La Autoridad Bancaria Europea (EBA, por sus siglas inglesas) ha publicado sus directrices sobre el uso de soluciones de incorporación remota de clientes, proceso conocido también por el término inglés “onboarding”.
Según explican los expertos de finReg360, “estas directrices son la respuesta del supervisor bancario a la petición de la Comisión Europea de abordar las diferencias regulatorias existentes en la Unión Europea en este asunto”. En consecuencia, las autoridades nacionales competentes tendrán que informar a la EBA, en un plazo de dos meses desde que se traduzcan las directrices a las lenguas oficiales de la UE, sobre si cumplirán con ellas. El único paso que falta es que la autoridad bancaria no ha concretado aún cuándo entrarán en vigor.
Desde finReg360, destacan algunas cuestiones de estas directrices, que son aplicables a entidades de crédito y entidades financieras, según el alcance de la Directiva (UE) 2015/849. En concreto señalan, en término de políticas y procedimientos internos, que “obligan a las entidades financieras a implantar y mantener políticas y procedimientos que tengan en cuenta el riesgo de blanqueo de capitales y de financiación del terrorismo”. Además, “el órgano de administración de la entidad es el encargado de aprobar estas políticas y procedimientos y de supervisar su implantación”, matizan.
Esta obligación debe tener, al menos, el siguiente contenido: una descripción general de la solución implantada para recabar, verificar y registrar información en el proceso de incorporación, con explicación de las características y funcionamiento de esa solución; las situaciones en las que se puede usar esa solución, con una descripción de la categoría de clientes, productos y servicios aptos para la incorporación remota; la relación de pasos totalmente automatizados y los que requieren intervención del empleado; los controles fijados para asegurar que la primera operación con un cliente, recién dado de alta, se ejecute solo tras aplicar todas las medidas de diligencia debida; y, por último, una descripción de los programas de orientación y formación periódica.
Las directrices también obligan a evaluar la solución de incorporación remota de clientes antes de implantarla. Según resumen desde finReg360, en concreto, indican que se debe realizar: la evaluación de si la solución es adecuada para lograr: la integridad y exactitud de los datos y documentos que se recopilen, y la fiabilidad e independencia de las fuentes de información que se utilicen; la evaluación del efecto del uso de la solución en los ámbitos comercial, operativo, reputacional y legal; las posibles medidas de mitigación y acciones correctivas para cada riesgo identificado; las pruebas para evaluar los riesgos de fraude (como el de suplantación de identidad), y la prueba sobre el funcionamiento de la solución. En este sentido, las entidades deberán ser capaces de demostrar a las autoridades competentes qué evaluaciones previas se llevaron a cabo y su resultado.
En tercer lugar, las políticas y procedimientos también tienen que recoger los siguientes aspectos: información necesaria para identificar al cliente; documentos y datos para comprobar la identidad y garantizar la autenticidad e integridad documental.
Otro de los aspectos que abordan las directrices es la “coincidencia de la identidad del cliente”. Según explican los expertos de la firma, en los procesos sin interacción con un empleado, las entidades deben asegurarse de que se tomen fotografías o vídeos, y se ejecuten algoritmos para confirmar que coinciden con las imágenes de los documentos oficiales del cliente, y verificar la detección de actividad para comprobar que el cliente está presente en el proceso de incorporación.
En cambio, la EBA indica que para los procesos con interacción con empleado, las entidades han de asegurarse de que el empleado que participe tenga suficiente conocimiento de la normativa de PBCyFT, esté capacitado para anticipar y prevenir el fraude y para detectar y reaccionar si ocurriera; desarrollar una guía de la entrevista que siga el empleado, con orientaciones sobre la observación e identificación de factores psicológicos u otros de los que se pueda deducir que un comportamiento es sospechoso.
“Por un lado, cuando sea adecuado al riesgo de blanqueo de capitales o de financiación del terrorismo, las entidades han de aplicar uno o más de los siguientes controles: efectuar el primer pago en una cuenta a nombre del cliente abierta en una entidad de crédito regulada en el Espacio Económico Europeo o en otro país con requisitos de PBCyFT no menos robustos de los marcados por la Directiva (UE) 2015/849; enviar al cliente un código de acceso generado aleatoriamente para confirmar que está presente durante el proceso; capturar datos biométricos para compararlos con datos recopilados de otras fuentes y contactar telefónicamente con el cliente”, entre otros, destacan desde finReg360.
Por último, la EBA ha puesto el foco en los riesgos tecnológicos y de seguridad. Sobre ellos establece que las entidades van a tener que identificar y gestionar los riesgos tecnológicos y de seguridad relacionados con el uso del proceso de incorporación remota, incluso cuando subcontraten el servicio a una entidad del grupo. “Además, las directrices especifican que las entidades utilizarán canales de comunicación para interactuar con el cliente durante el proceso de incorporación”, matizan desde la firma.
Por Funds Society, Madrid
