Onboarding Digital para entidades financieras en Costa Rica y algunos aspectos legales

El Onboarding Digital (OD) es un proceso electrónico que le permite a una entidad pública o privada la identificación de una persona de forma presencial o remota a través de un canal digital, si el proceso es exitoso, el usuario queda enrolado en el sistema de la entidad y se le emite credenciales de acceso vinculadas con su identidad digital, es a partir de ese momento que quedará habilitado para autenticarse e interactuar con el sistema gestionando dichas credenciales.

Ahora bien, por identidad digital se entiende una colección de atributos de identidad capturados y almacenados electrónicamente y que describen de manera única a una persona dentro en un contexto determinado, dichos atributos a su vez se utilizan para transacciones electrónicas ^[1]. En consecuencia, un proceso de Onboarding Digital debe proporcionar con un alto grado de probabilidad y seguridad la certeza que los atributos recogidos durante el proceso pertenecen a la persona que los presenta y a partir de allí constituir su identidad digital.

Los modelos de Onboarding Digital más recomendados son entrevista por videoconferencia (Síncrono), en el cual un funcionario de la entidad a través de una videollamada entrevista al usuario y lo identifica a partir de la verificación visual de la persona, del documento de identidad legal y de una seria de preguntas que solo esa persona podría contestar en ese momento, el otro modelo es el que se realiza a través de un proceso automatizado (Asíncrono) solo con la intervención del usuario que desea acreditar la identidad, este modelo utiliza una aplicación que permite la captura de un selfie o un video del usuario, procedimiento conocido como prueba de vida y el cual podría involucrar captura y verificación de datos biométricos (rostro, voz, iris o huella dactilar), así como la validación del documento legal a través de algoritmos de Inteligencia Artificial la mayoría de veces.

Las plataformas y los sistemas tecnológicos que permiten realizar estos procesos se conocen como Sistema de Identidad Digital (SID), los cuales utilizan medios electrónicos para confirmar y acreditar la identidad oficial de una persona en línea (digital) y/o en entornos presenciales en varios niveles de garantía^[2].

Para que el resultado del OD sea confiable, el proceso de identificación del usuario debe ser equiparable a la identificación realizada en forma presencial, por lo tanto, con el propósito de lograr este nivel de confiabilidad, es indispensable que dicho proceso de OD esté vinculado a la identidad legal de la persona, es decir, a los documentos oficiales emitidos por las autoridades estatales y previamente verificados y validados por la tecnología utilizada, la cual como mínimo deberá tener la capacidad de identificar documentos falsos o alterados.

En la actualidad, por su capacidad de innovación, flexibilidad y desarrollo tecnológico, el sector Fintech y los Cripto Exhchanges figuran como los principales impulsores de estos sistemas de Onboarding Digital, en gran parte justificado por el riesgo inherente en la prestación de sus servicios, además de la consecuente necesidad de identificar sus clientes para el cumplimiento de las políticas “Conozca su Cliente” (KYC) cuando la jurisdicción en la que operan así se los impone.

Otros escenarios en los que son utilizados los sistemas de identificación digital y los procesos de OD son de acuerdo con el BID^[3]:

• Comercio electrónico y economía colaborativa.
• Cumplimiento de procesos de KYC (políticas de conozca su cliente), para la contratación de servicios o productos financieros ante entidades reguladas y supervisadas.
• Verificación de identidad frente al gobierno: justicia digital, voto electrónico, trámites ante instituciones públicas.
• Control migratorio y transfronterizo.

Adicional, otros sectores podrían beneficiarse también de un sistema de Onboarding Digital, como por ejemplo: el sector de la salud para servicios o consultas de expedientes de forma remota, las universidades para la matrícula y registro de sus alumnos bajo la modalidad de educación virtual, la contratación de teletrabajadores, el establecimiento de relaciones comerciales con clientes o proveedores a distancia, las empresas de telecomunicaciones para identificar suscriptores y evitar el fraude del SIM Swapping, etc.

Onboarding Digital para el sector financiero

La pandemia ha ejercido presión sobre el sector financiero retando sus modelos de negocios tradicionales basados en actos presenciales para identificar y enrolar nuevos clientes, por lo tanto, el Onboarding Digital se presenta como una oportunidad para continuar creciendo y ser competitivos en épocas donde gran parte de la sociedad prefiere las interacciones en línea en vez de presenciales.

Coinciden el GAFI, el BID y el Banco Mundial, que el Onboarding Digital es la vía de entrada para la inclusión financiera de miles de ciudadanos, ya que “facilita la identificación de un consumidor financiero de forma remota, con seguridad, agilidad, e incluso a un menor costo que el mecanismo presencial” ^[4]. Sin duda los beneficios de su implementación son destacables, sin embargo, es importante que las entidades financieras, al menos en Costa Rica, tengan ciertas consideraciones desde el punto de vista legal.

Aspectos legales del Onboarding Digital en Costa Rica

Dentro de este proceso de identificación y verificación, se deben tener en cuenta aspectos regulatorios a cumplir, esto con el propósito de minimizar los riesgos de las partes (clientes y entidad financiera), especialmente aquellos relacionados al fraude, la suplantación de identidad, la prevención del lavado de activos, el financiamiento del narcotráfico y el terrorismo,

En Costa Rica no existe todavía regulación expresa al respecto al contrario de países como Colombia, México o España donde el ente regulador ha emitido algunas directrices o guías de como los sujetos obligados pueden llevar a cabo este proceso. En nuestro país, la SUGEF ha dispuesto que las entidades implementen tecnología con un enfoque basado en el riesgo, imponiéndoles el deber de identificar los riesgos y fijar controles y planes para mitigarlos. Es de entender entonces porque ha existido algún temor por parte de los sujetos obligados de implementar procesos de Onboarding Digital, al sentir que las reglas no están muy claras en este tema, sin embargo, también entienden que es necesario dar el paso hacia la transformación digital completa para poder seguir compitiendo en un mercado de mucha oferta y competencia, máxime en épocas donde los neobancos y las Fintechs cada vez ganan más terreno.

Dicho lo anterior, de acuerdo con el BID, un proceso de Onboarding Digital debe cumplir con tres propósitos principales: i) verificación de la identidad del cliente de manera fiable y segura; ii) conocimiento sobre el origen de los fondos; iii) realización de chequeos antifraude ^[5]. Lo que se busca en suma es digitalizar la identidad del cliente alcanzando requisitos muy concretos, lo cual involucra que dentro de un OD coexistan aspectos claves como tecnología de punta, factor humano calificado para verificar los atributos de cada cliente y cumplimiento normativo y de respeto a garantías ciudadanas, de estos, se podría decir que los más destacados son los siguientes:

• Privacidad y Protección de Datos Personales: la identidad digital se construye a partir de atributos, estos no son otra cosa que datos personales: número de cédula, lugar de trabajo, ingresos mensuales, datos biométricos (rostro, iris, voz, huella), domicilio, historial crediticio, etc. En consecuencia, la entidad financiera a través del sistema de identificación digital recopilará datos personales del cliente, algunos de ellos datos sensibles según nuestra Ley 8968, por tal razón se requerirá al inicio del proceso el consentimiento informado otorgado de manera expresa por el cliente, también cumplir con los demás requisitos establecidos por la normativa, así como establecer políticas y protocolos internos en la gestión de esos datos y la implementación de medidas de ciberseguridad que garanticen la protección de dichos datos personales.
• Regulación financiera: los sujetos obligados (entidades financieras reguladas) deberán cumplir en estricto apego lo indicado en la normativa, como por ejemplo lo dispuesto en la Ley 7786, la cual que impone a dichas entidades entre otras obligaciones, registrar y verificar por medios fehacientes la identidad de los clientes, ya sean estos ocasionales o habituales. De igual forma deberán velar por la correcta custodia de los registros, documentación y transferencias catalogadas de riesgo realizadas por los clientes, también deberán tener en cuenta lo dispuesto por la SUGEF en los diferentes Acuerdos, los cuales establecen los deberes a cumplir en la gestión tanto de la tecnología como en materia de políticas de conozca su cliente.
• Firma electrónica: un mecanismo de firma electrónica ágil, segura y confiable, es fundamental para garantizar la transformación digital de los servicios financieros. Durante el Onboarding Digital el cliente deberá firmar documentos electrónicos indispensables para la contratación del producto o servicio financiero que está solicitando ante la entidad, algunos de esos documentos son el contrato entre la entidad y el cliente, las pólizas de seguro, el consentimiento informado y la autorización para consulta o actualización de la información del cliente en el Centro de Información Conozca a su Cliente (CICAC), el cual comenzará a funcionar este año. Sería ilógico exigir que dichas firmas deban ser únicamente con la firma digital certificada, esto excluiría a miles o millones de clientes potenciales, ya que este un mecanismo que no ha logrado una amplia penetración y usabilidad entre los ciudadanos y además sus complejidades técnicas lo hacen poco flexible para utilizar en un proceso ágil como el Onboarding Digital. El regulador así lo ha entendido y basado en el principio de equivalencia funcional y autonomía de la voluntad, ha dispuesto en el Acuerdo Sugef 35-21 relativo al CICAC mecanismos válidos de firma electrónica además del certificado digital, como lo son la firma manuscrita electrónica o firma digital, siempre y cuando garantice este mecanismo la seguridad técnica y jurídica de una firma electrónica avanzada para otorgar los correspondientes efectos legales, es decir, se requiere que garantice la identificación del firmante (autenticidad), la no alterabilidad tanto del contenido del documento como de la firma estampada o los datos electrónicos adjuntados (integridad) y la posterior consulta del documento electrónico. No será por lo tanto una cuestión menor de analizar y determinar la solución de firma electrónica adecuada para cumplir con los requisitos establecidos.
• Protección del consumidor: otro de los marcos regulatorios presentes durante el Onboarding Digital es lo correspondiente a la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor No. 7472, su reglamento en lo relacionado al Comercio Electrónico, así como otra normativa como por ejemplo el Reglamento de Tarjetas de Crédito y Débito N° 35867-MEIC. La entidad deberá asegurarse de cumplir con los derechos del consumidor, entre otros: el acceso a una información veraz y oportuna sobre los diferentes bienes y servicios, informar suficientemente al consumidor, de manera clara y veraz acerca de los elementos que incidan de forma directa sobre su decisión de consumo, la protección administrativa y judicial contra la publicidad engañosa, las prácticas y las cláusulas abusivas, así como los métodos comerciales desleales o que restrinjan la libre elección.

Conclusiones

En Costa Rica el Onboarding Digital para entidades financieras reguladas se encuentra en fase de exploración, de prueba y conocimiento de las diferentes alternativas tecnológicas, por las complejidades técnicas y legales involucradas, abundan las dudas y preguntas por parte de las organizaciones que desean implementarlo, pese a que ya se encuentra disponible tecnología para llevar a cabo estos procesos de manera segura y confiable.

Será necesario que el regulador fije unas pautas mínimas, sobre todo en lo que respecta a los mecanismos que considera confiables y seguros para la verificación e identificación de los clientes, así como lo relativo a los proveedores de Sistemas de Identificación Digital como lo recomienda el GAFI, ya que recordemos será la mayoría de las veces un tercero proveedor de esta tecnología el que brindará las condiciones para que el Onboarding Digital cumpla con los requisitos regulatorios y la protección de las garantías de las personas.

Referencias:

1. World Bank Group. (2018). G20 Digital Identity Onboarding, 2018.
2. (2020), Guía sobre Identidad Digital, GAFI, París.
3. Nabalón, Iván; Herrera, Diego; y Vadillo, Sonia. (2021). Onboarding digital, Banco Interamericano de Desarrollo., pág. 30.
4. Ibidem, pag 7.
5. Ibidem, pag 24.