La debida diligencia de KYC en la UE

Alicio

Alicio

Hace unos días, la OCCRP reveló que el gigante bancario europeo Credit Suisse contaba con más de 18 000 cuentas asociadas a delincuentes, personas sancionadas y acusadas de soborno, corrupción, lavado de dinero, entre otros delitos financieros. Recientemente, otros bancos europeos líderes, como Danske Bank, Deutsche Bank, ING, ABN Amro, DNB, Commerzbank, etc., se han visto implicados en polémicas y han sido multado por deficiencias en sus medidas de cumplimiento de KYC CDD.

Por eso, más que nunca, las empresas financieras deben invertir en la transformación de sus sistemas y procesos KYC CDD hacia un cumplimiento mejorado.

Solo en los últimos 5 años, la Comisión Europea (CE) ha emitido sólidas directivas de debida diligencia del cliente (CDD) a través de los MLD de la UE (4.º, 5.º y 6.º). Estas normativas proporcionan reglas holísticas y efectivas para luchar contra los delitos financieros.

No obstante, al tratarse de regulaciones relativamente recientes, los marcos y procesos KYC seguidos por las instituciones financieras (FI) en los estados miembros de la UE no están completamente estandarizados, por lo que surgen lagunas que los delincuentes las aprovechen.

KYC y CDD en la UE: requisitos frente al estado actual

Requisitos

La diligencia debida de los clientes (individuos y entidades) por parte de las instituciones financieras se extiende más allá del KYC inicial que cubre la identificación y la incorporación del cliente. Las Money Laundering Directives (MLD) de la UE requieren una diligencia debida continua a través de la evaluación periódica de los clientes para Sanciones y PEP, escaneos de medios adversos, identificación del beneficiario final y diligencia debida, revisiones periódicas y evaluaciones de riesgo, entre otros.

Si bien una CDD simplificada es suficiente para clientes de riesgo bajo y medio, cada cliente de alto riesgo debe estar sujeto a la debida diligencia mejorada (EDD). De ahí, el interés por fomentar las herramientas de identificación y verificación de identidad (IDV) en el proceso de diligencia debida siempre que sea posible.

Estado actual

Los estados miembros de la UE se encuentran en diferentes niveles de madurez en el cumplimiento de las reglas KYC según las MLD 4/5/6 de la UE, así como la interpretación y aplicación de las MLD. Algunos ejemplos son las variaciones en torno a los requisitos de CDD, PEP y selección de medios adversos, controles internos y evaluaciones de riesgo del cliente, requisitos de informes, etc. Polonia, por ejemplo, no exige una revisión periódica de los clientes. Hungría requiere verificar solo la auto-PEP, no para familiares o asociados cercanos. Los roles aplicables como PEP y la duración después de dejar ese rol para ser considerado como PEP (el requisito de MLD es un mínimo de 12 meses) varían ampliamente entre los estados miembros de la UE.

Lo mismo ocurre con la determinación del beneficiario final como aquel que posee más del 25 % de la propiedad o el control, con criterios y cálculos que difieren entre los estados de la UE. Mientras que España usa la regla >25%, otros como Austria y Finlandia usan la regla >25%. Varios países aún no han hecho públicos sus Registros Corporativos, lo cual era un requisito de MLD4. En algunos países como Noruega y los Países Bajos, las IF utilizan Bisnode y KVK respectivamente (que actualmente funcionan como registros nacionales) para la verificación y revisión de BO. Mientras tanto, 6 bancos en 4 países nórdicos, es decir, Suecia, Dinamarca, Noruega y Finlandia, han creado conjuntamente Invidem, una utilidad KYC compartida en la región con datos, documentación y procesos KYC estandarizados para la debida diligencia de los clientes corporativos.

Pasos para lograr el cumplimiento efectivo de KYC por parte de las instituciones financieras de la UE

La CE anunció en julio de 2021 la implementación de una Autoridad Única de AML de la UE y un Libro de reglas único de la UE para aplicar estándares comunes de KYC y AML en toda la UE. Esto entrará en vigencia a partir de 2024 y armonizará las diferencias que existen en la aplicación de las reglas de debida diligencia del cliente, entre otras.

Con el fin de fortalecer los marcos KYC CDD actuales y prepararse para la implementación del libro de reglas común, las IF deben evaluar las siguientes áreas e iniciar la remediación/transformación en consecuencia:

Incorporación digital utilizando IDV inteligente

Aprovechando las herramientas biométricas y habilitadas para IA para la identificación y verificación digital durante la incorporación, la remediación de datos del cliente y las revisiones periódicas.

Revisión basada en el riesgo de todos los clientes

La revisión periódica requerida por los MLD actuales debe realizarse en función del nivel de riesgo de los clientes. Por ejemplo, revise los clientes de alto riesgo cada 1 año, riesgo medio en 3 años y riesgo bajo en 5 años como mínimo.

Detección automática de medios adversos

Reemplazo de la búsqueda manual tradicional basada en la web con soluciones inteligentes impulsadas por IA para noticias negativas e información de medios adversos sobre clientes y BO, integrándolos con flujos de trabajo de diligencia debida continuos y de incorporación, y realizando EDD donde se identifican señales de alerta.

Verificación del beneficiario real de los registros corporativos

En países donde los registros corporativos son funcionales, p. Suecia, España, Luxemburgo y varios otros, las IF deben verificar la información de BO de sus clientes corporativos a partir de esta fuente. También deben notificar al Registro en caso de que adviertan alguna discrepancia mientras realizan su propia diligencia debida.

Desencadenadores de EDD para cambios materiales y eventos de alto riesgo: realizar EDD en clientes independientemente de sus niveles de riesgo, siempre que se descubra un evento de alto riesgo en su transacción o comportamiento de cuenta, noticias adversas, cambio en la industria, cambio en la fuente de riqueza, cambio en BO, SAR presentado, etc.

Las IF deben realizar una evaluación de riesgos exhaustiva de sus marcos KYC y AML que cubren los 22 delitos determinantes. Deben evaluar la efectividad de los controles existentes para los riesgos inherentes y definir mitigaciones para los riesgos residuales como referencia frente a los MLD actuales.

Sobre el autor

Sujata Dasgupta – Global Head of Financial Crime Compliance Advisory en Tata Consultancy Services. Síguela en Linkedin

Si te ha gustado, comparte en

Ver todas las entradas

También te puede interesar

Regulación GDPR

octubre 10, 2023

Legal Session #2: Regulación sobre la protección de datos

Hace unas semanas, se llevó a cabo la segunda sesión a puertas cerradas para la comunidad de Alice junto al despacho boutique ATH21, en la que Marina Fontcuberta, Senior Associate, respondió las dudas respecto a la protección de datos, las normativas vigentes y cómo cumplirlas en los distintos procesos de la compañía.  “Todos hemos oído […]

abril 26, 2023

Qué es la PSD3 y por qué debemos tenerla (muy) en cuenta

La Directiva de Servicios de Pago 3 (PSD3) es una legislación europea que busca regular los servicios de pago y mejorar la protección de los consumidores en el ámbito de las transacciones financieras electrónicas. Esta directiva es la evolución de la PSD2 y trae consigo nuevos requisitos y responsabilidades tanto para los proveedores de servicios […]

 lavado de dinero

abril 18, 2023

¿Cómo ayudan las RegTech a prevenir el lavado de dinero?

El lavado de dinero es una preocupación cada vez mayor para las instituciones financieras y las autoridades reguladoras en todo el mundo. A medida que los delincuentes se vuelven cada vez más sofisticados en sus métodos de blanqueo de capital, las empresas necesitan buscar formas innovadoras de detectar y prevenir el fraude financiero.  Es aquí […]