Finanšu un kapitāla tirgus komisijas ieteikumi: Šajā laidienā 1 Pēdējās nedēļas laikā 0 Visi
Finanšu un kapitāla tirgus komisijas ieteikumi Nr. 15
Rīgā 2022. gada 15. februārī
(Finanšu un kapitāla tirgus komisijas padomes
sēdes protokols Nr. 7 2. p.)
Ieteikumi klientu neklātienes identifikācijai
Saturs
Termini un saīsinājumi
1. Ieteikumu mērķis, tvērums un rezultāts
2. Neklātienes identifikācijas koncepcija, ar neklātienes identifikāciju saistītie riski un pasākumi to pārvaldīšanai
2.1. Izpratne par neklātienes identifikāciju un būtiskākās atšķirības no klātienes identifikācijas
2.2. Neklātienes identifikācijai piemītošie riski un atbilstošie pasākumi šo risku mazināšanai
2.3. Ar klienta datu drošību saistītie neklātienes identifikācijas riski
2.4. Gadījumi, kad jāveic klienta mērķa padziļinātā izpēte
3. Neklātienes identifikācijas veidi
3.1. Elektroniskais paraksts
3.2. Videoidentifikācija
3.3. Maksājums
3.4. Pašportreta salīdzināšana
4. Uz drošības risku balstīta pieeja neklātienes identifikācijā
4.1. Neklātienes identifikācijas veidi atbilstoši to drošības riskam un atbilstošākā neklātienes identifikācijas veida noteikšana
4.2. Datu drošības riska pārvaldība
5. Normatīvās prasības neklātienes identifikācijas procesa uzsākšanai
Noslēguma jautājums
Termini un saīsinājumi
Termini
Atbildīgais darbinieks – iestādes neklātienes identifikācijas veikšanai speciāli apmācīts darbinieks vai vairāki darbinieki, kuri īsteno neklātienes identifikācijas pasākumus.
Iestāde – NILLTPFN likuma subjekts, kuru uzrauga un kontrolē Komisija, proti, kredītiestādes, maksājumu iestādes un elektroniskās naudas iestādes, privātie pensiju fondi, ieguldījumu brokeru sabiedrības, ieguldījumu pārvaldes sabiedrības, alternatīvo ieguldījumu fondu pārvaldnieki, apdrošināšanas sabiedrības, ciktāl tās sniedz dzīvības apdrošināšanas vai citus ar līdzekļu uzkrāšanu saistītus apdrošināšanas pakalpojumus, apdrošināšanas starpnieki, ciktāl tie sniedz dzīvības apdrošināšanas vai citus ar līdzekļu uzkrāšanu saistītus apdrošināšanas pakalpojumus, pārapdrošināšanas sabiedrības un visu šo subjektu dalībvalstu un trešo valstu filiāles Latvijas Republikā, kā arī krājaizdevu sabiedrības.
Klients – juridiskā vai fiziskā persona vai juridisks veidojums, vai šādu personu apvienība, vai veidojumu apvienība, kam NILLTPFN likuma subjekts sniedz pakalpojumu, izmantojot neklātienes identifikāciju.
Klienta neklātienes identifikācija (non face to face identification) – gadījumi, kad, uzsākot ar klientu darījuma attiecības, klientu nav identificējis iestādes darbinieks vai iestādes pilnvarota persona klātienē.
Saīsinājumi
AMLD 5 – Eiropas Parlamenta un Padomes 2018. gada 30. maija Direktīva 2018/843, ar ko groza Direktīvu (ES) 2015/849 par to, lai nepieļautu finanšu sistēmas izmantošanu nelikumīgi iegūtu līdzekļu legalizēšanai un teroristu finansēšanai, un ar ko groza Direktīvas 2009/138/EK un 2013/36/ES.
eIDAS regula – Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (2014. gada 23. jūlijs) par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK.
FATF – Finanšu darījumu darba grupa (Financial Action Task Force).
Komisija – Finanšu un kapitāla tirgus komisija.
NILLTPF – noziedzīgi iegūtu līdzekļu legalizācija un terorisma un proliferācijas finansēšana.
NILLTPFN – noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršana.
NILLTPFN likums – Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums.
Noteikumi Nr. 392 – Ministru kabineta 2018. gada 3. jūlija noteikumi Nr. 392 "Kārtība, kādā Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likuma subjekts veic klienta neklātienes identifikāciju".
PLG – patiesais labuma guvējs NILLTPFN likuma izpratnē.
PNP – politiski nozīmīga persona NILLTPFN likuma izpratnē.
1. Ieteikumu mērķis, tvērums un rezultāts
1.1. Komisija ir izstrādājusi "Ieteikumus klientu neklātienes identifikācijai" (turpmāk – ieteikumi) ar mērķi sniegt iestādēm skaidrojumu par klienta neklātienes identifikācijas procesu un saistošajām prasībām un palīdzēt iestādēm pārvaldīt ar neklātienes identifikāciju specifiski saistītos riskus, tādējādi veicinot plašāku atbilstošas neklātienes identifikācijas izmantošanu klientu izpētes procesā.
1.2. Ieteikumi sagatavoti, apkopojot Komisijas finanšu un kapitāla tirgus dalībnieku uzraudzības procesā konstatēto saistībā ar klienta neklātienes identifikācijas veikšanu, kā arī ārvalstu organizāciju ieteikumus (FATF rekomendācijas un vadlīnijas1, Bāzeles Banku uzraudzības komitejas ieteikumus) un ņemot vērā Latvijas Republikas normatīvo aktu – NILLTPFN likuma, Noteikumu Nr. 392, Komisijas 2021. gada 12. janvāra normatīvo noteikumu Nr. 5 "Klientu izpētes, klientu padziļinātās izpētes un riska skaitliskā novērtējuma sistēmas izveides un informācijas tehnoloģiju prasību normatīvie noteikumi" – prasības.
1.3. Klienta identifikācija (gan klātienes, gan neklātienes) ir nozīmīgs klienta izpētes pasākums, ar kuru sākas klienta izpēte un kura uzdevums ir nodrošināt, lai persona nevar anonīmi vai izmantojot viltotus datus, veikt darījumus. Ja personai būs dota iespēja veikt darījumus anonīmi vai izmantojot citas personas vai viltotus datus, tai tiks būtiski atvieglota iespēja veikt NILLTPF vai nacionālo un starptautisko sankciju apiešanu, jo informācija par patieso darījumu veicēju nebūs zināma.
1.4. Ieteikumos ar neklātienes identifikāciju saistītie riski norādīti ar mērķi nodrošināt iestādēs šo risku labāku pārvaldību, taču tie nav uzskatāmi par augstākiem kā ar klātienes identifikāciju saistītie riski un tie paši par sevi nav atsevišķi NILLTPF riski. Vienlaikus efektīvai NILLTPF risku pārvaldībai ir būtiski apzināties to specifiku. Tāpat jāņem vērā, ka neklātienes identifikācija var dot ieguvumus NILLTPFN prasību izpildē.
1.5. Piemērojot ieteikumus, sagaidāms, ka iestādes varēs efektīvi veikt klientu neklātienes identifikāciju, risināt ar to saistītās problēmsituācijas un apzināt un pārvaldīt ar šo procesu saistītos riskus.
2. Neklātienes identifikācijas koncepcija, ar neklātienes identifikāciju saistītie riski un pasākumi to pārvaldīšanai
2.1. Izpratne par neklātienes identifikāciju un būtiskākās atšķirības no klātienes identifikācijas
2.1.1. NILLTPFN likumā tāpat kā citos NILLTPFN (Anti Money Laundering) jomu regulējošajos starptautiskajos dokumentos klienta identifikācija tiek definēta kā klienta izpētes sastāvdaļa. Klienta identifikācija ir uzskatāma par klienta izpētes sastāvdaļu, jo tā tiešā veidā ietekmē klienta izpēti un darījumu uzraudzību kopumā. Lai gan NILLTPFN likumā klientu identifikācija strukturāli ir nodalīta no klientu izpētes, klientu identifikācija ir uzskatāma par klientu izpētes sastāvdaļu, jo tā tiešā veidā ietekmē klientu izpēti un darījumu uzraudzību kopumā. Pirmkārt, klienta identifikācijas uzdevums, klientam atverot kontu, ir pārliecināties par personas identitāti un, kā to paredz NILLTPFN likuma 15. pants, nodrošināt, ka persona nedarbojas anonīmi vai ar fiktīvu vārdu. Otrkārt, klienta identifikācija nodrošina, ka iestāde kā NILLTPFN likuma subjekts atbilstoši personas identifikācijas procesā iegūtajai informācijai var konstatēt, vai persona ir PNP vai tā ir saistīta ar valsti, kurai piemīt augsts NILLTPF risks, un attiecīgi jāveic šīs personas padziļināta izpēte. Tāpat pēc identifikācijas procesā iegūtās informācijas iestādei ir iespēja konstatēt, vai persona nav iekļauta personu, kuras tiek turētas aizdomās par saistību ar terorismu, sarakstā vai Eiropas Savienības sankciju sarakstā, kas atstāj tiešu ietekmi uz iespējamo sadarbību un tālākajiem klienta izpētes pasākumiem. Līdz ar to iestāde var veikt arī uz sankciju risku balstītu klientu izpēti.
2.1.2. Būtiskākā neklātienes identifikācijas atšķirība no klātienes identifikācijas ir apstāklis, ka klients nav personīgi piedalījies iestādes, tās darbinieka vai pilnvarotās personas, t.sk. iestādes izvēlētā ārpakalpojuma sniedzēja, veiktajā identifikācijas procesā klātienē.
2.1.3. Gan klātienes, gan neklātienes identifikācijas mērķis ir identificēt klientu, kas ir pirmais solis tai sekojošajā klienta izpētes procesā.
2.1.4. Neklātienes identifikācija ietver arī gadījumus, kad iestāde, tās darbinieks vai pilnvarotā persona, t.sk. iestādes izvēlētais ārpakalpojuma sniedzējs, izmantojot tehnoloģiskos risinājumus, piemēram, videoidentifikāciju ar datora vai viedtālruņa palīdzību vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, veic tāda klienta identifikāciju, kas nav personīgi piedalījies identifikācijas procesā klātienē.
2.1.5. Klienta neklātienes identifikācija un darījumi, kas veikti, izmantojot Latvijā pieejamas un informācijas sistēmu drošību regulējošajiem normatīvajiem aktiem atbilstošas elektroniskās identifikācijas sistēmas, kā arī iestādei piemērojot samērīgus un proporcionālus klienta riskam atbilstošus riska mazināšanas pasākumus (izmantojot uz risku balstītu pieeju (risk-based approach)), var pazemināt klienta NILLTPF riska līmeni. Šajā gadījumā ir jāpiemēro NILLTPF riska kontroles pasākumi.
2.1.6. Neklātienes identifikācijas potenciālie ieguvumi2:
2.1.6.1. līdz minimumam tiek samazināti trūkumi (t.sk. cilvēcisko kļūdu iespējamība, identificējot un pārbaudot personas identitāti), darbiniekiem veicot identitātes pārbaudes pasākumus;
2.1.6.2. tiek uzlabota pieredze darbā ar klientiem un tiek ietaupīti iestādes līdzekļi, t.sk. samazinātas ar personālu saistītās izmaksas;
2.1.6.3. darījumu monitoringa veikšana ļauj iestādēm iegūt papildu informāciju par klientu, piemēram, tā ģeogrāfisko atrašanās vietu, IP adresi (t.i., unikālo numuru, kas piešķirts katram datoram vai citai ierīcei, kura veido savienojumu ar internetu). Šī informācija var palīdzēt iestādēm iegūt vairāk detaļu par klienta uzvedību, t.sk. noskaidrot, kad un kur tiek veikti aizdomīgi finanšu darījumi, un savlaicīgi reaģēt uz tiem, palīdzēt izmeklēšanas procesā u.tml.
2.1.7. Personas klātienes un neklātienes identifikāciju var veikt pati iestāde vienas komercsabiedrību grupas ietvaros vai izmantot ārpakalpojuma sniedzēju (piemēram, iestādes pilnvarota persona, kura visbiežāk darbojas uz savstarpēji noslēgta līguma pamata un kura veic neklātienes identifikāciju).
2.1.8. Jebkuru fizisko personu klātienē identificē pēc personu apliecinoša dokumenta (sk. paraugus Ministru kabineta 2012. gada 21. februāra noteikumos Nr. 134 "Personu apliecinošu dokumentu noteikumi").
2.1.9. Veicot personas klātienes identifikāciju, fizisko personu identificē, pārbaudot tās identitāti pēc personu apliecinoša dokumenta, kurā sniegta šāda informācija:
2.1.9.1. par rezidentu – vārds, uzvārds, personas kods;
2.1.9.2. par nerezidentu – vārds, uzvārds, dzimšanas datums, personas fotoattēls, personu apliecinoša dokumenta numurs un izdošanas datums, valsts un institūcija, kas dokumentu izdevusi.
Iestāde, pārbaudot fiziskās personas identitāti pēc klienta Latvijas Republikā vai ārvalstīs izdota personu apliecinoša dokumenta, pārliecinās, ka personu apliecinošais dokuments nav iekļauts Nederīgo dokumentu reģistrā3. Minētajā reģistrā iekļaujamo ziņu apjoms, iekļaušanas kārtība un glabāšanas termiņi, kā arī institūcijas, kurām piešķirama piekļuve reģistrā iekļautajām ziņām, un privātpersonām pieejamais ziņu apjoms tiek noteikts atbilstoši Ministru kabineta 2012. gada 16. oktobra noteikumiem Nr. 708 "Noteikumi par nederīgo dokumentu reģistru".
2.1.10. Ja fiziskās personas identitātes pārbaudes pamatā nav personu apliecinošs dokuments, tad nav nepieciešams pārbaudīt personu apliecinošo dokumentu Nederīgo dokumentu reģistrā.
2.1.11. Ja personas neklātienes identifikācija tiek veikta, izmantojot drošu elektronisko parakstu, personu apliecinoša dokumenta kopija vai personas fotoattēls (ja fiziskā persona ir nerezidents) nav obligāti nepieciešams, jo netiek veikta identifikācija uz personu apliecinošā dokumenta pamata. Tomēr kā risku mazinošu pasākumu personu apliecinošā dokumenta kopiju, fotoattēlu vai citus datus, piemēram, no Pilsonības un migrācijas lietu pārvaldes iestāde var iegūt vai obligāti iegūst atbilstoši savam risku novērtējumam. Drošs (kvalificēts) elektroniskais paraksts tiek izsniegts, pamatojoties uz veiktu personas identificēšanu. Līdz ar to var secināt, ka persona, kurai ir piešķirts drošs elektroniskais paraksts, jau ir tikusi identificēta klātienē un atkārtota personas identifikācija klātienē nav obligāta.
2.1.12. Neklātienes identifikāciju var piemērot arī juridiskai personai, ja ir iespējams pārliecināties par tās tiesībspēju un juridiskās personas pārstāvju (fizisko personu) rīcībspēju (t.i., tiek nodrošināta juridiskās personas amatpersonu identifikācija un to pārstāvības tiesību pārbaude), iegūt citu būtisku informāciju atbilstoši NILLTPFN likumā noteiktajam, kā arī pārliecināties par to, ka iegūtie dokumenti ir derīgi, atbilst normatīvajiem aktiem un nesatur viltojuma pazīmes.
2.1.13. Ja juridiskās personas pārstāvēttiesīgā vai pilnvarotā persona jau ir identificēta kā iestādes klients fiziskā persona, tad juridiskās personas neklātienes identifikācijas ietvaros šo jau identificēto fizisko personu nav nepieciešams identificēt atkārtoti.
Piemērs Ja neklātienes identifikācija tiek veikta juridiskās personas pārstāvēttiesīgajai personai, kura nav attiecīgās iestādes klients, tad minētās personas neklātienes identifikācijas process būs jāveic pilnā apmērā, savukārt, ja minētā fiziskā persona ir iestādes klients, tad atkārtota šīs personas klātienes vai neklātienes identifikācija nav jāveic. Bet abos gadījumos ir jāpārbauda minētās personas pārstāvības tiesības, kā arī, izņemot gadījumus, kad juridiskās personas pārstāvēttiesīgā persona vai personas ir attālināti identificētas, izmantojot drošu elektronisko parakstu, jāiegūst dokuments vai attiecīgā dokumenta kopija, kas apliecina to tiesības pārstāvēt juridisko personu, ja par juridiskās personas pārstāvja pārstāvības tiesībām nav iespējams pārliecināties tiešsaistē Latvijas Republikas Uzņēmumu reģistra mājaslapā info.ur.gov.lv vai iegūstot datus sistēmā, izmantojot Latvijas Republikas Uzņēmumu reģistra piedāvātos pakalpojumus. |
2.1.14. Nepilngadīgas personas neklātienes identifikācija notiek:
2.1.14.1. veicot nepilngadīgās personas pārstāvēttiesīgās personas neklātienes identifikāciju un iegūstot nepilngadīgās personas personu apliecinoša dokumenta kopiju (ja nepilngadīgajai personai nav pases vai ID kartes, iestāde iegūst personas dzimšanas apliecības kopiju). Iestāde pārliecinās par nepilngadīgās personas un vecāka radniecības saitēm (iegūstot informāciju no Fizisko personu reģistra vai vecāka personu apliecinoša dokumenta);
2.1.14.2. ja iestāde sniedz finanšu pakalpojumus nepilngadīgajai personai bez pārstāvēttiesīgās personas starpniecības, tā veic neklātienes identifikāciju pašai nepilngadīgajai personai, kurai ir izsniegts fiziskās personas personu apliecinošs dokuments.
2.1.15. Par klātienes identifikāciju ir uzskatāma identifikācijas procedūra, ko veic iestādes darbinieks vai pilnvarotā persona (piemēram, ārpakalpojuma sniedzējs, ar kuru iestāde noslēgusi līgumu par klientu identificēšanu iestādes interesēs, vai pārstāvis, kurš maksājumu pakalpojumu sniegšanā rīkojas maksājumu iestādes vārdā vai ir tiesīgs izplatīt un atpirkt elektronisko naudu elektroniskās naudas iestādes vārdā), klientam personiski (klātienē) piedaloties identifikācijā.
2.2. Neklātienes identifikācijai piemītošie riski un atbilstošie pasākumi šo risku mazināšanai
2.2.1. Pirms tiek uzsākta neklātienes identifikācija, iestādei ir svarīgi veikt neklātienes identifikācijas riska izvērtējumu, t.sk. iestrādāt risku mazinošos pasākumus neklātienes identifikācijas procesā, tos nosakot procedūrās un politikās.
2.2.2. Iestādei, izstrādājot NILLTPFN iekšējās kontroles sistēmu, t.sk. politikas un procedūras un neklātienes identifikācijas procesu, ir jāspēj samazināt risku, kas izriet no tādiem faktoriem kā risks, ka klienti, ar kuriem tiek nodibinātas darījuma attiecības, izmantojot neklātienes identifikācijai paredzētos tehnoloģiskos risinājumus, uzdodas par citām personām vai izmanto citu personu datus, dokumentus vai informāciju, lai iegūtu attiecīgo pakalpojumu vai produktu.
Piemērs Videoidentifikācijas laikā tiek konstatētas pazīmes, ka klients izmanto tehniskus risinājumus un aplikācijas, kas var slēpt personas patieso identitāti, proti, tādas, kas maina vai aizvieto nosūtāmo video attēlu, uzrāda virtuāli ģenerētu neīstu identifikācijas dokumentu vai aizvieto īsta dokumenta rekvizītus. Šādas darbības liecina par mēģinājumu slēpt īsto pakalpojuma lietotāja identitāti, izmantojot citu personu datus, dokumentus un citu informāciju. Līdz ar to būtiski pieaug risks, ka identifikācijas laikā pieprasītie finanšu iestādes produkti un pakalpojumi var tikt izmantoti ļaunprātīgos nolūkos. Risku mazinošs faktors: iestādēm, ieviešot videoidentifikācijas risinājumus, papildus jau esošajām iekšējās kontroles sistēmā paredzētajām darbībām ir jāveido atbilstoši riskus mazinoši risinājumi. Šādi risinājumi var būt gan specializēti un tehniski rīki aprakstīto darbību konstatēšanai, gan arī papildu informācija specializētu (mērķa) apmācību veidā procesā iesaistītajiem iestādes darbiniekiem. Darbinieki, piedaloties specializētās apmācībās, gūst papildu informāciju, kā identificēt pazīmes, ka izmantoti tehniski risinājumi video attēla rediģēšanai u.tml. |
2.2.3. Lai pēc iespējas samazinātu ar neklātienes identifikācijas kvalitāti saistītos riskus, iestāde veic neklātienes identifikācijas riska izvērtējumu, t.sk. politikās un procedūrās nosaka atsevišķu kartību, kādā neklātienē tiek identificētas juridiskās personas (piekļuve PLG, pilnvaru u.c. reģistriem).
2.2.4. Iestāde, veicot neklātienes identifikāciju un izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju, vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, var papildus izmantot risinājumu, kas var ietvert arī videostraumēšanu un audiostraumēšanu (piemēram, videosaruna). Šādu tehnoloģisku risinājumu izmantošana nav uzskatāma par videoidentifikāciju Noteikumu Nr. 392 10. punkta izpratnē, bet var kalpot kā risku mazinošs tehnoloģisks risinājums citām neklātienes identifikācijas metodēm, t.sk. papildu informācijas iegūšanai no klienta. Videosarunas laikā nav jāievēro Noteikumu Nr. 392 10. punktā noteiktās prasības.
2.2.5. Iestāde bez papildu skaidrojuma jebkurā brīdī klientam, kuram veikta neklātienes identifikācija, ir tiesīga piemērot identifikāciju, klientam personīgi piedaloties identifikācijas procedūrā, vai papildus jau veiktajai klienta neklātienes identifikācijai izmantot citu klienta neklātienes identifikācijas veidu, vai atkārtoti veikt neklātienes identifikāciju.
2.3. Ar klienta datu drošību saistītie neklātienes identifikācijas riski
2.3.1. Viens no būtiskākajiem neklātienes identifikācijas riskiem ir datu un informācijas zudums, datu bojājums vai datu ļaunprātīga izmantošana, kā arī trešo personu nesankcionēta piekļuve datiem. Minētos riskus ir iespējams mazināt, piemēram, apsverot iestādes informācijas sistēmas aizsardzības programmu uzstādīšanu, t.sk. klientu datubāzu aizsardzības sistēmu uzstādīšanu4.
2.3.2. Ņemot vērā, ka neklātienes identifikācijas laikā iestāde un klients izmanto internetu, citas tehnoloģijas, digitālās identifikācijas sistēmas u.c., pastāv kiberuzbrukumu risks neklātienes identifikācijas laikā. Lai samazinātu minēto risku, iestādei ir nepieciešams rūpīgi apsvērt un izvērtēt tehnoloģiskos riska faktorus un īstenot atbilstošus uz tehnoloģijām balstītus aizsardzības pasākumus (piemēram, izvēlēties piemērotākos informācijas sistēmu aizsardzības līdzekļus, pretuzbrukumu, antivīrusa datorprogrammas u.c.).
2.3.3. Pastāv risks, ka klienta paroles vai piekļuves kodi un cita informācija varētu tikt izpausta trešajām personām. Lai samazinātu šo risku, ir nepieciešams informēt klientus, kā arī atgādināt klientiem, ka savas paroles, piekļuves kodus un citu sensitīvo informāciju nedrīkst izpaust trešajām personām.
2.3.4. Lai mazinātu ar neklātienes identifikāciju saistītos riskus, ir iespējams izmantot daudzfaktoru identifikācijas (multi factor authentification) risinājumus, piemēram, pirms neklātienes identifikācijas uzsākšanas uz klienta telefona numuru iestāde var nosūtīt īsziņu ar vienreizējiem piekļuves kodiem vai parolēm.
2.3.5. Pastāv risks, ka klienta paroles, piekļuves kodi un citi dati var tikt nozagti, izpausti trešajām personām vai iestāžu informācijas tehnoloģiju sistēmas var tikt uzlauztas un trešās personas var iegūt klientu datus. Lai samazinātu šo risku, iestādēm ir ieteicams nodrošināt to informācijas tehnoloģiju sistēmu aizsardzības pasākumus.
2.3.6. Pastāv risks, ka klienta piekļuves kodi var būt arī neaizsargāti pret, piemēram, pikšķerēšanu (phishing) un citiem uzbrukumiem. Pret pikšķerēšanas uzbrukumiem aizsargāti autentifikatori var palīdzēt cīnīties pret šiem uzbrukumiem (piemēram, izmatojot FIDO U2F5 standartus).
2.4. Gadījumi, kad jāveic klienta mērķa padziļinātā izpēte
2.4.1. Ja neklātienes identifikācija tiek veikta atbilstoši Noteikumiem Nr. 392, t.i., izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, tad klienta padziļinātā izpēte vai mērķa padziļinātā izpēte nav jāveic, ja vien pienākums veikt padziļināto izpēti nav uzlikts ar normatīvajiem aktiem.
2.4.2. Ja pirms sadarbības uzsākšanas ar iestādi tās potenciālais klients juridiskā persona (piemēram, Eiropas Rekonstrukcijas un attīstības banka vai cits salīdzinoši liels un labi pazīstams uzņēmums vai organizācija, par kuras esamību un vēlmi nodibināt darījuma attiecības nav šaubu, piemēram, ar pārstāvjiem notikušas ilgstošas sarunas par darījuma slēgšanu) klienta izpētei nepieciešamos dokumentus un informāciju ir nosūtījis iestādei pa pastu, tad iestādei nav jāveic klienta padziļinātā izpēte pilnā apjomā atbilstoši NILLTPFN likumā un tam pakārtotajos normatīvajos aktos noteiktajam, bet ir jāveic mērķa padziļinātā izpēte tikai apjomā, kas izriet no dokumentos, kas saņemti pa pastu, iekļautās informācijas, ja vien nepastāv citi apstākļi, kas nosaka pienākumu veikt padziļināto izpēti pilnā apjomā. Šajā gadījumā iestāde ņem vērā, piemēram, šādus kritērijus:
2.4.2.1. juridiskās personas lielums;
2.4.2.2. juridiskās personas dibināšanas datums (t.i., juridiskajai personai jāpastāv vismaz piecus gadus);
2.4.2.3. juridiskās personas atpazīstamība, reputācija, publiski pieejamā informācija par minēto personu, t.sk. neatkarīgi auditēti gada pārskati un informācija par juridiskās personas pārstāvjiem;
2.4.2.4. juridiskās personas starptautiskā sadarbība;
2.4.2.5. maza iespējamība, ka konkrētais gadījums varētu būt saistīts ar viltus identitātes izmantošanu;
2.4.2.6. citi iestādes politikās un procedūrās noteikti kritēriji.
3. Neklātienes identifikācijas veidi
3.1. Elektroniskais paraksts
3.1.1. Par drošu elektronisko parakstu, ko var izmantot arī neklātienes identifikācijai, tiek uzskatīti elektroniskie dati, kas pievienoti citiem elektroniskajiem datiem vai loģiski saistīti ar tiem un ko parakstītājs izmanto, lai parakstītos.6 Par drošu elektronisko parakstu tiek uzskatīts uzlabots elektroniskais paraksts, kas radīts ar kvalificētu elektroniskā paraksta radīšanas ierīci, pamatojoties uz kvalificēta elektroniskā paraksta sertifikātu.
3.1.2. Drošs elektroniskais paraksts pēc mērķa un būtības nav identifikācijas līdzeklis. Tas pamatā pilda gribas apliecināšanas un pašrocīga paraksta funkcijas elektroniskā vidē. Tomēr gadījumos, kad elektroniskā pakalpojuma saņemšanai nepieciešama divpakāpju un augsta uzticamības līmeņa elektroniskā neklātienes identifikācija, minētajam mērķim var pielietot drošu (kvalificētu) elektronisko parakstu.
3.1.3. Drošs elektroniskais paraksts ir uzskatāms par ticamu un pietiekamu avotu, kas ir nepieciešams personas – lietotāja – neklātienes identifikācijai.
3.1.4. Elektroniskais dokuments uzskatāms par pašrocīgi parakstītu, ja tam ir drošs elektroniskais paraksts saskaņā ar eIDAS regulas 25. pantu un Elektronisko dokumentu likuma 3. panta otro daļu.
3.1.5. Lai arī elektroniskais paraksts nav elektroniskās identifikācijas līdzeklis, tas neliedz izmantot elektronisko parakstu personas neklātienes identifikācijai, ņemot vērā, ka droša (kvalificēta) elektroniskā paraksta izsniegšanas priekšnoteikumi, kā izriet no Elektronisko dokumentu likuma 17. panta pirmās un otrās daļas, ir:
3.1.5.1. personas identifikācija klātienē;
3.1.5.2. cits kvalificēts paraksts un identifikācija ar būtisku uzticamības līmeni eIDAS regulas izpratnē;
3.1.5.3. identifikācija ar augstu uzticamības līmeni eIDAS regulas izpratnē.
3.1.6. Personas turpmākai neklātienes identifikācijai var izmantot gan elektroniskās identifikācijas līdzekli, gan drošu (kvalificētu) elektronisko parakstu.
3.1.7. Vērtējot no tehnoloģiskā viedokļa, drošs (kvalificēts) elektroniskais paraksts satur divus komponentus – autentifikācijas sertifikātu un parakstīšanas sertifikātu. Gadījumos, kad persona identificējas, t.i., apliecina savu elektronisko identitāti, tiek izmantots autentifikācijas sertifikāts. Savukārt gadījumos, kad persona elektroniski parakstās, tiek izmantoti abi sertifikāti – gan autentifikācijas, gan paraksta sertifikāts. Līdz ar to var uzskatīt, ka elektroniskā paraksta gadījumā persona ir arī identificēta.
3.2. Videoidentifikācija
3.2.1. Iestāde izmanto videoidentifikāciju kā tehnoloģisko risinājumu, ja tiek ievērotas Noteikumu Nr. 392 10. punkta prasības. Iestāde iekšējās politikās un procedūrās nosaka veidu un kārtību darījuma attiecību uzsākšanai ar klientu, kas neklātienē identificēts, izmantojot videoidentifikāciju.
3.2.2. Videoidentifikāciju ar datora vai viedtālruņa palīdzību drīkst veikt par videoidentifikācijas procesu atbildīgais darbinieks, kurš atbilstoši apmācīts. Attiecīgās amata kategorijas apstiprina atbilstoši iestādes politikās un procedūrās noteiktajai kārtībai.
Piemērs
Klienta videoidentifikāciju veic iestādes darbinieks pirms konta atvēršanas ar mērķi pārbaudīt klienta iesniegto dokumentu un datu patiesumu, kā arī pārliecināties, ka tiek identificēts tieši dokumentu īpašnieks. Iestādes darbiniekam pirms videoidentifikācijas veikšanas uzsākšanas jāapgūst videoidentifikācijas apmācību kurss. Pēc kursa veiksmīgas pabeigšanas (piemēram, nokārtojot testu, eksāmenu, ieskaiti u.c.) darbinieks varētu, piemēram, mēnesi veikt videoidentifikāciju pieredzējuša darbinieka (mentora) vadībā. |
3.2.3. Videoidentifikācijas laikā atbildīgais darbinieks uzdod klientam jautājumus, kuri sagatavoti, pamatojoties uz klienta sniegto informāciju (atbildes uz iestādes anketā vai formā uzdotajiem jautājumiem u.tml.), tādējādi pārliecinoties, ka klients spēj nekļūdīgi atbildēt uz jautājumiem patstāvīgi, proti, nenotiek konsultācija ar citām personām, kā arī uzdod papildu jautājumus.
3.2.4. Videoidentifikācijas laikā atbildīgais darbinieks lūdz klientam uzrādīt lietošanai derīgu fiziskās personas identifikācijas dokumentu. Atbildīgais darbinieks pārbauda un konstatē, vai fotoattēls un personas apraksts (piemēram, dzimšanas datums, dzimums, nacionālā piederība u.c.) dokumentā atbilst klientam. Personas apraksts dažādu valstu personas identifikācijas dokumentos var atšķirties.
Piemērs Ja atbildīgais darbinieks nespēj veikt klienta vizuālo pārbaudi, jo ir, piemēram, slikts apgaismojums vai tehniski iemesli (piemēram, sliktas kvalitātes video attēls), verbālā komunikācija nav iespējama tehnisku problēmu, sakaru pārrāvumu u.c. iemeslu dēļ, tad videoidentifikācijas process tiek atcelts un atbilstoši procedūrā norādītajam tiek veikta atzīme klienta lietā. Atbildīgais darbinieks var piedāvāt klientam atkārtotu identifikācijas procesa mēģinājumu vai citu identifikācijas veidu, ja tas ir paredzēts iestādes procedūrās. |
3.2.5. Pabeidzot videoidentifikāciju, tiek saglabāta videoidentifikācijas laikā iegūtā informācija (videostraumēšanas un audiostraumēšanas materiāls), t.sk. fiziskās personas personu apliecinošā dokumenta ekrānuzņēmumi un klienta sejas ekrānuzņēmumi.
3.2.6. Iestāde nodrošina, ka elektroniskās identifikācijas laikā iegūtie identifikācijas un tehniskie dati nav maināmi.
3.3. Maksājums
3.3.1. Fiziskas personas identitāti apliecinošus datus var iegūt no kredītiestādes vai maksājumu iestādes, izmantojot identifikācijas maksājumu vai citu metodi, kas ļauj saņemt no kredītiestādes vai maksājumu iestādes Noteikumu Nr. 392 13.2. apakšpunktā minētos datus.
3.3.2. Normatīvie akti neierobežo un nenosaka summas apmēru, par kādu jāveic identifikācijas maksājums, proti, tas var būt arī 1 euro cents.
3.3.3. Identifikācijas maksājumu parasti izmanto gadījumos, kad identificē Latvijas Republikas rezidentu.
3.3.4. Identifikācijas maksājumu nevar izmantot kā vienīgo identifikācijas veidu konta atvēršanai. Papildus ir jāizmanto cita neklātienes identifikācijas metode.
3.3.5. Ir aizliegts izmantot identifikācijas maksājuma metodi, ja tiek konstatēti Noteikumu Nr. 392 13.3. apakšpunktā minētie apstākļi. Piemēram, ir aizliegts veikt tā saucamos 1 euro identifikācijas maksājumus ar mērķi atvērt vairākus kontus.
3.3.6. Fiziskas personas identitāti apliecinošos datus var iegūt no kredītiestādes vai maksājumu iestādes, izmantojot identifikācijas maksājumu, kas ļauj saņemt no kredītiestādes vai maksājumu iestādes pietiekamus datus, kuri noteikti NILLTPFN likumā, lai pārliecinātos par fiziskās personas identitāti un salīdzinātu ar datiem, ko klients iesniedzis iestādei.
3.4. Pašportreta salīdzināšana
3.4.1. Neklātienes identifikācijai var izmantot personu apliecinoša dokumenta fotouzņēmuma un pašportreta elektroniska fotouzņēmuma vai videoidentifikācijas vai videosarunas laikā veikta fotouzņēmuma salīdzināšanu.
3.4.2. Personu apliecinoša dokumenta fotouzņēmuma pieņemšana ir pieļaujama tikai gadījumos, kad tiek iesniegts valsts oficiāla personu apliecinoša dokumenta fotouzņēmums. Dokumentos jābūt mašīnlasāmajai zonai un optiskajiem drošības elementiem, piemēram, hologrāfiskām kinematogrāfiskām zīmēm vai drukātiem elementiem ar latentu attēlu efektiem.
3.4.3. Pašportreta elektroniskajam fotouzņēmumam jābūt skaidram un kvalitatīvam, lai nepārprotami varētu atpazīt attiecīgo personu.
4. Uz drošības risku balstīta pieeja neklātienes identifikācijā
4.1. Neklātienes identifikācijas veidi atbilstoši to drošības riskam un atbilstošākā neklātienes identifikācijas veida noteikšana
Iestāde neklātienes identifikācijai pamatā izmanto vienu neklātienes identifikācijas veidu (tehnoloģisko risinājumu). Vairākus neklātienes identifikācijas veidus (tehnoloģiskos risinājumus) iestāde izmanto, ja tai ir šaubas, vai piemērotais tehnoloģiskais risinājums ir pietiekami drošs, t.sk. papildu risku mazināšanai iestāde var izmantot iekšēji izstrādātu tehnoloģisko rīku (piemēram, videosarunu). Tomēr minētais iestādes iekšēji izstrādātais tehnoloģiskais rīks nevar kalpot kā patstāvīgs neklātienes identifikācijas veids.
4.1.1. Iestāde izmanto drošu elektronisko parakstu:
4.1.1.1. zema drošības riska gadījumos atsevišķi;
4.1.1.2. augsta drošības riska gadījumos, nosakot papildu risku mazinošos pasākumus.
4.1.2. Iestāde izmanto videoidentifikāciju:
4.1.2.1. zema drošības riska gadījumos atsevišķi;
4.1.2.2. augsta drošības riska gadījumos, nosakot papildu risku mazinošos pasākumus.
4.1.3. Iestāde var iegūt fiziskas personas identitāti apliecinošus datus no kredītiestādes vai maksājumu iestādes, izmantojot identifikācijas maksājumu vai citu metodi:
4.1.3.1. zema drošības riska gadījumos atsevišķi;
4.1.3.2. augsta drošības riska gadījumos kombinācijā vismaz ar drošu elektronisko parakstu vai videoidentifikāciju.
4.1.4. Iestāde izmanto personu apliecinoša dokumenta fotouzņēmuma un pašportreta elektronisku salīdzināšanu:
4.1.4.1. zema drošības riska gadījumos atsevišķi;
4.1.4.2. augsta drošības riska gadījumos, kā arī uzsākot sadarbību ar īpaši augsta riska klientiem kombinācijā vismaz ar drošu elektronisko parakstu vai videoidentifikāciju.
4.2. Datu drošības riska pārvaldība
Iestādei datu drošības riska pārvaldības ietvaros pastāvīgi jāveic izmantotā tehnoloģiskā risinājuma drošības pārvaldība, ņemot vērā aktuālās risinājumu ievainojamības un krāpniecības scenārijus. Drošības riska līmeņa samazināšanai var tikt izmantotas kompensējošās kontroles, ievērojot personas datu apstrādi regulējošo normatīvo aktu prasības.
Piemērs
Neklātienes identifikācijā var izmantot videoidentifikāciju, papildus tai var veikt identitātes noskaidrošanu, izmantojot drošu elektronisko parakstu – gan tādu, kas nodrošina kvalificētu paaugstinātas drošības elektronisko identifikāciju (piemēram, VAS "Latvijas Valsts radio un televīzijas centrs" izsniegtie e-paraksta risinājumi, Smart ID paaugstinātas drošības autentifikācijas līdzeklis, kā arī ikviens Eiropas Savienībā atzīts risinājums), gan tādu, kas nodrošina papildu kompensējošo kontroli, gan tādu, kas to nenodrošina, proti, iekšēji izstrādātu tehnoloģisko rīku (piemēram, īpašs autentifikācijas veids, kas raksturīgs tikai attiecīgajai iestādei). Identifikācijas shēmas: https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS. Elektronisko parakstu shēmas: https://webgate.ec.europa.eu/tl-browser/#/. |
5. Normatīvās prasības neklātienes identifikācijas procesa uzsākšanai
5.1. Viena no pamatprasībām, lai uzsāktu neklātienes identifikāciju, ir risku novērtējums, lai nodrošinātu, ka pasākumi, kas tiek veikti, lai identificētu klientu neklātienē, ir samērīgi ar NILLTPF risku. Lai īstenotu šo prasību, nepieciešams izstrādāt iekšējos normatīvos aktus (politikas, procedūras), kā arī paredzēt atbilstošu iekšējās kontroles sistēmu un atbildīgo darbinieku apmācību.
5.2. Iestāde neveic klienta neklātienes identifikāciju, pārtrauc to vai klienta neklātienes identifikācijai piemēro citas normatīvajos aktos noteiktās darbības, ja:
5.2.1. tiek konstatēti apstākļi, kas liecina, ka neklātienes identifikācija neatbilst klientam piemītošajam NILLTPF riskam;
5.2.2. tiek konstatēti apstākļi, kas liecina par nepietiekamu neklātienes identifikācijas procesa drošību, piemērotību vai iegūtās informācijas patiesumu;
5.2.3. tiek konstatēta būtiska neatbilstība klienta izpētē iegūtajai informācijai, piemēram, klients anketā ir norādījis vienu informāciju par savu darbību, savukārt videoidentifikācijas laikā klients sniedz citu informāciju.
5.3. Iestāde var deleģēt klienta neklātienes identifikāciju ārpakalpojuma sniedzējam, ja ir īstenots minimālais pasākumu kopums, proti:
5.3.1. ārpakalpojuma sniedzējs ievēro no Eiropas Savienības tiesību aktiem izrietošās prasības NILLTPFN jomā;
Piemērs Ārpakalpojuma sniedzējs ievēro prasības, kas noteiktas AMLD 5, FATF rekomendācijās "Starptautiskie standarti noziedzīgi iegūtu līdzekļu legalizācijas novēršanai, kā arī terorisma un masveida iznīcināšanas ieroču izplatīšanas finansēšanas novēršanai", NILLTPFN likumā, Noteikumos Nr. 392 u.c. dokumentos, savukārt iestādes pienākums pirms līguma slēgšanas ar ārpakalpojuma sniedzēju ir izvērtēt ārpakalpojuma sniedzēju, t.sk. izvērtēt, vai ārpakalpojuma sniedzējs atbilst normatīvajiem aktiem, iestādes politikām un procedūrām. |
5.3.2. iestāde nosaka ārpakalpojuma sniedzēja spēju veikt klientu neklātienes identifikāciju.
5.4. Iestāde izvērtē, pamato un dokumentē ar ārpakalpojuma sniedzēju saistītos riskus, paredz nepieciešamos pasākumus NILLTPF riska mazināšanai un ar to saistītā reputācijas un operacionālā riska mazināšanai, kā arī uzrauga ārpakalpojuma sniedzēja nodrošinātā pakalpojuma atbilstību normatīvajos aktos noteiktajām prasībām.
Piemērs Iestāde regulāri izvērtē ārpakalpojuma sniedzēja pakalpojuma atbilstību un kvalitāti un apkopo izvērtējuma rezultātus, ietverot informāciju par ārpakalpojuma sniedzēja pakalpojumu atbilstību iestādes prasībām, klientu, kuru neklātienes identifikācija veikta, izmantojot ārpakalpojuma sniedzēja pakalpojumus, darījumu atbilstību sākotnēji sniegtajai informācijai un klienta atbilstību tā sākotnējam riska profilam, iestādes lēmumu par darījuma attiecību uzsākšanu ar klientiem, kuru neklātienes identifikācija veikta, izmantojot ārpakalpojuma sniedzēja pakalpojumus, kā arī citu informāciju, kas raksturo ārpakalpojuma sniedzēja darbības atbilstību un kvalitāti. |
5.5. Iestāde izstrādā neklātienes identifikācijas ārpakalpojuma sniedzēja pakalpojumu izmantošanas politiku un procedūras, kurās ietver:
5.5.1. sadarbības ar ārpakalpojuma sniedzēju uzsākšanas kārtību;
5.5.2. vienotas prasības ārpakalpojuma sniedzēja pakalpojumu līgumiem;
5.5.3. prasības un kritērijus ārpakalpojuma sniedzēja profesionālās pieredzes, kompetences un reputācijas atbilstībai;
5.5.4. pasākumus NILLTPF riska mazināšanai;
5.5.5. pilnvarojuma apmēru u.c.
5.6. FATF 17. rekomendācijas kontekstā neklātienes identifikācijas procesā iestāde var paļauties uz citas regulētas iestādes veikto neklātienes identifikācijas procesu, ievērojot NILLTPFN likuma 29. pantā noteiktos kritērijus, kā arī izmantot ārpakalpojuma sniedzēju neklātienes identifikācijas veikšanai.
5.7. Atbildība par klienta izpētes veikšanu gulstas uz iestādi, kas deleģē ārpakalpojuma sniedzēju nodrošināt klienta neklātienes identifikāciju vai kāda klienta neklātienes identifikācijas procesa posma veikšanu.
5.8. Piesaistot ārpakalpojuma sniedzēju neklātienes identifikācijai, iestāde rīkojas atbilstoši Kredītiestāžu likuma 10.1 pantam, Maksājumu pakalpojumu un elektroniskās naudas likuma 29. pantam, Finanšu instrumentu tirgus likuma 142.1 pantam un citiem iestāžu darbību reglamentējošajiem normatīvajiem aktiem, kā arī ievēro iekšējās politikas un procedūras, kas nosaka ārpakalpojuma sniedzēja piesaistīšanas kārtību.
5.9. Neklātienes identifikācija pēc būtības ir jauns finanšu pakalpojumu veids, un pirms jauna finanšu pakalpojuma sniegšanas uzsākšanas iestāde rīkojas atbilstoši Kredītiestāžu likuma 101.2 panta pirmajai daļai, Finanšu instrumentu tirgus likuma 109. pantam, Maksājumu pakalpojumu un elektroniskās naudas likuma 26. panta pirmajai daļai un citiem iestādes darbību reglamentējošajiem normatīvajiem aktiem.
5.10. Ja atbilstoši šo ieteikumu 5.9. punktam neklātienes identifikācijas pakalpojums jau iepriekš ir ticis saskaņots ar Komisiju, bet iestāde to plāno piemērot jaunām klientu grupām vai kategorijām, tad atsevišķs Komisijas saskaņojums nav nepieciešams, izņemot gadījumus, kad mainās klientu grupu vai kategoriju riska profils un neklātienes identifikācijas pasākumi. Šajos gadījumos iestādei ir jāinformē Komisija.
Noslēguma jautājums
Ar šo ieteikumu spēkā stāšanos spēku zaudē Komisijas 2014. gada 18. septembra ieteikumi "Ieteikumi klientu neklātienes identifikācijai".
1 https://www.fatf-gafi.org/publications/financialinclusionandnpoissues/documents/digital-identity-guidance.html.
2 Ieteikumu 2.1.6. punktā minētais ieguvumu uzskaitījums nav izsmeļošs. Papildus var skatīt šeit: https://www.fatf-gafi.org/publications/financialinclusionandnpoissues/documents/digital-identity-guidance.html (sākot no 104. punkta).
3 https://www.ic.iem.gov.lv/lv/nederigo-dokumentu-registrs.
4 Ieteikumu 2.3.1.–2.3.6. punktā minētais risku uzskaitījums nav izsmeļošs. Papildus var skatīt šeit: https://www.fatf-gafi.org/publications/financialinclusionandnpoissues/documents/digital-identity-guidance.html (sākot no 112. punkta).
5 https://fidoalliance.org/specifications/.
6 eIDAS regulas 3. panta 2. un 10. punkts.
Finanšu un kapitāla tirgus komisijas priekšsēdētāja S. Purgaile