El Grupo de Acción Financiera Internacional (GAFI; en inglés, Financial Action Task Force, o FATF) publicó a principios de marzo una guía[1] con lineamientos para la implementación de sistemas de identidad digital en contextos de identificación, verificación y análisis de riesgo de individuos. Esta guía fue construida con el propósito de ayudar a los gobiernos, las entidades regulatorias y otras instituciones públicas y privadas interesadas en el mundo, en los procesos de selección e implementación de sistemas de identificación digital. Este documento esboza un análisis preliminar de los aspectos más interesantes de esta guía.
Las políticas y lineamientos publicadas por el GAFI están orientadas a la prevención del lavado de activos y la financiación del terrorismo. A nivel mundial constituyen el estándar internacional para el control y combate de estas dos actividades. Con los niveles de digitalización actuales permeando todas las actividades del ser humano y recientemente potenciados por los efectos del COVID-19 se deben establecer lineamientos para la identificación de individuos en entornos digitales. Según la GAFI existe un crecimiento del 12,7% en las transacciones digitales cada año, y se estima que para el 2022 el 60% del PIB del mundo será producido por servicios digitales[2], siendo las transacciones financieras el principal motor de crecimiento.
De acuerdo con la GAFI, en términos simples, el uso de la identidad digital hace referencia al uso de tecnologías para identificar y validar que un individuo es quien dice ser. El enfoque de la guía está claramente orientado a procesos CDD (customer due diligence) donde se recolecta información relevante del individuo para evaluar su riesgo en el contexto de un servicio ofrecido y en particular a actividades de lavado de activos y financiamiento del terrorismo (LA/FT). Diferente a los escenarios presenciales, la identidad digital se ve potenciada por la información disponible acerca de los individuos en ambientes digitales potenciados por internet. Información en bases de datos electrónicas gubernamentales, credenciales digitales y la biometría misma del individuo capturada de manera digital son evidencias relevantes de la identidad de una persona. Según las conclusiones de este informe la identificación usando fuentes de información digital puede hacer más fácil, más barato y seguro los procesos de on-boarding en el sector financiero.
Alineado con las definiciones del Libro Blanco Iberoamericano de la Identidad Digital [FINT2019], la guía establece dos componentes claves en los sistemas de identificación digital:
- Prueba de identidad y enrolamiento. En este componente se verifica que el individuo es quien dice ser y que cuenta con las características necesarias para acceder a un servicio particular y se valida el riesgo de participación en actividades LA/FT. Posteriormente se realiza el enrolamiento y se expiden/generan las credenciales que autentican a la persona (i.e. passwords, firmas biométricas, etc).
- Autenticación. En este componente se valida que quien intenta acceder a un servicio posee las credenciales vinculantes respectivas y estas son auténticas.
Si se cumplen los principios de fiabilidad e independencia (hablaremos de estos dos conceptos en la siguiente sección) los sistemas de identificación digital tienen el potencial de realizar monitoreo inteligente de transacciones y minimizar las debilidades en las medidas de control humano.
Confianza, Independencia y Gobernanza
La guía es enfática en los requerimientos de cara a las fuentes de información empleadas en los procesos de identificación y autenticación. Por un lado, la confianza de la fuente analizada desde tres puntos de vista: el gestor de la fuente, el proceso con que es construida o capturada la data, y la tecnología empleada para su consumo y despliegue. Deben existir si es posible certificaciones y auditorias constantes que den certeza de la fiabilidad de estos tres elementos. Alineado con la confianza, un segundo requisito es la independencia de la fuente y el gobierno adecuado de la misma. La anterior no es otra cosa que garantizar autonomía, no acomodarse a deseos de terceros y la existencia de procedimientos transparentes de gestión y administración.
El gobierno y las instituciones financieras
Otro elemento fundamental establecido en la guía es la necesidad de una unión mancomunada entre gobierno e instituciones financieras para definir un marco regulatorio para la validación y certificación de los sistemas de identificación digital. Esto sin embargo, no ocurre en todos los países de América Latina. Dicho marco regulatorio se debe acomodar por supuesto a la realidad particular de la región y sus políticas de privacidad, pero asegurando la confianza e independencia de los sistemas de identidad digital. Alcanzar este trade-off entre un alto grado de confianza mientras se cumple la jurisprudencia regional es sin duda uno de los grandes retos a enfrentar, y requiere de entidades reguladoras que estén en un constante dialogo con las partes interesadas.
Posteriormente se deben definir los mecanismos que permitan certificar la confianza en un sistema de identificación digital. En dicho contexto se definen como responsabilidad de los gobiernos, las instituciones financieras y los entes regulatorios:
- Comprender los niveles de garantía/seguridad de las tecnologías empleadas, así como la arquitectura y la gobernanza de estos.
- Dados los anteriores análisis, determinar si el sistema de identificación digital es suficientemente confiable a la luz de potenciales fraudes y actividades ilícitas.
Dado que la guía no habla ni realiza recomendaciones sobre tecnologías específicas que se puedan emplear, se declara neutral en este aspecto, no se profundiza en las estrategias o lineamientos para cumplir con las anteriores responsabilidades.
Sobre la privacidad y riesgos
La GAFI recomienda a los gobiernos desarrollar un enfoque multi-stakeholder para entender las oportunidades y riesgos relevantes relacionados a la identidad digital. También es enfático en priorizar la capacidad para identificar actividades ilícitas, y desarrollar reglamentaciones orientadas a salvaguardar la información de los individuos reduciendo el riesgo de robos de identidad.
También establecen que los riesgos de los sistemas tradicionales de verificación de identidad se mantienen en un modelo digital. En lavado de activos, por ejemplo, pueden nacer “mulas digitales” para realizar movimientos masivos de dinero con o sin el conocimiento del dueño de la identidad digital. Aún así, se cree que manteniendo altos estándares de confianza, independencia y gobernanza los sistemas de identificación digital pueden presentar menores riesgos, y preparan a las instituciones financieras para su operación sobre internet.
En el aparatado de privacidad y riesgos la guía carece de una discusión robusta respecto al conflicto que puede generarse entre el acceso a información sensible del individuo requerida por los sistemas de identificación, y la capacidad de este para prevenir actividades ilícitas. Entre más información disponible se tenga sobre un individuo, mejor será la evaluación del riesgo que representa. En escenarios donde el acceso a datos sea altamente restrictivo, construir sistemas de identificación suficientemente confiables y realmente independientes en su gobernanza parece una tarea difícil de lograr.
Conclusiones
La reciente guía en identidad digital publicada por la GAFI sin duda impulsa la incorporación de nuevas tecnologías (OTP, biometría, integración de bases de datos digitales, etc) en los procesos de verificación de identidad. Al declararse neutral en el tipo de tecnología, presenta unos lineamientos generales que además deben ajustarse a la jurisprudencia regional. Se desatacan los conceptos de confianza e independencia como requerimientos mínimos en las fuentes de datos que alimentan los sistemas de identificación digital. Asegurar ambos, sin embargo, puede ser un reto para algunos gobiernos con políticas de privacidad altamente restrictivas, niveles de acceso tecnológicos precarios o de bajo desarrollo y/o mecanismos de administración poco transparentes.
El papel de las entidades financieras y entes de control es fundamental para establecer en cada gobierno los lineamientos que mejor se adecuen a la normativa local, pero manteniendo una capacidad de identificación lo suficientemente robusta y confiable para prevenir robo de identidad y el movimiento irregular de dinero para lavado de activos o financiamiento de terrorismo. En el creciente escenario de transacciones digitales en línea la migración a sistemas de identificación digital es imperativa.
[1] http://www.fatf-gafi.org/publications/fatfrecommendations/documents/digital-identity-guidance.html [2] Estas estimaciones fueron realizadas antes del COVID-19, es de esperarse un incremento aún mas acelerado post-pandemia.Rubén Manrique
Bibliografía
[FATF2020] Financial Action Task Force (2020). FATF Guidance on digital Identity.
[FINT2019] Fintech Iberoamérica (2019). Libro Blanco Iberoamericano de la Identidad Digital.
