ארגון ה-FATF פרסם לאחרונה (06.03.20) מסמך הנחיה חדש בנושא זיהוי דיגיטלי (Guidance on Digital ID). ההנחיה נועדה לסייע לרגולטורים ולגופים מפוקחים להבין כיצד להשתמש במערכות זיהוי דיגיטלי במסגרת ביצוע בדיקות נאותות לקוח (CDD - customer due diligence ), באופן שעולה בקנה אחד עם המלצות ה-FATF. 

עפ"י נתוני ה-FATF, היקף התשלומים דיגיטליים גדלים בקצב שנתי של 12.7%, והתחזית היא שהנפח השנתי של הפעולות הפיננסיות הדיגיטליות יגיעו ל-726 מיליארד פעולות עד סוף 2020. גידול זה מצריך הבנה טובה יותר בנוגע ליישום מבוסס סיכון של הליכי זיהוי ואימות של יחידים בעולם השירותים הפיננסיים הדיגיטליים. 

פרק 3 מסכם את הדרישות העיקריות של ה-FATF בהקשר של זיהוי ואימות, לרבות הדרישה לביצוע הליכי זיהוי תוך שימוש במסמכים ומידע "מהימנים ועצמאיים" (reliable, independent). בהקשר של זיהוי דיגיטלי, המשמעות היא שמערכות זיהוי דיגיטלי שמשמשות לביצוע CDD צריכות להסתמך על טכנולוגיה, תהליכים ונהלים שמספקים "רמות ביטחון מספקות" (appropriate levels of confidence) בנוגע לכך שהמערכות מפיקות תוצאות מדויקות. לפי ה-FATF, במידה וזיהוי מרחוק של הלקוח הינו עצמאי ומהימן, ומבוצע תוך נקיטת אמצעים נאותים למזעור הסיכון, הדבר יכול להפחית את רמת הסיכון הגלום בפעולות הקשורות לכך לרמה סטנדרטית או אפילו נמוכה. 

פרק 5 מהווה את החלק העיקרי של המסמך, והוא מספק הנחייה לרשויות מוסמכות, לגופים מפוקחים ולצדדים רלבנטיים אחרים בנוגע לאופן שבו יש ליישם גישה מבוססת סיכון כדי להשתמש במערכות זיהוי דיגיטלי לזיהוי הלקוח וביצוע בדיקות נאותות באופן שיעלה בקנה אחד עם המלצה 10 של ה-FATF. בהקשר זה מודגש כי הגישה המומלצת הינה נייטרלית מבחינה טכנולוגית (כלומר, אינה מעדיפה סוג מסוים של מערכות זיהוי דיגיטלי). גישה זו כוללת שני נדבכים עיקריים: 

א) הבנת רמות הביטחון (assurance levels) של מרכיבי מערכת הזיהוי הדיגיטלי (לרבות הטכנולוגיה והארכיטקטורה שלה), על מנת לקבוע שמדובר במקור מידע מהימן ועצמאי.  

ב) קבלת החלטה, על בסיס של בחינה מקיפה ומבוססת סיכון, האם לאור רמות הביטחון הנ"ל מערכת הזיהוי הדיגיטלי מספקת רמה נאותה של מהימנות ועצמאות, תוך שימת לב לסיכוני הלבנת הון, מימון טרור, הונאה ועבירות פיננסיות נוספות.  

בעמ' 8, מוצג תהליך החלטה שנועד לסייע לגופים מפוקחים לקבל החלטות בנוגע למידת הנאותות של תהליכים ומערכות זיהוי דיגיטלי שאותם הם בוחנים לצורך ביצוע בדיקות נאותות ("Decision process for regulated entities").

עוד ממליץ ה-FATF, שאם הגוף המפוקח מגדיר קשר עסקי שמבוסס על תקשורת מרחוק עם הלקוח כפעילות בסיכון גבוה (כעניין של מדיניות פנימית), יש לבחון ולעדכן במידת הצורך את המדיניות הזו, בשים לב לעובדה שאמצעי זיהוי דיגיטלי עצמאיים ומהימנים עשויים להפחית את הסיכון לרמה סטנדרטית או נמוכה. 

בהיבט הפיקוחי, ה-FATF ממליץ כי רשויות הפיקוח המתאימות יגבשו הנחיות ברורות שיאפשרו שימוש נאות ומבוסס סיכון במערכת עצמאיות ומהימנות לזיהוי דיגיטלי למטרות מניעת הלבנת הון ומימון טרור.  

לקריאת מסמך ההנחיה לחצו כאן.