Fintechs tendrán que clasificar a sus clientes según grado de riesgo

Como medida para prevenir el lavado de dinero y el financiamiento al terrorismo, las Instituciones de Tecnología Financiera (Fintech) tendrán que clasificar a sus clientes por Grado de Riesgo, para lo cual deberán considerar factores como los antecedentes del cliente, el tipo de persona, su fecha de nacimiento o constitución, en caso de que se trate de una persona moral, el giro o actividad en el que se desempeñen, su nacionalidad y lugar de residencia, sus fuentes de ingreso, así como la naturaleza y el propósito de la relación que tenga con la institución.

De acuerdo con el Artículo 31 del Proyecto de Disposiciones de Carácter General en Materia de Prevención de Lavado de Dinero y Financiamiento al Terrorismo al que se refiere el artículo 58 de la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech), estas instituciones deberán también considerar detalles de las transacciones del cliente, como el tipo y número de servicios contratados, el volumen en número, monto y frecuencia de las operaciones, el origen y destino de los recursos transaccionados, el instrumento monetario utilizado y el tipo de moneda, según sea el caso.

Una Institución de Tecnología Financiera o fintech es es una compañía que ofrece servicios financieros usando como herramientas las tecnologías de la información y comunicación, como sitios web, las redes sociales y las aplicaciones para todo tipo de dispositivos.

El documento, del que El Economista tiene copia, fue puesto a consulta de los participantes del sector fintech en México por parte de la Secretaría de Hacienda y estos tendrán que presentar sus observaciones a más tardar este 31 de julio. Incluye los lineamientos que tendrán que seguir las empresas de financiamiento colectivo (crowdfunding), las instituciones de fondos de pagos electrónicos, aquellas que utilicen activos virtuales (criptomonedas) y las que entren en el esquema de modelos novedosos para prevenir la comisión de los delitos previstos en los artículos 139 Quáter y 400 Bis del Código Penal Federal, relativos al uso de recursos de procedencia ilícita y al financiamiento del terrorismo. 

De quedar tal y como está el proyecto y según el Capítulo II, las fintech deberán considerar la información que proporcione cada uno de sus clientes, “al menos durante los primeros seis meses siguientes al inicio de la relación comercial”, con el fin de determinar su grado de riesgo inicial. Cada seis meses, las fintech tendrán que llevar a cabo la evaluación del grado de Riesgo para determinar si es necesario cambiar a sus clientes de clasificación. “La frecuencia de la evaluación deberá ser mayor cuando la clasificación del grado de riesgo también lo sea”, refiere.

Las disposiciones dejan a criterio de cada fintech la creación de la clasificación que deberán establecer para determinar el grado de riesgo de sus clientes. El proyecto de regulación refiere que deberán establecerse al menos tres grados: riesgo bajo, medio y alto y que podrán integrarse tantos grados intermedios “como consideren necesario”. Será el Comité de Comunicación y Control de las fintech el que establezca y difunda los criterios para clasificar a sus clientes según su grado de riesgo.

Esta clasificación según el grado de riesgos es aplicada con ciertas diferencias en las entidades financieras tradicionales, como los bancos y las casas de Bolsa, de acuerdo con la normatividad vigente.

Identificación, base de enfoque de riesgos

La clasificación del grado de riesgos de los clientes deberá estar basada en una metodología de evaluación de aquellos riesgos que puedan impactar a la fintech.

De acuerdo con Carlos Valderrama, socio director del despacho especializado en Regulación Tecnológica (RegTech) y tecnologías emergentes Legal Paradox, dicha metodología tiene el objetivo de identificar aquellos elementos e indicadores de riesgos para las fintech, por ejemplo los que se derivan de sus “productos y servicios, tipos de clientes, países o áreas geográficas, transacciones y canales de envío o distribución”. 

La metodología también busca identificar mitigantes de riesgos que hayan sido implementadas en la fintech y tendrá que ser integrada en su Manual de Cumplimiento, el cual deberá incluir además las políticas de identificación y conocimiento del cliente. Esto tiene sentido debido a que las disposiciones abordan un enfoque basado en riesgos, el cual hace de la plena identificación del cliente y de la automatización de procesos elementos cruciales para prevenir el lavado de dinero y el financiamiento de actividades terroristas.

Basta observar que, según las disposiciones, mientras mayor es el grado de riesgo de un cliente en particular, la institución de tecnología tendrá que solicitar más información para poder seguir brindándole sus servicios. Por ejemplo, cuando un cliente es una persona moral de nacionalidad mexicana y tiene “un Grado (de riesgo) distinto al bajo”, la fintech tendrá que recabar información sobre su estructura corporativa interna, “con al menos el nombre y cargo del director general, la jerarquía inferior a aquel y los miembros de su consejo de administración o administrador único”.   

En el extremo opuesto, aquellas sociedades, dependencias y entidades que sean clasificadas como clientes con un grado de riesgo bajo podrán quedar exentas de realizar una entrevista con un cliente si es que están autorizadas para manejar recursos en efectivo, con activos virtuales y transferencias internacionales de fondos de pago electrónico, además de que se les podrán aplicar medidas simplificadas de identificación.

El proyecto sostiene que las fintech tendrán que elaborar “un documento de políticas de identificación y conocimiento de su cliente” además de establecer los criterios, medidas y procedimientos internos para identificar y mitigar los riesgos a los que se encuentran expuestas en materia de lavado de dinero y financiamiento al terrorismo, lo que deberá ser entregado a la Comisión Nacional Bancaria y de Valores.          

Según el artículo 11 del proyecto, antes de que se celebre un contrato, se preste un servicio o se realice una operación, las fintech estarán obligadas a integrar un expediente que identifique plenamente al cliente en cuestión.

El expediente contendrá información del cliente como el nombre, el género, la fecha de nacimiento, la entidad federativa de nacimiento y el país, la nacionalidad, su CURP, datos sobre su domicilio, clave de elector, firma autógrafa digitalizada, número telefónico, el número de cuenta de la entidad financiera nacional o extranjera autorizada para recibir depósitos, correo electrónico, la manifestación de la persona física de que actúa por cuenta propia y el documento oficial usado para validar todos los datos anteriormente mencionados en formato digital.   

En el expediente las fintech tienen también abierta la opción de requerir a sus clientes la geolocalización del smartphone, tableta o cualquier otro dispositivo móvil desde el que se celebre el contrato o se abra una cuenta.

Al respecto, Valderrama explica que la geolocalización puede ser usada para integrar el expediente que conforme a las políticas de identificación las ITF deben tener de cada uno de sus clientes y que su uso es optativo.

“Desde la perspectiva legal, considerando que la geolocalización esté asociada a un cliente persona física, será necesario que el Aviso de Privacidad de la ITF, así como sus manuales para el tratamiento de datos personales recabados, prevea que la ITF recaba la geolocalización de la persona que realiza el trámite, las finalidades que se darán a dicha información, así como las transferencias que podrán realizarse de la misma”.

Sistemas automatizados de reporte

Para tratar la información de sus clientes y sus operaciones las fintech deberán contar con sistemas automatizados que permitan consultar, conservar, actualizar y validar los datos que consten en el expediente de cada cliente. Según el documento, dichos sistemas deben permitir también deben garantizar la trazabilidad y certeza del origen y destino de los activos virtuales con los que operen; clasificar los tipos de operaciones, productos o servicios que ofrezcan a los clientes, con el fin de detectar posibles operaciones inusuales.

Además, deben servir para generar y transmitir de forma segura a la Secretaría de Hacienda, por conducto de la Comisión Nacional Bancaria y de Valores, los reportes de operaciones relevantes, operaciones inusuales, operaciones con activos virtuales y de transferencias internacionales de fondos de pago electrónico.

En este sentido, de acuerdo con Carlos Valderrama, será clave el análisis y la diseminación que haga la Unidad de Inteligencia Financiera de la secretaría de la información que reciba de las fintech, para lo cual cobra especial relevancia soluciones de SupTech.

“SupTech es el conjunto de innovación y soluciones tecnológicas aplicadas a la supervisión de las autoridades financieras, en donde la Unidad de Inteligencia Financiera podría establecer procesos de Data-pull, es decir que la UIF se conecte de manera directa, vía APIs (Interfaces de Programación), a los Sistemas de Información Tecnológicos de las ITF (Instituciones de Tecnología Financiera”) a fin de obtener en tiempo real todas aquellas transacciones que superen lo establecido por la norma. Después almacenar dicha información en la nube, para finalmente emplear procesos de Data Analytics. Lo anterior podría reducir el análisis de información fina de alrededor de 3 años a minutos”, dijo.  

El proyecto que fue puesto a consulta del sector aborda también las transferencias al extranjero y con clientes del extranjero; la capacitación para todos los miembros de la fintech sobre lavado de dinero y financiamiento al terrorismo; la existencia de un auditor interno o tercero independiente que mida la efectividad del cumplimiento de estas disposiciones; así como de un oficial de cumplimiento, “además de que se requiere prever la posibilidad legal del intercambio de información entre ITF, otras Entidades Financieras y sujetos obligados, así como la coordinación entre autoridades”, refiere.

De acuerdo con Valderrama, para implementar lo dispuesto por la regulación en materia de prevención de lavado de dinero y financiamiento al terrorismo, las fintech deben principalmente contratar a un Oficial de Cumplimiento Certificado y buscar la asesoría de despachos especializados como Legal Paradox.

“Las obligaciones en materia de PLD/FT, no son obligaciones que deben tomarse a la ligera, ya que el incumplimiento de las medidas correspondientes es considerado por la Ley FinTech como una conducta grave que puede generar responsabilidades importantes como multas del 10 al 100% de las operaciones realizadas”, dijo.

rodrigo.riquelme@eleconomista.mx