Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 4 de marzo de 2013

LA IDENTIFICACIÓN FORMAL PRESENCIAL, MEDIANTE LA VERIFICACIÓN DE DOCUMENTOS FEHACIENTES




Al estudiar el diseño de los procedimientos de diligencia debida nos hemos centrado exclusivamente en la identificación formal de los clientes, puesto que este bloque de temas lo tenemos  dedicado a la prevención del fraude de identidad.

El  Modelo que estamos utilizando para la prevención del fraude de identidad está basado en la Ley 10/2010, que establece una norma (Política Expresa de Admisión de Clientes) y unos procedimientos (Medidas de Diligencia Debida).

El diseño, aplicación y control operativo de la “Política Expresa de Admisión de Clientes” y de las Medidas de Diligencia Debida, está bajo la responsabilidad del OCIC.

Dentro de los procedimientos de DILIGENCIA DEBIDA,  el OCIC  establece la manera en la que los empleados de la empresa deben realizar la identificación formal,  tanto la presencial como la no presencial.




A la “Política Expresa de Admisión de Clientes”  acompañará siempre un documento denominado “supuestos de no admisión”, que  servirá para establecer los filtros tecnológicos necesarios que impidan  la entrada de determinados clientes en la BASE DE DATOS.

Estos filtros de no admisión se programan por el Departamento de Seguridad Informática en su PLATAFORMA SIEM, que es la que controla el funcionamiento sincronizado de las distintas plataformas de negocio y de cumplimiento que tienen que ver con la BASE DE DATOS DE CLIENTES, ente ellas las de comercialización de productos y servicios, la de prevención del blanqueo de capitales y de la financiación del terrorismo, y la de prevención del fraude.


LA IDENTIFICACIÓN FORMAL PRESENCIAL

En éste y en el siguiente capítulo voy a analizar la identificación formal desde una visión estratégica de la empresa, y por ello, sin centrarme exclusivamente en las obligaciones de cumplimiento impuestas por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, aunque los procedimientos que utilice deriven de las exigencias establecidas en la Ley 10/2010.

La identificación formal de los clientes constituye la primera llave de control que las entidades financieras  poseen para supervisar la actividad de los clientes, no sólo  dentro de sus empresas, sino, a través de ellas, dentro del  sistema financiero, de cuya seguridad son corresponsables.

El fraude de identidad, constituye un primer engaño que utilizan los delincuentes cuando quieren operar de forma ilegal y anónima dentro del sistema financiero. Para ello crean identidades falsas o suplantan identidades verdaderas.

Una vez traspasado con éxito el filtro de la identificación, a los delincuentes les resulta menos complicado superar el filtro de la solvencia mediante un segundo engaño, que consiste en falsificar la solvencia. Este filtro será la segunda llave de control, y estará en manos del DEPARTAMENTO DE RIESGOS FINANCIEROS.

Este segundo filtro, tradicionalmente está  dotado con procedimientos  específicos  para la estudio de la solvencia,  y también de diversas herramientas tecnológicas,  como por ejemplo,  las herramientas de scoring, y los accesos automatizados a la CIRBE y a los restantes  ficheros privados de solvencia.

A partir de la Ley 2/2011, de 4 de marzo, de Economía Sostenible; de la Circular 5/2012, de 27 de junio, del Banco de España, a entidades de crédito y proveedores de servicios de pago, sobre transparencia de los servicios bancarios y responsabilidad en la concesión de préstamos, y de la Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección de clientes bancarios, este filtro  está siendo potenciado en las entidades financieras para que pueda hacer frente al NUEVO SISTEMA DE EVALUACIÓN DE LA SOLVENCIA.

La nueva evaluación ha de hacerse con anterioridad a la celebración de cualquier contrato de crédito o préstamo y requiere:
  1. Evaluar la capacidad del cliente para cumplir con las obligaciones derivadas del contrato de crédito o préstamo. La evaluación ha de tener como base, la información que la empresa estime como suficiente  y que obtenga por medios adecuados. Entre esta información estará la solicitada al propio cliente.
  2. Contar con procedimientos internos,  que han de estar desarrollados específicamente para llevar a cabo la evaluación de la solvencia.
  3. Existe también la obligación de revisar periódicamente estos procedimientos por las propias entidades, que mantendrán registros actualizados de dichas revisiones.



Este nuevo sistema de evaluación de la solvencia, que la normativa económica ha impuesto al sector financiero desde el 29 de abril de 2012, conecta operativamente con el Modelo que estamos utilizando para el control de la identificación basado en la normativa AML, hasta el punto que utiliza sus mismos criterios de planificación: establecimiento de políticas y procedimientos.

No cabe duda, por tanto, de que ambos modelos constituyen las dos piezas de un mismo sistema que tiene como objetivo el conocimiento de los clientes.



A través del nuevo sistema de evaluación de la solvencia,  las empresas financieras han de clasificar a los clientes en función de sus riesgos financieros, y cumplir así con la obligación de garantizar la concesión responsable de los préstamos.

Sin la identificación formal, todo el trabajo de CONTROL DE LA SOLVENCIA no serviría de nada, puesto que bastaría que los que quisieran operar fraudulentamente dentro del sistema financiero se dotaran de identidades  falsas o usurpadas.

Los delincuentes que son capaces de falsificar la llave de la identificación, son capaces también de falsificar la llave de la solvencia, puesto que conocen perfectamente el funcionamiento de la actividad financiera, y por tanto, saben burlar  cualquier herramienta o sistema de “scoring”, así como los  filtros de  información de solvencia que suelen utilizar las entidades para el análisis  de los riesgos financieros. Por ello es tan importante el control de la identificación.

Un fallo en este control, aún siendo grave para la empresa, resulta determinante para la seguridad del sistema financiero,  si consigue que cualquier delincuente o un grupo criminal puedan actuar impunemente dentro del mismo.

El incumplimiento de la obligación de la identificación formal de los clientes, por tanto,  puede tener  graves consecuencias económicas para las entidades financieras a consecuencia de las defraudaciones, pero sobre todo, porque puede afectar  a la seguridad del sistema financiero, con el consiguiente efecto reputacional negativo para las empresas responsables, que sin duda vendrá  acompañado de consecuencias penales, sancionadoras,  o de pérdida de clientes.

La identificación formal de los clientes permite también a las empresas financieras  poner a disposición de las autoridades esta información cuando sea necesaria. Esta información es la más crítica de las exigidas por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Cuando el OCIC diseñe los procedimientos para la identificación formal presencial, ha de cuidar que con ellos se consigan estos dos objetivos:
  1. Evitar que los delincuentes puedan presentar documentos oficiales falsificados.
  2. Asegurarse de que los verificadores sepan comprobar que los datos biométricos aportados por las personas físicas durante los procesos de identificación formal presencial, se corresponden con los que aparecen en los documentos fehacientes que éstas presentan en el acto de la verificación.



Estos dos objetivos deberán estar contemplados perfectamente en el diseño del procedimiento de la identificación formal presencial, que deberá completarse  con la formación de los verificadores, y su dotación con un mínimo de herramientas tecnológicas que permitan dar seguridad al proceso.


PROCESO DE VERIFICACIÓN DE LA IDENTIDAD



La identificación formal presencial mediante documentos fehacientes, como su propio nombre indica,  presupone la presencia física de los  titulares de los documentos oficiales ante los verificadores, para que éstos comprueben la legalidad de los  mismos  mediante el análisis de las medidas de seguridad que poseen,  y posteriormente mediante la confrontación de los datos biométricos que contienen, con los que tienen las personas que los portan.

El proceso de verificación presencial de la identidad resulta esencial  para el cumplimiento de la identificación formal exigida por la legislación AML, pero también para la prevención del fraude y para el funcionamiento seguro del sistema  financiero.

Igualmente resulta esencial para  el buen funcionamiento de todos los servicios públicos y privados, en los que se requiera la identificación formal de las partes intervinientes.


CONTROL DE LOS DOCUMENTOS FEHACIENTES DE IDENTIFICACIÓN

Este  primer objetivo se conseguirá mediante la verificación de las medidas de seguridad de los documentos fehacientes que presentan los clientes.

Para facilitar la verificación se ofrecen tres caminos:
  1. Preparación de los empleados para que sean capaces de verificar las medidas de seguridad que contienen los documentos oficiales de identificación, dotándolos de algunas herramientas elementales.
  2. Establecimiento de algún proceso tecnológico de verificación automática de las medidas de seguridad que contienen los documentos oficiales de identificación, superando así la falta de preparación de los verificadores.
  3. Establecer un proceso mixto, que aglutine los dos anteriores.




CONTROL DE LOS DATOS BIOMÉTRICOS DE LOS CLIENTES

Este segundo objetivo se conseguirá cuando el verificador sea capaz de comprobar con agilidad y seguridad,  los datos físicos y documentales (firma) de las personas a identificar, con los que aparecen en los documentos fehacientes de identificación que éstas le presentan.

Para el cumplimiento de este segundo objetivo, resulta necesaria la formación sicológica  del verificador, para que sepa confrontar de forma rápida los datos que aparecen en los documentos identificativos y los que porta la persona a identificar. El verificador también ha de conocer los engaños que suelen utilizar los delincuentes durante los procesos de verificación de la identidad.
  • Formación sicológica del verificador
  • Formación operativa del verificador



ALGUNOS ENGAÑOS UTILIZADOS EN LOS PROCESOS DE VERIFICACIÓN DE LA IDENTIDAD

Cuando los delincuentes pretenden operar en el sistema financiero, o quieren intervenir en actos  jurídicos o económicos sin utilizar su verdadera identidad, necesitan  traspasar con éxito el filtro de la verificación mediante estos tres tipos de engaño:
  1. Utilizando documentos de identificación totalmente falsificados, en los que los datos biométricos se adaptan perfectamente a los portadores de los mismos.
  2. Utilizando documentos de identificación perdidos o sustraídos, a los que modifican alguno de sus datos biométricos para hacerlos coincidir con los tienen sus portadores.
  3. Utilizando documentos verdaderos sin efectuar modificaciones en los mismos, pero utilizando al mismo tiempo técnicas de persuasión que impidan al verificador hacer las comprobaciones necesarias, o seleccionado puestos de verificación que tengan personal insuficientemente preparado.



El primero de los engaños, (falsificación total de documentos de identificación), no resulta fácil  para la generalidad de los delincuentes, puesto que los  documentos oficiales de identificación, (documentos fehacientes),  contienen diversas  medidas de seguridad cuya modificación resulta fácilmente detectable para los expertos. Estas medidas de seguridad son fáciles de controlar también por lo no expertos mediante herramientas tecnológicas simples y un mínimo de formación.

Existen, con todo,  organizaciones criminales que tienen la capacidad de falsificar  documentos oficiales de identificación para la comisión de actos delictivos concretos, en los que resulta imprescindible la suplantación de una determinada identidad.

Para ello estas organizaciones se valen del servicio de falsificadores,  que suelen estar controlados directamente por la dirección de las mismas. Estos falsificadores están dotados de herramientas tecnológicas capaces de imbuir  en los soportes documentales, todas o algunas de las medidas de seguridad que contienen los documentos oficiales de identificación.

Estos falsificadores también son utilizados para la fabricación de billetes falsos, simulación de firmas y modificación de textos manuscritos. Antes de la generalización de los ordenadores, también solían trabajar con textos mecanografiados, aportando a los mismos las imperfecciones que producían las máquinas de escribir en los documentos originales.

Actualmente, con los ordenadores se consiguen falsificaciones totales de documentos de identificación, aunque sin las medidas de seguridad que contienen los verdaderos.

Este primer engaño  no suele utilizarse normalmente en las defraudaciones financieras porque no resulta rentable para las organizaciones criminales, y, porque el coste de mantener falsificadores y la maquinaria suele estar vedado para la generalidad de los delincuentes. Con todo, ésta modalidad de engaño es utilizada a menudo por organizaciones terroristas para fines específicos dentro de la actividad financiera.

La segunda modalidad de engaño es la que se utiliza normalmente para  atacar al sector financiero, (utilización de documentos de identificación perdidos o sustraídos, a los que se modifican alguno de sus datos biométricos para hacerlos coincidir con los tienen sus portadores). Es también la modalidad de engaño que suelen utilizar los delincuentes para intervenir en actos públicos y privados en los que se requiere la identificación formal de las partes intervinientes.

Existen mercados de documentos  perdidos o sustraídos perfectamente localizados geográficamente por los delincuentes, o que funcionan de forma virtual a través de Internet. Estos mercados son aprovisionados por carteristas, o por personas sin escrúpulos que encuentran estos documentos, y en vez de devolverlos a sus dueños negocian con ellos.

La técnica para el engaño consiste en modificar determinados datos biométricos, como la fotografía o la fecha de nacimiento, para hacerlos coincidir con los que poseen sus portadores.

Esta es una modalidad de engaño muy eficaz en las relaciones de negocio y operaciones no presenciales, o en la comercialización de productos y servicios financieros en los que las entidades no están en contacto directo con los clientes, sino a través de prescriptores.

Existe un riesgo en la identificación a través de prescriptores, cuando por parte de las empresas financieras no se establece un mínimo control sobre los procesos externos de verificación de la identidad.

El riesgo en la identificación, durante el establecimiento de las relaciones de negocio y operaciones no presenciales será analizado de forma independiente en el próximo capítulo.

La tercera modalidad de engaño es la más ilustrativa de la negligencia que actualmente impera en materia de verificación, tanto en el sector público como privado, (presentación de un documento original de otra persona sin efectuar ninguna modificación en el mismo).

Si en cualquier defraudación los delincuentes utilizan técnicas de persuasión, en esta modalidad de engaño resultan imprescindibles para impedir que una mínima verificación deje en evidencia la suplantación.

Es una técnica de engaño que se utiliza frecuentemente en el pago con tarjeta, cuando en los  comercios, junto con la tarjeta es requerido el documento de identificación. Para solventar este problema los defraudadores buscan momentos de aglomeración de clientes que es cuando los verificadores están sometidos a un gran estrés, o buscan empresas en las que los verificadores están insuficientemente formados. En estos casos, aunque los verificadores miren los documentos que se les presentan, normalmente no ven nada en los mismos.

Para la prevención de muchas de las defraudaciones que se cometen por suplantación de identidad sin modificación de los documentos identificativos, sólo resulta necesario un pequeño esfuerzo en la formación de los verificadores, con el fin de enseñarles  la manera de proceder, en el tiempo mínimo necesario, con los documentos oficiales de identificación y con las personas que los portan.

Tanto en las entidades financieras, en las que son los comerciales los que cumplen con la obligación legal de la identificación formal de los clientes, como en las empresas o comerciantes que actúan como prescriptores del sector financiero, debe exigirse una mínima formación de los empleados, con el fin de que se conviertan en buenos verificadores durante los procesos de identificación.


PAUTAS PARA LA FORMACIÓN DE LOS VERIFICADORES



Las empresas tienen la responsabilidad de formar a sus empleados en las técnicas de identificación presencial de los clientes, a través  del DNI,  de la Tarjeta de Extranjero, o mediante el control de sus pasaportes.

Los departamentos de recursos humanos, con la colaboración de los departamentos de prevención del fraude o de seguridad, han de programar cursos de verificación de la identidad, que podrán ser elementales o de especialización.

Los cursos de especialización serán programados para los integrantes de determinados departamentos, como los de prevención del fraude, seguridad, o los de análisis de riesgos financieros, y los cursos de verificación básica, para el resto de empleados que pertenecen a los departamentos que están en contacto directo con los clientes.

Estos cursos deberán ofrecer para cada nivel, la formación técnica y sicológica que permita desarrollar o mejorar en los verificadores, aquellas capacidades necesarias para el examen físico de los documentos, y la agilidad suficiente para proceder a una rápida comprobación de los datos biométricos de los clientes con los que aparecen en los documentos oficiales de identificación.

Los departamentos de prevención del fraude o de seguridad, deberían valorar en cada situación, si basta con la formación de los empleados, o si resulta necesario establecer algún proceso automatizado de verificación de las medidas de seguridad de los documentos, o si convienen procedimientos mixtos dotados de algún equipo técnico elemental.

En los  Departamentos de Prevención del Fraude, en los Departamentos de Seguridad y en los Departamentos de Análisis de Riesgos Financieros, ha de existir personal con formación avanzada en identificación, así como un equipo técnico mucho más completo para verificar la identidad,  junto con documentación de consulta o el acceso a bases de datos documentales.

Los empleados que tienen a su cargo el análisis de riesgos financieros, al no estar en contacto directo con los clientes, no tienen bajo su responsabilidad directa la verificación de la identidad,  pero han de saber trabajar con las copias electrónicas y las fotocopias de los documentos identificativos. Durante el análisis de riesgos han de saber confrontar los datos y las firmas de los documentos identificativos, con los que aparecen en los documentos de solvencia,  para así prevenir el fraude.

Resulta de interés que  estos departamentos  tengan la capacidad de conexión rápida con algún laboratorio de documentoscopia externo,  que les resuelva los casos más complicados que vayan surgiendo.

La formación básica de los verificadores podrá  ser realizada por el personal especializado de la propia empresa, y será obligatoria para todos los empleados que actúen en los procesos de contratación o que tengan que controlar la documentación de los clientes.

Dentro de la formación sicológica, ha de enseñarse a los empleados a abordar  delante de los clientes las situaciones en las que resulta dudosa la identificación, para lo que deberá tenerse en cuenta lo siguiente:
  • No es agradable para los clientes  que se dude de la veracidad de los documentos que presentan, por lo que el trato de los verificadores debe ser exquisito.
  • Unas simples explicaciones hechas con delicadeza serán  suficientes para que los clientes de buena fe se interesen sobre los posibles defectos de sus documentos y no objeten ante una verificación más exhaustiva de los mismos.
  • El cliente de buena fe sabe por sentido común, que siempre le resultará más beneficioso aclarar cualquier  problema de identificación en España que en la frontera de un país extranjero.
  • Hay que formar sicológicamente a los verificadores para enfrentarse de forma inteligente con los defraudadores, sin miedo pero con la prudencia necesaria en cada caso.
  • Han de saber que cuando un estafador observa que el verificador tiene dudas sobre su documento, va a exigir de inmediato la entrega del mismo, lo que no debe hacerse siempre que no exista peligro para el verificador, o para el resto de  los clientes y del personal de la empresa.
  • Han de saber también que cuando el defraudador se encuentra ante un verificador seguro de su trabajo, suele optar por salir rápidamente del establecimiento abandonando el documento, con lo que el verificador habrá conseguido no sólo paralizar el  fraude que se pretendía realizar, sino los que en el futuro se hubiesen perpetrado utilizando  el documento incautado, que servirá posteriormente  para la identificación del delincuente a través de la fotografía.
  • Se ha de incluir también entre las enseñanzas, la forma de tratar los documentos incautados para que no se destruyan las huellas latentes y rastros biológicos del delincuente, asegurando la cadena de custodia de los sobres que contengan los documentos, antes de su pase al laboratorio.



ESQUEMA OPERATIVO DE VERIFICACIÓN DE LOS DOCUMENTOS FEHACIENTES DE IDENTIFICACIÓN

VERIFICACIÓN BÁSICA
  1. Análisis de los elementos de seguridad primarios que poseen tanto los  DNI como las Tarjetas de Extranjero.
  2. Confrontación de los datos biométricos que aparecen en los documentos con los que poseen las personas que los presentan, especialmente fotografías y fechas de nacimiento.
  3. Receptividad sobre detalles de la conducta de los portadores de los documentos que aconsejen una revisión más exhaustiva de los mismos.
  4. Conocimiento del proceso establecido en la empresa para solicitud de ayuda  a los responsables de la VERIFICACIÓN ESPECIALIZADA.
  5. Fomento de la connivencia dentro del departamento de verificación básica, para que todos los  miembros sepan arropar al verificador que se encuentre en problemas, de forma que pueda ausentarse con naturalidad para las gestiones que tenga que realizar.
  6. Conocimiento del protocolo para la remisión de los documentos originales de identificación incautados al departamento de VERIFICACIÓN ESPECIALIZADA,  cuando se detecten  irregularidades en el análisis de los elementos de seguridad primarios, o hubiesen dudas en la verificación de la identidad del titular a través de cualquiera de sus datos (fotografía, edad, país de nacimiento, etc.)
  7. Conocimiento del protocolo alternativo para que en los casos en que esa remisión no sea posible, se puedan obtener copias electrónicas o fotocopias de los documentos dubitados y para la preservación de las grabaciones de seguridad del establecimiento.


En la verificación básica,  el verificador sólo posee de 30 segundos a dos minutos para hacer su trabajo, por lo que además de la formación deberá tener  a su disposición un equipo técnico de verificación automática, o por lo menos, un equipo mínimo de verificación, como puede ser una  simple lupa o cuentahílos, y una fuente luminosa de sobremesa, de espectro visible y ultravioleta.

VERIFICACIÓN ESPECIALIZADA
  1. Análisis  exhaustivo de los elementos de seguridad primarios que poseen tanto el DNI como la Tarjeta de Extranjero, mediante el equipo técnico existente en la empresa.
  2. Formación adecuada para el asesoramiento técnico al verificador,  en el supuesto de que no pueda éste remitir el documento original al departamento de verificación especializada.
  3. Formación para el asesoramiento operativo al verificador, con el fin de  que tome las decisiones adecuadas, una vez que el departamento especializado sea informado de las circunstancias de seguridad que rodean el supuesto planteado.
  4. Creación del protocolo para la remisión de los documentos originales de identificación incautados al departamento de VERIFICACIÓN ESPECIALIZADA, una vez  se detecten  irregularidades en el análisis de los elementos de seguridad primarios, o hubiese dudas en la verificación de la identidad del titular a través de cualquiera de sus datos (fotografía, edad, país de nacimiento, etc.)
  5. Creación del protocolo para que en los casos en que esa remisión no sea posible, puedan obtenerse copias electrónicas o  fotocopias de los documentos dubitados,  y para la preservación de las grabaciones de seguridad del establecimiento.
  6. Remisión de los documentos incautados al LABORATORIO EXTERNO cuando se detecten  irregularidades en el análisis de los elementos de seguridad primarios, con el fin de asegurar el diagnóstico, y para obtener el material fotográfico histórico que sirva para mejorar el funcionamiento del servicio y la formación, antes de la entrega del documento falsificado a las autoridades mediante la correspondiente denuncia.
  7. Creación de un archivo con el material  fotográfico y pericial, para su posterior  confrontación con el material fotográfico procedente de otros ataques, con el objetivo de interrelacionar supuestos delictivos conexos.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




Publicado por en
Etiquetas: