y, en otros, a obligaciones regulatorias de las licencias alcanzadas, como ser en materia de actualización de información de clientes y requisitos de gobierno corporativo.

    2.1. Modificaciones con relación a procesadores y adquirientes de medios de pago

El Proyecto introduciría cambios con relación a los requisitos de información mínima requerida a ser presentada ante la GSP a efectos de obtener la autorización para desarrollar las actividades de procesador y adquirente que hasta la fecha se encontraban reguladas por referencia a los requerimientos exigidos a las entidades que administran sistemas electrónicos de compensación. En tal sentido y sin perjuicio de otras modificaciones, se establece la obligación de proporcionar en el marco del trámite de autorización aplicable tanto a procesadores como adquirentes: (i) descripción del sistema de control interno, (ii) descripción de la infraestructura a utilizar para la implementación de la actividad (incluyendo plataforma tecnológica, especificaciones funcionales y esquemas de comunicación con otros servidores internos y externos), (iii) políticas y procedimientos de seguridad de la información, (iv) planes de continuidad y de contingencia, (v) listado de servicios a tercerizar, debiendo presentarse los contratos respectivos, (vi) modelo de contratos con clientes y otros actores, (vii) descripción del sistema de gestión integral de riesgos, (viii) estados financieros auditados o con informe de compilación correspondientes al último ejercicio cerrado.

Destacamos que la redacción del Proyecto parecería requerir que todos los contratos relativos a servicios tercerizados sean presentados en el marco del proceso de autorización, lo cual se aparta de la regulación bancocentralista (donde únicamente se exige la presentación de los modelos de contratos de servicios a tercerizar que requieren autorización expresa, en tanto que aquellos que se reputan tácitamente autorizados, únicamente se conservan por la entidad supervisada a disposición del BCU).

Además, con relación a la autorización a efectos de obtener la licencia de adquirente, se requiere presentar: (i) descripción del modelo de negocio (especificando el flujo de información, el ciclo de pago y el flujo de control, y las condiciones de seguridad implementadas), (ii) las instituciones de intermediación financiera donde se radicarán los fondos, y (iii) los mecanismos de compensación, liquidación y procedimientos en materia de flujo de fondos resultantes de la operativa.

La información presentada deberá mantenerse actualizada y cualquier modificación relacionada con los requisitos mínimos deberá ser comunicada en un plazo de 30 días hábiles a partir de la modificación, excepto la información correspondiente a los estados financieros, que deberá presentarse en forma anual, dentro de un plazo de 90 días hábiles a partir de la fecha de cierre.

Adicionalmente, el Proyecto incorpora modificaciones con relación al alcance de las licencias, y –en particular– en lo que dice relación con las actividades afines que estas entidades pueden desarrollar. Así, prevé que se debe obtener la previa autorización de la GSP para desarrollar actividades afines que se pretendan iniciar posteriormente a la obtención de la licencia y se relacionen con modificaciones de las normas operativas internas, la incorporación de servicios o instrumentos de pago, la tercerización de operaciones o procesos vinculados con su actividad principal, o la emisión o transferencia de nuevas acciones o partes sociales, debiendo –en todos los casos– presentar una nota con el detalle de datos, antecedentes y demás documentación.

Por último, el Proyecto incorpora una modificación al artículo 81.1 de la RNSP que regula el servicio de extracción de efectivo que pueden ofrecer los adquirentes. En relación con este punto, el Proyecto elimina la obligatoriedad de informar a la GSP sobre los contratos suscritos con los establecimientos a efectos de posibilitar el servicio referido, pero –no obstante– dispone que dichos contratos permanezcan a disposición de la GSP. Finalmente, se elimina la obligatoriedad de publicar en sitios de fácil acceso (o proporcionarla a los emisores) la información sobre los establecimientos contratados y los topes de extracción.

    2.2. Modificaciones con relación a IEDE

Con respecto a las IEDE, el Proyecto prevé que en caso que éstas sean sociedades anónimas – además de tener acciones nominativas – se deberá acreditar que las mismas pertenecen a personas físicas, o en su defecto acreditarse la cadena de accionistas hasta identificar el sujeto de derecho que ejerce el efectivo control sobre la misma.

Dentro del elenco de actividades complementarias que las IEDE pueden realizar, el Proyecto prevé que las IEDE (tanto aquellas que emitan dinero electrónico general, especial y mixto) podrán realizar actividades de adquirencia de comercios y establecimientos comerciales, con el objetivo de brindar acceso al servicio de pago con transferencia electrónica de fondos nacionales.

Además, el Proyecto prevé que la incorporación de nuevas actividades por parte de las IEDE, luego de su habilitación para operar como tales, requerirá de la autorización previa de la GSP (no bastando ya de este modo la mera comunicación respecto de éstas).

Dentro del ámbito de normas sobre relacionamiento con usuarios, el Proyecto elimina la obligación a cargo de las IEDE que emiten dinero electrónico de brindar información sobre la red de establecimientos comerciales en las que puede usarse el dinero electrónico a estos efectos.

Finalmente, con relación a las IEDE, el Proyecto incorpora las siguientes modificaciones:

• en cuanto al régimen de actualización de la información de clientes prevé ediciones al texto vigente que no importan una modificación sustantiva de las obligaciones a cargo de las IEDE;
• en cuanto al régimen de resguardo de la información y en línea con las modificaciones introducidas por la SSF en otras disposiciones reglamentarias, se hacen ajustes a efectos de –entre otros– (i) incluir dentro de los procedimientos de resguardo a los correos, mensajería instantánea y toda otra forma de mensajería electrónica que se considere relevante en la reconstrucción de las operaciones, (ii) incorporar la obligación de resguardo con respecto a las claves que permitan desencriptar datos, en un formato de guarda que será dispuesto a posteriori por la GSP, (iii) la obligación de que los datos, claves y  sus respectivas copias no estén expuestas a la posibilidad de ser afectadas por un mismo riesgo de manera simultánea, (iv) eliminar la obligación de que el respaldo incremental suponga un respaldo diario, sino que permite que el respaldo incremental sea hecho sobre la base del último respaldo realizado (siempre que el procedimiento de recuperación permita la restauración completa de la información para cualquier día);
• en cuanto al régimen de conservación de documentos prevé que el plazo de conservación (i) con relación a libros sociales originales (o los soportes de información que contengan su reproducción) será de 20 años a contar desde la última anotación (o desde la fecha en que fueran extendidos o reproducidos, según corresponda), y (ii) con relación a los documentos, formularios, la correspondencia, y todo otro comprobante vinculado con la operativa, será de al menos 10 años, y que toda esta información y documentación deba estar disponible en tiempo y forma, y en condiciones de ser procesada por el BCU.

 

    2.3. Introducción de requerimientos de gobierno corporativo

Los cambios más relevantes refieren a la incorporación de normativa que exige a varias instituciones sujetas a supervisión de la GSP (procesadores, adquirentes, Administradores de POS, switch, IEDE y PSPC) el cumplimiento de estándares en materia de gobierno corporativo, entendiendo por tal la forma mediante la cual las instituciones se organizan en torno a su administración y gestión, y el conjunto de prácticas adoptadas para llevar adelante la dirección, monitoreo y control diario del negocio (“Gobierno Corporativo”).

En este sentido, se agregan definiciones sobre Gobierno Corporativo, y obligaciones respecto a la información a proveer respecto del personal superior, que incluye copia de documentos de identidad y – en caso de personas que ocupen cargos de directores o de gerente general – antecedentes profesionales y laborales que estén vinculados a la actividad financiera, CV y referencias (siempre que los mismos no hayan sido presentados previamente).

En términos generales, la regulación a este respecto está alineada con las definiciones previstas en la normativa dictada por la SSF para las entidades sujetas a su supervisión, destacando a continuación las principales cuestiones contenidas en el Proyecto:

• Se incorporan definiciones, responsabilidades y cometidos de los siguientes órganos y estructuras: (i) directorio, (ii) alta gerencia, (iii) oficial de cumplimiento, (iv) auditoría interna, (v) comité de auditoría, (vi) auditoría externa, y (vii) responsable por la atención de reclamos.

Sin perjuicio, dejamos constancia que no todas las instituciones supervisadas estarían obligadas a contar con la totalidad de dichos órganos. En ese sentido, el Proyecto prevé que:

1. Las IEDE, los PSPC y los adquirentes deben designar un responsable por la atención de reclamos,
2. las IEDE y los PSPC designen un oficial de cumplimiento,
3. las instituciones que estén obligadas a presentar estados financieros auditados y/o informes de profesionales independientes en materia de prevención de lavados de activos y financiamiento de terrorismo (v.gr., IEDE), deben contar con una auditoría externa, así como contratar a dicho auditor externo o firma de auditores externos y un profesional independiente o firma de profesionales independientes, habilitados a emitir informes en materia de prevención de lavado de activos, financiamiento de terrorismo y financiamiento de proliferación de armas de destrucción masiva, remitiendo a la Recopilación de Normas de Mercado de Valores según corresponda.

En cambio, en otros escenarios, el contar o no con dicho órgano que compone el Gobierno Corporativo, parece ser facultativo para la institución o estar sujeto al previo requerimiento de parte de la GSP (tal como sucede en el caso de la auditoría interna según la redacción del proyectado artículo 115.8 de la RNSP o el comité de auditoría, estando al tenor del proyectado artículo 115.10 de la RNSP).

• De manera común a todas las instituciones, se exige determinada información sobre su personal superior (incluyendo cargo a desempeñar, datos identificatorios, copia del documento de identidad, vías de contacto y determinada información adicional -antecedentes profesionales y laborales, CVs y referencias- tratándose de directores y gerentes generales.

Dejamos constancia que el Proyecto no contiene ninguna disposición transitoria que prevea un plazo de adaptación por parte de las instituciones supervisadas a efectos de adecuar sus organizaciones y estructuras internas a estos requerimientos, algo que sería conveniente que la regulación definitiva sí contemplara.

   2.4. Procedimiento de atención de reclamos

Con relación a IEDE, PSPC y adquirentes, el Proyecto incorpora un procedimiento de atención de reclamos que impone a las entidades antes mencionadas la obligación de cumplir con lo siguiente, siempre que el reclamo no pueda ser solucionado en forma inmediata a favor del cliente:

• la posibilidad de presentar reclamos por escrito, los cuales deberán ser recibidos en todos los locales de la institución en los que se atienda al público;
• en los locales se pondrán a disposición del público formularios para la presentación de reclamos e impresos que describan el procedimiento;
• luego de presentado, se le entregará al cliente una confirmación de recepción, con fecha y hora, incluyendo un número identificatorio, y el plazo de respuesta;
• el plazo de respuesta no será mayor a 15 días corridos, pudiendo prorrogarse por única vez por otros 15 días corridos (o incluso más en caso de requerirse que intervengan instituciones del exterior), y debiendo informar al cliente por escrito con indicación de los motivos de la prórroga;
• informar por escrito al cliente, ya sea por nota o correo electrónico, el resultado de su reclamo, de manera fundada, aunque puede ser sustituida por una respuesta telefónica en caso que se cuente con sistemas de grabación de las comunicaciones que satisfagan los requisitos de disponibilidad, integridad, confidencialidad, autenticidad y confiabilidad.

 

Asimismo, las instituciones deberán difundir , a través de carteles en las oficinas de atención al público, en los estados de cuenta periódicos y en su sitio en internet, si existiere, la existencia del procedimiento y las vías a través de las cuales se pueden formular los reclamos. También en el sitio web de la institución, si existiere, se deberán publicar tanto los formularios como la descripción del procedimiento.

    4. Cambios respecto del régimen aplicable a los PSPC

Además de las modificaciones mencionadas en el parágrafo 2 precedente con relación a los requerimientos de gobierno corporativo que serían de aplicación para los PSPC, el Proyecto contempla agregar nuevas obligaciones de información que los PSPC deben brindar a sus usuarios, con relación a los servicios que les prestan (incluyendo sus obligaciones y derechos).

Dentro del contenido mínimo de la información a proporcionarse, el Proyecto prevé el otorgar al usuario:

• el contrato, en el que conste la aceptación del usuario;
• una cartilla en la que se informe el costo que se cobrará por las distintas transacciones;
• el procedimiento de denuncia de transacciones presuntamente fraudulentas u otras que correspondan.

 

Respecto de las consultas y reclamos de los usuarios, el Proyecto prevé que podrán ser recibidas por los medios y canales que las instituciones definan en este sentido, que siempre serán gratuitos y de fácil acceso. Se prevé un plazo máximo de respuesta fundada por escrito de 15 días corridos (prorrogables por otros 15 días corridos de ameritarlo el reclamo, o incluso más en caso de requerirse que intervengan instituciones del exterior), que podrá ser sustituido por una respuesta telefónica si la institución cuenta con sistemas de grabación que cumplan los requisitos del artículo 114.37 de la RNSP, en cuanto a su disponibilidad, integridad, confidencialidad, autenticidad y confiabilidad (aunque el cliente conserva el derecho de solicitar una respuesta escrita).

Finalmente, se prevé que las PSPC dispongan de mecanismos y procedimientos de prevención adecuados para evitar que por su intermedio se canalicen transacciones de dinero asociadas a los juegos de azar y apuestas ilegales de cualquier naturaleza.

Autores: Diego Baldomir, Santiago Saint-Upery, Rodrigo Varela