EL PROBLEMA DE LA USURPACIÓN DE LA IDENTIDAD

La usurpación de la identidad, también conocida en los países anglosajones como “robo de identidad”, consiste en la utilización por terceras personas de los datos identificativos de los verdaderos titulares de los mismos.

La utilización ilegal de los datos identificativos tiene frecuentemente como objetivo la defraudación a las entidades de crédito, que de esta manera quedan perjudicadas  en su patrimonio, aunque también pueden quedar afectadas en su reputación si no toman las medidas adecuadas, como veremos después.

Este hecho delictivo se denomina “usurpación del estado civil” y está regulado penalmente en el Art. 401 del Código Penal español, donde es castigado con una pena de prisión de seis meses a tres años. Las víctimas de este delito son  los verdaderos titulares de las identidades suplantadas, que por esta causa se enfrentan a numerosos trastornos personales y económicos que perjudican su buen nombre y solvencia.

En la actividad financiera, el drama personal de los titulares de las identidades suplantadas se inicia en el momento en que los delincuentes, que pueden actuar de forma individual  o pertenecer a grupos criminales organizados, aportan los datos identificativos usurpados cuando establecen las relaciones de negocio u operaciones, y especialmente cuando financian bienes y servicios, u obtienen préstamos personales.

Las entidades financieras, ignorantes de las usurpaciones, proceden al tratamiento de los datos personales aportados por los estafadores, ligando de forma incorrecta a los verdaderos titulares de las identidades suplantadas con las obligaciones derivadas de los contratos. Con esta modalidad delictiva las entidades financieras también se convierten en víctimas de  una estafa.

Normalmente las suplantaciones de identidad las realizan los delincuentes para defraudar a las entidades de crédito no pagando de esta manera sus deudas, pero pudiera ocurrir también que las usurpaciones se utilicen por grupos organizados de delincuentes u organizaciones terroristas para otras finalidades delictivas, en cuyo caso los créditos suelen ser pagados puntualmente por los delincuentes, que en ocasiones utilizan para ello operaciones de ingeniería financiera, evitando así dejar rastros fáciles de investigar.

Las suplantaciones, por tanto, pueden estar orientadas al fraude, pero también para facilitar el uso del sistema financiero a delincuentes y terroristas.

En cualquiera de los dos supuestos, al sector financiero le interesa descubrir prontamente las usurpaciones de identidad, y especialmente cuando éstas no producen perjuicios económicos, porque son las que pueden originar en el futuro los perjuicios reputacionales más graves.

RAZONES DEL POSIBLE DESENCUENTRO ENTRE LOS TITULARES DE LAS IDENTIDADES SUPLANTADAS Y LAS ENTIDADES FINANCIERAS DEFRAUDADAS

Cuando los delincuentes que usurparon las identidades dejan de pagar las deudas, las entidades financieras perjudicadas inician los procedimientos establecidos internamente para la recuperación de las deudas, procediendo contra los verdaderos titulares de las identidades suplantadas, puesto que desconocen las usurpaciones de identidad.

En este proceso normalmente se produce una desconexión entre los verdaderos titulares de las identidades suplantadas y las empresas financieras, porque los estafadores suelen modificar  alguno de los datos que constan en los documentos identificativos, y especialmente los domicilios, impidiendo así que las entidades de crédito puedan  comunicarse con los verdaderos titulares con anterioridad al  inicio de los procedimientos civiles de recuperación de deuda.

La  desconexión entre los verdaderos titulares de las identidades suplantadas y las entidades financieras victimizadas ocasiona situaciones desagradables para ambas partes,  puesto que frecuentemente,  el conocimiento de la existencia de estos procedimientos abiertos por parte de los verdaderos titulares de las suplantaciones,  se produce cuando aquellos acuden a alguna entidad financiera a solicitar un crédito, o cuando a sus domicilios les llega una citación judicial.

Este problema no suelen tenerlo ni la Policía ni los Juzgados, porque cuando estas instituciones inician sus investigaciones tienen un fácil acceso a las bases de datos estatales de identificación.

Resulta por tanto justificable la indignación de los  verdaderos titulares de las identidades suplantadas  contra las entidades financieras o contra las empresas responsables de los ficheros de solvencia, cuando conocen la existencia de deudas que no son suyas.

Las entidades financieras son las que deben cuidar que no se desborden estas situaciones incómodas, facilitando  a los ciudadanos la información necesaria para que éstos puedan solucionar la parte del problema que les corresponde. Para ello, las entidades financieras deberán formar adecuadamente a sus empleados para que sepan gestionar  de forma profesional cualquier tipo de conflicto.

Los empleados deben saber explicar a los ciudadanos las razones que permitieron a las entidades financieras la cesión de sus datos a los ficheros de morosidad, haciéndoles ver que también las empresas   fueron  víctimas de las suplantaciones de identidad  y a consecuencia de ello están sufriendo  un perjuicio económico.

Resulta aconsejable que a los ciudadanos se les pidan disculpas por las incomodidades que están sufriendo, asegurándoles que una vez  aclaren la situación no tendrán que preocuparse de las deudas ni de su inclusión en los ficheros de morosidad. Hay que hacerles saber también que el sector financiero carece de las herramientas y autorizaciones oficiales necesarias para poder verificar las identidades de los ciudadanos en los ficheros públicos, lo que evitaría una gran parte de las actuales suplantaciones de identidad, al mismo tiempo que se les informa sobre los pasos que deben dar para solucionar los problemas derivados de las usurpaciones.

En las suplantaciones de identidad se enfrentan dos derechos legítimos, el de las entidades victimizadas a las que los delincuentes han estafado, y el de los verdaderos titulares de las identidades suplantadas. Con todo, los empleados de las entidades deben ser conscientes que los ciudadanos suplantados están sufriendo una doble victimización; la primera derivada del propio hecho de la suplantación, que les obliga a numerosas gestiones en organismos públicos y privados, y la segunda, porque al estar cedidos sus datos personales a los ficheros de morosidad, se les está impidiendo el acceso al crédito o se les está dificultando la consumación de algún negocio. En esta situación de conflicto evidente, las entidades son las que deben actuar con más delicadeza gracias a su profesionalidad, evitando así efectos reputacionales negativos en los ciudadanos afectados, y en sus familias y amistades.

LAS SUPLANTACIONES DE IDENTIDAD Y LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

En las defraudaciones con usurpación de identidad, los delincuentes actúan procurando dar apariencia de veracidad a la documentación identificativa que aportan en el momento de la contratación de los créditos, la apertura de las cuentas bancarias o el establecimiento de las relaciones de negocios. Las entidades afectadas, al desconocer las  circunstancias delictivas de la contratación, proceden de la forma usual al tratamiento interno de los datos personales de los titulares de las identidades suplantadas. Cuando se producen los impagos ceden estos datos a los ficheros de morosidad.

La cesión de estos datos de carácter personal a los ficheros de morosidad es legítima en base al  incumplimiento de las obligaciones derivadas de los contratos, pero dejará de serlo cuando las entidades tengan conocimiento, por cualquier medio,  de que han sido estafadas mediante suplantaciones de identidad.

En el momento en que las entidades tengan noticias de una posible suplantación de identidad, deberán hacer todo lo necesario para comprobar la veracidad de la suplantación y en caso positivo, informarán al Responsable del Fichero de Solvencia para evitar así que se hagan nuevas comunicaciones al titular de la identidad suplantada, regularizando internamente la deuda a la espera de la correspondiente resolución judicial.

Puesto que la suplantación de identidad constituye un riesgo evidente, las entidades han de disponer de un sistema adecuado para el ejercicio de los derechos que se establecen en la legislación sobre protección de datos de carácter personal, asesorando a las víctimas de las suplantaciones sobre los documentos que deben aportar para justificar su reclamación, entre los que estará la copia de la denuncia efectuada ante las autoridades.

Inmediatamente que las entidades tiene acceso a la documentación identificativa de los verdaderos titulares de las identidades suplantadas (documentación  indubitada), deberían iniciar el examen comparativo con las documentaciones aportadas por los suplantadores (documentación dubitada), como fotocopias de DNI o Tarjetas de Extranjero, permisos de trabajo, nóminas, copias de cartillas o cuentas bancarias, etc., procediendo a la baja de las identidades usurpadas en los ficheros de morosidad sin esperar a la resolución judicial, e informando a las autoridades judiciales de las gestiones realizadas, al mismo tiempo que denuncian a los autores por si resultaran identificados, agilizando de esta manera el procedimiento judicial.

Este trabajo de investigación interna puede ser efectuado perfectamente por el Servicio de Prevención del Fraude, que se valdrá del asesoramiento técnico de especialistas en documentoscopia si resultara necesario.

La Agencia Española de Protección de Datos no es competente en el esclarecimiento de las actividades delictivas denunciadas por  los titulares de las identidades suplantadas, que se sustanciarán en el correspondiente procedimiento penal.

Pero cuanto tiene información de una suplantación de identidad, básicamente por la denuncia que recibe del perjudicado, procede de inmediato a la apertura de un EXPEDIENTE SANCIONADOR para tratar de evaluar posibles responsabilidades en materia de protección de datos, en cualquiera de los eslabones de la cadena que efectuó el tratamiento de los mismos.

Para que el expediente sancionador quede archivado sin sanción, las entidades incursas en el expediente han de solventar estos dos requisitos ante la AEPD:

1. Han de demostrar que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad.
2.  Han de demostrar que en la identificación de los clientes hubo una diligencia razonable.

REQUISITO PRIMERO: DESCONOCIMIENTO PREVIO DE LA SUPLANTACIÓN

La manifestación exculpatoria de la entidad afirmando tener un desconocimiento previo de la suplantación será suficiente para superar el primer requisito exigido, si la Agencia no demuestra lo contrario en su trabajo de investigación.

La manifestación exculpatoria resulta posible, porque en los procedimientos administrativos sancionadores que abre la Agencia, son de aplicación con matices, los principios propios de los procedimientos penales, entre los que se encuentra el de presunción de inocencia.

Junto con la manifestación exculpatoria, cuando para el tratamiento de los datos haya resultado necesario el CONSENTIMIENTO, habrá de acompañarse el documento de consentimiento, aunque sea éste el que aportó el suplantador en el momento de la contratación.

Justificación legal:

La aceptación de la presunción de inocencia está asumida por la AEPD, porque deriva de las jurisprudencias del Tribunal Supremo y del Tribunal Constitucional.

Existen muchos ejemplos de jurisprudencia utilizados en sus resoluciones por la propia Agencia Española de Protección de Datos para justificar el principio de presunción de inocencia, como el siguiente:

“Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” 

(Sentencia del Tribunal Constitucional de febrero de 1989)

REQUISITO SEGUNDO: DILIGENCIA RAZONABLE EN LA IDENTIFICACIÓN

Salvado el primer requisito en base al principio de presunción de inocencia y mediante la manifestación exculpatoria, la entidad que esté inmersa en un expediente sancionador deberá demostrar a la AEPD que ha prestado a la identificación del cliente una diligencia razonable, que en el estado actual de la legislación no puede ser otra que la  diligencia debida establecida por la Ley 10/2010.

En el caso de la identificación formal de los clientes, las entidades demostrarán una diligencia razonable cuando las falsificaciones que sirvieron para la identificación de los mismo son de  suficiente entidad como para aparentar su legitimidad, de forma que no presenten dudas razonables acerca de su veracidad.

Así lo reconoce la AEPD en sus Resoluciones, en las que utiliza sentencias de los Tribunales, como la que sigue:

“…según la prueba obrante, la entidad recurrente exige que a la firma del contrato se acompañe el DNI, lo que en principio constituye una garantía razonable de que la firma se corresponde con el solicitante del préstamo -el problema de autos es que el DNI se había obtenido antes y se empleó para la obtención del préstamo-.”,  y continúa, “…De aquí se  desprende que si resultó empleada una razonable diligencia por parte de la entidad sancionada y que sólo el empleo de un artificioso sistema impidió que fuese detectado el fraude”.

(Sentencia de la Audiencia Nacional de 26 de abril de 2002, Recurso 0895/2000)

Como se desprende de las sentencias, las entidades están expuestas al problema de valoración que hagan las Autoridades sobre la capacidad de engaño que tiene la documentación falsificada presentada por los suplantadores.

Este es un tema delicado por su propia subjetividad, por lo que las empresas pueden quedar expuestas si resulta evidente la pobre calidad de las falsificaciones, o si se demuestra que los fallos en las identificaciones se debieron a la negligencia de los empleados en el cumplimiento de la diligencia debida, o de los prescriptores,  cuando de forma presencial verificaron incorrectamente  los documentos de identificación de los  clientes.

La solución a este problema pasa por instaurar en las empresas sistemas de control que obliguen a la correcta identificación de los clientes.

LA USURPACIÓN DE LA IDENTIDAD EN LAS RELACIONES DE NEGOCIO Y OPERACIONES NO PRESENCIALES

La argumentación analizada anteriormente se puede aplicar también al EXPEDIENTE SANCIONADOR abierto por la AEPD, a partir de una denuncia por suplantación de identidad formulada ante la Agencia, en el caso de una RELACIÓN DE NEGOCIO U OPERACIÓN NO PRESENCIAL

Pero para ello hay que partir del hecho incuestionable de que las relaciones de negocio y operaciones no presenciales son mucho más propensas a los fraudes por suplantación de identidad que las presenciales.

Nos encontramos, por tanto, ante un riesgo específico asociado con las relaciones de negocio y operaciones no presenciales, para el que la Ley 10/2010 exige medidas reforzadas de diligencia debida.

La ley de prevención del blanqueo de capitales en su Artículo 12, autoriza a establecer relaciones de negocio o a ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos cuando concurra alguna de las siguientes circunstancias:

• (a) La identidad del cliente quede acreditada de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.
• (b) El primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.
• (c) Se verifiquen los requisitos que se determinen reglamentariamente.

Según este artículo, la identificación de los clientes no será problemática si se acredita de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.

Podrán establecerse también estas relaciones de negocio y operaciones cuando se verifiquen los requisitos que se determinen en el futuro Reglamento, pero cumpliendo medidas de diligencia reforzada.

Nuestro problema actual radica, por tanto,  en la interpretación que los Tribunales, la AEPD y el SEPBLAC pudieran dar de la usurpación de la identidad, en los casos en que la empresa utilice como criterio justificativo para el establecimientos de las relaciones de negocio y operaciones el punto 1-b del Artículo 12, que refiere como circunstancia autorizante el hecho de que el primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.

Resulta evidente que no sería admisible una interpretación literal del punto 1-b del Artículo 12, sin ningún control añadido, porque esta postura olvidaría el Art. 8 de la Ley 10/2010, que indica que los sujetos obligados mantienen la plena responsabilidad respecto de la relación de negocio u operación, aún cuando el incumplimiento sea imputable al tercero;  en este caso al banco donde se abrió la cuenta.

La utilización de la circunstancia autorizante 1-b, sólo debe hacerse en un contexto de diligencia reforzada; es decir, siempre deberá venir acompañada de algunas medidas reforzadas de diligencia debida.

Estas medidas permitirán que las empresas queden menos expuestas a los siguientes riesgos,  en los supuestos de usurpación de identidad:

1. Riesgo de que las cuentas abiertas en los bancos de donde proceden los primeros ingresos no fueran también abiertas mediante documentaciones falsas.
2. Riesgo de que las copias de los documentos de identificación que en el plazo de un mes han de remitir  los propios contratantes, y que son necesarias para practicar la diligencia debida, no sean también copias de documentaciones falsas.
3. Riesgo derivado de la sustanciación de las denuncias por usurpación del estado civil en los Tribunales, en la Agencia Española de Protección de Datos y en el SEPBLAC.

Vimos en un apartado anterior,  al hablar de los expedientes de la AEPD, que en los temas de usurpación de identidad existen dos requisitos que la empresa debe superar antes de que el expediente sancionador de la Agencia quede archivado sin sanción:

1. Resulta necesario manifestar expresamente que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad, y además, que la AEPD o el propio denunciante no demuestren lo contrario, primando en estos supuestos la presunción de inocencia.
2. Resulta necesario demostrar también que en la identificación de los clientes hubo una diligencia razonable por parte de la empresa.

En las relaciones de negocio y operaciones no presenciales ambos criterios siguen siendo válidos pero, para justificar la diligencia razonable habrá que tener en cuenta que la Ley 10/2010 exige para estas relaciones de negocio y operaciones no presenciales medidas reforzadas de diligencia debida.

Por tanto, la identificación formal de los clientes bajo el criterio autorizante del Artículo 12, punto 1-b, cuando la contratación se realiza a través de medios telefónicos, electrónicos o telemáticos, deberá venir acompañada de medidas reforzadas de diligencia debida.

La determinación de estas medidas es un tema de debate,  por lo que seguidamente voy a exponer las que creo que deben aplicarse, y que deduzco  de las sentencias de los tribunales y de la interpretación de la AEPD de esas mismas sentencias con ocasión de procedimientos abiertos por la Agencia a partir de denuncias por usurpación de identidad.

Bajo mi criterio las medidas reforzadas de diligencia debida serían las siguientes:

JUSTIFICACIÓN DE LAS TRES MEDIDAS

Primera: Solicitud del consentimiento para el proceso de comprobación de la veracidad de los datos aportados por los clientes que contraten a través de medios telefónicos, electrónicos o telemáticos.

El artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal no  exige el consentimiento cuando el tratamiento de los datos de carácter personal se refiera a las partes de un contrato o  precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, pero al exigir la Ley 10/2010 que en las relaciones de negocio y operaciones no presenciales se apliquen medidas reforzadas de diligencia debida,  el consentimiento debería solicitarse para el proceso de comprobación de la veracidad de los datos que aportan los clientes, puesto que para ello resulta obligado el acceso a bases de datos externas en las que este requisito resulta imprescindible.

Segunda: Comprobación de la veracidad de los datos aportados por los  clientes,  mediante la utilización de plataformas tecnológicas y  bases de datos internas y externas.

El proceso de comprobación de la veracidad de los datos aportados por los clientes, entre los que se encuentran los datos de identificación, ha de iniciarse desde el momento en que se produce la contratación por medios telefónicos, electrónicos o telemáticos, sin esperar a la recepción en el plazo de un mes, de la copia de los documentos identificativos enviados por los clientes, y que son necesarios para practicar la diligencia debida.

La exigencia de la verificación de los datos aportados por los clientes, como medida reforzada de diligencia debida en las relaciones de negocio y operaciones no presenciales, viene justificada en el tercer párrafo del Artículo 12 de la Ley 10/2010, que dice lo siguiente:

“Cuando se aprecien discrepancias entre los datos facilitados por el cliente y otra información accesible o en poder del sujeto obligado, será preceptivo proceder a la identificación presencial”

Para apreciar discrepancias, por tanto,  resulta obligatorio investigar los datos aportados por los clientes, confrontándolos con otra información accesible o en poder del sujeto obligado,  y sin esperar a la recepción de las copias de los documentos oficiales de identificación.

Ello obliga a las empresas que contraten por medios telefónicos, electrónicos o telemáticos, a disponer de una mínima tecnología que les permita el acceso a bases de datos compartidas de prevención del fraude y plataformas tecnológicas con esta misma finalidad, para lo que les resultará imprescindible el consentimiento de los clientes, si la AEPD no tiene flexibilizada esta interpretación en cada caso, en base al interés legítimo.

La identificación presencial será exigible desde el momento en el que  las empresas aprecien discrepancias entre los datos facilitados por los clientes  y otra información accesible o que esté en su poder.

La utilización de plataformas tecnológicas y bases de datos internas y externas para la comprobación de los datos aportados por los clientes, resulta difícil de probar, si no se tienen establecidas previamente políticas y procedimientos para afrontar este riego, tal como lo exige el punto 2 del Artículo 12.

En el capítulo 8 de esta misma serie propondré un MODELO que facilitaría el establecimiento de las medidas reforzadas de diligencia debida en las relaciones de negocio y operaciones contratadas por medios telefónicos, electrónicos o telemáticos,  teniendo en cuenta la agilidad necesaria en la actividad financiera, modelo que podría ser utilizado también por otras empresas que no son sujetos obligados, para la contratación de sus servicios por los mismos medios.

Tercera: El expediente de investigación para justificar la aplicación de las medidas reforzadas de diligencia debida.

Todo cliente contratado mediante medios telefónicos, electrónicos o telemáticos, debería contar con un expediente virtual de verificación de datos, que contaría como primer documento con el consentimiento para la verificación de la información mediante el acceso a bases de datos internas y externas.

En los casos de denuncias por usurpación del estado civil, corresponde a las entidades denunciadas acreditar fehacientemente que cuentan con ese consentimiento, aunque sea el viciado otorgado por los suplantadores, sobre todo cuando en los procedimientos judiciales o administrativos los verdaderos titulares de las identidades suplantadas niegan haberlo otorgado, y las entidades tuvieron  que acceder a bases de datos externas que contienen los datos de carácter personal de los verdaderos titulares.

En la verificación de datos de las bases de la  Tesorería General de la Seguridad Social mediante el procedimiento VEDACON utilizado por las entidades financieras, este consentimiento hasta ahora se exige  de forma independiente a cualquier otro,  y mediante un  texto literal determinado por la propia TGSS.

Junto al consentimiento o consentimientos, el expediente electrónico debe contener también los justificantes documentales en formato virtual, aportados por las plataformas tecnológicas que hicieron la verificación, así como los documentos utilizados para la identificación formal, en soporte óptico, magnético o electrónico que garantices su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización, tal como exige el Artículo 25.2 de la Ley 10/2010.

Igualmente deberían quedar archivados los rastros dejados por la contratación telefónica (grabaciones), electrónica o telemática (IP), lo que no siempre resulta posible en aquellas entidades que no cuidan de forma efectiva este tipo de archivos documentales.

Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude

IMPORTANCIA DE LA AUTORÍA PARA LA PREVENCIÓN E INVESTIGACIÓN DEL FRAUDE DE IDENTIDAD

Cuando una entidad financiera introduce en la vía judicial o policial un fraude  externo, además de confeccionar el escrito explicativo de los hechos denunciados, deberá entregar  copia de la justificación documental de los mismos, así como los datos identificativos y de localización de las personas con las que mantuvo la relación de negocio u operación denunciada, y cualquier otra información que posea en sus bases de datos y que pueda ayudar al esclarecimiento de los hechos.

Si en su momento fueron perfectamente identificadas por la empresa las personas físicas o jurídicas denunciadas, la investigación resultará relativamente fácil puesto que la información y justificación documental que suele entregar la empresa, normalmente será suficiente para proseguir el trabajo policial-judicial.

Con todo, podría haber un problema en el ámbito judicial si se demostrara que las personas denunciadas actuaron dentro de la empresa con identidades falsas o suplantadas, y ello se debió a que no se cumplió con la obligación de identificación formal exigida por la diligencia debida.

Es por ello por lo que, cuando una entidad financiera  sufre alguna defraudación en la que sus autores actuaron con identidades falsas o usurpadas, debería proceder de inmediato a través de Auditoría Interna u otro departamento cualificado, a averiguar la forma en que estos clientes fueron identificados, y si se cumplió de forma adecuada con la obligación legal de diligencia debida impuesta por la Ley 10/2010.

Algunas falsificaciones de documentos identificativos son tan evidentes, que no debería extrañar que la Autoridad Judicial termine instando en ciertos casos al SEPBLAC a que haga una inspección sobre el cumplimiento real de esta obligación legal y le informe de los resultados, con las consecuencias administrativas o penales que pudieran derivarse al efecto.

Se ha comprobado que muchas de  las estafas que afectan a las entidades financieras son  posibles porque sus autores utilizan identidades falsas o usurpadas, y no se producirían  si las empresas identificaran de forma correcta a sus clientes.

Aún identificando correctamente a los clientes, las entidades financieras no estarán libres de sufrir fraudes con identidades falsas o suplantadas, porque siempre habrá delincuentes capaces de burlar los controles. Pero las empresas estarán salvaguardadas legal y administrativamente si se aseguran de que tienen montado internamente un sistema adecuado para la correcta identificación.

Ese sistema no es otro que una buena estructura de prevención del fraude de identidad, que ha de tener como uno de sus objetivos fundamentales el control de la calidad y seguridad de la información que sobre los clientes va acumulando la empresa en su actividad diaria, y que tendrá los datos de identificación como la información más relevante.

ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD

Antes de proceder a analizar los mimbres de esta estructura de control de la calidad y seguridad de la información sobre los clientes, conviene deshacer el mito  que considera esta materia dentro del ámbito exclusivo de la prevención del blanqueo de capitales y de la financiación del terrorismo, por el hecho de que en esta legislación están reguladas las obligaciones de diligencia debida, que son la base necesaria para llegar al conocimiento de los clientes.

La realidad es que la calidad y la seguridad de la información sobre los clientes superan en la empresa financiera el ámbito del simple cumplimiento de la legislación AML, puesto que afectan de forma directa al funcionamiento productivo y comercial del negocio.

Es por ello que las normas y procedimientos necesarios para el cumplimiento de estas obligaciones, no sólo han de tener en cuenta la legislación AML, sino especialmente  los intereses generales de la propia empresa.

La estructura de prevención del blanqueo de capitales no puede ser, por tanto, la que tenga a su cargo el control de la calidad y seguridad de la información sobre los clientes, puesto que por exigencia legal debe centrarse en el cumplimiento de las obligaciones de información. Esto no implica que el departamento de prevención del blanqueo esté al margen de la materia que estamos analizando, sino que no la debe tener como responsabilidad directa.

En los temas correspondientes a este bloque dedicado a la prevención del fraude de identidad, ofreceré el MODELO que considero más eficiente  para el control de la calidad y seguridad de la información sobre los clientes. El sistema que propongo lo voy a denominar: “ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD”, y se fundamenta en estos dos departamentos:

En nuestro MODELO, toda la información que genera la empresa para el conocimiento de los clientes ha de confluir en la BASE DE DATOS DE CLIENTES, por lo que ningún departamento debe tener de forma independiente archivos de clientes, sino que toda la información sobre los mismos deberá estar centralizada en esta base de datos.

Todo lo que tiene que ver con la información sobre clientes, deberá estar regulado por unas determinadas normas y procedimientos que obligarán a toda la Organización, y que en nuestro MODELO tendrán como génesis la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, concepto AML que justificaré posteriormente.

Por tanto, la ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD descansará en los cuatro elementos reseñados:

El conocimiento de los clientes es un trabajo que afecta a toda la empresa financiera y especialmente a los departamentos que tienen a su cargo el contacto directo e indirecto con ellos.

Una parte de esta información procede de los propios clientes, y tiene que ver con los datos identificativos y con los datos de solvencia. Los primeros han de ser verificados por el departamento que está en contacto directo con los clientes en el momento de establecer las relaciones de negocio y operaciones y,  los segundos por el departamento de análisis de riesgos.

Otra parte de ese conocimiento procede de la operativa que realizan los clientes dentro de la entidad financiera y de la comparación de la misma con el conocimiento previo que la empresa tiene del propósito e índole de la relación contractual. Este conocimiento lo aportará el departamento encargado de controlar la monitorización de las operaciones.

El conjunto informatizado de toda esta información residirá físicamente en la BASE DE DATOS DE CLIENTES, que estará ubicada en los sistemas informáticos de la empresa. La seguridad de estos sistemas informáticos contra los ataques o intrusiones internos y externos, estará a cargo del departamento de informática, tal como veremos en su momento.

La empresa exigirá a todos los departamentos que tengan que alimentar esta base de datos,  calidad y proporcionalidad en la información cedida. Para ello, como indiqué anteriormente, establecerá normas y procedimientos para la recogida, cesión  y utilización de la información sobre los clientes, y que en nuestro MODELO coincidirán con las establecidas por la legislación de prevención del blanqueo de capitales y de financiación del terrorismo, aunque trascendiendo su concreto objetivo legal:

Tanto en la verificación de la identidad de los clientes, como en la verificación de la solvencia, los departamentos comerciales y de riesgos trabajarán con sus respectivas herramientas  y fuentes de información. En estos procesos de verificación surgirán discrepancias o alertas, que de forma ordinaria deberán ser solucionadas por los propios departamentos mediante  sus recursos ordinarios de investigación.

Cuando las discrepancias o alertas no puedan solucionarse con los medios y herramientas ordinarias,  o su resolución por los departamentos comercial o de riesgos interfiera negativamente en el cumplimiento eficiente de su actividad ordinaria, deberán traspasarse al Departamento de Prevención del Fraude para que prosiga las investigaciones.

Esta será una de las funciones del Departamento de Prevención del Fraude. Las restantes funciones de este departamento se explicarán en un capítulo específico dedicado al mismo. Esta función que realiza el de prevención del fraude, servirá de apoyo transversal a los restantes departamentos productivos, de gestión y cumplimiento.

LA IDENTIFICACIÓN DE LOS CLIENTES COMO MEDIDA PREVENTIVA CONTRA EL  FRAUDE DE IDENTIDAD

Los fraudes realmente peligrosos desde el punto de vista de la autoría, son  los cometidos mediante identidades falsas o usurpadas. Es por ello por lo que una eficiente  identificación de los clientes resulta imprescindible para el control e investigación del fraude de identidad.

El fraude de identidad es un ataque directo contra la veracidad de la información existente en la BASE DE DATOS DE CLIENTES.

Los fraudes externos cometidos con la propia identidad,  son mucho más fáciles de prevenir y controlar que los fraudes que se cometen con identidades falsas o usurpadas, puesto que desde hace años las empresas utilizan filtros de solvencia durante los procesos de análisis de riesgos.

Estos filtros son los ficheros de solvencia, que aunque no fueron creados para prevenir el fraude sino la mora, sirven también para paralizar en un tiempo prudencial las actividades defraudadoras con una misma identidad.  El inconveniente de estos ficheros es que, al no poder identificar las conductas fraudulentas, éstas quedan  subsumidas dentro de la mora por lo que resulta imposible prevenir el fraude,  puesto que los delincuentes seguirán operando en el mercado financiero mediante  otras identidades falsas o usurpadas, una vez que son expulsados del mismo por morosos.

El sector financiero necesita dotarse, por tanto, de herramientas específicas para la  prevención del fraude de identidad, especialmente en los procesos de solicitud de crédito o en la solicitud de relaciones de negocio.

Estas herramientas específicas servirán también para segmentar, dentro del conjunto de la morosidad, los defraudadores de los que son morosos por otras causas, facilitando así el trabajo de los departamentos de recuperaciones y el de las empresas externas dedicadas a la recuperación de deudas en nombre de las entidades financieras.

POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES

Los pilares que sostienen la estructura de prevención y control del fraude de identidad son la BASE DE DATOS DE CLIENTES, el DEPARTAMENTO DE SEGURIDAD INFORMÁTICA, el  DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, y la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, que seguidamente procedo a analizar  teniendo en cuenta los intereses generales de la empresa y no sólo los de prevención del blanqueo de capitales y de financiación del terrorismo.

La política expresa de admisión de clientes es la que permitirá  crear dentro de la empresa financiera una cultura de calidad y proporcionalidad de la información sobre los  clientes, necesaria para el funcionamiento eficiente de los diferentes departamentos que tienen que utilizarla de forma continua, como los de  producción, marketing, gestión, y cumplimiento.

La calidad y proporcionalidad de la información sobre clientes, será imprescindible para la prevención del fraude de identidad, y garantizará la investigación del mismo por la propia empresa, o posteriormente por las autoridades judiciales y policiales.

Uso el término de “POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES”, porque es el que aparece en el Artículo 26 de la Ley 10/2010, que es la referencia legal que está permitiendo homogeneizar para todo el sector financiero las medidas necesarias para dotar de calidad operativa  la información existente en la BASE DE DATOS DE CLIENTES.

Junto a esta política, que constituye la NORMA, la empresa financiera tendrá que definir y aplicar también los PROCEDIMIENTOS  que facilitarán su cumplimiento y por tanto, dotarán  de calidad operativa la base de datos de clientes.

Por las mismas razones indicadas arriba, estos procedimientos  serán los  especificados en el Capítulo II de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, a saber:

• La identificación formal 
• La identificación del titular real
• El conocimiento del propósito e índole de la relación de negocios
• El seguimiento continuo de la relación de negocios

LA DILIGENCIA DEBIDA COMO INTERÉS PARA EL NEGOCIO

Llegado a este punto, quisiera incidir de nuevo en la idea ya indicada anteriormente, de que la política expresa de admisión de clientes y las  medidas de diligencia debida que estamos estudiando  sobrepasan la finalidad concreta de la prevención del blanqueo de capitales y de la financiación del terrorismo, puesto que van encaminadas  a dotar de calidad y proporcionalidad a la información existente en la BASE DE DATOS DE CLIENTES. Esta base de información será utilizada para el funcionamiento general del negocio, aunque también sirva para el cumplimiento de determinadas obligaciones legales.

Creo que se ha superado en las entidades financieras y también en la Administración, aquel concepto desfasado de considerar las medidas de diligencia debida exigidas por la legislación AML, sólo desde la perspectiva de las obligaciones de información que tiene la empresa financiera como sujeto obligado. Resulta totalmente lícito que la empresa financiera, al mismo tiempo que cumple con la legalidad, utilice estas medidas en su propio beneficio, con la sola limitación de saber diferenciar que el acceso a algunas fuentes de información sólo resulta posible sin consentimiento para el cumplimiento de las obligaciones de información AML, y que, por tanto, será necesario este requisito cuando se pretendan utilizar estas fuentes de información restrictivas para riesgos que no sean específicamente AML.

Siguiendo este criterio, tanto la política como las obligaciones tendrán como objetivo el dotar de la máxima calidad y proporcionalidad a la información que fluye hacia la BASE DE DATOS DE CLIENTES. Posteriormente cada departamento de negocio, gestión y  cumplimiento,  aplicará su particular análisis a esta base de datos mediante sus respectivas herramientas tecnológicas.

Las normas y los procedimientos han de ser aprobados por la Alta dirección y cumplimentados por toda la organización, y especialmente por los departamentos que componen el “front office” de la empresa, es decir, por los que están en contacto directo con los clientes.

Antes de su aprobación, tanto  la política como las normas deberán ser diseñadas por algún organismo de control interno, que en uestro MODELO será el  Órgano de Control Interno y Comunicación (OCIC), al que la Ley 10/2010 también responsabiliza de su aplicación.

Al ser el OCIC un comité de dirección con representación de distintas áreas del negocio y cumplimiento, necesitará en la práctica la ayuda de dos departamentos especializados que le hagan el trabajo de campo:

• El departamento de prevención del blanqueo de capitales y de la financiación del terrorismo
• El departamento de prevención del fraude

Para planificar la política expresa de admisión de clientes y sus correspondientes procedimientos de aplicación  existen numerosas fórmulas, pero utilizando la que impone la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo evitaremos  duplicar procesos y ganaremos  en economicidad.

La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones; estos principios tendrán en cuenta la legislación AML, pero también cualquier otra actividad de riesgo dentro de la empresa.

En la planificación de las normas y procedimientos, el OCIC ha de realizar un trabajo de campo para delimitar los riesgos legales y generales, teniendo en cuenta el diferente perfil de los clientes y la complejidad de los productos y operaciones que tenga la empresa.

.En estos trabajos de campo, el departamento de prevención del blanqueo le auxiliará en todo lo que tiene que ver con el cumplimiento legal exigido por la Ley 10/2010, y el departamento de prevención del fraude, en todo lo que tiene que ver con los riesgos derivados del fraude de identidad y de los fraudes que tengan su origen en un mal conocimiento de los clientes.

En la planificación de la política expresa de admisión de clientes hay que diferenciar por una parte, las directrices que debe contener el documento que será firmado por la Alta dirección,  y por otra,  los procedimientos que deben establecerse para el cumplimiento de esas directrices, identificando al mismo tiempo los departamentos que deberán aplicar los procedimientos concretos relativos a:

1. La identificación formal de los clientes
2. La identificación del titular real
3. El conocimiento del propósito e índole de la relación de negocios
4. El seguimiento continuo de la relación de negocios

Para poder realizar de forma eficaz este trabajo de campo, ambos departamentos deberán conseguir un profundo conocimiento del funcionamiento interno de la empresa y de cada uno los productos y servicios que ésta ofrece.

Al ser el de prevención del fraude un departamento integrado en el área de prevención de riesgos, y el de prevención del blanqueo un departamento integrado en el área de cumplimiento, la colaboración entre ambos se hará a través del OCIC, lo que  facilitará un trabajo ordenado, tanto para la identificación de estos riesgos específicos en cada área de actividad, como para la determinación de los procedimientos necesarios para controlarlos.

Para conseguir esta información, ambos departamentos establecerán una ágil intercomunicación con los restantes departamentos de la empresa, y especialmente con los que tienen que aplicar la política expresa de admisión de clientes, que también colaborarán en el desarrollo de los borradores de los procedimientos. La interconexión operativa será posible a través del OCIC, en donde, como he indicado, estarán representados los altos ejecutivos de los departamentos afectados.

Ambos departamentos se encargarán también de proponer al departamento de Recursos Humanos, en su calidad de expertos,  las materias de formación que este último debe implementar para el personal de la empresa:

• El departamento de prevención del blanqueo para facilitar el cumplimiento de la obligación de formación impuesta por el Artículo 29 de la Ley.
• El departamento de prevención del fraude, para facilitar la formación que permita  evitar los restantes riesgos  que tienen que ver con los  fraudes de identidad y con los fraudes derivados del desconocimiento de los clientes.

Será el departamento de prevención del blanqueo el que determine, para cada tipo de clientes y para cada tipo de productos y operaciones, si las medidas de  diligencia debida han de ser simplificadas, normales o reforzadas, concretando para cada supuesto la aplicación práctica de cada medida seleccionada, pero desde la óptica del cumplimiento exclusivo de la Ley 10/2010.

Será el departamento de prevención del fraude el que coordine el impacto que estas medidas tendrán para las restantes situaciones de riesgo de la empresa, y lo hará mediante la  colaboración con los departamentos operativos y de análisis de riesgos.

Con el resultado de estos trabajos de campo realizados por ambos departamentos,  el OCIC preparará el borrador del documento de POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, así como los procedimientos necesarios para el cumplimiento de las medidas de DILIGENCIA DEBIDA, que tienen que ver con la identificación formal y real, el conocimiento del propósito e índole de la relación de negocios y el seguimiento continuo de la relación de negocios.

El departamento de prevención del blanqueo aportará a este trabajo su visión legal, y el departamento de prevención del fraude su visión operativa.

Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude