Technologische Lösungen zur Verifizierung der Identität natürlicher Personen durch das Ablichten von Ausweisen oder Pässen und durch die Aufnahme weniger Bilder oder des Gesichts des Nutzers decken sich nicht mit den gesetzlichen Bestimmungen bezüglich Geldwäsche und Terrorismusfinanzierung (KYC AML) in der Finanzindustrie.

Der einfache Grund ist ihre geringe technische Sicherheit, die Schwäche des elektronischen Nachweises, die im Prozess geliefert wird und die Schwäche durch ihren Mangel an Integrität. Dies bedeutet, dass der gelieferte Sicherheitsgrad niedrig ist, weit entfernt von jener Sicherheit, die für eine formale Kundenidentifikation entsprechend den strengsten Vorschriften in diesem Bereich erforderlich sind, die in einem höheren Standard den Grad technischer Anforderungen behoben haben, um Streaming-Videos für diese KYC- und AML-Prozesse zu nutzen.

Wie können wir diese Informationen über KYC AML nachprüfen?

In US-Standards:

In Anbetracht der vielfachen Betrugsfälle bei der Kundenidentifikation in KYC AML Prozessen rief das US-Handelsministerium mit dem National Institute of Standards and Technology (NIST) digitale Identitätsrichtlinien ins Leben (NIST SP 800-63A), aktualisiert im Juni 2017, welche drei Sicherheitsebenen zur Registrierung und Tests bei der Verfizierung der Identität festlegen, die von niedrig (IAL1) über mittel (IAL2) bis hoch (IAL3) klassifiziert sind).

Hohe Sicherheit (IAL3) steht für eine persönliche Identifikation und ist für das entfernte Öffnen von Konten geeignet. Diese Ebene erfordert menschliches Eingreifen (siehe Punkt 4.5 des Dokumentes) und setzt eine ständige, hochauflösende Videoübertragung voraus (siehe 5.3.3.2 des Dokumentes).

Dieses Dokument erlaubt Lösungen, die Bilder/Selfies für mittlere Sicherheit aufnehmen (IAL2), falls sie mit anderen starken Beweisen bezüglich der Identität einer Person kombiniert werden, zusätzlich zu Bildern oder Scans von Personalausweisen und der Aufnahme des Gesichtes der Person. Starke Beweise sind in der Regel Rechnungsformulare oder ein Adressnachweis, Hintergrundprüfungen von Informationen der Identität der Person, die identifiziert wird.

Das würde diese Art der Lösung in der Europäischen Union aus Gründen der Privatsphäre riskanter machen und anders als in der angelsächsischen Welt sind sie aufgrund der persönlichen Daten nicht erlaubt, selbst öffentliche Daten können nicht von Organisationen verarbeitet werden, bevor die betroffenen Personen nicht ihre schriftliche Einwilligung geben.

In europäischen Standards:

Den erwähnten Argumenten bezüglich der niedrigen Sicherheit von Bildern oder Selfies folgend gibt es keine Erfolgsrezepte, Befugnisse oder nicht-persönliche Identifikationsverfahren von Regulatoren der Finanzindustrie in Europa, um Identitätsverifikationslösungen zu nutzen, die auf einfachen Bildern basieren.

Die Videonutzung in einem solchen Verfahren wird durch das Inkrafttreten der neuen AML5-Richtlinie zusammen mit der eIDAS-Verordnung für Vertrauensdienste verstärkt. Diese Verordnung legt den Rechtsrahmen fest, der die Einführung der Videoidentifizierung für neue Beschaffungsprozesse und die Eröffnung von Konten im Finanzsektor ermöglicht und damit den europäischen digitalen Binnenmarkt vereinheitlicht.

eIDAS trat am 1. Juli 2015 in den 28 EU-Mitgliedstaaten in Kraft, indem zusätzlich die Leistungsnorm 2015/1502 umgesetzt wurde, die die Sicherheitsniveaus (niedrig, substantiell und/oder hoch) der elektronischen Identifizierung festlegt. Die AML5 selbst, die seit dem 9. Juli 2018 in Kraft ist, stützt sich auf den eIDAS-Sicherheitsrahmen zur Identifizierung von Personen und insbesondere zur Feststellung der Identität der Kunden bei Ferngeschäften.

Die Europäische Kommission verfügt über mehr als zwölf Jahre Erfahrung in der Erarbeitung des eIDAS-Sicherheitsrahmens, indem sie sich auf die Qualifizierung stützt, um zu bestätigen, dass die Lösungen der eIDAS und in diesem Fall den Sicherheitsniveaus für die elektronische Identifizierung entsprechen, in lokalen Normungsgremien und im Zeichen der CAB (Conformity Assessment Body – Konformitätsbewertungsstelle) .

Um die Konformität eines Video-Identifizierungssystems sicherzustellen, führen die CABs eine Prüfung durch und legen einen Bericht vor, der als CAR (Conformity Assessment Report – Konformitätsbewertungsbericht) bezeichnet wird. Wenn Sie ein ähnliches System einsetzen möchten, sollten Sie bei Ihrem Softwareanbieter einen CAR anfordern, der bestätigt, dass Ihr System geprüft und in Übereinstimmung mit der eIDAS-Verordnung sowie dem hohen Sicherheitsniveau zertifiziert wurde.

Als zusätzliche Unterstützung hat Deutschland kürzlich die neue Technische Richtlinie BSI TR-03147 veröffentlicht, die im Dezember 2018 in Kraft getreten ist und die Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen beschreibt. Diese TR legt Sicherheitsmaßnahmen für die Fernidentifizierung von Kunden ausschließlich durch videobasierte Verfahren und durch ID-Dokumente fest.

Vor dem Inkrafttreten der AML5-Richtlinie und der eIDAS hatten einige Mitgliedstaaten der Europäischen Union bereits Aufsichtsbehörden im Finanzsektor mit Fernidentifizierungsberechtigungen zur Identifizierung von nicht anwesenden Kunden, die es ermöglichten, bei entsprechend infrage kommenden Kunden ausschließlich die Videostreaming-Technologie einzusetzen.

Einige Fälle/Referenzen sind:

BAFIN (Bundesanstalt für  Finanzdienstleistungsaufsicht)- Deutscher Regulator.

FMA (Financial Market Authority  – Finanzmarktaufsicht) – Österreichische Aufsichtsbehörde.

FINMA (Eidgenössische Finanzmarktaufsicht) – Schweizer Regulator.

CSSF (Commission de Surveillance du Secteur Financier) – Luxemburg Regulator.

BdP (Banco de Portugal) – Portugiesischer Regulator.

FCIS (Financial Crime Investigation Service under the Ministry of Interior/Untersuchungsbehörde für Finanzkriminalität im Innenministerium) – Litauischer Regulator.

SEPBLAC (Servicio Ejecutivo de Prevención de Blanqueo de Capitales) – Spanischer Regulator.

In lateinamerikanischen Standards:

CNBV (Comisión Nacional Bancaria y de Valores)- Mexikanischer Regulator.

In Asien-Standards: 

MAS (Monetary Authority of Singapore/Finanzbehörde Singapur) – Singapur-Regulator.

FSC (Financial Services Commission – Kommission für Finanzdienstleistungen) – Aufsichtsbehörde für Korea.

FSA oder JFSA (Japan Financial Services Agency – Japanische Finanzdienstleistungsagentur) – Aufsichtsbehörde für Japan.

HKMA (Hong Kong Monetary Authority – Hongkonger Geldlichautorität) – Aufsichtsbehörde für Hong Kong.

Bitte beachten Sie, dass alle diese Verfahren/Ermächtigungen kostenlos online nachgelesen werden können.

Es gibt zwei Lösungsmodelle für KYC AML

Ununterbrochene Videoübertragung wird zu einem Standard, um Kunden im Online-Kanal zu identifizieren. Und wir sehen zwei Lösungsmodelle, die sogenannten synchronen Lösungen (Videokonferenz mit einem Vermittler, der die Kunden online interviewt) und asynchron (wobei ein Video per Streaming aufgenommen wird und die Kontrolle über und die Integrität des Videoaufnahmeprozesses durch die regulierte Einheit und eine Offline-Verifizierung durch einen qualifizierten Vermittler zu einem späteren Zeitpunkt sichergestellt wird).

Diese Lösungen können abhängig vom Nutzungsfall kombiniert werden: Videokonferenz für beratenden Vertrieb, um neue Kunden zu gewinnen, und asynchrones Video in Gewinnungsprozessen, die eine Beweglichkeit beim Vertragsabschluss erfordern, wenn es das Ziel des Unternehmens ist, den Kunden so wenig wie möglich zu stören.

Wenn Sie wissen möchten, welche Lösungen KYC/AML-konform sind, können Sie diesen Leitfaden herunterladen.

[Total: 20 Average: 4.6]

Política y uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies