niedziela, Grudzień 9
AML

[PORADNIK] Wideoweryfikacja po niemiecku. Innowacyjny on-boarding w świetle wytycznych BaFin

Google+ Pinterest LinkedIn Tumblr +

Weryfikacja tożsamości bez fizycznej obecności w oddziale i zawarcie umowy na odległość staje się powoli pewnym standardem. Wiele banków, ale i Fintechów decyduje się na wprowadzenie tej innowacyjnej metody on-boardingu klientów. W Polsce brakuje czytelnych zasad odnośnie wykorzystania wideoweryfikacji w przypadku świadczenia usług płatniczych czy szeroko rozumianej bankowości. Nie oznacza to jednak, że dostawcy są całkowicie pozbawieni wskazówek w tym zakresie.

KNF nie wydał jak dotąd wyraźnego stanowiska w sprawie wymogów w zakresie wideoweryfikacji, choć jak pisałem w tym artykule, dopuszcza możliwość wykorzystania tej metody pod warunkiem spełnienia odpowiednich warunków. Te warunki to zasadniczo “odesłanie” do wytycznych niemieckiego organu nadzoru – BaFin z 2017 roku. W tym artykule przybliżę te warunki, które powinny usatysfakcjonować Urząd.

Czym w ogóle jest wideoweryfikacja?

Wideoweryfikacja jest sposobem potwierdzenia tożsamości użytkownika z użyciem danych biometrycznych za pomocą zdalnego kanału komunikacji, a więc bez fizycznej obecności weryfikowanej osoby. W przypadku tej metody wykorzystywana jest biometria rysów twarzy polegająca – w bardzo dużym uproszczeniu – na stworzeniu geometrycznej siatki charakterystycznych punktów twarzy, która zapisywana jest w określonej formie cyfrowej i następnie wykorzystywana do porównania. GIODO (zanim przekształcił się w PUODO) wskazał, że identyfikacja “z wykorzystaniem kamer użytych w laptopach czy telefonach komórkowych, jest podatna na fałszerstwa takie jak fotografia, maska, manekin“. Jako, że wideoweryfikacja na potrzeby świadczenia usług bankowych czy płatniczych uwzględnia udział czynnika ludzkiego, takie ryzyko jest zdecydowanie mniejsze.

Aby w ogóle przeprowadzić wideoweryfikację wymagana jest wyraźna zgoda użytkownika na wykorzystanie tej metody, jak również przetwarzanie dokumentów, w tym zdjęć danej osoby.

Doświadczeni pracownicy i przeszkolenie przede wszystkim

BaFin zwraca uwagę, że wideoweryfikacja może zostać przeprowadzona wyłącznie przez przeszkolonych pracowników, bądź to samego dostawcy lub podwykonawcy w ramach outsourcingu (przyjąć należy, że w przypadku usług płatniczych będzie to istotna czynność operacyjna). W ramach obowiązkowego przeszkolenia oddelegowani pracownicy powinni zostać zapoznani z cechami szczególnymi dokumentu lub dokumentów, które mogą podlegać weryfikacji, a więc np. dowodów osobistych czy paszportów. Rozciąga się to na obowiązek zapoznania się z powszechnymi metodami oszustw (podrabiania), tak aby możliwe było zidentyfikowanie oczywistych przypadków prób wyłudzenia. Pracownicy ci powinni posiadać również odpowiednią wiedzę z zakresu AML i ochrony danych osobowych. Co ważne, pracownicy powinni mieć dostęp do wszelkich dokumentów opisujących procesy i procedury, w tym w zakresie raportowania potencjalnych fraudów. Oczywistym obowiązkiem jest przeprowadzanie regularnych szkoleń (co najmniej raz w roku).

Co ważne, pracownicy powinni mieć zapewnione odpowiednie pomieszczenia, w których przeprowadzana jest weryfikacja. W praktyce muszą to być wyodrębnione miejsca, które uniemożliwiają “wypłynięcie” danych wrażliwych.

Warunki techniczne i organizacyjne

Poza wyżej wskazanym wyodrębnieniem pomieszczeń, dostawca musi stworzyć takie środowisko, które uniemożliwia manipulacje. Wiąże się to przede wszystkim z zapewnieniem odpowiedniej i bezpiecznej infrastruktury IT. Wideoweryfikacja powinna bowiem przebiegać w czasie rzeczywistym i bez zakłóceń, a także z użyciem szyfrowanych połączeń. Ważne jest również zapewnienie odpowiedniej jakości obrazu oraz dźwięku.

Jeżeli te warunki nie są spełnione pracownik powinien przerwać on-boarding w tej formie.

Dozwolone dokumenty i ich weryfikacja

Dla potrzeb weryfikacji dostawca lub bank “przyjmować” mogą wyłącznie takie dokumenty, które są trudne do podrobienia i wykorzystują technologie, które to utrudniają. W szczególności dokumenty wykorzystujące farby optycznie zmienne czy mikrodruk będą spełniały ten wymóg. Są to oczywiście elementy, które trudno zweryfikować w trakcie wideoweryfikacji, ale są to warunki, które muszą spełniać dokumenty tożsamości, aby w ogóle mogły zostać dopuszczone w ramach on-boardingu klienta.

Sam proces weryfikacji opiera się na weryfikacji dokumentu dokonanej przez pracownika. Powinien on sprawdzić czy dokument posiada wszystkie widoczne elementy, które są charakterystyczne dla tego typu dokumentów. Brak choćby jednego elementu to wyraźna podstawa do dokonania zgłoszenia o próbie wyłudzenia. Ważne jest również, aby użytkownik wykonywał polecenia pracownika, który może zażądać chociażby przyłożenia palca w określonym miejscu. Tego typu sytuacje będą miały miejsce najczęściej w przypadku powzięcia wątpliwości co do oryginalności dokumentu.

Weryfikacja powinna oprzeć się na sprawdzeniu co najmniej trzech losowych elementów zabezpieczenia dokumentu, jak również jego daty ważności czy daty wydania. Ważne jest również wykorzystanie odpowiedniego oprogramowania (algorytmów), które dokona weryfikacji poprawności numerów seryjnych i innych elementów istotnych (w tym danych osobowych). Odpowiednie wytyczne powinny znaleźć się w dokumencie wewnętrznym dostępnym dla pracowników.

Na koniec należy wskazać, że bardzo istotnym elementem jest porównanie zdjęcia na dowodzie z osobą, która podaje się za jego właściciela. W tym celu on-boardowany klient powinien trzymać dokument tożsamości obok swojej twarzy, tak aby umożliwić porównanie. Stosowne algorytmy powinny również dokonać porównania zdjęcia ze skanu dokumentu ze zdjęciem/obrazem tej osoby (zazwyczaj jest to kilkadziesiąt punktów).

A co z pytaniami?

Pracownik powinien być przygotowany na różne scenariusze. Z tego względu bardzo istotne jest przygotowanie odpowiednich wytycznych wraz z przykładowymi pytaniami. Konsultant powinien upewnić się w trakcie rozmowy z potencjalnym klientem, że to on jest osobą za którą się podaje. Może w szczególności zadawać pytania, które mają potwierdzić znajomość podstawowych faktów o “tożsamości”. Jeżeli podejmie on wątpliwość powinien przejść do bardziej szczegółowych pytań, a gdy te nie rozwieją wątpliwości, uniemożliwić przeprowadzenie on-boardingu i dokonać zgłoszenia do odpowiedniej komórki, np. bezpieczeństwa.

Zakończenie procesu on-boardingu

Weryfikacja powinna zakończyć się przesłaniem przez pracownika odpowiedniego kodu TAN, który osoba on-boardowana powinna zwrócić w formie elektronicznej, a więc za pomocą aplikacji w ramach której odbywa się wideoweryfikacja. Dopiero po poprawnym wprowadzeniu numeru proces przyjęcia klienta może zostać zakończony.

Na koniec o AML i ochronie danych osobowych

W artykule nie poruszyłem szczegółowo kwestii dotyczących AML i ochrony danych osobowych, ale oczywistym jest, że sam proces służy również przeprowadzeniu weryfikacji pod kątem. W szczególności dane umieszczone na dokumencie oraz zdjęcie twarzy to elementy, które mogą i muszą posłużyć do sprawdzenia pod kątem list sankcyjnych, statusu PEP’a etc. Jednym z elementów on-boardingu jest również weryfikacja czy dany dokument nie znajduje się na liście dokumentów skradzionych/zagubionych.

W kwestii danych osobowych należy zwrócić uwagę na konieczność spełnienia szeregu wymogów prawnych związanych z wykorzystaniem danych biometrycznych. Jest to jednak temat na tyle obszerny, że postaram się przybliżyć go w innym artykule.

Udostępnij.

Zostaw komentarz