Seleccionar página

La crisis sanitaria que vivimos en 2019 impulsó la transformación digital del sector financiero y la incorporación remota de clientes. Este cambio de paradigma llevó a la Comisión Europea (CE) a definir su Estrategia de Finanzas Digitales en 2020. Entre los principales puntos que perseguía este plan se encontraban la creación de una economía basada en datos y la apuesta por un mercado único digital de servicios financieros.

La CE con el fin de abordar la fragmentación regulatoria que existía en el mercado pidió a la Autoridad Bancaria Europea (EBA) que se pronunciara sobre la aplicación de las normas contra el blanqueo de capitales y la financiación del terrorismo (LA/FT) en los procesos de Onboarding Digital de clientes, ya que consideraba que las normas de debida diligencia de la Directiva (UE) 2015/849 no dejaban claro lo que estaba o no permitido en el alta de clientes en remoto.

La EBA en respuesta a la petición de la CE publica nuevas directrices sobre el uso de soluciones de incorporación remota de clientes.

¿Qué persiguen las directrices y cuándo entrarán en vigor?

Las directrices pretenden configurar un marco europeo común para el desarrollo y la implementación de procesos de debida diligencia (DDC) y definir pautas que ayuden a las instituciones financieras y de crédito a elegir una solución óptima y segura para realizar el onboarding de sus clientes, por ejemplo en los procesos de apertura de cuentas digitales.

Además, la EBA busca que las entidades conozcan las capacidades que tienen las soluciones de incorporación digital de clientes y crear consciencia sobre los riesgos inherentes a la adopción de este tipo de soluciones como es el fraude por suplantación de identidad.

La autoridad bancaria publicó estas medidas el 22 de noviembre de 2022 y están pendientes de ser traducidas a todas las lenguas oficiales de la Unión Europea. Una vez traducidas, deberá transcurrir un periodo de seis meses para su entrada en vigor.

Por tanto, hasta que las medidas no se traduzcan no se conocerá su fecha de aplicación.

 

¿Quiénes son los destinatarios según la EBA?

Los destinatarios de estas directrices son las autoridades competentes y los operadores del sector financiero, en otras palabras, las entidades financieras y de crédito.

 

 

Descarga nuestro dosier sobre el sector financiero

¿Cuáles son las directrices sobre el uso de soluciones de onboarding?

 

Las directrices aplicables a las entidades del sector financiero son seis y hacen referencia a las políticas y a los procedimientos internos, al análisis de la solución, a la recopilación de información, a la coincidencia de la identidad del cliente, a la externalización y a los riesgos tecnológicos y de seguridad.

A continuación, se abordan cada una de ellas para conocer su alcance y facilitar su comprensión.

 

Políticas y procedimientos internos

Esta directriz persigue que las instituciones establezcan y mantengan políticas y procedimientos que tengan en cuenta el riesgo asociado a los procesos de incorporación del usuario en remoto y que al menos:

  • Describan de manera genérica la solución de Onboarding Digital que se va a utilizar, sus características y su modo de funcionamiento.
  • Determinen las situaciones en las que se va a utilizar, la categoría de clientes y los productos y servicios a los que se va a aplicar.
  • Especifiquen los pasos que están automatizados y los que no.
  • Establezcan controles para asegurar que la primera transacción que va a realizar un nuevo cliente solo comience cuando se hayan aplicado medidas iniciales de DDC.
  • Recojan programas de formación continua para que los empleados conozcan el funcionamiento de la solución y tengan las herramientas suficientes para responder ante posibles riesgos. 

Esta directriz obliga a evaluar la solución antes de su implementación para comprobar si puede garantizar la integridad y la exactitud de los datos y documentos a recopilar y la fiabilidad e independencia de las fuentes de información que use. 

Además, esta evaluación debe incluir pruebas sobre el funcionamiento de la solución, pruebas para evaluar riesgos de seguridad y posibles fraudes como el de suplantación de identidad y medidas correctivas para casos de fraude.

Otro de los puntos que pone de manifiesto la EBA es que se deben llevar a cabo revisiones periódicas de la solución de onboarding digital KYC, sobre todo cuando aparezcan deficiencias en el funcionamiento de la tecnología, se produzca un incremento de los intentos de fraude, exista una mayor exposición a riesgos de LA/FT o cuando afloren cambios normativos que afecten a este tipo de soluciones. 

La supervisión debe incluir también pruebas que aseguren la calidad de las soluciones, alertas y notificaciones de situaciones críticas, reportes regulares, pruebas de muestras y revisiones manuales. 

Las instituciones del sector financiero deben demostrar ante la autoridad competente las revisiones y evaluaciones que llevaron a cabo y en su caso, mostrar el resultado obtenido.  

 

Adquisición de información del nuevo cliente

La segunda directriz establece que las instituciones deben contar con políticas y procedimientos que permitan la correcta identificación del cliente y que al menos:

    • Recojan la información necesaria para identificar al cliente, los tipos de documentos y los datos para verificar su identidad. 
    • Acrediten que la información que se obtiene del cliente esté actualizada y cumple con las obligaciones de debida diligencia. 
    • Aseguren que las fotografías, videos, datos y sonido estén en un formato legible y tengan la calidad suficiente para reconocer al cliente de manera fiable.
    • Garanticen que el proceso no continuará si se detectan fallos técnicos o si aparecen problemas de conexión.
    • Determinen qué datos se capturan de manera automática, cuáles son los que el cliente tiene que introducir de forma manual y cuáles se obtienen de otras fuentes.
    • Aseguren la conservación y el sellado con fecha y hora de los documentos y de la información que se obtiene en el proceso de alta de clientes. El periodo de conservación es de 5 años desde que la entidad haya finalizado las relaciones con su cliente.

Esta directriz también obliga a las instituciones a establecer y mantener mecanismos que garanticen que la información que capturan sea fiable. Esto incluye controlar cualquier escenario de riesgo asociado a la recolección de datos como puede ser ocultar o modificar la ubicación de los dispositivos móviles, la suplantación de direcciones IP y, en general, cualquier servicio que pueda modificar la información del cliente, como por ejemplo, las redes privadas virtuales (VPN).

Autenticidad e integridad del documento

La tercera directriz hace referencia a la documentación que pueden aceptar las entidades financieras en sus procesos de onboarding digital. En concreto, a las medidas que deben aplicar cuando acepten reproducciones de documentos originales y no examinen los originales. De este modo deben revisar: 

  • La existencia y fiabilidad de posibles elementos de seguridad incrustados en el documento y la validez de las especificaciones del documento original como pueden ser el tipo de DNI, el tamaño de caracteres o la estructura contra bases de datos oficiales.
  • Si los datos o la fotografía han sido alterados o modificados.
  • Si el número de identificación único del documento debe tener integridad según su algoritmo generador, en el caso de ser un documento oficial emitido con zona de lectura mecánica (MRZ).
  • Si la reproducción proporcionada tiene la suficiente calidad para asegurar que la información es inequívoca.
  • Si la reproducción del documento ha sido obtenida a partir de una fotografía o escaneada del documento original.

Además de las medidas anteriores, las entidades deben verificar durante el proceso los elementos de seguridad incrustados en el documento de identidad (hologramas). 

Coincidencia de la identidad del cliente  

Las entidades financieras y de crédito deben implementar soluciones de onboarding que garanticen la coincidencia entre la información visible del nuevo usuario y la documentación aportada al proceso de verificación de identidad. Por ejemplo, en los casos en los que este proceso utilice métodos de identificación biométrica, el selfie de la persona que presenta el DNI debe coincidir con la fotografía del documento. Para asegurar que los datos biométricos son únicos y están vinculados a una sola persona las instituciones deben contar con algoritmos de reconocimiento facial sólidos como los de Mobbeel.

Esta directriz introduce diferentes medidas en función de si el proceso de verificación se lleva a cabo con o sin la intervención de un agente. 

  • En los procesos de onboarding digital atendidos, las entidades deben garantizar que el agente conoce la normativa AML/CFT y que está lo suficientemente preparado como para prevenir y detectar casos de fraudes. A su vez, deben contar con una guía de entrevista que recoja los pasos posteriores del proceso y las acciones requeridas del agente. Además, esta guía debe incluir orientaciones para identificar posibles comportamientos sospechosos durante el proceso de verificación. 
  • Mientras que en los procesos de onboarding desatendidos, las entidades deben asegurar que las fotos y videos que se tomen tengan la iluminación adecuada y garantizar la presencia del usuario durante el proceso. Por ejemplo, la detección de actividad puede justificarse pidiendo al usuario que realice una acción determinada -movimiento de cabeza de lado a lado durante la fase de reconocimiento facial-.

Independientemente de si el proceso de verificación es asistido o desasistido, la EBA recomienda que la secuencia de acciones del proceso no sea siempre la misma con el fin de evitar el uso de identidades sintéticas.

Otra forma de evitar el uso de este tipo de identidades es aplicando controles adicionales. Estos controles pueden ser:

  • Realizar un pago en una cuenta a nombre del nuevo cliente en un banco que esté dentro del Espacio Económico Europeo (EEE).o en una entidad bancaria que esté fuera del EEE, pero que cumpla con la normativa AML/CFT. 
  • Enviar una OTP a la persona que realiza el proceso para confirmar que está presente. 
  • Capturar datos biométricos para compararlos con datos obtenidos de otras fuentes.
  • Realizar una llamada con el usuario.
  • Enviar un correo electrónico o una carta al cliente. 

Dependencia de terceros y subcontratación del proceso de verificación

Las instituciones financieras y de crédito deben incluir en sus políticas y especificaciones qué funcionalidades de incorporacion remota de clientes llevan o llevarán a cabo, tanto a nivel interno como subcontratadas a un proveedor de servicios.

pin   Consultar directrices de la EBA sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (EBA/GL/2021/02) y sobre externalización (EBA/GL/2019/02) para procesos externalizados.

 

Gestión de riesgos de seguridad

Las entidades deben identificar y gestionar los riesgos relativos a la seguridad del proceso incluso cuando el proceso de onboarding lo realice un tercero o se haya subcontratado.

Para salvaguardar la confidencialidad, la autenticidad y la integridad de los datos intercambiados, se deben utilizar algoritmos criptográficos y protocolos de comunicación seguros de acuerdo con los estándares de buenas prácticas de la industria.

Al mismo tiempo, las entidades deben proporcionar un punto de acceso seguro, basado en certificados cualificados para sellos electrónicos, para iniciar el proceso de onboarding. Deben también informar a los usuarios sobre las medidas de seguridad adicionales que deben tomar para garantizar un uso seguro del sistema.

En el caso de hacer un uso de un dispositivo multipropósito (como, por ejemplo, un smartphone), se debe garantizar que la ejecución del código software en el lado del cliente se realice en un entorno seguro. Además, se deberán implementar medidas de control adicionales para garantizar la seguridad, la fiabilidad del código y la veracidad de los datos recopilados.

¿Cómo puede ayudarte MobbScan a cumplir con las directrices de la EBA?

MobbScan es nuestra solución de onboarding digital para entidades financieras y de crédito. Es una solución modular que permite el escaneo de documentos de identidad, tanto desde dispositivos móviles como a través de un canal web, con el fin de extraer información de ellos por OCR o NFC, así como validar su autenticidad e incluso la identidad de la persona que lo presenta.

Su flexibilidad facilita la apertura de cuentas en remoto con video-identificación atendida o desatendida y permite incluir prueba de vida (activa o pasiva) como método de detección de actividad.

Nuestro proceso de incorporación de clientes en remoto cumple con las exigencias de la Autoridad Bancaria Europea y la normativa de prevención del blanqueo de capitales y financiación del terrorismo.

¿Quieres cumplir con los requerimientos de la EBA y no sabes cómo? Contacta con nuestro equipo de expertos.