Validación de identidad y listas SARLAFT en la originación de crédito

Introducción

En Colombia, toda entidad que otorga crédito está obligada a implementar un Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT). Este sistema incluye la validación de identidad del solicitante y la consulta de listas restrictivas como paso obligatorio antes de aprobar cualquier operación financiera. En este artículo exploramos cómo funciona este proceso en la originación digital de crédito, qué listas se consultan y qué sucede cuando hay una coincidencia.

¿Qué es SARLAFT?

SARLAFT es el marco regulatorio colombiano —definido por la Circular Externa 026 de 2008 de la Superfinanciera— que obliga a las entidades vigiladas a prevenir que el sistema financiero sea utilizado para el lavado de activos o la financiación del terrorismo. El sistema comprende cuatro etapas fundamentales:

• Identificación: conocer quién es el cliente, recopilar datos de identificación verificables
• Medición: evaluar el nivel de riesgo del cliente según sus características
• Control: aplicar controles diferenciados según el nivel de riesgo identificado
• Monitoreo: hacer seguimiento continuo de las operaciones del cliente para detectar comportamientos inusuales

Validación de identidad en la originación digital

Durante la solicitud de crédito digital, la plataforma ejecuta múltiples validaciones de identidad:

• Verificación documental: se comparan los datos del documento de identidad (extraídos por OCR) con los registros de la Registraduría Nacional del Estado Civil
• Biometría facial: en algunos casos se solicita una selfie o video que se compara con la fotografía del documento
• Verificación de datos de contacto: validación del correo electrónico y número celular mediante códigos OTP
• Cruce con bases de datos públicas: DIAN (RUT), Cámara de Comercio, RUES

Estas validaciones se ejecutan de forma automática a través de proveedores especializados de verificación de identidad, con tiempos de respuesta típicos de 2 a 15 segundos por consulta.

Listas restrictivas consultadas

El sistema consulta automáticamente las siguientes listas durante la originación:

• Lista OFAC (SDN): la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE.UU. publica esta lista de personas y entidades sancionadas. Cualquier coincidencia bloquea la operación.
• Listas de Naciones Unidas (ONU): resoluciones del Consejo de Seguridad que identifican personas vinculadas al terrorismo internacional.
• Lista PEP (Personas Expuestas Políticamente): funcionarios públicos de alto nivel, sus familiares y asociados cercanos que requieren un nivel de debida diligencia reforzada.
• Listas nacionales: incluyen la lista de la Policía Nacional, Fiscalía General de la Nación, Contraloría y Procuraduría.
• Lista Clinton (OFAC Consolidated): personas y empresas vinculadas al narcotráfico.

¿Qué sucede cuando hay una coincidencia?

Cuando el sistema detecta una posible coincidencia en alguna lista restrictiva, se activa el siguiente flujo:

• Alerta automática: el sistema genera una alerta clasificada por severidad (alta, media, baja) según la lista involucrada y el porcentaje de coincidencia del nombre.
• Bloqueo de la solicitud: la solicitud se detiene automáticamente y no puede avanzar al siguiente paso.
• Asignación a analista: un oficial de cumplimiento recibe la alerta para revisión manual.
• Investigación: el analista compara datos adicionales (fecha de nacimiento, número de documento, nacionalidad) para determinar si se trata de un verdadero positivo o un falso positivo.
• Decisión: si es un falso positivo, el analista libera la solicitud con una justificación documentada. Si es un verdadero positivo, se rechaza la solicitud y se genera un Reporte de Operación Sospechosa (ROS) ante la UIAF (Unidad de Información y Análisis Financiero).

Ejemplo práctico: coincidencia en listas

Juan Pérez solicita un crédito de $8.000.000. El sistema ejecuta la validación SARLAFT y encuentra una coincidencia del 87% con un registro en la lista OFAC para "Juan Alberto Pérez Gómez".

El sistema:

1. Detiene la solicitud automáticamente
2. Genera una alerta de severidad ALTA con los detalles de la coincidencia
3. Asigna la alerta al oficial de cumplimiento de turno
4. El analista revisa: el Juan Pérez solicitante tiene cédula 1.023.456.789, fecha de nacimiento 15/03/1988, residente en Bogotá. El registro OFAC corresponde a un individuo con pasaporte venezolano nacido en 1965.
5. Conclusión: falso positivo. El analista documenta la justificación y libera la solicitud.
6. La solicitud continúa al paso de evaluación de capacidad de pago.

Todo este proceso queda registrado en la auditoría del sistema con marcas de tiempo, identificación del analista y justificación de la decisión.

Reporte a la UIAF

Cuando se confirma un verdadero positivo o se detecta una operación sospechosa, la entidad está obligada a reportar ante la UIAF. Los umbrales de reporte incluyen:

• Transacciones en efectivo superiores a $10.000.000 COP
• Operaciones que no guardan relación con la actividad económica declarada
• Cualquier coincidencia confirmada con listas restrictivas
• Patrones de comportamiento inusuales detectados durante el monitoreo

Conclusión

La validación de identidad y listas SARLAFT es un componente crítico de la originación de crédito en Colombia. La automatización de este proceso permite a las entidades cumplir con la regulación de la Superfinanciera sin sacrificar la velocidad de la experiencia digital. Un sistema bien implementado combina consultas automáticas en tiempo real con flujos de revisión manual para los casos que requieren análisis humano, garantizando así la seguridad del sistema financiero y la protección de la entidad.