RESOLUCIÓN que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple

Jueves 09 de Septiembre de 2021

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.

RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIEREN LOS ARTÍCULOS 115 DE LA LEY DE INSTITUCIONES DE CRÉDITO EN RELACIÓN CON EL 87-D DE LA LEY GENERAL DE ORGANIZACIONES Y ACTIVIDADES AUXILIARES DEL CRÉDITO Y 95-BIS DE ESTE ÚLTIMO ORDENAMIENTO, APLICABLES A LAS SOCIEDADES FINANCIERAS DE OBJETO MÚLTIPLE

ROGELIO EDUARDO RAMÍREZ DE LA O, Secretario de Hacienda y Crédito Público, con fundamento en lo dispuesto por los artículos 31, fracciones VII y XXXII, de la Ley Orgánica de la Administración Pública Federal; 115 de la Ley de Instituciones de Crédito en relación con el 87-D y 95 Bis de la Ley General de Organizaciones y Actividades Auxiliares del Crédito, en ejercicio de las atribuciones que me confiere el artículo 6º, fracción XXXIV, del Reglamento Interior de la Secretaría de Hacienda y Crédito Público, y contando con la previa opinión de la Comisión Nacional Bancaria y de Valores emitida mediante oficio número VSPP-220/10030526/2021 de fecha 29 de julio de 2021; y

CONSIDERANDO

Que desde el año 2000 México es miembro de pleno derecho del Grupo de Acción Financiera (GAFI), organismo intergubernamental que fija los estándares internacionales en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Que el 21 de marzo de 2019, la Secretaría de Hacienda y Crédito Público publicó en el Diario Oficial de la Federación diversas modificaciones a las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple con el objeto de atender las recomendaciones del GAFI y establecer un régimen de identificación no presencial, otorgando con ello la posibilidad a las sociedades financieras de objeto múltiple, de llevar a cabo la identificación del cliente a través de una videoconferencia en tiempo real y en línea tratándose de sociedades financieras de objeto múltiple no reguladas; lo cual resultó en un robustecimiento a la metodología de evaluación de riesgos para que dichas entidades evalúen sus riesgos de ser utilizadas para llevar a cabo operaciones con recursos de procedencia ilícita y financiamiento al terrorismo previo al uso de nuevas tecnologías.

Que el 6 de marzo de 2020, el GAFI publicó la Guía sobre Identificación Digital, resultando como parteaguas en el tema de tecnología financiera, mostrando los beneficios de la identidad digital en materia de prevención y combate a operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, presentando a la tecnología financiera como una manera más confiable y segura para las entidades financieras al momento de llevar a cabo la identificación de sus clientes a través del uso de mecanismos como la prueba de vida, el uso de elementos biométricos y factores de autenticación, entre otros, que permitan la mitigación de riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Que el 11 de marzo de 2020, la Organización Mundial de la Salud declaró la enfermedad por el virus SARS-CoV2 (COVID-19) como pandemia, haciendo un llamado a los países para que: (i) adopten medidas urgentes y agresivas para contener la propagación del virus, (ii) implementen un enfoque basado en la participación de todo el gobierno y de toda la sociedad, en torno a una estrategia integral dirigida a prevenir las infecciones, salvar vidas y reducir al mínimo sus efectos, y (iii) encuentren un delicado equilibrio entre la protección de la salud, la minimización de los trastornos sociales y económicos, y el respeto a los derechos humanos.

Que el 24 de marzo de 2020, la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen las medidas preventivas que se deberán implementar para la mitigación y control de los riesgos para la salud que implica la enfermedad por el virus SARS-CoV2 (COVID-19)", el cual establece en su Artículo Segundo, inciso c) "Suspender temporalmente las actividades de los sectores público, social y privado que involucren la concentración física, tránsito o desplazamiento de personas a partir de la entrada en vigor de este Acuerdo y hasta el 19 de abril del 2020".

Que el 31 de marzo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2", el cual, en su artículo Primero, fracción I, ordena la suspensión inmediata, del 30 de marzo al 30 de abril de 2020, de las actividades no esenciales, con la finalidad de mitigar la dispersión y transmisión del virus SARS-CoV2 en la comunidad.

Que mediante el "Acuerdo por el que se modifica el similar por el que se establecen acciones extraordinarias para atender la emergencia sanitaria generada por el virus SARS-CoV2, publicado el 31 de marzo de 2020", publicado el 21 de abril de 2020 en el Diario Oficial de la Federación, la Secretaría de Salud resolvió necesario mantener y extender la Jornada Nacional de Sana Distancia hasta el 30 de mayo de 2020, así como asegurar la adecuada implementación y cumplimiento de las medidas de seguridad sanitaria.

Que el 15 de mayo de 2020 la Secretaría de Salud publicó en el Diario Oficial de la Federación el "Acuerdo por el que se modifica el diverso por el que se establece una estrategia para la reapertura de las actividades sociales, educativas y económicas, así como un sistema de semáforo por regiones para evaluar semanalmente el riesgo epidemiológico relacionado con la reapertura de actividades en cada entidad federativa, así como se establecen acciones extraordinarias, publicado el 14 de mayo de 2020" con el objetivo de establecer un mecanismo que involucre a los sectores público, social y privado para retomar las actividades bajo protocolos de seguridad sanitaria, que garanticen tanto a sus trabajadores, como al público en general que se está cumpliendo con estándares que reducen los riesgos asociados al SARS-CoV2.

Que en ese sentido y particularmente por lo que respecta al sistema financiero, hubo un cierre masivo de sucursales de diversas entidades financieras, en cumplimiento a las medidas sanitarias declaradas por el Gobierno Federal por el periodo que se encuentre vigente la contingencia por el COVID-19; lo cual se tradujo en uno de los principales retos para garantizar la continuidad del ofrecimiento y la prestación de servicios financieros al público en general atendiendo a la nueva normalidad, sin descuidar y menoscabar el régimen de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Que el 1 de abril de 2020, el GAFI emitió un comunicado en relación a la emergencia sanitaria generada por el COVID-19 y las medidas para combatir el financiamiento ilícito, haciendo un llamado para que (i) los países exploren el uso apropiado de medidas de identificación simplificada y la identificación digital para facilitar las operaciones financieras mientras se mitigan los riesgos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo, y (ii) los reguladores, supervisores y demás autoridades involucradas en la materia, brinden la asistencia necesaria al sector privado respecto a cómo será aplicada la regulación en la materia durante la actual crisis sanitaria.

Que, aun y cuando actualmente las sociedades financieras de objeto múltiple cuentan desde marzo de 2019 con un régimen de identificación no presencial, no resultó suficiente para atender las necesidades del público en general para celebrar contratos y, a su vez, mitigar los riesgos en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Que en ese sentido y con base en la Guía de Identificación Digital del GAFI, así como en cumplimiento a las Recomendaciones 10 y 15 de dicho grupo, resulta necesario, al igual que con otros participantes regulados en la materia, reconocer la posibilidad legal de que las sociedades financieras de objeto múltiple puedan cumplir con sus obligaciones en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo a través del uso de nuevas tecnologías, desde luego con la responsabilidad de que cumplan con las normas aplicables al efecto para que tengan el valor que en derecho corresponde.

Que, adicionalmente, en apego a la Recomendación 4 del GAFI y al contenido del Informe de Evaluación Mutua, emitido por dicho organismo intergubernamental, en enero de 2018, resulta necesario fortalecer el marco legal respecto a la conformación de la Lista de Personas Bloqueadas en razón de que nuestro país, como miembro del GAFI, ha reconocido la conformación de empresas fantasma como técnica generalizada para realizar operaciones con recursos de procedencia ilícita, en este sentido se adiciona el supuesto de inclusión a la Lista de Personas Bloqueadas a aquellos contribuyentes a que se refiere el cuarto párrafo del artículo 69-B del Código Fiscal de la Federación, lo anterior a efecto de prevenir la comisión de los delitos de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.

Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de cumplir con el requerimiento de simplificación regulatoria para la emisión de la presente Resolución, se tomarán los ahorros generados en la "Resolución que reforma, adiciona y deroga diversas de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple", dictaminados por la Comisión Nacional de Mejora Regulatoria en el expediente CONAMER/21/3460, con un monto de $1,443,177,655.03 pesos.

RESOLUCIÓN QUE REFORMA, ADICIONA Y DEROGA DIVERSAS DE LAS DISPOSICIONES DE CARÁCTER GENERAL A QUE SE REFIEREN LOS ARTÍCULOS 115 DE LA LEY DE INSTITUCIONES DE CRÉDITO EN RELACIÓN CON EL 87-D DE LA LEY GENERAL DE ORGANIZACIONES Y ACTIVIDADES AUXILIARES DEL CRÉDITO Y 95-BIS DE ESTE ÚLTIMO ORDENAMIENTO, APLICABLES A LAS SOCIEDADES FINANCIERAS DE OBJETO MÚLTIPLE

ARTÍCULO ÚNICO.- Se REFORMAN la 2ª, fracciones VIII y XIV; 4ª Ter primero, segundo, cuarto y sexto párrafos; 5ª; 7ª, segundo, cuarto y último párrafos; 8ª; 13ª Bis; 20ª, segundo párrafo; 21ª, sexto y último párrafos; 23ª; 29ª primer párrafo; 34ª primer párrafo; 35ª, primer párrafo, fracción I; 39ª Bis, primer y último párrafos; 40ª primer párrafo, fracciones I a III; 61ª, segundo párrafo; Anexo 2 artículos 1, 2 y 4; se ADICIONAN la 2ª fracciones XIX Bis y XXIII Bis; 4ª Ter tercer y sexto párrafos recorriéndose los demás en su orden; 20ª tercer y último párrafos; 21ª séptimo párrafo, recorriéndose los demás en su orden; 62ª primer párrafo, fracción VII; 65ª primer párrafo, fracción V; Anexo 2 Capítulo I “Objeto”, Capítulo II “Umbrales para la identificación no presencial”, Capítulo III “Mecanismos Tecnológicos de Identificación”, Capítulo IV “Requisitos” y Capítulo V “Otras disposiciones”, recorriéndose los artículos en su orden, y se DEROGAN 4ª Ter tercer párrafo; Anexo 2, articulo 3, todas ellas de las Disposiciones de carácter general a que se refieren los artículos 115 de la ley de instituciones de crédito en relación con el 87-d de la ley general de organizaciones y actividades auxiliares del crédito y 95-bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple, para quedar como sigue:

2ª.- ...

I. a VII. ...

VIII. Dispositivo, al equipo que permite acceder a la red mundial denominada Internet, utilizado para celebrar contratos o realizar Operaciones a través de páginas de internet o aplicaciones móviles, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.

No se considerarán Dispositivos aquellos que:

a) Sean propiedad de las Entidades.

b) Se encuentren en control de las Entidades.

c) Sean otorgados bajo controles adicionales por las Entidades a sus Clientes para que puedan realizar Operaciones, o

d) Se encuentren instalados en las sucursales de las propias Entidades o en sitios públicos, cumpliendo con la regulación respectiva para que los Clientes puedan celebrar contratos o realizar Operaciones;

IX. a XIII. ...

XIV. Geolocalización, a la ubicación geográfica del Dispositivo utilizado para celebrar contratos o realizar Operaciones no presenciales, la cual consiste en obtener las coordenadas geográficas de latitud y longitud a través del sistema de posicionamiento global (GPS) en que se encuentre el Dispositivo.

En caso de que los Clientes celebren contratos o realicen Operaciones no presenciales desde un Dispositivo que, por sus características, no pueda proporcionar las coordenadas geográficas de latitud y longitud a través del GPS, las Entidades deberán obtener las coordenadas geográficas de latitud y longitud basadas en el emparejamiento de la dirección de protocolo de Internet que proporcione el Dispositivo del Cliente con una ubicación geográfica, para la obtención aproximada de dichas coordenadas.

Las coordenadas geográficas de latitud y longitud obtenidas a través del GPS o basadas en el emparejamiento de la dirección de protocolo de Internet deberán obtenerse previo consentimiento del Cliente en términos de la regulación que en materia de protección de datos resulte aplicable;

XV. a XIX. ...

XIX. Bis. Mecanismo Tecnológico de Identificación, a alguno de los procedimientos a que se refiere el Anexo 2, a través de los cuales las Entidades lleven a cabo el cotejo del documento válido de identificación y la aplicación de pruebas de vida;

XX. a XXIII.- ...

XXIII. Bis. Oficial de Cumplimiento Interino a la persona a que se refiere la 39ª Bis de las presentes Disposiciones;

XXIV. a XXXVI. ...

4ª Ter.- Las Entidades que celebren un contrato a través de Dispositivos de forma no presencial con Clientes personas físicas o morales, ambas de nacionalidad mexicana, de acuerdo con lo establecido en el Anexo 2 de las presentes Disposiciones o, en el caso de las sociedades financieras de objeto múltiple reguladas que mantengan vínculos patrimoniales con una institución de crédito, conforme a las disposiciones de carácter general que emita la Comisión, además de los datos de identificación, a que se refiere la de las presentes Disposiciones, según sea el caso, deberán requerir y obtener de sus Clientes, la Geolocalización del Dispositivo desde el cual estos celebren el contrato, así como:

I. Tratándose de Clientes personas físicas que declaren a la Entidad ser de nacionalidad mexicana:

a) Se deroga.

b) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada. Dicho consentimiento hará prueba para acreditar legalmente la celebración del contrato que realice con la Entidad de forma no presencial.

c) ...

d) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizada para recibir depósitos, cuyo titular coincida con el nombre a que se refiere la , fracción I, de las presentes Disposiciones.

e) La manifestación de la persona física en la que señale que actúa por cuenta propia. Dicha manifestación, podrá establecerse en los Términos y Condiciones que al efecto establezca la Entidad.

f) La versión digital del documento válido de identificación personal oficial vigente de donde provengan los datos referidos en la presente disposición.

g) La versión digital del comprobante de domicilio que podrá ser alguno de los señalados en el inciso b), numeral iii. de la fracción I de la de las presentes Disposiciones.

No obstante, cuando el domicilio manifestado coincida con el de la credencial para votar del Cliente expedida por autoridad mexicana, en caso de que se haya identificado con la misma, esta funcionará como el comprobante de domicilio a que se refiere el presente inciso.

II. Tratándose de Clientes que sean personas morales de nacionalidad mexicana:

a) Correo electrónico.

b) En su caso, Clave Bancaria Estandarizada (CLABE) de una cuenta abierta en alguna entidad financiera o Entidad Financiera Extranjera autorizadas para recibir depósitos, cuyo titular coincida con la denominación o razón social a que se refiere la 4ª, fracción II de las presentes Disposiciones.

c) Consentimiento que podrá obtenerse mediante la Firma Electrónica o Firma Electrónica Avanzada, del representante legal. Dicho consentimiento hará prueba para acreditar legalmente la celebración del contrato que realice con la Entidad de forma no presencial.

d) La información a que se refiere la , fracción II, inciso c) y fracción VI de las presentes Disposiciones.

e) La versión digital de los documentos de identificación a que se refiere la , fracción II, inciso b) de las presentes Disposiciones, con excepción de los señalados en el numeral ii del mismo inciso.

Las Entidades no deberán llevar a cabo la celebración del contrato de forma no presencial, cuando no recaben el dato relativo a la Geolocalización.

Las Entidades no estarán obligadas a recabar el dato relativo a la Geolocalización tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 21ª de estas Disposiciones.

Párrafo derogado.

Se entenderá como documento válido de identificación personal oficial vigente para el cumplimiento de la presente Disposición, la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, el pasaporte y el certificado de matrícula consular.

...

La versión digital del documento válido de identificación personal oficial vigente que las Entidades recaben para efectos de identificación deberá permitir su verificación en términos de las presentes Disposiciones.

Adicionalmente, las versiones digitales de los documentos que las Entidades recaben deberán conservarse en sus Archivos o Registros conforme a las presentes Disposiciones. Las Entidades deberán conservar los documentos de conformidad con la norma oficial mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.

...

5ª.- Respecto del contrato marco o de adhesión celebrado por una Entidad con el Cliente, al amparo del cual la propia Entidad emita tarjetas de crédito a personas distintas del titular de dicho contrato, la Entidad podrá convenir con el Cliente respectivo la obligación de que este último recabe directamente de los tarjetahabientes o titulares de dichas tarjetas de crédito, los datos y/o documentos de identificación que a éstos correspondan, conforme a lo establecido en las fracciones I, II o III de la de las presentes Disposiciones y, a su vez, la Entidad deberá convenir con el Cliente que este mantendrá los referidos datos o documentos a disposición de la Entidad para su consulta y, en su caso, presentarlos a la Comisión en el momento en que este último así se lo requiera a la Entidad.

7ª.- ...

Tratándose de contratos celebrados conforme a la 4ª Ter de estas Disposiciones, en sustitución de la entrevista a que se refiere el párrafo anterior, las Entidades podrán establecer los Mecanismos Tecnológicos de Identificación a que se refiere el Anexo 2 de las presentes Disposiciones o, en el caso de las sociedades financieras de objeto múltiple que mantengan vínculos patrimoniales con una institución de crédito, conforme a las disposiciones de carácter general que emita la Comisión.

...

En lo relativo a los contratos y operaciones referidos en la fracción I de la 13ª de estas Disposiciones, las Entidades podrán llevar a cabo la recepción o captura de los datos de forma remota, en sustitución de la entrevista mencionada en el primer párrafo de esta disposición, siempre y cuando la Entidad de que se trate, verifique la autenticidad de los datos del Cliente, para lo cual, ya sea directamente o a través de un tercero deberá realizar una consulta al Registro Nacional de Población a fin de integrar la Clave Única del Registro de Población del Cliente y validar que los datos proporcionados de manera remota por el mismo, con excepción del domicilio, coincidan con los registros existentes en las bases de datos de dicho Registro.

La validación de los datos de identificación a que se refiere la presente Disposición podrá llevarse a cabo a través de procedimientos distintos al señalado en el párrafo anterior, previa autorización de la Comisión, con opinión de la Secretaría. Dicha solicitud deberá ser formulada a través de asociaciones gremiales.

8ª.- Las Entidades deberán conservar, como parte del expediente de identificación de cada uno de sus Clientes, los datos y documentos mencionados en las disposiciones del presente Capítulo, en su caso, el documento que contenga los resultados de la entrevista o de los Mecanismos Tecnológicos de Identificación a que se refiere la , según corresponda el de la visita a que se refiere la 17ª, en su caso, y el cuestionario previsto en la 21ª de las presentes Disposiciones.

13ª Bis.- Para la realización de Operaciones a través de medios electrónicos, ópticos o de cualquier otra tecnología, las Entidades deberán integrar previamente el expediente de identificación del Cliente de conformidad con lo establecido en estas Disposiciones, establecer mecanismos para identificar al mismo, así como desarrollar procedimientos para prevenir el uso indebido de dichos medios o tecnologías, los cuales deberán estar contenidos en su Manual de Cumplimiento o en algún otro documento o manual elaborado por la propia Entidad.

20ª.- ...

Tratándose de aquellas Operaciones realizadas de forma no presencial, además de los elementos para determinar el perfil transaccional del Cliente señalados en el párrafo anterior, la Entidad deberá tomar en cuenta la Geolocalización del Dispositivo de donde se lleve a cabo dicha Operación,

La Geolocalización a que se refiere el párrafo anterior podrá amparar las diversas Operaciones que realice el Cliente en la sesión activa dentro de la página de Internet o aplicación móvil, entre otros desarrollos tecnológicos, que las propias Entidades pongan a disposición de sus Clientes para llevarlas a cabo.

Las Entidades no estarán obligadas a tomar en cuenta el dato relativo a la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la 21ª de estas Disposiciones.

21ª.- ...

...

...

...

...

En el caso de la celebración de contratos de forma no presencial a que se refiere la 4ª Ter de las presentes Disposiciones, las Entidades deberán considerar la información de Geolocalización del Dispositivo desde el cual el Cliente realice la Operación, actividad o servicio con la respectiva Entidad.

Las Entidades no estarán obligadas a considerar información de la Geolocalización en términos de la presente Disposición, tratándose de las sociedades, dependencias y entidades a que hace referencia el Anexo 1 de las presentes Disposiciones, siempre que las referidas sociedades, dependencias y entidades hubieran sido clasificadas como Clientes con un Grado de Riesgo bajo en términos de la presente Disposición.

...

...

Para determinar el Grado de Riesgo en el que deban ubicarse los Clientes, así como si deben considerarse Personas Políticamente Expuestas, cada una de las Entidades establecerá en su Manual de Cumplimiento los criterios conducentes a ese fin, que tomen en cuenta, entre otros aspectos, los antecedentes del Cliente, su profesión, actividad o giro del negocio, el origen y destino de sus recursos, el lugar de su residencia, Geolocalización la metodología a que se refiere el Capítulo II Bis de las presentes Disposiciones y las demás circunstancias que determine la propia Entidad.

23ª.- Previamente a la celebración de contratos u Operaciones de Clientes que, por sus características sean clasificados con un Grado de Riesgo alto por la Entidad, al menos un directivo o su equivalente que cuente con facultades específicas para aprobar la celebración de dichos contratos, deberá otorgar, por escrito, de forma digital o electrónica, la aprobación respectiva. Asimismo, para los efectos a que se refieren las fracciones IV y V de la 39ª de las presentes Disposiciones, las Entidades deberán prever en su Manual de Cumplimiento, los mecanismos para que sus respectivos Oficiales de Cumplimiento tengan conocimiento de aquellos Clientes que sean clasificados con un Grado de Riesgo alto por las propias Entidades, así como los procedimientos que se deberán llevar a cabo para tramitar la aprobación señalada en esta disposición.

29ª.- Por cada Operación Inusual que detecte una Entidad, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que se genere la alerta por medio de su sistema, modelo, proceso o por el empleado de la Entidad, lo que ocurra primero.

...

34ª.- Por cada Operación Interna Preocupante que detecte una Entidad, esta deberá remitir a la Secretaría, por conducto de la Comisión, el reporte correspondiente, dentro de los tres días hábiles siguientes a aquél en que concluya la sesión del Comité que la dictamine como tal. Para efectos de llevar a cabo el dictamen en cuestión, la Entidad a través de su Comité, contará con un periodo que no excederá de sesenta días naturales contados a partir de que dicha Entidad detecte esa Operación, por medio de su sistema, modelo, proceso o de cualquier empleado de la misma, lo que ocurra primero.

...

...

35ª.- Cada Entidad deberá contar con un órgano colegiado que se denominará “Comité de Comunicación y Control” y que tendrá, cuando menos, las siguientes funciones y obligaciones:

I. Someter a la aprobación del comité de auditoría de la Entidad de que se trate, el Manual de Cumplimiento, así como cualquier modificación al mismo.

Para el caso de aquella Entidad que no cuente con un comité de auditoría, corresponderá a su propio Comité o bien, su consejo de administración o director general, aprobar el documento señalado en esta fracción;

I. Bis. a XII. ...

...

39ª Bis.- El Comité de cada Entidad o bien, su consejo de administración o director general según corresponda, podrá nombrar a un funcionario de la Entidad que interinamente ejercerá las funciones de Oficial de Cumplimiento, en el cumplimiento de sus obligaciones conforme a las presentes Disposiciones, hasta por noventa días naturales durante un año calendario, contados a partir de que el funcionario designado como Oficial de Cumplimiento deje, le sea revocado o se encuentre imposibilitado para realizar el encargo en cuestión.

...

...

El Oficial de Cumplimiento Interino deberá desempeñar las funciones y obligaciones señaladas en las presentes Disposiciones, hasta el momento en que se informe la revocación señalada en la fracción II  de la 40ª de estas Disposiciones.

40ª.- ...

I. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que se haya efectuado la designación correspondiente;

II. La revocación de la designación del Oficial de Cumplimiento u Oficial de Cumplimiento Interino que hubiere sido designado en términos de lo establecido tanto en la 39ª, como en la 39ª Bis de las presentes Disposiciones, según sea el caso, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido, ya sea por determinación de la Entidad, rechazo del encargo, por terminación laboral o imposibilidad, así como la demás información que se prevea en el formato señalado, y

III. El nombre y apellidos sin abreviaturas del funcionario que haya designado como Oficial de Cumplimiento en términos de lo establecido en la 39ª Bis de las presentes Disposiciones, así como la demás información que se prevea en el formato señalado, dentro de los diez días hábiles siguientes a la fecha en que la misma haya ocurrido.

61ª.-...

Las Entidades deberán adoptar e implementar mecanismos que permitan identificar a los Clientes o Usuarios que se encuentren dentro de la Lista de Personas Bloqueadas, así como cualquier tercero que actúe en nombre o por cuenta de los mismos, y aquellas Operaciones que hayan realizado, realicen o que pretendan realizar. Dichos mecanismos deberán estar previstos en el Manual de Cumplimiento de la propia Entidad.

62ª.- ...

I. a VI. ...

VII. Aquellas que aparezcan en la lista de contribuyentes a que se refiere el cuarto párrafo del  artículo 69-B del Código Fiscal de la Federación.

65ª.- ...

I. a IV. ...

V. Se encuentren en el supuesto del párrafo sexto del artículo 69-B del Código Fiscal de la Federación.

...

Anexo 2

...

Capítulo I “Objeto”

Artículo 1.- El presente Anexo tiene por objeto establecer las medidas y procedimientos mínimos que las Entidades, con excepción de las sociedades financieras de objeto múltiple reguladas que mantengan vínculos patrimoniales con una institución de crédito, deberán observar a efecto de dar cumplimiento a la 4ª Ter de las presentes Disposiciones, sin perjuicio del cumplimiento de las diversas obligaciones establecidas en las mismas.

Capítulo II “Umbrales para la identificación no presencial”

Artículo 2.- Las Entidades deberán observar los siguientes umbrales por tipo de Mecanismo Tecnológico de Identificación y producto sobre el cual estas soliciten autorización a la Comisión para efectos del cumplimiento de la 4ª Ter de estas Disposiciones:

I. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 4 del presente Anexo, con relación a las Entidades, para efectos de la identificación de sus solicitantes, en la celebración no presencial de contratos de crédito que se otorguen a personas físicas, personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, y que no cuenten con garantía de inmuebles, se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 30,000 Unidades de Inversión.

II. Respecto al Mecanismo Tecnológico de Identificación previsto en el artículo 5 del presente Anexo, con relación a las Entidades, para efectos de la identificación de sus solicitantes, en la celebración no presencial de contratos de créditos que se otorguen a personas físicas o personas físicas con actividad empresarial o personas morales, todos de nacionalidad mexicana, y que no cuenten con garantía de inmuebles, se deberá pactar en los contratos respectivos que la línea de crédito o monto otorgado no exceda del equivalente en moneda nacional a 60,000 Unidades de Inversión.

Las Entidades deberán tomar como valor de referencia de las Unidades de Inversión a que se refiere el presente artículo, aquel aplicable para el último día del mes calendario anterior a aquel en que se lleve a cabo el cómputo del nivel de contrato para el otorgamiento de crédito de que se trate.

Capítulo III “Mecanismos Tecnológicos de Identificación”

Artículo 3.- Las Entidades podrán optar por alguno o ambos de los Mecanismos Tecnológicos de Identificación que se señalan en los artículos 4 o 5 sujetos a los umbrales señalados en el artículo 2 de este Anexo.

Sin perjuicio de lo anterior, adicionalmente las Entidades podrán llevar a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo sujeto a los umbrales a que se refiere la fracción I del artículo 2 del presente Anexo.

Artículo 4.- Las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia del contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la relación contractual.

Adicionalmente, durante el desarrollo del Mecanismo Tecnológico de Identificación a que se refiere el párrafo anterior, las Entidades deberán observar lo siguiente:

a) Registrar la hora y fecha de su realización obtenidas de un servidor de tiempo protegido.

b) Implementarlo a través de herramientas automatizadas que permitan su grabación y posterior reproducción.

c) Verificar que la calidad de la imagen y sonido permita la plena identificación del solicitante, según los parámetros que establezcan las propias Entidades para tal efecto.

d) Requerir al solicitante que muestre el documento válido de identificación que envió junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, tanto por el lado anverso como por el reverso, verificando que contenga los mismos datos y fotografía que el documento válido de identificación previamente enviado.

e) Utilizar tecnología especializada que les permita lograr una identificación fehaciente del solicitante, asegurándose de que exista coincidencia entre su rostro y el del documento válido de identificación previamente enviado.

f) Realizar una prueba de vida al solicitante durante la implementación de los Mecanismos Tecnológicos de Identificación.

Para efectos de lo anterior, se entenderá como prueba de vida a las pruebas técnicas con base en algoritmos, para medir y analizar las características anatómicas o reacciones voluntarias e involuntarias del solicitante, a efecto de determinar si una muestra biométrica está siendo capturada de un sujeto con vida presente en el punto de captura.

Artículo 5.- Las Entidades deberán verificar la coincidencia de la información biométrica del solicitante ya sea con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.

En caso de que la información biométrica a que se refiere el párrafo anterior sean las huellas dactilares del solicitante, las Entidades deberán asegurarse de que las aplicaciones o medios de que dispongan aseguren que la huella dactilar se obtenga directamente del solicitante, es decir, una prueba de huella viva, evitando el registro de huellas provenientes de impresiones en algún material que pretenda simular la huella de otra persona o de imágenes que persigan tal fin, y contar con medidas de seguridad que garanticen que la información almacenada, procesada o enviada a través de dichas aplicaciones o medios no sea conocida ni utilizada por terceros no autorizados, así como autenticar que la huella dactilar que se obtenga del solicitante coincida, al menos, en un noventa por ciento con los registros de las bases de datos ya sea del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica.

Adicionalmente, las Entidades deberán contar con una tecnología que permita identificar al solicitante mediante una grabación que contenga imagen y, en su caso, sonido, la cual deberá ser conservada sin ediciones en su total duración durante toda la vigencia del contrato y, una vez que este concluya, por un periodo de, al menos, diez años a partir de la conclusión de la relación contractual, y deberán observar los requisitos a que se refiere el artículo 4, párrafo segundo del presente Anexo. Para cumplir con el inciso c) será necesario verificar la calidad del sonido cuando resulte aplicable.

Artículo 6.- En caso de que el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores o alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica, no puedan responder a las solicitudes de verificación de información biométrica a que se refiere el artículo 5 del presente Anexo por fallas técnicas o de comunicación imputables a la autoridad mexicana correspondiente, las Entidades podrán, en caso de contar con la autorización correspondiente, llevar a cabo el Mecanismo Tecnológico de Identificación del artículo 4 del presente Anexo 2, sujetándose a los límites correspondientes.

Capítulo IV “Requisitos”

Artículo 7.- Adicionalmente, para efectos de lo establecido en el presente Anexo, las Entidades deberán:

I. Obtener previa autorización de la Comisión.

No será necesaria la autorización a que se refiere el párrafo anterior, cuando las Entidades se sujeten a los umbrales a que se refiere el artículo 2, fracción I del presente Anexo y lleven a cabo el Mecanismo Tecnológico de Identificación a que se refiere el artículo 5 del presente Anexo. En este supuesto, las Entidades deberán informar de manera previa a la Comisión los productos y la fecha en la que empezarán a ofrecerlos, a través de los medios electrónicos que esta última señale.

Asimismo, las Entidades deberán observar lo establecido en las fracciones II a VII del presente artículo, así como con los requisitos previstos en los artículos 8 y 9 del presente Anexo. Las Entidades deberán conservar toda la información y documentación soporte, misma que deberá estar a disposición de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.

Para efectos de la presente fracción, la Entidad deberá presentar la solicitud de autorización mediante escrito libre dirigido a la Comisión, la cual deberá resolver conforme a los plazos previstos en la ley financiera aplicable.

II. Requerir al solicitante que declare si ya es Cliente de la Entidad. En caso de que la declaratoria sea afirmativa, la Entidad deberá observar lo previsto en la fracción IV del presente artículo. Con independencia de la declaratoria del solicitante, la Entidad deberá completar su expediente de identificación de acuerdo con el producto que pretenda contratar.

III. Requerir al solicitante que haya declarado no ser Cliente de la Entidad el envío de un formulario a través del medio electrónico que la Entidad establezca al efecto, en el cual se deberán incluir, al menos, los datos de identificación a que se refiere la 4ª Ter de las presentes Disposiciones.

El formulario mencionado deberá incluir una manifestación que señale que su envío a la Entidad de que se trate constituye la aceptación del solicitante para que su imagen y, en su caso, su voz sean grabadas en alguno de los Mecanismos Tecnológicos de Identificación a que se refiere el Capítulo III de este Anexo. Dicha manifestación podrá realizarse a través de herramientas automatizadas que permitan su grabación y posterior reproducción.

IV. En caso de que el solicitante declare ser Cliente de la Entidad, esta deberá verificar como mínimo los datos de nombre completo, número de Cliente y Clave Única del Registro de Población del Cliente, así como los demás datos que ella misma determine con el fin de corroborar contra sus propios registros que, en efecto, se trata de un Cliente, y en caso de que así sea, la Entidad deberá autenticarlo con un factor de autenticación categoría 3.

Se entenderá como factor de autenticación categoría 3 a la información contenida, recibida o generada por medios o dispositivos electrónicos, así como la obtenida por dispositivos generadores de contraseñas dinámicas de un solo uso. Dichos medios o dispositivos deberán ser proporcionados por las Entidades a sus Clientes y la información contenida, recibida o generada por ellos deberá cumplir con las características siguientes:

a) Contar con propiedades que impidan su duplicación o alteración.

b) Ser información dinámica que no podrá ser utilizada en más de una ocasión.

c) Tener una vigencia que no podrá exceder de dos minutos.

d) No ser conocida con anterioridad a su generación y a su uso por los funcionarios, empleados, representantes o comisionistas de la Entidad o por terceros.

En caso de que la verificación a que se refiere el primer párrafo de esta fracción sea exitosa, la Entidad podrá proceder a la contratación de los productos previstos en el artículo 2 de este Anexo, sin necesidad de llevar a cabo lo establecido en las fracciones V a VIII siguientes.

Cuando la verificación a la que se refiere la presente fracción no resulte exitosa, la Entidad deberá observar los mismos requisitos previstos en el presente Anexo para los solicitantes que declaren no ser Clientes.

V. Si la Entidad corrobora que el solicitante no es su Cliente, conjuntamente con el formulario a que se refiere la fracción III del presente artículo, deberá requerir al solicitante el envío de una fotografía a color de alguno de los documentos válidos de identificación, a que se refiere la 4ª Ter de las presentes Disposiciones, por el anverso y el reverso y verificar los elementos de seguridad, a fin de detectar si presentan alteraciones o inconsistencias, para lo cual deberán contar con la tecnología necesaria para ello.

Se deroga.

Se deroga.

...

Se deroga.

Tratándose de la credencial para votar expedida por el Instituto Nacional Electoral en el país o a través de las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se listan, con los registros del propio Instituto o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) El Código Identificador de Credencial (CIC), que se encuentra impreso en la credencial para votar o, en su caso, el Código Reconocimiento Óptico de Caracteres (OCR)

b) a d) ...

Las Entidades deberán verificar que los apellidos paterno y materno y nombre o nombres, tal como aparezcan en la credencial para votar presentada, coinciden con los registros del Instituto Nacional Electoral o del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de dicho documento de identificación.

Tratándose del pasaporte mexicano expedido por la Secretaría de Relaciones Exteriores en el país o a través de sus oficinas consulares en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) El Código de Reconocimiento Óptico de Caracteres (OCR).

b) Apellidos paterno y materno y nombre(s), tal como aparezcan en el pasaporte mexicano.

c) Número de Pasaporte.

En caso del certificado de matrícula consular expedida por las oficinas consulares de la Secretaría de Relaciones Exteriores en el extranjero, las Entidades deberán verificar la coincidencia de los datos que a continuación se mencionan con los registros de la propia Secretaría o con los de alguna otra autoridad mexicana que provea un servicio de verificación respecto a dicho documento de identificación:

a) Apellidos paterno y materno y nombre(s), tal como aparezcan en el certificado de matrícula consular.

b) Fecha de expedición y fecha de expiración.

c) Número del documento.

Adicionalmente, las Entidades deberán requerir al solicitante que envíe en formato digital los documentos necesarios para integrar y conservar su expediente de identificación en términos de lo previsto en la 4ª Ter de las presentes Disposiciones.

VI. Informar al solicitante el procedimiento que se seguirá en el Mecanismo Tecnológico de Identificación que corresponda previsto en el Capítulo III del presente Anexo y cuáles son los accesos a los medios para su realización, así como entregar un código de un solo uso, el cual será requerido al solicitante al inicio del Mecanismo Tecnológico de Identificación de que se trate.

Se deroga.

VII. Las Entidades deberán suspender el proceso de contratación del solicitante cuando se presente cualquiera de los casos siguientes:

a) La calidad de la imagen y, en su caso, la del sonido, no permitan realizar una identificación plena del solicitante.

b) El solicitante no presente el documento válido de identificación previamente enviado junto con el formulario a que se refiere la fracción III del artículo 7 del presente Anexo, los datos obtenidos de esta no coincidan con los registros del Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, del Registro Nacional de Población o con los de alguna otra autoridad mexicana que provea un servicio de verificación de información biométrica respecto de dicho documento de identificación o, el resultado de la validación de los elementos de los mencionados documentos, o de las verificaciones biométricas del rostro del solicitante a que se refiere el artículo 5 anterior, no alcancen la efectividad o nivel de fiabilidad a que hace referencia la fracción VII del artículo 9 del presente Anexo.

c) y d) ...

e) Se presenten situaciones atípicas o riesgosas, o bien, la Entidad tenga dudas acerca de la autenticidad del documento válido de identificación o de la identidad del solicitante.

Se deroga.

Se deroga.

En caso de suspensión del proceso de contratación por las causas mencionadas en los incisos anteriores, las Entidades deberán almacenar la información y documentación obtenida, por lo menos, durante 30 días naturales, con el objetivo de que, en caso de retomar los procesos de contratación, se corrobore que la información sea consistente. Adicionalmente, la mencionada información y documentación deberá ser utilizada por las Entidades en los controles previstos en estas Disposiciones.

Para el caso de Clientes o solicitantes que sean personas morales, para efectos de la identificación de sus apoderados o representantes legales, las Entidades deberán observar los mismos procedimientos señalados en el presente artículo, con la salvedad de que, para el caso de solicitantes que declaren no ser Clientes, el envío del formulario a que se refiere la fracción III de este artículo, deberá hacerse mediante archivo firmado con la Firma Electrónica Avanzada de la persona moral de que se trate.

La tecnología utilizada para los procedimientos a que se refiere el presente Anexo deberá ser aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad.

Se deroga.

Artículo 8.- Las Entidades deberán contar con los medios necesarios para la transmisión y resguardo de la información, datos y archivos generados en los procedimientos de identificación a que se refiere el Artículo 7 del presente Anexo, los cuales garanticen la integridad de dicha información, así como la correcta lectura de los datos y la imposibilidad de su manipulación, al igual que su adecuada seguridad, conservación y localización.

Las Entidades a que se refiere el artículo anterior podrán utilizar mejoras tecnológicas que ayuden a compensar la nitidez de las imágenes, cuando se muestre alguno de los documentos válidos de identificación y se realice el reconocimiento facial del solicitante, las cuales deberán ser aprobadas por su responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

Capítulo V “Otras disposiciones”

Se deroga.

Artículo 9.- Las Entidades, al solicitar la autorización a que se refiere el artículo 7 deberán presentar lo siguiente:

I. Descripción detallada del proceso de identificación no presencial, así como la Infraestructura Tecnológica utilizada en cada parte de este, especificando la función de cada componente de dicha infraestructura el cual deberá ser aprobado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

Asimismo, las Entidades deberán incluir a todos los proveedores de tecnología que intervienen en la Infraestructura Tecnológica y, en su caso, las aplicaciones principales utilizadas para el referido proceso y su interrelación.

II. Descripción de los medios electrónicos utilizados para que los solicitantes envíen, en su caso, el formulario y documentos por un canal seguro considerando, al menos, el tipo de transmisión del dispositivo hacia el nodo que recibe la información del formulario, tales como Hyper Text Transfer Protocol Secure, o Transport Layer Security versión 1.2 o superior.

III. Nombre del prestador de servicios de certificación autorizado por la Secretaría de Economía utilizado para la conservación de la versión digital de alguno de los documentos válidos de identificación, a que se refiere la 4ª Ter de las presentes Disposiciones, conforme a la Norma Oficial Mexicana sobre digitalización y conservación de Mensajes de Datos aplicable o considerar una norma internacional siempre que el estándar de cumplimiento tenga al menos los requisitos de la norma oficial mexicana y no contravenga la misma.

IV. Diagrama de red que muestre todos los componentes de la Infraestructura Tecnológica que forman parte del proceso de identificación no presencial, incluyendo la segregación de redes de comunicaciones y equipos de seguridad perimetral, considerando esquemas de redundancia.

Se deroga.

V. Información detallada sobre si las imágenes de los documentos válidos de identificación, grabaciones e información biométrica se mantendrán en instalaciones de proveedores de servicios o de la propia Entidad, describiendo los controles para la gestión de acceso y mecanismos para su almacenamiento.

VI. Evidencia de que los medios de verificación de la validez de los documentos de identificación tienen la efectividad aprobada por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único.

VII. En su caso, evidencia de que los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen tengan el nivel de fiabilidad determinado por el responsable de riesgos o su equivalente o, en caso de no contar con este, por el comité de auditoría, el consejo de administración o administrador único de la Entidad.

VIII. En su caso, información detallada sobre las pruebas de calibración a los sistemas, herramientas o mecanismos utilizados para los reconocimientos de identificación de rostro o las verificaciones de cualquier otro elemento biométrico que se utilicen.

Dichas pruebas deben ser realizadas conforme a los umbrales establecidos por la Entidad, los cuales deberán contemplar los resultados de estas pruebas, y los ajustes del motor de validación derivado de ellos. Las Entidades deberán acompañar a su solicitud de autorización evidencias de todo lo anterior.

IX. Los estándares de calidad de la imagen y, en su caso, de sonido.

X. En su caso, la descripción técnica de los Factores de Autenticación categoría 3 que se requerirán para corroborar que un solicitante es Cliente de la Entidad, conforme a lo previsto en el artículo 7 del presente Anexo, así como las características del código de un solo uso.

XI. Mecanismos a través de los cuales transmitirán y resguardarán de manera segura la información, datos y documentos generados en el procedimiento de identificación no presencial.

XII. Mecanismos utilizados para garantizar la integridad, correcta lectura, imposibilidad de manipulación y adecuada seguridad, conservación y localización de la información, datos y documentos a que se refiere el presente Anexo.

XIII. Mecanismos de cifrado en los canales de comunicación utilizados en el proceso de identificación no presencial, indicando la información que será transmitida por cada uno de dichos canales.

XIV. Mecanismos utilizados para la gestión de accesos a los sistemas, así como las políticas para la gestión de accesos, en las que se incluya el uso de contraseñas robustas.

XV. Políticas y procedimientos de gestión de incidentes de seguridad de la información.

XVI. Mecanismos o herramientas utilizadas para el monitoreo y bloqueo de contrataciones que presenten las situaciones descritas en el inciso e) de la fracción VII del artículo 7 del presente Anexo.

XVII. Realizar pruebas tendientes a detectar vulnerabilidades y amenazas, así como pruebas de penetración en los diferentes componentes de la Infraestructura Tecnológica utilizada en el proceso, ya sea propia o de terceros. Las pruebas de penetración mencionadas deberán realizarse por un tercero independiente que cuente con personal que tenga la capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia.

Las Entidades deberán proporcionar a la Comisión evidencia de la realización de las pruebas a las que se refieren las fracciones VIII y XVII del presente artículo, antes de implementar el esquema que se les haya autorizado de conformidad con el artículo 7 del presente Anexo.

Será responsabilidad de las Entidades que contraten a terceros para almacenar, procesar y transmitir información en el proceso de contratación no presencial, la vigilancia del cumplimiento al presente artículo, al menos una vez al año, así como la obligación de contar con la evidencia que lo sustente, la cual deberán tener a disposición de la Comisión en todo momento.

Cuando las Entidades pretendan modificar alguno de los procedimientos que tengan autorizados para dar cumplimiento al artículo 4 o artículo 5, según corresponda del presente Anexo, requerirán de la previa autorización de la Comisión.

Disposiciones Transitorias

Primera.- La presente Resolución entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación salvo por lo previsto en las siguientes Disposiciones Transitorias.

Segunda.- Los lineamientos, interpretaciones y criterios emitidos por la Secretaría o por la Comisión, con fundamento en lo dispuesto en la Resolución del 31 de diciembre de 2014 y Resoluciones subsecuentes mediante las que hayan sido adicionadas o reformadas las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple, seguirán siendo aplicables en lo que no se opongan a lo establecido en la presente Resolución.

Tercera.- Las sociedades financieras de objeto múltiple, que hayan obtenido la aprobación de la Comisión Nacional Bancaria y de Valores a los mecanismos de identificación no presencial en términos del Anexo 2 de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple, vigentes hasta antes de la entrada en vigor de la presente Resolución, tendrán un plazo de doce meses, contados a partir de la entrada en vigor de esta Resolución, para presentar a dicha Comisión una nueva solicitud de aprobación en apego al artículo 7, fracción I del Anexo 2 que se reforma con el presente instrumento.

La autorización a que se refiere el párrafo anterior continuará vigente hasta en tanto la Comisión Nacional Bancaria y de Valores resuelva sobre la solicitud de aprobación que las sociedades financieras de objeto múltiple, hayan presentado ante la propia Comisión conforme a lo indicado por Anexo 2 de las Disposiciones de carácter general a que se refieren los artículos 115 de la Ley de Instituciones de Crédito en relación con el 87-D de la Ley General de Organizaciones y Actividades Auxiliares del Crédito y 95-Bis de este último ordenamiento, aplicables a las sociedades financieras de objeto múltiple, que se reforman con esta Resolución.

Cuarta.- Las Entidades deberán dar cumplimiento a las obligaciones contenidas en la presente Resolución, en los términos y de conformidad con los plazos que se señalan a continuación:

I. Cuatro meses contados a partir de la entrada en vigor de la presente Resolución para modificar el Manual de Cumplimiento y presentarlo a la Comisión.

II. Nueve meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para modificar la metodología a que hace referencia el Capítulo II Bis.

III. Dieciocho meses contados a partir de la fecha de entrada en vigor de la presente Resolución, para actualizar los sistemas automatizados a que se refiere la 43ª de las Disposiciones.

Quinta.- En caso de que las Entidades actualicen el supuesto previsto en el artículo 7, fracción I párrafo segundo del Anexo 2 que se reforma con la presente Resolución, deberán informar a través del correo electrónico prevencion.lavado@cnbv.gob.mx, mediante escrito libre dirigido a las Direcciones Generales de Prevención de Operaciones con Recursos de Procedencia Ilícita A y B de la Comisión, la situación prevista en dicho artículo en tanto la Comisión establezca los medios electrónicos idóneos para que las Entidades cumplan con lo previsto en dicho artículo.

Sexta.- Aquellas referencias de beneficiario final que se encuentren previstas en otro marco normativo, lineamientos o guías emitidas por las autoridades competentes en materia de prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo distinto a las presentes Disposiciones, así como en las bases de datos públicas de consulta a cargo de las autoridades competentes, las Entidades podrán equipararlo al término definido de Propietario Real a que se refiere las presentes Disposiciones.

Ciudad de México, a 25 de agosto de 2021.- El Secretario de Hacienda y Crédito Público, Rogelio Eduardo Ramírez de la O.- Rúbrica.