Національний банк України (далі - Національний банк) за результатами розгляду листа Всеукраїнської Асоціації Фінансових Компаній (далі - Асоціація) від 26.09.2023 № 2309-4 (далі - Лист) з питань застосування окремих норм Положення про здійснення установами фінансового моніторингу, затвердженого постановою Правління Національного банку України від 28.07.2020 № 107 (зі змінами) (далі - Положення № 107), повідомляє таке.

Стосовно питання 1 Листа щодо верифікації клієнта - фізичної особи шляхом отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій.

Відповідно до підпункту 4 пункту 31 додатка 2 до Положення № 107 установа в разі дотримання одночасно всіх умов, визначених у пункті 32 додатка 2 до Положення № 107, може здійснити верифікацію клієнта - фізичної особи шляхом отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій (за умови, що джерелом таких даних є банк) та коректного введення особою, верифікація якої здійснюється, оtр-пароля(1), надісланого установою на такий фінансовий номер телефону, та фотофіксації особи із використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП(2) уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото.

Послідовність дій установи під час використання зазначеного способу верифікації фізичної особи установа може визначати самостійно за умови дотримання всіх вимог, передбачених у підпункті 4 пункту 31 додатка 2 до Положення № 107.

Згідно з підпунктом 2 пункту 23 розділу ІІІ Положення № 107 внутрішні документи установи з питань ПВК/ФТ(3) мають містити порядок дій, який забезпечує здійснення всіх заходів із належної перевірки клієнта, уключаючи, зокрема, заходи з ідентифікації та верифікації.

Стосовно питання 2 Листа щодо фотофіксації особи методом розпізнавання реальності.

Відповідно до підпункту 18 пункту 5 розділу І Положення № 107 методом розпізнавання реальності особи (liveness detection method) є метод фотофіксації особи в режимі реального часу із використанням алгоритмів, що дають змогу відрізнити реальну людину від репродукції у будь-якому вигляді її зовнішності (наприклад, цифрова репродукція, грим, маска).

Отже, зазначений метод передбачає виявлення жвавості, рухливості (від англійського "liveness") людини для впевненості в тому, що установа здійснює верифікацію живої та реальної особи.

Зазначаємо, що нормами Положення № 107 не встановлені технічні вимоги щодо використання методу розпізнавання реальності особи, а також щодо сертифікації програмного забезпечення, яке використовується установою для фотофіксації методом розпізнавання реальності. Установа має право самостійно приймати рішення щодо вибору постачальника та/або відповідної технології.

Водночас звертаємо увагу, що до ухвалення рішення про придбання програмного продукту з фотофіксації методом розпізнавання реальності особи установа має впевнитися в його високому рівні надійності та спроможності відрізнити реальну людину від друкованої або цифрової фотографії, відеозапису, маски тощо.

Наголошуємо, що застосування під час фотофіксації особи з використанням методу розпізнавання реальності лише алгоритмів, які виявляють пасивну життєдіяльність особи, без використання алгоритму виявлення рухливості, жвавості не відповідає суті та меті застосування зазначеного методу.

Також вважаємо за потрібне зазначити, що відповідно до підходів FATF(4) верифікація клієнта без його фізичної присутності є фактором підвищеного ризику. Для ефективного застосування ризик-орієнтованого підходу віддалені способи ідентифікації та верифікації побудовані з використанням, зокрема, надійних джерел інформації, інструменту покладання, а також "запобіжників" -додаткових інструментів, застосування яких дають змогу знизити ризик використання послуг установи, у тому числі з протиправною метою.