Pasos del KYC según la regulación de PBC/FT
El éxito de KYC depende de una buena planificación. Los pasos de un KYC robusto deben contener la recolección, verificación, actualización y almacenamiento de la información del cliente.
1. ¿Qué es el KYC o Know Your Customer? Definición
El KYC es un proceso de varias fases utilizado por las empresas para verificar la identidad de sus clientes.
Este proceso es una parte esencial de las medidas de prevención del blanqueo de capitales (PBC o AML, por sus siglas en inglés) y se utiliza para garantizar que los servicios financieros y empresariales no se utilicen con fines ilícitos.
El KYC involucra la recopilación de datos personales del cliente, como nombre completo, dirección, fecha de nacimiento, empleo y detalles financieros.
El KYC está regulado en España por la Ley 10/2010, de 28 de abril, de prevención del Blanqueo de Capitales y de la Financiación del Terrorismo. Cada sujeto obligado, según su industria, productos ofertados y perfil de su cliente, debe adoptar las medidas oportunas de PBC/FT según el riesgo de BC/FT inherente.
2. Pasos del KYC, proceso completo
El éxito del proceso de KYC depende en gran medida de una buena planificación y de que el uso de herramientas sea un motor para el proceso, no un freno.
Un KYC robusto y bien planificado debe reflejar un marco de trabajo para la recolección, verificación, actualización y almacenamiento de la información del cliente:
- Recolección de datos: El procedimiento debe especificar qué información y documentos deben solicitarse al cliente.
- Procedimientos de Verificación: debes definir los métodos para verificar la autenticidad de la información proporcionada por los clientes. Nos centraremos en la verificación de Personas con Responsabilidad Política y sancionados, pero se recomienda considerar la verificación de prensa negativa (adverse media), la validez del DNI/Pasaporte, así como los registros de empresas públicos para comprobar la existencia de la empresa
- Evaluación de riesgos: Tu KYC también debe establecer cómo se evaluará el riesgo asociado con cada cliente. En relaciones comerciales continuadas, el nivel de riesgo del cliente será un dato dinámico, no estático.
- Almacenamiento de datos: Deberás describir claramente cómo se almacenarán y protegerán los datos recopilados.
- Revisión y actualización: Por último, pero no menos importante, tu proceso de KYC debe incluir un marco para la revisión y actualización regular que garantice que la información del cliente es actual y fiable.
2.1. Recolección de datos del cliente
La mejor manera de verlo, y que puede ser útil para ti, es en modo checklist. Verás que hemos divido el tipo de información solicitada según si tratamos con un cliente “Persona Física” o “Persona Jurídica”:
A) Persona Física / Individual
Datos identificativos:
- Nombre y apellidos
- DNI/NIE/Pasaporte
- País/es de residencia fiscal
- Nacionalidad
- Domicilio fiscal completo
- Fecha de nacimiento
- Ciudad y país de nacimiento
- Estado civil
- Teléfono
- Dirección de email
- ¿Es residente en España?
Identificación de las Personas con Responsabilidad Pública (PEP):
Preguntaremos sobre si el cliente o los familiares y allegados del cliente son Personas con Responsabilidad Pública (PEP: Politically Exposed Person).
Actividad económica:
- Autónomo, trabajador por cuenta ajena, jubilado, empresario, otros...
- Sector de actividad
Origen de los fondos y vinculación con EE. UU:
- Origen de los fondos (salarios del trabajo, rentas financieras, rentas inmobiliarias, actividades empresariales, herencia, Otros…)
- Vinculación con EEUU (¿el titular es ciudadano o tiene la residencia fiscal en EUU?)
Documentos adjuntos:
- Copia escaneada DNI/NIE o Pasaporte
- ¿Cuál de los siguientes documentos puede aportar para probar el origen de los fondos? Según el riesgo detectado, puedes solicitar más o menos documentos. Nosotros te recomendamos que por lo menos solicites el último IRPF presentado o, en su defecto, el último IP.
- Último IRPF presentado.
- Último IP presentado.
- Una Nómina.
- Escritura de una herencia.
- Escritura venta de participaciones de una empresa.
- Escritura venta de un inmueble.
B) Persona jurídica / Legal Entity
Si tu cliente es una empresa (persona jurídica), en lugar de una persona física, el volumen de información y datos a recabar será sustancialmente mayor. Estos son los pilares de información necesaria para completar el KYB o Know Your Business (“Conocer tu negocio”):
- Datos identificativos de la empresa
- Copia NIF sociedad
- Escritura pública de constitución
- Escritura pública de apoderamientos (si es precisa)
- Datos de la actividad empresarial
- Identificación de los Titulares Reales, los Representantes Legales y otras personas que ejercen control sobre la sociedad
- Copia válida del DNI/NIE o Pasaporte de los sujetos
- Verificar las Personas con Responsabilidad Pública (PEP)
- Verificar si poseen antecedentes de crimen financiero
- Acta de Titularidad Real de la sociedad
- Datos sobre la actividad económica y el origen de los fondos:
- Documento que pruebe el origen de los fondos: Cuentas anuales auditadas, cuentas anuales sin auditar, Impuesto de Sociedades, liquidación de IVA presentado…
2.2. Verificación de listados de sanciones y PEPs
Después de preguntarle al cliente, sobre su nivel de exposición a la política y otros cargos de poder, es recomendable y, en ocasiones, obligatorio, verificar que su nombre no aparece en listados internacionales de PEPs y/o sancionados.
Persona Políticamente Expuesta en España, quiénes
En España, se publicó a través de la web del Tesoro los puestos que determinan la consideración de Persona con Responsabilidad Pública.
Listados de sanciones de crimen financiero y PEPs
- Base de datos de la UN (Naciones Unidas): Contiene nombres de personas y compañías sancionadas por la UN.
- Lista OFAC (Office of Foreign Assets Control de los EE. UU.): Incluye nombres de "nacionales especialmente designados y personas bloqueadas".
- Base de datos de la Unión Europea (EU) sobre sanciones: Mantiene actualizada la lista de sanciones impuestas por la UE.
- Otras fuentes privadas que consolidan varias bases de datos:
- Dow Jones: Esta lista recopila datos de varios cientos de listas de sanciones de todo el mundo, incluyendo las emitidas por la ONU, el Departamento del Tesoro de los Estados Unidos, la Unión Europea, el Reino Unido y otras autoridades de sanciones globales.
- OpenSactions: OpenSanctions recopila datos de decenas de listas de sanciones y listas de control financiero de todo el mundo. Esto incluye, entre otras, fuentes como la OFAC de Estados Unidos, la lista de sanciones consolidada de la Unión Europea, y las listas de sanciones de las Naciones Unidas. También recopila datos sobre PEPs.
- World-Check: Cubre cientos de miles de registros de PEPs en todo el mundo.
Tecnología para el screening de PEP y sancionados
Las verificaciones de los listados, pueden hacer manualmente. Sin embargo, este método puede ser lento y propenso a errores, especialmente si gestionas un gran volumen de clientes.
Muchas empresas recurren a soluciones tecnológicas que permiten la automatización de la verificación de listas de sanciones y PEPs.
Con la solución de AML de Parallel puedes acceder a las bases de datos de Dow Jones y OpenSanctions para comprobar millones de registros en un solo click.
2.3. Evaluación de riesgo del KYC
También deberás establecer cómo se evaluará el riesgo asociado con cada cliente.
Esto implica no solo implica la aparición en listas de sanciones o PEPs, también tienen que ver factores como el origen o destino de los fondos, el país de residencia habitual y el país de residencia fiscal, naturaleza del negocio o empleo del cliente…
Habitualmente, la evaluación del riesgo del cliente va asociada a un cálculo numérico; a mayor puntuación, el riesgo suele ser mayor. Esta captura muestra un ejemplo de puntuación asociada al riesgo tras un proceso de KYC scoring.
El scoring de KYC es el cálculo numérico que determina la confiabilidad del cliente y el nivel de riesgo asociado a la relación comercial. Es un sistema útil para aplicar controles proporcionales al nivel de riesgo y, en general, para tomar decisiones informadas.
2.4. Almacenamiento de datos y periodo de conservación
Tendrás que describir claramente cómo se almacenarán y protegerán los datos recopilados. Según el artículo 28 del Real Decreto 304/2014, de 5 de mayo, que regula la prevención del blanqueo de capitales y de la financiación del terrorismo:
Conservarán toda la documentación obtenida o generada en aplicación de las medidas de diligencia debida, con inclusión, en particular, de las copias de los documentos fehacientes de identificación, las declaraciones del cliente, la documentación e información aportada por el cliente u obtenida de fuentes fiables independientes, la documentación contractual y los resultados de cualquier análisis efectuado, durante un periodo de 10 años desde la terminación de la relación de negocio o la ejecución de la operación ocasional.
Transcurridos 5 años desde la terminación de la relación de negocios o la ejecución de la operación ocasional, la documentación conservada únicamente será accesible por los órganos de control interno del sujeto obligado, con inclusión de las unidades técnicas de prevención, y, en su caso, aquellos encargados de su defensa legal.
2.5. Revisión y actualización (KYC refresh / re-KYC)
Por último, pero no menos importante, tu KYC debe incluir un proceso de revisión y actualización regular para garantizar que la información del cliente esté siempre actualizada.
Por normativa, tendrás que ejecutar una actualización de su KYC mínimo una vez al año en clientes de ALTO riesgo.
El KYC Refresh corresponde a actualizaciones periódicas, previstas de manera proactiva, mientras que el Re-KYC funciona como respuesta o reacción ante un cambio al alza en el nivel de riesgo del cliente.