Superintendencia Financiera de Colombia

CIRCULAR EXTERNA 28 DE 2016 

(Agosto 3)

Ref.: Instrucciones relacionadas con eventos que generen interrupciones en la prestación de los servicios y que impiden la realización de operaciones a los consumidores financieros.

Esta superintendencia, en ejercicio de sus facultades, en especial las conferidas por el numeral 9º del artículo 11.2.1.4.2 del Decreto 2555 de 2010 y por el literal d) del artículo 12 de la Ley 1328 de 2009, con el objetivo de garantizar (i) el suministro de información a los consumidores financieros por parte de los establecimientos de crédito cuando se presenten eventos que generen interrupciones en la prestación de los servicios y que impiden la realización de sus operaciones y (ii) que los consumidores financieros cuenten con mecanismos que garanticen el efectivo ejercicio de sus derechos, imparte las siguientes instrucciones:

1. Adicionar el subumeral 3.5 al capítulo I del título III de la parte I de la Circular Básica Jurídica, con el fin de incorporar las instrucciones relacionadas con la información que deben suministrar los establecimientos de crédito a los clientes y usuarios frente a la interrupción en la prestación de los servicios.

2. Adicionar los subnumerales 2.3.3.1.21 a 2.3.3.1.23 al capítulo I del título II de la parte I de la Circular Básica Jurídica, con el fin de incorporar nuevas instrucciones relacionadas con los requerimientos generales en materia de seguridad y calidad de la información.

3. La presente circular rige a partir del 1º de octubre de 2016.

Se anexan las páginas objeto de modificación.

N. del D.: la presente circular externa va dirigida a representantes legales y revisores fiscales de los establecimientos de crédito y demás entidades vigiladas.

PARTE I

TÍTULO II

CAPÍTULO I

Página 10

2.3.3.1.11. Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo pueda ser realizado por personal debidamente autorizado.

2.3.3.1.12. Establecer procedimientos para el bloqueo de canales o de instrumentos para la realización de operaciones, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.

2.3.3.1.13. Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las operaciones monetarias que no correspondan a sus hábitos.

2.3.3.1.14. Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales e instrumentos para la realización de operaciones. En desarrollo de lo anterior, las entidades deben establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios.

2.3.3.1.15. Definir los procedimientos y medidas que se deben ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros.

2.3.3.1.16. Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se debe tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio.

2.3.3.1.17. Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.

2.3.3.1.18. Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente.

2.3.3.1.19. Incluir en el informe de gestión a que se refiere el artículo 47 de la Ley 222 de 1995 —modificado por el artículo 1º de la Ley 603 de 2000—, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente circular.

2.3.3.1.20. Considerar en sus políticas y procedimientos relativos a los canales de distribución, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información.

2.3.3.1.21. Los establecimientos de crédito deben adoptar mecanismos que le permitan atender las operaciones de los consumidores financieros, por los canales que resulten necesarios y por las cuantías que determine razonables, para garantizar un nivel mínimo de prestación de sus servicios a los consumidores financieros, cuando la entidad opere fuera de línea.

2.3.3.1.22. Los establecimientos de crédito deben publicar trimestralmente en su sitio web, en un lugar destacado, un informe sobre la disponibilidad mensual de cada uno de los canales por medio de los cuales presta sus servicios. Se entiende por disponibilidad el porcentaje de tiempo que durante el mes el canal estuvo habilitado para la prestación del servicio. Este informe debe ser remitido a la SFC de forma paralela a su publicación.

2.3.3.1.23. Las entidades vigiladas deben informar a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co, los eventos que afecten de manera significativa la confidencialidad, integridad o disponibilidad de la información manejada en los sistemas que soportan los canales de atención al cliente, haciendo una breve descripción del incidente y su impacto. Los incidentes se deben reportar tan pronto se presenten. Así mismo, deben remitir la información de la que trata el subnumeral 3.5.1 del capítulo I del título III de la parte I de la CBJ.

2.3.3.2. En materia de documentación.

Las entidades deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.3.2.1. Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual debe contener cuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: el número del teléfono desde el cual se hizo la llamada; para operaciones por internet: la dirección IP desde la cual se hizo la misma; para operaciones con dispositivos móviles, el número desde el cual se hizo la conexión, cuenta(s), número de la operación y costo de la misma para el cliente o usuario.

En los casos de operaciones que obedecen a convenios, se debe dejar constancia del costo al que se refiere el presente numeral, cuando ello sea posible.

2.3.3.2.2. Velar porque los órganos de control, incluyan en sus informes la evaluación acerca del cumplimiento de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los servicios a los clientes y usuarios, a través de los diferentes canales de distribución.

2.3.3.2.3. Generar informes trimestrales sobre la disponibilidad y número de operaciones realizadas en cada uno de los canales de distribución. Esta información debe ser conservada por un término de 2 años.

2.3.3.2.4. Cuando a través de los distintos canales se pidan y se realicen donaciones, se debe generar y entregar un soporte incluyendo el valor de la donación y el nombre del beneficiario.

2.3.3.2.5. Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de las entidades como de sus clientes y las condiciones bajo las cuales estas prestan sus servicios. Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado. Esta información debe ser conservada por lo menos por 2 años, contados a partir de la fecha de terminación de la relación contractual o en caso de que la información sea objeto o soporte de una reclamación o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.3.2.6. Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la información confidencial de los clientes, que contenga al menos lo siguiente: identificación del funcionario que realizó la consulta, canal utilizado,

PARTE I

TÍTULO II

CAPÍTULO I

Página 10-1

identificación del equipo, fecha y hora. En desarrollo de lo anterior, se deben establecer mecanismos que restrinjan el acceso a dicha información, para que solo pueda ser usada por el personal que lo requiera en función de su trabajo.

2.3.3.2.7. Llevar el registro de las actividades adelantadas sobre los dispositivos finales a cargo de la entidad, usados en los canales de distribución de servicios, cuando se realice su alistamiento, transporte, mantenimiento, instalación y activación.

2.3.3.2.8. Dejar constancia del cumplimiento de la obligación de informar adecuadamente a los clientes respecto de las medidas de seguridad que deben tener en cuenta para la realización de operaciones por cada canal, así como los procedimientos para el bloqueo, inactivación, reactivación y cancelación de los productos y servicios ofrecidos.

2.3.3.2.9. Grabar las llamadas realizadas por los clientes a los centros de atención telefónica cuando consulten o actualicen su información.

La información a que se refieren los subnumerales 2.3.3.2.1, 2.3.3.2.6 y 2.3.3.2.9 debe ser conservada por lo menos por 2 años. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.4. Requerimientos especiales por tipo de canal.

PARTE I

TÍTULO III

CAPÍTULO I

Parte I

Instrucciones generales aplicables a las entidades vigiladas

Título III

Competencia y protección del consumidor financiero

Capítulo I: Acceso e información al consumidor financiero

Contenido

1. Libre competencia, prácticas restrictivas y competencia desleal

1.1. Acceso a los servicios de las entidades vigiladas

1.2. Protección a la libre concurrencia de oferentes para la contratación de pólizas de seguro en instituciones financieras por cuenta de sus deudores

1.3. Protección a la libertad de contratación de tomadores y asegurados para pólizas de seguro como seguridades adicionales de créditos

1.4. Reglas especiales para la apertura de cuentas para el manejo de los recursos de las campañas políticas

2. Programas publicitarios

2.1. Condiciones básicas de los textos publicitarios

2.2. Prácticas prohibidas

2.3. Régimen de autorización general

2.4. Régimen de autorización individual

2.5. Programas publicitarios adelantados por las sociedades fiduciarias

2.6. Programas publicitarios adelantados por las sociedades administradoras de fondos de pensiones y de cesantía, así como de las entidades aseguradoras y las sociedades fiduciarias, en cuanto les sean aplicables

2.7. Instrucciones relativas a la divulgación de información sobre el seguro de depósitos

2.8. Divulgación del seguro de depósitos al momento de la contratación o vinculación del consumidor financiero, de la apertura o renovación de un producto

2.9. Capacitación de los funcionarios que atiendan consumidores financieros

3. Información al consumidor financiero

3.1. Información respecto de las instancias de atención al consumidor financiero

3.2. Generalidades de la información de los productos y servicios

3.3. Especificidades de la información que se suministra al consumidor de productos financieros

3.4. Reglas particulares a algunos productos o intermediarios

3.5. Información a suministrar frente a la interrupción en la prestación de los servicios

4. Régimen de horarios para la prestación de servicios de las entidades vigiladas

4.1. Instrucciones relativas a los horarios de prestación de servicio al público

4.2. Cierres especiales

4.3 Publicidad

5. Condiciones de la gestión de cobranza realizada a los consumidores financieros

5.1. Ámbito de aplicación

5.2. Cobranza prejudicial

5.3. Cobranza judicial

5.4. Cobranza en los créditos de vivienda

5.5. Cobranza en los microcréditos

6. Cláusulas y prácticas abusivas

6.1. Cláusulas abusivas

6.2. Prácticas abusivas

PARTE I

TÍTULO III

CAPÍTULO I

Página 28-1

3.4.11.3.10. Cualquier información que sea indispensable para que el consumidor financiero tenga un claro entendimiento de los beneficios, limitaciones y costos del producto.

3.4.11.4. Sociedades de capitalización en calidad de entidades usuarias.

Sin perjuicio de lo establecido en el artículo 9º de la Ley 1328 de 2009, las sociedades de capitalización, en calidad de entidades usuarias de la red de otras entidades vigiladas, deben garantizar que las entidades prestadoras de la red suministren a los consumidores financieros, previamente a la celebración del contrato, al menos la siguiente información, de manera cierta, suficiente, clara y oportuna, mediante medios verificables:

3.4.11.4.1. La descripción de los derechos que adquiere y las obligaciones que contrae el consumidor en virtud del título de capitalización.

3.4.11.4.2. Las formas de pago de las cuotas.

3.4.11.4.3. Las consecuencias derivadas del incumplimiento parcial o total en el pago de las cuotas.

3.4.11.4.4. Las características y condiciones de los sorteos periódicos.

3.4.11.4.5. Cualquier información que sea indispensable para que el consumidor financiero tenga un claro entendimiento de los beneficios, limitaciones y costos del producto.

3.5. Información a suministrar frente a la interrupción en la prestación de los servicios.

3.5.1. Cuando los establecimientos de crédito realicen modificaciones y/o actualizaciones técnicas o tecnológicas que por su relevancia puedan generar una interrupción en la prestación de los servicios y afectar la realización de operaciones, deben informar a sus clientes y usuarios por lo menos 8 días previos al inicio de estas actividades, los canales y servicios que se podrían ver afectados, las operaciones que no se podrían realizar, los canales alternativos por medio de los cuales los clientes y usuarios podrán realizar sus operaciones y el lapso en el que realizarán dichas actividades. Esta información debe ser suministrada a través de los canales usuales de comunicación con el cliente y el usuario, en los términos establecidos en el numeral 3º de este capítulo.

3.5.2. Cuando se presente un evento que impida por una hora o más la realización de operaciones a través de uno o varios de los canales de la entidad, los establecimientos de crédito deben informar a los consumidores financieros, en los términos establecidos en el numeral 3º de este capítulo, los canales afectados, las operaciones que no se pueden realizar, los canales alternativos a través de los cuales los clientes y/o usuarios pueden continuar realizando las operaciones, la fecha y hora estimada en que se restablecerá la prestación del servicio por los canales afectados y en general toda la información que se considere relevante para orientar al consumidor durante el tiempo en que se presente la interrupción.

3.5.3. Teniendo en cuenta el principio de correspondencia indicado en el literal d) del artículo 2.35.4.1.1 del Decreto 2555 de 2010, que implica que todos los cobros que realizan las entidades vigiladas deben corresponder a la prestación efectiva de un servicio, los establecimientos de crédito deben establecer políticas y mecanismos mediante los cuales se compensarán o resarcirán de manera efectiva los inconvenientes que se causen a los consumidores financieros como consecuencia de la interrupción en la prestación del servicio.

Como mínimo deben establecer disposiciones frente a:

3.5.3.1. El pago de la cuota de manejo, la tarifa periódica del servicio, o cualquier otro concepto similar, correspondiente al(los) día(s) en que se presente el evento.

3.5.3.2. El pago de las transacciones en los canales alternativos habilitados para realizar las operaciones o transacciones por parte de los clientes y usuarios.

3.5.3.3. El pago de intereses moratorios y reporte a los operadores de bancos de datos cuando como consecuencia de la interrupción del servicio el consumidor financiero no pueda cumplir con el pago oportuno de sus obligaciones con la entidad vigilada.

3.5.3.4. Las medidas necesarias para que el consumidor financiero no se vea afectado por la imposibilidad de realizar el pago oportuno de sus obligaciones con terceros como consecuencia de la interrupción en la prestación del servicio.

3.5.3.5. Los canales dispuestos para la recepción de quejas o reclamos relacionados con la interrupción.

Estas políticas y mecanismos deben estar a disposición de los consumidores financieros durante la ocurrencia de la interrupción y deberán permanecer visibles y actualizadas hasta que se haya superado.

3.5.4. Los establecimientos de crédito deben informar a los consumidores financieros la forma en que se aplicaron a su situación particular las políticas y procedimientos de los que tratan los subnumerales 3.5.3.1 a 3.5.3.4.

4. Régimen de horarios para la prestación de servicios de las entidades vigiladas.

4.1. Instrucciones relativas a los horarios de prestación de servicio al público.

Las entidades vigiladas podrán definir libremente los horarios de prestación de servicio al público, los cuales no tienen que estar necesariamente unificados entre los diferentes establecimientos de una misma localidad. En todo caso, cualquier modificación a los horarios —actuales o futuros— debe ser comunicada a esta superintendencia con una antelación no inferior a 10 días hábiles.

4.2. Cierres especiales.

Se podrá suspender la prestación del servicio al público de manera temporal, por motivos de fuerza mayor, caso fortuito o eventos reconocidos nacionalmente en diferentes regiones, que tradicionalmente han obtenido el permiso para suspender la prestación del servicio al público, sin que se requiera aprobación previa de esta superintendencia. En el último evento bastará con que se avise al público de manera clara y precisa los días de no prestación del servicio, mediante avisos

PARTE I

TÍTULO III

CAPÍTULO I

Página 28-2

visibles en un tamaño no menor de medio pliego (70 x 50 cm), colocados en las oficinas de la entidad en la localidad correspondiente con mínimo 10 días hábiles de antelación. Así mismo, debe comunicarse a la SFC por intermedio de la oficina principal, mediante relación mensual, las festividades autorizadas para el mes inmediatamente siguiente incluyendo los cierres ocasionados por fuerza mayor y caso fortuito del mes anterior. Los cierres especiales no requerirán de unificación entre los establecimientos de la misma localidad.

4.3. Publicidad.

Para los casos de cierre especiales o cuando se desee efectuar cambio en el horario de atención a los consumidores financieros, debe comunicarse a todos los clientes, mediante avisos visibles de un tamaño no menor al antes mencionado colocados en las oficinas de la entidad con una antelación no menor de 10 días hábiles y en todo caso difundir tal decisión, por una sola vez, en un diario regional, local o de circulación nacional, según corresponda al alcance geográfico del efecto de la medida, y de no ser posible, por cualquier otro medio que se estime procedente para tal cometido.

5. Condiciones de la gestión de cobranza realizada a los consumidores financieros.

5.1. Ámbito de aplicación.

Con el fin de garantizar los derechos de los consumidores financieros y dentro del marco general de la debida diligencia en la prestación del servicio, en la gestión de cobranza a deudores morosos, las entidades vigiladas deben atender las instrucciones aquí impartidas, independientemente de que la gestión sea realizada directamente por estas o a través de terceros.

Cuando la mencionada gestión se realice mediante la contratación de terceros, la actividad se entiende realizada bajo la entera responsabilidad de la entidad vigilada quien es igualmente responsable de velar porque los terceros contratados, atiendan en forma integral las instrucciones establecidas en la presente circular. Igual regla aplicará en los eventos de cesión de cartera, para lo cual las entidades vigiladas deben incluir en sus contratos una cláusula en la que se señale que el cesionario, cuando esta sea transferida, observará las pautas de cobro establecidas por la SFC en la presente circular.

Las condiciones establecidas a continuación aplican a las entidades vigiladas por la SFC, con excepción de aquellas que se encuentren sometidas a algún régimen especial sobre el particular, tales como las entidades administradoras de fondos de pensiones y cesantías, quienes deberán atender las disposiciones especiales que resulten aplicables.