Wideoweryfikacja klienta instytucjonalnego

Monitor Prawa Bankowego 2022/07-08 Lipiec - Sierpień

Pismo Urzędu KNF

Stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące identyfikacji klienta instytucjonalnego[1] i weryfikacji jego tożsamości w sektorze finansowym podlegającym nadzorowi Komisji Nadzoru Finansowego w oparciu o metodę wideoweryfikacji

Prezentujemy dobre praktyki w zakresie wypełniania obowiązków wynikających z ustawy z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2021 r., poz. 1132, ze zm.), zwanej dalej: „ustawą”, dotyczących zapewnienia środków bezpieczeństwa finansowego, w szczególności identyfikacji klienta instytucjonalnego (zwanego dalej także: „klientem”) i weryfikacji jego tożsamości w instytucjach obowiązanych, podlegających nadzorowi KNF (zwanych dalej: „podmiotami nadzorowanymi”), w oparciu o metodę wideoweryfikacji[2].

Praktyki te powinny znaleźć zastosowanie w bieżącej działalności podmiotów nadzorowanych, wykorzystujących metodę wideoweryfikacji (dotyczy nawiązania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnych bez fizycznej obecności klienta).

W zakresie zarówno wdrożenia, jak i funkcjonowania modelu identyfikacji i weryfikacji tożsamości klientów w oparciu o rozwiązania technologiczne, mają zastosowanie standardy zawarte w przeznaczonych dla podmiotów nadzorowanychrekomendacjach KNF i wytycznych w zakresie IT, np. w Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Rekomendacji D-SKOK dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych.

Zgodnie z art. 33 ust. 4 ustawy „instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę”. Powyższe oznacza, że to na podmiotach nadzorowanychciąży wymóg ustalenia poziomu ryzyka (w tym profilu ryzyka klienta wynikającego m.in. z branży prowadzonej działalności gospodarczej, ryzyka kraju itd.). W przypadku, gdy nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej następuje bez fizycznej obecności klienta, to od zidentyfikowanego przez podmiot nadzorowanypoziomu i profilu ryzyka klienta oraz przeprowadzonej przez niego oceny tego ryzyka zależy, w jakim zakresie i jak szczegółowo podmiot nadzorowanyzastosuje konieczne środki bezpieczeństwa finansowego wobec swojego klienta, w tym identyfikację klienta oraz weryfikację jego tożsamości.

Proces identyfikacji klienta instytucjonalnego, osób upoważnionych do działania w jego imieniu oraz beneficjenta rzeczywistego klienta instytucjonalnego polega na ustaleniu przez podmiot nadzorowany:

  • w przypadku osoby fizycznej prowadzącej działalność gospodarczą - nazwy (firmy), numeru identyfikacji podatkowej (NIP) oraz adresu głównego miejsca wykonywania działalności gospodarczej (art. 36 ust. 1 pkt 1 lit. f ustawy),
  • w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej - nazwy (firmy), formy organizacyjnej, adresu siedziby lub adresu prowadzenia działalności, NIP, a w przypadku braku takiego numeru - państwa rejestracji, nazwy właściwego rejestru oraz numeru i daty rejestracji (art. 36 ust. 1 pkt 2 lit. a-d ustawy), a także
  • danych identyfikacyjnych, tj. imienia i nazwiska oraz numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia osoby reprezentującej/osób reprezentujących osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej (art. 36 ust. 1 pkt 2 lit. e ustawy),
  • danych identyfikacyjnych beneficjenta rzeczywistego obejmujących imię i nazwisko, w przypadku posiadania in (...)