Guía de protocolos de verificación de identidad: Todo lo que las empresas necesitan

En la evaluación global de la amenaza del fraude financiero realizada por Interpol, las pérdidas mundiales relacionadas con este delito se han estimado en 442 millones de dólares estadounidenses.  Para los equipos de cumplimiento y gestión de riesgos en sectores regulados, esta cifra plantea una pregunta directa: ¿Los protocolos de verificación de identidad actualmente en vigor están calibrados para hacer frente a la amenaza, o se trata de un conjunto de métodos sin una correspondencia clara con el riesgo?

Esta guía abarca los tres principales marcos de protocolo que utilizan las empresas, los requisitos de cada uno y cómo desarrollar un enfoque basado en riesgos que cumpla con los estándares regulatorios. Si su equipo está trabajando con NIST 800-63, los requisitos de diligencia debida reforzada del GAFI o un cronograma de preparación para eIDAS 2.0, este es el punto de partida práctico.

¿Qué es un protocolo de verificación de identidad?

Un protocolo de verificación de identidad es un conjunto de reglas definidas que especifican qué pruebas acepta una organización, cómo las valida y qué nivel de seguridad debe alcanzar la verificación antes de que el usuario pueda continuar. Un método de verificación, como el escaneo de documentos o la verificación biométrica, es un componente de un protocolo más amplio. Normalmente, una empresa ejecuta varios protocolos en paralelo, cada uno adaptado a un nivel de riesgo diferente del cliente.

Los tres marcos de protocolo en los que confían las empresas

La mayoría de las empresas reguladas basan sus requisitos en tres normas superpuestas, específicamente: NIST 800-63, los niveles de debida diligencia del cliente basados ​​en el riesgo del GAFI y eIDAS 2.0. Estos marcos abordan verificación de identidad digital desde diferentes perspectivas, pero sus requisitos convergen en niveles de seguridad más elevados.

NIST 800-63 y niveles de garantía de identidad

Norma NIST SP 800-63A Define tres niveles de garantía de identidad.

IAL1 permite la autodeclaración de identidad a distancia con validación básica de pruebas y datos biométricos opcionales. IAL2 eleva el estándar. Las pruebas deben validarse con una fuente autorizada, y el solicitante debe vincularse a dichas pruebas mediante comparación biométrica o confirmación postal. IAL3 exige la presencia física, la verificación presencial y la toma de muestras biométricas por parte de un agente capacitado, reservada para los escenarios de máxima seguridad.

Para la incorporación de clientes en el sector de servicios financieros y tecnología financiera, IAL2 es la base operativa estándar. Los eventos de alto riesgo, como la recuperación de cuentas, las transferencias de gran valor o el acceso a activos restringidos, suelen requerir controles equivalentes a IAL3, incluso cuando los reguladores locales no utilizan directamente la terminología del NIST.

Requisitos de verificación por niveles de riesgo del GAFI

La Recomendaciones del GAFI Se requiere un enfoque basado en el riesgo para la debida diligencia del cliente. La debida diligencia estándar abarca la confirmación de identidad mediante documentos o datos fiables. Due Diligence mejorada La Directiva sobre Diligencia Debida (EDD, por sus siglas en inglés) se aplica cuando el cliente o la transacción presentan un riesgo elevado, incluidos los casos de personas políticamente expuestas, pagos transfronterizos de alto valor, procesos de incorporación no presenciales en jurisdicciones de alto riesgo y estructuras de propiedad complejas.

Los requisitos del EDD van más allá de confirmar que alguien es quien dice ser. El protocolo debe verificar la fuente de los fondos, la propiedad efectiva hasta el nivel del UBO y la exposición política, y requiere un monitoreo continuo a lo largo de la relación con el cliente. En los EE. UU., el Norma final de diligencia debida del cliente de FinCEN codifica estas obligaciones, exigiendo la verificación de identidad de las personas físicas que posean el 25% o más de las acciones de cualquier entidad jurídica cliente.

eIDAS 2.0 y la transición a las credenciales de identidad digital

Las empresas europeas se enfrentan a un plazo estricto para cumplir con la normativa. Para diciembre de 2027, las empresas de los sectores bancario, energético, sanitario, educativo y de telecomunicaciones deben aceptar Monederos de identidad digital de la UE cuando los usuarios las presenten, según eIDAS 2.0. Los 27 Estados miembros están obligados a tener monederos digitales disponibles para los ciudadanos antes de diciembre de 2026.

Para los equipos de verificación de identidad, esto genera la necesidad inmediata de planificar un protocolo. La cartera EUDI se considera evidencia "SUPERIOR" según el marco del NIST, lo que significa que es criptográficamente verificable, está firmada por el emisor y es a prueba de manipulaciones. Los sistemas que la aceptan deben examinar directamente las características de seguridad digital, no simplemente comparar una fotografía del documento.

Las empresas que actualmente realizan la verificación solo mediante carga de documentos para usuarios europeos se enfrentan a la mayor brecha de preparación. Un flujo de trabajo que maneja pasaportes y permisos de conducir en 2026 deberá absorber la presentación de credenciales basada en billetera para 2027. Aquellos que ya han implementado verificación de identidad electrónica Los sistemas de bases de datos nacionales, como BankID, MitID y Singpass, están mejor preparados para absorber este cambio sin tener que empezar de cero.

Cómo construir un marco de protocolo de verificación de identidad basado en riesgos

Un marco de protocolo basado en riesgos asigna a cada segmento de clientes el nivel de garantía adecuado antes de que se ejecute cualquier verificación. Esto difiere de aplicar un único flujo estándar a todos los usuarios.

Mapeo del riesgo del cliente al nivel de garantía adecuado

El marco de trabajo funciona con al menos tres niveles de riesgo para los clientes. Los clientes estándar con bajos volúmenes de transacciones y sin señales de alerta pueden someterse a una verificación equivalente a IAL1 con validación básica de documentos. Los clientes de alto riesgo, en particular aquellos que operan en sectores restringidos, realizan transacciones por encima de umbrales definidos o provienen de jurisdicciones de alto riesgo, requieren controles IAL2, que incluyen validación de atributos entre fuentes y vinculación biométrica. Los clientes de alto riesgo, incluidos los PEP y aquellos con estructuras UBO complejas, requieren un protocolo completo de EDD con registros de evidencia documentados y monitoreo continuo de transacciones.

El GAFI Guía sobre identidad digital Respalda explícitamente este enfoque escalonado, confirmando que un sistema de identidad digital bien diseñado puede satisfacer los requisitos de garantía contra el blanqueo de capitales y la financiación del terrorismo cuando el método de verificación se corresponde correctamente con el resultado del riesgo.

Personalización del protocolo sin un equipo de desarrollo

Una preocupación común al migrar a un modelo de niveles de riesgo es el costo de ingeniería. Históricamente, tres flujos de verificación separados para tres niveles de riesgo implicaban tres integraciones separadas. Las herramientas modernas sin código herramientas de flujo de trabajo de verificación Permite a los equipos de cumplimiento configurar la lógica del protocolo para cada nivel de riesgo, abarcando los requisitos de documentación, los umbrales biométricos, la aceptación del esquema de identificación electrónica y los desencadenantes de activación, sin modificar la API subyacente. Las asignaciones de niveles de riesgo se actualizan en tiempo real a medida que cambian los perfiles de los clientes, de modo que un cliente estándar que supere un umbral de transacción activa automáticamente el protocolo de nivel superior.

¿Qué errores cometen las empresas al seleccionar protocolos de verificación de identidad?

El error más común es confundir «método de verificación» con «protocolo de verificación». Un control biométrico es un método. El protocolo define cuándo se requiere dicho control, qué estándar de seguridad debe cumplir y qué sucede cuando la verificación falla.

Un segundo error frecuente es considerar la verificación inicial de incorporación como el protocolo completo. Tanto las normas de diligencia debida del cliente del GAFI como las de FinCEN exigen un seguimiento continuo tras la incorporación, no solo una confirmación de identidad única. Una empresa con controles de acceso rigurosos, pero sin un proceso de revisión posterior a la incorporación, presenta una deficiencia estructural en su protocolo.

Las empresas que ingresan al mercado de la UE también subestiman el cronograma de preparación de eIDAS 2.0. Diciembre de 2027 es la fecha límite de cumplimiento, pero las pruebas de interoperabilidad de la cartera, la integración técnica y la capacitación del personal necesitan tiempo previo. Una revisión de cómo eIDAS 2.0 está transformando la verificación de identidad Para las instituciones financieras europeas, esto permite evitar una carrera contrarreloj para cumplir con las normativas bajo presión posteriormente.

Las discrepancias en los protocolos y la aplicación inconsistente de los protocolos de verificación de identidad en los distintos niveles de riesgo de los clientes constituyen una de las vías más directas de exposición regulatoria para las empresas de servicios financieros, tecnología financiera y juegos. Shufti abarca todo el espectro de protocolos, desde comprobaciones pasivas de bases de datos equivalentes a IAL1 y verificación biométrica hasta más de 30 esquemas nacionales de identificación electrónica para el cumplimiento de eIDAS 2.0, todos configurables por nivel de riesgo mediante una interfaz sin código. Solicita una demo para asignar sus segmentos de clientes al protocolo de verificación adecuado y visualizar el flujo completo en sus propios casos de uso.