¿Necesita de planificación la identificación formal como medida de Diligencia Debida?

Sabemos que la Identificación formal es la primera medida normal de Diligencia Debida según el Artículo 3 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Y que esta medida constituye la piedra angular sobre la que se asienta toda la Diligencia Debida PBCFT, no estando sujeta al riesgo como sucede con las restantes medidas normales; también sabemos que ha de ser aplicada en el mismo momento en que una persona física o jurídica pretenda establecer una relación de negocio, o intervenir en cualquier operación con el sujeto obligado.

Prueba de la importancia operativa de esta medida, es la obligación que existe de inhibirse del establecimiento de la relación de negocio o de la intervención en la operación pretendida, si el sujeto obligado no pudiera identificar debidamente a esa persona física o jurídica.

El Art. 3 de la Ley ha sido desarrollado por los artículos 4, 5, 6 y 7 del Reglamento (Real Decreto 304/2014, de 5 de mayo). Como comenté estos artículos del Reglamento en este mismos Blog mediante la entrada: “El Reglamento y la operativa normal en la identificación formal de los clientes”, ahora voy a centrarme exclusivamente en la concreción organizativa de la medida.

La fórmula operativa que tanto la Ley como el Reglamento establecen para la identificación formal, consiste en la verificación y comprobación de la identidad mediante documentos fehacientes, es decir, mediante documentos que permitan dar fe de la identidad, lo que tiene evidentes efectos formativos, organizativos y tecnológicos para los sujetos obligados.

Existen dos excepciones a esta primera medida normal de diligencia debida.

1. Cuando no resulte posible la comprobación de la identidad de los intervinientes mediante documentos fehacientes en un primer momento. (Artículo 3.2)
2. Cuando las  relaciones de negocio  no sean presenciales y se contraten a través de medios telefónicos, electrónicos y telemáticos. (Artículo 12)

En ambas excepciones, al no poder ser comprobada la identidad en un primer momento por el sujeto obligado, el establecimiento de la relación de negocio se verá sometido posteriormente a las medidas reforzadas de diligencia debida que se especifican en el Artículo 12 de la Ley y que se desarrollan en el Art. 21 del Reglamento.

En cuanto a las operaciones derivadas de las relaciones de negocio, al no constituir establecimiento de las mismas, el mecanismo de identificación formal resulta  diferente:

1. Cuando se realicen mediante la  presencia física de los clientes ante los sujetos obligados, éstos procederán a la verificación de la identidad a través de los documentos fehacientes de identificación que éstos les presenten.
2. Cuando se realicen mediante medios telefónicos, electrónicos y telemáticos, la verificación de la identidad se hará a través de la firma electrónica reconocida, o mediante las claves de seguridad proporcionadas a los clientes por los propios sujetos obligados, en base a la identificación formal realizada en el establecimiento de las relaciones de negocio.

Por otra parte también sabemos que en las empresas-sujetos obligados, la identificación de los clientes siempre resultó necesaria para las actividades de negocio, por lo que la exigencia del Cumplimiento PBCFT en relación con esta medida, puede servir también para mejorar la homogeneización y centralización del proceso de identificación de los clientes en relación con las actividades de negocio, con lo que el esfuerzo del Cumplimiento quedaría así rentabilizado internamente.

Los sujetos obligados, antes de serlo, tenían normalizada la identificación de sus clientes para asegurar así sus negocios frente al fraude. Lo que la legislación sobre PBCFT ha traído como novedad, es la homogeneización de los procedimientos de identificación formal entre todos los sujetos obligados, mediante normas que son prácticamente idénticas en todos los países; algo parecido a lo que sucedió en su momento con el plan general contable. Es por ello por lo que constituye una oportunidad de mejora el convertir la identificación formal PBCFT en la identificación necesaria para el negocio.

Aceptada esta premisa, la “identificación formal PBCFT y de negocio” requerirá de una planificación interna, así como de la coordinación y corresponsabilización de diversos departamentos, puesto que la misma no sólo afectará ya al cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino también a la prevención del fraude, y a la seguridad operativa de las restantes líneas productivas, vg.: comercial, riesgos, recuperaciones, etc.

Como la identificación formal va a estar basada  en el Cumplimiento PBCFT, la coordinación  de todos los departamentos interesados en la planificación y aplicación de la misma, se realizará por exigencia legal a través del Órgano de Control Interno (OCI).

El OCI, según la legislación española de prevención del blanqueo de capitales y de la financiación del terrorismo,  es  una estructura transversal de cumplimiento PBCFT, en la han de estar representadas aquellas direcciones generales implicadas en la materia.

Será por tanto a través del OCI, cómo los departamentos que tienen relación con la identificación de los clientes participarán en la planificación y aplicación de las políticas y procedimientos necesarios para la identificación formal PBCFT, aunque a efectos prácticos el OCI se valga para el trabajo de campo necesario en la Planificación, de dos departamentos muy específicos como son: el Departamento de Prevención del Blanqueo de Capitales y el Departamento de Prevención del Fraude.

Por tanto, ambos departamentos han de trabajar de forma conjunta, bajo el control del OCI,  en las siguientes Medidas para la consecución del objetivo de la identificación formal: Formativas, Organizativas y  Tecnológicas

Medidas formativas

Como la identificación formal normalmente se realiza por el “front-office” de la empresa-sujeto obligado, es decir, por la estructura de la organización que está en contacto directo con el público, resulta necesaria la formación de este personal si se quiere que la misma se lleve a cabo con la necesaria calidad.

Esta estructura estará formada por personas y por tecnología, por lo que las medidas formativas en identificación formal PBCFT han de estar dirigidas, a los empleados que en la empresa tengan a su cargo el establecimiento de las relaciones de negocio o intervengan en cualesquiera operaciones con los clientes, y a los técnicos que dentro de la empresa se encarguen de las plataformas  interactivas con el público y que  requieran identificación.

Aunque la formación en esta materia siempre resultará de interés para el resto del personal de la empresa, será imprescindible y por tanto obligatoria,  para los técnicos de los departamentos de análisis y que pertenecen al  “back office”.

Una parte de esta formación ha de basarse, por exigencia legal, en la verificación de documentos fehacientes, por lo que ambos departamentos han de buscar la formación adecuada sobre la naturaleza de estos documentos, sobre las medidas de seguridad que contienen y sobre las comprobaciones que han de hacerse para la verificación de los  mismos, junto con las exigencias de la Ley y del Reglamento de cara a la identificación formal.

A los que estén interesados en la “identificación formal presencial, mediante la verificación de documentos fehacientes”, pueden acceder a la entrada de este Blog que lleva ese mismo título.

Una vez preparado el material formativo básico en esta materia, ambos departamentos han de coordinarse con el Departamento de Recursos Humanos, que es el que se encargará de impartir la formación en forma virtual o presencial, ya sea por personal de la empresa o por personal docente externo, para lo que se tendrán que tener identificados previamente todos los departamentos de la empresa que están en contacto directo con el público, y que por tanto  intervienen en el establecimiento de relaciones de negocio o en las operaciones con los clientes, así como el resto del personal que ha de recibir obligatoriamente esta formación aunque no esté en contacto directo con el público.

El Departamento de Recursos Humanos ha de llevar el control sobre la formación recibida en esta materia por cada empleado, siendo ésta formación un requisito básico y necesario para poder ocupar los puestos de identificación formal de los clientes; puestos de trabajo  que pueden comprometer a la empresa como sujeto obligado.

Debo indicar también que la formación en esta materia no solo puede basarse en las técnicas necesarias para hacer una buena verificación de documentos de identificación, sino que ha de profundizar en la importancia que tiene la identificación formal, no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino para la prevención del fraude y para el funcionamiento económico y comercial de la propia empresa.

El personal también deberá conocer el proceso organizativo que exige la identificación formal y que será analizado en el siguiente punto, así como  que la identificación formal quedará conexionada a su trabajo profesional, de tal forma que la empresa conocerá en todo momento el nombre del empleado que realizó cada verificación.

Medidas organizativas

El objetivo a alcanzar con estas medidas organizativas, es convertir el proceso de diligencia debida exigido por la Ley 10/2010, en la herramienta fundamental de la actividad KYC de la empresa (Know your Customer), necesaria no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, sino para el propio funcionamiento económico de la empresa-sujeto obligado, en relación con la cartera de clientes y la gestión de riesgos.

Para ello se definirá el proceso de identificación formal que han de cumplir todos los empleados, cuando intervengan en el establecimiento de  las relaciones de negocio y en las operaciones, quedando este proceso  posteriormente recogido en la política expresa de admisión de clientes.

En este proceso se ha de tener en cuenta el cumplimiento del Artículo 25 de la Ley, relativo a la conservación durante un período mínimo de diez años, de los documentos en los que se formalice el cumplimiento de las obligaciones de Diligencia Debida, así como las copias de los documentos de identificación formal, en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

La concreción práctica del cumplimiento del Art. 25 se realiza mediante el “Expediente de Identificación”,  que quedará archivado de forma centralizada y en formato electrónico, con la información de todos los intervinientes ligados al mismo, incluyendo las copias digitalizadas de los documentos de identificación, la identificación de los titulares reales, así como de otros documentos de interés para cada Sujeto Obligado.

La formalización práctica del “Expediente de Identificación” durante la planificación, obligará a conocer el funcionamiento de las distintas plataformas tecnológicas que se utilizan para el establecimiento de las relaciones de negocio y para la formalización de operaciones, con el fin de que queden posteriormente adaptadas técnicamente a la política KYC, y permitan cumplir con todas las exigencias de la DUE DILIGENCE. Estas plataformas tecnológicas han de poder remitir de forma automatizada  una copia de los documentos que conforman el “Expediente de Identificación”, a la Plataforma Centralizada de Identificación, que será la que contenga archivados estos Expedientes de Identificación.

El objetivo final de este trabajo será la existencia de un sólo  archivo centralizado de clientes, y que cualquiera otro que pudiera existir dentro de las distintas divisiones administrativas, esté  subordinado al central.

La centralización de esta información no debería tener riesgo, si el conocimiento de su contenido queda limitado técnicamente para cada tipo de usuario dentro de la empresa: prevención del blanqueo de capitales, prevención del fraude, gestión de riesgos, comercialización, etc. Por otra parte resulta evidente que, sin la centralización de esta información no podrían tecnificarse de forma adecuada los procesos de la Diligencia Debida.

Medidas tecnológicas

Sin entrar en la valoración de la tecnificación necesaria de los procesos de Diligencia Debida,  puesto que el tema es competencia de cada sujeto obligado, ya apunté algunas referencias técnicas que han de tenerse en cuenta cuando traté de las medidas organizativas relacionadas con la identificación formal.

Quisiera añadir algunas más, como las que harán posible al “front-office” proceder con seguridad a la verificación de la identidad, y a la empresa controlar la totalidad de la actividad KYC.

En relación con el personal encargado de la identificación formal, se le ha de dotar  de algunas herramientas necesarias, junto con la formación, y que van, desde unos sencillos instrumentos técnicos como serían lupas o cuentahílos, fuentes luminosas de sobremesa de espectro visible y ultravioleta, que permitan realizar el primer examen de los documentos fehacientes de identificación, y un escáner, hasta alguno de los equipos automatizados de verificación de los documentos fehacientes de identificación que ya existen en el mercado, y que permiten adjuntar al Expediente de Identificación un dictamen automático con umbrales de confianza parametrizables, que quedaría archivado junto con las copias electrónicas de los documentos identificativos como un justificante más de la identificación.

También al hablar de las medidas organizativas he hecho mención a la centralización de los Expedientes de Identificación en una plataforma tecnológica, a la que estarían  conectadas las restantes plataformas departamentales que se utilicen para el establecimiento de relaciones de negocio y operaciones.

Esta Plataforma de Identificación centralizaría  la administración y gestión de los expedientes creados a través de cualquiera de las plataformas operativas de la empresa, y tendría un único acceso común y automatizado de consulta para todos los usuarios del Sujeto Obligado, con unos límites de acceso al contenido que estarían definidos en relación al puesto de trabajo que ocupan, y con un sistema de control de acceso dotado de seguimiento auditable de los rastros dejados por el usuario.

A través de la plataforma se posibilitaría la rápida localización de los expedientes mediante diversos criterios de búsqueda, ajustados a las necesidades de cada usuario.

Esta plataforma tendría que contar también con una herramienta de gestión para la inclusión de información procedente de los departamentos de análisis de la información, o de las investigaciones realizadas sobre comprobación de la identidad por los departamentos de producción, comercialización y recuperación.

Permitiría  igualmente el acceso al histórico de expedientes, segmentando sus datos en base a un sistema de niveles de confidencialidad acordes con el uso que deba darse a los mismos.

Esta plataforma custodiaría los expedientes creados durante el plazo legal fijado de diez años, garantizando la integridad de los datos, así como una ágil recuperación y acceso a los mismos. Para ello tendría habilitado un sistema automatizado de archivo con las medidas de seguridad adecuadas, que permitieran la conservación de la información impidiendo su manipulación.

La Plataforma facilitaría informes con los datos del expediente para su envío o exportación, adaptados al nivel de seguridad y confidencialidad autorizado para cada usuario.

A este núcleo central de información de clientes y de operaciones, se acoplarán posteriormente las plataformas tecnológicas que permitan convertir en inteligencia esta información para su uso en la actividad económica de la empresa, como por ejemplo, en la gestión de riesgos, en la prevención del fraude, en la política comercial mediante la segmentación de la cartera de clientes, etc., y para el cumplimiento de las restantes medidas normales, simplificadas y reforzadas de diligencia debida, como la averiguación del propósito e índole de la relación de negocios y el seguimiento continuo de la relación de negocios.

Otras cuestiones de interés

La primera medida de Diligencia Debida (la Identificación formal), no termina con lo explicado hasta el momento, puesto que resulta obligado completarla mediante dos filtros complementarios:

• El filtro de la LISTA DE SANCIONES, que es obligatorio en todos los supuestos. (Artículo 51.2). Para más información sobre este tema se puede analizar la entrada de este Blog que lleva por título: “Las listas de sanciones y el documento de buenas prácticas del SEPBLAC”
• El filtro de Personas con Responsabilidad Pública (PRP), conocidas internacionalmente como PEP (Personas Políticamente Expuestas en su traducción inglesa), que es de obligado cumplimiento en todas las operaciones de riesgo. (Artículo 14).

Igualmente resulta necesario hacer el correspondiente análisis legal, sobre lo que debe hacerse con aquella información obtenida de las personas físicas o jurídicas que pretendan establecer con el sujeto obligado relaciones de negocio, y tras el correspondiente análisis de riesgos no sean admitidas, y tampoco existan los indicios necesarios para la comunicación prevista en el Artículo 18.

Referencia para las entidades financieras en el tema de la identificación formal

Si para cualquier sujeto obligado la identificación formal constituye la primera medida ineludible que ha de tomar, en el caso de las entidades financieras es la de mayor responsabilidad, puesto que supone el filtro necesario que permite a las personas físicas y jurídicas operar o no,  dentro del sector financiero nacional e internacional. Hay que tener en cuenta que en este sector, cada entidad representa un eslabón dentro de la cadena de seguridad total, por lo que la ruptura de cualquier eslabón constituye un atentado contra la seguridad del sistema financiero nacional e internacional, merecedor del correspondiente  efecto negativo reputacional, y en su caso, de las responsabilidades administrativas y judiciales que pudieran derivarse.

Al estar encomendada la identificación formal  al personal que trabaja en el “front-office” de la empresa financiera y no al personal de  los departamentos especializados en su control, resulta fundamental una adecuada política formativa y una organización del sistema de cumplimiento bajo estrictos criterios operativos y tecnológicos, mediante un trabajo de campo  que ha de estar coordinado por el OCI a través de los dos departamentos de cumplimiento que tienen bajo su responsabilidad directa la prevención del blanqueo de capitales y la prevención del fraude, tal como he indicado anteriormente.