CIRCULAR EXTERNA 3 DE 2020
(Febrero 28)
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 528 de 28 de febrero de 2020
SUPERINTENDENCIA FINANCIERA
Señores
REPRESENTANTES LEGALES Y REVISORES FISCALES DE LOS ESTABLECIMIENTOS DE CRÉDITO, SOCIEDADES ESPECIALIZADAS EN DEPÓSITOS Y PAGOS ELECTRÓNICOS Y ENTIDADES ADMINISTRADORAS DE SISTEMAS DE PAGO DE BAJO VALOR
Referencia: Instrucciones relacionadas con la divulgación a los consumidores financieros del paquete mínimo de productos y/o servicios sin costo adicional según lo establecido en la Ley 2009 de 2019 y otras disposiciones.
Apreciados señores:
El pasado 27 de diciembre se sancionó la Ley 2009 de 2019 por medio de la cual “se incluyen sin costo adicional un paquete de productos y/o servicios financieros por el pago de la cuota de manejo de las tarjetas débito y crédito”. En virtud de lo anterior, esta Superintendencia incorporó en su plan de supervisión para el año 2020 la verificación del cumplimiento de la mencionada Ley por parte de las entidades destinatarias de la misma.
En este sentido, las aproximaciones iniciales realizadas por esta Superintendencia permitieron identificar que si bien las entidades han dado aplicación a las disposiciones establecidas en la Ley, existe heterogeneidad respecto de su aplicación e interpretación que hace necesario establecer elementos mínimos homogéneos a fin de que los consumidores financieros tengan total claridad de los beneficios incorporados en la mencionada Ley.
En consecuencia, este Despacho, en uso de sus facultades legales y en especial las establecidas en literal a) del numeral 3o del artículo 326 del EOSF, el artículo 12 de la Ley 1328 de 2009 y el numeral 4o del artículo 11.2.1.4.2 del Decreto 2555 de 2010, imparte las siguientes instrucciones:
PRIMERA: Adicionar un párrafo al subnumeral 2.3.4.2.8 del Capítulo I del Título II de la Parte I de la Circular Básica Jurídica con el propósito de incorporar reglas relativas a la reversión de cobros realizados en cajeros automáticos por operaciones fallidas.
SEGUNDA: Adicionar el subnumeral 3.3.4. y modificar el subnumeral 3.4.1.3. del Capítulo I del Título III de la Parte I de la Circular Básica Jurídica con el fin de incorporar las reglas relativas a la divulgación de información respecto de la composición de los paquetes mínimos de productos y/o servicios sin costo adicional en cuentas de ahorro, tarjetas de débito y/o crédito en atención a lo dispuesto en la Ley 2009 de 2019.
TERCERA: Adicionar los subnumerales 6.2.53. y 6.2.54. al Capítulo I del Título III de la Parte I de la Circular Básica Jurídica para tipificar como prácticas abusivas aquellas relacionadas con los cobros por las operaciones de consulta de saldo o descarga de extractos realizadas en plataformas electrónicas, y aquellos asociados a operaciones fallidas en cajeros automáticos.
CUARTA: Adicionar los subnumerales 8.5.6., 8.5.7. y 8.5.8. del Capítulo II del Título IV de la Parte I de la Circular Básica Jurídica con el propósito de establecer los incumplimientos a la Ley 2009 de 2019 como criterios de clasificación para la queja exprés.
QUINTA: Adicionar el subnumeral 8.5.9. del Capítulo II del Título IV de la Parte I de la Circular Básica Jurídica con el propósito de establecer el incumplimiento al Artículo 10 de la Ley 1266 de 2008 en relación con la negación de una solicitud de crédito basados exclusivamente en el reporte de información negativa del solicitante como criterios de clasificación para la queja exprés.
SEXTA: Sin perjuicio de las medidas de supervisión adoptadas por esta Superintendencia respecto de la aplicación de la Ley 2009 de 2019, en el evento en que las entidades vigiladas hayan realizado cobros por alguno de los productos y/o servicios informados a los consumidores financieros como productos y servicios sin costo adicional, aquellas entidades vigiladas deben reversar dichos cobros a los consumidores financieros dentro de los 5 días hábiles siguientes a la expedición de la presente Circular.
SEPTIMA: Las entidades administradoras de sistemas de pago de bajo valor que administren su propia red de cajeros automáticos deben parametrizar sus cajeros automáticos para efectos de garantizar el cumplimiento del artículo 3 de la Ley 2009 de 2019 conforme a los términos descritos en la presente Circular a más tardar el 16 de marzo de 2020.
OCTAVA: La presente Circular rige a partir de su expedición.
Cordialmente,
JORGE CASTAÑO GUTIERREZ
Superintendente Financiero de Colombia
3.3.2.4. Carteleras
Las instituciones financieras deben disponer de manera permanente, en todas y cada una de sus oficinas, una cartelera o tablero que se situará en los lugares de atención al público, de manera visible, en la que se presente con carácter permanente las tasas de interés activas y pasivas (efectivas anuales) que cobren o reconozcan, según el caso, en sus operaciones ordinarias, distinguiendo los subtipos de productos, así como las comisiones por concepto de otros productos o servicios como la negociación de divisas o la expedición de cartas de crédito. Para tal efecto, deben usarse tipos de letras y números que resulten fácilmente legibles.
Las carteleras deben reflejar los cambios en la tasa de interés o en la forma en que ésta se liquidará, con la periodicidad definida para cada tipo de producto.
3.3.2.5. Restricciones para la expresión de tasas de interés por parte de las entidades vigiladas
Los avisos que contengan la rentabilidad que se ofrece al inversionista, así como la tasa de interés o de descuento que se cobre al deudor, deben tener en cuenta los siguientes aspectos:
3.3.2.5.1. Cualquiera que sea la tasa de interés referida en la divulgación de información de las entidades vigiladas, debe calcularse conforme a las definiciones contenidas en el subnumeral 1.2 del Capítulo I, Tít. I de la Parte II de las presente Circular y expresar su equivalencia con la tasa de interés efectiva anual.
3.3.2.5.2. La rentabilidad de una inversión no se puede referir a períodos cuya duración sea superior a 1 año.
3.3.2.5.3. Para el cálculo de la rentabilidad solamente deben tenerse en cuenta factores objetivos. Factores como beneficios tributarios o saldos mínimos, que no se pueden cuantificar individualmente, no se deben incluir numéricamente en la tasa de rentabilidad. Estos factores subjetivos pueden mencionarse cualitativa y adicionalmente.
3.3.2.5.4. Tanto la rentabilidad que se ofrezca para una inversión como la tasa de interés que se cobre para un crédito, deben ser exactas y no se pueden aproximar sus valores ni por encima en el primer caso ni por debajo en el segundo.
En todo aviso o promoción debe manifestarse que las tasas de interés de rentabilidad allí utilizadas se calculan de acuerdo con las definiciones adoptadas por la SFC. Así mismo a todo deudor, que así lo solicite, debe explicársele la tasa de interés o de descuento, utilizando dichas definiciones.
3.3.3. Tasas de interés en operaciones activas y pasivas
Toda divulgación de tasas de interés que realice una entidad para información a los consumidores financieros debe, en primera instancia, distinguir entre operaciones activas y pasivas.
A partir de la señalada distinción las tasas de interés sean éstas fijas o variables, deben expresarse en términos efectivos anuales, independientemente de la posibilidad de expresar su equivalencia en tasas nominales y calcularse en la forma que lo determina esta Superintendencia en el Capítulo I, Título I de la Parte II de la presente Circular.
Tratándose de tasas de interés variables, la tasa de interés de referencia debe ser expresada en términos efectivos anuales y el margen o spread, también calculado en términos efectivos anuales, debe informarse adicionada a la misma.
La tasa de interés efectiva debe incluir conceptos tales como comisiones, estudios, vigilancia, descuentos de crédito y cualquier suma que reciba el acreedor directamente o por interpuesta persona, teniendo como causa la entrega de dinero, a título de depósito o de mutuo, así como aquellas sumas que el deudor pague por concepto de servicios vinculados directamente con el crédito, de conformidad con lo señalado por el art. 68 de la Ley 45 de 1990.
Los emolumentos que obedezcan a servicios adicionales e independientes que se encuentren autorizados y que, en consecuencia, no se cobren de manera uniforme a los usuarios del mismo servicio, deben excluirse del cálculo de la mencionada tasa de interés efectiva y mostrarse en forma individual, en cuyo caso se identificarán por separado con expresión de su costo en términos de tasa de interés.
Para el caso de las tarjetas de crédito, en la publicidad debe determinarse la tasa de interés efectiva anual que se cobrará durante el mes siguiente por concepto de “utilizaciones” y “avances en efectivo”, incluyendo para efectos de su cálculo, todos aquellos cobros que influyen en la determinación del costo financiero del crédito a cargo del beneficiario del mismo con el fin de que los usuarios estén informados del costo real que les implicaría la utilización de una u otra tarjeta de crédito. Esta información debe incluir en forma separada el costo de la cuota de manejo y la prima de seguro.
3.3.4. Divulgación de información al consumidor financiero conforme a las disposiciones de la Ley 2009 de 2019
En virtud de lo establecido en la Ley 2009 de 2019, las entidades vigiladas deben informar a cada uno de sus clientes de manera clara, específica y oportuna, a través de cualquiera de los siguientes canales de comunicación (i) extractos, (ii) SMS, (iii) sucursal telefónica, y (iv) correo electrónico, la composición del paquete mínimo de productos y/o servicios señalados en los parágrafos 1, 2 y 3 del artículo 1 de la mencionada Ley al que tendrán acceso sin costo adicional. En todo caso, las entidades vigiladas deben utilizar dos de los canales de comunicación atrás referidos.
Sin perjuicio de lo anterior, las entidades vigiladas deben mantener a disposición de los consumidores financieros en su página web y red de oficinas información clara y actualizada respecto de los paquetes mínimos de productos y/o servicios sin costo adicional para los diferentes segmentos definidos en su política comercial, con el propósito de que los consumidores financieros puedan acceder a esta información.
En el evento en que haya cualquier cambio en la composición del paquete mínimo de productos y/o servicios sin costo adicional de los clientes, las entidades vigiladas deben informar acerca del mismo con 15 días de antelación, como mínimo.
3.4. Reglas particulares a algunos productos o intermediarios
3.4.1 Establecimientos de crédito y Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE)
3.4.1.1. Estabilidad de las tarifas
Los establecimientos de crédito no pueden incrementar las tarifas cobradas a sus clientes, ni imponer obligaciones adicionales a las inicialmente pactadas sin antes haberlo notificado a cada cliente por los canales usados habitualmente por la entidad para reportar los extractos mensuales, dentro de los términos y siempre que se cumplan las condiciones del art. 2.35.4.2.6 del Decreto 2555 de 2010.
3.4.1.2. Reporte Anual de Costos Totales (RACT)
De conformidad con lo previsto en el art. 2.35.4.2.1 del Decreto 2555 de 2010, los establecimientos de crédito y las SEDPE deben suministrar a sus clientes un RACT, el cual debe cumplir con las siguientes condiciones:
3.4.1.2.1. Contenido
El reporte debe consolidar la información correspondiente a todos los productos que tenga contratados cada cliente con la entidad, mediante contratos de adhesión, y respecto de cada uno de ellos se deberá discriminar el valor que el cliente ha pagado durante el año de, por lo menos, lo siguiente:
3.4.1.2.1.1. Cobros efectuados al cliente, asociados a los servicios:
3.4.1.2.1.1.1. Cuotas de administración y/o manejo de los productos.
3.4.1.2.1.1.2. Tarifas por operaciones realizadas a través de los diferentes canales.
3.4.1.2.1.2. Cobros realizados al cliente a favor de terceros.
3.4.1.2.1.3. Retenciones tributarias.
3.4.1.2.1.4. Cobros asociados a las operaciones y productos a los que se le debe calcular el Valor Total Unificado en las Operaciones Activas (VTUA) y Valor Total Unificado en las Operaciones Pasivas (VTUP), descritos en los arts. 2.35.4.3.1 y 2.35.4.3.2 del Decreto 2555 de 2010.
Se excluyen de este reporte las operaciones y productos que no presenten ningún cobro durante el año para el cual se efectuó el cálculo.
3.4.1.2.2. Destinatarios
Todos los clientes de los establecimientos de crédito y de las SEDPE tienen derecho a recibir el RACT, independientemente de la fecha de terminación de su relación comercial dentro del año objeto del reporte.
3.4.1.2.3. Forma de Entrega
Podrá ser remitido por medios físicos o electrónicos, a elección de cada cliente o en su defecto a través de los canales habitualmente usados por el establecimiento de crédito o SEDPE para el reporte de los extractos mensuales. Para el efecto, las entidades deben ofrecer las alternativas posibles, incluyendo el envío físico, al momento de contratar un producto o servicio y en las oportunidades de actualización de la información del cliente, para que cada uno defina la forma en que quiere recibir el RACT. Las entidades deben mantener a disposición de la Superintendencia la constancia de la selección del medio de envío por parte del cliente, así como la constancia del envío del reporte.
3.4.1.2.4. Periodicidad
El RACT debe contener la información prevista en el subnumeral 3.4.1.2.1 de este Capítulo para el periodo comprendido entre el 1 de enero y el 31 de diciembre de cada año y debe ser suministrado a más tardar el 31 de marzo del año siguiente.
Sin embargo, si se presenta la terminación de la relación comercial entre el cliente y el establecimiento de crédito antes del 31 de diciembre del respectivo año, la entidad puede elegir entregar el RACT con anterioridad o remitirlo dentro del primer trimestre del año siguiente.
3.4.1.3. Paquete de servicios básicos
Para los efectos previstos en el art. 2.35.4.2.2 del Decreto 2555 de 2010, el paquete de servicios básicos de una cuenta de ahorros o de un depósito electrónico, para persona natural, está compuesto por los siguientes servicios: entrega de tarjeta débito (únicamente la inicial y para cuentas de ahorros), retiro por cajeros, consultas por cajeros, retiros por oficina, transferencias entre cuentas o depósitos de la misma entidad y retiros por corresponsales. Las entidades que ofrezcan todos los servicios mencionados, deben cotizar este paquete en las condiciones que se indican en la siguiente tabla:
| Servicio | Cantidad mensual incluida en la cotización del paquete |
| Entrega de tarjeta débito (Únicamente la inicial y para cuentas de ahorros) | 1 |
| Retiro por cajeros | 6 |
| Consulta por cajeros | 2 |
| Retiro por oficina | 2 |
| Transferencia entre cuentas o depósitos de la misma entidad | 2 |
| Retiro por corresponsales bancarios | 2 |
El paquete de servicios básicos debe estar disponible para el consumidor financiero que lo solicite y debe ser promocionado de manera tal que éste conozca los servicios y la cantidad de transacciones incluidas en la tarifa del paquete.
Las entidades pueden promocionar el paquete de servicios básicos como un producto de inclusión financiera y deben informar al consumidor financiero, por cualquier medio verificable, la tarifa a cobrar en cada paquete. En todo caso, en lo relativo a los productos y/o servicios previstos en los parágrafos 1 y 2 del artículo 1 de la Ley 2009 de 2019, las entidades vigiladas deben dar cumplimiento a las instrucciones señaladas en el subnumeral 3.3.4. del presente Capítulo.
3.4.1.4. Conceptos para el cálculo del VTUA y VTUP
Los conceptos que los establecimientos de crédito y las SEDPE deben tener en cuenta para el cálculo y reporte del VTUA y VTUP son los establecidos en los arts. 2.35.4.3.1 y 2.35.4.3.2 del Decreto 2555 de 2010.
En la proyección revelada las entidades deben expresar cada uno de los valores sobre los cuales se tenga certeza, incluyendo los relativos a los costos transaccionales por el uso del producto. Así mismo debe excluir aquellos costos transaccionales respecto de los cuales no tenga certeza sobre su ocurrencia.
3.4.1.4.1. Proyección de los conceptos para el cálculo del VTUA y VTUP
Para las proyecciones de que trata el parágrafo 1. de los arts. 2.35.4.3.1 y 2.35.4.3.2 del Decreto 2555 de 2010, los valores de los índices o tasas que los establecimientos de crédito y las SEDPE tomen como referencia, deben ser proyectados de acuerdo con los modelos propios de cada entidad, las características específicas de cada producto y en consideración de la realidad de económica del momento en que se efectúe el cálculo del VTUA y VTUP.
Las entidades deben informar al cliente potencial que el VTUA y el VTUP resultan de una proyección y que por lo tanto, no necesariamente corresponden a los montos efectivamente pagados o recibidos, conforme a lo establecido en el parágrafo 2. de los arts. 2.35.4.3.1 y 2.35.4.3.2 del Decreto 2555 de 2010.
3.4.1.5. Ventas atadas
Para los efectos previstos en el art. 2.35.4.2.7 del Decreto 2555 de 2010 y sin perjuicio de que puedan adquirirse dentro de un paquete o portafolio varios productos de un mismo establecimiento de crédito, en las condiciones que éste determine, es
(...)
6.2.45. No informar al consumidor financiero las razones objetivas por las cuales se le niega la aprobación de un crédito.
6.2.46. Bloquear la adquisición de nuevos productos por el incumplimiento en las obligaciones derivadas de productos previamente adquiridos sin haberle informado previamente al consumidor financiero.
6.2.47. Realizar el abono en cuenta de las operaciones realizadas en horario adicional el día hábil siguiente, cuando estas se han realizado en efectivo en la misma entidad, por internet y/o a través del débito automático del dinero depositado por el consumidor financiero en cuentas de la misma entidad financiera.
6.2.48. Disminuir o aumentar el monto del crédito vigente, sin que exista un análisis previo de riesgos, ni se informe de manera previa y expresa al consumidor financiero.
6.2.49. Obligar al consumidor financiero a certificar que se encuentra en un computador seguro.
6.2.50. Vincular a los consumidores financieros a productos respecto de los cuales no son destinatarios.
6.2.51. Todas aquellas conductas que contravengan los supuestos establecidos como cláusulas abusivas en la ley o en las circulares de esta superintendencia que impartan instrucciones sobre la materia.
6.2.52. Trasladar costos al deudor que resulten de la gestión para la modificación de créditos conforme a las disposiciones contenidas en los subnumerales 1.3.2.3.2.1. del Capítulo II de la CBCF.
6.2.53. Cobrar al consumidor financiero por operaciones fallidas en cajeros automáticos. Se entiende por operaciones fallidas cuando el consumidor financiero no recibe el servicio que demandó por cualquier razón.
6.2.54. Cobrar por los extractos y consulta de saldos que se soliciten y descarguen a través de sus plataformas electrónicas, esto es página web, apps o cualquier otra que dispongan para tal fin.
8.4.3. Respuesta a Requerimiento CF-N: En el evento en que la respuesta no resuelva o atienda favorablemente de manera parcial o total la solicitud del consumidor financiero.
Lo anterior, de conformidad con lo establecido en los subnumerales 2.3.2. y 2.8 del Anexo No. 1 “Instrucciones para el Diligenciamiento de las Comunicaciones Dirigidas a la Superintendencia Financiera de Colombia” del Capítulo II del Título IV de la Parte I de la presente Circular.
El plazo a que se hace referencia en el presente subnumeral se entiende incumplido o desatendido cuando quiera que la respuesta a la queja o a la solicitud de explicaciones se hubiere producido fuera del mismo, o se hubiere recibido incompleta, o cuando no hubiere sido recibida.
Cuando la queja sea presentada directamente a la entidad vigilada, ésta asume la responsabilidad de evacuarla en forma satisfactoria y de acuerdo con sus reglamentos internos. Sin embargo, la SFC se reserva el derecho de revisar la actuación de cualquier institución ante la cual se haya presentado una queja, y de constatar si la misma fue resuelta en cumplimiento de las normas que regulan su actividad y bajo la observancia de los principios de adecuada prestación del servicio y de información necesaria al usuario.
En caso de que la queja se formule verbalmente, se aplica lo dispuesto en el subnumeral 3.5 del presente capítulo.
8.5. Quejas Exprés
El procedimiento “Quejas Exprés” es un mecanismo de clasificación y atención de quejas establecido por la SFC, por medio del cual se busca optimizar los tiempos de respuesta hacia los consumidores financieros, en aquellas quejas que por sus características son susceptibles de ser atendidas en un tiempo menor al establecido en el subnumeral 8.3. del presente Capítulo.
Considerando lo anterior, una vez la SFC reciba la queja contra una entidad vigilada, puede clasificarla bajo el código de actividad 150 – “Quejas Exprés” siempre que la misma atienda alguno de los siguientes criterios:
8.5.1. Recurrente: Esto es, que verse sobre hechos o supuestos fácticos reiterados respecto de la misma entidad vigilada.
8.5.2. Interpuesta por personas en situación de especial protección, cuando así lo pueda advertir la SFC o lo manifieste el quejoso anexando las pruebas pertinentes, o cuando se trate de una persona que se encuentre dentro de las situaciones previstas en el art. 20 de la Ley 1437 de 2011 o en las normas que lo modifiquen.
8.5.3. Considerada dentro de las tipologías o motivos de pequeñas causas o de fácil atención, dependiendo de la naturaleza de la entidad vigilada, la complejidad del asunto, la antigüedad de la información o el número de entidades involucradas en la atención de la queja.
8.5.4. Presentada por una posible vulneración del derecho constitucional de habeas data de los consumidores financieros, en los términos de la Ley 1266 de 2008. Esto es, cuando se presenten inconsistencias en el reporte ante los operadores de bancos de datos derivadas de errores de las entidades vigiladas, tales como información desactualizada, suplantación personal, errores en la liquidación de productos, falta de los documentos que soportan la obligación, autorización para realizar el reporte negativo o comunicación previa al titular de la información, entre otros.
8.5.5. Las relacionadas con la apertura de la cuenta única para el manejo de los recursos de las campañas políticas a que se refiere el artículo 25 de la Ley 1475 de 2011 y la póliza de seriedad de la candidatura a que se refiere artículo 9 de la Ley 130 de 1994.
8.5.6. Las relacionadas con el incumplimiento del deber de las entidades vigiladas de informar la composición de los paquetes mínimos de productos y/o servicios sin costo adicional de las cuentas de ahorro, tarjetas débito y/o crédito a los consumidores financieros de conformidad con lo dispuesto en el subnumeral 3.3.4. del Capítulo I, Título III de la Parte 1 de la CBJ.
8.5.7. Las relacionadas con cobros realizados por las entidades vigiladas a los consumidores financieros por operaciones fallidas en cajeros electrónicos. Se entiende por operaciones fallidas cuando el consumidor financiero no recibe el servicio que demandó por cualquier razón.
8.5.8. Las relacionadas con cobros realizados por las entidades vigiladas a los consumidores financieros por operaciones de consulta de saldo o descarga de extractos realizados en plataformas electrónicas, esto es página web, apps o cualquier otra que se disponga para tal fin.
8.5.9 Las relacionadas con la negación de una solicitud de crédito basado exclusivamente en el reporte de información negativa del solicitante.
El término establecido para la atención de las quejas tramitadas bajo este procedimiento será de 5 días hábiles contados a partir de la fecha de recepción por parte de la entidad vigilada, enviando respuesta al consumidor financiero y a la SFC, conforme al trámite señalado en el subnumeral 8.4. de este Capítulo.
En ningún caso se podrán desatender los términos legales que regulan el derecho fundamental de petición.
8.6. Quejas por mal funcionamiento de los servicios de la SFC
Esta Superintendencia debe resolver las reclamaciones que se presenten por mal funcionamiento de los servicios a su cargo, y proceder a determinar la responsabilidad administrativa a que haya lugar o a ordenar las medidas que resulten pertinentes.
Las quejas por este motivo formuladas deben ser dirigidas por escrito al despacho del Superintendente Financiero de Colombia, quien las remite a la dependencia competente para tramitarlas, la cual cuenta con un plazo de 15 días hábiles para los fines pertinentes.
9. REGLAS RELATIVAS A LA EXPEDICIóN DE CERTIFICACIONES POR PARTE DE LA SFC
9.1. Dependencia responsable
De conformidad con el numeral 5. del art. 11.2.1.4.57 del Decreto 2555 de 2010, el Secretario General de la SFC es el responsable de expedir las certificaciones que, por razones de su competencia y en virtud de las disposiciones legales, corresponda a la SFC, sin perjuicio de lo dispuesto en el numeral 1, literal p. del mismo artículo.
Así mismo, corresponde al Secretario General expedir las certificaciones que requieran los órganos jurisdiccionales, según lo dispone el literal n) de la norma citada.
9.2. Certificaciones que debe expedir la SFC
Las certificaciones que expida la SFC deben circunscribirse, en todo caso, a los siguientes aspectos contemplados en la ley:
9.2.1. De acuerdo con las modalidades propias de la naturaleza y estructura de las entidades vigiladas, expedir las certificaciones sobre su existencia y representación legal.
2.3.4.1. En oficinas
La realización de operaciones monetarias a través de oficinas conlleva el cumplimiento, como mínimo, de los siguientes requerimientos de seguridad:
2.3.4.1.1. Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.
2.3.4.1.2. Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de seguridad adecuados que garanticen protección de acceso controlado.
2.3.4.1.3. Contar con cámaras de video, las cuales deben cubrir al menos el acceso principal y las áreas de atención al público. Las imágenes deben ser conservadas por lo menos 6 meses o en el caso en que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.4.1.4. Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los clientes o usuarios en nombre de la entidad.
2.3.4.1.5. La información que viaja entre las oficinas y los sitios centrales de las entidades debe estar cifrada usando hardware de propósito específico, o software, o una combinación de los anteriores. Para los establecimientos de crédito el hardware o software empleados deben ser totalmente separados e independientes de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, servidores de acceso remoto (RAS) y/o de concentradores. En cualquiera de los casos anteriores se debe emplear cifrado fuerte. Las entidades deben evaluar con regularidad la efectividad y vigencia de los mecanismos de cifrado adoptados.
2.3.4.1.6. Establecer procedimientos necesarios para atender de manera segura y eficiente a sus clientes en todo momento, en particular cuando se presenten situaciones especiales tales como: fallas en los sistemas, restricciones en los servicios, fechas y horas de mayor congestión, posible alteración del orden público, entre otras, así como para el retorno a la normalidad. Las medidas adoptadas deben ser informadas oportunamente a los clientes y usuarios.
2.3.4.1.7. Contar con los elementos necesarios para la debida atención del público, tales como: lectores de código de barras, contadores de billetes y monedas, PIN Pad, entre otros, que cumplan con las condiciones de seguridad y calidad, de acuerdo con los productos y servicios ofrecidos en cada oficina.
2.3.4.2. Cajeros automáticos (ATM)
Deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.2.1. Contar con sistemas de video grabación que asocien los datos y las imágenes de cada operación monetaria. Las imágenes deben ser conservadas por lo menos 6 meses o en el caso en que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
2.3.4.2.2. Cuando el cajero automático no se encuentre físicamente conectado a una oficina, la información que viaja entre este y su respectivo sitio central de procesamiento se debe proteger utilizando cifrado fuerte, empleando para ello hardware de propósito específico independiente. Las entidades deben evaluar con regularidad la efectividad y vigencia del mecanismo de cifrado adoptado.
2.3.4.2.3. Los dispositivos utilizados para la autenticación del cliente o usuario en el cajero deben emplear cifrado.
2.3.4.2.4. Implementar el intercambio dinámico de llaves entre los sistemas de cifrado, con la frecuencia necesaria para dotar de seguridad a las operaciones realizadas.
2.3.4.2.5. Los sitios donde se instalen los cajeros automáticos deben contar con las medidas de seguridad físicas para su operación y estar acordes con las especificaciones del fabricante. Adicionalmente, deben tener mecanismos que garanticen la privacidad en la realización de operaciones para que la información usada en ellas no quede a la vista de terceros.
2.3.4.2.6. Implementar mecanismos de autenticación que permitan confirmar que el cajero es un dispositivo autorizado dentro de la red de la entidad.
2.3.4.2.7. Estar en capacidad de operar con las tarjetas a que aluden el subnumeral 2.3.4.12.11 del presente Capítulo.
2.3.4.2.8. Contar con mecanismos que permitan a la entidad emisora del instrumento de pago reversar automáticamente los retiros realizados en cajeros, en territorio nacional, cuando el dinero no haya sido entregado por causas que sean atribuibles al funcionamiento del mismo y que sean conocidas por la entidad.
En este caso se debe informar al consumidor financiero, por cualquier medio expedito, que la entidad procederá a realizar la reversión. En ningún caso la entidad podrá cobrar por la operación ni debitar ningún concepto asociado a la misma.
Adicionalmente, contar con mecanismos que permitan reversar el cobro realizado a consumidores financieros por operaciones fallidas en cajeros automáticos. Para estos efectos se entiende por operaciones fallidas cuando el consumidor financiero no recibe el servicio que demandó por cualquier razón. De igual forma debe informar al consumidor financiero, por cualquier medio expedito, que la entidad procederá a realizar la reversión del cobro, la cual deberá realizarse a más tardar dentro de los 2 días hábiles (en el caso de operaciones realizadas en territorio nacional) y 5 días hábiles (en el caso de operaciones realizadas por fuera del territorio nacional) siguientes a la realización del mismo.
2.3.4.2.9. Adoptar los procedimientos necesarios para permitir, en su red de cajeros, el retiro en una sola operación del monto máximo diario establecido por la entidad según su evaluación de riesgos correspondiente, o por el cliente cuando éste sea menor al establecido por la entidad.
2.3.4.3. Receptores de cheques
Los dispositivos electrónicos que permitan la recepción o consignación de cheques deben cumplir, como mínimo, con los siguientes requerimientos:
2.3.4.3.1. Contar con mecanismos que identifiquen y acepten los cheques, leyendo automáticamente, al menos, los siguientes datos: la entidad emisora, el número de cuenta y el número de cheque.
2.3.4.3.2. Los cheques o documentos no aceptados por el módulo para recepción de cheques no pueden ser retenidos y deben ser retornados inmediatamente al cliente o usuario, informando la causa del reintegro.
2.3.4.3.3. Una vez el cliente o usuario deposite el cheque, el sistema debe mostrar una imagen del mismo y la información asociada a la operación monetaria, para confirmar los datos de la misma y proceder o no a su realización. En caso negativo debe devolver el cheque o documento, dejando un registro de la operación.
2.3.4.3.4. Como parte del procedimiento de consignación del cheque se le debe poner una marca que indique que éste fue depositado en el módulo.
