Identyfikacja klienta w przypadku zawierania transakcji internetowych na odległość.

W dzisiejszych czasach coraz więcej transakcji odbywa się w sposób zdalny. Postęp techniczny dał możliwość załatwiania interesów w dowolnym miejscu na świecie za pomocą smartfona. Nikogo nie dziwi dziś dokonywanie płatności mobilnych czy zakładanie konta bankowego przez Internet, bez konieczności udawania się do banku. Coraz popularniejsze jest także obsługiwanie klientów bez konieczności ich osobistego pojawienia się u kontrahenta – kontakt ogranicza się dziś często do maili lub telekonferencji.

To, by kontrahent wiedział z kim tak naprawdę robi interesy jest konieczne dla jego własnego bezpieczeństwa. W sytuacji niezweryfikowania tożsamości klienta może on łatwo paść ofiarą przestępstwa – nawet w sytuacji, gdy wydaje się, że klient jest osobą zaufaną i jego zachowanie nie wzbudza żadnych podejrzeń.

Jak jednak mieć pewność, że klient jest osobą za którą rzeczywiście się podaje? Jak można zabezpieczyć się przed możliwością oszustwa, kradzieży tożsamości lub prania brudnych pieniędzy dokonywaną za pośrednictwem swojego przedsiębiorstwa? Rynek na razie odnalazł kilka rozwiązań, jednak identyfikacja klienta na odległość wciąż uznawana jest za ryzykowną.

Dlaczego poznanie tożsamości swojego klienta jest tak istotne?

To, by kontrahent wiedział z kim tak naprawdę robi interesy jest konieczne dla jego własnego bezpieczeństwa. W sytuacji niezweryfikowania tożsamości klienta może on łatwo paść ofiarą przestępstwa – nawet w sytuacji, gdy wydaje się, że klient jest osobą zaufaną i jego zachowanie nie wzbudza żadnych podejrzeń.

Dla instytucji obowiązanych w rozumieniu przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej: ustawa AML) poznanie tożsamości klienta korzystającego z ich usług jest szczególnie ważne. Najważniejszą cechą obowiązków wynikłych z tej ustawy jest poznanie swojego klienta – do tego pokrótce sprowadzają się środki bezpieczeństwa finansowego, których według art. 34 zalicza się:

  • identyfikacja klienta oraz weryfikację jego tożsamości;
  • identyfikacja beneficjenta rzeczywistego (przebicie zasłony korporacyjnej i ustalenie kto, jaka osoba fizyczna stoi za daną organizacją)
  • bieżące monitorowanie stosunków gospodarczych klienta.

Ustalenie kim rzeczywiście jest klient, z perspektywy wykonywania obowiązków ustawy AML jest kluczowe – bez tej wiedzy instytucja obowiązana nie może ocenić ryzyka z nim związanego i nie wypełni obowiązków ustawowych, narażając się na wysokie kary finansowe – nawet do równowartości 5 mln euro albo do 10% obrotu ze sprawozdania finansowego za ostatni rok obrotowy lub z ostatniego skonsolidowanego sprawozdania finansowego za rok obrotowy.

Jak teraz można przeprowadzać identyfikację klienta w sposób zdalny?

22 sierpnia 2019 roku Generalny Inspektor Informacji Finansowej, organ powołany do walki z praniem brudnych pieniędzy w Polsce wydał wytyczne w sprawie identyfikacji klienta instytucji obowiązanej i weryfikacji jego tożsamości w sytuacji braku jego fizycznej obecności (dalej: „Wytyczne”). Zgodnie z treścią Wytycznych, instytucja obowiązana ma obowiązek posłużyć się dokumentem stwierdzającym tożsamość klienta lub innymi dokumentami, względnie danymi lub informacjami pochodzącymi z wiarygodnego i niezależnego źródła w celu potwierdzenia, że klient jest tym za kogo się podaje. Instytucja obowiązana ma możliwość wyboru sposobu weryfikacji. Najbardziej godnymi zaufania instrumentami według GIIF są środki identyfikacji elektronicznej w tym kwalifikowany podpis elektroniczny.

W przypadku braku możliwości wykorzystania wyżej wspomnianych środków identyfikacji elektronicznej, instytucja obowiązana powinna zastosować wzmożone środki bezpieczeństwa finansowego. W ocenie GIIF instytucja powinna posłużyć się co najmniej dwoma różnymi dokumentami, danymi i informacjami przy czym przynajmniej jeden z tych materiałów powinien być dokumentem stwierdzającym tożsamość w rozumieniu powszechnie obowiązującego prawa (na przykład dowodem osobistym lub prawem jazdy).

W przypadku weryfikacji tożsamości klienta który jest osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, instytucja obowiązana do weryfikacji powinna posłużyć się dokumentem zawierającym aktualne dane z wyciągu właściwego rejestru. W przypadku działania osoby fizycznej upoważnionej do działania w imieniu klienta instytucja obowiązana powinna zweryfikować umocowanie osoby fizycznej do działania w imieniu klienta, wykorzystując przykładowo dane zawarte w wyżej wspomnianym dokumencie lub przy pomocy aktu notarialnego potwierdzającego umocowanie.

Zdaniem organu przy rozważaniu sposobów uzyskiwania dostępu do materiałów weryfikacyjnych instytucja obowiązana powinna dokładnie przeanalizować ryzyka z nimi związane, zwłaszcza odnoszące się do możliwości wprowadzenia ją w błąd co do prawdziwości materiałów weryfikacyjnych.

Instytucja obowiązana może uzyskać wgląd do materiałów weryfikacyjnych poprzez wideo – rozmowę, podczas której pracownik instytucji ma możliwość przyjrzenia się oryginałom. W przypadku weryfikacji na podstawie dokumentu zawierającego zdjęcie ma możliwość weryfikacji czy osoba na zdjęciu jest tą samą osobą z którą rozmawia.

GIIF wskazuje, że dodatkowym środkiem weryfikacji klienta może być pierwsza transakcja przeprowadzona za pomocą przelewu bankowego z rachunku klienta, prowadzonego w innej instytucji obowiązanej. Zastrzega jednocześnie, że nie należy jednak traktować ww. środka jako podstawowego sposobu weryfikowania tożsamości klienta z uwagi na minimalny zakres danych osobowych zawartych w informacji o przelewie. Te dane mogą służyć jedynie do dodatkowej weryfikacji tożsamości klienta, przeprowadzonej na podstawie innych materiałów weryfikacyjnych.

Zdaniem organu przy rozważaniu sposobów uzyskiwania dostępu do materiałów weryfikacyjnych instytucja obowiązana powinna dokładnie przeanalizować ryzyka z nimi związane, zwłaszcza odnoszące się do możliwości wprowadzenia ją w błąd co do prawdziwości materiałów weryfikacyjnych.

Elektroniczny dowód tożsamości a identyfikacja klienta.

Jak stwierdził w swoim przemówieniu z 21 listopada 2018 roku David Lewis, Sekretarz Financial Action Task Force (organizacji ONZ zajmującej się przeciwdziałaniem praniu brudnych pieniędzy): Bezpieczne, chronione systemy identyfikacji cyfrowej mają kluczowe znaczenie. Mogą one potencjalnie pomóc ludziom w zaangażowaniu się w legalną gospodarkę ich kraju, a nie w szarą strefę. (…). Praktycznie cyfrowa identyfikacja może oznaczać, że nowi klienci banków są sprowadzani na pokład zdalnie co uczyni proces identyfikacji tańszym.

Identyfikacja cyfrowa na odległość w dzisiejszym, zdigitalizowanym świecie wydaje się być koniecznością. Niestety, aplikacja mObywatel, jeden ze sztandarowych projektów Ministerstwa Cyfryzacji obecnie nie przewiduje możliwości weryfikacji tożsamości z poziomu aplikacji mobilnej przy weryfikacji klientów na odległość. Z informacji udzielonych przez Ministerstwo dowiedziałem się, że obecnie nie trwają prace nad taką funkcjonalnością mObywatela, resort nie wyklucza jednak wprowadzenia takiej możliwości w przyszłości. Jak zaznaczył Karol Many z Ministerstwa Cyfryzacji, obecnie do tego celu służą inne rozwiązania: profil zaufany, kwalifikowany podpis elektroniczny i dowód osobisty z warstwą elektroniczną (e-dowód).

Moim zdaniem, rozwiązania te nie są obecnie dla użytkowników wystarczająco wygodne a przez to zbyt popularne. Z powodu coraz większego rozpowszechniania się usług internetowych wprowadzenie uniwersalnego, powszechnie dostępnego potwierdzenia tożsamości na odległość wydaje się być koniecznym krokiem.

 

młodszy prawnik Bartosz Tomaszewski