Prowadzenie działalności związanej z usługami płatniczymi wiąże się z koniecznością wypełniania wielu obowiązków regulacyjnych, w tym z wdrożeniem procedur przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) oraz ich stosowaniem w bieżącej działalności. Jednym z podstawowych wymogów ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2020 r. poz. 971 ze zm.; dalej: ustawa AML) jest obowiązek stosowania wobec klientów środków bezpieczeństwa finansowego.
Choć ustawa przewiduje ich katalog oraz przypadki, w których należy je stosować, pojawia się na tym tle wiele problemów praktycznych.
Szczególną sytuacją, z którą wielu klientów ma trudności, jest weryfikacja tożsamości klienta w przypadku, gdy nawiązywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej obywa się bez fizycznej obecności klienta. Z pomocą mogą przyjść wówczas wytyczne organów nadzoru.
Fizyczna nieobecność nie zawsze ryzykowna
W pierwszej kolejności wskazać należy na brzmienie art. 43 ust. 2 pkt 7 ustawy AML. Zgodnie z nim o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu może świadczyć w szczególności nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej bez fizycznej obecności klienta – w przypadku gdy związane z tym wyższe ryzyko prania pieniędzy lub finansowania terroryzmu nie zostało ograniczone w inny sposób, np. przez podpis kwalifikowany lub profil zaufany ePUAP.
Z wyższym ryzykiem prania pieniędzy wiąże się konieczność zastosowania wzmożonych środków bezpieczeństwa. Na tle powyższego przepisu pojawiały się wątpliwości, czy sam fakt braku fizycznej obecności klienta – charakterystyczny dla sektora fintech opartego głównie na kanałach zdalnych – automatycznie powoduje konieczność zakwalifikowania klientów jako klientów wysokiego ryzyka.
W powyższym zakresie generalny inspektor informacji finansowej (GIIF) i Komisja Nadzoru Finansowego (KNF) stoją zgodnie na stanowisku, że sam fakt nawiązywania stosunków gospodarczych na odległość nie implikuje automatycznie istnienia wyższego ryzyka prania pieniędzy, a jedynie może wskazywać na jego wystąpienie. O tym, czy faktycznie występuje wyższe ryzyko, powinna zdecydować sama instytucja na podstawie oceny rozpoznanego ryzyka prania pieniędzy w odniesieniu do konkretnego stosunku gospodarczego lub transakcji okazjonalnej.
Najlepsze metody sprawdzania tożsamości
Stanowiska GIIF i KNF są zgodne z literalnym brzmieniem przepisu. Nie zmienia to jednak faktu, że w celu zmitygowania ryzyka związanego z wykorzystywaniem kanałów zdalnych należy zastosować skuteczne metody weryfikacji. W tym celu należy zastanowić się nad tym, jakimi dokumentami, danymi lub informacjami dana instytucja będzie się posługiwała, a także jakie sposoby uzyskiwania dostępu do materiałów weryfikacyjnych będzie stosowała.
W pierwszej kolejności, idąc w ślad za przepisami ustawy, organy nadzoru za najbardziej wiarygodne uznają środki identyfikacji elektronicznej, o których mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE (Dz.Urz. L 257 z 28.08.2014 r., str. 84), czyli przykładowo kwalifikowany podpis elektroniczny lub profil zaufany ePUAP.
Konieczna kontrola dwóch dokumentów
Gdy nie ma możliwości wykorzystania powyższych środków identyfikacji elektronicznej, należy rozważyć inne sposoby umożliwiające weryfikację tożsamości klienta. W takiej sytuacji, zgodnie z wytycznymi GIIF, instytucja obowiązana powinna posłużyć się co najmniej dwoma różnymi dokumentami, danymi i informacjami pochodzącymi z wiarygodnych i niezależnych źródeł.
Jest to cenna informacja z perspektywy instytucji, gdyż z samego tylko brzmienia ustawy trudno wywnioskować, iż w ocenie nadzoru istnieje konieczność posłużenia się aż dwoma różnymi dokumentami (ustawa posługuje się spójnikiem „lub”). Brzmienie to jednak pozwala instytucji samodzielnie dobrać oraz ocenić jako niezależne i wiarygodne źródła tych informacji. W praktyce najczęściej stosowanym dokumentem jest dowód osobisty.
Stanowisko KNF w tym zakresie idzie jeszcze dalej i jednoznacznie wskazuje, że przynajmniej jeden z materiałów weryfikacyjnych powinien być dokumentem stwierdzającym tożsamość w rozumieniu powszechnie obowiązujących przepisów prawa (dowód osobisty, paszport, karta pobytu). Jako przykład drugiego materiału weryfikacyjnego KNF wskazuje inny dokument ze zdjęciem, np. prawo jazdy. W przypadku weryfikacji tożsamości klienta będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej instytucja obowiązana powinna posłużyć się dokumentem zawierającym aktualne dane z wyciągu z właściwego rejestru (np. KRS, CEIDG). Należy przy tym pamiętać również o weryfikacji tożsamości osoby fizycznej upoważnionej do działania w imieniu klienta (zarówno w zakresie jej danych, jak i samego faktu upoważnienia).
Przelew weryfikacyjny i wideoweryfikacja
Kolejną możliwością jest stosowanie tzw. przelewu weryfikacyjnego, czyli przeprowadzenie przez klienta transakcji za pomocą przelewu bankowego z rachunku prowadzonego przez inną instytucję obowiązaną na rzecz instytucji dokonującej weryfikacji. Narzędzie to oceniane jest jednak jako średnie ze względu na minimalny zakres danych osobowych zawartych w informacji o przelewie i nie powinno być stosowane jako jedyny środek weryfikacyjny. Może być natomiast narzędziem uzupełniającym.
Na uwagę organów nadzoru zasłużył jeszcze jeden sposób weryfikacji – tzw. wideoweryfikacja. Podczas rozmowy z użyciem kamery przedstawiciel instytucji dokonującej weryfikacji ma możliwość przyjrzenia się oryginałom przedstawionych dokumentów oraz oceny, czy osoba na zdjęciu w dokumencie tożsamości faktycznie jest tą osobą, z którą rozmawia. Istotna jest też możliwość oceny tym sposobem elementów behawioralnych. Szerszą analizę wymogów i wytycznych w zakresie wideoweryfikacji przeprowadził KNF w swoim stanowisku z 5 czerwca 2019 r. dotyczącym identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji. Komunikat nie jest co prawda kierowany do instytucji płatniczych, ale nic nie stoi na przeszkodzie, aby czerpać z niego informacje na temat oczekiwań nadzoru również w odniesieniu do działalności tychże podmiotów.
Ważne Weryfikacja klienta wymaga wdrożenia spójnego procesu, który pozwoli na skuteczne zmniejszenie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu. Na rynku jest wiele rozwiązań i to do instytucji należy decyzja, które jest najlepsze dla prowadzonej przez nią działalności