How to remotely x-ray the client? New EBA and Polish FSA guidelines for remote onboarding

This article is also available in Polish.

The global pandemic has further increased the transition to virtual and remote customer interaction and onboarding. For this reason, issues related to remote onboarding have recently become a subject of particular interest to national and EU financial supervisors. In order to ensure proper safety concerning the remote onboarding process on December 10, 2021, the European Banking Authority (the “EBA”) released draft Guidelines on the use of remote customer onboarding solutions (the “Guidelines”). The Guidelines are now under the consultation process - the deadline for the submission of comments is March 10, 2022. On March 3, 2022, the Office of the Polish Financial Supervision Authority (the "PFSA") published a Statement on the identification of institutional clients and verification of their identity in the financial sector based on the method of video verification (the "Statement").

I. Who do the Guidelines apply to?

The Guidelines apply to financial sector operators who are carrying out due diligence measures (customer due diligence, “CDD”) in accordance with the AML Directive in cases where the customers are onboarded remotely (without physical contact) (the “Financial Operators”). Under the Polish AML Act, the Guidelines are therefore directed to obliged institutions that apply financial security measures and establish economic relationships without the physical presence of the client.

II. Internal policy on remote onboarding

Financial Operators shall put in place and monitor a policy on remote onboarding. The Guidelines define the detailed scope of the content of internal procedures and indicate that the AML Officer shall be responsible for their proper implementation and enforcement.

III. Acquisition of information during remote onboarding

In instances where Financial Operators do not utilize digital identity issuers to confirm the identity of the customer, they should make sure that the information obtained through remote customer onboarding is up-to-date, is captured in a sufficient quality and is stored according to GDPR.

Any proof of identification collected during the onboarding process should be timestamped and stored securely.

The PFSA also reminds in the Statement of the necessity to store data obtained during video verification (both audio and video) in accordance with AML regulations for a period of 5 years.

IV. Authenticity Checks

When the person who is conducting the remote onboarding is not able to examine the original identification document, he or she should take steps to have sufficient assurance as to the reliability of the copy provided. The Financial Operator should, at a minimum, be able to verify the validity of official documents issued by a public authority.

The Guidelines also offer some additional solutions that should be taken by Financial Operators accordingly to the AML/CFT risk identified by them:

1. first payment drawn on an account in the sole or joint name of the customer with an EEA-regulated credit or financial institution or in a third country that has AML/CFT requirements that are no less robust than those required by AML Directive;
2. generation of a passcode (a single-use and time-limited) to be confirmed by the customer during the remote verification process;
3. capture of the biometric data from the customer to compare with data collected through other independent and reliable sources;
4. telephone contacts with the customer;
5. direct mailing (both electronic and postal) to the customer.

The Guidelines also provides for specific steps that should be taken by Financial Operators when they use biometric data or rely on photo- or video- verification methods.

If the information provided during remote onboarding is insufficient, the onboarding process should be redirected to a face-to-face verification.

V. Use of Digital Identities

In circumstances where Financial Operators intend to use digital identity issuers other than those that fall per eIDAS Regulation or those accepted by the relevant national authorities to verify and identify their customers, Financial Operators should determine the level of assurance, take adequate measures to understand the digital identity system based on its technical specifications, architecture, and governance and determine the reliability and independence of the digital identity issuer.

Where possible strong authentication should be applied when verifying the customers digital identity.

VI. Outsourcing of CDD

If Financial Operators rely on third parties in the initial CDD, they should ensure that:

1. the third party’s own CDD remote customer onboarding policy and procedures are sufficient with the Financial Operator’s own CDD policies and procedures;
2. the business relationship between the customer and the Financial Operator is not damaged due to possible shortcomings of the third party in the remote customer onboarding process.

VII. Statements on video-verification of the PFSA

The financial services market in Poland has been gradually implementing remote customer identification methods for quite some time. The PFSA has issued its statement on customer identification and verification of customer identity in banks and branches of credit institutions based on the video-verification method on June 5, 2019 and last week a Statement was published, which concerns the video verification of institutional clients of entities supervised by the PFSA. Both documents are intended to complement each other. To some extent, the Statement repeats the guidelines already included in the position from 2019. The novelty is the reference to the aspect of identification of legal entities that are not natural persons and verification of persons authorized to represent such entities.

What, in our opinion, may turn out to be an important indication for the obliged institutions is the identification of sources on the basis of which they can verify the information obtained as part of customer identification, which includes: certificate of REGON identification number, decision on the assignment of NIP, company articles of association, Social Security and Tax Office certificates. In the case of a foreign jurisdictions, extracts from foreign registers are necessary (copies of the registration certificate authenticated by an institution appointed for this, such as a notary public). It remains unclear whether such authentication will also be necessary for registers where extracts are originally in electronic form.

The Statement also presents an extended list of databases in which the verification of customer data can be treated as an application of enhanced security measures. They include: PRADO, BIG Debtors Register, Credit Bureau, Ognivo and internal databases not only of a given obligated institution, but also of its capital group.

With regard to the verification of persons authorized to act on behalf of the client, the Statement clarifies the issue of joint representation, recommending that video verification in such cases should take place during separate sessions for each authorized individual.

An interesting, new proposal of the PFSA regarding complementary techniques for mitigating the risk related to video verification is the use of geolocation. Of course, with the consent of the client or the person authorized to act on behalf of the client.

In connection with the publication of the Statement, as well as subsequent to the Guidelines coming into force, we recommend introducing appropriate internal procedures and reviewing the existing ones in terms of their compliance with the Statement and Guidelines.

Jak zdalnie prześwietlić klienta? Nowe wytyczne EBA i KNF dotyczące zdalnego onboardingu

Globalna pandemia zintensyfikowała potrzebę wirtualnych i zdalnych interakcji z klientem, w tym również w zakresie zdalnych metod nawiązywania stosunków gospodarczych. Z tego powodu kwestie związane ze zdalnym onboardingiem stały się w ostatnim czasie tematem szczególnego zainteresowania nadzorców krajowych i unijnych. W celu zapewnienia odpowiedniego bezpieczeństwa zdalnego onboardingu w dniu 10 grudnia 2021 r. Europejski Urząd Nadzoru Bankowego ("EBA") opublikował projekt Wytycznych dotyczących stosowania rozwiązań w zakresie zdalnego nawiązywania stosunków z klientem ("Wytyczne"). Do 10 marca 2022 r. Wytyczne są przedmiotem konsultacji publicznych. W dniu 3 marca 2022 r. Urząd Komisji Nadzoru Finansowego („KNF”) opublikował natomiast Stanowisko dotyczące identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w sektorze finansowym w oparciu o metodę wideoweryfikacji („Stanowisko”).

I. Do kogo mają zastosowanie Wytyczne?

Wytyczne mają zastosowanie do podmiotów sektora finansowego, które stosują środki należytej staranności (ang. Customer Due Dilligence „CDD”) zgodnie z dyrektywą AML („Podmiot Obowiązany”) w przypadkach, w których stosunki gospodarcze są nawiązywane z ich klientami zdalnie (bez kontaktu fizycznego). Na gruncie polskiej ustawy o przeciwdziałaniu praniu pieniędzy Wytyczne kierowane są wobec tego do instytucji obowiązanych stosujących środki bezpieczeństwa finansowego, nawiązujących stosunki gospodarcze bez fizycznej obecności klienta.

II. Procedura wewnętrzna ds. zdalnego nawiązywania stosunków gospodarczych

Podmioty Obowiązane na gruncie Wytycznych zostają zobligowane do wprowadzenia i bieżącej aktualizacji procedury zdalnego nawiązywania stosunków gospodarczych. Wytyczne określają szczegółowy zakres treści procedur wewnętrznych oraz wskazują, iż za ich prawidłowe wdrożenie i egzekwowanie odpowiadać będzie AML Officer.

III. Informacje pozyskane w trakcie zdalnego onboardingu

W przypadkach, gdy Podmioty Obowiązane nie korzystają z usług dostawców tożsamości cyfrowej w celu potwierdzenia tożsamości klienta, powinny one upewnić się, że informacje uzyskane w trakcie zdalnego onboardingu są aktualne odznaczają się wystarczającą jakością, a także że przechowywane są zgodnie z RODO.

Każdy dowód tożsamości zebrany podczas procesu zdalnego nawiązywania relacji powinien być oznaczony czasowo i bezpiecznie przechowywany.

O konieczności przechowywania danych pozyskanych w trakcie wideoweryfikacji (zarówno dźwięku jak i obrazu) zgodnie z regulacjami AML przez okres 5 lat przypomina KNF w Stanowisku.

IV. Kontrole autentyczności

W przypadku gdy osoba dokonująca zdalnego onboardingu klienta nie jest w stanie zbadać oryginału dokumentu tożsamości, powinna podjąć kroki w celu uzyskania wystarczającej pewności odnośnie do wiarygodności dostarczonej kopii. W trakcie zdalnego onboardingu Podmiot Obowiązany powinien zapewniać przynajmniej możliwość weryfikacji ważności dokumentów urzędowych wydanych przez organ publiczny.

W ramach Wytycznych proponowane są dodatkowe rozwiązania, które powinny zostać podjęte przez Podmioty Obowiązane odpowiednio do zidentyfikowanego przez nie ryzyka AML/CFT:

1. tzw. przelew weryfikacyjny - pierwsza płatność dokonywana na rachunek prowadzony w imieniu klienta w instytucji kredytowej lub finansowej podlegającej przepisom EOG lub w państwie trzecim, w którym obowiązują wymogi nie mniej rygorystyczne niż te przewidziane na mocy dyrektywy AML;
2. wygenerowanie kodu (jednorazowego i ograniczonego czasowo) do potwierdzenia przez klienta podczas procesu zdalnej weryfikacji;
3. pobranie od klienta danych biometrycznych w celu porównania ich z danymi zebranymi z innych niezależnych i wiarygodnych źródeł;
4. kontaktowanie się telefonicznie z klientem;
5. bezpośrednie przesyłanie wiadomości (zarówno elektronicznych i pocztowych) do klienta.

Wytyczne przewidują również konkretne kroki, które powinny zostać podjęte przez Podmioty Obowiązane w przypadku korzystania z danych biometrycznych, a także metod foto- lub wideoweryfikacji.

Jeśli informacje zgromadzone podczas zdalnej identyfikacji są niewystarczające, należy zrezygnować ze zdalnego nawiązywania stosunków gospodarczych i kontynuować procesu w formie stacjonarnej.

V. Korzystanie z tożsamości cyfrowych

W przypadku, gdy Podmioty Obowiązane zamierzają korzystać w celu weryfikacji i identyfikacji swoich klientów z dostawców tożsamości cyfrowej innych niż wskazani na gruncie tzw. rozporządzenia eIDAS lub zaakceptowani przez odpowiednie organy krajowe, powinny one ocenić poziom pewności oraz podjąć odpowiednie środki w celu zrozumienia systemu tożsamości cyfrowej w oparciu o jego specyfikacje techniczne, architekturę i zarządzanie oraz określić wiarygodność i niezależność dostawcy tożsamości cyfrowej.

W miarę możliwości podczas weryfikacji tożsamości cyfrowej klienta należy stosować silne uwierzytelnianie.

VI. Outsourcing CDD

Jeżeli Podmiot Obowiązany polega na podmiotach zewnętrznych w zakresie przeprowadzania CDD, powinien on zapewnić, że:

1. polityka i procedury podmiotu zewnętrznego w zakresie CDD dotyczące zdalnego onboardingu klienta zawierają postanowienia wymagane względem Podmiotów Obowiązanych w tym zakresie;
2. relacje biznesowe między klientem a Podmiotem Obowiązanym nie zostały naruszone z powodu ewentualnych uchybień podmiotu trzeciego w procesie zdalnej obsługi klienta.

VII. Stanowiska Komisji Nadzoru Finansowego w sprawie wideoweryfikacji

Rynek usług finansowych w Polsce już od dłuższego czasu stopniowo wdraża zdalne metody identyfikacji klientów. KNF 5 czerwca 2019 r. wydała Stanowisko w sprawie identyfikacji klienta i weryfikacji jego tożsamości w bankach i oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji, zaś w minionym tygodniu opublikowane zostało Stanowisko, które dotyczy wideoweryfikacji klientów instytucjonalnych podmiotów nadzorowanych przez KNF. Oba dokumenty mają w założeniu wzajemnie się uzupełniać. W pewnym stopniu Stanowisko powtarza wskazówki ujęte już w stanowisku z 2019 r. Nowością jest odniesienie się do aspektu identyfikacji podmiotu gospodarczego niebędącego osobą fizyczną oraz weryfikacji osób upoważnionych do reprezentacji takiego podmiotu.

To, co w naszej ocenie może okazać się istotną wskazówką dla instytucji obowiązanych, to określenie źródeł, na podstawie których mogą one weryfikować informacje pozyskane w ramach identyfikacji klientów, wśród których znalazły się m.in. zaświadczenie o numerze identyfikacyjnym REGON, decyzja w sprawie nadania NIP, umowa spółki, zaświadczenia ZUS i US. W przypadku obcej jurysdykcji, niezbędne są odpisy z innych właściwych rejestrów (kopie poświadczenia rejestracji uwierzytelnione przez instytucję do tego powołaną, taką jak np. notariusz). Kwestią niewyjaśnioną pozostaje, czy dla rejestrów, w których wypisy mają oryginalną postać elektroniczną tego typu uwierzytelnianie również będzie konieczne.

Stanowisko przedstawia również poszerzoną listę baz danych, w których weryfikacja danych klienta może być traktowana jako zastosowanie wzmożonych środków bezpieczeństwa. Są wśród nich: PRADO, Rejestr Dłużników BIG, BIK, Ognivo i wewnętrzne bazy danych nie tylko danej instytucji obowiązanej, ale również jej grupy kapitałowej.

W odniesieniu do weryfikacji osób upoważnionych do działania w imieniu klienta, Stanowisko doprecyzowuje kwestię reprezentacji łącznej, zalecając by wideoweryfikacja w takich przypadkach następowała w trakcie odrębnych sesji dla każdej z osób upoważnionych.

Ciekawą, nową propozycją KNF dotyczącą uzupełniających technik mitygowania ryzyka związanego z wideoweryfikacją jest wykorzystanie geolokalizacji. Oczywiście za zgodą klienta lub osoby upoważnionej do działania w imieniu klienta.

W związku z publikacją Stanowiska, a także po wejściu w życie Wytycznych, rekomendujemy wprowadzenie odpowiednich procedur wewnętrznych oraz przeprowadzenie przeglądu dotychczasowych procedur pod kątem ich zgodności ze Stanowiskiem oraz Wytycznymi.