System AML
System AML
0Zaloguj

Metody weryfikacji tożsamości online zgodne z eIDAS 2 i polskim prawem

29 PAŹDZIERNIKA 2025

Weryfikacja tożsamości klientów to fundament procedur AML/KYC dla instytucji obowiązanych. Polskie prawo i regulacje unijne eIDAS 2.0 określają precyzyjne ramy prawne dla elektronicznych metod identyfikacji. Poznaj dostępne rozwiązania: e-dowód, mObywatel, Profil Zaufany, mojeID, podpis kwalifikowany i wideoweryfikację – oraz dowiedz się, jak wybrać odpowiednią metodę dla swojej instytucji.

Metody weryfikacji tożsamości online zgodne z eIDAS 2 i polskim prawem

Wprowadzenie

Weryfikacja tożsamości klientów jest kluczowym elementem procedur AML/KYC (anti-money laundering / know your customer) dla instytucji obowiązanych. Polskie prawo – w tym ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) – wymaga, aby przed nawiązaniem relacji z klientem zweryfikować jego tożsamość na podstawie wiarygodnych i niezależnych źródeł informacji.

Tradycyjnie oznaczało to osobiste okazanie dokumentu tożsamości, jednak rozwój identyfikacji elektronicznej umożliwił zdalną weryfikację przy zachowaniu wysokiego poziomu bezpieczeństwa.

Ramy prawne weryfikacji tożsamości

Obowiązujące regulacje unijne i krajowe określają precyzyjne ramy prawne dla metod weryfikacji tożsamości:

  • Rozporządzenie eIDAS (910/2014) ustanowiło jednolite ramy identyfikacji elektronicznej i usług zaufania w UE, wprowadzając poziomy bezpieczeństwa (zaufania) środków identyfikacji elektronicznej: niski, znaczny (średni) i wysoki

  • Ustawa o usługach zaufania oraz identyfikacji elektronicznej z 5 września 2016 r. wdrożyła regulacje eIDAS w Polsce, tworząc krajową infrastrukturę zaufania

  • Ustawa o dowodach osobistych wprowadziła elektroniczny dowód osobisty (tzw. e-dowód) z warstwą cyfrową

  • Rozporządzenie eIDAS 2.0 (2024/1183) ustanowiło Europejskie Ramy Tożsamości Cyfrowej i wprowadza Europejski Portfel Tożsamości Cyfrowej (European Digital Identity Wallet, EDIW)

Europejski Portfel Tożsamości Cyfrowej – rewolucja w identyfikacji

Kluczową zmianą w eIDAS 2.0 jest wprowadzenie Europejskiego Portfela Tożsamości Cyfrowej (EDIW) – oficjalnej cyfrowej tożsamości dla obywateli, dostępnej na urządzeniach mobilnych.

EDIW ma charakteryzować się:

  • Wysokim poziomem bezpieczeństwa (co najmniej dwuskładnikowe uwierzytelnienie)
  • Selektywnym udostępnianiem danych tożsamości
  • Możliwością przechowywania poświadczeń różnych atrybutów

Instytucje prywatne (np. banki) w określonych sektorach będą zobowiązane do akceptowania takiego portfela – według harmonogramu do 3 lat od ustanowienia standardów technicznych, czyli prawdopodobnie do 2027 r..

Oznacza to, że w najbliższych latach zakres metod zdalnej identyfikacji jeszcze się poszerzy, a instytucje obowiązane powinny już teraz śledzić te zmiany i dostosowywać swoje procesy.

Elektroniczne metody weryfikacji tożsamości

Nowe technologie umożliwiają zdalne potwierdzanie tożsamości klientów na podstawie danych elektronicznych, biometrii oraz infrastruktury zaufania. Poniżej przedstawiamy kluczowe elektroniczne metody identyfikacji, które instytucje obowiązane mogą stosować zgodnie z prawem.

Dowód osobisty z warstwą elektroniczną (e-dowód)

E-dowód to obecnie wydawany dowód osobisty wyposażony w niewidoczny chip elektroniczny, umożliwiający uwierzytelnienie posiadacza oraz składanie podpisu elektronicznego.

Certyfikaty w e-dowodzie

W warstwie elektronicznej e-dowodu znajdują się dwa certyfikaty:

Certyfikat identyfikacji i uwierzytelnienia – pozwala na potwierdzanie tożsamości online. Przy użyciu czytnika NFC lub smartfona z aplikacją eDO App można zalogować się e-dowodem do usług e-administracji (login.gov.pl, ePUAP) oraz wybranych usług komercyjnych. Uwierzytelnienie wymaga podania kodu PIN (PIN1), co zapewnia dwuskładnikową weryfikację (posiadanie dowodu + znajomość PIN).

Certyfikat podpisu osobistego – opcjonalny, wgrywany na życzenie przy wyrabianiu dowodu. Umożliwia składanie tzw. podpisu osobistego, czyli zaawansowanego podpisu elektronicznego ważnego prawnie w kraju (nie jest to podpis kwalifikowany, ale znajduje zastosowanie w kontaktach z administracją i prostym obrocie cywilnoprawnym).

Poziom bezpieczeństwa

Elektroniczna identyfikacja e-dowodem jest uważana za bardzo bezpieczną. Polski Profil Osobisty (tożsamość na e-dowodzie) spełnia wymogi wysokiego poziomu bezpieczeństwa w rozumieniu eIDAS. Oznacza to, że zaufanie do tożsamości potwierdzanej e-dowodem jest najwyższe – porównywalne z osobistym stawiennictwem.

E-dowód jest notyfikowany w UE – Profil Osobisty został zgłoszony jako środek identyfikacji elektronicznej uznawany we wszystkich krajach Unii Europejskiej. Dzięki temu polscy obywatele mogą logować się e-dowodem do serwisów publicznych innych państw, a instytucje w Polsce mogą (poprzez węzeł eIDAS) potwierdzać tożsamość posiadaczy e-ID z innych krajów UE.

Zastosowanie

E-dowód rekomendowany jest przy weryfikacji tożsamości dla usług o podwyższonym ryzyku lub wymagających silnego uwierzytelnienia – np.:

  • Zakładanie rachunku bankowego online
  • Dostęp do wrażliwych usług finansowych
  • Uruchamianie podpisu kwalifikowanego

Wadą pozostaje ograniczona popularność czytników i konieczność posiadania nowego dowodu.

Profil Zaufany ePUAP

Profil Zaufany (PZ) to publiczna usługa identyfikacji elektronicznej, umożliwiająca potwierdzanie tożsamości obywateli w usługach administracji oraz niektórych komercyjnych. Profil Zaufany jest powiązany z kontem użytkownika na platformie ePUAP / login.gov.pl i zabezpieczony hasłem oraz dodatkowym kodem (SMS lub mobilna autoryzacja) – stanowi więc metodę dwuskładnikową.

Proces założenia i aktywacji

Założenie Profilu Zaufanego wymaga jednokrotnego potwierdzenia tożsamości:

  • Osobiście w punkcie potwierdzającym (np. w urzędzie lub banku)
  • Online za pomocą bankowości elektronicznej lub kwalifikowanego podpisu

Po aktywacji profil jest ważny 3 lata (z możliwością przedłużenia).

Możliwości zastosowania

Profil Zaufany pozwala m.in. na:

  • Logowanie do portali administracji (ePUAP, CEIDG, ZUS PUE, pacjent.gov.pl itd.)
  • Podpisywanie podań i pism urzędowych podpisem zaufanym
  • Zdalną weryfikację tożsamości klienta przez instytucje prywatne

Z punktu widzenia przepisów eIDAS, polski Profil Zaufany zapewnia znaczny (średni) poziom bezpieczeństwa identyfikacji elektronicznej.

Generalny Inspektor Informacji Finansowej (GIIF) wskazał w swoich wytycznych, że środki identyfikacji elektronicznej zgodne z eIDAS (w tym podpis potwierdzony Profilem Zaufanym) należą do najbardziej godnych zaufania instrumentów przy braku fizycznej obecności klienta.

Podpisywanie dokumentów Profilem Zaufanym

Za pomocą Profilu Zaufanego można podpisywać dokumenty elektroniczne, co samo w sobie stanowi wiarygodną formę potwierdzenia tożsamości. Każdy podpisany w ten sposób dokument zawiera informację, kto go podpisał, a poprawność podpisu można zweryfikować w serwisie Profilu Zaufanego.

Dzięki temu instytucja może w prosty sposób potwierdzić:

  • Autentyczność dokumentu
  • Tożsamość osoby podpisującej
  • Bez konieczności osobistego kontaktu czy użycia kwalifikowanego podpisu elektronicznego

Zastosowanie

Profil Zaufany sprawdza się przy zakładaniu relacji z klientem indywidualnym zdalnie:

  • Otwarcie rachunku bankowego
  • Zawarcie umowy ubezpieczenia online
  • Rejestracja w funduszu inwestycyjnym

PZ jest darmowy i posiada go ponad 15 mln Polaków, co czyni go dostępnym narzędziem. W praktyce integracja polega na skorzystaniu z usługi Login.gov.pl (Węzeł Krajowy), która umożliwia uwierzytelnienie użytkownika za pomocą Profilu Zaufanego i przekazanie jego zweryfikowanych danych do systemu instytucji.

mojeID (weryfikacja przez bankowość elektroniczną)

mojeID to usługa zdalnego potwierdzania tożsamości opracowana przez KIR (Krajową Izbę Rozliczeniową) we współpracy z bankami. Wykorzystuje ona fakt, że banki posiadają zweryfikowane dane tożsamości swoich klientów (zgodnie z AML przy zakładaniu konta).

Jak działa mojeID?

Dzięki mojeID użytkownik może potwierdzić swoją tożsamość online wobec zewnętrznego usługodawcy, logując się na swoje konto bankowe i wyrażając zgodę na przekazanie niezbędnych danych osobowych.

Innymi słowy:

  • Bank występuje jako dostawca tożsamości
  • Proces logowania do bankowości elektronicznej (login + hasło/PIN + np. SMS) pełni rolę uwierzytelnienia klienta
  • Dane pochodzą z zaufanego źródła – banku objętego nadzorem

Zasięg i popularność

Obecnie do mojeID podłączonych jest kilkanaście największych banków w Polsce:

  • PKO BP
  • Pekao
  • mBank
  • ING
  • Santander
  • i inne

Łącznie daje to dostęp do usługi ponad 18 milionom klientów bankowości elektronicznej.

MojeID jest zintegrowane z węzłem krajowym login.gov.pl, dzięki czemu można je wykorzystać także w usługach publicznych.

Zastosowanie

mojeID jest szczególnie przydatne dla firm z sektora:

  • Finansowego
  • Ubezpieczeniowego
  • Telekomunikacyjnego

Dla instytucji obowiązanej stanowi ono metodę spełniającą wymóg weryfikacji tożsamości na podstawie wiarygodnego źródła danych (dane z banku). Integracja po stronie instytucji polega na skorzystaniu z API usługi mojeID (udostępnianej przez KIR) w procesie rejestracji/wniosku klienta.

Poziom bezpieczeństwa zależy od stosowanych przez bank mechanizmów, które zazwyczaj spełniają wymogi silnego uwierzytelnienia zgodnego z PSD2.

Aplikacja mObywatel i cyfrowy mDowód

mObywatel to oficjalna aplikacja mobilna wydawana przez Ministerstwo Cyfryzacji, stanowiąca cyfrowy portfel dokumentów i tożsamości. Najważniejszą funkcją najnowszej wersji (mObywatel 2.0) jest mDowód, czyli mobilny dowód osobisty.

Status prawny mDowodu

Zgodnie z ustawą z 26 maja 2023 r. o aplikacji mObywatel, od lipca 2023 r. mDowód został zrównany z tradycyjnym dowodem osobistym przy identyfikacji obywateli w kraju.

We wszystkich sytuacjach prawnych w Polsce (poza nielicznymi wyjątkami) obywatel może okazać swoją tożsamość za pomocą aplikacji mObywatel na telefonie, zamiast okazywania fizycznego dowodu.

Aktywacja i zabezpieczenia

Aby korzystać z mDowodu, obywatel musi posiadać:

  • Ważny dowód osobisty
  • Profil Zaufany lub inny akceptowany środek identyfikacji elektronicznej (np. mojeID) do aktywacji aplikacji

Sam mDowód prezentuje na ekranie urządzenia mobilnego:

  • Zestaw danych osobowych z Rejestru Dowodów Osobistych
  • Zdjęcie
  • Elementy zabezpieczające:
    • Hologram zmieniający barwę przy poruszaniu telefonem
    • Aktualna data/godzina
    • Animowana flaga i tło

Weryfikacja kryptograficzna

Aplikacja umożliwia kryptograficzną weryfikację dokumentu – osoba sprawdzająca tożsamość może wygenerować w swojej aplikacji mObywatel kod QR, który następnie klient skanuje swoim mObywatelem, co uruchamia protokół uwierzytelnienia z potwierdzeniem danych.

Ta metoda kryptograficzna zapewnia najwyższą pewność, że:

  • Dane pochodzą z autentycznego źródła
  • Dokument nie jest sfałszowany

Obowiązek akceptacji

Od 14 lipca 2023 wszystkie krajowe organy administracji mają obowiązek akceptować mDowód jako formę identyfikacji obywatela.

Od 1 września 2023 r. banki i inne instytucje objęte ustawą AML mogą już przyjmować mDowód do celów identyfikacji klientów.

Zastosowanie

Aplikacja mObywatel otwiera nowe możliwości zarówno w:

Bezpośredniej weryfikacji tożsamości:

  • Klient okazuje mDowód w okienku bankowym
  • Kurier weryfikuje tożsamość przy dostarczaniu umowy

Procesach zdalnych:

  • Integracja systemów z mObywatelem poprzez mechanizm skanowania kodu QR
  • Przekazywanie zweryfikowanych danych online
  • Przykład: klient skanuje kod QR w procesie rejestracji, bank otrzymuje zaufany zestaw danych z rejestru państwowego

Dla zwiększenia bezpieczeństwa rekomenduje się uzupełnienie tej procedury o:

  • Weryfikację biometryczną – porównanie zdjęcia z Rejestru Dowodów Osobistych
  • Kontrolę żywotności (liveness) użytkownika

Aplikacja mObywatel jest także przygotowywana do roli polskiego portfela tożsamości cyfrowej w ramach eIDAS 2, co zapewni jej interoperacyjność międzynarodową.

Podpis elektroniczny kwalifikowany

Kwalifikowany podpis elektroniczny to zaawansowana metoda potwierdzania tożsamości poprzez podpisanie dokumentu cyfrowego certyfikatem kwalifikowanym, wydanym na dane konkretnej osoby.

Moc prawna

Podpis kwalifikowany ma moc prawną równoważną podpisowi własnoręcznemu we wszystkich krajach UE (zgodnie z eIDAS).

Weryfikacja tożsamości przy wystawieniu

Aby uzyskać certyfikat kwalifikowany, osoba musiała wcześniej przejść surową weryfikację tożsamości u kwalifikowanego dostawcy usług zaufania:

  • KIR
  • PWPW
  • Asseco
  • EuroCert
  • i inne

Weryfikacja odbywa się:

  • Osobiście przez okazanie dowodu
  • Zdalnie z wykorzystaniem np. wideorozmowy lub innego środka identyfikacji (e-dowód, mojeID)

Wykorzystanie w procesach KYC

Posiadanie ważnego kwalifikowanego certyfikatu oznacza, że dana osoba jest jednoznacznie zidentyfikowana w infrastrukturze zaufania.

Jeśli klient podpisze kwalifikowanym podpisem elektronicznym dokument (np. umowę rachunku bankowego), instytucja może:

  • Zweryfikować ten podpis
  • Uzyskać z certyfikatu dane podpisującego (imię, nazwisko, często PESEL lub datę urodzenia)
  • Potwierdzenie tożsamości odbywa się poprzez zweryfikowany certyfikat

GIIF w komunikatach wprost wskazał kwalifikowany podpis elektroniczny jako przykład użycia identyfikacji elektronicznej w rozumieniu art. 37 ustawy AML.

Zastosowanie

Podpis kwalifikowany jest często wykorzystywany przy:

  • Zawieraniu umów z klientami korporacyjnymi i profesjonalnymi
  • Zdalnym otwieraniu rachunku przez firmę
  • Potwierdzeniu zgód przez klienta indywidualnego

Przykłady zastosowania:

  • Osoba reprezentująca klienta podpisuje umowę kwalifikowanym podpisem – bank uzyskuje pewność co do tożsamości
  • Klient podpisuje formularz zgód kwalifikowanym e-podpisem – instytucja nie musi żądać skanu dowodu

Ograniczenia

Pomimo najwyższego stopnia zaufania, podpis kwalifikowany nie jest jeszcze powszechny wśród wszystkich klientów detalicznych:

  • Wiąże się z kosztem
  • Wymaga pewnego zaawansowania technologicznego

Nadchodzące portfele tożsamości cyfrowej (EDIW) mogą upowszechnić użycie podpisów kwalifikowanych (będą wbudowaną funkcją portfela), co w przyszłości ułatwi instytucjom korzystanie z tej metody na szerszą skalę.

Wideoweryfikacja (wideoidentyfikacja)

Wideoweryfikacja to metoda zdalnej identyfikacji klienta polegająca na wykorzystaniu kamery internetowej lub smartfona do potwierdzenia tożsamości.

Jak działa wideoweryfikacja?

W procesie tym klient jest proszony o:

  1. Pokazanie swojego dokumentu tożsamości do kamery (aby pracownik lub system mógł odczytać i zweryfikować dane oraz cechy zabezpieczeń dokumentu)
  2. Wykonanie określonych czynności przed kamerą – np.:
    • Obrócenie głowy
    • Uśmiech
    • Mrugnięcie
    • Przeczytanie podanego kodu

Kontrola żywotności (liveness check)

Te czynności służą implementacji tzw. kontroli żywotności (liveness check), czyli potwierdzenia, że przed kamerą znajduje się żywa osoba, a nie nagranie czy fotografia.

Formy realizacji

Wideoweryfikacja może przybrać formę:

Wideorozmowy na żywo z przeszkolonym pracownikiem instytucji

Automatycznego procesu w aplikacji:

  • Nagranie wideo i zdjęcia są później analizowane algorytmicznie
  • Biometryczne porównanie twarzy ze zdjęciem w dokumencie
  • Wykrywanie prób oszustwa

Wymogi bezpieczeństwa

Kluczowe jest zachowanie odpowiednich środków bezpieczeństwa:

  • Wysokiej jakości obraz
  • Szyfrowane połączenie
  • Zapisywanie i archiwizacja materiału dowodowego
  • Stosowanie mechanizmów antyfraudowych:
    • Wykrywanie ekranów
    • Wykrywanie masek
    • Wykrywanie DeepFake

Podstawa prawna

Polskie prawo nie zabrania wprost takiej formy identyfikacji, jednak stawia warunek wiarygodności źródła danych. Według art. 37 ust. 1 ustawy AML weryfikacja tożsamości polega na potwierdzeniu zebranych danych na podstawie dokumentu tożsamości lub innych wiarygodnych dokumentów, danych lub informacji z niezależnego źródła.

Stanowisko GIIF

GIIF w wytycznych z 2018 r. początkowo podchodził ostrożnie do wideoweryfikacji, sugerując traktować brak fizycznej obecności jako czynnik ryzyka i w razie czego stosować wzmożone środki bezpieczeństwa.

Jednak zaktualizowane stanowisko z 2019 r. złagodziło to podejście, uznając że zdalne kanały nie zawsze muszą oznaczać wyższe ryzyko, o ile instytucja stosuje odpowiednie narzędzia weryfikacyjne.

Wymóg dwóch źródeł

GIIF rekomenduje, by w przypadku gdy nie wykorzystujemy kwalifikowanych środków eID (e-dowód, podpis itp.), posługiwać się co najmniej dwoma niezależnymi materiałami weryfikacyjnymi i stosować odpowiednie środki bezpieczeństwa finansowego.

W praktyce takim podejściem może być np. dowód osobisty + weryfikacja biometryczna twarzy. Podczas videoidentyfikacji realizujemy obie te rzeczy jednocześnie:

  1. Obraz dowodu (pierwsze źródło)
  2. Porównanie twarzy z dowodu z twarzą uchwyconą na żywo (drugie źródło – wizerunek biometryczny)

Dla zwiększenia pewności często dochodzi trzeci element: np. weryfikacyjny przelew 1 zł z rachunku bankowego klienta.

Zastosowanie

Wideoidentyfikacja jest szeroko stosowana przez:

  • Banki
  • Firmy pożyczkowe
  • Fintechy

Przy zdalnym otwieraniu kont czy udzielaniu pożyczek. Stanowi alternatywę, gdy klient nie posiada Profilu Zaufanego czy e-podpisu.

Zalety:

  • Stosunkowo niewielka bariera technologiczna – większość użytkowników ma smartfon z kamerą

Wady:

  • Dłuższy proces
  • Możliwość błędu ludzkiego w ocenie autentyczności dokumentu

Dostawcy rozwiązań

Instytucje coraz częściej korzystają z usług wyspecjalizowanych dostawców technologii KYC, którzy dostarczają rozwiązania do:

  • Automatycznej analizy dokumentów (OCR, sprawdzanie zabezpieczeń, odczyt chipu MRZ/NFC)
  • Biometrii twarzy

Przykłady na rynku polskim:

  • Identt
  • Digital Fingerprints
  • Onfido
  • Jumio

Dobrze wdrożona wideoweryfikacja z liveness potrafi osiągnąć poziom bezpieczeństwa zbliżony do znaczącego – jednak instytucja powinna uwzględnić ten proces w swojej ocenie ryzyka.

Przelew weryfikacyjny (metoda pomocnicza)

Przelew weryfikacyjny to metoda polegająca na dokonaniu przez klienta przelewu (zazwyczaj o wartości 1 zł) z własnego rachunku bankowego na rachunek instytucji obowiązanej, w celu porównania danych właściciela konta z danymi podanymi podczas rejestracji.

⚠️ Ważne: Choć rozwiązanie to było popularne w początkowym okresie rozwoju usług online, nie jest dziś rekomendowane jako samodzielna metoda weryfikacji tożsamości.

Przelew weryfikacyjny nie spełnia wymogu oparcia identyfikacji na „wiarygodnym i niezależnym źródle" w rozumieniu art. 37 ustawy AML.

GIIF oraz regulatorzy rynku finansowego odradzają stosowanie przelewów weryfikacyjnych jako jedynego środka identyfikacji klienta.

Mogą one natomiast stanowić element pomocniczy – np. jako drugi, uzupełniający materiał dowodowy przy wideoweryfikacji lub biometrycznej identyfikacji.

Tradycyjne metody weryfikacji tożsamości

Mimo rozwoju kanałów cyfrowych, w wielu sytuacjach nadal stosowane są tradycyjne, manualne metody potwierdzania tożsamości.

Osobiste okazanie dokumentu tożsamości

Klient stawia się osobiście w siedzibie instytucji (np. w oddziale banku, u notariusza, w kantorze) i przedkłada ważny dokument tożsamości:

  • Dowód osobisty
  • Paszport
  • Ewentualnie prawo jazdy (choć dowód/paszport są preferowane)

Proces weryfikacji

Pracownik instytucji obowiązanej:

  1. Weryfikuje autentyczność dokumentu (sprawdza cechy zabezpieczeń, zdjęcie, datę ważności)
  2. Porównuje wizerunek ze znajdującą się przed nim osobą
  3. Często wykonuje kopia lub skan dokumentu do akt klienta (w Polsce kopię dowodu można wykonać w zakresie potrzebnym do realizacji obowiązków AML/KYC)

Proces ten bywa wspomagany przez narzędzia elektroniczne:

  • Skanery ID do odczytu maszynowego MRZ
  • Lupy UV
  • Inne urządzenia weryfikacyjne

Ale zasadniczo opiera się na ludzkiej ocenie.

Zalety i wady

Zalety:

  • Złoty standard – bezpośrednia obecność i oryginał dokumentu gwarantują wysoki poziom pewności

Wady:

  • Brak skalowalności
  • Konieczność fizycznego kontaktu
  • Kosztowne i niewygodne dla klienta (np. mieszka daleko od placówki)

Potwierdzenie tożsamości przez uprawnioną osobę trzecią

Przykładowo, klient może udać się do:

  • Notariusza
  • Radcy prawnego
  • Innej uprawnionej instytucji

Osoba ta okazuje dokument, a notariusz sporządzi poświadczenie tożsamości, które następnie dostarczane jest instytucji obowiązanej.

Taka metoda jest rzadziej stosowana (czasochłonna), ale bywa alternatywą np. dla obcokrajowców, którzy muszą potwierdzić tożsamość w Polsce z zagranicznym dokumentem.

Rozwiązania hybrydowe

Wciąż spotyka się kombinację metod tradycyjnych i nowych:

Przykład 1: Bank wysyła do klienta kuriera z umową – kurier sprawdza dokument tożsamości przy doręczeniu i raportuje wynik, co stanowi element weryfikacji.

Przykład 2: Klient przynosi dokument do punktu partnerskiego (np. placówki Poczty Polskiej, która ma usługę identyfikacji na zlecenie banku).

Zastosowanie

Osobiste okazanie dokumentu jest w zasadzie uniwersalne i wymagane w sytuacjach, gdy:

  • Klient nie ma możliwości skorzystać z narzędzi elektronicznych
  • Wymagają tego przepisy (np. przy wydawaniu karty kwalifikowanego podpisu w tradycyjny sposób)
  • Klienci są konserwatywni lub z wykluczeniem cyfrowym

Mimo że mniej wygodna, metoda ta zawsze pozostaje opcją rezerwową.

Poziomy bezpieczeństwa i dobór metody

Różne metody weryfikacji tożsamości oferują różne poziomy bezpieczeństwa (wiarygodności). Wybór odpowiedniej metody powinien zależeć od:

  • Kontekstu ryzyka danej relacji z klientem
  • Dostępności danych narzędzi po stronie klienta

Poziom wysoki (High)

Metody zapewniające najwyższe bezpieczeństwo to te, które jednoznacznie identyfikują osobę na podstawie państwowych rejestrów lub kwalifikowanej infrastruktury.

Należą do nich:

  • E-dowód (Profil Osobisty)
  • Kwalifikowany podpis elektroniczny
  • mDowód w aplikacji mObywatel z weryfikacją kryptograficzną

Zapewniają one silne uwierzytelnienie (wymóg użycia czegoś, co klient ma – dokument/karta/telefon + wie – PIN/hasło, a często także cechy biometryczne).

Kiedy stosować?

Rekomenduje się ich stosowanie w przypadku:

  • Klientów o wysokim potencjalnym ryzyku (np. klient zagraniczny, osoby eksponowane politycznie, transakcje na dużą skalę)
  • Dostępu do danych wrażliwych
  • Tam, gdzie przepisy wymagają silnego uwierzytelnienia użytkownika

eIDAS 2 wprowadza definicję silnego uwierzytelniania użytkownika (SUA) zbliżoną do PSD2, i przewiduje obowiązek akceptacji portfela cyfrowej tożsamości w sytuacjach, gdy wymagane jest silne uwierzytelnienie.

Poziom znaczny/umiarkowany (Substantial/Medium)

Obejmuje metody, które dają wysoki stopień pewności, choć nie absolutny.

Należą do nich:

  • Profil Zaufany
  • mojeID (uwierzytelnienie bankowe)
  • Dobrze zrealizowana wideoweryfikacja wsparta biometrią

Profil Zaufany, choć formalnie notyfikowany na poziomie „znaczny", w praktyce spełnia wymogi większości procesów KYC:

  • Dane pochodzą z rejestru PESEL
  • Uwierzytelnienie jest dwuskładnikowe

Kiedy stosować?

Te metody są odpowiednie dla standardowych relacji z klientami indywidualnymi przy typowych produktach:

  • Rachunki
  • Pożyczki
  • Polisy

Zapewniają równowagę między bezpieczeństwem a wygodą.

Zaleca się, by instytucje przygotowały procedury awaryjne – np. jeśli nie uda się wideoidentyfikacja (słaba jakość połączenia itp.), oferujemy alternatywę:

  • Skorzystanie z mojeID
  • Wizytę w oddziale

Poziom podstawowy (Low)

Do tej kategorii można zaliczyć metody mniej zabezpieczone lub jednostronne:

  • Przesłanie skanu dokumentu mailem
  • Podanie danych przez telefon
  • Logowanie jednokrokowe bez drugiego czynnika

Ważne ograniczenia

⚠️ Nie powinny one być wykorzystywane samodzielnie do spełnienia wymogów AML.

Przepisy wprost zabraniają opierania weryfikacji wyłącznie na skanach czy kopiach dokumentów bez dodatkowego potwierdzenia autentyczności.

Jeżeli klient dostarcza dokumenty zdalnie, instytucja musi potwierdzić ich prawdziwość w inny sposób:

  • Weryfikacja numeru DO w bazie
  • Wideo-rozmowa
  • Potwierdzenie kurierem

Podstawowe metody mogą natomiast służyć jako element uzupełniający – np. selfie z dowodem przesłane przez klienta może być jedną z dwóch wymaganych niezależnych informacji, obok np. weryfikacji bankowej.

Dobór metody – podejście oparte na ryzyku

Zgodnie z AML, instytucja ma obowiązek dostosować środki bezpieczeństwa finansowego do zidentyfikowanego ryzyka (podejście oparte na ryzyku).

Przykłady doboru metody:

Relacje niskiego ryzyka:

  • Klient krajowy, niskie kwoty, produkt standardowy
  • Metoda: mojeID, Profil Zaufany – bez dodatkowych utrudnień

Relacje podwyższonego ryzyka:

Klienci instytucjonalni (firmy):

  • Należy zweryfikować nie tylko osobę reprezentanta, ale i dane rejestrowe firmy
  • Często stosuje się kombinację:
    • Tożsamość osoby potwierdzona np. kwalifikowanym podpisem
    • Dane firmy pozyskane z KRS

Rekomendacje GIIF

Warto podkreślić, że najbardziej godne zaufania w ocenie regulatora są środki identyfikacji notyfikowane zgodnie z eIDAS oraz podpis kwalifikowany.

GIIF wręcz wskazuje, że jeżeli instytucja nie korzysta z tych środków przy zdalnym onboardingu, powinna rozważyć zastosowanie wzmożonych środków bezpieczeństwa finansowego (np. dodatkowe dokumenty, weryfikacja wideo, sprawdzenie list sankcyjnych).

Dlatego instytucje obowiązane są zachęcane do integracji i promowania wśród klientów właśnie takich metod jak:

  • E-dowód
  • Profile Zaufane
  • Podpisy kwalifikowane
  • mObywatel

Podnoszą one ogólne bezpieczeństwo ekosystemu finansowego.

Zgodność z regulacjami AML/KYC i interoperacyjność

Przy wyborze i wdrażaniu metod identyfikacji elektronicznej istotne jest zapewnienie zgodności z obowiązującymi przepisami AML/KYC oraz uwzględnienie interoperacyjności (współdziałania różnych systemów oraz międzynarodowej uznawalności tożsamości).

Spełnienie wymogu niezależnego źródła

Ustawa AML wymaga, by weryfikacja tożsamości była dokonana w oparciu o dokumenty, dane lub informacje z wiarygodnego i niezależnego źródła.

Wszystkie opisane wyżej metody elektroniczne spełniają ten warunek:

Metoda Źródło danych
E-dowód/mDowód Rejestr państwowy (RDO)
mojeID Bank (instytucja zaufania publicznego)
Profil Zaufany Rejestr państwowy (PESEL) i bank przy zakładaniu
Podpis kwalifikowany Certyfikat wydany przez zaufany podmiot
Wideoweryfikacja Połączenie dokumentu państwowego i obrazu live

Ważne: Należy udokumentować w procedurach wewnętrznych, jakie źródła są uznawane za wiarygodne.

GIIF w wytycznych uznał, że przy braku eID należy użyć co najmniej dwóch niezależnych materiałów dla uznania weryfikacji za wystarczającą.

Archiwizacja i audytowalność

Metody elektroniczne muszą pozostawić ślad audytowy:

Profil Zaufany:

  • Log potwierdzający uwierzytelnienie (z unikalnym ID transakcji)

Podpis kwalifikowany:

  • Plik dokumentu podpisanego
  • Można w razie kontroli okazać jako dowód, że podpis został zweryfikowany pozytywnie

Wideoweryfikacja:

  • Nagranie z wideorozmowy
  • Analiza biometryczna (przechowywana zgodnie z RODO tylko tak długo, jak to konieczne)

Systemy powinny automatycznie rejestrować:

  • Wyniki weryfikacji
  • Czas
  • Identyfikatory użytych certyfikatów

Platformy typu SystemAML ułatwiają to, centralizując dowody weryfikacji w profilu klienta, co w razie kontroli GIIF można przedstawić.

Interoperacyjność krajowa – Węzeł Krajowy

W Polsce funkcjonuje Węzeł Krajowy (Login.gov.pl), który integruje różne środki e-identyfikacji:

  • E-dowód
  • Profil Zaufany
  • Bankowe loginy w ramach mojeID
  • Docelowo także mObywatel

Dzięki temu instytucja, która zintegrowała swoje systemy z Węzłem, ma dostęp do szerokiego wachlarza metod – klient wybiera np. z listy swój bank lub Profil Zaufany do uwierzytelnienia, a po pozytywnym logowaniu następuje przekazanie jego danych osobowych.

Zalety:

  • Znacznie poprawia użyteczność
  • Klient może użyć tego narzędzia, które już ma
  • Wynik dla instytucji jest równoważny jak przy innych metodach

Warto projektować procesy KYC tak, by były omnikanałowe – np. proponować:

  • "Zaloguj się przez bank / Profil Zaufany"
  • lub "Wykonaj wideoweryfikację"
  • lub "Przyjdź z dowodem do oddziału"

Interoperacyjność międzynarodowa – eIDAS

Dzięki eIDAS notyfikowane środki identyfikacji (takie jak polski e-dowód/Profil Zaufany, niemiecki eID, itp.) są prawnie uznawane w całej UE.

Oznacza to, że instytucja finansowa w Polsce:

  • Powinna (a w przyszłości pod rządami eIDAS 2 będzie musiała) honorować np. identyfikację klienta z Francji poprzez jego francuski dowód cyfrowy notyfikowany

W praktyce wymaga to łącza technicznego z węzłem eIDAS:

  • Polska ma taki węzeł (zarządzany przez NASK)
  • Komunikuje się z innymi krajami
  • Już w 2023 r. Polska zintegrowała się z 16 państwami

Dla sektora prywatnego integracja z węzłem transgranicznym dopiero raczkuje, ale eIDAS 2.0 ma to usprawnić.

SystemAML jest przygotowany na nadchodzącą interoperacyjność – architektura systemu zakłada możliwość dodawania kolejnych zaufanych dostawców tożsamości, więc w miarę pojawiania się europejskich portfeli cyfrowych, będzie je można włączyć do palety obsługiwanych metod.

Zgodność z RODO i ochroną danych

Weryfikacja tożsamości wiąże się z przetwarzaniem danych osobowych wrażliwych:

  • Wizerunek twarzy
  • Dane z dokumentów

Instytucje muszą zadbać o:

  1. Podstawę prawną (np. wypełnienie obowiązku prawnego AML)
  2. Minimalizację danych – np. przy integracji z mObywatelem czy Profil Zaufany można tak dobrać zakres przekazywanych danych, by ograniczyć je do niezbędnego minimum
  3. Ochronę danych – liveness check nagrania powinny być chronione i usuwane po wykorzystaniu
  4. Dokumentację – wszystkie te procesy powinny znaleźć odzwierciedlenie w procedurach wewnętrznych oraz analizie ryzyka przetwarzania danych

Integracja z SystemAML

SystemAML jako platforma wspierająca instytucje obowiązane w spełnianiu wymogów AML/KYC udostępnia szereg narzędzi umożliwiających integrację opisanych wyżej metod weryfikacji tożsamości w ramach jednego, spójnego procesu.

Dzięki temu instytucje mogą elastycznie łączyć różne rozwiązania, dopasowując je do preferencji klienta i poziomu ryzyka.

Bieżące monitorowanie

SystemAML integruje się także z publicznymi rejestrami (PESEL, CRBR, REGON itp.) w celu:

  • Okresowej aktualizacji danych tożsamości
  • Sprawdzenia np. statusu dokumentu

Ponadto raz zweryfikowana tożsamość może być wykorzystywana ponownie (w ramach tego samego klienta) przy kolejnych produktach, a system co jakiś czas może przypominać o konieczności ponownej weryfikacji (np. w razie upływu ważności dowodu).

Podsumowanie integracji

SystemAML wspiera instytucje obowiązane w wykorzystaniu zarówno innowacyjnych e-identyfikatorów, jak i sprawdzonych tradycyjnych metod, w zależności od potrzeb.

Pozwala to zachować:

  • Pełną zgodność z wymogami prawa
  • Wygodę dla klientów
  • Bezpieczeństwo procesu

Rekomendacje dla instytucji obowiązanych ustawą AML

Promowanie najsilniejszych metod:

  • E-dowód
  • Profil Zaufany
  • Podpis kwalifikowany
  • mObywatel

Podejście wielościeżkowe:

  • Oferowanie klientom wyboru metody weryfikacji
  • Dostosowanie do ich możliwości technicznych i preferencji

Integracja z profesjonalnymi systemami:

  • Platformy takie jak SystemAML wspomagają proces
  • Integrują różne kanały weryfikacji tożsamości
  • Zapewniają zgodność z przepisami

Monitorowanie zmian regulacyjnych:

  • Śledzenie rozwoju eIDAS 2.0
  • Przygotowanie do przyjęcia Europejskiego Portfela Tożsamości Cyfrowej
  • Dostosowywanie procedur do nowych standardów

Nadal masz wątpliwości czy System AML jest dla Ciebie?

Dla wszystkich nowych użytkowników oferujemy darmowy 7 dniowy okres próbny, podczas którego można przetestować wszystkie funkcje i możliwości Systemu AML bez żadnych zobowiązań.

Wypróbuj teraz

FiberPay sp. z o.o.

ul. Sienna 86/47

00-815 Warszawa

+48 22 230 2622

NIP: 7010634566

REGON: 36589948900000

KRS: 0000647662

Branże

AML dla Biur Rachunkowych i KsięgowychAML dla Kantorów i Platform Wymiany WalutAML dla Małych Instytucji Płatniczych i Biur Usług PłatniczychAML dla Antykwariatów, Galerii Sztuki i Domów Aukcyjnych

Produkty

SystemAMLSzkolenia i procedura AMLSzybki Skan AMLWyszukiwarka sankcyjna

Informacje

Kompendium wiedzy AMLAnkiety AMLDokumentacja APIRegulaminPolityka prywatnościKontakt
System AML
System AML