Desde el 2 de octubre de 2023, las entidades de crédito y financieras tienen que adherirse a las directrices establecidas por la Autoridad Bancaria Europea (EBA) en relación con las soluciones de alta de clientes a distancia. Es necesario, pues, que las entidades de crédito y financieras* revisen sus procedimientos de alta a distancia de clientes para comprobar que se ajustan a los requerimientos de estas directrices, que incluyen desde políticas y procedimientos hasta cuestiones técnicas.
- Políticas y Procedimientos Internos (Sección 4.1.1 del EBA/GL/2022/15): Se exige a las entidades desarrollar políticas y procedimientos internos exhaustivos que describan detalladamente la solución implementada para recopilar, verificar y conservar información durante el proceso de alta de clientes a distancia. Esto incluye la automatización y controles efectivos, así como programas de formación para el personal encargado de este proceso.
- Gobernanza (Sección 4.1.2 del EBA/GL/2022/15): La gobernanza es un componente clave, con el responsable del cumplimiento de Prevención del Blanqueo de Capitales y Financiamiento del Terrorismo (PBC/FT) supervisando la implementación efectiva de las políticas y procedimientos. El órgano de administración de la entidad tiene la responsabilidad de aprobar estas políticas y garantizar su implementación.
- Evaluación Previa a la Implementación (Sección 4.1.3 del EBA/GL/2022/15): Antes de adoptar una nueva solución de alta de clientes a distancia, las entidades deben llevar a cabo una evaluación exhaustiva que abarque la idoneidad de la solución, el impacto en los riesgos empresariales, la identificación de medidas de mitigación y pruebas para evaluar riesgos de fraude.
- Supervisión Continua (Sección 4.1.4 del EBA/GL/2022/15): La supervisión continua es esencial para garantizar el funcionamiento acorde con las expectativas. Esto implica políticas y procedimientos que aseguren la calidad, integridad y actualización de los datos recopilados, así como revisiones periódicas y ad hoc en respuesta a cambios en riesgos o en el marco legal.
- Obtención de la Información (Sección 4.2 del EBA/GL/2022/15): Las entidades deben identificar de manera efectiva a sus clientes, ya sean personas físicas o jurídicas. Esto implica evaluar la naturaleza y propósito de la relación de negocios antes de finalizar el proceso de alta.
- Autenticidad e Integridad de los Documentos (Sección 4.3 del EBA/GL/2022/15): Las reproducciones de documentos deben ser verificadas, utilizando comparaciones con bases de datos oficiales y medidas para garantizar la captura precisa de información.
- Confirmación de la Identidad del Cliente (Sección 4.4 del EBA/GL/2022/15): Las soluciones de alta de clientes deben permitir verificar la coincidencia entre la información visible de la persona y la documentación proporcionada. Se establecen estándares para el uso de datos biométricos y se introducen controles adicionales para garantizar la autenticidad.
- Recurso a Terceros y Externalización (Sección 4.5 del EBA/GL/2022/15): En caso de recurrir a terceros, se aplicarán criterios para asegurar la suficiencia y coherencia de los procesos de Debida Diligencia del Cliente (DDC) y, en el caso de externalización, se implementarán medidas adicionales para garantizar el cumplimiento.
- Gestión de Riesgos de TIC y de Seguridad (Sección 4.6 del EBA/GL/2022/15): Se identificarán y gestionarán los riesgos asociados a la tecnología de la información y seguridad. Esto incluye el uso de canales seguros y protocolos criptográficos para garantizar la confidencialidad, autenticidad e integridad de los datos intercambiados durante el proceso.
- Cumplimiento con Servicios de Confianza y Procesos de Identificación Nacionales (Sección 4.7 del EBA/GL/2022/15): Las entidades pueden utilizar servicios de confianza y procesos de identificación electrónica reconocidos por las autoridades nacionales competentes, siempre y cuando se evalúe la conformidad con las directrices y se apliquen medidas para mitigar riesgos.
Instituciones involucradas
Las directivas sobre alta de clientes a distancia afectan a dos categorías principales de actores en el ámbito financiero: las «entidades financieras» y las «autoridades competentes». A continuación, se detalla quiénes son considerados dentro de estas categorías:
- Entidades Financieras:
- Entidades de Crédito – Según la definición en el artículo 4, apartado 1, de la Directiva 2006/48/CE: “toda persona jurídica cuya profesión o actividad habituales consisten en prestar uno o más servicios de inversión o en realizar una o más actividades de inversión con carácter profesional a terceros”
- Empresas de Inversión – Según la definición en el artículo 1, apartado 1, letra b), de la Directiva 2000/12/CE: “una empresa cuya actividad consiste en recibir del público depósitos u otros fondos reembolsables y en conceder créditos por cuenta propia”
- Conglomerados Financieros – Según la definición en el artículo 2, apartado 14, de la Directiva 2002/87/CE: Un conglomerado financiero es un grupo que cumple con las siguientes condiciones:
- Está encabezado por una entidad regulada o tiene al menos una filial regulada.
- Si la entidad principal es regulada, debe ser la matriz de una entidad del sector financiero o tener vínculos con una entidad del sector financiero.
- Si la entidad principal no es regulada, las actividades del grupo deben centrarse principalmente en el sector financiero.
- Debe incluir al menos una entidad en el sector de seguros y otra en los sectores bancario o de servicios de inversión.
- Las actividades consolidadas del grupo en los sectores de seguros, bancario y de servicios de inversión deben ser significativas.
- Autoridades Competentes – En Relación con Directivas 2006/48/CE, 2006/49/CE y 2007/64/CE, y Referencia en la Directiva 2009/110/CE: “las autoridades nacionales facultadas por ley o reglamento para supervisar a las empresas de inversión”