La EBA emite sus directrices sobre los procesos para  incorporar nuevos clientes a distancia 

29-11-2022 — AR/2022/140

Las directrices recogen con mucho detalle los pasos que han de seguir las entidades financieras para que los procesos de incorporación remota de clientes sean seguros y efectivos, en cumplimiento de la normativa de prevención de blanqueo de capitales y de financiación del terrorismo.

La Autoridad Bancaria Europea (ABE o EBA, por sus siglas inglesas) publicó, el 22-11-2022, sus directrices sobre el uso de soluciones de incorporación remota de clientes,1 proceso conocido también por el término inglés onboarding.

Estas directrices son la respuesta del supervisor bancario a la petición de la Comisión Europea de abordar las diferencias regulatorias existentes en la Unión Europea en este asunto.

Las autoridades nacionales competentes tendrán que informar a la EBA, en un plazo de dos meses desde que se traduzcan las directrices a las lenguas oficiales de la UE, sobre si cumplirán con ellas.

La autoridad bancaria no ha concretado aún cuándo entrarán en vigor.

A continuación, resumimos las principales cuestiones que recogen estas directrices, que son aplicables a entidades de crédito y entidades financieras, según el alcance de la Directiva (UE) 2015/849.2

Políticas y procedimientos internos

Estas directrices obligan a las entidades financieras a implantar y mantener políticas y procedimientos que tengan en cuenta el riesgo de blanqueo de capitales y de financiación del terrorismo con, al menos, el siguiente contenido:

  1. Una descripción general de la solución implantada para recabar, verificar y registrar información en el proceso de incorporación, con explicación de las características y funcionamiento de esa solución.
  2. Las situaciones en las que se puede usar esa solución, con una descripción de la categoría de clientes, productos y servicios aptos para la incorporación remota.
  3. La relación de pasos totalmente automatizados y los que requieren intervención del empleado.
  4. Los controles fijados para asegurar que la primera operación con un cliente, recién dado de alta, se ejecute solo tras aplicar todas las medidas de diligencia debida.
  5. Una descripción de los programas de orientación y formación periódica.

El órgano de administración de la entidad es el encargado de aprobar estas políticas y procedimientos y de supervisar su implantación.

Análisis de la solución

Evaluación previa 

Las directrices obligan a evaluar la solución de incorporación remota de clientes antes de implantarla.

En concreto, indican que se debe realizar:

  • la evaluación de si la solución es adecuada para lograr:
    • la integridad y exactitud de los datos y documentos que se recopilen, y
    • la fiabilidad e independencia de las fuentes de información que se utilicen;
  • la evaluación del efecto del uso de la solución en los ámbitos comercial, operativo, reputacional y legal;
  • las posibles medidas de mitigación y acciones correctivas para cada riesgo identificado;
  • las pruebas para evaluar los riesgos de fraude (como el de suplantación de identidad), y
  • la prueba sobre el funcionamiento de la solución.

Las entidades deberán ser capaces de demostrar a las autoridades competentes qué evaluaciones previas se llevaron a cabo y su resultado.

Supervisión continua

También exigen las directrices supervisar la solución de manera continua.

Para ello, las entidades tendrán que complementar sus políticas y procedimientos (descritos antes) con, al menos, una descripción de:

  • los pasos para dar su conformidad a la calidad, integridad, precisión y adecuación continuas de los datos recopilados durante el proceso de incorporación;
  • el alcance y la frecuencia de las revisiones periódicas de la herramienta, y
  • las circunstancias que darán lugar a revisiones ad hoc.

Además, los procedimientos de la entidad han de prever medidas correctoras para cuando se materialicen riesgos o se identifiquen errores que afecten a la eficiencia y eficacia de la solución.

De igual modo, las entidades deberán ser capaces de demostrar a las autoridades competentes qué revisiones llevaron a cabo y las medidas correctivas adoptadas.

Recopilación de información

Las políticas y procedimientos también tienen que recoger los aspectos siguientes.

Información necesaria para identificar al cliente

En este sentido, las entidades han de asegurar que:

  • la información obtenida está actualizada y es adecuada para cumplir con las obligaciones de diligencia debida;
  • cualquier imagen, vídeo, sonido y datos se capturen en un formato legible y con calidad suficiente, y
  • el proceso de incorporación termine si se detectan deficiencias técnicas o interrupciones inesperadas en la conexión.

Documentos y datos para comprobar la identidad

Los documentos, datos o información recopilada para comprobar la identidad del cliente:

  • han de sellarse con la fecha y hora, y
  • registrarse en un formato legible para poder comprobarse después.

Asimismo, tiene que definirse qué datos se introducirán manualmente por el cliente, y cuáles se capturarán automáticamente o se recabarán de otras fuentes.

Autenticidad e integridad documental

Las entidades que acepten reproducciones de un documento original sin examinar este último deberán asegurarse de que la reproducción sea confiable, para lo que deberán analizar, al menos, los siguientes aspectos:

  1. Si la reproducción incluye elementos de seguridad incluidos en el documento original y si las especificaciones del documento original que se reproduce son válidas y aceptables.
  2. Si los datos personales han sido alterados.
  3. Si se mantiene la integridad del algoritmo usado para generar el número de identificación único del documento original, en su caso.
  4. Si la reproducción tiene suficiente calidad y definición.
  5. Si la reproducción no se ha visualizado en una pantalla a partir de una fotografía o escáner del documento de identidad original.

Coincidencia de la identidad del cliente

Procesos sin interacción con empleado

En los procesos sin interacción con un empleado, las entidades deben:

  1. asegurarse de que se tomen fotografías o vídeos, y se ejecuten algoritmos para confirmar que coinciden con las imágenes de los documentos oficiales del cliente, y
  2. verificar la detección de actividad para comprobar que el cliente está presente en el proceso de incorporación.

Procesos con intervención de empleado

En cambio, para los procesos con interacción con empleado, las entidades han de:

  1. asegurarse de que el empleado que participe:
    • tenga suficiente conocimiento de la normativa de PBCyFT,
    • esté capacitado para anticipar y prevenir el fraude y para detectar y reaccionar si ocurriera;
  2. desarrollar una guía de la entrevista que siga el empleado, con orientaciones sobre la observación e identificación de factores psicológicos u otros de los que se pueda deducir que un comportamiento es sospechoso.

Controles adicionales

Por un lado, cuando sea adecuado al riesgo de blanqueo de capitales o de financiación del terrorismo, las entidades han de aplicar uno o más de los siguientes controles:

  1. Efectuar el primer pago en una cuenta a nombre del cliente abierta en una entidad de crédito regulada en el Espacio Económico Europeo o en otro país con requisitos de PBCyFT no menos robustos de los marcados por la Directiva (UE) 2015/849.
  2. Enviar al cliente un código de acceso generado aleatoriamente para confirmar que está presente durante el proceso.
  3. Capturar datos biométricos para compararlos con datos recopilados de otras fuentes.
  4. Contactar telefónicamente con el cliente.
  5. Ejecutar controles por medio del correo (electrónico y postal).

Por otro lado, el proceso de incorporación deberá interrumpirse o reiniciarse, o incluso practicar una comprobación presencial cuando la calidad de las pruebas obtenidas sea insuficiente, de modo que las verificaciones remotas se vean afectadas.

Externalización

Las políticas y procedimientos internos han de especificar qué funciones y actividades de incorporación remota de clientes desarrollará la entidad y cuáles los proveedores.

Cuando se externalice todo o parte de este proceso, además, han de aplicarse:

  • las directrices de la EBA sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (EBA/GL/2021/02), y
  • las directrices de la EBA sobre externalización (EBA/GL/2019/02).

Riesgos tecnológicos y de seguridad

Las entidades van a tener que identificar y gestionar los riesgos tecnológicos y de seguridad relacionados con el uso del proceso de incorporación remota, incluso cuando subcontraten el servicio a una entidad del grupo.

Además, las directrices especifican que las entidades utilizarán canales de comunicación para interactuar con el cliente durante el proceso de incorporación.


1 European Banking Authority, «Guidelines on the use of Remote Customer Onboarding Solutions under Article 13(1) of Directive (EU) 2015/849», EBA/GL/2022/15, 22-11-2022.
2 Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.° 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión.