Cortes Generales. III. Otras disposiciones. Fiscalizaciones. (BOE-A-2025-14671)
Resolución de 8 de mayo de 2025, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe de fiscalización del sistema de control aplicado en la gestión de premios por la Sociedad Estatal Loterías y Apuestas del Estado, S.M.E., SA, (SELAE), ejercicio 2022.
76 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 169
Martes 15 de julio de 2025
Sec. III. Pág. 95111
c) SELAE dispone de auditoría de seguridad y análisis de cumplimiento en materia de protección
de datos personales. No se han detectado problemas de relevancia en materia de protección de
datos14.
d) No existen herramientas o utilidades que remitan o reciban información de las aplicaciones
informáticas propias de las administraciones de loterías. SELAE no tiene una aplicación para
que las existentes en las administraciones, que son desarrollos propios en el ejercicio de su
actividad comercial, manden información a SELAE.
e) En las especificaciones técnicas para las entidades bancarias colaboradoras, documento
denominado “Requisitos y obligaciones de carácter tecnológico a los que se tienen que ajustar
las entidades de crédito que presten el servicio de tesorería”, se especifican unos algoritmos
que presentan vulnerabilidades conocidas. Se recomienda utilizar algoritmos más robustos y
modernos como AES y SHA-256 o SHA-512.
f)
Convendría bajar la tolerancia del algoritmo de comparación de beneficiarios de premios, que
en la actualidad exige una exactitud del 99 %, a un 97 % o un 96 %, para permitir comparar
nombres compuestos y apellidos con artículos. Esto daría mayores falsos positivos, lo que
implicaría mayor supervisión, permitiendo detectar errores o variantes del nombre con mayor
tolerancia. SELAE ha indicado a este Tribunal que el porcentaje de tolerancia es del 97 %, pero
en el código analizado solo se ha encontrado codificado un nivel de tolerancia del 99 %.
g) El algoritmo actual de calificación del riesgo es poco elaborado y tiene en cuenta un número
reducido de variables. Se recomienda añadir técnicas de machine learning para la detección del
fraude y ampliar el número de posibles variables a valorar recurriendo a fuentes externas para
realizar un mayor perfilado del riesgo de los clientes.
h) Una carencia significativa es que SELAE no dispone de ninguna aplicación informática
específica para controlar el mapa de riesgos de la Entidad, cuyo control y posterior seguimiento
es muy complejo sin una aplicación específica, puesto que debe contar con una categorización
de riesgos, un calendario de revisiones, puntos de control, un seguimiento de su evolución y el
establecimiento de medidas compensatorias para reducir los riesgos que se detecten. Una
adecuada reducción y sistematización de los riesgos es muy recomendable en una entidad con
el volumen de negocio de SELAE y debe necesariamente tener impacto en la prevención del
blanqueo de capitales.
II.3. FUNCIONAMIENTO DEL SISTEMA DE CONTROL DEL BLANQUEO. RELACIONES CON
EL SEPBLAC
Tras haber descrito en los subapartados anteriores de este Informe el sistema de control del
blanqueo que tiene implantado SELAE, en el presente subapartado se analiza su funcionamiento.
Los artículos 26.5 de la Ley 10/2010 y 33.2 de su Reglamento establecen que los sujetos obligados
deben aprobar un Manual adecuado de prevención del blanqueo de capitales y de la financiación
del terrorismo, que debe mantenerse actualizado, con información completa sobre las medidas de
control interno que deben establecerse en la materia.
14 La
normativa específica reguladora del juego faculta a SELAE a no tener que requerir el consentimiento del interesado
para el tratamiento de datos que resulte necesario a efectos del cumplimiento de las obligaciones de información a que
se refiere el Capítulo III de la Ley 10/2010. Según el artículo 60 del Reglamento de la Ley 10/2010, SELAE deberá aplicar
medidas de seguridad de nivel alto a los tratamientos de datos llevados a cabo para el cumplimiento de las obligaciones
de comunicación de información en materia de prevención del blanqueo de capitales y la financiación del terrorismo.
cve: BOE-A-2025-14671
Verificable en https://www.boe.es
II.3.1. Manual de prevención del blanqueo de capitales y de la financiación del terrorismo
Núm. 169
Martes 15 de julio de 2025
Sec. III. Pág. 95111
c) SELAE dispone de auditoría de seguridad y análisis de cumplimiento en materia de protección
de datos personales. No se han detectado problemas de relevancia en materia de protección de
datos14.
d) No existen herramientas o utilidades que remitan o reciban información de las aplicaciones
informáticas propias de las administraciones de loterías. SELAE no tiene una aplicación para
que las existentes en las administraciones, que son desarrollos propios en el ejercicio de su
actividad comercial, manden información a SELAE.
e) En las especificaciones técnicas para las entidades bancarias colaboradoras, documento
denominado “Requisitos y obligaciones de carácter tecnológico a los que se tienen que ajustar
las entidades de crédito que presten el servicio de tesorería”, se especifican unos algoritmos
que presentan vulnerabilidades conocidas. Se recomienda utilizar algoritmos más robustos y
modernos como AES y SHA-256 o SHA-512.
f)
Convendría bajar la tolerancia del algoritmo de comparación de beneficiarios de premios, que
en la actualidad exige una exactitud del 99 %, a un 97 % o un 96 %, para permitir comparar
nombres compuestos y apellidos con artículos. Esto daría mayores falsos positivos, lo que
implicaría mayor supervisión, permitiendo detectar errores o variantes del nombre con mayor
tolerancia. SELAE ha indicado a este Tribunal que el porcentaje de tolerancia es del 97 %, pero
en el código analizado solo se ha encontrado codificado un nivel de tolerancia del 99 %.
g) El algoritmo actual de calificación del riesgo es poco elaborado y tiene en cuenta un número
reducido de variables. Se recomienda añadir técnicas de machine learning para la detección del
fraude y ampliar el número de posibles variables a valorar recurriendo a fuentes externas para
realizar un mayor perfilado del riesgo de los clientes.
h) Una carencia significativa es que SELAE no dispone de ninguna aplicación informática
específica para controlar el mapa de riesgos de la Entidad, cuyo control y posterior seguimiento
es muy complejo sin una aplicación específica, puesto que debe contar con una categorización
de riesgos, un calendario de revisiones, puntos de control, un seguimiento de su evolución y el
establecimiento de medidas compensatorias para reducir los riesgos que se detecten. Una
adecuada reducción y sistematización de los riesgos es muy recomendable en una entidad con
el volumen de negocio de SELAE y debe necesariamente tener impacto en la prevención del
blanqueo de capitales.
II.3. FUNCIONAMIENTO DEL SISTEMA DE CONTROL DEL BLANQUEO. RELACIONES CON
EL SEPBLAC
Tras haber descrito en los subapartados anteriores de este Informe el sistema de control del
blanqueo que tiene implantado SELAE, en el presente subapartado se analiza su funcionamiento.
Los artículos 26.5 de la Ley 10/2010 y 33.2 de su Reglamento establecen que los sujetos obligados
deben aprobar un Manual adecuado de prevención del blanqueo de capitales y de la financiación
del terrorismo, que debe mantenerse actualizado, con información completa sobre las medidas de
control interno que deben establecerse en la materia.
14 La
normativa específica reguladora del juego faculta a SELAE a no tener que requerir el consentimiento del interesado
para el tratamiento de datos que resulte necesario a efectos del cumplimiento de las obligaciones de información a que
se refiere el Capítulo III de la Ley 10/2010. Según el artículo 60 del Reglamento de la Ley 10/2010, SELAE deberá aplicar
medidas de seguridad de nivel alto a los tratamientos de datos llevados a cabo para el cumplimiento de las obligaciones
de comunicación de información en materia de prevención del blanqueo de capitales y la financiación del terrorismo.
cve: BOE-A-2025-14671
Verificable en https://www.boe.es
II.3.1. Manual de prevención del blanqueo de capitales y de la financiación del terrorismo
