Las listas de sanciones y el documento de buenas prácticas del SEPBLAC

Al hablar de la “comprobación de la identidad” exigida por el Art. 4 del Reglamento de la Ley 10/2010, he indicado la obligación que tienen los sujetos obligados de filtrar, a través de las listas de sanciones financieras, las identidades de las personas físicas y jurídicas con las que pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones ocasionales, a partir de un determinado umbral cuantitativo.

Esta es una obligación práctica que no acaba en el proceso de identificación formal de los clientes, sino que tiene continuidad durante el seguimiento continuo de la relación de negocios, por lo que el filtraje periódico a través de las listas de sanciones financieras ha de estar muy bien estructurado dentro de los procedimientos internos diseñados por  los sujetos obligados, especialmente por los que tienen clientes y negocios de riesgo.

Atendiendo a esta complejidad operativa, el SEPBLAC publicó en enero de 2015 un manual de buenas prácticas dedicado a la “aplicación de listas de personas y entidades sujetas a sanciones y contramedidas internacionales”, que yo comenté públicamente en su día desde un punto de vista operativo.

Considero de interés traer aquel análisis a este Blog, puesto que siguen vigentes aquellos comentarios que hice y sobre todo, porque en la página Web del SEPBLAC continúa publicado el manual de buenas prácticas, por lo que su consulta periódica resulta obligada a  todos los responsables de control interno y a los asesores de cumplimiento PBCFT.

No es una materia que pueda ser aplicada de la misma forma por todos los sujetos obligados, como se indica en el propio manual, pero su conocimiento  resulta conveniente aún para aquellos sujetos obligados de poco riesgo, porque aporta ideas para que también ellos puedan cumplir, de la mejor manera posible  y con la ayuda de sus asesores si fuera necesario, con esta importante obligación práctica  de diligencia debida.

Manual de buenas prácticas del SEPBLAC

En el mes de enero de 2015, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), publicó un manual de buenas prácticas para la “aplicación de listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales”.

En su introducción, el manual explica que “la Unión Europea, de acuerdo con los objetivos de la Política Exterior y de Seguridad Común, ha impuesto, por iniciativa propia o de acuerdo con las Resoluciones del Consejo de Seguridad de las Naciones Unidas, medidas restrictivas y sanciones de distinta naturaleza a determinados países y a las personas físicas y jurídicas que se enumeran expresamente en los instrumentos jurídicos correspondientes.

Entre las obligaciones impuestas destacan, entre otras, las de acordar la congelación o bloqueo de los fondos y recursos económicos de determinadas personas físicas o jurídicas, y la prohibición de ponerlos a su disposición o utilizarlos en su beneficio.

La normativa española de prevención del blanqueo de capitales y de la financiación del terrorismo recuerda expresamente que, aparte de las que pudieran acordarse por las autoridades nacionales, las medidas restrictivas y sanciones de la Unión Europea son de aplicación obligatoria, siendo su incumplimiento constitutivo de infracción grave o muy grave.”

La publicación del Manual de buenas prácticas del SEPBLAC constituye una buena ocasión para recordar esta importante materia de cumplimiento, teniendo en cuenta la modificación habida del Art. 42 de la Ley 10/2010, por la Disposición final sexta de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y el Art. 48 del Reglamento, que trata de la congelación o bloqueo de fondos o recursos económicos.

Objeto de estudio del Manual de buenas prácticas

Conviene delimitar perfectamente el objeto de estudio del Manual de buenas prácticas del SEPBLAC, que trata de la “Aplicación de listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales”, del trabajo que han de realizar los sujetos obligados para cumplir con la prevención de la financiación del terrorismo y con la prevención de la financiación de proliferación de armas de destrucción masiva y también, del trabajo específico relacionado con la congelación o bloqueo de esta financiación, una vez que ésta ha sido descubierta por cualquier medio.

La prevención  de estas dos materias de estudio resulta bastante compleja para la mayoría de los sujetos obligados, por lo que queda reservada fundamentalmente a las entidades financieras, aunque existen otros sujetos obligados que tienen un gran riesgo, y que por lo tanto han de desarrollar sus propias técnicas de prevención,  que no siempre coinciden con las que utilizan las entidades financieras para estos mismos  objetivos.

Ante la limitación evidente de técnicas y medios, puesto que hemos de reconocer que aún está en mantillas la colaboración público-privada necesaria para el desarrollo de este tipo de investigaciones, los reguladores internacionales se han visto en la necesidad de buscar algunas herramientas que ofrecer a los sujetos obligados, con el fin de que éstos colaboren operativamente en la prevención y en el bloqueo. Estas herramientas son las listas de sanciones y contramedidas financieras internacionales.

Como muy bien indica el SEPBLAC en la introducción de su Manual de buenas prácticas, el objetivo de las listas es la congelación o bloqueo inmediato de esta financiación por parte de los sujetos obligados, y por ello explica que “las medidas restrictivas aprobadas por la Unión Europea constituyen prohibiciones absolutas, por lo que la falta de congelación o bloqueo de fondos de personas o entidades designadas supone la comisión de una infracción administrativa.”

Puesto que el Servicio Ejecutivo tiene encomendadas las funciones de supervisión e inspección sobre el bloqueo de la financiación del terrorismo y la financiación de la proliferación de armas de destrucción masiva,  en la práctica diaria de su trabajo de supervisión e inspección ha ido comprobando que, la aplicación de las listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales, por parte de bastantes sujetos obligados, se realiza de una forma burocrática y testimonial y sin un mínimo planeamiento operativo interno que mejore el rendimiento de la herramienta.

Justificación jurídica de las listas de sanciones y contramedidas financieras internacionales

Antes de proceder al análisis operativo del documento de buenas prácticas del SEPBLAC, conviene tener claro el origen jurídico de las “sanciones” referenciadas en el Art. 42.1  de la ley 10/2010: “Las sanciones financieras establecidas por las Resoluciones del Consejo de Seguridad de naciones Unidas relativas a la prevención y supresión del terrorismo, y a la prevención, supresión y disrupción de la proliferación de armas de destrucción masiva y de su financiación, serán de obligada aplicación para cualquier persona física o jurídica en los términos previstos por los reglamentos comunitarios o por acuerdo del Consejo de Ministros, adoptado a propuesta del Ministerio de Economía y Competitividad.”

Los Reglamentos comunitarios a que hace referencia el Art. 42.1 de la Ley 10/2010, son los siguientes:

• Reglamento 2580/2001, que permite la creación de listas de personas físicas y de organizaciones como anexos a este Reglamento por decisión del Consejo.
• Reglamento 881/2002 (anteriormente 467/2001), que permite a la Comisión europea cumplir con las orientaciones del Comité de Sanciones del Consejo de Seguridad de Naciones Unidas, contra la red Al-Qaida y sus ramificaciones.

El método  que los Reglamentos comunitarios imponen a los sujetos obligados, para cumplir con las sanciones financieras,  consiste en el filtrado a través del “Listado de sanciones de la Unión Europea” de las identidades de las personas y entidades con las que operan.

El listado de la Unión Europea  se genera en una base de datos única que está alimentada por la Comisión Europea y por la Federación Bancaria Europea. La lista está disponible y puede descargarse a través del  website de la Unión Europea:

 http://www.un.org/spanish/sc/committees/consolidated.htm

Desde el año 2001, estos Reglamentos están siendo modificados en sus Anexos, puesto que los listados que contienen van variando en su información como resultado de las investigaciones internacionales sobre blanqueo y  terrorismo.

Además de en el Art. 42 de la Ley 10/2010, también se trata esta materia en el Art. 51.2 de la misma Ley, que forma parte del Capítulo VIII que trata del régimen sancionador:

“En los términos previstos por los Reglamentos comunitarios que establezcan medidas restrictivas específicas de conformidad con los artículos 60, 301 o 308 del Tratado Constitutivo de la Comunidad Europea, constituirán infracciones muy graves de la presente Ley las siguientes:

• a) El incumplimiento de la obligación de congelar o bloquear los fondos, activos financieros o recursos económicos de personas físicas o jurídicas, entidades o grupos designados.
• b) El incumplimiento de la prohibición de poner fondos, activos financieros o recursos económicos a disposición de personas físicas o jurídicas, entidades o grupos designados.”

En España, la única lista de sanciones de obligada consulta es la que publica la Unión Europea. Pero como las entidades financieras españolas tienen cada vez más presencia internacional, o pertenecen a Grupos financieros  cuya matriz está fuera de España, suelen también tener en cuenta otros listados de sanciones financieras diferentes del europeo, para evitar así efectos reputacionales negativos en el caso de que su nombre apareciera  ligado en algún momento, a alguna investigación sobre terrorismo o delincuencia organizada generada en estos terceros países. (En este sentido resulta también muy importante la lista OFAC del Tesoro de EE.UU.)

Conviene señalar que las listas de sanciones de la UE, o las listas OFAC de EE.UU, no son herramientas de prevención sino herramientas de bloqueo, por lo que resulta imprescindible que los sujetos obligados tengan claras y diferenciadas en sus controles internos, las medidas de prevención  y las medidas  de congelación o bloqueo; estas últimas están establecidas  en  la Ley 12/2003, de 21 de mayo, de bloqueo de la financiación del terrorismo.

Los listados de sanciones son públicos y por tanto gratuitos en su descarga, aunque son dificultosos de manejar si no se dispone para ello de alguna herramienta informática que sea adecuada, puesto que de no ser así, la comprobación realizada termina siendo muy poco fiable.

Para solucionar el problema de la fiabilidad,  normalmente los sujetos obligados utilizan plataformas tecnológicas propias o contratadas, que además de facilitar ese trabajo mediante operativas “on-line”  y/o “batch”, suelen contar con soluciones tecnológicas para evitar los falsos positivos y que además, dejan el rastro probatorio necesario para un posterior análisis forense, en el caso de que por cualquier causa se iniciara algún proceso de investigación de blanqueo de capitales o de financiación del terrorismo por el SEPBLAC, o por otra autoridad competente.

Esta forma de operar, especialmente dentro del sector financiero, está recogida por el SEPBLAC en los puntos (BP8) y (BP9) de su manual de buenas prácticas:

BP8 (Conocer bien el contenido y la estructura de las listas)

“El punto de partida en la valoración de las decisiones a adoptar respecto a cómo obtener las listas, y en su aplicación posterior, es conocer con cierta profundidad el contenido y la estructura de las listas publicadas.

Debe tenerse en cuenta que las listas aprobadas por Reglamentos comunitarios son obligatorias desde el momento de su publicación, por lo que las entidades deben encontrarse en condiciones de aplicar desde ese momento las sanciones y contramedidas financieras previstas en los mismos. En el caso de listados aprobados por Naciones Unidas, aunque no directamente obligatorios para los sujetos obligados, son incorporados posteriormente por Reglamentos comunitarios, por lo que resulta buena práctica que las entidades tengan un conocimiento de los mismos, de tal manera que puedan anticipar su aplicación.”

BP9 (Justificar en su caso, la conveniencia de contratar un determinado proveedor externo de listas)

“Si bien las listas obligatorias son públicamente accesibles – Las Naciones Unidas y la Unión Europea facilitan en sus páginas de internet la relación actualizada de personas físicas y jurídicas incluidas en listas – muchas entidades prefieren acudir a proveedores externos que les facilitan estas listas. Al elegir un proveedor, se deberían tener en cuenta especialmente las garantías de servicio ininterrumpido que ofrece y su rapidez en la incorporación de las adiciones o modificaciones que se realicen en las listas oficiales.”

En estos listados se incluyen los datos y filiación de personas físicas, así como los datos de determinadas empresas, que han de ser objeto de comprobación por los sujetos obligados en el desarrollo de sus actividades financieras o comerciales, de manera que, si se detectara el nombre de alguna de estas personas o empresas, las entidades deberían de abstenerse de operar con ellas y en su caso, proceder de inmediato al bloqueo o congelación de los fondos o activos propiedad de las mismas.

Estas medidas tan drásticas tienen su justificación en el hecho de que  los terroristas y los delincuentes en general, precisan de fondos económicos para financiar sus atentados o sus actividades delictivas y para ello suelen utilizar los sistemas financieros de los diferentes países.

El filtro por las listas de sanciones no sería efectivo, si las autoridades no alimentaran de forma continua esta herramienta de congelación o bloqueo.

Análisis operativo del Manual de buenas prácticas en la aplicación de listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales, publicado por el SEPBLAC en enero de 2015.

En la introducción del Manual, el SEPBLAC indica que las buenas prácticas que propone en su documento son aplicables fundamentalmente a las entidades financieras, aunque sugiere que podrían ser utilizadas, con las necesarias adaptaciones, por el resto de los sujetos obligados, puesto que igualmente que aquellas, han de cumplir con las sanciones y contramedidas financieras internacionales y para ello tendrán que desarrollar alguna metodología de cumplimiento.

Con las lista de sanciones sucede lo mismo que con los umbrales exentos de determinadas medidas de diligencia debida y de control interno, puesto que los sujetos  obligados que están dentro de los umbrales de exención han de desarrollar algún método interno que les permita  cumplir de forma eficiente con la Ley 10/2010 y con su Reglamento, aunque estén liberados de realizar determinadas “obligaciones formales”.

En la introducción del Manual, se indica que el documento de buenas prácticas no supone la imposición de obligaciones adicionales, ni la intensificación de las obligaciones previstas en la normativa aplicable en materia de sanciones y contramedidas financieras internacionales.

El SEPBLAC se ha limitado a recoger las experiencias positivas que ha ido obteniendo de los sujetos obligados durante su labor de Supervisión, uniéndolas a sus propias experiencias como Unidad de Inteligencia Financiera, creando con todo ello un modelo temporal que se adapta bastante bien al actual estado de la técnica, pero que mañana podría estar superado por la propia evolución de esa misma técnica.

Como el Manual de buenas prácticas toca diversos aspectos complejos agrupándolos en temas, nosotros vamos a reordenar estos mismos temas en procesos, cambiando para ello algunas de sus denominaciones.

1. Listas (Equivalente a “Buenas prácticas en la obtención de las listas a verificar”)
2. ¿Cómo aplicarlas? (Equivalente a “Buenas prácticas en el proceso de aplicación”)
3. ¿Dónde aplicarlas? (Equivalente a “Buenas prácticas en la determinación de bases de datos y transacciones”)
4. Gestión de las alertas (Equivalente a “Buenas prácticas en la gestión de alertas”)
5. Toma de decisiones ( Equivalente a “Buenas prácticas en el tratamiento de los casos de coincidencia real con listas”) 

LISTAS

Las buenas prácticas en la obtención de las listas de sanciones, es un tema que he analizado en un apartado anterior, por lo que no insistiré en el mismo.

¿CÓMO APLICARLAS?

El Manual de buenas prácticas, en relación con los procesos de aplicación de las listas de sanciones, plantea varios problemas prácticos que ya tienen solucionados  gran parte de los sujetos obligados financieros, como son: (BP10) la necesidad de disponer de herramientas tecnológicas, propias o externas, para el filtrado de las listas, (BP11) la valoración de la homonimia o similitud de nombres obtenidos en el filtrado, (BP12) la verificación mediante  procesos “on line” o procesos “batch”, (BP13) la periodicidad de las verificaciones, (BP14) la comprobación práctica del funcionamiento de los sistemas de verificación, (BP15) el registro de las verificaciones efectuadas, y (BP16) la participación activa de los órganos de prevención en el diseño y modificación de los procesos de verificación.

Analicemos este proceso con criterios prácticos:

Las recomendaciones (BP10) y (BP11) tienen un evidente sentido, porque desde un punto de vista operativo el filtraje de los clientes y operaciones, a través de las listas de sanciones,  y la gestión de las alertas generadas mediante estos procesos, no son fáciles de administrar para aquellos sujetos obligados que no dispongan de las herramientas tecnológicas adecuadas, puesto que los listados de sanciones ofrecen datos de muy baja calidad, lo que propicia la aparición de numerosos falsos positivos.

En cuanto a la determinación de los procesos en “on line” o en “batch”, dependerá de que se esté ante nuevos clientes u operaciones, donde las comprobaciones con las listas han de hacerse preferentemente en tiempo real (“on line”), o de que el  filtraje de las bases de datos de clientes se deba a la publicaciones de nuevas listas de sanciones o a la modificaciones de las ya existentes, en cuyo caso los procesos podrían hacerse de forma diferida y mediante lotes (“batch”) (BP12). Como muy bien se indica en el Manual, estas diferentes eventualidades deberán quedar establecidas por escrito en los procedimientos internos, porque afectan a las modalidades de los procesos y a su periodicidad (BP13).

En cuanto al resto de recomendaciones, hay que decir que ya existen muchas empresas que ofrecen a los sujetos obligados, mediante el pago por uso, plataformas tecnológicas para el filtrado de las listas de sanciones si no las tienen desarrolladas en propiedad (BP10). Normalmente, el filtrado por las listas de sanciones suele estar integrado como módulo independiente, dentro de plataformas tecnológicas PBCFT que tienen otras variadas  funciones de prevención, y son muy cuidadosas respecto a su fiabilidad operativa (BP14).

Estas plataformas tecnológicas dejan el necesario rastro probatorio para un posterior análisis forense, en el caso de que por cualquier razón se iniciara un proceso de investigación de blanqueo por el SEPBLAC u otra autoridad competente nacional o internacional, con lo que  cumplen la buena práctica recomendada (BP15).

¿DÓNDE APLICARLAS?

En el Manual, el tema dedicado a las buenas prácticas en la determinación de bases de datos y transacciones, pretende orientar a los sujetos obligados  sobre  el dónde  aplicar el filtro de las listas de sanciones, y para ello da siete consejos, que para su aplicación práctica habrá que contextualizar dentro de algún proceso previo que no se explica en el documento, pero que se da por hecho.

Entramos de nuevo en el espinoso asunto de las “Recomendaciones sobre las medidas de control interno para la prevención del blanqueo de capitales y de la financiación del terrorismo”, difundidas por el Director del SEPBLAC en abril de 2013 y que aún tienen su vigencia operativa para el Supervisor y, es por ello por lo que siguen apareciendo en los informes y publicaciones del SEPBLAC, aunque ahora estén desprovistas de cualquier imposición de obligaciones adicionales a las previstas en la normativa española de PBCFT:

http://www.sepblac.es/espanol/informes_y_publicaciones/documento%20_recomendaciones_sobre_medidas%20_control_interno_PBCFT.pdf

Para valorar la vigencia operativa de este documento de recomendaciones, hemos de analizar el Art. 32 del Reglamento de la Ley 10/2010, que trata del “Análisis del Riesgo” y que dice así:

1. Los procedimientos de control interno se fundamentarán en un previo análisis de riesgo que será documentado por el sujeto obligado. El análisis identificará y evaluará los riesgos del sujeto obligado por tipos de clientes, países, o áreas geográficas, productos, servicios, operaciones y canales de distribución, tomando en consideración variables tales como el propósito de la relación de negocios, el nivel de activos del cliente, el volumen de las operaciones y la regularidad o duración de la relación de negocios.
2. El análisis de riesgo será revisado periódicamente y, en todo caso, cuando se verifique un cambio significativo que pudiera influir en el perfil de riesgo del sujeto obligado. Asimismo, será preceptiva la realización y documentación de un análisis de riesgo específico con carácter previo al lanzamiento de un nuevo producto, la prestación de un nuevo servicio, el empleo de un nuevo canal de distribución o el uso de una nueva tecnología por parte del sujeto obligado, debiendo aplicarse medidas adecuadas para gestionar y mitigar los riesgos identificados en el análisis.

A la vista de las exigencias del Art. 32 del Reglamento, el documento de recomendaciones del SEPBLAC sobre medidas de control interno, constituye un Modelo interesante para los  sujetos obligados, porque al igual que sucede con el Manual de buenas prácticas que estamos analizando, el SEPBLAC recoge en aquel las experiencias positivas que ha ido obteniendo de los sujetos obligados durante su labor de Supervisión, y las ha unido a sus propias experiencias como Unidad de Inteligencia Financiera.

Este Modelo puede utilizarse perfectamente para confeccionar el Informe de Autoevaluación del Riesgo que exige el Art. 32.1 del Reglamento y que nos servirá ahora para responder a la pregunta que nos hemos hecho sobre dónde aplicar las listas de sanciones.

Criterio general sobre dónde aplicar las listas de sanciones

Las listas de sanciones han de aplicarse a todos los clientes, sean éstos personas físicas o jurídicas y también, a todas las personas físicas o jurídicas que aparezcan en las operaciones que mueven los sujetos obligados, aunque no estén hechas por sus clientes.

Por economicidad y por valoración interna de los factores de riesgo, la exigencia del párrafo anterior ha de ser  matizada por cada sujeto obligado en base a la recomendación (BP1) del  Manual de buenas prácticas, que aporta dos claves a tener en cuenta:

• a) El informe de autoevaluación del riesgo, del que ya hemos hablado  y que servirá para matizar el filtrado de las operaciones por la lista de sanciones.
• b) La sistematización de las bases de datos de clientes, para un efectivo control de las mismas de cara a su filtrado periódico por la lista de sanciones. De esta clave  hablaremos a continuación.

Existe un gran problema en algunas empresas, que dificulta el buen funcionamiento de la diligencia debida, y que consiste en el archivo de los datos de los clientes en diferentes bases, lo que obliga a realizar búsquedas simultáneas en varios sistemas durante los procesos PBCFT. Por ello resulta interesante la centralización de toda la información de clientes en una PLATAFORMA DE IDENTIFICACIÓN única, que contenga todos los EXPEDIENTES DE IDENTIFICACIÓN generados  por cualquiera de las divisiones administrativas o comerciales.

La CENTRALIZACIÓN DE LA INFORMACIÓN DE LOS CLIENTES, no sólo resulta conveniente para facilitar el filtraje de los nuevos clientes o de las personas que pretendan establecer con nosotros relaciones de negocio, sino también para  mantener sin riesgos toda la cartera de clientes durante el tiempo de vigencia de los listados de sanciones.

El control de la “cartera de clientes versus lista de sanciones”, se realizaría cotejando periódicamente mediante procesos “batch”, la base de datos de clientes contra las nuevas listas que vayan apareciendo, por si alguno de nuestros clientes  estuviera incorporado en las mismas, lo que exigiría tomar las medidas de congelación y bloqueo y además, habría que hacer un examen especial del Artículo 17 de todo el histórico de operaciones realizadas por el cliente alertado, para así completar la comunicación por indicio que hemos de hacer al SEPBLAC a raíz de su aparición en la lista de sanciones.

Especialmente resulta obligada, para una mayor seguridad, la consulta “on line” a las listas de sanciones cuando se produzcan actualizaciones importantes en el perfil de los clientes, o modificaciones en el propósito e índole de su relación de negocios.

En el caso de las entidades financieras, el filtraje a través de las listas de sanciones no sólo debe afectar a los clientes, sino también a los beneficiarios de los pagos que realizan estos clientes, por si alguno de ellos, ya sea persona física o jurídica estuviera sancionado, lo que obligaría a bloquear la ejecución o liquidación de estos pagos.

Llegado a este punto debo indicar que, si para todos los sujetos obligados resulta obligada la comprobación de las listas de sanciones, para las entidades financieras y especialmente para las bancarias se ha convertido en una cuestión prioritaria, por las graves consecuencias que pueden derivarse de un solo incumplimiento. Nos encontramos, por tanto, en un entorno de responsabilidad estricto, que puede provocar las mayores multas por incumplimiento en base a la regulación PBCFT, y lo que es aún más grave, puede perjudicar gravemente la reputación de una entidad en el ámbito nacional e internacional, sobre todo si de ese incumplimiento  se derivaran acciones penales.

Especialmente resulta arriesgado el incumplimiento de esta medida de diligencia debida para aquellos sujetos obligados que trabajan con ciudadanos y empresas de Estados Unidos, por la importancia de las sanciones que impone el Tesoro de aquel País, aplicadas y gestionadas por la Oficina de Control de Activos Extranjeros (OFAC), y que se aplican de forma extraterritorial, por lo que los bancos de todo el mundo pueden ser objeto de dichas sanciones y potencialmente considerados como responsables de este incumplimiento.

Las restantes recomendaciones del Manual del SEPBLAC tienen que ver con detalles prácticos sobre dónde aplicar la lista de sanciones:

• Como norma general, todos los clientes deben ser filtrados por las listas de sanciones, e igualmente debe ser filtrada la base de datos de clientes cada vez que haya modificaciones en las listas, así como todas las personas físicas o jurídicas que aparezcan en las operaciones  que se generen en la actividad de los sujetos obligados (BP2).
• Como norma general, sólo se permitiría la no verificación  con las listas de sanciones cuando exista “riesgo cero”. Ha de entenderse como “riesgo cero”,  cuando en las operaciones repetitivas de clientes, o de intervinientes que no sean  clientes, estos hubiesen sido ya verificados contra las listas de sanciones vigentes en el período de referencia. La no aplicación puntual y sistemática de las listas de sanciones deberá quedar documentada por escrito (BP3).
• La recomendación (BP4) está especialmente diseñada para los sujetos obligados con poco riesgo, por cuanto admite como factor atenuado del riesgo el que el cliente o la operación haya pasado previamente por un sujeto obligado sometido a la lista de sanciones, especialmente si éste pertenece al sector financiero.

Se recuerda que en  ningún caso hay eximente de responsabilidad por el no filtraje por la lista de sanciones basado en esta causa, por lo que los sujetos obligados que quieran beneficiarse de esta circunstancia, deberán documentarla debidamente en sus procedimientos internos.

Yo aconsejaría que pasaran a todos los clientes por el filtro “on line” de la lista de sanciones durante  el proceso de verificación de la identidad, y asimismo cuando éstos cambiaran sus perfiles de riesgo. De igual manera, se filtrara por la lista de sanciones la base centralizada de clientes mediante procesos “batch” cuando aquella sufriera alguna modificación.

En cuanto al filtro operacional obligatorio por la lista de sanciones, los sujetos obligados con poco riesgo deberían diferenciar y documentar,  aquellas operaciones que procedan de terceros que tengan sistemas  fiables en el control de las listas de sanciones, entre los que estarían las entidades financieras, de aquellas otras operaciones que procedan de sujetos  obligados de los que no se tenga constancia de su fiabilidad en el control de las listas de sanciones. Nunca debiera hacerse una suavización del control de operaciones a través de las listas de sanciones, cuando éstas fueran de riesgo y así estuviesen  establecidas en el informe interno de autoevaluación del riesgo.

Las recomendaciones (BP5), (BP6) y (BP7), inciden con el fondo de las recomendaciones que ya hemos analizado, que son las  (BP2), (BP3) y (BP4), en las que se nos recomienda el filtraje por las listas de sanciones no sólo a los titulares de las operaciones, sino a todos los intervinientes en las mismas (apoderados, autorizados, titulares reales, avalistas, etc.). En las transferencias recibidas habrá que filtrar al ordenante de las mismas por las listas de sanciones, y en las transferencias enviadas, habrá que filtrar, del mismo modo, al beneficiario no cliente.

En las operaciones de riesgo, no sólo habrá que programar el filtro de los nombres que aparecen en las casillas de identificación, sino que también habrá que filtrar el texto de las casillas de concepto, puesto que en las mismas podrían aparecer identidades de interés para la consecución de los objetivos de congelación o bloqueo de las listas de sanciones.

GESTIÓN DE LAS ALERTAS

Resulta complicado comentar el apartado del Manual del SEPBLAC dedicado a las buenas prácticas en la gestión de alertas, puesto que se limita a hacer algunas recomendaciones que posiblemente tienen que ver con deficiencias muy concretas conocidas  en su labor de supervisión e inspección.

Para comentar este tema voy a hacer una reflexión general sobre la gestión de las alertas, e incluiré en la misma las recomendaciones de buenas prácticas del Manual del SEPBLAC, puesto que se refieren a aspectos de interés en los que posiblemente incida este Organismo cuando supervise o inspeccione a los sujetos obligados.

Recopilando lo visto hasta ahora: conocemos las listas de sanciones que los sujetos obligados han de utilizar para el filtro de los clientes y de las personas físicas o jurídicas que intervienen en las operaciones que están bajo su responsabilidad.  También conocemos los criterios con que los sujetos obligados han de aplicar  las listas de sanciones, así como las orientaciones sobre dónde aplicarlas, en relación con los clientes y operaciones.

Realmente, los problemas operativos comienzan a surgir en la gestión de las alertas, por la propia dinámica de la actividad financiera, por la automatización necesaria de los sistemas de filtro, por la posible inseguridad de los resultados alertados, por la complejidad que requiere el diseño de los sistemas para la determinación del cómo y del dónde aplicar las listas de sanciones evitando situaciones que no estén cubiertas, por la gravedad de los incumplimientos, y por la probable limitación de los recursos humanos para la resolución de los problemas en los que se requiera la toma inmediata de decisiones.

El sistema de filtraje por las listas de sanciones, que habrá sido diseñado previamente mediante los procesos de cumplimiento ya analizados,  ha de estar integrado en los procesos de aceptación de clientes dentro de las áreas comerciales y en los procesos de  control de operaciones, de clientes y de no clientes, dentro de las áreas de riesgo, con derivación de las alertas hacia las áreas de control interno, y específicamente dentro de las mismas, hacia las unidades técnicas para el tratamiento y análisis de la información.

Una parte de las recomendaciones de este apartado del Manual de buenas prácticas, tiene que ver con la organización interna de las unidades técnicas, como la (BP21), que aconseja que dentro de las unidades de prevención u órgano de prevención equivalente haya personas dedicadas en exclusiva a las sanciones y contramedidas internacionales, o la (BP20) que exige que las unidades técnicas o los órganos de prevención equivalentes tengan acceso a toda la información necesaria para la toma de decisiones en  la resolución de las alertas, o la (BP22), que recomienda mantener un archivo con todas las alertas recibidas, o la (BP23), que exige la definición de criterios que impidan la reiteración de alertas idénticas, o finalmente, la (BP24), que recomienda la aplicación de medidas de diligencia debida reforzada a las personas sobre las que no pueda afirmarse  con certeza que no están incluidas en las listas de sanciones.

Como puede observarse en el esquema anterior, son recomendaciones inconexas que han de incluirse en su lugar adecuado, dentro de los procedimientos internos de las propias unidades técnicas. También son recomendaciones que  tienen conexión operativa con otros procesos, como por ejemplo, los relativos a las buenas prácticas en la aplicación de las listas de sanciones.

La organización de las unidades técnicas, o de los órganos de prevención equivalentes cuando las primeras no sean exigibles en razón a los umbrales exentos por Ley, corresponde a la autonomía interna de los sujetos obligados, incluyéndose dentro de esta autonomía la planificación de los procedimientos internos y el contenido de los manuales de prevención, en los que lógicamente estarán integrados los procesos relativos a las listas de sanciones, y en los que siempre se tendrán en cuenta las recomendaciones que  vayan llegando desde el Supervisor, como por ejemplo, las contenidas en el actual Manual de buenas prácticas.

Por otra parte, las recomendaciones (BP17) y (BP19), tienen que ver con los manuales de prevención en lo relativo a las listas de sanciones, puesto que en los mismos han de describirse de forma detallada las acciones a realizar cuando se producen alertas sobre posibles coincidencias de nombres, o la atribución de la capacidad final de decisión en el tema alertas, a  las unidades técnicas para el tratamiento o análisis de la información, o a su unidad equivalente dentro de los órganos de prevención del blanqueo.

Tanto la recomendación (BP18), como una parte de la (BP19), tienen que ver con la informatización operativa de los manuales de prevención, para impedir de forma automática  que las operaciones se ejecuten mientras no esté decidido si las alertas de nombres no responden a coincidencias reales (BP18), lo que implica también la automatización del conocimiento de las alertas por las unidades técnicas o por los órganos de prevención equivalentes, puesto que éstas son las unidades operativas sobre las que recaen las responsabilidades últimas de este tipo de decisiones (BP19).

TOMA DE DECISIONES

El filtrado de clientes y de operaciones por las listas de sanciones tiene como único objetivo  la congelación o bloqueo provisional de todos los fondos y recursos económicos cuya propiedad, control o tenencia corresponda a personas, entidades u organismos que aparezcan en los listados, tal como queda establecido en el Art. 48.1  del Reglamento de la Ley 10/2010.

Las medidas de congelación o bloqueo se llevarán a cabo de forma inmediata por cualquier persona física o jurídica, que también inmediatamente comunicará por escrito a la Secretaría General del Tesoro y Política Financiera la congelación o el bloqueo efectuado, incluyendo en la comunicación todos los datos relativos al titular, la cuantía y naturaleza de los fondos o recursos económicos que se hubieran congelado o bloqueado y demás circunstancias concurrentes, tal como queda establecido en el Art. 48.3 del Reglamento de la Ley 10/2010.

Todos los procesos analizados hasta ahora, siguiendo el Manual de buenas prácticas del SEPBLAC, tienen como único objetivo la congelación o bloqueo de los fondos y recursos económicos de las personas físicas o jurídicas que aparecen en las listas de sanciones, por lo que este último proceso que analizamos y que hemos denominado TOMA DE DECISIONES, es el principal de todos ellos y lógicamente, también ha sido objeto de algunas  recomendaciones en el Manual.

La primera de ellas es la (BP25) que exige tener establecidos los procedimientos necesarios para el bloqueo y congelación de fondos.

Estos procedimientos de congelación o bloqueo estarán circunscritos a los Órganos de Control Interno establecidos en el Art. 26 de la Ley 10/2010 y el Art. 35 del Reglamento: OCIC, Representante ante el SEPBLAC y su equipo de cumplimiento, así como la Unidad Técnica para el Tratamiento y Análisis de la Información o el órgano de prevención PBCFT con responsabilidades técnicas equivalentes.

Las recomendaciones (BP26) y (BP27), que tratan del examen especial de los clientes y su histórico de operaciones,  en el caso de aparecer en las listas de sanciones, o porque fueran contrapartes en operaciones con personas físicas o jurídicas incluidas en las listas, constituyen consecuencias lógicas de las obligaciones de información que tienen los sujetos obligados.

Dentro de los procedimientos de la recomendación (BP25),  también debería quedar establecida no sólo la comunicación  inmediata de congelación y bloqueo a la Secretaría General del Tesoro y Política Financiera, según lo establecido por el Art. 48.3 del Reglamento, sino también la comunicación por indicios al SEPBLAC de esa misma comunicación, con lo que sólo quedaría por hacer, posteriormente, el trabajo de examen especial propuesto por  las recomendaciones (BP26) y (BP27), cuyo resultado se pondría en conocimiento del SEPBLAC mediante una comunicación por indicios, según lo establecido en el Art. 18 de la Ley 10/2010.

La recomendación (BP28) y última del Manual de buenas prácticas del SEPBLAC, no tiene que ver específicamente con este último  proceso que estamos analizando, sino con la totalidad de los procesos que hemos estudiado, puesto que la aplicación de listas de personas y entidades sujetas a sanciones y contramedidas financieras internacionales, no es un proceso cerrado sino revisable en el tiempo, al igual que lo son las recomendaciones analizadas de buenas prácticas del SEPBLAC.