KYC - co to jest i jak działa proces?
KYC - co to jest?
KYC to skrót od angielskiego wyrażenia Know Your Customer, czyli „poznaj swojego klienta”. W języku compliance oznacza uporządkowany proces identyfikacji, weryfikacji i oceny klienta przed nawiązaniem relacji biznesowej, a następnie w czasie jej trwania. Nie chodzi wyłącznie o sprawdzenie dowodu osobistego albo danych spółki. Prawidłowy proces KYC pozwala odpowiedzieć na kilka praktycznych pytań: kim jest klient, czy przedstawione dane są wiarygodne, kto faktycznie kontroluje podmiot, jaki jest cel relacji, czy klient występuje w imieniu własnym oraz jakie ryzyko wiąże się z obsługą tej osoby lub organizacji.
W ujęciu prawnym KYC jest częścią środków bezpieczeństwa finansowego stosowanych przez instytucje obowiązane. W ujęciu operacyjnym jest natomiast pierwszą linią obrony przed oszustwami, wykorzystaniem cudzej tożsamości, zakładaniem rachunków „na słupa”, omijaniem sankcji i praniem pieniędzy. Dobrze zaprojektowany proces KYC nie polega na bezrefleksyjnym zbieraniu dokumentów. Jego celem jest uzyskanie wystarczającej pewności, że instytucja rozumie klienta i potrafi uzasadnić decyzję o rozpoczęciu lub kontynuowaniu relacji.
Warto podkreślić, że KYC nie kończy się w momencie podpisania umowy. Dane klienta mogą się zmieniać, spółka może zmienić właścicieli, osoba fizyczna może uzyskać status PEP, a sposób korzystania z usługi może odbiegać od pierwotnie deklarowanego celu. Dlatego KYC obejmuje zarówno etap onboardingu, jak i okresowe przeglądy, aktualizację informacji oraz reakcję na zdarzenia wyzwalające ponowną analizę.
KYC a AML — czym się różnią?
KYC i AML są często używane obok siebie, ale nie oznaczają tego samego. AML, czyli przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, to szeroki system obowiązków, procedur i kontroli. Obejmuje m.in. ocenę ryzyka instytucji, stosowanie środków bezpieczeństwa finansowego, monitorowanie transakcji, analizę alertów, zgłaszanie transakcji podejrzanych, szkolenia pracowników, dokumentowanie działań oraz przechowywanie danych. KYC jest jednym z filarów tego systemu.
Najprościej ująć to tak: AML odpowiada na pytanie, jak instytucja ma przeciwdziałać wykorzystaniu jej usług do celów przestępczych, a KYC odpowiada na pytanie, kim jest klient i czy relacja z nim jest zrozumiała oraz akceptowalna. Bez KYC system AML staje się pustą procedurą, bo monitoring transakcji nie ma punktu odniesienia. Jeżeli instytucja nie wie, czym zajmuje się klient, kto go kontroluje i jaki jest cel relacji, trudno ocenić, czy dana operacja jest uzasadniona.
Różnica widoczna jest także w codziennych czynnościach. Do KYC zaliczymy identyfikację klienta, weryfikację dokumentu, ustalenie beneficjenta rzeczywistego, screening klienta i ocenę ryzyka relacji. Do AML w szerszym znaczeniu zaliczymy również reguły monitoringu, procedury eskalacji, raportowanie do GIIF, zarządzanie ryzykiem na poziomie całej organizacji i kontrole wewnętrzne. W praktyce te obszary przenikają się, dlatego często mówi się o procesach AML/KYC.
Proces KYC krok po kroku
Proces KYC powinien być proporcjonalny do ryzyka i rodzaju usługi, ale jego logika jest zwykle podobna. Pierwszym krokiem jest zebranie danych identyfikacyjnych. Klient przekazuje podstawowe informacje o sobie albo o reprezentowanym podmiocie. Na tym etapie ważne jest rozróżnienie, czy klient działa we własnym imieniu, jako pełnomocnik, członek zarządu, prokurent, przedstawiciel ustawowy czy inna osoba uprawniona.
Drugim krokiem jest weryfikacja danych. Dane nie powinny pozostawać jedynie deklaracją klienta. Należy je potwierdzić na podstawie wiarygodnych i niezależnych źródeł. W przypadku osoby fizycznej może to być dokument tożsamości, elektroniczny środek identyfikacji, kwalifikowany podpis elektroniczny, dane z zaufanego dostawcy tożsamości lub właściwie udokumentowana metoda zdalna. Szczegółowe metody opisuje artykuł o weryfikacji tożsamości online zgodnej z polskim prawem. W przypadku spółek instytucja korzysta z rejestrów, dokumentów korporacyjnych i informacji o strukturze własności.
Trzecim krokiem jest ustalenie beneficjenta rzeczywistego. To szczególnie ważne przy klientach korporacyjnych, fundacjach, trustach, stowarzyszeniach i strukturach wielopoziomowych. Sama nazwa spółki nie mówi jeszcze, kto faktycznie czerpie korzyści albo sprawuje kontrolę. KYC powinien prowadzić do zrozumienia łańcucha własności i kontroli, a przy złożonych strukturach również do wyjaśnienia, dlaczego taka struktura istnieje.
Czwarty krok to screening. Klienta, osoby reprezentujące, beneficjentów rzeczywistych i czasem podmioty powiązane sprawdza się pod kątem list sankcyjnych, statusu PEP oraz negatywnych informacji medialnych. Screening nie jest jednorazowym „odhaczeniem” listy. Wymaga interpretacji wyników, odróżnienia trafień fałszywie pozytywnych od realnych oraz udokumentowania decyzji.
Piątym krokiem jest ocena ryzyka klienta. Instytucja analizuje czynniki takie jak typ klienta, kraj zamieszkania lub siedziby, branża, produkt, kanał nawiązania relacji, złożoność struktury właścicielskiej, status PEP, występowanie sankcji, źródło środków i przewidywana aktywność. Wynikiem jest przypisanie poziomu ryzyka, który decyduje o zakresie dalszych działań. Klient niskiego ryzyka może wymagać standardowych środków, natomiast klient wysokiego ryzyka wymaga pogłębionej analizy, większej liczby dokumentów i częstszej aktualizacji danych.
Szósty krok to decyzja i dokumentacja. Instytucja podejmuje decyzję, czy relację można rozpocząć, czy trzeba zastosować dodatkowe środki, czy należy odmówić obsługi. Kluczowe jest utrwalenie nie tylko zebranych dokumentów, ale również uzasadnienia: dlaczego wynik screeningu uznano za nieistotny, dlaczego struktura własności jest akceptowalna, dlaczego źródło środków jest wiarygodne albo dlaczego ryzyko pozostaje na określonym poziomie.
Ostatni element to monitorowanie i aktualizacja. KYC żyje razem z relacją. Dane powinny być odświeżane okresowo oraz wtedy, gdy pojawia się nowe ryzyko: nietypowa transakcja, zmiana właściciela, zmiana kraju działalności, aktualizacja list sankcyjnych, nowe informacje medialne albo istotna zmiana profilu aktywności.
KYC w Polsce — podstawy i oczekiwania
W Polsce obowiązki KYC wynikają przede wszystkim z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Ustawa posługuje się pojęciem środków bezpieczeństwa finansowego, które obejmują identyfikację klienta i weryfikację jego tożsamości, identyfikację beneficjenta rzeczywistego, ocenę stosunków gospodarczych oraz bieżące monitorowanie relacji. W praktyce to właśnie te działania tworzą rdzeń procesu KYC.
Instytucje obowiązane nie mogą traktować KYC jako uniwersalnego formularza identycznego dla każdego klienta. Polska ustawa opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres czynności powinien być adekwatny do konkretnej sytuacji. Inaczej wygląda relacja z klientem znanym, działającym lokalnie i korzystającym z prostego produktu, a inaczej z podmiotem z wielopiętrową strukturą, powiązaniami zagranicznymi i działalnością w branży narażonej na nadużycia.
Znaczenie ma również moment przeprowadzenia czynności. Co do zasady identyfikacja i weryfikacja powinny nastąpić przed nawiązaniem stosunków gospodarczych albo przed przeprowadzeniem transakcji okazjonalnej wymagającej zastosowania środków bezpieczeństwa finansowego. Jeżeli instytucja nie może wykonać wymaganych czynności, powinna rozważyć odmowę nawiązania relacji, brak przeprowadzenia transakcji, zakończenie relacji lub inne działania przewidziane procedurą.
KYC w Polsce obejmuje także obowiązek przechowywania dokumentacji. Sama informacja, że klient „został sprawdzony”, nie wystarczy. Instytucja musi być w stanie wykazać, jakie dane zebrała, z jakich źródeł korzystała, jakie wyniki uzyskała i jaką decyzję podjęła. W razie kontroli znaczenie ma odtworzenie procesu decyzyjnego, nie tylko posiadanie kopii dokumentu.
Technologie w KYC: eIDAS, wideoweryfikacja i automatyzacja
Nowoczesny proces KYC coraz częściej odbywa się zdalnie. Oznacza to konieczność pogodzenia wygody użytkownika z wymogiem wiarygodnej identyfikacji. W Europie istotną rolę odgrywa rozporządzenie eIDAS, które tworzy ramy dla identyfikacji elektronicznej i usług zaufania. Dzięki środkom identyfikacji elektronicznej możliwe jest potwierdzanie tożsamości na podstawie źródeł o określonym poziomie bezpieczeństwa, zamiast wyłącznie na podstawie fizycznego okazania dokumentu.
W polskich realiach znaczenie mają m.in. Profil Zaufany, e-dowód, mObywatel, mojeID, kwalifikowany podpis elektroniczny i inne rozwiązania korzystające z zaufanych źródeł danych. Każda metoda ma inny poziom pewności, dostępność i użyteczność. Dlatego wybór technologii KYC powinien wynikać z oceny ryzyka, a nie z samej wygody integracji. Przy prostych usługach wystarczająca może być metoda powszechnie dostępna i szybka. Przy wyższym ryzyku potrzebne mogą być silniejsze mechanizmy, dodatkowe źródła danych albo połączenie kilku metod.
Wideoweryfikacja jest dobrym przykładem technologii, która może wspierać proces KYC, ale wymaga starannego zaprojektowania. Samo połączenie wideo nie gwarantuje bezpieczeństwa. Liczy się jakość dokumentowania procesu, kontrola autentyczności dokumentu, porównanie twarzy, wykrywanie żywotności, zabezpieczenie przed deepfake, szkolenie operatorów lub poprawność modeli automatycznych oraz możliwość odtworzenia przebiegu weryfikacji. Wysoki poziom pewności powstaje dopiero wtedy, gdy kilka mechanizmów działa razem i jest powiązanych z oceną ryzyka.
Automatyzacja KYC obejmuje także odczyt danych z dokumentów, sprawdzanie rejestrów, screening list sankcyjnych i PEP, reguły ryzyka, kolejki spraw do analityków oraz ścieżki akceptacji. Taka automatyzacja może ograniczać błędy manualne i skracać czas obsługi, ale nie zwalnia z odpowiedzialności za wynik. System powinien wspierać decyzję, a nie zastępować rozumienie ryzyka. Szczególnie przy trafieniach sankcyjnych, złożonych strukturach własności lub nietypowym źródle środków potrzebna jest analiza człowieka i dobrze udokumentowane uzasadnienie.
Jeżeli organizacja projektuje własny proces obsługi identyfikacji klienta, warto potraktować rozwiązania produktowe jako narzędzie do realizacji wymogów, a nie jako zamiennik procedury. Informacje o funkcjach systemu wspierającego KYC i weryfikację tożsamości powinny być analizowane w kontekście własnej oceny ryzyka, rodzaju klientów i obowiązków wynikających z procedury AML.
Najczęstsze błędy w procesie KYC
Jednym z najczęstszych błędów jest sprowadzenie KYC do zebrania kopii dokumentu. Dokument może potwierdzać dane, ale nie odpowiada na pytanie o cel relacji, beneficjenta rzeczywistego, źródło środków ani sens ekonomiczny transakcji. Drugim błędem jest brak aktualizacji danych. Klient zweryfikowany kilka lat temu może dziś mieć inną strukturę właścicielską, inny profil działalności albo nowe powiązania z jurysdykcjami wysokiego ryzyka.
Trzecim błędem jest mechaniczne podejście do screeningu. Trafienie na liście nie zawsze oznacza zgodność osoby, ale brak trafienia również nie kończy analizy. Nazwiska mogą mieć różne transliteracje, dane mogą być niepełne, a ryzyko może wynikać z powiązań pośrednich. Czwartym problemem jest niewłaściwe dokumentowanie decyzji. Jeżeli analityk odrzuca alert jako fałszywie pozytywny, powinien wskazać, na jakiej podstawie: różna data urodzenia, inny kraj, brak zgodności identyfikatorów albo inne dane wykluczające.
Piątym błędem jest nadmierne kopiowanie wymogów bez zrozumienia ryzyka. Proces KYC powinien być proporcjonalny. Zbyt słaby proces naraża instytucję na sankcje i nadużycia, ale proces nieadekwatnie ciężki może prowadzić do pozornego bezpieczeństwa, przeciążenia zespołu i gromadzenia danych bez jasnego celu. Najlepszy KYC jest jednocześnie rygorystyczny i logiczny: pyta o to, co potrzebne do oceny ryzyka, a następnie wykorzystuje zebrane informacje w monitoringu.
FAQ: KYC
Co to jest KYC?
KYC, czyli Know Your Customer, to proces poznania i weryfikacji klienta przed rozpoczęciem oraz w trakcie relacji biznesowej. Obejmuje identyfikację osoby lub firmy, potwierdzenie danych w wiarygodnych źródłach, ustalenie beneficjenta rzeczywistego, ocenę celu relacji i analizę ryzyka.
KYC co to oznacza w praktyce?
W praktyce KYC oznacza zestaw czynności, dzięki którym instytucja wie, z kim zawiera umowę, czy dane klienta są prawdziwe, jaki jest charakter jego działalności i czy relacja nie tworzy podwyższonego ryzyka prania pieniędzy, finansowania terroryzmu lub oszustwa.
Jak przebiega KYC krok po kroku?
Proces KYC zwykle obejmuje zebranie danych, weryfikację tożsamości lub dokumentów rejestrowych, sprawdzenie beneficjentów rzeczywistych i osób reprezentujących, screening na listach sankcyjnych i PEP, ocenę ryzyka, decyzję o nawiązaniu relacji oraz okresową aktualizację danych.
Czym różni się KYC od AML?
AML to szerszy system przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, obejmujący procedury, ocenę ryzyka, monitoring transakcji i raportowanie. KYC jest jednym z kluczowych elementów AML, skoncentrowanym na poznaniu, identyfikacji i weryfikacji klienta.
Podsumowanie
KYC jest jednym z najważniejszych procesów w obszarze zgodności, bo decyduje o tym, czy instytucja naprawdę rozumie swoich klientów. Prawidłowe KYC łączy identyfikację, weryfikację, screening, ocenę ryzyka, dokumentowanie decyzji i późniejszą aktualizację danych. Nie jest jednorazowym formularzem ani wyłącznie techniczną integracją z narzędziem do sprawdzania dokumentów.
W dobrze działającym systemie AML proces KYC stanowi punkt startowy dla monitoringu i dalszej analizy. To dzięki niemu instytucja może odróżnić normalną aktywność klienta od zachowań wymagających wyjaśnienia. Im bardziej zdalne, szybkie i zautomatyzowane stają się relacje z klientami, tym większe znaczenie ma jakość źródeł danych, spójność procedury i umiejętność udokumentowania, dlaczego dana relacja została uznana za akceptowalną.