La Asamblea Nacional del Ecuador aprobó este jueves el proyecto de Ley de Prevención, Detección y Erradicación del Delito de Lavado de Activos y del Financiamiento de Delitos que busca crear un régimen que garantice la efectiva aplicación de las políticas, procedimientos y acciones orientadas a combatir estos delitos y que, entre otras novedades, amplía en número de sujetos obligados a reportar transacciones sospechosas.

La iniciativa contó con el voto positivo de 105 legisladores, en su mayoría del partido Alianza PAIS, 14 abstenciones y un voto en contra y ahora debe será enviada al Poder Ejecutivo para su sanción o veto.

El asambleísta que propuso la iniciativa, Virgilio Hernández, señaló que se busca “una lucha contra el lavado de activos, más operativa” por lo cual se ha propuesto elementos para detectar la propiedad, posesión, utilización, oferta, venta, corretaje, comercio interno o externo, transferencia gratuita u onerosa, conversión y tráfico de fondos producto de actividades delictivas.

La unidad de información financiera se llamará Unidad de Análisis Financiero y Económico (UAFE) y se amplía el número de sujetos obligados a reportar operaciones sospechosas. Además de las instituciones del sistema financiero y de seguros—que tendrán cuatro días para reportar— serán sujetos obligados a informar a la UAFE administradoras de fondos y fideicomisos, cooperativas, fundaciones y organismos no gubernamentales, personas naturales o jurídicas que comercialicen vehículos, embarcaciones, naves y aeronaves, casas de empeño, notarios, promotores artísticos, empresas de transferencia nacional o internacional de dinero o valores, transporte nacional e internacional de encomiendas o paquetes postales, correos y correos paralelos, entre otros.

La nueva directriz establece que además de los sujetos obligados todos aquellos que sepan de hechos relacionados con las actividades delictivas mencionadas deben alertar a las autoridades competentes y si tienen conocimiento de operaciones o transacciones económicas inusuales e injustificadas deben informar a la UAFE. Las operaciones inusuales son entendidas como los movimientos económicos realizados por personas naturales o jurídicas, que no guardan correspondencia con los perfiles que las entidades tienen de ellos, o que no pueden sustentarse.

La Junta de Política y Regulación Monetaria y Financiera será la encargada de llevar el liderazgo en materia de prevención del lavado de activos y financiamiento de delito, en el sentido que emitirá políticas públicas, y estará encargada de la regulación y supervisión monetaria, crediticia, cambiaria, financiera, de seguros y valores, para la prevención del lavado de activos y financiamiento de delitos.

Con la nueva normativa también se determinan las faltas administrativas y sus sanciones, el procedimiento administrativo sancionador, aspectos sobre programas y acciones de prevención diseñados por la UAFE para cumplir los objetivos de esta ley. En el plazo de 90 días, la Unidad de Análisis Financiero y Económico pasará a ser adscrita al Ministerio Coordinador de la Política Económica.

En materia de administración tributaria se reforma el artículo 298 del Código Integral Penal con lo cual se busca el cabal cumplimiento de las obligaciones tributarias, además que se precisa que los representantes legales y el contador, respecto de las declaraciones u otras actuaciones realizadas por ellos, serán responsables como autores en la defraudación tributaria en beneficio de la persona jurídica o natural, según corresponda, sin perjuicio de la responsabilidad de los socios, acciones, empleados, trabajadores o profesionales que hayan participado deliberadamente en dicha defraudación.

Este artículo de Jeimy Cano fue publicado en su blog IT-Insecurity – http://insecurityit.blogspot.com, una respetada publicación sobre la seguridad informática y las experiencias que permiten a profesionales de la seguridad como a curiosos de la inseguridad compartir en un mismo espacio ideas, inquietudes, experiencias sobre la inseguridad informática, que es la razón misma de la existencia de la seguridad informática. Se publica con el permiso del autor.

Por Jeimy Cano, Ph.D, CFE
IT-Insecurity – http://insecurityit.blogspot.com

Al ver las tendencias tecnológicas que aceleran los cambios y establecen nuevos referentes de comportamiento de las personas, se puede advertir que estamos entrando una dinámica de transformaciones sociales que aumentan los flujos de información, abren nuevas oportunidades para concretar negocios antes inexistentes y sobre manera plantean plataformas digitales donde se posibilitan conexiones entre grupos de interés que definen una nueva “ecología digital” esto es, la gestión de lo digital de forma creativa y disruptiva, para crear nuevas relaciones y experiencias en un ecosistema digital.

Un ecosistema de acuerdo con Capra (2003, p.294) es una red flexible en fluctuación permanente, cuya flexibilidad es una consecuencia de múltiples bucles de retroalimentación que mantienen al sistema en un estado de equilibrio dinámico y donde ninguna variable es maximizada, sino que fluctúan alrededor de sus valores óptimos; esta definición en el escenario digital, implica la creación de una cultura que se crea y se sostiene a través de un tejido de comunicaciones y relaciones que modifican la percepción de la realidad, cuya estabilidad y resistencia está basada la diversidad de iniciativas e ideas que generan sus participantes.

En este sentido, explicar la rápida expansión e innovación de la delincuencia informática, demanda conectar las prácticas de los “chicos malos” alrededor de los fundamentos de los ecosistemas digitales, de tal forma que los patrones de análisis basados en causa-efecto, comienzan a ceder terreno frente a los modelos dinámicos y circulares, que demandan entender la capacidad de adaptación y anticipación que han desarrollado, para así motivar nuevos referentes de entendimiento de sus propuestas y los nuevos vectores de actividades delictivas que se observen o propongan en el mediano y largo plazo.

Los delincuentes informáticos son parte de una evolución natural del crimen tradicional, de una transformación de la vista digital del mundo, donde las relaciones y posibilidades son parte de una mente colectiva que se construye sobre formas diferentes e inexistentes a la fecha, en palabras de Castells (mencionado por Capra, 2003, p.196), se fundamentan en una organización flexible en red, bien enraizada en la tradición y la identidad dentro de un marco institucional favorable, con una actuación local bien definida y un pensamiento global basado en alianzas estratégicas, generalmente con plataformas digitales de uso masivo y en lo posible gratuitas.

Así las cosas, este documento busca comprender los retos de los ecosistemas digitales criminales, como la nueva frontera de la investigación criminal, con el fin desconectar los conceptos hasta ahora vigentes para entender la delincuencia informática, incorporar la dinámica de las relaciones que se advierten en la conformación de comunidades ilegales y abiertamente contrarias a las leyes, que encuentran en un mundo digitalmente modificado nuevas oportunidades para alcanzar sus objetivos, comprometer la propiedad privada, dejar el menor número de rastros y pistas, y así reconectar la realidad del delincuente en un mundo digital desde la inevitabilidad de la falla como fundamento de sus actuaciones.

Ecosistema digital criminal. Repensando el modus operandi en un mundo digitalmente modificado

Para repensar la forma como la criminalidad ha evolucionado en un contexto digital como el actual, debemos superar la vista análoga del mundo, esto es la vista de los productos y servicios conocidos, basados en infraestructuras física y capitales económicos tradicionales, por una donde las conexiones se basan en infraestructuras lógicas, plataformas digitales (libres o gratuitas) y consumidores modernos, aquellos que han adoptado la tecnología como una oportunidad para transformar su contexto y hacer cosas distintas o mejorando las existentes de forma novedosa (McQuivey, 2013).

Lo anterior supone estresar los modelos lineales que explican la forma como se concreta un delito, donde existe un delincuente, una persona u objeto valioso, unas acciones concretas que afectan la persona u objeto y una consecuencia de la acción contraria a la ley, por una mentalidad circular y digitalmente modificada, donde existen comunidades socialmente conectadas, que motivadas por temas políticos, económicos o sociales, actúan sobre objetivos individuales o nacionales, para concretar acciones transversales contrarias a los ordenamientos jurídicos que afectan personas o naciones, aprovechando los vacíos normativos existentes.

Este contexto reta no solamente las prácticas de investigación criminal vigentes, sino el entrenamiento de las instituciones de policía judicial, pues ahora es necesario comprender la dinámica que supone un Ecosistema Digital Criminal – EcoDC, como ese conjunto de relaciones entre participantes locales y globales, que crean una red flexible de capacidades criminales para concretar nuevas posibilidades de acción ágiles, livianas, sencillas y efectivas, que alteren y confundan la realidad de los afectados y así, se alcancen los objetivos planeados con el máximo de anonimato y el mínimo de evidencia disponible.

Una vista concreta de este EcoDC, se puede leer desde los cinco dominios de la transformación digital de Rogers (2016): los clientes, la competencia, los datos, la innovación y el valor. Esto es, aprovechar las redes de clientes asistidas por las redes sociales digitales, construir plataformas digitales para potenciar las capacidades entre los competidores, convertir los datos en activos, que revelen patrones y oportunidades para crear realidades emergentes, crear prototipos experimentales de bajo costo que validen ideas y apalanquen el aprendizaje sobre aspectos inciertos de la realidad y finalmente reimaginar el presente, anticipando nuevas oportunidades y riesgos leídos en términos de los rápidos cambios de los clientes, sus necesidades y gustos.

La delincuencia informática leída en esta dinámica digital se concreta en redes sociales de comunidades criminales que han desarrollado habilidades colaboración y estatus basada en sus acciones delictivas, las cuales cuentan con plataformas digitales basadas en herramientas, generalmente abiertas o gratuitas, que se aprovechan de debilidades de los sistemas informáticos, que confunden a sus víctimas y demoran a las autoridades, las cuales recaban información de sus objetivos comprometidos para crear perfiles y patrones que puedan anticipar y analizar, con los cuales pueden experimentar para crear nuevos vectores de ataque, con ligeros cambios en las prácticas actuales que aumenten la efectividad de sus acciones, aseguren bajos niveles de detección, así como inhabilitación, desactivación o destrucción de cualquier rastro disponible.

Lo anterior plantea un reto estratégico para las autoridades de justicia, pues la promesa de valor criminal, cuenta con una variedad y complejidad superior a la que un investigador tradicional puede manejar, lo que necesariamente obliga a concretar una vista que procure una destrucción creativa de los paradigmas actuales. Un proceso de deconstrucción de prácticas de investigación criminal estáticas, hacia una aproximación dinámica donde los miembros de la comunidad tienen acceso abierto a toda la información, en lugar de restringir su flujo basado en la “necesidad de conocer” (Nolan y Croson, 1995, p.91) y donde las plataformas digitales abiertas ofrecen posibilidades para desarrollar conocimiento superior sobre tendencias y patrones de los delincuentes.

La estrategia digital criminal. La inestabilidad y la incertidumbre como promesa de valor

La estrategia de los delincuentes en internet no ha variado. La industria del engaño y el exceso de confianza en los mecanismos de seguridad y control, confirman de forma permanente la esencia de los movimientos de aquellos que actúan en contra del ordenamiento jurídico, afectando los derechos, libertades y garantías de las personas. En este sentido, la estrategia digital criminal establece una frontera confusa para las autoridades, como quiera que crean ventanas de oportunidad o de amenaza que revelan aspectos desconocidos de sus actuaciones, ahora en un ecosistema digital criminal.

Considerando la definición de un ecosistema digital criminal, previamente comentada, es claro que se requiere desarrollar una red flexible de capacidades, creando confusión en los afectados, con el máximo de anonimato y el mínimo de rastros. En este entendido, las comunidades de delincuentes en redes sociales o bajo escenarios como la “web profunda”, comparten ideas, tendencias, desarrollos y propuestas para aumentar la efectividad de sus acciones, actividades que crean tejidos de conocimiento que anticipan acciones delictivas no conocidas e inciertas para la sociedad.

Este ejercicio de compartir, por lo general recibe la crítica y el debate de los participantes, con el fin de concretar y mejorar la perspectiva de la acción propuesta con el fin de aumentar la contundencia de la misma, en términos de crear el desconcierto y desorientación, como fundamento de su actuación y disminuir la generación de evidencia verificable que pueda motivar una investigación y reconstruir la forma como el plan de la delincuencia se ha formulado y cuáles han sido sus motivaciones.

Mientras las autoridades basan sus investigaciones y acciones sobre la certeza de los ataques o acciones delictivas, para concretar sus dictámenes, los delincuentes asumen y se recrean en lo incierto como fundamento para repensar sus propias actuaciones desde diferentes puntos de vista. Lo anterior, implica que, en un entorno digitalmente modificado (Porter y Heppelmann, 2015), los maleantes informáticos saben que la promesa de valor de sus acciones está fundada en la creación de inestabilidad e incertidumbre que confunda, engañe, destruya, altere, degrade o niegue el acceso a los recursos, servicios, productos y operaciones que una organización o persona tiene.

Así las cosas, no es la acción delictiva en sí misma la fuente de la comprensión de los móviles en los delitos de alta tecnología, sino las capacidades de experimentación y tolerancia a la falla disponibles en las comunidades criminales, lo que permite celebrar como la inevitabilidad de la falla concreta momentos inesperados que abren posibilidades para adelantar actividades, basadas en las capacidades de otros participantes y potenciando los nuevos aprendizajes que retan el estado del arte de la práctica de seguridad y control.

En pocas palabras, la estrategia digital criminal se configura como una capacidad resiliente que se adapta antes que las nuevas tendencias le indiquen que lo hagan (Aurik, Fabel y Jonk, 2015). Es un ejercicio donde se crean nuevas propuestas que cambian el status quo de la práctica de seguridad y control, aumentando la oferta de opciones contrarias a la ley, a través de un ecosistema digital criminal como plataforma de despliegue, para generar nuevos potenciales elementos de valor (nuevas tecnologías, tendencias socioculturales, necesidades no satisfechas) (Rogers, 2016, p.181) que aumenten la ambigüedad y la incertidumbre como fuente de nuevas técnicas ofensivas complejas, de bajo costo, altamente confiables y basadas en el anonimato.

La preparación forense digital. Reinventando las prácticas de investigación criminal

Ante esta realidad volátil, incierta, compleja y ambigua (Johansen, 2009) que plantea el nuevo EcoDC, se hace necesario desconectar los fundamentos de la práctica forense digital conocidos hasta el momento, para lograr, como anota García (2014, p.9) un equilibro entre creación de potencial y explotación de potencial, y de esta manera superar la inercia y tranquilidad que generan la confianza en las prácticas y procedimientos se usan de forma cotidiana para enfrentar la criminalidad informática.

Mientras el proceso de la práctica forense digital, sigue un paso a paso lineal, que debe ser asegurado en cada uno de sus momentos para mantener la integridad de la evidencia y su adecuado tratamiento, la preparación forense digital responde a una lógica circular y dinámica que busca asegurar al menos cinco objetivos fundamentales: (Adaptado de: Sachowski, 2016, p.21)

• Maximizar el uso potencial de la evidencia digital
• Minimizar el costo de las investigaciones forenses digitales
• Minimizar la interrupción e interferencia de los procesos de negocio
• Preservar y mejorar la postura de seguridad de la información
• Maximizar la inteligencia de fuentes abiertas de nuevos vectores y prácticas criminales informáticas

En este sentido, la preparación forense digital es la capacidad que tiene una organización o individuo para maximizar de manera proactiva el uso prospectivo de la información electrónicamente almacenada y los resultados de la inteligencia de fuentes abiertas, para reducir el costo de las investigaciones forenses digitales y fortalecer su postura vigilante frente a la inestabilidad e incertidumbre que genera la inevitabilidad de la falla (Adaptado de: Sachowski, 2016, p. 45).

Lo anterior supone la convergencia de las prácticas forenses digitales y las de seguridad de la información, una combinación y desarrollo de capacidades que buscando la minimizar la interrupción de las funciones del negocio y aumentando su resistencia a los ataques, mantenga la relevancia, pertinencia y admisibilidad de la evidencia digital. Esta nueva realidad, establece no solo una estrategia forense y de seguridad conjunta, sino acciones proactivas y de prevención que crean una plataforma de defensa que disuada a los potenciales atacantes, aumente su tolerancia a las fallas y anticipe escenarios de investigación criminal no conocidos.

Esta convergencia habilita una vista dinámica y sistémica de la investigación criminal digital que cambia las reglas de los análisis forenses digitales creando nuevos normales que conectan la realidad de los ecosistemas digitales criminales. Esto significa, trabajar de forma conjunta con los profesionales de seguridad y control en las organizaciones para: (Adaptado de: Sachowski, 2016, p. 51)

• Definir escenarios de riesgos conocidos, latentes, focales y emergentes (Cano, 2014) que requieren contar con evidencia digital
• Identificar las fuentes de datos disponibles y los diferentes tipos de evidencia digital
• Determinar los requerimientos para recopilar la evidencia digital
• Establecer las capacidades de recolección de evidencia digital que soporte las reglas de la evidencia
• Desarrollar un marco de gestión de la evidencia digital sobre ecosistemas digitales
• Diseñar controles de monitoreo activo para detectar patrones y eventos no convencionales que afecten las operaciones, servicios y/o productos de la organización
• Especificar criterios de escalamiento de incidentes para adelantar investigaciones forense digitales
• Adelantar entrenamientos para educar y formar sobre las nuevas amenazas y vectores de ataque identificados a los diferentes roles en la organización
• Documentar y presentar los hallazgos y conclusiones de las investigaciones basados en evidencia digital formalmente tratada
• Asegurar una adecuada revisión legal que facilite acciones de respuesta concreta a los eventos o incidentes detectados

Como quiera que tanto la práctica de seguridad de la información como la de investigaciones forenses digitales tienen sus propios referentes teóricos y tradición científica, la evolución de la criminalidad informática sobre EcoDC, motiva una transformación de ambos dominios para crear un modelo de práctica convergente que identifique los nuevos retadores de sus estándares, revele las nuevas personas o industrias afectadas por las inéditas capacidades criminales y persiga y confronte los clientes emergentes a los cuales los nuevos retadores sirven (Rogers, 2016, p.220).

Reflexiones finales

Los ecosistemas digitales, como nueva referencia básica de las organizaciones, en un mundo digitalmente modificado, plantean retos permanentes que motivan transformaciones empresariales que crean inestabilidades en los mercados cambiando las reglas sobre las cuales se hacen y crean relaciones de negocio (Weinman, 2015); un reto para los ejecutivos de las juntas directivas que definen y asumen niveles aceptables de riesgo en una realidad dinámica e incierta (Ormazabal, 2016).

De esta misma forma, la delincuencia ha asumido esta nueva realidad para crear ecosistemas digitales criminales donde transforman productos en plataformas de acción, que habilitan la introducción de capacidades distintivas para comunidades socialmente conectadas de delincuentes, con el fin de acelerar y extender las oportunidades para concretar sus actos contrarios a la ley.

En este sentido, las intervenciones de la criminalidad se hacen socialmente más fuertes, dado los impactos de sus actividades para crear miedo, incertidumbre y dudas, que crean efectos masivos en los ciudadanos, los cuales ven como los “chicos malos” establecen referentes de actuación de acción local y con soporte global, donde las autoridades se declaran sorprendidas y particularmente superadas con las capacidades novedosas que los ataques y engaños exhiben.

Sin perjuicio de lo anterior, la respuesta de la institucionalidad de la sociedad viene ganando terreno para aumentar y desarrollar mayores capacidades para anticipar la dinámica de las redes criminales y las posibilidades que plantean las plataformas digitales habilitadas desde los EcoDC. En este entendido, la investigación criminal digital establece una vista convergente de las prácticas de seguridad y control con las forenses digitales, para aunar esfuerzos que permitan observar de manera cercana los patrones emergentes de acciones criminales no conocidos y pensar por fuera de lo establecido en el status quo, y así reconfigurar los procedimientos y estándares desde una epistemología sistémica y compleja.

Si entendemos que cualquier cosa puede ser digitalmente modificada, es decir que esencialmente puede tener un procesador que genere datos sobre el comportamiento del objeto modificado (Raskino y Waller, 2015), estamos ante un cambio de perspectiva del mundo análogo y de fronteras difusas, donde la información se convierte en un activo estratégico valioso para crear nuevas fronteras en los negocios y propuestas de valor que anticipen o motiven tendencias inexistentes en la sociedad.

Habida cuenta de lo anterior, estamos entrando en una acelerada transición hacia ecosistemas digitales que crean características, funciones y desempeños inéditos que habilitan capacidades para cambiar la realidad actual y crear las tendencias del futuro. En un mundo de productos, servicios y operaciones digitales activos y conectados, la delincuencia informática encuentra un escenario natural para repensar sus actuaciones, aprovechando al máximo la inexperiencia, el desconocimiento y la novedad de la sociedad frente a esta realidad emergente.

Por tanto, tendencias tecnológicas como la computación en la nube, el internet de las cosas, la computación móvil, los grandes datos y la analítica, las redes sociales, las criptomonedas, los drones, el almacenamiento 5D, entre otras, establecen referentes para observar, conocer y aprovechar, de tal modo que la investigación criminal digital no se concentre en encontrar la solución correcta frente a los casos que enfrenta, sino que explore y resuelva el problema correcto, esto es, asuma los ecosistemas digitales criminales como una ventana de aprendizaje y desaprendizaje que quiebre sus verdades vigentes y posibilite la convergencia con otras disciplinas.

Referencias

Aurik, J., Fabel, M. y Jonk, G. (2015) The future of strategy. A transformative approach to strategy for a World that won´t stand still. A. T. Kearney, Inc. New York, USA: McGraw Hill Education.

Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf

Capra, F. (2003) Las conexiones ocultas. Implicaciones sociales, medio ambientales, económicas y biológicas de una nueva visión del mundo. Barcelona, España: Editorial Anagrama.

García, E. (2014) Supera las crisis reinventándote. Una guía hacia la excelencia empresarial y personal. Barcelona, España: Libros de Cabecera S.L.

Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

McQuivey, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Las Vegas, Nevada. USA: Amazon Publishing.

Nolan, R. y Croson, D. (1995) Creative destruction. A six-stage process for transforming the organization. Boston, Massachussets. USA: Harvard Business School Press.

Ormazabal, G. (2016) Lo que todo consejero debería saber. IESE Insight. Primer trimestre. 23-28.

Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.

Raskino, M. y Waller, G. (2015) Digital to the core. Remastering leadership for your industry, your Enterprise and yourself. Gartner, Inc. Brookline, MA. USA: Bibliomotion, Inc.

Rogers, D. (2016) The digital transformationn playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.

Sachowski, J. (2016) Implementing digital forensic readiness. From reactive to proactive process. Cambridge, Massachussets. USA: Syngress-Elsevier.

Weinman, J. (2015) Digital disciplines. Attaining market leadership via the cloud, Big data, Social, Mobile and the internet of things. Hoboken, New Jersey. USA: John Wiley & Son.

Por el Equipo de ACFCS
10 de Junio, 2016

Esta semana en Tendencias en Delitos Financieros, las autoridades colombianas encuentran el primer caso de lavado de dinero de los Panamá Papers; veterano en Tecnología de la Información coordinará los esfuerzos de la SEC en temas de política de ciberseguridad; el Papa Francisco firmó una declaración en la que llamó a perseguir “intensamente” el delito de lavado de dinero, una nueva iniciativa anticorrupción en Panamá; Le Pen anunció que si llega al poder en 2017 prohibirá el Bitcoin y las monedas virtuales; y más…

Lavado de dinero

Las autoridades colombianas ya encontraron el primer caso de lavado de dinero de los Panamá Papers, informó desde Cartagena el director de la Dian, Santiago Rojas.  Hasta el momento hay 60 casos sustentados de evasión de impuestos y ocultamiento de activos de los cuales 10 tienen implicaciones penales. “Detectamos un caso en el cual una empresa de abogados en Colombia creó unas 30 empresas en Panamá a un grupo económico que está investigado por la Fiscalía General de la Nación. Montaron todo un andamiaje para evadir impuestos y lavar dinero”, explicó Rojas. Un grupo de 50 auditores de la Dian está cruzando la información de las bases de datos de Mossack Fonseca publicadas por el Consorcio Internacional de Periodistas con su propia información. Pero lo descubierto hasta ahora parece ser solo “la punta del iceberg”, en las palabras del propio Gobierno. En total las autoridades esperan armar unos 300 expedientes contra contribuyentes que escondieron activos para no pagar impuestos o que están involucrados en actividades ilegales. En el escándalo de los Panamá Papers han aparecido toda clase de celebridades de la política, el deporte y los medios de comunicación, incluso en Colombia. (Con información de Dinero.com)

El Papa Francisco firmó una declaración en la que llamó a perseguir “intensamente” el delito de lavado de dinero y abogó para que los “bienes incautados a traficantes y criminales” sean devueltos a la sociedad para la “rehabilitación y compensación de las víctimas”, al cierre de un encuentro con jueces y fiscales de todo el mundo. Al término de la “Cumbre de los jueces sobre la trata de personas y el crimen organizado” celebrada en el Vaticano, se difundió un texto en el que pidió considerar a “la esclavitud moderna, la trata de personas, el trabajo forzado, la prostitución y el tráfico de órganos humanos” como “crímenes contra la humanidad”.Entre los diez objetivos que figuran en el texto, el tercero habla de la necesidad de castigar el lavado de dinero y rescatar el dinero mal habido para devolverlo a la sociedad. “Los bienes incautados a traficantes y criminales ya condenados deben ser utilizados para la rehabilitación y compensación de las víctimas, y para la reparación de la sociedad. El delito de lavado de dinero debe ser intensamente perseguido, porque consiste en hacer que los fondos o activos obtenidos a través de actividades ilícitas aparezcan como el fruto de actividades legales”, señaló el escrito. (Con información de La Capital)

Whistleblower

La Comisión de Bolsa y Valores anunció esta semana una recompensa de más de US$ 17 millones a un ex empleado de una compañía cuya información detallada ayudó sustancialmente a la investigación de la agencia. La recompensa es la segunda más grande otorgada por la SEC desde que comenzara su programa de denunciante hace casi cinco años. La SEC otorgó una recompensa de US$ 30 millones en el septiembre de 2014 y de US$ 14 millones en octubre de 2013. “Los informantes internos de las compañías se encuentran en una posición única para proteger a los inversores y hacer sonar la alarma sobre irregularidades de la empresa, proporcionando información clave para la SEC para que podamos investigar el alcance total de las violaciones”, señaló Andrew Ceresney, Director de la División de Cumplimiento de la SEC. “La información y la asistencia proporcionada por este denunciante permitió que nuestro personal ahorrara tiempo y recursos y reuniera pruebas sólidas que apoyan nuestro caso”. El programa de denunciantes de la SEC ha otorgado recompensas por US$85 millones a 32 denunciantes desde la creación del programa en 2011. Los denunciantes pueden ser elegibles para una recompensa cuando voluntariamente proporcionan a la SEC con información nueva y útil que lleve a una exitosa acción de ejecución de ley. Las recompensas pueden variar del 10% al 30% del dinero recaudado en las que las sanciones monetarias que exceden US$ 1 millón. (Con información de la SEC)

Monedas Virtuales

La presidenta del Frente Nacional de Francia Marine Le Pen anunció que si llega al poder en 2017 prohibirá el Bitcoin y las monedas virtuales argumentando que el dinero pertenece al público y el único control y jurisdicción debe tenerlo el estado. Una medida que la líder del FN inscribe dentro de su programa de patriotismo económico en nombre de la defensa de la moneda como bien público nacional confiada al pueblo soberano. El FN, al constituirse en defensor de las monedas tradicionales, quiere ser un actor económico responsable con anclaje en la economía real. En esta línea, no dudan en caricaturizar a sus oponentes como François Hollande y Nicolas Sarkozy que han cambiado el límite de pagos en efectivo de € 7.500 a € 1.000. En Francia, si bien no se ha adoptado un estatuto jurídico particular para el Bitcoin no está prohibido su uso y es aceptado de forma creciente en los establecimientos comerciales. Para el FN es preciso no equivocarse: el lugar cada vez más importante que ocupan las monedas virtuales plantea un combate para las libertades fundamentales: “Hacer desaparecer el dinero líquido en beneficio de las monedas virtuales en nombre del progreso numérico o de la lucha contra el terrorismo es una alienación del hombre en provecho del sistema bancario mundial”. (Con información de ControlCapital.net)

Fraude

La estrella futbolística del Barcelona Neymar enfrenta cargos de fraude relacionados con su polémica transferencia en 2013 del Santos, de acuerdo con múltiples informes en España. El complicado acuerdo que llevó al capitán de Brasil al Camp Nou ha sido objeto de múltiples investigaciones judiciales en Brasil y en España. Los detalles del acuerdo aún no están claros. La información más reciente se refiere a una queja presentada por el grupo brasileño de inversión DIS, con una participación del 40% de los derechos de Neymar al principio de su carrera, y sienten que no recibieron un reparto justo (US$ 6,8 millones de la comisión de US$17 millones de Santos) del dinero pagado por el Barça para firmar al jugador. Fuentes judiciales han señalado a agencias de prensa que el fiscal José Perals ha pedido al juez de la Audiencia Nacional José de la Mata que cite a los tribunales a Neymar Junior, su padre y al ex presidente del Barça Sandro Rosell a los tribunales para que respondan cargos de fraude relacionados con la transferencia. Neymar, sus padres, Rosell, , Josep Bartomeu, actual presidente del Barcelona, y figuras destacadas de Santos se presentaron en un tribunal de Barcelona el pasado mes de febrero para dar testimonio ante el juez de la Mata con respecto a la misma transferencia. En un primer momento, el Barça señaló que la comisión pagada por la transferencia cuando Neymar se unió al club fue de € 57.1 millones, pero más tarde admitió haber pagado € 80 millones en total. Bartomeu, Rosell—quien renunció en enero de 2013—y el padre de Neymar han sostenido que, si bien la transferencia fue complicada, no se realizaron actos indebidos. (Con información de ESPN)

Ciberdelito

Un profesional veterano en Tecnología de la Información, Cristopher Hetner, coordinará los esfuerzos de la Comisión de Bolsa y Valores (SEC) en temas de política de ciberseguridad y para “reforzar los mecanismos de la SEC para evaluar los riesgos de todo el mercado”. La agencia señaló que Hetner trabajará como asesor principal de la presidenta de la SEC Mary Jo White en todos los temas relacionados con la seguridad cibernética. En su nuevo cargo, Hetner será responsable de coordinar los esfuerzos de la agencia para hacer frente a la política de seguridad cibernética, dialogar con accionistas e interesados externos, y mejorar aún más los mecanismos de la SEC para evaluar el riesgo del mercado en su concepto más amplio. “Los ataques cibernéticos son una amenaza constante para nuestros mercados”, dijo Mary Jo White. “Debido a que el campo cibernético se encuentra en constante evolución y constante expansión, es imprescindible que continuemos mejorando nuestro enfoque coordinado sobre la política de seguridad cibernética en toda la SEC y participar en los más altos niveles con los agentes del mercado y organismos gubernamentales en relación con los últimos avances en este campo. Somos muy afortunados de que Chris asuma esta importante función donde pondrá en práctica su pericia y décadas de experiencia en seguridad de la información”. (Con información de la SEC)

El grupo de piratas informáticos Anonymous realizó un ciberataque la semana pasada a la Bolsa de Valores de Londres (LSE) como parte de una continua operación que apunta a las instituciones financieras. La página web de la Bolsa de Londres dejó de funcionar durante unas dos horas el jueves pasado como parte de la campaña Operación Ícaro lanzado el mes pasado por una facción de Anonymous. Objetivos anteriores incluyeron al Banco de Grecia, el Banco Central de la República Dominicana y el Banco Central de Holanda. “El ataque a la Bolsa de Londres es otro ejemplo de que ninguna organización es segura, no importa lo grande que sea”. Señaló Andy Buchanan, vicepresidente de RES Software, a la revista Newsweek. negociación En este caso parece que las negociaciones no se vieron afectadas y no se robó información sensitiva. (Con información de Newsweek)

El FBI advierte a los bancos de EE.UU. que presten atención a señales de posibles ciberataques tras el caso el masivo robo al Banco Central de Bangladesh. Les pide que busquen pistas técnicas para ver si han sido blanco del mismo grupo. La notificación privada “Flash”, que ofreció información técnica sobre los ataques, señaló que el “grupo cibernético malicioso” había puesto en peligro las redes de varios bancos extranjeros. “Los actores han explotado las vulnerabilidades en los ambientes internos de los bancos e iniciaron transferencias no autorizadas de dinero a través de un sistema internacional de pagos”, señalaba la alerta. (Con información de Reuters)

Corrupción

El Consejo de la Concertación Nacional para el Desarrollo de Panamá presentará al Órgano Ejecutivo sus propuestas para el anteproyecto de ley contra la corrupción. El Ejecutivo propuso nueve puntos como base de discusión, entre los que se encuentran la protección a denunciantes de corrupción. El pasado 13 de mayo el presidente de Panamá Juan Carlos Varela anunció la creación de una comisión de ministros que evaluaría en los próximos días el proyecto de ley No. 305, que reforma la Ley No. 22 de 2006, que regula las contrataciones públicas en Panamá y que ya fue aprobado en la Asamblea Nacional. Paralelamente a esa comisión Varela designó al viceministro de la Presidencia Salvador Sánchez para que estuviera encargado de evaluar los aspectos legales de la norma aprobada por los diputados. Sánchez también será el enlace entre el Gobierno y la sociedad civil organizada para “ver algunos temas que según la sociedad civil no fueron incluidos” en la nueva ley de contrataciones públicas. El ministro de la Presidencia, Álvaro Alemán, pidió a la Secretaría Ejecutiva de la Concertación que efectuara las diligencias para que los miembros del citado consejo presenten sus propuestas. (Con información de La Prensa)

La mayoría de los brasileños cree que no hubo cambios en el país con la llegada al poder del gobierno del presidente interino, Michel Temer, que tiene una imagen positiva del 11,3%, según una encuesta divulgada este miércoles. El sondeo fue realizado por la encuestadora MDA a pedido de la patronal Confederación Nacional de Transportes (CNT) y ha sido divulgada en un momento delicado para el partido de Temer. La Fiscalía solicitó el lunes la prisión de cuatro “caciques” del Partido del Movimiento Democrático Brasileño (PMDB), entre ellos el presidente del Senado, Renan Calheiros, y el ex ministro de Planificación de Temer Romero Jucá, salpicados por el escándalo de corrupción en la petrolera estatal Petrobras. La corrupción fue precisamente uno de los asuntos tratados en el sondeo, en el que fueron entrevistadas 2.002 personas en 137 municipios de Brasil. El 46,6% de los encuestados considera que la corrupción durante la gestión de Temer será igual que durante el mandato de la suspendida presidente Dilma Rousseff, apartada de su cargo por el Senado el 12 de mayo para el inicio de un juicio político con miras a su destitución. El 28,3% de los participantes del sondeo consideró que será menor y el 18,6% opinó que será mayor. (Con información de Infobae)

En una era de crecientes amenazas cibernéticas, las empresas saben que tienen que reforzar los sistemas, y los empleados deben saber que tienen que tener cuidado con lo que entra y sale de sus correos electrónicos.

Pero la ciberseguridad es a veces un revoltijo de dinámicas que se yuxtaponen. La competencia entre los departamentos de sistemas y las empresas que se muestran preocupadas por los costos significa que por lo general no es el mejor sistema el que se consigue poner en funcionamiento, sino el que está al alcance del bolsillo de la compañía.

Los delincuentes también se mueven por el camino de la menor resistencia, esperando que alguien simplemente no esté prestando atención a ese extraño email que se deslizó a través de los filtros de spam y pide a un empleado que actualice la información de su cuenta. Las instituciones financieras buscan mayor integración e interconexión, pero eso también significa que cualquier apagón del sistema tiene mayor repercusión. Además, controles más fuertes para que las empresas y los clientes accedan a servicios y sistemas en línea significa mayores costos y posiblemente mayores demoras para tener acceso a la información, que podría fastidiar a varios titulares de cuentas.

Una cosa en la que los expertos están de acuerdo es que hay algunos enfoques y medidas –de poca sofisticación tecnológica—que las instituciones pueden tomar para proteger mejor sus bóvedas virtuales de los ataques cada vez más eficaces que han afectado significativamente bancos y minoristas – como JPMorgan, Target y otros. Estas soluciones se encuentran en una combinación de capacitación de los empleados, evaluaciones de riesgo cibernético y la comprensión de los patrones de ataque clásicos y emergentes.

“El elemento humano es una de las mayores debilidades” en las actuales medidas cibernéticas que están utilizando bancos y otras empresas, dijo Nicole Bocra, directora de la firma Investigative Solutions y ex investigadora especial de FINRA. “La gente está tan acostumbrada a abrir archivos adjuntos. Poder explicarles que no haga eso es un tema muy importante en el mundo cibernético”.

Los delincuentes tampoco están limitando sus ataques a computadoras, están moviendo virus y otros códigos hacia los dispositivos móviles, incluyendo teléfonos inteligentes, dijo. En un ataque reciente, un grupo de hackers envió correos electrónicos con extraña letras árabes a personas que al abrir o solo ver un avance de este correo en sus iPhone, podría apagar el teléfono.

Aquí les presentamos algunas de las mejores medidas que las instituciones pueden tomar para capacitar a los empleados para tomar mejores decisiones, creando de esta manera menos oportunidades para los delincuentes:

Missing link o vínculo faltante: educar a los empleados para que no hagan clic en enlaces o archivos adjuntos de correo electrónico de personas y empresas que no reconocen. Si no están seguros, enseñarles que pueden pasar el mouse por encima del nombre del remitente para que se revele la dirección de correo electrónico relacionada sin tener que hacer clic en el mismo.

Atención: para garantizar que la capacitación en ciberseguridad está pegando, algunas compañías han enviado mensajes de correo electrónico de prueba con los remitentes ficticios, con errores de ortografía y/o gramaticales y los archivos o vínculos infectados. Cualquier empleado que haga clic en estos enlaces deberá someterse a la capacitación obligatoria de ciberseguridad.

Contraseñas: Esto puede parecer obvio, pero las empresas deben exigir cambios regulares de contraseñas, posiblemente tras algunos meses. Además, a los empleados se les debe enseñar cómo crear contraseñas que sean más difíciles de hackear, incluyendo letras mayúsculas y minúsculas, números y caracteres especiales, como signos de exclamación.

Wi-Fi: dejarles saber a los  empleados que las infecciones pueden ocurrir mientras no están en el trabajo, en una computadora portátil, teléfono o tableta, y que luego pueden infectar las computadoras y las redes en el trabajo cuando se conectan a ellas. Por ejemplo, los empleados deben tener cuidado con el wi-fi por el tema de conexiones públicas inseguras y peligrosas.

Al responder a los correos electrónicos o los proyectos de la empresa a través de una red Wi-Fi insegura, ésta puede exponer involuntariamente el contenido de sus mensajes de correo electrónico. Las empresas deberían considerar el uso de redes privadas virtuales (VPN) que proporcionan cifrado de datos o solo utilizar redes Wi-Fi de confianza a las que se ingresa con el uso de contraseña.

Por mucho que las empresas desean capacitar a los empleados más jóvenes, sin embargo, la fuerza del mensaje viene por parte de los ejecutivos y el liderazgo de éstos debe ser juzgado previamente, antes de que ocurra el ataque.

Esté preparado: “Una de las cosas que una empresa puede hacer para prepararse mejor es participar en ejercicios de simulación con entrenamiento en vivo”, señala Joseph DeMarco, socio de la firma neoyoquina DeVore & DeMarco y ex fiscal federal asistente para el Distrito del Sur de Nueva York, donde dirigía el programa de hacking informático. “Usted puede juntar a ejecutivos en la misma sala y hacerlos experimentar escenarios de filtración” para medir la exactitud y pertinencia de las respuestas y hacer mejoras antes de que ocurra un ataque grave.

Evaluaciones de las amenazas: “No existe una cura cierta” para evitar ataques cibernéticos, señala John Walsh, director ejecutivo de SightSpan, una consultora en el tema de cumplimiento. Pero la prevención, la detección y la respuesta son de importancia crítica. Pero los bancos y las empresas sólo pueden saber qué áreas deben fortalecer si realizan una evaluación de las amenazas de ciberseguridad.

“Los ladrones realizan evaluaciones de amenazas de vulnerabilidad” y el gobierno ha estado haciendo modelos de riesgo similares durante décadas, por lo que le tocaría a las operaciones participar en iniciativas similares, dijo.

Sorprendentemente muchas empresas, después de la compra de software y asegurar los sistemas, no tomarán el paso extra para ver qué áreas todavía podrían quedar relativamente abiertas y vulnerables, ya sea por fallos de sistemas, falta de conciencia o de capacitación del personal, dijo Walsh.

Hacer este ejercicio y crear los cimientos de los que constituye actividad de red normal y esperada en toda la compañía e incluso en ciertos departamentos o estaciones de trabajo individuales, podría ayudar al personal de seguridad cibernética cuando se dispara el movimiento de datos, que podría ser un indicativo de una filtración, señala Walsh.

Conozca los costos

El hacking es muy costoso, además de crear enormes inconvenientes

La ciberdelincuencia ha superado al tráfico ilícito de drogas en lo que respecta a la rentabilidad para el crimen organizado y los grupos de hacking.

Como resultado de estos ataques virtuales, la identidad de alguna persona es robada cada tres segundos.

Sin al menos un programa de seguridad, ya sean firewalls, antivirus, los datos no protegidos pueden infectarse a los cuatro minutos de que se realiza una conexión a Internet

Los ciberataques también son costosos. El año pasado, el costo promedio de la filtración de datos a una compañía de EE.UU. fue de US$6 millones.

Paralizarse: las empresas pueden mostrarse reacias a revisar sus sistemas de seguridad cibernética una vez que instalan sus sistemas y solo quiere depender de las actualizaciones provistas por los proveedor-, debido a los costos o las limitaciones de recursos.

Pero las tácticas de ataques cibernéticos “cambian con frecuencia, y las políticas deben ser flexibles para cambiar con ellas”, dijo Karen Lissy, una científica social de investigación en RTI International en Research Triangle Park.

“Y esté abierto a las oportunidades de ingeniería”, dijo. “Si usted descubre que puede diseñar un programa para mitigar cierta amenaza cibernética, de esta manera usted puede minimizar la incertidumbre del elemento humano”.

*colaboración especial*

Por Sarah Beth Whetzel

Experta en ALD y la Ley de Secreto Bancario en Palmera Banking Solutions

www.palmeraconsulting.com

Sarah@PalmeraConsulting.com

Publicada con autorización

Los profesionales encargados de combatir el lavado de dinero en los negocios de servicios monetarios (MSB), que incluyen remesadoras, casas de cambio, etc., puede preguntarse si la información de los Panamá Papers tiene alguna relación con sus operaciones diarias. La respuesta es que sí, tienen un efecto sobre los MSB, aunque uno menor que el que sufrieron las instituciones tradicionales.

Hay varios pasos que su MSB puede tomar para identificar y mitigar los riesgos asociados con no sólo con el caso Mossack Fonseca, sino con otras relaciones en paraísos fiscales.

Si bien las instituciones tradicionales tienen la mayor exposición, y por lo tanto las que tuvieron que tomar la mayoría de los pasos en relación con esta noticia, los MSB (transmisores de dinero, específicamente) tienen inherentemente un riesgo más alto, pero menor exposición. Voy a explicar los tres elementos inherentes a un MSB que proporcionan un mayor riesgo.

En primer lugar, si un individuo o una corporación va a aventurarse fuera de la ruta de la banca, como por ejemplo a través del uso de un MSB, hay un mayor riesgo de que esté tratando de confundir el rastro de los fondos.

En segundo lugar, los MSB solo están obligados a recoger la información de identificación del cliente según lo obliga el CIP (Customer Identification Program). Debido a la relación de corto plazo con los clientes, los MSB no están obligados a llevar a cabo una continua debida diligencia o debida diligencia reforzada para los clientes.

Las instituciones tradicionales deben cumplir con los requisitos de debida diligencia o debida diligencia reforzada para los clientes que pueden ayudar a una institución en la identificación de clientes de alto riesgo y por lo tanto ayudar con los próximos pasos a seguir en relación con la actividad en paraíso fiscal.

Los MSB no están obligados a ello, y debido a sus relaciones de corto plazo con los clientes, pueden no ser capaces de decir de manera concluyente si un cliente se dedica a actividades presuntamente ilícitas.

Por ejemplo, una institución financiera tradicional se involucra en una relación con un cliente y recoge, almacena y actualiza la información en relación con su industria o si es un PEP (personas expuestas políticamente). Algunos de los más MSBs más grandes probable estén vigilando por PEPs, sin embargo, no es estándar en la industria.

En una institución tradicional, un nuevo cliente que es un abogado (información que se obtiene a través de los documentos utilizados en la apertura de la cuenta) puede ser considerado de un riesgo más alto y por lo tanto conducir un tipo diferente de vigilancia que un nuevo cliente que es un sastre.

Por último, la mayoría de los MSBs han identificado agentes situados en las áreas que son de mayor riesgo. Los criterios utilizados para establecer un área geográfica como de mayor riesgo por lo general implican el fraude, drogas, o actividad terrorista. Las jurisdicciones conocidas como paraísos offshore son un área a menudo olvidada de riesgo para el MSB.

Este breve artículo está destinado a desenmascarar el supuesto de que las noticias del caso conocido como Panamá Papers y los MSB no tienen relación y por lo tanto no afectaría a las operaciones diarias de los MSB.

Señales de alerta Offshore para los MSBs

Los diversos canales de envío / recepción de fondos a través de un MSB determinarán la exposición al riesgo. No abordamos todos los canales, pero los pasos a continuación deben guiar al MSB a descubrir algunas particulares exposiciones al riesgo en sus entornos operativos.

Señales de alerta para MSBs que buscan identificar y mitigar los riesgos relacionados con paraísos offshore:

–Fondos importantes son enviados desde un cliente de EE.UU. (según la dirección) a un paraíso fiscal como Santa Lucía, Líbano, Barbados, Seychelles, Antigua y Barbuda, Islas Caimán, y Macao. (Para una lista completa, consulte www.financialsecrecyindex.com y utilizar la lista de descargas)

–Fondos importantes son enviados a individuos que no parecen tener relación. Dado que la mayoría de los MSBs requieren una identificación que coincida con el nombre del receptor, la mayoría de los receptores posiblemente no aporten el nombre de un negocio.

–Fondos importantes son enviados a individuos que parecen tener una dirección comercial (información del remitente). Una búsqueda a través de Google podría aportar mayor información sobre si la ubicación geográfica provista es un negocio o una residencia.

–El remitente es un comercio (esto podría ocurrir a través de los canales online) que envía fondos importantes a entidades offshore.

–El remitente cuenta con una dirección en un paraíso offshore y envía fondos importantes a individuos o trust en EE.UU., que luego es enviado a una cuenta bancaria.

–Si su MSB utiliza un programa de vigilancia de PEP, evalúe sus actividades de acuerdo a las ventajas impositivas en busca de indicadores de paraísos fiscales.

–La simple búsqueda de nombres para identificar bufetes de abogados puede ser utilizado como otro filtro cuando se evalúan transacciones de altos volúmenes.

–Si el MSB tiene conocimiento de actividades offshore, por favor considere el link de ICIJ para confirmar partes asociadas con los Panamá Papers. Este tipo de “información periférica” no determina la culpabilidad de las partes. Más bien, puede proporcionar un mejor contexto para analizar las operaciones realizadas a través del MSB.

–Las investigaciones que no lleven a la presentación de un ROS deben tener una completa descripción de los esfuerzos realizados. La no presentación de ROS es tan importante como el ROS mismo.

De los diversos pasos anteriores, hay un efecto cascada para un programa ALD de un MSB:

• Actualice su evaluación del riesgo de MSB en relación con la ubicación geográfica, productos y clientes para que refleje lo que usted descubrió en los pasos anteriores. Incluso si usted ha descubierto clientes o actividades que incrementan su riesgo, usted los ha mitigado al identificarlos. Una mayor mitigación provendrá en forma de nuevos procedimientos (mejorados) y procesos que también puedan estar listados como mitigante en su evaluación de riesgos.
• Documente cualquier medida tomada incluso si no llevan a elaborar ningún ROS.
• Es difícil para los reguladores encontrar fallas en un esfuerzo muy bien documentado, especialmente si se toma como una medida proactiva (antes que pueda aparecer una citación judicial)

Si tiene cualquier pregunta puede enviar un correo electrónico a sarah@palmeraconsulting.com

© 2016 Palmera Banking Solutions

La Comisión de Bolsa y Valores de EE.UU. anunció el viernes pasado una nueva recompensa por whistleblowing, la tercera en una semana, cuando autorizó el pago de US$ 450.000 a dos personas, quienes compartirán la recompensa por sus esfuerzos.

La pareja proporcionó un dato que llevó a que la agencia abriera una investigación sobre maniobras contables corporativas, y ayudaron a la agencia una vez que la investigación estaba en marcha, dijo la SEC. No identificó a las personas o a la empresa en cuestión. Los pagos de la semana pasada sumaron más de US$ 10 millones, señaló la SEC

“El reciente aluvión de recompensas refleja la naturaleza de la alta calidad de datos que la SEC está recibiendo a medida que crece el conocimiento público del programa de denunciantes,” dijo Sean X. McKessy, jefe de la oficina de denuncias de la SEC denunciante, en el comunicado.

Kessy señaló, en el comunicado, que la recompensa de viernes sigue mostrando cómo el programa de la SEC “premia a aquellos con ganas de seguir ayudándonos” a través del proceso de presentar información y datos útiles.

Por ley, la SEC debe proteger la confidencialidad de los denunciantes y no divulga información que pueda, directa o indirectamente, revelar la identidad del denunciante.

El programa de denuncias de la SEC ha otorgado más de US$ 68 millones a 31 denunciantes –o whistleblowers—desde el inicio del programa en 2011. Los denunciantes, en virtud de la ley Dodd-Frank, pueden ser elegibles para recibir una recompensa cuando voluntariamente proporcionan a la SEC con información única y útil que conduce a una exitosa acción de ejecución de ley. Las recompensas para los denunciantes pueden variar de 10% al 30% del dinero recaudado en las que las sanciones monetarias que exceden US$ 1 millón. Todos los pagos se realizan a partir de un fondo de protección del inversor establecido por el Congreso que se financia a través de sanciones económicas pagadas a la SEC por violadores de la ley de valores.

Por Brian Monroe
17 de mayo de 2016

El gobierno de Estados Unidos ha emitido reglas finales que requieren que las instituciones financieras capturen la información sobre los beneficiarios detrás de las empresas, una esperada conclusión que también da forma a otras mejores prácticas de cumplimiento y que también une con más fuerza el fraude, la corrupción y la evasión de impuestos bajo los programas antilavado de dinero.

La finalización la semana pasada de la regla por parte de la unidad de información financiera de EE.UU., Financial Crimes Enforcement Network de Estados Unidos (FinCEN) sale a la luz en forma prácticamente simultánea a la fuga de datos de abril de más de 11 millones de registros del bufete de abogados de Panamá Mossack Fonseca, conocido como “Panamá Papers”, que revela que anónimas empresas fantasmas han ayudado a decenas de personas vinculadas a esquemas de fraude, operaciones de lavado de dinero y en las listas de sanciones de Estados Unidos acceder al sistema financiero internacional.

Esta regla ampliamente debatida, que salió a la luz por primera vez como un advanced notice of proposed rulemaking – Aviso Avanzado de Propuesta de Reglamentación — a principios de 2012, ha evolucionado considerablemente en los últimos años. La propuesta original provocó un aluvión de cartas de comentarios a FinCEN de instituciones y grupos de servicios financieros, que argumentaron que las exigencias para que las instituciones investiguen y verifiquen de manera independiente información sobre los beneficiarios finales de sus clientes sería una tarea excesivamente compleja y onerosa. Las regulaciones finales permiten que las entidades confíen principalmente en información que se da a conocer en un formulario de auto-certificación; a continuación, las instituciones deben verificar las identidades de las personas naturales que figuran en este formulario.

La regulación final también modifica existentes regulaciones ALD para aclarar y reforzar el cumplimiento al hacer “explícitos varios componentes de la debida diligencia del cliente que han sido largamente esperados bajo las regulaciones existentes”. Estos incluyen evaluaciones de riesgo del cliente y monitoreo de transacciones, que se encuentran actualmente en el manual de examen interinstitucional de EE.UU., pero no eran requisitos establecidos bajo la normativa federal. También enumera a casi una docena de excepciones a los requisitos del beneficiario final, que van de bancos a vehículos de inversión.

En general, la regla final era “acerca lo que esperábamos”, dijo Rob Rowe, vicepresidente y asesor jefe asociado de la American Bankers Association, grupo principal de cabildeo de la industria, agregando que hubo algunos aspectos que fueron una decepción, incluyendo la adición de un “quinto pilar” al clásico programa ALD de cuatro puntas, que vino en la forma del monitoreo de las transacciones del cliente.

“Conversamos mucho” con el Departamento del Tesoro, dijo. “Dijimos que no es necesario hacer esto. La idea cuando se tiene un programa, es que se supone que debe estar basado en el riesgo por lo que cada institución lo adapta a sus propios riesgos. Pero esto le está quitando parte de la flexibilidad”.

El propósito principal de regulación relacionada con la diligencia debida del cliente es “ayudar a las investigaciones financieras que realizan las agencias de ley, con la meta de impedir la capacidad de los criminales para explotar el anonimato que ofrecen las personas jurídicas para participar de delitos financieros, incluyendo el fraude y el lavado de dinero, y también la financiación del terrorismo, la corrupción y el incumplimiento de los regímenes de sanciones”, FinCEN declararon en una presentación de más de 200 páginas en el Registro Federal.

Exigir a las instituciones financieras que “llevar a cabo efectivos procesos de debida diligencia así entienden quiénes son sus clientes y qué tipo de transacciones realizan es un aspecto crítico de la lucha contra todas las formas de actividad financiera ilícita, desde la financiación del terrorismo e incumplimiento de los regímenes de sanciones a delitos financieros más tradicionales, incluyendo el lavado de dinero, el fraude y la evasión de impuestos “, de acuerdo a la regla final.

La regulación cuenta con sus limitaciones, principalmente debido a fuerzas fuera del alcance de FinCEN, el principal arquitecto de la regulación y árbitro del marco antilavado de dinero de EE.UU.

Incluso en su versión final, persisten las vulnerabilidades

Desde su concepción, la regulación sobre la propiedad beneficiaria ha tenido una vulnerabilidad enorme cualquier información que la institución recabe sobre estas personas naturales—incluyendo individuos con “responsabilidad significativa” y el control sobre una empresa o la posesión del 25% de la mismas— tendrá pocas opciones para verificar esta información.

El principal culpable de este dilema es Estados Unidos, ya que no exige a los agentes de formación de empresas que recopilen esta información, el gobierno tampoco recolecta esta información en una base de datos centralizada, de forma similar a las iniciativas ya en marcha en el Reino Unido y Europa.

Sin una nueva legislación, que podría llevar mucho tiempo, toda la iniciativa para los bancos tiene una laguna importante, dijo Rowe.

“La cuestión que siempre hemos tenido en todo este proceso de recolección de información sobre el beneficiario es que no podemos verificarla”, dijo. “La regla final no dice nada sobre la verificación. Se preguntan quién es el titular real, la persona le dice, usted verifica su identificación, y eso es todo. Luego usted dice gracias”.

Eso podría cambiar con un grupo de iniciativas legislativas que vayan a la par con esta regulación sobre propiedad efectiva, incluyendo la exigencia para que las empresas conozcan e informen los verdaderos propietarios en la constitución de empresas y medidas para cerrar ciertas brechas que permiten que ciertas sociedades de responsabilidad limitada extranjeras, de un solo miembro, que esquiven los requisitos de registro del IRS, entre otras iniciativas.

Algunos críticos no están convencidos y creen que debido a que la norma permite a las empresas elegir un administrador, o una persona que ejerza “control administrativo” sobre la empresa, para ser el beneficiario efectivo, podrían dar lugar a escenarios donde los testaferros oculten los individuos con el verdadero poder que manejan los hilos.

“Muchos bancos estadounidenses han hecho los deberes al desarrollar sistemas que verifican los verdaderos dueños de empresas fantasmas que tratan de abrir cuentas”, dijo Elise Bean, ex directora de personal y asesora principal del Subcomité Permanente del Senado sobre Investigaciones, en un comunicado.

La nueva regulación “vuelve irrelevante a todo este trabajo duro, permitiendo que las instituciones financieras de Estados Unidos nombren un administrador de empresa como beneficiario de la empresa, incluso cuando este administrador no tiene un verdadero papel de propietarios”, dijo. “Es un error que debe ser corregido”.

Las lagunas en la regulación final todavía podrían “permitir a los bancos abrir cuentas para las empresas sin tener ninguna idea de la identidad de las personas que en última instancia poseen o controlan esa compañía”, dijo Heather Lowe, abogada y directora de asuntos gubernamentales de Global Financial Integrity, en un comunicado.

“Sin esta información clave, los bancos no pueden determinar si las personas detrás de la empresa están en una lista de sanciones, o son funcionarios públicos que pueden estar robando de las arcas de sus países de tesorería o pueden tratando de esconder su dinero de los sobornos en los bancos de EE.UU”.

Si bien algunos grupos de la sociedad civil pueden criticar el formulario de auto-certificación que se puede utilizar para obtener información sobre el beneficiario, hay mucho más en juego que podría dar la iniciativa más dientes y fuerza de la que parece tener.

Si alguien confía en el formulario de auto-certificación, que se podría considerar confiar en un registro bancario, que es un delito grave, lo que abriría la puerta para que los fiscales federales investiguen al individuo o posiblemente acusar a la empresa por perjurio, dijo Rowe.

El desglose de la nueva norma de debida diligencia del cliente sobre el “beneficiario real”

La nueva norma añade un nuevo requisito que las instituciones financieras—incluyendo bancos, corredores o agentes de valores, fondos de inversión, corredores de futuros y corredores de presentación de los productos básicos—recoger y comprobar los datos personales de las “personas reales que son dueños, controlan y sacan provecho económico de compañías cuando éstas abren cuentas”.

Específicamente, la regulación cuenta con estos requisitos:

–Identificar y verificar la identidad de los propietarios reales hasta el nivel de participación del 25% de las empresas que abren cuentas y un “individuo que controla la entidad legal”.

–Además, el cliente que es persona jurídica debe “proporcionar información de identificación para una persona con un significativo control administrativo”. Eso significa que un solo individuo con “significativa responsabilidad para controlar, gestionar o dirigir un cliente que es una persona jurídica”, incluyendo: Un alto ejecutivo, tal como un CEO, director financiero, director de operaciones, gerente socio, socio general, presidente, vicepresidente, tesorero o cualquier otra persona que realiza regularmente funciones similares.

–Comprender la naturaleza y la finalidad de relaciones con los clientes para desarrollar perfiles de riesgo del cliente.

–Realizar monitoreo continuo para identificar y reportar transacciones sospechosas, con base en riesgo, para mantener y actualizar información de clientes.

Después de analizar una enorme cantidad de cartas con comentarios, la regulación final extiende el “período de aplicación propuesto de un año a dos años, expande la lista de excepciones, y hace opcional el uso de un formulario de beneficiario real estandarizado siempre y cuando una institución financiera recoja la información requerida”, según FinCEN.

La nueva regulación de Debida Diligencia del Cliente amarra fraude y evasión fiscal bajo el paraguas ALD

Una buena para la institución financiera es que el plazo inicial para la puesta en práctica se amplió de un año a dos años. Para algunas instituciones, esto es una necesidad debido a que las nuevas normas requerirán importantes mejoras de hardware y software, iniciativas que podrían fácilmente llevar entre 12 a 18 meses para implementar, dijo Rowe.

La nueva norma va más allá de simplemente mejorar la transparencia corporativa, de acuerdo con la FinCEN, y refuerza la investigación de delitos financieros en todos los ámbitos, desde la identificación de los activos ilícitos de capos de la droga y la proliferación de armas hasta la evasión fiscal y el terrorismo.

La obtención de los nombres de los propietarios y controladores subyacentes de una empresa permitiría a los bancos corroborar estos nombres con noticias negativas y corroborar con sistemas de sanciones para ver si tienen vínculos con grupos o jurisdicciones en la lista negra. Si una entidad es propiedad de más del 50% de una persona o entidad designada, está sujeta a las restricciones de OFAC.

En paralelo, información sobre el dueño puede ser examinada para ver si alguna vez estuvo asociada o fue acusado de un comportamiento fraudulento, que va de siples fraudes de tarjetas de crédito a complejos fraudes de inversión y esotéricos esquemas Ponzi más esquemas, según un ex funcionario del Tesoro.

“Lo que realmente me sorprendió de la nueva norma DDC es la forma en la que FinCEN ata a OFAC, la evasión y el fraude de forma explícita en el papel ALD” dijo la fuente, que pidió no ser identificado. “Eso tiene sentido, pero creo que el problema es que muchos de los bancos todavía están tratando por separado”.

“FinCEN reiteró que el propósito de ese movimiento era crear una igualdad de condiciones, así no hay normas diferentes para los bancos más pequeños que para los bancos más grandes”, dijo la persona, a pesar de que probablemente presenten desafíos para los bancos más pequeños que no cuentan con el prepuesto o los recursos para pasar del monitoreo manual al automático.

La regla facilitaría también la “presentación de informes y las investigaciones en apoyo del cumplimiento tributario, y cumplir los compromisos con socios extranjeros en relación con las disposiciones” comúnmente conocida como la Ley de Cumplimiento Tributario de Cuentas Extranjeras (FATCA).

FATCA requiere que las instituciones financieras extranjeras identifiquen los titulares de cuentas de Estados Unidos, incluyendo entidades legales con importante propiedad de EE.UU., y reportar cierta información sobre esas cuentas al IRS.

Si bien no es perfecta, la regulación era necesaria

FinCEN también respalda sus razones para descubrir a los secretos beneficiarios finales, ya que la opacidad es un imán para las organizaciones criminales.

La regla destaca varios ejemplos que el Departamento del Tesoro ha rastreado como parte de su Evaluación Nacional de Lavado de Activos de Riesgo y Evaluación de Riesgos del Terrorismo de financiación, incluyendo:

— En 2013, los fiscales de Nueva York presentaron cargos a 34 presuntos miembros de grupos del crimen organizado ruso estadounidenses, acusándolos de que habían participado en una serie de actividades de crimen organizado. Una de las actividades habría sido mover millones de dólares producto de actividades ilegales de juegos de azar a través de una red de empresas fantasmas en Chipre y Estados Unidos.

— En 2011, los fiscales federales acusaron a 13 personas por su presunta adquisición ilegal y saqueo de una compañía de hipotecas. Algunos de estos acusados presuntamente utilizaron los activos de la empresa para adquirir empresas fantasmas, mientras que otros demandados están acusados de haber dificultado la identificación de estas compañías mediante la creación de complejas estructuras legales que involucraron otras compañías fantasmas.

— En 2006, los fiscales acusaron a varios individuos por su continuo papel en el apoyo a una organización de narcotraficantes. Los ingresos generados por esta organización de tráfico fueron lavados a través de numerosas empresas fantasmas (Shell) y de estantería (shelf) que fueron creadas para proporcionar frentes aparentemente legítimos para este ingreso.

“El abuso de las personas jurídicas para disfrazar la participación en actividades financieras ilícitas es una vulnerabilidad de larga data que facilita el delito, pone en peligro la seguridad nacional, y pone en peligro la integridad del sistema financiero”, de acuerdo a la regla final.

Los criminales han aprovechado el anonimato que las personas jurídicas pueden proporcionar para “participar en delitos como el lavado de dinero, la corrupción, el fraude, la financiación del terrorismo, y la elusión de las sanciones, entre otros delitos financieros”, declaró FinCEN.

Sin embargo, uno de los mayores desafíos además de los obstáculos para la implementación física y virtual será lo que los reguladores esperen que los bancos hagan con la información sobre los beneficiarios finales una vez que la consigan, dijo Rowe, añadiendo que si los bancos no pueden controlar adecuadamente este nuevo cuerpo extenso de clientes, podría dar lugar a que las instituciones rechacen las empresa que los propietarios representan.

“Esto significa que los bancos tienen que realizar un seguimiento de un grupo adicional completamente nuevo” de personas que no son necesariamente los clientes y por lo tanto no van a tener una cuenta para vincular con un sistema de monitoreo de transacciones para detectar el comportamiento aberrante, dijo. “Por lo tanto, si yo soy un banco, ¿qué se supone que debo hacer? ¿Añadir el nombre a una base de datos y seguirlo en las noticias negativas? ¿Chequeo el nombre en Google o a través de los filtros de sanciones?”

Ahora que el Departamento del Tesoro de Estados Unidos ha finalizado la largamente esperada regulación que exige a los bancos conocer los “beneficiarios finales” de las empresas, las instituciones financieras todavía no pueden crear una política general, deben navegar con pericia a través de una maraña de excepciones entre las más de 200 páginas del texto.

La finalización la semana pasada de la regulación por parte de la Red de Control de Crímenes Financieros (FinCEN) ha desatado un cadena en reacción a través del espacio cumplimiento de los delitos financieros, donde los expertos deben sopesar los pros y los contras de la iniciativa, al mismo tiempo que los equipos de cumplimiento ALD se preparan para los desafíos de implementación y las agencias de ley se preparan para recibir una avalancha de nueva información de inteligencia.

La nueva norma exige a las instituciones financieras recoger información de las personas reales – incluyendo individuos con “responsabilidad significativa” y control sobre una empresa o ser dueño de un 25%– así los bancos pueden controlar estos nombres por posibles vínculos con fraudes, terrorismo, crimen organizado, y otras actividades ilegales.

¿Cuáles son las entidades exentas de la nueva regulación sobre beneficiario real? A continuación una lista y sus razones:

Una institución financiera regulada por un regulador funcional federal o un banco regulado por un regulador bancario estatal: excluidos debido a que están sujetos a regulación federal o estatal y la información sobre la titularidad y administración está disponible desde las agencias estatales o federales pertinentes.

El emisor de una clase de valores: estos emisores están excluidos debido a que están obligados a revelar públicamente los propietarios efectivos del cinco por ciento o más de cada clase de valores del emisor en las presentaciones periódicas ante la Comisión de Bolsa y Valores de EE.UU. (SEC), en la medida que el emisor sepa esta esta información o pueda ser comprobada a través de documentos públicos.

Un asesor de inversiones: estas entidades están excluidas porque las compañías de inversión registradas y asesores de inversión registrados ya informan públicamente la propiedad efectiva en sus presentaciones ante la SEC.

Una agencia de cambio o compensación: estas entidades están excluidos debido a que el proceso de registro de la SEC requiere la divulgación y actualización periódica de la información sobre los beneficiarios finales de estas entidades, así como la alta dirección y otras personas de control.

Una entidad registrada, Commodity Pool Operator (CPO) (Operador del consorcio de bienes tangibles), Commodity Trading Advisor (CTA) (Consejero de negociación de bienes tangibles), agente minorista de cambio de divisas, distribuidor de intercambio o participante importante de intercambio, que ya se encuentren registrados ante la Comisión de Negociación de Futuros de Materias Primas (CFTC): se excluyen estas entidades debido a que el proceso de registro CFTC requiere la revelación y regulares actualización de la información sobre los beneficiarios finales de estas entidades, así como la alta dirección y otras personas de control.

Una firma independiente de contadores públicos registrados: estas empresas son las que realizan la auditoría de empresas que cotizan en bolsa y sociedades de valores registrados en la SEC. Estas empresas están obligadas a registrarse con la Public Company Accounting Oversight Board (PCAOB) y están obligadas a presentar informes anuales y especiales con el PCAOB. Además, los estados requieren firmas de contadores públicos se registren y presenten informes anuales que identifican sus miembros y accionistas.

Un holding bancario: han sido excluidos de la obligación de la propiedad efectiva en la regla final porque la Junta de la Reserva Federal mantiene información sobre el beneficiario de todas estas empresas. Los holdings de sociedades de ahorro y préstamo están excluidos por la misma razón.

Un vehículo de inversión colectiva que opera o asesorado por una institución financiera: en respuesta a varios comentaristas que señalaban que la información sobre el beneficiario estaría disponible en relación con el operador o el asesor de este tipo de vehículos combinados, FinCEN ha determinado que el vehículo colectivo también debe ser excluido de este requisito.

Una compañía de seguros regulada por el estado: todas las compañías de seguros reguladas por los estados deben presentar una declaración anual ante sus reguladores estatales identificando la alta dirección, directores, síndicos y, por lo tanto, están exentos.

Financial market utility: exentas porque tales entidades ya están sujetas a numerosas normas.

Instituciones financieras extranjeras: una institución financiera extranjera establecida en una jurisdicción donde el regulador de dicha institución mantiene información sobre el beneficiario con respecto a dicha institución.

Un departamento, agencia, subdivisión política gubernamental no-estadounidense que participa solo de actividades gubernamentales en lugar de actividades comerciales: FinCEN está de acuerdo en que ciertos departamentos, organismos y subdivisiones políticas de los gobiernos extranjeros—específicamente los que participan de actividades gubernamentales y no comerciales—no deben entrar en la definición de cliente persona jurídica, y por lo tanto deben ser excluidos de la obligación.

Relaciones intermediarias: los bancos tienen que obtener información sobre el beneficiario del intermediario, pero no de las cuentas subyacentes. Por ejemplo, FinCEN cree que las cuenta escrow o plica y cuentas de fideicomisos de los abogados deben ser tratadas como cualquiera de las cuentas descritas arriba.

Organizaciones benéficas y entidades sin fines de lucro: FinCEN ha determinado que sería más sencillo, así como más eficiente y más lógico, excluir todas las entidades sin fines de lucro (sea o no exenta de impuestos) de la arista de propiedad de la exigencia, teniendo en cuenta sobre todo el hecho de que las entidades sin fines de lucro no tienen intereses de propiedad, y solo requiere que identifiquen un individuo con suficiente responsabilidad para controlar, gestionar o dirigir al cliente.

El gobierno de Barak Obama anunció la semana pasada una serie de medidas que buscan poner fin al uso de compañías anónimas en Estados Unidos y requerir que se dé a conocer la información de los beneficiarios finales cuando extranjeros depositan dinero o compran activos en este país.

La Casa Blanca dijo que los documentos de Panamá – más de diez millones de documentos filtrados desde el bufete de abogados Mossack Fonseca – “revelaron el uso de anónimas compañías fantasmas offshore” y puso “los temas de la actividad financiera ilícita y la evasión fiscal en el centro de atención”.

La Casa Blanca está impulsando al Congreso para que tome cuatro medidas para reforzar lo que EE.UU. pueden hacer.

1. Aprobar legislación para llevar a la transparencia en el tema de “beneficiario real”: el Departamento del Tesoro de Estados Unidos está enviando una nueva propuesta legislativa al Congreso para que exija a todas las sociedades constituidas en EE.UU. que reporten información sobre los beneficiarios finales a l Departamento del Tesoro. Esta medida hará que la información sobre los beneficiarios finales esté disponible para las agencias de ley.
2. Aprobar legislación para otorgar a los agentes de ley mejores herramientas contra la corrupción: el gobierno de EE.UU. también está buscando que se apruebe legislación para avanzar en la lucha contra la corrupción tanto en Estados Unidos como en el extranjero. Las nuevas propuestas legislativas mejorarían la capacidad de los agentes de la ley de obtener información de bancos nacionales y extranjeros para que puedan investigar y llevar a juicio casos de lavado de dinero. Esto también permitirá que el Departamento de Justicia de lleve a la justicia casos de lavado de dinero vinculados a un número más amplio de delitos, incluyendo los que implican a funcionarios públicos corruptos.
3. Aprobar ocho tratados fiscales: Ocho tratados fiscales han estado esperando la aprobación del Senado desde hace varios años. Sin esos tratados, los funcionarios estadounidenses no tienen un conjunto completo de herramientas para investigar a fondo y atacar la evasión fiscal de contribuyentes estadounidenses con cuentas en el extranjero, incluyendo cuentas bancarias secretas en Suiza.
4. Reforzar las leyes existentes para mejorar la transparencia recíproca: En 2010, el presidente Obama firmó una ley que estableció el estándar global para el reporte de información financiera al requerir que las instituciones financieras extranjeras provean, al IRS, información de cuentas financieras en poder de personas de Estados Unidos. Pero actualmente, EE.UU. no proporciona a sus socios la misma información que éstos proporcionan a Estados Unidos. El Congreso puede fortalecer esta ley al exigir a instituciones financieras de EE.UU. que proporcionen esta información a sus socios.

“Estos esfuerzos son fundamentales para impedir que los delincuentes utilicen el sistema financiero mundial para el lavado del producto de la corrupción u otras actividades ilegales, financien actividades criminales e incluso el terrorismo, evadan los regímenes internacionales de sanciones, o evadan impuestos”, dijo la Casa Blanca.

“Las compañías anónimas se utilizan para esquemas y transacciones de dinero sucio que apoyan a los traficantes de drogas y terroristas, defraudan a los organismos gubernamentales y engañan a los ciudadanos, y socavar las instituciones de Estados Unidos”, dijo el capítulo en EE.UU. de Transparencia Internacional, TI-USA.

En su declaración el jueves pasado, la Casa Blanca dijo que “Estados Unidos fue el primer país en criminalizar el lavado de dinero y que la Ley de Prácticas Corruptas Extranjeras de EE.UU. (FCPA) proporcionó el modelo para la Convención contra el Soborno de la OCDE y otros esfuerzos a nivel mundial”.

Entre las nuevas herramientas que EE.UU. busca aprobar para poder combatir más asertivamente la corrupción y el lavado de dinero, el gobierno apunta a:

–Emitir la regulación final del Departamento del Tesoro para obligar a las instituciones financieras a obtener y verificar la identidad del beneficiario final de una compañía, incluyendo individuos que controlan o poseen más del 25%.

–Apoyar un proyecto de ley para requerir que las compañías formadas en EE.UU. den a conocer la identidad del dueño o propietario final al momento de la constitución de la compañía o transferencia de propiedad.

–Requerir que las compañías de responsabilidad limitada de un solo miembro y otras entidades estadounidenses propiedad de extranjeros obtengan un número de identificación fiscal y compartan información sobre la propiedad y de transacciones con la agencia de rentas de EE.UU., IRS.

–Expandir la jurisdicción de fiscales para que investiguen y actúen contra lavadores de dinero por actos cometidos en otros países.

–Permitir el uso de órdenes judiciales expeditivas, de alta velocidad en casos de lavado de dinero en lugar de notificaciones del gran jurado

–Incrementar el acceso a registros de bancos estadounidenses en el extranjero y expandir las reglas de admisibilidad para los registros

–Otorgar a los gobiernos extranjeros hasta 90 días para que muestren una causa probable de por qué los bienes situados en Estados Unidos deben ser congeladas y finalmente confiscados bajo la Kleptocracy Asset Recovery Initiative.

— Permitir a los fiscales de Estados Unidos en los casos cleptocracia que utilicen registros comerciales extranjeros en los casos civiles de recuperación de activos una vez que los registros cumplen con una prueba de certificación.

En los últimos años EE.UU. ha impulsado varias iniciativas y ha tomado diversos pasos para incrementar la transparencia en los sistemas financieros internacionales y también para prevenir y castigar la corrupción; entre algunas de estas iniciativas podemos destacar la ley Foreign Account Tax Compliance o una mayor ofensiva a través de investigaciones criminales o procesamientos contra el uso de cuentas offshore para el movimiento de dinero ilícito.

Entre algunas de las iniciativas y esfuerzos del gobierno dejaron los siguientes resultados durante el gobierno de Obama:

— El Departamento de Justicia ha acusado a más de 100 titulares de cuentas de Estados Unidos que incumplieron las leyes fiscales de Estados Unidos por utilizar cuentas offshore que no fueron declaradas, y cerca de 50 personas que los ayudaron.

— Debido a agresivas medias de ley, 80 bancos suizos han admitido participar en una conducta criminal y pagaron multas por más de US$ 1.3000 millones.

— Bajo amenaza de procesamiento, más de 54.000 personas se han presentado para revelar sus cuentas en el extranjero, y pagaron más de US$ 8.000 millones en impuestos, multas e intereses.

— Tras la promulgación de la ley FATCA en 2010, más de 150.000 instituciones financieras extranjeras han acordado proporcionar información a EE.UU., en un esfuerzo para asegurar que los evasores de no puede ocultar activos en el extranjero.

Por Juan Pablo Rodríguez, René M. Castro y Luis Eduardo Daza

La Superintendencia Nacional de Salud de Colombia emitió el 21 de abril de 2016, la Circular Externa No. 000009, que obliga a los agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia a diseñar e implementar un Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT). El plazo máximo para dicha implementación es el 17 de diciembre de 2016.

Los agentes enunciados en la circular se refieren en particular a las Entidades Promotoras de Salud Régimen Contributivo y Subsidiado, Instituciones Prestadoras de Salud Públicas y Privadas de los Grupos C1, C2 y D1, Empresas de Medicina Prepagada y Servicios de Ambulancia Prepagada.

Uno de los grandes mitos en la sociedad sobre el riesgo de lavado de activos y financiación del terrorismo en los sectores que aún no han sido regulados es pensar que sus sectores son inmunes a este riesgo.

El sector salud, uno de los últimos sectores de la economía en ser regulado bajo un Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT), se prepara para establecer los mecanismos de control para prevenir estos delitos al interior de las organizaciones. Esto es importante porque una de las grandes actualizaciones en las cuarenta (40) recomendaciones del GAFI (Grupo de Acción Financiera Internacional) hecha en 2012, fue el enfoque basado en el riesgo (Risk-Based Approach).

Los compromisos adquiridos por Colombia con los organismos internacionales obligan al gobierno a emitir las normas correspondientes para atacar estos delitos transnacionales porque amenazan la estabilidad del sistema financiero, y afectan la integridad de los mercados por el carácter global de las redes utilizadas por los delincuentes.

La Circular Externa No. 000009 de la Superintendencia Nacional de Salud, presenta unos aspectos muy importantes que analizaremos en detalle.

La circular establece lo siguiente:

“El período de transición para la implementación de políticas y manuales de procedimientos del SARLAFT se fija en un término de ciento veinte (120) días calendario contados a partir del nombramiento del oficial de cumplimiento y su debida notificación en los términos contemplados en el numeral 6.1. literal D de esta Circular con el fin de que los agentes del Sistema General de Seguridad Social en Salud (SGSSS), a los que les aplica la presente Circular se capaciten y remitan a la SNS, la documentación soporte de dicha implementación. (Plazo máximo: 17 de diciembre de 2016).

Téngase en cuenta que, para el nombramiento del Oficial de cumplimiento, se estableció un término de ciento veinte (120) días calendario contados a partir de la entrada en vigencia de ésta Circular (Plazo máximo: 19 de agosto de 2016) en los términos establecidos en el numeral 6.1. literal D de ésta Circular, por lo que, en total, el periodo de transición sería de doscientos cuarenta (240) días calendario.” (El subrayado es nuestro).

“La inobservancia e incumplimiento de las instrucciones impartidas por la Circular Externa, dará lugar a la imposición de multas hasta de 2500 SMLMV ($1.723.637.500) [aproximadamente US$600.000] a entidades que se encuentren dentro del ámbito de la vigilancia de esta Superintendencia, así como a título personal hasta 200 SMLMV ($137.891.000) [aproximadamente US$46.000], a los Representantes Legales de éstas ya sean de carácter público o privado, directores o secretarios de salud, o quienes hagan sus veces y demás funcionarios responsables de la administración y manejo de los recursos del sector salud o a la revocatoria del certificado de habilitación de las vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades”.

El hecho de establecer unos tiempos límites para el cumplimiento de la implementación del SARLAFT, es una medida prudente de la Superintendencia para obligar a las entidades a que se comprometan formalmente con la Superintendencia para lograr el objetivo propuesto.

Es importante que las entidades vigiladas entiendan que al cumplir con la implementación del sistema SARLAFT, no le están haciendo un favor al gobierno, sino que por el contrario están blindando sus instituciones contra los delitos de lavado de activos y financiación del terrorismo y sus delitos fuente.

Asimismo, es de resaltar el hecho que por primera vez una Superintendencia se atreve a imponer unas multas muy severas no solo a las entidades sino a su representante legal. Es importante anotar, que la Superintendencia hubiera considerado y aclarado que el pago de la multa del representante legal debería hacerlo con su propio dinero y no con el dinero de la entidad. Una queja muy frecuente de los Oficiales de Cumplimiento de diferentes sectores es que, aunque las normas vigentes en cada uno de los sectores establecen la responsabilidad y obligación del representante legal para asignar los recursos humanos, tecnológicos y financieros necesarios para cumplir con el SARLAFT, la mayoría de las veces se queda en solo palabras y compromisos. Por este motivo, la alta gerencia, de los nuevos sujetos obligados deben asignar los recursos necesarios no solo para implementar el sistema SARLAFT sino para garantizar su adecuado cumplimiento.

Otro aspecto muy importante que ninguna Superintendencia se había atrevido, es considerar la revocatoria del certificado de habilitación de las entidades vigiladas, lo cual en otras palabras significa la revocatoria del permiso de funcionamiento. Esto le da mucha seriedad para el cumplimiento de esta tarea.

También la Circular Externa No. 000009, enfatiza en el seguimiento y control que hará la Superintendencia Nacional de Salud para verificar el cumplimiento en la implementación del SARLAFT, el establecimiento de políticas, y del manual de procedimientos, así como en el nombramiento del Oficial de cumplimiento.

La circular también hace mención a la infraestructura tecnológica que la entidad debe disponer para garantizar la adecuada administración del riesgo de lavado de activos y financiación del terrorismo. Aunque la circular no habla de las listas restrictivas, es importante anotar que cuando se habla de la infraestructura tecnológica, debe incluir el arrendamiento de una licencia de un software especializado de verificación de nombres de todas las contrapartes (clientes, usuarios, asociados, proveedores, trabajadores, empleados, etc.) en las listas restrictivas. Estas listas restrictivas no sólo deben incluir la Lista OFAC o Lista Clinton y la Lista de Naciones Unidas (en la que se designan a los terroristas), sino tener en cuenta que existen más de 500 listas restrictivas en todo el mundo que deberían ser incluidas en el software seleccionado para garantizar la efectividad de este control.

Un problema que se presentaba regularmente en otros sectores vigilados era la designación del oficial de cumplimiento. En este caso, la Superintendencia Nacional de Salud, estableció en la circular no sólo los requisitos mínimos que debe cumplir el oficial de cumplimiento y su suplente, sino las funciones mínimas que deben cumplir.

En cuanto a las funciones que debe cumplir el revisor fiscal, la Superintendencia las estableció con precisión, que en el caso de otras superintendencias, dichas funciones no estaban totalmente definidas.

La Superintendencia también determinó los procesos de debida diligencia para los clientes y usuarios, asociados, trabajadores, empleados, proveedores, personas expuestas públicamente (PEPs), así como el manejo del efectivo al interior de la entidad.

También se deben revisar todos los procesos operativos y administrativos de las empresas e identificar los riesgos de lavado de activos y financiación del terrorismo y establecer los controles correspondientes para mitigar el riesgo LA/FT.

Capítulo aparte merece el diseño, la aprobación, la constancia de la aprobación y la comunicación de las políticas LA/FT, porque se le da la importancia que debe tener este tema tan importante y crucial para las entidades.

En cuanto a la capacitación, es importante señalar que la Superintendencia estableció la obligación de capacitar a todas las áreas y funcionarios de la entidad sobre las políticas, procedimientos, herramientas y controles adoptados para dar cumplimiento al SARLAFT y no como en el caso de otras superintendencias que solo obligaban a capacitar a algunos funcionarios y áreas de la entidad.

Por último, la Superintendencia estableció la obligación para el representante legal de mantener a disposición de ésta, toda la documentación pertinente del SARLAFT quien la revisará y validará que cumplen con lo establecido en la circular.

Las empresas del sector salud al diseñar un Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) generarán valor a los socios y además, promoverán mejores prácticas para luchar contra estos delitos, e incentivarán y facilitarán la integración de medidas antilavado en el modelo de gestión del sector empresarial en Colombia.

No se debe olvidar la importancia de los riesgos asociados al riesgo de lavado de activos y financiación del terrorismo: Riesgo Legal, Riesgo Operativo, Riesgo Reputacional y Riesgo de Contagio que en caso que se materialice el riesgo LAFT impactaran significativamente a la entidad, además de la sanción impuesta por la Superintendencia: ($1.723.637.500, aproximadamente US$600.000).

Para los nuevos sujetos obligados (empresas del sector salud) es un reto primordial no creer que su modelo de administración de riesgo desarrollado es perfecto o infalible, sino que por el contrario es susceptible de mejora y que una vez implementado debe ser medido, revisado y ajustado para garantizar la mejora continua del sistema.

La implementación del SARLAFT servirá para que las empresas del sector salud minimicen el riesgo de lavado de activos y la financiación del terrorismo, y para que a su vez, aseguren la continuidad de sus negocios.

Se establece el reporte ante la UIAF (Unidad de Información y Análisis Financiero del Ministerio de Hacienda y Crédito Público) de los reportes de operaciones sospechosas -ROS-, así como el de ausencia, y el reporte mensual de las transacciones en efectivo individuales y múltiples.

No debe olvidarse que desde el Estatuto Anticorrupción o Ley 1474 de 2011, en el art. 22 se incluyó el art. 325 B en el título de lavado de activos del Código Penal, estableciendo una nueva modalidad delictiva denominada “omisión de control en el sector salud”, según la cual “el empleado o director de una entidad vigilada por la Superintendencia de Salud, que con el fin de ocultar o encubrir un acto de corrupción, omita el cumplimiento de alguno o todos los mecanismos de control establecidos para la prevención y la lucha contra el fraude en el sector de la salud, incurrirá, por esa sola conducta, en la pena prevista para el artículo 325 de la Ley 599 de 2000”, conducta punible que recibió el aval de la Corte Constitucional declarando exequible el delito a través de la Sentencia C-084 de 2013.

En ese sentido las entidades vigiladas por la SuperSalud deben contar desde hace más de 5 años con un Sistema de Administración de Riesgos de Fraude y Corrupción – SARF, que ahora debe sincronizarse con el SARLAFT.

Valdría la pena preguntar a las autoridades cuántas investigaciones hay por ese delito.

Por todo lo anterior, es importante concientizarse de la responsabilidad en la implementación efectiva del Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) y lo que es más importante, asegurar el monitoreo y seguimiento al modelo que le permita a las entidades verdaderamente mitigar el riesgo LAFT y sus riesgos asociados.

Consultar: http://luisedaza.blogspot.com.co

*Juan Pablo Rodríguez  Escritor, conferencista y consultor internacional.
Presidente y Socio de Rics Management.
www.ricsmanagement.com
jrodriguez@ricsmanagement.com

**René M. Castro
Escritor, conferencista y consultor internacional.
Certificate on Financial Services and Market Regulation, London School of Economics
Certificate on Corporate Compliance and Ethics, New York University.
Vice-Presidente & Socio RICS Management
www.ricsmanagement.com
rcastro@ricsmanagement.com

***Luis E. Daza
Escritor, conferencista y consultor internacional.
Vice-Presidente de Riesgo de RICS Management
www.ricsmanagement.com
ldaza@ricsmanagement.com