KRWLEGAL rekomendowana w rankingach IFLR1000 2024 · Rzeczpospolita 2024 · The Legal 500

Stanowisko UKNF dot. wykorzystania rozwiązań w zakresie zdalnego nawiązywania stosunków gospodarczych

W dniu 29 września 2023 r. zostało opublikowane stanowisko UKNF dot. prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta.

2 października 2023

Stanowisko określa dobre praktyki dotyczące wypełniania obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej „Ustawa”), jakie instytucje obowiązane powinny podjąć:

-         podczas wdrażania lub przeglądu stosowanych środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 pkt 1–3 Ustawy, oraz w celu wypełnienia obowiązków wynikających z dyspozycji art. 37 ustawy w odniesieniu do nawiązywania stosunków gospodarczych z nowymi klientami bez ich fizycznej obecności,

-         w przypadku korzystania z usług podmiotów trzecich zgodnie z przepisami prawa krajowego.

Na wstępie należy zaznaczyć, iż najnowsze stanowisko UKNF uwzględnia wytyczne EBA dotyczące wykorzystania rozwiązań w zakresie zdalnego nawiązywania relacji z klientami na podstawie art. 13 ust. 1 dyrektywy (UE) 2015/849 (EBA/GL/2022/15 z dnia 22 listopada 2022 oraz nie uchyla ani nie zmienia, poprzednich stanowisk UKNF dotyczących niniejszej materii, tj.

-         Stanowiska UKNF dotyczącego identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji, opublikowanego 5 czerwca 2019 r. oraz

-         Stanowiska UKNF dotyczącego identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w sektorze finansowym podlegającym nadzorowi Komisji Nadzoru Finansowego w oparciu o metodę wideoweryfikacji, opublikowanego 3 marca 2022 r., o którym pisaliśmy na naszej stronie internetowej, jak również

-         pisma Zastępcy Przewodniczącego KNF z dnia 17 lutego 2023 r skierowanego do dostawców usług płatniczych w sprawie nieautoryzowanych transakcji.

Procedury wewnętrzne dot. nawiązywania relacji z klientami bez ich fizycznej obecności

Zgodnie z art. 50 ust. 1 Ustawy, instytucje obowiązane zobowiązane są przyjąć wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Zgodnie ze stanowiskiem UKNF, wewnętrzna dokumentacja dot. zdalnego onboradingu, powinna uwzględniać ocenę poziomu ryzyka i zawierać co najmniej:

-         opis rozwiązania przyjętego przez podmioty nadzorowane w celu gromadzenia, weryfikowania i rejestrowania informacji w całym procesie zdalnego nawiązywania relacji z klientami, ze szczególnym uwzględnieniem charakterystyki i sposobu działania tego rozwiązania;

-         opis sytuacji, w których można zastosować rozwiązanie w zakresie zdalnego nawiązywania relacji z klientami, z uwzględnieniem zidentyfikowanych i ocenionych czynników ryzyka, obejmujących ryzyko dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów dostaw, które kwalifikują się do zdalnego nawiązywania relacji z klientami,

-         uwzględnienie w całościowej ocenie ryzyka instytucji możliwości zdalnego onboardingu, jako nieodłącznego czynnika ryzyka dotyczącego kanałów dystrybucji, mającego wpływ na końcową ocenę instytucji;

-         określenie, które czynności mają być w pełni zautomatyzowane, a które wymagają ingerencji lub nadzoru pracownika podmiotu nadzorowanego;

-         mechanizmy kontrolne wprowadzone w celu zapewnienia, aby pierwsza transakcja z nowym klientem została zrealizowana dopiero po zastosowaniu wszystkich koniecznych środków bezpieczeństwa finansowego wobec tego klienta;

-         wymóg systematycznych szkoleń mających na celu podniesienie poziomu świadomości pracowników w zakresie omawianym w tym stanowisku oraz programy tych szkoleń, których celem jest przekazanie aktualnej wiedzy.

Zarządzanie w ramach procesu z klientami bez ich fizycznej obecności

W świetle stanowiska UKNF, AMLRO, powinien:

-         zapewnić skuteczne wdrażanie dokumentów dotyczących zdalnego nawiązywania relacji z klientami i przeprowadzania transakcji okazjonalnych,

-         regularnie poddawać je przeglądowi,

-         w razie potrzeby aktualizować relewantne regulacje wewnętrzne.

Analiza i ocena poprzedzająca wdrożenie zdalnego onboradingu

Przyjęcie rozwiązań w zakresie zdalnego onboardingu winno być poprzedzone analizą i oceną ryzyka, które powinny brać pod uwagę m.in. model funkcjonowania podmiotu nadzorowanego, możliwe do zastosowania technologie i dostosowane do nich mechanizmy kontrole zapewniające odpowiedni poziom bezpieczeństwa.

Dokumentacja wewnętrzna powinna określać zakres, etapy i wymogi dotyczące udokumentowania analizy i oceny poprzedzającej wdrożenie, które powinny obejmować co najmniej:

-         ocenę adekwatności rozwiązania pod względem kompletności i rzetelności gromadzonych danych i dokumentów, a także wiarygodności i niezależności źródeł informacji wykorzystywanych w ramach danego rozwiązania;

-         ocenę wpływu stosowania omawianego rozwiązania na ogólne ryzyko działalności podmiotu nadzorowanego, w tym ryzyko: ML/FT, operacyjne, reputacyjne, prawne;

-         określenie możliwych środków ograniczających ryzyko, a także określenie działań naprawczych w odniesieniu do każdego rodzaju ryzyka zidentyfikowanego w toku analizy i oceny w przypadku jego materializacji;

-         mechanizmy kontrolne i sposoby testowania, służące ocenie ryzyka nadużyć finansowych, w tym ryzyka oszustw opartych na kradzieży tożsamości oraz innych rodzajów ryzyka związanego z technologią informacyjno-komunikacyjną (ICT) i bezpieczeństwem informacji;

-         zasady kompleksowego badania sposobu funkcjonowania rozwiązania, tj. badania ukierunkowanego na klientów, produkty i usługi, o których mowa w polityce (strategii) i procedurach dotyczących zdalnego nawiązywania relacji z klientami.

Bieżące monitorowanie omawianego rozwiązania

Podmioty nadzorowane powinny na bieżąco monitorować przyjęte rozwiązania, aby zapewnić jego funkcjonowanie zgodnie z założonymi celami i oczekiwaniami.

Wewnętrzne regulacje powinny określać proces działań naprawczych na wypadek materializacji ryzyka lub na wypadek wykrycia błędów, które mają wpływ na wydajność i skuteczność rozwiązania.

Ponadto, oczekuje się, że podmioty nadzorowane będą dążyły do najskuteczniejszego sposobu monitorowania bieżącej adekwatności i niezawodności rozwiązań w zakresie zdalnego nawiązywania relacji z klientami. W tym celu podmioty nadzorowane powinny rozważyć zastosowanie testowania pionowego i poziomego lub automatycznych alertów oraz powiadomień o krytycznym znaczeniu, okresowej sprawozdawczości w tym zakresie lub przeglądów manualnych.

Co istotne, powyższe rozwiązania powinny mieć zastosowanie także w przypadku wykorzystywania w pełni zautomatyzowanych rozwiązań w zakresie nawiązywania relacji z klientami.

W odniesieniu do podejmowanych przeglądów, a także działań naprawczych, należy stosować zasadę rozliczalności, tj. podmioty nadzorowane powinny być w stanie wykazać, w jakiś sposób oraz w jakim zakresie wywiązują się z tych wymogów.

Identyfikacja klienta, osoby upoważnionej i beneficjenta rzeczywistego

UKNF przypomina, iż podmioty nadzorowane powinny określić rodzaje dokumentów niezbędnych do zidentyfikowania klienta, osoby upoważnionej i beneficjenta rzeczywistego.

W szczególności, należy zapewnić, aby:

-         informacje uzyskane za pośrednictwem rozwiązania w zakresie zdalnego nawiązywania relacji z klientami były aktualne i spełniały wymogi obowiązujących norm prawnych i regulacyjnych dotyczących zastosowania środków bezpieczeństwa finansowego wobec klienta;

-         wszelkie zapisy elektroniczne (obrazy, nagrania audio i wideo, dane) były rejestrowane w formacie czytelnym i odpowiedniej jakości, tak aby klient był jednoznacznie rozpoznawalny;

-         procesu identyfikacji nie kontynuowano w przypadku wykrycia usterek technicznych lub nieoczekiwanych przerw w połączeniu.

Podmioty nadzorowane winny określić w regulacjach wewnętrznych zakres informacji niezbędnych w procesie zdalnego onboardingu oraz sprecyzować jakie informacje:

-         wprowadzane są manualnie przez klienta,

-         pobierane są automatycznie z dokumentacji dostarczonej przez klienta,

-         gromadzone są z wykorzystaniem innych źródeł wewnętrznych lub zewnętrznych.

Warto zwrócić uwagę na ujęte w Stanowisku wskazania wykorzystywania mechanizmów zapewniających wiarygodność pozyskiwanych informacji. W tym zakresie konieczne jest stosowanie środków kontroli, w celu przeciwdziałania zagrożeniom takim, jak ukrywanie lokalizacji urządzenia klienta poprzez podstawianie fałszywych adresów IP lub wykorzystywanie VPN.

Ocena stosunków gospodarczych

Stanowisko przypomina, że uzyskanie informacji na temat celu i zamierzonego charakteru stosunku gospodarczego należy zrealizować przed końcem procesu zdalnego nawiązywania stosunków gospodarczych.

Autentyczność oraz integralność dokumentów

Stanowisko wskazuje w jaki sposób należy badać autentyczność skanów, tj. należy ustalić:

-         czy kopia zawiera zabezpieczenia zawarte w oryginalnym dokumencie i czy cechy dokumentu oryginalnego, którego kopię okazano, są ważne i dopuszczalne zgodnie z wymogami prawa krajowego; w szczególności dotyczy to rodzaju i wielkości znaków oraz struktury dokumentu, czego dokonuje się poprzez porównanie ich z oficjalnymi bazami danych, takimi jak m.in. PRADO;

-         czy dane osobowe zostały zmienione lub w inny sposób naruszone, lub czy zdjęcie klienta zawarte w dokumencie nie zostało zamienione;

-         czy zachowano integralność algorytmu wykorzystywanego do wygenerowania niepowtarzalnego numeru identyfikacyjnego oryginalnego dokumentu, w przypadku gdy dokument urzędowy posiada pole przeznaczone do odczytu maszynowego (strefa MRZ);

-         czy przekazana kopia jest odpowiedniej jakości i rozdzielczości, aby zapewnić jednoznaczność istotnych informacji;

-         czy przekazana kopia nie została wyświetlona na ekranie na podstawie fotografii lub skanu oryginalnego dokumentu tożsamości.

Weryfikacja tożsamości klienta

Stanowisko wskazuje, że w przypadku wykorzystywanie danych biometrycznych do weryfikacji tożsamości klienta, należy upewnić się, że są one wystarczająco unikalne, aby można je było jednoznacznie powiązać z daną osobą fizyczną. W przypadku, jeśli jakość lub wiarygodność przedstawionych materiałów weryfikacyjnych jest niewystarczająca, należy przerwać proces zdalnego nawiązywania realizacji z klientem i rozpocząć go ponownie lub przekierować klienta do weryfikacji bezpośredniej.

Szczególnie interesujące są dobre praktyki, dotyczące przypadków gdy podmioty nadzorowane stosują rozwiązania zdalnego nawiązywania relacji z klientem bez udziału pracownika. Wówczas należy:

-         zapewnić, aby wszelkie fotografie lub nagrania wideo były wykonywane w odpowiednich warunkach oświetleniowych, z wykorzystaniem przez klienta sprzętu zgodnego z określonymi wymogami oraz aby wymagana jakość fotografii lub nagrań była wystarczająca, w celu umożliwienia właściwej weryfikacji tożsamości klienta;

-         zapewnić, aby wszelkie fotografie lub nagrania wideo zostały wykonane w toku procesu zdalnej weryfikacji (sesji komunikacyjnej);

-         przeprowadzić weryfikację wykrywania aktywności klienta, w przypadku której od klienta wymaga się podjęcia konkretnych czynności.

-         zastosować silne i wiarygodne algorytmy w celu sprawdzenia, czy wykonane fotografie lub nagrania wideo są zgodne z obrazem pobranym z dokumentu tożsamości należącego do klienta.

Ponadto, w przypadkach, gdy jest to współmierne do poziomu ryzyka ML/FT, podmioty nadzorowane powinny stosować co najmniej jeden z dodatkowych mitygantów ryzyka w celu zwiększenia wiarygodności procesu weryfikacji, w szczególności rolę taką mogą pełnić:

-         przelewy weryfikacyjne;

-         losowo wygenerowane hasła wysyłane do klienta w celu potwierdzenia obecności podczas procesu weryfikacji,

-         pobranie danych biometrycznych, porównanie ich z danymi zgromadzonymi w innych niezależnych i wiarygodnych źródłach,

-         kontakt telefonicznych z klientem,

-         wysłanie do klienta korespondencji bezpośredniej.

Outsourcing stosowania środków bezpieczeństwa finansowego

Zgodnie ze stanowiskiem, podmioty nadzorowane decydujące się na powierzenie funkcji operacyjnych zakresu stosowania środków bezpieczeństwa finansowego winny mieć na uwadze następujące kluczowe zasady:

-         odpowiedzialność za przestrzeganie obowiązków ustawowych, zleconych na zewnątrz, spoczywa na podmiocie nadzorowanym;

-         prawa i obowiązki podmiotu nadzorowanego oraz dostawcy usług powinny być w sposób jasny rozdzielone i określone w umowie sporządzonej na piśmie;

-         podmiot nadzorowany jest odpowiedzialny za monitorowanie i kontrolowanie jakości świadczonych usług;

-         w sytuacji outsourcingu realizowanego wewnątrz grupy, podmiot nadzorowany powinien zidentyfikować konflikty interesów, które mogłyby wyniknąć z umowy outsourcingu;

-         outsourcing wewnątrz grupy powinien podlegać tym samym wymogom, co zlecanie zadań w ramach outsourcingu dostawcom usług spoza grupy;

-         podmioty nadzorowane, przy zlecaniu dostawcy usług zadań operacyjnych, powinny m.in. zidentyfikować i ocenić rodzaje ryzyka związane z umową outsourcingu oraz uzasadnić decyzję o zleceniu zadania w ramach outsourcingu w świetle zamierzonych celów;

-         AMLRO powinien monitorować działania dostawcy usług, przeprowadzać regularną kontrolę przestrzegania przez dostawcę usług zobowiązań wynikających z umowy oraz regularnie (a jeśli zaistnieje potrzeba również doraźnie) składać organowi zarządzającemu sprawozdania z wykonania usług.

Stanowisko określa też dodatkowe warunki dot. outsorucingu dostawcom usług mającym siedzibę w państwach trzecich.

Przed powierzeniem całości lub części procesu nawiązywania relacji z klientami podmiotowi trzeciemu (a także w trakcie trwania zlecenia), podmiot nadzorowany powinien stosować następujące środki:

-         przeprowadzenie analizy i oceny w celu zapewnienia, aby usługodawca posiadał wystarczające wyposażenie, wiedzę i umiejętności do przeprowadzania procesu zdalnego nawiązywania relacji z klientami (analizy mogą obejmować m.in. ocenę szkolenia pracowników, sprawności technologicznej i zarządzania danymi przez usługodawcę świadczącego usługi na zasadzie outsourcingu);

-         zapewnienie, aby usługodawca skutecznie wdrażał politykę (strategię) i procedury podmiotu nadzorowanego dotyczące zdalnego nawiązywania relacji z klientami zgodnie z umową outsourcingu oraz przestrzegał zapisów uwzględnionych w tych dokumentach (można to osiągnąć dzięki regularnej sprawozdawczości, stałemu monitorowaniu, wizytom i kontroli na miejscu lub przeprowadzanym testom);

-         zapewnienie, aby usługodawca informował podmioty nadzorowane o wszelkich proponowanych zmianach w procesie zdalnego nawiązywania relacji z klientami lub o wszelkich zmianach wprowadzonych w rozwiązaniu oferowanym przez takiego usługodawcę.

-

Ponadto, Stanowisko dookreśla zasady dotyczące ochrony danych klientów przez podmiot trzeci, wykonujący czynności na zlecenie podmiotu nadzorowanego.

Zarządzanie ryzykiem ICT

W stanowisku podkreśla się, że podmioty nadzorowane powinny identyfikować oraz zarządzać ryzykiem związanym z technologiami i bezpieczeństwem ICT w odniesieniu do funkcjonowania procesu zdalnego nawiązywania relacji z klientami. Co oczywiste, dotyczy to również przypadków, gdy proces nawiązywania stosunków z klientami zlecany jest na zasadzie outsourcingu.

Oczekuje się, że należy korzystać z bezpiecznych kanałów komunikacji z klientem, z wykorzystaniem bezpiecznych protokołów i algorytmów kryptograficznych., zgodnie z najlepszymi praktykami branżowymi.

Podmioty nadzorowane powinny zapewnić bezpieczny punkt dostępu umożliwiający rozpoczęcie zdalnego procesu nawiązywania relacji z klientami z wykorzystaniem kwalifikowanych certyfikatów pieczęci elektronicznych lub certyfikatów uwierzytelniania witryn internetowych. Należy również poinformować klienta o obowiązujących środkach bezpieczeństwa, które należy zastosować w celu zapewnienia bezpiecznego korzystania z systemu.

Ponadto, w celu zapewnienia bezpieczeństwa i niezawodności kodu oprogramowania, oczekuje się wdrożenia dodatkowych środków bezpieczeństwa, które powinny być odpowiednie do oceny ryzyka bezpieczeństwa określonej w wytycznych EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT.

Na końcu stanowiska, UKNF w sposób jasny wyraził oczekiwanie, że podmioty nadzorowane przez KNF, będą stosowały dobre praktyki zawarte w omawianym dokumencie. W tym celu, podmioty nadzorowane powinny przeprowadzić analizę stopnia dostosowania się do wymogów stanowiska oraz niezwłocznie wprowadzić jego założenia do praktyki działania, w tym poprzez dostosowanie odpowiednich regulacji wewnętrznych.

Stanowisko UKNF dostępne jest pod linkiem.

Autor: adw. Tomasz Kamiński

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa przy ofertach publicznychobsłudze crowdfundingutransakcji M&A, jak również doradztwa regulacyjnego dla sektora finansowego, świadcząc usługi m. in. w zakresie działalności firm inwestycyjnych, funduszy inwestycyjnych, podmiotów zarządzających aktywami, banków (depozytariuszy), a także w zakresie obsługi sporów sądowych dla podmiotów rynku kapitałowego.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn