La identificación formal presencial, mediante la verificación de documentos fehacientes

La operativa normal de identificación formal de los clientes, según el Art. 26 de la Ley 10/2010 (Medidas de control interno), requiere de determinados sujetos obligados una planificación sistemática, que será en sus aspectos formales obligatoria si no están dentro del régimen de umbrales establecido por el Art. 31 del Reglamento (Procedimientos de control interno) y,  voluntaria si, aun estando dentro de dicho régimen, así lo aconsejara el resultado de su análisis de riesgos en base al Art. 32 del Reglamento (Análisis de riesgo).

En cuanto al resto de los sujetos obligados, sería aconsejable que planificasen también por escrito la identificación formal de sus clientes, aunque formalmente esta planificación documentada no les vaya a ser exigida por  el Supervisor, porque desde un punto de vista operativo siempre será de utilidad tener, a la medida de cada uno,   políticas y procedimientos adecuados de identificación formal, y una política expresa de admisión de clientes con las características definidas en el Art. 26 de la Ley.

No olvidemos que todos los sujetos obligados, en el establecimiento de las relaciones de negocio, a partir del mínimo umbral cuantitativo general de los 1.000 euros en sus operaciones ocasionales y de los 2.500 euros en el pago de premios de lotería, han de cumplir con el Art. 4 de Reglamento (Identificación formal), e identificar a sus clientes en la forma establecida, es decir: verificando y comprobando su identidad, y para ello han de tener diseñados sus respectivas políticas y procedimientos.

Esta entrada está dedicada a la verificación de la identidad mediante documentos fehacientes, durante el establecimiento de las relaciones de negocio y operaciones, que se hagan de forma presencial y que sean de características normales dentro del proceso de identificación formal.

La verificación de la identidad exige de una política y un procedimiento documentados, en que se han de tener en cuenta diversos elementos subjetivos y objetivos:

• El verificador para el proceso de identificación
• El cliente como persona física que se presenta ante el verificador
• Los documentos fehacientes que presenta el cliente para el acto de la verificación

La diligencia debida en la identificación formal de los clientes corresponde a los sujetos obligados; por tanto, los verificadores en ese acto de la verificación de la identidad están representándolos, y  también a los administradores y directivos de esos sujetos obligados, puesto que ellos son también responsables de la medida según el Art. 54 de la Ley 10/2010 (Responsabilidad de administradores y directivos).

Resulta por tanto de interés para los sujetos obligados, y para sus administradores y directivos, tanto el diseño de buenas políticas y procedimientos en la materia, como la formación de los verificadores para que cumplan de una forma profesional con el procedimiento que se establezca internamente para la identificación formal presencial, cumpliendo de esta manera con el Art. 29 de la Ley 10/2010 (Formación de empleados).

Como según el Art. 2 de la Ley, existe una gran variedad de sujetos obligados con estructuras organizativas más o menos complejas, la aplicación práctica de los procedimientos para la identificación formal de los clientes estará también más o menos alejada de la administración y de la dirección de cada uno de ellos, por lo que el Art. 26 de la Ley 10/2010, establece unas pautas para la delegación compartida de responsabilidades en la verificación de la identidad, en base precisamente a las complejidades operativas de cada sujeto obligado.

Habrá sujetos obligados unipersonales o de empresas pequeñas en los que el acto de la verificación de la identidad será realizado por el propio responsable del negocio, siendo él mismo el que deba planificarse y formarse  profesionalmente para la identificación formal (Vg.: un notario), mientras que en otros negocios de funcionamiento más complejo, la verificación presencial de la identidad estará encomendada al “front office” de la empresa o departamento comercial; en estos sujetos obligados las políticas, los procedimientos y la formación para la verificación de la identidad tendrán que ser impartidos por quien corresponda, a aquellos empleados que se relacionan directamente con los clientes.

La determinación concreta de las políticas, los procedimientos y la formación en la identificación presencial de los clientes, el Art. 26 de la Ley 10/2010 permite delegarla en un órgano adecuado de control interno, que será responsable también de su aplicación. Este órgano será obligatorio para todos los sujetos obligados que no estén dentro del régimen de voluntariedad y de umbrales establecido en el Art. 35 del Reglamento (Órganos de control interno), pudiendo los incluidos en el régimen de voluntariedad, delegar estas funciones en el Representante ante el Servicio Ejecutivo de la Comisión, si no quieren contar con ese órgano de control interno, puesto que en ese caso sería voluntario.

El órgano de control interno, y en su caso el Representante ante el SEPBLAC, normalmente son también los encargados de presentar a los órganos de administración y dirección, la política para la identificación formal de los clientes, la política de formación en esta materia, así como la política expresa de admisión de clientes.

Si nos alejamos de los sujetos obligados que requieren de las estructuras organizativas obligatorias señaladas anteriormente, resulta evidente que aún los sujetos obligados unipersonales, o con estructuras organizativas sencillas,  han de conocer cuándo tienen que identificar a sus clientes para cumplir con la Ley 10/2010 y por tanto, deberán darse unos criterios concretos, que constituirán en la práctica sus políticas de identificación formal y de aceptación de clientes, y tendrán que establecer unos procedimientos para llevarlas a efecto, además de buscarse la formación necesaria para cumplir eficazmente con ese cometido. La mejor manera, por tanto, de recordar estos criterios y procedimientos  será ponerlos por escrito, por sí mismos o con la ayuda de sus asesores de cumplimiento, como lo hacen con sus asesores fiscales cuando tienen necesidad de los mismos.

En esta entrada no voy a analizar metodología alguna para la determinación de las políticas de identificación formal de los clientes y de formación, ni sobre los procedimientos internos que deben establecerse al efecto, puesto que estos temas no son objeto de este trabajo, sino ofrecer algunas pautas a tener en cuenta para la determinación de las mismas, y sólo referidas al proceso de identificación formal  presencial mediante la verificación de documentos fehacientes.

Cuando los responsables de estas políticas, diseñen los procedimientos para la identificación formal presencial de los clientes, han de cuidar la consecución de estos dos objetivos:

1. Evitar que los clientes puedan presentar documentos oficiales falsificados.
2. Asegurarse que los verificadores sepan comprobar que los datos biométricos aportados por las personas físicas durante los procesos de identificación formal presencial, se corresponden con los que aparecen en los documentos fehacientes que éstas presentan en los actos de  verificación.

Estos dos objetivos deberán estar contemplados perfectamente en el diseño de los procedimientos de identificación formal presencial, e igualmente en el diseño de la formación necesaria en esta materia para los verificadores; en los procedimientos de identificación se atenderá también a la dotación del  mínimo de herramientas tecnológicas que aseguren la verificación de los documentos oficiales de identidad.

Proceso de verificación de la identidad

La identificación formal presencial mediante la verificación de documentos fehacientes, como su propio nombre indica,  presupone la presencia física de los  titulares de los documentos oficiales ante los verificadores, que comprobarán la legalidad de los  mismos  mediante el análisis de las medidas de seguridad que poseen,  y mediante la confrontación de los datos biométricos que contienen, con los que aparecen en las personas que los portan.

Control de los documentos fehacientes de identificación

El control de los documentos fehacientes de identificación se consigue mediante la verificación de las medidas de seguridad que contienen los propios documentos que presentan los clientes.

Para facilitar este control ofrezco estas tres pautas organizativas:

1. Preparar a los empleados para que sean capaces de verificar las medidas de seguridad que contienen los documentos oficiales de identificación, y dotarlos de algunas herramientas elementales para que puedan hacer bien su trabajo.
2. Establecer algún proceso tecnológico que permita la verificación automática de las medidas de seguridad que contienen los documentos oficiales de identificación, superando así la posible falta de preparación de los verificadores.
3. Establecer un proceso mixto, que aglutine los dos anteriores.

Control de los datos biométricos de los clientes

El control de los datos biométricos de los clientes se consigue cuando los verificadores son  capaces de comprobar con agilidad y seguridad,  los datos físicos de las personas a las que tienen que identificar, así como otros datos, como las firmas obtenidas en su presencia, con los que aparecen en los documentos fehacientes de identificación que éstas les presentan.

Para la consecución de este control en la verificación, resulta necesaria la formación sicológica  de los verificadores, para que sepan confrontar de forma rápida los datos que aparecen en los documentos identificativos que se les presentan y los que poseen las personas a identificar.

Los verificadores también deben conocer los engaños que utilizan los delincuentes durante los procesos de verificación de la identidad.

Así pues resulta necesaria, en el diseño de los procedimientos, la planificación de estos dos tipos de formación:

• La formación sicológica de los verificadores
• La formación operativa de los verificadores

Algunos engaños utilizados en los procesos de verificación de la identidad

Cuando los delincuentes pretenden operar en el sistema financiero, o quieren intervenir en actos jurídicos o económicos sin utilizar su verdadera identidad, necesitan  traspasar con éxito el filtro de la verificación de la identidad mediante estos tres tipos de engaño:

1. Utilizando documentos de identificación totalmente falsificados, en los que los datos biométricos se adaptan perfectamente a los portadores de los mismos.
2. Utilizando documentos de identificación perdidos o sustraídos, a los que modifican alguno de sus datos biométricos para hacerlos coincidir con los que tienen sus portadores.
3. Utilizando documentos verdaderos sin efectuar modificaciones en los mismos, pero usando técnicas de persuasión que impiden a los verificadores hacer las comprobaciones necesarias, o seleccionado puestos de verificación que tengan personal insuficientemente preparado.

El primero de los engaños, (falsificación total de documentos de identificación), no resulta fácil  para la generalidad de los delincuentes, puesto que los  documentos oficiales de identificación (que son documentos fehacientes), contienen diversas  medidas de seguridad cuya modificación resulta fácilmente detectable para los expertos. Estas medidas de seguridad son fáciles de controlar también por lo no expertos mediante herramientas tecnológicas simples y con un mínimo de formación.

Existen organizaciones criminales, especialmente las terroristas, que tienen la capacidad de falsificar  documentos oficiales de identificación para la comisión de actos delictivos concretos, en los que resulta imprescindible la suplantación de una determinada identidad.

Para ello se valen de falsificadores propios, que suelen estar controlados directamente por la dirección de las organizaciones. Estos falsificadores suelen estar dotados de herramientas tecnológicas capaces de imbuir  en los soportes documentales, todas o algunas de las medidas de seguridad que contienen los documentos oficiales de identificación.

Los falsificadores también son utilizados para la fabricación de billetes falsos, simulación de firmas y modificación de textos manuscritos. Antes de la generalización de los ordenadores, también solían trabajar con textos mecanografiados, aportando a los mismos las imperfecciones que producían las máquinas de escribir en los documentos originales.

Actualmente, con los ordenadores consiguen de manera fácil falsificaciones totales de documentos de identificación, aunque sin las medidas de seguridad que contienen los verdaderos.

La segunda modalidad de engaño es la que utilizan normalmente los delincuentes, (documentos de identificación perdidos o sustraídos, a los que se les modifican algunos de sus datos biométricos para hacerlos coincidir con los que poseen sus portadores). Es también la modalidad de engaño que utilizan los delincuentes para intervenir en actos públicos y privados en los que se requiere la identificación formal de las partes intervinientes.

Existen mercados de documentos  perdidos o sustraídos perfectamente localizados geográficamente por los delincuentes, o que funcionan de forma virtual a través de Internet. Estos mercados son aprovisionados por carteristas, o por personas sin escrúpulos que encuentran estos documentos, y en vez de devolverlos a sus dueños negocian con ellos.

La técnica para el engaño consiste en modificar determinados datos biométricos, como la fotografía o la fecha de nacimiento, para hacerlos coincidir con los que poseen sus portadores delincuentes.

Esta es una modalidad de engaño muy eficaz en las relaciones de negocio y en operaciones no presenciales, o en la comercialización de productos y servicios financieros, en los que las entidades no están en contacto directo con los clientes, sino a través de prescriptores.

Existe un riesgo en la identificación a través de prescriptores, cuando por parte de las empresas financieras no se establece un mínimo control sobre los procesos externos de verificación de la identidad.

La tercera modalidad de engaño es la más ilustrativa sobre la negligencia que actualmente impera en materia de verificación de la identidad entre los sujetos obligados y hasta en el sector público, (presentación de un documento original de otra persona sin efectuar ninguna modificación en el mismo).

Si en cualquier tipo de defraudación los delincuentes utilizan siempre técnicas de persuasión, en esta modalidad de engaño como es intentar traspasar el filtro de la identificación mediante  documentos verdaderos no modificados, estas técnicas resultan imprescindibles para impedir que una mínima verificación deje en evidencia la suplantación.

Es una técnica de engaño que se utiliza frecuentemente también en el pago con tarjeta, cuando en los  comercios, junto con la tarjeta es requerido como control el documento de identificación. Para solventar este problema los defraudadores buscan momentos de aglomeración de clientes que es cuando los verificadores están sometidos a un gran estrés, o buscan empresas en las que los verificadores están insuficientemente formados. En estos casos, los delincuentes intentan desviar la atención de los verificadores hacia aspectos ajenos al trabajo de verificación, por lo que éstos, aunque miren los documentos que se les presentan, al hacerlo sin la necesaria concentración no ven nada en los mismos.

Para la prevención de la suplantación de identidad mediante documentos identificativos sin modificación, sólo resulta necesario un pequeño esfuerzo en la formación de los verificadores, con el fin de enseñarles  la manera de proceder, en el tiempo mínimo necesario, con los documentos oficiales de identificación y con las personas que los portan.

Pautas para la formación de los verificadores

En el diseño de los procedimientos:

• se han de especificar los departamentos que están en contacto directo con los clientes, conformando el “front office” de los sujetos obligados, así como las necesidades de formación y de medios técnicos para el cumplimiento por éstos de la identificación formal de los clientes.
• se ha de valorar la posibilidad de establecer procesos automatizados de verificación de las medidas de seguridad de los documentos oficiales, o decidirse por  procedimientos mixtos con la dotación de los equipos técnicos elementales necesarios para los verificadores.
• la creación o no, en el departamento de prevención del fraude, en el departamento de seguridad, o en el departamento de análisis de riesgos, de equipos de especialistas con formación avanzada en identificación documental, así como la contratación de los equipos técnicos necesarios para la comprobación de documentos oficiales nacionales o extranjeros, o simplemente la contratación de empresas y bases de datos externas que los contengan.
• la posibilidad de conexión rápida con laboratorios externos de documentoscopia, capaces de resolver  los casos más complicados de falsedad documental que vayan surgiendo en la operativa diaria.

Los sujetos obligados tienen la responsabilidad de formar a sus verificadores en las técnicas de identificación presencial de los clientes, a través  del DNI,  de la Tarjeta de Extranjero, mediante sus pasaportes o el resto de documentos fehacientes que se especifican  en el Art. 6 del Reglamento (Documentos fehacientes a efectos de identificación formal).

En este diseño de la política y de los procedimientos de formación, al igual que sucede para la operativa de la identificación formal,  deben participar, según lo especificado en el Art. 26 de la Ley 10/2010, que exige para el órgano de control interno la representación de las distintas áreas de negocio del sujeto obligado, aquellas áreas de organización interna que también resultan imprescindibles para este cometido, como los departamentos de recursos humanos y los departamentos de prevención del fraude o de seguridad, que serán las encargadas de programar, bajo los criterios del órgano de control interno o del Representante ante el SEPBLAC en su caso,  los cursos de formación para la verificación de la identidad; estos cursos, como  veremos, podrán ser elementales o de especialización.

Los cursos deberán ofrecer para cada nivel de responsabilidad, la formación técnica y sicológica que permita desarrollar o mejorar en los verificadores, aquellas capacidades necesarias para el examen físico de los documentos, y la agilidad suficiente para proceder a una rápida comprobación de los datos biométricos de los clientes con los que aparecen en los documentos oficiales de identificación.

La formación de los verificadores, que deberá quedar especificada en los procedimientos, podrá  ser realizada por personal especializado de la propia empresa o por personal externo, y será obligatoria para todos los empleados que actúen en los procesos de contratación o que tengan que controlar posteriormente la documentación de los clientes, cumpliéndose así en esta materia el Art. 29 de la Ley 10/2010 (Formación de los empleados).

En esta formación, junto con la formación técnica, habrá que enseñar a los verificadores a abordar  delante de los clientes las situaciones en las que resulta dudosa la identificación, para lo que deberá tenerse en cuenta los aspectos siguientes:

• No resulta agradable para los clientes  que se dude de la veracidad de los documentos que presentan, por lo que el trato de los verificadores debe ser exquisito.
• Unas simples explicaciones hechas con delicadeza serán  suficientes para que los clientes de buena fe se interesen sobre los posibles defectos de sus documentos y no se quejen ante una verificación más exhaustiva de los mismos.
• Los clientes de buena fe saben por sentido común, que siempre les resultará más beneficioso aclarar cualquier  problema de identificación en España que en la frontera de un país extranjero.
• Habrá que formar sicológicamente a los verificadores para enfrentarse de forma inteligente con los defraudadores, sin miedo pero con la prudencia necesaria en cada caso.
• Han de conocer que cuando un estafador observa que el verificador tiene dudas sobre su documento, va a exigir de inmediato la entrega del mismo, lo que no debe hacerse siempre que no exista peligro para el verificador, o para el resto de  los clientes y del personal de la empresa.
• Han de conocer también que cuando el defraudador se encuentra ante un verificador seguro de su trabajo, suele optar por salir rápidamente del establecimiento abandonando el documento, con lo que el verificador habrá conseguido no sólo paralizar el  fraude de identidad que pretendía realizar, sino los que en el futuro se hubiesen perpetrado utilizando  el documento incautado, que servirá posteriormente  para la identificación del delincuente a través de la fotografía y otros datos que le relacionen.
• Se ha de incluir también entre las enseñanzas, la forma de tratar los documentos incautados para que no se destruyan las huellas latentes y rastros biológicos del delincuente, asegurando la cadena de custodia de los sobres que contengan los documentos, antes de su pase al laboratorio.

Con este trabajo pretendo sensibilizar a los sujetos obligados sobre el trasfondo operativo y de planificación previa, que supone el acto  de identificación formal de los clientes mediante documentos fehacientes, para el que se exige la necesaria política y procedimientos, así como la profesionalización de los verificadores, ya sean éstos los propios responsables del negocio por ser sujetos obligados unipersonales o administradores de empresas pequeñas, o empleados de grandes organizaciones, en las que los administradores y directivos están muy lejos de esta función concreta, aunque saben perfectamente que mantienen de forma personal toda la responsabilidad sobre la misma.

Los aspectos técnicos que he ido apuntando no son válidos para todos los sujetos obligados, porque muchos de ellos no tienen ni la obligación ni las capacidades tecnológicas y económicas necesarias para ponerlos en funcionamiento, pero todos los sujetos obligados podrán adaptarlos convenientemente a sus necesidades, porque de lo más puede hacerse lo menos.

La medida normal de diligencia debida del Art. 3 de la Ley 10/2010 (Identificación formal), aunque es una exigencia de cumplimiento externo, resulta también una medida de control interno necesaria para el desarrollo de los negocios de cualquier empresa, por lo que su normalización, tecnificación y profesionalización termina siendo totalmente rentable para los sujetos obligados que la aplican de forma profesional, al nivel de sofisticación al que cada uno pueda llegar, puesto que obtendrán con ella seguridad en sus relaciones de negocio y operaciones, además de dar seguridad a los mercados; todo ello al margen de los objetivos concretos de la normativa anti-blanqueo que la ha impuesto.

Tarde o temprano el Supervisor entrará también en este análisis de detalle respecto al cumplimiento de esta medida de diligencia debida, sobre la que se basan todas las demás, y que parece tan sencilla de cumplir cuando se desconoce suficientemente su contenido operativo, por lo que los asesores en cumplimiento y los examinadores externos del Art. 28 de la Ley 10/2010 deberían asesorar/controlar respectivamente a los sujetos obligados que los tengan contratados, para conseguir así que sea efectiva también desde el aspecto  operativo que he analizado en esta entrada.

Como resumen de aspectos que hemos ido analizando en esta entrada adjunto un:

Esquema operativo de verificación de los documentos fehacientes de identificación

Verificación básica a cargo de los verificadores

1. Análisis de los elementos de seguridad primarios que poseen tanto los  DNI como las Tarjetas de Extranjero.
2. Confrontación de los datos biométricos que aparecen en los documentos con los que poseen las personas que los presentan, especialmente fotografías y fechas de nacimiento.
3. Receptividad sobre detalles de la conducta de los portadores de los documentos que aconsejen una revisión más exhaustiva de los mismos.
4. Conocimiento del proceso establecido en la empresa para solicitud de ayuda  a los responsables de una verificación especializada.
5. Fomento de la connivencia dentro del departamento de verificación básica, para que todos los  miembros sepan arropar al verificador que se encuentre en problemas, de forma que pueda ausentarse con naturalidad para las gestiones que tenga que realizar.
6. Conocimiento del protocolo para la remisión de los documentos originales de identificación incautados, al departamento de verificación especializada,  cuando se detecten irregularidades en el análisis de los elementos de seguridad primarios, o hubiesen dudas en la verificación de la identidad del titular a través de cualquiera de sus datos (fotografía, edad, país de nacimiento, etc.)
7. Conocimiento del protocolo alternativo para que en los casos en que esa remisión no sea posible, se puedan obtener copias electrónicas o fotocopias de los documentos dubitados y para la preservación de las grabaciones de seguridad del establecimiento.

En la verificación básica,  el verificador sólo posee de 30 segundos a dos minutos para hacer bien su trabajo, por lo que además de la formación deberá tener  a su disposición un equipo técnico de verificación automática, o por lo menos, un equipo mínimo de verificación, como puede ser una  simple lupa o cuentahílos, y una fuente luminosa de sobremesa, de espectro visible y ultravioleta.

Verificación especializada

1. Análisis  exhaustivo de los elementos de seguridad primarios que poseen tanto el DNI como la Tarjeta de Extranjero, mediante el equipo técnico existente en la empresa.
2. Formación adecuada para el asesoramiento técnico al verificador,  en el supuesto de que no pueda éste remitir el documento original al departamento de verificación especializada.
3. Formación para el asesoramiento operativo al verificador, con el fin de  que tome las decisiones adecuadas, una vez que el departamento especializado sea informado de las circunstancias de seguridad que rodean el supuesto planteado.
4. Creación del protocolo para la remisión de los documentos originales de identificación incautados al departamento de verificación especializada, una vez  se detecten irregularidades en el análisis de los elementos de seguridad primarios, o hubiese dudas en la verificación de la identidad del titular a través de cualquiera de sus datos (fotografía, edad, país de nacimiento, etc.)
5. Creación del protocolo para que en los casos en que esa remisión no sea posible, puedan obtenerse copias electrónicas o  fotocopias de los documentos dubitados,  y para la preservación de las grabaciones de seguridad del establecimiento.
6. Remisión de los documentos incautados al laboratorio externo cuando se detecten irregularidades en el análisis de los elementos de seguridad primarios, con el fin de asegurar el diagnóstico, y para obtener el material fotográfico histórico que sirva para mejorar el funcionamiento del servicio y la formación, antes de la entrega del documento falsificado a las autoridades mediante la correspondiente denuncia.
7. Creación de un archivo con el material  fotográfico y pericial, para su posterior confrontación con el material fotográfico procedente de otros ataques, con el objetivo de interrelacionar supuestos delictivos conexos.