De acordo com dados de 2024 do Serviço Executivo da Comissão de Prevenção à Lavagem de Dinheiro e Infrações Monetárias (SEPBLAC), foram detectados mais de 24.000 alertas de transações suspeitas como resultado de verificações obrigatórias de Conheça Seu Cliente (KYC) na Espanha. As instituições financeiras representaram a maioria dos alertas (86%), seguidas por instituições não financeiras (11,6%) e outros tipos de entidades (2,6%).

Na Espanha, entidades empresariais específicas têm a obrigação jurídica de implementar controles de KYC. No entanto, qualquer empresa que deseje melhorar a detecção e prevenção de fraudes também pode fazê-lo voluntariamente. Independentemente de o KYC ser obrigatório ou não para sua empresa, é importante saber como implementá-lo. Neste artigo, explicamos o que é KYC, incluindo seu propósito e seus procedimentos.

O que vamos abordar neste artigo?

• O que significa Conheça seu cliente (KYC)?
  
• Quais são os benefícios do KYC?
  
• Quem é obrigado a implementar procedimentos KYC na Espanha?
  
• Requisitos jurídicos para os procedimentos KYC na Espanha
  
• Exemplo de procedimento KYC na Espanha
  
• Como o Stripe Identity simplifica procedimentos KYC
  
• Perguntas frequentes sobre o KYC na Espanha
  

O que significa Conheça Seu Cliente (KYC)?

Um procedimento KYC é projetado para verificar a identidade dos clientes antes de contratar serviços ou concluir compras online, com o objetivo de reduzir o risco de fraude e outros crimes financeiros, como lavagem de dinheiro.

Para verificar a identidade do cliente e mitigar ameaças à segurança, incluindo roubo de identidade e roubo de dados pessoais, as empresas podem usar mecanismos como autenticação de dois fatores e assinaturas digitais.

Quais são os benefícios do KYC?

Além de ser um requisito obrigatório em alguns setores, a implementação do KYC oferece vantagens a nível operacional e estratégico para as empresas que trabalham em ambientes digitais.Estas são as principais vantagens da integração de procedimentos KYC:

• Proteção​ contra fraudes​
  A verificação da identidade dos clientes dificulta o acesso de fraudadores. O KYC é a barreira inicial que verifica cada cliente. Isso é especialmente importante em um ambiente digital onde casos de roubo de identidade contam com 14% das consultas ao Instituto Nacional de Segurança Cibernética (INCIBE).
  
• Estabilidade operacional
  A rigorosa conformidade com a Lei de Prevenção à Lavagem de Dinheiro é importante para garantir a continuidade da empresa, além de sanções financeiras, um sistema KYC deficiente pode levar à suspensão de atividades da empresa ou à desqualificação de diretores.
  
• Automação e precisão no processamento de dados
  A maioria das soluções KYC modernas usa reconhecimento óptico de caracteres (OCR) e inteligência artificial (IA) para extrair informações de documentos com alta precisão. Ao eliminar a necessidade de inserir dados manualmente, essas soluções KYC minimizam o erro humano. Isso pode resultar em registros de clientes confiáveis e padronizados.
  
• Onboarding rápido
  Uma das principais razões para o abandono durante o processar cadastro é um onboarding lento ou complexo. A integração de um sistema KYC flexível pode transformar essa experiência. Por exemplo, um processar que antes exigiu documentação física e longos tempos de espera agora pode ser concluído em segundos. Além disso, algumas soluções KYC são compatíveis com documentos de identificação de dezenas de países, tornando-os mais fáceis de lançar em novos mercados.
  

Quem é obrigado a implementar procedimentos KYC na Espanha?

O Regulamento (UE) 2024/1624 estabelece o quadro regulatório que rege a aplicação de políticas e procedimentos de KYC na União Europeia. No entanto, cada Estado-Membro tem competência para introduzir suas próprias nuances legais.

Na Espanha, a Lei 10/2010, de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, rege principalmente o sistema de KYC. A seguir, apresentamos uma lista de entidades que têm obrigação legal de coletar e verificar informações de identificação ao estabelecer ou manter uma relação comercial na Espanha.

Instituições financeiras

As instituições financeiras estão expostas a um maior risco de transações fraudulentas porque se concentram na gestão dos recursos financeiros dos clientes. Isso se reflete nos dados do SEPBLAC, que indicam que bancos, caixas econômicas, instituições de pagamento e outras instituições de crédito tiveram o maior número de relatórios estabelecidos por indicação em 2024. Aqui está uma lista completa de instituições financeiras que são obrigadas a implementar procedimentos KYC:

• Instituições de crédito
  
• Seguradoras de vida ou investimentos
  
• Empresas de serviços de investimento
  
• Gestores de fundos mútuos e empresas
  
• Gestores de fundos de pensão
  
• Gestores de venture capital e empresas
  
• Sociedades de garantia mútua (ou seja, ONGs que financiam pequenas e médias empresas [PMEs] espanholas e são regidas pela Lei 1/1994)
  
• Instituições de moeda eletrônica e pagamento
  
• Profissionais de troca moedas
  
• Provedores de serviços criptomoedas
  

Instituições não financeiras

Algumas entidades fora do setor financeiro também estão envolvidas em transações de alto risco. Administradores de loterias, registradores e notários registraram o maior número de relatórios estabelecidos em indicação em 2024, de acordo com o SEPBLAC. Estas são as instituições não financeiras que devem implementar procedimentos KYC:

• Prestadores de serviços de ordens de pagamento, desde que suas atividades principais envolvam logística e não atividades próprias de instituições de pagamento
  
• Corretoras de crédito e credores que operam sem uma licença bancária e não são legalmente consideradas instituições de crédito ou instituições de crédito financeiro
  
• Desenvolvedores e corretores imobiliários com transações de aluguel igual ou superior a € 10.000 por mês ou € 120.000 por ano
  
• Auditores, contadores externos e consultores fiscais
  
• Tabeliães e registradores de imóveis, registradores de bens móveis e registradores mercantis
  
• Advogados e procuradores, em determinadas operações realizadas em nome de clientes, como transações financeiras ou imobiliárias
  
• Profissionais que prestam serviços a corporações e fundos fiduciários
  
• Cassinos
  
• Comerciantes de joias, pedras preciosas ou metais preciosos
  
• Revendedores ou corretores de arte ou antiguidades
  
• Vendedores de produtos com ofertas de compra
  
• Operadores de loterias e apostas ao repassar ganhos
  
• Vendedores de bens com compras por não residentes da Espanha no valor de mais de € 10.000 e pagos com formas de pagamento de alto risco, como dinheiro
  
• Fundações e associações quando contribuem ou recebem fundos
  
• Gerentes do sistema de liquidação de fundos e pagamento de títulos
  

Mesmo que uma empresa não seja legalmente obrigada a adotar um sistema KYC, recomenda-se implementar um para melhorar a gestão de risco de fraude. Como o KYC envolve verificar a identidade e as atividades financeiras dos clientes, esse processamento pode ajudar a mitigar ameaças como roubo de identidade.

Requisitos jurídicos para os procedimentos KYC na Espanha

A Lei 10/2010 também estabelece os requisitos que todas as entidades obrigadas a implementar procedimentos KYC devem cumprir. Os requisitos são classificados em medidas de due diligence e controle. A seguir, descrevemos os requisitos mais importantes.

Due diligence

A due diligence envolve a coleta de informações sobre a identidade dos clientes e suas atividades econômicas. As medidas de due diligence são aplicadas de forma proporcional ao nível de risco do cliente, ao tipo de produto ou à natureza da transação. Essa análise de risco deve ser formalizada por escrito, previamente, para determinar o perfil de risco e, em última instância, os requisitos aplicáveis.

Requisitos de due diligence para perfis de baixo risco

Nos casos em que a análise determina que o perfil de risco é baixo, os regulamentos permitem a inscrição de medidas de due diligence simplificadas. Isso simplifica os procedimentos sem comprometer a conformidade regulatória. Os requisitos mais importantes são descritos abaixo:

• Identificar o cliente
  O primeiro passo para empresas ou profissionais que implementam procedimentos KYC é identificar formalmente o cliente.Se for uma pessoa jurídica (por exemplo, uma empresa que deseja comprar um escritório), o proprietário usufrutuário deve ser identificado (ou seja, a pessoa física que detém mais de 25% ou controla a empresa).
  
• Verificar a atividade profissional ou empresarial
  A entidade responsável pelo procedimento de KYC deve verificar se a atividade profissional ou empresa do cliente é verdadeira (por exemplo, por meio de folha de pagamento ou lucros da empresa). Essa verificação deve ser razoável (ou seja, proporcional ao nível de risco da transação).
  
• Determinar a finalidade da transação
  Em seguida, é necessário descobrir o propósito do cliente na realização da transação financeira. Isso deve ser consistente com a atividade profissional ou empresa verificada anteriormente. Por exemplo, se a finalidade da transação for alocar parte das economias da entidade para investir em criptomoedas, uma compra de € 500.000 em bitcoin pode ser razoável se a empresa tiver receitas anuais de vários milhões. No entanto, não seria razoável para uma pessoa física com um salário mensal de € 1.500.
  
• Implementar monitoramento contínuo
  O sistema KYC não se limita ao início da relação da empresa. Em vez disso, envolve monitoramento contínuo. Por exemplo, se um cliente obteve um salário de € 2.900 quando investiu em um fundo, mas agora está desempregado e sem renda, é importante que a instituição financeira conheça essas informações. Portanto, é importante atualizar os dados do cliente quando ocorrerem mudanças significativas em seus perfis.
  

Requisitos de due diligence para perfis de alto risco

Se a análise determinar que o perfil do cliente, transação ou ativo adquirido é de alto risco, medidas de due diligence aprimoradas serão implementadas, além dos requisitos para perfis de baixo risco. Abaixo, explicamos algumas das medidas mais comuns na Espanha:

• Localizar a origem dos fundos
  Esta medida reforçada aplica-se, por exemplo, quando o cliente detém um cargo de responsabilidade pública, como um ministro ou um líder sênior de um partido político com representantes no parlamento.
  
• Exigir assinatura eletrônica
  Se a transação for realizada por meio eletrônico, a entidade deve verificar a identidade do cliente com uma assinatura eletrônica que cumpra os requisitos estabelecidos pelo Regulamento (UE) 910/2014.
  
• Obter autorização expressa
  Em determinados pagamentos internacionais realizados de um banco espanhol para um banco estrangeiro, é necessária a autorização expressa da alta administração antes de prosseguir com a transferência de fundos.
  

Medidas de controle e informação

Se os resultados da due diligence apontarem possíveis atividades ilegais, a empresa responsável pelo procedimento KYC deve tomar as seguintes medidas de controle e informação:

• Exame especial
  A entidade deve implementar seus protocolos de controle interno para investigar o caso específico e preparar um relatório que detalhe os motivos da suspeita e as conclusões alcançadas.
  
• Relatórios estabelecidos ou sistemáticos
  Se a conclusão do exame especial confirmar ou reforçar a suspeita inicial, a empresa deve enviar ao SEPBLAC um relatório detalhando a identidade, a atividade e a transação suspeita do cliente. Mesmo que não haja comprovantes de suspeita, é obrigatório enviar um relatório sistemático dessas transações com origem ou destino em países com alto risco de lavagem de dinheiro.
  
• Cancelamento da transação
  A empresa deve abster-se de realizar a transação, a menos que tal seja impossível ou possa dificultar o andamento da investigação.
  
• Proibição de divulgação
  A entidade está proibida de informar o cliente ou terceiros sobre o relatório à SEPBLAC, independentemente de o relatório ser estabelecido ou sistemático.
  
• Cooperação com autoridades
  Se as autoridades competentes solicitarem informações adicionais, a entidade deve fornecê-las de forma rápida e precisa para facilitar a investigação.
  
• Retenção de documentos
  A empresa deve manter por 10 anos toda a documentação que comprove a conformidade com os requisitos jurídicos para os procedimentos KYC na Espanha.
  

Exemplo de procedimento KYC na Espanha

Embora as verificações de due diligence do cliente variem dependendo do perfil de risco e do tipo de empresa, as etapas fundamentais são semelhantes na maioria dos casos. Aqui está um exemplo de um procedimento de KYC na Espanha:

• Acesse o formulário
  Booking.com é o sistema de reservas de hospedagem mais utilizado no ambiente B2C na Espanha, inclusive à frente das reservas diretas com hotéis. A administração de um hotel tradicional decide iniciar uma relação comercial com essa agência de viagens on-line como parte de sua estratégia de transformação digital. Para operar na plataforma, é necessário primeiro preencher o formulário de KYC da Booking.com.
  
• Determine o tipo de entidade
  Booking.com aplica requisitos diferentes, dependendo do tipo de entidade. Por exemplo, os profissionais autônomos só precisam inserir seus dados pessoais e informações da conta bancária. No entanto, o hotel está registrado no Registro Comercial como uma empresa de responsabilidade limitada (SL), então os gerentes do hotel selecionam a opção "Entidade Empresa".
  
• Preencha o formulário
  O representante preenche o formulário em nome da SL. Para operar como empresa parceira, a Booking.com solicita informações como o nome da empresa, a data de incorporação e o Número de Conta Bancária International (IBAN) da conta bancária da empresa.
  
• Verifique as informações e analise o risco
  Após receber o formulário, a Booking.com processa a verificação, que inclui várias etapas, como a identificação dos proprietários da SL e a verificação de que as informações correspondem à lista no Registro Comercial. Em seguida, realiza uma análise de risco e, se o resultado for favorável, inicia uma relação de empresa com o hotel.
  
• Implemente um procedimento KYC para reservas
  É comum que plataformas como a Booking.com estendam esse procedimento aos clientes que fazem reservas de hotéis para fortalecer seus protocolos KYC. Neste vídeo, demonstramos o processo de verificação de identidade com o Stripe Identity e as etapas que os clientes precisam concluir durante o processo de reserva.
  

Como o Stripe Identity simplifica procedimentos KYC

Se você for legalmente obrigado a implementar um sistema KYC na Espanha, deverá assegurar que os procedimentos de cobrança de informações cumpram o Regulamento Geral de Proteção de Dados (GDPR). A Stripe Identity facilita essa tarefa simplificando a verificação de identidade durante o onboarding processado e cumprindo os regulamentos KYC espanhóis.

O Identity permite verificar a identidade dos clientes e reduzir o risco de vazamento de dados confidenciais. Além disso, ele simplifica a carga de trabalho das equipes fraude, reduzindo tarefas manuais e ajudando os clientes legítimos a se beneficiarem de processos de verificação mais rápidos e simples.

Além disso, a combinação do Stripe Payments – a plataforma de pagamento online da Stripe – com o Stripe Radar – sua ferramenta de fraude – pode ajudar a evitar ataques fraudulentos, devido às medidas de segurança desses sistemas e à prevenção de falsos positivos que podem afetar a conversão.

Para plataformas e marketplaces, o Stripe Connect pode simplificar os procedimentos KYC envolvidos na gestão de pagamentos de várias partes. Ele integra verificações KYC para clientes, além de verificação para empresas e profissionais que oferecem seus produtos e serviços em seu site.

Perguntas frequentes sobre KYC na Espanha

É obrigatório realizar procedimentos KYC para todas as transações?

Se os procedimentos KYC são obrigatórios ou não depende do tipo de entidade. Instituições financeiras (por exemplo, instituições de crédito e provedores de serviços criptomoedas) devem aplicar procedimentos KYC a todas as transações. No entanto, algumas entidades não financeiras só são obrigadas a realizar essas verificações em casos específicos. Por exemplo, lojas e profissionais devem realizar o procedimento KYC com transações a não residentes para valores superiores a € 10.000 pagos com formas de pagamento de alto risco.

O que acontece se o procedimento KYC não for implementado apesar de ser obrigatório?

Se uma empresa deixar de cumprir a obrigação de implementar procedimentos KYC, estará sujeita às sanções aplicáveis. Infrações leves, como a não identificação de um cliente em uma única operação, podem resultar em advertência privada ou em multa de até € 60.000. No caso de infração grave, como a não identificação do cliente quando há indícios ou certeza de lavagem de dinheiro ou financiamento do terrorismo, a multa mínima é de € 60.000. Para infrações muito graves, incluindo a reincidência, a penalidade mínima é de € 150.000. Além das multas, as infrações graves e muito graves podem acarretar outras consequências, como a suspensão temporária da autorização administrativa para operar e a inabilitação de administradores.

É aconselhável implementar procedimentos KYC em uma empresa de e-commerce?

Embora os negócios de e-commerce não sejam legalmente obrigados a implementar um sistema KYC, é recomendado para detectar e prevenir fraudes no e-commerce. Ao reunir informações sobre os clientes e suas atividades econômicas, você pode determinar o nível de risco nas relações empresariais e, se necessário, tomar precauções adicionais para evitar ameaças como roubo de identidade. A implementação voluntária do procedimento de KYC é especialmente recomendada para empresas que aceitam formas de pagamento mais arriscadas, como empresas de e-commerce que aceitam pagamentos em criptomoedas ou pagamentos parcelados.