En el marco del Proyecto Normativo y Proyecto de Comunicación publicado por el Banco Central del Uruguay (el “BCU”), el pasado 23 de diciembre de 2022 dicho organismo publicó las Circulares N° 2416 y 2417 que introducen modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero y a la Recopilación de Normas del Mercado de Valores en materia de procedimientos de debida diligencia con clientes en particular en lo que refiere a la verificación de la identidad de clientes (las “Circulares”) y la Comunicación N° 2022/246 aplicable a Instituciones de Intermediación Financiera, Casas de Cambio, Empresas de Servicios Financieros, Empresas de Transferencia de Fondos, Empresas Administradoras de Plataformas para Préstamos entre Personas, Intermediarios de Valores, Administradoras de Fondos de Inversión de Empresas Administradoras de Plataformas de Financiamiento Colectivo emitida en el marco de las Circulares(la “Comunicación”) .
Las Circulares no presentan mayores diferencias con el Proyecto Normativo inicialmente publicado por el BCU el 19 de septiembre de 2022 (el “Proyecto”), respecto al cual oportunamente emitimos un informe. Pueden ver el informe que realizamos al momento de publicación del Proyecto a través del siguiente link.
Por lo tanto, a continuación destacaremos los principales cambios introducidos en la Comunicación con respecto al Proyecto, particularmente en cuanto a la verificación a distancia de la identidad del cliente. A modo de resumen, el Proyecto introdujo la posibilidad de que las instituciones, puedan verificar la identidad de sus clientes a distancia y no necesaria y obligatoriamente en forma presencial. Según velaba el Proyecto, ello es posible si la verificación a distancia se realiza mediante un proceso que cumpla con los requisitos establecidos en el documento 800-63A “Enrollment and Identity Proofing” del marco NIST SP “Digital Identity Guidelines” (revisión 2020) (el “Documento 800-63A”) para el nivel IAL 3 (“Identity Assurance Level 3”).
La Comunicación introdujo las siguientes modificaciones al Proyecto en esta materia:
- Se prevé que el proceso a utilizar deberá cumplir con los requisitos establecidos para el nivel IAL 2 (Identity Assurance Level 2) en el Documento 800-63A, en lugar de los requisitos previstos para el nivel IAL 3.
- Se agrega que los datos biométricos deberán recolectarse y resguardarse de acuerdo a lo establecido en la sección 4.4.1.7 del Documento 800-63A.
- Se establece que el proceso deberá realizarse en modalidad supervisada, cumpliendo con los requisitos 1, 2, 3 y 5 establecidos en la sección 5.3.3.2 del Documento 800-63A. Esto implica que la institución supervisada o los terceros en quienes se tercerice el servicio, según corresponda, deberán:
- Seguir toda la sesión de comprobación de identidad, de la que el cliente no podrá apartarse.
- Prever que un operador participe en directo y a distancia con el cliente durante toda la sesión de comprobación de identidad
- Exigir que todos los actos realizados por el cliente durante la sesión de comprobación de identidad sean claramente visibles por el operador a distancia.
- Exigir que los operadores hayan realizado una capacitación para detectar posibles fraudes y realizar correctamente una sesión supervisada de pruebas a distancia.
- Se establece expresamente que no serán de aplicación aquellas exigencias de índole legal o reglamentaria previstas en el Documento 800-63A que no correspondan a la jurisdicción uruguaya.
Autora
