fbpx

Innovación digital y delitos financieros: una guía completa para crear un programa eficaz de cumplimiento contra el lavado de dinero en la era de los avances tecnológicos

Digital Innovation And Financial Crime

La innovación digital y los delitos financieros están intrínsecamente vinculados en la era moderna, lo que requiere que las empresas adapten continuamente sus estrategias y marcos de cumplimiento para mitigar los riesgos asociados de manera efectiva.

Para proteger la integridad de la economía y el sistema financiero, las entidades de todos los sectores deben ser conscientes de los riesgos de delitos financieros cuando se relacionan con clientes nuevos o existentes que pueden suponer un mayor riesgo. En los últimos años, la innovación tecnológica y la evolución de los activos y monedas digitales han crecido exponencialmente, catalizada por la necesidad de acceso a los sistemas financieros durante los confinamientos por la pandemia. 

Los delitos financieros se han convertido en un fenómeno cada vez más transfronterizo en el mundo globalizado. La digitalización actúa como un arma de doble filo, brindando oportunidades para el fraude y el lavado de dinero en la creación, alteración o robo de información.

Innovación Digital Y Delitos Financieros

Innovación digital y delitos financieros

Las técnicas de lavado de dinero se han vuelto más sofisticadas a lo largo de los años junto con la innovación tecnológica. Las empresas tapadera son utilizadas por los delincuentes, que pueden ocultar mejor su identidad al realizar transacciones o abrir cuentas. El robo de identidad es un ejemplo en el que el riesgo de fraude converge con el lavado de dinero, lo que permite a los malos actores disfrazar actividades ilícitas a través de las cuentas de las víctimas. Estos delitos a menudo surgen y/o se complementan entre sí.

Un programa eficaz de cumplimiento de la lucha contra el blanqueo de capitales consiste en:

  1. Sólido marco de lucha contra el blanqueo de capitales en toda la empresa 

Los riesgos de delitos financieros, incluidos los riesgos de blanqueo de capitales y financiación del terrorismo , son componentes importantes del marco general de gestión de riesgos de toda la empresa y de las actividades de cumplimiento. 

En cualquier organización, el diseño de un marco de cumplimiento AML comienza con la articulación del apetito de riesgo de la organización, que luego impulsa la gestión de riesgos y las políticas de cumplimiento AML. 

No hay una talla única, especialmente con Fintech. Por lo tanto, este ejercicio requiere una amplia evaluación de riesgos basada en el entorno externo e interno. Este es un proceso continuo mediante el cual una empresa determina los riesgos que existen y cómo pueden mitigarse.

La implementación de la política implica el establecimiento del entorno de gobierno y control de riesgos, que incluye la formación del consejo de administración, el comité de auditoría, el comité ejecutivo y las tres líneas de defensa: 

  • 1ª línea – Operaciones comerciales que realizan las actividades diarias de gestión de riesgos;
  • 2ª línea : Riesgo y Cumplimiento proporcionan supervisión y establecen instrucciones, definen políticas y brindan garantías. El Oficial de Cumplimiento que es responsable de la revisión e implementación del programa AML para la empresa debe estar bien capacitado y calificado y se le debe dar acceso a los recursos necesarios para cumplir con las necesidades de la función; y
  • 3ª línea – La Auditoría Interna ofrece un desafío independiente a los niveles de seguridad proporcionados por las operaciones comerciales y las funciones de supervisión y garantiza que los sistemas y controles funcionen de manera efectiva. Los resultados de la auditoría son insumos para la mejora continua del proceso de gestión de riesgos de cumplimiento. 
  1. Marco eficaz de gobernanza del ciclo de vida del cliente

El ciclo de vida del cliente es el proceso que abarca la selección, la aceptación y la salida del cliente. Este ciclo de vida se puede dividir en 5 partes:

  • Comprender el riesgo: establecer una metodología de clasificación de riesgos que tenga en cuenta factores como los tipos de clientes, la geografía, es decir, de dónde son los clientes, el lugar donde operan, el segmento de negocio, los productos/servicios y los canales de entrega. Con la tecnología y el big data, se incrementa el uso de algoritmos de riesgo, otra información a incluir en la calificación de riesgo y cómo acceder a esta información.
  • La debida diligencia del cliente es la aplicación de procesos y controles, que utiliza la evaluación de riesgos, cuyos resultados influyen en la decisión de aceptar o rechazar una relación comercial con un cliente en particular. Dependiendo del modelo de negocio, en las Fintech se suele emplear la diligencia debida con el cliente no presencial. Esto hace uso de la tecnología de identificación/verificación para prevenir riesgos fraudulentos en la incorporación mediante el uso de tecnología para hacer coincidir los puntos de datos. La tecnología incluye una prueba de vida, selección de nombres para sanciones y PEP a través de la búsqueda automatizada en línea, y proveedores de datos privados y públicos de terceros.
  • Las empresas o clientes existentes están sujetos a revisión y monitoreo continuos. Esto incluye la debida diligencia periódica, el monitoreo de transacciones y las alertas rojas. El aumento del uso de soluciones digitales para la lucha contra el blanqueo de capitales y la financiación del terrorismo basadas en la inteligencia artificial (IA) con capacidades de aprendizaje automático y procesamiento del lenguaje natural puede ayudar a identificar mejor los riesgos de LA/FT y a responder y supervisar las actividades sospechosas. La mejora de la capacidad de supervisión e intercambio de información en tiempo real permite una supervisión más informada de las evaluaciones de riesgos, las prácticas de incorporación, la rendición de cuentas y la buena gobernanza general, al tiempo que ahorra costes. 
  • Los procedimientos de presentación de informes y escalamiento implican el seguimiento de las tendencias, incluido el establecimiento de indicadores clave de rendimiento, y otras estadísticas para las partes interesadas internas con fines informativos y/o de toma de decisiones. La presentación de informes externos implica informar a las partes interesadas externas, como inversores, auditores externos, reguladores y autoridades, incluidos los informes de actividades sospechosas o transacciones. La escalada se refiere a las infracciones que deben escalarse tras su identificación. 

La relación de mitigación o de salida: Los clientes potenciales pueden ser rechazados durante la evaluación inicial del riesgo si se determina que están más allá del perfil de riesgo y el apetito de una empresa. Las condiciones pueden cambiar después de que se hayan establecido relaciones comerciales, que pueden estar relacionadas con cambios en el negocio, el entorno regulatorio, las actividades de los clientes o las alertas generadas por el monitoreo de transacciones.

Esto puede requerir que se tomen decisiones para terminar las relaciones comerciales. No se puede restar importancia a la gobernanza en este proceso, ya que puede haber un impacto significativo en la reputación o en la normativa de la empresa. Deben establecerse las políticas y procedimientos sobre las salidas de los clientes.

Prevención de riesgos de blanqueo de capitales

Independientemente de la naturaleza de la relación o de la transacción de activos virtuales, las entidades obligadas deben disponer de procedimientos de diligencia debida con respecto al cliente que apliquen y utilicen de manera efectiva para identificar y verificar la identidad de un cliente sobre la base del riesgo, incluso cuando establezcan relaciones comerciales con dicho cliente; cuando tengan sospechas de LA/FT, independientemente de cualquier exención de umbrales; y cuando tengan dudas sobre la veracidad o adecuación de los datos identificativos obtenidos con anterioridad. 

Al igual que otras entidades obligadas, al llevar a cabo la DDC para cumplir con sus obligaciones en virtud de la Recomendación 10 del GAFI, las entidades obligadas deben obtener y verificar la información de identificación/verificación del cliente requerida por la legislación nacional. Por lo general, la información de identificación del cliente requerida incluye información sobre el nombre del cliente y otros identificadores, como una dirección física, fecha de nacimiento y un número de identificación nacional único, como el número de identidad nacional o el número de pasaporte. 

Dependiendo de los requisitos de sus marcos legales nacionales, también se alienta a los VASP a recopilar información adicional para ayudarlos a verificar la identidad del cliente al establecer la relación comercial, autenticar la identidad de los clientes para el acceso a la cuenta, ayudar a determinar el perfil comercial y de riesgo del cliente y llevar a cabo la debida diligencia continua sobre la relación comercial, y mitigar los riesgos de LA/FT asociados con el cliente y la financiación financiera del cliente Actividades.

Innovación Digital Y Delitos Financieros

Esta información adicional de identidad no básica, que algunos VASP recogen actualmente, podría incluir, por ejemplo, una dirección IP con una marca de tiempo asociada, datos de geolocalización, identificadores de dispositivos, direcciones de monederos VA y hashes de transacciones. La verificación de la información de los clientes y beneficiarios reales por parte de los VASP debe completarse antes o durante el establecimiento de la relación.

Sobre la base de una visión holística de la información obtenida en el contexto de su aplicación de medidas de DDC, que podría incluir tanto información tradicional como información no tradicional. Los VASP y otras entidades obligadas deben poder elaborar un perfil de riesgo del cliente en los casos adecuados.

El perfil de un cliente determinará el nivel y el tipo de monitoreo continuo potencialmente necesario y respaldará la decisión del VASP de entablar, continuar o terminar la relación comercial. Los perfiles de riesgo pueden aplicarse a nivel de cliente (por ejemplo, la naturaleza y el volumen de la actividad comercial, el origen de los fondos virtuales depositados, etc.) o a nivel de grupo, donde un grupo de clientes muestra características homogéneas (por ejemplo, clientes que realizan tipos similares de transacciones de AV o que involucran al mismo VA).

Los proveedores de servicios de valor añadido deben actualizar periódicamente los perfiles de riesgo de los clientes de las relaciones comerciales para aplicar el nivel adecuado de DDC. Si un VASP descubre direcciones de VA con las que ha decidido no establecer o continuar relaciones comerciales o realizar transacciones debido a sospechas de LA/FT, el VASP debe considerar poner a disposición su lista de «direcciones de billetera incluidas en la lista negra», sujetas a las leyes de la jurisdicción del VASP.

Un VASP debe cotejar las direcciones de billetera de sus clientes y contrapartes con las direcciones de billetera disponibles en la lista negra como parte de su monitoreo continuo. Un VASP debe hacer su evaluación basada en el riesgo y determinar si se justifican acciones adicionales de mitigación o prevención si hay un resultado positivo.

Los VASP y otras entidades obligadas que participen en actividades de AV cubiertas podrán ajustar el alcance de las medidas de DDC, en la medida en que lo permitan o exijan sus requisitos reglamentarios nacionales, en consonancia con los riesgos de LA/FT asociados a las relaciones comerciales, los productos o servicios individuales y las actividades de AV, tal como se ha analizado anteriormente en el marco de la aplicación de la Recomendación 1. 

Por lo tanto, los proveedores de servicios de valor añadido y otras entidades obligadas deben aumentar la cantidad o el tipo de información obtenida o la medida en que verifican dicha información cuando los riesgos asociados a la relación comercial o a las actividades de VA son mayores, tal como se describe en la sección III. Del mismo modo, los proveedores de servicios de valor añadido y otras entidades obligadas también pueden simplificar el alcance de las medidas de DDC cuando el riesgo asociado a la relación comercial de las actividades sea menor.

No obstante, los VASP y otras entidades obligadas no podrán aplicar una DDC simplificada o una exención de las demás medidas preventivas por el mero hecho de que las personas físicas o jurídicas lleven a cabo las actividades o servicios de AV de forma ocasional o muy limitada. Además, las medidas de DDC simplificadas no son aceptables siempre que exista una sospecha de BC/FT o cuando se den escenarios específicos de mayor riesgo.

No todos los proveedores de servicios de activos virtuales (VASP) son iguales. Su tamaño varía desde pequeñas empresas independientes hasta grandes corporaciones multinacionales. Del mismo modo, el régimen de lucha contra el blanqueo de capitales y la financiación del terrorismo de ningún país para los VASP es el mismo y los países están introduciendo sus medidas a ritmos diferentes. Las diferentes entidades dentro de un sector plantearán riesgos más altos o más bajos dependiendo de una variedad de factores, incluidos los productos, los servicios, los clientes, la geografía, el régimen ALD/CFT en la jurisdicción del VASP y la solidez del programa de cumplimiento de la entidad.

Los VASP deben analizar y tratar de comprender cómo les afectan los riesgos de LA/FT que identifican y tomar las medidas adecuadas para mitigar y gestionar esos riesgos. Por lo tanto, la evaluación del riesgo proporciona la base para la aplicación basada en el riesgo de las medidas de LBC/LFT.

Independientemente de la naturaleza de la relación o de la transacción de VA, los proveedores de servicios de valor añadido y otras entidades obligadas deben contar con procedimientos de DDC que apliquen y utilicen de forma efectiva para identificar y verificar sobre la base del riesgo la identidad de un cliente, incluso cuando establezcan relaciones comerciales con dicho cliente; cuando tengan sospechas de BC/FT, independientemente de cualquier exención de umbrales; y cuando tengan dudas sobre la veracidad o adecuación de los datos de identificación obtenidos previamente.

Mientras siga faltando la aplicación mundial de las Normas del GAFI sobre los VASP, la gestión de este tipo de relaciones planteará un desafío continuo. Esto subraya la importancia de la aplicación y sugiere que los VASP tendrán que considerar medidas de control adicionales para los países con una aplicación deficiente, como la supervisión intensiva de las transacciones con los VASP con sede en el país, la imposición de restricciones de montos a las transacciones o la debida diligencia intensiva y frecuente.

Algunos ejemplos son los VASP que restringen las transferencias de AV dentro de su base de clientes (es decir, las transferencias internas de AVA dentro del mismo VASP), que solo permiten transferencias de primera parte confirmadas fuera de su base de clientes (es decir, que se confirma que el originador y el beneficiario son la misma persona) y un mejor seguimiento de las transacciones. De lo contrario, el VASP puede enfrentarse a una decisión difícil a la hora de tratar con VASPs basados en un país con una implementación débil o inexistente.

Al establecer una nueva relación VASP de contraparte, un VASP puede obtener la información establecida en las Recomendaciones 10 y 13 del GAFI directamente del VASP de la contraparte. De acuerdo con los requisitos de dichas Recomendaciones, esta información debe ser verificada. Entre los ejemplos de posibles fuentes de información fiables e independientes para la verificación de la identidad y la titularidad real de las personas e instrumentos jurídicos se encuentran los registros de empresas, los registros mantenidos por las autoridades competentes en la lista de creación de instituciones reguladas, los registros de titularidad real y otros ejemplos mencionados en la Guía general del CSBB sobre la apertura de cuentas.

El VASP tendría que evaluar los controles ALD/CFT de la contraparte para evitar enviar la información de sus clientes a actores ilícitos o entidades sancionadas, y también debería considerar si existe una base razonable para creer que el VASP puede proteger adecuadamente la información sensible. Esto es similar al proceso establecido en el apartado b) de la Recomendación 13 del GAFI, pero de una manera más basada en el riesgo. En la práctica, dicha evaluación podría implicar la revisión del marco de control y los sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo de la contraparte58.

La evaluación debe incluir la confirmación de que los controles de la contraparte en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo están sujetos a una auditoría independiente (que puede ser externa o interna). Las VASP deben recurrir a procedimientos alterados, incluyendo la posibilidad de no enviar la información del usuario, cuando crean razonablemente que una VASP de contraparte no la manejará de manera segura, mientras continúan ejecutando la transferencia si creen que los riesgos ALD/CFT son aceptables. En estas circunstancias, los VASP deben identificar un procedimiento alternativo, cuyo diseño de control pueda ser debidamente revisado por sus supervisores cuando se les solicite.

Innovación Digital Y Delitos Financieros

Reflexiones finales

El rápido desarrollo y la ubicuidad de la tecnología han alterado para siempre el panorama de las finanzas globales, trayendo consigo tanto oportunidades como riesgos. A medida que los métodos de lavado de dinero continúan evolucionando con la innovación digital, las organizaciones de todas las industrias deben evaluar y gestionar atentamente los riesgos de delitos financieros. El establecimiento de un marco eficaz de cumplimiento contra el blanqueo de capitales (AML) y la adopción de prácticas sólidas de gobernanza del ciclo de vida del cliente son estrategias clave para mitigar estos riesgos.

A medida que las entidades navegan por las complejidades de esta era digital, aprovechar la tecnología y el Big Data puede mejorar la identificación de riesgos, la diligencia debida del cliente y el cumplimiento general. Sin embargo, la armonización de las medidas de lucha contra el blanqueo de capitales y la financiación del terrorismo a nivel mundial sigue siendo un reto, lo que subraya la importancia de una aplicación coherente y de controles rigurosos. En conclusión, a medida que adoptamos la revolución digital, priorizar e invertir en programas integrales de lucha contra el blanqueo de capitales es más crucial que nunca para salvaguardar la integridad de nuestros sistemas financieros.