Wideoweryfikacja – jakie wymogi należy spełnić?

Opublikowane przez admin w dniu

Żyjemy w czasach, w których coraz więcej procesów zostaje poddanych digitalizacji, a standardowe sposoby kontaktu z klientem powoli odchodzą w zapomnienie. Fizyczne placówki instytucji finansowych odgrywają coraz mniejszą rolę, a cały proces zawierania umowy czy obsługi klienta zostaje przenoszony do świata wirtualnego.

Jednym z trendów jest możliwie daleko idące upraszczanie i skracanie tzw. on-boardingu, czyli procesu, w którym potencjalny klient jest zobligowany do podania niezbędnych informacji celem nawiązania stosunków gospodarczych. Rozwiązaniem, które patrząc po liczbie wdrożeń cieszy się stosunkowo dużą popularnością jest tutaj wideoweryfikacja rozumiana jako metoda potwierdzania tożsamości za pomocą połączenia video. klient bez wychodzenia z domu może w ten sposób założyć konto czy rachunek w danej instytucji finansowej.

Wideoweryfikacja wykorzystująca pomiary twarzy jest zaliczana do biometrii fizjologicznej (razem z m.in. skanem siatkówki oka, linii papilarnych czy układu naczyń krwionośnych). Drugim rodzajem jest biometria behawioralna, której możliwości wykorzystania są obecnie testowane w bankowości1.

 

Wideoweryfikacja na polskim rynku

Pierwszą instytucją, która zastosowała wideoweryfikację na krajowym podwórku był Alior Bank, który udostępnił taką funkcjonalność już w maju 2017 roku. Jego tropem poszły kolejne podmioty z sektora bankowego, takie jak mBank, Nest Bank czy Santander Bank Polska (dawniej BZW WBK).

Jak standardowo wygląda taki proces?

Potencjalny klient wypełnia wpierw na stronie kilka podstawowych pól, takich jak imię i nazwisko, adres e-mail i numer telefonu komórkowego oraz zaznacza odpowiednie zgody pozwalające na nagrywanie rozmowy i dostęp do kamerki internetowej i mikrofonu (nie należy zapominać o odpowiednich zgodach związanych z przetwarzaniem danych osobowych). Po przejściu tego etapu nawiązywane jest połączenie video z pracownikiem danej instytucji. Podczas rozmowy potencjalny klient zobligowany jest do przedstawienia dowodu osobistego lub innego dokumentu pozwalającego na stwierdzenia tożsamości (dalej: „dokument”) . Dokument ten jest zbliżany do kamery celem oceny przez pracownika jego prawdziwości, oryginalności. Następnie wykonywane jest zdjęcie dokumentu (w przypadku dowodu osobistego zdjęcie awersu i rewersu) oraz zdjęcie twarzy potencjalnego klienta. Twarz rozmówcy przy zastosowania algorytmu biometrycznego porównywana jest ze zdjęciem w dowodzie (badane są elementy stałe takie jak rozstaw oczu czy uszu). Dokument i potencjalny klient posługujący się nim są sprawdzani w odpowiednich bazach pod względem występowania na listach sankcyjnych czy spełniania przesłanek zaliczenia do osób zajmujących eksponowane stanowisko polityczne (PEP).

W zależności od stopnia zaawansowania technologii, którą posługuje się dana instytucja, następny etap może mieć dwa alternatywne rozwiązania:

  1. pracownik wypełnia na podstawie przesłanych danych (wynikających z dokumentu) pozostałe pola niezbędne do procesu on-boardingu i przedstawia potencjalnemu klientowi wypełniony formularz celem weryfikacji i akceptacji zawarcia umowy;
  2. przy zastosowaniu technologii OCR (Optical Character Recognition) dane niezbędne do zawarcia umowy sczytywane są automatycznie z przedstawionego dokumentu i wstawiane do odpowiednich pól co przyspiesza proces.

Finalnie, na podany numer telefonu przesyłane jest hasło, które należy podać konsultantowi podczas rozmowy, a potencjalny klient dostaje potwierdzenie mailowe wraz z kompletem dokumentacji umownej. W niektórych przypadkach nagranie video weryfikowane jest dodatkowo przez drugą osobę, co nieznacznie przedłuża ten proces. Podczas rozmowy lub w charakterze następczym oceniane jest zachowanie potencjalnego klienta (czy zachowuje się on standardowo, czy nie okazuje oznak zdenerwowania itd.) oraz m.in. czy tło nagrania nie budzi podejrzeń.

Taki sposób nawiązania stosunków gospodarczych powoduje, że nie są wymagane dodatkowe przelewy weryfikacyjne, spotkania z kurierem, czy wizyty w oddziale instytucji. Założenie konta w procesie wideoweryfikacji jest traktowane przez podmiot na równi z wizytą  w fizycznej placówce.

 

Co na to nadzorca i krajowe regulacje?

Niestety w zakresie wideoweryfikacji brak jest oficjalnego stanowiska czy wytycznych odpowiednich organów – czy to Komisji Nadzoru Finansowego (dalej: KNF) czy Generalnego Inspektora Informacji Finansowej. Jedyna informacja jaką można znaleźć pochodzi od Rzecznika Prasowego KNF – Pana Jacka Bartoszewskiego, który na zapytanie mailowe od redaktora portalu internetowego zajmującego się tematyką finansów2 udzielił następującej odpowiedzi:

„Zgodnie z obowiązującymi przepisami dopuszczalne jest nawiązanie stosunków gospodarczych z klientem w przypadku, gdy nie jest on obecny – W takiej sytuacji przepisy obligują m.in. banki do stosowania wzmożonych środków bezpieczeństwa finansowego ograniczających ryzyko prania pieniędzy lub finansowania terroryzmu. Są to:

– pozostawiony w archiwum zapis obrazu i dźwięku przeprowadzonej z klientem rozmowy,

– okazanie dowodu osobistego do kamery pod wieloma kątami w celu weryfikacji jego autentyczności,

– biometryczne porównanie twarzy klienta ze zdjęciem w dowodzie osobistym,

– sprawdzenie informacji zawartych w dowodzie osobistym w bazach danych w celu upewnienia się, że dowód nie został zastrzeżony lub, czy osoba posługująca się tym dowodem nie jest wymieniana na listach sankcyjnych,

– przesłanie przez konsultanta kodu SMS, który to kod klient musi podać konsultantowi podczas rozmowy.”

Jak widać wskazane elementy są zbieżne z opisem procesu wskazanym przeze mnie powyżej. Brakuje niestety dokładniejszych regulacji, które pozwoliłby na ustandaryzowanie czynności i stanowiłyby „twarde” wytyczne w zakresie wideoweryfikacji.

W zakresie obowiązujących przepisów bez wątpienia kluczowa jest ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu3 (dalej: „ustawa”).

Wystarczy wymienić tutaj: art. 34 ustawy w zakresie zastosowania środków bezpieczeństwa finansowego, których przykładami są identyfikacja i weryfikacja tożsamości kllienta, art. 36 ustawy wskazujący na zakres danych niezbędnych do identyfikacji klienta, art. 47 ustawy pozwalający na korzystanie przez instytucje obowiązane w rozumieniu ustawy z podmiotów trzecich przy stosowaniu wybranych środków bezpieczeństwa. Także inne artykuły m.in. wskazujące na szczególne środki ograniczające (a co za tym idzie obowiązek weryfikacji na odpowiednich listach) oraz rozszerzenie definicji osób zajmujących eksponowane stanowisko polityczne (PEP), a co za tym idzie konieczność weryfikacji potencjalnych klientów pod tym kątem.

Ponadto, pozostaje kwestia zgodności z przepisami dotyczącymi ochrony danych osobowych czy identyfikacji elektronicznej.

 

Na kim możemy się wzorować?

Z pomocą biegną tutaj nasi zachodni sąsiedzi, a dokładniej niemiecki BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht, odpowiednik naszego KNF), który wydał odpowiednie wytyczne w zakresie procesu wideoweryfikacji4. Sam proces co należy podkreślić może służyć jedynie identyfikacji i weryfikacji osób fizycznych. We wspomnianych wytycznych możemy znaleźć następujące wymogi:

  1. Proces wideoweryfikacji musi być wykonywany przez odpowiednio przeszkolonego pracownika. Szkolenia muszą odbywać się co najmniej raz w roku lub częściej np. w przypadku zmiany obowiązującego prawa.
  2. Archiwizowana jest dokumentacja potwierdzająca zaakceptowane dokumenty, sprawdzone cechy dokumentów oraz podjęte środki szkoleniowe.
  3. Podczas procesu wideoweryfikacji pracownicy instytucji muszą znajdować się w oddzielnych pomieszczeniach z ograniczonym dostępem, nie może to być tzw. open-space.
  4. Potencjalny klient musi wyrazić wyraźną zgodę na proces wideoweryfikacji, w tym na wykonanie zdjęć lub zrzutów ekranu. Zgoda ta musi zostać zarejestrowana.
  5. Wideoweryfikacja musi być przeprowadzana w czasie rzeczywistym i bez przerw. Dozwolone są jedynie zaszyfrowane wideoczaty. Jakość obrazu i dźwięku musi być wystarczająca, aby uniknąć wszelkich wątpliwości. Aby ocenić jakość transmisji należy zdefiniować odpowiednie elementy (mikropunktowanie).
  6. Zbadane muszą zostać zabezpieczenia, których wizualna weryfikacja jest możliwa w świetle białym. Sprawdzane jest czy dokument nie został uszkodzony lub zmanipulowany. Zdjęcia/ zrzuty ekranu muszą wyraźnie pokazywać osobę oraz dokument.
  7. Akceptowane mogę być jedynie dokumenty umożliwiające stwierdzenie tożsamości.
  8. Pracownik musi się upewnić, że dokument zawiera wszystkie elementy bezpieczeństwa możliwe do weryfikacji wizualnej (różnią się one w zależności do typu dokumentu i państwa jego wydania).
  9. Pracownik musi również upewnić się, że dokument posiada wszystkie cechy takie jak np. odpowiednie czcionka, odstępy między znakami. Dokument musi być obracany przez potencjalnego klienta zgodnie z instrukcjami pracownika.
  10. Za pomocą programu IT lub wybranych zdjęć dokument należy sprawdzić z referencjami z odpowiedniej bazy np. PRADO5. Należy zastosować automatyczne obliczanie cyfr kontrolnych.
  11. Pracownik poprzez rozmowę i obserwacje musi upewnić się co do wiarygodności informacji zawartych w dokumencie i celu nawiązania stosunków gospodarczych. Może zadawać w tym celu pytania (kolejność i treść pytań nie powinna być powtarzana w stosunku do kolejnych potencjalnych klientów). Powód identyfikacji musi być znany i potwierdzony przez potencjalnego klienta.
  12. Jeżeli weryfikacja ze względu na złe warunki oświetlenia lub słabą jakość obrazu bądź dźwięku jest utrudniona, cały proces należ przerwać.
  13. Potencjalny klient powinien wprowadzić odpowiedni numer przesłany do niego przez pracownika w czasie trwania procesu za pomocą e-maila bądź SMS.

Podsumowując, wideoweryfikacja jest z pewnością ciekawym sposobem na przyśpieszenie procesu on-boardingu z punktu widzenia potencjalnego klienta. W czasach gdy świadomość dotycząca przetwarzania danych osobowych rośnie, z oporem może jednakże napotykać się zgoda na wykorzystanie nagrań video. Dla instytucji, która chciałaby wprowadzić taki sposób weryfikacji jest to obowiązek spełnienia przedstawionych ww. tekście wymogów. Aktualny jest także postulat wydania wytycznych, które doprecezywałyby sytuację na krajowym podwórku.

 

Autor: Krzysztof Teofilski

 

1 https://pl.media.mbank.pl/46297-mbank-testuje-rewolucyjna-biometrie-behawioralna
2 https://www.cashless.pl/3243-dobra-wiadomosc-dla-bankow-z-polski-jest-pozytywna-opinia-knf-na-temat-wideoweryfikacji
3 Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723)
4 Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren
5 Publiczny rejestr on-line autentycznych dokumentów tożsamości i dokumentów podróży

Kategorie: Aktualności
Tagi:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane Posty

Aktualności

Stanowisko Europejskiego Urzędu Nadzoru Bankowego w sprawie Action Planu AML/CFT

Stan faktyczny aktualny na dzień: 17.09.2020 r. 7 maja 2020 r. Komisja Europejska opublikowała plan działań, które mają zostać podjęte na przestrzeni najbliższych 12 miesięcy celem ulepszenia systemu AML/CFT w UE. Action Plan został oparty Więcej

Aktualności

Opinia EIOD w sprawie Action Planu AML/CFT vs GDPR

Stan faktyczny aktualny na dzień: 29.07.2020 Europejski Inspektor Ochrony Danych (W. Wiewiórowski) opublikował opinie dot. oceny skutków inicjatyw określonych w planie działania Komisji Europejskiej w obszarze AML/CFT (komentarz do sześciu filarów Action Planu z maja b.r. – https://www.linkedin.com/posts/krzysztofteofilski_eu-aml-cft-activity-6665492353328926720-Wi1r) w zw. Więcej

Aktualności

Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu w wydaniu unijnym, czyli kilka słów o planie działania Komisji Europejskiej.

Stan faktyczny aktualny na dzień: 11.05.2020 r. Komisja Europejska opublikowała w zeszłym tygodniu plan działania, w którym określono konkretne środki, które ww. organ podejmie w ciągu 12 najbliższych miesięcy celem ulepszenia systemu AML/CTF w UE. Więcej