Online overenie klienta finančnej inštitúcie z pohľadu AML predpisov

Využívanie moderných technológií v súčasnosti čoraz viac preniká do všetkých oblastí našich životov. Oblasť poskytovania finančných služieb nie je výnimkou. Finančné inštitúcie a iné subjekty pôsobiace na finančnom trhu musia držať krok s vývojom. Investujú nemalé prostriedky do inovácii, aby si zaistili podiel na trhu, ktorého podobu budú čoraz viac určovať digitálne gramotní a technologicky zdatní klienti, ktorí moderné technológie vnímajú ako prostriedok na uľahčenie a zjednodušenie bežných činností. Bezkontaktné platobné karty, internetové bankovníctvo, či bankovníctvo v mobile sú dnes už základným štandardom a využívajú ich klienti všetkých bánk na trhu.

Ruka v ruke s vývojom technológii musí ísť aj vývoj legislatívny, ktorý by na jednej strane nemal stáť inováciám v ceste, na strane druhej však musí finančných spotrebiteľov chrániť a regulovať nové hrozby, ktoré so sebou technológie potenciálne prinášajú. Práve oblasť poskytovania finančných služieb je oblasťou, ktorá sa vzhľadom na jej masívnu reguláciu musí pri zavádzaní inovácii do praxe vysporiadať s veľkým množstvom legislatívnych obmedzení.

Veľký dôraz je v súčasnosti kladený najmä na ochranu pred legalizáciou príjmov z trestnej činnosti (tzv. pranie špinavých peňazí / money laundering) a financovaním terorizmu. Jedným zo základných pilierov národnej a európskej regulácie poskytovania finančných služieb je princíp „poznaj svojho klienta“ (know your customer, KYC). Vo všeobecnosti tento princíp znamená, že finančná inštitúcia musí pri každom obchode zisťovať totožnosť klienta. V slovenskom právnom poriadku je tento princíp zakotvený najmä v Zákone o bankách[1] a Zákone o AML[2], prostredníctvom ktorého boli do slovenského právneho poriadku transponované európske AML predpisy – aktuálne tzv. IV. AML smernica[3]. Identifikácia klientov a overenie identifikácie je základnou a nevyhnutnou podmienkou ochrany pred praním špinavých peňazí.

V ust. § 7 Zákon o AML ustanovuje, aké údaje je potrebné zistiť na riadnu identifikáciu klienta. Následne ust. § 8 Zákona o AML ustanovuje, akým spôsobom je potrebné identifikáciu klienta overiť – potvrdiť, či osoba, ktorá vykonáva obchod je skutočne osobou, ktorá bola identifikovaná podľa ust. § 7 Zákona o AML.

Tradičným spôsobom overenia identifikácie klienta je overenie získaných údajov v doklade totožnosti a overenie podoby klienta s podobou v jeho doklade totožnosti za jeho fyzickej prítomnosti. Zjednodušene povedané, klient príde na pobočku, predloží občiansky preukaz a pracovník finančnej inštitúcie skontroluje, či je doklad v poriadku a porovnaním podoby klienta s fotkou overí, či je klient skutočne tým za koho sa vydáva. Taktiež je pri fyzickej prítomnosti klienta na pobočke možné zhodnotiť aj ďalšie okolnosti, teda či klient koná z vlastnej vôle alebo či neexistujú iné okolnosti, ktoré by boli prekážkou riadneho priebehu obchodu. V prípade, že pracovník finančnej inštitúcie zistí nejaké nezrovnalosti, má povinnosť obchod odmietnuť vykonať a nahlásiť ho ako neobvyklú obchodnú operáciu.

Z pohľadu AML sa však veci komplikujú pokiaľ sa presunieme do online prostredia, kedy finančná inštitúcia klienta reálne nevidí, čo zvyšuje riziko problematických obchodov. Aj z tohto dôvodu bolo fyzické overenie identifikácie klienta do 14. marca 2018 jedinou možnosťou, ktorú Zákon o AML umožňoval. Trh sa však vyvíja a legislatíva sa začala prispôsobovať. Dňa 15. marca 2018 nadobudla účinnosť novela Zákona o AML - zákon č. 52/2018 Z. z., ktorým sa mení a dopĺňa zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony. Touto novelou sa o. i. doplnilo ust. § 7 Zákona o AML tak, že umožňuje overenie identifikácie klienta aj „použitím technických prostriedkov a postupov, ak povinná osoba po zohľadnení okolností vykonávania obchodu a bezpečnostných rizík používanej technológie vyhodnotí, že takýmito prostriedkami a postupmi je možné vykonať overenie identifikácie na úrovni, ktorá je z hľadiska dôveryhodnosti výsledku overenia obdobná overeniu za fyzickej prítomnosti“.

Na základe takto novelizovaného ustanovenia už nie je pre realizovanie obchodu potrebná fyzická prítomnosť klienta v pobočke finančnej inštitúcie. Vzhľadom na súčasný vývoj trhu a technológii sa javí ako najperspektívnejší spôsob využitia tejto možnosti online uzatvárania obchodov prostredníctvom internetu. Finančné inštitúcie však musia zabezpečiť úroveň overenia obdobnú overeniu za fyzickej prítomnosti klienta. V prostredí internetu je overenie identifikácie komplikovanejšie, keďže finančná inštitúcia s klientom fyzicky neprichádza do kontaktu, preto je náročnejšie overiť, či klient, ktorý obchod vykonáva je skutočne identifikovanou osobou.

Dňa 10. decembra 2018 vydal Útvar dohľadu nad finančným trhom Národnej banky Slovenska (ďalej len „NBS“) stanovisko č. 1/2018[4], ktorým predstavuje finančným inštitúciám rámcový pohľad NBS na technológie využívané na identifikáciu a overenie identifikácie fyzickej osoby bez jej fyzickej prítomnosti. V prvom rade je finančná inštitúcia pred začatím využívania takéhoto technického riešenia povinná vyhodnotiť, či takouto technológiou je možné vykonať identifikáciu a overenie identifikácie klienta bez jeho fyzickej prítomnosti na úrovni, ktorá je z hľadiska dôveryhodnosti výsledku overenia obdobná overeniu za jej fyzickej prítomnosti a notifikovať o tom NBS. Kritériami sú najmä okolnosti vykonávania obchodu a bezpečnostné riziká používaného technického prostriedku. Ďalej NBS kladie dôraz najmä na pravidelné hodnotenie rizík, kontrolné mechanizmy, odbornú prípravu príslušných zamestnancov, a pravidelné vyhodnocovanie kvality a bezpečnosti a efektívnosti využívaného technického riešenia.

Pri uzatváraní obchodov prostredníctvom internetu sa v súčasnosti na Slovensku využívajú na overenie identifikácie viaceré spôsoby.

Prvý spôsob predstavuje len akúsi „nadstavbu“ k tradičnému overeniu identifikácie klienta, ktorá sa využíva najmä pri zriaďovaní účtov. Je nevyhnutné, aby klient mal už zriadený účet v inej finančnej inštitúcií, kde bola jeho identifikácia už overená za jeho fyzickej prítomnosti alebo prostredníctvom technických prostriedkov obdobne ako za fyzickej prítomnosti. Z tohto účtu klient zašle na preukázanie vlastníctva tohto účtu drobnú platbu na účet vo finančnej inštitúcii, kde chce otvoriť nový účet. Následne finančná inštitúcia, v súlade s ust. § 13 ods. 1 Zákona o AML, prevezme potrebné údaje o klientovi od pôvodnej finančnej inštitúcie. Ďalej sa klient musí s finančnou inštitúciou spojiť prostredníctvom webkamery s tým, že poskytne doklad totožnosti a zamestnanec banky jeho identifikáciu overí obdobne ako na pobočke.

Modernejším spôsobom, ktorý momentálne preniká do bankovej praxe už aj na Slovensku je identifikácia s využitím biometrických údajov. Biometrické údaje sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje.

NBS vo vyššie citovanom stanovisku ustanovuje postup a funkcionality, ktoré by malo mať technické riešenie na identifikáciu a overenie klientov bez ich fyzickej prítomnosti. V prvom kroku by malo dôjsť k získaniu autentických biometrických údajov alebo iných porovnateľných údajov identifikovaním klienta a ich dôveryhodnému overeniu. Technické riešenie by malo byť schopné detekovať nezrovnalostí biometrických údajov identifikovaním klienta počas prenosu a malo by umožňovať nastavenie parametrov zhody. Získané biometrické údaje sa následne overia s údajmi z interných alebo externých zdrojov alebo ich kombináciou. Autentické biometrické údaje získané na účely identifikácie a overenie identifikácie klienta, predstavujú porovnateľný /obdobný spôsob ako pri identifikácii a overení identifikácie klienta za jeho fyzickej prítomnosti. Je potrebné tiež získanie ďalších osobných údajov identifikovaného klienta napríklad doklad totožnosti a overenie ich pravosti a aktuálnosti. Rovnako ako pri fyzickej prítomnosti klienta je potrebná identifikácia neštandardnej alebo rizikovej situácie a správania identifikovaného klienta pri neverbálnej alebo verbálnej komunikácii.

V praxi to vyzerá tak, že klient, ktorý chce vykonať obchod, musí finančnej inštitúcií poskytnúť svoje biometrické údaje, napr. umožniť aplikácii finančnej inštitúcie zosnímať podobu svojej tváre, na základe čoho následne špecializovaný softvér identifikuje jedinečné znaky tváre daného klienta (tvárovú biometriu), ktorá je jedinečná pre každú osobu. Samotné získanie biometrických údajov by však nemalo zmysel, bez toho, aby tieto údaje boli následne porovnané s biometrickými údajmi, ktoré už sú k danej osobne priradené a preukázateľne ju identifikujú. Je teda nevyhnutné, aby v tomto kroku vstúpil do procesu štát, konkrétne Ministerstvo vnútra Slovenskej republiky. Ministerstvo vnútra ako orgán, ktorý prostredníctvom príslušných útvarov vydáva doklady občanom, je jediným subjektom, ktorý dokáže identifikáciu klienta prostredníctvom biometrických údajov overiť. Nie je samozrejme možné, aby finančné inštitúcie mali prístup do databáz Ministerstva vnútra, keďže obsahujú citlivé osobné údaje všetkých občanov a ďalších osôb. V praxi teda finančné inštitúcie získané biometrické údaje a ďalšie doklady potrebné na overenie identifikácie klienta, s jeho súhlasom zasielajú Ministerstvu vnútra, ktoré iba potvrdí, či klient, ktorý obchod vykonáva, je skutočne tým, za koho sa vydáva. Deje sa tak v súlade s ust. § 15 Zákona o občianskych preukazoch[5], ktoré umožňuje orgánom, ktoré vedú evidenciu občianskych preukazov, poskytovať údaje z evidencie o.i. právnickým osobám, ak sa údaje týkajú ich pôsobnosti.

Poskytovanie finančných služieb online sa na Slovensku, aj napriek prísnej regulácií, v súlade s celosvetovým trendom stáva pevnou súčasťou ponuky finančných inštitúcií. Bude zaujímavé sledovať ďalší vývoj a uvidíme, ako sa legislatíva technológiám prispôsobí, alebo či sa budú technológie musieť prispôsobovať legislatíve.

 

[1] Zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

[2] Zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

[3] Smernica Európskeho parlamentu a Rady (EÚ) 2015/849 z 20. mája 2015 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu, ktorou sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 a zrušuje smernica Európskeho parlamentu a Rady 2005/60/ES a smernica Komisie 2006/70/ES

[4] Stanovisko Útvaru dohľadu nad finančným trhom Národnej banky Slovenska z 10. decembra 2018 č. 1/2018 k identifikácii a overeniu identifikácie klienta - fyzickej osoby, bez jej fyzickej prítomnosti prostredníctvom technických prostriedkov a postupov podľa zákona o ochrane pred legalizáciou príjmov z trestnej činnosti a financovaním terorizmu

[5] Zákon č. o 224/2006 Z. z. občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

 


Autor:
Peter Beňo

Ďalšie novinky

Advokátsku kanceláriu Semančín & Partners nájdete v Polus Tower I, Vajnorská 100/A, Bratislava

Na vrch stránky