Onboarding digital e a prova de identidade oficial

Disponibilizado em 31/08/2020

O Onboarding Digital vem ganhando cada vez mais adeptos nas instituições financeiras. Se, por um lado esse processo pode trazer grandes vantagens para as instituições financeiras, por outro, esse é um assunto complexo e que também tem suas vulnerabilidades. Nessa série sobre onboarding digital destaquei, em sua primeira parte (aqui) os principais fatores que têm motivado esta adesão. Na segunda (aqui), pontuei recomendações e os importantes benefícios envolvendo o processo de adoção dessa tecnologia.

Agora, destacaremos um dos fatores chave do Onboarding Digital: a prova de identidade oficial. A prova de identidade normalmente depende de alguma forma de registro, documentação ou certificação fornecida ou emitida pelo governo. As mais comuns são a certidão de nascimento, a carteira de identidade e as identidades profissionais. A importância destes documentos está na evidência de atributos essenciais para a comprovação da identidade oficial tais como nome, data e local de nascimento. Contudo, os critérios e atributos destacados pelos documentos variam de acordo com cada jurisdição. Adicionalmente, a tecnologia também tem impactado de maneira heterogênea tais critérios e atributos. Por isso, já existem iniciativas para tentar padronizar os critérios e tecnologias envolvidos na identificação digital. Na União Europeia, por exemplo, são aceitos diferentes tipos de documentação de identificação disponíveis em cada estado membro, desde que estejam em conformidade com os requisitos e padrões estabelecidos pela eIDAS (electronic IDentification, Authentication and trust Services). A eIDAS é a instituição reguladora de identificação e transações eletrônicas do bloco de países.

A Organização Internacional para Padronização (ISO) também trabalha para a construção de uma norma equivalente voltada a determinar padrões globais de identificação de pessoas físicas para serviços financeiros, inclusive no contexto digital. Da mesma maneira, o GAFI também publicou recentemente um documento com diretrizes para orientar o uso de identidade digital pelos países e instituições financeiras. Mas, para que qualquer iniciativa surta efeito, é necessária a implementação de um sistema de identificação digital abrangente e capaz de executar o processo de prova de identidade inclusive dialogando com meios não digitais. Isso porque ainda existem muitos documentos só existem no plano físico.

Contudo, apesar das complexidades e dificuldades, o processo de identificação digital pode trazer vários benefícios. Alguns dos possíveis usos dos sistemas de identificação digital são:

• Bancos de dados eletrônicos para obter, confirmar, armazenar e gerenciar evidências de identidade;
• Credenciais digitais para autenticar identidade de acesso a aplicativos móveis, online e off-line;
• Biometria para ajudar a identificar e autenticar indivíduos;
• Interfaces de programas de aplicativos digitais (APIs), plataformas e protocolos que facilitam a autenticação online de identidade.

 

Recomendação 10 do GAFI

De acordo com a Recomendação 10 do GAFI (Grupo de Ação Financeira Internacional), as entidades reguladas devem utilizar uma abordagem baseada no risco (ABR) para determinar a extensão das medidas de Custumer Due Dilligence (CDD) a serem aplicadas. Fator essencial nesse processo é a identificação e verificação de cada cliente com foco na prevenção à lavagem de dinheiro e financiamento ao terrorismo (PLD-FT). Nas palavras do GAFI, a chave para garantir a eficácia dos sistemas de identificação digitais está no uso de "documentos, dados ou informações confiáveis e independentes". Para isso, é preciso que a tecnologia adotada para conduzir o CDD se apoie em processos e procedimentos que fornecem um nível de confiança para a produção de resultados precisos.

Ao avaliar o risco, as entidades regulamentadas devem considerar todos os fatores relevantes antes de determinar qual é o nível de risco geral e o nível apropriado de mitigação a ser aplicado. Em situações de maior risco, aplicam-se medidas de averiguação aprimoradas, enquanto ações simplificadas podem ser apropriadas em situações onde o risco baixo é estabelecido. Assim, em algumas situações torna-se essencial as interações face a face. Na terminologia do GAFI, as relações comerciais "face a face" são presenciais, onde as partes da transação dividem o mesmo local físico e conduzem suas atividades por interação física. Já as demais interações são aquelas que ocorrem de forma remota, quando as partes não estão no mesmo local físico e realizam atividades por meios digitais ou não presentes fisicamente como correio ou telefone.

E de acordo com a nota interpretativa da Recomendação 10, relações ou transações comerciais que não ocorram no formato face a face devem ser vistas como situações de risco potencialmente mais alto na realização de CDD. Nelas, os riscos de lavagem de dinheiro e financiamento ao terrorismo são maiores. Nas palavras do GAFI, é dever das entidades regulamentadas realizar a "devida diligência contínua sobre a relação comercial e o escrutínio das transações realizadas ao longo dessa relação, para garantir que as transações realizadas sejam consistentes com o conhecimento da instituição sobre o cliente, seus negócios e perfil de risco, incluindo, quando necessário, a origem dos fundos".

 

Requisitos de confiança de terceiros

Nem sempre uma instituição financeira é capaz de executar a identificação e verificação de um cliente em seu Onboarding Digital. A necessidade de contar com uma entidade terceira regulamentada para validar a identificação digital é tema da Recomendação 17 do GAFI. De acordo com ela, os países podem permitir que entidades reguladas se utilizem de terceiros para realizar essa atividade, desde que as seguintes condições sejam atendidas:

• O terceiro também deve ser uma entidade regulamentada sujeita aos requisitos de CDD em linha com as Recomendações 10, e regulamentada, supervisionada ou monitorada para conformidade;


• As entidades reguladas devem:

• Obter imediatamente as informações necessárias sobre o cliente para a identificação e verificação;
• Tomar as medidas adequadas para se certificar de que cópias dos dados de identificação e outra documentação relevante relativa aos requisitos da Recomendação 10 sejam disponibilizados pelo terceiro mediante solicitação, sem demora;
• Certificar-se de que o terceiro está regulamentado, supervisionado ou monitorado;
• Possuir medidas em vigor para o cumprimento de requisitos de CDD e manutenção de registros;
• Considerar as informações de risco do país ao determinar em quais países o terceiro que atende às condições acima está baseado.

Mesmo com todos os critérios em vigor, a responsabilidade regulatória final pelas medidas de CDD permanece com a instituição que se utiliza do terceiro. O sistema de identificação digital deste deve permitir que a entidade reguladora obtenha imediatamente as informações necessárias sobre a identidade do cliente (incluindo os níveis de garantia, quando aplicável).

Assim, é obrigação do terceiro autenticar a identidade do possível cliente e fornecer informações como seu nome, data de nascimento e um número de identidade fornecido pelo estado - ou quaisquer atributos necessários para provar a identidade oficial e dar início a relações comerciais na jurisdição em questão. Ele também deve disponibilizar cópias ou outras formas apropriadas de acesso às evidências de identidade, mediante solicitação, sem demora.

 

 

 

 

Autor

Jorge Lasmar

Doutor pela London School of Economics, LSE, Inglaterra, e autor das obras “Passaporte para o Terror: Os Voluntários do Estado Islâmico” e “Perspectivas do Terrorismo Transnacional Contemporâneo”.