Fintech InnovationInnovación

Las soluciones de identificación con selfies no cumplen para KYC/AML

Las soluciones tecnológicas que permiten la verificación de la identidad de personas físicas a través de las tomas de fotografías de los documentos de identidad o pasaportes y la grabación de instantáneas de la cara del usuario no cumplen con las normativas legales de prevención de blanqueo de capitales y financiación del terrorismo (KYC/AML) en la industria financiera.

El motivo no es otro que su bajo grado de seguridad técnica, la debilidad de las evidencias electrónicas que aportan al proceso y la debilidad que presenta sobre la falta de integridad del mismo. Eso hace que el nivel de seguridad proporcionado sea bajo, lejos de la seguridad que se requiere para la identificación formal de clientes según las regulaciones más exigentes en esta materia, que han puesto en un nivel más alto de requerimientos técnicos para utilizar video en streaming en estos procesos de KYC y AML.

¿Cómo podemos comprobar esta información sobre KYC/AML?

En los estándares anglosajones EE. UU.:

Dados los múltiples casos de fraude en la identificación de clientes en los procesos KYC/AML, el Departamento de Comercio de EE.UU, a través del NIST-National Institute of Standards and Technology- creó una Líneas Base sobre la Verificación de la Identidad Digital (NIST SP 800-63A), actualizado en Junio de 2017 y que establecen tres niveles de seguridad para el registro y pruebas en la verificación de la identidad que se clasificación desde bajo (IAL1), medio (IAL2) y alto (IAL3).

El nivel alto (IAL3) es el equivalente a la identificación en persona y apto para la creación de cuentas de forma remota. Este nivel requiere de intervención humana (ver punto 4.5 del documento) y propone una transmisión de video continua en alta resolución (ver punto 5.3.3.2 del documento).

El mismo documento permite las soluciones que toman imágenes/selfies para el nivel medio de seguridad (IAL2) y siempre y cuando se combinen con otras evidencias fuertes sobre la identidad de la persona, más allá de las imágenes tomadas o escaneadas del documento de identidad acreditativo y de la grabación de la cara de la persona. Estas evidencias fuertes suelen ser comprobantes de facturas o dirección, verificación en background (background checks) de información sobre la identidad de la persona que se está identificando.

Este último hecho, adicionalmente, pondría en mayor riesgo este tipo de soluciones en la Unión Europea porque, por motivos de privacidad y en contra de lo que ocurre en el mundo anglosajón, no son permitidos en Europa dado que no es posible el tratamiento de datos de carácter personal, incluso de carácter público, procesados por las entidades previo al consentimiento expreso de las personas afectadas.

En los estándares europeos:

De acuerdo con los argumentos anteriormente esgrimidos sobre el bajo nivel de seguridad, no existen buenas prácticas, autorizaciones o procedimientos de identificación no presencial por reguladores en el sector financiero en Europa que permitan el uso de soluciones de verificación de la identidad basadas en simples imágenes.

Casi todos los Estados Miembros de la Unión Europea tienen autorizados o están preparando autorizaciones de procedimientos para la identificación no presencial de clientes en el canal online. Algunos casos/referencias son los siguientes:

BAFIN ((Bundesanstalt für  Finanzdienstleistungsaufsicht) – Regulador alemán

FINMA (Swiss Financial Market Supervisory Authority) – Regulador suizo

CSSF (Commission de Surveillance du Secteur Financier) – Regulador luxemburgués

BdP (Banco de Portugal) – Regulador portugués

FCIS (Servicio de Investigación del Crimen Financiero bajo el Ministerio del Interior) – Regulador lituano

SEPBLAC (Servicio Ejecutivo de Prevención de Blanqueo de Capitales) – Regulador español

En los estándares de América Latina:

CNBV (Comisión Nacional Bancaria y de Valores) – México

En los estándares de Asia: 

MAS (Monetary Authority of Singapore) – Singapur

Nótese que todos estos procedimientos/autorizaciones pueden encontrarse pública y gratuitamente online.

Existen dos tipos de soluciones para KYC/AML

La transmisión de video continua se está convirtiendo en un estándar para la identificación de clientes en el canal online. Y vemos dos tipos de soluciones, las denominadas síncronas (videoconferencia con un agente que realiza la entrevista del cliente online) y asíncronas (donde se realiza un registro por video en streaming, garantizando el control e integridad del proceso de grabación del video por el sujeto obligado y una verificación posterior offline por un agente cualificado).

Ambas soluciones se pueden combinar dependiendo del caso de uso: típicamente la videoconferencia para una venta consultiva en la que se adquiera un nuevo cliente y el video asíncrono en procesos de captación que requieren agilidad en la contratación y en la que se quiere molestar al cliente lo mínimo imprescindible.

Mas info: www.electronicid.eu

https://www.electronicid.eu/es/soluciones-de-identificacion-basadas-en-selfies-no-compliance-kyc-aml/

No Comment

Responder

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Post anterior

Tres síntomas de que tu banco no es tan digital.

Próximo post

Bancos: La hoja de ruta hacia Blockchain