Doczekaliśmy się. Stanowisko UKNF w sprawie wideoweryfikacji
Postępująca cyfryzacja na stałe wkroczyła już do naszego życia czego emanacją jest m.in. możliwość otworzenia rachunku w banku z użyciem wideoweryfikacji, która powoli staje się standardem. Jeszcze w grudniu pisałem o tym, że potrzebne są bardziej szczegółowe wytyczne UKNF w sprawie zasad towarzyszących temu procesowi weryfikacji tożsamości klienta. Dzisiaj Urząd wydał dokument, który w sposób precyzyjny odnosi się do tych wymagań. Wytyczne UKNF są nieco bardziej szczegółowe niż dokument zaprezentowany w 2017 r. przez BaFin i stanowią naprawdę użyteczną wskazówkę dla instytucji finansowych (nie tylko banków) odnośnie wideoweryfikacji. Co więc zrobić, aby spełnić oczekiwania regulatora?
Regulator w swoim stanowisku podkreśla, że sposób identyfikacji i weryfikacji użytkownika z użyciem wideoweryfikacji musi być zgodny przede wszystkim z ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa o AML) oraz Rekomendacją D.
Wideoweryfikacja jako szczególny tryb badania
Punktem wyjścia dla banku przy stosowaniu wideoweryfikacji jako metody otwierania rachunku bankowego jest art. 33 ust. 4 ustawy o AML, który zobowiązuje instytucje obowiązane do stosowania środków bezpieczeństwa proporcjonalnych do ryzyk związanych z wystąpieniem „zdarzeń” określonych w tej ustawie. W praktyce oznacza to, że to od banku zależy jakie konkretne instrumenty zastosuje, aby upewnić się czy nie zachodzi przypadek naruszenia przepisów.
Zasadą jest, że proces identyfikacji klienta powinien opierać się na podaniu danych osobowych (art. 36 ust. 1 ustawy o AML), natomiast bank weryfikuje tożsamość opierając się o dokument stwierdzający tożsamość tej osoby (lub w inny sposób).
W przypadku wideoweryfikacji niezwykle istotna będzie również analiza ryzyka obejmująca m.in. model funkcjonowania tej usługi, zastosowane technologie czy wdrożone mechanizmy kontroli (bazując m.in. na Rekomendacji H).
Wideoweryfikacja a Rozporządzenie eIDAS
Zdaniem UKNF najbezpieczniejszym instrumentem weryfikacji tożsamości w przypadku braku fizycznej obecności będzie zastosowanie środków określonych w Rozporządzeniu 910/2014, np. kwalifikowanego podpisu elektronicznego. W praktyce, w odniesieniu do klientów detalicznych (wideoweryfikacja dla klientów korporacyjnych to nadal rzadkość) niewiele jest sytuacji, kiedy ten warunek jest spełniony.
Nie ma eIDAS, a więc co dalej?
Regulator sugeruje w takiej sytuacji zastosowanie art. 43 ust. 2 ustawy o AML, a więc wprowadzenia wzmożonych środków bezpieczeństwa finansowego. Przepisy są niestety w tej kwestii nieprecyzyjne, a więc to bank musi rozważyć jakie to będą środki, np. dodatkowe warstwy weryfikacji tożsamości oraz sposób w jaki instytucja uzyska pewność co do tożsamości klienta.
Dokument tożsamości
UKNF podkreśla w stanowisku, że przynajmniej jeden z dokumentów na podstawie których identyfikujemy klienta będzie dokumentem stwierdzającym tożsamość. Będzie to przykładowo dowód osobisty, paszport, karta pobytu czy prawo jazdy. Ważne jest tutaj sprawdzenie takiego dokumentu w różnych bazach, jak np. bazach dokumentów zastrzeżonych czy na listach sankcyjnych.
Żeby zminimalizować ryzyko oszustwa (i wykazać się należytą starannością) bank powinien przeprowadzić tzw. OCR dowodu osobistego, czyli sprawdzenie autentyczności dowodu z użyciem odpowiedniego oprogramowania czy sprawdzenie kodu MRZ (to wymaga odpowiednich rozwiązań technologicznych w zakresie czytania informacji machine-readable).
Pierwsza transakcja
W stanowisku możemy wyczytać, że dla potwierdzenia tożsamości można zażądać od klienta zrobienia przelewu z innego rachunku, ale jak wskazuje sam UKNF, takie rozwiązanie może mieć charakter wyłącznie pomocniczy, gdyż dane na przelewie mają dość ograniczony zakres (ten zakres określa m.in. Rozporządzenie 2015/847).
Jak mitygować ryzyko?
KNF proponuje, aby wideoweryfikacja przynajmniej częściowo odbywała się udziałem konsultanta (a najlepiej cały). W celu ograniczenia ryzyka należy również wprowadzić formalne procedury i polityki dotyczące tej szczególnej metody weryfikacji. Bank powinien przeprowadzać również regularne szkolenia dla pracowników, a sam proces objęty musi być mechanizmem kontroli wewnętrznej i systemem informacji zarządczej.
Zasadne jest również wysyłanie kodów jednorazowych na numer telefonu klienta w celu odpowiedniej weryfikacji, a także badanie czy taki potencjalny klient nie działa pod wpływem substancji odurzających czy przymusu. Rozmowy przeprowadzone z konsultantem (jeżeli dotyczy) powinny być w odpowiedni sposób archiwizowane. To oczywiście część ze wskazówek Urzędu.
UKNF wskazuje również na możliwość stosowania różnych technik biometrycznych (jak np. porównanie zdjęcia – najlepiej wykonanego z poziomu aplikacji banku – z dowodem osobistym czy innym dokumentem), a także sprawdzenie innych elementów autentyczności dokumentu z udziałem pracownika banku. Taki pracownik powinien być również przygotowany na różne scenariusze zachowań klienta (muszą być one opracowane w ramach wewnętrznych procedur).
Czy to wszystko?
Szczegółowe zasady określone zostały w stanowisku, które ma 5 stron. UKNF wskazuje wyraźnie, że wideoweryfikacja jest związana z istotnym ryzykiem oszustwa i dlatego tak ważne jest odpowiednie zabezpieczenie interesów banku, jak i klienta. Co istotne, jeżeli bank wdroży tego typu usługę to będzie ona przedmiotem oceny BION dokonywanej co roku przez Urząd.
Wytyczne KNF doskonale wpisują się w rosnący trend wideoweryfikacji. W Fully-Verified zajmujemy się tą problematyką na co dzień.