Cyfryzacja procesu zawierania umów o kredyt konsumencki
Monitor Prawa Bankowego 2022/07-08 Lipiec - Sierpień
Celem artykułu jest zbadanie, w jakim stopniu obowiązujące regulacje umożliwiają pełną cyfryzację procesu udzielania kredytu konsumenckiego, a gdzie pojawiają się bariery i ryzyka. Analiza uwzględnia także perspektywę projektowanej drugiej dyrektywy w sprawie kredytów konsumenckich[1].
Dominika Rogoń
W ostatnich latach jednym z głównym trendów w usługach finansowych – wzmocnionym dodatkowo przez doświadczenie pandemii COVID-19 – jest polityka „paperless”, czyli dystrybucja usług bez udziału dokumentów papierowych, nośników fizycznych, najczęściej także bez fizycznej obecności stron. Coraz więcej dostawców usług finansowych – obok tradycyjnej działalności stacjonarnej – rozwija kanały online i mobilne, a wielu z nich (zwłaszcza niebankowych) działa wyłącznie w Internecie. Oczywistym motorem takich działań jest chęć zapewnienia klientom w możliwie największym stopniu wygody i szybkości dostępu do usługi finansowej.
Pojęcie „transformacja cyfrowa” przewija się obecnie w każdej kolejnej strategii i akcie prawnym Unii Europejskiej, w tym z obszaru usług finansowych. Prawo z jednej strony próbuje nadążyć za rozwojem technologii i odpowiedzieć na potrzeby rynku, a z drugiej strony – zachowując neutralność technologiczną – wyprzedzić nowe rozwiązania. Niedawny przegląd dyrektywy 2008/48[2] zakończył się decyzją o procedowaniu projektu CCD2. Jednym z wniosków z przeglądu obowiązującej dyrektywy i konsultacji branżowych jest niedostosowanie zakresu oraz treści obowiązków informacyjnych kredytodawcy wobec konsumenta do wykorzystania urządzeń cyfrowych w celu udzielania kredytów. Stąd jednym z deklarowanych celów projektu CCD2 jest uproszczenie niektórych wymogów informacyjnych oraz ich dostosowanie do użytku cyfrowego. Można dyskutować, czy projekt ten – gdyby miał być przyjęty w brzmieniu z 30.06.2021 r. – rzeczywiście ułatwiłby cyfryzację procesu. W tym momencie ostateczny kształt nowej dyrektywy CCD2 nie jest jeszcze przesądzony.
Analizując zagadnienia związane z cyfryzacją procesu kredytowego, trzeba mieć na uwadze, że dążenie do wygody i szybkości udzielania kredytów konsumenckich ściera się tu z koniecznością zapewnienia zgodności w zakresie obowiązków informacyjnych wobec konsumenta i ochrony jego danych osobowych, zachowania zasady responsible lending, przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, a także z prewencją cyberprzestępczości[3].
W artykule rozważam najistotniejsze spośród powyższych kwestii, przy zachowaniu porządku kolejnych etapów procesu udzielania kredytu konsumenckiego, począwszy od wniosku kredytowego.
Wniosek kredytowy
Ustawa o kredycie konsumenckim[4], w ślad za dyrektywą 2008/48, przewiduje kategorię umowy o kredyt konsumencki zawieranej na odległość (bez jednoczesnej fizycznej obecności stron, z wyłącznym wykorzystaniem jednego lub większej liczby środków porozumiewania się na odległość do chwili zawarcia umowy włącznie)[5]. Ustawa nie reguluje jednak trybu i formy złożenia przez konsumenta wniosku o kredyt konsumencki. Nie odnosi się do tego również projekt CCD2, który natomiast wprowadza wyraźny zakaz udzielania kredytów konsumentom bez ich wcześniejszego wniosku i wyraźnej zgody na wszczęcie procedury kredytowej[6]. Ponadto w ramach promocji edukacji finansowej proponuje się obowiązek przedstawiania konsumentom jasnych i ogólnych informacji na temat procedury udzielania kredytu, aby wiedzieli, jak mają postępować. Dotyczy to zwłaszcza tych konsumentów, którzy zaciągają kredyt konsumencki po raz pierwszy, w szczególności za pośrednictwem narzędzi cyfrowych[7].
W przypadku gdy kredyt jest udzielany w kanale online lub w aplikacji mobilnej, konsument inicjuje proces, wypełniając formularz cyfrowy obejmujący dane osobowe i informacje o wnioskowanym produkcie. Już na tym etapie kredytodawca powinien zrealizować (przynajmniej w warstwie podstawowej) obowiązki informacyjne wynikające z art. 13 RODO[8], co w praktyce sprowadza się do akceptacji przez konsumenta „polityki prywatności” kredytodawcy. Może to nastąpić przez zaznaczenie „okienka” (checkbox) lub wykonanie kolejnego kroku na ścieżce kredytowej, jeśli konsument został poinformowany, że wysyłając formularz, potwierdza zapoznanie się z zasadami przetwarzania danych osobowych przez kredytodawcę jako administratora. Udzielanie kredytów konsumenckich przez Internet jest świadczeniem usług drogą elektroniczną, w związku z czym konsument, składając wniosek po raz pierwszy, musi zaakceptować regulamin serwisu kredytodawcy spełniający wymogi z art. 8 u.s.u.d.e.[9].
Procedura wnioskowania o kredyt konsumencki kanałami zdalnymi nie wyklucza udziału pośrednika kredytowego w rozumieniu art. 5 pkt 3 u.k.k. Konsument może skorzystać z usług platform pośrednictwa kredytowego, w ramach których operator platformy działa jako pośrednik, wykonując czynności pośrednictwa (faktyczne lub prawne) na rzecz kredytodawców współpracujących z platformą[10]. Nie można wykluczyć sytuacji, w której status pośrednika kredytowego przysługuje sprzedawcy prowadzącemu sklep internetowy i współpracującemu z kredytodawcą przy udzielaniu kredytów wiązanych w kanale online.
Podczas składania wniosku konsument udziela także zgód wymaganych do zbadania jego zdolności kredytowej (zob. dalej). Dalsze działania będą zależały od przyjętej przez danego kredytodawcę polityki w zakresie przeciwdziałania praniu pieniędzy i oceny zdolności kredytowej konsumenta.
Procedura KYC/CDD (know your client/customer due diligence)
Kredytodawca konsumencki – będący zarówno bankiem, SKOK-iem, jak i instytucją pożyczkową – jest instytucją obowiązaną w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[11]. Kredytodawca musi zastosować wobec konsumenta środki bezpieczeństwa finansowego obejmujące identyfikację klienta oraz weryfikację jego tożsamości, identyfikację beneficjenta rzeczywistego[12], a także ocenę i monitorowanie stosunków gospodarczych klienta. Obligatoryjnie należy je zastosować przy nawiązywaniu stosunków gospodarczych z klientem, w szczególności zawieraniu z nim umowy o charakterze ciągłym (np. umowy o kredyt, umowy ramowej o usługę płatniczą). W przypadku umów kredytowych celem tej procedury jest także wyeliminowanie ryzyka „fraudów” i wyłudzeń. Chodzi zatem zarówno o wypełnienie obowiązków ustawowych, jak i uchronienie instytucji finansowej od potencjalnej szkody bądź zapewnienie jej możliwości dochodzenia roszczeń przeciwko jej sprawcy. W środowisku cyfrowym istotne znaczenie ma ponadto zapobieganie kradzieżom tożsamości osób fizycznych.
W przypadku umowy o kredyt konsumencki, którą zawiera się na odległość, procedura KYC/CDD określana jest jako „zdalny onboarding”. Ustawa AML nie przewiduje odrębnej, specyficznej regulacji dla tego typu procedury.
Identyfikacja klienta polega na ustaleniu w przypadku osoby fizycznej: imienia i nazwiska, obywatelstwa, numeru PESEL lub daty urodzenia (w przypadku gdy nie nadano numeru PESEL), oraz państwa urodzenia, serii i numeru dokumentu stwierdzającego tożsamość osoby, adresu zamieszkania[13]. Zebrane dane klienta podlegają weryfikacji, która polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania określonych w rozporządzeniu eIDAS[14]. Celem weryfikacji jest potwierdzenie, że klient jest tą osobą, za którą się podaje. Ustawa AML nie narzuca konkretnych środków bezpieczeństwa finansowego. Zakres, metoda i intensywność realizowanych środków powinny odpowiadać poziomowi ryzyka zidentyfikowanego przez instytucję obowiązaną (risk based approach). Odwołanie do usług zaufania z rozporządzenia eIDA (...)