La información KYC, en la prevención del blanqueo de capitales

El término “Know Your Customer” (Conoce a tu cliente) se generalizó dentro de la prevención del blanqueo de capitales y de la financiación del terrorismo a partir del informe que en octubre de 2011 publicó el Comité de Supervisión Bancaria de Basilea, tras confrontar las cuarenta recomendaciones del GAFI, que en ese año habían incorporado las 8 recomendaciones especiales sobre financiamiento del terrorismo, con las mejores prácticas bancarias internacionales, dando lugar a un interesante análisis sobre la diligencia debida que los bancos debían  realizar sobre la clientela nueva y antigua, y que fue difundido en nuestro País por el Banco de España en el número 2 de sus“Notas de Estabilidad Financiera”.

El “Know Your Customer” (KYC) está consolidado como término de calidad en el ámbito financiero internacional, estando incluido el número 18, de los “Principios Básicos para una Supervisión Bancaria Eficaz” (Los Principios Básicos de Basilea), del Comité de Supervisión Bancaria de Basilea de octubre de 2006, que dice lo siguiente: “Utilización abusiva de servicios financieros: los supervisores deben tener constancia de que los bancos cuentan con políticas y procesos adecuados, incluyendo normas estrictas sobre el conocimiento de la clientela (“know-your-customer” o KYC), que promuevan normas éticas y profesionales de alto nivel en el sector financiero e impidan que el banco sea utilizado, intencionalmente o no, con fines delictivos.”

Si confrontamos el documento de 2001 del Comité de Supervisión Bancaria de Basilea referenciado anteriormente, con  las medidas preventivas de las actuales cuarenta recomendaciones del GAFI; con la diligencia debida con respecto al cliente de la Cuarta Directiva; con los Capítulos II y IV de la Ley 10/2010 (De la Diligencia Debida y del Control Interno, respectivamente); y con los Capítulos II y IV del Reglamento (Real Decreto 304/2014, de 5 de mayo), comprobaremos que el documento del Comité de Supervisión Bancaria de Basilea tiene plena actualidad operativa, y se adapta como un guante a la calidad que se requiere en la cumplimentación de la diligencia debida, para una buena prevención del blanqueo de capitales y de la financiación del terrorismo (PBCFT), según la normativa internacional, europea y española. 

El documento del Comité incluye dos concepciones de la diligencia debida que son complementarias, la jurídica y la económica, la primera esencialmente defensiva para evitar la negligencia en el cumplimiento de las normas externas, y la segunda, más proactiva, entendida como un conjunto de procesos necesarios, para adoptar decisiones suficientemente informadas con relación al negocio.

En un moderno “compliance”, ambas concepciones operativas deben seguir unidas,  puesto que al planificar los sujetos obligados las medidas de diligencia debida bajo esta doble visión, no sólo evitarán negligencias en relación con el cumplimiento de las normas jurídicas sobre prevención del blanqueo de capitales y de la financiación del terrorismo, sino que también reforzarán sus sistemas internos de prevención de riesgos económicos.

Creo que todos estaremos de acuerdo en que las “medidas de diligencia debida” de la Ley 10/2010, que son también las de la Cuarta Directiva y las de las Recomendaciones del GAFI, trascienden el simple cumplimiento de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, puesto que igualmente afectan a la calidad de la información de la cartera de clientes y por tanto a la seguridad del negocio, por lo que su aplicación práctica por los sujetos obligados en la forma adecuada,  terminará siendo rentabilizada internamente, al margen del cumplimiento.

La información KYC tiene consecuencias en la cartera de clientes, porque:

• La calidad de la información en la cartera de clientes tiene repercusiones positivas tanto en la PBCFT como en  otras materias de cumplimiento, como por ejemplo,  en la prevención del fraude, en Basilea II, o en la información financiera que las entidades tienen que presentar de forma ordinaria a los Reguladores.
• También tiene repercusiones positivas en la actividad comercial, al mejorar la segmentación de los clientes para las actividades de marketing y ventas, evitando promociones inapropiadas.
• La calidad de la información de la cartera de clientes, obliga a toda la empresa a depurar la información,  evitando así duplicidades, o la permanencia de cuentas inactivas que podrían ser utilizadas, interna o externamente, para actividades delictivas, como por ejemplo, el blanqueo de capitales, el fraude, etc.

Resulta  razonable, por tanto,  que aunque las “medidas de diligencia debida” sean de obligado cumplimiento para la prevención del blanqueo de capitales y de la financiación del terrorismo, sus  criterios se utilicen también por los sujetos obligados para el control de la veracidad y exactitud de sus carteras de clientes, lo que terminará simplificando sus sistemas operativos y ahorrando costes.

El Capítulo II de la Ley 10/2010, en sus artículos, 3, 4, 5 y 6, establece las medidas normales de diligencia debida para los clientes, que serán simplificadas o reforzadas atendiendo a los riesgos que presenten los mismos, a saber:

1. La identificación formal
2. La identificación del titular real
3. El propósito e índole de la relación de negocios, y
4. El seguimiento continuo de la relación de negocios

Estas cuatro medidas constituyen el [“Know Your Customer” (Conoce a tu cliente)] de la prevención del blanqueo de capitales y de la financiación del terrorismo, junto con el Art. 26 de la misma Ley, que trata de las medidas de control interno, en las que se exigen a los sujetos obligados, con las excepciones que ya se han determinado reglamentariamente, a aprobar por escrito y aplicar políticas y procedimientos adecuados en materia de diligencia debida, y una política expresa de admisión de clientes.

Pero ni la Ley, ni el Reglamento, ni la Directiva, ni el propio GAFI, especifican la forma práctica en que los sujetos obligados tienen que planificar sus medidas de diligencia debida y su política expresa de admisión de clientes, limitándose las normativas a imponer algunas directrices de obligado cumplimiento en esta planificación. Es por ello por lo que una gran parte de los sujetos obligados, especialmente los que pertenecen al sector financiero, han adoptado el “modelo” KYC del Comité de Basilea, que como he indicado, no solo es una herramienta para combatir el lavado de dinero, sino también para gestionar de forma eficaz riesgos económicos bancarios.

Este modelo exige a los bancos procedimientos KYC sólidos y seguros, en la aplicación de las políticas de aceptación de clientes, en la planificación de programas con diferentes niveles en la identificación de los mismos, atendiendo a sus riesgos, y obliga a un seguimiento proactivo de las operativas de las cuentas que tengan que ver con actividades sospechosas.

Para la generalidad de los sujetos obligados no bancarios, también el objetivo de la diligencia debida ha de ser el de obtener información de los clientes con la calidad KYC, por lo que deberán planificarla en base a su particular nivel de riesgos para que funcione mediante “Procesos KYC”, tanto en el establecimiento de las relaciones de negocios, como durante los siguientes momentos en los que la información de los clientes  podría ser modificada, es decir:

1. En los momentos de las aperturas de las cuentas de los clientes.
2. En los momentos en que los clientes quedan segmentados en base al riesgo,  y se procede a la remediación de la información existente de cada uno de ellos.
3. En los momentos en que los clientes cambian su perfil de riesgos, mediante la apertura de nuevas cuentas o la realización de nuevos negocios
4. En los momentos en los que cambian su operativa.

Como podemos observar analizando el esquema anterior, la información KYC se compone de dos tipos de conocimientos:

• El conocimiento pasivo del cliente, y
• El conocimiento activo del cliente

El conocimiento pasivo del cliente se irá consiguiendo mediante las tres primeras medidas de diligencia debida: identificación formal, identificación del titular real y conocimiento del propósito e índole de la relación de negocios, ya sea durante el proceso de aceptación del cliente, o durante las ampliaciones de información realizadas en función del riesgo.

El conocimiento activo del cliente se irá consiguiendo mediante el control de su actividad operativa, es decir, mediante el seguimiento continuo de la relación de negocios.

En el conocimiento pasivo, la primera pieza será la identificación formal del cliente como persona física o jurídica:

• La identificación formal del cliente como persona física se realiza mediante la comprobación y verificación de su identidad, a través de  los documentos fehacientes exhibidos ante el  sujeto obligado por el titular de los mismos.
• Igualmente en el proceso de comprobación y verificación de la identidad se han de controlar las listas de sanciones, y en función del riesgo, las listas PRP (Personas con Responsabilidad Pública).
• La comprobación y verificación de la identidad resulta más complicada en las operaciones no presenciales, puesto que habrá que aplicar algunas medidas reforzadas de diligencia debida.
• En la identificación formal del cliente persona jurídica, se aplicará la segunda medida de diligencia debida siempre que sea necesaria, mediante la identificación de los titulares reales.

La segunda pieza, en el conocimiento pasivo del cliente, será la tercera medida de diligencia debida: El conocimiento del propósito e índole de la relación de negocios que el cliente pretende establecer con el sujeto obligado; medida que está regulada en el Artículo 5 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y  que dice así:

“Los sujetos obligados obtendrán información sobre el propósito e índole prevista de la relación de negocios. En particular, los sujetos obligados recabarán de sus clientes información a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptarán medidas dirigidas a comprobar razonablemente la veracidad de dicha información.

Tales medidas consistirán en el establecimiento y aplicación de procedimientos de verificación de las actividades declaradas por los clientes. Dichos procedimientos tendrán en cuenta el diferente nivel de riesgo y se basarán en la obtención de los clientes de documentos que guarden relación con la actividad declarada o en la obtención de información sobre ella ajena al propio cliente.”

Es decir:

• Obtención de información sobre el propósito e índole prevista de la relación de negocios.
• Obtención de información a fin de conocer la naturaleza de su actividad profesional y empresarial.
• Comprobación razonable de la veracidad de la información aportada por el cliente.
• Establecimiento y aplicación de procedimientos de verificación de la actividad declarada por el cliente.
• Obtención del cliente de los documentos que guarden relación con la actividad declarada.
• Obtención de información ajena al propio cliente sobre la actividad declarada

El Art. 10 del Reglamento (Real Decreto 304/2014, de 5 de mayo), matiza la aplicación práctica de la anterior escala de procesos legales, necesarios para la comprobación del propósito e índole de la relación de negocios.

La aplicación por los sujetos obligados de las tres medidas de diligencia debida referenciadas hasta ahora, generarán información sobre los clientes, que para que sea operativa tendría que ser centralizada.

Para ello resultará necesaria la existencia de alguna plataforma tecnológica que contenga los expedientes de identificación que se vayan creando para cumplir con el Art. 25 de la Ley 10/2010, relativo a la conservación durante un período mínimo de diez años, de los documentos en los que se formalice el cumplimiento de las obligaciones de Diligencia Debida, así como las copias de los documentos de identificación formal, en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

Porque la concreción práctica del cumplimiento del Art. 25 en cada cliente debería realizarse mediante su “Expediente de Identificación”,  que quedaría archivado de forma centralizada y en formato electrónico en los sujetos obligados que tengan una organización mínimamente compleja. Este expediente tendría la información de todos los intervinientes ligados al mismo, incluyendo las copias digitalizadas de los documentos de identificación, la identificación de los titulares reales, así como otros documentos de interés para cada sujeto obligado.

Esta plataforma tecnológica centralizada la llamaremos de información KYC, y siguiendo los criterios  KYC debería ser considerada también por los sujetos obligados como una herramienta de negocio y no sólo  como una herramienta de cumplimiento. Esta concepción operativa dual permitiría la existencia de un proceso de ida y vuelta (feedback) en la información,  que terminaría realimentando el repositorio de información pasiva de la plataforma, con información verificada  al nivel de detalle que se considere necesario.

Según los criterios KYC, cualquier departamento del sujeto obligado tendría  acceso a ésta base de datos de clientes centralizada, obteniendo de la misma sólo aquella información necesaria para su actividad profesional.

Se acabaría, por tanto, con todos los repositorios de información de clientes que pudieran existir dispersos entre las distintas divisiones administrativas, y especialmente entre los departamentos pertenecientes al “front-office” del sujeto obligado.

Al ser alimentada la plataforma centralizada KYC por toda la estructura empresarial, cualquier dato de clientes que se introdujera a través del “front-office” o por otra vía, y que fuera incongruente con el existente en la base de datos, produciría una alerta que tendría que ser comprobada por el departamento que introdujo la última información, siempre que la misma, por su interés, no tuviera que ser valorada directamente por un área de investigación interna.

Como la centralización de la información previsiblemente dará lugar a incongruencias en la información de los clientes, los sujetos obligados han de tener previsto un programa de remediación de la información KYC, con el objetivo de que los datos de los clientes sean completos, exactos y estén actualizados. Este programa se pondría en funcionamiento en primer lugar para los clientes de mayor riesgo, que se conocerían porque estarían segmentados por la propia plataforma tecnológica, en base a los criterios de riesgo definidos en la misma.

Para que la plataforma tecnológica pueda segmentar a los clientes en base al riesgo, los factores de riesgo habrán tenido que ser previamente definidos por el sujeto obligado, dependiendo del tipo de cliente, de la relación de negocios, y del producto y operación. Este trabajo deberá estar recogido en la política expresa de admisión de clientes referenciada en el Artículo 26 de la Ley 10/2010, según se indica en el Artículo 7.1 de la misma Ley, bajo la interpretación de los artículos 31 y 32 del Reglamento.

El conocimiento activo del cliente, constituye la tercera pieza de la Información KYC y se consigue con la última de las medidas de diligencia debida, el seguimiento continuo de la relación de negocios; esta medida tiene que ver con el monitoreo de las operaciones que se  realizará a través de su plataforma específica.

Durante el proceso de monitoreo de las operaciones  se producirán  alertas que modificarán la situación de riesgo de los clientes afectados, con lo que su análisis KYC podría verse modificado, y cambiar por tanto su situación en la escala de riesgos.

La información KYC hace posible la “due diligence” o conocimiento de la contraparte en el establecimiento de la relación de negocios y en las operaciones, por lo que constituye una buena herramienta para el control de los riesgos generales de la empresa al margen de sus beneficios en el cumplimiento de la prevención del blanqueo de capitales y de la financiación del terrorismo, por lo que debe ser rentabilizada al máximo, evitando así las duplicaciones en los sistemas de control de riesgos, como sucedería si para esta materia actuaran de forma independiente los departamentos de blanqueo de capitales, prevención del fraude, análisis de riesgos, recuperaciones, etc.

La necesidad de tecnificación para el cumplimiento de la diligencia debida aparece en el Art. 17 de la Ley 10/2010, cuando exige para ello la utilización de aplicaciones informáticas apropiadas, teniendo en cuenta el tipo de operaciones, el sector de negocio, el ámbito geográfico y el volumen de la información, por lo que los sujetos obligados han de asumir necesariamente este reto, atendiendo a las limitaciones propias y a los requerimientos  específicos de la Ley y del Reglamento.