Repercusiones prácticas y organizativas que impone la legislación vigente en el tema de la identificación de los clientes
Voy a hacer algunos cometarios, en esta entrada, sobre las repercusiones prácticas y organizativas de la identificación de los clientes, como paso previo al análisis de la identificación en nueva Ley 10/20010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y de la Tercera Directiva. La nueva Ley va a obligar a los sujetos obligados y, específicamente a las entidades financieras, a un cambio de mentalidad en esta materia.
El primer comentario tiene que ver con la práctica diaria en la identificación de los clientes que tiene una gran parte del Sector Financiero, que debería ser la misma en todas las empresas, tanto para la prevención del fraude como para la prevención del blanqueo, puesto que en ambos casos, la responsabilidad de la identificación de los clientes recae directamente bajo los departamentos que están más cercanos a la prevención del fraude que a la prevención del blanqueo, como son, por ejemplo, los departamentos de análisis de riesgos o los de seguridad.
Esta realidad práctica demuestra la íntima conexión operativa que debe establecerse dentro de las empresas financieras, entre prevención del fraude y prevención del blanqueo, si se quiere llegar a la necesaria optimización de los sistemas internos de identificación de los clientes.
La identificación de los clientes ha de ser incluida en los procedimientos internos, tras la publicación de la nueva Ley, bajo los criterios estrictos de la normativa de prevención del blanqueo de capitales, puesto que resulta absurdo y antieconómico no hacerlo así, si queremos evitar la duplicidad en los sistemas de identificación, y además, porque sobre empresas financieras y sobre los empleados que tienen a su cargo el proceso de identificación, pesa la grave responsabilidad del incumplimiento de esta legislación, aunque sean departamentos o personas que no estén específicamente dedicadas a la prevención del blanqueo de capitales y de la financiación del terrorismo.
En general. son los departamentos que están más cerca de la prevención del fraude, como los de riesgos y seguridad y no de los de prevención del blanqueo, los que están encargados de la identificación de los clientes dentro de las empresas financieras, y por tanto, los que tienen que valorar internamente los procedimientos que actualmente se utilizan para la identificación, asesorando a los altos directivos de sus empresas sobre la realidad existente en esta materia y, promoviendo los cambios necesarios para el debido cumplimiento de la Ley, lo que, sin duda, derivará también en una mejor prevención del fraude, especialmente el de identidad, que cada vez supone un mayor gasto para las entidades financieras.
A este efecto sugiero que se aborde en cada empresa financiera un debate interno que sirva para poner en evidencia las lagunas que actualmente existen en la identificación de los clientes, a la luz de la actual legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo.
Es cierto que gran parte de las inadaptaciones que se encontrarán tras este análisis tienen su justificación en el hecho evidente, de que cada nicho de negocio financiero suele tener montada la identificación de los clientes sobre criterios estrictamente comerciales, por lo que cualquier mejora para el cumplimiento de la legislación de blanqueo, para ser realmente operativa, tendría que ser abordada por los sectores implicados, mediante la necesaria homogeneización de los procedimientos de identificación, evitando así la temida competencia desleal.
Igualmente se debería seguir trabajando, en cada sector de actividad, en la creación y utilización de procedimientos tecnológicos cooperativos para la debida identificación de los clientes, lo que permitiría reducir costes y potenciaría la efectividad operativa en los procesos de identificación.
Teniendo en cuenta que la nueva Ley de prevención del blanqueo de capitales, que ya está en vigor, tiene la identificación de los clientes como uno de sus puntos más fuertes, las entidades financieras debería efectuar en este momento este análisis en profundidad, si no lo han hecho ya, para no incurrir en serias responsabilidades en esta materia específica.
Repercusiones prácticas y organizativas derivadas de la actual normativa
Ya la normativa anterior también exigía identificar a los clientes mediante documentos fehacientes, especificando perfectamente cada uno de ellos: DNI, Tarjeta de Extranjero, Pasaporte, etc.
También dejaba clara la responsabilidad de las entidades en la verificación de estos documentos, cuando obligaba a que los mismos fueran presentados físicamente en el acto de la identificación. Esta responsabilidad nos venía y viene impuesta, porque el Estado ha dotado a estos documentos identificativos de características específicas contra la falsificación que necesariamente deberían ser reconocidas por las personas que los analizan, ya sea mediante programas de formación y/o mediante los instrumentos técnicos que existen en el mercado para este tipo de comprobaciones.
Todas las exigencias en la identificación que estaban establecidfas en la anterior Ley, se recogen y se fortalecen en la nueva Ley, por lo que las entidades deberían poder demostrar en todo momento, al SEPBLAC y a las Autoridades, que en sus protocolos internos, la identificación de los clientes está perfectamente adaptada a la legislación sobre prevención del blanqueo de capitales, y de que existe una formación en la que que se tiene en cuenta también esta materia de la falsificación documental, y que, además, poseen y utilizan el material tecnológico adecuado, siempre disponible en los lugares en los que se realiza la identificación de los clientes.
La dificultad y la peligrosidad para el cumplimiento de esta obligación reside en la identificación a través de un tercero. Así sucede en muchas de las actividades de comercilización del crédito o de operativa bancaria a través de Internet o banca telefónica, puesto que la responsabilidad de la identificación siempre recae en el sujeto obligado y no en ese tercero al que se encomienda el trabajo de verificación. Por ello resulta imprescidible modificar los procesos de identificación de los clientes en los sectores que se dedican a la financiación del crédito a través de puntos de venta, o a contratación de forma electrónica o telefónica, si es que estas entidades quieren adaptarse con seriedad a la legislación sobre prevención del blanqueo. Este proceso de modernización ya es imparable con la nueva Ley, y no podremos justificar la identificación mediante el archivo de fotocopias obtenidas en los puntos de venta, o entregadas por los clientes a los mensajeros, tan como sucede en los procedimientos documentales de contratación que se están utilizando en la actualidad por la banca electrónica o la banca telefónica, en los que la comprobación de la veracidad en la identificación se encarga a un empleado de una empresa de mensajería.
Una lectura pausada de la anterior Ley y Reglamento, nos indicaba que los procesos de identificación de los clientes no concluían en los actos puntuales de verificación de los documentos de identidad, sino que proseguían mientras durase la relación contractual. Con la nueva Ley que ha entrado en vigor, esta exigencia es aún más clara, puesto que junto con la identificación, las entidades han de seguir trabajando en el conocimiento de los clientes, lo que implica la puesta en funcionamiento de una estructura tecnológica capaz de generar inteligencia en este tipo de investigaciones mediante la consulta a numerosas bases de datos internas y externas.
Un ejemplo de la necesaria estructura tecnológica de inteligencia que la legislación anterior sobre prevención del blanqueo de capitales obligaba a crear, podemos obtenerlo en el propio texto del Reglamento (Art. 3.4) que dice, “cuando existan indicios o certeza de que los clientes no actúan por cuenta propia, los sujetos obligados recabarán la información precisa a fin de conocer la identidad de las personas por cuenta de las cuales actúan”, lo que significa que las empresas tenían la obligación ya, con la anterior legislación, de ayudar a la Administración a levantar el velo en la identificación, poniendo al descubierto las identidades de los que estaban realmente detrás de las operaciones, lo que sin duda presuponía la existencia de plataformas y equipos humanos que permitieran generar inteligencia.
Esta exigencia se reconoce aún más con la nueva Ley como veremos en las próximas entradas, y su cumplimiento debemos reconocer que no sólo beneficia a la prevención del blanqueo sino que también resulta muy útil para el análisis del riesgo y para seguridad de las propias operaciones contratadas.
La colaboración de las iniciativas Pública y Privada en el proceso de la identificación de los clientes:
El proceso de verificación de los datos que entregan los clientes, contra los datos indubitados que contienen los repositorios públicos resultará imprescindible con la nueva Ley, por lo que a partir de ahora se habrá de negociar con la Administración esta posibilidad. Se abrirá un camino dificultoso que, sin duda, llevará su tiempo recorrer porque está imbuído de una gran carga política y, solo podrá alcanzarse para la prevención del blanqueode capitales, para lo que será necesaria la firma de Convenios de Colaboración entre las Instituciones Públicas y Privadas; es la solución que ha sido sugerida por la Agencias Española de Protección de Datos, pero siempre que medie la obtención del consentimiento de los ciudadanos.
Las nueva Ley no nos obligará a las entidades financieras a la obtención del consentimiento para el acceso a una serie de bases de datos externas de propiedad privada; pero en el caso de las bases de datos de propiedad públicas nos encontraremos que sólo se podrá acceder mediante el consentmiento, porque es un tema muy delicado. Y esto es así, desgraciadamente, porque resulta casi imposible justificar políticamente la prevención del blanqueo y el legítimo interés privado que existe por esta información, como medio de asegurar frente al fraude, las actividades de negocio de los propios sujetos obligados.
Concretamento en la verificación de la identidad, se cruzan inexorablemente la ligitimidad de la prevención del blanqueo y la legitimidad de la prevención del fraude. Y resulta evidente que para el cumplimiento de ambas legitimidades se han de crear, dentro de las entidades y fuera de ellas, bases de datos utilizadas por diferentes departamentos y no solo por los específicamente dedicados a la prevención del blanqueo. Por todo ello sugiero que las entidades financieras aborden este problema con claridad en cuanto a los objetivos que tienen que conseguir.
No pensemos, por tanto, que la normativa sobre prevención del blanqueo será la panecea que evite la obtención de consentimiento en el futuro, porque no será así y nos estaremos engañandonos y engañando a nuestras empresas. Es cierto que la nueva legislación permite la creación de numerosas bases de datos sin consentimiento, pero estos Repositorios estarán circunscritos, básicamente, al examen especial de operaciones por los departamentos de prevención del blanqueo. Pero la mayor parte de la información que generará las alertas de blanqueo, vendrá del trabajo productivo de cada organización y especialmente de las plataformas que las entidades tangan creadas para la prevención del fraude.
Si esto es así, no merece la pena seguir retrasando la inclusión de la obtención del consentimiento de los clientes en los procedimientos comerciales, puesto que para que las entiddades financieras sean efectivas, no podrán obviar la consulta a las bases de datos públicas y a las bases de datos de prevención del fraude privadas, puesto que ambas fuentes de información van a ser imprescindibles para la prevención del blanqueo. Y para el acceso a estas fuentes se necesita, sin ninguna duda, este consentimiento, si es que las entidades no quieren crear cuellos de botella en los procedimientos, limitándose a utilizar a los departamentos de blanqueo para esta comprobación.
Consecuencias del incumplimiento de la obligación de identificar
No exigir, mediante la presentación de documento acreditativo, la identificación formal de los clientes en el momento de entablar relaciones de negocio, así como de cuantas personas pretendan efectuar cualesquiera operaciones, salvo aquellas que queden exceptuadas reglamentariamente, constituye una infracción grave.
Se incluye también como infracción grave el incumplimiento de la obligación de aprobar por escrito y aplicar políticas y procedimientos adecuados de control interno, en los términos del Art. 26.1 de la nueva Ley, incluida la aplicación de una política expresa de admisión de clientes.
Igualmente será infracción grave, el incumplimiento de la obligación de establecer órganos adecuados de control interno, con inclusión, en su caso, de las unidades técnicas, que operen en los términos exigidos por las medidas de control interno, entre las que estarán las referidas a la identificación de los clientes.
Además de la responsabilidad que corresponda a la entidad obligada, quienes ejerzan en ella cargos de administración o dirección, sean unipersonales o colegiados, serán responsables de las infracciones muy graves o graves cuando éstas sean imputables a su conducta dolosa o negligente.
Por la comisión de infracciones graves se podrán imponer las siguientes sanciones:
Amonestación privada.
Amonestación pública.
Multa cuyo importe mínimo será de 6.001 euros y cuyo importe máximo podrá ascender hasta la mayor de las siguientes cifras: el 1 por 100 del patrimonio neto del sujeto obligado; el tanto del contenido económico de la operación, más un 50 por 100, o 150.000 euros.
La sanción de multa, que ha de ser obligatoria en todo caso, se impondrá simultáneamente con alguna de las previstas junto con aquella.
Además de la sanción que corresponda imponer a la entidad obligada por la comisión de infracciones graves, se podrán imponer las siguientes sanciones a quienes, ejerciendo cargos de administración o dirección en la misma, fueran responsables de la infracción:
Amonestación privada.
Amonestación pública.
Multa a cada uno de ellos por un importe mínimo de 3.000 euros y máximo de hasta 60.000 euros.
Suspensión temporal en el cargo por plazo no superior a un año.
La sanción de multa, que ha de ser obligatoria en todo caso, se impondrá simultáneamente con alguna de las previstas junto con aquella.
