U digitalnom poslovnom okruženju i povećanoj potrebi za udaljenom provjerom identiteta korisnika, pojam KYC-a (Know Your Customer) postao je sinonim za sigurnost i povjerenje.

KYC uključuje udaljenu i automatsku identifikaciju i verifikaciju identiteta korisnika, pri čemu se utvrđuje je li korisnik onaj za kojeg se predstavlja. U ovom procesu se prikupljaju osobni i identitetski podatci, provjerava se vjerodostojnost i autentičnost podataka i identifikacijskog dokumenta, uspoređuju se s vanjskim bazama podataka i provodi se biometrijska usporedba kako bi se potvrdilo da je osoba s druge strane zaista ona za koju se predstavlja. Korisnici na taj način brže, jednostavnije i sigurnije dolaze do usluga, a tvrtke se štite od prijevara i troše manje vremena na papirologiju. Istovremeno, KYC tvrtkama omogućuje usklađenost s regulatornim zahtjevima kao što je npr. AML.

Bez obzira govorimo li o visoko reguliranom sektoru, kao što su banke, fintech tvrtke, povideri digitalne identifikacije ili drugi koji nude financijske usluge, utvrđivanje identiteta korisnika i dubinska analiza stranke su zakonske obveze.

U Hrvatskoj je regulativa KYC-a dio šireg sustava sprječavanja pranja novca i financiranja terorizma (AML/CFT), a svaka organizacija koja posluje u financijskom ili digitalnom okruženju mora imati jasno definirane procedure identifikacije i udaljene provjere klijenata.

Što propisuje hrvatsko zakonodavstvo?

Temeljni zakon koji regulira KYC u Hrvatskoj je Zakon o sprječavanju pranja novca i financiranja terorizma, koji definira obveze obveznike, odnosno institucije koje moraju provoditi dubinsku analizu klijenata, koja uključuje:

• Identifikaciju i provjeru identiteta klijenata;
• Utvrđivanje stvarnog vlasnika;
• Kontinuirano praćenje poslovnog odnosa i transakcija;
• Izvještavanje o sumnjivim aktivnostima Uredu za sprječavanje pranja novca.

Obveznici ovog Zakona su sve fizičke i pravne osobe koje, zbog prirode svojeg poslovanja, mogu biti izložene riziku od pranja novca i financiranja terorizma, što uključuje:

1. organizacije koje upravljaju novcem, kreditima, plaćanjima i investicijama: banke i štedionice, kreditne unije, društva za osiguranje, leasing društva, društva za upravljanje investicijskim fondovima, pružatelji platnih usluga.
2. subjekte koji ne posluju primarno u financijama, ali sudjeluju u transakcijama visokog rizika: revizore, računovođe i porezne savjetnike, odvjetnike i javne bilježnike, trgovce nekretninama i vrijednim pokretninama, aukcijske kuće i galerije, pravne i fizičke osobe u kategoriji tzv. trust service providera.
3. ostale obveznike: pružatelje usluga povezanih s virtualnim valutama (kriptomjenjačnice, wallet provideri), kasina, kockarnice i online gaming platforme, fintech platforme koje nude financijske usluge, digitalne novčanike, KYC verifikaciju, elektroničku identifikaciju ili platne funkcionalnosti, pružatelje elektroničke identifikacije i digitalnog potpisa, ako sudjeluju u procesu identifikacije korisnika.

Osim spomenutog Zakona, podzakonski akti donose dodatne smjernice o tome kako provoditi KYC u praksi:

1. Pravilnik o postupku procjene rizika od pranja novca i financiranja terorizma te načinu provedbe mjera pojednostavljene i pojačane dubinske analize stranke
   definira postupke za procjenu rizika i klasifikaciju klijenata prema rizičnim kategorijama i uvodi obvezu dokumentiranja procjene rizika i praćenja promjena u ponašanju klijenata.
2. Pravilnik o obavještavanju Ureda za sprječavanje pranja novca o sumnjivim transakcijama, sredstvima i osobama propisuje za obveznike način i rokove izvještavanja Ureda o sumnjivim transakcijama.
3. Pravilnik o obavještavanju o gotovinskim transakcijama u vrijednosti od 200.000 kuna i većoj uređuje pragove i procedure za prijavu velikih gotovinskih transakcija.

Udaljena identifikacija i podzakonski akti

Kada se poslovni odnos uspostavlja na daljinu, obveznici moraju vjerodostojno potvrditi identitet klijenta putem važećih i pouzdanih izvora (osobnih dokumenata ili javnih registara). Ključni podzakonski akt u tom području je Pravilnik o uvođenju stranke na daljinu i minimalnim uvjetima koje mora ispunjavati rješenje za digitalnu identifikaciju. On propisuje uvjete za uvođenje stranke na daljinu, sadržaj politika, kontrola i postupaka koje obveznik mora uspostaviti, način utvrđivanja i provjere identiteta fizičkih i pravnih osoba i uvjete za angažman trećih osoba pri obavljanju tih radnji.

Prema Pravilniku se u praksi KYC proces može obavljati sigurno putem videopoziva i AI sustava za provjeru dokumenata i usporedbu biometrijskih podataka, uz strogo poštivanje regulatornih zahtjeva.

Pravilnik tako od udaljene identifikacije traži sljedeće:

• Video i zvuk moraju biti dovoljno jasni da se osoba može pouzdano prepoznati (ako pukne veza ili je kvaliteta loša, postupak se prekida). Snimka mora imati vremenski žig i čuva se prema Zakonu.
• Mora se provjeriti autentičnost osobnog dokumenta.
• Mora se provesti „face match“ i provjera živosti osobe, odnosno sustav mora potvrditi da je osoba stvarna i da se njezino lice podudara s fotografijom na dokumentu.
• Po potrebi uključiti dodatne provjere kao što su jednokratni SMS kod, dodatna biometrijska provjera, kratki telefonski poziv ili e-mail.
• Ako se za provjeru identiteta koristi videopoziv, traže se jasne interne upute za intervju i smjernice kako uočiti sumnjivo ponašanje pri čemu se preporučuje nasumičnost redoslijeda koraka kako bi se otežala prijevara.

Angažiranje trećih osoba i vanjskih suradnika za digitalnu identifikaciju

Tvrtke mogu povjeriti KYC proces vanjskim suradnicima ili poslovnim partnerima, ali samo uz strogu kontrolu.

Prema Zakonu, obveznik mora dokazati da je treća osoba:

• usklađena s pravilnikom i internim procedurama,
• tehnički i organizacijski sposobna provoditi KYC postupke,
• osigurava sigurno i ograničeno čuvanje podataka,
• redovito izvještava o promjenama u rješenju ili postupku.

Obveznik mora i sam provesti procjenu tehničke otpornosti, sigurnosnih mjera i sposobnosti treće strane i dokumentirati sve rezultate testiranja i kontrole.

Svaka tvrtka koja posluje s korisnicima online, mora znati tko su njezini klijenti i provjeriti njihov identitet. To zahtijevaju propisi o sprječavanju pranja novca i financiranja terorizma, ali i podzakonski akti koji određuju kako se ta provjera mora obaviti, posebno kada se radi na daljinu. 

Provjerite kako možete uspostaviti usklađen i siguran KYC proces u skladu s važećim propisima. Saznajte više o digitalnoj identifikaciji.