insic Update (español): Selección de procedimientos de identificación adecuados

Con la serie de artículos «insic Update», le ofrecemos una visión completa del software necesario para implementar los requisitos de cumplimiento normativo según la regulación Alemana y Europea.

Puede encontrar todos los artículos de esta serie en nuestra página de resumen multilingüe.

Retos en la selección de procedimientos de identificación adecuados

La confianza en la identidad de un usuario es la base para el procesamiento conforme a la ley de las transacciones en Internet. Para seleccionar al proveedor o proveedores adecuados de procedimientos de identificación, es esencial comprender a fondo los detalles de la verificación de identidad, con el fin de generar un valor añadido sostenible.

El enfoque clásico de cinco pasos para la selección de soluciones de software requiere un procedimiento más amplio al elegir los procedimientos de identificación.

1. Posicionamiento

La normativa nos obliga a identificarnos claramente en los intercambios digitales. Los servicios seleccionados deben cumplir con los requisitos regulatorios, cuya definición precisa ya constituye un gran obstáculo.

En la práctica, lidiamos a diario con el Derecho Mercantil, las leyes de protección de menores, el Tratado Interestatal sobre la Protección de Menores en los Medios de Comunicación (JMStV), el Tratado Interestatal sobre Juegos de Azar, el Tratado Interestatal sobre Medios de Comunicación, la Ley de Blanqueo de Capitales, la Ley de Supervisión de Servicios de Pago, diversos reglamentos de aplicación y ejecución, y directrices para la interpretación de estas leyes. Además, los 16 estados federales establecen sus propias normas y leyes diferenciadas. Por último, los ministerios del interior de los estados federales y las autoridades locales de supervisión comercial varían significativamente en su orientación y operan con normas internas. También, instituciones como la FSK, USK, KJM, GGL, FIU y BaFin establecen las directrices de actuación en otras normativas.

La seguridad total no puede lograrse con la identificación, especialmente en la venta a distancia, y, en general, no es requerida por ley. El espectro de posibles niveles de confianza va desde la autoevaluación voluntaria (FSK/USK) hasta la autorización oficial individual (GGL, BaFin).

Sin un sólido respaldo jurídico, todos los proveedores se enfrentan a riesgos regulatorios elevados que pueden poner en peligro la continuidad de sus servicios.

Una vez que se determinen los requisitos legales realmente relevantes, el apetito de riesgo debe ser definido por el propio proveedor. Como extensión del modelo clásico de procedimientos, es necesario identificar el riesgo de inexactitud en la identificación en mercados altamente regulados. Como proveedor de servicios, debe determinar qué tipos de riesgo se pueden aceptar conscientemente, con qué apetito de riesgo y con qué probabilidad de ocurrencia, con el fin de alcanzar los objetivos comerciales. Para ello, es esencial identificar los procesos afectados y establecer medidas de mitigación de riesgos.

Tomando como ejemplo los requisitos del KJM en el JMStV, se permite una desviación del 15% en la ortografía de los nombres. Como proveedor, debe decidir si puede aceptar estas desviaciones o si es necesario aumentar la rigurosidad de las comprobaciones para realizar una comparación exacta con los datos de pago y así evitar impagos.

2. Definición de objetivos

Los indicadores clave de rendimiento (KPI), como las tasas de éxito y cancelación o los índices de conversión de procedimientos individuales, solo proporcionan una visión inicial, pero no son suficientes como base para tomar una decisión de selección.

Los diferentes grupos de clientes requieren procedimientos de identificación personalizados con niveles de prueba significativamente distintos. Un procedimiento diseñado para personas menores de treinta años (por ejemplo, Video-Autoident) tendrá tasas de éxito muy diferentes en el grupo de mayores de sesenta años. No existe una solución única para todos.

Si ya está utilizando varios procesos de identificación, le recomendamos realizar un análisis de fortalezas y debilidades para tomar una decisión informada. Recomendamos un análisis DAFO (Debilidades, Amenazas, Fortalezas y Oportunidades) detallado para cada método de identificación y, posteriormente, en el contexto general. A partir de esta base, podrá definir mejor los requisitos para los nuevos procesos de identificación, especialmente con respecto a las debilidades actuales.

Primero, determine un rango objetivo realista para la tasa de conversión deseada. Sea realista y parta de suposiciones tales como: el 5% de los nuevos registros no querrá ingresar ningún dato real, el 10% no proporcionará datos correctos, el 10% preferirá registrarse con competidores (extranjeros) con un nivel de protección inadecuado, y otro 5% puede no querer utilizar los procedimientos de identificación que se ofrezcan. Esto significa que, en este ejemplo, es imposible alcanzar una tasa de conversión superior al 70%. Si opta por un nivel de protección demasiado elevado, la tasa de conversión disminuirá aún más.

Si se utilizan varios procedimientos de identificación al mismo tiempo, es posible alcanzar un 40% con el primer procedimiento principal, un 20% adicional con el segundo y quizás un 10% con el tercer proceso de verificación.

Si se agrega un proceso de identificación adicional a una combinación de métodos ya existente, las tasas de éxito se redistribuirán entre los procesos, sin que se pueda predecir el rendimiento global de antemano. Si un nuevo método obtiene una participación del 20%, normalmente canibaliza otros métodos existentes, por lo que la mejora neta en todos los métodos de identificación puede ser solo del 7%. Si un método líder se desplaza de la primera a la última posición en la interfaz, su cuota puede reducirse a la mitad. Pruebe las opciones y luego defina sus KPI.

Encuentre el equilibrio adecuado para sus grupos objetivo y el nivel de regulación aplicable.

3. Preselección de métodos de identificación

Los proveedores de servicios en Internet se enfrentan a una variada selección de métodos de identificación, cada uno con distintos niveles de cumplimiento. Comprender estos métodos y clasificarlos en su correspondiente clase de riesgo requiere una formación intensiva.

En principio, una buena experiencia de usuario (UX) en el proceso de verificación debería ir de la mano de una alta calidad de verificación. Sin embargo, en la práctica, los niveles más altos de comprobación se pueden alcanzar a través de procedimientos costosos y complejos, que pueden ser excesivamente conformes en casos de uso específicos y no siempre se destacan por su buena tasa de conversión.

Básicamente, existen cinco grupos de procedimientos de identificación entre los que elegir, cada uno con diferentes formas de interacción en la aplicación específica:

  • Consultas de bases de datos: Estas incluyen consultas de datos de diferentes clases de riesgo, que van desde una consulta de ubicación a través de Google como ayuda para la cumplimentación, hasta la verificación de direcciones mediante terceros confiables como SCHUFA.
  • Consultas interactivas: Acceso a identificaciones anteriores almacenadas en carteras de identificación, con autorización del usuario o mediante verificación a través del DNIe.
  • Acceso bancario Fintech: Acceso a cuentas bancarias para confirmar la identidad utilizando protocolos bancarios abiertos.
  • Videoidentificación: Procedimientos interactivos que incluyen el reconocimiento del DNI y videochat, junto con comprobaciones de liveness o verificación mediante selfies.
  • Identificación en el lugar: Uso de procedimientos de identificación en el punto de venta, aprovechando redes de sucursales existentes, como minoristas de lotería o el servicio PostIdent de Deutsche Post.

Decida qué forma de interacción sigue teniendo sentido o incluso es necesaria en su caso de uso.

Además de los requisitos específicos de cada procedimiento de identificación, la protección de datos es de vital importancia. El criterio decisivo para seleccionar el servicio de identificación adecuado es la forma de almacenamiento de datos, en términos de ubicación y duración.

Distinguimos entre las siguientes formas de tratamiento técnico relevantes para la protección de datos:

  • Alojamiento in situ: Los datos se procesan y almacenan en su plataforma de comercio electrónico o de juegos.
  • Alojamiento en nube privada: Los datos se procesan y almacenan en la plataforma de alojamiento en nombre y bajo el control del proveedor. Esto incluye, por ejemplo, servidores virtuales en Amazon Web Services (AWS), Microsoft Azure o Google Cloud.
  • Sincronización externa de datos: Los datos se transfieren a una base de datos externa, donde se comparan sin ser almacenados, y solo se devuelve un resultado de comprobación.
  • Transferencia de datos: Los datos se transfieren a una base de datos externa, donde se almacenan y comparan para su uso posterior. El resultado de la comprobación se transfiere de vuelta junto con los datos del usuario.
  • Recogida externa: Los datos se transfieren a un monedero de identificación externo, donde se lleva a cabo la identificación, y el resultado de la verificación se devuelve con los datos actualizados del usuario. La identidad queda a disposición del operador del monedero para su propia reutilización.

El almacenamiento de datos en las tres primeras formas de procesamiento no suele plantear problemas. Sin embargo, las formas de tratamiento “transferencia de datos” y “recogida externa” deben ser evaluadas por separado por el responsable interno de protección de datos. Es importante considerar si tiene sentido proporcionar sus propios datos de usuario a un proveedor de servicios que, en teoría, podría utilizarlos para facilitar el acceso a plataformas de la competencia. En este contexto, siempre hay que evaluar el riesgo de “pagar” más a la base de datos externa de lo que se obtiene a cambio. El valor del ciclo de vida del cliente (CLV) debe incluirse en esta consideración.

Además, la tecnología de intercambio de datos es crucial para cuantificar el esfuerzo y la duración del proyecto, especialmente si hay que conectar muchas interfaces. En el mercado, existen varios formatos de intercambio de datos, como JSON, XML o CSV. Además, más allá de los protocolos de red en la capa ISO, es necesario implementar formatos de autenticación adicionales, que pueden incluir contraseñas, certificados o tokens de acceso.

Un proceso de identificación típico, que involucra, por ejemplo, tres procedimientos principales, puede requerir hasta 15 interfaces externas con diferentes especificaciones técnicas en el entorno regulado alemán. Debido a las grandes diferencias en la implementación técnica, es recomendable seleccionar procedimientos de identificación que, en la medida de lo posible, requieran normas técnicas latentemente similares.

4. Selección de proveedores

La selección de los proveedores de servicios de identificación puede llevarse a cabo en función de criterios como la normativa aplicable, la propensión al riesgo, los KPI, la facilidad de uso, las consideraciones relativas a la protección de datos, la forma de almacenamiento de los datos y las tecnologías preferidas.

Más allá de las cuestiones comerciales, es crucial determinar el grado de flexibilidad de los distintos flujos de trabajo de identificación, teniendo en cuenta los continuos cambios del mercado. Cada año, aproximadamente el 20 % de las interfaces utilizadas cambian de manera fundamental, los proveedores de identificación pueden desaparecer del mercado o retirarse de un mercado objetivo. Muchos proveedores nuevos se encuentran en fases iniciales y son financiados externamente, lo que permite una gran flexibilidad, pero también conlleva un riesgo de implementación significativo. Los constantes cambios tecnológicos y de versiones en los procesos de identificación conectados implican un considerable esfuerzo de mantenimiento técnico que el proveedor de servicios debe gestionar de forma continua.

Además de la pura disponibilidad de los servicios, también es importante considerar su secuencia y paralelismo óptimos dentro del flujo de trabajo de identificación.

Una vez elegida una aplicación, debe ser replanteada y revisada constantemente para grupos destinatarios específicos. Entre otros aspectos, las pruebas comparativas plantean altas exigencias en cuanto a las posibilidades de diseño abierto de los procesos de identificación. La normativa, que está en constante cambio, también exige un alto grado de adaptabilidad, a menudo con plazos extremadamente cortos para su implementación en las operaciones productivas. Lo que hoy se entiende como adecuado, mañana puede dejar de ser viable debido a sanciones.

El uso de procedimientos de identificación en un proceso de verificación multietapa, junto con sus respectivos resultados de verificación, determina el progreso posterior de la identificación según la situación. No existe una secuencia lineal de pasos de verificación; las comprobaciones siempre se basan en la situación actual del usuario, la disponibilidad actual de datos, su calidad y los requisitos normativos. Se distinguen las siguientes etapas:

  • Identificación fallida: El usuario no ha podido ser verificado ya que ningún procedimiento de identificación ha tenido éxito. Las segundas y terceras consultas con mecanismos de corrección de datos tampoco han sido exitosas. Deben ofrecerse métodos alternativos de verificación de la identidad.
  • Identificación parcialmente correcta: Se han podido verificar algunos de los datos del usuario, por ejemplo, a través de bases de datos externas, pero no se ha podido demostrar su presencia real mediante una verificación cara a cara.
  • Identificación correcta: Los datos del usuario se han podido asignar claramente a una persona, y esta asignación se ha confirmado mediante una verificación de presencia adecuada.
  • Identificación obsoleta: La antigüedad de los datos del usuario determina su uso. En función de la normativa aplicable, se debe distinguir entre fechas de caducidad del perfil de usuario de un año, dos años y más de dos años. Por lo tanto, los datos de los usuarios deben ser verificados periódicamente mediante procedimientos adecuados. Si la identificación se basó en una fecha de caducidad anticipada de un documento de identidad dentro de estos períodos, esta fecha de caducidad también debe tenerse en cuenta.

Decida si el uso de la gestión abierta de flujos de trabajo para controlar los procesos de identificación es importante para usted.

Si trabaja con un grupo homogéneo de clientes en el marco de una normativa sencilla, puede implementar proveedores de servicios disponibles desde hace años directamente en su aplicación a través de una interfaz independiente.

Sin embargo, para la mayoría de los proveedores de servicios del mercado, la adaptación constante de varios procesos paralelos, ya sea para nuevos clientes, clientes existentes o scoring, sigue siendo un desafío constante para la conversión.

El coste total de propiedad (TCO) debe tenerse en cuenta en la decisión de selección. Los costes variables de uno a dos euros por una sola identificación a menudo se relativizan frente a los costes totales. Lo realmente relevante en este contexto son los costes derivados de la falta de permeabilidad en el proceso de identificación. En la práctica, nos encontramos con valores de vida del cliente (CLV) de cincuenta a doscientos euros por nuevo cliente y costes de adquisición de clientes de veinte a cincuenta euros por usuario activo. Por lo tanto, siempre merece la pena luchar por cada céntimo de conversión.

5. Decisión

Basándonos en esta visión holística, recomendamos el siguiente modelo de procedimiento para la selección de los métodos de ID:

  1. Determinación del marco normativo y del nivel mínimo de auditoría asociado.
  2. Evaluación del riesgo para determinar su propio apetito de riesgo.
  3. Determinación de los KPI pertinentes con objetivos realistas.
  4. Determinación del nivel de interacción y la forma de UX que es (todavía) aceptable para el usuario.
  5. Fijación de objetivos con respecto a la protección de datos y las cuestiones asociadas de almacenamiento de datos a largo plazo y reutilización de datos por terceros.
  6. Determinación de los procedimientos técnicos para el intercambio de datos en términos de complejidad, tiempo de comercialización y facilidad de mantenimiento.
  7. Análisis del flujo de trabajo de identificación para controlar procesos alternativos en caso de procesos de identificación fallidos, incompletos u obsoletos.
  8. Determinación del grado de libertad para la flexibilización de los procesos y su funcionamiento en paralelo para distintos fines.
  9. Cálculo de los efectos de la conversión adicional en función del CLV y determinación del TCO para alcanzar los objetivos.

Utilice estos consejos para su próxima decisión de selección.

¿Cree que la evaluación de riesgos es innecesaria? ¿No es todo mucho más sencillo en la realidad? Comente este modelo de proceso con nosotros y háganos saber sus opiniones: ¡estamos deseando intercambiar ideas con usted!