Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 4 de febrero de 2013

EL PROBLEMA DE LA USURPACIÓN DE LA IDENTIDAD





La usurpación de la identidad, también conocida en los países anglosajones como “robo de identidad”, consiste en la utilización por terceras personas de los datos identificativos de los verdaderos titulares de los mismos.

La utilización ilegal de los datos identificativos tiene frecuentemente como objetivo la defraudación a las entidades de crédito, que de esta manera quedan perjudicadas  en su patrimonio, aunque también pueden quedar afectadas en su reputación si no toman las medidas adecuadas, como veremos después.

Este hecho delictivo se denomina “usurpación del estado civil” y está regulado penalmente en el Art. 401 del Código Penal español, donde es castigado con una pena de prisión de seis meses a tres años. Las víctimas de este delito son  los verdaderos titulares de las identidades suplantadas, que por esta causa se enfrentan a numerosos trastornos personales y económicos que perjudican su buen nombre y solvencia.

En la actividad financiera, el drama personal de los titulares de las identidades suplantadas se inicia en el momento en que los delincuentes, que pueden actuar de forma individual  o pertenecer a grupos criminales organizados, aportan los datos identificativos usurpados cuando establecen las relaciones de negocio u operaciones, y especialmente cuando financian bienes y servicios, u obtienen préstamos personales.

Las entidades financieras, ignorantes de las usurpaciones, proceden al tratamiento de los datos personales aportados por los estafadores, ligando de forma incorrecta a los verdaderos titulares de las identidades suplantadas con las obligaciones derivadas de los contratos. Con esta modalidad delictiva las entidades financieras también se convierten en víctimas de  una estafa.

Normalmente las suplantaciones de identidad las realizan los delincuentes para defraudar a las entidades de crédito no pagando de esta manera sus deudas, pero pudiera ocurrir también que las usurpaciones se utilicen por grupos organizados de delincuentes u organizaciones terroristas para otras finalidades delictivas, en cuyo caso los créditos suelen ser pagados puntualmente por los delincuentes, que en ocasiones utilizan para ello operaciones de ingeniería financiera, evitando así dejar rastros fáciles de investigar.

Las suplantaciones, por tanto, pueden estar orientadas al fraude, pero también para facilitar el uso del sistema financiero a delincuentes y terroristas.

En cualquiera de los dos supuestos, al sector financiero le interesa descubrir prontamente las usurpaciones de identidad, y especialmente cuando éstas no producen perjuicios económicos, porque son las que pueden originar en el futuro los perjuicios reputacionales más graves.



RAZONES DEL POSIBLE DESENCUENTRO ENTRE LOS TITULARES DE LAS IDENTIDADES SUPLANTADAS Y LAS ENTIDADES FINANCIERAS DEFRAUDADAS

Cuando los delincuentes que usurparon las identidades dejan de pagar las deudas, las entidades financieras perjudicadas inician los procedimientos establecidos internamente para la recuperación de las deudas, procediendo contra los verdaderos titulares de las identidades suplantadas, puesto que desconocen las usurpaciones de identidad.

En este proceso normalmente se produce una desconexión entre los verdaderos titulares de las identidades suplantadas y las empresas financieras, porque los estafadores suelen modificar  alguno de los datos que constan en los documentos identificativos, y especialmente los domicilios, impidiendo así que las entidades de crédito puedan  comunicarse con los verdaderos titulares con anterioridad al  inicio de los procedimientos civiles de recuperación de deuda.

La  desconexión entre los verdaderos titulares de las identidades suplantadas y las entidades financieras victimizadas ocasiona situaciones desagradables para ambas partes,  puesto que frecuentemente,  el conocimiento de la existencia de estos procedimientos abiertos por parte de los verdaderos titulares de las suplantaciones,  se produce cuando aquellos acuden a alguna entidad financiera a solicitar un crédito, o cuando a sus domicilios les llega una citación judicial.

Este problema no suelen tenerlo ni la Policía ni los Juzgados, porque cuando estas instituciones inician sus investigaciones tienen un fácil acceso a las bases de datos estatales de identificación.

Resulta por tanto justificable la indignación de los  verdaderos titulares de las identidades suplantadas  contra las entidades financieras o contra las empresas responsables de los ficheros de solvencia, cuando conocen la existencia de deudas que no son suyas.

Las entidades financieras son las que deben cuidar que no se desborden estas situaciones incómodas, facilitando  a los ciudadanos la información necesaria para que éstos puedan solucionar la parte del problema que les corresponde. Para ello, las entidades financieras deberán formar adecuadamente a sus empleados para que sepan gestionar  de forma profesional cualquier tipo de conflicto.

Los empleados deben saber explicar a los ciudadanos las razones que permitieron a las entidades financieras la cesión de sus datos a los ficheros de morosidad, haciéndoles ver que también las empresas   fueron  víctimas de las suplantaciones de identidad  y a consecuencia de ello están sufriendo  un perjuicio económico.

Resulta aconsejable que a los ciudadanos se les pidan disculpas por las incomodidades que están sufriendo, asegurándoles que una vez  aclaren la situación no tendrán que preocuparse de las deudas ni de su inclusión en los ficheros de morosidad. Hay que hacerles saber también que el sector financiero carece de las herramientas y autorizaciones oficiales necesarias para poder verificar las identidades de los ciudadanos en los ficheros públicos, lo que evitaría una gran parte de las actuales suplantaciones de identidad, al mismo tiempo que se les informa sobre los pasos que deben dar para solucionar los problemas derivados de las usurpaciones.

En las suplantaciones de identidad se enfrentan dos derechos legítimos, el de las entidades victimizadas a las que los delincuentes han estafado, y el de los verdaderos titulares de las identidades suplantadas. Con todo, los empleados de las entidades deben ser conscientes que los ciudadanos suplantados están sufriendo una doble victimización; la primera derivada del propio hecho de la suplantación, que les obliga a numerosas gestiones en organismos públicos y privados, y la segunda, porque al estar cedidos sus datos personales a los ficheros de morosidad, se les está impidiendo el acceso al crédito o se les está dificultando la consumación de algún negocio. En esta situación de conflicto evidente, las entidades son las que deben actuar con más delicadeza gracias a su profesionalidad, evitando así efectos reputacionales negativos en los ciudadanos afectados, y en sus familias y amistades.





LAS SUPLANTACIONES DE IDENTIDAD Y LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS



En las defraudaciones con usurpación de identidad, los delincuentes actúan procurando dar apariencia de veracidad a la documentación identificativa que aportan en el momento de la contratación de los créditos, la apertura de las cuentas bancarias o el establecimiento de las relaciones de negocios. Las entidades afectadas, al desconocer las  circunstancias delictivas de la contratación, proceden de la forma usual al tratamiento interno de los datos personales de los titulares de las identidades suplantadas. Cuando se producen los impagos ceden estos datos a los ficheros de morosidad.

La cesión de estos datos de carácter personal a los ficheros de morosidad es legítima en base al  incumplimiento de las obligaciones derivadas de los contratos, pero dejará de serlo cuando las entidades tengan conocimiento, por cualquier medio,  de que han sido estafadas mediante suplantaciones de identidad.

En el momento en que las entidades tengan noticias de una posible suplantación de identidad, deberán hacer todo lo necesario para comprobar la veracidad de la suplantación y en caso positivo, informarán al Responsable del Fichero de Solvencia para evitar así que se hagan nuevas comunicaciones al titular de la identidad suplantada, regularizando internamente la deuda a la espera de la correspondiente resolución judicial.

Puesto que la suplantación de identidad constituye un riesgo evidente, las entidades han de disponer de un sistema adecuado para el ejercicio de los derechos que se establecen en la legislación sobre protección de datos de carácter personal, asesorando a las víctimas de las suplantaciones sobre los documentos que deben aportar para justificar su reclamación, entre los que estará la copia de la denuncia efectuada ante las autoridades.

Inmediatamente que las entidades tiene acceso a la documentación identificativa de los verdaderos titulares de las identidades suplantadas (documentación  indubitada), deberían iniciar el examen comparativo con las documentaciones aportadas por los suplantadores (documentación dubitada), como fotocopias de DNI o Tarjetas de Extranjero, permisos de trabajo, nóminas, copias de cartillas o cuentas bancarias, etc., procediendo a la baja de las identidades usurpadas en los ficheros de morosidad sin esperar a la resolución judicial, e informando a las autoridades judiciales de las gestiones realizadas, al mismo tiempo que denuncian a los autores por si resultaran identificados, agilizando de esta manera el procedimiento judicial.

Este trabajo de investigación interna puede ser efectuado perfectamente por el Servicio de Prevención del Fraude, que se valdrá del asesoramiento técnico de especialistas en documentoscopia si resultara necesario.

La Agencia Española de Protección de Datos no es competente en el esclarecimiento de las actividades delictivas denunciadas por  los titulares de las identidades suplantadas, que se sustanciarán en el correspondiente procedimiento penal.

Pero cuanto tiene información de una suplantación de identidad, básicamente por la denuncia que recibe del perjudicado, procede de inmediato a la apertura de un EXPEDIENTE SANCIONADOR para tratar de evaluar posibles responsabilidades en materia de protección de datos, en cualquiera de los eslabones de la cadena que efectuó el tratamiento de los mismos.

Para que el expediente sancionador quede archivado sin sanción, las entidades incursas en el expediente han de solventar estos dos requisitos ante la AEPD:
  1. Han de demostrar que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad.
  2.  Han de demostrar que en la identificación de los clientes hubo una diligencia razonable.




REQUISITO PRIMERO: DESCONOCIMIENTO PREVIO DE LA SUPLANTACIÓN

La manifestación exculpatoria de la entidad afirmando tener un desconocimiento previo de la suplantación será suficiente para superar el primer requisito exigido, si la Agencia no demuestra lo contrario en su trabajo de investigación.

La manifestación exculpatoria resulta posible, porque en los procedimientos administrativos sancionadores que abre la Agencia, son de aplicación con matices, los principios propios de los procedimientos penales, entre los que se encuentra el de presunción de inocencia.

Junto con la manifestación exculpatoria, cuando para el tratamiento de los datos haya resultado necesario el CONSENTIMIENTO, habrá de acompañarse el documento de consentimiento, aunque sea éste el que aportó el suplantador en el momento de la contratación.

Justificación legal:

La aceptación de la presunción de inocencia está asumida por la AEPD, porque deriva de las jurisprudencias del Tribunal Supremo y del Tribunal Constitucional.


Existen muchos ejemplos de jurisprudencia utilizados en sus resoluciones por la propia Agencia Española de Protección de Datos para justificar el principio de presunción de inocencia, como el siguiente:

“Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” 

(Sentencia del Tribunal Constitucional de febrero de 1989)


REQUISITO SEGUNDO: DILIGENCIA RAZONABLE EN LA IDENTIFICACIÓN

Salvado el primer requisito en base al principio de presunción de inocencia y mediante la manifestación exculpatoria, la entidad que esté inmersa en un expediente sancionador deberá demostrar a la AEPD que ha prestado a la identificación del cliente una diligencia razonable, que en el estado actual de la legislación no puede ser otra que la  diligencia debida establecida por la Ley 10/2010.

En el caso de la identificación formal de los clientes, las entidades demostrarán una diligencia razonable cuando las falsificaciones que sirvieron para la identificación de los mismo son de  suficiente entidad como para aparentar su legitimidad, de forma que no presenten dudas razonables acerca de su veracidad.

Así lo reconoce la AEPD en sus Resoluciones, en las que utiliza sentencias de los Tribunales, como la que sigue:

“…según la prueba obrante, la entidad recurrente exige que a la firma del contrato se acompañe el DNI, lo que en principio constituye una garantía razonable de que la firma se corresponde con el solicitante del préstamo -el problema de autos es que el DNI se había obtenido antes y se empleó para la obtención del préstamo-.”,  y continúa, “…De aquí se  desprende que si resultó empleada una razonable diligencia por parte de la entidad sancionada y que sólo el empleo de un artificioso sistema impidió que fuese detectado el fraude”.

(Sentencia de la Audiencia Nacional de 26 de abril de 2002, Recurso 0895/2000)

Como se desprende de las sentencias, las entidades están expuestas al problema de valoración que hagan las Autoridades sobre la capacidad de engaño que tiene la documentación falsificada presentada por los suplantadores.

Este es un tema delicado por su propia subjetividad, por lo que las empresas pueden quedar expuestas si resulta evidente la pobre calidad de las falsificaciones, o si se demuestra que los fallos en las identificaciones se debieron a la negligencia de los empleados en el cumplimiento de la diligencia debida, o de los prescriptores,  cuando de forma presencial verificaron incorrectamente  los documentos de identificación de los  clientes.

La solución a este problema pasa por instaurar en las empresas sistemas de control que obliguen a la correcta identificación de los clientes.


LA USURPACIÓN DE LA IDENTIDAD EN LAS RELACIONES DE NEGOCIO Y OPERACIONES NO PRESENCIALES

La argumentación analizada anteriormente se puede aplicar también al EXPEDIENTE SANCIONADOR abierto por la AEPD, a partir de una denuncia por suplantación de identidad formulada ante la Agencia, en el caso de una RELACIÓN DE NEGOCIO U OPERACIÓN NO PRESENCIAL

Pero para ello hay que partir del hecho incuestionable de que las relaciones de negocio y operaciones no presenciales son mucho más propensas a los fraudes por suplantación de identidad que las presenciales.

Nos encontramos, por tanto, ante un riesgo específico asociado con las relaciones de negocio y operaciones no presenciales, para el que la Ley 10/2010 exige medidas reforzadas de diligencia debida.

La ley de prevención del blanqueo de capitales en su Artículo 12, autoriza a establecer relaciones de negocio o a ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos cuando concurra alguna de las siguientes circunstancias:
  • (a) La identidad del cliente quede acreditada de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.
  • (b) El primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.
  • (c) Se verifiquen los requisitos que se determinen reglamentariamente.


Según este artículo, la identificación de los clientes no será problemática si se acredita de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.

Podrán establecerse también estas relaciones de negocio y operaciones cuando se verifiquen los requisitos que se determinen en el futuro Reglamento, pero cumpliendo medidas de diligencia reforzada.

Nuestro problema actual radica, por tanto,  en la interpretación que los Tribunales, la AEPD y el SEPBLAC pudieran dar de la usurpación de la identidad, en los casos en que la empresa utilice como criterio justificativo para el establecimientos de las relaciones de negocio y operaciones el punto 1-b del Artículo 12, que refiere como circunstancia autorizante el hecho de que el primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.

Resulta evidente que no sería admisible una interpretación literal del punto 1-b del Artículo 12, sin ningún control añadido, porque esta postura olvidaría el Art. 8 de la Ley 10/2010, que indica que los sujetos obligados mantienen la plena responsabilidad respecto de la relación de negocio u operación, aún cuando el incumplimiento sea imputable al tercero;  en este caso al banco donde se abrió la cuenta.

La utilización de la circunstancia autorizante 1-b, sólo debe hacerse en un contexto de diligencia reforzada; es decir, siempre deberá venir acompañada de algunas medidas reforzadas de diligencia debida.

Estas medidas permitirán que las empresas queden menos expuestas a los siguientes riesgos,  en los supuestos de usurpación de identidad:
  1. Riesgo de que las cuentas abiertas en los bancos de donde proceden los primeros ingresos no fueran también abiertas mediante documentaciones falsas.
  2. Riesgo de que las copias de los documentos de identificación que en el plazo de un mes han de remitir  los propios contratantes, y que son necesarias para practicar la diligencia debida, no sean también copias de documentaciones falsas.
  3. Riesgo derivado de la sustanciación de las denuncias por usurpación del estado civil en los Tribunales, en la Agencia Española de Protección de Datos y en el SEPBLAC.


Vimos en un apartado anterior,  al hablar de los expedientes de la AEPD, que en los temas de usurpación de identidad existen dos requisitos que la empresa debe superar antes de que el expediente sancionador de la Agencia quede archivado sin sanción:
  1. Resulta necesario manifestar expresamente que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad, y además, que la AEPD o el propio denunciante no demuestren lo contrario, primando en estos supuestos la presunción de inocencia.
  2. Resulta necesario demostrar también que en la identificación de los clientes hubo una diligencia razonable por parte de la empresa.


En las relaciones de negocio y operaciones no presenciales ambos criterios siguen siendo válidos pero, para justificar la diligencia razonable habrá que tener en cuenta que la Ley 10/2010 exige para estas relaciones de negocio y operaciones no presenciales medidas reforzadas de diligencia debida.

Por tanto, la identificación formal de los clientes bajo el criterio autorizante del Artículo 12, punto 1-b, cuando la contratación se realiza a través de medios telefónicos, electrónicos o telemáticos, deberá venir acompañada de medidas reforzadas de diligencia debida.

La determinación de estas medidas es un tema de debate,  por lo que seguidamente voy a exponer las que creo que deben aplicarse, y que deduzco  de las sentencias de los tribunales y de la interpretación de la AEPD de esas mismas sentencias con ocasión de procedimientos abiertos por la Agencia a partir de denuncias por usurpación de identidad.


Bajo mi criterio las medidas reforzadas de diligencia debida serían las siguientes:





JUSTIFICACIÓN DE LAS TRES MEDIDAS

Primera: Solicitud del consentimiento para el proceso de comprobación de la veracidad de los datos aportados por los clientes que contraten a través de medios telefónicos, electrónicos o telemáticos.

El artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal no  exige el consentimiento cuando el tratamiento de los datos de carácter personal se refiera a las partes de un contrato o  precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, pero al exigir la Ley 10/2010 que en las relaciones de negocio y operaciones no presenciales se apliquen medidas reforzadas de diligencia debida,  el consentimiento debería solicitarse para el proceso de comprobación de la veracidad de los datos que aportan los clientes, puesto que para ello resulta obligado el acceso a bases de datos externas en las que este requisito resulta imprescindible.


Segunda: Comprobación de la veracidad de los datos aportados por los  clientes,  mediante la utilización de plataformas tecnológicas y  bases de datos internas y externas.

El proceso de comprobación de la veracidad de los datos aportados por los clientes, entre los que se encuentran los datos de identificación, ha de iniciarse desde el momento en que se produce la contratación por medios telefónicos, electrónicos o telemáticos, sin esperar a la recepción en el plazo de un mes, de la copia de los documentos identificativos enviados por los clientes, y que son necesarios para practicar la diligencia debida.

La exigencia de la verificación de los datos aportados por los clientes, como medida reforzada de diligencia debida en las relaciones de negocio y operaciones no presenciales, viene justificada en el tercer párrafo del Artículo 12 de la Ley 10/2010, que dice lo siguiente:

“Cuando se aprecien discrepancias entre los datos facilitados por el cliente y otra información accesible o en poder del sujeto obligado, será preceptivo proceder a la identificación presencial”

Para apreciar discrepancias, por tanto,  resulta obligatorio investigar los datos aportados por los clientes, confrontándolos con otra información accesible o en poder del sujeto obligado,  y sin esperar a la recepción de las copias de los documentos oficiales de identificación.

Ello obliga a las empresas que contraten por medios telefónicos, electrónicos o telemáticos, a disponer de una mínima tecnología que les permita el acceso a bases de datos compartidas de prevención del fraude y plataformas tecnológicas con esta misma finalidad, para lo que les resultará imprescindible el consentimiento de los clientes, si la AEPD no tiene flexibilizada esta interpretación en cada caso, en base al interés legítimo.

La identificación presencial será exigible desde el momento en el que  las empresas aprecien discrepancias entre los datos facilitados por los clientes  y otra información accesible o que esté en su poder.

La utilización de plataformas tecnológicas y bases de datos internas y externas para la comprobación de los datos aportados por los clientes, resulta difícil de probar, si no se tienen establecidas previamente políticas y procedimientos para afrontar este riego, tal como lo exige el punto 2 del Artículo 12.

En el capítulo 8 de esta misma serie propondré un MODELO que facilitaría el establecimiento de las medidas reforzadas de diligencia debida en las relaciones de negocio y operaciones contratadas por medios telefónicos, electrónicos o telemáticos,  teniendo en cuenta la agilidad necesaria en la actividad financiera, modelo que podría ser utilizado también por otras empresas que no son sujetos obligados, para la contratación de sus servicios por los mismos medios.


Tercera: El expediente de investigación para justificar la aplicación de las medidas reforzadas de diligencia debida.

Todo cliente contratado mediante medios telefónicos, electrónicos o telemáticos, debería contar con un expediente virtual de verificación de datos, que contaría como primer documento con el consentimiento para la verificación de la información mediante el acceso a bases de datos internas y externas.

En los casos de denuncias por usurpación del estado civil, corresponde a las entidades denunciadas acreditar fehacientemente que cuentan con ese consentimiento, aunque sea el viciado otorgado por los suplantadores, sobre todo cuando en los procedimientos judiciales o administrativos los verdaderos titulares de las identidades suplantadas niegan haberlo otorgado, y las entidades tuvieron  que acceder a bases de datos externas que contienen los datos de carácter personal de los verdaderos titulares.

En la verificación de datos de las bases de la  Tesorería General de la Seguridad Social mediante el procedimiento VEDACON utilizado por las entidades financieras, este consentimiento hasta ahora se exige  de forma independiente a cualquier otro,  y mediante un  texto literal determinado por la propia TGSS.

Junto al consentimiento o consentimientos, el expediente electrónico debe contener también los justificantes documentales en formato virtual, aportados por las plataformas tecnológicas que hicieron la verificación, así como los documentos utilizados para la identificación formal, en soporte óptico, magnético o electrónico que garantices su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización, tal como exige el Artículo 25.2 de la Ley 10/2010.

Igualmente deberían quedar archivados los rastros dejados por la contratación telefónica (grabaciones), electrónica o telemática (IP), lo que no siempre resulta posible en aquellas entidades que no cuidan de forma efectiva este tipo de archivos documentales.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude