En esta entrada voy a hacer algunos comentarios sobre las repercusiones prácticas y organizativas que tiene la identificación de los clientes, como paso previo al análisis al tratamiento que tiene esta identificación en nueva Ley 10/20010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y en la Tercera Directiva.
La nueva Ley obliga a los sujetos obligados y, especialmente a las entidades financieras, a efectuar un cambio de mentalidad en esta materia.
El primer comentario tiene que ver con la forma práctica de identificación de los clientes que tiene una gran parte del Sector Financiero. A partir de la entrada en vigor de la nueva Ley, la forma práctica diaria de identificación de los clientes debería ser la misma en todas las empresas, tanto para la prevención del fraude como para la prevención del blanqueo, puesto que en ambos casos, la responsabilidad de la identificación recae directamente en los departamentos que están más cercanos a la prevención del fraude que a la prevención del blanqueo, como son, por ejemplo, los departamentos de análisis de riesgos o los de seguridad.
Esta realidad práctica demuestra la íntima conexión operativa que debe establecerse dentro de las empresas financieras, entre prevención del fraude y prevención del blanqueo, si se quiere llegar a la necesaria optimización de los sistemas internos de identificación de los clientes.
La identificación de los clientes ha de ser incluida en los procedimientos internos bajo los criterios estrictos de la normativa de prevención del blanqueo de capitales, puesto que resulta absurdo y antieconómico no hacerlo así, si queremos evitar la duplicidad en los sistemas de identificación, y además, porque sobre empresas financieras y sobre los empleados que tienen a su cargo el proceso de identificación, pesa la grave responsabilidad del incumplimiento de esta legislación, aunque sean departamentos o personas que no estén específicamente dedicadas a la prevención del blanqueo de capitales y de la financiación del terrorismo.
En general. son los departamentos que están más cercanos a la prevención del fraude, como los de riesgos y los de seguridad, y no de los de prevención del blanqueo, los que están encargados de la identificación de los clientes dentro de las empresas financieras, y por tanto, los que tienen que valorar internamente los procedimientos que actualmente se utilizan para la identificación, asesorando a los altos directivos de sus empresas sobre la realidad existente en esta materia y, promoviendo los cambios necesarios para el debido cumplimiento de la Ley, lo que, sin duda, derivará también en una mejor prevención del fraude, especialmente el de identidad, que cada vez supone un mayor gasto para las entidades financieras.
A este efecto sugiero que se aborde en cada empresa financiera un debate interno que sirva para poner en evidencia las lagunas que actualmente existen en la identificación de los clientes, a la luz de la actual legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo.
Es cierto que gran parte de las inadaptaciones tienen su origen en el hecho de que hasta ahora cada nicho de negocio financiero ha tenido montada la identificación de los clientes sobre criterios estrictamente comerciales. A partir de ahora, la identificación de los clientes ha de ser planificada por todo el Sector teniendo en cuanta también el cumplimiento de la legislación de prevención del blanqueo. Ante estos nuevos criterios de cumplimiento, las entidades deberían superar la anterior visión individualista y abordar esta materia mediante la necesaria homogeneización de los procedimientos de identificación, evitando así la temida competencia desleal.
Igualmente, cada sector de actividad que lo necesitase, debería potenciar la creación y utilización de procedimientos tecnológicos cooperativos para la debida identificación de los clientes, lo que reduciría costes e incrementaría la efectividad operativa en los procesos de identificación.
Teniendo en cuenta que la nueva Ley de prevención del blanqueo de capitales considera la identificación de los clientes como una de las obligaciones ineludibles, las entidades financieras tienen la necesidad de efectuar en este momento este análisis en profundidad, si no lo han hecho ya, para no incurrir en serias responsabilidades en esta materia específica.
Repercusiones prácticas y organizativas derivadas de la actual normativa
Ya la normativa anterior exigía identificar a los clientes mediante documentos fehacientes, especificando perfectamente cada uno de ellos: DNI, Tarjeta de Extranjero, Pasaporte, etc.
También dejaba clara la responsabilidad de las entidades en la verificación de estos documentos, cuando obligaba a que los mismos fueran presentados físicamente en el acto de la identificación. Esta responsabilidad nos venía y viene impuesta, porque el Estado ha dotado a estos documentos identificativos de características específicas contra la falsificación que necesariamente deberían ser reconocidas por las personas que los analizan, ya sea mediante programas de formación y/o mediante los instrumentos técnicos que existen en el mercado para este tipo de comprobaciones.
Todas las exigencias en la identificación que estaban establecidas en la anterior Ley, se recogen y se potencian en la nueva Ley, por lo que las entidades deberían prepararse para poder demostrar en todo momento, al SEPBLAC y a las Autoridades, que en sus protocolos internos la identificación de los clientes está perfectamente adaptada a la legislación sobre prevención del blanqueo de capitales, y de que están dando una formación en la que que tienen en cuenta los problemas de la falsificación documental, y sobre todo, que poseen y utilizan el material tecnológico adecuado en los lugares en los que realizan la identificación de los clientes.
La dificultad y la peligrosidad para el cumplimiento de esta obligación reside en la identificación a través de un tercero. Así sucede en muchas de las actividades de comercilización del crédito o de operativa bancaria a través de Internet o banca telefónica, puesto que la responsabilidad de la identificación siempre recae en el sujeto obligado y no en ese tercero al que se encomienda el trabajo de verificación. Por ello resulta imprescidible modificar los procesos de identificación de los clientes en los sectores que se dedican a la financiación del crédito a través de puntos de venta, o a la contratación de forma electrónica o telefónica, si es que estas entidades quieren adaptarse con seriedad a la legislación sobre prevención del blanqueo.
Este proceso de modernización ya es imparable con la nueva Ley, y no podremos a partir de ahora justificar la identificación, simplemente mediante el archivo de fotocopias obtenidas en los puntos de venta, o entregadas por los clientes a los mensajeros, tal como sucede en los procedimientos documentales de contratación que se están utilizando en la actualidad por la banca electrónica o la banca telefónica, en los que la comprobación de la veracidad en la identificación se encarga a un empleado de una empresa de mensajería.
Si una lectura pausada de la anterior Ley y Reglamento, nos indicaba que los procesos de identificación de los clientes no concluían en los actos puntuales de verificación de los documentos de identidad, sino que proseguían mientras durase la relación contractual, con la nueva Ley esta exigencia es aún más clara, puesto que junto con la identificación, las entidades han de seguir trabajando en el conocimiento de los clientes, lo que implica la puesta en funcionamiento de una estructura tecnológica capaz de generar inteligencia en este tipo de investigaciones mediante la consulta a numerosas bases de datos internas y externas.
Un ejemplo de la necesaria estructura tecnológica de inteligencia que la legislación anterior sobre prevención del blanqueo de capitales obligaba a crear, podemos obtenerlo en el propio texto del Reglamento (Art. 3.4) que dice, “cuando existan indicios o certeza de que los clientes no actúan por cuenta propia, los sujetos obligados recabarán la información precisa a fin de conocer la identidad de las personas por cuenta de las cuales actúan”, lo que significa que las empresas tenían la obligación ya, con la anterior legislación, de ayudar a la Administración a levantar el velo en la identificación, poniendo al descubierto las identidades de los que estaban realmente detrás de las operaciones, lo que sin duda presuponía la existencia de plataformas y equipos humanos que permitieran generar inteligencia.
Esta exigencia se reconoce aún más con la nueva Ley como veremos en las próximas entradas, y su cumplimiento debemos reconocer que no sólo beneficia a la prevención del blanqueo sino que también resulta muy útil para el análisis del riesgo y para seguridad de las propias operaciones contratadas.
La colaboración de las iniciativas Pública y Privada en el proceso de la identificación de los clientes:
El proceso de verificación de los datos que entregan los clientes, contra los datos indubitados que contienen los repositorios públicos resultará imprescindible con la nueva Ley, por lo que a partir de ahora se habrá de negociar con la Administración esta posibilidad.
Se abre un camino dificultoso que, sin duda, llevará su tiempo recorrer porque está imbuído de una gran carga política. Creo, con todo, que podrán alcanzarse resultados para la prevención del blanqueo de capitales mediante la firma de Convenios de Colaboración entre las Instituciones Públicas y Privadas. Esta es la solución sugerida por la Agencias Española de Protección de Datos para la Tesorería General de la Seguridad Social. Pero aunque lo permita la Ley, en este tipo de verificaciones se necesitará el consentimiento de los ciudadanos.
Es verdad que la nueva Ley no obliga a las entidades financieras a la obtención del consentimiento para el acceso a una serie de bases de datos externas de propiedad privada; pero tratándose de bases de datos de propiedad públicas será difícil acceder sin el consentimiento, puesto que es tema muy sensible. Y esto es así, desgraciadamente, porque resulta casi imposible, desde el punto de vista político, ignorar la coincidencia que existe entre la prevención del blanqueo y el legítimo interés privado que posee esta información para asegurar las actividades de negocio de los propios sujetos obligados, frente al fraude.
Concretamento en la verificación de la identidad, se cruzan inexorablemente la legitimidad de la prevención del blanqueo y la legitimidad de la prevención del fraude. Y resulta evidente que para el cumplimiento de ambas legitimidades se han de crear, dentro de las entidades y fuera de ellas, bases de datos utilizadas por diferentes departamentos y no solo por los específicamente dedicados a la prevención del blanqueo. Por todo ello sugiero que las entidades financieras aborden este problema con claridad en cuanto a los objetivos que tienen que conseguir.
No pensemos, por tanto, que la normativa sobre prevención del blanqueo será la panecea que evite la obtención de consentimiento en el futuro, porque no será así y nos estaremos engañandonos y engañando a nuestras empresas. Es cierto que la nueva legislación permite la creación de numerosas bases de datos sin consentimiento, pero estos Repositorios estarán circunscritos, básicamente, al examen especial de operaciones por los departamentos de prevención del blanqueo. Pero la mayor parte de la información que generará las alertas de blanqueo, vendrá del trabajo productivo de cada organización y especialmente de las plataformas que las entidades tangan creadas para la prevención del fraude.
Si esto es así, no merece la pena seguir retrasando la inclusión de la obtención del consentimiento de los clientes en los procedimientos comerciales, puesto que para que las entiddades financieras sean efectivas, no podrán obviar la consulta a las bases de datos públicas y a las bases de datos de prevención del fraude privadas, puesto que ambas fuentes de información van a ser imprescindibles para la prevención del blanqueo. Y para el acceso a estas fuentes se necesitará este consentimiento, si es que las entidades no quieren crear cuellos de botella en los procedimientos, derivando hacia los departamentos de blanqueo esta comprobación.
Consecuencias del incumplimiento de la obligación de identificar
No proceder a la identificación formal de los clientes mediante la presentación de documentos acreditativos, en el momento de entablar relaciones de negocio, así como de cuantas personas pretendan efectuar cualesquiera operaciones, salvo aquellas que queden exceptuadas reglamentariamente, constituye una infracción grave.
Se incluye también como infracción grave el incumplimiento de la obligación de aprobar por escrito y aplicar políticas y procedimientos adecuados de control interno, en los términos del Art. 26.1 de la nueva Ley, incluida la aplicación de una política expresa de admisión de clientes.
Igualmente será infracción grave, el incumplimiento de la obligación de establecer órganos adecuados de control interno, con inclusión, en su caso, de las unidades técnicas, que operen en los términos exigidos por las medidas de control interno, entre las que estarán las referidas a la identificación de los clientes.
Además de la responsabilidad que corresponda a la entidad obligada, quienes ejerzan en ella cargos de administración o dirección, sean unipersonales o colegiados, serán responsables de las infracciones muy graves o graves cuando éstas sean imputables a su conducta dolosa o negligente.
Por la comisión de infracciones graves se podrán imponer las siguientes sanciones:
Amonestación privada.
Amonestación pública.
Multa cuyo importe mínimo será de 6.001 euros y cuyo importe máximo podrá ascender hasta la mayor de las siguientes cifras: el 1 por 100 del patrimonio neto del sujeto obligado; el tanto del contenido económico de la operación, más un 50 por 100, o 150.000 euros.
La sanción de multa, que ha de ser obligatoria en todo caso, se impondrá simultáneamente con alguna de las previstas junto con aquella.
Además de la sanción que corresponda imponer a la entidad obligada por la comisión de infracciones graves, se podrán imponer las siguientes sanciones a quienes, ejerciendo cargos de administración o dirección en la misma, fueran responsables de la infracción:
Amonestación privada.
Amonestación pública.
Multa a cada uno de ellos por un importe mínimo de 3.000 euros y máximo de hasta 60.000 euros.
Suspensión temporal en el cargo por plazo no superior a un año.
La sanción de multa, que ha de ser obligatoria en todo caso, se impondrá simultáneamente con alguna de las previstas junto con aquella.
Fabián Zambrano Viedma
Responsable del Servicio
