En 2015, el Control de Delitos Financieros (FinCEN) de Estados Unidos evaluó una sanción monetaria civil contra Ali Al Duais[1] . Al Duais, propietario de la empresa de servicios monetarios de Michigan King Mail & Wireless Inc., fue declarado culpable de haber violado la Ley de Secreto Bancario al no haber «desarrollado, implementado y mantenido un programa escrito eficaz contra el blanqueo de capitales» que impidiera el blanqueo de capitales o la financiación de actividades terroristas.
Ahora, imagina que eres un ejecutivo de otra institución financiera, es 2022, y Al Duais intenta abrir una cuenta en tu banco. Si tu entidad no lleva a cabo la debida diligencia prevista para señalarlo, tú también podrías enfrentarte a las consecuencias de la actividad delictiva de Al Duais. Piensa en todos los bancos que se han enfrentado a sanciones por no haber aplicado la diligencia debida con los clientes o la diligencia debida reforzada (EDD, por sus siglas en inglés). De hecho, solo el año pasado, los reguladores impusieron casi 1.000 millones de dólares en multas a las instituciones financieras que no cumplían la normativa sobre diligencia debida con los clientes.
Por ello, las instituciones financieras, al igual que tu hipotético banco, deben llevar a cabo una mayor diligencia debida para evaluar el riesgo de los clientes, minimizar la exposición comercial y garantizar el cumplimiento de normativas como la Ley de Secreto Bancario.
La EDD comienza con la DDC (Diligencia Debida del Cliente)
Entonces, ¿qué es exactamente la «diligencia debida reforzada»? Bueno, para explicar adecuadamente la diligencia debida «reforzada», tenemos que empezar con la diligencia debida «del cliente» (DDC). Así pues, empecemos con un par de definiciones de dos reguladores estadounidenses. El Consejo Federal de Examen de Instituciones Financieras (FFIEC) considera que las instituciones financieras que cuentan con una DDC adecuada son aquellas que disponen de un «marco fundamental que permite al banco cumplir con los requisitos reglamentarios, incluida la supervisión y la notificación de actividades sospechosas».
La definición de DDC de la FinCEN aclara que estas medidas se centran en las empresas, a través de sus propietarios. La definición de la organización dice que las instituciones financieras deben «identificar y verificar la identidad de cualquier persona física (conocida como «beneficiario efectivo») de la entidad legal». Un beneficiario efectivo es alguien que, según la FinCEN, «ejerce un control sustancial» o posee al menos el 25% de una empresa.
Esto significa que si alguien acude a tu banco y quiere abrir una cuenta para su empresa, como beneficiario efectivo de la misma, tu banco debe verificar su identidad para asegurarse de que no es susceptible de blanquear dinero o financiar actividades terroristas a través de la cuenta bancaria a nombre de esa empresa.
El proceso de verificación de su identidad, a través de un marco estandarizado, se conoce como diligencia debida del cliente. Las instituciones financieras deben llevar a cabo la DDC para cumplir con la mencionada Ley de Secreto Bancario y otras normas promulgadas para luchar contra el blanqueo de capitales y la financiación del terrorismo.
La mejora de la diligencia debida pone el foco en el riesgo
La diligencia debida reforzada se basa en los requisitos de la DDC al introducir evaluaciones basadas en el riesgo. A través de un marco de EDD, las instituciones financieras pueden examinar más a fondo a los clientes de mayor riesgo, en relación con aquellos con perfiles de menor riesgo.
Para explicarlo, imaginemos dos situaciones. En el primero, un cliente potencial descarga tu aplicación bancaria para abrir una nueva cuenta para su negocio. Su verificación de identidad inicial confirma que es quien dice ser y una comprobación de su historial bancario no revela ninguna señal de alarma. Has hecho un esfuerzo razonable para determinar la probabilidad de que esa persona blanquee dinero a través de tu banco y tu marco de diligencia debida ha demostrado que es de bajo riesgo permitir que esta empresa potencial y, por ende, su beneficiario final, realicen transacciones a través de tu institución.
Ahora imagina a alguien como Al Duais (o cualquier otra persona contra la que la FinCEN haya tomado medidas de control) intentando abrir una cuenta bancaria para su empresa. Se comprueba su identidad: es quien dice ser, pero se les señala en una lista de vigilancia de delitos financieros. O tal vez esta persona haya hecho negocios en un país extranjero de alto riesgo en el pasado. O tal vez las comprobaciones de diligencia debida descubran que esta persona tiene una relación comercial con un conocido defraudador. Está claro que la entidad debe tratar a esta persona, y a su empresa, como un riesgo mayor. Esto puede significar que se reduzcan los umbrales de las transacciones, que se reduzcan las ofertas de servicios o, simplemente, que no se permita a esta persona o empresa realizar transacciones comerciales a través de tu banco. Estas señales de alarma sólo surgen cuando existe un marco sólido de EDD.
La EDD va más allá de la identificación y verificación de los posibles clientes comerciales. Construye un marco basado en el riesgo en torno a las prácticas KYC (Conoce a tu Cliente). Como veremos a continuación, las evaluaciones de riesgo de diligencia debida mejoradas son cruciales para que tu banco cumpla con la normativa contra el blanqueo de capitales.
Descarga el nuevo informe Gartner para la verificación de la identidad
KYC y EDD: no es tan fácil como el ABC
En esencia, la verificación de la identidad de un cliente como parte de un proceso estructurado de KYC consiste en garantizar que los clientes sean realmente quienes dicen ser. Cuando un banco emite una nueva línea de crédito, pide a los clientes que verifiquen su identidad, como un documento de identidad emitido por el gobierno, un comprobante de domicilio y otros datos de identificación personal.
Sin embargo, ¿qué ocurre en el caso de que la verificación inicial de la identidad descubra factores de riesgo porque esa persona es quien dice ser? ¿Qué pasa si, por ejemplo, su proceso de diligencia debida muestra que esa persona está en una lista de personas expuestas políticamente (PEP) o de sanciones?
Volvamos al ejemplo de Ali Al Duais. Los cargos de la FinCEN contra Al Duais dicen que su empresa nunca identificó ni mitigó los riesgos de las transacciones de alto riesgo a Yemen, un país contra el que el Departamento del Tesoro de los Estados Unidos ha impuesto sanciones con frecuencia.[2] Esa constatación debería haber hecho saltar las alarmas, al igual que en el caso de Al Duias, que hoy intenta abrir una cuenta en tu banco. Un marco sólido de EDD mostraría que ahora representa un riesgo elevado como individuo y que tu banco debería llevar a cabo una mayor diligencia debida.
Las PEP y las listas de sanciones no son las únicas señales que pueden requerir una diligencia adicional. ¿Qué pasa si el nombre del solicitante aparece en historias de los medios de comunicación sobre el blanqueo de dinero (conocidos como «medios de comunicación adversos»)? ¿Y si es la esposa o el hermano de una persona sancionada? Las prácticas reforzadas de diligencia debida ofrecen a los bancos un marco para escalar las evaluaciones de riesgo de los clientes cuando sea necesario.
Al Duais es solo un ejemplo de la vida real, pero hay muchos otros como él que podrían pasar un programa estándar de verificación de identidad incluso con alarmas existentes. El aumento de las nuevas plataformas de tecnología financiera y las monedas como las criptomonedas agravan el problema. Con tantas transacciones financieras en línea, un enfoque basado en el riesgo digital para investigar a los clientes bancarios se ha convertido en algo crucial.
La EDD debe reevaluar continuamente el riesgo
Una última consideración para las medidas de EDD es que deben ser continuas. En un momento dado, Ali Al Duais no estaba enviando transacciones sospechosas a Yemen. Podría haber abierto una cuenta en tu banco sin ser considerado un cliente de alto riesgo, porque entonces no estaba involucrado en actividades delictivas.
Pasan los años y Al Duais comienza a realizar transacciones ilícitas mientras sigue siendo cliente de tu entidad. Si solo se aplican medidas EDD cuando un nuevo cliente se registra, se perdería su posible paso a la financiación del terrorismo. En el momento en que el FinCEN le acuse de violar la Ley de Secreto Bancario, si sigue siendo cliente de tu banco, es muy posible que se te considere responsable. Este caso hipotético es la razón por la que la diligencia debida reforzada debe ser un esfuerzo continuo.
Los bancos deben considerar continuamente los factores de riesgo inherentes al servicio de los clientes empresariales. Para ello, pueden establecer un marco de EDD que supervise los siguientes factores de riesgo:
- Listas de vigilancia. Ya sean sanciones, PEP u otras listas de vigilancia, los bancos deben estar atentos a las actualizaciones. Si un cliente acaba en una de estas listas, esa inclusión puede desencadenar protocolos adicionales de EDD.
- Informes de medios de comunicación adversos. Si un beneficiario efectivo aparece en las noticias sobre actividades, como la evasión de impuestos o la corrupción, recibirá alertas rojas en la lista de vigilancia. La aparición de esta persona en un informe de medios de comunicación adversos alerta a los bancos para que ejerzan un mayor escrutinio sobre futuras transacciones comerciales.
- Actividad sospechosa/transacciones sospechosas. En el caso de Al Duais, la FinCEN determinó que sus empresas enviaron pagos al extranjero por «importes en dólares inconsistentes con la manutención de la familia» y por «grandes importes en dólares que no tenían una finalidad comercial o lícita aparente».
¿Qué medidas concretas pueden adoptar las empresas para mejorar sus marcos de diligencia debida reforzada?
1. Muchas organizaciones todavía tienen procesos manuales de KYC. Sin embargo, hay demasiadas normativas en demasiadas jurisdicciones para seguir el ritmo. Las instituciones financieras deberían considerar herramientas que aceleren los procesos de revisión de KYC y los hagan más eficaces mediante la automatización.
2. Las organizaciones suelen realizar comprobaciones de KYC en el momento de la incorporación, pero no deberían detenerse ahí. Las empresas deben implementar herramientas de KYC que revisen periódicamente a sus clientes a lo largo de la duración de la relación y que puedan señalar cuándo ha cambiado el estado de riesgo de un cliente.
3. Implantar un enfoque de flujo de trabajo programático y por niveles para investigar a los clientes. El paso inicial será básico, como la verificación de su identidad mediante la comprobación de un documento de identidad emitido por el gobierno junto con una comprobación biométrica de vida. A continuación, el programa puede comprobar las bases de datos de PEP y de sanciones para detectar cualquier señal de alarma. Si surgen banderas rojas, el flujo de trabajo del sistema EDD introduce entonces revisiones adicionales basadas en el riesgo, incluyendo otras actividades bancarias, comprobaciones de medios de comunicación adversos, comprobaciones adicionales de la lista de vigilancia, revisiones de geolocalización, etc.
4. Crear un registro de auditoría. Las entidades deben crear un registro de auditoría como parte de sus programas de diligencia debida ante el riesgo del cliente. Si un regulador cuestiona los esfuerzos de un banco contra el blanqueo de capitales, el hecho de disponer de un registro de auditoría de las comprobaciones KYC y de los procesos EDD demuestra que los bancos cuentan con programas razonables para prevenir el blanqueo de capitales.
Por encima de todo, los bancos deben crear programas de EDD que se amplíen y puedan ajustarse a las condiciones dinámicas del negocio. Por ejemplo, un cliente que realiza transacciones en Rusia puede no haber levantado sospechas hace dos años. Hoy, un banco tendría que cambiar rápidamente su proceso de EDD para incorporar la actividad en Rusia a la luz del reciente conflicto geopolítico. La capacidad de tener en cuenta rápidamente los factores de riesgo cambiantes debe ser un elemento central de los marcos de diligencia debida reforzada de cualquier entidad.
Por último, no dudes en consultar a los expertos. Escríbenos si tienes preguntas sobre tus políticas de EDD o estás buscando herramientas que incorporen múltiples comprobaciones y balances de KYC en tu proceso de verificación de identidad. Estamos deseando hablar contigo.
[1] UNITED STATES OF AMERICA DEPARTMENT OF THE TREASURY FINANCIAL CRIMES ENFORCEMENT NETWORK
[2] Yemen-related Sanctions
About Adam Bacia
Adam is Senior Director of Product Marketing at Mitek.