Stanowisko UKNF dotyczące prawidłowego wykorzystania rozwiązań w zakresie zdalnego nawiązywania stosunków gospodarczych

Anna Kołtowska

Kontakt lokalny

We wrześniu 2023 roku Urząd Komisji Nadzoru Finansowego (dalej ,,UKNF”) opublikował stanowisko [1] dotyczące prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta (dalej ,,Stanowisko”). Nastąpiło to na chwilę przed wejściem w życie wytycznych European Banking Authority (dalej ,,EBA”), dotyczących wykorzystania rozwiązań w zakresie zdalnego nawiązywania relacji z klientami na podstawie art. 13 ust. 1 dyrektywy (UE) 2015/849 [2], które to obowiązują od 2 października 2023 roku. 

Co istotne, jest to już trzecie stanowisko UKNF w zakresie zdalnego onboardingu. Pierwsze pojawiło się w czerwcu 2019 roku, a następne w marcu 2022 roku. Należy zaznaczyć, iż najnowsze, z września 2023 roku, nie uchyla, ani nie modyfikuje wcześniejszych, które w dalszym ciągu pozostają w mocy. Poruszona problematyka jest o tyle ważna, że w praktyce dotyczyć będzie każdej instytucji finansowej, która w ramach swojej działalności będzie oferowała usługi online. Jak wskazano, Stanowisko zawiera dobre praktyki (procedury i strategie) stosowania środków bezpieczeństwa finansowego, w sytuacji gdy podmioty nadzorowane nawiązują stosunki gospodarcze bez bezpośredniej obecności klienta.

Procedury wewnętrzne dotyczące nawiązywania relacji z klientami bez ich fizycznej obecności

Zgodnie z Ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U. z 2023 r. poz. 1124 z późn. zm., dalej ,,Ustawa”) podmioty nadzorowane są zobowiązane do wprowadzania i aktualizacji procedur dotyczących bezpieczeństwa finansowego w kontekście zdalnego onboardingu, jak również weryfikacji tożsamości klienta, osoby upoważnionej i beneficjenta rzeczywistego. W Stanowisku podkreślono, że wewnętrzna dokumentacja powinna zawierać ocenę poziomu ryzyka i obejmować co najmniej m.in. opis przyjętego przez instytucje rozwiązania wraz z uwzględnieniem gromadzenia, weryfikacji i rejestrowania informacji; określenie, kiedy można zastosować zdalną formę onboardingu oraz które czynności są zautomatyzowane, a które nie.

Zarządzanie w ramach procesu nawiązywania relacji z klientami bez ich fizycznej obecności

W ramach zarządzania procesem zdalnego onboardingu Anti Money Laundering Reporting Officer (dalej ,,AMLRO”) powinien dbać o skuteczne wdrażanie, monitorowanie i regularne aktualizowanie wyżej wspomnianych dokumentów.

Analiza i ocena poprzedzająca wdrożenie omawianego rozwiązania

Przed wdrożeniem nowego rozwiązania w zakresie zdalnego onboardingu klienta, konieczna jest analiza i ocena ryzyka. Podmioty nadzorowane powinny uwzględniać w swoich procedurach zakres oraz etapy takiej analizy, obejmującej m.in. ocenę adekwatności rozwiązania, wpływ na ryzyko działalności instytucji obowiązanej, środki ograniczające ryzyko, mechanizmy kontrolne i testowania, a także kompleksowe badanie sposobu funkcjonowania rozwiązania.

Ponadto, podmioty nadzorowane zobowiązane są do dokumentowania analizy i oceny poprzedzającej wdrożenie rozwiązania, uwzględniając wyniki i wnioski z tej oceny oraz wyjaśnienia dotyczące zasadności rozwiązania w świetle ryzyka ML/FT. Rozpoczęcie używania nowego rozwiązania powinno nastąpić po włączeniu go do systemu kontroli wewnętrznej i informacji zarządczej, zapewniając odpowiednie zarządzanie ryzykiem ML/FT.

Bieżące monitorowanie omawianego rozwiązania

Podmioty nadzorowane zobowiązane są do systematycznego monitorowania działania wdrożonego rozwiązania. Aktualizacja procedur obejmuje zagadnienia związane z jakością, aktualnością, kompletnością, dokładnością i adekwatnością zgromadzonych danych. Nadto, muszą one uwzględniać również okresowe przeglądy danych, doraźne przeglądy przy zmianach ryzyka, a także działania naprawcze w przypadku wykrycia błędów.

Działania naprawcze wdrażane w sytuacji materializacji ryzyka lub wykrycia błędów powinny obejmować przegląd stosunków gospodarczych, ocenę potrzeby wdrożenia dodatkowych środków bezpieczeństwa finansowego, ewentualne ograniczenia transakcji, a także ewentualne zgłoszenie do organu informacji finansowej. Podmioty nadzorowane monitorując adekwatność i niezawodność rozwiązania, stosują środki proporcjonalne do charakteru działalności instytucji takie jak testowanie pionowe i poziome, automatyczne alerty, okresowa sprawozdawczość czy przeglądy manualne. Instytucje obowiązane muszą być w stanie udokumentować przeprowadzone przeglądy i podjęte działania naprawcze. Powyższe ma również zastosowanie w przypadku używania w pełni zautomatyzowanych rozwiązań, szczególnie zależnych od algorytmów.

Jak EY może pomóc

  • Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (Financial Crime Compliance)

    Pomagamy podmiotom z branży finansowej skutecznie ograniczać ryzyka związane z praniem pieniędzy i finansowaniem terroryzmu. Łączymy wiedzę ekspercką z zakresu Compliance, doświadczenie operacyjne z realizacji procesów KYC/AML oraz znajomość nowoczesnych technologii informatycznych. Dzięki temu możemy świadczyć kompleksowe usługi doradcze, a także wspierać naszych klientów w codziennej realizacji procesów operacyjnych w obszarze Financial Crime.

    Przeczytaj więcej

  • Ochrona sygnalistów (whistleblowing)

    Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

    Przeczytaj więcej

  • Sankcje gospodarcze - sklep on-line

    Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.

    Przeczytaj więcej

  • Zarządzanie zgodnością i etyką (Compliance & Integrity)

    Wspieramy firmy w prowadzeniu etycznego biznesu budując systemy compliance oraz wdrażając narzędzia i mechanizmy sprzyjające zarządzaniu zgodnością.

    Przeczytaj więcej

Identyfikacja klienta, osoby upoważnionej i beneficjenta rzeczywistego

 

Podmioty nadzorowane powinny określić rodzaje dokumentów niezbędnych do identyfikacji klienta, osoby upoważnionej i beneficjenta rzeczywistego. Przede wszystkim, kluczowe jest, aby informacje były aktualne i spełniały wymogi narzucone prawem, zapisy elektroniczne były czytelne i odpowiedniej jakości oraz aby zaprzestać procesu identyfikacji w przypadku problemów technicznych. Ponadto, regulacje powinny określać, które informacje są wprowadzane manualnie, które pobiera się automatycznie z dokumentacji dostarczonej przez klienta, a które można pozyskać z wykorzystaniem innych źródeł. Aby zapewnić wiarygodność automatycznie pobieranych danych, należy wprowadzić skuteczne kontrole, uwzględniając ryzyko związane z fałszowaniem lokalizacji urządzeń klienta oraz automatycznym pobieraniem danych.

 

Ocena stosunków gospodarczych

 

Pozyskanie informacji o celu i planowanym charakterze relacji gospodarczej powinno nastąpić przed zakończeniem procesu zdalnego onboardingu.

 

Autentyczność i integralność dokumentów

 

W sytuacji, w której podmioty nadzorowane akceptują kopię dokumentów powinny zapewnić wiarygodność kopii poprzez porównanie dokumentu z oryginałem, sprawdzenie integralności danych osobowych i zdjęcia klienta.

 

Weryfikacja tożsamości klienta w ramach procesu nawiązywania relacji z klientami bez ich fizycznej obecności

 

Podmioty nadzorowane powinny precyzyjnie określić rodzaje dokumentów i dane do weryfikacji tożsamości klienta. W przypadku zdalnego nawiązywania relacji, ważne jest zapewnienie zgodności informacji z dokumentacją, w przypadku klienta indywidualnego potwierdzenie obecności klienta w rejestrach publicznych oraz weryfikacja umocowania osoby działającej w imieniu klienta. W przypadku niewystarczającej jakości lub wiarygodności materiałów weryfikacyjnych, proces zdalnej weryfikacji powinien być przerwany i rozpoczęty ponownie lub klient powinien zostać przekierowany do weryfikacji bezpośredniej. W przypadku zdalnej weryfikacji z udziałem pracownika,  powinien być zapewniony odpowiedni poziom obrazu i dźwięku, a pracownik powinien być przeszkolony z zakresu AML/CFT.

 

Wskazano również listę dodatkowych środków bezpieczeństwa, z których instytucja obowiązana powinna stosować co najmniej jeden, w tym: przelew weryfikacyjny, wysłanie losowo wygenerowanego hasła, pobranie danych biometrycznych, kontakt telefoniczny lub skierowanie klienta do weryfikacji bezpośredniej.

 

Powierzenie podmiotowi trzeciemu działającemu w imieniu i na rzecz instytucji obowiązanej stosowania środków bezpieczeństwa finansowego dotyczących rozwiązań w zakresie nawiązywania relacji z klientami bez ich fizycznej obecności

 

W przypadku outsourcingu, podmioty nadzorowane powinny przestrzegać kluczowych zasad związanych z powierzeniem czynności z zakresu zdalnego onboardingu podmiotom zewnętrznym. Ponadto, powinny dokładnie określić, które funkcje będą realizowane przez instytucję obowiązaną samodzielnie, a które przez podmioty trzecie oraz m.in. identyfikować konflikty interesów, zwłaszcza w sytuacjach wewnątrz grupy. W zlecaniu zadań związanych z AML/CFT dostawcom spoza grupy, zalecane są dodatkowe mechanizmy ograniczania ryzyka.

 

Zarządzanie ryzykiem związanym z technologiami i bezpieczeństwem ICT

 

Podmioty nadzorowane mogą korzystać z usługi zaufania i procesów identyfikacji elektronicznej regulowanych, uznanych, zatwierdzonych lub zaakceptowanych przez organy krajowe. Stosując takie rozwiązanie należy ocenić zgodność rozwiązania ze Stanowiskiem.

 

Nadto, instytucje obowiązane powinny identyfikować i zarządzać ryzykiem związanym z technologią i bezpieczeństwem ICT w procesie zdalnego nawiązywania relacji z klientami. Bezpieczne kanały komunikacji i rozwiązania z zastosowaniem bezpiecznych protokołów kryptograficznych są kluczowe dla poufności i integralności danych. W przypadku urządzeń wielofunkcyjnych, należy stosować bezpieczne środowiska dla kodu oprogramowania klienta, uwzględniając dodatkowe środki bezpieczeństwa zgodne z wytycznymi KNF.

 

Korzystanie przez podmioty nadzorowane z usług zaufania i krajowych procesów identyfikacji, o których mowa w art. 13 ust. 1 lit. a) dyrektywy (UE) 2015/849

 

Podmioty nadzorowane powinny korzystać z regulowanych usług zaufania i procesów identyfikacji elektronicznej, zatwierdzonych przez organy krajowe, minimalizując ryzyko związane z uwierzytelnianiem i fałszywą tożsamością klienta. Wdrażając te rozwiązania, należy uwzględnić środki ograniczające ryzyko, zwłaszcza w kontekście przestępstw związanych z podszywaniem się.

 

Podsumowując, oczekuje się, że podmioty nadzorowane będą stosowały dobre praktyki w zakresie zdalnego onboardingu klienta zawarte w Stanowisku. UKNF oczekuje, że Stanowisko pozwoli instytucjom obowiązanym na jak najszybsze możliwe wdrożenie odpowiednich rozwiązań oraz dostosowanie procedur do wymogów, gdyż co wymaga podkreślenia, Wytyczne EBA weszły w życie 2 października bieżącego roku.

Zobacz również

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających. Jednocześnie żeby tak było, samo AI musi być zaimplementowane i wykorzystywane we właściwy sposób, spełniający wymogi cyberbezpieczeństwa.

Greenwashing – czym grozi malowanie trawy na zielono?

Serdecznie zapraszamy do udziału w webcaście pt. "Greenwashing - czym grozi malowanie trawy na zielono?

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające? Zapraszamy do obejrzenia nagrań z cyklu „Prawda czy mit?” poświęconego najczęstszym obawom i mitom dotyczącym prowadzenia wewnętrznych postępowań wyjaśniających.

Jarosław Grzegorz + 3

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną. Większość przedsiębiorstw skutecznie stawia czoła indcydentom RODO, ich pracownicy mają świadomość cyber-zagrożeń, ustawa sankcyjna wpłynęła na baczne przyglądanie się spółkom w łańcuchu dostaw. Przykłady można mnożyć. Tematem, który aktualnie przykuwa zainteresowanie wielu organizacji jest zagadnienie greenwashingu, bezpośrednio związane z obszarem ESG.

EY Polska

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach Compliance Officera

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających. Sednem tego zagadnienia, a jednocześnie kluczowym wyzwaniem dla spółek i organów zarządczych będzie kwestia wykazania, że przy podejmowaniu działań następczych dochowano należytej staranności. W przeciwnym razie spółka może narażać się na negatywne konsekwencje.

Jarosław Grzegorz

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie): pracownicy operacyjni jako właściciele ryzyk, ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

Jarosław Grzegorz

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Jarosław Grzegorz

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Mariusz Witalis + 1

Ochrona sygnalistów (whistleblowing)

Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

Dwie twarze informatyki śledczej

.

Zuzanna Hałemejko + 1

Sankcje gospodarcze - sklep on-line

Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

EY Polska

Sankcje gospodarcze nałożone na Rosję z perspektywy polskich przedsiębiorstw. Co zmienia zakaz eksportu do Rosji?

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

Michał Rączy

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Michał Piekarczyk

Klapki na oczach czy szerokie horyzonty?

Światowe Badanie Uczciwości w Biznesie 2022 ukazuje jak usprawnienie ładu korporacyjnego może zwiększyć uczciwość biznesu

EY Polska

Zarządzanie ryzykiem nadużyć

Dowiedz się więcej o Dziale Zarządzania Ryzykiem Nadużyć oraz o tym, jak pomagamy firmom realizować cele z zakresu uczciwości w biznesie.

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają. Wyniki naszego badania zbiegają się w czasie z zamieszczeniem w wykazie prac legislacyjnych polskiego projektu** ustawy o ochronie osób zgłaszających naruszenia prawa, którego przyjęcie planowane jest w IV kwartale 2021r.

Jarosław Grzegorz

         Kontakt

    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.