CIRCULAR EXTERNA 53 DE DICIEMBRE 15 DE 2016

 

Superintendencia Financiera de Colombia

CIRCULAR EXTERNA 53 DE 2016

(Diciembre 15)

Ref.: Modificación de las instrucciones impartidas mediante la Circular Externa 28 de 2016, relacionadas con eventos que generen interrupciones en la prestación de los servicios y que impiden la realización de operaciones a los consumidores financieros.

En atención a las inquietudes y preocupaciones presentadas por la las entidades vigiladas respecto del cumplimiento de las instrucciones impartidas mediante la Circular Externa 28 de 2016, esta superintendencia, en ejercicio de sus facultades, en especial las conferidas por el numeral 9º del artículo 11.2.1.4.2 del Decreto 2555 de 2010, imparte las siguientes instrucciones:

1. Modificar el subnumeral 2.3.3.1.22 del capítulo I del título II de la parte I de la Circular Básica Jurídica.

2. Modificar el subnumeral 3.5.1 del capítulo I del título III de la parte I de la Circular Básica Jurídica.

3. La presente circular rige a partir del 1º de enero de 2017.

Se anexan las páginas objeto de modificación.

N. del D.: la presente circular externa va dirigida a representantes legales y revisores fiscales de los establecimientos de crédito y demás entidades vigiladas.

PARTE I

TÍTULO II

CAPÍTULO I

Página 10

2.3.3.1.11. Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo pueda ser realizado por personal debidamente autorizado.

2.3.3.1.12. Establecer procedimientos para el bloqueo de canales o de instrumentos para la realización de operaciones, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.

2.3.3.1.13. Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las operaciones monetarias que no correspondan a sus hábitos.

2.3.3.1.14. Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales e instrumentos para la realización de operaciones. En desarrollo de lo anterior, las entidades deben establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios.

2.3.3.1.15. Definir los procedimientos y medidas que se deben ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros.

2.3.3.1.16. Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se debe tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio.

2.3.3.1.17. Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.

2.3.3.1.18. Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente.

2.3.3.1.19. Incluir en el informe de gestión a que se refiere el artículo 47 de la Ley 222 de 1995 —modificado por el artículo 1º de la Ley 603 de 2000—, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente circular.

2.3.3.1.20. Considerar en sus políticas y procedimientos relativos a los canales de distribución, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información.

2.3.3.1.21. Los establecimientos de crédito deben adoptar mecanismos que le permitan atender las operaciones de los consumidores financieros, por los canales que resulten necesarios y por las cuantías que determine razonables, para garantizar un nivel mínimo de prestación de sus servicios a los consumidores financieros, cuando la entidad opere fuera de línea.

2.3.3.1.22. Los establecimientos de crédito deben enviar trimestralmente a la SFC, a la dirección de correo riesgooperativo@superfinanciera.gov.co, un informe sobre la disponibilidad mensual de cada uno de los canales por medio de los cuales presta sus servicios en el que se incluya el detalle de la metodología utilizada para el cálculo de la disponibilidad. Se entiende por disponibilidad el porcentaje de tiempo que durante el mes el canal estuvo habilitado para la prestación del servicio.

2.3.3.1.23. Las entidades vigiladas deben informar a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co, los eventos que afecten de manera significativa la confidencialidad, integridad o disponibilidad de la información manejada en los sistemas que soportan los canales de atención al cliente, haciendo una breve descripción del incidente y su impacto. Los incidentes se deben reportar tan pronto se presenten. Así mismo, deben remitir la información de la que trata el subnumeral 3.5.1 del capítulo I del título III de la parte I de la CBJ.

2.3.3.2. En materia de documentación.

Las entidades deben cumplir, como mínimo, con los siguientes requerimientos:

2.3.3.2.1. Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual debe contener cuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: el número del teléfono desde el cual se hizo la llamada; para operaciones por internet: la dirección IP desde la cual se hizo la misma; para operaciones con dispositivos móviles, el número desde el cual se hizo la conexión), cuenta(s), número de la operación y costo de la misma para el cliente o usuario.

En los casos de operaciones que obedecen a convenios, se debe dejar constancia del costo al que se refiere el presente numeral, cuando ello sea posible.

2.3.3.2.2. Velar porque los órganos de control, incluyan en sus informes la evaluación acerca del cumplimiento de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los servicios a los clientes y usuarios, a través de los diferentes canales de distribución.

2.3.3.2.3. Generar informes trimestrales sobre la disponibilidad y número de operaciones realizadas en cada uno de los canales de distribución. Esta información debe ser conservada por un término de 2 años.

2.3.3.2.4. Cuando a través de los distintos canales se pidan y se realicen donaciones, se debe generar y entregar un soporte incluyendo el valor de la donación y el nombre del beneficiario.

2.3.3.2.5. Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de las entidades como de sus clientes y las condiciones bajo las cuales estas prestan sus servicios. Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado. Esta información debe ser conservada por lo menos por 2 años, contados a partir de la fecha de terminación de la relación contractual o en caso de que la información sea objeto o soporte de una reclamación o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.

2.3.3.2.6. Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la información confidencial de los clientes, que contenga al menos lo siguiente: identificación del funcionario que realizó la consulta, canal utilizado

PARTE I

TÍTULO III

CAPÍTULO I

Página 28-1

3.4.11.3.10. Cualquier información que sea indispensable para que el consumidor financiero tenga un claro entendimiento de los beneficios, limitaciones y costos del producto.

3.4.11.4. Sociedades de capitalización en calidad de entidades usuarias.

Sin perjuicio de lo establecido en el artículo 9º de la Ley 1328 de 2009, las sociedades de capitalización, en calidad de entidades usuarias de la red de otras entidades vigiladas, deben garantizar que las entidades prestadoras de la red suministren a los consumidores financieros, previamente a la celebración del contrato, al menos la siguiente información, de manera cierta, suficiente, clara y oportuna, mediante medios verificables:

3.4.11.4.1. La descripción de los derechos que adquiere y las obligaciones que contrae el consumidor en virtud del título de capitalización.

3.4.11.4.2. Las formas de pago de las cuotas.

3.4.11.4.3. Las consecuencias derivadas del incumplimiento parcial o total en el pago de las cuotas.

3.4.11.4.4. Las características y condiciones de los sorteos periódicos.

3.4.11.4.5. Cualquier información que sea indispensable para que el consumidor financiero tenga un claro entendimiento de los beneficios, limitaciones y costos del producto.

3.5. Información a suministrar frente a la interrupción en la prestación de los servicios

3.5.1. Cuando los establecimientos de crédito realicen modificaciones y/o actualizaciones técnicas o tecnológicas que por su relevancia puedan generar una interrupción en la prestación de los servicios y afectar la realización de operaciones, deben informar a sus clientes y usuarios por lo menos 8 días previos al inicio de estas actividades, los canales y servicios que se podrían ver afectados, las operaciones que no se podrían realizar, los canales alternativos por medio de los cuales los clientes y usuarios podrán realizar sus operaciones y el lapso en el que realizarán dichas actividades. Esta información debe ser suministrada a través de los canales usuales de comunicación con el cliente y el usuario, en los términos establecidos en el numeral 3º de este capítulo.

Cuando no sea posible dar el aviso de 8 días al que se refiere el inciso anterior debido a la necesidad de realizar modificaciones y/o actualizaciones técnicas o tecnológicas en un término menor, los establecimientos de crédito deben suministrar a sus clientes y usuarios la información aquí señalada durante el término que sea posible, sin afectar las mencionadas modificaciones y/o actualizaciones técnicas o tecnológicas.

3.5.2. Cuando se presente un evento que impida por una hora o más la realización de operaciones a través de uno o varios de los canales de la entidad, los establecimientos de crédito deben informar a los consumidores financieros, en los términos establecidos en el numeral 3º de este capítulo, los canales afectados, las operaciones que no se pueden realizar, los canales alternativos a través de los cuales los clientes y/o usuarios pueden continuar realizando las operaciones, la fecha y hora estimada en que se restablecerá la prestación del servicio por los canales afectados y en general toda la información que se considere relevante para orientar al consumidor durante el tiempo en que se presente la interrupción.

3.5.3. Teniendo en cuenta el principio de correspondencia indicado en el literal d) del artículo 2.35.4.1.1 del Decreto 2555 de 2010, que implica que todos los cobros que realizan las entidades vigiladas deben corresponder a la prestación efectiva de un servicio, los establecimientos de crédito deben establecer políticas y mecanismos mediante los cuales se compensarán o resarcirán de manera efectiva los inconvenientes que se causen a los consumidores financieros como consecuencia de la interrupción en la prestación del servicio.

Como mínimo deben establecer disposiciones frente a:

3.5.3.1. El pago de la cuota de manejo, la tarifa periódica del servicio, o cualquier otro concepto similar, correspondiente al(los) día(s) en que se presente el evento.

3.5.3.2. El pago de las transacciones en los canales alternativos habilitados para realizar las operaciones o transacciones por parte de los clientes y usuarios.

3.5.3.3. El pago de intereses moratorios y reporte a los operadores de bancos de datos cuando como consecuencia de la interrupción del servicio el consumidor financiero no pueda cumplir con el pago oportuno de sus obligaciones con la entidad vigilada.

3.5.3.4. Las medidas necesarias para que el consumidor financiero no se vea afectado por la imposibilidad de realizar el pago oportuno de sus obligaciones con terceros como consecuencia de la interrupción en la prestación del servicio.

3.5.3.5. Los canales dispuestos para la recepción de quejas o reclamos relacionados con la interrupción.

Estas políticas y mecanismos deben estar a disposición de los consumidores financieros durante la ocurrencia de la interrupción y deberá permanecer visible y actualizada hasta que se haya superado.

3.5.4. Los establecimientos de crédito deben informar a los consumidores financieros la forma en que se aplicaron a su situación particular las políticas y procedimientos de los que tratan los subnumerales 3.5.3.1 a 3.5.3.4.

4. Régimen de horarios para la prestación de servicios de las entidades vigiladas.

4.1. Instrucciones relativas a los horarios de prestación de servicio al público.

Las entidades vigiladas podrán definir libremente los horarios de prestación de servicio al público, los cuales no tienen que estar necesariamente unificados entre los diferentes establecimientos de una misma localidad. En todo caso, cualquier modificación a los horarios —actuales o futuros— debe ser comunicada a esta superintendencia con una antelación no inferior a 10 días hábiles.

4.2. Cierres especiales.

Se podrá suspender la prestación del servicio al público de manera temporal, por motivos de fuerza mayor, caso fortuito o eventos reconocidos nacionalmente en diferentes regiones, que tradicionalmente han obtenido el permiso para suspender la prestación del servicio al público, sin que se requiera aprobación previa de esta superintendencia. En el último evento bastará con que se avise al público de manera clara y precisa los días de no prestación del servicio, mediante avisos