Garrigues Digital_

El avance del mundo digital, impulsado por la situación provocada por el COVID-19, ha disparado el número de relaciones de negocio no presenciales, y la necesidad de habilitar fórmulas no presenciales suficientemente seguras para facilitar el 'onboarding' remoto de clientes. En este contexto, cabe recordar que la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT) obliga a adoptar políticas y procedimientos que afronten los riesgos específicos asociados a este tipo de relaciones de negocio, así como a cumplir con los procedimientos seguros de identificación no presencial establecidos por la normativa vigente o autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (Sepblac). Detallamos a continuación los procedimientos de identificación no presencial que deben tener en cuenta las entidades financieras.

Tanto la Ley 10/2010, de 28 de abril, de PBC/FT, como el Reglamento que la desarrolla, aprobado por el Real Decreto 304/2014, de 5 de mayo, recogen, en sus artículos 12 y 21, respectivamente, la posibilidad de establecer relaciones de negocio o de ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos con clientes que no se encuentren presentes físicamente, siempre y cuando la identidad del cliente quede acreditada mediante el empleo de procedimientos seguros de identificación no presencial.

Los procedimientos de identificación no presencial permitidos por los citados artículos se circunscriben a los supuestos en que:

1. La identidad del cliente quede acreditada mediante la firma electrónica cualificada, regulada en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica. Se trata de una novedad incluida tras la transposición en nuestro país de la Quinta Directiva en materia de PBC/FT (Directiva (UE) 2018/843). Destaca el hecho de que en este caso no será necesaria la obtención de la copia del documento identificativo (sí exigible en el resto de casos), si bien será preceptiva la conservación de los datos de identificación que justifiquen la validez del procedimiento.
                
   En relación con esta vía, cabe destacar el paso adelante que ha supuesto la Orden ETD/465/2021, de 6 de mayo, para facilitar procedimientos no presenciales de solicitud y expedición de certificados electrónicos cualificados, por medio de métodos de identificación remota por vídeo (asistido o no asistido, sujetos a requisitos diferentes), en el marco del régimen de los servicios electrónicos de confianza del Reglamento eIDAs, en desarrollo del artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
2. El primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.
3. La identidad del cliente quede acreditada mediante copia del documento de identidad, siempre que dicha copia esté expedida por un fedatario público.
4. La identidad del cliente quede acreditada mediante el empleo de otros procedimientos seguros de identificación no presenciales, siempre que hayan sido previamente autorizados por el Sepblac.

De conformidad con la habilitación a la que hace referencia la letra d) anterior, el Sepblac ha venido reconociendo y autorizando los siguientes procedimientos seguros de identificación no presencial:

1. El procedimiento de solicitud de confirmación de datos sobre la titularidad de cuentas entre entidades de la Sociedad Española de Sistemas de Pago S.A. (Iberpay) fue autorizado por el Sepblac el 22 de mayo de 2015. Este procedimiento sólo puede ser utilizado por las entidades participantes en el subsistema SNCE-03 del Sistema Nacional de Compensación Electrónica, que es el marco a través del cual se llevan a cabo, mediante procedimientos electrónicos, el intercambio, la compensación y la liquidación de operaciones, entre estas entidades habilitadas.

Mediante este procedimiento, una entidad que desee establecer relaciones de negocio o ejecutar operaciones a través de medios telemáticos podrá solicitar a otra entidad de la que tenga conocimiento que mantiene relación con el citado cliente, y que forme parte de SNCE-03, la confirmación de los datos de identificación.

El pasado 13 de mayo de 2021, el Sepblac emitió una comunicación en la que informaba de que el citado procedimiento perdería su eficacia el 30 de septiembre de 2021. No obstante, el 28 de septiembre de 2021, dicha autoridad emitió una nueva nota informativa en la que autorizó, con carácter temporal (hasta que Iberpay desarrolle un nuevo procedimiento y se le dé la autorización por parte del Sepblac), que el procedimiento se siga utilizando para la identificación no presencial de clientes, y siempre y cuando se apliquen medidas adicionales para comprobar que la persona que participa en el procedimiento a distancia es titular de la cuenta objeto del procedimiento de identificación.

2. El procedimiento de identificación no presencial por videoconferencia fue autorizado por el Sepblac el 12 de febrero de 2016 para clientes provistos de los documentos fehacientes de identificación a los que se refiere la normativa. Este proceso de identificación, que debe ser grabado con constancia de fecha y hora, conservándose la grabación de conformidad con lo dispuesto en la normativa, está sujeto a determinadas condiciones, tales como: (i) que antes del inicio de la grabación, el cliente consienta expresamente este procedimiento no presencial, así como su grabación y conservación; y que, (ii) durante la videoconferencia, el cliente que se identifique muestre de forma visible el anverso y el reverso de su documento. Además, la entidad obligada deberá obtener y conservar una fotografía o copia de este documento de identificación.
3. El procedimiento de identificación por video-identificación fue autorizado por el Sepblac el 11 de mayo de 2017 para clientes provistos de documentos fehacientes de identificación. Se diferencia del anterior procedimiento principalmente por la falta de interacción online entre el cliente y el operador. Este proceso se basa en la grabación de un vídeo por parte del cliente, que es remitido al sujeto obligado para que este realice la identificación necesaria.

Al igual que en el sistema anterior, existen unos requisitos mínimos que deben cumplirse, tales como: (i) el cliente deberá consentir expresamente la ejecución del procedimiento de vídeo-identificación y la conservación de la grabación del proceso, con carácter previo o en el curso del mismo; (ii) la grabación deberá ser revisada por el sujeto obligado antes de la realización de cualquier operación y se deberá comprobar que el cliente muestra de forma visible el anverso y el reverso del documento de identidad, así como recabar y conservar una fotografía o copia del mismo; y (iii) el procedimiento debe asegurar que el proceso se realiza por el cliente desde un único dispositivo, que las imágenes y el sonido se transmiten inmediatamente al sujeto obligado en formato digital, sin alteraciones y en directo (streaming) y que este procede a la grabación inmediata del proceso para que pueda ser reproducido posteriormente en secuencia. A estos efectos, no es aceptable la utilización de archivos pregrabados por el cliente u otras personas ajenas.

En los dos casos anteriores (puntos II. y III.), con carácter previo a su implantación, los sujetos obligados deberán realizar el análisis de riesgos específico al que se refiere el artículo 32.2 del Reglamento de desarrollo de la Ley 10/2010. Del mismo modo, documentarán el procedimiento de identificación no presencial, testeando su eficacia y reseñando por escrito los resultados del mismo. Los distintos procedimientos documentados e implantados por los sujetos obligados no estarán sujetos a nueva autorización particular por parte del Sepblac y será responsabilidad de cada sujeto obligado implementar los requisitos técnicos que aseguren la autenticidad, validez, integridad, así como la privacidad de los procedimientos y documentos de identificación utilizados.

Ambos procedimientos de identificación podrán ser externalizados. Esta posibilidad es fundamental habida cuenta de que la innovación tecnológica en el sector financiero tiene el potencial de reducir costes, aumentar la competencia y proporcionar un mejor servicio a los clientes. Consecuentemente, el Sepblac se muestra a favor del uso de las nuevas tecnologías siempre que proporcionen niveles de seguridad adecuados. Sin perjuicio de lo anterior, la entidad financiera mantendrá su plena responsabilidad sobre el cumplimiento de las obligaciones de identificación no presencial.

Finalmente, hay que tener en cuenta que, a excepción del procedimiento de identificación no presencial mediante firma electrónica cualificada, en el plazo de un mes desde el establecimiento de la relación comercial no presencial, los sujetos obligados deberán obtener de estos clientes una copia de los documentos necesarios para practicar la diligencia debida, incluida la copia del documento de identificación fehaciente. Asimismo, es fundamental tener en cuenta que no se podrá completar el proceso de identificación no presencial cuando exista cualquier discrepancia entre los datos facilitados por el cliente, o dudas de la correspondencia del titular con el cliente objeto de identificación, siendo, en ese caso, obligatoria la identificación presencial.