Blog del SISO

Le doy la bienvenida al Blog del SISO, editado por el SERVICIO DE INFORMACIÓN DE LOS SUJETOS OBLIGADOS de ASNEF


C/ Velázquez, 64-66, 2ª planta

28001 Madrid

e-mail: asnef@asnef.com

Teléfono: 91.781.44.00

Fax: 91.431.46.48



jueves, 26 de enero de 2012

LA IDENTIFICACIÓN EN LAS OPERACIONES NO PRESENCIALES




La identificación del titular real, con carácter previo al establecimiento de relaciones de negocio o a la ejecución de cualesquiera operaciones, establecida en el Artículo 4 de la Ley 10/2010, tiene una excepción legal  recogida en el Artículo 12, y que se refiere al establecimiento de las relaciones de negocio y operaciones no presenciales a través de:

- Medios telefónicos
- Medios electrónicos
- Medios telemáticos

Pero para el establecimiento de relaciones de negocio o la ejecución de operaciones, con clientes que no se encuentren físicamente presentes, han de darse cualquiera de las siguientes circunstancias:

1.- Que la identidad del cliente quede acreditada de conformidad con lo dispuestos en la normativa aplicable sobre firma electrónica. (Ley 59/2003, de 19 de diciembre, de firma electrónica)

2.- Que el primer ingreso proceda de una cuenta abierta a nombre del mismo cliente, en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.

3.-Se verifiquen los requisitos que se determinen reglamentariamente.
Como en la actualidad aún no se ha publicado el nuevo Reglamento, sólo existen legalmente como circunstancias habilitantes: la acreditación mediante firma electrónica, o la recepción de un primer ingreso procedente  de una cuenta abierta en una entidad sujeta a la legislación española sobre prevención del blanqueo de capitales y de la financiación del terrorismo, o de otros países homologados.

Existen varios colectivos de sujetos obligados, de los  especificados en el Artículo 2 de la Ley 10/2010, capaces de desarrollar en este momento sus actividades de negocio a través de medios telefónicos, electrónicos y telemáticos, cumpliendo cualquiera de las dos circunstancias establecidas en la Ley, y aparecerán algunos más cuando se conozcan los nuevos requisitos que establezca el futuro Reglamento. Pero todos estos Sujetos Obligados deben ser conscientes de que las relaciones de negocio y operaciones no presenciales están sujetas al cumplimiento de algunas medidas reforzadas de diligencia debida.

El principal riesgo, para establecer relaciones de negocio y operaciones con clientes que no se encuentran físicamente presentes, es el de  la identificación formal de los mismos, obligación ésta que como sabemos,  es la primera medida normal de diligencia debida y la única que no admite excepcionalidades.

Para tratar de solventar este riesgo, la Ley 10/2010 ha establecido en el Artículo 12 un  mínimo de medidas reforzadas de diligencia debida, cuyo incumplimiento podría originar  responsabilidades graves en los sujetos obligados afectados.

Estas medidas, que no todos los sujetos obligados las tienen estructuradas de forma eficiente en sus sistemas de cumplimiento, son las siguientes:


PRIMERA MEDIDA

En el plazo de un mes desde el establecimiento de las relaciones de negocio, los sujetos obligados deberán obtener de los clientes una copia de los documentos necesarios para practicar la diligencia debida, a saber:

- La identificación formalç
- La identificación del titular real
- La  investigación sobre el propósito e índole de la relación de negocios
- El control para el seguimiento continuo de la relación de negocios

  SEGUNDA MEDIDA:

Cuando se aprecien discrepancias entre los datos facilitados por el cliente y otra información accesible o en poder del sujeto obligado, será preceptivo proceder a la identificación presencial.

TERCERA MEDIDA:

Los sujetos obligados adoptarán medidas adicionales de diligencia debida cuando en el curso de la relación de negocio aprecien  riesgos superiores al riesgo promedio.

CUARTA MEDIDA:

Los sujetos obligados que practiquen este tipo de relaciones de negocio y operaciones no presenciales, establecerán políticas y procedimientos para afrontar los riesgos específicos asociados a las mismas.


Estas medidas reforzadas de diligencia debida exigen de los sujetos obligados desarrollos organizativos y tecnológicos, como seguidamente trataré de justificar.

Los desarrollos organizativos serán  propios de cada empresa, aunque parte de los tecnológicos podrían estar compartidos de forma sectorial. La filosofía de este  Servicio de Información de los Sujetos Obligados (SISO), es la de potenciar una estructura tecnológica de cumplimiento de uso compartido, capaz de generar eficiencias y de reducir costes

Para comprender las dificultades que entraña el cumplimiento de éstas medidas reforzadas de diligencia debida en este tipo de operaciones y relaciones de negocio, voy a analizar someramente la operativa de los establecimientos financieros de crédito, de la banca electrónica y de la banca telefónica en dos momentos diferentes:

- La situación actual

- La situación que vendrá a partir del 29 de abril de 2012

Para el resto de los sujetos obligados que trabajen con clientes no presenciales, la operativa y los riesgos serán similares a los que voy a explicar a continuación.


ANÁLISIS DE LA SITUACIÓN ACTUAL

Hasta ahora, los sujetos obligados que tienen relaciones de negocio y operaciones no presenciales,  están cumpliendo a su modo con las medidas reforzadas de diligencia debida, mediante procedimientos que no están homologados dentro de sus respectivos sectores de actividad, pero que sin embargo tienen  características comunes.


ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO

En las relaciones de negocio que los EFC’s realizan a través de prescriptores, ambas partes, los establecimientos financieros de crédito y los vendedores, se conectan a través de las plataformas de contratación de los EFC’s, o a través del teléfono, fax o correo electrónico.

Son los prescriptores los que se encargan de la identificación formal de los solicitantes de los créditos, de la firma de los contratos, y de la obtención de las fotocopias de los documentos oficiales de identificación y de los documentos de solvencia.

A través de las plataformas tecnológicas de contratación, teléfono, fax o correo electrónico,  las entidades financieras reciben de forma inmediata los datos básicos para poder efectuar una primera evaluación de riesgos. Si de este primer análisis se deriva la aceptación de la operación, los EFC’s reciben posteriormente por distintas vías el original del contrato firmado y las fotocopias de los documentos de identificación y solvencia, con los que los analistas profundizan en el análisis de riesgos, al mismo tiempo que se ponen en marcha dentro de la empresa las medidas de diligencia debida en cumplimiento de la Ley 10/2010.

Resulta especialmente significativo el hecho de que con esta operativa,  los EFC´s, aparte del riesgo económico que asumen por una posible falsificación de los documentos de identificación y solvencia, están asumiendo un segundo riesgo como sujetos obligados, puesto que los documentos de identificación no estarán validados por ellos mismos sino por terceros, y por tanto, no tienen la seguridad de estar en posesión de fotocopias no falsificadas, para poder justificar así ante las Autoridades que se ha efectuado de forma adecuada la identificación formal de sus clientes.


BANCA ELECTRÓNICA Y BANCA TELEFÓNICA

En el caso de la banca electrónica y banca telefónica, estas  entidades establecen las relaciones de negocio a través de sus plataformas tecnológicas Web o a través del teléfono.

Las personas interesadas en ser clientes de estas entidades comunican a través de la Web o del teléfono los datos necesarios para una primera evaluación de riesgos, descargando de las propias Web’s o recibiendo por correo los contratos en papel, que deberán remitir firmados a las entidades bancarias, junto con una fotocopia de sus documentos de identificación y solvencia.

Prácticamente todas las entidades que realizan banca electrónica o banca telefónica poseen portales Web, dotados de herramientas que permiten completar la identificación mediante firma electrónica, por lo que cumplen con una de las circunstancias exigidas legalmente para poder mantener relaciones de negocio y operaciones no presenciales.

En la práctica de la banca electrónica y banca telefónica también se suele cumplir con la segunda circunstancia habilitante para poder establecer este tipo de relaciones de negocio y operaciones no presenciales, puesto que reciben de los clientes los ingresos desde una cuenta abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes, y  si los clientes  quisieran efectuar ingresos en efectivo, tendrían que visitar las oficinas físicas que tienen abiertas en algunas ciudades, donde serían identificados de forma fehaciente por los empleados de las mismas.

Existe, con todo, un problema de riesgo en esta segunda circunstancia habilitante, que no ha sido suficientemente bien valorado por el legislador, al dar por supuesto  que constituye una garantía para la identificación la recepción de un primer  ingreso desde una cuenta ya abierta ante  otro sujeto obligado, lo que no siempre resulta verdad porque podría haberse producido un fallo identificativo en ese otro sujeto obligado, generándose a partir del mismo una cadena de interrelaciones fraudulentas, buscada expresamente para sus fines por los estafadores y/o por los terroristas.

A las organizaciones criminales les resulta relativamente fácil justificar una primera identificación bancaria presencial y a partir de la misma crear una estructura internacional de cuentas  mediante  banca electrónica o banca telefónica, con las que poder operar.


CUMPLIMIENTO DE LAS OBLIGACIONES DE DILIGENCIA DEBIDA  EN AMBOS SUPUESTOS

No puede asegurarse de forma generalizada,  que todas las entidades que operan en la actualidad a través de prescriptores,  o directamente con los clientes mediante medios telefónicos, electrónicos o telemáticos, están cumpliendo de una forma adecuada sus obligaciones reforzadas de diligencia debida, porque para ello deberán justificar que tienen establecida una estructura de cumplimiento, capaz de afrontar los riesgos específicos asociados a las relaciones de negocio y operaciones no presenciales.


Para analizar este problema vamos a estudiar cada una de las medidas de diligencia reforzada que deben cumplir.

PRIMERA MEDIDA DE DILIGENCIA REFORZADA: LA OBTENCIÓN DE UNA COPIA DE LOS DOCUMENTOS IDENTIFICATIVOS EN EL PLAZO DE UN MES

Sabemos que el primer riesgo evidente en esta operativa de negocio es la complejidad de la identificación formal de los clientes, puesto que estos sujetos obligados no validan ellos mismos los documentos oficiales de identificación y se limitan a recibir fotocopias no compulsadas de los mismos, por lo que están permanentemente expuestos al fraude en la identidad. Y no olvidemos que la identificación es la piedra angular sobre la que se fundamenta la prevención del blanqueo de capitales y de la financiación del terrorismo, y también  la prevención del fraude.

El legislador se limita a indicar que en el plazo de un mes, estos sujetos obligados deberán estar en posesión de una copia de los documentos identificativos, con el fin de practicar sus obligaciones de diligencia debida, dando por supuesto que la copia recibida procede de documentos auténticos, por lo que deja bajo la responsabilidad de los sujetos obligados la obtención de  estas copias auténticas.

Desde el punto de vista operativo,  esta responsabilidad significa que, en este tipo de negocios en los que se utilizan las nuevas tecnologías, resulta obligado acoplar a las mismas las soluciones tecnológicas necesarias que permitan al propio sujeto obligado controlar la identificación a distancia sin depender para ello de terceros. El legislador ofrece como una de las posibles soluciones la firma electrónica, pero no cierra la puerta a otras soluciones que pudiera generar la iniciativa privada, toda vez que el mercado de las relaciones de negocio y operaciones no presenciales no puede encorsetarse mediante la firma electrónica, puesto que hay millones de ciudadanos que aún no la usan.

SEGUNDA MEDIDA DE DILIGENCIA REFORZADA: LA IDENTIFICACIÓN PRESENCIAL CUANDO APAREZCAN DISCREPANCIAS ENTRE LOS DATOS FACILITADOS POR LOS CLIENTES Y OTRA INFORMACIÓN ACCESIBLE O EN PODER DEL SUJETO OBLIGADO.

Para poder llegar a la identificación presencial, en primer lugar los sujetos obligados deberán demostrar que poseen una estructura tecnológica razonable capaz de encontrar discrepancias.

Esta es una medida cuyo cumplimiento resulta complicado en la actualidad, puesto que existe muy poca tecnología para este tipo de análisis y  la colaboración institucional y empresarial que podría hacerla posible resulta escasa.

En los cumplimientos legales abiertos y no formalistas, las responsabilidades siempre son a posteriori y cuando ya no hay remedio. No resulta por tanto inteligente  evitar la complejidad de una identificación presencial, muy complicada en este tipo de negocios, simplemente absteniéndose de confrontar la información recibida de los clientes con otras bases de datos internas y externas, sino que al contrario, es necesario que dentro de la empresa exista alguna estructura tecnológica que facilite este análisis, y al mismo tiempo sirva para justificar ante las Autoridades  que se ha cumplido adecuadamente con la diligencia debida.

Para este tipo de análisis son muy adecuadas las plataformas tecnológicas sectoriales capaces de generar inteligencia mediante el contraste de la información recibida en régimen de reciprocidad.

TERCERA MEDIDA REFORZADA DE DILIGENCIA DEBIDA: UN ESPECIAL SEGUIMIENTO CONTINUO DE LA RELACIÓN DE NEGOCIO

En las entidades financieras, el seguimiento continuo de la relación de negocio es una medida relativamente fácil, puesto que la mayoría tienen establecidas herramientas tecnológicas para este control, y, por tanto, son capaces de recibir alertas cuando los clientes traspasan ciertos límites en su operativa.

Lo difícil es encontrar las variables que nos permitan definir esos límites, y por tanto, para apreciar los riesgos superiores al riesgo promedio, porque ello implica un especial conocimiento  de los riesgos particulares que tienen las relaciones de negocio y las operaciones no presenciales, como veremos en el siguiente punto.

CUARTA MEDIDA REFORZADA DE DILIGENCIA DEBIDA: ESTABLECIMIENTO DE POLÍTICAS Y PROCEDIMIENTOS PARA AFRONTAR LOS RIESGOS ESPECÍFICOS ASOCIADOS CON LAS RELACIONES DE NEGOCIO Y OPERACIONES NO PRESENCIALES.

Esta  medida reforzada de diligencia debida exige un esfuerzo organizativo por parte de las empresas, puesto que las obliga a establecer específicas políticas y procedimientos para afrontar los riesgos  de este tipo de negocios.

Esta  es una medida mucho más exigente que la establecida, en general, en el Artículo 26 para el control interno, puesto que si no fuera así el legislador se hubiese abstenido de indicarla expresamente en el Artículo 12.

El plus de exigencia se justifica en los riesgos específicos de las relaciones de negocio y operaciones no presenciales, que no se dicen en la Ley y creo que tampoco se indicarán en el Reglamento porque  aún no se conocen en su totalidad, siendo por tanto necesaria la investigación de los mismos por los propios sujetos obligados.

Bajo mi criterio, esta medida tiene un buen encaje en las posibilidades operativas que ofrece la colaboración sectorial, puesto que ello permitiría una investigación mucho más amplia de los riesgos, y por tanto, una mayor seguridad en la implantación interna de las medidas por parte de cada uno de los sujetos obligados.

Esta colaboración podría llevarse a cabo a través de la Comisión AML de ASNEF, en donde se  trabajaría para la definición de los riesgos específicos que conllevan  este tipo de operaciones, en base a la experiencia colectiva.

Las plataformas tecnológicas que se están creando a impulso de la Asociación para facilitar el cumplimiento de las obligaciones de diligencia debida, también podrían ayudar en este trabajo de investigación.


ANÁLISIS DE LA SITUACIÓN A PARTIR DEL 29 DE ABRIL DE 2012

A partir del 29 de abril de 2012, los sujetos obligados que establezcan relaciones de negocio y operen de forma no presencial, estarán obligados, como el resto de los sujetos obligados si el nuevo Reglamento no introduce cambios que considero improbables, a obtener y archivar durante diez años una  copia del DNI o de la Tarjeta de Extranjero, en soporte óptico, magnético o electrónico.

Razonablemente se puede colegir que el cumplimiento de esta obligación no podrá sustanciarse convirtiendo en documentos electrónicos las fotocopias remitida en papel por los prescriptores o por los clientes, porque esta forma de actuar sería un fraude de Ley, incompatible, por tanto, con la diligencia debida reforzada que han de tener estas relaciones de negocio y operaciones.

Como, por otra parte,  tampoco parece probable y conveniente que desaparezcan en su configuración actual la comercialización de los negocios de financiación del consumo, de  la banca electrónica  y de  la banca telefónica, resulta imprescindible y hasta estratégico,  que las entidades introduzcan  en estos negocios, antes de esa fecha, soluciones tecnológicas que garanticen suficientemente la identificación formal de los clientes,  y que permitan al mismo tiempo cumplir con la exigencia legal del archivo de las copias de los documentos de identificación en los soportes establecidos.


Desde el Servicio de Información de los Sujetos Obligados (SISO) se ofrecen las siguientes reflexiones:

PARA EL NEGOCIO DE LA FINANCIACIÓN DEL CONSUMO

Sería aconsejable que la Asociación comenzara a analizar esta problemática en el inicio del año 2012, para lo que pudieran ser de utilidad las siguientes medidas: 

(1) Los establecimientos Financieros de Crédito deberían llegar a acuerdos con los prescriptores, para la obtención por éstos, de copias escaneadas de los documentos identificativos, puesto que a partir del 29 de abril de 2012 no podrán archivarse como documentación justificativa de la identificación, sin riesgo de incumplimiento, las fotocopias escaneadas del DNI y de la Tarjeta de Extranjero.

(2) Será conveniente que se generalice en todo el sector,  la utilización de plataformas tecnológicas de contratación, que pudieran ser  operadas vía Web  por los prescriptores mediante una clave de seguridad identificativa.

De esta manera, las entidades recibirán de forma automatizada  los datos necesarios para poder   efectuar el primer análisis de riesgos y se facilitaría asimismo el cumplimiento de la diligencia debida.

Estas plataformas generarían por vía electrónica los contratos, que podrían ser firmados por los clientes mediante firma electrónica reconocida, o ante los prescriptores mediante firma manual en papel. Para ello, los prescriptores sólo tendrían necesidad de dotarse de un ordenador, una línea ADSL y de unos periféricos que les permitieran escanear,  generar documentos en papel, y firmar de forma electrónica. Este material constituye  un mínimo imprescindible y de poco coste para cualquier oficina que se precie y que quiera operar con el sector financiero.

(3) Si tenemos en cuenta que la identificación formal de los clientes es responsabilidad de los  sujetos obligados, y éstos no pueden traspasarla a los prescriptores  para el cumplimiento de la Ley 10/2010, resultaría conveniente que el sector llegase a acuerdos con los prescriptores  para que, junto con los periféricos señalados, se dotaran también de  algún periférico de seguridad de los que  se comercializan en el mercado, que permitiera a los EFC’s comprobar a través de la plataforma de contratación, las medidas de seguridad que contienen los documentos originales de identificación, y la obtención simultánea de una copia escaneada de los mismos.

(4) Esta validación y escaneo automático de los documentos oficiales de identificación, se debería completar con la firma de una cláusula añadida a los contratos  entre las entidades y los prescriptores, en la que éstos últimos se obligaran a que sus empleados hagan la correspondiente verificación de los datos biográficos que aparecen en los documentos identificativos, para comprobar que realmente se corresponden con los que poseen los portadores de los mismos (vg.: la fotografía). Esta cláusula obligaría también a los prescriptores a formar a sus empleados para esta función.

A este respecto debo indicar que las nuevas obligaciones legales en identificación, necesariamente generarán  costes que tendrán que ser repercutidos en cascada a toda la cadena que participa en el proceso de contratación, aunque las responsabilidades para cada eslabón sean diferentes, por lo que en un futuro inmediato, para poder operar como prescriptores, será necesario que éstos estén dotados de periféricos de validación de documentos de identificación. Estas herramientas tecnológicas serán tan comunes  como lo son ahora los lectores de tarjetas de crédito en los comercios. Será un requisito imprescindible para poder trabajar con el sector financiero.


Si estas medidas se llevaran a cabo se potenciaría la seguridad operativa en el cumplimiento de la normativa AML por los Establecimientos Financieros de Crédito, durante el proceso de  identificación formal de los clientes.

Las plataformas tecnológicas de contratación, o los portales Web del sector ya existentes, deberían de estar dotadas de la tecnología necesaria para que el cliente pudiera acreditar la  identidad de acuerdo con la normativa sobre firma electrónica.

Bajo mi criterio, los Establecimientos Financieros de Crédito, con estas medidas, podrían justificar razonablemente ante los Reguladores que están poniendo los medios necesarios, para el cumplimiento de la primera diligencia reforzada que afecta a la identificación formal de los clientes.

Al mismo tiempo estarían disminuyendo drásticamente la necesidad de las identificaciones presenciales, que, en general, resultan complicadas por las características de la propia actividad, y  por la dispersión geográfica de los clientes.


SOLUCIÓN TECNOLÓGICA QUE HA SIDO PUESTA EN FUNCIONAMIENTO POR LA ASOCIACIÓN, A TRAVÉS DE LA EMPRESA SOLUCIONES CONFIRMA ASNEF-SIGNE, S.L., PARA FACILITAR EL CUMPLIMIENTO DE ESTA MEDIDA REFORZADA DE DILIGENCIA DEBIDA

La plataforma ID-CONFIRMA, desarrollada entre ASNEF y SIGNE a través de Soluciones Confirma (http://www.solucionesconfirma.com/), es una  herramienta tecnológica que va a facilitar  el nuevo proceso de contratación que se avecina.

Esta plataforma  da respuesta, entre otras, a las siguientes necesidades de cumplimiento:

1.- Permite a los sujetos obligados validar a distancia los documentos físicos de identificación.

2.- Permite a los sujetos obligados la obtención inmediata de una copia de los documentos de identificación, para su archivo, en formato óptico, magnético o electrónico.

3.- Permite a los sujetos obligados gestionar el archivo, por diez años, de las copias de identificación en los formatos exigidos legalmente, junto con los documentos justificativos de la validación efectuada de los mismos. Estos documentos estarán a disposición de los propios sujetos obligados  y de las Autoridades que los requieran, que los recibirán en tiempo y forma, tal como exige la Ley 10/2010.


La utilización de la Plataforma ID-Confirma reduce las probabilidades de que se tenga que proceder a una identificación presencial, que como sabemos es un problema complicado en este tipo de negocios con clientes geográficamente dispersos, lo que obligaría a contratar costosos sistemas alternativos, como por ejemplo, la identificación ante un notario cercano al cliente a cargo de la entidad financiera. Con este método serían muy escasas las identificaciones presenciales porque previamente habríamos revestido las identificaciones no presenciales de una gran seguridad operativa.


EL NEGOCIO DE LA BANCA ELECTRÓNICA Y DE LA BANCA TELEFONICA

En el establecimiento de relaciones de negocio y operaciones no presenciales en las que no exista prescriptor, como es el caso de la banca electrónica o de la “banca telefónica”, o aquellas otras relaciones de negocio que pudieran establecer otros sujetos obligados a través de medios telefónicos, electrónicos o telemáticos,  y sin firma electrónica, el cumplimiento de la identificación formal de los clientes obligará al desarrollo de nuevos proyectos tecnológicos,  puesto que en la práctica comercial de estos negocios, tanto las copias de los contratos, como las fotocopias de los documentos de solvencia, y las fotocopias de los documentos identificativos son remitidas a posterioridad directamente por los clientes,  a través del correo ordinario.

Una de las soluciones tecnológicas que propongo y,  en la que está trabajando actualmente este Servicio de Información de los Sujetos Obligados (SISO), se basará y justificará  legalmente en el Artículo 8 de la Ley 10/2010, que permite la “aplicación por terceros de las medidas de diligencia debida”.


Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)