PRIMERA MEDIDA: LA IDENTIFICACIÓN FORMAL (I)
LA VERIFICACIÓN DE LA IDENTIDAD
La primera medida normal de Diligencia Debida se establece en el Artículo 3 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y se refiere a la IDENTIFICACIÓN FORMAL de cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera obligaciones.
Constituye ésta una medida ineludible y no sujeta al riesgo, como podrían ser las restantes medidas normales de diligencia debida, que ha de ser aplicada en el mismo momento en que se pretenda establecer una relación de negocio, o intervenir en cualquier operación con un sujeto obligado, y que obliga a éste a inhibirse de establecer la relación de negocio o de intervenir en la operación pretendida, si no puede identificar debidamente al pretendiente.
La norma establece una fórmula operativa justificativa de la identificación formal, que consiste en que el sujeto obligado pueda verificar la identidad a través de un documento fehaciente, es decir, de un documento que permita dar fe de la identidad, lo que tiene evidentes efectos formativos, organizativos y tecnológicos para el sujeto obligado, como veremos posteriormente.
En la verificación de la identidad existen dos momentos operativos:
- El establecimiento de la relación de negocio.
- La intervención posterior del “ya cliente”, en cualquier operación derivada de la relación de negocio previamente contratada.
En el establecimiento de la relación de negocio, la medida normal de identificación formal exige la presencia física ante el sujeto obligado de la persona que pretenda establecer la relación de negocio, ya sea por sí misma o como representante de una persona jurídica, para lo que deberá presentar ante el sujeto obligado un documento fehaciente de identificación.
Existen dos excepciones a esta primera medida normal de diligencia debida.
- Cuando el que pretende establecer la relación de negocio no puede justificar su identidad mediante un documento fehaciente, pero se presenta físicamente ante el sujeto obligado. (Artículo 3.2)
- Cuando las relaciones de negocio no son presenciales y se contratan a través de medios telefónicos, electrónicos y telemáticos. (Artículo 12)
En ambas excepciones, al no poder ser verificada la identidad directamente por el sujeto obligado, el establecimiento de la relación de negocio será sometida posteriormente a las medidas reforzadas de diligencia debida que se especifican en el Artículo 12, y que se explicaron en una ficha anterior que lleva por título: LA IDENTIFICACIÓN EN LAS OPERACIONES NO PRESENCIALES.
En las operaciones derivadas de la relación de negocio, cuando se realizan mediante la presencia física del cliente ante el sujeto obligado, éste procederá a la verificación de la identidad del cliente a través del documento fehaciente de identificación que éste le presente, y cuando estas operaciones se realicen mediante medios telefónicos, electrónicos y telemáticos, la verificación se hará a través de la firma electrónica reconocida, o mediante las claves de seguridad proporcionadas al cliente por el propio sujeto obligado, y que estarán conexionadas ineludiblemente a la identificación formal del cliente según el Artículo 3, o el Artículo 12.
Como podemos observar, la verificación de la identidad es responsabilidad del sujeto obligado, que normalmente es una persona jurídica. Por ello se hace necesario establecer dentro de la empresa, medidas formativas, organizativas y tecnológicas, que permitan a los empleados efectuar la verificación de la identidad con las necesarias garantías de seguridad.
METODOLOGÍA:
COORDINACIÓN OPERATIVA ENTRE EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE Y EL DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES
La identificación formal es un caso claro en el que resulta necesaria la coordinación y corresponsabilización de diversos departamentos dentro de la empresa, puesto que no sólo afecta al cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino también a la prevención del fraude, y a seguridad operativa de las restantes líneas productivas, vg.: comercial, riesgos, recuperaciones, etc.
Por este motivo, el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude deberían diseñar conjuntamente el proceso de identificación formal dentro de la empresa y poner esta información a disposición del Órgano de Control Interno y Comunicación (OCIC).
El OCIC, de la misma forma que sucede para la prevención del blanqueo, debería ser también el Órgano que recibiera el mandato del Consejo de Administración, de elaborar primero para el Consejo, y de aplicar posteriormente en la empresa, los principios de gobierno corporativo para la prevención del fraude.
Justifico mi criterio en la interconexión operativa existente entre la prevención del fraude y la prevención del blanqueo, por lo que estimo razonable que exista un solo órgano de regulación interna, y de aplicación de las políticas y procedimientos sobre ambas materias.
El nombre es lo menos importante y cada empresa podría denominar este órgano como quisiera. Yo le sigo dando el nombre de OCIC, puesto que este acrónimo está ya consolidado con fortuna en la prevención del blanqueo.
El OCIC, según la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, es una estructura transversal de cumplimiento, en la está representada una gran parte de las direcciones generales implicadas en esta materia, y así debería ser también para la prevención del fraude.
Si aceptamos al OCIC como el órgano encargado de elaborar para el Consejo de Administración, los principios y normas de gobierno corporativo de la empresa, sobre prevención del fraude y sobre prevención del blanqueo de capitales, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES, serían sus instrumentos operativos para este trabajo.
Expongo seguidamente algunas ideas sobre las medidas que ambos Departamentos deberían trabajar de forma conjunta.
Medidas formativas
La verificación de la identidad es un control que normalmente se realiza en el “front-office” de la empresa, es decir, en la estructura de la organización que está en contacto directo con el público.
Esta estructura está formada por personas y por tecnología, por lo que las medidas formativas en verificación de la identidad, tienen que estar dirigidas hacia las personas que en la empresa tienen a su cargo el establecimiento de las relaciones de negocio, o intervienen en cualesquiera operaciones con los clientes, y hacia los técnicos que dentro de la empresa están encargados de planificar y poner en funcionamiento, aquellas plataformas que sean interactivas con el público y para las que se requiera la identificación.
Nunca está de más que la formación en esta materia también la reciba el resto del personal de la empresa, al margen de aquellos departamentos de análisis del “back office” para los que esta formación resulta imprescindible y por tanto obligatoria.
Al ser una exigencia legal que la identificación formal se haga mediante la verificación de documentos fehacientes (“comprobarán la identidad de los intervinientes mediante documentos fehacientes” – Art. 3.2), se deberá formar al personal sobre esta materia, es decir, sobre la naturaleza de estos documentos, las medidas de seguridad que contienen y las comprobaciones que tienen que hacerse para la verificación de los mismos.
Aunque según la Ley 10/2010, deberemos esperar a lo que establezca el nuevo Reglamento sobre los documentos que deban reputarse fehacientes a efectos de identificación, lo que se publique no será muy diferente a lo que ya está establecido en el Real Decreto 925/1995, de 9 de junio, en el que se aprobó el Reglamento de la anterior Ley y que aún sigue en vigor en lo que no se oponga a la actual.
Según este Reglamento, en su Artículo 3, puntos 2 y 3:
“2.- Cuando el cliente sea persona física deberá presentar documento nacional de identidad, permiso de residencia expedido por el Ministerio de Justicia e Interior, pasaporte o documento de identificación válido en el país de procedencia que incorpore fotografía de su titular, todo ello sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF) o el número de identificación de extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes. Asimismo se deberán acreditar los poderes de las personas que actúen en su nombre.
3. Las personas jurídicas deberán presentar documento fehaciente acreditativo de su denominación, forma jurídica, domicilio y objeto social, sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF). Asimismo se deberán acreditar los poderes de las personas que actúen en su nombre.”
Puede ampliarse esta información a través de varios documentos que publiqué en su día desde el OBSERVATORIO DE LA FALSIFICACIÓN DOCUMENTAL:
- EXAMENBÁSICO DE DOCUMENTOS DE IDENTIFICACIÓN
- VALIDACIÓNDEL DOCUMENTO FÍSICO DEL DNI ELECTRÓNICO
- VALIDACIÓNDEL PERMISO DE RESIDENCIA UNIFORME PARA NACIONALES DE PAÍSES TERCEROS
- VALIDACIÓNDEL DOCUMENTO FÍSICO DE LA ANTERIOR TARJETA DE EXTRANJERO
- LO QUEDEBE CONOCER PARA LA VALIDACIÓN DE LA TARJETA DE EXTRANJERO
- LO QUEDEBE CONOCER SOBRE LOS CIUDADANOS DE LOS ESTADOS MIEMBROS DE LA UNIÓN EUROPEA YDE OTROS ESTADOS PARTE EN EL ACUERDO SOBRE EL ESPACIO ECONÓMICO EUROPEO.
Será necesario, por tanto, que ambos Departamentos, en colaboración con el Departamento de Recursos Humanos, preparen el material necesario para una formación básica en esta materia, ya sea en forma virtual o presencial, por personal de la empresa o por personal docente externo, identificando previamente todos los departamentos de la empresa que están en contacto directo con el público, y por tanto intervienen en el establecimiento de relaciones de negocio o en operaciones con los clientes.
El Departamento de Recursos Humanos debería llevar el control sobre la formación recibida en esta materia por cada empleado, siendo ésta formación un requisito básico y necesario para poder ocupar estos puestos de responsabilidad, en los que la empresa puede quedar comprometida como sujeto obligado.
La formación en esta materia no solo debe basarse en las técnicas necesarias para hacer una buena verificación de documentos de identificación, sino que debería profundizar en la importancia que tiene la identificación formal, no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino para la prevención del fraude y para el funcionamiento económico y comercial de la propia empresa.
El personal también debería conocer el proceso organizativo que exige la identificación formal y que será analizado en el siguiente punto, así como que la identificación formal quedará conexionada a su trabajo profesional, de tal forma que la empresa conocerá en todo momento el empleado que realizó la verificación.
Medidas organizativas
El objetivo a alcanzar mediante el trabajo conjunto del Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, bajo la coordinación del OCIC, es convertir el proceso de diligencia debida exigido por la Ley 10/2010, en la herramienta fundamental de la actividad KYC de la empresa (Know your Customer), necesaria no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, sino para su propio funcionamiento económico, especialmente en relación con la cartera de clientes y gestión de riesgos.
Concretamente para el tema de la verificación de la identidad, definirán el proceso de control de identificación que deberán cumplir todos los empleados, cuando intervengan en el establecimiento de relaciones de negocio y en operaciones, quedando este proceso posteriormente recogido en la política expresa de admisión de clientes.
En este proceso se ha de tener muy en cuenta el cumplimiento del Artículo 25 de la Ley, relativo a la conservación durante un período mínimo de diez años, de los documentos en los que se formalice el cumplimiento de las obligaciones establecidas en la Ley y que se refieren fundamentalmente a la Diligencia Debida, así como las copias de los documentos de identificación formal, en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.
Para ello aconsejo crear dentro de la empresa el EXPEDIENTE DE IDENTIFICACIÓN, que quedaría archivado de forma centralizada y en formato electrónico, con la información de todos los intervinientes ligados a una operación, incluyendo las copias digitalizadas de los documentos de identificación, identificación del titular real, así como otros documentos de interés para cada Sujeto Obligado.
Lógicamente para la formalización del concepto de EXPEDIENTE DE IDENTIFICACIÓN, será necesario revisar el funcionamiento de las distintas plataformas tecnológicas de la empresa que sirven para el establecimiento de relaciones de negocio o para la formalización de operaciones, con el fin de que queden adaptadas técnicamente a la política KYC, y permitan cumplir con todas las exigencias de la DUE DILIGENCE, y por tanto, remitan también de forma automatizada una copia de los documentos controlados en el proceso de verificación, a la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que será la que contenga los EXPEDIENTES DE IDENTIFICACIÓN.
El objetivo a alcanzar será que exista en la empresa un sólo archivo centralizado de clientes, y que cualquiera otro que pudiera existir dentro de las distintas divisiones administrativas, esté subordinado al central.
No debemos tener miedo a la centralización de esta información, puesto que el conocimiento de su contenido estará limitado técnicamente para cada tipo de usuario dentro de la empresa: prevención del blanqueo, prevención del fraude, gestión de riesgos, comercialización, etc.
Sin la centralización de toda esta información no podrían tecnificarse de forma adecuada los procesos de DILIGENCIA DEBIDA.
Será también la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN la que controle el proceso de aplicación de las medidas de diligencia debida a los clientes existentes (Disposición transitoria séptima de la Ley 10/2010), que los sujetos obligados han de tener finalizado el 29 de abril de 2015, a través de un programa correctivo que permita solucionar las deficiencias en los datos KYC de sus clientes anteriores a 29 de abril de 2010.
Como puede observarse, existe un trabajo organizativo complejo para la aplicación de la Diligencia Debida, que tiene como una de sus fases principales la verificación de la identidad de cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones.
Este proceso debería ser abordado por el OCIC, con la colaboración operativa del Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude.
Medidas tecnológicas
Sin entrar a fondo en la tecnificación de los procesos de DILIGENCIA DEBIDA puesto que este tema es competencia de cada sujeto obligado, ya he apuntado a su necesidad al tratar de las medidas organizativas relacionadas con la verificación de la identidad.
Si para cualquier sujeto obligado, la identificación formal constituye la primera medida ineludible que ha de tomar, en el caso de las entidades financieras es la de mayor responsabilidad, puesto que supone el filtro necesario que permite a las personas físicas y jurídicas, operar o no, dentro del sector financiero nacional e internacional. Hay que tener en cuenta que en este sector, cada entidad representa un eslabón dentro de la cadena de seguridad total, por lo que una ruptura de cualquier eslabón constituye un atentado contra la seguridad del sistema financiero nacional e internacional, merecedor del correspondiente efecto negativo reputacional, y en su caso, de las responsabilidades administrativas y judiciales que pudieran derivarse.
Al estar encomendada la identificación formal al personal que trabaja en el “front-office” de la empresa y no en los departamentos especializados de control, resulta fundamental una adecuada política formativa y una organización del sistema de cumplimiento bajo criterios operativos, en un trabajo que debería estar coordinado por los departamentos de cumplimiento que tienen bajo su responsabilidad directa la prevención del blanqueo y la prevención del fraude, tal como he indicado anteriormente.
Pero al mismo tiempo han de ser diseñadas por estos Departamentos una serie de medidas tecnológicas que permitan al “front-office” proceder con seguridad a la verificación de la identidad, y a la empresa controlar la totalidad de la actividad KYC. Este diseño, una vez aprobado por la Alta Dirección, deberá ser desarrollado por los informáticos de la empresa o por empresas especializadas, bajo el control del OCIC. Algunas de las herramientas pueden ser compradas directamente en el mercado tecnológico, puesto que ya están creadas.
En relación con el personal encargado de las verificaciones de identidad, en las fichas ampliatorias referenciadas en este documento, aparecen algunas de las herramientas tecnológicas que a mi juicio son necesarias, junto a la formación, y que van, desde unos sencillos instrumentos técnicos como serían lupas o cuentahílos, fuentes luminosas de sobremesa de espectro visible y ultravioleta, que permitan realizar el primer examen de los documentos fehacientes de identificación, y un escáner, hasta alguno de los equipos automatizados de verificación de los documentos fehacientes de identificación que ya existen en el mercado, y que permiten adjuntar al EXPEDIENTE DE IDENTIFICACIÓN un dictamen automático con umbrales de confianza parametrizables, lo que quedaría archivado junto con las copias electrónicas de los documentos identificativos como un justificante más de la identificación.
También al hablar de las medidas organizativas he hecho mención a la centralización de los EXPEDIENTES DE IDENTIFICACIÓN en una plataforma tecnológica, a la que deberán estar conectadas las restantes plataformas departamentales que se utilicen para el establecimiento de relaciones de negocio y operaciones.
Esta PLATAFORMA DE IDENTIFICACIÓN centralizaría la administración y gestión de los expedientes creados a través de cualquiera de las plataformas operativas de la empresa, y tendría un único acceso común y automatizado de consulta para todos los usuarios del Sujeto Obligado, con unos límites de acceso al contenido, que estarían definidos en relación al puesto de trabajo que ocupan, y con un sistema de control de acceso dotado de seguimiento auditable de los rastros dejados por el usuario.
A través de la plataforma se posibilitaría la rápida localización de un expediente mediante diversos criterios de búsqueda, ajustados a las necesidades de cada usuario.
Esta plataforma tendría que contar también con una herramienta de gestión para la inclusión de información procedente de los departamentos de análisis de la información, o de la investigación realizada por los departamentos de producción, comercialización y recuperación.
Permitiría igualmente el acceso al histórico de expedientes, segmentando sus datos en base a un sistema de niveles se confidencialidad acordes con el uso que deba darse a los mismos.
Esta plataforma custodiaría los expedientes creados durante el plazo legal fijado de diez años, garantizando la integridad de los datos, así como una ágil recuperación y acceso a los mismos. Para ello tendría habilitado un sistema automatizado de archivo con las medidas de seguridad adecuadas, que permitieran la conservación de la información impidiendo su manipulación.
La Plataforma facilitaría informes con los datos del expediente para su envío o exportación, adaptados al nivel de seguridad y confidencialidad autorizado para cada usuario.
A este núcleo central de información de clientes, y de operaciones, en relación con los clientes, se acoplarán posteriormente las plataformas tecnológicas que permiten convertir en inteligencia esta información, para su uso para la actividad económica de la empresa, como por ejemplo, la gestión de riesgos, la prevención del fraude, la política comercial mediante la segmentación de la cartera de clientes, etc., y para el cumplimiento de las restantes medidas normales, simplificadas y reforzadas de diligencia debida, como la averiguación del propósito e índole de la relación de negocios y el seguimiento continuo de la relación de negocios.
Estas plataformas de investigación y alerta, estarán a cago de sus correspondientes Mesas de Análisis, dotadas del personal especializado necesario, teniendo presente que no todas los sujetos obligados tienen la necesidad de crearlas y mantenerlas operativas, puesto que muchos de estos trabajos pueden ser contratados externamente a través de empresas especializadas subcontratadas (sistema outsourcing o tercerización).
La propia PLATAFORMA CENTRAL DE IDENTIFICACIÓN podría operar también a través de una empresa externa subcontratada, si el sujeto obligado no quiere incurrir en este momento en costes de inversión, manteniendo una copia centralizada de sus EXPEDIENTES DE IDENTIFICACIÓN.
Un ejemplo de esta posibilidad operativa lo tenemos en la PLATAFORMAID-CONFIRMA, de la empresa creada por la Asociación para dotar a nuestras entidades de herramientas tecnológicas para un mejor cumplimiento de la Ley 10/2010, denominada SOLUCIONES CONFIRMAASNEF-SIGNE, S.L.
La primera medida de Diligencia Debida (La Identificación formal), no termina con lo explicado hasta el momento, puesto que resulta obligado completarla mediante dos filtros complementarios que serán analizados en la siguiente ficha:
- El filtro de la LISTA DE SANCIONES, que es obligatorio en todos los supuestos. (Artículo 51.2)
- El filtro de las Personas con Responsabilidad Pública (PRP), conocidas internacionalmente como PEP (Personas Políticamente Expuestas en su traducción inglesa), que es de obligado cumplimiento en todas las operaciones de riesgo. (Artículo 14).
Igualmente resulta necesario hacer el correspondiente análisis, sobre lo que debe hacerse con aquella información obtenida de las personas físicas o jurídicas que pretendan establecer con el sujeto obligado relaciones de negocio, y tras el correspondiente análisis de riesgos no sean admitidas, y tampoco existan los indicios necesarios para la comunicación prevista en el Artículo 18.
Bajo mi criterio, si la denegación del establecimiento de la relación de negocio se debiera a que, tras el análisis de riesgos, se hubieran encontrado datos incongruentes que pudieran haber servido para intentar operaciones presuntamente fraudulentas, debería abrirse en la PLATAFORMA CENTRAL DE IDENTIFICACIÓN el correspondiente EXPEDIENTE DE IDENTIFICACIÓN DEL NO CLIENTE, con los documentos justificativos de la investigación.
Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)