Prevención de delitos financieros y riesgos de blanqueo de capitales

We empower Anti-Financial Crime and Corporate Risk Management Professionals

  • Home
  • /
  • Blog
  • /
  • Prevención de delitos financieros y riesgos de blanqueo de capitales
W 1

La prevención de los riesgos de la delincuencia financiera y el blanqueo de capitales. Independientemente de la naturaleza de la relación o del activo virtual conocido como transacción VA, las entidades obligadas deben contar con procedimientos de diligencia debida con respecto al cliente o DDC que apliquen y utilicen efectivamente. Su utilización ayudará a identificar y verificar sobre la base del riesgo la identidad del cliente, incluso al establecer relaciones comerciales con ese cliente, cuando tengan sospechas de LD/FT, independientemente de cualquier exención de los umbrales, y cuando tengan dudas sobre la veracidad o adecuación de los datos de identificación obtenidos previamente.

PrevencióN De La Delincuencia Financiera

Prevención de delitos financieros y riesgos de blanqueo de capitales

Al igual que otras entidades obligadas, al llevar a cabo la DDC para cumplir con sus obligaciones en virtud de la Recomendación 10 del Grupo de Acción Financiera o GAFI, las entidades obligadas deben obtener y verificar la información de identificación/verificación del cliente exigida por la legislación nacional. Normalmente, la identificación requerida del cliente incluye información sobre su nombre y otros identificadores adicionales, como su dirección física, su fecha de nacimiento y un número de identificación nacional único, como un número de identidad nacional o de pasaporte.

También se anima a los proveedores de servicios de valor añadido a que recojan información adicional que les ayude a verificar la identidad del cliente en función de los requisitos de sus marcos jurídicos nacionales. La verificación de la identidad es necesaria en los siguientes casos, como:

  • Establecer la relación comercial;
  • Autenticación de la identidad del cliente para el acceso a la cuenta;
  • Determinar el perfil empresarial y de riesgo del cliente; y
  • Realización de la debida diligencia en la relación comercial.

Mitigar los riesgos de BC/FT asociados al cliente y a las actividades financieras del cliente. Esta información adicional de identidad no básica, que algunos VASP recogen actualmente, podría incluir, por ejemplo, una dirección IP con una marca de tiempo asociada, datos de geolocalización, identificadores de dispositivos, direcciones de monederos VA y hashes de transacciones. La verificación de la información sobre el cliente y el beneficiario final por parte de los proveedores de servicios de valor añadido debe realizarse antes o durante la relación.

Basado en una visión holística de la información obtenida en el contexto de su aplicación de las medidas de DDC, que podría incluir información tradicional y no tradicional. Los proveedores de servicios de valor añadido y otras entidades obligadas deben poder preparar un perfil de riesgo del cliente en los casos apropiados. El perfil de un cliente determinará el nivel y el tipo de seguimiento continuo potencialmente necesario y apoyará la decisión del proveedor de servicios de valor añadido de iniciar, continuar o finalizar la relación comercial.

Los perfiles de riesgo pueden aplicarse en el:

  • A nivel de cliente, como la naturaleza y el volumen de la actividad comercial, el origen de los fondos virtuales depositados, etc.; o a nivel de
  • Nivel de cluster, donde un cluster de clientes muestra características homogéneas, como clientes que realizan tipos similares de transacciones de VA o que implican la misma VA.

Los proveedores de servicios de valor añadido deben actualizar periódicamente los perfiles de riesgo de los clientes de las relaciones comerciales para aplicar el nivel adecuado de DDC. Supongamos que un VASP descubre direcciones de VA con las que ha decidido no establecer o continuar relaciones comerciales o transacciones debido a sospechas de LD/FT. En ese caso, el VASP debería considerar la posibilidad de poner a disposición su lista de «direcciones de monedero bloqueadas», con sujeción a las leyes de la jurisdicción del VASP.

Una VASP debe cotejar las direcciones de los monederos de sus clientes y contrapartes con las direcciones de los monederos bloqueados disponibles como parte de su control continuo. Un VASP debe hacer su evaluación basada en el riesgo y determinar si se justifican acciones adicionales de mitigación o prevención si hay un resultado positivo.

Los proveedores de servicios de valor añadido y otras entidades obligadas que realicen actividades de AV cubiertas podrán ajustar el alcance de las medidas de DDC en la medida en que lo permitan o exijan sus requisitos reglamentarios nacionales. Esta ampliación está en consonancia con los riesgos de BC/FT asociados a las relaciones comerciales individuales, los productos o servicios y las actividades de VA, como se ha comentado anteriormente en la Recomendación 1.

Por lo tanto, los proveedores de servicios de valor añadido y otras entidades obligadas deben aumentar la cantidad o el tipo de información obtenida o la medida en que verifican dicha información cuando los riesgos asociados a la relación comercial o a las actividades de VA son mayores, tal como se describe en la sección III. Del mismo modo, los proveedores de servicios de valor añadido y otras entidades obligadas también pueden simplificar el alcance de las medidas de DDC cuando el riesgo asociado a la relación comercial de las actividades sea menor.

PrevencióN De La Delincuencia Financiera

Sin embargo, los proveedores de servicios de valor añadido y otras entidades obligadas no podrán aplicar una DDC simplificada o una exención de las demás medidas preventivas por el mero hecho de que las personas físicas o jurídicas realicen las actividades o servicios de AV de forma ocasional o mínima. Además, las medidas de DDC simplificadas no son aceptables siempre que exista una sospecha de BC/FT o cuando se den escenarios específicos de mayor riesgo.

No todos los proveedores de servicios de activos virtuales o VASP son iguales. Su tamaño varía desde pequeñas empresas independientes hasta grandes corporaciones multinacionales. Del mismo modo, el régimen de PBC/FT para los proveedores de servicios de valor añadido de ningún país es el mismo, y los países están introduciendo sus medidas a diferentes ritmos. Diferentes entidades dentro de un sector plantearán mayores o menores riesgos en función de diversos factores, como los productos, los servicios, los clientes, la geografía, el régimen de PBC/FT en la jurisdicción de la entidad y la solidez del programa de cumplimiento de la entidad.

Los proveedores de servicios de valor añadido deben analizar y tratar de comprender cómo les afectan los riesgos de blanqueo de capitales y de financiación del terrorismo que identifiquen y adoptar las medidas adecuadas para mitigar y gestionar esos riesgos. La evaluación de riesgos, por lo tanto, proporciona la base para la aplicación basada en el riesgo de las medidas ALD/CFT. Independientemente de la naturaleza de la relación o de la transacción de VA, los proveedores de servicios de valor añadido y otras entidades obligadas deben contar con procedimientos de DDC que apliquen y utilicen de forma efectiva para identificar y verificar sobre la base del riesgo la identidad de un cliente, incluso cuando establezcan relaciones comerciales con dicho cliente; cuando tengan sospechas de BC/FT, independientemente de cualquier exención de umbrales; y cuando tengan dudas sobre la veracidad o adecuación de los datos de identificación obtenidos previamente.

Mientras no se apliquen a nivel mundial las normas del GAFI relativas a las plataformas de servicios voluntarios, la gestión de estas relaciones seguirá siendo un reto. Este reto subraya la importancia de la aplicación y sugiere que los proveedores de servicios de valor añadido tendrán que considerar medidas de control adicionales para los países con una aplicación deficiente, como la supervisión intensiva de las transacciones con los proveedores de servicios de valor añadido con sede en el país, la imposición de restricciones de cantidad en las transacciones o la diligencia debida intensiva y frecuente.

Algunos ejemplos son:

  • Los VASP que restringen las transferencias de VAs a su base de clientes, como las transferencias internas de VAs dentro del mismo VASP
  • Permitir únicamente las transferencias confirmadas de primera mano fuera de su base de clientes, como que se confirme que el ordenante y el beneficiario son la misma persona; y
  • Mejora del control de las transacciones.

De lo contrario, el VASP puede enfrentarse a una decisión difícil a la hora de tratar con VASPs basados en un país con una implementación débil o inexistente.

Al establecer una nueva relación de VASP de contraparte, una VASP puede obtener información de las Recomendaciones 10 y 13 del GAFI directamente de la VASP de contraparte. De acuerdo con los requisitos de dichas Recomendaciones, esta información debe ser verificada. Entre los ejemplos de posibles fuentes de información fiables e independientes para la verificación de la identidad y la titularidad real de las personas e instrumentos jurídicos se encuentran los registros de empresas, los registros mantenidos por las autoridades competentes en la lista de creación de instituciones reguladas, los registros de titularidad real y otros ejemplos mencionados en la Guía general del CSBB sobre la apertura de cuentas.

La empresa de servicios financieros voluntarios tendría que evaluar los controles ALD/CFT de la contraparte para evitar que la información de sus clientes se entregue a agentes ilícitos o entidades sancionadas. También debe considerar si existe una base razonable para creer que el VASP puede proteger adecuadamente la información sensible, de forma similar al proceso establecido en la Recomendación 13 del GAFI, subapartado (b), pero más basado en el riesgo. En la práctica, esta evaluación podría implicar la revisión de los sistemas y el marco de control ALD/CFT de la contraparte58. La evaluación debe incluir la confirmación de que los controles ALD/CFT de la contraparte están sujetos a una auditoría independiente (que podría ser externa o interna).

Las VASP deben recurrir a procedimientos alterados, incluyendo la posibilidad de no enviar la información del usuario, cuando crean razonablemente que una VASP de contraparte no la manejará de manera segura, mientras continúan ejecutando la transferencia si creen que los riesgos ALD/CFT son aceptables. En estas circunstancias, los PSVAs deben identificar un procedimiento alternativo cuyo diseño de control pueda ser debidamente revisado por sus supervisores cuando se les solicite.

Reflexiones finales

Aunque la delincuencia financiera ha existido desde que las personas intercambiaron dinero por bienes y servicios, los avances tecnológicos han cambiado la superficie de ataque, el nivel de acceso y el número de oportunidades disponibles para los ciberdelincuentes. Casi todas las empresas realizan sus operaciones en línea, lo que las convierte en objetivos fáciles para la ciberdelincuencia. Los delincuentes utilizan métodos más sofisticados y sigilosos para acceder a datos financieros críticos y ocultar su rastro. Para aumentar la amenaza, muchos delitos financieros son cometidos por personas de la empresa que han descubierto no sólo dónde se encuentran los datos críticos, sino también cómo ocultar eficazmente sus actividades nefastas.

Leave a Comment

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}