Evaluación de soluciones de «Video onboarding» en el marco de la normativa del SEPBLAC

TCAB (Trust Conformity Assessment Body) ha inscrito un experto en técnicas de gestión de identidad electrónica como evaluador en el marco de la normativa de prevención del blanqueo de capitales, supervisada por el SEPBLAC.

De este modo está en disposición de auditar las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (el ya citado SEPBLAC).

La Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS (Reglamento Europeo UE 910/2014). Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Por su especialización y por las gestiones ya realizadas, puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia con arreglo a las siguientes especificaciones:

• Los procedimientos de identificación no presencial mediante videoconferencia únicamente serán aplicables a clientes provistos de los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.
• Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado deberá realizar el análisis de riesgo específico a que se refiere el artículo 32.2 del Reglamento de la Ley 10/2010.
• Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado documentará el procedimiento y testará su eficacia, reseñando por escrito los resultados. No se procederá a la implantación efectiva del procedimiento si los resultados de las pruebas no acreditan su eficacia.
• Será responsabilidad del sujeto obligado implantar los requerimientos técnicos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.
• Los procedimientos de identificación no presencial mediante videoconferencia deberán ser gestionados por personal con formación específica. Dicha formación, que será congruente con las funciones desempeñadas, deberá quedar acreditada de conformidad con lo dispuesto en el artículo 39 del Reglamento de la Ley 10/2010.
• El proceso de identificación mediante videoconferencia deberá ser grabado con constancia de fecha y hora, conservándose la grabación de conformidad con lo dispuesto en el artículo 25 de la Ley 10/2010. El cliente deberá consentir expresamente la realización del procedimiento de identificación no presencial mediante videoconferencia y la grabación y conservación del proceso, con carácter previo o en el curso del mismo.
• Durante el desarrollo de la videoconferencia, el sujeto obligado adoptará medidas que aseguren la privacidad de la conversación mantenida con el cliente.
• En todo caso, en el curso de la videoconferencia el cliente objeto de identificación deberá exhibir visiblemente el anverso y reverso del documento empleado para su identificación.
• El proceso de identificación no podrá completarse cuando (i) existan indicios de falsedad o manipulación del documento de identificación, o (ii) existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación, o (iii) las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.
• El sujeto obligado deberá obtener y conservar una fotografía o instantánea del anverso y reverso del documento de identificación utilizado. La fotografía o instantánea obtenida deberá reunir las condiciones de calidad y nitidez que permitan su uso en investigaciones o análisis y será conservada de acuerdo con lo establecido en el artículo 25 de la Ley 10/2010.
• Con carácter previo a la ejecución de cualesquiera operaciones, el sujeto obligado verificará que el cliente no está sometido a sanciones o contramedidas financieras internacionales, en los términos establecidos en el artículo 42 de la Ley 10/2010.
• La ejecución de los procedimientos de identificación no presencial mediante videoconferencia podrá ser externalizada, manteniendo el sujeto obligado la plena responsabilidad.
• El informe de experto externo a que se refiere el artículo 28 de la Ley 10/2010 deberá pronunciarse expresamente sobre la adecuación y eficacia operativa del procedimiento de identificación no presencial mediante videoconferencia.
• La presente autorización se entiende sin perjuicio del cumplimiento por los sujetos obligados de cualesquiera otras obligaciones legales, en particular en materia tributaria, de ordenación y disciplina, de información y protección del consumidor y de protección de datos de carácter personal.
• Los procedimientos específicos de identificación no presencial mediante videoconferencia que los sujetos obligados establezcan al amparo de esta autorización no estarán sujetos a nueva autorización, sin perjuicio de que el Servicio Ejecutivo pueda proceder a su control en ejercicio de las potestades de supervisión e inspección que le atribuye el artículo 47 de la Ley 10/2010.