Resumen
- GAFI ha publicado un documento en el que señala la importancia de compartir información entre entidades financieras para combatir efectivamente los delitos financieros.
- En este reporte hace énfasis en los retos que pueden existir al tomar en consideración la debida protección de la privacidad de los datos y los diferentes ordenamientos que existen en la materia.
- Una entidad financiera, de forma aislada, tiene una visión muy parcial de las operaciones que un cliente realiza. Esta falla de información es aprovechada por los criminales para enmascarar operaciones.
- GAFI señala que, usando análisis de datos de manera colaborativa, compartiendo datos o bien utilizando otras iniciativas de cooperación en maneras responsables, las entidades financieras pueden construir una visión más clara de las transacciones financieras, que les permita evaluar y mitigar los riesgos de lavado de dinero y financiamiento al terrorismo.
- Dado que el uso y recolección de datos personales para este tipo de análisis puede motivar preocupaciones sobre la protección y privacidad en el uso de los datos, en este artículo se señala que es muy importante respetar estás preocupaciones siguiendo la normatividad aplicable en cada jurisdicción.
- En este artículo se presentan experiencias de diferentes países que pueden ser ejemplos útiles sobre el uso compartido de la información.
Puntos más relevantes de la nota
GAFI publicó en Julio un reporte en el que se señala la importancia de compartir información entre entidades financieras para generar una mejor visión de las transacciones y poder mitigar de mejor manera los riesgos de LD/FT.
En su análisis, GAFI señala que es de gran importancia respetar los temas de privacidad y protección de la información personal. Por lo anterior será necesario que, al diseñar cualquier esquema de colaboración entre entidades financieras para compartir datos, se tomen en cuenta todas las regulaciones aplicables en materia de privacidad de la información y protección de datos.
Recientemente el grupo Wolfsberg publicó un artículo en un sentido parecido, señalando la importancia de las alianzas público-privadas para establecer una mejor colaboración en la lucha contra el lavado de dinero.
En esta nota GAFI va más allá, señalando con ejemplos concretos y casos de estudio, cuáles pueden ser algunas formas para que las entidades financieras colaboren entre ellas, siempre respetando la privacidad de la información y teniendo en cuenta la opinión de las autoridades en la materia.
En la nota se hace un resumen sobre la importancia de seguir las 40 Recomendaciones y se señala como en ellas, se describen las obligaciones de solicitar información a los clientes y de emitir en su caso los reportes de operaciones inusuales pertinentes. Las recomendaciones también señalan cuándo es necesario compartir información entre entidades financieras privadas, por ejemplo, en el contexto de bancos corresponsales o bien cuando se realizan transferencias internacionales de dinero.
El reporte señala de manera particular algunas circunstancias en las que sería muy provechoso el que entidades financieras privadas compartieran información.
Algunas de estas circunstancias son:
- Identificación y verificación de los clientes. Para verificar la identidad de los clientes, para identificar si dichos clientes han generado alertas previamente y para verificar el grado de riesgo de los clientes.
- Monitoreo de transacciones. Para detectar un posible enmascaramiento o estratificación de operaciones, dando seguimiento a una posible actividad sospechosa en diferentes entidades financieras.
- Verificación del régimen de sanciones. Para verificar contra listas de las Naciones Unidas o bien otras listas negras, si los clientes se encuentran incluidos en ellas.
- Mejor entendimiento del grado de riesgo del cliente durante la relación de negocios. Para mantener actualizada la información con los clientes e identificar riesgos que pudieran detectarse cuando un mismo cliente se da de alta en diferentes entidades.
- Identificar al dueño beneficiario. Compartir información entre entidades puede ayudar a identificar de mejor manera a dueños beneficiarios entre diferentes instituciones. Puede ayudar también a identificar a empresas fachada.
- Identificación de nuevas tipologías. Compartir información puede ayudar a identificar ágilmente y con mayor precisión tipologías criminales que vayan surgiendo y permitir implementar las medidas de protección adecuadas.
- Análisis preciso de información. Al compartir información se puede proactivamente realizar análisis para detectar potenciales transacciones sospechosas que ayuden a la Unidad de Inteligencia Financiera de cada jurisdicción en sus investigaciones.
Privacidad y Protección de Datos Personales
GAFI dedica una sección de su reporte para destacar la importancia de mantener la debida privacidad y protección de datos personales. En la nota se señalan los diferentes ordenamientos a nivel internacional que definen este derecho a la privacidad de la información personal.
Destaca algunos principios generales que autoridades responsables de la protección de datos en diferentes países siguen por lo general.
Estos principios son:
- Tipos de datos. Generalmente la protección de datos aplica a información personal referente a personas físicas.
- Requisito legal. Por lo general se necesita de un fundamento legal para poder utilizar y procesar información personal.
- Propósito legítimo. Los datos personales deben ser utilizados exclusivamente para usos determinados marcados por la ley. Su uso no debe apartarse de esos propósitos.
- Uso estrictamente necesario y proporcional. Aún en lugares en donde existe un marco jurídico para procesar datos personales, es necesario cumplir con requisitos de proporcionalidad y uso estrictamente necesario. Esto significa que solamente se deberá utilizar la información personal para un fin acotado y solamente será retenida por un periodo determinado de tiempo.
- Integridad de la información. Los datos personales deberán ser almacenados de forma que se mantenga la integridad de la información.
- Buen uso de la información. El procesamiento de la información debe ser justo y apegado a la ley. Las decisiones que se tomen con base en esta información procesada no deben de basarse únicamente en procesos automatizados, sino que deben incluir el trabajo de analistas.
- Transparencia. Las personas físicas deben ser informadas de cómo y por quién serán utilizados sus datos personales.
- Transferencia de la información. Es posible que sea necesario informar al cliente de cualquier transferencia de información entre entidades, incluso es posible que sea necesario solicitar su autorización previa.
- Seguridad de la información. Los datos personales deben ser procesados utilizando todas las medidas para proteger su integridad y evitar el mal uso de la información.
- Derechos sobre la información. El individuo debe tener siempre la posibilidad de requerir corrección a los datos que las entidades usen y conserven.
Ejemplos y casos de éxito
A continuación, se resumen algunos de los casos de éxito y experiencias internacionales que GAFI y cita en su artículo.
Programa Piloto de tres bancos en Reino Unido
En este caso, 3 bancos de Reino Unido, una firma de consultoría, así como un habilitador tecnológico formaron el piloto.
El objetivo de este caso piloto era mejorar la detección de transacciones inusuales que pudieran indicar lavado de dinero o financiamiento al terrorismo.
El caso piloto utilizó información anónima de transacciones históricas de poco más de un año, solamente de empresas (pequeñas a medianas).
Cuando uno de los bancos participantes detectaba operaciones inusuales o patrones de alto riesgo, el conjunto de bancos compartía información disponible para ampliar sus investigaciones.
Este programa piloto utilizó una plataforma tecnológica para compartir información que revisaba y eliminaba posibles duplicados señalando operaciones potencialmente sospechosas para ser investigadas.
Entre los resultados obtenidos se demostró que era posible identificar automáticamente en esta plataforma tecnológica y base de datos compartida operaciones potencialmente sospechosas. Sin embargo, estas operaciones eran explicables en muchos casos. Lo anterior sugiere que es necesario alimentar más información a la plataforma tecnológica para hacer una mejor detección de operaciones sospechosas.
Caso Piloto: Singapur y la plataforma COSMIC
La autoridad monetaria de Singapur (AMS) es dueña y ópera una plataforma digital segura llamada COSMIC. Esta plataforma es una iniciativa para compartir información, descubrir riesgos y analizar datos de manera colaborativa.
Actualmente las instituciones financieras en Singapur no tienen permitido advertirse entre ellas acerca de actividad potencialmente sospechosa que involucre a sus clientes. Lo anterior se debe principalmente a preocupaciones acerca de seguridad y privacidad de la información. Los criminales han explotado esta debilidad en el sistema.
AMS está desarrollando la plataforma COSMIC junto con la policía de Singapur y seis de los principales bancos del país, que serán los primeros usuarios.
AMS será el integrador de la plataforma, así como el supervisor, para asegurar que las entidades financieras la utilicen apropiadamente.
La Unidad de Inteligencia Financiera de Singapur tendrá acceso directo a la plataforma y utilizará la información obtenida para generar su propio análisis.
En la fase inicial compartir información en la plataforma COSMIC no será obligatorio. Más adelante la autoridad espera que la información sea compartida de forma obligatoria por todas las entidades financieras.
Los participantes en este programa piloto deberán compartir información utilizando formatos predefinidos que incluyen lo siguiente:
- Alertas encontradas y descripción del riesgo.
- Perfil básico del cliente.
- Tipo de cuenta en la institución.
- Detalles de la transacción.
- Motivos por los cual es el cliente ha sido puesto en una lista de alertas.
Las entidades financieras participantes y sus funcionarios no tendrán permitido el revelar ninguna información obtenida de la plataforma COSMIC a nadie, con la excepción de los escenarios expresamente señalados en la legislación aplicable.
Las entidades financieras participantes deberán de mantener toda la información bajo estrictas medidas de seguridad para prevenir la pérdida de confidencialidad.
Caso Holandés: Compartiendo información para el monitoreo transaccional
TMNL (Transactie Monitoring Nederland) es una iniciativa de 5 bancos holandeses que busca lograr un monitoreo más rápido y más que efectivo de las transacciones. Con ello busca robustecer el papel de los bancos como primera barrera para cuidar el sistema financiero.
El plan de largo plazo es crear una plataforma que abarque todas las entidades financieras para el monitoreo de transacciones.
Iniciada en julio de 2020 te TMNL opera en una versión mínima, siendo el objetivo mejorar la detección de actividades de lavado de dinero mediante la identificación de patrones de transacciones que los bancos no pueden identificar de manera aislada e individual. Por el momento, solamente se realiza el monitoreo para personas morales.
Esta prueba piloto funciona de la siguiente forma: los bancos preparan la información de las transacciones para ser compartida y la envían de forma anónima (es decir: eliminando datos privados de las transacciones) a la plataforma de TMNL. TMNL utiliza esta información para alimentar sus modelos de análisis y devuelve las alertas relevantes a cada una de las entidades financieras. Las entidades serán responsables de hacer una investigación más a fondo y de alertar a las autoridades en su caso.
Para lograr una operación completa de este esquema, los ministerios de finanzas y justicia de Holanda están preparando reformas a las leyes antilavado de dinero. Entre otras cosas, los cambios buscarán permitir que los bancos holandeses puedan compartir más información transaccional sobre posibles operaciones inusuales, permitiendo el uso de ciertos datos de identificación personal para facilitar el análisis.
Caso Estados Unidos PATRIOT Act.
Bajo el PATRIOT Act se generó la posibilidad de compartir información entre entidades financieras protegiéndolas de responsabilidad de forma que se puedan identificar de mejor manera actividades de lavado de dinero o financiamiento al terrorismo.
En particular el PATRIOT Act permite a las entidades financieras:
- Reunir información adicional sobre sus clientes o transacciones potencialmente relacionadas con lavado de dinero o financiamiento al terrorismo.
- Tener más información sobre el rastro de transacciones financieras, especialmente cuando son complejas y parecen estar estratificadas.
- Construir una mejor y más detallada visión acerca de las actividades de los clientes, que pudieran involucrar lavado de dinero o financiamiento al terrorismo.
- Alertar a otras instituciones financieras participantes sobre comportamientos sospechosos.
- Facilitar el envío de reportes de transacciones sospechosas más completos.
- Identificar y ayudar en la identificación de nuevas tipologías
La sección 314 (b) del PATRIOT Act permite el compartir información entre privados bajo controles de seguridad específicos. La información puede ser compartida entre un par de instituciones o entre varias instituciones al mismo tiempo, siempre y cuando se encuentren registradas ante la autoridad (FinCEN) para hacer eso. Sin embargo, no se autoriza a las entidades financieras a compartir los reportes de actividades sospechosas o revelar la existencia de estos.
Caso Estonia: Plataforma “AML Bridge”
AML Bridge es una plataforma digital segura preparada y operada por una compañía privada independiente.
Permite a los bancos miembros intercambiar información de transacciones anonimizada y de manera encriptado. La lista de las entidades que pueden recibir la información es definida de manera individual por cada uno de los miembros de la plataforma.
La información se comparte casi en “tiempo real” buscando auxiliar las investigaciones y facilitando la colaboración.
La plataforma fue establecida en julio de 2021. Para marzo de 2022 la plataforma ha permitido más de 1,200 investigaciones conjuntas.
Aproximadamente la mitad de estas investigaciones fueron acerca de lavado de dinero. Las investigaciones han ayudado también a aclarar cuando se trata de clientes que no son sospechosos de forma más rápida, esto es: reducir los falsos positivos.
Aproximadamente 1/3 de los casos de investigaciones se refieren a fraudes. En estos casos se han recuperado más de 3 millones de euros que han sido devueltos a las víctimas con la ayuda de la plataforma. Dado que para los casos de fraude la velocidad es primordial, la plataforma ha logrado resolver casos muy urgentes en menos de 15 minutos.
La plataforma AML Bridge es proveída por un tercero independiente, (un procesador de datos, bajo la normativa europea de protección de datos).
La plataforma se inauguró con la participación de los cuatro bancos más grandes de Estonia, representando el 90% de las transacciones del país.
La legislación de PLD/FT en Estonia permite a las entidades financieras el compartir datos con otras entidades en ciertos casos por considerarse de interés público.
Problemas potenciales que pueden surgir al implementar mecanismos de información compartida para PLD/FT
Los casos de estudio revisados indican que el involucramiento de autoridades y la existencia de un marco legal adecuado, son factores importantes para el éxito de estas iniciativas.
La ausencia total de las autoridades, especialmente en las etapas iniciales de estos proyectos, dificultan el intercambio de información.
Si las autoridades no están involucradas, este tipo de esfuerzos no estará alineado con las prioridades y objetivos nacionales.
Los casos de estudio señalan que es necesario que tanto las autoridades en materia de PLD/FT, así como las autoridades en materia de protección y privacidad de datos estén involucradas.
Los casos de estudio señalan también que las autoridades deben estar involucradas para revisar si existen barreras legales que pudieran ser superadas mediante cambios legislativos que permitan, al mismo tiempo que protegen la privacidad de la información, promover un intercambio de información más ágil y oportuno.
La nota señala también la importancia de generar programas piloto para probar iniciativas que permitan compartir información, particularmente aquellas que involucran nuevas tecnologías. Sugiere que estas pruebas se realicen en un ambiente controlado.
Se recomienda también desarrollar una estrategia nacional para compartir la información financiera, las tipologías, o bien datos clave que pudieran ayudar a combatir el delito de lavado de dinero y financiamiento al terrorismo.
La generación de alianzas público-privadas lideradas o bien coordinadas por una entidad gubernamental que sea el punto de contacto, puede facilitar el éxito de este tipo de iniciativas
Se recomienda explorar la posibilidad de construir una plataforma de información segura en la que se pueda compartir la información por las entidades del sector privado.
Se deberá procurar un diálogo continuo entre las autoridades encargadas de la protección de datos y privacidad y las autoridades encargadas del combate a los delitos de lavado de dinero y financiamiento al terrorismo.
