Blog de Derecho de los Consumidores
13 diciembre 2021
¿Un selfie para identificarme? Las llamadas KYC en el onboarding bancario digital
Por Sonsoles Valero
Según los últimos estudios del sector, el número de clientes de banca digital en España aumentó un 44% entre 2018 y 2020.
Para el uso de estos entornos digitales, se necesita validar nuestra identidad tanto en la fase inicial de contratación como luego en el uso de los servicios financieros que contratemos. Es decir, cada vez que necesitamos demostrar nuestra identidad de forma online tenemos que ceder cierta información de carácter personal, sobre todo como sistema antifraude.
Cuando nos damos de alta en un servicio por internet, por ejemplo, solemos rellenar un formulario con los datos personales necesarios para la prestación de ese servicio. Normalmente se proporciona: nombre y apellidos, a veces un nombre de usuario, dirección de correo electrónico, teléfono, país de residencia, en ocasiones también edad, nombre de empresa, etc… según nos lo pida el prestador.
No existe un listado de máximos o mínimos de datos a facilitar. Será a criterio de este prestador del servicio, con el que deseamos empezar una relación, determinar qué información pedirnos para darnos de alta o para usar el servicio. Por supuesto, y no es materia de este artículo, siempre deberá cumplir con la normativa aplicable en protección de datos personales: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)[1] y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.[2]
A veces la información que se comparte, voluntariamente o no, va más allá y sirve para completar nuestro perfil, conocernos mejor y personalizar nuestra experiencia digital, ofertándonos productos que mejor se adaptan a ese perfil.
Un mundo digitalizado requiere identidades digitales.
De lo que quiero hablar en este artículo es de las llamadas KYC en el onboarding bancario digital, de las peculiaridades para identificar a usuarios y su normativa aplicable.
Esto no es reciente ni exclusivo del mundo online. Ya en el mundo offline se viene requiriendo cierta información para abrir una cuenta corriente o contratar una hipoteca, etc…
Lo que ha cambiado en esta época, y más tras la pandemia sufrida, es que se intenta huir de cualquier contacto físico y ya no necesitamos ir a una oficina bancaria para entregar una serie de papeles que acreditan nuestra identidad. Se ha acelerado la implementación de soluciones online, donde procesos que antes se hacían 100% presenciales, se han trasladado a plataformas online. Es el caso de la banca tradicional, con una mejora de sus procesos de onboarding, con el uso de herramientas propias en sus apps, generalizándose para múltiples interacciones. Pero también, y por supuesto, por las nuevas fintechs y neobancos que carecen de oficinas, que ofrecen servicios de intermediación bancaria de manera totalmente digital.
¿Qué son las KYC?
Lo primero que se encuentra un usuario de banca digital para convertirse en cliente es el llamado procedimiento KYC (acrónimo de “Know your Customer” o “Conoce a tu cliente”). Se trata de las directrices para llevar a cabo el procedimiento de verificación de la identidad de cada cliente y que pasa por la aplicación de una serie de comprobaciones para probar que se trata de esa persona y no de otra. Es decir, aquel conjunto de información necesaria, de datos a proporcionar, de documentos, que sirven para verificar la identidad de un cliente que quiere contratar un servicio.
Como hemos dicho esta forma de verificar nuestra identidad no es exclusiva del mundo digital sino que este proceso se puede hacer también de forma presencial, offline, presentando, por ejemplo, la documentación requerida con la exhibición del DNI, una nómina, un certificado de empadronamiento, etc… Será quien reciba esta documentación quien comprobará, mediante una inspección ocular, que es quien dice ser.
Con el mismo objetivo, pero en un entorno digital, debe comprobarse que la identificación es exacta y verificar esa identidad. Es lo que se llamaría el proceso eKYC (“Electronic Know Your Customer”), en remoto, paperless, cumpliendo con los mismos estándares de seguridad y fiabilidad que exige la normativa aplicable.
¿Cuál es la normativa que sirve de base a esta solicitud de identificación?
En primer lugar nos encontramos con el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS)[3] que establece las condiciones en que los Estados miembros deberán reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro, así como las normas para los servicios de confianza y un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.
Sin embargo, después de varios años de análisis e implementación, en el entorno digital viene pidiéndose más y, tal y como se señala en la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea (conocido como eIDAS 2)[4] “existe un aumento de la demanda de soluciones de identidad electrónica capaces de ofrecer estas prestaciones y de brindar una mayor eficiencia y un nivel alto de confianza en toda la UE, tanto en el sector privado como en el público.”
Con este nuevo enfoque lo que se pretende es dar solución a varias de estas necesidades:
- El acceso a soluciones de identidad electrónica altamente seguras y fiables.
- La garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras.
- La garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital.
- La seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado.
- La garantía de la aceptación de los servicios de confianza en la Unión Europea (UE) y de la igualdad de condiciones para su prestación.
Centrándonos de nuevo en el entorno de la banca digitales, y más concretamente en el área de servicios de pago y de las transacciones de pago electrónicas, querría destacar el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera[5], norma que transpone la Directiva (UE) 2015/2366 de Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (generalmente conocida como “PSD2”)[6] y que derogaba la antigua Ley 16/2009, de 13 de noviembre, de servicios de pago[7].
En estas normas, tanto la autenticación como la autenticación reforzada de cliente se define de la siguiente manera:
- “Autenticación”: procedimiento que permite al proveedor de servicios de pago comprobar la identidad de usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario.
- “Autenticación reforzada de cliente” (SCA): la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se protege la confidencialidad de los datos de identificación.
Con esta normativa y más a partir del 1 de enero de 2021, hemos empezado a experimentar de manera más generalizada la aplicación de esta norma y la llamada autenticación reforzada (SCA)[8] cuyo objetivo ha sido mejorar la seguridad de los pagos y compras online y reducir el fraude.
De modo general para realizar cualquier transacción económica por internet, el cliente deberá identificarse con al menos dos elementos a elegir de entre:
- Algo que sabe, como una contraseña.
- Algo que tiene, como un teléfono móvil.
- Algo únicamente suyo, como tu huella dactilar o el reconocimiento facial.
Pero, ¿por qué me piden que me identifique con tantos elementos cuando voy a operar en la banca online?
Las exigencias de información provienen de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo[9] y el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo[10] donde se incluyen una serie de medidas normales y otras reforzadas, obligaciones “de diligencia debida”, cuya finalidad es, entre otras, identificar a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones con los sujetos obligados por esta ley listados en su artículo segundo[11]. Es más, éstos tienen prohibido mantener relaciones de negocio o realizar operaciones con los primeros que no hayan sido debidamente identificados.
Fruto de estos requisitos de información, la banca, como sujetos obligados, entre otros sectores, dieron el aviso en su momento a multitud de sus clientes de que no disponían de la documentación que consideraban necesaria para la identificación y seguimiento de la operativa online de la que eran titulares (por ejemplo, no tenían DNI actualizados). Muchos de estos clientes actualizaron sus datos pero otros, que no atendieron a la solicitud, sufrieron el bloqueo de cuentas siendo causa justificada tal y como lo señala el Banco de España[12].
Esta Ley 10/2010 ya ha sido adaptada a la actual normativa europea vigente de la materia, la llamada Quinta Directiva (AMLD5) o Directiva (UE) 2018/843 del Parlamento europeo y del consejo de 30 de mayo de 2018 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo[13] siendo traspuesta con el Real Decreto-ley 7/2021, de 27 de abril, de transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores[14].
Ya concluyendo, ¿es válido un selfie como método de identificación en el onboarding bancario digital?
En el proceso de incorporación digital del cliente, la fase de verificación de identidad podría resumirse en los siguientes pasos:
- Captura de datos con escaneo de documentos de identidad (la fórmula más automatizada sería la que contenga sistemas de OCR de un documento subido al entorno digital del prestador mediante captura con la cámara de fotos, subida de archivos digitales etc…)
- Autenticación de documentos con detección de manipulación, verificación de validez etc…
- Captura biométrica (correspondencia facial electrónica entre el rostro captura y la foto en la identificación del documento, prueba de vida);
- Generación de informes de clientes validados según cumplimiento de estas KYC.
Entre las soluciones eKYC en relación a la captura biométrica anteriormente citada, conviene destacar que existen múltiples soluciones que verifican la identidad de una persona y que esta persona existe realmente mediante inteligencia artificial. Algunas de ellas por sí solas no garantizan la fiabilidad de la información, pueden manipularse, pero combinadas pueden ser la solución.
Entre las más conocidas y utilizadas son:
- Face Match: reconocimiento facial que consiste en comparar un selfie con la foto del documento de la persona y dice si es o no la misma.
- Proof of Life o prueba de vida (activa y pasiva): un vídeo donde puede orientarse al usuario a que realice unos determinados movimientos en el proceso de verificación o simplemente que se sitúe frente a la cámara para probar que es esta persona y que está viva.
Para terminar, resumiendo, las KYC o los procedimientos de autenticación de usuarios tienen 2 objetivos principales: por un lado, cumplir con la normativa vigente en materia de prevención de blanqueo de capitales y de financiación del terrorismo donde se exige que los usuarios online de determinados sectores (banca, seguros, servicios de profesionales inmobiliarios, notarios, abogados, etc…) sean plenamente identificados y, por otro, evitar el fraude de suplantación de identidad para cometer otros tipos de delitos (estafas, etc..), todo ello cumpliendo con unos procesos básicos y homologados.
Y hasta que llegue la siguiente era digital de identificación electrónica con métodos basados en blockchain o la llamada “identidad digital auto soberana” o la evolución del actual certificado digital o del DNI 4.0 que proporcionen otros mecanismos con menos fricción para el usuario, un selfie o un video pueden ser la solución.
SONSOLES VALERO
Twitter: @sonvalero
Linkedin: https://www.linkedin.com/in/sonsolesvalerobarcelo/
[1] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32016R0679
[2] https://www.boe.es/eli/es/lo/2018/12/05/3/con
[3] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32014R0910
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0281
[5] https://www.boe.es/eli/es/rdl/2018/11/23/19
[6] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32015L2366
[7] https://www.boe.es/eli/es/l/2009/11/13/16/con
[8] https://clientebancario.bde.es/pcb/es/blog/como-de-autenticas-son-tus-operaciones-bancarias-.html
[9] https://www.boe.es/eli/es/l/2010/04/28/10/con
[10] https://www.boe.es/eli/es/rd/2014/05/05/304/con
[11] https://www.boe.es/eli/es/l/2010/04/28/10/con
[12] https://clientebancario.bde.es/f/webcb/RCL/ProductosServiciosBancarios/CuentasDepositos/Memoria2020bloqueodecuenta.pdf
[13] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32018L0843