Por Alfredo Sánchez Franco
En esta ocasión escribo algunas líneas sobre un tema incluido en la Ley Fintech (Art. 76 y sucesivos) que enuncia los tipos de inspecciones a las que pueden estar sujetas las Instituciones de Tecnología Financiera (ITF) por el Banco de México (Banxico) y Comisión Nacional Bancaria y de Valores (CNBV), siendo estas en lo general de tipo administrativo para supervisar y documentar el cumplimiento de las obligaciones que emanan de dicho ordenamiento. En lo particular, al menos en teoría o en papel, estamos ante investigaciones de vanguardia que en la praxis y para su integración requerirán de un alto grado de tecnología por la propia naturaleza del ecosistema Fintech y de un especial cuidado en la formalidad con la que deberían practicarse.
Me explico, en términos de la Ley Fintech cuando de la información compartida por las ITF o existente en estas se desprendan datos o indicios sobre “posibles delitos” entonces las inspecciones reciben el nombre de “investigaciones”(1) de cuyo contenido o resultado las ITF, Banxico o la CNBV deben informar a las autoridades competentes como la Fiscalía General de la República (FGR), Sistema de Administración Tributaria (SAT), etc. o viceversa cuando de la información que obra en poder de dichas autoridades estas han detectado inconsistencias o irregularidades y solicitan para la integración de sus expedientes internos, información complementaria a las instituciones antes mencionadas, de las propias ITF o de sus clientes; lo anterior con independencia a las consecuencias administrativas que procedan para cada caso en concreto en términos de la Ley Fintech o leyes complementarias.
En general, las inspecciones son ordinarias para supervisar el cumplimiento de obligaciones a cargo de las ITF que establece la Ley Fintech, de índole administrativo, legal o corporativo (Art. 71 Fr. III). En la praxis podrían documentarse en actas administrativas internas o en una fe de hechos ante fedatario público (escrituras públicas ante notario público o pólizas ante corredores públicos).
En términos amplios, una inspección bajo el formato de “investigación” presupone la existencia de evidencias físicas o electrónicas/digitales relacionados con comportamientos posiblemente delictuosos ya sean propios de las ITF y/o de sus clientes o usuarios de los servicios Fintech.
/*! elementor – v3.8.1 – 13-11-2022 */.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=”.svg”]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}
En el caso particular del ecosistema FinTech, las investigaciones a las ITF revisten una particular complejidad técnica y legal, por el tipo de evidencias o información a identificar, recolectar y asegurar sin alteración alguna para posteriores consultas así como por las formalidades que deben respetarse para que el producto de dichas investigaciones resulte útil en la praxis legal; es ahí donde para su composición surgirán rubros legales de fondo o forma que influirán en su integración y resultado ante una fiscalía de investigación o autoridad judicial, todo ello sin infringir derechos constitucionales o fundamentales.
A pesar del aporte vanguardista que caracteriza a la Ley Fintech, dada la falta o insuficiencia de infraestructura tecnológica y digital en la administración pública o autoridades competentes así como el alto costo económico que se necesita para su implementación, me parece poco factible, al menos a corto plazo, que los organismos a cargo puedan llevar a cabo y de manera directa las inspecciones o investigaciones a las ITF, menos para efectos penales para informar a la FGR, Fiscalías Estatales o el SAT sobre evidencias de posibles delitos Fintech, delitos fiscales equiparados, Lavado de Dinero, delincuencia organizada, operaciones con recursos de procedencia ilícita.
Para poder materializar el aporte futurista de la Ley Fintech todavía existe un hueco a colmar por el legislador, y es precisamente el necesario para facilitar la obtención o recolección, resguardo y posterior consulta de toda la información (sin alteración alguna) que generen las ITF hacia su interior como al exterior como resultado de las operaciones en que intervienen los usuarios de servicios Fintech, para anticipar o evitar la volatilidad de la información o inestabilidad de los programas o servicios informáticos inherentes al ecosistema FinTech.
Planteado de otra forma, se necesitan las herramientas técnicas y legales idóneas que permitan recolectar y conservar sin alteración alguna las evidencias o información que se generan en el ecosistema Fintech. Por su complejidad y alto costo, es más factible que sea resuelto por las ITF pero para fines internos o de Compliance que por las propias autoridades competentes autorizadas para supervisar a las ITF.
De acuerdo con el Art. 76 de la Ley Fintech, las ITF no están obligadas a proporcionar en línea o informáticamente, información no financiera (confidencial) de los clientes o usuarios de los servicios Fintech, ya que la listada en dicho artículo se refiere a movimientos financieros o para detectar ingresos o pagos económicos (“follow the money”), por lo que por exclusión no incluye información corporativa o societaria, actas constitutivas o
o estatutos sociales, capitales sociales, beneficiarios controladores o últimos beneficiarios; esto se traduce en la conveniencia de asegurar la existencia, integridad y confidencialidad de toda la información que pudiesen tener las ITF sobre sus clientes o usuarios de los servicios Fintech. Y limita la tecnología a aquella “estandarizada” por la Comisión Supervisora, el Banco de México y las ITF.
A mi parecer, el resguardo e integridad de la “información confidencial” podría estar encriptado (en una base de datos o plataforma especial) y a la que solo podrían tener acceso inicial el propietario o titular de la misma y las propias ITF. En vía de excepción, la información confidencial podría ser desencriptada o desbloqueada solo a solicitud del propietario, titular o por mandamiento de autoridad competente.
La especial naturaleza tecnológica-financiera de las empresas FinTech y en consecuencia, el tipo de evidencia o escenario electrónico, digital o virtual en que pueden tener lugar sus operaciones cotidianas conllevan la complejidad para documentar debidamente la “prueba digital o informática”, su aseguramiento, autenticidad e inalterabilidad (para efectos de la cadena de custodia) para acceder a su posterior consulta o para poder detectar su manipulación y/o eliminación; o en su caso, para robustecer indirectamente el contenido de dicha prueba tecnológica con otros medios de convicción como podrían ser transferencias bancarias electrónicas, correos electrónicos, mensajes de textos vía celular o por medio de aplicaciones (apps).
Para la integración de carpetas de investigación o juicios, podrían ser útiles los sellos de tiempo electrónicos o time stamping (con las “Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación” publicadas el 10 de agosto de 2004 en el DOF, Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación publicadas el 14 de mayo de 2018 en el DOF y la NOM 151 SCFI) o herramientas equivalentes o adicionales al 2022 como la Prueba Pericial en Informática Forense (2), pueden servir para blindar y/o acreditar de manera idónea la existencia de determinados actos o contenidos.
El Banco de México y la CNBV deberán tener especial cuidado en la forma en que lleven a cabo directamente las visitas de investigación (para posibles efectos penales); ya que con independencia a la naturaleza y volatilidad de las pruebas digitales o informáticas, el resultado o producto de dichas investigaciones tal vez podrían ser usadas para fines administrativos y sancionatorios según la ley Fintech pero no garantiza éxito al denunciar directamente en la vía penal la comisión de posibles delitos, en virtud de la discutible constitucionalidad de dichas facultades investigadoras para efectos penales, la secrecía o confidencialidad de parte de la información de la ITF y de sus clientes o usuarios de los servicios Fintech así como por el sentido de los principios fundamentales o garantías constitucionales básicos en materia penal (3) , y por último, complementar las posibles evidencias físicas-electrónicas o digitales existentes en las instalaciones o infraestructura de las ITF, con la testimonial y otras evidencias o pruebas a cargo del Oficial de Cumplimiento (Compliance Officer) interno en cada ITF, con base en la ley de la CNBV (facultades de la CNBV al certificarlos cada 5 años), para efectos de la Ley Fintech así como de los artículos 139, 148 Bis y 400 Bis del Código Penal Federal, para verificar el cumplimiento de la leyes financieras y de las disposiciones que emanan de ellas en materia de prevención, detección y reporte de actos, omisiones u operaciones que pudiesen estar relacionadas con dichos artículos.
Asimismo, la CNBV, Banxico y las ITF podrían contar con el apoyo adicional y permanente de Prestadores de Servicios de Certificación y Time Stamping (4), para la emisión de sellos de tiempo electrónico certificados y/o constancias de conservación de mensajes de datos NOM 151, debidamente reconocidos por las autoridades competentes (SE) para validar la existencia y conservación de datos electrónicos y para evitar su posible alteración sin que sera detectada, relacionados con operaciones o información de las ITF y/o de los clientes o usuarios de servicios Fintech, para complementar, actualizar y asegurar el espíritu vanguardista de lo señalado en el Art. 76 primer párrafo de la Ley Fintech (5) respecto a la implementación de interfaces de programación de aplicaciones informáticas estandarizadas que posibiliten la conectividad y acceso de otras interfaces desarrolladas o administradas por los mismos sujetos a que se refiere este artículo y terceros especializados en tecnologías de la información.
La redacción utilizada por el legislador en dicho artículo resulta muy amplia y futurista ya que su implementación y ejecución trae aparejada en la praxis:
- Una fuerte inversión económica para Banxico-CNBV y las propias ITF para la adquisición e instalación de equipos de cómputo, programas informáticos propios o contratados con proveedores externos, todo ello idóneo para identificar las operaciones FinTech, para facilitar las facultades de monitoreo de las autoridades competentes que supervisan a las ITF, así como para obtener la información que se precisa en el punto siguiente.
- Una complejidad técnica y legal (know how) para asegurar ex-ante la existencia, integridad e inalterabilidad de la información tecnológica y financiera, así como para cuando resulte necesario ex-post, para rastrear, identificar, reconstruir y documentar evidencias digitales o informáticas generadas en el universo Fintech (6), sobre todo si se pretende utilizar esa información para posibles fines penales, lo que en México también provocará el surgimiento de la sub especialización de peritos forenses informáticos en tecnologías y operaciones Fintech.
Como resultado de lo anterior, el anunciado episodio legal que ante casos concretos, la autoridad judicial estará obligada para pronunciarse sobre la forma y fondo o contexto en que sean obtenidas las evidencias o información financiera y tecnológica, y para ello, deberá analizar temas sustantivos y/o adjetivos como pruebas electrónicas o digitales, nulidad, pruebas ilícitas y sus límites de exclusión, valoración de indicios, pruebas con deficiencia formal o irregulares, efecto corruptor, cadena de custodia, información confidencial, violación de derechos ARCO, etc.
En el caso del SAT, FGR y las Fiscalías estatales, deben respetar tales principios para garantizar la legalidad del procedimiento y de sus actuaciones como autoridades, cuando les “den vista” o soliciten informes sobre las ITF y/o sus clientes, para evitar nulidades y/o exclusión de evidencias o de elementos de convicción.
Por lo anterior, formulo las siguientes conclusiones:
Resultará complicado y laborioso lograr el plausible objetivo futurista fijado –en teoría y en papel- por el legislador en el Art. 76 de la Ley FinTech, para la adecuada integración de las investigaciones a las ITF y la adecuada conservación de sus resultados.
La forma en que sera obtenido el producto de dichas investigaciones influirá en el rumbo y destino procesal de cada asunto ante una autoridad de investigación o juez competente. Es decir, la forma en que sea identificada, recolectada y conservada dicha información no garantiza su éxito legal ante una autoridad competente.
El ecosistema FinTech requiere de peritos forenses en informática especializados en tecnologías y operaciones financieras Fintech.
Alfredo Sánchez Franco
Abogado Corporativo con 29 años de experiencia profesional en Despachos de Abogados, Empresas y Grupos Corporativos, practicando Derecho Corporativo, Derecho Civil, Derecho Mercantil y Derecho Penal. Miembro del Ilustre y Nacional Colegio de Abogados de México A.C. y de Global Business Lawyers’ League. Además, es autor de artículos y ensayos publicados en México y el extranjero sobre temas relacionados al sector Fintech. Actualmente se desempeña como Abogado Corporativo Corporate Legal Counsel en Ojeda Ojeda y Asociados S.C.