40 Recomendaciones de la GAFI

Debe prohibirse a las instituciones financieras que mantengan cuentas anónimas o cuentas con nombres obviamente ficticios.

Debe exigirse a las instituciones financieras que emprendan medidas de Debida Diligencia del Cliente (DDC) cuando:

(i) establecen relaciones comerciales;

(ii) realizan transacciones ocasionales: (i) por encima del umbral aplicable designado (USD/EUR 15,000); o (ii) están ante transferencias electrónicas en las circunstancias que aborda la Nota Interpretativa de la Recomendación 16;

(iii) existe una sospecha de lavado de activos o financiamiento del terrorismo; o

(iv) la institución financiera tiene dudas sobre la veracidad o idoneidad de los datos de identificación sobre el cliente obtenidos previamente.

El principio de que las instituciones financieras deben llevar a cabo la DDC debe plasmarse en ley. Cada país puede determinar cómo impone obligaciones específicas de DDC, ya sea mediante ley o medios coercitivos.

Las medidas de DDC a tomar son las siguientes:

(a) Identificar al cliente y verificar la identidad del cliente utilizando documentos, datos o información confiable, de fuentes independientes.

(b) Identificar al beneficiario final y tomar medidas razonables para verificar la identidad del beneficiario final , de manera tal que la institución financiera esté convencida de que conoce quién es el beneficiario final. Para las personas jurídicas y otras estructuras jurídicas, esto debe incluir que las instituciones financieras entiendan la estructura de titularidad y de control del cliente.

(c) Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.

(d) Realizar una debida diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la institución sobre el cliente, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.

Debe exigirse a las instituciones financieras que apliquen cada una de las medidas de DDC bajo los párrafos (a) al (d) anteriores, pero deben determinar el alcance de tales medidas utilizando un enfoque basado en riesgo (RBA) de conformidad con las Notas Interpretativas de esta Recomendación y la Recomendación 1.

Debe exigirse a las instituciones financieras que verifiquen la identidad del cliente y del beneficiario final antes o durante el curso del establecimiento de una relación comercial o al realizar transacciones para clientes ocasionales. Los países pueden permitir a las instituciones financieras que completen la verificación tan pronto como sea razonablemente práctico luego del establecimiento de la relación, cuando los riesgos de lavado de activos y financiamiento del terrorismo se manejen con eficacia y cuando resulte esencial para no interrumpir el curso normal de la actividad.

Si la institución financiera no pudiera cumplir con los requisitos aplicables en los párrafos (a) al (d) anteriores (sujeto a la modificación acorde al alcance de las medidas partiendo de un enfoque basado en riesgo), se le debe exigir a ésta que no abra la cuenta, comience relaciones comerciales o realice la transacción; o se le debe exigir que termine la relación comercial; y debe considerar hacer un reporte de transacciones sospechosas sobre el cliente.

Estos requisitos se deben aplicar a todos los clientes nuevos, aunque las instituciones financieras deben aplicar también esta Recomendación a los clientes existentes atendiendo a la importancia relativa y al riesgo, y deben llevar a cabo una debida diligencia sobre dichas relaciones existentes en los momentos apropiados.

1. Si, durante el establecimiento o en el curso de la relación comercial o cuando se realizan transacciones ocasionales, una institución financiera sospecha que las transacciones están relacionadas al lavado de activos o el financiamiento del terrorismo, la institución debe entonces:

(a) tratar normalmente de identificar y verificar la identidad del cliente y del beneficiario final, sea permanente u ocasional, e independientemente de alguna exención o umbral designado que pudiera de otro modo aplicarse; y

(b) hacer un reporte de operación sospechosa (ROS) dirigido a la Unidad de Inteligencia Financiera (UIF), de conformidad con la Recomendación 20.

2. La Recomendación 21 prohíbe a las instituciones financieras, sus directores, funcionarios y empleados revelar el hecho de que se está entregando a la UIF un ROS o se está reportando a la UIF información relacionada. Existe el riesgo de que se revele a los clientes sin querer cuando la institución financiera está tratando de cumplir con sus obligaciones en materia de debida diligencia del cliente (DDC) en estas circunstancias. El conocimiento del cliente sobre un posible ROS o investigación puede comprometer los esfuerzos futuros para investigar las sospechas de lavado de activos u operación de financiamiento del terrorismo.

3. Por ende, si las instituciones financieras sospechan de que las transacciones están relacionadas al lavado de activos o el financiamiento del terrorismo, éstas deben tomar en cuenta el riesgo de delación al ejecutar el proceso de DDC. Si la institución cree razonablemente que la instrumentación del proceso de DDC llevará a una revelacion al cliente o posible cliente, ésta puede optar por no seguir ese proceso y debe entregar un ROS. Las instituciones deben asegurar que sus empleados conozcan y tengan en cuenta estos temas a la hora de realizar la DDC.

4. Al desempeñar los elementos (a) y (b) de las medidas de DDC especificados dentro de la Recomendación 10, a las instituciones financieras se les debe exigir también que verifiquen que toda persona que diga estar actuando en nombre del cliente esté autorizado para ello, y debe identificar y verificar la identidad de esa persona.

5. Al ejecutar las medidas dentro de la DDC con respecto a clientes que son personas jurídicas u otras estructuras jurídicas, a las instituciones financieras se les debe exigir que identifiquen y verifiquen al cliente, y que entiendan el carácter de su actividad comercial, así como su estructura de titularidad y control. El propósito de los requisitos plasmados en (a) y (b) más abajo, sobre la identificación y verificación del cliente y del beneficiario final, es doble: primero, prevenir el uso ilícito de las personas jurídicas y otras estructuras jurídicas, al entender suficientemente al cliente como para poder evaluar apropiadamente los riesgos potenciales de lavado de activos y financiamiento del terrorismo asociados a la relación comercial; y en segundo lugar, dar los pasos apropiados para mitigar los riesgos. Como dos aspectos de un mismo proceso, es probable que estos requisitos interactúen y se complementen entre sí de modo natural. En este contexto, debe exigirse a las instituciones financieras que:

(a) Identifiquen al cliente y verifiquen su identidad. El tipo de información que normalmente se necesitaría para desempeñar esta función sería:

(i) Nombre, forma jurídica y prueba de su existencia – se puede obtener la verificación, por ejemplo, mediante una escritura de constitución, un certificado de buena posición, y un acuerdo de sociedad, una escritura fiduciaria u otra documentación procedente de una fuente independiente confiable que pruebe el nombre, la forma y la existencia actual del cliente.

(ii) Las facultades que regulan y vinculan a la persona jurídica u otra estructura jurídica (ej.: la escritura de constitución y los estatutos de asociación de una sociedad mercantil), así como los nombres de las personas pertinentes que ocupan una posición en la alta gerencia dentro de la persona jurídica o estructura jurídica (ej.: directores de la alta gerencia en una sociedad mercantil, fiduciario(s) de un fideicomiso).

(iii) La dirección de la oficina registrada, y, de ser diferente, un domicilio comercial principal.

(b) Identifiquen a los beneficiarios finales del cliente y que tomen medidas razonables para verificar la identidad de dichas personas, mediante la siguiente información:

(i) Para las personas jurídicas:

(i.i) La identidad de las personas naturales (de haber alguna – ya que las participaciones en la titularidad pueden ser tan diversas que no haya personas naturales (ya sea actuando por individual o en conjunto) que ejerzan el control de la persona jurídica o estructura jurídica mediante la titularidad) que al final son las que tienen una participación mayoritaria en la titularidad en una persona jurídica; y

(i.ii) en la medida en que exista una duda dentro de (i.i) acerca de si la(s) persona(s) con la participación mayoritaria en la titularidad es(son) el(los) beneficiario(s) real(es) o si la persona natural ejerce el control mediante las participaciones en la titularidad, la identidad de las personas naturales (de haber alguna) que ejercen el control de la persona jurídica o estructura jurídica a través de otros medios.

(i.iii) Cuando no se identifique a ninguna persona natural bajo (i.i) o (i.ii) anteriores, las instituciones financieras deben identificar y tomar medidas razonables para verificar la identidad de la persona natural relevante que ocupa el puesto de funcionario administrativo superior.

(ii) Para las estructuras jurídicas:

(ii.i) Fideicomisos – la identidad del fideicomitente, el(los) fiduciario(s), el protector (de haber alguno), los beneficiarios o clases de beneficiarios, y cualquier otra persona natural que ejerza el control eficaz final sobre el fideicomiso (incluyendo mediante una cadena de control/titularidad);

(ii.ii) Otros tipos de estructuras jurídicas – la identidad de las personas en posiciones equivalentes o similares.

Cuando el cliente o el propietario de la participación mayoritaria es una sociedad mercantil cotizada en una bolsa y está sujeta a requisitos sobre la revelación (ya sea por normas de la bolsa o producto de la ley o medios coercitivos) que imponen requerimientos en cuanto a asegurar una transparencia adecuada del beneficiario final o se trata de una filial de propiedad mayoritaria de una sociedad mercantil como ésta, no es necesario identificar y verificar la identidad de ningún accionista o beneficiario final de dichas sociedades mercantiles.

Los datos relevantes de identificación se pueden obtener de un registro público, del cliente o de otras fuentes confiables.

6. Para los negocios de seguro de vida u otros seguros relacionados a inversiones, las instituciones financieras deben, además de las medidas de DDC que se requieren para el cliente y el beneficiario final, ejecutar las siguientes medidas de DDC sobre el(los) beneficiario(s) del seguro de vida y otras pólizas de seguro relacionadas a inversiones, tan pronto como se identifique/designe al(los) beneficiario(s):

(a) Para el(los) beneficiario(s) que se identifique como persona natural o jurídica o estructuras jurídicas con un nombre específico – tomar el nombre de la persona;

(b) Para el(los) beneficiario(s) que sea(n) designado(s) por características o por clase (ej.: cónyuge o hijos en el momento en el que ocurre el evento asegurado) o por otros medios (ej.: dentro de un testamento) – obtención de información suficiente sobre el beneficiario para convencer a la institución financiera de que podrá definir la identidad del beneficiario en el momento del pago.

La información recopilada bajo (a) y/o (b) debe quedar registrada y debe conservarse de conformidad con las disposiciones de la Recomendación 11.

7. Para los dos casos a los que se hace referencia en 6(a) y (b) anteriores, la verificación de la identidad del(los) beneficiario(s) debe hacerse en el momento del pago.

8. El beneficiario de una póliza de seguro de vida debe ser incluido por la institución financiera como un factor de riesgo relevante a la hora de determinar si son aplicables o no medidas intensificadas de DDC. Si la institución financiera determina que un beneficiario que es una persona jurídica o una estructura jurídica, presenta un riesgo mayor, las medidas de DDC intensificadas deben incluir entonces medidas razonables para identificar y verificar la identidad del beneficiario final del beneficiario en el momento del pago.

9. Cuando una institución financiera no pueda cumplir con los párrafos 6 al 8 anteriores, ésta debe considerar la preparación de un reporte de operación sospechosa.

10. Las medidas de DDC plasmadas en la Recomendación 10 no implican que las instituciones financieras tengan repetidamente que identificar y verificar la identidad de cada cliente cada vez que realiza una transacción. La institución está facultada para confiar en las medidas de identificación y verificación que ya ha tomado, a menos que tenga dudas sobre la veracidad de esa información. Ejemplos de situaciones que pudieran llevar a una institución a tener dudas de este tipo, pudiera ser cuando existe una sospecha de lavado de activos con respecto a ese cliente o cuando ocurre un cambio importante en la forma en que se opera la cuenta del cliente y que no se corresponde con el perfil comercial del cliente.

11. Entre los ejemplos de tipos de circunstancias (además de aquellas a las que se hizo referencia con anterioridad para los beneficiarios de pólizas de seguro de vida) en las que se permitiría completar la verificación luego del establecimiento de la relación comercial, ya que sería esencial no interrumpir la conducción normal de la operación, incluyen:

∎ Operaciones en las que no media una presencia física.

∎ Transacciones con valores. En la industria de valores, puede que se requiera a las sociedades mercantiles y a los intermediarios que realicen transacciones con mucha rapidez, según las condiciones del mercado en el momento en el que el cliente los contacta, y puede que se necesite hacer la transacción antes de que se complete la verificación de la identidad.

12. Las instituciones financieras tendrán también que adoptar procedimientos de manejo del riesgo con respecto a las condiciones bajo las cuales un cliente puede utilizar la relación comercial antes de la verificación. Estos procedimientos deben incluir una serie de medidas, como la limitación de la cantidad, tipos y/o monto de las transacciones que se pueden efectuar y el monitoreo de transacciones grandes o complejas que se llevan a cabo fuera de las normas previstas para ese tipo de relación.

13. Debe exigirse a las instituciones financieras que apliquen medidas de DDC a los clientes existentes sobre la base de la importancia relativa y el riesgo, y ejecutar una debida diligencia sobre tales relaciones ya existentes en los momentos apropiados, considerando si se han tomado medidas de DDC con anterioridad y cuándo, y la idoneidad de los datos obtenidos.

14. Los ejemplos que se muestran a continuación no son elementos obligatorios de los Estándares del GAFI y se incluyen sólo a manera de guía. Los ejemplos no persiguen como objetivo ser exhaustivos y aunque son considerados indicadores útiles, puede que no sean relevantes en todas las circunstancias.

Riesgos mayores

15. Hay circunstancias en las que el riesgo de lavado de activos o financiamiento del terrorismo es mayor y hay que tomar medidas intensificadas de DDC. Al evaluar los riesgos de lavado de activos y financiamiento del terrorismo relativos a los tipos de clientes, países o áreas geográficas, y productos en particular, servicios, transacciones o canales de envío, entre los ejemplos de situaciones de riesgo potencialmente alto (además de las plasmadas en las Recomendaciones 12 a la 16) están los siguientes:

(a) Factores de riesgo con respecto al cliente:

∎ La relación comercial se realiza en circunstancias inusuales (ej.: distancia geográfica significativa entre la institución financiera y el cliente inexplicable).

∎ Clientes no residentes.

∎ Personas jurídicas o estructuras jurídicas que son vehículos de tenencia de activos personales.

∎ Sociedades mercantiles que tienen accionistas nominales o acciones de tipo al portador.

∎ Negocios que utilizan cuantías elevadas de efectivo.

∎ La estructura de titularidad de la sociedad mercantil parece ser inusual o excesivamente compleja dado el carácter de la actividad de la sociedad mercantil.

(b) Factores de riesgo con respecto al país o área geográfica:

∎ Países identificados por fuentes verosímiles, como son los Informes de Evaluación Mutua o los Informes detallados de Evaluación o Informes de Seguimiento publicados, como que no tienen sistemas adecuados ALA/CFT.

∎ Países sujetos a sanciones, embargos o medidas similares emitidas, por ejemplo, por las Naciones Unidas.

∎ Países identificados por fuentes verosímiles como que tienen niveles importantes de corrupción u otra actividad criminal.

∎ Países o áreas geográficas identificadas por fuentes verosímiles como suministradores de financiamiento o apoyo a actividades terroristas o que tienen a organizaciones terroristas designadas operando dentro de su país.

(c) Factores de riesgo con respecto a productos, servicios, transacciones o canales de envío:

∎ Banca privada.

∎ Transacciones anónimas (que pueden incluir efectivo).

∎ Relaciones o transacciones en las que no se entabla un contacto físico entre las partes.

∎ Pago recibido de partes desconocidas o terceros no asociados.

Riesgos menores

16. Hay circunstancias en las que el riesgo de lavado de activos o financiamiento del terrorismo puede ser menor. En estas circunstancias, y siempre que medie un análisis adecuado del riesgo por parte del país o la institución financiera, puede ser razonable que un país permita a sus instituciones financieras aplicar medidas simplificadas de DDC.

17. Al evaluar los riesgos de lavado de activos y financiamiento del terrorismo relativos a los tipos de clientes, países o áreas geográficas, y productos en particular, servicios, transacciones o canales de envío, entre los ejemplos de posibles situaciones de riesgo menor se pueden citar los siguientes:

(a) Factores de riesgo con respecto al cliente:

∎ Instituciones financieras y APNFD – cuando éstas están sujetas a requisitos para combatir el lavado de activos y el financiamiento del terrorismo en concordancia con las Recomendaciones del GAFI, han implementado con eficacia esos requisitos y están supervisadas o monitoreadas con eficacia en concordancia con las Recomendaciones para asegurar el cumplimiento con dichos requisitos.

∎ Sociedades mercantiles públicas cotizadas en una bolsa y sujetas a requisitos sobre la revelación (ya sea por normas de la bolsa o por las leyes u otros medios coercitivos), que imponen requerimientos para asegurar una adecuada transparencia sobre el beneficiario final.

∎ Administraciones o empresas públicas.

(b) Factores de riesgo con respecto a productos, servicios, transacciones o canales de envío:

∎ Pólizas de seguro de vida en las que la prima es baja (ej.: una prima anual de menos de USD/EUR 1,000 o una sola prima de menos de USD/EUR 2,500).

∎ Pólizas de esquemas de pensión si no hay una opción de rescate adelantado y la póliza no puede ser usada como colateral.

∎ Un fondo de pensión o un esquema similar que ofrece beneficios de jubilación a los empleados, en los que las contribuciones se hacen mediante deducción de los salarios y las normas del esquema no permiten la asignación de una participación del miembro dentro del esquema.

∎ Productos o servicios financieros que ofrecen servicios definidos y limitados apropiadamente a ciertos tipos de clientes, para así incrementar el acceso para propósitos de inclusión financiera.

(c) Factores de riesgo con respecto al país:

∎ Países identificados por fuentes verosímiles, como son los Informes de Evaluación Mutua o los Informes detallados de Evaluación o Informes de Seguimiento publicados, como que tienen sistemas adecuados ALA/CFT.

∎ Países identificados por fuentes verosímiles como que tienen un bajo nivel de corrupción u otra actividad criminal. Al hacer una evaluación del riesgo, los países o instituciones financieras, cuando corresponda, pueden tomar en cuenta también las posibles variaciones en el riesgo de lavado de activos y financiamiento del terrorismo entre diferentes regiones o áreas dentro de un país.

18. Correr un riesgo bajo frente al lavado de activos y el financiamiento del terrorismo a los efectos de la identificación y la verificación no significa automáticamente que el mismo cliente representa un riesgo menor para todos los tipos de medidas de DDC, en particular para el monitoreo continuo de las transacciones.

Variables de riesgo

19. Al evaluar los riesgos de lavado de activos y financiamiento del terrorismo relativos a los tipos de clientes, países o áreas geográficas, y productos en particular, servicios, transacciones o canales de envío, la institución financiera debe tomar en cuenta las variables del riesgo relativas a esas categorías del riesgo. Estas variables, ya sean por separado o en combinación, pueden aumentar o disminuir el riesgo potencial que representan, impactando así el nivel apropiado de medidas de DDC. Entre los ejemplos de estas variables están:

∎ El propósito de una cuenta o relación.

∎ El nivel de activos a depositar por un cliente o la dimensión de las transacciones realizadas.

∎ La regularidad o duración de la relación comercial.

Medidas intensificadas de DDC

20. Las instituciones financieras deben examinar, tanto como sea razonablemente posible, los antecedentes y el propósito de todas las transacciones complejas, inusuales grandes y todos los patrones inusuales de transacciones, que no tengan un propósito aparente económico o lícito. Cuando los riesgos de lavado de activos o financiamiento del terrorismo sean mayores, debe exigirse a las instituciones financieras que ejecuten medidas intensificadas de DDC, a tono con los riesgos identificados. En particular, deben incrementar el grado y naturaleza del monitoreo de la relación comercial, a fin de determinar si esas transacciones o actividades parecen inusuales o sospechosas. Entre los ejemplos de medidas intensificadas de DDC que se pueden aplicar a relaciones comerciales de mayor riesgo se pueden citar:

∎ Obtención de información adicional sobre el cliente (ej.: ocupación, volumen de activos, información disponible a través de bases de datos públicas, internet, etc.), y actualización con más sistematicidad de los datos de identificación del cliente y beneficiario final.

∎ Obtención de información adicional sobre el carácter que se pretende dar a la relación comercial.

∎ Obtención de información sobre la fuente de los fondos o la fuente de riqueza del cliente.

∎ Obtención de información sobre las razones de las transacciones intentadas o efectuadas.

∎ Obtención de la aprobación de la alta gerencia para comenzar o continuar la relación comercial.

∎ Monitoreo más intenso de la relación comercial, incrementando la cantidad y la duración de los controles aplicados, y selección de los patrones de transacciones que necesitan un mayor examen.

∎ Exigir que el primer pago se haga a través de una cuenta en nombre del cliente en un banco sujeto a estándares de DDC similares. Medidas simplificadas de DDC

21. Cuando los riesgos de lavado de activos o financiamiento del terrorismo son más bajos, se puede permitir a las instituciones financieras que ejecuten medidas simplificadas de DDC, las cuales deben tomar en cuenta la naturaleza del riesgo menor. Las medidas simplificadas deben corresponderse con los factores de un riesgo menor (ej.: las medidas simplificadas pueden relacionarse solamente a medidas de aceptación del cliente o a aspectos del monitoreo continuo). Ejemplos de posibles medidas:

∎ Verificación de la identidad del cliente y del beneficiario final luego del establecimiento de la relación comercial (ej.: si las transacciones de la cuenta sobrepasan un umbral monetario definido).

∎ Reducción de la frecuencia de actualizaciones de la identificación del cliente.

∎ Reducción del grado de monitoreo continuo y examen de las transacciones, basado en un umbral monetario razonable.

∎ No recopilación de información específica o se ejecutan medidas específicas para entender el propósito y el carácter que se pretende dar a la relación comercial, sino que se infiere el propósito y la naturaleza a partir del tipo de transacciones o relación comercial establecida.

Las medidas de DDC simplificadas no son aceptables siempre que exista una sospecha de lavado de activos o financiamiento del terrorismo o cuando se apliquen en escenarios específicos de mayor riesgo.

Umbrales

22. El umbral designado para transacciones ocasionales dentro de la Recomendación 10 es de USD/EUR 15,000. Las transacciones financieras por encima del umbral designado incluyen situaciones en las que la transacción se lleva a cabo en una sola operación o en varias operaciones que parecen estar ligadas.

Debida diligencia continua

23. Debe exigirse a las instituciones financieras que aseguren que los documentos, datos o información recopilada dentro del proceso de DDC se mantengan actualizados y pertinentes, mediante la realización de revisiones de los registros existentes, particularmente para las categorías de clientes de mayor riesgo.

Recomendación 10. Debida diligencia del cliente. Calendario de la 4ª Ronda de Evaluaciones febrero 2018: Grupo de Acción Financiera del Caribe (GAFIC) de https://www.cfatf-gafic.org/es/documentos/gafi40-recomendaciones/416-fatf-recomendacion-10-debida-diligencia-del-cliente