EBA Richtsnoeren voor het accepteren van cliënten op afstand

9 minuten

De Europese Bankautoriteit (“EBA”) heeft in november 2022 richtsnoeren aangenomen die zien op het gebruik van oplossingen voor het accepteren (of onboarden) van cliënten op afstand (de “Richtsnoeren” (link)). De Richtsnoeren zijn van toepassing op kredietinstellingen en financiële instellingen (hierna: “financiële ondernemingen”) die vallen onder de reikwijdte van AML/CFT-wetgeving (in Nederland: de Wwft).

Recentelijk zijn de Richtsnoeren in alle relevante EU-talen waaronder het Nederlands vertaald, en is daarmee duidelijk geworden dat de Richtsnoeren per 2 oktober 2023 in werking treden. Gezien het feit dat steeds meer relaties volledig digitaal tot stand komen, zijn dit voor de praktijk belangrijke Richtsnoeren. In dit nieuwsbericht zullen wij een aantal relevante punten voor de praktijk uitlichten.

Achtergrond

In de Richtsnoeren worden gemeenschappelijke EU-normen vastgesteld voor de ontwikkeling en uitvoering van processen ten aanzien van het onboarden van cliënten op afstand. In de Richtsnoeren wordt uiteengezet welke stappen financiële ondernemingen moeten nemen bij het kiezen van instrumenten voor onboarding van cliënten op afstand. Daarnaast staat in de Richtsnoeren hoe ondernemingen de toereikendheid en betrouwbaarheid van dergelijke instrumenten moeten beoordelen, om effectief te voldoen aan hun AML/CFT-verplichtingen.

In Nederland maken financiële ondernemingen, onder meer, gebruik van iDIN om de identificatie van een cliënt op afstand te verifiëren. Er worden ook echter andere (online) tools in de markt aangeboden waarmee de identiteit van een cliënt op afstand kan worden geverifieerd, bijvoorbeeld aan de hand van bijvoorbeeld de NFC-chip in het identiteitsbewijs en andere biometrische gegevens via een selfie, of een ‘liveness-check’.

Inhoud Richtsnoeren

De Richtsnoeren bespreken de volgende zeven onderwerpen:

 

  1. Intern beleid;
  2. Informatievergaring;
  3. Authenticiteit en integriteit van documenten;
  4. Matchen van de identiteit van de cliënt als onderdeel van het verificatieproces;
  5. Uitbesteding;
  6. Beheer van ICT- en beveiligingsrisico’s; en
  7. Het gebruik van vertrouwensdiensten en nationale identificatieprocessen.

In het vervolg zullen wij uitvoeriger stilstaan bij wat de Richtsnoeren voorschrijven op het gebied van intern beleid en procedures, het matchen van de identiteit van de client en uitbesteding.

Beleid en procedures

Financiële ondernemingen moeten risicogebaseerd beleid en procedures opstellen waarin wordt beschreven hoe via de oplossing die de acceptatie van de cliënt op afstand faciliteert (hierna: de “online oplossing”) wordt voldaan aan de verplichting om een cliënt te identificeren en diens identiteit te verifiëren. Dit beleid en procedures moet ten minste – kort gezegd – het volgende omvatten:

 

  • Een beschrijving van de online oplossing, inclusief een uitleg over de kenmerken en de werking van de online oplossing;
  • De situaties waarin de online oplossing kan worden gebruikt, waarbij rekening moet worden gehouden met de risicofactoren die zijn vastgesteld en beoordeeld overeenkomstig artikel 8, eerste lid, van AMLD4 (link) en in de bedrijfsbrede risicoanalyse, inclusief een beschrijving van de categorie cliënten, producten en diensten die in aanmerking komt voor acceptatie op afstand;
  • Een indicatie van welke stappen volledig autonoom verlopen, en bij welke stappen menselijke tussenkomst vereist is;
  • Controlemaatregelen die ervoor zorgen dat er geen zakelijke relatie met de cliënt wordt aangegaan, dan wel een transactie wordt uitgevoerd, voordat het gehele cliëntenonderzoek is afgerond;
  • Een beschrijving van de trainingen die worden georganiseerd om ervoor te zorgen dat het personeel kennis heeft van de werking van de online oplossing, de daaraan verbonden risico’s, en het beleid voor de acceptatie van cliënten op afstand dat erop gericht is de geïdentificeerde risico’s te beperken.

 

De AML/CFT-compliance officer dient ervoor te zorgen dat het beleid voor de acceptatie van cliënten op afstand effectief worden ingevoerd, regelmatig wordt getoetst en indien nodig wordt herzien. De raad van bestuur moet uiteindelijk het beleid goedkeuren, en toezien op de correcte uitvoering daarvan.

Fase voorafgaand aan implementatie nieuwe online tool

Wanneer financiële ondernemingen overwegen een nieuwe online oplossing in te voeren, moeten zij deze vooraf beoordelen aan de hand van de vereisten die zijn opgenomen in de Richtsnoeren. Deze beoordeling moet in beleid en procedures worden uitgewerkt, waarbij ten minste de volgende aspecten worden meegewogen:

 

  • een beoordeling van de toereikendheid van de online oplossing wat betreft de volledigheid en nauwkeurigheid van de te verzamelen gegevens en documenten, en ook van de betrouwbaarheid en onafhankelijkheid van de informatiebronnen die worden gebruikt;
  • een beoordeling van het effect van het gebruik van de online oplossing voor de acceptatie van cliënten op afstand op de bedrijfsbrede risico’s, waaronder ML/TF-gerelateerde, operationele, reputatiegebonden en juridische risico’s;
  • de vaststelling van mogelijke risico mitigerende maatregelen voor elk risico dat in de hiervoor genoemde beoordeling is vastgesteld;
  • tests voor de beoordeling van frauderisico’s, waaronder imitatiefrauderisico’s en andere informatie- en communicatietechnologierisico’s en beveiligingsrisico’s; en
  • end-to-endtests van de werking van de online oplossing.

 

Financiële ondernemingen kunnen ervan uitgaan dat een online oplossing voldoet aan de hierboven beschreven criteria als gebruik wordt gemaakt van: (i) elektronische identificatiemiddelen die zijn aangemeld op grond van artikel 9 eIDAS-verordening (link) en die voldoen aan de vereisten van de betrouwbaarheidsniveaus “substantieel” of “hoog” conform artikel 8 van de eIDAS-verordening (in Nederland zijn dit bijvoorbeeld DigiD voor natuurlijke personen, en eHerkenning voor rechtspersonen) of (ii) relevante gekwalificeerde vertrouwensdiensten die voldoen aan de vereisten van de eIDAS-verordening. Ter verduidelijking: vertrouwensdiensten zijn diensten die het vertrouwen in online transacties bij bedrijven en consumenten moeten vergroten. Hierbij moet gedacht worden aan elektronische handtekeningen, echtheidszegels en tijdstempels.

Uiteindelijk moeten financiële ondernemingen kunnen aantonen welke beoordelingen zij hebben uitgevoerd voorafgaand aan de invoering van de online oplossing voor de acceptatie van cliënten op afstand, wat de uitkomst is van hun beoordeling en hoe het gebruik ervan passend is in het licht van de ML/TF-risico’s die zijn vastgesteld voor de soorten cliënt(en), dienst(en), geografische gebieden en product(en) die binnen het gebruik van de tool vallen.

Financiële ondernemingen mogen pas gebruikmaken van een online oplossing voor de acceptatie van cliënten op afstand wanneer zij ervan overtuigd zijn dat deze in de bedrijfsvoering van de onderneming kan worden geïntegreerd, zodat de onderneming de ML/TF-risico’s die kunnen voortvloeien uit het gebruik van de online oplossing kan beheersen.

De Richtsnoeren schrijven ook voor dat de financiële ondernemingen de online oplossing voortdurend moeten monitoren (periodiek en ad-hoc). Hiertoe moet het beleid voorzien in effectieve kwaliteitscontroles en beoordelingsprocessen.

Matchen identiteit cliënt als onderdeel van het verificatieproces

De toegepaste online oplossing moet ten minste het volgende controleren als onderdeel van het verificatieproces:

 

  • dat de zichtbare informatie van de natuurlijke persoon overeenkomt met de verstrekte documentatie;
  • indien de cliënt een rechtspersoon is, dat deze openbaar geregistreerd is (indien van toepassing); en
  • indien de cliënt een rechtspersoon is, dat de natuurlijke persoon die hem vertegenwoordigt bevoegd is namens hem op te treden.

 

Wanneer de online oplossing voor onboarding gebruik maakt van biometrische gegevens, dan gelden op basis van de Richtsnoeren aanvullende verplichtingen.

De Richtsnoeren beschrijven ook nog een aantal aanvullende maatregelen die financiële ondernemingen kunnen nemen om de betrouwbaarheid van het verificatieproces te vergroten indien dit noodzakelijk is gegeven de ML/TF-risico’s die verbonden zijn aan de zakelijke relatie. Hierbij kan, onder meer, gedacht worden aan: (i) een betaling van een betaalrekening die uitsluitend of mede op naam van de cliënt staat bij een gereguleerde bank of andere betaalinstelling in de EER of een gereguleerde bank of andere betaalinstellingen in een derde land met vereisten inzake AML/CFT die niet minder robuust zijn dan de vereisten van AMLD4; (ii) verzending van een willekeurig gegenereerde code naar de cliënt om de aanwezigheid tijdens het verificatieproces te bevestigen; (iii) telefoongesprekken met de cliënt; en (iv) rechtstreekse verzending van berichten (zowel elektronisch als per post) aan de cliënt.

De Richtsnoeren veronderstellen ook in dit geval dat aan bovenstaande is voldaan als gebruik wordt gemaakt van: (i) elektronische identificatiemiddelen die zijn aangemeld op grond de eIDAS-verordening en die voldoen aan de vereisten van de betrouwbaarheidsniveaus “substantieel” of “hoog” conform de eIDAS-verordening; of (ii) relevante gekwalificeerde vertrouwensdiensten die voldoen aan de vereisten van de eIDAS-verordening.

Uitbesteding

De Richtsnoeren schrijven voor dat financiële ondernemingen die het cliëntenonderzoek op afstand uitbesteden, in aanvulling op de ML/TF Richtsnoeren (link) en de Richtsnoeren over uitbesteding (link) van EBA, de volgende stappen moeten ondernemen:

 

  • ervoor zorgen dat de aanbieder van uitbestede diensten het beleid van de financiële onderneming in kwestie daadwerkelijk uitvoert en naleeft in overeenstemming met de uitbestedingsovereenkomst;
  • beoordelingen uitvoeren om te controleren dat de aanbieder van uitbestede diensten voldoende is toegerust en in staat is het proces voor de acceptatie van cliënten op afstand uit te voeren; en
  • ervoor zorgen dat de aanbieder van uitbestede diensten de financiële onderneming in kwestie informeert over voorgestelde wijzigingen in het proces voor de acceptatie van cliënten op afstand of van wijzigingen in de door deze aanbieder geboden online oplossing.

 

Inwerkingtreding

De Richtsnoeren zullen zoals gezegd per 2 oktober 2023 in werking treden. DNB moet officieel nog aangeven of ze de Richtsnoeren zal meenemen in haar toezicht. De AFM heeft in ieder geval al in december 2022 aangegeven dat ze de Richtsnoeren zal incorporeren in haar nieuwe Leidraad Wwft en Sanctiewet die dit jaar zal verschijnen (link).

Impact en to do’s

Marktpartijen die gebruik maken van technologie om cliënten online te onboarden zullen de aankomende tijd moeten bezien in hoeverre hun huidige beleid en procedures aanpassing behoeven in licht van de Richtsnoeren. Hierbij is van belang dat marktpartijen beoordelen of ze gebruik maken van tools die vallen onder de reikwijdte van de Richtsnoeren, en of de aanbieder van de tool, inclusief de tool zelf, voldoet aan de vereisten die zijn opgenomen in de Richtsnoeren. Dit vereist nu – maar ook steeds bij de selectie van een aanbieder – ook vergaande medewerking van de aanbieder. Bovendien moeten de aanbieders er feitelijk voor zorgen dat de tool ook voldoet aan de eisen die de Richtsnoeren stellen. Al met al genoeg aanleiding om tijdig het gesprek aan de gaan met de aanbieders.

Markpartijen die overwegen gebruik te gaan maken van een online oplossing voor onboarding, kunnen de verplichtingen die uit de Richtsnoeren voortvloeien alvast meenemen om dubbel werk op een later moment te voorkomen. Finnius kan marktpartijen assisteren bij de implementatie van de Richtsnoeren.