Nueva regulación de Laft para las fintech
23 de septiembre de 2020Contenido
Recientemente, la Superintendencia Financiera de Colombia (SFC) expidió la Circular Externa 27 de 2020, contentiva de nuevas instrucciones relativas al Sarlaft de sus entidades vigiladas.
En general, celebramos el acierto de la SFC, que estaba en mora de expedir una regulación de este tipo, reemplazando con ello normas regresivas y anacrónicas que estaban pensadas para un mundo que giraba en torno al papel y a las transacciones presenciales en sucursales bancarias.
Aunque son muchos los cambios introducidos en la nueva normativa, me limitaré a mencionar dos que me resultan de especial interés.
1. Amplía el alcance de revisión: las entidades deben contar con Sarlaft efectivos, para lo cual deben cumplir las obligaciones sobre listas internacionales vinculantes para Colombia.
Así, deben disponer de lo necesario para consultarlas de manera previa y obligatoria a la vinculación de un cliente, beneficiario final, proveedor, accionista o empleado, así como de forma permanente durante la relación contractual o legal.
Creemos que lo anterior es positivo, pues se reconoce que la noción de contraparte en materia de Laft excede la de clientes. Sin embargo, al enumerar las contrapartes, se deja por fuera otros terceros (vg. aliados estratégicos, contratistas, etc.) que no caben en la noción de proveedor incluida por la nueva norma.
2. Nueva regulación para la realidad tecnológica y las Fintech: para quienes nos hemos dedicado al diseño e implementación de Fintech, es claro que las normas Laft de la SFC se convertían, frecuentemente, en una barrera de entrada para nuevos negocios.
En la mayoría de los casos y clientes a los que he tenido el gusto de asesorar, dichas barreras no solo no tenían ningún impacto positivo, sino que evitaban que las entidades aplicaran mecanismos Laft más eficientes.
Uno de los cambios más significativos es que las entidades vigiladas podrán realizar los procedimientos de conocimiento del cliente mediante canales digitales, eliminando la obligación de diligenciar el formulario de vinculación. Así, ellas pueden basar su debida diligencia en información extraída de fuentes confiables e independientes, como bases de datos públicas o de prestadores de servicios ciudadanos digitales, siempre que cumplan con las normas de protección de datos.
Igualmente se indica que las entidades vigiladas podrán utilizar firmas digitales, biometría, y hasta la información disponible en bancos de datos, o cualquier otro mecanismo tecnológico, que garantice una verificación efectiva de la identidad de la contraparte.
En fin, podría agregar otros comentarios adicionales, como el reconocimiento a la SFC por el avance sobre la aplicación de diferentes tipos de debida diligencia para diferentes tipos de riesgo, pero que exceden el objeto de este breve comentario. Las nuevas medidas, por regla general, deberán estar implementadas para el 2 de septiembre de 2021.