¿A qué riesgos legales y de seguridad se enfrentan las Fintech?

Posted by media on 14/01/16 9:00

EN_Riesgos_legales_y_de_seguridad_para_las_Fintech.jpg

Gracias a la tecnología, las startups conocidas como Fintech han entrando en todos los verticales del sector financiero y aportan, hoy por hoy, mejores soluciones que los bancos a problemas que hace tiempo que existían. El denominador común de estas empresas es que han logrado democratizar las finanzas, facilitando el acceso a financiación y ampliando el abanico de sistemas de pago, entre otras muchas cosas, tanto a empresas como a consumidores.

A pesar de la rapidez en el crecimiento de las estas empresas y la gran cantidad de innovaciones introducidas en multitud de productos y servicios financieros, innovaciones de las que ya muchos ya nos beneficiamos, siguen existiendo una serie de riesgos legales y de seguridad que se deben tener en cuenta. Obviarlos podría suponer penalizaciones, no sólo económicas sino de reputación, y en el peor de los casos conllevar el cierre de la empresa.

En este post hablamos de ellos y de cómo es posible mitigarlos.

Este post también está disponible en inglés.


RIESGOS LEGALES Y DE SEGURIDAD Y CÓMO MITIGARLOS

1. Riesgo de incumplimiento normativo

El sector financiero es el primer sector fuertemente regulado que está viendo sacudidos sus cimientos debido a la tecnología. La fuerte regulación ha sido, precisamente, uno de los motivos que ha provocado el rápido auge de las Fintech, porque ha impedido a los bancos reaccionar a tiempo ante la ola de innovaciones financieras (entre otros impedimentos estructurales y culturales).

Según una encuesta realizada por el Silicon Valley Bank, el 43% de los emprendedores e inversores de la escena tecnológica financiera de Estados Unidos consideran que la regulación va a ser una de las principales trabas a su crecimiento en 2016.


fintech-2.png
Fuente: Silicon Valley Bank

Para estas nuevas empresas tecnológicas, el problema --que a priori puede parecer una ventaja-- es el no saber exactamente a qué regulación, ley o normativa deben someterse. Dadas las revisiones de leyes pre-era digital que han ocurrido recientemente, tanto a nivel local como a nivel de la Unión Europea, sería interesante para estas empresas contar con un experto en
cumplimento normativo que pudiera guiarlas en la maraña legislativa y ayudarlas a establecer procesos para mitigar el riesgo de cometer alguna irregularidad por desconocimiento.


Las principales leyes, normas y documentos legales que afectan a las Fintech son:

  • El Procedimiento de Identificación de Clientes (KYC, del inglés Know Your Customer).
  • La Comunicación de Operativas Sospechosas por Indicio (SAR, del inglés Suspicious Activity Report).
  • La Ley del Mercado de Valores
  • La Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (LPBC/FT) o Anti-Money Laundering (AML).

    En Europa, la Directiva 2015/849 del Parlamento Europeo y del Consejo de 20 de mayo de 2015: es la 4ª Directiva de prevención de blanqueo de capitales y financiación del terrorismo de la Unión Europea entró en vigor en junio de 2015. Los países miembros tienen 2 años de plazo para implementar estas reglas en sus regulaciones nacionales.

  • Ley 5/2015, de 27 de abril, de Fomento de la Financiación Empresarial.
  • Ley de Protección del Consumidor.
  • La Normativa SEPA


Definitivamente, estar al día en cuanto a cumplimiento normativo debe ser un objetivo incluido en el
roadmap de cualquier startup desde el principio. Para las que están en sus primeros años de vida, incorporar un experto en compliance en el equipo puede resultar inasumible económicamente, por lo que el reto adicional consiste en conseguir cumplir con la ley sin incurrir en grandes costes.

En este sentido, la firma electrónica es una herramienta que puede contribuir a ello. Por un lado, permite identificar a los clientes al firmar cualquier contrato, cumpliendo así con el imperativo legal establecido para prevenir el blanqueo de capitales. Y por otro, permite obtener su consentimiento para realizar transacciones financieras en su nombre de forma inmediata.

Firma de contratos de préstamo

Sign_from_your_desktop_with_Signaturit.png

Firma de autorizaciones para comprar productos financieros
Sign_from_your_smartphone_with_Signaturit.png

Firma de mandatos SEPA
Sign_from_your_tablet_with_Signaturit.png

Firma de contratos de préstamo

Sign_from_your_desktop_with_Signaturit.png

Firma de autorizaciones para comprar productos financieros
Sign_from_your_smartphone_with_Signaturit.png

Acciones, obligaciones, CFDs, futuros, opciones...

Firma de mandatos SEPA
Sign_from_your_tablet_with_Signaturit.png
Nuestra solución de firma electrónica avanzada nos permite identificar de forma única al firmante. ¿Cómo lo conseguimos? A través de un conjunto de evidencias electrónicas que recogemos durante el proceso de firma:
  1. Datos del momento y condiciones en las que el documento fue firmado: nombre del documento, email del firmante, el CRC File Format (identificador interno del documento), fecha (dd/mm/yyyy) y hora (hh/mm/ss UTC) de todos los eventos, ubicación geográfica, navegador, sistema operativo y dispositivo desde el que fue firmado. Además, asignamos al documento un identificador privado al registrarlo en nuestra base de datos.
  1. Datos biométricos del firmante: recogemos los datos biométricos de la firma realizada que quedan embebidos en el mismo documento. Esos datos son almacenados de forma segura, ya que los encriptamos con una llave pública/privada y son añadidos al documento firmado en forma de metadatos.

2. Riesgo de infringir el derecho a la privacidad de los clientes

Análisis de datos versus privacidad de los consumidores

Las Fintech recopilan, almacenan y manejan una inmensa cantidad de datos personales, vinculados además a información financiera de sus clientes. Lo bueno, es que existen herramientas de análisis de datos muy potentes que analizan y extraen conclusiones de esos datos. Ello permite tener un conocimiento muy profundo de los clientes, descubrir sus necesidades y ajustar los productos y servicios a medida para satisfacerlas de la mejor manera posible.

Para empresas que conceden préstamos por ejemplo, el conocimiento de sus clientes gracias al análisis de datos les permite ajustar mejor los perfiles de riesgo, establecer los tipos de interés en base a ello e incluso anticiparse a futuras necesidades de financiación que puedan tener.

Lo malo, que acceder a y hacer uso de los datos de los clientes puede suponer infringir su derecho a la privacidad, un derecho importante tanto para los propios clientes como para los organismos reguladores. En este post ya hemos hablado de cómo minimizar los riesgos legales del análisis de datos.

LEY DE PROTECCIÓN DE DATOS en la UE

La Comisión Europea quiere unificar la ley de protección de datos bajo la Regulación General de Protección de Datos, que sustituirá a la directiva de 1995. El borrador de la nueva regulación se presentó en enero de 2012, pero ha sufrido varias correcciones por parte del Parlamento Europeo, por lo que todavía no ha sido aprobada por el Consejo (aprobación necesaria para convertirse en ley).

La versión más extrema del borrador propuesto requerirá que las empresas que quieran analizar los datos de sus clientes, para un propósito distinto para el que fueron recolectados, obtengan antes su consentimiento.



3. Riesgo de sufrir un ciberataque


“Sólo hay dos tipos de empresas:
las que ya han sido hackeadas y las que lo serán." 
- Robert Mueller, director del FBI


El número de ciberataques registrado en el último año ha terminado de demostrar que ninguna empresa es inmune al terrorismo digital. El gran volumen de datos que estas empresas recopilan, almacenan y manejan las hace particularmente sensibles a padecer uno. Y más allá del robo de datos personales y financieros, el problema de este tipo de ataques es que interrumpen la actividad de la empresa, dañan su reputación, y merman la confianza de los clientes.

En este caso, igual que cuando hablábamos del riesgo de incumplimiento normativo, lo ideal sería incorporar un profesional experto en seguridad de la información --Chief Cyber Security Officer-- pero esta opción es muy complicada para una startup. Por lo tanto hay que buscar otro tipo de soluciones menos costosas pero también efectivas para mitigar al máximo este riesgo.

Una de ellas es establecer protocolos de seguridad y definir procesos para reaccionar de forma adecuada en caso de que uno ocurra, con el objetivo de aislar el ataque lo antes posible. Tener un plan de reacción es importante, pero tener un plan de prevención lo es aún más. De ello hemos hablado en nuestro post ¿Qué deben hacer las empresas para prevenir un ciberataque?.

La otra opción también muy recomendable es almacenar la menor cantidad posible de datos sensibles de los clientes. Por poner un ejemplo, en Signaturit no “almacenamos” las firmas. Es decir, cada vez que es necesario firmar un documento, el firmante debe hacerlo de forma expresa para el mismo, sin recurrir a ningún archivo almacenado. Esta característica es garantía de una mayor seguridad.

La conclusión a la que queremos llegar con este post es que no se debe olvidar que los riesgos legales y de seguridad son muy reales, y que hay que tenerlos en cuenta desde el principio, trazar un plan de acción adecuado e incorporar mecanismos que contribuyan a mitigarlos. El futuro de las Fintech es muy prometedor, y sería una pena verlo truncado por escollos que, aunque sea con poco presupuesto, se pueden evitar.

Este post también está disponible en inglés.

Whitepaper La firma electrónica para el sector FINTECH    

POSTS RELACIONADOS



 

Tags: Banca y Seguros

Subscríbete al blog

Últimos posts