UKNF o identyfikacji i weryfikacji spółki oraz jednoosobowej działalności gospodarczej z użyciem wideo
Na wstępie UKNF podkreśla, że zastosowanie tych praktyk powinno mieć zastosowanie wśród tych podmiotów nadzorowanych (jest to dość szeroka kategoria określona w ustawie o nadzorze nad rynkiem finansowym), które stosują metodę tzw. wideoweryfikacji.
Istotne jest to, że samo stanowisko nie tylko nie stoi w sprzeczności, ale także uwzględnia Wytyczne Generalnego Inspektora Informacji Finansowej (GIIF) w analogicznej sprawie.
Status i obowiązki podmiotu instytucjonalnego
Na wstępie wyjaśnijmy sobie, że klient instytucjonalny jest przez KNF traktowany dość szeroko – nie tylko osoba prawna i jednostka organizacyjna nieposiadająca osobowości prawnej, ale także osoba fizyczna prowadząca działalność gospodarczą. Jest to ważne zastrzeżenie szczególnie dla podmiotów, które rozpoczynają lub już świadczą tego typu usługi względem jednoosobowych przedsiębiorców.
KNF przypomina w swoim dokumencie, że przy stosowaniu rozwiązań identyfikacji i weryfikacji tożsamości klientów w oparciu o rozwiązania technologiczne, instytucje muszą brać pod uwagę nie tylko przepisy ustaw(y), ale także standardy i regulacje zawarte w stosownych wytycznych w zakresie IT, a więc np. rekomendacji D, ale także – choć to nie zostało wypowiedziane wprost – mogących mieć zastosowanie wytycznych EBA.
Identyfikacja klienta (art. 36) oraz weryfikacja tożsamości (art. 37) to dwa odrębne działania
Dlaczego w ogóle musimy stosować powyższe stanowisko? Sprawa jest stosunkowo prosta – instytucje finansowe są tzw. instytucjami obowiązanymi w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu (ustawa o AML), a w konsekwencji – zgodnie z art. 33 ust. 4 tej ustawy – muszą stosować one środki bezpieczeństwa finansowego (o tym, kiedy to powinno nastąpić przesądza art. 35) i to w dość szerokim zakresie, ale z uwzględnieniem m.in. profili ryzyka, które mogą generować określone podmioty czy same transakcje.
Środki bezpieczeństwa finansowego zostały określone w art. 34 wspomnianej ustawy i należą do nich m.in. identyfikacja klienta oraz weryfikacja jego tożsamości. Może to nie być do końca intuicyjne, ale identyfikacja klienta (art. 36) oraz weryfikacja tożsamości (art. 37) to dwa odrębne działania.
Czytaj także: Propozycja Komisji Europejskiej w sprawie rewizji eIDAS, czy to w ogóle realne?
Identyfikacja klienta i weryfikacja tożsamości
W ramach procesu identyfikacji klienta pozyskiwane są podstawowe informacje rejestracyjne, jak np. numer NIP czy adres siedziby, a także informacje o osobach upoważnionych do działania w imieniu podmiotu (np. członków zarządu czy umocowanych pełnomocników), natomiast weryfikacja to potwierdzenie danych identyfikacyjnych, np. poprzez weryfikację dokumentu rejestrowego czy dowodu tożsamości.
Co ciekawe, UKNF wskazuje, że najbardziej „pewnymi” rozwiązaniami, pozwalającymi na weryfikację tożsamości, są środki identyfikacji elektronicznej wydawane zgodnie z Rozporządzeniem 910/2014 (eIDAS). Warto pamiętać, że Unia Europejska pracuje nad tzw. Europejskimi Portfelami Identyfikacji Cyfrowej.
Jeżeli jednak nie możemy wykorzystać tych rozwiązań, to – zdaniem UKNF – podmiot nadzorowany powinien rozważyć zastosowanie tzw. wzmożonych środków bezpieczeństwa finansowego, o których mowa w art. 43 ustawy o AML.
UKNF wskazuje tutaj, że w kontekście klientów instytucjonalnych podmiot zawsze jest reprezentowany przez osobę fizyczną i to ona powinna dostarczyć stosowne dokumenty, jak dokumenty rejestrowe, decyzje o nadaniu NIP, umowę spółki czy inne zaświadczenia. Gdy mamy do czynienia z państwem rejestracji innym niż Polska, to należy dostarczyć też uwierzytelnione kopie dokumentów.
Dodatkowo pamiętajmy o weryfikacji osoby fizycznej (w zakresie posiadanego umocowania), a jeżeli mamy wątpliwości, to powinniśmy zaprosić do osobistego stawiennictwa.
W kontekście klientów instytucjonalnych podmiot zawsze jest reprezentowany przez osobę fizyczną i to ona powinna dostarczyć stosowne dokumenty
Oczywiście UKNF nie narzuca konkretnych rozwiązań, ale przykładowo – znowu – sugeruje dodatkowy środek bezpieczeństwa w postaci „pierwszego przelewu”. Należy też pamiętać o przechowywaniu dokumentacji przez okres 5 lat od zakończenia stosunków gospodarczych.
Wideoweryfikacja, czyli szczególny przypadek
Może się zdarzyć, że podmiot będzie oferował tzw. wideoweryfikację, a więc weryfikację tożsamości z użyciem kanałów zdalnych, umożliwiających przetwarzanie obrazu i dźwięku. Tutaj UKNF przypomina, że wprowadzenie takiego rozwiązania powinno być poprzedzone dobrą analizą wewnątrz instytucji, w szczególności w kontekście zapewnienia bezpieczeństwa.
Ważne – „podmiot nadzorowany może uzyskiwać dostęp do materiału weryfikacyjnych za pomocą wideorozmowy, w sposób uwzględniający również kwestie reprezentacji łącznej klienta”. UKNF jednak podkreśla też, że w przypadku reprezentacji łącznej musimy zastosować wideoweryfikację w odrębnych sesjach dla każdej osoby.
Wideorozmowa umożliwia m.in. nie tylko bliższą obserwację klienta (reprezentanta), ale także oryginałów dokumentów czy osób uczestniczących w wideorozmowie, także pod kątem ewentualnej „manipulacji”.
Wprowadzenie takiego rozwiązania (wideoweryfikacja) powinno być poprzedzone dobrą analizą wewnątrz instytucji, w szczególności w kontekście zapewnienia bezpieczeństwa
UKNF zaprezentował przykładową listę metod weryfikacji, do których można zaliczyć m.in. wdrożenie stosownej procedury wideoweryfikacji, określenie mitygantów ryzyka czy precyzyjne określenie warunków odmowy nawiązania relacji, a także wymogów technicznych po stronie klienta. Można też żądać przekazania wszystkich dokumentów zgodnie z uprzednio przekazaną listą kontrolną. Co interesujące i wskazujące na podwyższony poziom ryzyka klientów, którzy „otworzyli” produkt z użyciem wideoweryfikacji, UKNF zaleca szczególną obserwację tych klientów pod kątem ryzyk AML.
Jest tego znacznie więcej i mam wrażenie, że wszystkie punkty powinny być w tym przypadku spełnione. W sumie nic dziwnego, choć z pewnością utrudniającego wprowadzenie wideoweryfikacji dla klientów instytucjonalnych.
UKNF zaleca także uzupełniające techniki potwierdzające należytą staranność, a więc wykorzystanie np. geolokalizacji, ocenę zgodności rodzaju stosowanej na urządzeniu mobilnym aplikacji (z aplikacjami używanymi w kraju zamieszkania klienta?) czy ocenę szybkości/sprawności obsługi aplikacji klienta oraz aplikacji podmiotu nadzorowanego.
Co interesujące i wskazujące na podwyższony poziom ryzyka klientów, którzy „otworzyli” produkt z użyciem wideoweryfikacji, UKNF zaleca szczególną obserwację tych klientów pod kątem ryzyk AML
Dwie ostatnie sugestie są dla mnie zastanawiające i nie wiem czy do końca je rozumiem. Może pojawią się jakieś dodatkowe wyjaśnienia?
I to tyle. Co dalej?
Cóż, stanowisko nie jest przesadnie rozbudowane i pomija kilka istotnych kwestii, które jak rozumiem czekają na rozstrzygnięcie EBA w opracowywanych wytycznych w sprawie zdalnego onboardingu.
Ważne jest zindywidualizowane podejście. Pamiętajmy o tym przy implementacji nowych wytycznych
Brakuje tutaj bowiem przykładowo odniesień do biometrii czy wykorzystanie rozwiązań zautomatyzowanych, które zaczynają wchodzić „na salony”. Ogólnie ‒ za chwilę może pojawić się też mnóstwo pytań wobec istnienia wielu regulacji, które powstają nie tylko w UKNF, ale EBA, FATF czy GIIF. Próba „ogarnięcia” wszystkiego może przynieść odwrotny skutek.
To, na co warto jednak zwrócić uwagę, to fakt, że przepisy o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu są oparte o dwie bardzo ważne i fundamentalne zasady – podejście oparte na ryzyku oraz neutralność technologiczną. No i oczywiście – w jakimś zakresie – zasadę proporcjonalności.
Dlatego tak ważne jest zindywidualizowane podejście. Pamiętajmy o tym przy implementacji nowych wytycznych.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.