Benjamín Bernal / Comisión Nacional Bancaria y de Valores

Se desempeña como Director General Adjunto del áreade Supervisión de Riesgo Operacional y Tecnológico dela Comisión Nacional Bancaria y de Valores (CNBV).

Tiene mas de 14 años de experiencia en el área deauditoría de sistemas informáticos y en el desarrollo de laauditoría de sistemas informáticos y en el desarrollo de laregulación aplicable a los aspectos en dicha materia.

Actualmente, está a cargo de la supervisión de tecnologías especiales que incluye a labanca electrónica y colabora en el desarrollo de la regulación aplicable para la operación dela Banca por Internet, Banca por Teléfono, Cajeros Automáticos, Terminales Punto de Ventay operaciones bancarias a través de teléfonos móviles.

Tiene estudios en Ingeniería Cibernética y en Sistemas Computacionales, Administración deRiesgos Crediticios y Financieros y Seguridad Informática. Actualmente, tiene Certificadosinternacionales de Auditoría de Sistemas (CISA), Seguridad Informática (CISM y CISSP) yen Gobierno Corporativo (CGEIT).

BANCA MOVIL Y PAGO MOVILBANCA MOVIL Y PAGO MOVIL

Benjamín Bernal Díaz

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Acceso a Servicios Financieros en México

� En México, un segmento importante de la población permanece fuera del Sistema Financiero formal,teniendo que recurrir a canales informales y mecanismos de crédito y ahorro en especie para satisfacersu demanda por productos financieros básicos.

Acceso y acceso parcial al sistema financiero*

Acceso

80%

100%

Penetración Servicios Financieros

(Población entre 19 y 44 años de edad)

� Sólo un 10% de la población entre 19 y 44 años de edad afirma no necesitar o no estar interesado en unproducto o servicio financiero.

� Por otro lado, el 40% de la población sin acceso a servicios financieros expresa estar interesado entener una cuenta de ahorros.

Acceso Parcial

Sin Acceso

*Fuente: SHCP, Encuesta Uso de Servicios Financieros 2009.

36%

25%17%

11%

0%

20%

40%

60%

Débito

o nóminaCuenta de ahorro Tarjeta de

CréditoCrédito personal o

de nómina

3

Demanda Insatisfecha por Servicios Financieros Básicos

� A encuentran pesar del incremento en el número de sucursales bancarias, éstas se maldistribuidas entre las entidades federativas y sus localidades, generando un déficit en la ofertade servicios financieros.

� 64% de los municipios del país no cuentan con ninguna sucursal bancaria.

Sucursales bancarias por cada 10,000 adultos

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Sin sucursales

Inferior ( < 1.03 suc x 10,000 adultos) Medio (entre 1.03 y 1.37 suc x 10,000 adultos) Superior ( > 1.37 suc x 10,000 adultos)

*Media países desarrollados = 2.4 sucursales por cada 10,000 adultosFuente: CNBV

4

Esquema actual de transferenciasUtilización de Infraestructura con costos onerosos• Envío de una remesa doméstica

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

5

Suscripciones de Telefonía Móvil por cada 100 habitantes

Hong Kong

Italy

Portugal

Germany

Denmark

Argentina

Spain

Norway

Australia

Uruguay

Thailand

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Fuente: International Telecommunication Union (ITU) / Information and Communication Technology Indicators Database 2008

0.00 20.00 40.00 60.00 80.00 100.00 120.00 140.00 160.00 180.00

Thailand

Colombia

Turkey

Chile

United States

Brazil

Mexico

Canada

Iran

Bolivia

Kenya

Angola

Cambodia

Bangladesh

Africa Asia Australia Europe Latinoamerica Mexico North America

6

Potencial Crecimiento de Servicios Financieros

97%

100%

Finlandia

� Los esquemas de pago móvilofrecen una oportunidad de

% p

enet

raci

ón te

lefo

nía

celu

lar

Pago Móvil

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

50%

10%

Fuente: Banked Honohan 2007; Penetración Celular: ITU; WireIess Intelligence 4:2002, 4:2006. Los datos para México provienen de la encuesta de SHCP “Uso de Servicios Financieros 2009”

% Bancarizada % Telefonía Móvil

KenyaFilipinas

Sud-África

Colombia

Mexico

ofrecen una oportunidad debancarizar a la poblaciónhaciendo uso de lapenetración de los celularesentre la población.

% p

enet

raci

ón te

lefo

nía

celu

lar

% población bancarizada

7

Móvil como un medio de Pago

84.49 Millones de teléfonos móviles (**)

Sucursales ,Cajeros automáticos,

Terminales Punto de Venta

Cuentas Bancarias Móviles

Comercio = potenciales

Comisionistas Bancarios

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Fuente: ** COFETEL (Comisión Federal de Telecomunicaciones), febrero 2010

• El teléfono tiene la capacidad de ser un medio de pago como una Tarjeta Bancaria

• Productos de acuerdo a sectores específicos

• Controles regulatorios de acuerdo al riesgo de las transacciones

8

Banco

Infraestructura de Telefonía Móvil

Dispositivo Móvil

Fortalezas

- El cliente siempre lo tiene consigo

- Puede ser un factor de autenticación

- Puede bloquearse con una clave

Debilidades

- Puede almacenar nombres de usuario, claves y datos personales

- El bloqueo del teléfono depende del

usuario

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Sistemas Operativos de los

dispositivos móviles

Redes de Comunicación

Móvil

- Puede bloquearse con una clave

- Se pueden generar claves dinámicas de un solo uso

- La diversidad de sistemas en el

mercado reduce la posibilidad

de que exista Malware

- Elevado costo del hardware y

hasta el momento no se han

propagado masivamente

ataques y vulnerabilidades

usuario

- No todos los teléfonos soportan las aplicaciones mas desarrolladas

- La diversidad de sistemas hace

difícil obtener software para

protección

- Todo mundo tiene acceso

9

Cambios y Emisión de Nuevas Reglas para que la Inclusión Financiera aumente

• Cambios en las Reglas de PLD

que emite la SHCP

• Banxico establece en su

regulación la figura de Cuentas

Móviles

• Cambios en las Reglas de PLD

que emite la SHCP

• Banxico establece en su

regulación la figura de Cuentas

Móviles

• Acercar medios de

depósito y retiro de

efectivo a la población,

fomentando el uso de

“dinero electrónico”. La

CNBV emitió reglas para

habilitar comercios

como un nuevo canal

transaccional

• Acercar medios de

depósito y retiro de

efectivo a la población,

fomentando el uso de

“dinero electrónico”. La

CNBV emitió reglas para

habilitar comercios

como un nuevo canal

transaccionalCorresponsales

Bancarios

Prevención de Lavado de Dinero y Cuentas Móviles

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

•Nuevas Reglas de la CNBV para

utilizar los Teléfonos Móviles

como un vehículo para hacer

pagos de forma segura

•Nuevas Reglas de la CNBV para

utilizar los Teléfonos Móviles

como un vehículo para hacer

pagos de forma segura

• Cambios en la LIC para permitir la

entrada de nuevos participantes

que puedan ser Emisores de

medios de Pago

• Cambios en la LIC para permitir la

entrada de nuevos participantes

que puedan ser Emisores de

medios de Pago

Bancariosy Cuentas Móviles

Uso del Servicio

de Banca

Electrónica

(Capítulo X)

Bancos de Nicho y

Emisores de

Dinero Electrónico

10

Alcance disposiciones Servicio de Banca Electrónica

Banca Electrónica: al conjunto de servicios y operaciones bancarias que las Instituciones deCrédito pactan con el público, a través de Medios Electrónicos

� Operaciones en Cajeros Automáticos (ATM)

� Pagos mediante Terminales Punto de Venta (TPV)• Dispositivo dedicado• Teléfono Móvil

Banco

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

• Teléfono Móvil

� Pagos y operaciones mediante Teléfonos Móviles• Pago Móvil• Banca Móvil

� Banca por Internet

� Banca Host to Host (equipo de empresa – equipo de la Institución)

� Banca Telefónica:• Audio respuesta (IVR)• Voz a Voz (atención por parte de un operador telefónico)

� Cualquier otro que utilice Medios Electrónicos 11

Estructura de las disposiciones de Banca Electrónica

Contratación y activación del servicio

• Consentimiento expreso del usuario

• Contratación a través de Medios Electrónicos utilizando un

2FA

Operación del servicio

• Autenticación Banco - Cliente

• Uso de doble factor de autenticación para operaciones de

riesgo

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

riesgo

• Pre-registro de cuentas destino

• Establecimiento de límites de operación

• Notificaciones

Seguridad, confidencialidad e integridad de la

información

• Cifrado de datos sensibles

• Controles de acceso a la información

Monitoreo, control y continuidad de las

operaciones

• Monitoreo de operaciones

• Revisiones de seguridad

• Soporte técnico y continuidad de la operación 12

No tiene límite transaccional, mantiene controles estrictos (similar a Internet)

Pagos de alto valor

Banca Móvil

Medidas para proteger el acceso a los servicios financieros

– Banca Móvil: Orientado a servicios bancarios similares a los ofrecidos a través de la Banca por Internet. Asociación de cuentas de inversiones,

� Desde el punto de vista de la CNBV, existen tres grandes líneas de negocio ligados con latelefonía celular:

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

El saldo de la cuenta debe ser menor a 70 Udis.

Micro Pagos *

Pagos de bajo valor

Límites Transaccionales diarios:• 250 Udis con controles• 1500 Udis con controles

adicionales

MonederoElectrónico

Pago Móvil

* Según la regulación, las IFs deben asumir las reclamaciones de los clientes por este tipo de operaciones

Asociación de cuentas de inversiones, débito, TDC, créditos, entre otros

– Pago Móvil: Orientado a pagos y transferencias de bajo valor cargado a una Cuenta Móvil, TDD o TDC

– Monedero Electrónico: Asociado a Tarjetas Prepagadas Bancarias o Cuentas Móviles

13

Pago Móvil� Operaciones Bancarias orientados al pago de bienes y servicios, y transferencias entre

personas desde un teléfono móvil asociado al servicio

� Asociación de una tarjeta o cuenta bancaria y/o una cuenta cuyo saldo no podráexceder de 70 UDIs

� Contratación a través de Centros de Atención Telefónica u otro servicio de BancaElectrónica con dos Factores de Autenticación

� Límites de Operaciones:� Hasta 1,500 UDIs diarias en una o varias operaciones� Hasta 4,000 UDIs mensuales por línea telefónica por usuario

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

� Hasta 4,000 UDIs mensuales por línea telefónica por usuario

� Requieren pre-registro de cuentas destino para las operaciones mayores a 250 UDIs.El pre-registro puede realizarse en; sucursales con firma autógrafa o en otro servicioutilizando 2 factores de autenticación.

� Requiere el uso de un factor de autenticación categoría 2 (Contraseña o NIP). Paralas operaciones menores a 70 UDIs no requiere utilizar factores de autenticación,siempre que las Instituciones asuman los riesgos y los costos.

� Notificaciones al Usuario cuando el acumulado de las operaciones sumen 600 UDIs oéstas sean mayores a 250 UDIs

� Los usuarios deberán tener la opción de desactivar el servicio de forma temporal.

14

Banca Móvil

� Operaciones bancarias realizadas desde un teléfono móvil del usuariocuya número de línea se encuentra asociado al servicio.

� Es posible asociar al servicio más de una cuenta del mismo cliente.

� Límite transaccional definido por el usuario

� Requiere de un 2FA para realizar operaciones monetarias. El 2FA puedeestar inmerso en el teléfono. Para las operaciones menores a 70 UDIs no

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

� Requiere de un 2FA para realizar operaciones monetarias. El 2FA puedeestar inmerso en el teléfono. Para las operaciones menores a 70 UDIs norequiere de Factores de Autenticación, siempre que el banco asuma losriesgos y costos

� Requiere pre-registro de cuentas destino, para Operaciones Monetariasmayores a 250 UDIS, las cuales pueden quedar habilitadas de inmediatosi se registran a través de este servicio

� Notificaciones al Usuario cuando el acumulado de las operacionessumen 600 UDIs o éstas sean mayores a 250 UDIs

� Los usuarios deberán tener la opción de desactivar el servicio de formatemporal

15

Resumen de Controles para protección al Cliente Banca Móvil y Pago Móvil

Pago

Móvil

Pago Móvil

Registro de cuentas destino mismo medio con 2FABanca Móvil

SIN PREREGISTRO SIN PREREGISTRO CON PREREGISTRO CON PREREGISTRO con 2FA

Registros de Cuentas Destino

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

2F A + Encripción + Registro de

cuentas destino + NotificacionesNIP + NotificacionesNIPSin NIP

Pago Móvil, Banca Móvil (Monedero Electrónico)

Móvil

0

UDIs

Micro

Pago70 250 1,500Baja

Cuantía

Mediana

Cuantía

Límite de acuerdo a

la Institución

Límite del

Usuario

Contratación en CAT

Contratación en sucursal o en otro Medio Electrónico con 2FA (Confirmación mediante un 2FA transcurridos 30 min)

Máximo 1,500 al día y 4,000 UDIs al mes

16

Principales controles

Control Pago Móvil Banca Móvil

Uso de medidas de encripción para transmisión de mensajes SMS

•Requiere Administración llaves criptográficas

•El software debe instalarse en la tarjeta SIM

No necesario Sí

USSD o Mensajes SMS sin encriptar (no seguro) Sí, I.F. paga las

reclamaciones de los

No

permitido

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

reclamaciones de los

clientes

permitido

Restricción del uso de números de cuenta, Nips (ATM) y otra

información sensible durante el proceso (solo para USSD y SMS

sin encriptar)

Sí No

Enmascarar el NIP Sí

(USSD y SMS no

seguro, I.F. paga)

Sí

Identificar a los cliente por el número de telefóno Sí Sí

Restricción del tipo y número de cuentas asociadas al servicio

(una cuenta/teléfono, un número de teléfono/cliente)

Sí No

17

Principales controles, cont.

Control Pago Móvil Banca Móvil

Pre-registro de cuentas destino a través de otros

medios

No, operaciones <250 Udis

Sí , operaciones > 1,500

Udis

No necesario

Require un segundo factor de autenticación (2FA) No necesario Sí

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Sistema de prevención de fraudes Sí Sí

Autenticación segura del usuario durante la

contratación

Sí, es posible hacerlo a

través de un CAT

Sí, solo a través de

un canal seguro*

Procedimientos de conocimiento del cliente y de

verificación de identidad

Sí Sí

Activación/desactivación del servicio Sí Sí

18* Banca por Internet utilizando un 2FA o firma autógrafa en sucursal bancaria

Retos para Pago Móvil y Banca Móvil

La tecnología no es suficiente para La tecnología no es suficiente para mantener la seguridad, se requiere mantener la seguridad, se requiere de una adecuada implementaciónde una adecuada implementación

BANCA MOVIL Y PAGO MOVILBenjamín Bernal / Comisión Nacional Bancaria y de Valores

Seguridad Operabilidad

Costo

Lo óptimo es llegar al Lo óptimo es llegar al balance:balance:

19

BANCA MOVIL Y PAGO MOVIL

¡ Gracias por su atención !

BANCA MOVIL Y PAGO MOVIL