Poznatky
EBA: Usmernenia k používaniu moderných riešení pre identifikáciu klientov na diaľku
Dostupnosť moderných digitálnych technológií spolu so zmenami v správaní klientov významne urýchlili nárast dopytu finančných inštitúcií po možnostiach identifikácie klientov na diaľku. Vzhľadom na to, že 5. smernica AML EÚ o boji proti praniu špinavých peňazí neposkytuje dostatočne jasné informácie o tom, čo je a čo nie je povolené pri identifikácii na diaľku, vydal Európsky orgán pre bankovníctvo (European Banking Authority – EBA) usmernenia, ktoré stanovujú spoločné normy EÚ pre vývoj a realizáciu spoľahlivých počiatočných krokov CDD (Customer Due Diligence), ktoré zohľadňujú riziko v procese identifikácie klientov na diaľku. Usmernenia vstúpili do platnosti 2. októbra 2023.
Zásady a postupy týkajúce sa identifikácie klientov na diaľku
Zásady a postupy úverových a finančných inštitúcií by mali pozostávať zo všeobecného opisu riešení pre zhromažďovanie, overovanie a zaznamenávanie informácií v priebehu celého procesu identifikácie klientov na diaľku. Mali by tiež určiť kategóriu klientov, produktov a služieb spôsobilých na identifikáciu na diaľku a tiež objasniť, ktoré kroky sú úplne autonómne a ktoré si vyžadujú ľudský zásah. Zásady sa musia týkať aj školiacich programov (úvodného a pravidelného), ktoré zaistia informovanosť zamestnancov a ich vždy aktuálne znalosti o fungovaní riešení pre identifikáciu klientov na diaľku.
Správa
Schválenie zásad a postupov pre identifikáciu klientov na diaľku a dohľad nad ich správnou realizáciou je povinnosťou riadiacich orgánov úverových a finančných inštitúcií. Compliance officer by mal pripraviť zásady a postupy pre splnenie požiadaviek CDD a zabezpečiť, aby sa zásady a postupy pre identifikáciu klientov na diaľku vykonávali účinne, pravidelne sa preskúmavali a upravovali v prípade potreby.
Posúdenie pred zavedením a priebežné monitorovanie
Úverové a finančné inštitúcie musia posúdiť vhodnosť riešenia z hľadiska úplnosti a presnosti zhromažďovaných údajov a dokumentov. Mali by tiež posúdiť dopad používania riešenia pre prístup ku klientom na diaľku a rizík v rámci celej inštitúcie vrátane rizika prania špinavých peňazí a financovania terorizmu, ako aj prevádzkových, reputačných a právnych rizík. Je potrebné vykonať testy na posúdenie rizík podvodu vrátane rizík spojených s krádežami identity a ďalších bezpečnostných rizík. Okrem toho je potrebné vykonať komplexné „end-to-end“ testovanie fungovania tohto riešenia. Úverové a finančné inštitúcie by mali začať používať identifikáciu klientov na diaľku až po tom, ako sa ubezpečia, že je možné ju integrovať do širšieho systému vnútornej kontroly danej inštitúcie.
Po zavedení riešení a postupov pre identifikáciu rizík by finančné inštitúcie mali tieto riešenia priebežne monitorovať tak, aby zaistili kvalitu, úplnosť, presnosť a primeranosť údajov zhromaždených počas procesu identifikácie klientov na diaľku. Preskúmania ad hoc by mali prebiehať v prípade, že v úverovej alebo finančnej inštitúcii dôjde k zmenám v ich expozícii voči riziku prania špinavých peňazí a financovania terorizmu, pri zistení nedostatkov vo fungovaní riešenia, v prípade zistenia nárastu počtu pokusov o podvod alebo v prípade zmien právneho či regulačného rámca.
Proces identifikácie a overovania
Úverové a finančné inštitúcie zabezpečia, aby:
- informácie získané prostredníctvom riešení pre identifikáciu klientov na diaľku boli aktuálne a primerané,
- všetky obrázky, videá, zvukové záznamy a údaje boli získané v čitateľnom formáte a v dostatočnej kvalite, aby bol klient jednoznačne rozpoznateľný,
- proces identifikácie nepokračoval, ak boli zistené technické nedostatky alebo došlo k neočakávanému prerušeniu spojenia.
Dokumenty a informácie zhromaždené počas procesu identifikácie na diaľku by mali byť označené časovou pečiatkou a bezpečne uložené v čitateľnom formáte. V situáciách, keď poskytnuté podklady nie sú dostatočné, by mal byť proces individuálnej identifikácie klienta na diaľku prerušený a znovu spustený alebo presmerovaný na osobné overenie.
- Riešenia pre identifikáciu klientov na diaľku implementované úverovými a finančnými inštitúciami zabezpečia, aby existovala zhoda medzi viditeľnými informáciami o fyzickej osobe a poskytnutou dokumentáciou.
- Ak je klient právnickou osobou, vykoná sa kontrola záznamu vedeného vo verejnom registri.
- Ak je klient právnickou osobou, overí sa, či fyzická osoba, ktorá ju zastupuje, je oprávnená konať v jej mene.
Ak sa používa samoobslužné riešenie pre identifikáciu klientov na diaľku (klient pri overovaní neprichádza do styku so zamestnancom), inštitúcie by mali zabezpečiť, aby:
- všetky fotografie alebo videozáznamy boli získané za vhodných svetelných podmienok,
- všetky fotografie alebo videozáznamy boli zhotovené v čase, keď klient vykonáva proces overenia,
- bolo vykonané overenie s detekciou živosti (biometrický údaj pochádza od živej bytosti),
- boli použité silné a spoľahlivé algoritmy na overenie, či získaná fotografia alebo video zodpovedajú fotografii alebo fotografiám získaným z úradného dokladu alebo dokladov patriacich klientovi.
Ak sa používa obslužné riešenie pre identifikáciu klientov na diaľku (klient prichádza do styku so zamestnancom, ktorý vykonáva proces overenia), tento proces by mal:
- zabezpečiť, aby kvalita obrazu a zvuku bola dostatočná a umožňovala riadne overenie,
- využívať účasť dostatočne vyškoleného zamestnanca so znalosťou platnej regulácie v oblasti AML/CFT a bezpečnostných aspektov overovania na diaľku,
- vypracovať usmernenie k rozhovorom, v ktorom by sa definovali následné kroky procesu overovania na diaľku, ako aj kroky, ktoré sa vyžadujú od zamestnanca, ak počas overovania na diaľku spozoruje podozrivé správanie.
Ďalšie opatrenia
Ak je to možné, riešenia pre identifikáciu klientov na diaľku by mali zahŕňať náhodnosť v postupnosti činností, ktoré má klient vykonať na účely overenia.
Na zvýšenie spoľahlivosti procesu overovania možno použiť tieto kontrolné mechanizmy:
- prvá platba je čerpaná z dôveryhodného účtu klienta,
- použitie náhodne vygenerovaného jednorazového a časovo obmedzeného prístupového kódu zaslaného klientovi,
- získanie biometrických údajov na účely ich porovnania s údajmi získanými z iných nezávislých a spoľahlivých zdrojov,
- telefonické kontakty alebo zásielka do vlastných rúk klienta.
Existuje možnosť zadať riešenie pre identifikáciu klientov na diaľku poskytovateľom tretích strán alebo inému externému poskytovateľovi služieb a využiť riešenia dôveryhodných služieb a národných identifikačných procesov.
Orgán EBA považuje za dôležité, aby všetky zúčastnené strany rozumeli možnostiam týchto nových riešení a aby si boli vedomé rizík prania špinavých peňazí a financovania terorizmu, ktoré vyplývajú z používania týchto nástrojov, a prijali opatrenia na účinné zmiernenie týchto rizík.
Vedeli ste, že Deloitte ponúka komplexnú podporu v oblasti identifikácie klientov na diaľku a vie vám pomôcť správne nastaviť všetky súvisiace procesy? Pre viac informácií nás kontaktujte.