Szanowni Państwo,
W dniu dzisiejszym UKNF opublikował stanowisko dotyczące dobrych praktyk w zakresie wypełniania obowiązków identyfikacji klienta i weryfikacji jego tożsamości, nałożonych na instytucje obowiązane ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu („Ustawa AML”, „Stanowisko”). Jest to Stanowisko przygotowane w odpowiedzi na wątpliwości instytucji nadzorowanych, związanych z prawidłowym zastosowaniem środków bezpieczeństwa finansowego w sytuacji nawiązywania stosunków gospodarczych na odległość.
[Środki bezpieczeństwa finansowego] Na podstawie art. 33 Ustawy AML instytucje obowiązane stosują środki bezpieczeństwa finansowego, które muszą zostać dostosowane do każdego klienta indywidualnie, zgodnie z przeprowadzoną analizą ryzyka. Do środków bezpieczeństwa finansowego należą między innymi identyfikacja klienta (art. 36 Ustawy AML) oraz weryfikacja jego tożsamości (art. 37 Ustawy AML). W zakresie weryfikowania tożsamości klienta bez jego fizycznej obecności, według UKNF, instrumentami najbardziej pewnymi są środki identyfikacji elektronicznej, o których mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014, w tym przede wszystkim kwalifikowany podpis elektroniczny. Należy mieć na uwadze, że w przypadku braku możliwości posłużenia się powyższymi środkami identyfikacji elektronicznej, konieczne jest zastosowanie wzmożonych środków bezpieczeństwa finansowego, w tym przykładowo uzyskanie od klienta dodatkowej dokumentacji (art. 43 ust. 2 pkt. 7 Ustawy AML).
[Materiały służące do weryfikacji tożsamości klienta] Instytucja obowiązana jest zobligowana do posługiwaniu się podczas weryfikacji tożsamości klienta materiałami pochodzącymi z wiarygodnych i niezależnych źródeł oraz do określenia rodzajów akceptowanych przez nią materiałów w swoich wewnętrznych procedurach. UKNF wskazuje, że każdorazowo co najmniej jednym z materiałów musi być dokument stwierdzający tożsamość (dowód osobisty, paszport, karta pobytu), uzupełniająco zaś dokument ze zdjęciem lub inny dokument jak np. rachunek za media. UKNF potwierdził także, że oczekiwanym jest ustalenie, aby pierwsza transakcja musiała zostać przeprowadzona za pośrednictwem rachunku klienta w innej instytucji obowiązanej (przelew weryfikacyjny).
[Wideokonferencja] Instytucja obowiązana może również posłużyć się metodą wideoweryfikacji, o ile w trakcie jej trwania pracownik instytucji obowiązanej będzie mieć możliwość bliższej obserwacji klienta i oryginałów dokumentów. Należy upewnić się nie tylko, że materiały weryfikacyjne nie zostały sfałszowane, ale także, że osoba, z która przeprowadzana jest wideokonferencja nie znajduje się pod wpływem środków odurzających i jest w pełni świadoma nawiązywanej relacji oraz że nie działa pod wpływem przymusu. UKNF bezpośrednio zaznacza, że klient w trakcie wideokonferencji nie może przebywać w towarzystwie osób trzecich, niedopuszczalne jest także opuszczenie pomieszczenia przez klienta, czy inny rodzaj przerwy w toku wideoweryfikacji, co może sugerować konsultacje z osobami trzecimi.
[Wyzwania] Pragnąc stosować wideokonferencję jako środek weryfikacji tożsamości klienta, należy pamiętać o konieczności przeprowadzenia analizy ryzyka w odniesieniu do wprowadzonej usługi wideokonferencji, zaopiniowaniu tego środka przez odpowiednią wewnętrzną jednostkę organizacyjną (np. compliance / bezpieczeństwa), a także o prawidłowym udokumentowaniu tej analizy, tak aby w momencie kontroli można było wykazać należytą staranność w wykonywaniu ustawowych obowiązków. Zgodnie ze Stanowiskiem UKNF, wymogiem jest również posiadanie formalnie wprowadzonej procedury, dotyczącej procesu wideokonferencji, zgodnej z dobrymi praktykami określonymi przez UKNF, Rekomendacją D oraz przepisami Ustawy AML. Rozważyć trzeba także zastosowanie i odpowiednie uwzględnienie w procedurach wewnętrznych wzmożonych środków bezpieczeństwa finansowego, minimalizujących ryzyko błędnej weryfikacji klienta. Wskazane jest również prowadzenie szkoleń pracowników operacyjnych banków w zakresie identyfikacji i weryfikacji tożsamości klienta. Nasze doświadczenie pozwala nam na przeprowadzenie audytu wewnętrznych regulacji instytucji obowiązanych pod kątem spełniania przez nie wymogów ustawowych oraz wymogów nadzorcy, a także na przeprowadzenie oceny ryzyka i prawidłowe wykazanie zachowania należytej staranności przez instytucję obowiązaną.