W najnowszym stanowisku Komisja Nadzoru Finansowego przedstawiła swoje oczekiwania wobec nadzorowanych podmiotów z sektora finansowego w odniesieniu do identyfikacji i weryfikacji tożsamości klienta instytucjonalnego w oparciu o metodę wideoweryfikacji.
W opracowanych dobrych praktykach KNF wskazała, że proces identyfikacji klienta instytucjonalnego polega na ustaleniu: nazwy firmy, NIP, adresu głównego miejsca wykonywania działalności gospodarczej, formy organizacyjnej, adresu siedziby lub adresu prowadzenia działalności, PESEL lub daty urodzenia, serii i numeru dokumentu.
W przypadku weryfikacji tożsamości osoby fizycznej prowadzącej działalność gospodarczą, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej, podmiot nadzorowany powinien posłużyć się dokumentem zawierającym aktualne dane z właściwego rejestru: KRS, CEIDG oraz m.in. zaświadczeniem o numerze identyfikacyjnym REGON, decyzją w sprawie nadania numeru identyfikacji podatkowej NIP, umową spółki, zaświadczeniami ZUS i US oraz innymi dokumentami. W przypadku obcej jurysdykcji, niezbędne są odpisy z innych właściwych rejestrów dotyczących klienta (kopie poświadczenia rejestracji uwierzytelnione przez instytucję do tego powołaną, np. notariusza).
Jako dodatkowy środek bezpieczeństwa można uznać przeprowadzenie pierwszej transakcji za pomocą przelewu bankowego z rachunku klienta (prowadzonego w innej instytucji) na rzecz podmiotu nadzorowanego weryfikującego jego tożsamość. KNF zastrzega, że nie należy jednak traktować tego środka jako podstawowego sposobu weryfikowania tożsamości klienta – dane te mogą służyć jedynie pomocniczo do weryfikacji.
Podmiot nadzorowany powinien przeprowadzić analizę ryzyka w odniesieniu do wprowadzanej metody wideoweryfikacji, biorąc pod uwagę m.in. model jej funkcjonowania, możliwe do zastosowania technologie i dostosowane do nich mechanizmy kontrolne zapewniające odpowiedni poziom bezpieczeństwa. Dotyczy to w szczególności mitygowania ryzyk związanych z nieprawidłową identyfikacją i weryfikacją tożsamości klienta lub osoby upoważnionej do działania w imieniu klienta (np. ryzyka kradzieży tożsamości), w tym odnoszących się do wiarygodności materiałów weryfikacyjnych.
Podmiot nadzorowany może uzyskiwać dostęp do materiałów weryfikacyjnych za pomocą wideorozmowy, w sposób uwzględniający również kwestie reprezentacji łącznej klienta.
Podczas wideorozmowy podmiot nadzorowany uzyskuje możliwość bliższej obserwacji klienta i oryginałów przedstawionych dokumentów, a także możliwość upewnienia się, że materiały weryfikacyjne nie zostały sfałszowane, poprzez w szczególności porównanie fotografii w dokumencie tożsamości klienta z wyglądem osoby, z którą nawiązano wideorozmowę oraz sprawdzenia, czy klient występuje w wiarygodnych bazach danych.
Niezależnie od tego podmiot nadzorowany powinien wziąć pod uwagę czynniki behawioralne, które mogą wskazywać, że klient np. znajduje się pod wpływem środków odurzających lub nie ma świadomości, że podjęte działania oznaczają zawarcie umowy, np. o prowadzenie rachunku.
W przypadku wdrożenia metody wideoweryfikacji podmiot nadzorowany powinien rozważyć zastosowanie wzmożonych środków bezpieczeństwa finansowego minimalizujących ryzyko błędnej weryfikacji tożsamości klienta.
Wprowadzenie rozwiązań w zakresie wideoweryfikacji powinno być poprzedzone przeprowadzeniem wszechstronnej analizy ryzyka oraz opiniowaniem i konsultacjami w aspekcie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) przez stosowne osoby, zespoły lub jednostki organizacyjne podmiotu nadzorowanego.
Istotne znaczenie ma też określenie minimalnych wymogów jakościowych sprzętu, np. rozdzielczości kamery, oraz wymaganych narzędzi (np. stacja robocza, notebook, smartfon, tablet), a także archiwizowania zapisów wideo (zarówno dźwięku, jak i obrazu) z rozmowy z klientem. W procedurze podmiotu nadzorowanego powinny znajdować się odpowiednie przepisy dotyczące nagrywania i przechowywania zapisów wideo.
Całe stanowisko:
(AM, źródło: KNF)