Cyfryzacja procesu zawierania umów o kredyt konsumencki
Monitor Prawa Bankowego 2022/07-08 Lipiec - Sierpień
Celem artykułu jest zbadanie, w jakim stopniu obowiązujące regulacje umożliwiają pełną cyfryzację procesu udzielania kredytu konsumenckiego, a gdzie pojawiają się bariery i ryzyka. Analiza uwzględnia także perspektywę projektowanej drugiej dyrektywy w sprawie kredytów konsumenckich[1].
Dominika Rogoń
W ostatnich latach jednym z głównym trendów w usługach finansowych – wzmocnionym dodatkowo przez doświadczenie pandemii COVID-19 – jest polityka „paperless”, czyli dystrybucja usług bez udziału dokumentów papierowych, nośników fizycznych, najczęściej także bez fizycznej obecności stron. Coraz więcej dostawców usług finansowych – obok tradycyjnej działalności stacjonarnej – rozwija kanały online i mobilne, a wielu z nich (zwłaszcza niebankowych) działa wyłącznie w Internecie. Oczywistym motorem takich działań jest chęć zapewnienia klientom w możliwie największym stopniu wygody i szybkości dostępu do usługi finansowej.
Pojęcie „transformacja cyfrowa” przewija się obecnie w każdej kolejnej strategii i akcie prawnym Unii Europejskiej, w tym z obszaru usług finansowych. Prawo z jednej strony próbuje nadążyć za rozwojem technologii i odpowiedzieć na potrzeby rynku, a z drugiej strony – zachowując neutralność technologiczną – wyprzedzić nowe rozwiązania. Niedawny przegląd dyrektywy 2008/48[2] zakończył się decyzją o procedowaniu projektu CCD2. Jednym z wniosków z przeglądu obowiązującej dyrektywy i konsultacji branżowych jest niedostosowanie zakresu oraz treści obowiązków informacyjnych kredytodawcy wobec konsumenta do wykorzystania urządzeń cyfrowych w celu udzielania kredytów. Stąd jednym z deklarowanych celów projektu CCD2 jest uproszczenie niektórych wymogów informacyjnych oraz ich dostosowanie do użytku cyfrowego. Można dyskutować, czy projekt ten – gdyby miał być przyjęty w brzmieniu z 30.06.2021 r. – rzeczywiście ułatwiłby cyfryzację procesu. W tym momencie ostateczny kształt nowej dyrektywy CCD2 nie jest jeszcze przesądzony.
Analizując zagadnienia związane z cyfryzacją procesu kredytowego, trzeba mieć na uwadze, że dążenie do wygody i szybkości udzielania kredytów konsumenckich ściera się tu z koniecznością zapewnienia zgodności w zakresie obowiązków informacyjnych wobec konsumenta i ochrony jego danych osobowych, zachowania zasady responsible lending, przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, a także z prewencją cyberprzestępczości[3].
W artykule rozważam najistotniejsze spośród powyższych kwestii, przy zachowaniu porządku kolejnych etapów procesu udzielania kredytu konsumenckiego, począwszy od wniosku kredytowego.
Wniosek kredytowy
Ustawa o kredycie konsumenckim[4], w ślad za dyrektywą 2008/48, przewiduje kategorię umowy o kredyt konsumencki zawieranej na odległość (bez jednoczesnej fizycznej obecności stron, z wyłącznym wykorzystaniem jednego lub większej liczby środków porozumiewania się na odległość do chwili zawarcia umowy włącznie)[5]. Ustawa nie reguluje jednak trybu i formy złożenia przez konsumenta wniosku o kredyt konsumencki. Nie odnosi się do tego również projekt CCD2, który natomiast wprowadza wyraźny zakaz udzielania kredytów konsumentom bez ich wcześniejszego wniosku i wyraźnej zgody na wszczęcie procedury kredytowej[6]. Ponadto w ramach promocji edukacji finansowej proponuje się obowiązek przedstawiania konsumentom jasnych i ogólnych informacji na temat procedury udzielania kredytu, aby wiedzieli, jak mają postępować. Dotyczy to zwłaszcza tych konsumentów, którzy zaciągają kredyt konsumencki po raz pierwszy, w szczególności za pośrednictwem narzędzi cyfrowych[7].
W przypadku gdy kredyt jest udzielany w kanale online lub w aplikacji mobilnej, konsument inicjuje proces, wypełniając formularz cyfrowy obejmujący dane osobowe i informacje o wnioskowanym produkcie. Już na tym etapie kredytodawca powinien zrealizować (przynajmniej w warstwie podstawowej) obowiązki informacyjne wynikające z art. 13 RODO[8], co w praktyce sprowadza się do akceptacji przez konsumenta „polityki prywatności” kredytodawcy. Może to nastąpić przez zaznaczenie „okienka” (checkbox) lub wykonanie kolejnego kroku na ścieżce kredytowej, jeśli konsument został poinformowany, że wysyłając formularz, potwierdza zapoznanie się z zasadami przetwarzania danych osobowych przez kredytodawcę jako administratora. Udzielanie kredytów konsumenckich przez Internet jest świadczeniem usług drogą elektroniczną, w związku z czym konsument, składając wniosek po raz pierwszy, musi zaakceptować regulamin serwisu kredytodawcy spełniający wymogi z art. 8 u.s.u.d.e.[9].
Procedura wnioskowania o kredyt konsumencki kanałami zdalnymi nie wyklucza udziału pośrednika kredytowego w rozumieniu art. 5 pkt 3 u.k.k. Konsument może skorzystać z usług platform pośrednictwa kredytowego, w ramach których operator platformy działa jako pośrednik, wykonując czynności pośrednictwa (faktyczne lub prawne) na rzecz kredytodawców współpracujących z platformą[10]. Nie można wykluczyć sytuacji, w której status pośrednika kredytowego przysługuje sprzedawcy prowadzącemu sklep internetowy i współpracującemu z kredytodawcą przy udzielaniu kredytów wiązanych w kanale online.
Podczas składania wniosku konsument udziela także zgód wymaganych do zbadania jego zdolności kredytowej (zob. dalej). Dalsze działania będą zależały od przyjętej przez danego kredytodawcę polityki w zakresie przeciwdziałania praniu pieniędzy i oceny zdolności kredytowej konsumenta.
Procedura KYC/CDD (know your client/customer due diligence)
Kredytodawca konsumencki – będący zarówno bankiem, SKOK-iem, jak i instytucją pożyczkową – jest instytucją obowiązaną w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[11]. Kredytodawca musi zastosować wobec konsumenta środki bezpieczeństwa finansowego obejmujące identyfikację klienta oraz weryfikację jego tożsamości, identyfikację beneficjenta rzeczywistego[12], a także ocenę i monitorowanie stosunków gospodarczych klienta. Obligatoryjnie należy je zastosować przy nawiązywaniu stosunków gospodarczych z klientem, w szczególności zawieraniu z nim umowy o charakterze ciągłym (np. umowy o kredyt, umowy ramowej o usługę płatniczą). W przypadku umów kredytowych celem tej procedury jest także wyeliminowanie ryzyka „fraudów” i wyłudzeń. Chodzi zatem zarówno o wypełnienie obowiązków ustawowych, jak i uchronienie instytucji finansowej od potencjalnej szkody bądź zapewnienie jej możliwości dochodzenia roszczeń przeciwko jej sprawcy. W środowisku cyfrowym istotne znaczenie ma ponadto zapobieganie kradzieżom tożsamości osób fizycznych.
W przypadku umowy o kredyt konsumencki, którą zawiera się na odległość, procedura KYC/CDD określana jest jako „zdalny onboarding”. Ustawa AML nie przewiduje odrębnej, specyficznej regulacji dla tego typu procedury.
Identyfikacja klienta polega na ustaleniu w przypadku osoby fizycznej: imienia i nazwiska, obywatelstwa, numeru PESEL lub daty urodzenia (w przypadku gdy nie nadano numeru PESEL), oraz państwa urodzenia, serii i numeru dokumentu stwierdzającego tożsamość osoby, adresu zamieszkania[13]. Zebrane dane klienta podlegają weryfikacji, która polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania określonych w rozporządzeniu eIDAS[14]. Celem weryfikacji jest potwierdzenie, że klient jest tą osobą, za którą się podaje. Ustawa AML nie narzuca konkretnych środków bezpieczeństwa finansowego. Zakres, metoda i intensywność realizowanych środków powinny odpowiadać poziomowi ryzyka zidentyfikowanego przez instytucję obowiązaną (risk based approach). Odwołanie do usług zaufania z rozporządzenia eIDAS zostało dodane na mocy niedawnej nowelizacji Ustawy AML[15], co dowodzi potencjału tych usług w ramach procesów przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu[16].
Powyższe czynności muszą być także przeprowadzone w procedurze zdalnego onboardingu klienta. Zdalny onboarding jest uwzględniony w obowiązującej Ustawie AML jako czynnik wyższego ryzyka prania pieniędzy i finansowania terroryzmu. Zgodnie z art. 43 ust. 2 pkt 7 u.p.p.p. o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu może świadczyć w szczególności nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej bez fizycznej obecności klienta – w przypadku gdy związane z tym wyższe ryzyko prania pieniędzy lub finansowania terroryzmu nie zostało ograniczone w inny sposób, w tym przez użycie środków identyfikacji elektronicznej oraz usług zaufania umożliwiających identyfikację elektroniczną w rozumieniu rozporządzenia eIDAS. W przypadkach wyższego ryzyka prania pieniędzy lub finansowania terroryzmu instytucje obowiązane stosują wzmożone środki bezpieczeństwa finansowego, przez co należy rozumieć środki ponadstandardowe (np. stosowane w większej liczbie lub częściej niż w przypadkach normalnego ryzyka).
W tej kwestii Generalny Inspektor Informacji Finansowej (GIIF) zajmował już dwukrotnie stanowisko. W pierwszym komunikacie z 22.08.2018 r.[17] stwierdzono, że w braku możliwości zastosowania środków identyfikacji elektronicznej, w tym kwalifikowanego podpisu elektronicznego, instytucja obowiązana powinna zastosować wzmożone środki bezpieczeństwa finansowego; do weryfikacji tożsamości klienta instytucja obowiązana powinna posłużyć się co najmniej dwoma różnymi dokumentami, danymi i informacjami pochodzącymi z wiarygodnych i niezależnych źródeł, z czego przynajmniej jeden powinien być dokumentem potwierdzającym tożsamość osoby fizycznej. Autentyczność dokumentów weryfikacyjnych i tożsamość osoby je przedkładającej instytucja obowiązana może potwierdzić np. podczas wideorozmowy. Pomocniczo rekomenduje się stosowanie mikroprzelewu weryfikacyjnego z rachunku w innej instytucji obowiązanej. Choć przelew weryfikacyjny daje wysokie prawdopodobieństwo, że działająca osoba jest rzeczywistym posiadaczem danego rachunku bankowego, to według GIIF może on być jedynie środkiem dodatkowym, ze względu na minimalny zakres danych osobowych zawartych w informacji o przelewie, przez co potwierdza się prawdziwość tylko niektórych danych identyfikacyjnych.
Komunikat z 22.08.2018 r. został skorygowany przez GIIF[18]. Korekta polegała na uwzględnieniu w wykładni art. 43 ust. 2 pkt 7 u.p.p.p. zasady risk based approach. Doprowadziło to do wniosku, że fakt braku fizycznej obecności klienta w przypadku nawiązywania stosunków gospodarczych lub przeprowadzania transakcji okazjonalnej nie stanowi przesłanki świadczącej automatycznie o istnieniu wyższego ryzyka prania pieniędzy oraz finansowania terroryzmu, a jedynie może wskazywać na wystąpienie takiego ryzyka. Wobec tego, gdy w danym przypadku zdalnego nawiązywania stosunków gospodarczych z klientem instytucja obowiązana oceni ryzyko jako niskie, nie musi ona stosować wzmożonych środków bezpieczeństwa finansowego. Stanowisko to wydaje się uwzględniać perspektywę np. instytucji pożyczkowych działających wyłącznie w Internecie, gdy wszyscy klienci podlegają takiej samej procedurze zdalnego onboardingu, a zarazem uzyskują zestandaryzowany produkt kredytowy
