Skip to content
Español
Skip to content
Español
Wypróbuj za darmo
Autenti / Blog / Cómo elegir un sistema de verificación remota de la identidad de los clientes: 7 criterios de selección
eID

Cómo elegir un sistema de verificación remota de la identidad de los clientes: 7 criterios de selección

Tiempo de lectura:

22 min

Fecha de publicación:

Sistema remoto de verificación de identidad es un servicio SaaS que permite a una empresa confirmar la identidad de un cliente sin su presencia física, a través de Internet y en tiempo real. El cliente realiza el proceso desde su teléfono u ordenador; la empresa recibe el resultado, junto con pruebas que demuestran su identidad.

Parece sencillo. El problema es que el mercado de estas soluciones no es homogéneo, y las diferencias entre proveedores no son evidentes en la fase de demostración, sino sólo después de la implantación. Un sistema admite tres métodos de verificación, otro ocho. Uno guarda los datos en Polonia, otro en una nube global. Uno se integra en una semana, con otro los informáticos pasan tres meses mapeando los casos extremos.

Este artículo le ayuda a elaborar una lista de requisitos antes de empezar a hablar con los proveedores. Siete criterios, preguntas específicas para cada uno.

Principales conclusiones

  • Un sistema de verificación de identidad (para KYC) no es una herramienta SaaS cualquiera: afecta a la regulación (AML, eIDAS, RODO), a datos sensibles y a un proceso crítico para la incorporación. Un error de selección es costoso de rectificar.
  • Los métodos de verificación varían en cuanto al nivel de certeza de la identidad. Antes de evaluar las ofertas, determine el nivel de garantía requerido a partir de la normativa o de su propio análisis de riesgos.
  • El cumplimiento del eIDAS no siempre es obligatorio, pero si su proceso requiere un alto nivel de garantía o implicaciones legales, es un requisito previo.
  • La dependencia de un proveedor en KYC entra en juego cuando un cambio de proveedor requiere una reinvención completa. La elección de una plataforma de agregación multiproveedor a través de una única API elimina este problema.
  • El precio por verificación de la oferta no es el coste total: la integración de TI, el mantenimiento, la asistencia y la eventual migración se suman al coste total de propiedad.
  • La UX de la ruta de verificación en el lado del cliente final tiene un impacto directo en la tasa de finalización en la incorporación. Pruebe siempre con usuarios reales antes de la compra.
  • Es habitual realizar pruebas piloto con datos reales antes de firmar un contrato anual; un proveedor que se niegue a hacerlo es una señal de alarma.

¿En qué se diferencia un sistema de verificación de identidad de una herramienta SaaS B2B típica?

Un sistema de verificación de la identidad del cliente es diferente -y más difícil de sustituir que una herramienta operativa típica- por tres razones concretas.

En primer lugar, afecta a datos personales sensibles y está sujeto a regulación: la Ley AML, eIDASy a menudo a requisitos sectoriales (FSA, normativa sobre seguros). Una mala elección no es sólo un problema operativo, sino un riesgo normativo potencial.

En segundo lugar, el resultado de la verificación es una prueba legal. El informe de identificación puede acabar en el expediente del caso, en la auditoría del regulador o en un procedimiento judicial. La calidad y la integridad de este documento son importantes.

En tercer lugar, el sistema de verificación está profundamente imbricado en el proceso de incorporación del cliente. Un cambio de proveedor implica una reintegración técnica, un cambio de ruta del usuario y -si nadie se ha ocupado de la arquitectura correcta en la implementación- un riesgo de tiempo de inactividad.

Por lo tanto, elegir un proveedor para la verificación de identidad a distancia (para los procedimientos KYC) es una decisión que merece la pena tomarse el tiempo de analizar antes de firmar un contrato.

7 criterios para seleccionar un sistema de verificación de la identidad del cliente

1. métodos de verificación disponibles y su nivel de garantía

No todos los métodos de verificación ofrecen el mismo nivel de certeza sobre la identidad. Un selfie con un documento es diferente a la lectura criptográfica de un chip NFC de una tarjeta electrónica. Cada método tiene diferentes requisitos técnicos por parte del cliente, diferentes tiempos de proceso y diferentes costes.

Preguntas para el proveedor:

  • ¿Qué métodos hay disponibles: verificación por vídeo, tarjeta electrónica, banca electrónica, mCitizen, firma cualificada?
  • ¿Qué nivel de garantía (bajo, medio, alto según eIDAS) se asigna a cada método?
  • ¿Puede seleccionarse un método para un proceso o segmento de clientes específico?
  • ¿Los métodos son independientes entre sí o requieren una compra conjunta?


Punto de partida práctico: determine en primer lugar el nivel de garantía necesario para su proceso, que se deriva de la normativa o de su propio análisis de riesgos. A continuación, compruebe si el sistema ofrece métodos que cumplan este nivel.

Para una comparación detallada de los métodos disponibles en el mercado polaco, consulte el artículo Métodos de verificación de la identidad del cliente: requisitos, instrucciones y qué método elegir.

2 Cumplimiento normativo y certificados

El Responsable de Cumplimiento Normativo tiene una pregunta clave a la hora de evaluar a cualquier proveedor: "¿Podré defender esta elección ante el regulador?". La respuesta no está en las declaraciones del proveedor, sino en los documentos específicos y la arquitectura de datos.

Preguntas para el proveedor:

  • ¿Cumple la plataforma con eIDAS y la Ley polaca de lucha contra el blanqueo de capitales de 2018?
  • Dónde se almacenan físicamente los datos: en Polonia, en la UE, fuera de la UE?
  • ¿Qué certificaciones tiene el proveedor (ISO 27001, SOC 2, otras)?
  • ¿Incluye el informe de verificación una pista de auditoría: quién verificó, cuándo, con qué métodos, qué resultado?
  • ¿Está el informe en una forma legalmente eficaz (por ejemplo, sellado con un sello cualificado)?


En este ámbito, Autenti eID cumple plenamente las normas eIDAS y RODO: los datos se procesan y almacenan en Europa. Los informes de verificación están protegidos con el sello electrónico cualificado de Autenti, que les confiere fuerza probatoria en caso de litigio o auditoría.

Ejemplo práctico: Grenke Polska, que está implantando el leasing onboarding a distancia conforme a la normativa AML, señala explícitamente que la identificación a distancia de los clientes "minimiza los riesgos de la empresa", precisamente porque cada verificación termina con un informe documentado. Merece la pena preguntar al proveedor qué aspecto tiene dicho informe y si puede verlo antes de firmar el contrato.

3 Modelo de integración y riesgo de dependencia del proveedor

Este criterio suele pasarse por alto en la fase de selección y suele convertirse en un problema después de la implantación.

La dependencia de un proveedor en el contexto de KYC consiste en que cambiar de proveedor de verificación o añadir un nuevo método requiere que el departamento de TI vuelva a integrarse por completo. Si se ha integrado directamente con un proveedor de biometría concreto y ese proveedor sube los precios, suspende el servicio o abandona su mercado, está atrapado o pagando por la reintegración.

Preguntas para el proveedor:

  • ¿La integración se realiza a través de una única API que da acceso a múltiples métodos y proveedores?
  • ¿Añadir un nuevo método de verificación requiere una nueva integración técnica?
  • ¿Qué ocurre con las verificaciones cuando uno de los subproveedores (por ejemplo, el proveedor de biometría) tiene un fallo? ¿Existe una alternativa automática?
  • ¿Está versionada la API y cuál es la política de soporte para versiones anteriores?


Autenti eID resuelve este problema mediante un modelo de concentrador: la integración con una API da acceso a múltiples proveedores de verificación (Identt, Veridas, Authologic, entre otros). Si uno falla, el sistema puede cambiar al siguiente sin intervención del cliente.

4 UX de la ruta de verificación en el lado del cliente final

Un buen sistema no es sólo lo que se ve en el panel de administración. Es más importante lo que el cliente ve durante la verificación, y cuántos de ellos completan el proceso.

A menudo, las empresas compran un sistema teniendo en cuenta únicamente las funciones y el cumplimiento de la normativa. Ignoran la experiencia del usuario. El resultado: la conversión en el proceso de incorporación disminuye, los clientes abandonan la aplicación a mitad de camino, el servicio de asistencia recibe notificaciones de "la verificación no funciona".

Preguntas para el proveedor:

  • ¿Cuántos pasos requiere la verificación para el cliente final?
  • ¿Funciona en dispositivos móviles sin necesidad de instalar una aplicación?
  • ¿Cuál es el tiempo medio de verificación?
  • ¿Comparte el proveedor datos sobre la tasa de finalización de las implantaciones con otros clientes?
  • ¿Se puede personalizar visualmente la interfaz (marca blanca, colores personalizados, logotipo)?


Una prueba vale más que una hora de demostración: pida un sandbox y haga usted mismo la verificación en su teléfono. Preferiblemente, pídaselo a personas ajenas a la empresa, que no sepan cómo funciona el sistema.

A modo de comparación: BNP Paribas Leasing Solutions, tras implantar la verificación remota, consiguió tiempos de identificación de decenas de segundos, con requisitos reducidos a una tarjeta de identificación y una cámara. La verificación está disponible 24 horas al día, 7 días a la semana, sin necesidad de que haya un empleado en la empresa. Michal Porycki, director general de TS en BNP Paribas Leasing Solutions, comenta: "Las soluciones automatizadas de verificación de identidad aceleran considerablemente el proceso y aumentan la satisfacción del cliente".

Por su parte , MHC Mobility -empresa que gestiona una flota de más de 13.500 vehículos en la región de Europa Central y Oriental- ha obtenido un 90% de opiniones positivas de los clientes sobre su nuevo proceso de firma con verificación de identidad tras su implantación. Es una cifra que merece la pena exigir a un proveedor a la hora de evaluar ofertas: ¿cuál es la tasa de finalización real y los resultados de satisfacción con clientes similares a su empresa?

5 SLA, disponibilidad y gestión de incidencias

La verificación de la identidad suele ser una ruta crítica en la incorporación. Un fallo en hora punta significa pérdida de solicitudes, clientes disgustados y presión sobre el departamento de operaciones.

Preguntas para el proveedor:

  • ¿Cuál es el nivel de disponibilidad del sistema (SLA) garantizado: 99,9%? 99,95%? 99,99%?
  • ¿Cuál es el tiempo de respuesta ante un incidente crítico? ¿Cómo es el escalado?
  • ¿Publica el proveedor un historial de disponibilidad (página de estado)?
  • ¿Cuál es el procedimiento para notificar problemas: correo electrónico, soporte dedicado, Slack?


Un tiempo de actividad del 99,9% equivale a 8,7 horas de indisponibilidad al año. El 99,99% son 52 minutos. En procesos de gran volumen, esta es una diferencia que importa - vale la pena traducirla en números antes de firmar un contrato.

6 Modelo de precios y coste total de propiedad

El precio por verificación que ofrece un proveedor suele ser sólo una parte del coste real. El resto se paga en el momento de la implantación o en la primera factura.

Preguntas para el proveedor:

  • ¿Cuál es el modelo de facturación: por verificación, por suscripción, mixto?
  • ¿El precio incluye todos los métodos de verificación o cada uno se factura por separado?
  • ¿Hay cargos adicionales por implantación, asistencia técnica, formación?
  • ¿Cómo varía el precio con el crecimiento del volumen: lineal, decreciente, umbral?
  • ¿Hay costes de almacenamiento de informes y datos?


Al comparar ofertas, merece la pena calcular el TCO (coste total de propiedad) a 12 y 24 meses, incluido el tiempo de integración informática, las licencias adicionales y el coste de la asistencia.

7 Apoyo a la implantación y documentación

El tiempo de integración depende en gran medida de la calidad de la documentación y la disponibilidad de asistencia por parte del proveedor. Una API mal documentada puede convertir una integración de 2 semanas en un caso límite de 2 meses de depuración.

Preguntas para el proveedor:

  • ¿La documentación de la API es pública y está actualizada?
  • ¿Se dispone de un entorno de pruebas (sandbox) antes de firmar el contrato?
  • ¿Cuál es el tiempo medio de la primera llamada para la nueva integración?
  • ¿Quién está del lado del proveedor durante la implementación: ingeniero dedicado, soporte general, por su cuenta con documentación?
  • ¿Ofrece el proveedor una prueba piloto con datos reales antes de la implantación completa?

Qué hay que tener en cuenta en sectores específicos

Los criterios son universales, pero su importancia depende del sector.

Financiación y arrendamiento financiero: las normativas AML y FSA son las más estrictas aquí. El criterio de cumplimiento de la normativa y pista de auditoría tiene un peso preponderante. A menudo se exige un alto nivel de certeza de la identidad, lo que limita los métodos disponibles a la tarjeta electrónica, la banca electrónica o las firmas cualificadas.

Comercio electrónico y mercados: el volumen de verificación es elevado y la tolerancia del cliente a la fricción en el proceso es baja. La experiencia del usuario y la tasa de finalización son los factores más importantes en este caso. Los costes por verificación en volúmenes elevados afectan mucho a la economía.

RRHH y contratación a distancia: los procesos están menos regulados que en finanzas, pero cada vez hay más presión para verificar la identidad de los candidatos contratados a distancia. La adecuación de los métodos a los distintos países es clave si la empresa contrata fuera de Polonia.

Contratación y economía colaborativa: alta rotación de usuarios y riesgo de fraude. Lo que importa es la rapidez del proceso por parte del cliente y la capacidad de volver a verificar sin reintegración.

Cuándo empezar con un piloto en lugar de una implantación completa

Si aún se desconoce el volumen de verificación en su empresa o se está diseñando el proceso de incorporación, tiene sentido realizar una prueba piloto antes de la integración completa.

El pilotaje le permite verificar tres cosas que no pueden evaluarse desde una demostración: la tasa de finalización real en sus clientes, el comportamiento del sistema con casos extremos específicos de su proceso y los tiempos de respuesta reales de la API bajo carga.

Un buen proveedor permitirá realizar pruebas piloto con datos reales de alcance limitado. Si un proveedor se niega a realizar un sandbox o un piloto antes de firmar un contrato anual, es una señal.

Los errores más comunes al elegir un sistema de verificación de identidad

  1. Elegir por precio en una única verificación. La opción más barata por verificación puede ser la más cara si se tienen en cuenta los costes de integración, mantenimiento y posible migración. Lo que cuenta es el coste total de propiedad, no el precio ofertado.
  2. No hay pruebas de UX en el lado del cliente final. La decisión se toma en la sala de juntas basándose en demostraciones para los compradores, no para los que se someterán a la verificación. Resultado: menor tasa de finalización de lo previsto, mayor coste de adquisición, clientes insatisfechos en la fase de registro.
  3. Pasar por alto los problemas de dependencia del proveedor. La integración directa con un único proveedor de biometría o documentos parece sencilla al principio. El problema surge cuando el proveedor cambia de precio, reduce la disponibilidad o quiebra. Entonces el coste del cambio es el mismo que el de una nueva implantación.
  4. Subestimación de los requisitos de auditoría. El sistema cumple los requisitos normativos "sobre el papel", pero los informes de verificación no tienen validez jurídica, no hay marcas de tiempo y no se detallan el método y el resultado. En la primera auditoría o litigio, se trata de un problema que no puede solucionarse rápidamente.

 

Para saber más sobre los errores a lo largo del proceso KYC: 5 de loserrores más comunes en el proceso KYC y cómo evitarlos.

Preguntas más frecuentes

¿Cuál es la diferencia entre un sistema de verificación de identidad y un proveedor de verificación de identidad?

Se trata de la empresa que ofrece el servicio: puede ser una plataforma en línea, una integración API o un modelo "in situ". Un sistema de verificación es el software específico por el que pasa la vía de identificación del cliente. Algunos proveedores ofrecen sus propios motores biométricos, otros agregan métodos de múltiples fuentes a través de una única API. A la hora de elegir, es importante entender si se está comprando acceso directo a un método de verificación o a una capa de orquestación que gestiona múltiples métodos.

¿Cuánto cuesta implantar un sistema de verificación de identidad a distancia?

Los costes dependen de los métodos elegidos, el volumen de verificación y el modelo de facturación. Un modelo típico es una tarifa por verificación (de unos pocos a varias decenas de zlotys, según el método y el proveedor) más una tarifa opcional de implementación o suscripción. Al coste total hay que añadir el tiempo de integración informática y los posibles costes de mantenimiento y asistencia.

¿Es necesario que un sistema de verificación de identidad sea compatible con eIDAS?

No todos los procesos requieren la conformidad con eIDAS: depende del nivel de garantía requerido y de la normativa del sector. La obligación se deriva de una legislación específica: la Ley de Lucha contra el Blanqueo de Capitales lo impone a las entidades obligadas, las directivas de la UE a los operadores de los mercados financieros. Sin embargo, si su proceso requiere un alto nivel de certeza sobre la identidad o los efectos jurídicos (por ejemplo, la firma de un contrato), el cumplimiento del eIDAS es un requisito previo.

¿Cuánto se tarda en implantar un sistema de verificación de identidad a distancia?

No todas las implantaciones requieren la integración de API. Algunos sistemas de verificación de la identidad funcionan a través de un panel en línea: en este modelo, el tiempo de comercialización es de unas pocas horas después de configurar el servicio, sin intervención de TI. Con la integración a través de API -con una buena documentación y un soporte dedicado- el tiempo oscila entre unos pocos días (prueba de concepto o MVP) y unas pocas semanas (integración completa con los sistemas de backoffice y la ruta de incorporación). La principal variable es la complejidad del entorno técnico en el lado del cliente: el número de sistemas que hay que conectar, el modelo de datos, los requisitos de la interfaz. El propio sistema de verificación no suele ser el cuello de botella.

¿Qué es la dependencia de un proveedor en el contexto de los sistemas de verificación de identidad a distancia y cómo puede evitarse?

El bloqueo del proveedor se produce cuando un cambio de proveedor de verificación requiere una reinvención técnica completa: una nueva API, nuevas pruebas, nuevas certificaciones de procesos. Se evita eligiendo una plataforma que agregue múltiples proveedores a través de una única API. En una arquitectura de este tipo, cambiar o añadir un método de verificación no requiere una nueva integración, sólo un cambio de configuración.

¿Qué normativa debe invocarse para justificar la elección de un sistema CSC en una organización?

En Polonia, las leyes clave son la Ley contra el blanqueo de capitales y la lucha contra la financiación del terrorismo (AML) de 2018, el Reglamento eIDAS (UE 910/2014), RODO y las normativas sectoriales (directivas de la UE para bancos, aseguradoras, empresas de inversión). A la hora de argumentar internamente, conviene señalar el artículo específico que impone la obligación de verificación y demostrar que el sistema elegido cumple los requisitos de nivel de garantía y pista de auditoría.

Siguiente paso

Si se encuentra en la fase de evaluación de soluciones de verificación de identidad a distancia y desea comparar sus requisitos con lo que ofrece el mercado, concierte una consulta gratuita con un experto de Autenti. Le ayudaremos a elaborar una lista de requisitos y a evaluar sus opciones, independientemente de si finalmente elige Autenti.

Mateusz Kościelak

Mateusz Kościelak cuenta con más de 10 años de experiencia en ventas y marketing B2B, especializándose en Enterprise B2B SaaS. Es un profesional del marketing versátil (V-Shaped) con experiencia en la construcción de sistemas de generación de leads mediante contenido, SEO y marketing de rendimiento, centrándose en la expansión internacional.