RiskMS
0 COMENTARIOS

Roberto de la Cruz, director general de RiskMS

Los bancos son los que más alertan de actuaciones sospechosas de blanqueo

Entrevistamos a Roberto de la Cruz Martínez, director general de la empresa RiskMS y CompliOfficer para hablar acerca de las herramientas antifraude.

Hablar de dinero va asociado indefectiblemente a abusos y delitos y es que, allá donde brilla el “vil metal” siempre habrá gente interesada en hacerse con él a cualquier precio. Bancos, aseguradoras, notarías, inmobiliarias… el número de sectores que se ven afectados por el fraude, ya sea a gran escala o por estafadores oportunistas, crece al mismo ritmo que las medidas de seguridad antifraude de las entidades. Sólo en 2015 el SEPBLAC identificó 4.757 actividades sospechosas, lo que suponía un incremento el 2% respecto a 2014.

Hemos hablado con Roberto de la Cruz Martínez, director general de RiskMS, una empresa de soluciones para la gestión del riesgo constituida en 2012 pero que, a partir de 2015 comenzó a trabajar también en compliance, uno de los talones de Aquiles de las entidades financieras.

Según explica De la Cruz, los softwares internacionales que se usan en España para esto eran caro y no del todo satisfactorios, “demasiado monolíticas y no muy adaptables a las necesidades de los clientes“, explica. RiskMS entra en juego dentro del mercado español (y ahora también en el internacional) con un software fácil de usar, modular, capaz de integrarse con las necesidades de cada cliente, no sólo de la gran banca, y más barato.

Confianza modular

Aunque el riesgo de verse afectados por el fraude es más o menos el mismo, la herramienta que precisa una joyería para evitarlo no tiene la misma complejidad que un gran banco. Cada actividad de la empresa tiene distintas necesidades y si, por ejemplo, tienen que gestionar el movimiento de efectivo para los clientes, hay una serie de acciones específicas que el software debe tener en cuenta. Para De la Cruz, lo que hace diferente a RiskMS es que “la oferta se adapta a la realidad del cliente, facilitando el trabajo manual y haciéndolo sencillo“.

El funcionamiento de cada módulo es distinto. Según explica De la Cruz, módulos como el Screening permiten chequear textos y nombres, de manera que para alguien como un joyero sea muy sencillo meter los datos del cliente y obtener rápidamente el resultado con toda la información  relativa a esa persona. En el caso de los bancos, que tienen que hacer un proceso de on boarding a los clientes, RiskMS permite que, cuando se abre el proceso para dar de alta a un cliente, se haga el chequeo para que la entidad sepa si puede trabajar en confianza con esa persona o no.

Las listas de personas de riesgo se pueden consultar a diario, ya que se trata de elementos vivos que se van actualizando permanentemente. Luego existen otros módulos más complejos, capaces de hacer análisis sobre las variaciones de comportamiento de esas personas para detectar acciones sospechosas y dar la alerta.

El sistema tiene módulo de conocimiento de clientes. El conocimiento que tienes de ellos se basa en la información que te da el propio cliente. Inicialmente el sistema crea una radiografía del cliente en función de la información que facilita. No va a ser analizado igual un asalariado de que gana 18.000 euros al año trabajando para una gran empresa en Madrid, que un joyero en Marbella, ya que no tienen la misma capacidad para blanquear dinero. Esa “clasificación” previa ya la identifica el sistema pero luego, a lo largo del tiempo, lo irá ponderando, según explica De la Cruz. Cuando se analiza toda la operativa del cliente, la clasificación irá ponderando a la baja o al alta. Si una persona que gana 18.000 de pronto ingresa 50.000 y empieza a sacar efectivo, se saca todo el sueldo e ingresa más, hace que salten inmediatamente las alertas, y se identifica ese perfil como de alto riesgo.

El algoritmo fonético de RiskMS

Una de las particularidades de RiskMS es el algoritmo fonético. ¿En qué consiste esto? El algoritmo -detalla De la Cruz- tiene dos elementos importantes. Por un lado una aplicación del algoritmo de Levenshtein, que se encarga de comparar las cadenas, por ejemplo el nombre de la persona con los nombres que hay en las listas.

El caso es que como hay unos 4,5 millones de individuos en esas listas, tenemos el problema de que no se pueden comparar óptimamente todos, ya que hay que incluir apodos, seudónimos y las diversas formas que pueda haber de escribir ese nombre, también adaptado a los nombres anglosajones, por ejemplo, y empezamos a buscar otros elementos. Para eso usamos un algoritmo doble metafont que detecta cuál es el grupo con el que tiene que hacer la comparación. Lo que buscamos no son nombres completos, sino que jugamos con las posibles combinaciones para que no se pueda escapar nadie, incluso contempla variaciones fonéticas para que si está mal escrito también se pueda contemplar. Evidentemente el número de resultados será mayor que con un algoritmo no fonético, pero “preferimos poner el foco en la seguridad de que nadie queda excluido de la lista por un detalle en el nombre, pero sin hundir de trabajo al usuario. Al cliente le damos muchas herramientas para facilitar el proceso posterior de filtrado“, cuenta De la Cruz.

El sistema que emplea RiskMS cuenta con unos 100 escenarios de control. “Nuestros clientes suelen repetir que nadie conoce a sus clientes mejor que ellos mismos, por eso ellos quieren proponer sus propios niveles de control aparte de los 100 que proveemos nosotros“, explica De la Cruz. En algunos casos tienen que incorporar el trabajo de control sobre operaciones que vayan a paraísos fiscales, a países asiáticos, que no correspondan con los ingresos de la persona, que haya comportamientos anómalos, que haya ingresos y retiradas rápidas, etc. “Son comportamientos tipificados como sospechosos, pero nos basamos en la experiencia que tienen las entidades acerca de sus clientes, y saben mejor que nadie cómo son los sospechosos y lo que suelen hacer“, dice De la Cruz.

Personas de riesgo

En RiskMS se trabaja en dos variantes: facilitando software o desde el compliance officer, con una externalización para las entidades que no tengan departamento antiblanqueo. Lo que se hace cuando se detecta una alerta onboarding dependerá de los procedimientos pertinentes. Si la persona que salta es un sancionado, esa persona automáticamente nace con un estado de prohibido, porque no se puede trabajar con una persona sancionada. Si se trata de un político o de una persona con responsabilidad, o el delito cometido ha prescrito y ya no está vigente, lo que se hace es elevar el riesgo de la persona y se le pide que aporte mucha más documentación y más información sobre sí.

Según explica De la Cruz, si la alerta deriva de una operación lo primero que hay que hacer es entender el porqué. Si de pronto una persona ingresa mucho dinero en su cuenta se contacta con el cliente y se le piden datos documentales de ese dinero, que puede ser de una herencia, de un préstamo de familia, etc., pero siempre hay un rastro y la operación tiene que ser lícita. Si no es lícita o la persona se niega a dar la información hay que notificarlo a regulador que es el SEPBLAC, para que investigue el tema.

Las alertas siempre tienen que revisarse por un analista de prevención, que es gente formada de forma especial y que tendrán una certificación en breve. Las empresas tienen su grupo de analistas, pero también se puede proveer desde RiskMS. Si el analista comprueba que es positivo se revisa la alerta para tomar la decisión sobre lo que hay que hacer con ese cliente a nivel de la empresa. La ley dice que tiene que haber un protocolo de actuación ya establecido por el SEPBLAC. Un incumplimiento en lo establecido tiene consecuencias penales, y es un tema bastante sensible.

¿De dónde salen las listas?

Para que el algoritmo pueda comparar datos necesita nutrirse de las listas donde se recogen los datos de las personas. Hay de todo tipo. En el ámbito público los organismos oficiales como la ONU o la CIA tienen sus propias listas, pero necesitamos también que las listas incluyan por ejemplo a los políticos y las relaciones familiares y de conocidos de esa persona. Para esto, el número de proveedores de información es limitado, por eso establecemos -dice De la Cruz- acuerdos con agencias de noticias como EFE, porque para ellos es fácil acceder a la información de personas que tienen delitos o que han sido procesadas.

En España además están los portales de los ayuntamientos o el portal de transparencia. En este último ves a los políticos, pero no al padre o la mujer del político. Con listas públicas es complicado llegar a todos los datos. Lo que se busca es acceder a toda la información que obliga la ley, no sólo en territorio español, sino también a nivel internacional.

En estas listas es más fácil entrar que salir. Lo habitual hasta ahora es que se regule mal, pero queremos tener el mayor número de datos posible para que no se escape nada. La memoria histórica del cliente es vivo en el tiempo y las alertas tienen una caducidad; si alguien tiene un comportamiento sospechoso en un momento, pasado un tiempo, si no vuelve a haber alertas eso vence, y se ajusta al comportamiento de la persona. Si alguien aparece en listas por haber cometido un delito, si ha cumplido la pena, si ha pasado por la cárcel, ya ha pagado con la sociedad y el comportamiento es normal, al principio, por estar en la lista puede ponderar al alza, pero no hay que tenerlo marcado de por vida. En las listas prima el día a día con la entidad, no su pasado histórico, es un perfil vivo que se adecua a la realidad del momento, tal y como explica De la Cruz.

Contra el blanqueo y el terrorismo

Actualmente en la ley antiblanqueo se habla también de la prevención del terrorismo. La realidad, señala De la Cruz, es que es más fácil identificar el blanqueo que el terrorismo, y es lo que más se persigue. La razón es que el terrorismo, tal y como funciona ahora, es más difícil de controlar. Antes los terroristas requerían una financiación importante y era más fácil de identificar, pero ahora los atentados se cometen con importes ínfimos. De hecho, uno de los últimos en París se financió con una compañía de préstamos inmediatos de 300 euros. Las actuales células tienen necesidades financieras mínimas, ahora son casi indetectables; el traslado de dinero para esos importes es muy sencillo, y la maraña financiera de tarjetas, etc., para esos importes tan bajos no se detecta. Aunque es muy difícil encontrar ese tipo de financiaciones, las fuerzas de seguridad logran a veces encontrar algunos, pero no es lo mayoritario.

En el ámbito público, aunque no se conocen tanto las actividades de blanqueo, lo que sí hay son comunicados del número de alertas que se producen y de las actuaciones sospechosas por parte de diversos actores. Como se apuntaba al principio, en 2015 las actividades que el SEPBLAC señaló de sospechosas fueron algo menos de 5.000. Ahora los bancos son los que más reportan esas alertas porque tienen más cultura de blanqueo. Ahora son los juegos de azar, las inmobiliarias y otros sectores los que están aumentando un 60% en las detecciones y alertas, van poco a poco detectando más comportamientos.

Otra cosa que consultar es la hemeroteca de sanciones, pero hay que decir que España no es el país que más se caracteriza por los grandes importes en las sanciones, de hecho existe la fórmula de pagar más sanción para que no se haga pública la cuantía de la misma. Las grandes firmas de bancos pagan más para que no se publiquen las sanciones por una cuestión reputacional, sin embargo en el extranjero las sanciones son más elevadas y públicas, pero esperamos que en breve la situación en España cambie, concluye De la Cruz.

No comments yet.

Deja un comentario