2. Article

Neklātienes identifikācijas koncepcija, ar neklātienes identifikāciju saistītie riski un pasākumi to pārvaldīšanai 2.1. Izpratne par neklātienes identifikāciju un būtiskākās atšķirības no klātienes identifikācijas 2.1.1. NILLTPFN likumā tāpat kā citos NILLTPFN (Anti Money Laundering) jomu regulējošajos starptautiskajos dokumentos klienta identifikācija tiek definēta kā klienta izpētes sastāvdaļa. Klienta identifikācija ir uzskatāma par klienta izpētes sastāvdaļu, jo tā tiešā veidā ietekmē klienta izpēti un darījumu uzraudzību kopumā. Lai gan NILLTPFN likumā klientu identifikācija strukturāli ir nodalīta no klientu izpētes, klientu identifikācija ir uzskatāma par klientu izpētes sastāvdaļu, jo tā tiešā veidā ietekmē klientu izpēti un darījumu uzraudzību kopumā. Pirmkārt, klienta identifikācijas uzdevums, klientam atverot kontu, ir pārliecināties par personas identitāti un, kā to paredz NILLTPFN likuma 15. pants, nodrošināt, ka persona nedarbojas anonīmi vai ar fiktīvu vārdu. Otrkārt, klienta identifikācija nodrošina, ka iestāde kā NILLTPFN likuma subjekts atbilstoši personas identifikācijas procesā iegūtajai informācijai var konstatēt, vai persona ir PNP vai tā ir saistīta ar valsti, kurai piemīt augsts NILLTPF risks, un attiecīgi jāveic šīs personas padziļināta izpēte. Tāpat pēc identifikācijas procesā iegūtās informācijas iestādei ir iespēja konstatēt, vai persona nav iekļauta personu, kuras tiek turētas aizdomās par saistību ar terorismu, sarakstā vai Eiropas Savienības sankciju sarakstā, kas atstāj tiešu ietekmi uz iespējamo sadarbību un tālākajiem klienta izpētes pasākumiem. Līdz ar to iestāde var veikt arī uz sankciju risku balstītu klientu izpēti. 2.1.2. Būtiskākā neklātienes identifikācijas atšķirība no klātienes identifikācijas ir apstāklis, ka klients nav personīgi piedalījies iestādes, tās darbinieka vai pilnvarotās personas, t.sk. iestādes izvēlētā ārpakalpojuma sniedzēja, veiktajā identifikācijas procesā klātienē. 2.1.3. Gan klātienes, gan neklātienes identifikācijas mērķis ir identificēt klientu, kas ir pirmais solis tai sekojošajā klienta izpētes procesā. 2.1.4. Neklātienes identifikācija ietver arī gadījumus, kad iestāde, tās darbinieks vai pilnvarotā persona, t.sk. iestādes izvēlētais ārpakalpojuma sniedzējs, izmantojot tehnoloģiskos risinājumus, piemēram, videoidentifikāciju ar datora vai viedtālruņa palīdzību vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, veic tāda klienta identifikāciju, kas nav personīgi piedalījies identifikācijas procesā klātienē. 2.1.5. Klienta neklātienes identifikācija un darījumi, kas veikti, izmantojot Latvijā pieejamas un informācijas sistēmu drošību regulējošajiem normatīvajiem aktiem atbilstošas elektroniskās identifikācijas sistēmas, kā arī iestādei piemērojot samērīgus un proporcionālus klienta riskam atbilstošus riska mazināšanas pasākumus (izmantojot uz risku balstītu pieeju (risk-based approach)), var pazemināt klienta NILLTPF riska līmeni. Šajā gadījumā ir jāpiemēro NILLTPF riska kontroles pasākumi. 2.1.6. Neklātienes identifikācijas potenciālie ieguvumi2: 2.1.6.1. līdz minimumam tiek samazināti trūkumi (t.sk. cilvēcisko kļūdu iespējamība, identificējot un pārbaudot personas identitāti), darbiniekiem veicot identitātes pārbaudes pasākumus; 2.1.6.2. tiek uzlabota pieredze darbā ar klientiem un tiek ietaupīti iestādes līdzekļi, t.sk. samazinātas ar personālu saistītās izmaksas; 2.1.6.3. darījumu monitoringa veikšana ļauj iestādēm iegūt papildu informāciju par klientu, piemēram, tā ģeogrāfisko atrašanās vietu, IP adresi (t.i., unikālo numuru, kas piešķirts katram datoram vai citai ierīcei, kura veido savienojumu ar internetu). Šī informācija var palīdzēt iestādēm iegūt vairāk detaļu par klienta uzvedību, t.sk. noskaidrot, kad un kur tiek veikti aizdomīgi finanšu darījumi, un savlaicīgi reaģēt uz tiem, palīdzēt izmeklēšanas procesā u.tml. 2.1.7. Personas klātienes un neklātienes identifikāciju var veikt pati iestāde vienas komercsabiedrību grupas ietvaros vai izmantot ārpakalpojuma sniedzēju (piemēram, iestādes pilnvarota persona, kura visbiežāk darbojas uz savstarpēji noslēgta līguma pamata un kura veic neklātienes identifikāciju). 2.1.8. Jebkuru fizisko personu klātienē identificē pēc personu apliecinoša dokumenta (sk. paraugus Ministru kabineta 2012. gada 21. februāra noteikumos Nr. 134 "Personu apliecinošu dokumentu noteikumi"). 2.1.9. Veicot personas klātienes identifikāciju, fizisko personu identificē, pārbaudot tās identitāti pēc personu apliecinoša dokumenta, kurā sniegta šāda informācija: 2.1.9.1. par rezidentu - vārds, uzvārds, personas kods; 2.1.9.2. par nerezidentu - vārds, uzvārds, dzimšanas datums, personas fotoattēls, personu apliecinoša dokumenta numurs un izdošanas datums, valsts un institūcija, kas dokumentu izdevusi. Iestāde, pārbaudot fiziskās personas identitāti pēc klienta Latvijas Republikā vai ārvalstīs izdota personu apliecinoša dokumenta, pārliecinās, ka personu apliecinošais dokuments nav iekļauts Nederīgo dokumentu reģistrā3. Minētajā reģistrā iekļaujamo ziņu apjoms, iekļaušanas kārtība un glabāšanas termiņi, kā arī institūcijas, kurām piešķirama piekļuve reģistrā iekļautajām ziņām, un privātpersonām pieejamais ziņu apjoms tiek noteikts atbilstoši Ministru kabineta 2012. gada 16. oktobra noteikumiem Nr. 708 "Noteikumi par nederīgo dokumentu reģistru". 2.1.10. Ja fiziskās personas identitātes pārbaudes pamatā nav personu apliecinošs dokuments, tad nav nepieciešams pārbaudīt personu apliecinošo dokumentu Nederīgo dokumentu reģistrā. 2.1.11. Ja personas neklātienes identifikācija tiek veikta, izmantojot drošu elektronisko parakstu, personu apliecinoša dokumenta kopija vai personas fotoattēls (ja fiziskā persona ir nerezidents) nav obligāti nepieciešams, jo netiek veikta identifikācija uz personu apliecinošā dokumenta pamata. Tomēr kā risku mazinošu pasākumu personu apliecinošā dokumenta kopiju, fotoattēlu vai citus datus, piemēram, no Pilsonības un migrācijas lietu pārvaldes iestāde var iegūt vai obligāti iegūst atbilstoši savam risku novērtējumam. Drošs (kvalificēts) elektroniskais paraksts tiek izsniegts, pamatojoties uz veiktu personas identificēšanu. Līdz ar to var secināt, ka persona, kurai ir piešķirts drošs elektroniskais paraksts, jau ir tikusi identificēta klātienē un atkārtota personas identifikācija klātienē nav obligāta. 2.1.12. Neklātienes identifikāciju var piemērot arī juridiskai personai, ja ir iespējams pārliecināties par tās tiesībspēju un juridiskās personas pārstāvju (fizisko personu) rīcībspēju (t.i., tiek nodrošināta juridiskās personas amatpersonu identifikācija un to pārstāvības tiesību pārbaude), iegūt citu būtisku informāciju atbilstoši NILLTPFN likumā noteiktajam, kā arī pārliecināties par to, ka iegūtie dokumenti ir derīgi, atbilst normatīvajiem aktiem un nesatur viltojuma pazīmes. 2.1.13. Ja juridiskās personas pārstāvēttiesīgā vai pilnvarotā persona jau ir identificēta kā iestādes klients fiziskā persona, tad juridiskās personas neklātienes identifikācijas ietvaros šo jau identificēto fizisko personu nav nepieciešams identificēt atkārtoti. Piemērs Ja neklātienes identifikācija tiek veikta juridiskās personas pārstāvēttiesīgajai personai, kura nav attiecīgās iestādes klients, tad minētās personas neklātienes identifikācijas process būs jāveic pilnā apmērā, savukārt, ja minētā fiziskā persona ir iestādes klients, tad atkārtota šīs personas klātienes vai neklātienes identifikācija nav jāveic. Bet abos gadījumos ir jāpārbauda minētās personas pārstāvības tiesības, kā arī, izņemot gadījumus, kad juridiskās personas pārstāvēttiesīgā persona vai personas ir attālināti identificētas, izmantojot drošu elektronisko parakstu, jāiegūst dokuments vai attiecīgā dokumenta kopija, kas apliecina to tiesības pārstāvēt juridisko personu, ja par juridiskās personas pārstāvja pārstāvības tiesībām nav iespējams pārliecināties tiešsaistē Latvijas Republikas Uzņēmumu reģistra mājaslapā info.ur.gov.lv vai iegūstot datus sistēmā, izmantojot Latvijas Republikas Uzņēmumu reģistra piedāvātos pakalpojumus. 2.1.14. Nepilngadīgas personas neklātienes identifikācija notiek: 2.1.14.1. veicot nepilngadīgās personas pārstāvēttiesīgās personas neklātienes identifikāciju un iegūstot nepilngadīgās personas personu apliecinoša dokumenta kopiju (ja nepilngadīgajai personai nav pases vai ID kartes, iestāde iegūst personas dzimšanas apliecības kopiju). Iestāde pārliecinās par nepilngadīgās personas un vecāka radniecības saitēm (iegūstot informāciju no Fizisko personu reģistra vai vecāka personu apliecinoša dokumenta); 2.1.14.2. ja iestāde sniedz finanšu pakalpojumus nepilngadīgajai personai bez pārstāvēttiesīgās personas starpniecības, tā veic neklātienes identifikāciju pašai nepilngadīgajai personai, kurai ir izsniegts fiziskās personas personu apliecinošs dokuments. 2.1.15. Par klātienes identifikāciju ir uzskatāma identifikācijas procedūra, ko veic iestādes darbinieks vai pilnvarotā persona (piemēram, ārpakalpojuma sniedzējs, ar kuru iestāde noslēgusi līgumu par klientu identificēšanu iestādes interesēs, vai pārstāvis, kurš maksājumu pakalpojumu sniegšanā rīkojas maksājumu iestādes vārdā vai ir tiesīgs izplatīt un atpirkt elektronisko naudu elektroniskās naudas iestādes vārdā), klientam personiski (klātienē) piedaloties identifikācijā. 2.2. Neklātienes identifikācijai piemītošie riski un atbilstošie pasākumi šo risku mazināšanai 2.2.1. Pirms tiek uzsākta neklātienes identifikācija, iestādei ir svarīgi veikt neklātienes identifikācijas riska izvērtējumu, t.sk. iestrādāt risku mazinošos pasākumus neklātienes identifikācijas procesā, tos nosakot procedūrās un politikās. 2.2.2. Iestādei, izstrādājot NILLTPFN iekšējās kontroles sistēmu, t.sk. politikas un procedūras un neklātienes identifikācijas procesu, ir jāspēj samazināt risku, kas izriet no tādiem faktoriem kā risks, ka klienti, ar kuriem tiek nodibinātas darījuma attiecības, izmantojot neklātienes identifikācijai paredzētos tehnoloģiskos risinājumus, uzdodas par citām personām vai izmanto citu personu datus, dokumentus vai informāciju, lai iegūtu attiecīgo pakalpojumu vai produktu. Piemērs Videoidentifikācijas laikā tiek konstatētas pazīmes, ka klients izmanto tehniskus risinājumus un aplikācijas, kas var slēpt personas patieso identitāti, proti, tādas, kas maina vai aizvieto nosūtāmo video attēlu, uzrāda virtuāli ģenerētu neīstu identifikācijas dokumentu vai aizvieto īsta dokumenta rekvizītus. Šādas darbības liecina par mēģinājumu slēpt īsto pakalpojuma lietotāja identitāti, izmantojot citu personu datus, dokumentus un citu informāciju. Līdz ar to būtiski pieaug risks, ka identifikācijas laikā pieprasītie finanšu iestādes produkti un pakalpojumi var tikt izmantoti ļaunprātīgos nolūkos. Risku mazinošs faktors: iestādēm, ieviešot videoidentifikācijas risinājumus, papildus jau esošajām iekšējās kontroles sistēmā paredzētajām darbībām ir jāveido atbilstoši riskus mazinoši risinājumi. Šādi risinājumi var būt gan specializēti un tehniski rīki aprakstīto darbību konstatēšanai, gan arī papildu informācija specializētu (mērķa) apmācību veidā procesā iesaistītajiem iestādes darbiniekiem. Darbinieki, piedaloties specializētās apmācībās, gūst papildu informāciju, kā identificēt pazīmes, ka izmantoti tehniski risinājumi video attēla rediģēšanai u.tml. 2.2.3. Lai pēc iespējas samazinātu ar neklātienes identifikācijas kvalitāti saistītos riskus, iestāde veic neklātienes identifikācijas riska izvērtējumu, t.sk. politikās un procedūrās nosaka atsevišķu kartību, kādā neklātienē tiek identificētas juridiskās personas (piekļuve PLG, pilnvaru u.c. reģistriem). 2.2.4. Iestāde, veicot neklātienes identifikāciju un izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju, vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, var papildus izmantot risinājumu, kas var ietvert arī videostraumēšanu un audiostraumēšanu (piemēram, videosaruna). Šādu tehnoloģisku risinājumu izmantošana nav uzskatāma par videoidentifikāciju Noteikumu Nr. 392 10. punkta izpratnē, bet var kalpot kā risku mazinošs tehnoloģisks risinājums citām neklātienes identifikācijas metodēm, t.sk. papildu informācijas iegūšanai no klienta. Videosarunas laikā nav jāievēro Noteikumu Nr. 392 10. punktā noteiktās prasības. 2.2.5. Iestāde bez papildu skaidrojuma jebkurā brīdī klientam, kuram veikta neklātienes identifikācija, ir tiesīga piemērot identifikāciju, klientam personīgi piedaloties identifikācijas procedūrā, vai papildus jau veiktajai klienta neklātienes identifikācijai izmantot citu klienta neklātienes identifikācijas veidu, vai atkārtoti veikt neklātienes identifikāciju. 2.3. Ar klienta datu drošību saistītie neklātienes identifikācijas riski 2.3.1. Viens no būtiskākajiem neklātienes identifikācijas riskiem ir datu un informācijas zudums, datu bojājums vai datu ļaunprātīga izmantošana, kā arī trešo personu nesankcionēta piekļuve datiem. Minētos riskus ir iespējams mazināt, piemēram, apsverot iestādes informācijas sistēmas aizsardzības programmu uzstādīšanu, t.sk. klientu datubāzu aizsardzības sistēmu uzstādīšanu4. 2.3.2. Ņemot vērā, ka neklātienes identifikācijas laikā iestāde un klients izmanto internetu, citas tehnoloģijas, digitālās identifikācijas sistēmas u.c., pastāv kiberuzbrukumu risks neklātienes identifikācijas laikā. Lai samazinātu minēto risku, iestādei ir nepieciešams rūpīgi apsvērt un izvērtēt tehnoloģiskos riska faktorus un īstenot atbilstošus uz tehnoloģijām balstītus aizsardzības pasākumus (piemēram, izvēlēties piemērotākos informācijas sistēmu aizsardzības līdzekļus, pretuzbrukumu, antivīrusa datorprogrammas u.c.). 2.3.3. Pastāv risks, ka klienta paroles vai piekļuves kodi un cita informācija varētu tikt izpausta trešajām personām. Lai samazinātu šo risku, ir nepieciešams informēt klientus, kā arī atgādināt klientiem, ka savas paroles, piekļuves kodus un citu sensitīvo informāciju nedrīkst izpaust trešajām personām. 2.3.4. Lai mazinātu ar neklātienes identifikāciju saistītos riskus, ir iespējams izmantot daudzfaktoru identifikācijas (multi factor authentification) risinājumus, piemēram, pirms neklātienes identifikācijas uzsākšanas uz klienta telefona numuru iestāde var nosūtīt īsziņu ar vienreizējiem piekļuves kodiem vai parolēm. 2.3.5. Pastāv risks, ka klienta paroles, piekļuves kodi un citi dati var tikt nozagti, izpausti trešajām personām vai iestāžu informācijas tehnoloģiju sistēmas var tikt uzlauztas un trešās personas var iegūt klientu datus. Lai samazinātu šo risku, iestādēm ir ieteicams nodrošināt to informācijas tehnoloģiju sistēmu aizsardzības pasākumus. 2.3.6. Pastāv risks, ka klienta piekļuves kodi var būt arī neaizsargāti pret, piemēram, pikšķerēšanu (phishing) un citiem uzbrukumiem. Pret pikšķerēšanas uzbrukumiem aizsargāti autentifikatori var palīdzēt cīnīties pret šiem uzbrukumiem (piemēram, izmatojot FIDO U2F5 standartus). 2.4. Gadījumi, kad jāveic klienta mērķa padziļinātā izpēte 2.4.1. Ja neklātienes identifikācija tiek veikta atbilstoši Noteikumiem Nr. 392, t.i., izmantojot tehnoloģiskos risinājumus, kas ietver videoidentifikāciju vai drošu elektronisko parakstu, vai citus tehnoloģiskos risinājumus, tad klienta padziļinātā izpēte vai mērķa padziļinātā izpēte nav jāveic, ja vien pienākums veikt padziļināto izpēti nav uzlikts ar normatīvajiem aktiem. 2.4.2. Ja pirms sadarbības uzsākšanas ar iestādi tās potenciālais klients juridiskā persona (piemēram, Eiropas Rekonstrukcijas un attīstības banka vai cits salīdzinoši liels un labi pazīstams uzņēmums vai organizācija, par kuras esamību un vēlmi nodibināt darījuma attiecības nav šaubu, piemēram, ar pārstāvjiem notikušas ilgstošas sarunas par darījuma slēgšanu) klienta izpētei nepieciešamos dokumentus un informāciju ir nosūtījis iestādei pa pastu, tad iestādei nav jāveic klienta padziļinātā izpēte pilnā apjomā atbilstoši NILLTPFN likumā un tam pakārtotajos normatīvajos aktos noteiktajam, bet ir jāveic mērķa padziļinātā izpēte tikai apjomā, kas izriet no dokumentos, kas saņemti pa pastu, iekļautās informācijas, ja vien nepastāv citi apstākļi, kas nosaka pienākumu veikt padziļināto izpēti pilnā apjomā. Šajā gadījumā iestāde ņem vērā, piemēram, šādus kritērijus: 2.4.2.1. juridiskās personas lielums; 2.4.2.2. juridiskās personas dibināšanas datums (t.i., juridiskajai personai jāpastāv vismaz piecus gadus); 2.4.2.3. juridiskās personas atpazīstamība, reputācija, publiski pieejamā informācija par minēto personu, t.sk. neatkarīgi auditēti gada pārskati un informācija par juridiskās personas pārstāvjiem; 2.4.2.4. juridiskās personas starptautiskā sadarbība; 2.4.2.5. maza iespējamība, ka konkrētais gadījums varētu būt saistīts ar viltus identitātes izmantošanu; 2.4.2.6. citi iestādes politikās un procedūrās noteikti kritēriji.