Ponemos en su conocimiento que el pasado 23 de diciembre de 2022, la Superintendencia de Servicios Financieros (la “SSF”) del Banco Central del Uruguay (el “BCU”) publicó las Circulares N^o 2416 y N^o 2417 (las “Circulares”) y la Comunicación N^o 2022/246 (la “Comunicación”), que en su conjunto modifican la normativa en materia de procedimientos de debida diligencia de clientes y verificación de identidad de los mismos, aplicable a determinadas instituciones integrantes del sistema financiero y del mercado de valores.

Las modificaciones siguen en gran medida la línea del proyecto normativo anticipado por el BCU con fecha 20 de septiembre de 2022, y se orientan, por un lado, a flexibilizar determinadas previsiones en lo que refiere a la actualización de información de clientes categorizados como de “bajo riesgo”, y, por otro lado, a introducir nuevas alternativas al contacto personal para la verificación de la identidad de clientes. A través del siguiente link podrá acceder a nuestro informe acerca del proyecto.

En este informe resaltaremos algunas pequeñas diferencias que existen entre el texto proyectado y el texto que finalmente se le dio a las Circulares y a la Comunicación, y explicaremos el nuevo régimen consolidado en la materia regulada. 

   1. Actualización de la información de clientes.

Las Circulares, respectivamente, modifican las disposiciones sobre actualización de la información de clientes contenidas en: (i) la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”), artículo 297.1, aplicable a instituciones de intermediación financiera, casas de cambio, empresas de servicios financieros y empresas de transferencia de fondos; y (ii) la Recopilación de Normas del Mercado de Valores (la “RNMV”), artículo 191.1, aplicable a intermediarios de valores y administradoras de fondos de inversión.

En este sentido, se mantienen los plazos mínimos del régimen anterior sobre actualización de la información respecto de clientes de mayor riesgo, clientes que operen por montos significativos y clientes de riesgo medio, pero para el caso de los clientes de menor riesgo ahora la información deberá actualizarse únicamente cuando los sistemas de monitoreo detecten patrones inusuales o sospechosos en su comportamiento.

Esto supone un cambio con respecto al régimen anterior, que establecía con carácter general (y por tanto incluyendo a clientes de menor riesgo) la obligación de actualizar la información de clientes en forma periódica, sin perjuicio de también actualizarla aperiódicamente cuando se detecten patrones inusuales o sospechosos de comportamiento en clientes de menor riesgo.

   2. Procedimientos de verificación de la identidad de clientes.

Las Circulares, respectivamente, introducen idénticas modificaciones a las disposiciones sobre políticas y procedimientos de verificación de la identidad de clientes contenidas en: (i) la RNRCSF, artículos 294.1 y 316.68; y (ii) la RNMV, artículos 190.1 y 206.7, alcanzando a las mismas instituciones mencionadas en el punto anterior y, adicionalmente, a las empresas administradoras de plataformas para préstamos entre personas y las empresas administradoras de plataformas de financiamiento colectivo.

Por su lado, la Comunicación deroga la antigua Comunicación N^o 2019/276 reglamentaria en materia de identificación de clientes, que habilitaba a las instituciones, respecto de clientes personas físicas residentes, la posibilidad de valerse de los servicios de Prestadores de Servicios de Confianza radicados en Uruguay, así como del uso de la cédula de identidad electrónica, para realizar la verificación de la identidad mediante contacto personal.

Ahora bien, bajo el nuevo régimen se establece que, cuando se trate de clientes personas físicas (sean residentes o no residentes) el contacto personal podrá realizarse mediante:

   i. La presencia física del cliente ante la institución o ante determinados terceros en quienes se haya tercerizado la tarea conforme la regulación aplicable (los “Terceros”). Las Circulares con buen criterio previeron expresamente esta modalidad, que no había sido contemplada en el texto original del proyecto.

   ii. La validación, realizada por la institución o los Terceros, de la identidad digital o firma electrónica avanzada del cliente brindada por prestadores en el marco de la Ley N° 18.600. Respecto de la identidad digital, se admite aquella brindada por prestadores acreditados ante la Unidad de Certificación Electrónica (UCE) que cuente con nivel 3 de seguridad. Respecto de la firma electrónica avanzada, se admite aquella basada en certificados emitidos por prestadores acreditados ante la UCE o que sean reconocidos como equivalentes cuando hayan sido emitidos por entidades no establecidas en el territorio nacional.

En estos casos las instituciones deberán solicitar la firma electrónica avanzada de un documento que recoja datos identificatorios del cliente, así como de los productos y/o servicios que el mismo desee contratar, y dicho documento deberá ser firmado en un plazo no mayor a los siete días previos a que le fuera remitido a la institución por parte del cliente.

   iii. La utilización, por la institución o los Terceros, de un proceso que permita la verificación a distancia de la identidad del cliente, que cumpla con los requisitos establecidos para el nivel IAL 2 (“Identity Assurance Level 2”) en el documento 800-63A “Enrollment and Identity Proofing” (sección 4.4) del marco NIST SP “Digital Identity Guidelines” (revisión 2020), accesible a través del siguiente link (las “Directrices”). Esto supone un cambio con respecto al proyecto, que fijaba el nivel IAL 3.

Bajo esta tercera modalidad, se incorporan como requerimientos adicionales en relación con el proyecto: (a) la recolección y resguardo de datos biométricos de acuerdo a lo establecido en la sección 4.4.1.7 de las Directrices; y (b) que el proceso se realice en modalidad supervisada, cumpliendo con los requisitos 1, 2, 3 y 5 establecidos en la sección 5.3.3.2 de las Directrices.

Se aclara expresamente que no serán de aplicación aquellas exigencias de índole legal o reglamentario que no correspondan a la jurisdicción uruguaya, y en particular, la utilización de árbitros de confianza según lo dispuesto en la sección 4.4.2 de las Directrices.

Otra novedad con respecto al proyecto, las Circulares aclaran expresamente que el término “cliente” comprende al titular, representante, apoderado o beneficiario final.

Por su parte, en consonancia con el proyecto, la Comunicación mantiene que, en forma previa a la implementación del proceso de verificación de la identidad de clientes, las instituciones deberán documentarlo y contar con los siguientes informes, resguardando las evidencias obtenidas: (a) informe realizado por la institución donde conste la evaluación de los riesgos que conlleva (el que deberá actualizarse en forma anual); y (b) informe de auditor independiente en donde se emita opinión respecto del cumplimiento de las exigencias antes detalladas (el que deberá actualizarse cada tres años).

Dichos informes deberán mantenerse en las oficinas de la institución, a disposición de la SSF, junto a los contratos celebrados con el auditor, así como información suficiente y actualizada que acredite la idoneidad y antecedentes del mismo.

La Comunicación agrega que el auditor contratado deberá contar con conocimientos adecuados y experiencia en la realización de auditorías en temas vinculados a seguridad de la información y ciberseguridad.

Respecto de los clientes con los que se realice el proceso de verificación de identidad, las instituciones deberán recabar su consentimiento expreso para su realización y respaldo, ya sea de forma previa o durante su ejecución.