Дистанційна верифікація клієнтів:нові правила для банків і небанківських установ

З 28 квітня 2020 року набув чинності Закон про фінансовий моніторинг [1]. Положення про здійснення банками фінансового моніторингу, ухвалене Постановою НБУ від 19 травня 2020 року №65 (нові зміни набули чинності 3 жовтня ц. р.), закріплює порядок проведення ідентифікації та верифікації клієнтів банків, визначає обсяг необхідної інформації, перелік документів, цілі, яких банк повинен досягти в процесі перевірки, а також механізм здійснення дистанційної верифікації [3]. 

Також з 1 липня 2020 року почали діяти норми так званого Закону про “спліт”, що розширює повноваження НБУ та переводить небанківські фінансові установи під регулювання і нагляд Нацбанку (страхові, лізингові, факторингові, мікрофінансові компанії, бюро кредитних історій, ломбарди, кредитні спілки) [2, 7]. Постановою Національного банку від 28 липня 2020 року № 107 [4] невдовзі були затверджені рівнозначні норми і механізм ідентифікації та верифікації клієнтів цих установ, закріплені Положенням про здійснення установами фінансового моніторингу.

Варто зазначити, що процеси ідентифікації та верифікації клієнтів належать до так званої процедури KYC (Know Your Client, "знай свого клієнта"), яка в контексті фінмоніторингу означає, що банки та фінансові організації повинні верифікувати клієнта до встановлення з ним будь-яких ділових відносин. Верифікація має на меті перевірку (підтвердження) достовірності поданої клієнтами інформації, зокрема, ідентифікаційних даних. Якщо ідентифікація особи могла здійснюватись віддалено і раніше (наприклад, щодо клієнтів, які вже мають відкритий рахунок у банку і хочуть відкрити наступний),  то умовою верифікації була особиста присутність у відділенні.

Новий закон — нові правила

Закон про фінансовий моніторинг містить ряд суттєвих нововведень, зокрема ті, що їх фінансова спільнота очікувала чи не найбільше. Хочемо звернути вашу увагу на наступні зміни [8]:

1. Запровадження ризик-орієнтованого підходу (Risk-Based Approach) в діяльності суб’єктів первинного фінансового моніторингу (СПФМ). Ризик-орієнтований підхід має прийти на зміну тотальному контролю за фінансовими операціями і зменшити бюрократичні процедури при ідентифікації та верифікації клієнтів СПФМ. До них належать банки, страхові компанії, страхові брокери, кредитні спілки, ломбарди та інші фінансові установи, платіжні організації, учасники фондового ринку тощо.

2. Запровадження механізму належної перевірки. Вона включає в себе:

• ідентифікацію та верифікацію клієнта;

• встановлення кінцевого бенефіціарного власника клієнта;

• встановлення мети та характеру майбутніх ділових відносин або проведення фінансової операції;

• проведення на постійній основі моніторингу ділових відносин та фінансових операцій клієнта щодо відповідності таких операцій наявній у СПФМ інформації про клієнта, його діяльність і клас ризику;

• забезпечення актуальності отриманих та існуючих документів, інформації і даних про клієнта. 

При цьому обсяг дій при здійсненні кожного із заходів належної перевірки визначається СПФМ з урахуванням ризик-профілю клієнта: рівня ризику, мети ділових відносин, суми здійснюваних операцій, регулярності або тривалості  ділових відносин. У випадку низького ризику СПФМ може застосовувати спрощені заходи належної перевірки, при високому — посилені (більша частота та обсяг дій з моніторингу ділових відносин, збір додаткової інформації тощо). 

3. Нова процедура верифікації клієнтів. Закон про фінансовий моніторинг скасовує необхідність особистої присутності клієнта у відділенні банку для верифікації, хоча і не містить докладної інформації про правила її дистанційного проведення. Вирішення цього питання передається відповідним державним регуляторам, зокрема, Національному банку України.

Моделі віддаленої верифікації клієнтів

Національний банк України затвердив повноцінні і спрощені моделі дистанційної верифікації у зв’язку із введенням в дію 28 квітня 2020 року згаданого вище Закону про фінансовий моніторинг. Банки зможуть самостійно обирати необхідну їм модель "відповідно до власних бажань, можливостей доопрацювання програмних комплексів та відповідної оцінки ризиків такої діяльності" [5]. Як і для банків, для небанківських установ крім фізичної присутності та копії оригіналів документів також доступна дистанційна ідентифікація та верифікація клієнтів [9].

Повноцінні моделі дистанційної ідентифікації і верифікації

Згідно з Положеннями Національного банку України, повноцінна модель може використовуватись без застосування лімітів до операцій клієнтів. Сюди належать:

• верифікація ідентифікаційних даних за допомогою системи BankID НБУ та кваліфікованого електронного підпису (КЕП);

• верифікація за допомогою ресурсу державних онлайн-послуг "ДІЯ" — отримання е-паспорта клієнта, завіреного електронною печаткою ДП “ДІЯ” з відповідною кваліфікованою електронною позначкою часу, що відповідатиме даті здійснення верифікації особи;

• верифікація в режимі відеотрансляції (далі — відеоверифікація). Порядок і правила проведення такої відеоверифікації детально описані в Додатку 3 до Положень [3, 4] і передбачають дотримання ряду технічних і організаційних вимог. До проведення відеоверифікації банк/ установа повинні отримати чітку та однозначну згоду особи на здійснення процедури. Банк/ установа зобов'язані забезпечити належний рівень конфіденційності, виключити присутність третіх осіб під час проведення відеоверифікації, забезпечити надійність каналів зв'язку (якщо сеанс перерветься, процес потрібно починати спочатку), засобів фотофіксації тощо.

Зауважимо, що банки та фінансові установи самостійно визначають програмні та програмно-апаратні засоби, за допомогою яких проводиться зчитування ідентифікаційних даних особи і їх автентифікація (розпізнавання) і зобов'язані забезпечити захищений канал обміну даними під час проведення зчитування ідентифікаційних даних.

Як відбуватиметься відеоверифікація на практиці?

Як пояснює сам НБУ, фактично йдеться про спілкування клієнта і уповноваженого працівника банку в форматі відеотрансляції з метою перевірки документів [6]:

• для паспортів старого зразка буде проводитись візуальна оцінка документа, перевірка відповідності обличчя і додаткова перевірка з використанням BankID НБУ, КЕП, додаткових документів, дані звірятимуть з інформацією з бюро кредитних історій;

• для біометричних паспортів та ID-карток банк чи установа дистанційно зчитуватиме дані з чипу і перевірить відповідність обличчя особи з фото. Альтернативний спосіб перевірки — візуальна оцінка документа, захисних елементів, логічна перевірка інформації.

Згідно п. 10 Додатку 3 Положень [3, 4], банк/ установа має право не здійснювати додаткову перевірку захисних елементів ідентифікаційного документа, якщо ними отриманий завірений електронною печаткою ДП “ДІЯ” е-паспорт з відповідною кваліфікованою електронною позначкою часу, що відповідає даті здійснення верифікації особи.

Також за умови дотримання всіх вимог, перелічених в Додатку 3 вищезазначених Положень НБУ, відеоверифікація прирівнюється до верифікації, здійсненої в особистій присутності особи.

Спрощені моделі віддаленої верифікації клієнтів

Спрощені механізми верифікації є простішими з точки зору побудови процесу для фінансових установ та банків. З іншого боку, вони є доступнішими для певних категорій населення, яке не має доступу до швидкісного інтернет-зв'язку, КЕП чи BankID. Спрощені моделі передбачають певні ліміти на обсяги операцій та залишків за рахунками клієнтів. Для банків, згідно п. 33 Додатку 2 Положення [3], ці обмеження становлять:

• не більше 40 тис. грн на місяць та 400 тис. грн на рік на проведення операцій за всіма рахунками клієнта в банку;

• не більше 40 тис. грн загального залишку за всіма рахунками і електронними гаманцями клієнта в банку.

Для небанківських фінансових установ, згідно п. 32 Додатку 2 Положення [4], діють наступні ліміти:

• не більше 40 тис. грн на місяць та 400 тис. грн на рік загальної суми всіх фінансових операцій, які зменшують активи клієнта;

• не більше 40 тис. грн загальної суми зобов’язань установи перед клієнтом/ клієнта перед установою.

До інструментів спрощеної моделі верифікації належать [5]:

• верифікація за допомогою системи BankID НБУ;

• використання КЕП;

• здійснення платежу на окремий рахунок в банку з особистого рахунку клієнта з вказанням ПІБ (цей пункт стосується тільки банків — прим. авт.);

• дистанційне зчитування клієнтом даних з чипу біометричного документа (закордонний паспорт або ID-картка) за допомогою мобільного додатка і використання модуля NFC смартфона;

• верифікація даних з бюро кредитних історій: з ініціативи банку на фінансовий номер телефону клієнта, зазначений у його кредитній історії, буде надіслано otp-пароль, який клієнт мусить підтвердити;

Зауважимо, що під час проведення окремих процедур верифікації, як при особистій присутності клієнта, так і при віддаленій, в т.ч. відео- верифікації, потрібно буде здійснити фотофіксацію клієнта з власним ідентифікаційним документом. Також для мінімізації ризику шахрайства додатково буде використовуватись функція перевірки реальності особи (liveness detection).

Фотофіксація клієнтів банків та фінансових установ

Згідно зі Ст. 1 Положень [3, 4] метод розпізнавання реальності особи (liveness detection method) — “фотофіксація особи в режимі реального часу з використанням алгоритмів, що дають змогу відрізнити реальну людину від репродукції у будь-якому вигляді її зовнішності (наприклад, цифрова репродукція, грим, маска)”.

У яких випадках потрібна фотофіксація:

1. Фотофіксація є одним із способів підтвердження факту особистої присутності фізичної особи під час здійснення верифікації (п. 13 Додатку 2 до Положень [3, 4]):

• при виготовленні електронних копій з ідентифікаційного документа (сторінки/сторони, що містять ідентифікаційні дані) здійснюється фотофіксація особи з відкритою сторінкою документа, що містить фото власника;

• при зчитуванні ідентифікаційних даних з чипа ID-картки — фотофіксація особи з власним ID-документом (сторона, що містить фото власника).

2. Під час проведення віддаленої верифікації за допомогою ресурсу державних онлайн-послуг "ДІЯ" шляхом отримання е-паспорта клієнта, завіреного електронною печаткою ДП “ДІЯ” з відповідною кваліфікованою електронною позначкою часу, що відповідатиме даті здійснення верифікації особи (п.30 Додатку 2 до Положень [3, 4]):

• здійснення фотофіксації особи з використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото.

3. Під час проведення віддаленої верифікації за допомогою отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій (п. 31 Додатку 2 до Положень  [3, 4]):

• фотофіксація особи із використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото є обов’язковою.

4. Під час віддаленої верифікації шляхом час зчитування ідентифікаційних даних з безконтактного електронного носія ID-картки (п. 31 Додатку 2 до Положень [3, 4]):

• фотофіксація з використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом (сторінки/сторони, що містить фото власника);

6. Під час відеоверифікації (п. 8 Додатку 3 до Положень  [3, 4]) здійснюється фотофіксація:

• особи, верифікація якої здійснюється;

• особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника.

Зауважимо, що згідно з п. 8 Додатку 3 Положень НБУ [3, 4]) фотофіксація забезпечується таким чином, щоб фотозображення давали змогу однозначно розпізнати особу та деталі ідентифікаційного документа (фото, ідентифікаційні дані, що містяться на такій сторінці ідентифікаційного документа).

Технології розпізнавання для роботи з перевіреними клієнтами

Як ми вже згадували раніше, згідно з Додатком 3 Положень  [3, 4] банкам та фінансовим установам надається можливість самостійно визначати програмні та програмно-апаратні засоби для дистанційної верифікації ідентифікаційних даних клієнтів. 

З огляду на встановлення більш жорстких вимог до фінансового моніторингу клієнтських операцій (залежно від ступеня ризику та сум), технології розпізнавання можуть значно спростити процедури перевірки, що передбачають фотофіксацію, як під час первинної верифікації клієнта так і в подальшому - для попередньо ідентифікованих та верифікованих клієнтів — тих, чиє фото та фото документів вже є в базі.

Для прикладу, кредитні організації можуть використовувати систему розпізнавання облич FaceID [10] для підтвердження надійних позичальників і виявлення самозванців.

Коротко про принцип застосування і роботи такого сервісу:

• для початку процесу валідації клієнта просять зробити нове фото (наприклад, з паспортом в руках), після чого воно завантажується в систему;

• система порівнює обличчя на фото з попередніми знімками, співставляє обличчя та фото в документі і встановлює, чи належать вони тій самій людині;

• якщо відсоток співпадіння високий і розпізнавання відбулось успішно, то подальші дії залежатимуть від моделі перевірки, яка застосовується до клієнта кредитної організації чи банку. 

Зазначимо, що система самостійно визначає наявність обличчя на фото документа. Також можна встановити додаткові правила перевірки реальності особи для порівняння фото, наприклад, попросити особу відтворити певну дію: закрити око, зробити жест рукою тощо.

У світі технології розпізнавання давно стали нормою: однозначне встановлення і підтвердження реальності особи, її особистості розглядаються як додатковий фактор безпеки при здійсненні ділових операцій. Це стосується як встановлення відносин з клієнтами, так і контролю за проведенням фінансових операцій. 

Джерела інформації:

1. Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення: Закон України від 28 квітня 2020 р. // Відомості Верховної Ради України (ВВР) —  2020 —  № 25. — Ст.171. 

2. Про внесення змін до деяких законодавчих актів України щодо удосконалення функцій із державного регулювання ринків фінансових послуг: Закон України від 28 квітня 2020 р. // Відомості Верховної Ради України (ВВР) —  2020 —  № 44. — Ст.277. 

3. Про затвердження Положення про здійснення банками фінансового моніторингу: постанова Правління Національного банку України від 19 травня 2020 р. №65 // Офіційне інтернет-представництво Національного банку України — 2020.

4. Про затвердження Положення про здійснення установами фінансового моніторингу: постанова Правління Національного банку України від 28 липня 2020 р. №107 // Нормативна база Національного банку України — 2020.

5. Банки отримають нові провідні сучасні інструменти для дистанційної ідентифікації та верифікації клієнтів // Національний банк України. – 2020. 

6. Оприлюднено новий порядок проведення фінмоніторингу банками // Національний банк України. – 2020.

7. Закон про “спліт” забезпечить прозорість, надійність та ефективність небанківського фінансового сектору // Національний банк України. – 2020.

8. Фінансовий моніторинг в Україні по-новому: чого очікувати? Аналіз нового Закону про фінмоніторинг від KPMG Law Ukraine // Liga360. – 2020.

9. Оприлюднено новий порядок проведення фінмоніторингу небанківськими установами  // Національний банк України. – 2020. 

10. Face ID — сервіс для розпізнавання облич по фото.