клиент попросил сверить номер кредитного договора какая будет аутентификация
Клиент попросил сверить номер кредитного договора какая будет аутентификация
Федеральный закон N 115-ФЗ и Положение N 499-П 3 не ограничивают кредитные организации в способах и источниках получения информации, необходимой для идентификации клиента, представителя клиента, выгодоприобретателя, бенефициарного владельца, а также обновления информации о них (представление сведений клиентом с использованием дистанционных каналов связи и (или) получение кредитной организацией из общедоступных источников информации).
Учитывая, что решения судов о приостановлении операций в случае, предусмотренном частью четвертой статьи 8 Федерального закона N 115-ФЗ, выносятся на основании заявлений Росфинмониторинга, Департаментом запрошено мнение Росфинмониторинга. Ответ по существу будет направлен дополнительно после получения позиции Росфинмониторинга.
| Заместитель директора Департамента финансового мониторинга и валютного контроля | Е.В. Шакина |
1 Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
2 Единоличный исполнительный орган.
3 Положение Банка России от 15.10.2015 N 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
5 Единая система идентификации и аутентификации.
6 Единая информационная система персональных данных, обеспечивающая сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.
Обзор документа
Банковский счет (вклад) юрлицу может быть открыт без личного присутствия его представителя-физлица, если последний был идентифицирован кредитной организацией. При этом не требуется, чтобы представитель юрлица находился на обслуживании в кредитной организации в качестве клиента на момент открытия банковского счета юрлицу.
Банк России разъяснил, как быть в случае наличия в структуре органов управления юрлица нескольких ЕИО.
Идентификация клиента по 115‑ФЗ
Для чего банки проводят идентификацию клиентов, какие сведения необходимо собрать перед приемом клиента на обслуживание. В каких случаях не требуется идентификация или применяется упрощенная система.
С 2001 года банки и другие субъекты Федерального закона от 07.08.2001 № 115-ФЗ обязаны идентифицировать клиентов перед тем, как их обслуживать. За 18 лет закон сильно изменился и дополнился новыми субъектами и требованиями. В этой статье рассмотрим актуальный порядок идентификации и состав сведений о клиентах, которые банк должен установить.
Что такое идентификация
Любые операции в банке должны совершаться непосредственно владельцем счета. Для того чтобы предотвратить нелегальные переводы, кредитные организации идентифицируют клиента.
Порядок идентификации клиента в банке
На первом этапе идентификации банк собирает сведения о клиенте с опорой на оригиналы документов и заверенные копии.
В отношении физических лиц — ФИО, гражданство, дата рождения, реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина на пребывание в РФ, адрес места регистрации и жительства, ИНН.
В отношении юридических лиц — наименование, организационно-правовая форма, ИНН или код иностранной организации, ОГРН и адрес регистрации.
В отношении иностранной структуры без образования ЮЛ — наименование, регистрационный номер или код структуры, место ведения основной деятельности. Для трастов также устанавливаются состав имущества, находящегося в управлении, ФИО и адрес места жительства учредителей и доверительного собственника.
Кроме того, принимая и продолжая обслуживать клиентов, субъекты 115-ФЗ обязаны:
Упрощенная идентификация
Такая система идентификации применяется к физлицам, если соблюдены следующие условия:
Упрощенная идентификация, например, проводится в случае, когда физлицо переводит деньги без открытия банковского счета или банк предоставляет клиенту электронное средство платежа. Подробнее применение упрощенной идентификации объясняется в ст. 1.1 и 1.2 115-ФЗ.
В каких случаях не требуется идентификация физлица
Ряд операций с деньгами не требует идентификации клиента по 115-ФЗ:
Однако если у сотрудника банка возникнут сомнения в целях операции, у клиента могут потребовать сведения и документы, необходимые для идентификации.
Порядок идентификации клиента в банке по закону 115-ФЗ
Что представляет собой закон от 07.08.2001 № 115-ФЗ
Национальные интересы страны включают в себя совместное противодействие общества и государства противоправным явлениям и преступности.
В настоящее время действует Стратегия национальной безопасности, утвержденная Президентом РФ от 31.12.2015 № 683 (с соответствующей отменой действия предшествовавших ей документов аналогичного содержания). Однако положения, на базе которых работает государственная система противодействия преступлениям, сохраняют свою преемственность.
Противодействие в финансовой сфере в первую очередь должно заключаться в пресечении потоков финансирования незаконной деятельности, а также оперативном реагировании на подобные действия, если они уже произошли.
Все это привело к тому, что потребовалось установить некие общеприменимые критерии, по которым можно было бы выявить подозрительные с точки зрения общественной и национальной безопасности операции и адекватно отреагировать на них. В результате и появился закон «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ. Основное назначение этого закона:
ОБРАТИТЕ ВНИМАНИЕ! Упоминаемые в определении в ст. 2 закона № 115-ФЗ организации (на которые налагаются обязанности контроля) конкретизированы в ст. 5 того же закона, и это не только банки:
Об иных органах финансового контроля, существующих в РФ, читайте в статье «Органы, осуществляющие финансовый контроль в РФ (перечень)».
Каков порядок идентификации клиентов в организации, осуществляющей финансово-имущественные операции
Одной из основных контрольных процедур (по п. 1 ст. 7 закона № 115-ФЗ) для организаций, перечисленных в ст. 5 закона № 115-ФЗ, является идентификация клиента. Идентификация клиента в банке или в приравненных к нему для целей закона № 115-ФЗ организациях представляет собой получение от клиента набора сведений до того, как банк (организация) начнет обслуживание. Сведения несколько отличаются в зависимости от статуса клиента:
Кроме того, при присвоении юрлицу или структуре без образования юрлица статуса клиента, банки (организации) обязаны:
О том, как полученные сведения используются банком при оценке кредитоспособности клиентов, читайте в материале «Методы оценки кредитоспособности клиентов коммерческого банка».
Вправе ли банк взимать комиссию за нарушение закона № 115-ФЗ? Арбитражную практику по этому вопросу подобрал и проанализировал Государственный советник РФ 3-го класса Ю. Лермонтов. Получите бесплатный доступ к КонсультантПлюс и переходите к комментариям чиновника.
Кого, кроме клиента, еще обязаны идентифицировать банки
Порядок идентификации по закону № 115-ФЗ дополнен положением ЦБ «Об идентификации клиентов» от 15.10.2015 № 499-П. В соответствии с ним, помимо клиента-владельца счета, банки должны подвергать процедуре идентификации:
Кто подпадает под понятие «представитель клиента — юридического лица» в целях его идентификации банком? Ответ на этот вопрос вы найдете в К+. Получите пробный доступ к системе и переходите к разъяснениям экспертов.
Что такое полная и упрощенная идентификация
Порядок проведения полной идентификации по ст. 7 ФЗ № 115-ФЗ был только что описан в двух предыдущих разделах.
Отдельными нормами закона № 115-ФЗ и положением ЦБ № 499-П введен так называемый упрощенный порядок идентификации. Основное его отличие в том, что упрощенная идентификация не предполагает выяснения представителей, выгодоприобретателей и бенефициаров клиента. А также не требует полного сбора некоторых других сведений (например, о целях ведения деятельности и совершения конкретной операции). Кроме того, упрощенная идентификация может быть проведена в электронном виде и по электронным копиям документов.
ОБРАТИТЕ ВНИМАНИЕ! Упрощенный способ предусматривает установление Ф. И. О. клиента и удостоверение личности. То есть на параметры идентификации юрлиц не распространяется.
Чтобы появилась возможность провести упрощенную процедуру, должны соблюдаться такие критерии:
О том, какие сведения о клиенте будут отнесены к не подлежащим разглашению, читайте в материале «Что относится к банковской тайне?».
Какие операции не требуют идентификации
Некоторые операции, признанные малоопасными в законе № 115-ФЗ, допускается проводить без процедуры идентификации. Это:
При этом также действуют меры по субъективной оценке клиента работниками банка, как и при упрощенной идентификации. То есть, если клиент, по общим критериям подходящий под «льготу» по идентификации, чем-то не приглянулся обслуживающему специалисту — у него могут потребовать сведения и документы, необходимые для идентификации.
Подобный подход связан с тем, что большинство отзывов банковских лицензий происходят именно на основании инкриминирования банкам нарушений закона № 115-ФЗ. Это вынуждает банки перестраховываться.
Какие документы имеют право запрашивать банки в рамках процедуры идентификации
Чтобы разобраться с данным вопросом, напомним, что есть законы и есть отраслевые инструкции и рекомендации. В случае если отраслевые рекомендации противоречат норме законного акта, приоритет, безусловно, должен отдаваться закону.
Первоочередным законом, регулирующим отношения банка и клиента, является ГК РФ. В п. 3 ст. 845 четко сказано, что банк не имеет права ни указывать клиенту, как именно он должен распоряжаться своими средствами, ни контролировать такое распоряжение, ни тем более как-то это распоряжение ограничивать.
Письма и распоряжения ЦБ по отношению к ГК РФ носят инструктивно-рекомендательный характер.
Рассуждая подобным образом, можно сделать такие выводы в отношении соблюдения банками требований закона № 115-ФЗ:
Обращаем ваше внимание на то, что с 30.11.2021 банки обязали объяснять отказы в проведении транзакций.
Итоги
Порядок идентификации клиентов банка (или приравненной к банку организации по закону № 115-ФЗ) подразделяется на полную и упрощенную процедуру. Критерии для определения возможности провести упрощенную процедуру часто носят субъективный характер и зависят от мнения, которое сформировалось у работников банка в отношении конкретного клиента. Возможно, поэтому действующий порядок вызывает много жалоб и споров со стороны банковских клиентов. В том числе многие указывают на разночтения, существующие в инструктивно-разъяснительных материалах ЦБ в отношении идентификации (которых придерживаются банки) и в нормах, содержащихся в гражданском законодательстве.
Как проводить идентификацию клиентов по 115-ФЗ
С 1 сентября вступают в силу поправки в «антиотмывочный» закон. Новая норма обяжет компании — субъекты 115-ФЗ отказывать в обслуживании клиентам, которые не предоставили идентификационные сведения.
Разбираемся в изменениях законодательства и анализируем ошибки, которые допускают при проведении идентификации чаще всего.
В чем суть поправок
С 1 сентября вступает в силу норма, внесенная Федеральным законом от 30.12.2020 № 536-ФЗ. Если клиент не предоставил необходимые сведения, то компании — субъекты 115-ФЗ обязаны отказать ему в обслуживании. Например, если он не согласился раскрыть бенефициарного владельца организации, то банк не имеет права открыть счет такому клиенту.
Перечень сведений, которые нужно установить в отношении клиента, его представителя, выгодоприобретателя, бенефициарного владельца, достаточно большой. Он установлен Положениями Банка России № 444-П, № 499-П и Приказом Росфинмониторинга от 22.11.2018 № 366.
Новая норма еще раз подтверждает, что проводить идентификацию клиента нужно до приема на обслуживание. Смысл процедуры — выяснить, безопасно ли работать с физическим или юридическим лицом. Идентификационные данные вносятся в анкету клиента. Вопросы лучше располагать в той же последовательности, как в нормативном акте, а также сохранить дословные формулировки из нормативного правового акта (НПА).
Ошибки при идентификации клиентов
Некоторые организации нарушают последовательность проведения идентификации, собирают неполный объем информации или не хранят анкеты клиентов — все это серьезные нарушения требований 115-ФЗ, которые могут привести к штрафам. Разберем типовые ошибки при идентификации клиентов подробнее.
Путают клиентов и контрагентов
Важно учитывать, что клиент и контрагент — не тождественные понятия. 115-ФЗ обязывает идентифицировать клиентов — юридических и физических лиц, иностранные структуры без образования юридического лица, но не контрагентов.
Клиент — это лицо, которое находится на обслуживании у организации, то есть ему оказывают услугу. А контрагент — это то лицо, с которым организация осуществляет хозяйственную деятельность, например, арендует у него офис, покупает канцтовары или оргтехнику.
Если клиент — юридическое лицо, значит, у него есть представитель — директор компании и бенефициар — это всегда физическое лицо, которое влияет на деятельность организации. Его тоже нужно идентифицировать.
Используют копии документов
По закону проводить идентификацию нужно по оригиналам документов или их заверенным копиям. Иногда организации считают, что достаточно получить скан документа, который клиент отправил по электронной почте, или найти информацию в свободном доступе. Однако это нарушение.
Не хранят анкеты клиентов
Некоторые организации хранят анкеты клиентов год-два или в пределах срока исковой давности. Однако по закону необходимо хранить анкеты минимум пять после окончания работы. Потеря анкеты клиента, с которым прекращены отношения менее пяти лет назад, будет считаться длящимся нарушением, и, соответственно, компанию могут привлечь к ответственности.
Анкета клиента в Контур.Призме соответствует необходимым требованиям нормативно-правовых актов о ПОД/ФТ и автоматически сохраняется в сервисе. Документ можно легко скачать и предъявить регулятору в случае проверки.
Не выявляют публичных должностных лиц
Бывает, что при идентификации не уточняют, является ли клиент или его родственниками публичными должностными лицами. Достаточно распространенная ситуация, когда в строке «Является ли клиент публичным должностным лицом», стоит прочерк или пустое место.
Золотое правило — анкета клиента должна быть полностью заполнена, на каждый поставленный вопрос в анкете должен быть дан четкий однозначный ответ: да или нет, относится либо не относится к публичным должностным лицам, является или не является родственником.
Проводят сверку с перечнями не в полном объеме
При этом клиентов нужно проверять не только по перечням Росфинмониторинга. Достаточно распространенное нарушение, когда организации забывают делать проверку по санкционным перечням Совета Безопасности ООН. В Контур.Призме автоматически проводится проверка клиентов по всем необходимым перечням и критериям.
Не обосновывают уровень риска
Многие организации забывают писать обоснование оценки риска. Написано в анкете: уровень риска клиента — высокий. Почему так, непонятно. Высокий уровень риска можно обосновать наличием у клиента определенных факторов. А низкий — их отсутствием. Если все поля в анкете заполнены, уровень риска проставлен, но обоснований нет, это будет считаться нарушением.
На проведение полной идентификации клиентов уходит много времени. Контур.Призма позволяет снизить риски штрафов и освободить себя от рутинных проверок. Сервис за секунды собирает данные, проводит сверку с перечнями и формирует анкеты клиентов. Остается только скачать документ и предоставить регулятору во время проверки.
Авторы: Павел Смыслов, учредитель Межрегионального учебного и консультационно-правового центра финансового мониторинга
Светлана Кирланова, эксперт Контур.Призмы по законодательству в сфере ПОД/ФТ и комплаенс-рискам
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Удалённая банковская идентификация: от сложного к простому, или Банки, зачем вам биометрия?
(Изображение взято отсюда)
Не всегда усложнение технологии ведет к улучшению результата. В сегодняшней статье мы постараемся показать, что сложное техническое решение по биометрической идентификации и аутентификации клиентов в банковских приложениях вполне заменимо традиционным предъявлением паспорта, но в современной интерпретации “подключенного мира”: в качестве “проверяющего” сотрудника банка вполне может выступать приложение с внедренным модулем распознавания и проверки документа. Мы не ставим своей целью критиковать или ставить под сомнение необходимость развития биометрических способов идентификации личности как самостоятельного технологического направления. Мы показываем, что современные технологии догоняют друг друга, постепенно совершенствуясь за счет упрощения и “облегчения” алгоритмов.
Вопрос удаленной идентификации, особенно в банковской сфере, где от качества примененного решения, его точности и безопасности зависят не только персональные данные человека, но и его финансовое благополучие, в последнее время стал чрезвычайно актуальным, особенно, когда мир резко ушел в онлайн. Высветились основные проблемы, связанные с техническими, юридическими и организационными аспектами. И если не так давно казалось, что биометрия и распознавание лиц смогут решить все проблемы разом, то при стресс-тесте, которому подверглась планета, выяснилось, что биометрия далеко не единственный, и уж точно не самый безопасный для всех сторон способ обеспечить удаленную идентификацию клиента. Достаточно посмотреть к чему приводят неуверенные технологии распознавания с низким уровнем точности. Недавний пример — штраф, выписанный не тому человеку, из-за его 61% схожести с тем, кому этот штраф предназначался [1].
Несколько лет назад, когда у нас в стране начали вводить единую систему биометрических данных, именно удаленное распознавание по биометрическим показателям человека расценивалось как наиболее точный метод удаленно верифицировать человека.
Вот как описывают процесс биометрической удаленной идентификации на одном из сайтов [2]:
Удаленная идентификация — это процедура первичного знакомства банка с клиентом, которая осуществляется онлайн по определенным биометрическим параметрам (идентификаторам). Ими могут быть отпечатки пальцев, рисунок сетчатки глаз или капилляров на пальцах, голос, контуры лица и даже частота сердечного ритма (встречается и такое). Важно, чтобы: 1) клиент заранее сдал образец своей идентификации; 2) образец хранился в определенной базе; 3) банк имел доступ к этой базе данных; 4) возможно было сверить (подтвердить) предоставленный клиентом материал с образцом параметров, хранящийся в базе данных.
Получается, что перед тем, как использовать биометрию, клиенту необходимо прийти физически в банк (или другую организацию, которая применяет систему), “сдать” образцы своих биометрических данных (самые распространенные — записать голос, отсканировать отпечатки пальцев). И уже после того, как в некотором цифровом репозитории эти образцы появятся, идентификация и аутентификация станет возможной. Процесс, конечно, надежный, но на наш взгляд, крайне сложный и невыгодный ни одной из сторон. Из плюсов здесь то, что биометрия всегда (или почти всегда) с нами. Именно поэтому идентификация по биометрическим данным применима, скорее, в криминалистике и в трансграничном контроле: проводится не только идентификация гражданина по его биометрии, но и в обратную сторону — установление соответствия биометрических данных какому-либо гражданину.
Самое парадоксальное (и неприятное для поклонников исключительно биометрических методов аутентификации) в том, что предъявление собственных отпечатков пальцев, или голоса, или радужки глаза технологически мало чем отличается от ввода 256-битного пароля, известного только клиенту, или использование связки “токен-устройство”, или любого другого метода двух- или трех- факторной аутентификации: в любом случае для машины вся наша биометрия остается набором нулей и единиц. Самое главное, что компрометации биометрические данные поддаются ничуть не сложнее, чем любые другие. Пример тому — утечка данных крупнейшей в мире Индийской базы биометрических данных Aadhaar в 2017 году [3].
Интересно, что в Европе с некоторого времени биометрия уже не рассматривается в качестве единственного средства удаленной идентификации при предоставлении сервисов, имеющих дело с чувствительными данными.
14 сентября 2019 года вступила в действие директива Евросоюза PSD2 [4], также известная как Open Banking. Она требует, чтобы банки обязательно использовали многофакторную аутентификацию при выполнении любых удаленных транзакций. Это означает, что в процессе идентификации/аутентификации пользователя должны использоваться несколько способов подтверждения личности [5]:
Для банков в случае принудительного использования систем биометрической идентификации есть еще одна огромная неприятность. Внедрение систем биометрии требует значительных затрат на развертывание сопутствующей информационной инфраструктуры: собственно, оборудования для сбора идентификационных данных, программного обеспечения для их обработки, создание ЦОД или аренда защищенного облачного сервиса для хранения, обеспечение защиты и так далее. Именно поэтому принятие закона об обязательном сборе биометрических данных в России наткнулось на противодействие банковского сообщества и послужило причиной тому, что его принятие откладывается на неопределенный срок [6].
Технологии развиваются и банки постепенно выводят из цепочки взаимодействия с клиентом посредников в виде операторов, менеджеров, агентов. Они остаются лишь там, где необходимо обеспечить так называемое премиальное обслуживание, при котором клиенту предоставляется не только удобство сервиса, но оказывается персональное внимание, либо в тех регионах и теми категориями клиентов, которые по техническим причинам не имеют возможности пользоваться современными техническими средствами. На смену оператору приходит “банк в смартфоне”. Важно, что удаленная идентификация клиента необходима банку на всех этапах взаимодействия. До недавнего времени даже в крупных банках, которые сегодня полностью перешли на электронный документооборот, снимали физические копии с паспорта клиента при совершении каждой операции со счетом, будь то пополнение счета, снятие денег, перевод на другой счет или заключение дополнительных соглашений на подключение интернет-банка или СМС-информирование. Это обеспечивало банку защиту от претензий со стороны клиента о спорных изменениях в договоре или операций по счету.
До тех пор, пока в государстве не создана единая цифровая платформа учета всех граждан с рождения до смерти (наиболее близко к построению такого полностью цифрового общества в Европе подошла сегодня Эстония, построившая за 25 лет полноценное электронное государство, переведя 99% государственных услуг в электронный вид [7]), физическое предъявление нецифрового (печатного) паспорта или другого удостоверяющего документа с одновременной проверкой его подлинности и соответствия предъявителя указанному в документе владельцу, является наиболее точным способом идентификации клиента. В случае удаленной идентификации с использованием программно-аппаратных комплексов роль оператора (контролера, клиентского менеджера) выполняет устройство пользователя: смартфон или компьютер с веб-камерой.
Мобильное приложение со встроенной системой удаленной идентификации позволяет оптимизировать сразу несколько задач как со стороны клиента, так и со стороны банка. Приложение распознает данные клиента и автоматически вводит их в необходимые поля. Например, приложения на основе SDK Smart IDreader распознают данные документов пользователей практически мгновенно, при этом работают полностью в автономном режиме, не передавая образов документов на сторонние сервера или в облачные сервисы. Система компьютерного зрения автоматически выделяет фото на документе и соотносит его с фото владельца. В зависимости от требования банка, в приложение может быть интегрирована функция форензики, то есть проверки образа документа на наличие признаков подделки или дополнительной обработки изображения, а также проверка корректности данных на основании анализа машиночитаемой зоны (MRZ). Совершенно не имеет значения, кто и где проводит все эти мероприятия — оператор в банке или сам пользователь, сидя на диване у себя дома. Цепочка действий сохраняется неизменной: предъявление документа, ввод данных, проверка данных, оценка валидности документа.
Обратим внимание на следующее: если при предъявлении подложного документа система распознавания на основе искусственного интеллекта не выявила признаков подделки документа и зафиксировала соответствие лица предъявителя фотографии на документе, и одобрила совершение операции, это означает, что в случае предъявления документа оператору в банке или пункте выдачи кредитов, оператором (человеком) было было бы принято аналогичное решение. Обмануть машинное зрение сегодня значительно сложнее, чем обмануть человека.
Выступая адептами идентификации на базе распознавания документов, подведем итог перечислением преимуществ подхода.