Días pasados el Banco Central del Uruguay a través de la Superintendencia de Servicios Financieros puso en conocimiento de las entidades reguladas y el público en general un proyecto normativo para la modificación de normas relacionadas a los sistemas para prevenirse de ser utilizados para el lavado de activos y financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva. En especial se prevén modificaciones en cuanto a la periodicidad respecto de la actualización de la información de los clientes en base a la categorización de riesgo y la admisión de mecanismos alternativos al contacto personal para la verificación de la identidad de clientes.

1. Sobre la actualización de información de clientes

 Se retoman los plazos ya existentes en la RNRCSF para las instituciones de intermediación financiera, las casas de cambio, empresas de servicios financieros y empresas de transferencias de fondos, y de la RNMV para los intermediarios de valores y administradoras de fondos de inversión de acuerdo al nivel de riesgo del cliente y en base a su calificación como cliente que opera por monto significativo.

Para el caso de los clientes de riesgo bajo se establece en el proyecto, que los procedimientos deberán contemplar la actualización cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en el comportamiento de los clientes. 

2. Sobre mecanismos alternativos al contacto personal para la verificación de la identidad del cliente

 Se proyecta la modificación de artículos de la RNRCSF aplicables a instituciones de intermediación financiera, casas de cambio, empresas de servicios financieros y empresas de transferencias de fondos así como artículos de la RNMV para los intermediarios de valores, administradoras de fondos de inversión y empresas administradoras de plataformas de financiamiento colectivo. A raíz de lo cual será dejada sin efecto la Comunicación N° 2019/276. Seguidamente describiremos los términos actuales de la Comunicación N° 2019/276 y los términos de la Comunicación que se proyecta.

Actualmente, la Comunicación vigente dispone que en caso de que las entidades opten por la utilización de mecanismos de verificación provistos por un Prestador de Confianza, deben cumplirse las siguientes condiciones:

Contar con NIVEL 3 de seguridad de acuerdo a las disposiciones de la Unidad de Certificación Electrónica (UCE), el cual es el único equivalente al de verificación de identidad en forma presencial (Nivel ALTO en el procedimiento de registro (RID3) y en el de autenticación (AE3).

Se admite la utilización de cédula de identidad electrónica, expedida por la DNIC otorgándole el mismo valor y efectos jurídicos que la identificación presencial. Pudiendo utilizarse, a los efectos de la validación, aplicativos propios o mecanismos provistos por AGESIC.

En la Comunicación proyectada se plantea, que el contacto personal requerido para las personas físicas se complete mediante mecanismos que cumplan con:

Los requisitos establecidos en el documento 800-63A para el Nivel IAL3 del marco NIST SP, revisión 2020

Para lo cual, en forma previa, deberá realizarse un informe de evaluación de riesgo, así como un informe emitido por un auditor independiente que contenga opinión sobre el cumplimiento del estándar NIST. El primero de ellos deberá ser actualizado en forma anual y el segundo en forma trienal, ambos deberán dejarse a disposición de la SSF en las oficinas de la institución.

En relación con los auditores antes mencionados, deberá ser mantenido a disposición de la SSF el contrato suscripto, así como información sobre la idoneidad y antecedentes del mismo. El auditor deberá documentar los resultados de su trabajo y sus conclusiones debiendo permitir la consulta directa de sus papeles de trabajo. Deberán resguardarse las evidencias obtenidas durante el proceso por el plazo de 10 años con los requisitos de resguardo establecidos en forma general en el Art. 492 de la RNRCSF y Art. 255.2 de la RNMV.

Se dispone que para la realización de procedimiento y su respaldo se deberá contar con el consentimiento expreso del cliente, el que podrá obtenerse en forma previa o durante la realización de este.

Se admitirá la validación de la identidad digital o firma electrónica avanzada brindada por prestadores de confianza acreditados ante la UCE que cuenten con Nivel 3 de seguridad según la Política de Identificación Digital.

Se aceptará la firma electrónica basada en certificados emitidos por prestadores acreditados ante la UCE o reconocidos como equivalentes cuando hayan sido emitidos por entidades no establecidas en el territorio nacional.

A tales efectos, se deberá recoger los datos identificatorios del cliente y los productos a contratar el cual deberá ser firmado mediante firma electrónica avanzada.