Home / Publicaciones / Nueva regulación en materia de LAFT para las FINTECH...

Nueva regulación en materia de LAFT para las FINTECH y la realidad tecnológica actual

Cambio positivo en la regulación

El pasado 2 de septiembre de 2020, la Superintendencia Financiera de Colombia expidió la Circular Externa 27 de 2020, contentiva de instrucciones relativas a la administración del riesgo de lavado de activos y de financiación del terrorismo de sus vigiladas.

En términos generales aplaudimos al Gobierno Nacional y celebramos el acierto de la Superintendencia, que estaba en mora de expedir una regulación de este tipo, reemplazando con ello normas regresivas y anacrónicas que estaban pensadas para un mundo que giraba en torno al papel y a las transacciones presenciales en sucursales bancarias.

Vigencia

Por regla general, las nuevas medidas deberán estar implementadas a más tardar el día 2 de septiembre de 2021 (un año después de la publicación de la norma), salvo las siguientes:

(A) Se establecieron nuevos requisitos del oficial de cumplimiento principal y suplente, entre los que se destacan la necesidad de (i) acreditar conocimiento en materia de administración del riesgo de LAFT de mínimo 150 horas a través de especialización, cursos, diplomados, seminarios, congresos o cualquier otra similar, incluyendo pero sin limitarse a cualquier programa de entrenamiento que sea o vaya a ser ofrecido por la UIAF a los actores del sistema nacional antilavado de activos y contra la financiación del terrorismo, en los términos que señale la entidad, (ii) acreditar un título profesional y (iii) demostrar experiencia mínima de 24 meses en el desempeño de cargos relacionados con la administración de riesgos, obligación y requisitos que entrará en vigor el día 1 de marzo de 2022 (un año y medio después de la publicación de la norma); y

(B) En materia de capacitación, se mantuvo como es natural la obligación a cargo de las entidades vigiladas de diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de las entidades, advirtiendo que la periodicidad debe ser inferior o igual a un año, pero agregó que debe considerarse la realización de cualquier programa de entrenamiento que sea o vaya ser ofrecido por la UIAF, que esté dirigido a los actores del sistema nacional antilavado de activos y contra financiación al terrorismo, en los términos que señale dicha entidad, obligación que entrará en vigor el día 1 de marzo de 2021 (seis meses después de la publicación de la norma).

Algunos de los cambios destacables

Realmente son muchos los cambios introducidos y su revisión completa y detallada es obligatoria para todos los operadores de los sistemas de administración de riesgos de LAFT en las entidades vigiladas.

Y no es posible en este corto espacio hacer una explicación -ni siquiera una enumeración útil-, de los ajustes relevantes de la norma, y a pesar de que en mi opinión hay cambios más relevantes que otros, no pretendo acá referirme a ellos, y me limitaré a mencionar algunos que por diversas razones me resultan de especial interés.

Amplía el alcance de los sujetos objeto de revisión:

De acuerdo con la Sección 4.2.2.1.4, las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT, para lo cual deben dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas, de manera previa y obligatoria: (i) a la vinculación a la entidad de un potencial cliente, su beneficiario final y sus accionistas (en caso de personas jurídicas); (ii) empleados, proveedores y administradores (en los términos del artículo 22 de la Ley 222 de 1995) de la entidad.

Adicionalmente, la norma establece con buen juicio y siguiendo con ello las mejores prácticas en la materia, que los procedimientos deben contemplar medidas efectivas para disponer lo necesario para consultar estas listas de forma permanente durante la duración de la relación contractual o legal y no sólo al momento de la vinculación.

La redacción de la norma es poco afortunada y no es posible entenderla sin acudir a la norma que reemplaza, en virtud de la cual, las entidades vigiladas deben “Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas, de manera previa y obligatoria a la vinculación de un potencial cliente a la entidad. (subrayas nuestras)

Como es evidente la norma anterior tampoco era afortunada, pero establecía en suma y entre otras, que antes de vincular a un potencial cliente a la entidad, esta debía consultar las mencionadas listas.  Con ese antecedente en mente, lo que la nueva norma parece establecer, es la obligación por parte de las entidades vigiladas de consultar las mencionadas listas (i) antes de vincular a la entidad a un potencial cliente, caso en el cual la revisión debe incluir la de su beneficiario final y sus accionistas; y (ii) antes de vincular potenciales empleados, proveedores y administradores (en los términos del artículo 22 de la Ley 222 de 1995).

Creemos que el objetivo pretendido por la nueva regulación es positivo, pues reconoce que la noción de contraparte en materia de LAFT excede de lejos la de los clientes de la entidad.  Sin embargo, al enumerar las contrapartes deja por fuera otros terceros con quien puede tener relaciones jurídicas, como por ejemplo vendedores y compradores de activos (aunque incluye en otro aparte a las personas naturales o jurídicas que pretendan adquirir activos fijos de una entidad), aliados estratégicos, corresponsales, contratistas, etc, que no caben en la noción de proveedor que incluyó la nueva norma.

Nueva regulación para la realidad tecnológica y las FINTECH:

Para quienes nos hemos dedicado por años al diseño e implementación de emprendimientos financiero tecnológicos -FINTECH-, las normas en materia de LAFT de la Superintendencia Financiera se convertían, con mucha frecuencia, en una verdadera “barrera de entrada al mercado” de nuevos negocios o, “barrera de apertura en el mercado” de nuevos productos.

Y a pesar de que la regulación está llena de barrera deseables y/o necesarias, lo insólito del caso es que en la inmensa mayoría de los casos y clientes con los que he tenido el gusto de trabajar y asesoramos, dichas barreras no sólo no tienen ningún impacto positivo ni necesario, sino que evitan de manera absurda que las entidades respectivas apliquen mecanismos y metodologías en materia de LAFT, inmensamente más eficientes que los que de otra forma lograría aplicando la regulación vigente.

Aun cuando a lo largo de los años, fruto del clamor del mercado ya se había avanzado en esta materia con algunas modificaciones paulatinas a la circular básica jurídica, que flexibilizaron para ciertos casos específicos, o de manera general con el cumplimiento de ciertos requisitos, las normas de diligenciamiento de formularios y la realización de entrevista a potenciales clientes, uno de los cambios más significativos introducidos por la nueva norma, es que las entidades vigiladas podrán realizar los procedimientos de conocimiento del cliente de manera no presencial a través del uso de canales digitales o electrónicos, regla que quizá, aplicando de manera analógica la nueva regulación o las mejores prácticas, podría aplicarse respecto de todas las contrapartes relevantes.

Así mismo, la nueva regulación deja claro que las entidades vigiladas pueden basar su trabajo de debida diligencia y conocimiento del cliente en datos e información de fuentes confiables e independientes, y no necesariamente provenientes del deudor.

Advierte la regulación que las entidades vigiladas pueden utilizar bases de datos públicos, de prestadores de servicios ciudadanos digitales, de bases de datos propias y/o de bases de datos externas, siempre que se cumplan ciertos requisitos relacionados en lo fundamental con normas de protección de datos y valoración razonable de cada fuente.

En la misma línea la sección 4.2.2.2.1.1.1 de la nueva regulación, referente a identificación de contrapartes, permite la vinculación en “ambientes” no presenciales y amplía significativamente las posibilidades de “verificación efectiva de la identidad de los potenciales clientes al momento de su vinculación” utilizando datos e información de fuentes confiables e independientes, incluyendo certificados de firma digital, biometría, mecanismos fuertes de autenticación, información disponible en los bancos de datos administrados por operadores de información (vr.gr. centrales de riesgo) y cualquier otro mecanismo tecnológico que garantice la realización de una verificación efectiva de la identidad de la contraparte.

También se incluyeron cambios significativos en cuanto a los procedimientos simplificados de conocimiento de cliente que trae la norma vigente, incluyendo importantes nuevas hipótesis sujetas a dicho régimen y, previendo de manera general el cumplimiento de la obligación con la individualización de los potenciales clientes a través de la verificación de su identidad con el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación, lo que deja un amplio y conveniente espacio de acción para las entidades vigiladas.

En fin, podría agregar cinco o seis comentarios adicionales de fondo, incluyendo el reconocimiento a la Superintendencia por el avance en cuanto a la aplicación de diferentes tipos de debida diligencia para diferentes tipos de riesgo, de nuevo en la dirección correcta, pero que exceden el objeto de este breve comentario.

Autores

Daniel Rodríguez
Daniel Rodríguez, LL.M.
Socio
Bogotá