Zdalne nawiązanie relacji z nowym klientem: od lipca 2027 r. na nowych zasadach
Wydaje się, że rok to długo, ale 12 miesięcy to naprawdę niewiele na przebudowę procesów zdalnej identyfikacji i weryfikacji tożsamości klienta z punktu widzenia przepisów o praniu pieniędzy. W 2027 r. instytucje obowiązane będą się musiały zmierzyć z dwiema powiązanymi reformami. Po pierwsze zacznie obowiązywać bezpośrednio stosowane rozporządzenie 2024/1624 (AMLR) z towarzyszącymi mu regulacyjnymi standardami technicznymi (RTS) dotyczącymi należytej staranności wobec klienta. Po drugie rok 2027 będzie kluczowy z punktu widzenia stosowania zmian wynikających z rozporządzenia 2024/1183 (eIDAS 2.0) wdrażającego Europejski Portfel Tożsamości Cyfrowej (EUDIW). Co to zmienia dla instytucji obowiązanych?
Koniec z krajowym patchworkiem – AMLR oraz eIDAS 2.0 ujednolicają zasady
Obowiązujące dziś „twarde” regulacje prawne – zarówno na poziomie unijnym, jak i krajowym – nie precyzują, jakim szczególnym wymogom musi sprostać proces zdalnej identyfikacji i weryfikacji tożsamości klienta z punktu widzenia przepisów o przeciwdziałaniu praniu pieniędzy (AML). Lukę tę wypełniają instrumenty miękkie, których treść i zakres stosowania – nawet w obrębie jednej jurysdykcji – mogą znacząco różnić się w zależności od statusu regulacyjnego instytucji obowiązanej.
W Polsce instytucje podlegające nadzorowi KNF muszą przykładowo uwzględniać zarówno wytyczne w zakresie zdalnego nawiązywania relacji z klientem wydawane przez Europejski Urząd Nadzoru Bankowego (EBA), jak i stanowiska Komisji Nadzoru Finansowego (KNF).
Dla innych instytucji obowiązanych – m.in. notariuszy, doradców podatkowych, biur rachunkowych czy pośredników w obrocie nieruchomościami – wytyczne EBA oraz KNF co do zasady nie są wiążące, a podstawowym punktem odniesienia pozostają komunikaty Generalnego Inspektora Informacji Finansowej (GIIF).
Prowadzi to do sytuacji, w której proces nawiązywania relacji z nowym klientem bez fizycznej obecności stron (zwany też zdalnym onboardingiem klienta) podlega różnym wymogom zależnie od tego, jaki podmiot go przeprowadza – i w jakiej jurysdykcji.
AMLR oraz regulacyjne standardy techniczne, które zostaną wydane na jego podstawie, jako bezpośrednio stosowane akty prawa unijnego, zmieniają tę logikę. Warunki dopuszczalności metod zdalnej weryfikacji wynikać będą od tej pory z twardego prawa, nie zaś z miękkich wytycznych – i co do zasady będą wspólne dla wszystkich instytucji obowiązanych.
Projekt RTS opracowany przez AMLA na podstawie art. 28(1) AMLR, dotyczący środków należytej staranności wobec klienta (CDD), obejmuje bowiem zarówno instytucje finansowe, jak i niefinansowe instytucje obowiązane – co stanowi istotną zmianę jakościową w stosunku do dotychczasowego modelu, w którym kluczowe wytyczne (EBA) były adresowane wyłącznie do sektora finansowego. Równolegle eIDAS 2.0 wprowadza EUDIW – nowe narzędzie identyfikacji, które instytucje obowiązane będą musiały – w określonych przypadkach – akceptować. W dalszej części artykułu prześledzimy kluczowe zmiany w obu tych obszarach.
Zdalny onboarding – eIDAS na pierwszym miejscu
To, w jaki sposób instytucja obowiązana może weryfikować tożsamość klienta na potrzeby AML, wynika bezpośrednio z art. 22(6) i (7) AMLR. Szczegółowe warunki takiej weryfikacji – odrębnie dla ścieżki stacjonarnej i niestacjonarnej – doprecyzowuje z kolei projekt RTS.
W scenariuszach niestacjonarnych projekt RTS wprowadza wyraźną hierarchię.
Metody pierwszego wyboru to:
- elektroniczne środki identyfikacji spełniające wymogi eIDAS dla średniego lub wysokiego poziomu bezpieczeństwa, oraz
- kwalifikowane usługi zaufania w rozumieniu eIDAS.
Do innych metod weryfikacji – takich jak wideoweryfikacja czy środki identyfikacji elektronicznej niespełniające wymogów eIDAS dla średniego lub wysokiego poziomu bezpieczeństwa – można będzie sięgać wyłącznie w drugiej kolejności i tylko po spełnieniu warunków wskazanych w projekcie RTS. To istotna zmiana w stosunku do stanu obecnego, ponieważ obecnie instytucje obowiązane dysponują znacznie większą swobodą w wyborze metod zdalnej weryfikacji i nie są ograniczone wyłącznie do środków wynikających z eIDAS.
Pierwszeństwo metod eIDAS wzbudzało kontrowersje już na etapie konsultacji projektu RTS prowadzonych przez EBA. Uczestnicy rynku wskazywali, że instytucje obowiązane nie powinny być zmuszane do korzystania z rozwiązań eIDAS, jeżeli inne metody również są zgodne z wytycznymi EBA. EBA przyznała słuszność tym uwagom, zastrzegając jednak, że szerszej elastyczności nie można wprowadzić bez zmiany samego AMLR – art. 22(6)(b) AMLR odwołuje się bowiem wprost i wyłącznie do środków wynikających z eIDAS w kontekście weryfikacji tożsamości.
AMLA przyjęła projekt RTS bez istotnych zmian w tym zakresie, najwyraźniej podzielając ocenę EBA, że wprowadzenie na podstawie aktu delegowanego równoległej ścieżki weryfikacji opartej na metodach spoza eIDAS odbiegałoby zbyt dalece od treści AMLR.
Kluczowe staje się zatem ustalenie:
- kiedy wolno będzie sięgnąć po metody alternatywne oraz
- na jakich warunkach.
W odniesieniu do pierwszej kwestii – projekt RTS przesądza, że droga do zastosowania takich metod otwiera się wówczas, gdy metody pierwszego wyboru są niedostępne lub gdy nie można zasadnie oczekiwać, że klient się nimi posłuży. Projekt RTS nie wyjaśnia jednak, jak w tym kontekście rozumieć sformułowanie „nie można zasadnie oczekiwać”.
Kluczowe jest przy tym to, co wynika z art. 7(4) projektu RTS: instytucja musi być w stanie wykazać organowi nadzorczemu, że w konkretnym przypadku użycie środków identyfikacji elektronicznej lub kwalifikowanych usług zaufania nie było możliwe lub nie mogło być zasadnie oczekiwane. Ciężar dowodu spoczywa więc na instytucji. W praktyce oznacza to, że ścieżka onboardingu będzie musiała być zaprojektowana w taki sposób, aby instytucja obowiązana mogła wykazać nadzorcy, że warunki zastosowania metod alternatywnych zostały spełnione w odniesieniu do danego klienta (bądź grupy klientów).
Jeśli chodzi o warunki, na jakich można skorzystać z metod alternatywnych, to szczegółowe wymogi techniczne wskazane są w art. 7(3) projektu RTS. Alternatywne rozwiązanie musi przede wszystkim korzystać z wiarygodnych i niezależnych źródeł informacji. Oprócz tego musi zapewniać sześć konkretnych zabezpieczeń:
- możliwość weryfikacji, że osoba prezentująca dokument to ta sama, która widnieje na zdjęciu,
- integralność komunikacji,
- poufność komunikacji,
- dostateczną jakość obrazów, wideo i danych pozwalającą na jednoznaczną identyfikację,
- automatyczne przerywanie procesu w razie usterek technicznych lub wątpliwości co do tożsamości,
- przechowywanie kopii zweryfikowanych dokumentów z sygnaturą czasową, w formacie umożliwiającym późniejszą weryfikację ex post.
Pewne wymogi natury ogólnej mogą też wynikać z samego AMLR, a także z innego rodzaju przepisów. Przykładowo, zgodnie z art. 76(5) AMLR, decyzje systemów zautomatyzowanych (w tym AI) muszą być poddane znaczącemu zaangażowaniu człowieka, a klient musi mieć prawo do wyjaśnienia i zaskarżenia decyzji.
Wracając jeszcze do preferowanych metod zdalnej weryfikacji tożsamości klienta, a więc metod „eIDAS-owych”, warto odnotować dwie kwestie.
Po pierwsze ani AMLR, ani projekt RTS nie wymagają, aby środki identyfikacji elektronicznej stosowane przy zdalnym onboardingu były wydawane w ramach notyfikowanych systemów identyfikacji elektronicznej w rozumieniu art. 9 eIDAS. Na gruncie projektu RTS środki notyfikowane nie są w żaden sposób uprzywilejowane. Tymczasem obowiązujące wytyczne EBA i KNF przyznają szczególne preferencje wyłącznie takim notyfikowanym środkom – instytucja korzystająca ze środka o poziomie bezpieczeństwa „średni” lub „wysoki” wydanego w ramach notyfikowanego systemu może uznać za spełnione m.in. niektóre wymogi z zakresu przedwdrożeniowej oceny danego rozwiązania w zakresie zdalnego nawiązywania relacji z klientami.
W Polsce status taki mają tylko dwa środki: profil zaufany (poziom średni) i profil osobisty (poziom wysoki). mObywatel – powszechnie używany środek o poziomie średnim – nie jest wydawany w ramach notyfikowanego systemu i z tych preferencji nie korzysta. Na gruncie projektu RTS różnica ta traci na znaczeniu – wymaga on jedynie spełnienia wymogów dla średniego lub wysokiego poziomu bezpieczeństwa, bez wymogu notyfikacji, co potencjalnie równa pozycję mObywatela z profilem zaufanym i osobistym.
Należy tu poczynić jednak jedno istotne zastrzeżenie. Otóż wytyczne EBA dotyczące zdalnego nawiązywania relacji z klientem oraz analogiczne stanowiska KNF nie wygasną automatycznie w dniu rozpoczęcia stosowania AMLR. Zgodnie z art. 54 rozporządzenia (UE) 2024/1620 wytyczne i zalecenia europejskich i krajowych organów nadzoru oraz jednostek analityki finansowej pozostają w mocy do czasu ich zastąpienia przez wytyczne i zalecenia wydane przez AMLA. Nie można więc wykluczyć, że instytucje finansowe będą przez pewien czas musiały stosować równolegle bezpośrednio obowiązujące RTS-y oraz ciągle aktualne wytyczne EBA, natomiast rozwiązania pozornie równoprawne na podstawie RTS-ów będą wiązały się z różnym ciężarem compliance w świetle wytycznych EBA i lokalnych organów nadzoru.
Po drugie, projekt RTS określa minimalne zestawy atrybutów, które muszą zawierać elektroniczne środki identyfikacji i kwalifikowane usługi zaufania na potrzeby spełnienia wymogów AMLR w zakresie identyfikacji oraz weryfikacji tożsamości klienta oraz beneficjenta rzeczywistego. Problem w tym, że wiele dostępnych kwalifikowanych usług zaufania i środków identyfikacji elektronicznej nie zawiera pełnego zestawu wymaganych atrybutów (np. dotyczących miejsca zwykłego pobytu lub adresu zamieszkania). W takim przypadku art. 32 projektu RTS stanowi, że brakujące atrybuty muszą być uzupełnione innymi metodami zgodnymi z art. 22(6) AMLR. Oznacza to – jak się wydaje – że także uzupełnienie i weryfikacja brakujących danych identyfikacyjnych musi nastąpić z wykorzystaniem metod pierwszego wyboru, a dopiero gdy okażą się one niedostępne lub nie będzie można zasadnie oczekiwać posługiwania się nimi przez klienta, można będzie sięgnąć do metod alternatywnych.
Europejski Portfel Tożsamości Cyfrowej – czy oznacza dla instytucji obowiązanych?
Europejski Portfel Tożsamości Cyfrowej (EUDIW) to wprowadzony rozporządzeniem eIDAS 2.0 środek identyfikacji elektronicznej, który umożliwia użytkownikowi selektywne udostępnianie danych identyfikacyjnych oraz poświadczeń atrybutów podmiotom publicznym i prywatnym w trybie online oraz, w określonych sytuacjach, przy fizycznej obecności stron (w trybie offline). Jego zasadniczym celem jest zapewnienie transgranicznej interoperacyjności środków identyfikacji elektronicznej w obrębie Unii Europejskiej przy zachowaniu pełnej kontroli użytkownika nad zakresem ujawnianych danych. EUDIW będzie mógł być wydawany zarówno dla osób fizycznych, jak i prawnych. Każde państwo członkowskie jest zobowiązane udostępnić co najmniej jeden portfel tożsamości cyfrowej do 24 grudnia 2026 r. W Polsce trwają prace nad krajową implementacją. Polskim portfelem tożsamości cyfrowej nie zostanie jednak mObywatel – aplikacja ma nadal funkcjonować jako odrębne narzędzie.
W związku z wprowadzeniem EUDIW pojawiają się dla instytucji obowiązanych trzy praktyczne pytania:
- czy EUDIW wystarczy jako metoda pierwszego wyboru w świetle projektu RTS?
- czy instytucje obowiązane będą musiały akceptować portfele tożsamości cyfrowej, którymi posługują się ich klienci?
- czy instytucje obowiązane będą mogły oprzeć swoje zdalne procesy onboardingowe wyłącznie na tej metodzie?
Odpowiedź na żadne z nich nie jest oczywista.
Czy EUDIW wystarczy jako metoda pierwszego wyboru zgodnie z projektem RTS?
EUDIW jest środkiem identyfikacji elektronicznej wydawanym w ramach systemu identyfikacji o wysokim poziomie bezpieczeństwa. Z perspektywy projektu RTS wpisuje się zatem – na pierwszy rzut oka – w kategorię metody pierwszego wyboru w scenariuszach niestacjonarnych. Rzeczywistość jest jednak bardziej zniuansowana. Możliwość wykorzystania portfela tożsamości cyfrowej jako metody pierwszego wyboru różni się w zależności od charakteru i zakresu informacji, które mogą być z niego pozyskiwane. eIDAS 2.0 przewiduje dwie kategorie informacji, które mogą być pozyskane z EUDIW w szczególności na potrzeby zdalnego onboardingu klienta. Są to dane identyfikujące osobę oraz elektroniczne poświadczenia atrybutów.
Dane identyfikujące osobę. Rozporządzenie wykonawcze (UE) 2024/2977 wydane na podstawie eIDAS 2.0 rozróżnia dwie kategorie danych identyfikujących osobę: dane obowiązkowe i dane opcjonalne. Do danych obowiązkowych należą m.in. imię i nazwisko, data urodzenia, obywatelstwo. Katalog danych obowiązkowych nie pokrywa się jednak w pełni z minimalnym zestawem atrybutów wymaganym przez projekt RTS w odniesieniu do środków identyfikacji elektronicznej oraz kwalifikowanych usług zaufania wykorzystywanych na potrzeby zdalnej weryfikacji tożsamości. Przykładowo projekt RTS wymaga, aby zawierały one dane adresowe. Te zaś mają w EUDIW status danych opcjonalnych, co oznacza, że nie każdy EUDIW będzie zapewniał ich przechowywanie i udostępnianie. Polski projekt ustawy wprowadzający EUDIW przewiduje wprawdzie szerszy katalog danych niż unijne minimum, jednak również w jego obecnym kształcie brakuje danych o miejscu zamieszkania lub zwykłego pobytu. W efekcie – przynajmniej na obecnym etapie – sama wiązka danych identyfikacyjnych z EUDIW może nie być wystarczająca do przeprowadzenia pełnej procedury zdalnego onboardingu, a brakujące atrybuty będą wymagały uzupełnienia innymi metodami zgodnymi z art. 22 ust. 6 AMLR.
Elektroniczne poświadczenia atrybutów. EUDIW nie tylko przechowuje i udostępnia dane identyfikacyjne, ale też umożliwia użytkownikowi otrzymywanie i przechowywanie elektronicznych poświadczeń atrybutów i zarządzanie nimi. Atrybut w rozumieniu eIDAS to cecha lub właściwość podmiotu lub przedmiotu, która może być potwierdzona w formie elektronicznej – przykładowo adres zamieszkania, wiek, kwalifikacje zawodowe, zezwolenia.
Sytuacja jest tu szczególnie złożona, ponieważ z EUDIW mogą być związane trzy kategorie poświadczeń atrybutów, w zależności od podmiotu je wydającego:
- elektroniczne poświadczenia atrybutów wydane przez niekwalifikowanych dostawców elektronicznych poświadczeń atrybutów,
- kwalifikowane elektroniczne poświadczenia atrybutów wydane przez kwalifikowanych dostawców elektronicznych poświadczeń atrybutów (kwalifikowanych dostawców usług zaufania),
- elektroniczne poświadczenia atrybutów wydane przez podmiot sektora publicznego odpowiedzialny za źródło autentyczne lub działający w jego imieniu, które – zgodnie z art. 45f ust. 2 eIDAS – mają zapewniać poziom rzetelności i wiarygodności równoważny kwalifikowanym dostawcom usług zaufania.
Z perspektywy projektu RTS podział ten ma istotne konsekwencje. Spośród trzech powyższych kategorii jedynie kwalifikowane elektroniczne poświadczenia atrybutów stanowią – jako kwalifikowane usługi zaufania – metodę pierwszego wyboru. Niekwalifikowane poświadczenia atrybutów będą się z kolei kwalifikować co najwyżej jako metody alternatywne. Bardziej złożona jest sytuacja poświadczeń wydawanych przez podmioty sektora publicznego odpowiedzialne za źródła autentyczne: eIDAS 2.0 wymaga od nich poziomu rzetelności i wiarygodności równoważnego kwalifikowanym dostawcom usług zaufania, jednak formalnie nie są to kwalifikowani dostawcy – a co za tym idzie, wydawane przez nich poświadczenia nie stanowią kwalifikowanych usług zaufania w rozumieniu projektu RTS. Rodzi to pytanie, jak do takiego poświadczenia podejdą organy nadzoru i jednostki analityki finansowej, a także czy na gruncie projektu RTS istnieje uzasadnienie dla różnicowania tych dwóch kategorii poświadczeń, skoro ich poziom wiarygodności jest – z mocy samego eIDAS – równoważny.
Podsumowując, z uwagi na opcjonalność części danych identyfikacyjnych dostępnych w EUDIW, które są wymagane projektem RTS, jak również z uwagi na zróżnicowany status elektronicznych poświadczeń atrybutów nie należy automatycznie zakładać, że EUDIW będzie w każdym przypadku stanowić w pełni samodzielną metodę pierwszego wyboru na potrzeby zdalnego onboardingu klienta w świetle projektu RTS.
Czy instytucje obowiązane będą musiały akceptować EUDIW?
Również tutaj odpowiedź nie jest jednoznaczna. Zgodnie z art. 5f ust. 2 eIDAS obowiązek akceptacji EUDIW spoczywa na podmiotach zobowiązanych z mocy prawa lub umowy do stosowania silnego uwierzytelnienia użytkownika do celów identyfikacji elektronicznej. Katalog ten nie pokrywa się w pełni z zakresem instytucji obowiązanych pod AMLR. Podmioty takie jak notariusze, doradcy podatkowi, biura rachunkowe czy pośrednicy w obrocie nieruchomościami typowo nie mają obowiązku stosowania silnego uwierzytelnienia w rozumieniu eIDAS – i z tej perspektywy na podstawie eIDAS nie są one zobowiązane do akceptowania EUDIW na żądanie użytkownika. Inne instytucje obowiązane (np. banki i instytucje płatnicze) będą jednak zobowiązane w praktyce akceptować EUDIW już od grudnia 2027 roku.
Co istotne, te instytucje, które zdecydują się na akceptowanie EUDIW, będą musiały się uprzednio zarejestrować jako strony ufające. Rejestracja wymagać będzie m.in. precyzyjnego wskazania, jakich danych instytucja będzie żądać od użytkowników portfela – strona ufająca nie będzie mogła zwrócić się do użytkownika o udostępnienie danych spoza tego katalogu bez aktualizacji rejestracji. Instytucje obowiązane powinny więc już na etapie planowania ścieżki onboardingu z wykorzystaniem EUDIW precyzyjnie określić, jakich danych będą żądać od klientów, i odpowiednio skonstruować wniosek rejestracyjny.
Czy instytucja może oprzeć onboarding wyłącznie na EUDIW?
Tu odpowiedź jest wyraźna. Zgodnie z art. 5a ust. 15 eIDAS korzystanie z portfela jest dobrowolne, a żaden podmiot nie może uzależniać dostępu do usługi od jego posiadania. Oznacza to, że instytucja, która zdecyduje się na akceptowanie EUDIW, nie może jednocześnie wymagać od klientów, by się nim posługiwali – musi równolegle utrzymywać inne ścieżki weryfikacji. EUDIW może zatem być jednym z dostępnych kanałów onboardingu, ale nie jedynym.
Podsumowanie
AMLR i projekt RTS wprowadzają istotną zmianę jakościową w obszarze zdalnej weryfikacji tożsamości klienta. Po raz pierwszy zasady dopuszczalności poszczególnych metod wynikać będą z bezpośrednio stosowanego prawa unijnego, a nie z instrumentów miękkich – i przynajmniej w ich podstawowym wymiarze będą jednolite dla wszystkich instytucji obowiązanych bez względu na ich status regulacyjny oraz jurysdykcję. Metody oparte na eIDAS uzyskały status metod pierwszego wyboru, a sięgnięcie po inne rozwiązania, takie jak wideoweryfikacja, będzie wymagać wykazania przed organem nadzoru, że zastosowanie metody preferowanej nie było w danym przypadku możliwe lub zasadnie oczekiwane.
Równoległe wejście w życie europejskiego portfela tożsamości cyfrowej dodaje do tego obrazu kolejny element, który instytucje obowiązane będą musiały uwzględnić w swoich procesach. Portfel wpisuje się zasadniczo w ścieżkę preferowanych metod, jednak jego praktyczna użyteczność zależeć będzie od zakresu danych udostępnianych w konkretnym przypadku. Instytucje decydujące się na jego akceptowanie powinny pamiętać, że korzystanie z portfela przez klientów jest dobrowolne – równoległe ścieżki onboardingu muszą więc pozostawać dostępne.
Omawiane regulacje wchodzą w życie etapami, przy czym kluczową datą dla instytucji obowiązanych pozostaje lipiec 2027 r. Dostosowanie procesów onboardingowych do nowych wymogów warto zaplanować odpowiednio wcześniej.
Joanna Werner, radca prawny, praktyka bankowości i finansowania projektów oraz praktyka nowych technologii kancelarii Wardyński i Wspólnicy