Cumplimiento regulatorio ante SWIFT

• Aunque no es un sistema de pagos ni de compensación, SWIFT se considera una infraestructura relevante para la estabilidad financiera global, por lo que está sujeta a supervisión centralizada y cooperativa por bancos centrales internacionales
• El Banco Nacional de Bélgica (NBB) como entidad del país donde está incorporada SWIFT, actúa como supervisor líder

Supervisión cooperativa global

• Participan bancos centrales del grupo de los diez (G-10): Estados Unidos, Reino Unido, Alemania, Japón, Canadá, Francia, Italia, Países Bajos, Suecia, Suiza, Bélgica y el Banco Central Europeo (BCE)
• Desde 2012 este esquema es ampliado mediante el SWIFT Oversight Forum que incluye bancos centrales de otras economías clave

Ámbito de supervisión

• Se centra en la estabilidad financiera, seguridad de la información, resiliencia operativa, continuidad del negocio, planificación tecnológica y comunicación con los usuarios

Marco legal y protección de datos

• SWIFT está sujeta a normativas de protección de datos de la legislación de Bélgica y la regulación europea. Además, participa del Terrorist Finance Tracking Program, que establece marcos de colaboración con autoridades estadounidenses y europeas

• Con base en la documentación de SWIFT, todas las instituciones que utilizan la red deben implementar el Customer Security Controls Framework (CSCF) como parte del Customer Security Programme (CSP)
• El CSCF establece controles de seguridad específicos divididos en tres objetivos principales, siete principios y 32 controles, diseñados para proteger la infraestructura de SWIFT y detectar cualquier anomalía
• Cada entidad usuaria debe presentar una testificación de cumplimiento anual a través de la plataforma oficial (KYC Registry) informando el apego a los controles CSCF
• La falta de cumplimiento puede conducir a acciones correctivas e incluso a la revocación del acceso a SWIFT

Condiciones generales

• General Terms and Conditions (GTCs) de SWIFT, que establecen obligaciones contractuales de los usuarios (por ejemplo, cumplimiento de políticas de seguridad, estándares aplicables, uso adecuado de identificadores, etc.)
• CSP: exige a los usuarios de SWIFT compararse contra el CSCF y testificar su cumplimiento cada año. Los controles se actualizan anualmente (versión vigente a partir de julio), y la testificación y evaluación independiente deben completarse a más tardar el 31 de diciembre del ciclo
• La testificación se presenta en la aplicación KYC-Security Attestation (KYC-SA), y debe actualizarse al menos cada año, con una ventana de testificación nuevamente entre julio y diciembre. Una vez publicada, es visible a la comunidad KYC-SA y su contenido puede compartirse con contrapartes previa autorización
• El CSCF y la Política de Controles obligan al usuario a identificar su tipo de arquitectura (A1, A2, A3, A4 o B) y aplicar los controles pertinentes. En CSCF v2024 se indica que A1, A2 y A3 comparten el mismo conjunto de controles, y A4 tiene un subconjunto; el tipo B se aplica cuando el usuario no aloja componentes locales (por ejemplo, conectividad tercerizada)
• Además del CSCF, SWIFT publica la Customer Security Controls Policy, que contiene guías de evaluación (matriz de controles y plan de prueba), y materiales de CSP Assessor Certification
• Outsourcing Agent Requirements (OAR): cuando terceros proveen o alojan componentes SWIFT para el usuario, deben cumplir requisitos base de seguridad para agentes de outsourcing, sin omitir la responsabilidad del usuario de testificar anualmente en KYC-SA
• CBPR+ (Cross-Border Payments and Reporting Plus): para pagos y reportes transfronterizos, SWIFT migró a ISO 20022 (MX) con reglas y guías de uso CBPR+; los participantes deben alinear sus flujos y sistemas a dichas directrices y validaciones de red
• Gestión de relaciones de mensajería (RMA): para enviar y recibir mensajes se requiere autorización RMA entre contrapartes; SWIFT ha evolucionado RMA con almacenamiento y validación central y controles de gestión de relaciones
• Swift actúa como Registration Authority del BIC (ISO 9362) y emite la BIC Policy que define reglas de uso de BIC en la red (SWIFTNet/FIN) procedimientos de registro y mantenimiento (incluido Non-Connected BIC)
• Swift Compatible Interface Programme (SCI): los proveedores de interfaces deben cumplir los Security Performance Requirements v2025 (por ejemplo, el despliegue en zona segura, control de accesos, MFA, integridad del software, registros y monitoreo, cifrado y autenticación mutua)
• SWIFT no determina por sí misma la inclusión o exclusión de entidades más allá de los marcos normativos de la legislación de Bélgica y la Unión Europea y provee información pública al respecto
• SWIFT ofrece controles de pago y reportes de validaciones diarias con el objetivo de mitigar fraudes y gestionar riesgos operativos en pagos; no son obligaciones universales, pero SWIFT los ubica como parte de la gestión de riesgos del CSP