La EBA ha publicado las directrices finales sobre la diligencia debida y los factores de riesgo de BCyFT para entidades del sector financiero

El 1-3-2021, la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó sus directrices finales sobre la diligencia debida con el cliente y los factores que deben considerar las entidades del sector financiero al evaluar el riesgo de blanqueo de capitales y de financiación del terrorismo (BCyFT).

Las directrices responden al mandato de los artículos 17 y 18.4 de la Directiva (UE) 2015/849¹ (conocida como Quinta Directiva) y tienen por objetivos los siguientes:

1. Exponer criterios para identificar, evaluar y gestionar el riesgo de BCyFT en las relaciones de negocio y operaciones ocasionales según el sector de actividad, y tomar decisiones informadas y basadas en dicho riesgo, y
2. Recoger orientaciones específicas para cada tipo de actividad financiera y sobre la aplicación de medidas de diligencia debida.

Las directrices se dividen en los siguientes títulos:

1. Directrices generales.
2. Directrices sectoriales que incorporan los siguientes sectores de actividad:
   • Relaciones de corresponsalía
   • Bancos minoristas
   • Emisores de dinero electrónico
   • Empresas de envío de dinero
   • Gestión patrimonial
   • Proveedores de financiación comercial
   • Aseguradoras del ramo vida
   • Empresas de servicios de inversión
   • Fondos de inversión
   • Plataformas de financiación participativa (crowdfunding)
   • Actividad de cambio de moneda.

A continuación, destacamos algunos ámbitos de estas directrices.

Directrices generales

Evaluación de riesgos

Lo primero que destaca la EBA es que las evaluaciones del riesgo deben ayudar a las entidades a comprender dónde están los riesgos de BCyFT y así identificar las áreas a las que deben dar prioridad.

Para realizar este análisis, deben tener en cuenta información de fuentes internas y externas, entre las que están, por ejemplo:

• las evaluaciones de riesgo y listas de terceros países de la Comisión Europea,
• los informes y orientaciones de reguladores, autoridades y otros organismos del sector,
• la obtenida de la aplicación de las medidas de diligencia debida y .en particular, del seguimiento continuado.

En este sentido, el regulador señala que las entidades tienen que determinar el tipo y número de fuentes de información que utilizarán para evaluar el riesgo, y basarse en más de una fuente.

Evaluado el riesgo de la entidad, se averiguarán qué riesgos concretos se afrontan asociados a una relación de negocio u operación ocasional, analizando factores como:

• quién es el cliente,
• países o zonas geográficas en las que se opera,
• productos y servicios concretos que requiere el cliente, y
• canales utilizados.

En resumen, las entidades han de:

• ajustar el alcance de las medidas iniciales según el riesgo,
• recopilar suficiente información para identificar todos los factores de riesgo relevantes al inicio de la relación o antes de realizar una operación,
• aplicar medidas adicionales cuando sea necesario, y
• ser capaces de obtener, en todo caso, una visión holística del riesgo asociado a una relación concreta.

Identificación de riesgos

Para identificar el riesgo asociado a un cliente, incluidos sus beneficiarios finales, las entidades han de evaluar, entre otros factores, la actividad profesional del cliente, su reputación y su comportamiento.

En este contexto, la EBA enumera cuestiones y preguntas que deben considerarse según clientes, países y zonas geográficas, y canales de distribución.

Respecto al canal de distribución, cuando el cliente no esté en presencia, las entidades deben tener en cuenta:

1. que se utilice una forma fiable de aplicar las medidas de diligencia debida,
2. que se tomen medidas para evitar la suplantación de identidad o fraude.

La EBA también prevé supuestos en los que el cliente es introducido por una entidad del grupo o un tercero sujeto a las normas de prevención del BCyFT. En este último caso, el regulador insiste en que la entidad debe asegurar, entre otros aspectos:

• que el tercero le proporcione la documentación de identificación necesaria,
• que se le faciliten inmediatamente copias de la documentación de las medidas de diligencia debida, y
• que el riesgo que asigna el tercero tiene en cuenta todos los factores necesarios.

En cuanto a la identificación no presencial y considerando los factores de riesgo derivados de la COVID-19, considera que los riesgos de esta forma de identificar ya están suficientemente mitigados en estas directrices, dada la exigencia de utilizar una forma fiable de aplicación de las medidas de diligencia debida no presenciales y de tomar medidas que eviten la suplantación o el fraude de identidad.

Medidas de diligencia debida

La EBA recalca que las entidades deben establecer de forma muy clara en sus políticas y procedimientos:

• quién es su cliente y el titular real para cada tipo de producto y servicio,
• qué constituye una operación ocasional, y
• en qué momento un conjunto de operaciones se considera una relación contractual y las medidas que se aplicarán en cada caso, etc.

Respecto a los registros de titularidad real, la EBA pone de manifiesto que el uso de la información de estos registros no cumple, por sí sola, la obligación de tomar medidas adecuadas y suficientes al riesgo para identificar al titular real y verificar su identidad. En este sentido, también incluye consideraciones respecto del conocimiento de las estructuras de control y de la identificación de los altos cargos del cliente.

Mantenimiento de registros

La autoridad europea insiste en que deben mantenerse registros de las medidas de diligencia debida, sus evaluaciones de riesgo y las operaciones, y, en todo caso, deben asegurar que los registros son suficientes para demostrar a la autoridad competente que las medidas son adecuadas al riesgo identificado sobre BCyFT.

Formación

Las entidades, además, han de asegurarse de que la formación esté adaptada al personal y a sus funciones específicas, y que este entienda:

• la evaluación de riesgos de la entidad y cómo afecta a su trabajo diario,
• las políticas y procedimientos y cómo se aplican, y
• cómo reconocer las operaciones sospechosas o inusuales, y cómo proceder.

Revisión de eficacia

Por último, las entidades deben evaluar periódicamente la eficacia de su enfoque basado en el riesgo y determinar la frecuencia y forma de realizar estas evaluaciones.

Directrices sectoriales

A continuación, incluimos únicamente las directrices modificadas en esta versión final.

Proveedores de servicios de iniciación de pagos

Los proveedores de servicios de iniciación de pagos (PISP, por sus siglas en inglés)² son sujetos obligados y deben aplicar las medidas de diligencia debida a su actividad. Esta obligación ha generado mucho debate, dado que, por sus características, podía suponer un obstáculo a la prestación del servicio.

En este contexto, la EBA señala que el cliente es la persona que tiene abierta la cuenta bancaria sobre la que se realiza la iniciación del pago; sin embargo, en el caso de que el PISP tenga una relación de negocio³ con el beneficiario de la operación de pago y no con el pagador y que el servicio de iniciación se utilice de forma puntual con el beneficiario, se considerará que el cliente, a efectos de este riesgo, es el beneficiario y no el usuario que inicia el pago.

Todo ello debe entenderse sin perjuicio de las obligaciones del artículo 11 de la Directiva 2015/849 y estas directrices, especialmente en lo que respecta a las operaciones puntuales y otras obligaciones bajo PSD 2 y normativa aplicable, en particular, a las obligaciones previstas para aplicar medidas de diligencia debida en transacciones ocasionales cuando sean:

• por un valor igual o superior a 15.000 euros, ya se realice en una operación o en varias operaciones entre las que parezca existir algún tipo de relación, o
• que constituya una transferencia de fondos, en el sentido del artículo 3, punto 9, del Reglamento (UE) 2015/847, superior a 1.000 euros.

En todo caso, los PISP han de identificar y evaluar el riesgo de BCyFT asociado a su actividad, así como garantizar que sus sistemas de prevención de este riesgo estén configurados para alertar de la actividad transaccional inusual o sospechosa, considerando todos los datos disponibles con el consentimiento explícito del usuario de servicios de pago y que son necesarios para prestar sus servicios.

Financiación participativa (crowdfunding)

La EBA también ha incluido nuevas directrices sectoriales para las plataformas de crowdfunding.

Estas plataformas deben reconocer los riesgos derivados de su actividad, pues los clientes pueden estar situados en cualquier parte del mundo, incluidas las jurisdicciones de alto riesgo.

Asimismo, estas plataformas deben conocer a sus clientes para evitar que financien proyectos de inversión ficticios o con fondos ilícitos o que se utilicen indebidamente con fines de financiación del terrorismo cuando se da una razón ficticia para un proyecto de crowdfunding que nunca se materializa.

Próximos pasos

Las directrices se traducirán a las lenguas oficiales de la UE y las autoridades nacionales competentes tendrán un plazo de dos meses, desde la publicación de las traducciones, para informar si cumplen con ellas.

En todo caso, se aplicarán tres meses después de su publicación en todas las lenguas oficiales de la UE.