Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 25 de febrero de 2013

FUNCIONES DEL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE



La prevención del fraude es una obligación que atañe a toda la organización, al igual que sucede con la prevención del blanqueo de capitales y de la financiación del terrorismo, aunque con la diferencia de que esta obligación no responde a una materia de cumplimiento externo sino de control  interno y, por tanto,  estará sujeta a criterios basados en la escala de valores e intereses que tenga la empresa.

En algunas entidades financieras, durante muchos años el fraude ha  estando camuflado dentro de la morosidad y asumido, por tanto,  como un riesgo comercial más, controlable mediante políticas y procedimientos de análisis de riesgos comerciales o de recuperaciones.

Actualmente  el fraude se analiza en el sector financiero como fenómeno independiente a la morosidad,  y para ello, o bien se están creando los departamentos de prevención del fraude como estructuras especializadas, o se potencia su estudio dentro de la actividad ordinaria de otros departamentos, como los de seguridad, los de gestión de riesgos financieros, los de recuperaciones, etc.

Las entidades financieras que opten por la creación de estructuras especializadas como serían los departamentos de prevención del fraude, han que rentabilizarlas  al máximo asignando a las mismas unos cometidos que estén acordes con la especialización de sus integrantes.





Bajo mi criterio estos cometidos serían los siguientes:
  1. Control de la calidad y proporcionalidad de la base de datos de clientes
  2. Control operativo de la diligencia debida
  3. Coordinación de la investigación del fraude interno y externo
  4. Asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude


Las dos primeras funciones serían preventivas y las dos siguientes reactivas, y ninguna de ellas invadirían cometidos de otros departamentos como por ejemplo, el jurídico o el de auditoría, sino que por el  contrario los liberarían de funciones no propias que pueden afectar a su independencia funcional,  puesto que ambos departamentos han de estar más cerca del fiel que de los platillos de la balanza.

En esta parte del trabajo no desarrollaré las funciones reactivas del DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, puesto que  estos dos cometidos serán objeto de un planteamiento específico en otra parte de este estudio, pero adelantaré que mediante estas dos funciones este departamento  colaborará más eficazmente con el departamento jurídico, o con el departamento de auditoría, o aportará su especialización al departamento de seguridad informática, en el análisis de los fraudes tecnológicos desde su vertiente operativa no técnica.

En lo que sigue me centraré sólo en las funciones preventivas.


CONTROL DE LA CALIDAD Y PROPORCIONALIDAD DE LA BASE DE DATOS DE CLIENTES

La BASE DE DATOS DE CLIENTES es uno de los activos más importantes de la empresa. Se va creando en el tiempo mediante la labor comercial, y su información tiene que estar dotada de tres cualidades: calidad, proporcionalidad, y seguridad. De la vigilancia de las dos primeras se encarga el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y de la tercera, el DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.

Para la vigilancia de la calidad y proporcionalidad de los datos, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de desarrollar dos cometidos: Uno “ex ante”,  participando en la determinación de los datos que serán exigidos a los clientes, dependiendo del tipo al que pertenezcan y de las características de los productos u operaciones que pretendan contratar, y otra “ex post”, verificando aleatoriamente en la base de datos de clientes si la información cedida tiene calidad y proporcionalidad.

Para cada modalidad de producto u operación y para cada tipo de cliente, será necesaria una determinada información que ha de ser especificada por el departamento de desarrollo del producto financiero, con el asesoramiento de aquellos otros departamentos que serán posteriormente afectados por su comercialización y control.

En este trabajo, también resulta de interés  la colaboración del departamento de prevención del fraude, por su peculiar especialización, que participará en el análisis del riesgo fraude-cliente, así como en la valoración de los datos que van a ser solicitados,  con el fin de que la empresa cumplan escrupulosamente con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

Los datos fundamentales de una base de datos de clientes perteneciente a cualquier empresa del sector financiero son los de identificación, que se complementarán posteriormente  con los datos de solvencia.

Tanto unos como otros son susceptibles de falsificación, pero la falsificación de los primeros deja totalmente indefensa a la entidad financiera, mientras que los segundos pueden ser  verificados más fácilmente en fuentes internas y externas.

La empresa, por tanto, ha de evitar por todos los medios el fraude de identidad y la falsificación de los datos de solvencia, y la mejor manera de hacerlo es controlando la calidad y proporcionalidad de la BASE DE DATOS DE CLIENTES, para lo que utilizará su  departamento de prevención del fraude.

Este departamento  actuará como asesor especializado del OCIC, y asumirá el estudio de los casos complicados de presuntos fraudes,  liberando así a los restantes departamentos de  este trabajo marginal,  para centrarse   en sus labores principales de evaluación de la capacidad del cliente para cumplir con las obligaciones derivadas de la contratación.


CONTROL  OPERATIVO DE LA DILIGENCIA DEBIDA

La calidad y la proporcionalidad de la información existente en la base de datos de clientes depende del cumplimiento o no, por todos los empleados de la empresa, de las obligaciones de diligencia debida, entendida ésta en su concepto ampliado y por tanto no limitado a la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, de donde proviene originariamente el término.

La diligencia debida así entendida, beneficia  diversos intereses  de la empresa además de los de cumplimiento, entre los que están de forma destacada los de negocio.

Justifico por razones metodológicas y economicistas,  que la diligencia debida se planifique en base a los  criterios que se indican en el Capítulo II de la Ley 10/2010, puesto que el sector financiero carece de normativa legal o administrativa en esta materia, siendo la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo la que mejor se presta para la homogeneización de estos procedimientos dentro del sector.

La diligencia debida tiene como objeto el conocimiento del cliente, requisito imprescindible para poder establecer y mantener con el mismo relaciones de negocio y operaciones. Este objetivo es válido para el cumplimiento de la Ley 10/2010, pero también para garantizar la seguridad de la actividad económica en la empresa, y para prevenir el fraude, especialmente el derivado de la suplantación de identidad, que es el objeto de estudio de esta primera parte del trabajo dedicado a la prevención del fraude externo que se comete con identidades falsas o usurpadas.

Atendiendo a estos criterios, son cuatro los procesos que son necesarios para el conocimiento del cliente:
  1. La identificación formal del cliente
  2. La identificación del titular real, si el cliente es persona jurídica y existe una situación de riesgo
  3. El conocimiento del propósito e índole de la relación de negocios que el cliente quiere establecer con nuestra empresa
  4. El seguimiento continuo de la relación de negocios  y de las operaciones que efectúe el cliente a través de nuestra empresa





Los cuatro procesos (que la Ley 10/2010 llama medidas), están concatenados y  ordenados de forma lógica, y  cada empresa deberá establecerlos de manera simplificada, normal o reforzada, teniendo en cuenta sus intereses generales y las distintas normativas de cumplimiento.

El objetivo de estos cuatro procesos es que la empresa llegue a conocer a su cliente, y ese  conocimiento lo atesorará  para beneficio de toda su actividad  en la BASE DE DATOS DE CLIENTES, que sólo debe contener aquella información  necesaria para afrontar los riesgos que la empresa asume con cada cliente.

Para que la base de datos sea de interés para la actividad empresarial deberá estar revestida de calidad y proporcionalidad,  que se consiguen en la práctica mediante la aplicación escrupulosa de la política expresa de admisión de clientes y  los procedimientos de diligencia debida,  por el personal que trabaja directamente con los clientes, o por el que analiza a posteriori la información aportada por los mismos.

Junto a la calidad y la proporcionalidad, la BASE DE DATOS DE CLIENTES debe estar revestida también de la necesaria seguridad para evitar que sea accedida sin control o contaminada interna o externamente.

La política expresa de admisión de clientes y los procedimientos de diligencia debida, no pueden ser utilizados por la organización sin que sean aprobados previamente por la alta dirección, y sin que  exista un órgano con la necesaria autoridad dentro de la empresa para aplicarlos y controlarlos.

Por razones de método, éste órgano ha de ser también el que diseñe, aplique y controle operativamente el cumplimiento de la norma interna (política expresa de admisión del clientes), y los procedimientos  adecuados para llevarla a la práctica (medidas de diligencia debida), sin perjuicio de las funciones de Auditoría como autoridad independiente.

Así pues, el sistema operativo que controla el conocimiento de los clientes y por tanto la información existente en su base de datos,  tiene su fundamento estratégico en:





En nuestro MODELO, el órgano de control  es el que ya establece la legislación de  prevención del blanqueo de capitales y de financiación del terrorismo, a saber: El  ÓRGANO DE CONTROL INTERNO Y COMUNICACIÓN (OCIC).

Éste Órgano, para el diseño, aplicación y control de la estrategia del modelo, contará con la colaboración operativa de estos tres departamentos:
  • El Departamento  de Prevención del Fraude
  • El Departamento de Seguridad Informática
  • El Departamento AML


El OCIC, por tanto, es el responsable último de la calidad, proporcionalidad y seguridad de la BASE DE DATOS DE CLIENTES.

El OCIC, como ya sabemos por la Ley 10/2010, contará con representación de las distintas áreas de negocio y cumplimiento de la empresa, y ha de tener capacidad para aplicar internamente las normas y los procedimientos que tienen que ver con los clientes. Cuando se reúne, ha de levantar acta de los acuerdos adoptados.

Las funciones del OCIC son las siguientes:
  1. Diseño de la política expresa de admisión de clientes y de los procedimientos de diligencia debida, que serán presentados a la Dirección para su aprobación.
  2. Aplicación de las normas y los procedimientos aprobados por la Dirección en las distintas áreas operativas.
  3. Control operativo del cumplimiento de las normas y los procedimientos por las distintas áreas operativas.







DISEÑO DE LA POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES Y DE LOS PROCEDIMIENTOS DE DILIGENCIA DEBIDA

La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones,  e incluye la descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio en función de los factores que determine cada empresa, entre los que estarán de forma destacada los de riesgo AML

Esta política deberá contener también la identificación de los FILTROS DE EXCLUSIÓN, que tienen como misión impedir la aceptación como clientes de aquellas personas físicas o jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible por la empresa.

Al ser el OCIC un comité de dirección con representación de las distintas áreas de negocio y cumplimiento de la empresa, para el trabajo de campo necesario  para el diseño de la política expresa de admisión de clientes,  se auxiliará de los tres departamentos referenciados anteriormente: El departamento de prevención del fraude, el departamento AML y el departamento de seguridad informática.
  • El departamento de prevención del fraude le auxiliará en la definición de los riesgos derivados del fraude de identidad y de los fraudes ocasionados por un mal conocimiento de los clientes.
  • El departamento de prevención del blanqueo, le auxiliará en la definición de los riesgos derivados del incumplimiento de la Ley 10/2010.
  • El departamento de seguridad informática, le auxiliará en la definición de los riesgos derivados de la inseguridad de la base de datos de clientes, de los riesgos derivados de la no discriminación en el uso interno de esa base de datos, y sobre la tecnología necesaria para el seguimiento continuo de la relación de negocio, así como sobre el sistema de alertas que deberá establecerse al efecto.


Se creará por tanto un grupo de trabajo dirigido por un miembro relevante del OCIC que será  ayudado por especialistas de los tres departamentos citados, para el diseño de la política expresa de admisión de clientes. Este grupo de trabajo se encargará de realizar los trabajos de campo necesarios para determinar el riesgo-cliente que suponen para la empresa los productos y servicios que ésta ofrece, definiendo, en base a ese riesgo, los principios que deberán regir en la empresa para establecer las relaciones de negocio y operaciones. Se encargará también de describir aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio. Igualmente determinará las listas o filtros de exclusión que deberán ser instalados en las plataformas tecnológicas de control y cumplimiento.

El resultado de este trabajo será el borrador documental que el OCIC presentará a la alta dirección para su aprobación, y posteriormente el documento definitivo que servirá para crear en toda la empresa una cultura que ha de imbricarse en los procesos realizados por todos los departamentos de negocio, gestión, cumplimiento y control.

El OCIC controlará la aplicación en la empresa de esta cultura mediante la ayuda de estos tres departamentos, en sus funciones específicas de: prevención del fraude, cumplimiento AML, y seguridad en la explotación de la BASE DE DATOS DE CLIENTES.

Igualmente el OCIC tendrá bajo su responsabilidad el diseño, aplicación y control de los procedimientos de diligencia debida necesarios para el conocimiento de los clientes, para lo que se ayudará de los tres departamentos señalados  de una manera similar a la que hemos visto para la definición de la política expresa de admisión de clientes.

Una vez diseñados y aprobados los procedimientos, e identificados los departamentos que deberán utilizarlos, tendrán que ser aplicados por estos mismos departamentos atendiendo al riesgo encontrado para cada perfil de clientes y modalidad de productos o servicios susceptibles de contratación. Para ello, el OCIC ayudado de su equipo asesor, deberá determinar los  perfiles de riesgo, para cada tipo de cliente y modalidad, así como los procedimientos que deberán ser utilizados  en cada caso  y el grado en que serán aplicados, que como ya sabemos por la Ley 10/2010, puede ser normal, simplificado o reforzado, atendiendo a los criterios de riesgo de la empresa, que estarán atemperados por la normativa existente.

Para el  conocimiento de los clientes habrá que aplicar de la forma indicada, por tanto,  los siguientes procedimientos:
  • El procedimiento de identificación formal de los clientes
  • El procedimiento para la identificación del titular real
  • El procedimiento para el conocimiento del propósito e índole de la relación de negocios
  • El procedimiento para el seguimiento continuo de la relación de negocios







Estamos acostumbrados a estudiar  las medidas de diligencia debida sólo desde la óptica de la prevención del blanqueo de capitales y de la financiación del terrorismo y ahora conviene modificar el criterio para ampliar la nueva visión estratégica.

Es cierto que el departamento de prevención del blanqueo de capitales y financiación del terrorismo, teniendo en cuenta sus propios criterios de riesgo AML, establecerá para cada tipo de cliente y modalidad de productos y operaciones los factores de riesgo AML, pero ello es sólo una parte del proceso de la diligencia debida, puesto que en el concepto ampliado que estamos abordando también hay que incluir otros riesgos-cliente además de los establecidos en la Ley 10/2010.

Me refiero, por ejemplo, a:
  • Los riesgos de crédito y cobro
  • Los riesgos de fraude
  • Los riesgos de seguridad
  • Los riesgos de protección de datos de carácter personal
  • Otros riesgos de cumplimiento, como los de transparencia y protección del cliente de servicios bancarios
  • Etc.


La diligencia debida, desde este concepto ampliado, excede  la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo, y se inserta directamente dentro de la esfera del control general del riesgo-cliente de la empresa, en el que el riesgo AML seguirá siendo uno de sus puntos fuertes.

El OCIC tendrá, por tanto,  que diseñar el mapa con los diferentes riesgos a considerar, distribuyendo las materias a coordinar entre los departamentos que le  auxilian en este trabajo; y así, las materias de seguridad estarán coordinadas por el departamento de seguridad informática, las de AML por el departamento de prevención del blanqueo de capitales y las que tienen que ver con los restantes riesgos-cliente, por el departamento de prevención del fraude.

Si no existiera esa coordinación, cada departamento de negocio, control y cumplimiento establecería su propia política expresa de admisión de clientes y las obligaciones de diligencia debida atendiendo a sus perfiles de riesgo-cliente y operaciones, lo que llevaría a una multiplicidad de políticas y procedimientos.

El objetivo de este trabajo de campo será el diseño y posterior aplicación de una política unitaria de diligencia debida, en la que confluyan las necesidades de las diferentes áreas de la empresa que tienen responsabilidad sobre los  clientes, ya sean de negocio, de cumplimiento o de riesgo.


En este bloque de estudio dedicado a la prevención del fraude de identidad, de las cuatro áreas que abarca la diligencia debida, sólo analizaremos la que tiene como objetivo:

LA IDENTIFICACIÓN FORMAL DE LOS CLIENTES

El proceso de identificación formal de los clientes ha de hacerse obligatoriamente como queda establecido  en el Artículo 3 de la Ley 10/2010 y en los restantes artículos que modulan la aplicación del mismo, y así,

La identificación formal de las personas físicas o jurídicas ha de hacerse con carácter previo al establecimiento de la relación de negocio o a la ejecución de cualesquiera operaciones, y deberá realizarse mediante la verificación presencial de los documentos fehacientes de identificación que establecerá el futuro Reglamento de la Ley 10/2010.

Hasta la publicación y entrada en vigor de las disposiciones reglamentarias de la Ley 10/2010, se consideran documentos fehacientes los reconocidos por el Reglamento de la Ley 19/1993, ya derogada, que fue aprobado por Real Decreto 925/1995, de 9 de junio, y sus normas de desarrollo.

Para el cliente, persona física son los siguientes:
  • Documento Nacional de Identidad
  • Permiso de residencia expedido por el Ministerio del Interior
  • Pasaporte o documento de identificación válido en el país de procedencia que incorpore fotografía de su titular.


Todo ello sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF) o el número de identificación de extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes.

Asimismo se deberán acreditar los poderes de las personas que actúen en nombre del Titular.
Para el cliente, persona jurídica es el siguiente:
  • Documento fehaciente acreditativo de su denominación, forma jurídica, domicilio y objeto social.


Sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF)

Asimismo se deberán identificar como personas físicas, las que actúen en nombre de las personas jurídicas en la identificación formal de las mismas.

Excepciones a la norma general:

En los supuestos en los que en un primer momento no  pueda comprobarse la identidad de los intervinientes mediante documentos fehacientes, se podrá contemplar lo establecido en el artículo 12 de la Ley 10/2010, salvo que existan elementos de riesgo en la operación.

El artículo 12 trata de las relaciones de negocio y operaciones no presenciales, para las que se exigirán medidas reforzadas de diligencia debida en la identificación, que estudiaremos de forma independiente.

La identificación presencial sólo podrá hacerse mediante la verificación de los documentos fehacientes  reseñados anteriormente y no por otros,  aunque hayan sido también creados por organismos oficiales, por lo que en ausencia de documentos fehacientes en la verificación de la identidad, las relaciones de negocio y operaciones han de ser consideradas como no presenciales, y se establecerán medidas reforzadas de diligencia debida para la identificación.

Existen, con todo, situaciones no presenciales en las que no resulta necesaria la aplicación de medidas reforzadas de diligencia debida  en la identificación, y que tienen que ver con:
  • Entidades de derecho público,  entidades financieras y sociedades con cotización en bolsa, que no necesitan ser identificadas con carácter previo al establecimiento de la relación de negocio y operación, puesto que  su identificación está avalada por las Instituciones de derecho público que las controlan y que mantienen sus datos identificativos en registros públicos.
  • Clientes de determinados productos y operaciones especificados en el Artículo 10 de la Ley 10/2010
  • En los supuestos aun no desarrollados reglamentariamente, existe un vacío legal en la interpretación, que ha de ser completado por cada empresa bajo su criterio para cada cliente, atendiendo a su perfil y a las operaciones que contrate, siempre que exista un riesgo escaso de blanqueo de capitales o de financiación del terrorismo. Entre estas operaciones estarán las que no excedan un umbral cuantitativo, bien singular, bien acumulado por períodos temporales, que con carácter general, no superen los 1.000 euros.


En todos estos supuestos excepcionados, la identificación formal podrá hacerse aunque no se tengan con carácter previo los documentos fehacientes de identificación, y sin que por ello tengan que establecerse medidas reforzadas de diligencia debida.

En la identificación formal existen, por tanto, dos supuestos operativos:
  1. La identificación formal presencial mediante la verificación de documentos fehacientes.
  2. La identificación formal no presencial, para la que será necesario establecer medidas reforzadas de diligencia debida, excepto en los supuestos señalados.


En los siguientes capítulos analizaremos cada uno de estos dos supuestos.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




lunes, 18 de febrero de 2013

LA SEGURIDAD DE LA INFORMACIÓN





La información sobre los clientes se genera en los departamentos que están en contacto directo con ellos, como por ejemplo, cuando los comerciales les solicitan determinados documentos identificativos y de solvencia que son necesarios para el establecimiento de las relaciones de negocios u operaciones.

La información contenida en estos documentos, una vez verificada por la unidad receptora de los mismos, se convierte en datos informáticos (unidades elementales de información) mediante las plataformas tecnológicas de gestión, que la pasan de forma automática por determinados filtros de calidad antes de cederla a la BASE DE DATOS DE CLIENTES.

Llegada a la BASE DE DATOS DE CLIENTES, esta información se convierte en uno de los activos más importantes de la empresa, por lo que se le rodea de un entorno de seguridad.

Este entorno se consigue mediante una compleja estructura tecnológica, que posibilita la gestión de los datos manteniendo  la necesaria seguridad de los mismos,  al mismo tiempo que permite que la información sólo pueda ser utilizada por cada miembro de la organización con una autorización específica.

Esta estructura se conoce en el mundo tecnológico como “Security information and event management” o su correspondiente acrónimo SIEM, que es una plataforma de control   además de ser  el núcleo operativo sobre el que funcionan las restantes  aplicaciones, entre ellas la BASE DE DATOS DE CLIENTES.

Las organizaciones que manejan mucha información suelen dotarse de plataformas tecnológicas SIEM, porque les permiten el almacenamiento de datos históricos y de gestión,  y porque  les facilitan su correlación inmediata a efectos operativos.

Las plataformas SIEM suelen tener las siguientes características:
  • Permiten la agregación, consolidación y monitorización de datos procedentes de diferentes fuentes internas y externas.
  • Permiten  el trabajo de correlación de los datos para crear inteligencia, mediante la búsqueda de atributos comunes o mediante el enlace de eventos que están interrelacionados.
  • Generan alertas cuando en el sistema se introducen filtros, a través de las  plataformas de control departamentales. Estas alertas, el sistema  las hace llegar en línea y en tiempo a los destinatarios de las mismas, lo que ayuda a agilizar la resolución de problemas.
  • Ofrecen herramientas para crear tablas informativas que sirven para definir patrones,  o para identificar actividades que se salen del patrón estándar.
  • Permiten la recopilación de datos de cumplimiento y la elaboración  de informes para la dirección, para auditoría, para otros departamentos,  o para autoridades externas.
  • Contienen los repositorios centralizados de datos históricos.
  • Controlan el sistema de acceso y las autorizaciones para el acceso a los datos.


El aseguramiento de los datos es un tema técnico cuya responsabilidad  corresponde al CISO (chief information security officer), que es el ejecutivo de más alto nivel para la seguridad de la información. Tiene la responsabilidad de establecer y mantener la visión empresarial, la estrategia y los programas necesarios para asegurar los activos de información y para protegerlos adecuadamente.





LA EMPRESA Y EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA

El trabajo del departamento de seguridad informática no es tan conocido por el resto de los departamentos de negocio, control y cumplimiento, como el trabajo del departamento de informática que tiene que ver con el desarrollo y mantenimiento de los sistemas. En empresas medianas y pequeñas, éste último engloba en muchos casos al de seguridad informática.

La SEGURIDAD INFORMÁTICA suele ser una actividad independiente en organizaciones que tienen una cierta dimensión, como pueden ser las financieras,  en las que cada año crece exponencialmente el volumen de información. En ocasiones, en este tipo de empresas las plataformas SIEM, tal como hasta ahora están concebidas van perdiendo su efectividad operativa,  lo que ha obligado a la industria a desarrollar nuevas soluciones tecnológicas más potentes, que han sido definidas por la consultora GARTNER como “BIG DATA”.

Este término hace referencia a sistemas capaces de manipular grandes conjuntos de datos  (“data sest” o minería de datos), que no pueden ser capturados, gestionados y  procesados con el “solfware” habitual en un tiempo razonable.

El aumento de información se debe a la ruptura del perímetro que hasta hace poco tiempo la controlaba, lo que ha ocasionado que las bases de datos que utilizan las empresas comiencen a estar distribuidas en diferentes ubicaciones tecnológicas y geográficas. Esta situación se está consolidando por el auge que está teniendo la computación en la nube, la variedad de fuentes de datos cada una  con su propia estructura y tipología, la diversidad de recursos y dispositivos que utilizan los directivos y empleados para acceder a la información, o al intercambio de recursos propios y ajenos entre las empresas y su entorno.





Es cierto que las organizaciones no pueden renunciar  a toda la información que necesitan para la gestión de sus negocios, pero son tantas las fuentes que pueden ser consultadas, que termina habiendo un exceso de información que no sirve a los fines propuestos si antes no es convertida en inteligencia, entendida ésta como información preparada para resolver problemas.

El acceso por la empresa a fuentes de información internas y externas, así como la transformación de la información contenida en las mismas en inteligencia, suele realizarse en  los departamentos de negocio, gestión, control y cumplimiento,  a través de sus propias herramientas informáticas, todas ellas controladas por el Departamento de Informática mediante una plataforma SIEM o “BIG DATA”.

Estas últimas plataformas controlan la seguridad de los datos y su almacenamiento, así como el acceso autorizado a los mismos; filtran las puertas de entrada y salida hacia las fuentes de información; distribuyen los datos entre diferentes GPU (Unidades de Procesamiento Global) para su proceso masivo en paralelo, lo que permite la correlación de datos, la generación de patrones y su análisis  por los departamentos de gestión, negocio, control y cumplimiento.

El conocimiento del funcionamiento de esta tecnología, por los distintos departamentos de la empresa, resulta imprescindible para que estas estructuras complejas y costosas puedan ser rentabilizadas convenientemente, no sólo por los departamentos de informática que ya lo hacen, sino también por el resto de departamentos operativos, que han de saber pedir a los informáticos lo que necesitan de las máquinas.

Las plataformas SIEM  o “BIG DATA” tienen como función principal controlar la seguridad informática, pero bien gestionadas pueden  ofrecer informes valiosos sobre la actividad de las diferentes plataformas departamentales, al tener una visión centralizada de todas las fuentes de eventos que están dispersas en la empresa.


EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA Y LA PREVENCIÓN DEL FRAUDE INFORMÁTICO

Existe otra importante función operativa dentro del departamento de seguridad informática y es la prevención y la reacción frente al fraude informático. Este departamento tiene bajo su responsabilidad las alertas tempranas originadas por secuencias conocidas relacionadas con el ciberdelito, que ayudan a la empresa a reducir el tiempo de impunidad del atacante, y permiten obtener pruebas del ataque.

En la prevención del fraude, por tanto, existen dos departamentos con funciones anti-fraude específicas pero con muchos puntos de contacto operativo:
  • El departamento de seguridad informática en lo que se refiere a la prevención y reacción frente el ciberdelito.
  • El departamento de prevención del fraude, en lo que se refiere a la prevención y reacción del fraude no informático.


Ambos departamentos se complementan, por lo que resulta imprescindible una buena colaboración entre ellos, respetando cada uno su propia independencia operativa.


COLABORACIÓN ENTRE EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA Y EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE

Toda la estructura tecnológica de una organización está sometida constantemente a diferentes cadenas de ataques y malware, que resulta necesario  identificar y rastrear, especialmente cuando los atacantes logran penetrar en los sistemas. Resulta entonces necesario conocer cómo se produjeron los hechos y  determinar la información que pudo quedar comprometida, así como recoger las pruebas e indicios tecnológicos necesarios para su denuncia ante las autoridades.

Esta función está encomendada al departamento de seguridad  informática, que normalmente suele tener el apoyo tecnológico de empresas externas especializadas en seguridad informática.

Pero como el mundo virtual suele ser un fiel reflejo del mundo real, la experiencia de la prevención del fraude en el mundo real resulta de la máxima utilidad para prevenir y atacar el fraude informático,  y para poder ofrecer de forma adecuada a las autoridades judiciales y policiales  los rastros informáticos dejados por los delincuentes, con el fin de que puedan ser investigados de forma eficaz por unidades policiales especializadas.

La colaboración entre el departamento de seguridad informática y el departamento de prevención del fraude puede servir para mejorar la gestión de las propias plataformas tecnológicas en la gestión del fraude.

Esa colaboración puede servir también para generar inteligencia para la empresa en materia de prevención del fraude, mediante la programación de ciclos específicos que ayuden al análisis de la información a través de las máquinas.

Un ejemplo de ciclo de inteligencia podría ser el siguiente:




  1. Planificando la investigación que se pretende realizar
  2. Accediendo a diferentes fuentes internas y externas
  3. Programando las máquinas y automatizando los procesos
  4. Procesando la información para generar el análisis de los datos
  5. Generando informes y alertas
  6.  Distribuyendo esta información de forma conveniente para la toma de decisiones



LA PROBLEMÁTICA DE LA INVESTIGACIÓN POLICIAL Y JUDICIAL DEL CIBERDELITO

Entendemos como evidencias electrónicas,  los rastros informáticos que quedan en los equipos de las entidades  y de sus clientes tras los ataques recibidos a través de Internet. Estos rastros informáticos, debidamente preservados, pueden demostrar la naturaleza de los ataques  y ofrecen datos muy valiosos sobre su autoría, especialmente si se logra que esta información se interrelacione con otras evidencias o hechos ya esclarecidos.

Las evidencias electrónicas tienen también una gran utilidad en el ámbito interno de las entidades, porque permiten a sus expertos la elaboración de planes para reforzar la seguridad de los sistemas y para prevenir riesgos.

Las entidades financieras están integrando en sus sistemas, herramientas y métodos de trabajo que les permiten potenciar la prevención y preservar las evidencias electrónicas,  para así poder utilizarlas como pruebas o indicios en los procesos penales y civiles.

Las evidencias electrónicas, cuando se obtienen de una forma adecuada, no sólo sirven para convencer a los Jueces y Tribunales de los ataques sufridos, sino que facilitan las investigaciones necesarias para la identificación de sus autores.

Pero aún no se ha conseguido una plena colaboración entre el sector financiero y las unidades policiales de investigación tecnológica. Para ello sería necesaria primero una buena colaboración entre las propias entidades financieras. Esta colaboración a tres bandas beneficiaría la lucha contra la ciberdelincuencia que ataca al sector financiero y al comercio electrónco.

Se podrían alcanzar de una forma más efectiva estos objetivos de interés general  si mejorase  la colaboración entre las propias entidades victimizadas y, la colaboración de éstas con las instituciones públicas y privadas que trabajan en la investigación del ciberdelito, lo que serviría también para generar confianza en el uso de las nuevas tecnologías.


UN MODELO PARA ESTA POSIBLE COLABORACIÓN

Para lograr una buena  colaboración operativa entre las instituciones públicas y privadas, la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) firmó en su día a un Convenio de Colaboración en el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

En base a este convenio, el Servicio de Prevención del Fraude de ASNEF ha estado colaborando con INTECO en la coordinación de las entidades financieras y las unidades policiales de investigación tecnológica, para la creación de un REPOSITORIO DE FRAUDE ELECTRÓNICO DE INTECO, exclusivo para el sector, que servirá para mejorar la investigación del ciberdelito, y en especial el que ataca la actividad financiera.

Esta información es enriquecida por la plataforma de gestión de  casos de fraude electrónico de INTECO, y sirve para optimizar la investigación de los delitos informáticos en el ámbito policial y judicial, al mismo tiempo que ofrece  datos de interés operativo para las entidades financieras participantes en el sistema, beneficiando así su propia estrategia de prevención y lucha contra el fraude informático.




La plataforma de gestión de casos de fraude electrónico de INTECO  recibe información de nuevos incidentes desde distintas fuentes,  recopilando  los datos técnicos asociados para su posterior tratamiento y consulta. Las fuentes en las que se nutre INTECO son las siguientes:
  • Información de fraude electrónico que aportan los Ciudadanos y las PYMES a través del buzón electrónico: fraude@cert.inteco.es
  • Información que llega a INTECO  a través de la Red de Sensores sobre fraude que está establecida en el ámbito nacional e internacional.
  • Información procedente de otras fuentes abiertas de información
  • Información  procedente de los Cuerpos y Fuerzas de Seguridad (Cuerpo Nacional de Policía, Cuerpo de la Guardia Civil, Mossos d’Esquadra, Ertzaintza)
  • Información procedente de las Entidades Financieras.


Todas estas fuentes de información permiten a INTECO crear inteligencia contra el fraude informático de una forma centralizada, dentro de una institución perteneciente al Ministerio de Industria, Turismo y Comercio,  con todas las garantías exigidas por nuestra legislación de protección de datos de carácter personal, y con total respecto a la confidencialidad de las entidades financieras cooperantes.

Esa inteligencia resulta necesaria para poder estructurar políticas operativas que sean eficaces en la lucha coordinada contra el fraude electrónico en general y, en particular contra el fraude que afecta a la actividad financiera que opera a través de Internet,  y  la actividad económica no financiera, como por ejemplo el comercio electrónico.

Sin la inteligencia obtenida de la cooperación entre el sector público y privado, la investigación de los delitos cometidos a través de Internet resulta poco eficaz en la vía penal, porque no se beneficia de la optimización que supone la centralización de la información, con la consiguiente agrupación de hechos cometidos por los mismos autores y la suma de evidencias electrónicas de cada uno de ellos.

Esta plataforma de gestión de casos de fraude electrónico, además de resultar beneficiosa para las entidades que la están utilizando, permite la racionalización del trabajo policial y judicial, incrementando por tanto su efectividad y reduciendo drásticamente los costes sociales de estas investigaciones.

Los beneficiarios del “Repositorio de Fraude Electrónico de INTECO” son los siguientes:
  1. Las entidades financieras que alimentan el repositorio, por sí o a través de sus proveedores de seguridad, se enriquecen  con la información que reciben  directamente desde INTECO, fortaleciendo así sus propios sistemas y por tanto, la actividad de prevención que desarrollan en Internet.
  2. Los Cuerpos de Seguridad, porque con la información recibida de INTECO pueden  racionalizar y optimizar mejor su trabajo, agrupando hechos delictivos conexos, y recibiendo en caso necesario apoyo tecnológico desde INTECO, a partir del análisis  de  las evidencias electrónicas recogidas.
  3. Toda la estructura Judicial, porque los hechos conexos pueden ser agrupados mediante informes policiales o a través del trabajo de las  fiscalías, liberando a muchos juzgados de listas negras de delitos muy difíciles de investigar, por lo que pueden dedicar su trabajo  a otras investigaciones.
  4. Esta plataforma  permite una mejor defensa de los usuarios de los servicios financieros a través de Internet, acrecentando en ellos la confianza en el uso de las nuevas tecnologías de la información y la comunicación, lo que sin duda servirá para que se siga  potenciando la actividad financiera en ese medio.
  5. La colaboración con esta plataforma también  beneficia a la industria de la seguridad española: ISPs, Registradores de Dominio, Proveedores de Seguridad, etc., porque todos ellos a través de INTECO tienen una nueva fuente de información que puede beneficiar su propia tecnología y su competitividad en el ámbito nacional e internacional.


Se anexa a este trabajo el informe de presentación que hizo INTECO a las entidades financieras en febrero de 2010, con el fin de que las entidades que aún no la conocen se animen a usar esta plataforma de gestión de casos de fraude electrónico, porque con esta herramienta se mejoran  muchos de los problemas de investigación que presenta la identificación de la autoría en los fraudes informáticos.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude











lunes, 11 de febrero de 2013

LA BASE DE DATOS DE CLIENTES





La base de datos de clientes es uno de los principales activos que la empresa debe cuidar dentro de sus procesos de gestión.

Este activo se va construyendo en el tiempo mediante el crecimiento de la empresa gracias a la eficiencia combinada entre marketing y ventas, pero para que tenga valor para la organización deberá estar revestido con altos estándares de calidad, proporcionalidad y seguridad.




En cada empresa, la base de datos de clientes debe ser única, aunque opere de forma segmentada para las distintas unidades de negocio y cumplimiento, lo que puede conseguirse fácilmente mediante procedimientos informáticos. Los datos sobre clientes  son sólo una parte  de la información general de la empresa.

La legislación sobre protección de datos de carácter personal exige  a esta información sensible calidad y proporcionalidad, cualidades que se logran cuando la empresa, para la recogida y utilización de los datos de los clientes, tiene establecidas políticas y procedimientos adecuados. Debe de haber también un órgano responsable del cumplimiento de esas políticas y  procedimientos, y un departamento encargado de velar por la calidad de la información.

Igualmente, para que esta información pueda ser utilizada de forma eficiente por toda la organización deberá estar informatizada y revestida de las necesarias medidas de seguridad, de manera que sólo pueda ser explotada por cada miembro de la organización con una autorización específica.

Esta seguridad sólo será posible en las empresas que tienen un cierto grado de complejidad, mediante una estructura tecnológica conocida como SIEM, “Security information and event management”,  que es una plataforma de control de la información que está a cargo del CISO (chief information security officer).
El CISO es el ejecutivo que, ayudado por su equipo informático, tiene la responsabilidad de  asegurar los activos de información y  de proteger adecuadamente su explotación.

El departamento de informática, por tanto, es el gestor de la seguridad de la información, y el que controla que su utilización por el personal de la empresa  se haga conforme a las reglas  concretadas en las políticas aprobadas por el órgano de dirección.





NUESTRO MODELO PARA LA BASE DE DATOS DE CLIENTES

El MODELO que estamos utilizando para la prevención y control del fraude de identidad, ya vimos en el capítulo 2 que descansaba en estos cuatro pilares:
  •  POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES
  • BASE DE DATOS DE CLIENTES 
  • DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE
  • DEPARTAMENTO DE SEGURIDAD INFORMÁTICA



EL ÓRGANO DE CONTROL INTERNO Y COMUNICACIÓN (OCIC), es el responsable del diseño y de la aplicación de la política expresa de admisión de cliente y de los procedimientos de diligencia debida. Por lo tanto, es el responsable último de la información y de la seguridad de la  BASE DE DATOS DE CLIENTES, para lo que se ayudará de:
  • EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE
  • EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA



EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, tendrá bajo su responsabilidad el cuidado de la calidad y proporcionalidad de la BASE DE DATOS DE CLIENTES, según estos criterios:

Las cualidades,  calidad y proporcionalidad,  de la información existente en la base de datos de clientes, teniendo en cuenta lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, deberán estar recogidas en el documento dedicado a la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, y explicitadas en todas y cada una de las obligaciones de diligencia debida, formando parte de la cultura de trabajo de los empleados que trabajan en el “front office” de la empresa.

Como consecuencia, la información que éstos recojan en su actividad comercial deberá ser adecuada, pertinente, no excesiva, exacta, permanentemente puesta al día,  y sólo podrá usarse para las finalidades determinadas, explícitas y legítimas para las que fue requerida.

El Departamento que auxiliará al OCIC en el control de la calidad y proporcionalidad de la información existente en la BASE DE DATOS DE CLIENTES  será el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, para lo que ejercerá estas dos funciones:

  • Función Ex ante: Colaboración con los distintos departamentos de negocio en la definición de los datos exigibles  a los clientes, teniendo en cuenta las necesidades informativas de cada modalidad de operación y tipo de clientes. Esta función ex ante, en los aspectos que tienen que ver con la  prevención del blanqueo de capitales y la financiación del terrorismo, se hará en coordinación con su Departamento específico.
  • Función Ex post: Comprobación selectiva  dentro de la base de datos de clientes, de que la información cedida a la misma por los departamentos de comercialización cumple con los requisitos de calidad y proporcionalidad, sin perjuicio de las competencias específicas del Departamento de  Auditoría en esta materia.


La razón por la que estas dos funciones en nuestro MODELO están encomendadas al Departamento de Prevención del Fraude, es porque la principal información que ha de tener esa base de datos es la relativa a la identificación formal de los clientes como personas físicas, así como la identificación del titular real en las operaciones de riesgo en las que intervienen personas jurídicas, y éste departamento es el que posee las herramientas necesarias para controlar el fraude de identidad.

Igualmente este departamento está especialmente capacitado para colaborar con los restantes  departamentos de negocio y cumplimiento, en la verificación del propósito e índole de la relación de negocios, cuando esta verificación resulte complicada utilizando las herramientas departamentales ordinarias. También puede intervenir  en la verificación externa de las operaciones de riesgo entre las alertadas por las herramientas de monitorización,  que son las que permiten el seguimiento continuo de la relación de negocios.

El Departamento de Prevención del Fraude, por su especialización operativa, tiene un importante protagonismo dentro de la actividad KYC  de conocimiento del cliente, cuidando de la veracidad de la información, y de que la misma se presente en la forma exigida por la legislación de protección de datos de carácter personal, siendo los datos:




Los datos recogidos de los clientes, para que pasen a formar parte de la base de datos de clientes, han de cumplir con lo establecido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que exige para su tratamiento que “sean adecuados, pertinentes y no excesivos en relación  con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

Igualmente, los datos de carácter personal existentes en la base de datos de clientes, según el artículo 4 anteriormente citado, han de ser exactos y puestos al día, y no podrán usarse para finalidades incompatibles con aquellas para las que se hayan obtenido.


EL DEPARTAMENTO DE SEGURIDAD INFORMÁTICA

El departamento de seguridad informática, con sus herramientas tecnológicas y entre ellas el SIEM, ofrecerá la seguridad necesaria a la base de datos de clientes y controlará su adecuada explotación por el personal de los distintos departamentos de la empresa.



FUNCIONAMIENTO PRÁCTICO DEL MODELO

En el cumplimiento de las obligaciones de diligencia debida, la cesión de información a la base de datos de clientes ha de pasar primero por un FILTRO DE EXCLUSIÓN

Este filtro tiene como misión impedir la aceptación como clientes de aquellas personas físicas y jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible por la propia empresa.

Los filtros de exclusión han de estar explicitados en la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, concepto tomado de la legislación sobre prevención del blanqueo de capitales por motivos de homogeneización sectorial, pero no circunscrito a esta materia específica.

Sería irracional que para cada materia de cumplimiento o de negocio, la empresa tuviera que crear una política expresa de admisión de clientes, por lo que resulta lógico que en la empresa exista una sola POLÍTICA que recoja todas las exclusiones de clientes,  que deberá cumplimentarse antes de que se establezcan las relaciones de negocio o se permitan las operaciones. Lógicamente, entre las exclusiones estarán de forma destacada las derivadas de la prevención del blanqueo de capitales y de la financiación del terrorismo, pero también otras que puedan ser de interés para la empresa, como las derivadas de la investigación del fraude.

En la práctica, las exclusiones funcionarán mediante los filtros establecidos en sus respectivas  plataformas tecnológicas por los departamentos de control y cumplimiento, que coordinará el SIEM del departamento de seguridad informática.

Las exclusiones, en algunos casos,  darán lugar a determinadas obligaciones de información o de cesión de datos, como por ejemplo:
  • En las exclusiones originadas por el cumplimiento de la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, el departamento del mismo nombre tendrá que cumplir con las obligaciones de información establecidas por la Ley 10/2010 y su Reglamento de desarrollo. Y si la entidad fuese usuaria de algún repositorio externo fundamentado en el artículo 33.2 de dicha Ley, procederá a la cesión de una parte de esta información al repositorio, en cumplimiento de las obligaciones de reciprocidad que están establecidas para el funcionamiento de este tipo de bases de datos AML.
  • En las exclusiones originadas por los filtros de prevención del fraude, serán las propias plataformas tecnológicas de prevención del fraude las que se alimenten  de la información excluida, mejorando así  su funcionamiento futuro.




Aquella información que supere los filtros de exclusión será la que se ceda a la BASE DE DATOS DE CLIENTES.


La BASE DE DATOS DE CLIENTES, por tanto, puede entenderse como el recipiente  que contiene toda la información en formato electrónico sobre los clientes, que será utilizada para su respectiva función por cada departamento productivo y de cumplimiento mediante sus propias herramientas tecnológicas, siendo el departamento de informática, a través de su plataforma SIEM,  el gestor de su seguridad y  el controlador  de su utilización conforme a las reglas de uso determinadas por la empresa, y siendo el departamento de prevención del fraude el que controle operativamente la calidad y proporcionalidad de esa información.

EL REPOSITORIO CENTRALIZADO DE INFORMACIÓN SOBRE CLIENTES

Entendida la BASE DE DATOS DE CLIENTES como el recipiente informatizado que contiene toda la información de los clientes, denominaré para mayor claridad su contenido como REPOSITORIO CENTRALIZADO DE INFORMACIÓN DE CLIENTES, lo que  se asemeja mucho más al concepto clásico de cartera de clientes.

El REPOSITORIO CENTRALIZADO DE INFORMACIÓN SOBRE CLIENTES requiere una definición operativa de su contenido.

Hay muchas maneras de definir  el contenido de este repositorio, pero por razones de economicidad interesa hacerlo siguiendo los criterios que impone la Ley 10/2010.

Esta base de datos debe contener la información KYC (Know Your Customer – Conoce a tu cliente), exigida por la legislación de prevención del blanqueo y que tiene tres componentes:
  • INFORMACIÓN PASIVA
  • INFORMACIÓN ACTIVA
  • INFORMACIÓN DERIVADA





INFORMACIÓN PASIVA

Es la que recoge la empresa al inicio de la relación de negocios a través de su "front office" o departamentos que están en contacto directo con los clientes, utilizando para ello procesos de verificación de datos y su confrontación con fuentes internas y externas.

Esta información la clasificaremos siguiendo la metodología AML del siguiente modo:
  • La obtenida mediante la identificación formal de los clientes a través de documentos fehacientes.
  • La obtenida mediante la identificación del titular real, en el caso de que los  clientes sean  personas jurídicas y esta información sea necesaria para asegurar la relación de negocios, o lo exija  alguna norma de cumplimiento.
  • La obtenida durante el proceso de averiguación del propósito e índole de la relación de negocios que los clientes pretenden establecer con la empresa, para lo que se comprobará,
    • La información aportada por los clientes.
    • Y la información existente de los clientes en diferentes fuentes. 


INFORMACIÓN ACTIVA

Es la que generan los clientes cuando operan dentro de la empresa; se consigue mediante la PLATAFORMA TECNOLÓGICA DE MONITOREO DE OPERACIONES.


INFORMACIÓN DERIVADA

Que se obtiene de los clientes mediante las PLATAFORMAS TECNOLÓGICAS DE ANÁLISIS Y CONTROL DE LA INFORMACIÓN Y LAS DE CUMPLIMIENTO NORMATIVO.


Toda esta información forma parte del REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC contenido en la BASE DE DATOS DE CLIENTES, que es el recipiente virtual en donde trabajarán las diferentes plataformas tecnológicas de negocio, control y cumplimiento, que actuarán como filtros selectivos por los que circula de forma constante la información existente en el Repositorio,  enriqueciendo de esta manera la información del  mismo.

Estas plataformas tecnológicas especializadas estarán construidas para efectuar un trabajo de investigación específico, y para que sean eficientes deberán cumplir con las siguientes reglas:
  • Aunque en su construcción participe  una empresa tecnológica especializada, deberán estar diseñadas con la participación de sus usuarios finales. Podrán ser herramientas creadas para uso exclusivo de una  empresa concreta  o para una generalidad de empresas.
  • Para su óptimo funcionamiento, cada plataforma tecnológica tendrá definidos sus correspondientes factores de riesgo por los departamentos operativos o de cumplimiento de las que dependan.
  • Han de trabajar con datos revestidos de la necesaria  calidad y proporcionalidad.


Cada una de las diferentes plataformas departamentales  de control y cumplimiento será la que, en base a sus específicos filtros de control, proceda a seleccionar en la base de datos de clientes aquellos tipos que representen un riesgo superior al riesgo promedio de cara a sus objetivos específicos.

La programación de las plataformas tecnológicas de control y cumplimiento, estará reservada a los departamentos responsables de su explotación, quienes deberán definir previamente sus propios factores de riesgo, junto con la indicación expresa de cómo se debe  actuar con cada uno de los grupos de riesgo seleccionados. Entre estos departamentos se encuentran los de prevención del fraude y los de prevención del blanqueo de capitales y de la financiación del terrorismo.


EXPLOTACIÓN ECONÓMICA DE LA INFORMACIÓN KYC

La EXPLOTACIÓN  económica de la información KYC la realizan  los distintos departamentos de negocio de la empresa como los de producción, ventas, marketing, etc., a partir de La BASE DE DATOS DE CLIENTES, mediante sus propias PLATAFORMAS DE NEGOCIO.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude