¿Cuándo conviene utilizar una herramienta de evaluación de riesgo del cliente?

Las herramientas de evaluación de riesgo de los clientes son obligatorias para las entidades financieras. Pero probablemente deberían ser utilizadas por más empresas.

No realizar una evaluación de riesgo adecuada puede costar muy caro. En 2019, las agencias gubernamentales estadounidenses emitieron más de 19.800 millones de dólares en multas a organizaciones que facilitaron demasiado las cosas a los delincuentes financieros, ya fuera a sabiendas o accidentalmente.

Veamos más de cerca qué es la evaluación del riesgo del cliente, cómo hacerla y cuándo usar una herramienta para esto.

¿Qué es una evaluación de riesgos en clientes?

Una KYC o evaluación del riesgo del cliente es un método estandarizado de evaluar el nivel de riesgo que plantea un cliente con el fin de realizar el nivel adecuado de comprobaciones y verificaciones para poder hacer negocios con él sin poner en peligro a la empresa o a la economía en su conjunto.

Como parte de sus obligaciones contra el lavado de dinero (AML), ciertos tipos de empresas reguladas deben evaluar el riesgo que plantea un cliente verificando la identidad de la persona, su ubicación, el origen de sus fondos, la forma en que pretende utilizarlos e información similar.

A su vez, estos datos permitirán a la organización identificar y gestionar si:

• representan un riesgo de lavado de dinero
• se cree que financian el terrorismo según la normativa CTF
• se trata de una persona políticamente expuesta, como un político o su familia cercana
• están sancionados como individuos o como parte de una empresa
• figuran en listas de vigilancia de delincuentes y fugitivos u otras listas negras

¿En qué consiste la evaluación de riesgos del cliente?

En pocas palabras, quieres que todos los clientes sean ideales para tu empresa. En un mundo perfecto, esto significaría permitir únicamente la entrada a personas que tengan intención de adquirir tus productos o servicios, pero la definición puede ampliarse preguntando:

• ¿Es el cliente real? Lo primero que hay que hacer es asegurarse de que se trata de un usuario legítimo. Eso significa filtrar los bots y el tráfico falso. Y el método más eficaz a tu disposición es asegurarte de que el cliente tiene una huella digital real.

Una huella digital es esencialmente un rastro de información que tiene cualquier usuario. Puede ser en forma de cookies, configuración de dispositivos y redes o su presencia en las redes sociales. Más adelante profundizaremos en este concepto, pero lo importante es señalar que resulta especialmente útil analizar la huella digital en la fase de onboarding, cuando se permite la entrada de nuevos usuarios en el sitio web.

• ¿Había visto antes a este cliente? Una pregunta interesante para muchos departamentos. Los responsables de marketing pueden utilizar la información para crear ofertas personalizadas o para asegurarse de que no están dando demasiados códigos promocionales y descuentos (lo que ayuda a frenar el abuso de bonificaciones).  

Una vez más, es importante analizar la huella digital, pero también hay que comparar la información con los propios datos históricos. Las empresas deben contar con una sólida solución de análisis que les ayude a examinar las direcciones IP y las huellas digitales de los dispositivos para registrar información sobre cada configuración de software y hardware. 

• ¿Es el cliente quien dice ser? Uno de los factores de mayor riesgo es tratar con identidades falsas. Los clientes que utilizan identificaciones robadas son siempre una mala noticia para tu empresa. Significa que ocultan intencionadamente quiénes son, la mayoría de las veces para estafar a tu negocio en línea.

Responder a la pregunta sobre la verdadera identidad de los clientes es exactamente el objetivo de las comprobaciones KYC. KYC, o Conoce a Tu Cliente, es un proceso legal que obliga a ciertas empresas a recopilar información relacionada con la dirección residencial del usuario, su nombre completo y su fecha de nacimiento. 

Como veremos, hay diferentes tipos de comprobaciones KYC, pero todas pueden ser útiles para los negocios online.

¿Quién debe evaluar el riesgo de los clientes?

Hoy en día, la evaluación del riesgo del cliente no está reservada únicamente a los bancos. Cualquier empresa que realice transacciones en línea sabe que no todos los clientes tienen el mismo valor para la empresa. Algunos serán fieles y comprarán repetidamente tus productos o servicios. Otros acabarán costándote más de lo que ganas.

Fintechs, plataformas de comercio de criptoimonedas, casinos online, empresas de préstamos, entidades financieras tradicionales… Todo este tipo de empresas son muy conscientes de la importancia de la evaluación de riesgo de los clientes. 

De hecho, deben cumplir con una serie de normativas que les presionan para comprobar la información de los usuarios, como:

• Ley Internacional contra la Reducción del Lavado de Dinero y la Financiación del Terrorismo
• Ley USA PATRIOT
• Ley británica de 2002 sobre el producto del delito
• Normativas JMLSG
• Tercera Directiva Europea sobre lavado de dinero

El objetivo es impedir que las personas realicen fraudes que perjudicarían a la empresa directa o indirectamente, por ejemplo a través de:

• Tasas de contracargo: tanto si has sido estafado por atacantes malintencionados como si eres víctima de un fraude amistoso, las empresas acaban perdiendo entre 2 y 3 veces el importe de la transacción tras procesar todas las tasas de contracargo, según Chargeback Gurus.
• Abuso de bonificaciones: los casinos y operadores de apuestas saben desde hace tiempo que atraer a nuevos usuarios con ofertas especiales puede resultar contraproducente. Los estafadores utilizan bots e identidades sintéticas o robadas para registrarse varias veces (multicuenta) con el fin de cosechar los beneficios de los enlaces de referencia o los descuentos para nuevos usuarios. El abuso de bonificaciones es cada vez más habitual en cualquier negocio online, desde las fintech hasta las tiendas online.
• Robo de cuentas: los estafadores encuentran valor en cualquier presencia en línea, por lo que intentan entrar en las cuentas de otras personas. Las billeteras electrónicas y las cuentas bancarias son especialmente atractivas para ellos, pero también en este caso un número creciente de empresas descubren que las cuentas de sus usuarios son robadas con regularidad. Los estafadores minan las cuentas en busca de datos personales o las vacían de puntos de bonificación, por ejemplo. Esto también se conoce como «credential stuffing», y cuesta a las empresas una enorme cantidad de tiempo y recursos perdidos al intentar devolver la cuenta al usuario legítimo, por no hablar de la pérdida de reputación.

¿Cuál es la diferencia entre evaluación de riesgos y el KYC?

La evaluación de riesgos es una práctica general que evalúa la probabilidad de que un usuario infrinja la ley en el futuro. La verificación KYC es uno de los métodos utilizados para esas evaluaciones de riesgos. La verificación KYC se centra en la recopilación de información importante sobre las personas al inicio de una relación, por ejemplo al dar de alta a nuevos usuarios.

Otros métodos clave son la DDC (Diligencia Debida del Cliente) y la DDE (Diligencia Debida Reforzada), que se centran más en controlar de dónde proceden los fondos en el contexto de la normativa contra el lavado de dinero (AML).

Ten en cuenta que estas comprobaciones AML deben realizarse y revisarse continuamente a intervalos regulares y que cubren tanto los riesgos externos como los internos, es decir, tanto tus clientes como tus empleados.

Nunca he oído hablar del KYC, ¿aún tengo que hacerlo?

Dado que los procesos KYC son un requisito legal, tu equipo de gestión de riesgos ya debería conocerlos. Pero si nunca has tenido que realizar estas comprobaciones, no hay nada malo en emplear los mismos métodos para filtrar a los clientes de alto riesgo.

En SEON, tendemos a clasificar el KYC en dos modos diferentes: ligero y pesado.

• KYC ligero: Es rápido, sin fricciones y ayuda a reducir la rotación. Es como un perfil de cliente invisible que se realiza en tiempo real a medida que los usuarios aterrizan en tu sitio web y comienzan a completar los campos. El inconveniente es que es más arriesgado.
• KYC pesado: Implica métodos de verificación y autenticación que pueden ralentizar a los clientes en su recorrido. Por ejemplo, el envío de una selfie de identificación o la autenticación de 2 factores con un dispositivo móvil.

Y lo ideal sería que tu proceso de evaluación pudiera alternar entre ambos, en función de la información que recibas. Esto es lo que llamamos fricción dinámica, y puede funcionar tanto si realizas la evaluación de riesgos manualmente como si la automatizas. Esto nos lleva a la cuestión de cuánto tiempo se tarda exactamente en evaluar el riesgo.

¿Cuánto se tarda en evaluar a un cliente?

Esta es probablemente la pregunta que más preocupa a las empresas que no son entidades financieras. Entienden que los usuarios quieren moverse rápido, ya sea para darse de alta en un nuevo servicio o para finalizar una compra. La rotación, la fricción y los obstáculos son los enemigos de los negocios en línea, lo que lleva a las empresas a jugar un difícil equilibrio entre riesgo y seguridad.

De hecho, estas palabras pueden evocar recuerdos de tener que enviar una carpeta con información personal para abrir una cuenta bancaria o adquirir un producto financiero como un seguro o un préstamo. A veces había que esperar semanas antes de obtener una respuesta.

Pero hoy en día puede ser casi instantáneo, siempre que se haya establecido el sistema adecuado.

Factores a tener en cuenta en la evaluación de riesgo del cliente

Como parte de tu evaluación de riesgos, deberás tener en cuenta una serie de factores de riesgo, monitorear a los clientes con respecto a ellos y disponer de flujos de trabajo definidos cuando se identifique alguno. En concreto, son los siguientes:

• Riesgo normativo: No realizar las verificaciones de KYC, IDV y otras comprobaciones obligatorias de los clientes es un riesgo normativo. Esto puede acarrear multas y otras sanciones para la empresa, incluso penas de prisión.
• Riesgo del cliente: ¿Qué probabilidades hay de que este tipo de cliente suponga un riesgo? ¿Es un particular? ¿Es una empresa? ¿Es una PEP? ¿Quién es el beneficiario efectivo final (UBO), si se trata de una empresa? etc.
• Riesgo del producto: Este factor tiene en cuenta si el producto que el cliente adquiere o al que accede tiene más o menos probabilidades de permitir el lavado de dinero u otros riesgos. El alcance de lo que alguien puede hacer puede variar significativamente según el producto.
• Riesgo geográfico: ¿Dónde tiene su sede esta persona o empresa? ¿Este país o zona figura en alguna lista de sanciones? ¿Se considera que presenta un mayor riesgo de algunos tipos de delitos?
• Riesgo del canal de entrega: Este factor considera cómo el cliente realiza transacciones con la empresa y si ese entorno añade más riesgo. Por ejemplo, alguien que acceda a tus servidores a través de una API o de la banca móvil puede suponer un riesgo mayor que un cliente que haya entrado en una sucursal, o viceversa, todo depende de tu infraestructura.

Pasos eficaces para realizar una evaluación de riesgos

Tanto si se trata de una pequeña empresa como de un líder mundial, los pasos a seguir serán los mismos:

1. Delegar la evaluación de riesgos en un miembro del equipo, en todo el equipo o en un especialista
2. Identificar los riesgos específicos de la empresa
3. Evaluar los riesgos y medir cómo afectarán a la empresa
4. Recopilar todos los vectores de riesgo potenciales (o puntos de datos relacionados con el riesgo)
5. Crear KPIs que midan y controlen los índices de riesgo.

Un ejemplo concreto: supongamos que eres una pequeña tienda online que vende productos físicos. Tus riesgos estarán probablemente relacionados con los índices de contracargos. Calculas que cada contracargo acaba costándote hasta 70 dólares. Pagar demasiados al mes podría hundir tu negocio. 

En ese caso, los vectores de riesgo serán principalmente los datos del usuario, los números de tarjeta de crédito y la dirección de envío. 

Tradicionalmente, un gran comerciante con el personal y las operaciones adecuadas tendría un equipo que realice revisiones manuales de estos tres puntos. Por ejemplo, se pondrían en contacto con el usuario para obtener más información o utilizarían los datos de que disponen para validar la compra.

Por suerte, en la era digital, es totalmente posible automatizar estos pasos y ampliar la evaluación de riesgos sin agotar el tiempo y los recursos del equipo.

¿Qué ocurre si no dispongo de los recursos necesarios para desplegar un equipo de riesgos completo?

Una de las mayores ideas falsas sobre el conocimiento del cliente es que se trata de un proceso largo y que requiere muchos recursos. Esto puede ser cierto si lo haces manualmente, por ejemplo, verificando cada nuevo cliente que se une a tu sitio con una llamada telefónica. En el caso de las transacciones, el flujo de trabajo manual típico incluiría abrir numerosas pestañas en un navegador para recopilar información sobre el cliente de distintos sitios web de comprobación de antecedentes.

Herramientas KYC de evaluación de riesgo y prevención del fraude

Las herramientas de evaluación de riesgos y prevención del fraude encajan perfectamente, ya que sus objetivos son esencialmente los mismos: recopilar datos y utilizarlos para calcular el riesgo. Así es como se ve ese proceso desde la perspectiva de las herramientas de detección de fraude de SEON.

Evaluación de riesgos con SEON

Paso 1: Recopilar los datos

En cuanto los visitantes llegan a tu sitio web, SEON puede empezar a recopilar información. Puede tratarse de: 

• La dirección IP: Para saber en qué parte del mundo se encuentran los clientes, si se esconden tras TOR o VPNs, y ver si intentan ocultar el origen de su conexión.
• La configuración del dispositivo: La huella digital del dispositivo es una herramienta extremadamente potente que nos permite ver la combinación de software y hardware con la que los usuarios se conectan a tu sitio. Conocer la estructura del dispositivo, la versión del navegador y sus características, entre otras cosas, también ayuda a crear identificadores para comprobar cuando las mismas personas vuelven a visitar el sitio o cuando se hacen pasar por personas diferentes.

Paso 2: Enriquecer los datos

Recopilar datos es una cosa, pero no basta para saber realmente quiénes son tus usuarios, sobre todo si mienten o utilizan identificaciones robadas. Por eso hay que dar un paso más para confirmar la calidad de los datos o para obtener una visión más amplia:

• Análisis del correo electrónico: A veces, un solo punto de datos puede ser suficiente para revelar mucho. Por ejemplo, puedes evaluar el riesgo del correo electrónico para ver si es demasiado nuevo, si está registrado con un proveedor de dominio gratuito o si ha aparecido antes en una lista negra, entre otros.
• Análisis del teléfono: Del mismo modo, puedes realizar una evaluación del riesgo del número de teléfono para ver si es fijo o móvil, si el operador está en el país correcto y si la tarjeta SIM está en una red real o no.
• Perfiles de redes sociales: Una de las técnicas antifraude que más éxito ha tenido en los últimos años es la búsqueda de datos en redes sociales. Aunque esto puede hacerse manualmente, SEON acelera el proceso para saber rápidamente si el usuario ha vinculado su información con redes sociales o de mensajería. Esto nos permite recopilar una foto del usuario, ver cuándo fue la última vez que lo utilizó y leer su biografía, entre otras cosas.

Paso 3: Calcular el riesgo

El último paso consiste en decidir si todos esos datos apuntan a un usuario de riesgo o no. En el pasado, los gestores del fraude tenían que recurrir a su experiencia e instinto. Aunque esto sigue siendo así hoy en día, el proceso ha mejorado enormemente gracias a las puntuaciones de riesgo. 

Cada puntuación se calcula con una serie de reglas. Estas pueden ser preestablecidas para tu sector, creadas manualmente o incluso sugeridas por la IA. Una regla sencilla sería aumentar el riesgo si la dirección IP de un cliente es diferente de la dirección de envío. Una regla compleja podría ser una regla de velocidad que analice el número de intentos de inicio de sesión por minuto, por ejemplo.

La clave es que las empresas controlen la reducción del riesgo. ¿Merece la pena ser más estricto, aunque aumente el número de falsos positivos? ¿O prefieres dejar pasar a unos cuantos estafadores y que se coman los costos? Asegúrate de poder elegir cuando elijas tu herramienta de prevención del fraude.

Evaluar el riesgo antes de que los estafadores ataquen

En conclusión, podemos ver que las organizaciones de todos los tamaños tienen acceso a recursos para evaluar el riesgo de los clientes, tanto si se les exige como si no.

Y aunque la revisión manual es una opción perfectamente viable, tiende a ser propensa al error humano y, por desgracia, simplemente no es escalable en términos de números o procesos que se puedan implementar.

Por eso la automatización es clave. Tanto si necesitas calcular el riesgo de una transacción como de mil, debe disponer de herramientas que le ayuden a evaluar el riesgo en tiempo real y con una precisión extraordinaria.

Este es exactamente el objetivo de todos nuestros productos en SEON. Desde nuestro complemento para Chrome de enriquecimiento de datos con un solo clic hasta nuestro servicio integral de detección de fraudes, permitimos que cualquiera pueda empezar a hacer negocios solo con los clientes adecuados y con total tranquilidad.

Fuentes

Chargeback Gurus: 2023 Chargeback Fees – The True Cost of Your Chargebacks