Seleccionar página

EBA: nuevas directrices sobre soluciones de Onboarding Digital

por | Verificación de Identidad

La crisis sanitaria que vivimos en 2019 impulsó la transformación digital del sector financiero y la incorporación remota de clientes. Este cambio de paradigma llevó a la Comisión Europea (CE) a definir su Estrategia de Finanzas Digitales en 2020. Entre los principales puntos que perseguía este plan se encontraban la creación de una economía basada en datos y la apuesta por un mercado único digital de servicios financieros. Para ello, era necesario un pronunciamiento sobre nuevas directrices de la EBA (European Banking Authority) sobre verificación, identificación y onboarding digital.

La CE con el fin de abordar la fragmentación regulatoria que existía en el mercado pidió a la EBA que se pronunciara sobre la aplicación de las normas contra el blanqueo de capitales y la financiación del terrorismo (LA/FT) en los procesos de onboarding digital de clientes. LA CE exigió este pronunciamiento porque consideraba que las normas de debida diligencia de la Directiva (UE) 2015/849 no dejaban claro lo que estaba o no permitido en el alta de clientes en remoto.

En respuesta a la petición de la CE y teniendo en cuenta el principio de neutralidad tecnológica se publican nuevas directrices de la EBA sobre onboarding digital.

¿Qué persiguen las directrices de la EBA sobre onboarding digital y cuándo entrarán en vigor?

Las directrices de la EBA sobre onboarding digital tienen como objetivo establecer un marco europeo unificado para el desarrollo e implementación de procesos de debida diligencia (DDC) en el ámbito financiero. Esto implica que buscan estandarizar y armonizar los procedimientos utilizados por las instituciones financieras y de crédito en toda la Unión Europea para verificar la identidad y evaluar el riesgo de sus clientes al llevar a cabo actividades como la apertura de cuentas digitales.

Estas directrices también tienen la intención de proporcionar orientación sobre la selección de soluciones que garanticen un onboarding seguro y eficaz. El onboarding, por ejemplo, se incluye en los procesos de apertura de cuentas digitales.

Esto implica que se busca asistir a las instituciones en la elección de herramientas y tecnologías que cumplan con los estándares de seguridad y protección de datos necesarios para llevar a cabo este proceso de manera confiable.

las nuevas directrices sobre onboarding digital de la EBA son obligatorias para las entidades financieras

Además, la EBA busca que las entidades conozcan las capacidades que tienen las soluciones de incorporación digital de clientes y crear consciencia sobre los riesgos inherentes a la adopción de este tipo de soluciones como es el fraude por suplantación de identidad.

Estas medidas fueron anunciadas por la autoridad bancaria el 22 de noviembre de 2022. Posteriormente, la traducción de las pautas a todas las lenguas oficiales de la Unión Europea tuvo lugar en marzo de 2023. Según la normativa establecida, las directrices deben entrar en vigor seis meses después de la fecha de traducción.

En consecuencia, las directrices sobre onboarding digital de la EBA son de aplicación obligatoria a partir del 2 de octubre de 2023. A partir de esta fecha, las instituciones financieras y de crédito están obligadas a implementar y cumplir con estos estándares para llevar a cabo procesos de incorporación digital de clientes de manera segura y eficiente.

 

¿Quiénes son los destinatarios según la EBA?

Los destinatarios de estas directrices son las autoridades competentes y los operadores del sector financiero, en otras palabras, las entidades financieras y de crédito. Más concretamente:

Se entiende por autoridades competentes a las agencias o instituciones encargadas de supervisar y regular el sector financiero en los países miembros de la Unión Europea. Estas autoridades tienen la responsabilidad de garantizar el cumplimiento de las regulaciones y normativas establecidas en el ámbito financiero, y están encargadas de supervisar las actividades de las entidades financieras y de crédito.

Y por operadores del sector financiero a las instituciones financieras y de crédito. Estas entidades incluyen bancos y otras compañías que participan en actividades financieras y de préstamo. Son las instituciones que ofrecen servicios y productos financieros a los consumidores y empresas.

 

 

Descarga nuestro dosier sobre el sector financiero

 ¿Cuáles son las nuevas directrices de la EBA sobre onboarding digital?

 

Las directrices sobre onboarding digital de la EBA aplicables a las entidades del sector financiero son seis. Estas medidas hacen referencia a las políticas y a los procedimientos internos, al análisis de la solución, a la recopilación de información, a la coincidencia de la identidad del cliente, a la externalización y a los riesgos tecnológicos y de seguridad.

A continuación, se abordan cada una de ellas con el objetivo de conocer su alcance y facilitar su comprensión.

 

Políticas y procedimientos internos

Esta directriz persigue que las instituciones establezcan y mantengan políticas y procedimientos que tengan en cuenta el riesgo asociado a los procesos de incorporación del usuario en remoto y que al menos:

  • Describan de manera genérica la solución de Onboarding Digital que se va a utilizar. A su vez, que se específiquen sus características y su modo de funcionamiento.
  • Determinen las situaciones en las que se va a utilizar, la categoría de clientes y los productos y servicios a los que se va a aplicar.
  • Especifiquen los pasos que están automatizados y los que no.
  • Establezcan controles para asegurar que la primera transacción que va a realizar un nuevo cliente solo comience cuando se hayan aplicado medidas iniciales de DDC.
  • Recojan programas de formación continua. De este modo, los empleados podrán conocer el funcionamiento de la solución y las herramientas que necesitan para responder ante posibles riesgos. Por ejemplo, en los casos en los que se debe aplicar la video identificación con revisión del proceso por parte de agentes para cumplir con el SEPBLAC, que esos agentes reciban la formación específica para llevar a cabo este examen.  

 

¿A qué obliga esta directriz?

Esta directriz obliga a evaluar la solución antes de su implementación. El objetivo de esta evaluación es comprobar si puede garantizar la integridad y la exactitud de los datos y documentos a recopilar y la fiabilidad e independencia de las fuentes de información que use. 

Además, esta evaluación debe incluir pruebas sobre el funcionamiento de la solución, pruebas para evaluar riesgos de seguridad y posibles fraudes de identidad como deepfakes y fraudes de identidad sintética y medidas correctivas para casos de fraude.

Otro de los puntos que pone de manifiesto la EBA es que se deben llevar a cabo revisiones periódicas de la solución de onboarding digital KYC. Estos checks deben realizarse sobre todo cuando aparezcan deficiencias en el funcionamiento de la tecnología. También cuando se produzca un incremento de los intentos de fraude, cuando exista una mayor exposición a riesgos de LA/FT o cuando afloren cambios normativos que afecten a este tipo de soluciones. 

La supervisión debe incluir también pruebas que aseguren la calidad de las soluciones, alertas y notificaciones de situaciones críticas, reportes regulares, pruebas de muestras y revisiones manuales. 

Las instituciones del sector financiero deben demostrar ante la autoridad competente las revisiones y evaluaciones que llevaron a cabo y en su caso, mostrar el resultado obtenido.  

 

Adquisición de información del nuevo cliente

La segunda directriz establece que las instituciones deben contar con políticas y procedimientos que permitan la correcta identificación del cliente y que al menos:

    • Recojan la información necesaria para identificar al cliente, los tipos de documentos y los datos para verificar su identidad. 
    • Acrediten que la información que se obtiene del cliente esté actualizada y cumple con las obligaciones de debida diligencia. 
    • Aseguren que las fotografías, videos, datos y sonido estén en un formato legible y tengan la calidad suficiente para reconocer al cliente de manera fiable.
    • Garanticen que el proceso no continuará si se detectan fallos técnicos o si aparecen problemas de conexión.
    • Determinen qué datos se capturan de manera automática. También cuáles de esos datos son los que el cliente tiene que introducir de forma manual y cuáles se obtienen de otras fuentes.
    • Aseguren la conservación y el sellado con fecha y hora de los documentos y de la información que se obtiene en el proceso de alta de clientes. El periodo de conservación es de 5 años desde que la entidad haya finalizado las relaciones con su cliente.
¿A qué más obliga esta medida dentro del esquema de las directrices sobre onboarding digital de la EBA?

Esta directriz también obliga a las instituciones a establecer y mantener mecanismos que garanticen que la información que capturan sea fiable. Esto incluye controlar cualquier escenario de riesgo asociado a la recolección de datos. Este control incluye supervisar si se ocultan o modifican la ubicación de los dispositivos móviles, la suplantación de direcciones IP y, en general, cualquier servicio que pueda modificar la información del cliente, como por ejemplo, las redes privadas virtuales (VPN).

Autenticidad e integridad del documento

La tercera directriz hace referencia a la documentación que pueden aceptar las entidades financieras en sus procesos de onboarding digital. En concreto, a las medidas que deben aplicar cuando acepten reproducciones de documentos originales y no examinen los genuinos. De este modo deben revisar: 

  • La existencia y fiabilidad de posibles elementos de seguridad incrustados en el documento. También se debe revisar la validez de las especificaciones del documento original como pueden ser el tipo de DNI, el tamaño de caracteres o la estructura contra bases de datos oficiales.
  • Si los datos o la fotografía han sido alterados o modificados.
  • Si el número de identificación único del documento debe tener integridad según su algoritmo generador. Esta integridad debe comprobarse en el caso de ser un documento oficial como el pasaporte emitido con zona de lectura mecánica (MRZ).
  • Si la reproducción proporcionada tiene la suficiente calidad para asegurar que la información es inequívoca.
  • Si la reproducción del documento ha sido obtenida a partir de una fotografía o escaneada del documento original.

Además de las medidas anteriores, las entidades deben verificar durante el proceso los elementos de seguridad incrustados en el documento de identidad (hologramas). 

 

Coincidencia de la identidad del cliente

Las entidades financieras y de crédito deben implementar soluciones de onboarding que garanticen la coincidencia entre la información visible del nuevo usuario y la documentación aportada al proceso de verificación de identidad. Por ejemplo, en los casos en los que este proceso utilice métodos de identificación biométrica, el selfie de la persona que presenta el DNI debe coincidir con la fotografía del documento. Para asegurar que los datos biométricos son únicos y están vinculados a una sola persona las instituciones deben contar con algoritmos de reconocimiento facial sólidos como los de Mobbeel.

Esta directriz introduce diferentes medidas en función de si el proceso de verificación se lleva a cabo con o sin la intervención de un agente. 

Procesos de onboarding atendidos y desatendidos
Proceso de verificación atendido respondiendo a las nuevas directrices de la EBA sobre onboarding digital

 

  • En los procesos de onboarding digital atendidos, las entidades deben garantizar que el agente conoce la normativa AML/CFT y que está lo suficientemente preparado como para prevenir y detectar casos de fraudes. A su vez, deben contar con una guía de entrevista que recoja los pasos posteriores del proceso y las acciones requeridas del agente. Además, esta guía debe incluir orientaciones para identificar posibles comportamientos sospechosos durante el proceso de verificación. 

Proceso de verificación desatendido para cumplir con las nuevas directrices de la EBA sobre onboarding digital

 

  • Mientras que en los procesos de onboarding desatendidos, las entidades deben asegurar que las fotos y videos que se tomen tengan la iluminación adecuada y garantizar la presencia del usuario durante el proceso. Por ejemplo, la detección de actividad o prueba de vida puede justificarse pidiendo al usuario que realice una acción determinada -movimiento de cabeza de lado a lado durante la fase de reconocimiento facial.

Independientemente de si el proceso de verificación es asistido o desasistido, la EBA recomienda que la secuencia de acciones del proceso no sea siempre la misma con el fin de evitar el uso de identidades sintéticas.

Controles adicionales para evitar el uso de identidades falsas

Otra forma de evitar el uso de este tipo de identidades es aplicando controles adicionales. Estos controles pueden ser:

  • Realizar un pago en una cuenta a nombre del nuevo cliente en un banco que esté dentro del Espacio Económico Europeo (EEE). Este pago también puede realizarse en una entidad bancaria que esté fuera del EEE, pero que cumpla con la normativa AML/CFT. 
  • Enviar una OTP a la persona que realiza el proceso para confirmar que está presente. 
  • Capturar datos biométricos para compararlos con datos obtenidos de otras fuentes.
  • Realizar una llamada con el usuario.
  • Enviar un correo electrónico o una carta al cliente. 

Dependencia de terceros y subcontratación del proceso de verificación

Las instituciones financieras y de crédito deben incluir en sus políticas y especificaciones qué funcionalidades de incorporacion remota de clientes llevan o llevarán a cabo, tanto a nivel interno como subcontratadas a un proveedor de servicios.

pin   Puedes consultar las directrices de la EBA sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (EBA/GL/2021/02), sobre externalización (EBA/GL/2019/02) para procesos externalizados y sobre sobre el uso de soluciones de alta de clientes a distancia (EBA/GL/2022/15) con arreglo al artículo 13, apartado 1, de la Directiva (UE) 2015/849. 

 

Gestión de riesgos de seguridad

Las entidades deben identificar y gestionar los riesgos relativos a la seguridad del proceso incluso cuando el proceso de onboarding lo realice un tercero o se haya subcontratado.

Para salvaguardar la confidencialidad, la autenticidad y la integridad de los datos intercambiados, se deben utilizar algoritmos criptográficos y protocolos de comunicación seguros de acuerdo con los estándares de buenas prácticas de la industria.

Al mismo tiempo, las entidades deben proporcionar un punto de acceso seguro, basado en certificados cualificados para sellos electrónicos, para iniciar el proceso de onboarding. Deben también informar a los usuarios sobre las medidas de seguridad adicionales que deben tomar para garantizar un uso seguro del sistema.

En el caso de hacer un uso de un dispositivo multipropósito (como, por ejemplo, un smartphone), se debe garantizar que la ejecución del código software en el lado del cliente se realice en un entorno seguro. Además, se deberán implementar medidas de control adicionales para garantizar la seguridad, la fiabilidad del código y la veracidad de los datos recopilados.

¿Cómo puede ayudarte MobbScan a cumplir con las directrices de la EBA sobre onboarding digital?

MobbScan es nuestra solución de onboarding digital diseñada para entidades financieras y de crédito. Despliega un conjunto de herramientas avanzadas que facilitan el proceso de incorporación de clientes de acuerdo con las directrices de la EBA sobre onboarding digital.

Nuestra plataforma ofrece la capacidad de escanear documentos de identidad tanto desde dispositivos móviles como a través de un canal web. Este escaneo permite la extracción precisa de información vital mediante tecnologías como el reconocimiento óptico de caracteres (OCR) y Near Field Communication (NFC). Además, MobbScan verifica la autenticidad de los documentos presentados, asegurando que no hayan sido alterados o falsificados.

La solución va más allá al validar la identidad de la persona que presenta el documento, garantizando que el proceso de apertura de cuentas se realice con la máxima seguridad y precisión. Ofrece flexibilidad al permitir tanto la video identificación atendida como la desatendida, adaptándose a las preferencias y necesidades específicas de las instituciones.

Adicionalmente, MobbScan incorpora una función de prueba de vida, ya sea activa o pasiva, para detectar cualquier intento de suplantación de identidad o actividad fraudulenta.

Es importante destacar que el proceso de incorporación de clientes en remoto a través de MobbScan cumple rigurosamente con las regulaciones de la EBA en materia de onboarding digital, así como con las normativas de prevención del blanqueo de capitales y financiación del terrorismo. En consecuencia, MobbScan se presenta como una herramienta esencial que garantiza la autenticidad y veracidad de los documentos, así como la identidad de los clientes, cumpliendo con las directrices establecidas por la EBA para la incorporación digital de clientes de manera segura y efectiva.

¿Quieres cumplir con las nuevas directrices de la EBA sobre onboarding digital y no sabes cómo? Contacta con nuestro equipo de expertos.

WEBINAR

EBA al descubierto: Comprendiendo el futuro del onboarding digital

Únete a nosotros en un recorrido por las nuevas directrices de la EBA en materia de onboarding digital y descubre si tu proceso de alta de clientes digitales cumple con los requisitos que exige la EBA en su nueva directiva.

DOSIER PRODUCTO

Descubre nuestra solución de verificación de identidad

Verifica la identidad de tus clientes en segundos a través del escaneo y validación de documentos de identidad y matching biométrico facial con prueba de vida. 

El futuro del Onboarding Digital
WEBINAR + REGALO