Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 1 de abril de 2013

LA PREVENCIÓN DEL FRAUDE EXTERNO COMETIDO CON IDENTIDADES FALSAS O USURPADAS




Con el tema de “La prevención del fraude externo cometido con identidades falsas y usurpadas”, resumiré el análisis efectuado en los ocho primeros capítulos de este trabajo dedicado a la prevención del fraude.

En el capítulo primero vimos como el fraude podía ser estudiado desde su autoría o desde su objeto. Nosotros lo comenzamos a estudiar desde la autoría, dedicando el primer bloque de temas (los nueve primeros capítulos) al fraude que se comete con identidad falsa o usurpada. Ésta modalidad delictiva ha de ser el primer objetivo de prevención de cualquier empresa financiera, puesto que este tipo de fraude afecta a la supervivencia del negocio.


Estudio del Fraude > Atendiendo a su Autoría > Fraude Externo > Fraude cometido con identidad falsa o usurpada


Existe por tanto una primera obligación preventiva, la de asegurar la identificación de las personas físicas y jurídicas con las que la empresa financiera pretenda operar. De no ser así,  estará poniendo gravemente en riesgo su propia actividad productiva.

Cuando se cometen fraudes con identidades falsas o usurpadas, la empresa victimizada termina desconociendo a sus verdaderos autores,  y por tanto le resulta imposible poder proceder contra ellos. La consecuencia inmediata de este hecho es que  perjuicio ocasionado por el fraude se convierte “ipso facto” en una pérdida.

Pero junto al perjuicio económico inmediato, existen otras tres razones que obligan a las entidades financieras a prevenir de forma especial este tipo de fraudes:

Primera: Por la especial diligencia que deben poner las entidades financieras en la identificación formal de sus clientes, puesto que así lo exige la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Segunda: Porque las identificaciones efectuadas de forma incorrecta pueden dar lugar a responsabilidades penales y administrativas.

Tercera: Porque las suplantaciones de identidad suponen siempre  un coste reputacional, que en ocasiones resulta  superior al perjuicio económico sufrido.


LA PREVENCIÓN DEL FRAUDE DE IDENTIDAD

La prevención del fraude de identidad resulta posible mediante medidas organizativas  que controlen los procesos que afectan al conocimiento de los clientes.

El conocimiento de los clientes obliga a toda la empresa, y no sólo por imperativo legal sino, sobre todo, por pura necesidad empresarial, y ese conocimiento empieza con la identificación de los mismos, que es misión encomendada a los empleados de los departamentos que están en contacto directo con ellos.

Como esta es una obligación que impele a toda la empresa, debería estar establecida por la Alta dirección a través del GOBIERNO CORPORATIVO. En este documento quedarían referenciadas las normas que gestionarán el conocimiento de los clientes, así como la estructura de control que asegurará su cumplimiento.

En los temas anteriores he defendido, por razones de economicidad y homogeneización, que  la normativa interna relativa al conocimiento de los clientes debería sincronizarse con la normativa externa de prevención del blanqueo de capitales y de financiación del terrorismo, evitando así una  duplicación de servicios. Así también se rentabilizaría mucho mejor ésta  estructura de cumplimiento.



Aunque la terminología que estoy utilizando proceda de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, las entidades financieras han de utilizarla  con un criterio más amplio, que tiene que ver con la actividad general y organizativa de la empresa financiera.

El conocimiento de los clientes pasa a ser así, un objetivo estratégico de la empresa.

En un mundo globalizado como el actual, donde la empresa financiera no está normalmente en contacto directo con los clientes, el conocimiento de los mismos ha de constituir el  requisito necesario para poder establecer  con seguridad, relaciones de negocio y operaciones. Sin este conocimiento, se pondrían en peligro la actividad económica y las obligaciones de cumplimiento.

Para conseguir este conocimiento, las empresas financieras han de establecer los filtros que aparecen en el esquema:



La primera información  que recibe la empresa de sus clientes son los  datos de  identidad y los datos de solvencia. Son, por tanto, los primeros datos críticos que deben ser controlados, mediante  los  filtros:
  • COMPROBACIÓN DE LA IDENTIDAD
  • COMPROBACIÓN DE LA SOLVENCIA


Hasta ahora nos hemos centrado operativamente sólo en el filtro de la comprobación de la identidad, que sirve para prevenir el fraude cometido con identidades falsas o usurpadas. En el siguiente bloque de estudio nos centraremos en la comprobación de la solvencia, para evitar así el fraude que comenten los clientes con su propia identidad.

El resultado de esta verificación documental a través de ambos filtros,  conformará la INFORMACIÓN PASIVA que alimentará la BASE DE DATOS DE CLIENTES.

Pero para que ésta información pasiva sea valiosa ha de contar con dos cualidades  imprescindibles: CALIDAD y PROPORCIONALIDAD.

La calidad y la proporcionalidad de los datos han de conseguirse durante el establecimiento de las relaciones de negocio. Es por ello por lo que los empleados que están en contacto directo con los clientes han de recibir una formación especializada en esta materia, según hemos visto en los temas anteriores.

El conocimiento de los clientes se completa mediante otros dos filtros internos:
  • EL SEGUIMIENTO DE LA OPERATIVA DE ESTOS CLIENTES
  • EL CONTRASTE DE LA OPERATIVA REAL, CON LA OPERATIVA DECLARADA POR LOS CLIENTES


Los datos obtenidos de los clientes a través de su operativa, y su contraste con lo declarado en el inicio de la relación, conforman su INFORMACIÓN ACTIVA, que se cederá también a la BASE DE DATOS DE CLIENTES, con lo que se completará el conocimiento de los mismos.

La BASE DE DATOS DE CLIENTES concentra, por tanto, la información pasiva y la información activa de los mismos, convirtiéndose así en uno de los principales activos de la empresa que permiten una mejor rentabilización.

La rentabilización de la BASE DE DATOS DE CLIENTES se perfecciona cuando todos los departamentos de la empresa, los productivos, los de gestión y los de cumplimiento, colocan sus respectivas plataformas tecnológicas en el sistema que controla la base de datos, y se benefician así de la información para sus trabajos en relación con los clientes.

Para que funcione perfectamente todo este mecanismo, la empresa ha de planificar primero, y establecer internamente después, la norma y los procedimientos que obliguen a todos los empleados y departamentos a que la información de los clientes pase de forma adecuada por los cuatro filtros señalados, que han de estar diseñados para dotar de calidad y proporcionalidad la información pasiva y activa de los clientes. Igualmente, la empresa ha de crear una estructura de control para el buen funcionamiento del sistema.

La norma y los procedimientos en relación con los clientes, utilizando la terminología de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, son los siguientes:
  1. NORMA: Política expresa de admisión de clientes
  2. PROCEDIMIENTOS:  Medidas de diligencia debida


Y la estructura de control del cumplimiento de la norma y los procedimientos será:
  • El Órgano de Control Interno y Comunicación (OCIC), auxiliado por:
    • El Servicio de prevención del blanqueo de capitales
    • El Servicio de prevención del fraude


El OCIC es el Órgano responsable de preparar el borrador de la política expresa de admisión de clientes y de las reglas que obliguen a filtrar adecuadamente la información de las personas físicas y jurídicas que quieran establecer relaciones de negocio u operar con la empresa financiera.

Esta norma y las medidas de diligencia debida,  servirán para que todos los empleados de la empresa procedan de forma homogeneizada durante la admisión y el conocimiento de los clientes.

Las medidas de diligencia debida son las siguientes:
  1. La identificación formal
  2. La identificación del titular real
  3. El conocimiento del propósito e índole de la relación de negocios
  4. El seguimiento continuo de la relación de negocios


Tanto para el borrador de la  POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, como para el borrador de las MEDIDAS DE DILIGENCIA DEBIDA, el OCIC ha de tener en cuenta en su trabajo no sólo la normativa sobre prevención del blanqueo de capitales y de la financiación del terrorismo, sino también cualquier otra normativa de obligado cumplimiento, así como  los propios intereses de la empresa que estarán manifestados en los documentos de su gobierno corporativo.

Pero al ser el OCIC un órgano transversal con representación de altos directivos procedentes de diversas áreas de negocio, gestión y cumplimiento, necesitará para este trabajo del apoyo de algún departamento especializado,  que no puede ser en exclusiva el departamento AML de la empresa, puesto que los riesgos a controlar son mucho más extensos que los derivados de la prevención del blanqueo de capitales y la financiación del terrorismo, siendo necesario el apoyo de otro departamento también especializado, que en nuestro MODELO será el de prevención del fraude, que para este trabajo estará dotado de unas funciones muy específicas:



Una vez aprobados por la Alta dirección la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES y las directrices que regularán la DILIGENCIA DEBIDA, será el OCIC el responsable de su aplicación dentro de la empresa financiera.

Tanto el Servicio de Prevención del Blanqueo de capitales, como el Servicio de Prevención del Fraude, colaborarán con el OCIC en la fase de preparación de las normas y los procedimientos, y posteriormente en su aplicación y en el control operativo de su cumplimiento, al margen del trabajo específico de Auditoría.

El Departamento de Prevención del Blanqueo, se centrará exclusivamente en su materia específica, mientras que el Departamento de Prevención del Fraude, lo hará en lo que afecta a los restantes intereses generales y de cumplimiento de la empresa.


Teniendo en cuenta este esquema general, resulta claro que para la prevención del fraude de identidad, habrá que cuidar especialmente  la identificación formal de los clientes, y la identificación de los titulares reales en los casos en que ésta identificación sea necesaria.

Como la identificación de los clientes es una función que está repartida entre todos los departamentos que están en relación directa con ellos y  que ha de hacerse cuando se inician las relaciones de negocio y las operaciones, el OCIC ha de establecer para todos estos departamentos unas reglas claras, y en lo posible automatizables en los sistemas operativos,  que eviten la entrada como clientes de aquellas personas físicas y jurídicas  que no superen la política expresa de admisión de clientes, y aquellas otras que permitan efectuar una adecuada identificación formal de los clientes, teniendo en cuenta lo estudiado al respecto en temas anteriores, a saber:
  • La identificación formal presencial, mediante la verificación de documentos fehacientes. (Tema 7)
  •  La identificación formal no presencial, mediante medidas reforzadas de diligencia debida. (Tema 8)



EL CONOCIMIENTO DE LOS CLIENTES

La prevención del fraude externo desde su  autoría, exige el CONOCIMIENTO DE LOS CLIENTES, al margen de cualquier obligación de cumplimiento, y ello puede conseguirse perfectamente utilizando el MODELO que nos ofrece la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, entendida ésta con criterios más amplios que los puramente legales.

La SEGURIDAD de la base de datos de clientes está bajo la responsabilidad del departamento de seguridad informática de la empresa, que contará con diversas herramientas tecnológicas para buscar interrelaciones de interés dentro de la información acumulada sobre los clientes.

El contenido de la BASE DE DATOS DE CLIENTES debe estar disponible con ciertas limitaciones, tanto para el negocio, como para el cumplimiento de determinadas obligaciones legales y administrativas.

La disponibilidad y la seguridad de la información resultan posibles porque dentro de las entidades financieras existen plataformas tecnológicas denominadas SIEM, que constituyen el núcleo operativo que almacena los datos históricos y de gestión necesarios para el funcionamiento de las distintas aplicaciones que dan servicio a los departamentos de dirección, de gestión y de cumplimiento.

Estas plataformas SIEM, o también denominadas en los últimos años “BIG DATA”, no sólo almacenan los datos, sino que facilitan su correlación a efectos operativos, por lo que su utilización inteligente por toda la empresa puede repercutir en una mejora de la actividad productiva y de cumplimiento.

Pero de nada vale la información acumulada en la BASE DE DATOS DE CLIENTES, si ésta no tiene  calidad, o los datos no son proporcionados para las necesidades de la empresa, puesto que ésta estaría trabajando, o con datos dudosos o con datos incompletos, o con datos innecesarios, incumpliendo así con la legislación sobre protección de datos de carácter personal.

La prevención del fraude desde la autoría se consigue mediante la calidad y  proporcionalidad en los datos de los clientes,  siendo la norma y los procedimientos detallados anteriormente los que permiten conseguir estos objetivos.

En la primera parte de este estudio, me he centrado de forma detallada en el primer filtro de COMPROBACIÓN DE LA IDENTIDAD. En los temas posteriores se irán detallando el funcionamiento de los restantes filtros:
  • LA COMPROBACIÓN DE LA SOLVENCIA
  • EL CONTROL DE LA OPERATIVA O COMPORTAMIENTO REAL DEL CLIENTE
  • EL CONTRASTE ENTRE LA OPERATIVA REAL Y LA INFORMACIÓN PASIVA


En estos nuevos  filtros, junto con las normas y procedimientos, será necesaria  una compleja tecnología que permita su automatización y control.


COMENTARIO FINAL

Aunque ninguna empresa está libre de sufrir engaños en la identificación de sus clientes puesto que los defraudadores pueden presentar buenas falsificaciones, son tantas las medidas de seguridad que tienen los documentos creados por el Estado, que con una adecuada formación de los verificadores y unas mínimas herramientas tecnológicas, muchos de estos fraudes de identidad  podrían evitarse. Pero existen herramientas tecnológicas en el mercado que pueden ayudar a las entidades financieras a potenciar este control.

Con todo, en las relaciones y operaciones no presenciales han de establecerse  medidas reforzadas de diligencia debida, que pasan por la creación de estructuras tecnológicas que permitan comprobar la identidad a través de procedimientos indirectos.

El Servicio de Prevención del Fraude tiene la especialización y las herramientas necesarias para filtrar la información existente en la base de datos de clientes cuando surja alguna alerta, y la experiencia necesaria para ofrecer al OCIC las claves para una buena verificación de los documentos identificativos y para la prevención del fraude de identidad.

Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude