KYC 2.0 - Conozca a su Cliente en la Era Digital

Posted by Florencia Leoni on Jun 15, 2017 10:50:56 AM

Read the English Version adapted to US Regulatory Framework >>

Recientemente regresamos de K(NO)W Identity Conference 2017 organizada por One World Identity, la primera conferencia enfocada principalmente en identidades digitales y sus aplicaciones.

Durante años el concepto de identidad se ha tomado por sentado, pues no se consideraban centrales a ningún modelo de negocios, cuando en realidad son el corazón de todas las transacciones digitales. Nuestros amigos de One World Identity no sólo reconocieron esto, también entienden que tanto la educación como la colaboración son actividades necesarias para exponer el valor que tienen las identidades digitales para organizaciones, tanto privadas como públicas, sin importar la industria. Nosotros, el equipo de IdentityMind Global, hemos estado trabajando en construir identidades digitales y validar su importancia para el mercado, durante más de ocho años.

Actualmente, existen varias definiciones de identidad digital, así que, empezaremos por definir qué significan para los efectos de este artículo. Una identidad digital es la combinación de información física, presencia digital en línea, historial de transacciones y comportamiento rastreable de un individuo, bien sea persona física o moral. La identidad digital certifica que el usuario sea quien dice ser y con quien puedes interactuar a nivel comercial.

Trascendiendo el plano empresarial, las identidades digitales nos permitirían crear el puente entre donde estamos ahora y donde queremos estar: Un futuro en el cual empresas y reguladores puedan entender el riesgo real de cada uno de sus clientes y sea posible cuantificar la confianza entre las partes. El resultado será un mercado en el cual las empresas podrán crear productos y servicios que satisfagan al consumidor, minimizando a su vez riesgos de seguridad. Es un mundo en cual la inclusión financiera es una realidad – no un ideal – y el acceso al capital se determina por un conjunto de factores integrales y no un informe crediticio.

Estos son los escenarios que se hacen posibles a través del uso de identidades digitales, y son el ideal por el cual trabajamos cada día en IdentityMind Global.

La conferencia K(NO)W Identity 2017 fue la confirmación de este ideal. Creando un espacio en el cual Agencias Gubernamentales, legisladores, ONGs y empresas privadas pudiesen colaborar, innovar y alcanzar un mejor entendimiento del concepto de identidad a nivel de diferentes industrias, sectores y productos.

El discurso de apertura fue una conversación entre Edward Snowden (ES) y Manoush Zomorodi (MZ), algo que nos tenía curiosos y a la expectativa. Durante la conversación se hizo hincapié en temas como las más recientes fallas de seguridad y filtración de datos personales, privacidad en el mundo digital, ciberseguridad y el significado de identidad en nuestros tiempos. Llegando al final de la conversación, la moderadora MZ hizo la siguiente pregunta:

 

MZ: “¿Considera que las políticas y regulaciones de KYC - Conozca a su Cliente son efectivas en prevenir el blanqueo de capitales e identificar delincuentes en las áreas de narcotráfico, la trata de personas y financiamiento del terrorismo?”
ES: “No, no lo son. Podrían ser de ayuda en algunos casos; pero las amenazas que nos desvelan, los peligros que realmente nos preocupan, esos no se verán retrasados por regulaciones y políticas en materia de KYC (Conoce a tu Cliente).”
 
 

Al día siguiente tuvimos la oportunidad de participar en un panel titulado “Cómo convertir tus procesos de manejo de riesgos y cumplimiento legal en una ventaja competitiva” y el moderador, Amit Sharma, retó a los participantes a compartir sus opiniones al respecto de la respuesta de Edward Snowden en materia de Conozca a su Cliente (KYC).

Incluso luego del panel, seguí pensando en estas preguntas, y aunque se que no hay una respuesta perfecta tampoco estoy de acuerdo con el argumento de que las regulaciones y políticas KYC son inútiles. Cabe acotar que durante la conferencia noté bastante desacuerdo al respecto del concepto de KYC: Conozca a su Cliente, su propósito, limitaciones y cómo se puede mejorar a través de una estrategia de identidades digitales.

Han pasado un poco más de dos semanas, y finalmente tengo la oportunidad de articular mejor mis ideas y compartirlas con ustedes. Mi objetivo no es convencerlos de nada. Más bien me gustaría desafiar un poco sus creencias respecto al KYC lo suficiente, como para que consideren que el problema no es el concepto, sino como las industrias reguladas lo han definido y aplicado. Se trata de convertir un reto en una oportunidad. O mejor dicho, en una ventaja competitiva.

Esta noción no es nueva, pero debido a la importancia de las regulaciones y políticas de KYC: Conozca a su Cliente – tanto desde el punto de vista de manejo de riesgos, como desde el de cumplimiento legal – se necesita planificar y ejecutar con precisión. Este artículo delinea los elementos que se deben tener en cuenta para ir de KYC a KYC 2.0, pero ya discutiremos esto más adelante. Por ahora, empecemos por definir que es KYC: Conozca a su cliente y su importancia.

 

KYC 1.0 – ¿Eres quién dices ser?

Llamamos KYC al conjunto de procedimientos de recolección de información que permite a los entes regulados identificar específicamente al cliente, y así generar un perfil integral de la persona física o moral para determinar su identidad real.

Aunque todos estamos familiarizados con el significado literal de KYC: Conozca a su Cliente, actualmente no hay una definición formal aceptada a nivel mundial, puesto que los requisitos varían dependiendo de la región. Sin embargo, todos estamos de acuerdo en que las Políticas de Identificación del Cliente son requisitos legales necesarios para el cumplimiento con las regulaciones para la Prevención de Lavado de Dinero.

En México, el marco legal alrededor de las políticas KYC: Conozca a su Cliente está contenido en la regulación emanada de la Secretaría de Hacienda y Crédito Público (SHCP), la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) y la Comisión Nacional Bancaria y de Valores (CNBV). Las cuales son consistentes con la guiatura de “Adecuada gestión de los riesgos relacionados con el blanqueo de capitales y la financiación del terrorismo” publicada por el Comité de Supervisión Bancaria de Basilea y las Recomendaciones GAFI.

Los requisitos específicos para cumplir con el marco regulatorio en México se encuentran en:

 

  • La Ley Federal para la Prevencion e Identificacion de Operaciones con Recursos de Procedencia Ilícita.
  • La Guia para la Elaboración de una Metodología de Evaluación de Riesgos en Materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo.
  • Las Disposiciones de Carácter General, apartados Identificación y Conocimiento del Cliente.

 

En términos generales, los programas de KYC: Conozca a su Cliente incluyen:

 

  1. Políticas de Identificación del Cliente – para determinar la identidad real de las personas.
  2. Políticas de Conocimiento del Cliente – para obtener clarificación acerca de las actividades económicas de las cuales se originan los fondos.
  3. Metodología de Evaluación de Riesgos – para clasificar el riesgo del cliente.
  4. Establecimiento de procesos de monitoreo, control y archivo, de la información y documentación obtenida durante el proceso de identificación y conocimiento del cliente.

 

De esta manera se hace evidente que KYC es una actividad continua. El objetivo, en primer lugar, es establecer un punto de referencia sobre la identidad del cliente, permitiendo al ente regulado predecir con cierto grado de certeza el comportamiento del cliente, y de esta manera discernir un comportamiento normal de uno sospechoso.

El responsable de diseñar e implementar el programa KYC es el Oficial de Cumplimiento. En la práctica, KYC ha sido reducido a validación de datos, lo cual es grave, especialmente en escenarios virtuales, puesto que:

 

  1. El auge de las fallas de seguridad y la filtración de datos personales.
  2. Las expectativas de los consumidores en términos de la inmediatez de los servicios. Previniendo asi políticas de KYC más rígidas, ya que hay una correlación negativa entre los puntos de fricción y la captación de clientes.
  3. Hasta ahora los auditores y supervisores se han enfocado en examinar la validación de datos, dando al público la impresión de que sólo esto es suficiente

 

Validación de Datos vs. KYC – ¿Cuál es la diferencia?

Validación de datos es el proceso por el cual se verifica la información suministrada por el cliente – vía documentos físicos o electrónicos – validando por medio de diferentes bases de datos para confirmar la consistencia de los diferentes detalles y atributos. La validación de datos ayuda a las organizaciones a prevenir que se incorporen como clientes a delincuentes usando identidades sintéticas.

 

data validation gov-1.png

 

Este proceso es necesario y fundamental, mas no es suficiente. La información que se valida puede ser obtenida fácilmente accediendo a la dark web. La misma proliferación de fallas de ciberseguridad y hackeos a bases de datos de información personal han convertido al robo de identidades en uno de los miedos más comunes en América.

El robo de identidades ha incrementado de manera alarmante en los últimos años debido a una conjunción de factores. Desde la perspectiva de fraude en línea, los dos más importantes son el cambio a tarjetas de chip EMV, así como nuestra creciente presencia en plataformas digitales. En el año 2016 hubo más de 15.4 Millones de víctimas de fraude de identidad en Estados Unidos, con pérdidas de $16 Billones de Dólares. Durante este año han habido mas the 676 fallas de ciberseguridad, exponiendo más de 10 Millones de expedientes, sólo en Estados Unidos - y éstas son sólo las fallas de las que tenemos conocimiento.

Es importante entender cómo estas fallas de ciberseguridad y filtración de documentos están relacionadas con nuestros procesos de prevención de fraude y lavado de dinero. Los hackers y delincuentes detrás de estos atentados no están coleccionando esta información por diversión. De hecho, el mercado negro para identidades robadas es inmenso, y los precios para comprar identidades varían entre $2 y $500 dólares cada una - dependiendo de la cantidad y calidad de la información.

El sólo hecho de que estos mercados existan hacen que procesos como la validación de datos sean inadecuados si se usan de manera aislada. Por lo que podemos concluir que la validación de datos es solo una pequeña pieza en el rompecabezas que es el KYC.

 

KYC en la Era Digital

En su mayoría, los requisitos y políticas de KYC vigentes fueron homologados cuando la identificación y verificación de la identidad del cliente se hacían de manera tradicional: cara a cara en una de las sucursales del ente regulado. Pero este ya no es el caso, pues hemos migrado a servicios e interacciones digitales para la adquisición de productos y servicios.

Hoy en día, es un reto adaptar estos requisitos a las expectativas de los clientes, a la experiencia del usuario, a los procesos internos del producto y a los nuevos modelos de negocio.

Pero ¿Cuál es el balance? Sabemos que un KYC efectivo y eficaz requiere más que validación de datos. Al mismo tiempo hay que tener en cuenta de que vivimos en la era de la satisfacción instantánea y menos de eso podría costar una reducción en el número de usuarios. No es secreto que los puntos de fricción durante la interacción de un usuario con una aplicación o servicio aumenta el abandono. A pesar de que el KYC es un requisito legal, el crecimiento de la cartera de clientes es una de las medidas más importantes en la valuación de un negocio.

En materia de servicios financieros en línea, la gente SÍ espera gratificación inmediata, y tú como ente regulado SÍ debes cumplir con los requisitos de la ley. Sin embargo, esto no significa que debas sacrificar algo en el proceso. Los acontecimientos más recientes en cuestiones de ciberseguridad han concientizado a la población, al punto en que los usuarios esperan medidas de seguridad más estrictas que los protejan de convertirse en las próximas víctimas de algún hacker. 

Los usuarios entienden la diferencia entre una aplicación de mensajería instantánea y una aplicación de banca digital. Este discernimiento los hace más tolerantes a medidas adicionales durante los procesos de identificación, verificación y autenticación; y eleva la confianza en el proveedor del producto o servicio. La confianza, aunque no es una métrica cuantificable, es de suma importancia para la estabilidad de cualquier empresa - especialmente en los sectores FinTech o Economía Compartida.

Reimaginando el KYC para la era digital, está claro que las estructuras aisladas, tanto de funciones de negocio como de información, deben cambiar. Un programa de KYC efectivo, que no perjudique la experiencia del usuario y que mejore la relación de confianza entre la empresa y el usuario, comienza con la cooperación entre los equipos de Gerencia de Producto, Cumplimiento y Manejo de Riesgos.

 

KYC 2.0

No los aburriré de nuevo con cuan anticuada es la regulación sobre KYC a nivel mundial, pero aún tomando en cuenta sus limitaciones, hay una característica que la redime: el enfoque basado en la clasificación de riesgos. Este enfoque crea el entorno ideal para suscitar la colaboración entre los Equipos de Producto, Cumplimiento y Manejo de Riesgos. El enfoque basado en riesgos, básicamente significa que las políticas y requisitos del KYC no son acerca de ir tachando elementos de una lista, así como tampoco hay un modelo universal que sirva para todas la compañías. Por el contrario, le da la libertad a cada empresa para que diseñe su propio programa de cumpliemiento, adecuado a sus niveles de tolerancia de riesgo.

Un programa de KYC 2.0 se construye sobre las bases del KYC tradicional, tomando en cuenta las necesidades regulatorias, de negocio, y de los usuarios. Además, da un paso adelante al transformar los Departamentos de Cumplimiento y Manejo de Riesgos a través de la implementación de una estrategia de identidades digitales, la cual fundamentalmente te ayudará a responder cuatro preguntas:

 

  • ¿Es esta una persona/entidad real?
  • ¿Esta autorizado el usuario a usar la información presentada?
  • ¿Puedes hacer negocios con esta persona/entidad?
  • ¿Cuál es el riesgo que hacer negocios con esta persona/entidad representa para la empresa?

 Puedes leer mas acerca de la evaluación de Identidades Digitales en esta guía:

Guía de Evaluación de Identidades Digitales (En Inglés)

 

Una estrategia de identidades digitales no solo te permitirá responder estas preguntas en tiempo real, también te ayudará a enfrentar los otros retos relacionados con el KYC desde las siguientes perspectivas:

 

  1. Puntos de Fricción en la Experiencia del Usuario: el nivel de riesgo de una persona física que está transfiriendo $100 dólares a un amigo para pagar la cuenta de una cena, no es el mismo que el de un negocio pidiendo un préstamo en línea de $15,000 de una empresa FinTech. El punto de este ejemplo es que no se puede tener el mismo proceso para incorporar a cada cliente nuevo, ni para validar a los usuarios al momento en que quieran utilizar el producto/servicio. Tener una estrategia de identidades digitales ofrece la ventaja de diseñar procesos de incorporación y autenticación de clientes que sean flexibles, y personalicen la experiencia del usuario al nivel de riesgo asociado con esa identidad digital o con esa transacción. Esto se puede lograr definiendo diferentes escenarios de KYC, los cuales están directamente asociados al nivel de riesgo, colocandose puntos de fricción solo cuando es necesario.
  2. Mercados Emergentes y Esquemas Demográficos: una de las grandes ventajas de las aplicaciones y negocios en línea es la posibilidad de crecer apuntando a mercados emergentes y otros sectores demográficos (aquellos excluidos del sistema financiero tradicional). Estos grupos comparten una característica particular: pareciera que no hay suficiente información acerca de ellos. Si bien es cierto que no tienen historia de crédito, o que no tienen documentos de identidad oficiales emitidos por el gobiernos, hay fuentes adicionales de información que podría permitir su identificación, verificación y autenticación usando la tecnología disponible. Las identidades digitales en este caso permitirán la creación de los procesos y modelos de riesgo ideales para verificar y autenticar a este grupo de usuarios potenciales. Permaneciendo, por supuesto, en cumplimiento con las regulaciones y requisitos aplicables.
  3. Costo: no es casualidad que haya dejado lo mejor para el final. El impacto de estas actividades en tus costos es uno de los factores más influyentes al momento de tomar una decisión. Sin un análisis de costos vs. beneficios no existe argumento comercial con el cual estar a favor - o en contra. Las actividades relacionadas con los procesos de KYC tradicional son costosas y poco eficientes. Es decir, los gastos fijos operativos por transacción pueden ser crecientes a un ritmo cada vez más alto. Con estos gastos me refiero a la recolección y almacenamiento de documentos físicos, revisiones manuales y la verificación de diferentes bases de datos para validar los atributos de una identidad en cada transacción - esto inclusive puede verse agravado si no se tienen establecidos diferentes modelos de riesgo asociados al programa de KYC [en el mismo contexto discutido en el punto número 1].

 

De nuevo, las regulaciones y guías sobre KYC no imponen modelos estáticos que todas las empresas deben implicar. Por el contrario, se espera que cada organización en particular tenga los modelos de riesgos apropiados para evaluar a cada cliente potencial en lo particular. La información que alimenta los modelos de análisis de riesgo varía de empresa a empresa, pero se puede dividir en tres categorías generales: productos, áreas geográficas y tipos de clientes. Queda en manos del Equipo de Cumplimiento y Manejo de Riesgos diseñar una metodología, en el marco de la estrategia de identidades digitales, que permita sacar provecho de tecnologías de aprendizaje automático para analizar los vínculos entre diferentes entidades (equipos, métodos de pago, usuarios, direcciones, correos electrónicos) y entender el riesgo de cada transacción. Al hacer esto, no solo quedaran satisfechos los requisitos legales de las políticas KYC, sino que además podrás personalizar la experiencia de cada usuario de acuerdo al riesgo que acarrean.

Antes de despedirnos, me gustaría volver a la pregunta original… ¿Son las políticas y regulaciones de KYC: Conozca a su cliente inútiles? - La respuesta es un NO rotundo si nos mantenemos fieles a la verdadera intención con la cual se crearon. Piensa en las cuatro preguntas que mencione anteriormente, más allá de cumplimiento y manejo de riesgos, la información que recibirás es sumamente valiosa para todas las funciones de una organización: para entender mejor el producto o servicio que se ofrecen, los sectores del mercado y como se puede mejorar el servicio a los usuarios. Esta informacion también permite incrementar exponencialmente la satisfacción de los clientes existentes, usando métodos de análisis predictivo para ofrecer productos/servicios relacionados, y análisis de comportamiento para protegerlos de fraude de identidad. Ahora, si seguimos usando KYC como un nombre rebuscado para referirnos al proceso de validación de datos, entonces si, es totalmente inútil.

 

Subscribe to Our Blog