La constante lucha contra las actividades ilegales en el sector financiero ha llevado a la construcción de herramientas tecnológicas que permiten contrarrestar su impacto y permitir un sistema sano y consistente. Los procesos KYC deben ser comprehensivos, deben adaptarse a la legislación internacional, y además desarrollarse dentro del sistema financiero de cada país. No obstante, la nueva adopción de servicios financieros tecnológicos ha abierto la puerta a que el conocimiento del cliente se pueda realizar por medios no presenciales, lo cual plantea inquietudes respecto a la legislación vigente. ¿Es posible que los servicios bancarios tecnológicos estén completamente asegurados, aún cuando su estado de maduración no se haya manifestado en una legislación extensa y comprehensiva de sus elementos más específicos y técnicos? En este documento analizamos la legislación internacional y la normativa ecuatoriana, y recogemos los elementos esenciales que permiten afirmar que un KYC moderno debe incluir la consulta de la veracidad del documento de identificación, de la geolocalización, de fuentes abiertas y listas restrictivas internacionales, elementos que son investigados y trabajados por reconoSER ID.
El propósito de una política de prevención de lavado de activos y financiación del terrorismo – LAFT – es el de detectar actores sospechosos y actividades que puedan representar un riesgo para las operaciones de las entidades financieras y sociedades comerciales. Esto se lleva a cabo por medio del conocimiento del cliente, o KYC (Know Your Customer en inglés). La legislación debe ser rigurosa y debe contener instrumentos para la prevención, control y reducción de toda posibilidad de lavado de dinero ilegal. Por este motivo se va a exponer más adelante la legislación internacional al respecto y para un estudio de caso específico se va a exponer la normativa ecuatoriana.
Dentro del proceso que las legislaciones internacionales y locales consideran indispensable para la prevención de LAFT está la etapa de recopilación de información del cliente, en la cual se detallan datos básicos de información personal y datos desarrollados de actividad financiera. Se debe resaltar que durante esta etapa del KYC es necesaria la consulta de listas restrictivas locales e internacionales, operación que se denomina en inglés watchlist screening. Las listas restrictivas locales e internacionales son bases de datos que contienen información de actores ilegales, principalmente de terroristas y narcotraficantes, y son consultadas como parte integral de los programas de prevención.
Celent, firma especializada en consulta de servicios financieros tecnológicos, publicó el documento “Solutions for Watchlist Screening” en 2018 [CELENT2018], en el cual se exponen los principales problemas que enfrenta la consulta de fuentes abiertas y fuentes restrictivas:
- “Identificación positiva de entidades sancionadas y Personas Expuestas Políticamente
- Resolución en la variación de nombres, incluyendo alias, nombres transliterados y nombres en textos que no están escritos en Latín; también variaciones dadas por problemas de calidad como nombres escritos parcialmente
- Perfilamiento de riesgo, evaluación, y puntaje durante el proceso de onboarding y también durante el monitoreo periódico
- Reducción de tasas de falsos positivos, las cuales pueden alcanzar un 70% de alertas falsas
- La creciente velocidad en la que los pagos y las transacciones son llevados a cabo, tanto en el sector Fintech como el comercio electrónico; también la expectativa de un onboarding más rápido
- Multitud de listas restrictivas, que cambian constante y rápidamente
- Requisitos para los beneficiarios finales, cuya información es de difícil acceso”
Las tecnologías emergentes, tales como Inteligencia Artificial o los procesos robóticos automatizados, representan una promesa significativa para superar algunos de los problemas mencionados. La consulta simultánea de la multiplicidad de listas, la actualización automática de listas, la verificación de transacciones en tiempo real, la traducción simultánea de nombres en idiomas distintos, y las técnicas de reducción de alertas falsas, son algunas de las soluciones que representan los programas automatizados de watchlist screening. En reconoSER ID ofrecemos el servicio de Identification aaS, que integra diferentes fuentes de información relevantes para la prevención de LAFT, y permite generar un perfil de riesgo para indicar un puntaje de coincidencia. Más adelante se va a detallar el trabajo que ofrece reconoSER ID. Antes, es prioritario consultar la normativa internacional, de la cual emanan recomendaciones para las leyes locales al respecto, desde las cuales se emiten las bases sobre las que se debe construir la calidad, excelencia y ulterior desarrollo de productos especializados para el AML y el KYC.
Lineamientos internacionales para la prevención de LAFT
El Grupo de Acción Financiera (GAFI) es la organización internacional que ha focalizado los esfuerzos internacionales para combatir el lavado de dinero y el financiamiento del terrorismo. Ecuador es uno de los 39 miembros y pertenece al segmento Latinoamericano [https://www.fatf-gafi.org/countries/]. El GAFI tiene como principales funciones: (i) convocar expertos relacionados para que se reúnan regularmente y compartan experiencias y de esta forma crear una comprensión compartida de los riesgos; (ii) sobre la base de esta comprensión común de los riesgos, emite recomendaciones que se espera sigan los países del mundo; (iii) finalmente, el GAFI evalúa el cumplimiento de las recomendaciones, así como su efectividad práctica. Los países que no son miembros del GAFI son evaluados y si se descubre que estos tienen serias deficiencias en sus sistemas para combatir el lavado de dinero y el financiamiento del terrorismo pueden verse afectados por su inclusión en la lista negra o gris.
La lista negra contiene jurisdicciones que no cooperan con la comunidad internacional y no han mostrado suficiente interés en combatir el lavado de dinero y el financiamiento del terrorismo. La lista gris contiene jurisdicciones que presentan riesgos graves pero que se han comprometido a mejorar. Se solicita a los países miembros del GAFI que tomen contramedidas activas (i.e. sanciones) contra estas jurisdicciones para proteger el sistema financiero internacional.
Actualmente el GAFI resume los lineamientos para la luchas contra LAFT en 40 recomendaciones [FAFT19]. Las recomendaciones 10-11 están estrechamente relacionadas con los procesos KYC. La décima recomendación se denomina “Customer Due Diligence”, en la cual se proyecta cómo se deben establecer medidas de conocimiento de cliente cuando se crean relaciones de negocio. En particular esta recomendación indica: a) Identificar al cliente y verificar su identidad utilizando documentos de origen, datos o información confiable e independiente. b) Realizar la verificación y el escrutinio continuo de las transacciones realizadas a lo largo de la relación con el cliente para garantizar que las transacciones que se realizan sean consistentes con su negocio y el perfil de riesgo, incluida, cuando sea necesario, la fuente de fondos. La onceava recomendación exige a las instituciones financieras mantener, durante al menos cinco años, todos los registros necesarios de las transacciones, tanto nacionales como internacionales. De acuerdo al GAFI: “Dichos registros deben ser suficientes para permitir la reconstrucción de transacciones individuales (incluidos los montos y tipos de moneda involucrados, si corresponde) para proporcionar, si es necesario, evidencia para el enjuiciamiento de actividades delictivas” [FAFT19].
La recomendación número 15, además, habla sobre la puesta en funcionamiento de nuevas tecnologías en el sector financiero. Para cada nuevo producto o nueva tecnología que se despliegue se debe a) realizar una análisis de riesgo que permita estimar las vulnerabilidades en torno a actividades LAFT y b) establecer estrategias claras y contundentes de mitigación de dichos riesgos previo al lanzamiento o puesta en funcionamiento de nuevos productos o tecnologías.
El otro gran jugador normativo internacional es la Unión Europea, que adoptó la primera Directiva contra el lavado de dinero en 1990. Al igual que la GAFI, establece que las entidades financieras y relacionadas están obligadas a aplicar los requisitos de diligencia debida del cliente al entablar una relación comercial (es decir, identificar y verificar la identidad de los clientes, monitorear las transacciones e informar transacciones sospechosas). Se identifican principalmente las siguientes directivas:
- Directiva (UE) (2015/849) sobre la prevención del uso del sistema financiero para el lavado de dinero o el financiamiento del terrorismo (cuarta directiva LAFT UE) [AML2018].
- Directiva (UE) (2018/843) que amplía la directiva 2015/849.
Siguiendo las recomendaciones de la GAFI, la directiva 2015/849, establece “La identificación del cliente y la comprobación de su identidad sobre la base de documentos, informaciones o datos obtenidos de fuentes fiables e independientes….”. En el espectro normativo internacional el llamado a procesos de KYC robustos es claro, así como la evaluación y mitigación de riesgos LAFT en escenarios digitales de relacionamiento con el cliente.
Reglamentación Ecuatoriana de prevención de LAFT
Las recomendaciones del GAFI establecen un marco comprehensivo de medidas que todos los países deben implementar. No obstante, debe ser tenido en cuenta que debido a las circunstancias particulares de los sistemas financieros de cada país, las normas locales deben ser específicas, con lo cual las recomendaciones deben ser consideradas como un estándar. Se recomienda que la debida diligencia del cliente sea realizada, según lo establece la recomendación décima del GAFI, y como lo dice la cuarta directiva de la UE, con información “confiable e independiente”. Estos dos elementos son explicados por Ruben Manrique en “Aspectos relevantes de la guía en identidad digital de la GAFI 2020” [MAN2020]: “Por un lado, la confianza de la fuente es analizada desde tres puntos de vista: el gestor de la fuente, el proceso con que es construida o capturada la data, y la tecnología empleada para su consumo y despliegue. Un segundo requisito es la independencia de la fuente y el gobierno adecuado de la misma. La anterior no es otra cosa que garantizar autonomía, no acomodarse a deseos de terceros y la existencia de procedimientos transparentes de gestión y administración.”
A continuación exponemos información sobre las normas existentes en Ecuador, la referencia específica con respecto a la debida diligencia (KYC) y la consulta de listas restrictivas. Existen tres normas significativas en la materia. La Ley Orgánica de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos, emitida por la Asamblea Nacional; las Normas Generales para las Instituciones del Sistema Financiero, emitidas por la Superintendencia de Bancos y Seguros; y las Normas de Prevención de Lavado de Activos, Financiamiento y otros Delitos, emitidas por la Superintendencia de Compañías, Valores y Seguros.
La Ley Orgánica de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos
Esta ley deroga – modifica parcialmente – antiguas leyes ecuatorianas en la materia: sustituye la primera Ley para Reprimir el Lavado de Activos publicada en el Registro Oficial No. 127 de 18 de octubre de 2005; ley que fue posteriormente denominada ley de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos, y fue publicada en el Registro Oficial, Suplemento No. 352 de 30 de diciembre de 2010, mediante la reforma de la primera. Actualmente se denomina Ley Orgánica de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos, y fue publicada en el Registro Oficial, Suplemento 802 de 21 de julio de 2016.
Como punto principal de los requisitos que deben llevar a cabo las instituciones financieras está la obligación de “requerir y registrar a través de medios fehacientes, fidedignos y confiables, la identidad, ocupación, actividad económica, estado civil y domicilios, habitacional u ocupacional, de sus clientes, permanentes u ocasionales” [LO2016]. En el correspondiente Reglamento de la Ley Orgánica, se detallan cuales deben ser los datos necesarios para el conocimiento del cliente, tales como nombre, cédula, sexo y nacionalidad, y para personas jurídicas la razón social o Registro Único de Contribuyentes, entre otros. Es de relevancia considerar que el Reglamento obliga a las instituciones financieras a consultar la lista de Personas Expuestas Políticamente, emitida por la Unidad de Análisis Financiero y Económico (UAFE) y que es de acceso exclusivo para los oficiales de cumplimiento. Además, los sujetos obligados pueden “reforzar sus controles de debida diligencia ampliada a otras personas”.
Normas Generales para las Instituciones del Sistema Financiero
La Superintendencia de Bancos y Seguros publicó, en el libro primero de la Normas Generales para la Instituciones del Sistema Financiero, las Normas para las Instituciones del Sistema Financiero sobre Prevención de Lavado de Activos, Financiamiento del Terrorismo y otros Delitos, en la cual se reglamenta la administración del riesgo de lavado de activos.
A la altura de la sección quinta se puede observar la debida diligencia, también conocida como KYC, en la cual se implica que las instituciones deben establecer mecanismos como la recopilación, verificación y actualización de la identidad de los clientes, tanto para iniciar una relación comercial o contractual, tanto para cuando se deba actualizar la información del cliente. En el artículo 14 de la misma sección se establecen los lineamientos para la diligencia del formulario de solicitud de inicio de relación comercial. En el punto 14.1.21 se afirma que el formulario debe contener una constancia de revisión de listas de información nacionales e internacionales, razón por la cual un watchlist screening se hace necesario y útil por parte de un proceso KYC completo en el sistema financiero de Ecuador.
Normas de Prevención de Lavado de Activos, Financiamiento y otros Delitos, de la Superintendencia de Compañías, Valores y Seguros
Los sujetos obligados por la Superintendencia de Compañías son los mencionados en el artículo 5 de la Ley Orgánica: “las filiales extranjeras bajo control de las instituciones del sistema financiero ecuatoriano; las bolsas y casas de valores; las administradoras de fondos y fideicomisos; las cooperativas, fundaciones y organismos no gubernamentales” entre otros.
La Superintendencia de Compañías también prevé disposiciones de consulta de listas nacionales e internacionales similares a la Superintendencia de Bancos mencionada en la sección anterior. El artículo 8 de las Normas de la Superintendencia de Compañías establece que se debe llevar a cabo un procedimiento para “la revisión de listas de información, nacionales e internacionales” [SUPERCOMPAÑÍAS2019]. Aunado a esto está el artículo 14, en el cual se menciona que uno de los motivos por los cuales las compañías deben abstenerse de continuar una relación comercial con los clientes es cuando exista coincidencia con las listas nacionales o internacionales incluidas en los convenios internacionales suscritos por Ecuador.
ReconoSER ID y los procesos robustos de KYC
En nuestro artículo ¿Qué se debe considerar para establecer procesos de KYC robustos en el sector financiero? [MAN2020a] presentamos una arquitectura de alto nivel para procesos KYC en instituciones financieras que permitan el cumplimiento de la normativa nacional e internacional LAFT. La arquitectura se resume en la Figura 1.
En primer lugar, se tienen las variables de riesgo a contemplar en un proceso de KYC. En el caso Ecuatoriano, verificar la validez y autenticidad del documento de identificación (cédula, pasaporte) es de vital importancia dado que es el primer requerimiento para acceder a la mayoría de servicios de la banca. La consulta en bases de datos de antecedentes (judiciales, sanciones, e inhabilidades) e historial crediticio permite validar un relacionamiento previo positivo con la banca y además que no está o ha estado relacionado con actividades LA/FT. Existen, además, un conjunto de listas de diferentes organismos internacionales que relacionan individuos y empresas con historial en delitos LAFT. Estas listas constituyen un esfuerzo global en la lucha contra el lavado de activos y terrorismo, y en muchos países su consulta y validación es obligatoria.
En los procesos de vinculación de cliente no se suele tener acceso a data transaccional por lo que no es relevante en una primera estimación del riesgo. Sin embargo, cobra mucha importancia como variable de monitoreo continuo en conjunto con la ubicación geográfica. De hecho como se mencionó anteriormente por regulación internacional se debe almacenar hasta por 5 años toda la información transaccional de un cliente. Estudios recientes han establecido relaciones positivas entre actividades ilícitas y cambios bruscos en el comportamiento transaccional y/o ubicación geográfica (i.e. cambio de domicilio, cambios en la ubicación de IPs de los dispositivos que usa, etc). Esta información, por lo tanto, se debe contemplar también en los modelos de scoring de riesgo de los procesos KYC. Lo anterior sugiere que un proceso KYC robusto debe ser continuo, de actualización permanente y activo durante el tiempo que dure el relacionamiento con el cliente. Las instituciones financieras y relacionadas deben por lo tanto incluir dentro de sus procesos herramientas tecnológicas que les permitan realizar este análisis de forma confiable involucrando todo el conjunto de variables antes mencionadas.
Con el constante incremento de procesos de onboarding digitales y el creciente número de fuentes de información que se deben consultar, los procesos KYC soportados exclusivamente por equipos humanos, son dispendiosos, crean experiencias de usuario pobres y son altamente propensos a brechas de seguridad. El servicio de Identification aaS de reconoSER ID, ofrece acceso a las fuentes de información más relevantes para la prevención LAFT. No solo automatiza el proceso de consulta, sino además, integra los resultados de las diferentes fuentes en un score unificado de riesgo facilitando su posterior análisis. Nuestros modelos de scoring son personalizables y se puede incluir el conocimiento particular del negocio e incluso fuentes propias del cliente. Adicionalmente nuestro SDK de documentos permite determinar la veracidad de la información impresa en un documento por medio de la extracción y posterior análisis de su información. ReconoSER ID apoya las diferentes instituciones financieras brindando soluciones de fácil integración para procesos KYC robustos, evitando el costo de desarrollos y procesos dispendiosos de adopción tecnológica. en los convenios internacionales suscritos por Ecuador.
Conclusiones
En este documento presentamos un visión panorámica de los procesos “Know your customer”, su importancia en la prevención de actividades LAFT, las regulaciones (internacional y nacional caso Ecuador) que lo rigen, y lo que consideramos una arquitectura de alto nivel robusta de un procesos KYC. Es claro que los procesos de KYC deben ser actualizados y robustecidos para hacer frente a las cada vez más demandantes regulaciones y a entornos de operación altamente digitales. Desde reconoSER ID apoyamos las diferentes instituciones financieras brindando soluciones automáticas para procesos KYC robustos que priorizan el cumplimiento de las regulaciones mencionadas y de ágil integración tecnológica.
Nicolas Spijkers y Ruben Manrique
Bibliografía
[CELENT2018] Solutions for Watchlist Screening, 2018. Celent.
[LO2016] Ley Orgánica de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos. Registro Oficial Suplemento 802 de 21-jul.-2016. Quito, Ecuador. https://www.cfn.fin.ec/wp-content/uploads/2018/03/Ley-Orga%CC%81nica-de-Prevencio%CC%81n-de-Lavado-de-Activos-y-del-Financiamiento-de-Delitos.pdf
[SUPERCOMPAÑÍAS2019] Normas de Prevención de Lavado de Activos, Financiamiento y otros Delitos. Segundo Suplemento del Registro Oficial No.96, 9 de diciembre 2019. http://tfc.com.ec/uploads/noticia/adjunto/631/NORMAS_DE_PREVENCI%C3%93N_DE_LAVADO_DE_ACTIVOS__FINANCIAMIENTO_DEL_TERRORISMO_Y_OTROS_DELITOS.pdf
[MAN2020] Aspectos relevantes de la guía en identidad digital de la GAFI 2020, reconoserID, 2020. https://reconoserid.com/stagingv3/aspectos-relevantes-de-la-guia-en-identidad-digital-de-la-gafi-2020/
[FAFT19] The FATF Recommendations, 2019 (http://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%202012.pdf).
[AML2018] The European Commission 4th and 5th AML Directive. https://ec.europa.eu/info/law/anti-money-laundering-amld-iv-directive-eu-2015-849_en
[MAN2020a] ¿Qué se debe considerar para establecer procesos de KYC robustos en el sector financiero?, reconoserID, 2020. https://reconoserid.com/stagingv3/que-se-debe-considerar-para-establecer-procesos-de-kyc-robustos-en-el-sector-financiero/