EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Jak EY może pomóc
-
Pomagamy podmiotom z branży finansowej skutecznie ograniczać ryzyka związane z praniem pieniędzy i finansowaniem terroryzmu. Łączymy wiedzę ekspercką z zakresu Compliance, doświadczenie operacyjne z realizacji procesów KYC/AML oraz znajomość nowoczesnych technologii informatycznych. Dzięki temu możemy świadczyć kompleksowe usługi doradcze, a także wspierać naszych klientów w codziennej realizacji procesów operacyjnych w obszarze Financial Crime.
Przeczytaj więcej -
Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.
Przeczytaj więcej -
Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.
Przeczytaj więcej -
Wspieramy firmy w prowadzeniu etycznego biznesu budując systemy compliance oraz wdrażając narzędzia i mechanizmy sprzyjające zarządzaniu zgodnością.
Przeczytaj więcej
Identyfikacja klienta, osoby upoważnionej i beneficjenta rzeczywistego
Podmioty nadzorowane powinny określić rodzaje dokumentów niezbędnych do identyfikacji klienta, osoby upoważnionej i beneficjenta rzeczywistego. Przede wszystkim, kluczowe jest, aby informacje były aktualne i spełniały wymogi narzucone prawem, zapisy elektroniczne były czytelne i odpowiedniej jakości oraz aby zaprzestać procesu identyfikacji w przypadku problemów technicznych. Ponadto, regulacje powinny określać, które informacje są wprowadzane manualnie, które pobiera się automatycznie z dokumentacji dostarczonej przez klienta, a które można pozyskać z wykorzystaniem innych źródeł. Aby zapewnić wiarygodność automatycznie pobieranych danych, należy wprowadzić skuteczne kontrole, uwzględniając ryzyko związane z fałszowaniem lokalizacji urządzeń klienta oraz automatycznym pobieraniem danych.
Ocena stosunków gospodarczych
Pozyskanie informacji o celu i planowanym charakterze relacji gospodarczej powinno nastąpić przed zakończeniem procesu zdalnego onboardingu.
Autentyczność i integralność dokumentów
W sytuacji, w której podmioty nadzorowane akceptują kopię dokumentów powinny zapewnić wiarygodność kopii poprzez porównanie dokumentu z oryginałem, sprawdzenie integralności danych osobowych i zdjęcia klienta.
Weryfikacja tożsamości klienta w ramach procesu nawiązywania relacji z klientami bez ich fizycznej obecności
Podmioty nadzorowane powinny precyzyjnie określić rodzaje dokumentów i dane do weryfikacji tożsamości klienta. W przypadku zdalnego nawiązywania relacji, ważne jest zapewnienie zgodności informacji z dokumentacją, w przypadku klienta indywidualnego potwierdzenie obecności klienta w rejestrach publicznych oraz weryfikacja umocowania osoby działającej w imieniu klienta. W przypadku niewystarczającej jakości lub wiarygodności materiałów weryfikacyjnych, proces zdalnej weryfikacji powinien być przerwany i rozpoczęty ponownie lub klient powinien zostać przekierowany do weryfikacji bezpośredniej. W przypadku zdalnej weryfikacji z udziałem pracownika, powinien być zapewniony odpowiedni poziom obrazu i dźwięku, a pracownik powinien być przeszkolony z zakresu AML/CFT.
Wskazano również listę dodatkowych środków bezpieczeństwa, z których instytucja obowiązana powinna stosować co najmniej jeden, w tym: przelew weryfikacyjny, wysłanie losowo wygenerowanego hasła, pobranie danych biometrycznych, kontakt telefoniczny lub skierowanie klienta do weryfikacji bezpośredniej.
Powierzenie podmiotowi trzeciemu działającemu w imieniu i na rzecz instytucji obowiązanej stosowania środków bezpieczeństwa finansowego dotyczących rozwiązań w zakresie nawiązywania relacji z klientami bez ich fizycznej obecności
W przypadku outsourcingu, podmioty nadzorowane powinny przestrzegać kluczowych zasad związanych z powierzeniem czynności z zakresu zdalnego onboardingu podmiotom zewnętrznym. Ponadto, powinny dokładnie określić, które funkcje będą realizowane przez instytucję obowiązaną samodzielnie, a które przez podmioty trzecie oraz m.in. identyfikować konflikty interesów, zwłaszcza w sytuacjach wewnątrz grupy. W zlecaniu zadań związanych z AML/CFT dostawcom spoza grupy, zalecane są dodatkowe mechanizmy ograniczania ryzyka.
Zarządzanie ryzykiem związanym z technologiami i bezpieczeństwem ICT
Podmioty nadzorowane mogą korzystać z usługi zaufania i procesów identyfikacji elektronicznej regulowanych, uznanych, zatwierdzonych lub zaakceptowanych przez organy krajowe. Stosując takie rozwiązanie należy ocenić zgodność rozwiązania ze Stanowiskiem.
Nadto, instytucje obowiązane powinny identyfikować i zarządzać ryzykiem związanym z technologią i bezpieczeństwem ICT w procesie zdalnego nawiązywania relacji z klientami. Bezpieczne kanały komunikacji i rozwiązania z zastosowaniem bezpiecznych protokołów kryptograficznych są kluczowe dla poufności i integralności danych. W przypadku urządzeń wielofunkcyjnych, należy stosować bezpieczne środowiska dla kodu oprogramowania klienta, uwzględniając dodatkowe środki bezpieczeństwa zgodne z wytycznymi KNF.
Korzystanie przez podmioty nadzorowane z usług zaufania i krajowych procesów identyfikacji, o których mowa w art. 13 ust. 1 lit. a) dyrektywy (UE) 2015/849
Podmioty nadzorowane powinny korzystać z regulowanych usług zaufania i procesów identyfikacji elektronicznej, zatwierdzonych przez organy krajowe, minimalizując ryzyko związane z uwierzytelnianiem i fałszywą tożsamością klienta. Wdrażając te rozwiązania, należy uwzględnić środki ograniczające ryzyko, zwłaszcza w kontekście przestępstw związanych z podszywaniem się.
Podsumowując, oczekuje się, że podmioty nadzorowane będą stosowały dobre praktyki w zakresie zdalnego onboardingu klienta zawarte w Stanowisku. UKNF oczekuje, że Stanowisko pozwoli instytucjom obowiązanym na jak najszybsze możliwe wdrożenie odpowiednich rozwiązań oraz dostosowanie procedur do wymogów, gdyż co wymaga podkreślenia, Wytyczne EBA weszły w życie 2 października bieżącego roku.