En julio de 2024, la Oficina Federal de Investigación y la Red de Ejecución de Delitos Financieros del Departamento del Tesoro y la Oficina de Control de Activos Extranjeros (OFAC) publicaron un aviso conjunto en el que se analizaba cómo las Organizaciones Criminales Transnacionales (TCO) con sede en México facilitan el fraude de tiempo compartido para diversificar los ingresos y financiar otras operaciones ilícitas para incluir el tráfico de fentanilo[1]. Entre 2019 y 2023, hubo 6,000 víctimas estadounidenses reportadas de fraude de tiempo compartido que perdieron una cantidad agregada de casi 300 millones de dólares. El aviso discute la metodología utilizada por las TCO para llevar a cabo el fraude de tiempo compartido, la transferencia de fondos a México, las banderas rojas para que las instituciones financieras incorporen en sus programas de la Ley de Secreto Bancario y Antilavado de Dinero, así como la importancia de las obligaciones de notificación de las instituciones financieras. Con estas revelaciones, la industria del tiempo compartido y la industria de la hospitalidad en su conjunto deben considerar la revisión de sus marcos de programas de privacidad para mitigar los litigios civiles y penales y, posiblemente, el riesgo de la OFAC.
Industria hotelera, fraude en el régimen de tiempo compartido y OAT
A diferencia del mercado inmobiliario residencial, fuertemente regulado y que se esfuerza por anteponer los intereses del consumidor, el sector del aprovechamiento por turno tiene menos supervisión reglamentaria. Esto hace que el mercado, tanto para los vendedores como para los compradores, sea un caldo de cultivo para transacciones abusivas, desleales e ilícitas. Aunque la propiedad del tiempo compartido suele incluir una participación en una propiedad física, como una casa, un apartamento, un condominio o un complejo turístico, normalmente sólo se trata de una fracción de la propiedad. Esta estructura no permite a un prestamista colocar un gravamen sobre dicha propiedad. Esto no significa que no haya supervisión. La jurisdicción del condado, estado u otra localidad donde se encuentre la propiedad es la principal responsable de garantizar que los corredores o agentes implicados en la venta y comercialización del tiempo compartido estén debidamente autorizados. Hay varias empresas que se dedican exclusivamente al alquiler de multipropiedad, entre ellas varias empresas internacionales que explotan hoteles, residencias, multipropiedades y otras propiedades de alojamiento.
Las TCO con sede en México no podrían llevar a cabo fraudes de tiempo compartido sin conspirar con ciertos empleados de tiempo compartido. En concreto, las TCO obtienen información de identificación personal (PII) sobre los propietarios estadounidenses de tiempo compartido en México de empleados cómplices que venden la información a las TCO. Tras obtener la IPI, las TCO llevan a cabo una serie de técnicas de ingeniería social de los propietarios de tiempo compartido para obtener anticipos de tasas e impuestos por transacciones inmobiliarias ficticias. Los fondos robados se blanquean en el sistema financiero estadounidense y se transfieren a México. En algunos casos, los fondos se envían a entidades sancionadas con sede en México. La notificación no cita propiedades específicas de tiempo compartido en México en las que se hayan robado datos de identificación personal. Las propiedades de tiempo compartido en México pueden ser propiedad de promotores, hoteles o complejos turísticos con empresas matrices o intereses significativos en Estados Unidos.
La OFAC sancionó al Cártel Jalisco Nueva Generación
Múltiples TCO mexicanas se dedican a esta actividad de estafa de tiempo compartido; sin embargo, el aviso se centra específicamente en el Cártel Jalisco Nueva Generación (CJNG). El CJNG es una de las TCO más prominentes de México y se dedica principalmente al tráfico de drogas. El CJNG fue sancionado inicialmente por la OFAC en abril de 2015. En julio de 2024, la OFAC sancionó a múltiples empresas y personas vinculadas a las operaciones de estafa de tiempo compartido del CJNG.
Los fallos de la política de privacidad y la OFAC
La falta de protección de los datos de los clientes no sólo expone al tiempo compartido y a su empresa matriz a sanciones civiles o penales; también podrían verse expuestos a un riesgo de reputación por ayudar indirectamente a las TCO a llevar a cabo infracciones de la OFAC y otras actividades delictivas.
El aprovechamiento por turno de bienes de uso turístico y sus empresas matrices deben implantar controles del Programa de Privacidad para mitigar la responsabilidad penal y/o civil por estafar a los clientes y fomentar las violaciones de la OFAC mediante:
- Notificación de infracciones sospechosas o conocidas de información de identificación personal a las fuerzas de seguridad, a la entidad financiera (Informe de actividades sospechosas o SAR) y al regulador bancario correspondiente.
- Instaurar una política de tolerancia cero respecto a la divulgación de información PII y establecer claramente las medidas disciplinarias que se tomarán en caso de divulgación. Reforzar estos principios mediante un programa de formación obligatorio en el que se realice un seguimiento y control de la asistencia de los empleados.
- Desarrollar un programa de denuncia de irregularidades para identificar deficiencias en el programa de cumplimiento. Acompañar los mecanismos de denuncia de irregularidades con una política clara contra las represalias para que los empleados se sientan seguros a la hora de notificar problemas.
- Proporcionar un mecanismo de información confidencial para que los empleados notifiquen a la dirección la existencia de otros empleados que puedan trabajar con CJNG, con procedimientos establecidos para notificar a las fuerzas del orden.
- Desarrollo de programas de investigación interna
- Supervisión rigurosa por terceros
- Implantar controles de acceso mediante los cuales sólo puedan acceder a la IIP y otra información sensible las personas requeridas. La tentación de que un mal actor venda IIP puede seguir existiendo, pero si ese mal actor no puede acceder a la información, la entidad puede intentar limitar las revelaciones. En caso de que se venda información, la empresa puede determinar más fácilmente quién es el culpable y tomar medidas disciplinarias.
- Utilizar los principios de minimización y supresión de datos, de modo que sólo se recojan los datos necesarios y se conserven el menor tiempo posible.
La conclusión
A medida que las organizaciones delictivas se hacen más complejas y diversifican sus fuentes de ingresos, también deben hacerlo nuestros marcos de cumplimiento. El tiempo compartido y el sector hotelero en su conjunto podrían ser objeto de sanciones penales o civiles por no proteger la información de sus clientes. Aunque es poco probable que una empresa de tiempo compartido se enfrente a sanciones por infracción de la OFAC, el riesgo para la reputación derivado de una infracción de la OFAC debida a fallos en materia de privacidad podría ser igualmente devastador. Para mitigar estos riesgos, es crucial ser proactivo y llevar a cabo una evaluación del programa de privacidad existente y de los procedimientos de cumplimiento. Contratar a un consultor de cumplimiento externo puede mejorar aún más los esfuerzos de la organización al proporcionar conocimientos expertos y garantizar que se cumplan todos los requisitos reglamentarios.
[1 ] El Tesoro sanciona a los contables del cártel y anuncia un aviso conjunto sobre el fraude del tiempo compartido en México. Departamento del Tesoro de los Estados Unidos. (2024, 16 de julio). https://home.treasury.gov/news/press-releases/jy2465