El GAFI publica sus criterios sobre identificación digital
10-03-2020 — AR/2020/027
El GAFI ha emitido una guía que analiza el uso de sistemas de identificación digital en el proceso de diligencia debida requerido por la normativa de prevención del blanqueo de capitales y la financiación del terrorismo (PBCyFT). Esta guía se dirige principalmente a entidades financieras y proveedores que actúan en este mercado.
- Compartir
- Correo electrónico
El GAFI1 publicó, el 6-3-2020, una guía que analiza los requisitos para el uso de sistemas de identificación digital al aplicar las medidas de diligencia debida que exige la normativa de PBCyFT.
Ante el crecimiento exponencial de las operaciones financieras digitales, el GAFI considera necesario comprender en detalle cómo se identifican las personas que utilizan servicios financieros digitales. A su juicio, la comprensión del funcionamiento de los sistemas de identificación digital es esencial para aplicar correctamente un enfoque basado en riesgo.
La guía es un documento extenso y prolijo, y es oportuno dados los escasos criterios supervisores publicados y la falta de armonización normativa.
Alcance de la guía
Este documento aborda el uso de las tecnologías de identificación digital solo en las dos siguientes etapas del proceso de diligencia debida:
- Identificación formal y verificación de la identidad del cliente (persona física y persona jurídica) al establecer relaciones de negocio.
- Apoyo de las tecnologías de identificación digital en el seguimiento continuo de la relación de negocio.
Además, explica cómo —ante el crecimiento de las finanzas digitales y de la identificación digital— la autenticación efectiva de la identidad del cliente puede suponer un apoyo fundamental para las tareas de PBCyFT.
En ese sentido, el GAFI insiste en que la identificación y verificación no presencial del cliente, por sistemas de identificación digital que cumplan con los niveles de garantía adecuados, no tiene por qué implicar un aumento del riesgo respecto a la identificación presencial.
La guía introduce asimismo elementos novedosos como los de portabilidad e interoperabilidad de los mecanismos de identificación digital.
Potenciales riesgos y beneficios de la identificación digital
La sección IV de la guía relaciona detalladamente los beneficios potenciales de los sistemas de identificación digital y sus posibles riesgos, que deben ser identificados, comprendidos y controlados.
Beneficios potenciales
Destacan los siguientes:
- Reducción de los errores humanos en las medidas de control interno.
- Mejora de la experiencia de usuario del cliente.
- Ahorro de costes.
- Facilitación del seguimiento continuado de la relación de negocio.
Riesgos más frecuentes
Los más frecuentes son:
- Suplantación de identidad y otros problemas de seguridad (ciberataques, protección de datos y violaciones de la seguridad).
- Aparición de posibles obstáculos al acceder a la información detallada de identidad para la debida diligencia y el seguimiento continuo de la relación de negocio.
- Problemas de conectividad.
- Diferencias entre los marcos legislativos sobre identificación digital de los países.
Análisis de la fiabilidad de los sistemas de identificación digital
La sección V constituye el apartado central de la guía y orienta a las autoridades nacionales y las entidades sobre cómo aplicar un enfoque basado en riesgo al usar sistemas de identificación digital en el proceso de diligencia debida.
Elementos clave para el enfoque
El enfoque que adopta el GAFI es neutro desde el punto de vista tecnológico y se basa en dos elementos clave:
- La comprensión amplia de la seguridad de la tecnología del sistema de identificación digital (incluyendo su arquitectura y gobierno) que debe tener la entidad para determinar su fiabilidad e independencia.
- El análisis de riesgo de si el sistema de identificación digital proporciona un nivel adecuado de fiabilidad e independencia, una vez conocidos los niveles de garantía de la herramienta, que debe realizar la entidad.
Recomendaciones para aplicar los elementos clave
Para aplicar los anteriores elementos, la guía propone una serie de recomendaciones:
- Adoptar un enfoque basado en el riesgo para confiar en los sistemas de identificación digital, que incluya:
- comprender los niveles de garantía del sistema de identificación digital, en particular para la verificación y autenticación de la identidad, y
- asegurar que los niveles de garantía sean apropiados para los riesgos de blanqueo de capitales y financiación del terrorismo referidos al cliente, al producto, a la jurisdicción, al alcance geográfico, etc.
- Entender los componentes básicos de los sistemas de identificación digital, en particular el de las pruebas de identidad y el de autenticación, y cómo estos se relacionan con los elementos básicos del proceso de diligencia debida.
- Revisar las políticas internas cuando la identificación no presencial de clientes se clasifique siempre como de alto riesgo, puesto que la identificación de clientes basada en sistemas de identificación digital independientes y fiables, junto con la existencia de medidas de mitigación de riesgos, puede suponer un riesgo estándar e incluso bajo.
- Utilizar procesos antifraude y de ciberseguridad, cuando sea pertinente, para apoyar la comprobación y autenticación de la identidad digital (identificación y verificación del cliente, y seguimiento continuado de la relación de negocio).
- Disponer en las entidades de acceso constante a la información y las pruebas de identidad subyacentes o a la información digital necesaria para la identificación y verificación de las personas, y de un proceso que permita a las autoridades obtenerla.