Upoznaj svog klijenta/korisnika
14/09/2022
Autor: Valentina Bulatović, šef Odjeljenja za razvoj i finansijske tehnologije
Zašto je važno znati sa kim digitalno poslujete
Slogan “Upoznaj svog klijenta/korisnika” (“KYC - Know Your Client”) je međunarodni standard u oblasti sprečavanja pranja novca i finansiranja terorizma. U širem smislu, KYC predstavlja set postupaka koji omogućava identifikaciju i verifikaciju identiteta klijenata u sektoru pružanja finansijskih usluga, ali nalazi svoju primjenu i u drugim industrijama. Proces se obično sastoji od nekoliko mehanizama: identifikacije korisnika, analize i verifikacije podataka koje je dao klijent, a finansijske institucije imaju i obavezu da održavaju ažurnim i tačnim informacije o klijentima, kao i da nastavljaju dalje praćenje računa. Ako se utvrdi osnov sumnje u pranje novca i finansiranje terorizma ili u neko drugo krivično djelo prevare ili zloupotrebe, vrši se detaljnija analiza na bazi liste indikatora za prepoznavanje sumnjivih transakcija i klijenata, i dalje se postupa u skladu sa zakonskim obavezama.
U većini zemalja postoje definisana KYC pravila i regulativa za sprečavanju pranja novca i finansiranja terorizma, ali se nivoi tih mehanizama mogu razlikovati. Utvrđena su pravila u postupanju sa klijentima, izvještavanju, čuvanju podataka, internoj kontroli, procjeni rizika, upravljanju rizikom i komunikaciji.
Kada je riječ o Crnoj Gori, postojeća regulativa nameće obavezu ličnog prisustva kod otvaranja računa, banke daju klijentima da popune obrasce čiji se sadržaj i obim prikupljenjih informacija razlikuje od banke do banke. Nova regulativa koja je u pripremi, kao jednu od najvećih izmjena predviđa dodatnu mogućnost online otvaranja računa i potpisivanja ugovora sa bankom. Ovaj zakon će donijeti novu dinamiku u ovoj oblasti, uvodeći novine poput elektronske identifikacije klijenata i video-elektronske identifikacije.
Uz pomoć KYC-a šalter odlazi u prošlost
Oblast KYC-a je veoma aktuelna u svijetu i pruža značajan potencijal za dalje unapređenje i razvoj, kroz procese digitalizacije i primjenu savremenih tehnologija, odnosno formiranje “eKYC-a”. Elektronski KYC se odnosi na potpuno digitalizovane procese koji koriste različita tehnološka rješenja za identifikaciju i verifikaciju identiteta klijenata. Ono čemu se teži je moćan i efikasan eKYC koji garantuje brzinu, transparentnost i posebno sigurnost digitalnih procesa i podataka koji su predmet daljih analiza.
Različiti su načini i iskustva kako elektronski procesi mogu unaprijediti KYC proceduru. Nekada je glavni fokus na povećanju efikasnosti i skraćivanju vremena trajanja KYC procesa, nekada na unapređenju stepena uspješnosti mehanizama za otkrivanje i prevenciju finansijskih prevara ili na povećanju stepena zaštite i sigurnosti ličnih podataka, dok su neki servisi više okrenuti pružanju pomoći bankama i drugim finansijskim institucijama u praćenju i implementaciji regulatornih obaveza. U svijetu danas postoji značajan broj fintech kompanija koje su specijalizovane upravo za servise i alate iz oblasti eKYC-a.
Ciljevi, načini primjene i iskustva se razlikuju. U nekim zemaljama je eKYC dio seta elektronskih servisa, zasnovanog na Centralizovanom registru elektronskih identiteta svih građana, koji je odlična osnova za kreiranje novih digitalnih servisa u različitim industrijama. Zahvaljujući najvećoj biometrijskoj bazi podataka „Aadhaar“, pružaoci finansijskih usluga u Indiji su značajno skratili vrijeme eKYC procedura i obezbjedili finansijsku inkluziju velikog broja građana, što takođe može predstavljati jedan od ciljeva uvođenja eKYC procedura. Poslednjih godina u praksi su prisutni različiti industrijski standardi sa fokusom na tehničke zahtjeve, tako da se klijenti banaka i dalje se suočavaju sa raznolikošću procedura, definicija podataka, smjernica i standarda. Na nivou Evropske unije postoje procesi kojima se teži uspostavljanju potpuno digitalizovanih i harmonizovanih KYC procesa koji će funkcionisati u svakodnevnoj praksi zemalja članica.
Ovo znači da će, kada jednom prođemo KYC proces u bilo kojoj zemlji članici EU, digitalni servisi u drugim zemljama biti dostupni bez dodatnih koraka u smislu utvrđivanja identiteta. Da bi se dosegao taj cilj, jedan od preduslova je uspostavljanje efikasne i pouzdane tehnološke infrastrukture. Bez obzira na dinamiku pristupanja EU, neophodno je da uhvatimo korak sa opisanim procesima.
KYC je siguran koliko i njegova najslabija karika
Proces digitalizacije je neminovan i nezaustavljiv. Zajedno sa očiglednim prednostima primjene najnovijih tehnoloških trendova koji servise prilagođavaju načinu života savremenog čovjeka, javljaju se i novi rizici i opasnosti koje taj razvoj sobom nosi.
Za početak, važno je da postoji svijest svih učesnika o različitim oblicima rizika i opasnosti, a onda i da se preduzimaju snažne mjere na prevenciji i otkrivanju različitih vrsta zloupotreba.
Pored sada već standardnih metoda sajber zaštite koje se uglavnom fokusiraju na sprečavanje neautorizovanih pristupa, tehnološki razvijenija društva se suočavaju se sa još jednom vrstom prevara, upravo u oblasti KYC-a. U pitanju je kreiranje lažnih, tzv. “sintetičkih” identiteta koji se koriste za prevare ne samo u oblastima pružanja finansijskih usluga, već i u nekim drugim industrijama koje rade sa udaljenom identifikacijom klijenata.
Prema definiciji, pod prevarama sa lažnim identitetom podrazumjeva se upotreba kombinacije ličnih podataka za izmišljanje lica ili entiteta, kako bi se počinilo krivično djelo, odnosno radi ostvarivanja lične ili finansijske dobiti.
Sintetički identiteti falsifikuju osnovne lične podake koji se obično dostavljaju prilikom otvaranja računa u banci od strane novog klijenta: ime i prezime, datum rođenja, adresa, JMB ili poreski broj itd, a dopunjavaju se setom dodatnih informacija, poput broja telefona, e-mail adrese, ID uredjaja ili njegove IP adrese i sl.
Jednom formiran, lažni vještački identitet, za razliku od nekih drugih vrsta prevara, nije jednostavno otkriti. Naime, njega u početku obično karakteriše standardno ponašanje sa minimalnom finansijskom aktivnošću, koje je slično uobičajenom ponašanju realnih korisnika. Sve dok se ne pojavi prilika. Po podacima američkog FED-a, u avgustu 2020. godine dvojica muškaraca iz Južne Floride uhapšeni su pod optužbom za bankarsku prevaru, zbog kreiranja više od 750 lažnih identiteta koji datiraju iz 2017. godine. Nakon perioda “mirovanja” od skoro tri godine, u vrijeme podsticajnih mjera zbog kovida, ovi “sintetički” identiteti iskorišćeni su za zloupotrebu miliona dolara iz programa zajma za hitne slučajeve.
Lažni identitet – stvarna opasnost
Kako otkriti prevaru sa vještačim identitetima? Ne postoji samo jedna indikacija da je riječ o sumnjivom identitetu, obično je to kombinacija više faktora koji mogu ukazivati na to da je potrebna dodatna, unakrsna provjera. Provjere se onda odnose kako na taj nalog, tako i na potencijalno sa njim povezane naloge gdje se pokušava utvrditi da li postoje nelogičnosti u podacima o identitetu. Neki primjeri sumnjivih situacija koji pale alarm i zahtijevaju dodatnu pretragu su situacije kada: veći broj korisnika banke ima isti ili sličan neki od ličnih podataka, npr. adresu, broj telefona, IP adresu uređaja ili sl, zatim nesklad izmedju starosti klijenta i istorije njegovih kreditnih aktivnosti, ili prijavi sumnjive, nepostojeće e-mail adrese, zatim veći broj ličnih identifikacionih dokumenata sa skorim datumom izdavanja i sl.
Za provjeru i otkrivanje lažnih identiteta razvijaju se različiti alati i tehnološka rješenja. Međutim, i takvi mehanizmi se mogu zaobići, jer su kvalitetni onoliko koliko su dobri podaci na kojima su “obučavani” za otkrivanje prevara. Kreirani identiteti se zasnivaju na falsifikovanim ličnim dokumentima, ali se često “dopunjavaju” i lažnim profilima na društvenim mrežama, izmišljenim nalozima korisnika komunalnih usluga i sl, sve u cilju stvaranja što vjerodostojnijeg identiteta. Zato je vrlo važno da inicijalna identifikacija klijenata uključuje analizu pravilno odabranih parametara, koja bi trebalo da pruži tačne odgovore na pitanje da li ta osoba zaista postoji. Što je više podataka i atributa koji se analiziraju, veći je i potencijal za pronalaženje zajedničkih karakteristika.
Postoje različite faze u kojima se obavljaju provjere identiteta. Prve se rade na početku, kada još nije otvoren nalog i uspostavljen korisnički odnos, odnosno tokom KYC procedura. Ove inicijalne provjere su i najvažnije, jer nakon toga otkrivanje falsifikovanih identiteta postaje sve kompleksnije. Sledeća grupa provjera se vrši unutar portfolija da li postoje povezani nalozi - jer se često dešava da se lažni identiteti koriste u startu za sprovođenje regularnih aktivnosti plaćanja i kupovine u malim iznosima, kreirajući tako istoriju plaćanja i povećavajući svoj kreditni kapacitet, prije nego naprave prevaru na većem iznosu. Treći dio provjera se odnosi na momenat ako i kada do zloupotrebe ipak dođe. Iako se to nekad čini kao uzaludan posao jer se prevara već desila, ipak je važno sprovesti istragu do kraja - ponašanje eventualno povezanih naloga i analiza podataka mogu pomoći da se identifikuju i drugi sumnjivi nalozi.
Sama priroda prevara pomoću lažnih identiteta čini je izazovnom za otkrivanje. Primjena savremenih tehnologija koje koriste različite pristupe i metode za otkrivanje i prevenciju, mogu značajno poboljšati sposobnost organizacija da spriječe ili ublaže ove vrste prevara. Primjenom mašinskog učenja, sistemi identifikuju obrasce i generišu algoritme na osnovu analize velikog broja stvarnih podataka i statističkih modela. S tog aspekta je veoma veliki značaj precizne identifikacije i izvještavanja o prevarama koje bi obezbijedilo veću vidljivost trendova prevara, što bi zauzvrat moglo da podstakne i razvoje efikasnijih načina borbe i ublažavanja negativnih posljedica. Ovo nije borba koju može voditi jedna institucija, potreban je konstantni zajednički napor svih činilaca, razmjena informacija i podizanje svijesti o različitim metodama prevara i zloupotreba.