¿Qué significa que tengamos Sistema de Finanzas Abiertas?
Primero, volvamos un poco atrás para entender de dónde nace esta normativa.
El 2023 se promulgó la Ley Fintec que, entre otras cosas, define el marco y los principios que debe perseguir el desarrollo del SFA. Además, la ley establece que será la CMF quién deberá reglamentar este sistema. Aquí es donde aparece la normativa, un conjunto de reglas que detallan cómo se implementará y cómo operará el SFA.
¿Por qué es una buena noticia?
Porque esta pieza de la ley, el SFA, permitirá a las personas y empresas mover y compartir de manera segura su dinero e información financiera con terceros.
Hoy, esta información se encuentra guardada y protegida en instituciones como bancos, emisores de tarjetas o corredoras de seguros (el listado es más extenso), y mientras la utilicemos dentro de estas mismas instituciones será fácil, por ejemplo, cuando queremos hacer una transferencia a un destinatario que ya tenemos guardado desde la aplicación del banco o revisar nuestra cartola bancaria. Pero cuando queremos hacer esto desde otras aplicaciones que no son de la misma institución ya no es tan fácil o -en la mayoría de los casos- simplemente no se puede.
El SFA facilita este proceso al permitir que otros proveedores accedan a la información cuando lo quieras, mejorando las experiencias y productos financieros del mercado.
Para lograr esto, es importante definir reglas en diferentes ámbitos que permitirán asegurar que los participantes del SFA manejan de manera segura los datos y que el sistema funcione correctamente, por esto la normativa considera lo siguiente:
- Sección I Perímetro del Sistema de Finanzas Abiertas: define quiénes participan y cómo deben registrarse.
- Sección II Funcionamiento del Sistema: establece cómo se intercambiarán los datos y los estándares técnicos.
- Sección III Seguridad y Resguardos del Sistema: detalla los requisitos de seguridad y ciberseguridad.
- Sección IV Información del Sistema: define los tipos de datos que se compartirán.
- Sección V Otras Disposiciones: incluye aspectos adicionales como sanciones y plazos de implementación.
Además, la normativa considera una implementación gradual del SFA. La primera etapa define un plazo de 24 meses para la entrada en vigencia de la normativa (julio de 2026) y permitirá que los diferentes participantes se ajusten para participar en el sistema.
Por ejemplo, la CMF entregará el servicio del Directorio de Participantes y para eso tendrá que hacer desarrollos tecnológicos que permitan la búsqueda, consulta y actualización de participantes del SFA.
Luego, dependiendo del rol que cumpla cada participante dentro del SFA, tendrán que ir entregando progresivamente la información según un calendario de implementación que contiene la normativa.
¿Cómo fue el proceso?
Colaborativo. Muchos de los puntos que levantamos como gremio y desde Fintoc, han sido incorporados en la normativa final y vemos como una excelente señal el cómo la CMF llevó a cabo el proceso.
Para discutir la normativa del SFA, se realizaron 7 mesas temáticas entre octubre de 2023 y marzo de 2024, con la participación de casi 400 personas y 141 entidades del ecosistema. Además, la CMF recibió comentarios y contribuciones de entidades como asociaciones gremiales, bancos, cajas de compensación, fintechs, aseguradoras y emisores de tarjetas. Con esto se publicó la primera versión, que estuvo en consulta pública entre el 15 de abril y el 15 de mayo de 2024, dónde nuevamente la CMF escuchó las inquietudes que levantamos varios actores de la industria.
¿Cómo va a funcionar el SFA?
Aquí te dejamos algunos puntos clave para entender cómo va a funcionar:
- Intercambio de datos seguro y eficiente: la normativa establece el uso de APIs que deben seguir la especificación OpenAPI 3.1, usar OAuth 2.0 y OpenID Connect para autorización y autenticación, asegurando la seguridad con FAPI 2.0 y mTLS. Estos son protocolos usados en sistemas de finanzas abiertas de nivel mundial, como en el Reino Unido, acá no estamos reinventando la rueda sino adoptando estándares probados y confiables. Hay estándares que usas diariamente como OAuth 2.0 y OpenID Connect cuando inicias sesión con tu cuenta de Google o Facebook y autorizas el uso de tus datos sin compartir tus credenciales directamente con aplicaciones de terceros.
- Directorio de participantes: ahora habrá un registro claro para todos los proveedores de servicios de información y de iniciación de pagos, que será operado por la misma CMF. Esto hace que todo sea más transparente y controlado, para que sepas exactamente quién está manejando tu información.
- Protección de la información y consentimiento: además de los altos estándares de seguridad que son exigidos para el uso de las APIs, para asegurar que tu información personal está protegida, la normativa exige un consentimiento claro y explícito para cualquier intercambio de datos, asegurando que siempre tengas el control.
- Implementación gradual y supervisión continua: como comentamos anteriormente, la normativa no se implementará de golpe. Habrá un periodo de adopción de 24 meses, permitiendo que todos los involucrados se ajusten gradualmente. Además, la CMF supervisará continuamente el proceso para asegurar que todo se haga correctamente.
Es importante mencionar que la normativa también deja varios puntos pendientes de resolver, que se abordarán más adelante en un Anexo Técnico que construirá la CMF en los próximos meses, tomando en cuenta las recomendaciones de un Foro Consultivo. Este Anexo es muy relevante ya que contendrá el detalle de las especificaciones técnicas para que los participantes comiencen con la implementación del sistema.
¿Qué sigue ahora?
En los próximos 24 meses, van a pasar varias cosas clave para la implementación del SFA.
Continuará el Foro del Sistema de Finanzas Abiertas, en donde un Grupo Consultivo y los Grupos Técnicos van a analizar y discutir temas como la infraestructura, la seguridad, el user experience y el intercambio de información, que serán la base para la redacción del Anexo Técnico que comentamos más arriba.
Como Fintoc vamos a participar activamente en el grupo técnico enfocado en los medios de intercambio de información, para asegurar la funcionalidad e interoperabilidad de las APIs del SFA, que es donde más podemos aportar.