W dniu 3 marca 2022 roku Urząd Komisji Nadzoru Finansowego („UKNF” lub "Urząd") opublikował stanowisko dotyczące identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w sektorze finansowym podlegającym nadzorowi Komisji Nadzoru Finansowego w oparciu o metodę wideoweryfikacji. Przypomnieć należy, iż dobre praktyki w obszarze wideoweryfikacji stanowią istotny aspekt konsultowanych ostatnio wytycznych EBA na temat zdalnego onboardingu klientów.
10 marca 2022
Zakres podmiotowy i przedmiotowy stanowiska
Stanowisko UKNF, prezentuje dobre praktyki w zakresie wypełniania obowiązków wynikających z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („Ustawa AML”), dotyczących zapewnienia środków bezpieczeństwa finansowego, w szczególności identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w instytucjach obowiązanych, podlegających nadzorowi KNF, w oparciu o metodę wideoweryfikacji.
Dobre praktyki adresowane są zatem do szerokiego grona odbiorców, bowiem swym zakresem obejmują wszystkie instytucje obowiązane (w rozumieniu art. 2 ust. 1 Ustawy AML), nadzorowane przez KNF. Stanowisko dotyczy więc działalności prowadzonej nie tylko przez banki i instytucje finansowe, ale również przez uczestników rynku kapitałowego, takich jak domy maklerskie, towarzystwa funduszy inwestycyjnych czy fundusze inwestycyjne. Jak wskazuje UKNF, praktyki powinny znaleźć zastosowanie do bieżącej działalności tych podmiotów, w zakresie w jakim wykorzystują one wideoweryfikację do nawiązania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej bez fizycznej obecności klienta i stanowią dopełnienie zasad wynikających ze stanowiska UKNF z dnia 5 czerwca 2019 roku dotyczącego identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji (które pozostają w pełni aktualne).
Komentowane stanowisko ma w związku z tym zastosowanie do wszystkich nadzorowanych instytucji obowiązanych, przy czym w przypadku instytucji, które są bankami lub oddziałami instytucji kredytowych zobowiązane są do dodatkowego stosowania również stanowiska UKNF z dnia 5 czerwca 2019 roku.
Ponadto, w zakresie rozwiązań technologicznych w pełni aktualne, co wyraźnie podkreśla UKNF, pozostają standardy prezentowane w rekomendacjach KNF i wytycznych w zakresie IT. Przykładowo UKNF wymienia w tym zakresie Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach oraz Rekomendację D-SKOK dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych.
W odniesieniu do TFI zastosowanie w tym zakresie będą miały zaś wytyczne KNF z dnia 16 grudnia 2014 roku dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych, a w odniesieniu do domów maklerskich – wytyczne KNF z dnia 16 grudnia 2014 roku dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych.
Co ciekawe, UKNF wydał omawiane stanowisko na tydzień przed zakończeniem konsultacji w sprawie projektowanych wytycznych EBA w zakresie zdalnego onboardingu klientów, które omawialiśmy na naszym BLOGU. Być może dobre praktyki prezentowane przez polskiego nadzorcę są pochodną bądź elementem konsultowanych wytycznych EBA.
Główne konkluzje stanowiska
Opublikowane przez UKNF dobre praktyki w obszarze wideoweryfikacji klientów instytucjonalnych otwiera szczegółowe wymienienie przez nadzorcę przepisów Ustawy AML konstytuujących obowiązki instytucji obowiązanych w zakresie stosowania środków bezpieczeństwa finansowego. Urząd podkreśla przy tym wagę zasady proporcjonalności w stosowaniu środków bezpieczeństwa finansowego, powołując się na treść art. 33 ust. 4 Ustawy AML i konstatując, że na podmiotach nadzorowanych ciąży wymóg ustalenia poziomu ryzyka (w tym profilu ryzyka klienta wynikającego m.in. z branży prowadzonej działalności gospodarczej, ryzyka kraju, itd.) i tym samym zakres oraz sposób stosowania koniecznych środków bezpieczeństwa finansowego wobec tego klienta.
W dalszej części stanowiska, Urząd wyraźnie dzieli obowiązki instytucji obowiązanych związane z identyfikacją klienta oraz obowiązki związane z należytą weryfikacją tożsamości klientów, poświęcając tym ostatnim większą uwagę.
I tak, UKNF wskazuje, że w zakresie weryfikowania tożsamości klienta lub osoby/ osób upoważnionych do działania w jego imieniu, bez fizycznej obecności – instrumentami najbardziej pewnymi w zastosowaniu są środki identyfikacji elektronicznej oraz usługi zaufania umożliwiające identyfikację elektroniczną w rozumieniu Rozporządzenia 910/2014. Stanowisko UKNF koresponduje w tym zakresie z wytycznymi GIIF z dnia 22 sierpnia 2018 roku, który również uznał, że najbardziej godnymi zaufania instrumentami weryfikacyjnymi są środki identyfikacji elektronicznej, w tym kwalifikowany podpis elektroniczny.
UKNF wskazuje ponadto, że „w przypadku braku możliwości wykorzystywania środków identyfikacji elektronicznej oraz usług zaufania, podmiot nadzorowany powinien rozważyć zastosowanie – zgodnie z art. 43 ust. 1 w związku z ust. 2 pkt 7 ustawy - wzmożonych środków bezpieczeństwa finansowego”. W dalszej części stanowiska, Urząd m.in. wymienia przykładowe dokumenty, które mogą stanowić podstawę do weryfikacji tożsamości klienta. Jako dodatkowy (pomocniczy) środek bezpieczeństwa, Urząd wskazuje na „przeprowadzenie pierwszej transakcji za pomocą przelewu bankowego z rachunku klienta (…) na rzecz podmiotu nadzorowanego weryfikującego jego tożsamość”.
Uwagi wspólne dla wszystkich rodzajów stosowanych środków bezpieczeństwa, UKNF kończy przestrogą dla podmiotów nadzorowanych, wskazując, że podmioty te powinny kalkulować przy rozważaniu sposobów uzyskiwania dostępu do materiałów weryfikacyjnych możliwości wprowadzenia w błąd co do prawdziwości materiałów weryfikacyjnych.
Wymogi nadzorcy w odniesieniu do wideoweryfikacji
Dobre praktyki w zakresie stosowania wideoweryfikacji, jako jednego ze sposobów identyfikacji oraz weryfikacji klienta instytucjonalnego, Urząd rozpoczyna od wskazania istoty tego środka weryfikacji. UKNF podnosi przy tym, że podczas wideoweryfikacji podmioty nadzorowane powinny porównać fotografię osób weryfikowanych w przedkładanych dokumentach tożsamości z wizerunkiem osoby uczestniczącej w wideoweryfikacji, a nadto powinny sprawdzić, czy osoby te występują w wiarygodnych bazach danych. Co ciekawe, UKNF wskazuje również, że w przypadku reprezentacji łącznej klienta instytucjonalnego wideoweryfikacja powinna następować w trakcie odrębnych sesji dla każdej z osób upoważnionych. Ponadto, UKNF wyraźnie podkreśla, że przy wdrożeniu metody wideoweryfikacji podmioty nadzorowane powinny rozważyć zastosowanie wzmożonych środków bezpieczeństwa finansującego.
Kluczowe jednak dla podmiotów nadzorowanych są wskazane w treści stanowiska mechanizmy kontrolne, mające na celu mitygowanie ryzyk związanych z nieprawidłową identyfikacją i weryfikacją tożsamości klienta przy stosowaniu metody wideoweryfikacji. Lektura przywołanych przez UKNF mechanizmów kontrolnych daje podstawy do przyjęcia następującego podziału:
1) mechanizmy kontrolne ex ante, mające na celu odpowiednie wdrożenie przedmiotowej metody;
2) mechanizmy kontrolne sensu strice wdrożone i stosowane w trakcie korzystania z przedmiotowej metody.
Metody kontrolne ex ante
W ramach metod kontrolnych, mających na celu odpowiednie przygotowanie podmiotu nadzorowanego do prowadzenia identyfikacji oraz weryfikacji klienta instytucjonalnego przy zastosowaniu metody wideoweryfikacji można wymienić następujące mechanizmy, których obowiązek stosowania przez podmioty nadzorowane nakłada nadzorca:
1) analiza ryzyka oraz opiniowanie i konsultacje w aspekcie AML/CFT z odpowiednimi jednostkami organizacyjnymi podmiotu nadzorowanego
Urząd wyraźnie podkreśla, że wprowadzenie rozwiązań w zakresie wideoweryfikacji powinno zostać poprzedzone przeprowadzeniem odpowiednich analiz z jednostkami organizacyjnymi podmiotu nadzorowanego dedykowanymi do procesów związanych z AML/CFT. Jest to etap koncepcyjny, mający na celu właściwe przygotowanie podmiotu do stosowania odpowiednich środków bezpieczeństwa w odniesieniu do wideoweryfikacji.
2) wprowadzenie przez podmiot nadzorowany formalnej procedury dotyczącej procesu wideoweryfikacji
Urząd nie pozostawia podmiotom nadzorowanym wątpliwości co do tego, że każdy z nich, stosując metodę wideoweryfikacji zobowiązany jest do sporządzenia, wdrożenia oraz stosowania procedury w tym zakresie. Jednocześnie UKNF w sposób szczegółowy wymienia najważniejsze obszary, które powinny zostać uregulowane w przedmiotowej procedurze.
I tak, Urząd wskazuje, że w procedurze powinny zostać wyodrębnione podmiotowe ograniczenia ryzyka (tzw. mityganci ryzyka) oraz przedmiotowe ograniczenia ryzyka, przez co nadzorca rozumie de facto:
ü wskazanie konkretnego grona podmiotów (klientów) wobec, których instytucja obowiązana dopuszcza stosowanie omawianej metody (np. wyłącznie obywatele bądź podmioty polskie) bądź wyłącza w ogóle możliwość stosowania tej metody (np. w odniesieniu do podmiotów zarejestrowanych w krajach wysokiego ryzyka) oraz
ü ograniczenie dla tak zweryfikowanych klientów swojej oferty produktowej (np. wprowadzenie cenzusu czasowego bądź ilościowego w odniesieniu do wybranej oferty produktowej).
Ponadto, Urząd nakłada na instytucje obowiązane, będące pod jej nadzorem, obowiązek uwzględnienia w procedurze w szczególności:
- sposobu weryfikacji tożsamości klientów oraz osób upoważnionych do ich reprezentacji (w tym przez stosowanie obok wideoweryfikacji, również innych środków bezpieczeństwa finansowego, w tym weryfikację klienta na listach sankcyjnych czy w bazach danych (np. dotyczących PEP);
- wyraźnych przesłanek odmowy nawiązania relacji z klientem;
- wymogów sprzętowych po stronie klienta oraz wymaganych narzędzi;
- wymogu bieżącego monitorowania portfela klientów pozyskanych za pomocą wideoweryfikacji;
- precyzyjne określenie procesu eskalacji i decyzji w przypadku konieczności modyfikacji poziomu ryzyka klienta lub zgłoszenia podejrzenia do GIIF, względnie innego organu;
- wymóg dokonania przeglądu i ewentualnie modyfikacji procedury (z odpowiednią częstotliwością);
- wymóg archiwizowania zapisów wideo (zarówno dźwięku jak i obrazu) z rozmowy z klientem.
3) przeprowadzenie odpowiednich szkoleń dla pracowników operacyjnych podmiotu nadzorowanego, w szczególności w zakresie identyfikacji i weryfikacji tożsamości klienta
Obowiązki związane z przeprowadzaniem odpowiednich szkoleń pracowników w zakresie usług świadczonych przez instytucje nadzorowane (zarówno przed rozpoczęciem świadczenia, jak i w trakcie – przez ustawiczne kształcenie w tym zakresie i bieżące podnoszenie kompetencji) wynikają wprost z przepisów prawa regulujących określony rynek (kapitałowy czy finansowy), w ramach którego działa instytucja nadzorowana. Jako, że proces identyfikacji oraz weryfikacji klienta stanowi pierwszy etap przed rozpoczęciem świadczenia usług, odpowiednie przepisy w tym zakresie powinny mieć odpowiednie zastosowanie w przypadku wdrożenia metody wideoweryfikacji. UKNF jednak dodatkowo w stanowisku podkreśla istotność odpowiedniego przeszkolenia pracowników w tym zakresie.
4) objęcie rozwiązań w zakresie wideoweryfikacji systemem kontroli wewnętrznej oraz systemem informacji zarządczej.
Mechanizmy kontrolne sensu strice
W ramach mechanizmów kontrolnych, do stosowania których nadzorowane instytucje obowiązane są zobowiązane w toku korzystania z metody wideoweryfikacji, UKNF wymienia:
ü konieczność dokonywania przez właściwe komórki organizacyjne okresowych analiz/ regularnych przeglądów poziomu ryzyka związanego z wykorzystaniem metody wideoweryfikacji oraz przekazywanie ich wyników do odpowiednich szczebli zarządczych i decyzyjnych oraz
ü stosowanie odpowiednich (przy uwzględnieniu zasady proporcjonalności) środków bezpieczeństwa finansowego, w szczególności tak istotnych przy wideoweryfikacji wzmożonych środków bezpieczeństwa, w ramach których UKNF wymienia przykładowo weryfikację danych klienta wynikających z przedstawionych przez klienta dokumentów z takimi bazami danych jak w szczególności Baza Dokumentów Zastrzeżonych, Rejestr Dowodów Osobistych, Biuro Informacji Kredytowej czy Baza Numerów PESEL;
ü geolokalizację – po uzyskaniu zgody klienta, czy ocenę zgodności rodzaju stosowanej na urządzeniu mobilnym aplikacji, z aplikacjami używanymi w kraju zamieszkania klienta.
Na zakończenie już UKNF konstatuje, że w związku z istotnym poziomem ryzyka związanego z identyfikacją i weryfikacją tożsamości klienta w przypadku nawiązania albo utrzymywania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnych bez ich fizycznej obecności, „oczekuje się, że podmioty nadzorowane będą stosowały dobre praktyki związane z oferowaniem usługi wideoweryfikacji”.
Komentarz
Lektura stanowiska UKNF pozwala na wysunięcie wniosków o coraz to bardziej intensywnych staraniach (nie tylko zresztą nadzorcy krajowego) co do uświadomienia nadzorowanym podmiotom obowiązanym ryzyk związanych z daleko posuniętą informatyzacją społeczeństwa oraz wpływem tych ryzyk na proces nawiązywania z klientami instytucjonalnymi stosunków gospodarczych oraz przeprowadzania transakcji okazjonalnej.
Zaskoczeniem nie jest więc płynące ze stanowiska UKNF przesłanie, że oczekiwaniem nadzorcy jest, aby podmioty nadzorowane pochyliły się nad dotychczas stosowanymi metodami identyfikacji i weryfikacji klientów instytucjonalnych, a w przypadku stosowania metody wideoweryfikacji zastosowały szczególne środki bezpieczeństwa, nie wykluczając również wzmożonych środków bezpieczeństwa. Przy uwzględnieniu zasady proporcjonalności stosowanych środków bezpieczeństwa, nadzorowane instytucje obowiązane będą musiały dokonać przeglądu dotychczas stosowanych procedur w zakresie wideoweryfikacji, a te które stosują omawianą metodę bez jej uregulowania w odpowiedniej procedurze, będą musiały niezwłocznie przystąpić do jej sporządzenia, zgodnie z wytycznymi UKNF.
Co również istotne, po dobraniu właściwych środków bezpieczeństwa finansowego w procesie identyfikacji i weryfikacji klienta instytucjonalnego instytucje obowiązane będą musiały zachować należytą staranność w ich stosowaniu (dostosowaną do zidentyfikowanego ryzyka w zakresie AML/ CFT związanego z określoną grupą klientów bądź też kategorią oferowanych tym klientom produktów) oraz przygotować się na wykazanie (za pomocą odpowiednich dowodów) faktycznego (i skutecznego) stosowania tych środków względem swoich klientów.
Na koniec już, nie sposób nie wspomnieć, że dobre praktyki prezentowane przez polskiego nadzorcę są zasadniczo zbieżne z projektowanymi w tym zakresie wytycznymi EBA. Ten ostatni dokument również formułuje oczekiwanie wobec na podmiotów, które dotychczas stosowały zdalne formy identyfikacji klientów, wprowadzenia odpowiednich procedur/ polityk dla tej formy identyfikacji klienta.
Stale rosnący trend wykorzystywania w stosunkach gospodarczych nowych kanałów dystrybucji, w szczególności obejmujących sytuację, gdy klient nie jest fizycznie obecny w celu nawiązania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej, wymusza na nadzorowanych podmiotach obowiązanych stosowanie szczególnej ostrożności przy identyfikacji oraz weryfikacji klientów. Postępująca cyfryzacja w zakresie nawiązywania stosunków gospodarczych stała się faktem już kilka lat temu (wzmocniona i przyspieszona również za sprawą pandemii SARS – COV2), na co część podmiotów nadzorowanych zdążyła właściwe i na czas zareagować. Teraz, zarówno nadzorca unijny, jak i krajowy dążą do formalnego określenia spójnych ram oraz środków dla zmieniającej się dynamicznie rzeczywistości.
Z pełną treścią stanowiska UKNF można zapoznać się na stronie Urzędu.
Tymczasem czekamy na ostateczną treść wytycznych EBA w zakresie zdalnego onboardingu.
Autor: radca prawny Nikola Jadwiszczak-Niedbałka
Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi m. in. w zakresie obsługi funduszy inwestycyjnych, venture capital, private equity, obsługi inwestycji kapitałowych i instytucji finansowych.
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
14 marca 2022
Projekt nowelizacji Kodeksu pracy
8 marca 2022
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP