Período de 4 días para presentar objeciones a los requisitos de KYC en servicios de internet

 (federalregister.gov)
1 puntos por GN⁺ 2024-04-26 | 1 comentarios | Compartir por WhatsApp

Resumen de las reglas sobre el programa de identificación de clientes y exenciones para proveedores de IaaS

  • Todos los proveedores de IaaS en EE. UU. deben establecer e implementar un programa escrito de identificación de clientes (CIP) que cumpla al menos con los requisitos mínimos.
  • El CIP debe incluir procedimientos para recopilar información de identificación de clientes y beneficiarios reales, verificar la identidad de clientes extranjeros y beneficiarios reales, conservar la información y notificar al cliente sobre la divulgación de información.
  • Los proveedores de IaaS deben recopilar de posibles clientes extranjeros y beneficiarios reales, como mínimo, información como nombre, dirección, medio/fuente de pago de la cuenta, correo electrónico, número de teléfono y dirección IP.
  • Los proveedores de IaaS deben establecer procedimientos basados en riesgo para verificar la identidad de clientes extranjeros y beneficiarios reales mediante métodos documentales o no documentales.
  • El CIP también debe incluir procedimientos de respuesta para situaciones en las que no sea posible verificar la identidad del cliente.
  • Deben conservar de forma segura durante al menos 2 años los registros de toda la información obtenida en el proceso de verificación de datos del cliente, y establecer procedimientos para restringir el acceso de terceros.
  • Los proveedores de IaaS también deben exigir a los revendedores extranjeros mantener e implementar un CIP, y proporcionar al Departamento de Comercio una copia del CIP del revendedor dentro de 10 días si se les solicita.
  • Las transacciones con revendedores extranjeros que no cumplan deben suspenderse dentro de un plazo de 30 días.

Resumen de los requisitos de reporte del CIP

  • Todos los proveedores de IaaS deben presentar un formulario de certificación del CIP para notificar al Departamento de Comercio sobre la implementación del CIP propio y de sus revendedores extranjeros.
  • Deben revisar y actualizar el CIP cada año para volver a certificarlo, y notificar al Departamento de Comercio si hay cambios materiales importantes entre tanto.
  • Los nuevos proveedores de IaaS deben presentar el formulario de certificación del CIP antes de prestar el servicio, y también deben notificar cuando agreguen nuevos revendedores extranjeros.
  • Deben recopilar información del CIP de los revendedores extranjeros y presentarla anualmente al Departamento de Comercio.

Resumen de la evaluación de cumplimiento del CIP

  • El Departamento de Comercio puede solicitar e inspeccionar una copia del CIP de un proveedor de IaaS, y puede notificarle que corrija deficiencias.
  • El Departamento de Comercio evalúa el nivel de riesgo y realiza revisiones de cumplimiento con base en sus propias evaluaciones o en la información presentada por los proveedores de IaaS.
  • Según los resultados de supervisión de cumplimiento, puede recomendar medidas de mitigación de riesgos o medidas especiales.

Resumen de las reglas de exención del CIP

  • El Secretario de Comercio puede conceder exenciones del cumplimiento de los requisitos del CIP a proveedores de IaaS, tipos de cuenta, arrendatarios, revendedores extranjeros, etc.
  • Los proveedores de IaaS pueden solicitar una exención de los requisitos del CIP estableciendo un programa de prevención de abuso de productos IaaS (ADP).
  • El ADP debe incluir políticas y procedimientos para identificar indicadores de riesgo, detectarlos, responder a ellos y actualizarlos periódicamente.
  • Para mantener la exención, deben notificar anualmente al Departamento de Comercio sobre cambios en el ADP, y la exención puede revocarse en cualquier momento.

Resumen de medidas especiales para determinados países o extranjeros

  • El Secretario de Comercio puede imponer medidas especiales si determina que un país específico o una persona extranjera estuvo involucrada en actividades cibernéticas que abusaron de productos IaaS de EE. UU.
  • Entre esas medidas se incluyen prohibir o imponer condiciones a la apertura de cuentas por parte de extranjeros dentro de ese país, así como prohibir o restringir la apertura de cuentas por parte de extranjeros específicos.
  • La decisión sobre si imponer medidas especiales y qué tipo aplicar se toma evaluando de forma integral los factores pertinentes.

Resumen de los requisitos de reporte para el entrenamiento de modelos de IA a gran escala

  • Los proveedores de IaaS deben reportar al Departamento de Comercio dentro de 15 días si detectan una transacción de entrenamiento de un modelo de IA a gran escala que pueda ser utilizada indebidamente por extranjeros para actividades cibernéticas maliciosas.
  • Los revendedores extranjeros tienen la misma obligación de reporte, y los proveedores de IaaS deben presentar esa información al Departamento de Comercio dentro de 30 días.
  • Si el Departamento de Comercio lo solicita, deben presentar un informe de seguimiento con información adicional dentro de 15 días.
  • Si encuentran errores, deben presentar un informe corregido dentro de 15 días.
  • El informe debe incluir información del cliente extranjero y datos relacionados con el entrenamiento.
  • Los proveedores de IaaS deben hacer esfuerzos razonables para que los revendedores extranjeros cumplan este requisito.

Resumen de la aplicación por violaciones de la norma

  • Entre las conductas prohibidas se incluyen no establecer o no mantener un CIP, el incumplimiento del CIP por parte de revendedores y no acatar prohibiciones o suspensiones relacionadas con el entrenamiento de modelos de IA a gran escala.
  • Hacer declaraciones falsas al Departamento de Comercio también constituye una infracción.
  • Conforme a la IEEPA, pueden imponerse sanciones civiles de hasta USD 250,000 por caso o el doble del monto de la transacción en infracción, lo que sea mayor.
  • En caso de infracción intencional, puede imponerse una multa de hasta USD 1 millón o una pena de prisión de hasta 20 años.
  • Además, pueden aplicarse otras sanciones civiles o penales conforme a la legislación de EE. UU.

Opinión de GN⁺

Esta norma parece tener como objetivo obligar a los proveedores de IaaS en EE. UU. a identificar y verificar a clientes extranjeros para evitar que sus servicios se utilicen en actividades cibernéticas maliciosas. En particular, también parece reflejar preocupación por el uso de IaaS para entrenar modelos de IA a gran escala.

Desde la perspectiva de los proveedores de IaaS, la carga de recopilar y verificar información de clientes y conservar registros probablemente aumentará. Verificar a clientes extranjeros puede no ser sencillo, y también es previsible que surjan temas de privacidad. La relación contractual con revendedores extranjeros también se verá afectada.

Por otro lado, el gobierno parece buscar con esto aumentar su capacidad de control sobre el mercado de IaaS y bloquear amenazas a la seguridad nacional. Llama la atención la cláusula de medidas especiales dirigida a determinados países o actores, que parece reflejar tensiones geopolíticas.

Las disposiciones sobre modelos de IA a gran escala parecen ser resultado de una mayor conciencia sobre el carácter de doble uso de la IA. Se percibe la intención del gobierno de vigilar las actividades de desarrollo de IA a través de IaaS. Puede interpretarse como un intento de responder a nuevos riesgos derivados del avance tecnológico.

Esta norma parece formar parte de una búsqueda de equilibrio entre seguridad nacional e innovación tecnológica. Para los proveedores de IaaS será una carga, pero a largo plazo podría contribuir a mejorar la solidez y la confianza del mercado. Aun así, dado el riesgo de que una regulación excesiva frene la innovación, parece necesaria una implementación cuidadosa.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-04-26
Opinión de Hacker News
  • Este proyecto de ley parece exigir que los proveedores de IaaS (infraestructura como servicio) verifiquen la identidad de las personas que usan sus servicios para entrenar IA. Es un intento de evitar que actores sancionados o maliciosos entrenen IA y sigan entrenando modelos moviéndose entre servicios o usando seudónimos.
  • Esto parece relativamente inofensivo, y me cuesta entender las comparaciones que hacen otras personas en la discusión de HN. Me pregunto si es una pendiente resbaladiza o si estoy siendo ingenuo sobre el alcance del proyecto de ley.
  • Los proveedores de IaaS se opondrán con fuerza, y si AWS empieza a exigir documentos de KYC, moveré de inmediato todos mis recursos en la nube a otro lugar. Casi no hay esfuerzo para hacerlo.
  • KYC significa "conoce a tu cliente". Es mejor escribirlo completo la primera vez que se usa la sigla, especialmente porque en el artículo enlazado ni siquiera se usa la sigla en sí. También vale la pena señalar que esta propuesta se refiere a productos de IaaS en EE. UU., no a los "servicios de internet" en general.
  • Si los bancos conocen a sus clientes, nosotros no necesitamos hacerlo. El camino del KYC siempre lleva a pagos y finanzas. Si aceptamos pagos por servicios mediante transacciones estándar con tarjeta bancaria o transferencias, el conocimiento sobre el cliente puede centralizarse en los bancos.
  • Me preocupa la tendencia de añadir requisitos de KYC a cada vez más servicios en línea. El KYC impone una carga importante a quienes quieren ofrecer un servicio.
  • Los sistemas de KYC tienden a no filtrar bien a los delincuentes. La mayoría de los sistemas de KYC dependen de agregadores de datos (personas que compran datos personales), y las personas jóvenes, pobres o que valoran la privacidad terminan siendo vistas con sospecha.