Zgodnie z art. 33 ust. 4 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. poz. 723, ze zm.) – zwanej dalej ustawą – „instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniając rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę". Oznacza to, że to od zidentyfikowanego przez instytucję obowiązaną ww. ryzyka i przeprowadzonej przez nią jego oceny ma zależeć, w jakim zakresie i jak szczegółowo instytucja obowiązana zastosuje środki bezpieczeństwa finansowego wobec swojego klienta.
Jednym ze środków bezpieczeństwa finansowego jest identyfikacja klienta instytucji obowiązanej i weryfikacja jego tożsamości. Z otrzymanych przez Generalnego Inspektora Informacji Finansowej informacji wynika, że zakres jego stosowania budzi wątpliwości w przypadku, gdy klient nie jest fizycznie obecny w instytucji obowiązanej w celu nawiązania stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej. Dlatego też – mając na uwadze jak najlepsze funkcjonowanie krajowego systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu – poniżej zostały przedstawione wytyczne na ten temat.
Proces identyfikacji klienta należy uznać za proces relatywnie prosty. Może on polegać na podaniu instytucji obowiązanej przez klienta swoich danych osobowych (np. mailowo, poprzez wypełnienie formularza na stronie internetowej instytucji obowiązanej), wskazanych w art. 36 ust. 1 ustawy. Inną kwestią jest weryfikowanie tożsamości klienta, ukierunkowane na potwierdzenie, że klient jest tym, za kogo się podaje. W tym celu instytucja obowiązana ma obowiązek posłużyć się – zgodnie z art. 37 ustawy – dokumentem stwierdzającym tożsamość osoby fizycznej, dokumentem zawierającym aktualne dane z wyciągu z właściwego rejestru (w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej) lub innymi dokumentami, względnie danymi lub informacjami, które pochodzą z wiarygodnego i niezależnego źródła. Tym samym ustawodawca pozostawił instytucji obowiązanej możliwość wyboru, jakie dokumenty, dane lub informacje będą podstawą ww. weryfikacji, wskazując jedynie, że muszą one pochodzić z wiarygodnego i niezależnego źródła. Przedmiotowy przepis ustawy jest zbieżny z art. 13 ust. 1 lit a dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz. Urz. L nr 141 z 05.06.2015 r., str. 73).
Jednak przy rozważaniu, jakie dokumenty, dane i informacje powinny być brane pod uwagę przy wypełnianiu powyższego obowiązku, oprócz wiarygodności i niezależności ich źródła instytucja obowiązana powinna ocenić, czy umożliwiają one dokładną weryfikację tożsamości osoby lub podmiotu.
Co do zasady – przy weryfikowaniu tożsamości klienta bez jego fizycznej obecności – najbardziej godnymi zaufania instrumentami są środki identyfikacji elektronicznej, o których mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE (Dz. Urz. L 257 z 28.08.2014 r., str. 84), w tym kwalifikowany podpis elektroniczny.
W przypadku braku możliwości wykorzystania ww. środków identyfikacji elektronicznej, instytucja obowiązana powinna zastosować – zgodnie z art. 43 ust. 2 pkt 7 ustawy – wzmożone środki bezpieczeństwa finansowego. W związku z tym instytucja obowiązana powinna rozważyć, jakimi dokumentami, danymi lub informacjami będzie się posługiwała w celu weryfikacji tożsamości klienta, a także jakie sposoby uzyskiwania dostępu do materiałów weryfikacyjnych będzie stosowała.
W ww. sytuacji, do weryfikacji tożsamości klienta instytucja obowiązana powinna posłużyć się co najmniej dwoma różnymi dokumentami, danymi i informacjami (zwanymi dalej łącznie materiałami weryfikacyjnymi) pochodzącymi z wiarygodnych i niezależnych źródeł. Przy czym, w przypadku weryfikacji tożsamości klienta – osoby fizycznej przynajmniej jeden z tych dwóch materiałów weryfikacyjnych powinien być dokumentem stwierdzającym tożsamości w rozumieniu powszechnie obowiązujących przepisów prawa. Przykładowo można posłużyć się dowodem osobistym i prawem jazdy.
W przypadku weryfikacji tożsamości klienta – osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej, instytucja obowiązana powinna posłużyć się w tym celu dokumentem zawierającym aktualne dane z wyciągu z właściwego rejestru (np. KRS, CEDiG). Istotna jest w takim przypadku weryfikacja tożsamości osoby fizycznej upoważnionej do działania w imieniu klienta. Oprócz przeprowadzenia weryfikacji, jak w przypadku klienta – osoby fizycznej, instytucja obowiązana powinna zweryfikować umocowanie tej osoby fizycznej do działania w imieniu klienta, np. wykorzystując do tego celu dane zawarte w ww. dokumencie lub przy pomocy aktu notarialnego potwierdzającego to umocowanie.
Przy rozważaniu sposobów uzyskiwania dostępu do materiałów weryfikacyjnych instytucja obowiązana powinna dokładnie przeanalizować ryzyka z nimi związane, zwłaszcza odnoszące się do możliwości wprowadzenia ją w błąd co do prawdziwości materiałów weryfikacyjnych.
Instytucja obowiązana może uzyskiwać wgląd do materiałów weryfikacyjnych za pomocą wideo-rozmowy, podczas której pracownik instytucji obowiązanej uzyskuje możliwość przyjrzenia się ich oryginałom przedstawionym przez klienta i upewnienia się, że te materiały weryfikacyjne nie zostały sfałszowane, a także – w przypadku weryfikowania na podstawie dokumentu tożsamości czy innego dokumentu zawierającego zdjęcie – czy osoba na zdjęciu w dokumencie jest tą osobą, z którą rozmawia.
W przypadku jednak zastosowania ww. sposobów dostępu do materiałów weryfikacyjnych instytucja obowiązana powinna użyć dodatkowego środka minimalizującego ryzyko błędnej weryfikacji klienta.
Takim dodatkowym środkiem może być ustalenie, że pierwsza transakcja została przeprowadzona za pomocą przelewu bankowego z rachunku klienta (prowadzonego w innej instytucji obowiązanej) na rzecz instytucji obowiązanej weryfikującej jego tożsamość. Nie należy jednak traktować ww. środka jako podstawowego sposobu weryfikowania tożsamości klienta z uwagi na minimalny zakres danych osobowych zawartych w informacji o przelewie. Te dane mogą służyć jedynie do dodatkowej weryfikacji tożsamości klienta, przeprowadzonej na podstawie innych materiałów weryfikacyjnych.
