Про надання розяснень та рекомендацій з питань фінансового моніторингу

Національний банк України (далі - Національний банк) за результатами розгляду листа Всеукраїнської Асоціації Фінансових Компаній (далі - Асоціація) від 26.09.2023 № 2309-4 (далі - Лист) з питань застосування окремих норм Положення про здійснення установами фінансового моніторингу, затвердженого постановою Правління Національного банку України від 28.07.2020 № 107 (зі змінами) (далі - Положення № 107), повідомляє таке.

Стосовно питання 1 Листа щодо верифікації клієнта - фізичної особи шляхом отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій.

Відповідно до підпункту 4 пункту 31 додатка 2 до Положення № 107 установа в разі дотримання одночасно всіх умов, визначених у пункті 32 додатка 2 до Положення № 107, може здійснити верифікацію клієнта - фізичної особи шляхом отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій (за умови, що джерелом таких даних є банк) та коректного введення особою, верифікація якої здійснюється, оtр-пароля(1), надісланого установою на такий фінансовий номер телефону, та фотофіксації особи із використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП(2) уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото.

Послідовність дій установи під час використання зазначеного способу верифікації фізичної особи установа може визначати самостійно за умови дотримання всіх вимог, передбачених у підпункті 4 пункту 31 додатка 2 до Положення № 107.

Згідно з підпунктом 2 пункту 23 розділу ІІІ Положення № 107 внутрішні документи установи з питань ПВК/ФТ(3) мають містити порядок дій, який забезпечує здійснення всіх заходів із належної перевірки клієнта, уключаючи, зокрема, заходи з ідентифікації та верифікації.

Стосовно питання 2 Листа щодо фотофіксації особи методом розпізнавання реальності.

Відповідно до підпункту 18 пункту 5 розділу І Положення № 107 методом розпізнавання реальності особи (liveness detection method) є метод фотофіксації особи в режимі реального часу із використанням алгоритмів, що дають змогу відрізнити реальну людину від репродукції у будь-якому вигляді її зовнішності (наприклад, цифрова репродукція, грим, маска).

Отже, зазначений метод передбачає виявлення жвавості, рухливості (від англійського "liveness") людини для впевненості в тому, що установа здійснює верифікацію живої та реальної особи.

Зазначаємо, що нормами Положення № 107 не встановлені технічні вимоги щодо використання методу розпізнавання реальності особи, а також щодо сертифікації програмного забезпечення, яке використовується установою для фотофіксації методом розпізнавання реальності. Установа має право самостійно приймати рішення щодо вибору постачальника та/або відповідної технології.

Водночас звертаємо увагу, що до ухвалення рішення про придбання програмного продукту з фотофіксації методом розпізнавання реальності особи установа має впевнитися в його високому рівні надійності та спроможності відрізнити реальну людину від друкованої або цифрової фотографії, відеозапису, маски тощо.

Наголошуємо, що застосування під час фотофіксації особи з використанням методу розпізнавання реальності лише алгоритмів, які виявляють пасивну життєдіяльність особи, без використання алгоритму виявлення рухливості, жвавості не відповідає суті та меті застосування зазначеного методу.

Також вважаємо за потрібне зазначити, що відповідно до підходів FATF(4) верифікація клієнта без його фізичної присутності є фактором підвищеного ризику. Для ефективного застосування ризик-орієнтованого підходу віддалені способи ідентифікації та верифікації побудовані з використанням, зокрема, надійних джерел інформації, інструменту покладання, а також "запобіжників" -додаткових інструментів, застосування яких дають змогу знизити ризик використання послуг установи, у тому числі з протиправною метою.

Фотофіксація особи з використанням методу розпізнавання реальності (liveness detection method) є одним із таких "запобіжників", який використовується під час верифікації особи способами, визначеними в додатку 2 до Положення № 107.

Фотофіксація особи з використанням методу розпізнавання реальності особи у випадках, передбачених у Положенні № 107, здійснюється саме установою, а не клієнтом із подальшим передаванням зробленої фотографії установі.

Зауважуємо, що відповідно до пункту 23 додатка 1 до Положення № 107 установа документує проведення належної перевірки клієнта та прийняті установою рішення в спосіб, що дає змогу продемонструвати їх належне здійснення та обґрунтованість, та зберігає відповідні документи та/або інформацію у справі клієнта протягом строків, визначених Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон про ПВК/ФТ).

Як зазначено вище, фотофіксація особи з використанням методу розпізнавання реальності має забезпечувати впевненість у тому, що установа здійснює верифікацію живої та реальної особи і має здійснюватися в режимі реального часу.

Також, зважаючи на питання, які Національний банк отримує від небанківських фінансових установ, а також ураховуючи результати нагляду у сфері фінансового моніторингу, надаємо рекомендації щодо здійснення фотофіксації з використанням методу розпізнавання реальності.

Вважаємо, що фото, зроблені за результатами процесу використання установою фотофіксації методом розпізнавання реальності особи, не мають містити зображення інших людей, крім особи, верифікація якої здійснюється.

До фону фотозображення особи вимог немає. Водночас установа має вжити заходів для здійснення перевірки відповідних фото стосовно виявлення ознак, що можуть свідчити про їх можливу підробку або фальсифікацію. Зокрема, фото можуть містити різний фон, але установа має бути впевненою, що фотофіксація особи здійснюється безпосередньо під час її верифікації в режимі реального часу (тобто фото, зроблені установою з використанням методу розпізнавання реальності особи, мають фіксувати особу в один період часу, потрібний для здійснення такої фотофіксації, і в одному й тому самому вигляді [приміщення/вулиця, одяг, зачіска тощо]).

Зазначаємо, що установа зобов'язана вживати всіх необхідних заходів для забезпечення безумовного виконання вимог Положення № 107, зокрема стосовно порядку верифікації клієнтів.

Наголошуємо, що відповідно до частини другої статті 7 Закону про ПВК/ФТ застосування ризик-орієнтованого підходу здійснюється в порядку, визначеному внутрішніми документами з питань ПВК/ФТ суб'єкта первинного фінансового моніторингу з урахуванням рекомендацій відповідних суб'єктів державного фінансового моніторингу, які згідно із Законом про ПВК/ФТ виконують функції державного регулювання і нагляду за такими суб'єктами первинного фінансового моніторингу.

Отже, установа як суб'єкт первинного фінансового моніторингу має враховувати рекомендації, надані Національним банком, під час виконання установою функцій суб'єкта первинного фінансового моніторингу.

Просимо довести зазначені рекомендації та роз'яснення до учасників Асоціації для практичного використання.

З повагою