מודל הפעילות של חברות Fintech ונותני שירותים פיננסיים דיגיטליים מחייב מתן שירותים באמצעות פלטפורמה אינטרנטית או אפליקציה, באמצעותה החברה מתקשרת עם הלקוח באופן מקוון. זיהוי דיגיטלי של לקוחות, הינו תנאי מפתח לחברות הפועלות ללא מערך סניפים ונמצא בליבת המודל העסקי של חברות אלה.
מניעת נטישת לקוחות בטרם השלמת תהליך רכישה, הוא אחד מהאתגרים המרכזיים עמם נאלץ להתמודד עסק הפועל בסביבה דיגיטלית. מכוון שכל בקשה לפעולה נוספת מצד הלקוח מגדילה את אחוז הנטישה ומפחיתה את הסיכוי שלקוח פוטנציאלי ישלים את תהליך ההצטרפות לשרות, חברות משקיעות משאבים רבים בבניית ״חוויית לקוח״ תומכת ונוחה.
תהליך קליטת לקוח של גופים פיננסיים מפוקחים בישראל מחייב ביצוע מספר תהליכי חובה. בצווים שונים הנחיות הרגולציה מחלקות את התהליך ללקוח מזדמן, המורשה לפעול בהיקף פעילות מצומצם של עד 50,000 ש״ח בחצי שנה תוך ביצוע הליך בסיסי ומקוצר ודרישות מקיפות יותר ללקוחות אחרים.
החלוקה ל-2 מדרגות קליטת לקוח, האחת בעלת דרישות נמוכות באופן יחסי והשנייה כזאת שמחילה דרישות משמעותיות, מאלצת את הגופים הפיננסיים לנקוט בשתי גישות עיקריות לבניית תהליך קליטת לקוח.
גישת הרכשת לקוח במסלול ההתנגדות הנמוך ביותר – מדובר בגישה שבה מיושם הליך KYC מדורג, שבו הלקוח מתבקש להשלים את מינימום הפעולות הנדרש על מנת להתנסות בשירות וככל שהפעילות שלו תעבור את הסף בצו, הוא יידרש למסור עוד מידע ומסמכים. הנחת העבודה בגישה זו, היא העובדה שכל עוד לקוח פוטנציאלי לא ביצע אף פעולה, הוא לא התנסה בשירות המוצע על ידי החברה. מכיוון שיותר קל לשמר לקוח קיים כאשר יבקש לעבור את הסף, המשך פעילותו יותנה בהעברת מידע ומסמכים נוספים בשלב שהוא כבר התנסה במוצר ורכש נאמנות למוצר. יתרון נוסף הוא, שיתכן ויהיו לקוחות רבים שכלל לא יגיעו לסף הזיהוי הגבוה, ואין סיבה להתנות את פעילותם בהליך KYC מורכב וממושך.
גישת שמירה על מתן שירות עקבי ללא התניות להשלמת מסמכים – גישה זו מתייחסת למצב שבו החברה מעוניינת לשמור על חווית שירות עקבית וקובעת תהליך שבו כל תהליך ה-KYC מבוצע מראש, וכך הלקוח יוכל להמשיך בפעילות שוטפת, מבלי שיצטרך להמתין להשלמות מסמכים ואישורים. גישה זו מתאימה יותר לגופים שמספקים שירותים בסכומים גבוהים, או שירותים לעסקים.
הנחיות הרגולציה לקליטת לקוח מתייחסות בין היתר לחובות הבאות:
רישום פרטים – עבור לקוח מזדמן, נדרש לרשום את שם לקוח, מספר זיהוי ומען, ומי שאינו לקוח מזדמן גם מין, תאריך לידה או תאריך התאגדות.
איסוף מסמך זיהוי– נדרש איסוף מסמך זיהוי, ביחיד תעודת זהות, רישיון נהיגה או דרכון, בתושב חוץ דרכון ובתאגיד תעודת התאגדות.
אימות מסמכים זיהוי – נדרש עבור מי שאינו לקוח מזדמן, עבור יחיד מתאפשר זיהוי באמצעות איסוף תעודה נוספת או בדיקה אל מול מרשם האוכלוסין ועבור תאגיד באמצעות נסח חברה או בדיקה כנגד מרשם מתאים.
מילוי שאלון ״הכר את הלקוח״ – איסוף מידע מהלקוח לגבי פעילותו המתייחס לבירור מקור הכספים המעורבים, עיסוקו של הלקוח, מטרת השירות, חשיפתו הציבורית ועוד. ככלל, החובה מתייחסת ללקוח שאינו מזדמן אך ביחס לאופי הפעילות תיתכן גם דרישת מסירת מידע מלקוח מזדמן.
זיהוי ״פנים אל פנים״– נדרש עבור מי שאינו לקוח מזדמן. הזיהוי יבוצע ידי השוואת פניו לתמונה בתעודת הזיהוי. ביחיד נדרש זיהוי ללקוח או למיופה כוח ובתאגיד למורשה חתימה.
אימות העתק מסמך זיהוי כ-״נאמן למקור״ – נדרש עבור מי שאינו לקוח מזדמן. הדרישה מתייחסת לווידוא כי העתקי מסמכי הזיהוי נאמנים למקור.
מילוי הצהרת ״נהנה ובעל שליטה״ – נדרש עבור מי שאינו לקוח מזדמן. טופס שבו הלקוח מצהיר מי הם הנהנים מהשירות ובעלי שליטה בתאגיד. הלקוח נדרש לחתום על הטופס במקור.
בהתאם למבנה הרגולציה בתחום איסור הלבנת הון ומימון טרור החלות על גופים פיננסיים, ברוב המקרים התקשרות עם לקוח בסכום העולה על 50,000 ש״ח מחייבת ביצוע זיהוי ״פנים אל פנים״ על ידי מפגש (פיזי) עם הלקוח. על מנת בכל זאת לאפשר זיהוי שאינו באמצעות מפגש עם הלקוח, פורסמו הנחיות ייעודיות המאפשרות בהינתן קיום של סטנדרטים מסוימים לתהליכי עבודה ודרישות טכנולוגיה, להתקשר עם לקוחות באופן מקוון. יודגש, כי ברוב המקרים זיהוי מרחוק מתאפשר ללקוחות בסיכון נמוך לעניין הלבנת הון ומימון טרור.
פטור ממפגש עם הלקוח בפעילות במערכת סגורה וסגורה למחצה
פעילות במערכת סגורה מתאפשרת עבור שירותים פיננסיים בהם הכספים מועברים לחשבון הבנק של הלקוח ומוחזרים מחשבון זה בלבד, או מועברים לחשבון בנק של הלקוח ומוחזרים באמצעות כרטיס אשראי המקושר לחשבון זה. במסגרת השירות נדרש לוודא את פרטי החשבונות ואמצעי התשלום כדי לוודא שהפעילות עומדת בתנאי הפטור. הפטור מתאים לתחומי פעילות מסוימים, כגון מתן הלוואות המוחזרות מחשבון לקוח או מתן שירות המרת מטבע, כאשר הכסף מתקבל ומשולם אל/מאותו חשבון בנק.
שימוש במסלול זה מתאפשר עבור חשבונות המנוהלים בבנקים ישראלים ומחייב בדיקה של הבעלות בחשבון הבנק ווידוא הלימה עם בעלות של חשבון הלקוח בגוף הפיננסי. במקרה של סגירת חשבון, או חוסר יכולת של הלקוח להעביר כסף מחשבון המסומן כחשבון במערכת סגורה, מחייב מפגש עם הלקוח וזיהוי ״פנים אל פנים״.
פטורים להתקשרות מרחוק עם מקבל שירות באופן מקוון
מדובר במסלול המאפשר זיהוי מקוון בהתבסס על עמידה בסטנדרטים טכנולוגיים מסוימים ומצריך בד״כ אישור פרטני של הרגולטור הן לטכנולוגיה והן לרף הסטנדרטים בזיהוי. ככלל הפטור ניתן ללקוחות יחידים אשר הינם אזרחים או תושבי ישראל שאינם פועלים בעבור נהנים או עבור תאגידים שהתאגדו בישראל.
תהליך הזיהוי הדיגיטלי ישולב בהליך קליטת לקוח הכולל רישום פרטים ואיסוף מסמכי זיהוי וכמו כן איסוף מידע מהלקוח במסגרת הליך ״הכר את הלקוח״
להלן פירוט דרישות לאימות לקוח באופן מקוון:
- החברה נדרשת לוודא, שהמשיב לשאלון "הכרת הלקוח" והאדם המזוהה והמאומת באופן מקוון, אחד הם.
- נדרש להחתים הלקוח על הצהרת נהנה ובתאגיד, גם הצהרה על בעל שליטה באופן מקוון, בדרך המאפשרת תיעוד איכותי של החתימה וקישורה באופן מאובטח להצהרה.
- מינוי אחראי לזיהוי מקוון בחברה.
- כתיבת נהלי עבודה שיתייחסו לתנאים טכניים, כגון קיומם של אביזרי לבוש אצל הלקוח בעת ההזדהות, למשל משקפיים, שיער פנים וכיו"ב, קביעת אופי הצילום של הלקוח לרבות גודל תמונה ותנאי צילום של מסמכי זיהוי. הנהלים יפרטו גם תנאים לזיהוי ״פנים אל פנים״ במקרה של כשל בזיהוי ותנאי גילוי ללקוח בנוגע לתהליך הזיהוי.
- הטמעת מערך ניטור ובקרה לצמצום הסיכונים, לרבות ביצוע בדיקות של תקינות הנתונים.
- שמירת תיעוד דיגיטלי של ההקלטות והמסמכים ברמת אבטחה גבוהה.
פטור המבוסס על זיהוי באמצעות ״טכנולוגיה להיוועדות חזותית״ (Video Conference)
זיהוי ואימות של לקוח באמצעות תוכנות Video Conference בשילוב העברה בנקאית. זיהוי הלקוח באמצעות שיחת וידאו של נציג החברה עם הלקוח. ניתן לעשות שימוש בכל תוכנה המאפשרת היוועדות חזותית והקלטה ברורה של צילום הווידאו והאודיו של הלקוח, תוכנות כגון Skype, zoom, Google meet הינן דוגמאות בולטות. במקביל נדרשת ביצוע העברה בנקאית באמצעות חשבון על שם הלקוח בתאגיד בנקאי בישראל.
כאמור, התנאי לשימוש בטכנולוגיה שלא נועדה במקור לאימות וזיהוי לקוח, הינו התבססות על זיהוי שנעשה ללקוח על ידי תאגיד בנקאי בישראל על ידי השוואת פרטי הלקוח לפרטי חשבון הבנק שנמצא בשליטת הלקוח בתאגיד בנקאי.
מדובר במסלול המתאים לגופים בתחילת דרכם או גופים שרוב לקוחותיהם מבצעים פעילות בהיקפים נמוכים והם אינם מעוניינים בפיתוח ושילוב טכנולוגיות ייעודיות בתחום הזיהוי הדיגיטלי.
במסגרת השיחה, נציג החברה נדרש לתעד את הלקוח מצהיר בקולו שהוא פועל בעבור עצמו ולא בעבור נהנה. במידה ומדובר בתאגיד, החברה נדרשת לתעד את מורשה החתימה מצהיר בקולו בדבר נכונות ההצהרה על בעל שליטה.
פטור המבוסס על זיהוי באמצעות ״טכנולוגיה לזיהוי מרחוק״
שימוש בטכנולוגיה ייעודית המבוססת על זיהוי ביומטרי זיהוי תווים אופטי לצורך ביצוע הליך זיהוי ואימות הלקוח. הפטור מאפשר זיהוי על ידי הטמעת תהליך ההתקשרות באמצעות טכנולוגיה לזיהוי מרחוק המתבסס על תקשורת וידאו ואודיו בין שרתי החברה לבין הלקוח ויכול להיעשות באמצעות שימוש באינטראקציה חזותית בזמן אמת או באמצעות צילום וידאו שלא בזמן אמת.
על האיכויות הטכניות של הטכנולוגיה לזיהוי מרחוק, ובכללן איכות התקשורת (כגון רציפות התמונה והקול), התמונה והקול (כגון רזולוציה, ניגודיות, בהירות, תאורה) בזמן ביצוע תהליך הזיהוי, לאפשר זיהוי ואימות ברמת ודאות גבוהה של הלקוח ושל מסמכי הזיהוי שהוצגו על ידו.
גופים המעוניינים לזהות את לקוחותיהם באופן מקוון נדרשים לעמוד בדרישות החובה הבאות:
- ביצוע בדיקת חיות (Liveness) – בדיקה לווידוא כי האדם שהזדהה באמצעות הטכנולוגיה לזיהוי מרחוק, הוא אדם ממשי.
- בדיקת מקוריות התעודה המזהה (Authenticity) – הבדיקה תתבצע על סמך המאפיינים הקבועים של תעודה, בחינת שלמות, מיקום ועקביות הפרטים המצוינים על גבי התעודה המזהה.
- שימוש בטכנולוגיית זיהוי תווים אופטי (OCR- Optical character recognition) להוצאת מידע מתעודת הזיהוי – תמיכה מלאה בזיהוי תווים אופטי לחילוץ פרטי זיהוי ממסמכי זיהוי ישראליים – תעודת זהות (תעודת זהות מקומית), רישיון נהיגה ישראלי (אופציונלי) ודרכון (לא חובה).
- חילוץ נתונים באמצעות OCR – יש לחלץ את שדה מספר הזיהוי ללא אפשרות לשנות או לעדכן את השדה על ידי הלקוח במקרה שהטכנולוגיה לא מצליחה לחלץ את המספר. עדכון או החלפה של שדות נתונים אחרים (לא מספר מזהה) צריכים להיות מאומתים על ידי נציג החברה.
- זיהוי ביומטרי – החברה נדרשת לאמת באמצעות הטכנולוגיה לזיהוי מרחוק, כי התעודה המוצגת היא אכן התעודה של המזדהה באמצעות הטכנולוגיה, בכלל זה באמצעות השוואת התמונה שבתעודה המזהה לתמונת המזדהה באמצעות הטכנולוגיה.
- הקלטת הצהרה קולית בדבר נהנים – החברה נדרשת לתעד את הלקוח מצהיר בקולו שהוא פועל בעבור עצמו ולא בעבור נהנה. במידה ומדובר בתאגיד, החברה נדרשת לתעד את מורשה החתימה מצהיר בקולו בדבר נכונות ההצהרה על בעל שליטה.
- אימות הלקוח באמצעות סיסמא חד פעמית (OTP – One Time Passport) – אימות מספר הטלפון באמצעות שליחת סיסמא חד פעמית.
- איסוף ושמירת כתובת IP – שמירת כתובת ה- IP באמצעותה בוצע הליך הזיהוי.
- זיהוי ורישום – לקוח שזוהה באופן מקוון, יסומן ויזוהה ככזה במערכות החברה.
- בקרה של נציג – נדרשת צפייה של נציג החברה באופן שוטף בתיעוד הדיגיטלי שנשמר.
- חוות דעת לגבי סטנדרטים טכנולוגיים – חוות דעת מומחה מטעם הספק כי הטכנולוגיה עומדת בהוראות הדין.
- חוות דעת בהליך רשימה מוסדית – חוות דעת משפטית ואשר מתייחסת לתנאים להוכחת רשומה מוסדית, לרבות פלט של רשומה מוסדית.
- קביעת רף סטנדרטים למיקור חוץ (Outsourcing) בהתקשרות עם ספק טכנולוגי – קביעת הסדרים רף סטנדרטים לרמת שירות והסדרי שמירה ומחיקת מידע. ההסכם בין הצדדים יתייחס החובות והאחריות של הצדדים להסכם, באופן שמבטיח עמידה בהוראות הדין. נדרש להטמיע אמצעי פיקוח ובקרה על השירותים המסופקים על ידי נותן השירות במיקור חוץ.