Kolme kulmakiveä yritysasiakkaan KYC-prosessissa

Reguloitujen toimialojen osalta kulmakivien päällä on riskiperusteinen päätöksenteko- ja seuranta. Kulmakivet on paaluttanut myös The Financial Action Task Force (FATF), joka suosittelee kannanotossaan KYC-prosessin digitalisointia ja luotettavien sähköisten identiteettien hyödyntämistä asiakkaan tuntemisen prosessissa. FATF:n vuonna 2019 julkistama Suomen arviointiraportti kiinnitti huomiota rahanpesun ja terrorismin rahoittamisen torjunnan valvontaan – sen seurauksena Finanssivalvonnan ja Aluehallintoviraston valvontaan liittyvät voimavarat päätettiin kaksinkertaistaa. Rahanpesun estämiseen liittyvä Suomen lainsäädäntö nojautuu EU:n rahanpesudirektiiveihin ja FATF:n antamiiin suosituksiin. FATF on siis globaalisti luotettu auktoriteetti.

Kattavat rekisterihaut helpottavat yrityksen taustojen selvittämistä. Avaimina yritysasiakkaan kohdalla ovat y-tunnus sekä tahot, joilla on vaikutusvaltaa yrityksessä. Rajapintojen avulla sähköisesti hyödynnettäviä rekistereitä on eri maissa vaihtelevasti ja tiedon laatu vaihtelee. Rekisterihakuja voidaan tehdä kertaluonteisesti tai monitorointina esim. niin, että seurattavat tiedon muutoksesta tulee ilmoitus. Hakujen avulla voidaan selvittää esimerkiksi yrityksen avainhenkilöt, omistajat ja tosiasialliset edunsaajat ja kohdentaa näille pakote- ja PEP-listatarkistukset. Parhaankin KYC-käytännön heikkona lenkkinä on usein vastapuolen ketjutetut tai piilotetut tosiasialliset edunsaajat. Kevään 2020 selvityksessä tutkituista 100 yrityksestä vain yksi täytti FATF:n suosituksen 24, joka liittyy tosiasiallisiin edunsaajiin.

Sähköinen tunnistus kohdistuu yritysasiakkaan kohdalla päätöksentekijöiden tai valtuutettujen tunnistamiseen sähköisessä asioinnissa. Tunnistuksen varmuustasot määritellään EU:ssa eIDAS-asetuksessa, jota myös suomen tunnistuslaki heijastelee. Varmuustasoja on kolme: matala, korotettu ja korkea. Suomen verkkopankkitunnistus ja mobiilivarmenne ovat ”korotettu” varmuustasolla. Sama taso savutetaan esim. passin avulla tehtävässä etätunnistuksessa täysin automaattisesti – ilman ihmisen tekemää videohaastattelua. Mobiilin biometrisen tunnistuksen vahvuus riippuu mm. käyttäjän rekisteröinnin yhteydessä käytettävästä varmuustasosta sekä biometrisen tunnistuksen ympärillä olevasta teknisestä toteutuksesta.

Ketterä sähköinen sopiminen on tärkeä osa sähköistä asiointipolkua. Sen on luonnollisesti tarjottava myös laillisesti sitova, turvallinen ja helppokäyttöinen sopimuksenluontiprosessi. Tyypillisesti sähköisessä allekirjoituksessa käytetään EU:n eIDAS-asetuksen kahta korkeinta varmuustasoa. Sähköisissä allekirjoituksissa tai kevyemmissä suostumuksissa tuotetaan sinetöity PDF- tai TXT-dokumentti, jonka eIDAS-varmuustaso on tyypillisesti kehittynyt sähköinen allekirjoitus. Teknisten seikkojen lisäksi on kiinnitettävä huomiota siihen, kenellä yrityksessä on allekirjoitusvaltuudet joko virallisen allekirjoituslausekkeen tai valtakirjan puitteissa.

Seuraavissa blogeissa keskitytään kuhunkin edellä mainittuun kulmakiveen erikseen.

Signicat on eIDAS-auditoitu Qualified Trust Service Provider. Operoimme maailman laajinta Digital Identity Hubia ja tarjoamme henkilöllisyyden varmentamisen palveluna eIDAS ”korotettu”- ja ”korkea” -tasoisena sekä sähköisten identiteettien kuten verkkopankkitunnisteiden että fyysisten ID-dokumenttien kuten passien avulla. Tarjoamme pohjoismaisella tasolla KYC- ja AML-prosessien sähköistämisen ratkaisuja mm. rekisterihakujen avulla. Suomessa nämä rekisterihaut ovat saatavilla kattavasti viidestä eri lähteestä: PRH, DVV, Suomen Asiakastieto, Bisnode ja Trapets. Sähköisen sopimisen osalta palvelumme kattaa mm. PSD2 SCA-yhteensopivan mobiilin suostumusten hallinnan sekä sähköisen allekirjoituspalvelun markkinoiden vahvimmalla varmuustasolla.