זיהוי מקוון של לקוח

על ידי

חוזר חדש מאפשר לנותני שירותי אשראי, למערכות לתיווך באשראי, ובקרוב גם לכל נותני השירותים הפיננסיים, לעמוד בדרישות הלבנת ההון במלואן מבלי לפגוש את הלקוח. איך עושים זאת נכון, צעד אחר צעד.

מזה שנים רבות חברות Fintech ונותני שירותים פיננסיים הפועלים בישראל מצפים לאפשרות להתקשר עם לקוחות באופן מקוון. זיהוי דיגיטלי של לקוחות, הינו תנאי מפתח לחברות הפועלות באמצעות האינטרנט ואפליקציות ייעודיות הנעדרות ממערך סניפים הקיים בבנקים ונמצא בליבת המודל העסקי של נותני  שירותים פיננסיים חוץ בנקאיים. עד כה, בהעדר הסדרה מתאימה בתחום איסור הלבנת הון ומימון טרור, אפשרות זו הייתה חסומה בפני הגופים הפיננסיים, וזאת בניגוד לגופים הפועלים באירופה ובארה״ב, בהן זיהוי דיגיטלי הינו פרקטיקה מוכרת. גופים הפועלים בישראל נדרשו לזהות את לקוחותיהם באמצעות מפגש ״פנים אל פנים״ והחתמת הלקוח על מסמכי מקור.

המהפכה המיוחלת מגיעה באמצעות חקיקת צו איסור הלבנת הון (חובות זיהוי, דיווח וניהול רישומים של נותני שירות בנכס פיננסי ונותני שירותי אשראי למניעת הלבנת הון ומימון טרור), התשפ"א-2021 (צו אה״ה), שהוא למעשה עדכון של צו איסור הלבנת הון שחל על נותני שירותי אשראי, וכן פרסום חוזר בנושא התקשרות מרחוק עם מקבל שירות באופן מקוון על ידי רשות שוק ההון ביטוח וחסכון (הרשות).

 הצו צפוי להיכנס לתוקף רק ב-14 לנובמבר 2021 וחוזר זיהוי מרחוק חל בינתיים על נותני שירותי אשראי ומפעילי מערכות לתיווך באשראי בלבד. על רקע עדכון הצו כך שיחול גם על נותני שירותים פיננסיים, רשות שוק ההון צפויה לפרסם עדכון לחוזר, כך שיאפשר לגופים אלו גם כן זיהוי מקוון של הלקוחות. בנוסף, הצו מאפשר לנותני שירותים פיננסיים המעוניינים בכך, להחיל על עצמם את תחולתו באופן מידי, תוך יידוע של הרשות בנושא.

 בהתאם להנחיות בצו אה״ה, כל לקוח שביצע פעילות מצטברת של 50,000 ש"ח ומעלה בחצי שנה, מחוייב בזיהוי ״פנים אל פנים״ וחתימת מקור על מסמכים  (המחייבים מפגש עם הלקוח), או לחילופין שימוש בחלופה של זיהוי מקוון.

פטור ייעודי מזיהוי ״פנים אל פנים״ ניתן בפעילות מערכת סגורה או סגורה למחצה.

במערכת סגורה הכספים מועברים לחשבון המקור של הלקוח ומוחזרים מחשבון זה בלבד: הכספים מועברים לחשבון בנק מקור של הלקוח ומוחזרים באמצעות כרטיס אשראי המקושר לחשבון המקור. במסגרת השירות נדרש לוודא את פרטי החשבונות ואמצעי התשלום כדי לבדוק שהפעילות עומדת בתנאי הפטור. הפטור מתאים לתחומי פעילות מסוימים, כגון מתן הלוואות שמוחזרות מחשבון לקוח או מתן שירות המרת מטבע, כאשר הכסף מתקבל ומשולם אל/מ אותו חשבון בנק.

אז את מי מותר לזהות באופן מקוון? – יחידים ישראלים, הפועלים עבור עצמם (אינם פועלים עבור אחר -״נהנה״) ותאגידים ישראלים. בשלב זה החוזר אינו מאפשר זיהוי של תושבי חוץ, עובדים זרים או כל סוג של יחיד הפועל עבור צד ג׳. אנו מלאי תקווה, כי בקרוב יתאפשר זיהוי גם עבור לקוחות תושבי חוץ, שכן בהעדר אפשרות זו נותני שירותים פיננסיים מישראל מתקשים לפעול באופן גלובלי, ולרוב בוחרים במסלולי התאגדות ורישוי מחוץ לישראל.

 גופים המעוניינים לזהות את לקוחותיהם באופן מקוון נדרשים לעמוד בדרישות החובה הבאות:

        • אימות מספר הטלפון באמצעות שליחת סיסמא חד פעמית, שמירת מספר ה"ברזל" ה"IMEI" – וכתובת ה- IP ממנה בוצע הליך הזיהוי.
        • לוודא, שהמשיב לשאלון "הכרת הלקוח" ומקבל השירות המזוהה והמאומת באופן מקוון, חד הם.
        • מקבל שירות שזוהה באופן מקוון, יסומן ויזוהה ככזה במערכות החברה.
        • רמת הסיכון של מקבל שירות שזוהה באופן מקוון תותאם להליך "הכרת הלקוח" שבוצע למקבל השירות, ובהתאם תיבחן הוספה או הסרה של מגבלות בשירותים שניתנים לו.
        • חוות דעת של גורם משפטי – תתייחס לתנאים להוכחת רשומה מוסדית, לרבות פלט של רשומה מוסדית.

החוזר מאפשר שני מנגנוני זיהוי לקוח באופן מקוון:

1.זיהוי באמצעות טכנולוגיה להיוועדות חזותית (Video Conference) – זיהוי ואימות של לקוח באמצעות תוכנות Video Conference. ניתן לעשות שימוש בכל תוכנה המאפשרת היוועדות חזותית והקלטה ברורה של צילום הווידאו והאודיו של הלקוח, תוכנות כגון Skype, zoom, Google meet הינן דוגמאות בולטות של הז׳אנר. תנאי חובה לשימוש בטכנולוגיה זו הוא ביצוע העברה בנקאית באמצעות חשבון על שם הלקוח בתאגיד בנקאי בישראל.
כאמור,  התנאי לשימוש בטכנולוגיה שלא נועדה במקור לאימות וזיהוי לקוח, הינו התבססות על זיהוי שנעשה ללקוח על ידי תאגיד בנקאי בישראל על ידי השוואת פרטי הלקוח לפרטי חשבון הבנק שנמצא בשליטת הלקוח בתאגיד בנקאי.

מדובר במסלול המתאים לגופים בתחילת דרכם או גופים שרוב לקוחותיהם מבצעים פעילות בהיקפים נמוכים והם אינם מעוניינים בפיתוח ושילוב טכנולוגיות ייעודיות בתחום הזיהוי הדיגיטלי.

2.זיהוי באמצעות טכנולוגיה לזיהוי מרחוק –טכנולוגיה ייעודית העומדת בדרישות הבאות:

2.1 קיום תקשורת וידאו ואודיו בין שרתי החברה ללקוח.

2.2שימוש באינטראקציה חזותית בזמן אמת או באמצעות צילום וידאו שלא בזמן אמת.

2.3 דרישת איכויות טכניות של הטכנולוגיה לזיהוי ואימות ברמת ודאות גבוהה של הלקוח ושל מסמכי הזיהוי.

2.4 צילום וידאו שלא בזמן אמת מחייב גם:

      • בדיקות חיות – המאמת כי התעודה המוצגת היא אכן התעודה של המזדהה באמצעות הטכנולוגיה.
      • צפייה של נציג מטעם נותן השירותים הפיננסים באופן שוטף בתיעוד הדיגיטלי שנשמר.

החוזר מחייב רשימה של דרישות נוספות מגופים העושים שימוש בטכנולוגיה לזיהוי מרחוק:

      • בדיקת מקוריות התעודה המזהה (Authenticity) :

    1. בדיקת מקוריות התעודה המזהה המוצגת, על סמך המאפיינים הקבועים של אותה תעודה.
    2. בחינת שלמות התעודה המזהה.
    3. בחינת שלמות, מיקום ועקביות הפרטים שמצוינים על גבי התעודה המזהה.
      • שדה מספר הזהות, יירשם באמצעות הטכנולוגיה ללא אפשרות של עדכון השדה על-ידי הלקוח.
      • עדכן פרטי הזיהוי על ידי הלקוח מחייב בדיקה אל מול התעודה המזהה (הקלדה ידנית).
      • אימות שהתעודה המוצגת היא אכן התעודה של המזדהה באמצעות הטכנולוגיה באמצעות השוואת התמונה שבתעודה המזהה לתמונת המזדהה.

נדבך נוסף בהליך זיהוי מקוון הוא עמידה בדרישות לעניין ״הצהרת מקבל שרות״ – בה הלקוח מצהיר לגבי זהות הנהנים בחשבון או בעלי שליטה בתאגיד, להלן פירוט ההנחיות לעניין הצהרת מקבל שירות:

      • החתמת הלקוח על הצהרה באופן מקוון תתבצע בדרך המאפשרת תיעוד איכותי של החתימה וקישורה באופן מאובטח להצהרה.
      • תיעוד הצהרה בקול הלקוח שזה פועל בעבור עצמו ולא בעבור נהנה.
      • בתאגיד – תיעוד של מיופה הכוח מצהיר בקולו בדבר נכונות ההצהרה על בעלי השליטה.

 כמו כן, ההנחיות כוללות רשימת דרישות בתחום ניהול סיכונים וממשל תאגידי אשר הגופים הפיננסים נדרשים להכין במסגרת הליך הטמעת השירות.

להלן פירוט הדרישות בתחום זה:

      • מינוי אחראי לזיהוי מקוון בחברה.
      • כתיבת מסמכי מדיניות, בין היתר לניהול סיכוני הלבנת הון ומימון טרור הקשורים לפעילות, חלוקת אחריות בין בעלי התפקידים השונים, קביעת מנגנוני פיקוח של ההנהלה והדירקטוריון לרבות תוכניות עבודה ומנגנוני דיווח.
      • כתיבת נהלי עבודה שיתייחסו לתנאים טכניים, כגון קיומם של אביזרי לבוש אצל הלקוח בעת ההזדהות, למשל משקפיים, שיער פנים וכיו"ב, קביעת אופי הצילום של הלקוח לרבות גודל תמונה ותנאי צילום של מסמכי זיהוי. הנהלים יפרטו גם תנאים לזיהוי ״פנים אל פנים״ במקרה של כשל בזיהוי ותנאי גילוי ללקוח בנוגע לתהליך הזיהוי.
      • קביעת רף סטנדרטים למיקור חוץ (Outsourcing) בהתקשרות עם ספק טכנולוגי.
      • הטמעת מערך ניטור ובקרה לצמצום הסיכונים, לרבות ביצוע בדיקות של תקינות הנתונים + מערך בקרות על ספק הטכנולוגיה.
      • שמירת תיעוד דיגיטלי של ההקלטות והמסמכים ברמת אבטחה גבוהה.

החוזר מחייב גם ביצוע פיילוט אל מול רשות שוק ההון, ביטוח וחיסכון, הפיילוט יבוצע  לאחר התקשרות עם 1,000 איש באופן מקוון או לאחר  6 חודשים מתחילת מתן השירות , המוקדם מבניהם, להלן פירוט המיידעים למסירה לרשות במסגרת הפיילוט:

      • התאמת התהליך לחובות בצו + העברת ממצאים לרשות שוק ההון.
      • בדיקה אנושית מטעם החברה באשר לנכונות ותקינות הנתונים  תוך השוואתם (לרבות תמונה). בדיקה אנושית כאמור תתבצע בטרם יתאפשר למקבל שירות  לבצע  פעילות באמצעות נותן השירותים הפיננסיים.
      • חוות דעת מומחה מטעם הספק שהטכנולוגיה עומדת בהוראות הדין.
      • הצהרה מאומתת של מנכ"ל החברה כי מולאו כל דרישות הדין בכל הקשור ליישום הליכי זיהוי מקוון, לרבות הוראות הגנת הפרטיות.
      • פירוט הבקרות המבוצעות בהקשר הזיהוי המקוון.

לסיכום, אנו ממליצים לכם על צעדי  היערכות לזיהוי לקוח באופן מקוון:

      • כמו בכל פרויקט, מומלץ לבצע הערכה מסחרית לקביעת עלות/תועלת ההשקעה.
      • שאלות רלוונטיות הן: האם ניתן להשתמש בפטורים קיימים, לדוגמה מערכת סגורה או סגורה למחצה? האם כמות הלקוחות שניתן לזהות אותם באמצעים דיגיטליים מצדיקה את ההשקעה או שעלות המפגש/שליחת שליח אל הלקוח הינה עדיפה מבחינה כלכלית? האם לבחור במסלול טכנולוגיית היועדות חזותית (בתוספת העברה בנקאית) או בטכנולוגיה לזיהוי מרחוק, הנ״ל הינו נגזרת של כמות הלקוחות?
      • במידה ומתקבלת החלטה להטמיע זיהוי לקוחות באמצעות טכנולוגיה לזיהוי מרחוק, קיימת חשיבות גבוהה לזהותו של הספק הטכנולוגי. קיימים מספר ספקים ישראלים וכמות גדולה של ספקים מחו״ל.
      • שאלות אשר מומלץ לשאול את ספקי הטכנולוגיה: האם הפתרון הטכנולוגי עומד בדרישות החוזר? האם הפתרון הטכנולוגי אושר בעבר על ידי רשות שוק ההון, ביטוח וחסכון או רגולטור פיננסי אחר בישראל? האם באפשרות החברה לספק את חוות הדעת הנדרשות? האם הפתרון הוא לתהליך ״הכרת הלקוח״ במלואו או רק עבור חלק ממנו? האם הפתרון תומך בזיהוי בזמן אמת / שלא בזמן אמת? האם הפתרון הוא לאפליקציה או Web או גם וגם?  מהי רמת התמיכה בעברית/אנגלית?
      • במידה ותהליכי הזיהוי שמבצע הגוף הפיננסי משמשים גופים פיננסיים אחרים, בדגש על גופים פיננסיים המפוקחים על ידי רגולטור אחר, מומלץ לוודא כי הפתרון עומד גם בהנחיות הרגולציה של  הגוף הפיננסי הנוסף.
      • במקביל לתהליך ההטמעה, נדרשת הערכות רחבה מבחינת כתיבת נהלי עבודה ומסמכי מדיניות המשקפים בצורה מדויקת את דרישות הרגולציה, תהליכי העבודה, תהליכי קבלת החלטות ואופי הפיקוח של ההנהלה והדירקטוריון על יישום החובות.
      • נדרשת הערכות לפניה לרשות שוק ההון במסגרת הליך פיילוט לאחר חצי שנה או זיהוי של 1,000 לקוחות לצורך אישור הפתרון הטכנולוגי ותהליכי העבודה.

במאמר זה סקרנו את הוראות הרגולציה בעניין זיהוי דיגיטלי של לקוחות.

צוות RCG ישמח לייעץ וללוות את חברתכם בהטמעת תהליך הזיהוי הדגיטלי של לקוחות, וביישום הוראות הרגולציה בנושא.

מאמרים נבחרים

mm

חבל תליה או הצלה?

האם ה-Fintech הוא חבל התליה או חבל ההצלה של הבנקים?עליית מייזמי הפינטק מובילה לשינוי מהותי בתפקיד הבנקים, אם אלו ישכילו להשתנות ולהתמקד בתחומי פעילות בהם...

הכתובת‭ ‬שלנו
ריב"ל‭ ‬18‭ ‬קומה ‭ ‬3  ‬
תל‭ ‬אביב ‭ ‬6777850
משרד. 052-2089013
דוא״ל. info@regulazia.co.il

כל‭ ‬הזכויות‭ ‬שמורות‭ ‬לקירשנר דיזינגוף‭ ‬יועצים‭ ‬בע"מ 2018 האתר‭ ‬עוצב‭ ‬ונבנה‭ ‬ע"י VDH
אין באמור לעיל כדי להוות ייעוץ משפטי, חוות דעת או תחליף לייעוץ משפטי.
האמור לעיל, אינו אלא תיאור כללי בלבד ולא מחייב של הנושאים.

הרשמה‭ ‬לניוזלטר‭ ‬שלנו

הכתובת‭ ‬שלנו
ריב"ל‭ ‬18‭ ‬קומה ‭ ‬3  ‬
תל‭ ‬אביב ‭ ‬6777850
משרד. 052-2089013
דוא״ל. info@regulazia.co.il

כל‭ ‬הזכויות‭ ‬שמורות‭ ‬לקירשנר דיזינגוף‭ ‬יועצים‭ ‬בע"מ 2018 האתר‭ ‬עוצב‭ ‬ונבנה‭ ‬ע"י VDH
אין באמור לעיל כדי להוות ייעוץ משפטי, חוות דעת או תחליף לייעוץ משפטי.
האמור לעיל, אינו אלא תיאור כללי בלבד ולא מחייב של הנושאים.

קבלו ישירות למייל עדכונים לגבי התפתחות הרגולציה

הצטרפו עוד היום לרשימת התפוצה שלנו וקבלו מאמרים ועדכונים שוטפים לגבי חובות הרגולציה החלות על גופים פיננסים

ההרשמה בוצעה בהצלחה!

דילוג לתוכן