Nos hemos acostumbrado a un entorno en el que las conductas vinculadas al crimen financiero se van sofisticando cada vez con mayor velocidad y en las que el delincuente se apoya forma cada vez más sutil en la infraestructura de los diferentes operadores del mercado para la comisión de los conocidos como delitos financieros o FinCrime. Además de atentar contra los sistemas financieros globales, esta casuística de delincuencia impacta directamente en el crecimiento económico ocasionando pérdidas muy significativas tanto a organizaciones empresariales como a usuarios.
Haciendo una breve alusión a la magnitud de la situación, la oficina de Naciones Unidas contra la Droga y el Delito cuantificaba la escala del crimen global financiero en una horquilla del 2% al 5% del total del PIB mundial. En cuanto al impacto en las organizaciones, la Asociación de certificadores de Fraude reflejaba en su Informe a las Naciones de 2022 que se estima que estas pierden alrededor del 5% de sus ingresos anuales por culpa de conductas vinculadas al fraude y al blanqueo de capitales, lo cual se traduce en un volumen global de aproximadamente 3.6 billones de dólares.
Como complemento de esta realidad, nos enfrentamos a marcos normativos que exigen a numerosos sectores profesionales una mayor adaptabilidad al entorno VUCA en el que desarrollan su actividad (entornos en los que predomina la volatilidad, la incertidumbre, la complejidad y la ambigüedad, por sus siglas en inglés). Estos entornos y las normas que regulan sus sectores de actividad exigen trabajar de una manera acorde a las necesidades de clientes, de socios de negocio y del negocio propio, con una nueva complejidad añadida: la inmediatez en el establecimiento de relaciones comerciales y en la ejecución de las operaciones y transacciones.
Parece la tormenta perfecta. Con este contexto, la prevención efectiva del crimen financiero no se escapa a la necesidad de definir criterios internos que permitan una toma de decisiones estratégicas adaptadas, simultáneamente, al entorno normativo cambiante y a las necesidades específicas de las organizaciones. Estos criterios internos, deben tener como elemento vertebrador la búsqueda proactiva de brechas que expongan a la organización a estos riesgos y que puedan tener un origen tanto externo (terceros) como interno (fraude interno).
Así, vemos como se están enfrentando al reto que supone la gestión del crimen financiero los principales operadores tanto del sector financiero como de aquellas áreas de la actividad económica expuestos a que se utilicen sus infraestructuras para la comisión de delitos económicos. En todos ellos localizamos los siguientes elementos comunes:
Tratamiento holístico del crimen financiero
Hablamos de sistemas proactivos que requieren partir de una asignación clara de responsables y la correspondiente delimitación de las funciones vinculadas a la supervisión del sistema de prevención del crimen financiero. Estos empiezan a alejarse de la configuración de sistemas de cumplimiento normativo estancos para cada ámbito regulatorio, buscando optimizar aquellos controles y recursos que permiten un tratamiento y gestión integrada de los riesgos.
Cada vez es más frecuente reforzar la prevención y detección del crimen financiero a través de los denominados sistemas “FRAML” (Fraud + AML) que combinan los esfuerzos en materia de Prevención del Fraude y en materia de Prevención de Blanqueo de Capitales con la finalidad de mejorar la eficiencia operativa de los controles.
Modelos analíticos de prevención del crimen financiero
Estos se centran en modelos analíticos de prevención del crimen financiero, a través de los que se destinan recursos de forma prioritaria a la creación y capacitación de capas analíticas que
- Interactúan de forma directa con las restantes capas tácticas y operacionales, siendo indispensable que se produzca este diálogo;
- Tienen la capacidad de realizar un análisis efectivo y eficiente de la información que permite entender la estructura de las diferentes casuísticas del crimen financiero, los objetivos perseguidos por sus autores e identificar correctamente las vulnerabilidades a las que se expone la organización. Este análisis efectivo permitirá, entre otros muchos aspectos, la cuantificación del impacto económico sufrido tanto por la organización como por sus grupos de interés;
- Proveen a las capas estratégicas, tras el tratamiento y el examen de los datos, de una interpretación integrada que permita optimizar la programación tanto de los elementos preventivos (controles) como los elementos reactivos (acciones para mitigar aquellas amenazas ya materializadas).
Apoyo tecnológico e inteligencias artificiales como elemento diferencial
Ante estos nuevos modelos de actividad delictiva, las exigencias regulatorias y operativas son cada vez mayores. Estos modelos analíticos de prevención del fraude tienen que apoyarse necesariamente en soluciones tecnológicas solventes, ágiles y flexibles, que permitan el ya aludido análisis efectivo de la información.
La velocidad y la inmediatez exigidas por los usuarios en las transacciones requieren mecanismos muy atomizados que permitan poner el foco en los diferentes procesos vinculados a la vida de las operaciones financieras.
Lo anterior parte de la calidad de la información obtenida durante el proceso de onboarding y/o contratación, pasa por el nivel de detalle y observación exigido en los procesos de screening y se mantiene durante el seguimiento cercano de la propia relación de negocio con el tercero (tanto clientes como partners), donde se prioriza la definición de las alertas para identificar patrones de conductas inusuales.
Actualmente tecnologías como la biometría o las inteligencias artificiales se han integrado como elementos indispensables en los procesos vinculados a la detección y evitación del fraude. Sobre todo, teniendo en cuenta que entre los mayores obstáculos a los que se enfrentan estas herramientas está la sofisticación de los propios medios digitales para la comisión de actividades delictivas.
Pensemos por ejemplo en los deepfakes, también denominados “medios sintéticos” y que consisten en imágenes y audios que imitan o el aspecto o el sonido de una persona y que han sido generados o modificados mediante inteligencias artificiales y/o machine learning. Respecto de éstos el FBI ya advertía el pasado mes de marzo su previsión de que en los sucesivos 12 – 18 meses los actores maliciosos utilizarán estas tecnologías para reforzar los mecanismos fraudulentos de ingeniería social, así como para desarrollar casuísticas delictivas concretas como el spearphishing (estafas a través de comunicaciones dirigidas a personas u organizaciones específicas).
En áreas de regulación específicas como son los sujetos obligados en materia de prevención de blanqueo de capitales, es frecuente encontramos con un alto nivel de desarrollo de las herramientas e inteligencias artificiales que permiten identificar patrones de conducta y tendencias a la hora de operar, así como en aquellas de machine learning que permiten procesar y analizar elevadas cantidades de información para asignar flags de riesgo a usuarios, socios de negocio y transacciones.
Como ejemplo y hablando de los ejercicios de equilibrismo entre el plano fáctico, el regulatorio y el tecnológico-operacional, el pasado mes de noviembre de 2022 la EBA publicaba sus Directrices sobre el uso de soluciones de incorporación remota de clientes, las cuales resultarán exigibles a partir del mes de octubre de 2023. A través de estas la Autoridad Bancaria ya exige a entidades financieras y de crédito que cuenten con políticas y procedimientos específicos en relación con las soluciones de onboarding empleadas por aquellas. Así, estas políticas y procedimientos deben recoger, entre otros aspectos: Los mecanismos empleados para garantizar criterios de calidad, integridad, exactitud e idoneidad de los datos recogidos en el proceso de onboarding; la evaluación de la solución en los ámbitos comercial, operativo, reputacional y legal; las posibles medidas de mitigación y acciones correctivas para cada riesgo identificado y; las pruebas para evaluar los riesgos de fraude basado en la suplantación de identidad y otros riesgos vinculados con las TIC.
Como conclusión, corresponde hacer una breve precisión respecto de la necesidad detectada por los operadores del mercado de establecer sistemas integrados de prevención que permitan tener una visión poliédrica de los riesgos vinculados al crimen financiero. Estos sistemas deben sustentarse, en todo caso, en un análisis global y minucioso de la información a través de un sólido apoyo tecnológico, que permitirá el establecimiento de controles de prevención y detección eficaces.