Stanowisko UKNF: prawidłowe wykorzystanie zdalnego nawiązywania stosunków gospodarczych

Anna Kołtowska

Kontakt lokalny

We wrześniu 2023 roku Urząd Komisji Nadzoru Finansowego (dalej ,,UKNF”) opublikował stanowisko [1] dotyczące prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta (dalej ,,Stanowisko”). Nastąpiło to na chwilę przed wejściem w życie wytycznych European Banking Authority (dalej ,,EBA”), dotyczących wykorzystania rozwiązań w zakresie zdalnego nawiązywania relacji z klientami na podstawie art. 13 ust. 1 dyrektywy (UE) 2015/849 [2], które to obowiązują od 2 października 2023 roku. 

Co istotne, jest to już trzecie stanowisko UKNF w zakresie zdalnego onboardingu. Pierwsze pojawiło się w czerwcu 2019 roku, a następne w marcu 2022 roku. Należy zaznaczyć, iż najnowsze, z września 2023 roku, nie uchyla, ani nie modyfikuje wcześniejszych, które w dalszym ciągu pozostają w mocy. Poruszona problematyka jest o tyle ważna, że w praktyce dotyczyć będzie każdej instytucji finansowej, która w ramach swojej działalności będzie oferowała usługi online. Jak wskazano, Stanowisko zawiera dobre praktyki (procedury i strategie) stosowania środków bezpieczeństwa finansowego, w sytuacji gdy podmioty nadzorowane nawiązują stosunki gospodarcze bez bezpośredniej obecności klienta.

Procedury wewnętrzne dotyczące nawiązywania relacji z klientami bez ich fizycznej obecności

Zgodnie z Ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U. z 2023 r. poz. 1124 z późn. zm., dalej ,,Ustawa”) podmioty nadzorowane są zobowiązane do wprowadzania i aktualizacji procedur dotyczących bezpieczeństwa finansowego w kontekście zdalnego onboardingu, jak również weryfikacji tożsamości klienta, osoby upoważnionej i beneficjenta rzeczywistego. W Stanowisku podkreślono, że wewnętrzna dokumentacja powinna zawierać ocenę poziomu ryzyka i obejmować co najmniej m.in. opis przyjętego przez instytucje rozwiązania wraz z uwzględnieniem gromadzenia, weryfikacji i rejestrowania informacji; określenie, kiedy można zastosować zdalną formę onboardingu oraz które czynności są zautomatyzowane, a które nie.

Zarządzanie w ramach procesu nawiązywania relacji z klientami bez ich fizycznej obecności

W ramach zarządzania procesem zdalnego onboardingu Anti Money Laundering Reporting Officer (dalej ,,AMLRO”) powinien dbać o skuteczne wdrażanie, monitorowanie i regularne aktualizowanie wyżej wspomnianych dokumentów.

Analiza i ocena poprzedzająca wdrożenie omawianego rozwiązania

Przed wdrożeniem nowego rozwiązania w zakresie zdalnego onboardingu klienta, konieczna jest analiza i ocena ryzyka. Podmioty nadzorowane powinny uwzględniać w swoich procedurach zakres oraz etapy takiej analizy, obejmującej m.in. ocenę adekwatności rozwiązania, wpływ na ryzyko działalności instytucji obowiązanej, środki ograniczające ryzyko, mechanizmy kontrolne i testowania, a także kompleksowe badanie sposobu funkcjonowania rozwiązania.

Ponadto, podmioty nadzorowane zobowiązane są do dokumentowania analizy i oceny poprzedzającej wdrożenie rozwiązania, uwzględniając wyniki i wnioski z tej oceny oraz wyjaśnienia dotyczące zasadności rozwiązania w świetle ryzyka ML/FT. Rozpoczęcie używania nowego rozwiązania powinno nastąpić po włączeniu go do systemu kontroli wewnętrznej i informacji zarządczej, zapewniając odpowiednie zarządzanie ryzykiem ML/FT.

Bieżące monitorowanie omawianego rozwiązania

Podmioty nadzorowane zobowiązane są do systematycznego monitorowania działania wdrożonego rozwiązania. Aktualizacja procedur obejmuje zagadnienia związane z jakością, aktualnością, kompletnością, dokładnością i adekwatnością zgromadzonych danych. Nadto, muszą one uwzględniać również okresowe przeglądy danych, doraźne przeglądy przy zmianach ryzyka, a także działania naprawcze w przypadku wykrycia błędów.

Działania naprawcze wdrażane w sytuacji materializacji ryzyka lub wykrycia błędów powinny obejmować przegląd stosunków gospodarczych, ocenę potrzeby wdrożenia dodatkowych środków bezpieczeństwa finansowego, ewentualne ograniczenia transakcji, a także ewentualne zgłoszenie do organu informacji finansowej. Podmioty nadzorowane monitorując adekwatność i niezawodność rozwiązania, stosują środki proporcjonalne do charakteru działalności instytucji takie jak testowanie pionowe i poziome, automatyczne alerty, okresowa sprawozdawczość czy przeglądy manualne. Instytucje obowiązane muszą być w stanie udokumentować przeprowadzone przeglądy i podjęte działania naprawcze. Powyższe ma również zastosowanie w przypadku używania w pełni zautomatyzowanych rozwiązań, szczególnie zależnych od algorytmów.

Jak EY może pomóc

Identyfikacja klienta, osoby upoważnionej i beneficjenta rzeczywistego

 

Podmioty nadzorowane powinny określić rodzaje dokumentów niezbędnych do identyfikacji klienta, osoby upoważnionej i beneficjenta rzeczywistego. Przede wszystkim, kluczowe jest, aby informacje były aktualne i spełniały wymogi narzucone prawem, zapisy elektroniczne były czytelne i odpowiedniej jakości oraz aby zaprzestać procesu identyfikacji w przypadku problemów technicznych. Ponadto, regulacje powinny określać, które informacje są wprowadzane manualnie, które pobiera się automatycznie z dokumentacji dostarczonej przez klienta, a które można pozyskać z wykorzystaniem innych źródeł. Aby zapewnić wiarygodność automatycznie pobieranych danych, należy wprowadzić skuteczne kontrole, uwzględniając ryzyko związane z fałszowaniem lokalizacji urządzeń klienta oraz automatycznym pobieraniem danych.

 

Ocena stosunków gospodarczych

 

Pozyskanie informacji o celu i planowanym charakterze relacji gospodarczej powinno nastąpić przed zakończeniem procesu zdalnego onboardingu.

 

Autentyczność i integralność dokumentów

 

W sytuacji, w której podmioty nadzorowane akceptują kopię dokumentów powinny zapewnić wiarygodność kopii poprzez porównanie dokumentu z oryginałem, sprawdzenie integralności danych osobowych i zdjęcia klienta.

 

Weryfikacja tożsamości klienta w ramach procesu nawiązywania relacji z klientami bez ich fizycznej obecności

 

Podmioty nadzorowane powinny precyzyjnie określić rodzaje dokumentów i dane do weryfikacji tożsamości klienta. W przypadku zdalnego nawiązywania relacji, ważne jest zapewnienie zgodności informacji z dokumentacją, w przypadku klienta indywidualnego potwierdzenie obecności klienta w rejestrach publicznych oraz weryfikacja umocowania osoby działającej w imieniu klienta. W przypadku niewystarczającej jakości lub wiarygodności materiałów weryfikacyjnych, proces zdalnej weryfikacji powinien być przerwany i rozpoczęty ponownie lub klient powinien zostać przekierowany do weryfikacji bezpośredniej. W przypadku zdalnej weryfikacji z udziałem pracownika,  powinien być zapewniony odpowiedni poziom obrazu i dźwięku, a pracownik powinien być przeszkolony z zakresu AML/CFT.

 

Wskazano również listę dodatkowych środków bezpieczeństwa, z których instytucja obowiązana powinna stosować co najmniej jeden, w tym: przelew weryfikacyjny, wysłanie losowo wygenerowanego hasła, pobranie danych biometrycznych, kontakt telefoniczny lub skierowanie klienta do weryfikacji bezpośredniej.

 

Powierzenie podmiotowi trzeciemu działającemu w imieniu i na rzecz instytucji obowiązanej stosowania środków bezpieczeństwa finansowego dotyczących rozwiązań w zakresie nawiązywania relacji z klientami bez ich fizycznej obecności

 

W przypadku outsourcingu, podmioty nadzorowane powinny przestrzegać kluczowych zasad związanych z powierzeniem czynności z zakresu zdalnego onboardingu podmiotom zewnętrznym. Ponadto, powinny dokładnie określić, które funkcje będą realizowane przez instytucję obowiązaną samodzielnie, a które przez podmioty trzecie oraz m.in. identyfikować konflikty interesów, zwłaszcza w sytuacjach wewnątrz grupy. W zlecaniu zadań związanych z AML/CFT dostawcom spoza grupy, zalecane są dodatkowe mechanizmy ograniczania ryzyka.

 

Zarządzanie ryzykiem związanym z technologiami i bezpieczeństwem ICT

 

Podmioty nadzorowane mogą korzystać z usługi zaufania i procesów identyfikacji elektronicznej regulowanych, uznanych, zatwierdzonych lub zaakceptowanych przez organy krajowe. Stosując takie rozwiązanie należy ocenić zgodność rozwiązania ze Stanowiskiem.

 

Nadto, instytucje obowiązane powinny identyfikować i zarządzać ryzykiem związanym z technologią i bezpieczeństwem ICT w procesie zdalnego nawiązywania relacji z klientami. Bezpieczne kanały komunikacji i rozwiązania z zastosowaniem bezpiecznych protokołów kryptograficznych są kluczowe dla poufności i integralności danych. W przypadku urządzeń wielofunkcyjnych, należy stosować bezpieczne środowiska dla kodu oprogramowania klienta, uwzględniając dodatkowe środki bezpieczeństwa zgodne z wytycznymi KNF.

 

Korzystanie przez podmioty nadzorowane z usług zaufania i krajowych procesów identyfikacji, o których mowa w art. 13 ust. 1 lit. a) dyrektywy (UE) 2015/849

 

Podmioty nadzorowane powinny korzystać z regulowanych usług zaufania i procesów identyfikacji elektronicznej, zatwierdzonych przez organy krajowe, minimalizując ryzyko związane z uwierzytelnianiem i fałszywą tożsamością klienta. Wdrażając te rozwiązania, należy uwzględnić środki ograniczające ryzyko, zwłaszcza w kontekście przestępstw związanych z podszywaniem się.

 

Podsumowując, oczekuje się, że podmioty nadzorowane będą stosowały dobre praktyki w zakresie zdalnego onboardingu klienta zawarte w Stanowisku. UKNF oczekuje, że Stanowisko pozwoli instytucjom obowiązanym na jak najszybsze możliwe wdrożenie odpowiednich rozwiązań oraz dostosowanie procedur do wymogów, gdyż co wymaga podkreślenia, Wytyczne EBA weszły w życie 2 października bieżącego roku.

Zobacz również

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających.

Greenwashing – czym grozi malowanie trawy na zielono?

Serdecznie zapraszamy do udziału w webcaście pt. "Greenwashing - czym grozi malowanie trawy na zielono?

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające?

Jarosław Grzegorz + 2

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną.

EY Polska

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności?

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających.

Jarosław Grzegorz

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Dyrektywa o ochronie sygnalistów nakłada na organizacje obowiązek podjęcia działań, które łącznie zapewnią skuteczny system ochrony osób zgłaszających potencjalne naruszenia.

Jarosław Grzegorz

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Jarosław Grzegorz

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Mariusz Witalis + 1

Ochrona sygnalistów (whistleblowing)

Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!

Dwie twarze informatyki śledczej

Celem informatyki śledczej jest dostarczanie i analiza dowodów zidentyfikowanych na elektronicznych nośnikach danych. Mówimy tu nie tylko o danych pozyskanych z komputerów czy telefonów komórkowych.

Zuzanna Hałemejko + 1

Sankcje gospodarcze – zarządzanie ryzykiem (sklep online)

Od lutego 2022 firmy z UE muszą przestrzegać sankcji nałożonych na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w edukacji, weryfikacji kontrahentów i wdrażaniu procedur sankcyjnych, pomagając ograniczyć ryzyko kar finansowych i odpowiedzialności karnej.

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

EY Polska

Sankcje nałożone na Rosję z perspektywy polskich przedsiębiorstw

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

EY Polska

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Michał Piekarczyk

Klapki na oczach czy szerokie horyzonty?

Światowe Badanie Uczciwości w Biznesie 2022 ukazuje jak usprawnienie ładu korporacyjnego może zwiększyć uczciwość biznesu

EY Polska

Zarządzanie ryzykiem nadużyć

Dowiedz się więcej o Dziale Zarządzania Ryzykiem Nadużyć oraz o tym, jak pomagamy firmom realizować cele z zakresu uczciwości w biznesie.

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają.

Jarosław Grzegorz
    Kontakt
    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.