En abril, la Autoridad Bancaria Europea (EBA) publicó sus directrices finales sobre la diligencia debida con el cliente y los factores que deben considerar las entidades del sector financiero al evaluar el riesgo de blanqueo de capitales y de financiación del terrorismo (BCyFT).
Las directrices responden al mandato de los artículos 17 y 18.4 de la Directiva (UE) 2015/849 (conocida como Quinta Directiva) y tienen por objetivos exponer criterios para identificar, evaluar y gestionar el riesgo de BCyFT en las relaciones de negocio y operaciones ocasionales según el sector de actividad, y tomar decisiones informadas y basadas en dicho riesgo, y recoger orientaciones específicas para cada tipo de actividad financiera y sobre la aplicación de medidas de diligencia debida.
Directrices generales
Lo primero que destaca la EBA es que las evaluaciones del riesgo deben ayudar a las entidades a comprender dónde están los riesgos de BCyFT y así identificar las áreas a las que deben dar prioridad. Para realizar este análisis, deben tener en cuenta información de fuentes internas y externas, entre las que están, por ejemplo, las evaluaciones de riesgo y listas de terceros países de la Comisión Europea, los informes y orientaciones de reguladores, autoridades y otros organismos del sector, o la obtenida de la aplicación de las medidas de diligencia debida y en particular del seguimiento continuado.
En este sentido, el regulador señala que las entidades tienen que determinar el tipo y número de fuentes de información que utilizarán para evaluar el riesgo, y basarse en más de una fuente.
Evaluado el riesgo de la entidad, se averiguarán qué riesgos concretos se afrontan asociados a una relación de negocio u operación ocasional analizando factores como quién es el cliente, países o zonas geográficas en las que se opera, productos y servicios concretos que requiere el cliente, y canales utilizados.
En resumen, las entidades han de ajustar el alcance de las medidas iniciales según el riesgo, recopilar suficiente información para identificar todos los factores de riesgo relevantes al inicio de la relación o antes de realizar una operación, aplicar medidas adicionales cuando sea necesario, y ser capaces de obtener, en todo caso, una visión holística del riesgo asociado a una relación concreta.
Para identificar el riesgo asociado a un cliente, incluidos sus beneficiarios finales, las entidades han de evaluar, entre otros factores, la actividad profesional del cliente, su reputación y su comportamiento. En este contexto, la EBA enumera cuestiones y preguntas que deben considerarse según clientes, países y zonas geográfica, y canales de distribución.
Respecto al canal de distribución, cuando el cliente no esté en presencia, las entidades deben tener en cuenta que se utilice una forma fiable de aplicar las medidas de diligencia debida y que se tomen medidas para evitar la suplantación de identidad o fraude.
La EBA también prevé supuestos en los que el cliente es introducido por una entidad del grupo o un tercero sujeto a las normas de prevención del BCyFT. En este último caso, el regulador insiste en que la entidad debe asegurar, entre otros aspectos, que el tercero le proporcione la documentación de identificación necesaria, que se le faciliten inmediatamente copias de la documentación de las medidas de diligencia debida, y que el riesgo que asigna el tercero tiene en cuenta todos los factores necesarios.
En cuanto a la identificación no presencial y considerando los factores de riesgo derivados del COVID-19, considera que los riesgos de esta forma de identificar ya están suficientemente mitigados en estas directrices, dada la exigencia de utilizar una forma fiable de aplicación de las medidas de diligencia debida no presenciales y de tomar medidas que eviten la suplantación o el fraude de identidad.
La EBA recalca que las entidades deben establecer de forma muy clara en sus políticas y procedimientos quién es su cliente y el titular real para cada tipo de producto y servicio, qué constituye una operación ocasional, y en qué momento un conjunto de operaciones se considera una relación contractual y las medidas que se aplicarán en cada caso, etc.
Respecto a los registros de titularidad real, la EBA pone de manifiesto que el uso de la información de estos registros no cumple, por sí sola, la obligación de tomar medidas adecuadas y suficientes al riesgo para identificar al titular real y verificar su identidad. En este sentido, también incluye consideraciones respecto del conocimiento de las estructuras de control y de la identificación de los altos cargos del cliente.
La autoridad europea insiste en que deben mantenerse registros de las medidas de diligencia debida, sus evaluaciones de riesgo y las operaciones, y en todo caso, deben asegurar que los registros son suficientes para demostrar a la autoridad competente que las medidas son adecuadas al riesgo identificado sobre BCyFT.
Las entidades, además, han de asegurarse de que la formación esté adaptada al personal y a sus funciones específicas, y que este entienda la evaluación de riesgos de la entidad y cómo afecta a su trabajo diario, las políticas y procedimientos y cómo se aplican, y cómo reconocer las operaciones sospechosas o inusuales, y cómo proceder.
Por último, las entidades deben evaluar periódicamente la eficacia de su enfoque basado en el riesgo y determinar la frecuencia y forma de realizar estas evaluaciones.
Directrices sectoriales
Los proveedores de servicios de iniciación de pagos (PISP) son sujetos obligados y deben aplicar las medidas de diligencia debida a su actividad. Esta obligación ha generado mucho debate dado que, por sus características, podía suponer un obstáculo a la prestación del servicio.
En este contexto, la EBA señala que el cliente es la persona que tiene abierta la cuenta bancaria sobre la que se realiza la iniciación del pago, sin embargo, en el caso de que el PISP tenga una relación de negocio con el beneficiario de la operación de pago y no con el pagador y que el servicio de iniciación se utilice de forma puntual con el beneficiario, se considerará que el cliente, a efectos de este riesgo, es el beneficiario y no el usuario que inicia el pago.
Todo ello debe entenderse sin perjuicio de las obligaciones del artículo 11 de la Directiva 2015/849 y estas directrices, especialmente en lo que respecta a las operaciones puntuales y otras obligaciones bajo PSD 2 y normativa aplicable, en particular, a las obligaciones previstas para aplicar medidas de diligencia debida en transacciones ocasionales cuando sean:
- por un valor igual o superior a 15.000 euros, ya se realice en una operación o en varias operaciones entre las que parezca existir algún tipo de relación.
- que constituya una transferencia de fondos, en el sentido del artículo 3, punto 9, del Reglamento (UE) 2015/847, superior a 1.000 euros.
En todo caso, los PISP han de identificar y evaluar el riesgo de BCyFT asociado a su actividad, así como garantizar que sus sistemas de prevención de este riesgo estén configurados para alertar de la actividad transaccional inusual o sospechosa, considerando todos los datos disponibles con el consentimiento explícito del usuario de servicios de pago y que son necesarios para prestar sus servicios.
La EBA también ha incluido nuevas directrices sectoriales para las plataformas de crowdfunding, estas plataformas deben reconocer los riesgos derivados de su actividad, pues los clientes pueden estar situados en cualquier parte del mundo, incluidas las jurisdicciones de alto riesgo.
Asimismo, estas plataformas deben conocer a sus clientes para evitar que financien proyectos de inversión ficticios o con fondos ilícitos o que se utilicen indebidamente con fines de financiación del terrorismo cuando se da una razón ficticia para un proyecto de crowdfunding que nunca se materializa.
Próximos pasos
Las directrices se traducirán a las lenguas oficiales de la UE y las autoridades nacionales competentes tendrán un plazo de dos meses, desde la publicación de las traducciones, para informar si cumplen con ellas. En todo caso, se aplicarán tres meses después de su publicación en todas las lenguas oficiales de la UE.
Por Funds Society, Madrid
Por Alicia Miguel Serrano