This article is available in Polish.
Legal Alert: Trzecie Stanowisko UKNF dotyczące zdalnego onboardingu
29 września 2023 r. zostało opublikowane Stanowisko UKNF dotyczące prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta („Stanowisko”).
Stanowisko stanowi już trzeci dokument adresowany przez UKNF do instytucji nadzorowanych, który ma na celu doprecyzowanie wymogów w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta wynikających z ustawy z dnia 1 marca 2018 r. w sprawie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu („Ustawy AML”). Co ciekawe, poprzednie stanowiska z 5 czerwca 2019 r. oraz 3 marca 2022 r. pozostają w dalszym ciągu aktualne – Stanowisko w żaden sposób ich nie uchyla, ani nie modyfikuje.
W świetle powyższego, oprócz trwających intensywnych prac dotyczących wdrożenia Wytycznych EBA dot. zdalnego onboardingu (które weszły w życie 2 października 2023 r.), instytucje obowiązane będą musiały podjąć kroki w kierunku wprowadzenia założeń Stanowiska do swojej praktyki działania, poprzez odpowiednią zmianę swoich regulacji wewnętrznych oraz funkcjonujących procesów. UKNF oczekuje, że dokonają one tego bez zbędnej zwłoki. W celu ułatwienia tych prac, w niniejszym alercie przedstawiamy główne założenia Stanowiska.
Aktualizacja wewnętrznych procedur
UKNF przypomina o obowiązku instytucji obowiązanych do bieżącej weryfikacji i aktualizacji procedur oraz strategii, na podstawie których będą stosować środki bezpieczeństwa finansowego (art. 50 ust. 1 Ustawy AML). W Stanowisku przedstawiono również katalog obowiązkowych elementów, które powinny zawierać regulacje wewnętrzne instytucji obowiązanej, wśród których znalazły się:
(i)opis rozwiązania przyjętego w celu gromadzenia, weryfikowania i rejestrowania informacji w procesie zdalnego onboardingu;
(ii) opis sytuacji, w których można zastosować zdalny onboarding, z uwzględnieniem odpowiednich czynników ryzyka;
(iii) uwzględnienie wpływu stosowania zdalnego onboardingu na ogólny poziom ryzyka instytucji obowiązanej;
(iv) określenie czynności, które mogą być przeprowadzane w pełni automatycznie oraz tych, które wymagają ingerencji czynnika ludzkiego;
(v) dodatkowe mechanizmy ochronne (np. przelew weryfikacyjny);
(vi) zapewnienie przeprowadzenia wszystkich środków bezpieczeństwa finansowego przed nawiązaniem relacji z klientem w sposób zdalny; oraz
(vii) wymóg systematycznych szkoleń.
Rola AMLRO
Stanowisko UKNF przedstawia rolę AMLRO w procesie nawiązywania relacji, w ramach której AMLRO zapewnia skuteczne wdrażanie procedur i strategii w obszarze zdalnego onboardingu, dokonuje regularnych weryfikacji tych dokumentów oraz dokonuje ich aktualizacji.
Ocena ryzyka
Wdrożenie zdalnego onboardingu powinno zostać poprzedzone analizą i oceną ryzyka planowanego rozwiązania. Stanowisko zawiera minimalny katalog czynności, które powinna uwzględniać taka ocena ryzyka, obejmujący:
(i) ocenę adekwatności planowanych rozwiązań pod względem kompletności zbieranych danych oraz ocenę wiarygodności i niezależności tych danych;
(ii) ocenę wpływu planowanego rozwiązania na ogólną ocenę ryzyka podmiotu;
(iii) określenie mitygantów ryzyka i działań naprawczych;
(iv) mechanizmy kontrolne i sposoby testowania; oraz
(v) zasady kompleksowego badania sposobu funkcjonowania rozwiązania.
UKNF podkreślił, że podmioty nadzorowane powinny udokumentować przeprowadzenie analizy i oceny ryzyka przed wdrożeniem danego rozwiązania. Rozwiązanie powinno zostać wprowadzone dopiero po upewnieniu się, że może ono zostać włączone do systemu kontroli wewnętrznej i systemu informacji zarządczej.
Bieżące monitorowanie rozwiązania
Podmioty nadzorowane zobowiązane są do bieżącego monitorowania adekwatności i niezawodności rozwiązań w zakresie zdalnego onboardingu poprzez stosowanie co najmniej jednego z poniższych środków:
(i) testowanie pionowe i poziome;
(ii) automatyczne alerty oraz powiadomienia o krytycznym znaczeniu;
(iii) okresowa sprawozdawczość; lub
(iv) przeglądy manualne.
UKNF oczekuje, że podmioty nadzorowane będą w stanie przekazać informację dotyczącą sposobu i zakresu przeprowadzanych przeglądów oraz podjętych działań naprawczych.
Identyfikacja klienta, osoby upoważnionej i beneficjenta rzeczywistego
Stanowisko wskazuje na konieczność określenia przez instytucję obowiązaną rodzajów dokumentów niezbędnych do prawidłowej zdalnej identyfikacji klienta. Powtórzone zostały również wymogi w zakresie jakości i czytelności gromadzonych zapisów elektronicznych. Podkreślono, że wewnętrzne regulacje powinny determinować, które informacje wprowadzane są manualnie przez klienta, które pobierane są automatycznie z dokumentacji dostarczanej przez klienta, a które pochodzić będą z innych źródeł zewnętrznych lub wewnętrznych. W obszarze zapewniania wiarygodności pobieranych danych koniecznym zaś będzie stosowanie środków kontroli w celu przeciwdziałaniu zagrożeniom takim jak ukrywanie lokalizacji urządzenia klienta (np. poprzez podstawianie fałszywego adresu IP lub wykorzystywanie VPN).
Ocena skutków gospodarczych
Podmiot nadzorowany jest obowiązany, stosownie do sytuacji, do przygotowania oceny skutków gospodarczych na podstawie otrzymanych informacji na temat celu i zamierzonego charakteru stosunku gospodarczego. Działania w tym obszarze należy zrealizować przed zakończeniem procesu zdalnego nawiązywania stosunków gospodarczych.
Autentyczność i integralność dokumentów
W przypadku akceptowania w procesie zdalnego onboardingu przez podmioty nadzorowane kopii oryginalnego dokumentu, wymagane będzie wdrożenie odpowiednich procedur w celu weryfikacji ich wiarygodności. Procedury te powinny obejmować co najmniej weryfikację:
(i) zabezpieczeń zawartych w kopii i w oryginalnym dokumencie (np. w zakresie rodzaju i wielkości znaków oraz struktury dokumentu);
(ii) czy dane osobowe oraz zdjęcie na kopii nie zostały zmodyfikowane;
(iii) czy zachowano integralność algorytmu wykorzystywanego do wygenerowania numeru identyfikacyjnego oryginalnego dokumentu (w przypadku, gdy dokument posiada pole przeznaczone do odczytu maszynowego);
(iv) czy kopia jest odpowiedniej jakości; oraz
(v) czy kopia nie została wyświetlona na ekranie na podstawie fotografii lub skanu oryginalnego dokumentu tożsamości.
Weryfikacja tożsamości klienta
Podobnie jak w przypadku identyfikacji, podmioty nadzorowane muszą określić rodzaje dokumentów, danych i informacji, które będą wykorzystywane do weryfikacji tożsamości klienta, osoby upoważnionej do reprezentacji i beneficjenta rzeczywistego.
Podkreślono, że w przypadku wystąpienia jakichkolwiek wątpliwości powstałych w toku zdalnej identyfikacji i weryfikacji klienta, standardowym środkiem kontroli powinno być odesłanie klienta do placówki podmiotu w celu stacjonarnego nawiązania stosunku gospodarczego.
Na gruncie Stanowiska nie wyklucza się również wykorzystywania metod zdalnego nawiązywania relacji z klientami bez udziału pracownika podmiotu nadzorowanego. Podobnie jak na gruncie Wytycznych EBA dot. zdalnego onboardingu wskazano jednak jakie kryteria muszą wówczas zostać spełnione – przykładowo instytucja obowiązana musi przeprowadzić weryfikację wykrywania aktywności klienta.
W Stanowisku wymieniono również listę dodatkowych środków bezpieczeństwa, spośród których instytucja obowiązana powinna stosować co najmniej jeden (jeżeli jest to współmierne do poziomu ryzyka):
(i) przelew weryfikacyjny;
(ii) wysyłanie klientowi losowo generowanych haseł w celu potwierdzenia obecności podczas procesu zdalnej weryfikacji;
(iii) pobranie danych biometrycznych i porównanie ich z danymi zgromadzonymi w wiarygodnych źródłach;
(iv) kontakt telefoniczny z klientem; albo
(v) wysyłanie do klienta korespondencji bezpośredniej.
Outsourcing
W Stanowisku przypomniane zostały kluczowe zasady związane z powierzaniem czynności związanych ze zdalnym onboardingiem podmiotom zewnętrznym. Zwrócić należy uwagę w szczególności na wymogi dotyczące outsourcingu wewnątrzgrupowego: konieczność zidentyfikowania konfliktu interesów, które mogą wynikać z zawierania umowy outsourcingu oraz podleganie podmiotu z grupy pod te same wymogi co podmiot zewnętrzny. Stanowisko podkreśla również rolę AMLRO w obszarze monitorowania i kontrolowania czynności zlecanych na zewnątrz. Ponadto, UKNF wyraźnie odrzuca możliwość korzystania przez podmioty nadzorowane z usług podmiotów trzecich mających siedzibę w państwach trzecich wysokiego ryzyka (z zakazu tego mogą zostać wyłączone oddziały podmiotów obowiązanych mających siedzibę w UE i jednostki zależne z większościowym udziałem tych podmiotów).
W przypadku korzystania z outsourcingu czynności związanych ze zdalnym onboardingiem podmioty nadzorowane powinny odpowiednio uregulować ten proces w swoich wewnętrznych procedurach poprzez:
(i) określenie funkcji i czynności, które wykonywać będą samodzielnie, a które zlecać będą na zewnątrz;
(ii) zapewnienie stosowania przez podmioty trzecie wewnętrznych procesów i procedur zdalnego nawiązywania relacji oraz stosowania odpowiednich środków bezpieczeństwa finansowego; oraz
(iii) zapewnienie wzmożonego monitorowania relacji nawiązanych w ramach zdalnego onboardingu przeprowadzanego przez podmiot trzeci.
W ślad za nowymi regulacjami dotyczącymi outsourcingu bankowego w Stanowisku przypomina się również, że podmiot nadzorowany musi zapewnić, że usługodawca:
(i) posiada wystarczające wyposażenie, wiedzę i umiejętności do przeprowadzenia procesu zdalnego onboardingu (np. poprzez ocenę szkoleń pracowników, sprawności technologicznej); oraz
(ii) będzie informować go o wszelkich proponowanych zmianach w procesie zdalnego nawiązywania relacji z klientami i oferowanym rozwiązaniu.
Zarządzanie ryzykiem związanym z technologiami i bezpieczeństwem ICT
Oddzielny punkt poświęcono w Stanowisku konieczności identyfikowania ryzyka związanego z technologiami i bezpieczeństwem ICT w odniesieniu do funkcjonowania procesu zdalnego onboardingu. UKNF oczekuje, że podmioty nadzorowane korzystać będą z bezpiecznych protokołów i algorytmów kryptograficznych, zgodnych z najlepszymi praktykami branżowymi. Podkreślono także konieczność wdrożenia dodatkowych środków w celu zapewnienia bezpieczeństwa i niezawodności kodu oprogramowania i zgromadzonych danych. Środki te powinny zostać dobrane zgodnie z wynikami oceny ryzyka bezpieczeństwa przeprowadzonej zgodnie z wymogami wskazanymi w Wytycznych EBA w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT.
Usługi zaufania
W przypadku wykorzystywania usług zaufania i procesów identyfikacji elektronicznej instytucje nadzorowane powinny uwzględniać ryzyka z nimi związane, tj. ryzyko podszywania się pod inne osoby, ryzyko fałszywej tożsamości oraz ryzyko utraty, kradzieży i utraty ważności dokumentu stwierdzającego tożsamość.
Podsumowanie
Mając na uwadze szereg dokumentów regulujących kwestię zdalnego onboardingu (wydawanych zarówno przez krajowego, jak i unijnego nadzorcę) oraz powiązanie tego procesu z regulacjami w obszarze AML, outsourcingu i bezpieczeństwa środowiska teleinformatycznego, prawidłowe ułożenie procesu zdalnego onboardingu, zgodne z oczekiwaniem nadzorcy, z pewnością stanowić będzie wyzwanie dla podmiotów nadzorowanych. Dodatkowo należy pamiętać, że w związku z wejściem w życie Wytycznych EBA dot. zdalnego onboardingu oczekiwaniem UKNF jest, że Stanowisko zostanie wdrożone przez instytucje nadzorowane niezwłocznie, proporcjonalnie jednak do skali, rodzaju i charakteru prowadzonej działalności.
