El Modelo de Finanzas Abiertas en Colombia, su Regulación y Principales Retos  

Con la expedición del Decreto 1297 de 2022, en adelante "el Decreto", mediante el cual se implementó el modelo voluntario de arquitectura financiera abierta, Colombia se convirtió en el tercer país de la región, después de Brasil y México, en establecer una regulación de finanzas abiertas.
 
En concreto, las finanzas abiertas, más conocidas como Open Banking u Open Finance, consisten en el intercambio, transferencia y circulación de datos personales de consumidor financiero, previa su autorización, entre entidades financieras o terceros especializados. En este modelo el titular de los datos adquiere el control de los mismos y le permite a los terceros el acceso a su información con el objetivo de que puedan prestarle nuevos o mejores servicios; por consiguiente, cuando el consumidor autoriza, de manera previa, expresa e informada, a la entidad financiera para el tratamiento de sus datos personales permite que estos sean compartidos de forma estandarizada con otras entidades financieras o terceros especializados, promoviendo nuevos modelos colaborativos.

Con la implementación del modelo de finanzas abiertas en Colombia, el sistema financiero busca abrir el acceso a sus datos para lograr el libre intercambio y el aprovechamiento de estos con la finalidad de crear productos y servicios que se ajusten a las necesidades y preferencias de los consumidores, lo que permite responder a las nuevas demandas del mercado y generar nuevas oportunidades de crecimiento (URF).

En lo que respecta a su funcionamiento en el decreto se mencionan  el marco de las transferencias electrónicas, exclusivamente, adiciona la actividad de iniciación de pagos, consistente en el envío de órdenes de pago o transferencias de fondos a través de un tercero que puede estar vigilado o no por la Superintendencia Financiera, de esta forma, el cliente inicia una transferencia de recursos de su cuenta por medio de un tercero (iniciador de pagos) que no es su entidad financiera lo cual mejora su experiencia ya que no tiene que acudir a los canales de esta última. Cabe señalar que la función del iniciador de pagos se limita a ofrecerle al usuario un servicio de transmisión de órdenes de pago a su entidad financiera por lo que no administra y/ o accede a los recursos o fondos del usuario.

En el marco internacional se han identificado una serie de riesgos inherentes a la actividad de iniciación de pagos como riesgos de seguridad y privacidad de la información, riesgos de suplantación y fraude, riesgos reputacionales y operacionales; al respecto, en la experiencia internacional existen algunas reglas que ayudan a mitigar dichos riesgos.
 
Uno de los principales desafíos del Open Finance es la protección de los clientes en relación con el uso de sus datos y la seguridad e, igualmente, la responsabilidad de los actores, quienes tienen la accesibilidad a los datos del cliente, por las afectaciones derivadas de la vulneración o el uso indebido de dichos datos. En la actividad iniciación de pagos, se mitiga el riesgo de la seguridad y privacidad de la información cuando existe una normativa que obliga al iniciador a contar con medidas que aseguren que terceros no autorizados no accedan a la información del cliente y cuando se restringe que los iniciadores de pago puedan solicitar o guardar más información de la necesaria para el desarrollo de su actividad.
 
Este riesgo lo contempla el Decreto en la medida en que indica que el iniciador de pagos, en desarrollo de su actividad, no puede administrar o entrar en tenencia de los fondos del ordenante (poner). De igual forma, este instrumento consagra explícitamente que los iniciadores de pagos no pueden solicitarles a los ordenantes más información de la estrictamente necesaria para iniciar la orden de pago o transferencia de fondos; la disposición agrega que en ningún caso pueden tener acceso a las claves contraseñas o mecanismos de autenticación del ordenante con su entidad emisora.
 
Existen otros riesgos a los que el sistema se debe enfrentar como los enunciados anteriormente. A continuación, se analizan las condiciones de cada uno de ellos:

 En cuanto, al riesgo de suplantación y fraude, el cual puede consumarse en la medida en que al iniciarse la transferencia por un tercero distinto a la entidad financiera pueden presentarse casos de suplantación o fraude, es importante que el iniciador de pagos tenga la autorización del usuario para cada una de las órdenes de pago que se vayan a iniciar. Así mismo, la regla internacional indica que deben existir reglas de autenticación reforzada por parte de las entidades financieras[14].

En particular, el Decreto mitiga el riesgo en la medida en que consagra que la iniciación de pagos necesariamente implica una autorización previa por parte del ordenante, de modo que los iniciadores no pueden comenzar las órdenes de pago sin que medie dicha autorización. Además, el Decreto indica que para efectos de que se tramite una orden de pago, en el sistema de pago, las entidades deben autenticar y confirmar al ordenante.

En cuanto al riesgo reputacional, causado cuando existe una falla en el servicio del iniciador de pagos, lo ideal es que se le ordene al iniciador informar al cliente acerca del alcance y los términos de prestación de sus servicios, siendo necesario un desarrollo de políticas y procedimientos de atención al usuario[15].  
 
Al respecto, el Decreto consagra el deber de información y alcance del ofrecimiento, de este modo, precisa que las entidades vigiladas por la Superintendencia Financiera que ofrezcan para su comercialización, en canales no presenciales, servicios de terceros no vigilados por la misma institución, deben cumplir con sus obligaciones y normas del régimen de protección al consumidor financiero y el estatuto del consumidor. Respecto de la protección al consumidor, la regla internacional indica que bajo el entendido que el iniciador atiende al cliente éste debe entregar la información completa y oportuna a sus usuarios respecto de los servicios que presta, sus condiciones.

Finamente, los riesgos operacionales, hacen referencia a la necesidad de que existan reglas de responsabilidad en caso de órdenes defectuosas de pago o aquellas que son ejecutadas indebidamente. Sea el caso en que la responsabilidad corresponda al iniciador de pagos o a la entidad emisora, es necesario optar por una normatividad que contemple un régimen de responsabilidad ante dichos supuestos. En concreto, se puede observar que el Decreto expresamente no lo contempla, no obstante, lo correcto sería que se regulara la materia.

En conclusión, es claro que el modelo de Open Banking u Open Finance impulsa la competencia, la innovación y la eficiencia en la prestación de los servicios financieros, permitiéndole a las entidades financieras perfilar mejor a los usuarios y desarrollar estrategias y alianzas con entidades de otros sectores. Aunado a lo anterior, en relación con el sistema de iniciación de pagos, si bien puede adolecer de riesgos, la regulación permite que estos se mitiguen.

ELABORADO POR: Laura Sofía Díaz
REVISADO POR: Lucciana Fuscaldo & Claudia Delgado