Nuotolinis klientų identifikavimas: dažniausios klaidos ir kaip jas spręsti

Sausio 19 d. „Motieka ir Audzevičius“ surengė internetinį seminarą „Nuotolinė klientų identifikacija: praktiniai iššūkiai“. Renginys sulaukė didžiulio susidomėjimo ir gausybės dalyvių klausimų.

Finansų rinkos dalyviai ir jų klientai vis dažniau renkasi nuotolinę identifikaciją, o Fintech įstaigos dažniausiai savo klientų tapatybę nustato tik nuotoliniu būdu.

Seminare pranešimus apie praktinius nuotolinio klientų identifikavimo iššūkius skaitė: „Motieka ir Audzevičius“ vyresnioji teisininkė Evelina Tumakova-Kuzmič, nuotolinio klientų pažinimo įrankius suteikiančios įmonės „Ondato“ vadovas Liudas Kanapienis ir „Transcendent Group Baltics“ vadovė Solveiga Acuvienė. Seminarą moderavo „Motieka ir Audzevičius“ finansų teisės ir atitikties vadovė Sigita Zavišienė.

Dalinamės su jumis svarbiausiomis pranešimų įžvalgomis ir patarimais.

E. Tumakovos-Kuzmič pranešimo „Teorija vs praktika. Ar visada suderinama?“ pagrindiniai akcentai:

• Nustatant asmens tapatybę naudojant vairuotojo pažymėjimą yra būtina papildomai surinkti ir patikrinti informaciją apie asmens pilietybę.
• Vairuotojo pažymėjimas, išduotas Europos Sąjungos valstybės narės ir atitinkantis Direktyvos (2006/126/EB ) dėl vairuotojo pažymėjimo reikalavimus, laikytinas pakankamai saugiu ir patikimu dokumentu. Tinkamai įvertinti kliento pateikto vairuotojo pažymėjimo patikimumą ir atitiktį apsaugos reikalavimams gali padėti viešai prieinamos Europos Sąjungos valstybėse cirkuliuojančių vairuotojų pažymėjimų duomenų bazė ir sąvadas. Čia finansų įstaigos ir kiti įpareigotieji subjektai gali pamatyti, kaip turi atrodyti konkrečios valstybės atitinkamu laikotarpiu išduotas vairuotojo pažymėjimas.
• Jei potencialus klientas pradeda registracijos procedūrą, užpildo kliento pažinimo anketą, bet po to persigalvoja ir neatlieka vaizdo identifikavimo, jis netampa finansų įstaigos klientu, tačiau finansų įstaiga jo duomenis gauna. Ką gi reikėtų daryti su šiais duomenimis? Iš karto juos trinti ar galima saugoti kurį laiką? Tokioje situacijoje rekomenduojama iš karto aiškiai nurodyti terminą, kuris būtų proporcingas ir ne pernelyg ilgas, per kiek laiko asmuo gali pateikti visus reikiamus duomenis, jei nori užbaigti registraciją ir tapti finansų įstaigos klientu. Tai galėtų būti, tarkime, 5–10 darbo dienų trukmė. Potencialus klientas turi būti informuojamas, kad nurodytą laikotarpį finansų įstaiga saugos jo duomenis. Duomenų saugojimo pagrindas – sutarties sudarymas. Pasibaigus šiam laikotarpiui, jei potencialus klientas neužbaigė registracijos, jo duomenys privalo būti ištrinti.
• Finansų įstaigos, kurios priima sprendimą neužmegzti dalykinių santykių su klientu dėl aukštos rizikos, šio asmens duomenis galėtų saugoti 3 mėn., jei iš pastarojo negauna skundo. O jei gauna – dar 3 metus po galutinio atsakymo pareiškėjui pateikimo. Duomenų saugojimo pagrindas būtų teisėtas interesas.
• Siekiant tinkamai patikrinti klientų teikiamų dokumentų patikimumą, reikėtų šiuos dokumentus tikrinti viešai prieinamuose oficialiuose patikimuose šaltiniuose. Jei tokios galimybės nėra, tuomet reikėtų prašyti legalizuotų dokumentų kopijų.

L. Kanapienis pranešime „Nuotolinė klientų identifikacija – apgaulės būdai“ aptarė dažniausius sukčiavimo būdus.

• Finansų įstaigoms vis daugiau paslaugų teikiant elektroninėje erdvėje daugėja ir sukčiavimo atvejų bei bandymų klastoti asmens duomenis. Vienas iš dažniausiai naudojamų sukčiavimo būdų yra sintetinės tapatybės sukūrimas. Tai sukčiavimo rūšis, kai nusikaltėlis sujungia tikrąją ir suklastotą informaciją, kad sukurtų naują tapatybę. Tokia kombinacija yra itin pavojinga, jeigu nėra naudojami kompleksiniai sprendimai, apimantys daugybę įvairiausių duomenų patikrinimų ir palyginimų.
• Svetimo dokumento manipuliacija įklijuojant savo ar panašaus asmens nuotrauką. Jeigu kyla abejonių dėl dokumento kokybės, reikėtų paprašyti kito dokumento ir pasižiūrėti, ar klientas turi galimybę jį pateikti. Tačiau patikimiausias būdas – naudoti sprendimus, leidžiančius palyginti biometrinius asmens veido duomenis.
• Dalies dokumente nurodytos informacijos pakeitimas ar nuslėpimas. Dažnai bandoma pakeisti dokumento galiojimo datą, asmens pavardę ar kitus duomenis. Jei yra galimybė, reikėtų sulyginti dokumente pateiktą informaciją su MRZ kodo informacija, tačiau pasitaiko ir atvejų, kuomet pats MRZ yra suklastojamas.
• Visiškai padirbtas aukštos kokybės dokumentas. Tai yra naujai pagamintas padirbtas dokumentas su visiškai ar dalinai suklastota informacija, tačiau vizualiai niekuo nesiskiriantis nuo tikro dokumento, nes gamyba atliekama profesionaliai naudojant panašias medžiagas ir technologijas.
• Nusisavintų dokumentų pateikimas. Informacija apie asmenį yra reali, tačiau tai nėra to asmens dokumentas. Tai būna pirkti dokumentai su to asmens nuotrauka, tačiau svetimais duomenimis.
• Pateikiamos dokumento nuotraukos iš įrenginių. Sukūrus kokybišką nuotrauką kompiuteriu ar kitu įrenginiu, ji gali būti panaudota suklastojant asmens dokumentą.
• Veido atpažinimo manipuliacijos. Vien tik dokumento suklastojimu nėra apsiribojama, nes dažnai norint nustatyti asmens tapatybę nuotoliniu būdu yra reikalaujama papildomai pateikti ir asmenukę. Tokiu atveju sukčiai naudoja 3D veido kaukes, vaizdo įrašų pakartojimus, atspausdintas ir skaitmenines nuotraukas bei kitas jų manipuliacijas.

Sprendimo būdai. Vienas iš efektyviausių būdų tikrinti duomenis ir užtikrinti verslo saugumą yra naudojant kompleksinius sprendimus, apimančius daugybę patikrinimų, palyginimų įvairiose registrų ir duomenų bazėse.

S.Acuvienė pranešime „Nuotolinė klientų identifikacija iš audito pastebėjimų“ kalbėjo apie dažniausiai pasitaikančius trūkumus klientų pinigų plovimo ir teroristų finansavimo prevencijos priemonių auditų metu, kai tikrinamas kliento tapatybės nustatymo procesas naudojant elektronines priemones, leidžiančias tiesioginį vaizdo perdavimą:

• Kai kliento tapatybė nustatoma Skype pokalbių metu:

a) Prasta vaizdo kokybė. Klientui rodant savo asmens tapatybės dokumentą, nesimato dokumento duomenų, neįmanoma įžiūrėti asmens nuotraukos. Todėl dažnu atveju finansų įstaigos darbuotojai kliento duomenis nustato ne iš vaizdo identifikavimo metu rodomų dokumentų, o iš kliento atsiųstų. Taigi pasitaiko variantų, kai klientas video identifikavimo metu rodo savo pasą, o kliento anketoje yra nurodyti asmens tapatybės kortelės duomenys.

b) Klientas akivaizdžiai nežino, kokiai įmonei atstovauja. Tokia situacija pasitaiko, kai juridiniai asmenys yra atstovaujami fizinių asmenų, veikiančių pagal įgaliojimą. Tai dažniausiai būna atstovai, atstovaujantys daugeliui juridinių asmenų, ir finansų įstaigos darbuotojas netgi turi jiems pasufleruoti, kuriai įmonei jie atstovauja ir kokios įmonės duomenis turėtų pasakyti.

c) Kliento atstovas ar klientas vaizdo skambučio metu yra patalpoje ne vienas. Be to, nesimato viso kliento veido.

• Tiesioginio nuotraukos perdavimo metu:

a) Perduodamos asmens duomenų nuotraukos būna prastos kokybės.

b) Tiesioginio nuotraukos perdavimo metu yra perduodamas asmens vaizdas, kuriame jis yra ne vienas. Arba pasitaiko atvejų, kad vienas asmuo identifikuojasi, o kitas laiko jo asmens tapatybės dokumentą.

• Asmens tapatybės dokumente nėra visų reikalingų duomenų, pvz., pilietybės.
• Kliento tapatybės nustatymo proceso metu padaryti vaizdo įrašai ir nuotraukos, saugomos finansų įstaigos, neturi žymos, kurioje būtų nurodytas IP adresas (jeigu klientas tapatybės nustatymo procesui naudojasi kompiuterine įranga), iš kurio klientas kreipėsi nustatant jo tapatybę.
• Finansų įstaiga neturi vidaus kontrolės procedūrų ir jų aprašymų apie praktikoje naudojamas priemones ir joms taikomus reikalavimus, klausimus, kurie yra užduodami klientui.
• Finansų įstaigų mokymų planuose nėra numatyti mokymai darbuotojams, atsakingiems už kliento tapatybės nustatymą nuotoliniu būdu, kaip naudotis priemonėmis, darbuotojai nėra supažindinti su FNTT Įsakymu Nr. V-314 bei su finansų įstaigos reikalavimais dėl klientų tapatybės nustatymo nuotoliniu būdu, naudojant priemones.

Sprendimo būdai:

• Užtikrinti, kad naudojamos sistemos sugeneruotų aukštos kokybės vaizdo bei nuotraukos ar audio įrašų perdavimą. O taip pat, kad vaizdo perdavimo procesas būtų realiu laiku ir nepertraukiamas.
• Turi būti vidaus kontrolės procedūros, kurios aprašo, kaip vyksta nuotolinis klientų identifikavimas. Šis procesas turi būti nurodytas ne tik sutartyje su techninio sprendimo tiekėju, bet ir pakankamai detaliai aprašytas finansų įstaigos vidaus dokumentuose.
• Sistemos ne viską sugeba padaryti, todėl reikalingas žmogaus žvilgsnis. Todėl procedūros, kurias turi atlikti darbuotojai, turi būti detaliai aprašytos. Jei sistema viską patikrino, reikėtų periodiškai atrankos būdu dar kartą patikrinti, kaip buvo atliktas klientų identifikavimas.
• Apie klientą turi būti surinkta visa privaloma informacija ir patikrinta nepriklausomame šaltinyje. Praktikoje ne visa informacija apie klientą yra surenkama, kai jis yra identifikuojamas nuotoliniu būdu. Verta nepamiršti, kad šuo atveju galioja tie patys reikalavimai, kaip ir nustatant asmens tapatybę dalyvaujant gyvai.

Nuotolinės klientų identifikacijos būdai yra pakankamai išsamiai reglamentuoti teisės aktų. Lietuvos bankas ir kitos priežiūros institucijos nuolat konsultuoja finansų rinkos dalyvius dėl tinkamo klientų tapatybės nustatymo nuotoliniu būdu. Tačiau, kaip matome, nuotolinė klientų identifikacija kelia nemažai praktinių iššūkių. Tikimės, kad mūsų pranešėjų įžvalgos buvo naudingos ir padėjo rasti atsakymus į rūpimus klausimus.