Las soluciones tecnológicas que permiten la verificación de la identidad de personas físicas a través de las tomas de fotografías de los documentos de identidad o pasaportes y la grabación de instantáneas de la cara del usuario no cumplen con las normativas legales de prevención de blanqueo de capitales y financiación del terrorismo (KYC AML) en la industria financiera.

El motivo no es otro que su bajo grado de seguridad técnica, la debilidad de las evidencias electrónicas que aportan al proceso y la debilidad que presenta sobre la falta de integridad del mismo. Eso hace que el nivel de seguridad proporcionado sea bajo, lejos de la seguridad que se requiere para la identificación formal de clientes según las regulaciones más exigentes en esta materia, que han puesto en un nivel más alto de requerimientos técnicos para utilizar video en streaming en estos procesos de KYC y AML.

¿Cómo podemos comprobar esta información sobre KYC AML?

En los estándares anglosajones EE.UU.:

Dados los múltiples casos de fraude en la identificación de clientes en los procesos KYC AML, el Departamento de Comercio de EE.UU, a través del NIST-National Institute of Standards and Technology- creó una Líneas Base sobre la Verificación de la Identidad Digital (NIST SP 800-63A), actualizado en Junio de 2017 y que establecen tres niveles de seguridad para el registro y pruebas en la verificación de la identidad que se clasificación desde bajo (IAL1), medio (IAL2) y alto (IAL3).

El nivel alto (IAL3) es el equivalente a la identificación en persona y apto para la creación de cuentas de forma remota. Este nivel requiere de intervención humana (ver punto 4.5 del documento) y propone una transmisión de video continua en alta resolución (ver punto 5.3.3.2 del documento).

El mismo documento permite las soluciones que toman imágenes/selfies para el nivel medio de seguridad (IAL2) y siempre y cuando se combinen con otras evidencias fuertes sobre la identidad de la persona, más allá de las imágenes tomadas o escaneadas del documento de identidad acreditativo y de la grabación de la cara de la persona. Estas evidencias fuertes suelen ser comprobantes de facturas o dirección, verificación en background (background checks) de información sobre la identidad de la persona que se está identificando.

Este último hecho, adicionalmente, pondría en mayor riesgo este tipo de soluciones en la Unión Europea porque, por motivos de privacidad y en contra de lo que ocurre en el mundo anglosajón, no son permitidos en Europa dado que no es posible el tratamiento de datos de carácter personal, incluso de carácter público, procesados por las entidades previo al consentimiento expreso de las personas afectadas.

En los estándares europeos:

De acuerdo con los argumentos anteriormente esgrimidos sobre el bajo nivel de seguridad, no existen buenas prácticas, autorizaciones o procedimientos de identificación no presencial por reguladores en el sector financiero en Europa que permitan el uso de soluciones de verificación de la identidad basadas en simples imágenes.

El uso del vídeo en este tipo de procesos es reforzado gracias a la entrada en vigor de la nueva Directiva AML5 junto con el Reglamento eIDAS de servicios de confianza. Esta regulación crea el marco normativo que posibilita la adopción de la Vídeo Identificación para los procesos de nueva contratación y apertura de cuentas en el sector financiero, homogeneizando así el Mercado Único Digital europeo.

Si estás interesado en saber más sobre el nuevo Mercado Único Digital europeo, descarga el whitepaper.

eIDAS entró en vigor el 1 de Julio de 2015 en los 28 Estados miembro, implementando adicionalmente el Reglamento de Ejecución 2015/1502, que establece los niveles de seguridad (desde bajo hasta sustancial y alto) en la identificación electrónica. Por su parte, AML5, en vigor desde el 9 de Julio de 2018, confía en el framework de seguridad de eIDAS para la identificación de personas naturales y, en concreto, para la identificación remota de clientes.

La Comisión Europea tiene una experiencia de más de doce años trabajando en el framework de seguridad eIDAS confiando la cualificación para validar las soluciones que cumplen con eIDAS y, en este caso, con los niveles de seguridad en la identificación electrónica, en los organismos locales de estandarización y en la figura del CAB-Conformity Assestment Body.

Para asegurar el cumplimiento de una solución de vídeo identificación, los CABs realizan una auditoría y emiten un informe denominado CAR-Conformity Assestment Report. Si desea adoptar una solución semejante, debe pedirle a su proveedor de software un CAR que confirme que su solución está auditada y certificada conforme con la regulación eIDAS y el nivel alto de seguridad.

Como refuerzo adicional, Alemania ha liberado recientemente la primera Technical Guideline denominada TR-03147, una normativa que entra en vigor en diciembre de 2018 que establece los Assurance level Assessment of Procedures for Identity Verification of Natural Persons. Esta TG establece las medidas de seguridad para la identificación remota de clientes exclusivamente por vídeo y a través de los documentos de identidad.

Previo a la entrada en vigor de la directiva AML5 y del eIDAS, algunos Estados Miembros de la Unión Europea ya tenían a sus reguladores en el sector financiero con autorizaciones de identificación no presencial para la identificación de clientes publicadas que permiten a los sujetos obligados utilizar exclusivamente tecnología de video en streaming.

Algunos casos/referencias son los siguientes:

BAFIN (Bundesanstalt für  Finanzdienstleistungsaufsicht) – Regulador alemán.

FMA (Financial Market Authority) – Regulador austriaco.

FINMA (Swiss Financial Market Supervisory Authority) – Regulador suizo.

CSSF (Commission de Surveillance du Secteur Financier) – Regulador luxemburgués.

BdP (Banco de Portugal) – Regulador portugués.

FCIS (Servicio de Investigación del Crimen Financiero bajo el Ministerio del Interior) – Regulador lituano.

SEPBLAC (Servicio Ejecutivo de Prevención de Blanqueo de Capitales) – Regulador español.

En los estándares de América Latina:

CNBV (Comisión Nacional Bancaria y de Valores) – Regulador de México.

En los estándares de Asia: 

MAS (Monetary Authority of Singapore) – Regulador de Singapur.

FSC (Financial Services Commission) – Regulador de Corea.

FSA o JFSA (Japan Financial Services Agency) – Regulador de Japón.

HKMA (Hong Kong Monetary Authority) – Regulador de Hong Kong.

Nótese que todos estos procedimientos/autorizaciones pueden encontrarse pública y gratuitamente online.

Existen dos tipos de soluciones para KYC AML

La transmisión de video continua se está convirtiendo en un estándar para la identificación de clientes en el canal online. Y vemos dos tipos de soluciones, las denominadas síncronas (videoconferencia con un agente que realiza la entrevista del cliente online) y asíncronas (donde se realiza un registro por video en streaming, garantizando el control e integridad del proceso de grabación del video por el sujeto obligado y una verificación posterior offline por un agente cualificado).

Ambas soluciones se pueden combinar dependiendo del caso de uso: típicamente la videoconferencia para una venta consultiva en la que se adquiera un nuevo cliente y el video asíncrono en procesos de captación que requieren agilidad en la contratación y en la que se quiere molestar al cliente lo mínimo imprescindible.

Si quieres saber más sobre qué soluciones existentes cumplen con KYC AML no dudes en descargar esta guía.

[Total: 42 Average: 4.5]

Política y uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies