Blog

Background top
Mar 11, 2022
Regulación

La debida diligencia de KYC en la UE

Hace unos días, la OCCRP reveló que el gigante bancario europeo Credit Suisse contaba con más de 18 000 cuentas asociadas a delincuentes, personas sancionadas y acusadas de soborno, corrupción, lavado de dinero, entre otros delitos financieros. Recientemente, otros bancos europeos líderes, como Danske Bank, Deutsche Bank, ING, ABN Amro, DNB, Commerzbank, etc., se han visto implicados en polémicas y han sido multado por deficiencias en sus medidas de cumplimiento de KYC CDD.

Por eso, más que nunca, las empresas financieras deben invertir en la transformación de sus sistemas y procesos KYC CDD hacia un cumplimiento mejorado.

Solo en los últimos 5 años, la Comisión Europea (CE) ha emitido sólidas directivas de debida diligencia del cliente (CDD) a través de los MLD de la UE (4.º, 5.º y 6.º). Estas normativas proporcionan reglas holísticas y efectivas para luchar contra los delitos financieros.

No obstante, al tratarse de regulaciones relativamente recientes, los marcos y procesos KYC seguidos por las instituciones financieras (FI) en los estados miembros de la UE no están completamente estandarizados, por lo que surgen lagunas que los delincuentes las aprovechen.

KYC y CDD en la UE: requisitos frente al estado actual

Requisitos

La diligencia debida de los clientes (individuos y entidades) por parte de las instituciones financieras se extiende más allá del KYC inicial que cubre la identificación y la incorporación del cliente. Las Money Laundering Directives (MLD) de la UE requieren una diligencia debida continua a través de la evaluación periódica de los clientes para Sanciones y PEP, escaneos de medios adversos, identificación del beneficiario final y diligencia debida, revisiones periódicas y evaluaciones de riesgo, entre otros.

Si bien una CDD simplificada es suficiente para clientes de riesgo bajo y medio, cada cliente de alto riesgo debe estar sujeto a la debida diligencia mejorada (EDD). De ahí, el interés por fomentar las herramientas de identificación y verificación de identidad (IDV) en el proceso de diligencia debida siempre que sea posible.

Estado actual

Los estados miembros de la UE se encuentran en diferentes niveles de madurez en el cumplimiento de las reglas KYC según las MLD 4/5/6 de la UE, así como la interpretación y aplicación de las MLD. Algunos ejemplos son las variaciones en torno a los requisitos de CDD, PEP y selección de medios adversos, controles internos y evaluaciones de riesgo del cliente, requisitos de informes, etc. Polonia, por ejemplo, no exige una revisión periódica de los clientes. Hungría requiere verificar solo la auto-PEP, no para familiares o asociados cercanos. Los roles aplicables como PEP y la duración después de dejar ese rol para ser considerado como PEP (el requisito de MLD es un mínimo de 12 meses) varían ampliamente entre los estados miembros de la UE.

Lo mismo ocurre con la determinación del beneficiario final como aquel que posee más del 25 % de la propiedad o el control, con criterios y cálculos que difieren entre los estados de la UE. Mientras que España usa la regla >25%, otros como Austria y Finlandia usan la regla >25%. Varios países aún no han hecho públicos sus Registros Corporativos, lo cual era un requisito de MLD4. En algunos países como Noruega y los Países Bajos, las IF utilizan Bisnode y KVK respectivamente (que actualmente funcionan como registros nacionales) para la verificación y revisión de BO. Mientras tanto, 6 bancos en 4 países nórdicos, es decir, Suecia, Dinamarca, Noruega y Finlandia, han creado conjuntamente Invidem, una utilidad KYC compartida en la región con datos, documentación y procesos KYC estandarizados para la debida diligencia de los clientes corporativos.

Pasos para lograr el cumplimiento efectivo de KYC por parte de las instituciones financieras de la UE

La CE anunció en julio de 2021 la implementación de una Autoridad Única de AML de la UE y un Libro de reglas único de la UE para aplicar estándares comunes de KYC y AML en toda la UE. Esto entrará en vigencia a partir de 2024 y armonizará las diferencias que existen en la aplicación de las reglas de debida diligencia del cliente, entre otras.

Con el fin de fortalecer los marcos KYC CDD actuales y prepararse para la implementación del libro de reglas común, las IF deben evaluar las siguientes áreas e iniciar la remediación/transformación en consecuencia:

Incorporación digital utilizando IDV inteligente

Aprovechando las herramientas biométricas y habilitadas para IA para la identificación y verificación digital durante la incorporación, la remediación de datos del cliente y las revisiones periódicas.

Revisión basada en el riesgo de todos los clientes

La revisión periódica requerida por los MLD actuales debe realizarse en función del nivel de riesgo de los clientes. Por ejemplo, revise los clientes de alto riesgo cada 1 año, riesgo medio en 3 años y riesgo bajo en 5 años como mínimo.

Detección automática de medios adversos

Reemplazo de la búsqueda manual tradicional basada en la web con soluciones inteligentes impulsadas por IA para noticias negativas e información de medios adversos sobre clientes y BO, integrándolos con flujos de trabajo de diligencia debida continuos y de incorporación, y realizando EDD donde se identifican señales de alerta.

Verificación del beneficiario real de los registros corporativos

En países donde los registros corporativos son funcionales, p. Suecia, España, Luxemburgo y varios otros, las IF deben verificar la información de BO de sus clientes corporativos a partir de esta fuente. También deben notificar al Registro en caso de que adviertan alguna discrepancia mientras realizan su propia diligencia debida.

Desencadenadores de EDD para cambios materiales y eventos de alto riesgo: realizar EDD en clientes independientemente de sus niveles de riesgo, siempre que se descubra un evento de alto riesgo en su transacción o comportamiento de cuenta, noticias adversas, cambio en la industria, cambio en la fuente de riqueza, cambio en BO, SAR presentado, etc.

Las IF deben realizar una evaluación de riesgos exhaustiva de sus marcos KYC y AML que cubren los 22 delitos determinantes. Deben evaluar la efectividad de los controles existentes para los riesgos inherentes y definir mitigaciones para los riesgos residuales como referencia frente a los MLD actuales.


Sobre el autor

Sujata Dasgupta – Global Head of Financial Crime Compliance Advisory en Tata Consultancy Services. Síguela en Linkedin