En este artículo, le guiaremos por los principales puntos de contacto de las directrices de la EBA y le mostraremos cómo los productos de Regula pueden ayudarle a cumplirlas.
Reciba publicaciones como esta en su bandeja de entrada con el resumen quincenal del blog de Regula
Comprender las directrices de la EBA sobre incorporación remota de clientes
Las directrices de la Autoridad Bancaria Europea (EBA) son como un reglamento que las instituciones financieras de la Unión Europea deben seguir cuando incorporan nuevos clientes en línea. Estas directrices introducen algunos cambios importantes en la forma en que debería funcionar este proceso.
La idea principal detrás de esto es abordar la fragmentación del mercado europeo de servicios financieros. Antes, cada banco nacional tenía sus propios requisitos específicos, lo que generaba dificultades para que las instituciones financieras cumplieran con los estándares de cumplimiento. Esta diversidad también complicaba el proceso de incorporación remota transfronteriza y dejaba espacio para vacíos regulatorios, haciendo que el mercado único de la UE fuera susceptible al delito financiero. El marco propuesto busca estandarizar el proceso y ofrecer un enfoque coherente para todos los proveedores europeos de servicios financieros.
Las directrices de la EBA establecen algunos requisitos clave para las soluciones de verificación de identidad. En términos sencillos, esto es lo que quieren que hagan las instituciones financieras:
1. Recopilar información de identidad actualizada y precisa
Las instituciones financieras deben asegurarse de que la información proporcionada por el cliente esté actualizada, sea correcta y cumpla con los requisitos aplicables de debida diligencia del cliente.
En la práctica, esto significa que datos como nombres, direcciones, etc., deben ser precisos y, además, capturarse en un formato legible y con calidad suficiente.
2. Verificar la autenticidad del documento
Cuando los bancos y las instituciones financieras aceptan documentos de identidad de forma remota, deben asegurarse de que las imágenes de esos documentos sean auténticas (no una copia de una copia) y no estén falsificadas.
Esto se logra comprobando si el ID proporcionado tiene todas las medidas de seguridad adecuadas específicas del ID auténtico, si no hay señales de alteraciones de ningún tipo y si se conserva la integridad de los algoritmos usados para codificar identificadores únicos.
3. Usar biometría para relacionar los documentos con los usuarios
Una forma de asegurarse de que un cliente es quien dice ser es comparar la información enviada (una foto o un video) con sus características físicas reales. Esto es especialmente importante para la incorporación remota de clientes. Para cumpr con las directrices de la EBA, las organizaciones financieras deben usar algoritmos sólidos para volver a comprobar que los datos biométricos coincidan perfectamente, sin dejar margen de error.
4. Realizar evaluación de calidad
En las soluciones de incorporación remota no asistida, en las que los clientes no interactúan con empleados durante la verificación, la evaluación de calidad es crucial. Es necesario asegurarse de que cualquier foto o video tomado durante el proceso se capture en condiciones de iluminación adecuadas y de que todas las características y propiedades necesarias sean claramente visibles, lo que facilita la verificación de la identidad del cliente.
5. Realizar prueba de vida
Para reforzar la fiabilidad del proceso de verificación en la incorporación remota de clientes, las instituciones financieras deberían considerar la implementación de prueba de vida, ya sea pasiva o activa. Este paso ayuda a confirmar que la foto o el video que se está capturando corresponde a una persona real en tiempo real.
Para obtener el mejor nivel de seguridad, las directrices de la EBA recomiendan que la prueba de vida sea obligatoria en todas las situaciones no asistidas.
6. Garantizar un manejo seguro de los datos
Para alinearse con las directrices de la EBA, las organizaciones deben mantener todos los documentos y la información recopilados durante la identificación remota con marca de tiempo y almacenados de forma segura, manteniendo un registro claro del proceso de verificación de identidad.
Los registros almacenados deben ser fácilmente accesibles en un formato legible, pero deben estar protegidos contra accesos no autorizados. Si un proveedor de servicios subcontratado gestiona los datos de los clientes, las instituciones deben tomar precauciones adicionales, entre ellas recopilar y almacenar solo los datos necesarios de los clientes durante un periodo definido, con un control estricto y registro del acceso a los datos.
Cómo se alinean Regula y las directrices de la EBA
Ahora veamos cómo las soluciones de Regula se alinean con estas nuevas directrices, asegurando que las instituciones financieras puedan cumplir con estos requisitos y mantener una experiencia de incorporación remota de clientes segura y sin complicaciones.
Puede descargar la tabla (sólo en inglés) como archivo PDF [PDF, 4 páginas, 5.5 MB]
| Etapa | Requisito de la EBA | Cobertura por las soluciones de Regula |
|---|---|---|
Adquisición de información | 4.2.1 (24): Los datos de identidad están actualizados y en un formato legible | Captura de datos. Document Reader SDK identifica automáticamente el tipo de documento, analiza al instante el diseño del ID frente a la amplia base de datos de plantillas de documentos de Regula y lee los datos. Luego lee y valida los campos y estructura la salida. Una vez completado el análisis, los datos quedan listos para la validación cruzada con otras fuentes de información. La solución funciona tanto para dispositivos móviles como para computadoras de escritorio. Conozca más sobre el parsing de documentos → |
Autenticidad e integridad del documento | 4.3 (33, a): Las medidas de seguridad incorporadas en el documento original están presentes y cumplen con las especificaciones del documento original (por ejemplo, tipo, tamaño de caracteres y estructura del documento al compararlos con bases de datos oficiales, como PRADO15). | Amplia base de datos de plantillas de documentos de identidad. Las soluciones de Regula incluyen la base de datos más completa del mundo, con más de 16,000 plantillas a la fecha, junto con descripciones detalladas. Para una verificación manual adicional por parte de expertos, también existen sistemas de información y referencia que contienen imágenes en alta resolución de documentos y sus medidas de seguridad en luz blanca, UV e IR. |
4.3 (33, b): Los datos personales no han sido alterados ni manipulados de otra manera o, cuando corresponda, la foto del cliente incorporada en el documento no fue reemplazada. | Validación de datos y verificación de autenticidad. Esto se logra mediante un enfoque multifacético que incluye, entre otros:
En cuanto al retrato, su validación también implica:
| |
4.3 (33, c): La integridad confirmada del algoritmo usado para generar el número único de identificación del documento original, en caso de que el documento oficial haya sido emitido con zona de lectura mecánica (MRZ). | Lectura avanzada de MRZ. Regula Document Reader SDK emplea más de 200 parsers para códigos MRZ, lo que permite validar algoritmos de checksum y número personal, así como fondo, resolución, tamaño, espaciado de tipografía, posición de línea y otros parámetros. | |
4.3 (33, d): La reproducción proporcionada (del documento) es de calidad y definición suficientes para garantizar que la información relevante no sea ambigua. | Evaluación de calidad. Regula ofrece capacidades avanzadas de captura de documentos que guían al usuario y evalúan automáticamente que no haya reflejos, desenfoque ni elementos recortados, y que los datos sean inequívocamente legibles. | |
4.3 (33, e): La reproducción proporcionada no ha sido mostrada en una pantalla basada en una fotografía o escaneo del documento de identidad original. | Comprobación liveness de documentos. Regula Document Reader SDK verifica la comprobación liveness de documentos. Valida sus medidas de seguridad dinámicas y detecta si el documento se presenta como una captura de pantalla o se muestra desde un dispositivo digital. | |
4.3 (35): En situaciones en las que el dispositivo que los clientes usan para probar su identidad permite recopilar datos relevantes, por ejemplo, porque los datos están contenidos en el chip de una tarjeta nacional de identidad, y es técnicamente viable para las entidades de crédito e instituciones financieras acceder a estos datos, dichas entidades deberían considerar usar esta información para verificar su consistencia. | Verificación basada en NFC. Regula Document Reader SDK lee y verifica el chip RFID incorporado con tecnología de verificación NFC y, además, vuelve a verificar el chip NFC procesando los datos en un servidor para asegurarse de que el chip no haya sido clonado ni manipulado. | |
4.3 (36): Cuando esté disponible, durante el proceso de verificación, las entidades de crédito e instituciones financieras deberían verificar las medidas de seguridad incorporadas en el documento oficial, si las hubiera, como hologramas, como prueba de su autenticidad. | Comprobaciones avanzadas de autenticidad. Regula detecta y autentica al instante datos del documento y verifica sus medidas de seguridad usando numerosas técnicas. Verifica automáticamente la presencia de IPI y hologramas, además de analizar MLI (Imagen láser múltiple) y OVI (Tinta ópticamente variable) mediante aplicaciones móviles. | |
Relación de la identidad del cliente | 4.4 (39): Los datos biométricos son lo suficientemente únicos como para vincularse inequívocamente a una sola persona física. Las entidades de crédito e instituciones financieras deberían usar algoritmos sólidos y confiables para verificar la coincidencia entre los datos biométricos proporcionados en el documento de identidad enviado y el cliente que se está incorporando. | Verificación biométrica. El módulo de comprobación de los rostros permite una comprobación precisa de la foto capturada por la cámara con las fotos del titular presentes en el documento (incluida la foto codificada en el chip RFID o una foto secundaria, como un ghost, kinegram o en un código de barras). |
4.4 (41, a): Toda fotografía o video se toma en condiciones de iluminación adecuadas y las propiedades requeridas se capturan con la claridad necesaria para permitir la correcta verificación de la identidad del cliente. | Captura facial avanzada. Regula Face SDK evalúa la calidad de la imagen mientras los usuarios capturan selfies, identificando y seleccionando la mejor imagen al evaluar factores como reflejos, sombras, posición de la cabeza y tamaño del rostro, directamente dentro de la app móvil o el sitio web. | |
4.4 (41, b): Toda fotografía o video se toma en el momento en que el cliente está realizando el proceso de verificación. 4.4 (41, c): Verificaciones de prueba de vida, que pueden incluir procedimientos en los que se requiere una acción específica del cliente para verificar que está presente en la sesión de comunicación o que pueden basarse en el análisis de los datos recibidos y no requieren una acción específica del cliente. | Prueba de vida (basada en parámetros biométricos). La tecnología propia de prueba de vida de Regula agiliza la verificación biométrica remota. Detecta al instante y evita ataques de presentación (uso de imágenes faciales estáticas, repeticiones o inyecciones de video, o máscaras en lugar de una persona real). Para ello, Regula Face SDK usa distintos métodos, como examinar texturas, profundidad y forma de una imagen, movimientos faciales y más. | |
Procesamiento y almacenamiento de datos | 4.2.1 (26): Los documentos y la información recopilados durante el proceso de identificación remota deben tener marca de tiempo y almacenarse de forma segura por la entidad de crédito e institución financiera. | Implementación on-premises. |
4.2.1 (26): El contenido de los registros almacenados, incluidas imágenes, videos, sonido y datos, debe estar disponible en un formato legible y permitir verificaciones ex post. | Se puede acceder a los registros de sesiones de verificación anteriores para reverificación o en caso de sesiones repetidas para las mismas personas. | |
4.5.2 (49): Cuando el proveedor de servicios subcontratado almacene datos del cliente, (...), las entidades de crédito e instituciones financieras deben asegurarse de que: a) solo se recopilen y almacenen los datos necesarios del cliente conforme a un periodo de retención claramente definido; b) el acceso a los datos esté estrictamente limitado y registrado; c) se implementen medidas de seguridad adecuadas para garantizar que los datos almacenados estén protegidos. | Seguridad de los datos y privacidad reforzada. |
Conclusión
Las directrices de la EBA están diseñadas no solo para el cumplimiento, sino también como un marco común que todas las organizaciones financieras deben seguir. La tecnología de Regula facilita este camino, lo que crea una situación beneficiosa para las instituciones y sus clientes, ya que pueden disfrutar de una incorporación remota de clientes segura, sin complicaciones y estandarizada.
Si enfrenta algún desafío al implementar estas directrices, no dude en ponerse en contacto con los expertos de Regula para obtener soluciones y soporte a la medida.
.webp)