El Sepblac invalida el Procedimiento de solicitud de confirmación de datos sobre titularidad de cuentas entre entidades de Iberpay
El procedimiento de identificación de cuentas que se venía utilizando hasta ahora no encaja con las recientes directrices de la EBA.
En 2015, el Sepblac autorizó de manera específica, un sistema de identificación no presencial llamado Procedimiento de solicitud de confirmación de datos sobre titularidad de cuentas entre entidades, que únicamente se podrá utilizar entre entidades participantes en el subsistema SNCE-03 del Sistema Nacional de Compensación Electrónica.
En aplicación de este procedimiento de titularidad de cuentas, una entidad que deseara establecer relaciones de negocio o ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos con un cliente que no se encontraba físicamente presente podía solicitar de otra entidad, de la que tenga conocimiento que mantiene relación con el citado cliente, la confirmación de sus datos de identificación. La transmisión de información se realizaba entre entidades a través del sistema SNCE, gestionado por la Sociedad Española de Sistemas de Pago, S. A. (Iberpay).
El 28 de septiembre de 2021, el Sepblac notificó que, con carácter temporal y hasta la implementación de un nuevo procedimiento, se autorizaba la utilización de este procedimiento de titularidad de cuentas para la identificación no presencial de clientes cuando se aplicaran medidas adicionales para comprobar que la persona que está participando en el proceso de identificación a distancia es titular de la cuenta objeto del procedimiento. Por ejemplo, el envío de un código para la doble autenticación. Esto ha supuesto que muchos sujetos obligados hayan invertido en desarrollos, que pueden quedar ahora sin utilidad, para garantizar que las medidas adicionales fuesen suficientes para comprobar la identidad de sus clientes.
El 17 de enero de 2023 el Sepblac publicó en su página web, dentro del apartado “Autorización de procedimientos de identificación”, una nota acerca del procedimiento de titularidad de cuentas de Iberpay, utilizado por un gran número de entidades de crédito para la identificación no presencial de clientes.
En dicha nota, se indica que el citado procedimiento de titularidad de cuentas de Iberpay no encajaría con las recientes directrices de la EBA (Autoridad Bancaria Europea) en materia de identificación no presencial publicadas el pasado 22 de noviembre de 2022, las “Guidelines on the use of Remote Customer Onboarding Solutions under Article 13(1) of Directive (EU) 2015/849 (EBA/GL/2022/15)” (que se abodarán de forma más extensa aquí).
Por tanto, la autorización para su uso como procedimiento de identificación no presencial, concedida por el Sepblac el 22 de mayo de 2015 no tendrá efecto desde la fecha en la que el Sepblac ponga en conocimiento público que ha informado a la EBA de su compromiso con las previsiones incluidas en estas directrices (no antes de los próximos cuatro meses).
El Sepblac, como autoridad competente, tiene previsto comunicar a la EBA que se comprometerá con el cumplimiento de las previsiones contenidas en la guía, una vez que se publique su traducción al español.
Concretamente, el citado procedimiento de Iberpay no encajaría en los sistemas de identificación no presencial previstos en el apartado “4.4. Coincidencia de la identidad del cliente como parte del proceso de verificación” de las directrices.
En este apartado se exige que, salvo que se utilice firma avanzada o cualificada, la identificación se realice a través de un sistema de identificación remoto asistido o no asistido y, además, estas soluciones deben asegurar, como mínimo:
a) Que exista coincidencia entre la información visible de la persona física y la documentación aportada;
b) Cuando el cliente sea una persona jurídica, que esté registrada públicamente, en su caso;
c) Cuando el cliente sea una persona jurídica, la persona física que la representa deberá estar facultada para actuar en su nombre.
De acuerdo con estas previsiones, parece que la confirmación por parte de una entidad de crédito de la información relativa a la identidad del cliente que se venía transmitiendo a través de Iberpay no cumple, por sí sola, los requisitos establecidos por la guía de la EBA.
La citada nota del pasado 17 de enero prevé, sin embargo, que, a partir de que el procedimiento de Iberpay quede invalidado de manera general, este podría ser utilizado, como un medio de aplicación por terceros de las medidas de diligencia debida. Es decir que, si Iberpay reúne los requisitos exigidos por la norma (artículo 8 de la Ley 10/2010, relativo a la aplicación por terceros de las medidas de diligencia debida) para poder ser considerado un tercero ante el que recurrir para el cumplimiento de las obligaciones de diligencia debida, el sistema de confirmación de información sobre clientes podrá seguir siendo utilizado como medio de identificación no presencial.
Profesional de contacto
