Jaime Bofill, Marisa Ruiz y Sara Piñero
Las recientes Directrices de la Autoridad Bancaria Europea sobre el uso de soluciones de “onboarding” remoto de clientes aclaran los requisitos regulatorios de procesos de identificación remota de clientes que realizan las entidades de crédito y financieras sujetas a la Directiva (UE) 2015/849 de Prevención de Blanqueo de Capitales y Financiación al Terrorismo.
El pasado 22 de noviembre de 2022, la Autoridad Bancaria Europea (por sus siglas en inglés, “EBA”) publicó las nuevas directrices sobre el uso de soluciones de “onboarding” (identificación remota de clientes) (en adelante, las “Directrices”).
Las Directrices son aplicables a entidades de crédito y entidades financieras teniendo en cuenta el alcance de la Directiva (UE) 2015/849 de Prevención de Blanqueo de Capitales y Financiación al Terrorismo (“PBC/FT”).
Las Directrices obligan a todos los sujetos obligados a introducir y mantener políticas y procedimientos de “onboarding” remoto en relación con el riesgo de blanqueo de capitales y de financiación del terrorismo. Estas políticas y procedimientos deberán contar con un contenido mínimo:
- Una descripción general de la solución que han introducido las entidades para recabar, verificar y registrar información en el proceso de identificación remota (onboarding), incluyendo una explicación de las características y del funcionamiento de la solución;
- Las situaciones donde la solución puede ser utilizada por el cliente, así como indicar para qué categorías de clientes, productos y servicios se utilizará la solución;
- Los pasos automatizados de la solución y los pasos que requieren intervención de los empleados;
- Los controles para asegurar que la primera operación del cliente que ha utilizado esta solución se lleve a cabo si se han aplicado todas las medidas de diligencia debida; y
- La descripción de los programas de orientación y formación periódica a los empleados sobre la solución.
Antes de ser implementada, la solución debe ser evaluada por la entidad sujeta a las Directrices. Así, el objetivo es que la solución logre la integridad y exactitud de los datos y documentos recopilados, además de que las fuentes de información que se utilicen sean fiables e independientes. Las Directrices describen que las entidades también evaluarán el efecto del uso de la solución remota en distintos ámbitos dentro de la empresa (legal, comercial), además realizarán las pruebas necesarias para evaluar los riesgos de fraude y sobre el funcionamiento de la solución.
Tras implementarse, la solución tendrá que ser supervisada de forma continua según como se describa en las políticas y procedimientos de las entidades. Además, por si existieran riesgos o se descubrieran errores que afecten a la eficacia y eficiencia de la solución durante la supervisión continuada, se incluirá en los procedimientos de la entidad las medidas correctoras necesarias para mitigar los mismos. En este sentido, las entidades deberán ser capaces de demostrar a las autoridades competentes que cuentan con un sistema de supervisión continuada y las medidas correctivas adoptadas.
Además, las políticas y procedimientos mencionados con anterioridad recogerán (i) toda información necesaria para identificar al cliente asegurando que está actualizada, sea adecuada, legible y con calidad suficiente; y (ii) todos los documentos y datos para comprobar la identidad del cliente sellados con la fecha y hora, y registrados en un formato legible. Las entidades que durante el proceso acepten reproducciones de documentos originales y no examinen los documentos, deberán contar con un procedimiento para asegurarse de que la reproducción es fiable.
Respecto al proceso de “onboarding” remoto, las Directrices diferencian entre si tiene o no intervención un empleado en el mismo. Así, en el caso de que no exista intervención de empleado, todas las entidades tendrán que comprobar que las imágenes o vídeos tomados coinciden con las imágenes de los documentos oficiales del cliente, y utilizar algoritmos para comprobar la presencia del cliente durante el proceso. Respecto a los procesos con intervención, todas las entidades tendrán que comprobar que sus empleados conocen la normativa de PBC/FT y tienen las capacidades para detectar el fraude, siguiendo en todo momento una guía para identificar cualquier comportamiento del cliente equívoco. Por último, las entidades tendrán controles adicionales si es necesario, y el proceso de “onboarding” se interrumpirá o reiniciará si las pruebas no cumplen con los requisitos.
Para una externalización acorde a las Directrices, los procesos y políticas internas han de prever detalladamente qué funciones estarán a cargo del tercer proveedor y cuales se mantendrán en la entidad. Además, esta externalización deberá ser conforme con las Directrices de la EBA sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (EBA/GL/2021/02) y las Directrices de la EBA sobre externalización (EBA/GL/2019/02).
Por último, será necesario que las entidades identifiquen y gestionen adecuadamente los riesgos tecnológicos y de seguridad que sean intrínsecos a los procesos de incorporación remota, incluso cuando estos procesos hayan sido externalizados.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
