Ponemos en su conocimiento que el pasado 20 de setiembre de 2022, la Superintendencia de Servicios Financieros (la “SSF”) del Banco Central del Uruguay (el “BCU”) publicó un proyecto normativo (el “Proyecto”) por medio del cual se pretende modificar algunos aspectos de la normativa vigente relativa a los procedimientos de debida diligencia de clientes que determinadas instituciones integrantes del sistema financiero y del mercado de valores deben implementar para la prevención del lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.

Las modificaciones propuestas apuntan, por un lado, a flexibilizar determinadas previsiones en lo que refiere a la actualización de información de clientes categorizados como de “bajo riesgo”, y, por otro lado, a introducir nuevas alternativas al contacto personal para la verificación de la identidad de clientes. Lo anterior se reglamentaría asimismo en una nueva Comunicación (el "Proyecto de Comunicación") que dejaría sin efecto a la N° 2019/276 vigente.

El Proyecto se encuentra disponible a través del siguiente link y el Proyecto de Comunicación  a través del siguiente link. Las instituciones podrán presentar comentarios vía correo electrónico a: ssfproyectonormativoif@bcu.gub.uy, improrrogablemente hasta el día 7 de octubre de 2022.

En este Informe señalaremos las principales novedades y cambios que presenta el Proyecto con respecto al régimen vigente.

   1. Actualización de información de clientes.

El Proyecto plantea idénticas modificaciones a las disposiciones sobre actualización de la información de clientes, contenidas en: (i) la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”), artículo 297.1, aplicable a instituciones de intermediación financiera, casas de cambio, empresas de servicios financieros y empresas de transferencia de fondos; y (ii) la Recopilación de Normas del Mercado de Valores (la “RNMV”), artículo 191.1, aplicable a intermediarios de valores y administradoras de fondos de inversión.

En este sentido, el Proyecto mantiene los plazos mínimos vigentes de actualización respecto de clientes de mayor riesgo, clientes que operen por montos significativos y clientes de riesgo medio, pero para los clientes de menor riesgo exige actualizar la información solo cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en su comportamiento. Esto supone un cambio con respecto a las disposiciones vigentes, que establecen con carácter general (y por tanto incluyendo a clientes de menor riesgo) la obligación de actualizar la información de clientes en forma periódica, sin perjuicio de también actualizarla aperiódicamente cuando se detecten patrones inusuales o sospechosos de comportamiento en clientes de menor riesgo.

    2. Alternativas al contacto personal para la verificación de la identidad de clientes.

El Proyecto también plantea idénticas modificaciones a las disposiciones sobre políticas y procedimientos de verificación de la identidad de clientes, contenidas en: (i) la RNRCSF, artículos 294.1 y 316.68; y (ii) la RNMV, artículos 190.1 y 206.7, alcanzando a las mismas instituciones mencionadas en el punto anterior, a las empresas administradoras de plataformas para préstamos entre personas y las empresas administradoras de plataformas de financiamiento colectivo.

Bajo la Comunicación N^o 2019/276, el BCU permite a las instituciones que, respecto de clientes persona física residentes, puedan valerse de los servicios de Prestadores de Servicios de Confianza radicados en Uruguay, así como del uso de la cédula de identidad electrónica, para realizar la verificación de la identidad mediante contacto personal.

Ahora bien, mediante el Proyecto, pasaría a permitirse que para esta clase de clientes el contacto personal pueda realizarse mediante: (i) la utilización de un proceso que permita la verificación a distancia de la identidad del cliente que cumpla con estándares reconocidos, esto es, con los requisitos establecidos en el documento 800-63A “Enrollment and Identity Proofing” para el nivel IAL 3 (“Identity Assurance Level 3”) del marco NIST SP “Digital Identity Guidelines”, revisión 2020; o (ii) la validación de la identidad digital o firma electrónica avanzada del cliente brindada por prestadores en el marco de la Ley No. 18.600, acreditados ante la Unidad de Certificación Electrónica (UCE) que cuente con nivel 3 de seguridad, o, para el caso puntual de la firma electrónica avanzada, prestadores equivalentes cuando los certificados hayan sido emitidos por entidades no establecidas en el territorio nacional.

Por otra parte, en el Proyecto de Comunicación se establece que, en forma previa a la implementación del proceso de verificación de la identidad de clientes, las instituciones deberán documentarlo y contar con los siguientes informes, resguardando las evidencias obtenidas:

1. Informe realizado por la institución supervisada donde conste la evaluación de los riesgos que conlleva (el que deberá actualizarse en forma anual); e
2. Informe de auditor independiente en donde se emita opinión respecto del cumplimiento con el referido estándar NIST (el que deberá actualizarse cada tres años).

Dichos informes deberán mantenerse en las oficinas de la institución de que se trate, a disposición de la SSF, junto a los contratos celebrados con el auditor, así como información suficiente y actualizada que acredite la idoneidad y antecedentes del mismo.

Respecto de los clientes con los que se realice el proceso de verificación de identidad, se deberá recabar su consentimiento expreso para su realización y respaldo, ya sea de forma previa o durante su ejecución.

Por último, cuando se hubiere adoptado una solución de firma electrónica avanzada, las instituciones deberán solicitar la firma electrónica avanzada de un documento que recoja datos identificatorios del cliente, así como de los productos y/o servicios que el mismo desee contratar, siendo que este documento debe ser firmado en un plazo no mayor a los siete días previos a que le fuera remitido al cliente.