Las políticas y procedimientos contenidos en este manual están alineados con las normativas nacionales e internacionales, estableciendo un marco de cumplimiento en LA/FT sólido y actualizado. Los principales referentes normativos incluyen:

• Ley 1762 de 2015 (Anticontrabando).
• Ley 1581 de 2012 (Protección de Datos Personales).
• Ley 1328 de 2009 (Protección al Consumidor Financiero).
• Decreto 1377 de 2013 (Reglamentación de Protección de Datos).
• Circular Externa 029 de 2014 de la Superintendencia Financiera de Colombia (Prevención de LA/FT).
• Recomendaciones del GAFI (Grupo de Acción Financiera Internacional), como marco de referencia internacional en la lucha contra LA/FT.

Este manual y sus políticas de cumplimiento serán revisados periódicamente para asegurar su alineación con cambios regulatorios y actualizaciones tecnológicas en la industria.

Procedimiento de Onboarding y Clasificación de Riesgo

El proceso de onboarding de XELL para personas naturales y jurídicas está diseñado para recolectar información detallada de cada cliente, en cumplimiento con los lineamientos de Conozca a su Cliente (KYC) y Conozca su Negocio (KYB).

El flujo de onboarding incluye:

1. Aceptación de Términos y Tratamiento de Datos:

• Modal inicial donde el cliente acepta los Términos y Condiciones y la Política de Tratamiento de Datos. Estos documentos están accesibles en xell.shop y deben ser aceptados antes de iniciar el proceso de registro.

1. Registro Inicial y Verificación:

• Paso 1: Pre-registro donde el cliente ingresa su correo electrónico y establece una contraseña.
• Paso 2: Confirmación del correo mediante un enlace de verificación enviado a la dirección registrada.

1. Recolección de Datos de KYC/KYB Detallados:

• Persona Natural: Nombre completo, nacionalidad, tipo y número de documento, fecha y lugar de nacimiento, dirección y teléfono de contacto.
• Persona Jurídica: Datos del representante legal, razón social, NIT, dirección comercial, actividad específica del negocio y otros detalles requeridos por el proceso KYC/KYB.

1. Clasificación de Riesgo por Actividad e Industria:

• Cada cliente es evaluado según su sector e industria, clasificando su riesgo en alto, medio o bajo. Esto se realiza mediante una Matriz de Riesgos por Industria que considera factores de exposición al LA/FT basados en el tipo de negocio, ubicación geográfica y volumen de transacciones estimado.

Listado de Actividades No Permitidas

Para mitigar los riesgos de LA/FT, XELL exige que los clientes declaren que no están involucrados en actividades prohibidas. Entre estas se incluyen:

• Comercialización de drogas ilícitas o estupefacientes.
• Venta de bienes o servicios que incumplan las leyes nacionales o internacionales.
• Actividades relacionadas con contenido ofensivo o sin valor artístico significativo.
• Compra y venta de divisas virtuales sin regulación oficial.
• Extracción de metales y piedras preciosas sin licencia.
• Comercio de armas y municiones.
• Actividades de contenido sexual no consensuado o actividades ilegales en torno a la explotación sexual infantil.

Estas actividades representan riesgos críticos de LA/FT, y cualquier indicio de participación en estas actividades resultará en la suspensión o cierre de la cuenta en la plataforma, así como en la notificación a las autoridades correspondientes.

XELL emplea un sistema avanzado de monitoreo y detección de actividad sospechosa (SAR) que emplea inteligencia artificial y analítica predictiva para detectar patrones de comportamiento atípicos en tiempo real.

Indicadores de Alerta y Categorización de Transacciones

Se generan alertas de actividad sospechosa ante los siguientes escenarios:

• Incrementos inusuales en el volumen de transacciones de un cliente sin justificación razonable.
• Transferencias o pagos recurrentes desde o hacia cuentas en jurisdicciones de alto riesgo.
• Transacciones que se desvíen del perfil histórico y comportamiento habitual del usuario.

Clasificación de alertas:

• Riesgo Bajo: Actividades que parecen inusuales pero que, al investigar, tienen una justificación razonable.
• Riesgo Medio: Transacciones sospechosas que requieren monitoreo adicional y posibles ajustes en el perfil de riesgo del cliente.
• Riesgo Alto: Actividades que presentan un alto riesgo de LA/FT, las cuales deben ser reportadas como actividades sospechosas.

Escalamiento de Alertas y Procedimiento de Evaluación

Las alertas son revisadas por el equipo de cumplimiento, que debe analizar cada caso en detalle y, de ser necesario, reportarlo a las autoridades pertinentes como actividad sospechosa (SAR). Las alertas de riesgo alto serán escaladas al equipo de cumplimiento para una acción inmediata.

Auditorías Internas de Cumplimiento y Evaluación de Controles

XELL realiza auditorías periódicas para asegurar la eficacia de los controles y medidas de mitigación de LA/FT. Estas auditorías incluyen:

• Revisión de registros de transacciones y análisis de cumplimiento de procedimientos.
• Evaluación de desempeño de los sistemas de monitoreo y generación de alertas.
• Pruebas de los controles de respuesta y protocolos de escalamiento en caso de actividad sospechosa.

Protección de Información y Control de Acceso

La información recopilada de clientes se gestiona con estrictas políticas de seguridad, siguiendo la Ley 1581 de 2012 de protección de datos. Entre los controles aplicados se incluyen:

• Encriptación de datos personales y transaccionales.
• Controles de acceso restrictivos según el rol y nivel de autorización de los empleados.
• Monitoreo y auditoría continua de accesos a la información de clientes.

Para garantizar que todos los empleados entiendan la importancia de las políticas de LA/FT y sus roles en el cumplimiento de este manual, XELL implementa un programa exhaustivo de capacitación.

Capacitación Regular y Actualización de Procedimientos

Todos los empleados reciben una formación continua en:

• Identificación y reporte de actividades sospechosas.
• Procedimientos específicos de cumplimiento en el uso de herramientas de monitoreo.
• Actualizaciones de las normativas nacionales e internacionales de LA/FT.

Las capacitaciones incluyen simulaciones y casos prácticos para reforzar los conocimientos teóricos y fomentar la habilidad de respuesta rápida y efectiva.

Cultura Organizacional y Compromiso con el Cumplimiento

XELL fomenta una cultura de cumplimiento donde cada empleado es responsable de actuar proactivamente en la detección y reporte de actividades sospechosas. Se realizan campañas de concientización y comunicaciones periódicas que recuerdan a los empleados su responsabilidad en la prevención de LA/FT.

Para responder de manera adecuada ante la materialización de un riesgo, XELL ha establecido un Plan de Respuesta a Incidentes de LA/FT.

1. Identificación y Escalamiento de la Alerta: Ante la detección de una actividad inusual, se notifica al equipo de cumplimiento, que deberá analizar el caso en un plazo no mayor a 24 horas.
2. Análisis de Causa y Documentación del Incidente: Se realiza un análisis exhaustivo para determinar si el caso constituye una actividad sospechosa y se documentan todas las medidas tomadas, con la finalidad de mejorar los controles y prevenir futuros incidentes similares.
3. Reporte de Actividades Sospechosas (SAR): En caso de actividad sospechosa.