Artículo 26
ETAPAS DE LA DEBIDA DILIGENCIA EN EL CONOCIMIENTO DEL CLIENTE. El proceso de debida diligencia en el conocimiento del cliente consta de cuatro etapas:

a) Etapa de identificación: Consiste en desarrollar e implementar políticas y procedimientos para obtener la información completa y oportuna que permita establecer el perfil de un cliente o beneficiario final.

b) Etapa de evaluación: Aplicación de procedimientos que permitan la verificación al inicio de la relación financiera o comercial con respecto a la información proporcionada por los clientes y, de ser el caso, de su beneficiario final, con el objetivo de asegurarse que han sido debidamente identificados, y dejar constancia en el expediente de mérito. Cuando resulte necesario iniciar la relación financiera o comercial antes de la verificación, para no interrumpir el curso normal de esta, el Sujeto Obligado puede verificar la identificación del cliente luego o durante el curso de la relación financiera o comercial, según el grado de riesgo.

c) Etapa de control: Adoptar políticas y procedimientos de gestión de riesgos de Lavado de Activos para determinar el grado de riesgo de cada uno de sus clientes, entre las cuales se establezcan las condiciones en la que un cliente puede utilizar los servicios y productos del Sujeto Obligado previo a la verificación y los plazos aplicables para realizarla.

d) Etapa de monitoreo: Asegurar que las operaciones a sean compatibles con lo establecido en su perfil y/o historial transaccional, lo que permite reforzar y reafirmar el conocimiento que se posee sobre sus clientes, y obtener mayor información cuando se tengan dudas o sospechas sobre la veracidad o actualidad de los datos proporcionados.

La realización parcial o total de cada una de las etapas se encuentra en función al giro y a lo establecido en el presente Reglamento.

Artículo 30
DUDAS O SOSPECHAS DE LA INFORMACIÓN Cuando el Sujeto Obligado, en el proceso de debida diligencia, tenga dudas o sospechas que el cliente esté relacionado con actividades ilícitas, así como inconsistencias entre su conducta y perfil; 0, exista duda de la información proporcionada por un usuario o futuro cliente, podrá proceder de la siguiente manera:

a) Verificar y actualizar la información de los datos del cliente, de ser posible;

b) No iniciar relaciones financieras o comerciales, no efectuar la operación y/o terminar la relación comercial iniciada; y/o

c) Evaluar la posibilidad de efectuar un Reporte de Operaciones Sospechosas (ROS) con relación al cliente.

Cuando el Sujeto Obligado tenga sospechas de actividades de actividades ilícitas y considere que al efectuar acciones de debida diligencia alertaría al cliente, debe presentar un reporte de operación sospechosa a la UIF, en estos casos deben justificar y documentar el motivo por el cual no se efectuaron las acciones de Debida Diligencia con el Cliente (DDC.

Artículo 31
MEDIDAS NORMALES DE IDENTIFICACIÓN Y CONOCIMIENTO DEL CLIENTE. Para efectos de dar cumplimiento a esta medida, el expediente del cliente nuevo o de un cliente ya existente que aperture un nuevo producto debe contener como mínimo lo descrito en el Anexo 1 del presente reglamento. En cuanto a seguros o fianzas, las disposiciones sobre conocimiento del cliente deben aplicarse al beneficiario después de haberse establecido la relación con el contratante, pero antes de efectuar el pago de indemnización o de los derechos derivados del contrato del seguro. Los datos de conocimiento del cliente deben estar registrados en los sistemas de información del Sujeto Obligado.

Artículo 33
MEDIDA INCREMENTADA. La DDC incrementada, intensificada, reforzada o ampliadaes el conjunto de políticas, procedimientos y medidas diferenciadas de gestión y control interno más robustoriguroso, exigente y exhaustivo que el Sujeto Obligado debe establecer para los clientes o usuarios clasificados por disposición normativa, sus políticas internas o estándares internacionales, como de mayor riesgo. El Sujeto Obligado debe examinar, los antecedentes y el propósito de las transacciones y clientes considerados de mayor riesgo, y deben incrementar el grado y naturaleza del monitoreo de la relación financiera o comercial. En estos casos como mínimo se debe obtener la siguiente información adicional, dejando constancia en el expediente del cliente o usuario, así:

a) Obtención de información adicional sobre el clientebeneficiario final o usuario, de conformidad a sus políticas y procedimientos establecidos en el Programa de Cumplimiento.

b) Actualizar anualmente los datos de identificación del cliente y beneficiario final, según lo dispuesto en la presente norma; 

c) Verificar la información de los clientes en un período no mayor a seis (6) meses, después del inicio de la relación por medio de visitas, entrevistas personales u otros procedimientos que permitan asegurarse que los clientes, y beneficiarios finales, han sido debidamente identificados. 

d) Aprobación de los administradores que conforme a su estructura estén facultados para establecer o iniciar una relación financiera con clientes de este riesgo. 

e) Monitoreo de la relación financiera o comercialincrementando la cantidad y duración de los controles aplicados, y selección de los patrones de transacciones que necesitan un mayor examen.

f) Obtener información de fuentes públicas o abiertas sobre los principales proveedores en el caso de personas jurídicas.

El Comité de Cumplimiento debe conocer trimestralmente los clientes de alto riesgo de reciente aprobación. Ademásde clientes que sufrieron cambios de menor a mayor riesgo.

Artículo 34
REGLAS ESPECIALES SOBRE CUENTAS DE PARTIDOS POLÍTICOS PARA EL MANEJO DE LOS RECURSOS DE LAS CAMPAÑAS POLÍTICAS. El Sujeto Obligado que mantenga cuentas a través de las cuales reciban o administren recursos o bienes para los partidos o campañas políticas, deben establecer las políticas y procedimientos para este tipo de cuentas, que contemple el diseño y adopción de mecanismos y controles efectivos, eficientes y oportunos de gestión de riesgo que permitan un control y monitoreo de las operaciones que se realicen en este tipo de cuentas.

Dichos mecanismos y controles como mínimo deben:

a) Identificar las operaciones inusuales y reportar como operaciones sospechosas, cuando proceda. 

b) Cuando las personas autorizados para efectuar retiros de las campañas políticas, traslados o disponer de los bienes, son clientes actuales del Sujeto Obligadose les debe realizar una debida diligencia incrementada o intensificada.

c) Identificar mediante un código en sus bases de datos del perfil del cliente a este tipo de cuentas.

d) Implementar informes y reportes estadísticos por parte de la Unidad de Cumplimiento sobre el movimiento y comportamiento de estas cuentasmismos que formaran parte de los reportes periódicos al Comité de Cumplimiento.

e) Sistemas de gestión de riesgos para determinar cuentas de clientes utilizadas para recepción de fondos de campañas políticas;

f) Procesos para obtener la aprobación de la alta gerencia o de los administradores que conforme a su estructura estén facultados para establecer o iniciar una relación financiera o comercial con clientes relacionados con campañas políticas;

El Sujeto Obligado debe reportar a la UIF en los meses de julio y enero de cada año dentro de los primeros diez (10) días de cada mes, la información relacionada con las cuentas, productos y servicios que estén prestando a favor de los partidos o campañas políticas. En especial, deben suministrar la información relacionada con los titulares, los representantes legales y las personas con firmas autorizadas para efectuar retiros, traslados o cualquier movimiento.

Artículo 40
VERIFICACIÓN Y ACTUALIZA- CIÓN DE INFORMACIÓN DE CLIENTES. El Sujeto Obligado debe verificar y actualizar los datos y la información de los clientes, por medio de fuentes confiables e independientes, considerando la calificación de riesgo del mismo; para ello, deben desarrollar criterios compatibles con la adecuada verificación de la información mínima de identificación.

Cuando la calificación de riesgo del cliente sufra un cambio que incremente su riesgo, en ningún caso los requerimientos de verificación podrán ser menores que aquellos establecidos en las medidas simplificadas de debida diligencia.

El Sujeto Obligado debe:

a) Actualizar la siguiente información que corresponde a Personas Naturales, dirección exacta, teléfono de residencia y trabajo, ingresos, lugar de trabajo, monto mensual de manejo en cuenta, profesión u oficiocalificación de riesgo, actividad económica del negocio, estado civil y nombre del cónyuge o cualquier otro dato que considere necesario. Para las personas jurídicas, se actualizarán los datos anteriores que apliquen, así como, los datos de los proveedores, total de activos y ventas, y actualización de socios o accionistas o cualquier otro dato que considere necesario.

b) Evaluar continuamente el proceso de actualización y poblamiento de datos, estableciendo niveles de tolerancia y efectividad de la estrategia implementada para realizar ajustes oportunos a ésta. Asimismo, determinar los datos y la frecuencia de actualización del perfil del cliente, considerando el grado de riesgo identificado.

c) Diseñar políticas, planes y estrategias basados en riesgo para actualizar o poblar los datos de los clientes nuevos y existentes en los archivos de informaciónestas deben ser revisadas cada tres (3) años. Para los clientes que poseen cuentas inactivas se debe realizar en el momento en que se vuelvan a activar las mismas; deben contar con datos estadísticos sobre las gestiones realizadas, los que deben ser conocidas en los informes trimestrales y aprobar la estrategia cada año por el Directorio.

Artículo 43
DEPENDENCIA EN TERCEROS. El Sujeto Obligado, únicamente puede delegar en terceros no relacionados, las medidas de conocimiento y debida diligencia de los clientes de conformidad al programa de Cumplimiento del Sujeto Obligado, sin embargo, este último es el responsable final de:

a) Obtener de forma inmediata la información necesaria de identificación del cliente y del beneficiario final; así como, la comprensión de la naturaleza de la actividad profesional, económica o comercial.

b) Establecer políticas y procedimientos para asegurarse de que el tercero proporcione, sin demora, copias de los datos de identificación y demás documentación pertinente relativa a los requisitos acerca de la Debida Diligencia. 

c) Asegurarse de que el tercero es regulado y supervisado, y que ha implementado medidas para cumplir con los requerimientos de la Debida Diligencia y el adecuado mantenimiento de registros.

d) Cuando el tercero resida en el extranjero, el Sujeto Obligado debe asegurarse que éste cumpla con los literales anteriores y tomar en cuenta la información sobre el nivel de riesgo del país del tercero.

Artículo 51
EVALUACIÓN INTEGRAL DEL RIESGO. El Sujeto Obligado debe remitir a la Comisión por el medio que se establezca, dentro de los primeros diez (10) días hábiles de los meses de julio y enero de cada año lo siguiente:

1. Calificación de riesgo consolidada o institucional del Riesgo de Lavado de Activos. 
2. Calificación de riesgo por cada factor de riesgo descrito en el presente reglamento. 
3. Calificación de riesgo corporativo del Grupo Financiero y/o Económico (si aplica).
4. Datos estadísticos por cantidades y porcentaje de los clientes, productos y servicios, zonas geográficas y canales de distribución por riesgo.

Artículo 55
MONITOREO DE TRANSA- CCIONES. El Sujeto Obligado debe realizar el monitoreo de los clientes considerando procesos de revisión con el objeto de asegurar que los documentos, datos e información obtenidos como consecuencia de la aplicación de las medidas de debida diligencia, se mantengan actualizados y vigentes. El Sujeto Obligado, en función de los riesgos identificados, determinará la periodicidad de los procesos de monitoreo. El monitoreo debe aplicarse individualmente a todos los clientes del Sujeto Obligado según la calificación de riesgopara permitir la detección en forma eficaz de operaciones inusuales o sospechosas. El Sujeto Obligado está en la obligación de precisar los parámetros bajo los cuales procederá a realizar el análisis y monitoreo de sus transacciones a efecto de determinar si las operaciones que éstos ejecutan corresponden o no al conocimiento documentado que se tiene de ellos. Para estos efectos, el Sujeto Obligado a través del Comité de Cumplimiento podráprevio un estricto conocimiento, análisis y evaluación del actual perfil del cliente, modificar los parámetros para adecuarlos a las nuevas circunstancias, dejando evidencia documental de estas gestiones en el expediente del cliente.

El Sujeto Obligado al tamaño, organización, estructurarecursos y complejidad de las operaciones, deben desarrollar procesos o adquirir un sistema informático acordes con sus necesidades de monitoreo, con capacidad de realizar análisis univariables hasta complejos análisis multivariables (sistemas inteligentes o redes neuronales). Además se debe mantener lo siguiente:

a) Procesos documentados de la configuración 

b) Documentación del modelo de monitoreo (estadísticomatemático, entre otros.

c) Detalle documentado de las condicionesparametrización o reglas que establecen las situaciones mediante las cuales se generan las alertas

d) Detalle de los objetivos, fines, criterios y periodicidad de operación de las condiciones, parametrización o reglas establecidas.