Il 3 luglio di quest’anno, la Commissione per i Mercati Finanziari (di seguito“CMF“) ha emanato la Norma Generale n. 514 (di seguito “NCG” o “Norma”) che regola il Sistema di Finanza Aperta (di seguito“SFA“) di cui al Titolo III della Legge n. 21.521 (di seguito“Legge Fintec“).
Lo standard è strutturato in diverse sezioni, tra le quali segnaliamo:
1. Perimetro dell’SFA.
Ai sensi degli articoli 18, 19 e 20 della Legge Fintec, il NCG stabilisce come partecipanti allo SFA le entità che si qualificano come: i)Information Provider Institutions (IPI); ii) Account Provider Institutions (API); iii) Payment Initiation Service Providers (PISP); e, iv) Payment Initiation Service Providers (PISP).
Il regolamento stabilisce che ogni istituto deve adottare misure per consentire la consultazione, l “accesso, la consegna e lo scambio sicuro e rapido di informazioni finanziarie relative ai propri clienti e ai prodotti o servizi finanziari da loro contrattati. Di conseguenza, e al fine di avere chiarezza su chi può richiedere tali informazioni, il CMF creerà diversi elenchi e registri in cui tali soggetti devono iscriversi e/o registrarsi a seconda del tipo di ruolo che svolgono nello SFA, tra cui l” Elenco degli istituti fornitori di informazioni e dei fornitori di conti (Elenco IPI e Elenco IPC), l “Elenco dei fornitori di servizi basati sulle informazioni (Registro PSBI) e l” Elenco dei fornitori di servizi di avvio dei pagamenti (Registro PSIP).
2. Funzionamento dell’SFA.
Per il funzionamento dell “SFA, la NCG stabilisce che lo scambio di informazioni avverrà tramite interfacce di programmazione delle applicazioni (API), che saranno conformi agli standard e alle specifiche tecniche stabilite nel regolamento e, a loro volta, dovranno consentire l” invio dei dati SFA richiesti dal PSBI e dal PSIP all “IPI e all” IPC.
In questo contesto, le entità sottoposte a revisione saranno obbligate a utilizzare esclusivamente queste API, a meno che l “FPC non disponga diversamente consentendo l” uso di un meccanismo alternativo regolamentato. Inoltre, sebbene lo sviluppo e la manutenzione delle API possano essere delegati a terzi, l “entità che partecipa allo SFA sarà l” unica responsabile nei confronti del CMF del funzionamento delle API. Tuttavia, lo scambio di informazioni tra i partecipanti allo SFA avverrà sempre su base bilaterale, indipendentemente dal fatto che i servizi siano esternalizzati.
3. Sicurezza e protezione dell’SFA.
Nell’area della sicurezza e delle salvaguardie, la NCG stabilisce i principi di gestione del rischio e di controllo interno che le istituzioni partecipanti all’SFA devono rispettare, stabilendo come assi principali: i) la responsabilità del Consiglio di amministrazione; ii) la funzione di gestione del rischio come organo responsabile del monitoraggio dei controlli definiti nelle politiche e nelle procedure applicabili; iii) il piano di gestione del rischio; iv) il rischio operativo; e v) l’esternalizzazione dei servizi.
Attraverso questa serie di linee guida, il CMF cerca di garantire che le entità partecipanti all’AFS attuino pratiche efficaci di gestione del rischio e di controllo interno, con la supervisione diretta del Consiglio di amministrazione e adattate alle esigenze specifiche di ciascuna entità in base al suo ruolo nel sistema.
4. Informazioni dall’AFS.
Il regolamento organizza le informazioni da condividere nell “SFA in diverse categorie, ovvero: i) termini, condizioni e canali di servizio; ii) identificazione e registrazione; iii) condizioni commerciali contrattuali e cronologia dell” utilizzo o delle transazioni; iv) avvio dei pagamenti.
Allo stesso modo, l “Allegato 1 della NGC descrive in dettaglio i dati da fornire e condividere, specificando quali entità sono obbligate a fornire tali informazioni nell” SFA e chi può accedervi.
5. Attuazione del NCG.
Infine, per quanto riguarda la sua attuazione, il NCG stabilisce un processo graduale le cui scadenze dipenderanno dal tipo di entità a cui si applica il regolamento e dal tipo o categoria di dati da condividere. Nonostante quanto sopra, il periodo iniziale stabilito per l’entrata in vigore del regolamento sarà di 24 mesi dalla sua emanazione, ovvero il 4 luglio 2026, periodo concesso per la preparazione tecnologica e lo sviluppo dei compiti necessari da parte degli enti partecipanti e del CMF.
Per qualsiasi domanda relativa a questo argomento, contattare Javier Edwards e Raúl Aranda Smith.
