Los procesos KYC (-Know your Costumer-) permiten a las empresas conocer a sus clientes, establecer los niveles de riesgo que estos representan, y generar la confianza requerida para brindarle acceso a diversos productos y servicios. Una enorme falencia de instituciones que realizan procesos de KYC es basarse únicamente en información proporcionada por el cliente para crear sus registros y estimar el perfil de riesgo. Para procesos KYC y modelos de riesgos robustos, hoy en día es necesario incorporar otras fuentes de información abierta disponibles y dispuestas por diferentes organismos gubernamentales y privados. En este articulo analizamos la importancia del uso de fuentes abiertas para tener un conocimiento completo del cliente y una estimación robusta del riesgo.
Uno de los grandes desafíos de los procesos de KYC es tener una visión 360 del cliente que permitan identificar oportunamente posibles riesgos asociados a las bien conocidas actividades LA/FT y/o al uso/acceso a diferentes servicios bancarios.
En este escenario una enorme falencia de instituciones que realicen procesos de KYC es basarse únicamente en información proporcionada por el cliente para crear sus registros y estimar el perfil de riesgo del cliente. En muchos casos esta información no puede ser validada por completo, o simplemente se omiten los debidos procesos de validación. Aún bajo la suposición de que la información suministrada es verídica, este precario conjunto de información genera un alto número de falsos positivos (i.e. clientes no riesgosos identificados como riesgosos) en los modelos de riesgo [MIKKELSEN2019], y como consecuencia, se deben revisar innecesariamente un gran número de casos por los grupos de investigación expertos de las instituciones. Lo anterior se traduce en mayores costos, incomoda a clientes de bajo riesgo debido al escrutinio adicional y reduce significativamente la efectividad de los esfuerzos contra el lavado de dinero [MIKKELSEN2019]. Para procesos KYC y modelos de riesgos robustos es necesario incorporar otras fuentes de información que sean “confiables e independientes” [SPIJKERS2020].
Estas fuentes externas generalmente son bases de datos construidas por instituciones gubernamentales nacionales e internacionales con el propósito de facilitar el acceso a información del ciudadano. En la mayoría de los casos el usuario final de estas fuentes no son instituciones que se dediquen a procesos KYC; son el mismo ciudadano para expedir, por ejemplo, certificados de antecedentes, historial crediticio, o estados de procesos judiciales. En un menor número se encuentran fuentes que son construidas por esfuerzos conjuntos y localizados de los gobiernos para combatir actividades de financiación del terrorismo y lavado de activos. La lista de “Specially Designated Nationals and Blocked Persons List” (lista SDN), la lista “consolidada del Consejo de Seguridad de la Naciones Unidas”, y la lista de los más buscado del FBI son algunos ejemplos de estos esfuerzos.
Es común referirse a estas fuentes como “Fuentes Abiertas” dado su concepto abierto de consulta y a que generalmente están dispuestas en internet para su consumo. Con las autorizaciones necesarias por parte de un ciudadano, una entidad tercera que puede hacer uso de estas fuentes para robustecer sus procesos de KYC. A partir del sonado caso de “Panamá papers” [BBC2016] muchos reguladores en el mundo promovieron el uso de fuentes abiertas para procesos de KYC. Es común, por ejemplo, que dentro de la normativa local en países de Latinoamérica sea ahora obligatorio el uso de listas como OFAC SDN. Esta información ayuda a las organizaciones a comparar rápidamente un cliente potencial con entidades e individuos sancionados en EU. De la misma manera es común que se requiera ahora comparar el nombre de un cliente con una lista de personas políticamente expuestas para identificar cualquier vínculo con figuras políticas de alto nivel y verificar cualquier mención negativa en los medios. Las personas expuestas políticamente (PEPs) son personas que por su reconocimiento y su funcionalidad requieren cuidados especiales por parte de un debido KYC de las entidades financieras. Un PEP puede en potencia usar sus privilegios políticos para obtener ganancias personales [SPIJKERS2020].
Si bien el uso de datos externos para enriquecer los datos de los clientes va en aumento, incluso en 2019, un número sorprendentemente bajo de instituciones utiliza fuentes de datos adicionales para enriquecer los datos de los clientes y obtener una vista más completa [AIDAR2019]. Un ejemplo notable para la región LATAM es la regulación canadiense, PCML TFA, que recibió una actualización en el 2019. Esta regulación autoriza la identificación del cliente mediante fuentes externas e incluso permite usar datos de identificación obtenidos por otra entidad para complementar la identificación precisa del cliente. Sin duda alguna existe una clara tendencia en las nuevas regulaciones por utilizar un enfoque más integral para KYC, ya sea mediante el uso de tecnología, el uso de fuentes de datos externas abiertas o una combinación de las anteriores.
Estrategias de Consumo
El uso de fuentes de datos abiertas supone un conjunto de desafíos tecnológicos en los procesos de onboarding actuales donde se espera tener aprobación a productos y servicios financieros en cuestión de minutos. Hacer estos procesos escalables requiere de procesos automatizados para garantizar una experiencia de usuario aceptable. En otras palabras, la consulta, extracción, integración y procesamiento de las fuentes abiertas, requiere de mecanismos tecnológicos rápidos y efectivos.
El reto y la dificultad radica en que las fuentes abiertas se disponen en internet sin protocolos o estrategias de consumo estándar. Es necesario, por lo tanto, para cada fuente realizar procesos independientes de consulta y extracción para su posterior integración. Dentro de las tecnologías usadas hoy en día se encuentran el web scraping y los procesos robóticos automatizados (RPA).
Web Scraping
El web scraping se refiere a la extracción automática de datos de un sitio web. Esta información se recopila y luego se exporta a un formato que sea más útil para las tareas de integración. Los sitios web se construyen de muchas formas, como resultado, cada fuente requiere un proceso diferente.
A partir de un URL un web scraper carga todo el código HTML, CSS y Javascript (estructura a bajo nivel de cualquier página web). Luego, se extraerá todos los datos de la página o los datos específicos requeridos. Este proceso de extracción requiere de cierto grado de conocimiento en la estructura de la fuente.
Procesos robóticos automatizados (RPA)
En términos simples un RPA es un conjunto de herramientas tecnológicas, cuyo objetivo es automatizar procesos empresariales. Con las herramientas de RPA, una empresa puede configurar software, mejor llamado “robot”, para capturar e interpretar aplicaciones para procesar una transacción, manipular datos, activar respuestas y comunicarse con otros sistemas digitales. Los escenarios de RPA van desde algo tan simple como generar una respuesta automática a un correo electrónico hasta implementar miles de bots, cada uno programado para automatizar trabajos de consultas de fuentes abiertas, por ejemplo.
Limitaciones de las consultas de fuentes abiertas
Si bien es bien conocido los beneficios de la consulta de fuentes abiertas en procesos de KYC, existen un conjunto de limitaciones asociadas a su uso:
- Independencia de la fuente: se debe garantizar que las fuentes son construidas por entidades imparciales e independientes de intereses de terceros.
- Calidad de la fuente: la fuente debe proveer información fiable, sin errores que den lugar a malas interpretaciones.
- Disponibilidad: como se trata de fuentes externas que dependen de terceros no se puede garantizar disponibilidad 7/24. Por lo tanto, no se debe depender de una única fuente en los procesos KYC.
- Protección de datos: se debe cumplir con la norma regulatoria de cada país en relación con el tratamiento de datos personales [PACHECO2020]. Para Colombia, por ejemplo, la Superintendencia de Industria y Comercio (SIC) publicó en 2019 una guía sobre el tratamiento de datos personales para fines de comercio electrónico [SIC2019]. Para la consulta de fuentes abiertas se requiere de la aprobación por parte de ciudadano y una descripción clara de que información va a ser usada y de qué forma.
- Reglamentación tecnológica: en algunos países esta extracción automática de datos usando web scrapers puede verse como un delito. La vagamente escrita Ley de Delito y Fraude Informático de EE. UU., por ejemplo, convierte en un posible delito el acceso a cierto tipo de información de manera programada [LAM2020]. Sin embargo, y de forma contradictoria por cumplimiento regulatorio LA/FT es justificado su uso. La recopilación de datos es costosa y complicada, pero también es una herramienta importante para descubrir y revelar riesgos. Tecnologías para automatizar estos procesos son requeridas para cumplir con las necesidades de los procesos de KYC actuales.
Conclusión
El uso de fuentes abiertas, se a convertido en un “must do” en los procesos de KYC. Reguladores de diferentes países han establecido la necesidad de su uso para el correcto establecimiento del riesgo potencial de un cliente. Su uso sin embargo todavía no se a masificado y requiere de estrategias de consumo automáticas. A nivel tecnológico es común el empleo de técnicas como el web scrapping, procesos robóticos automatizados, y estrategias de integración de datos. Dentro de las limitaciones mas relevantes del uso de fuentes abiertas esta la imparcialidad e independencia de la fuente, su disponibilidad y el cumplimiento de la normativa en relación con el tratamiento de datos personales.
Rubén Manrique
Bibliografía
[LAM2020] Lam Thuy Vo (2020). Tecnología y Sociedad ‘Web scrapping’, la técnica para denunciar injusticias y que es delito a la vez. (https://www.technologyreview.es/s/12963/web-scrapping-la-tecnica-para-denunciar-injusticias-y-que-es-delito-la-vez).
[PACHECO2020] Diego Pacheco (2020) Tratamiento de datos personales y sensibles en Colombia. https://reconoserid.com/tratamiento-de-datos-personales-y-sensibles-en-colombia/
[SPIJKERS2020] Nicolas Spijkers. (2020) PEPs en el mundo y en Colombia: ¿Cuál es el debido KYC? https://reconoserid.com/peps-en-el-mundo-y-en-colombia-cual-es-el-debido-kyc/.
[SIC2019] Guía sobre el tratamiento de datos personales para fines de comercio electrónico. Superintendencia de Industria y Comercia 2019.
[MIKKELSEN2019] Daniel Mikkelsen, Azra Pravdic, and Bryan Richardson (2019). Flushing out the money launderers with better customer risk-rating models
[BBC2016] BBC, 2016. ¿Qué son los Panamá Papers? https://www.bbc.com/mundo/video_fotos/2016/04/160404_video_panama_papers_investigacion_cof
[AIDAR2019] Aidar Orunkhanov, 2019. The Power of External Data to Power Your KYC Program. https://www.tamr.com/blog/the-power-of-external-data-to-power-your-kyc-program/