Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







miércoles, 30 de enero de 2013

IMPORTANCIA DE LA AUTORÍA PARA LA PREVENCIÓN E INVESTIGACIÓN DEL FRAUDE DE IDENTIDAD





Cuando una entidad financiera introduce en la vía judicial o policial un fraude  externo, además de confeccionar el escrito explicativo de los hechos denunciados, deberá entregar  copia de la justificación documental de los mismos, así como los datos identificativos y de localización de las personas con las que mantuvo la relación de negocio u operación denunciada, y cualquier otra información que posea en sus bases de datos y que pueda ayudar al esclarecimiento de los hechos.

Si en su momento fueron perfectamente identificadas por la empresa las personas físicas o jurídicas denunciadas, la investigación resultará relativamente fácil puesto que la información y justificación documental que suele entregar la empresa, normalmente será suficiente para proseguir el trabajo policial-judicial.

Con todo, podría haber un problema en el ámbito judicial si se demostrara que las personas denunciadas actuaron dentro de la empresa con identidades falsas o suplantadas, y ello se debió a que no se cumplió con la obligación de identificación formal exigida por la diligencia debida.

Es por ello por lo que, cuando una entidad financiera  sufre alguna defraudación en la que sus autores actuaron con identidades falsas o usurpadas, debería proceder de inmediato a través de Auditoría Interna u otro departamento cualificado, a averiguar la forma en que estos clientes fueron identificados, y si se cumplió de forma adecuada con la obligación legal de diligencia debida impuesta por la Ley 10/2010.

Algunas falsificaciones de documentos identificativos son tan evidentes, que no debería extrañar que la Autoridad Judicial termine instando en ciertos casos al SEPBLAC a que haga una inspección sobre el cumplimiento real de esta obligación legal y le informe de los resultados, con las consecuencias administrativas o penales que pudieran derivarse al efecto.

Se ha comprobado que muchas de  las estafas que afectan a las entidades financieras son  posibles porque sus autores utilizan identidades falsas o usurpadas, y no se producirían  si las empresas identificaran de forma correcta a sus clientes.

Aún identificando correctamente a los clientes, las entidades financieras no estarán libres de sufrir fraudes con identidades falsas o suplantadas, porque siempre habrá delincuentes capaces de burlar los controles. Pero las empresas estarán salvaguardadas legal y administrativamente si se aseguran de que tienen montado internamente un sistema adecuado para la correcta identificación.

Ese sistema no es otro que una buena estructura de prevención del fraude de identidad, que ha de tener como uno de sus objetivos fundamentales el control de la calidad y seguridad de la información que sobre los clientes va acumulando la empresa en su actividad diaria, y que tendrá los datos de identificación como la información más relevante.

ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD

Antes de proceder a analizar los mimbres de esta estructura de control de la calidad y seguridad de la información sobre los clientes, conviene deshacer el mito  que considera esta materia dentro del ámbito exclusivo de la prevención del blanqueo de capitales y de la financiación del terrorismo, por el hecho de que en esta legislación están reguladas las obligaciones de diligencia debida, que son la base necesaria para llegar al conocimiento de los clientes.

La realidad es que la calidad y la seguridad de la información sobre los clientes superan en la empresa financiera el ámbito del simple cumplimiento de la legislación AML, puesto que afectan de forma directa al funcionamiento productivo y comercial del negocio.

Es por ello que las normas y procedimientos necesarios para el cumplimiento de estas obligaciones, no sólo han de tener en cuenta la legislación AML, sino especialmente  los intereses generales de la propia empresa.

La estructura de prevención del blanqueo de capitales no puede ser, por tanto, la que tenga a su cargo el control de la calidad y seguridad de la información sobre los clientes, puesto que por exigencia legal debe centrarse en el cumplimiento de las obligaciones de información. Esto no implica que el departamento de prevención del blanqueo esté al margen de la materia que estamos analizando, sino que no la debe tener como responsabilidad directa.

En los temas correspondientes a este bloque dedicado a la prevención del fraude de identidad, ofreceré el MODELO que considero más eficiente  para el control de la calidad y seguridad de la información sobre los clientes. El sistema que propongo lo voy a denominar: “ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD”, y se fundamenta en estos dos departamentos:




En nuestro MODELO, toda la información que genera la empresa para el conocimiento de los clientes ha de confluir en la BASE DE DATOS DE CLIENTES, por lo que ningún departamento debe tener de forma independiente archivos de clientes, sino que toda la información sobre los mismos deberá estar centralizada en esta base de datos.

Todo lo que tiene que ver con la información sobre clientes, deberá estar regulado por unas determinadas normas y procedimientos que obligarán a toda la Organización, y que en nuestro MODELO tendrán como génesis la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, concepto AML que justificaré posteriormente.

Por tanto, la ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD descansará en los cuatro elementos reseñados:





El conocimiento de los clientes es un trabajo que afecta a toda la empresa financiera y especialmente a los departamentos que tienen a su cargo el contacto directo e indirecto con ellos.

Una parte de esta información procede de los propios clientes, y tiene que ver con los datos identificativos y con los datos de solvencia. Los primeros han de ser verificados por el departamento que está en contacto directo con los clientes en el momento de establecer las relaciones de negocio y operaciones y,  los segundos por el departamento de análisis de riesgos.

Otra parte de ese conocimiento procede de la operativa que realizan los clientes dentro de la entidad financiera y de la comparación de la misma con el conocimiento previo que la empresa tiene del propósito e índole de la relación contractual. Este conocimiento lo aportará el departamento encargado de controlar la monitorización de las operaciones.

El conjunto informatizado de toda esta información residirá físicamente en la BASE DE DATOS DE CLIENTES, que estará ubicada en los sistemas informáticos de la empresa. La seguridad de estos sistemas informáticos contra los ataques o intrusiones internos y externos, estará a cargo del departamento de informática, tal como veremos en su momento.

La empresa exigirá a todos los departamentos que tengan que alimentar esta base de datos,  calidad y proporcionalidad en la información cedida. Para ello, como indiqué anteriormente, establecerá normas y procedimientos para la recogida, cesión  y utilización de la información sobre los clientes, y que en nuestro MODELO coincidirán con las establecidas por la legislación de prevención del blanqueo de capitales y de financiación del terrorismo, aunque trascendiendo su concreto objetivo legal:





Tanto en la verificación de la identidad de los clientes, como en la verificación de la solvencia, los departamentos comerciales y de riesgos trabajarán con sus respectivas herramientas  y fuentes de información. En estos procesos de verificación surgirán discrepancias o alertas, que de forma ordinaria deberán ser solucionadas por los propios departamentos mediante  sus recursos ordinarios de investigación.

Cuando las discrepancias o alertas no puedan solucionarse con los medios y herramientas ordinarias,  o su resolución por los departamentos comercial o de riesgos interfiera negativamente en el cumplimiento eficiente de su actividad ordinaria, deberán traspasarse al Departamento de Prevención del Fraude para que prosiga las investigaciones.

Esta será una de las funciones del Departamento de Prevención del Fraude. Las restantes funciones de este departamento se explicarán en un capítulo específico dedicado al mismo. Esta función que realiza el de prevención del fraude, servirá de apoyo transversal a los restantes departamentos productivos, de gestión y cumplimiento.


LA IDENTIFICACIÓN DE LOS CLIENTES COMO MEDIDA PREVENTIVA CONTRA EL  FRAUDE DE IDENTIDAD

Los fraudes realmente peligrosos desde el punto de vista de la autoría, son  los cometidos mediante identidades falsas o usurpadas. Es por ello por lo que una eficiente  identificación de los clientes resulta imprescindible para el control e investigación del fraude de identidad.

El fraude de identidad es un ataque directo contra la veracidad de la información existente en la BASE DE DATOS DE CLIENTES.

Los fraudes externos cometidos con la propia identidad,  son mucho más fáciles de prevenir y controlar que los fraudes que se cometen con identidades falsas o usurpadas, puesto que desde hace años las empresas utilizan filtros de solvencia durante los procesos de análisis de riesgos.

Estos filtros son los ficheros de solvencia, que aunque no fueron creados para prevenir el fraude sino la mora, sirven también para paralizar en un tiempo prudencial las actividades defraudadoras con una misma identidad.  El inconveniente de estos ficheros es que, al no poder identificar las conductas fraudulentas, éstas quedan  subsumidas dentro de la mora por lo que resulta imposible prevenir el fraude,  puesto que los delincuentes seguirán operando en el mercado financiero mediante  otras identidades falsas o usurpadas, una vez que son expulsados del mismo por morosos.

El sector financiero necesita dotarse, por tanto, de herramientas específicas para la  prevención del fraude de identidad, especialmente en los procesos de solicitud de crédito o en la solicitud de relaciones de negocio.

Estas herramientas específicas servirán también para segmentar, dentro del conjunto de la morosidad, los defraudadores de los que son morosos por otras causas, facilitando así el trabajo de los departamentos de recuperaciones y el de las empresas externas dedicadas a la recuperación de deudas en nombre de las entidades financieras.


POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES

Los pilares que sostienen la estructura de prevención y control del fraude de identidad son la BASE DE DATOS DE CLIENTES, el DEPARTAMENTO DE SEGURIDAD INFORMÁTICA, el  DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, y la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, que seguidamente procedo a analizar  teniendo en cuenta los intereses generales de la empresa y no sólo los de prevención del blanqueo de capitales y de financiación del terrorismo.

La política expresa de admisión de clientes es la que permitirá  crear dentro de la empresa financiera una cultura de calidad y proporcionalidad de la información sobre los  clientes, necesaria para el funcionamiento eficiente de los diferentes departamentos que tienen que utilizarla de forma continua, como los de  producción, marketing, gestión, y cumplimiento.

La calidad y proporcionalidad de la información sobre clientes, será imprescindible para la prevención del fraude de identidad, y garantizará la investigación del mismo por la propia empresa, o posteriormente por las autoridades judiciales y policiales.

Uso el término de “POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES”, porque es el que aparece en el Artículo 26 de la Ley 10/2010, que es la referencia legal que está permitiendo homogeneizar para todo el sector financiero las medidas necesarias para dotar de calidad operativa  la información existente en la BASE DE DATOS DE CLIENTES.

Junto a esta política, que constituye la NORMA, la empresa financiera tendrá que definir y aplicar también los PROCEDIMIENTOS  que facilitarán su cumplimiento y por tanto, dotarán  de calidad operativa la base de datos de clientes.

Por las mismas razones indicadas arriba, estos procedimientos  serán los  especificados en el Capítulo II de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, a saber:
  • La identificación formal 
  • La identificación del titular real
  • El conocimiento del propósito e índole de la relación de negocios
  • El seguimiento continuo de la relación de negocios



LA DILIGENCIA DEBIDA COMO INTERÉS PARA EL NEGOCIO





Llegado a este punto, quisiera incidir de nuevo en la idea ya indicada anteriormente, de que la política expresa de admisión de clientes y las  medidas de diligencia debida que estamos estudiando  sobrepasan la finalidad concreta de la prevención del blanqueo de capitales y de la financiación del terrorismo, puesto que van encaminadas  a dotar de calidad y proporcionalidad a la información existente en la BASE DE DATOS DE CLIENTES. Esta base de información será utilizada para el funcionamiento general del negocio, aunque también sirva para el cumplimiento de determinadas obligaciones legales.

Creo que se ha superado en las entidades financieras y también en la Administración, aquel concepto desfasado de considerar las medidas de diligencia debida exigidas por la legislación AML, sólo desde la perspectiva de las obligaciones de información que tiene la empresa financiera como sujeto obligado. Resulta totalmente lícito que la empresa financiera, al mismo tiempo que cumple con la legalidad, utilice estas medidas en su propio beneficio, con la sola limitación de saber diferenciar que el acceso a algunas fuentes de información sólo resulta posible sin consentimiento para el cumplimiento de las obligaciones de información AML, y que, por tanto, será necesario este requisito cuando se pretendan utilizar estas fuentes de información restrictivas para riesgos que no sean específicamente AML.

Siguiendo este criterio, tanto la política como las obligaciones tendrán como objetivo el dotar de la máxima calidad y proporcionalidad a la información que fluye hacia la BASE DE DATOS DE CLIENTES. Posteriormente cada departamento de negocio, gestión y  cumplimiento,  aplicará su particular análisis a esta base de datos mediante sus respectivas herramientas tecnológicas.

Las normas y los procedimientos han de ser aprobados por la Alta dirección y cumplimentados por toda la organización, y especialmente por los departamentos que componen el “front office” de la empresa, es decir, por los que están en contacto directo con los clientes.

Antes de su aprobación, tanto  la política como las normas deberán ser diseñadas por algún organismo de control interno, que en uestro MODELO será el  Órgano de Control Interno y Comunicación (OCIC), al que la Ley 10/2010 también responsabiliza de su aplicación.

Al ser el OCIC un comité de dirección con representación de distintas áreas del negocio y cumplimiento, necesitará en la práctica la ayuda de dos departamentos especializados que le hagan el trabajo de campo:
  • El departamento de prevención del blanqueo de capitales y de la financiación del terrorismo
  • El departamento de prevención del fraude


Para planificar la política expresa de admisión de clientes y sus correspondientes procedimientos de aplicación  existen numerosas fórmulas, pero utilizando la que impone la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo evitaremos  duplicar procesos y ganaremos  en economicidad.

La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones; estos principios tendrán en cuenta la legislación AML, pero también cualquier otra actividad de riesgo dentro de la empresa.

En la planificación de las normas y procedimientos, el OCIC ha de realizar un trabajo de campo para delimitar los riesgos legales y generales, teniendo en cuenta el diferente perfil de los clientes y la complejidad de los productos y operaciones que tenga la empresa.

.En estos trabajos de campo, el departamento de prevención del blanqueo le auxiliará en todo lo que tiene que ver con el cumplimiento legal exigido por la Ley 10/2010, y el departamento de prevención del fraude, en todo lo que tiene que ver con los riesgos derivados del fraude de identidad y de los fraudes que tengan su origen en un mal conocimiento de los clientes.

En la planificación de la política expresa de admisión de clientes hay que diferenciar por una parte, las directrices que debe contener el documento que será firmado por la Alta dirección,  y por otra,  los procedimientos que deben establecerse para el cumplimiento de esas directrices, identificando al mismo tiempo los departamentos que deberán aplicar los procedimientos concretos relativos a:
  1. La identificación formal de los clientes
  2. La identificación del titular real
  3. El conocimiento del propósito e índole de la relación de negocios
  4. El seguimiento continuo de la relación de negocios


Para poder realizar de forma eficaz este trabajo de campo, ambos departamentos deberán conseguir un profundo conocimiento del funcionamiento interno de la empresa y de cada uno los productos y servicios que ésta ofrece.

Al ser el de prevención del fraude un departamento integrado en el área de prevención de riesgos, y el de prevención del blanqueo un departamento integrado en el área de cumplimiento, la colaboración entre ambos se hará a través del OCIC, lo que  facilitará un trabajo ordenado, tanto para la identificación de estos riesgos específicos en cada área de actividad, como para la determinación de los procedimientos necesarios para controlarlos.

Para conseguir esta información, ambos departamentos establecerán una ágil intercomunicación con los restantes departamentos de la empresa, y especialmente con los que tienen que aplicar la política expresa de admisión de clientes, que también colaborarán en el desarrollo de los borradores de los procedimientos. La interconexión operativa será posible a través del OCIC, en donde, como he indicado, estarán representados los altos ejecutivos de los departamentos afectados.

Ambos departamentos se encargarán también de proponer al departamento de Recursos Humanos, en su calidad de expertos,  las materias de formación que este último debe implementar para el personal de la empresa:
  • El departamento de prevención del blanqueo para facilitar el cumplimiento de la obligación de formación impuesta por el Artículo 29 de la Ley.
  • El departamento de prevención del fraude, para facilitar la formación que permita  evitar los restantes riesgos  que tienen que ver con los  fraudes de identidad y con los fraudes derivados del desconocimiento de los clientes.


Será el departamento de prevención del blanqueo el que determine, para cada tipo de clientes y para cada tipo de productos y operaciones, si las medidas de  diligencia debida han de ser simplificadas, normales o reforzadas, concretando para cada supuesto la aplicación práctica de cada medida seleccionada, pero desde la óptica del cumplimiento exclusivo de la Ley 10/2010.

Será el departamento de prevención del fraude el que coordine el impacto que estas medidas tendrán para las restantes situaciones de riesgo de la empresa, y lo hará mediante la  colaboración con los departamentos operativos y de análisis de riesgos.

Con el resultado de estos trabajos de campo realizados por ambos departamentos,  el OCIC preparará el borrador del documento de POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, así como los procedimientos necesarios para el cumplimiento de las medidas de DILIGENCIA DEBIDA, que tienen que ver con la identificación formal y real, el conocimiento del propósito e índole de la relación de negocios y el seguimiento continuo de la relación de negocios.

El departamento de prevención del blanqueo aportará a este trabajo su visión legal, y el departamento de prevención del fraude su visión operativa.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude