2024. 06. 28.

Q&A az ügyfél-átvilágítás legújabb jogszabályi változásairól

A pénzügyi és biztosítási piac szereplői egyre feszültebb várakozással követik az eAzonosítás bevezetéséről szóló híreket, miközben az ügyfél-átvilágításról rendelkező egyéb szabályozások is több ponton módosulnak.

Változott a Pénzmosás elleni törvény, július 1-től „két részre szakad” az MNB 26/2020-as rendelete, és a DÁP törvény egyes passzusai is érinteni fogják az ügyfél-átvilágítást. Mindezzel kapcsolatban rengeteg kérdés merül fel. Dr. Kósa Ferenc ügyvédet, a Magyar Elektronikus Aláírás Szövetség Egyesület elnökét kértük meg, hogy válaszoljon a legfontosabbakra.

A pénzügyi és biztosítási piac szereplőinek alig egy év múlva minden ügyfelük számára lehetővé kell tenniük, hogy távolról, mobiltelefonon intézhessék ügyeiket, a DÁP eAzonosítás alkalmazásán keresztül.

Pontosan mit ír elő számukra a DÁP törvény?

A törvény szerint mind az ügyfél-regisztráció (“onboarding”) folyamata, mind az ezt követő, az elektronikus szolgáltatásaikhoz való hozzáférés (weboldalra, vagy applikációba történő bejelentkezés) során a szolgáltatónak lehetővé kell tennie, hogy az ügyfél a DÁP keretalkalmazás eAzonosítási funkcióját használva igazolja magát, és a szükséges jognyilatkozatokat (szerződéseket, megbízásokat, kérelmeket) az eAláírási funkcióval hitelesítse.

– Pontosan mely szolgáltatókra vonatkozik a DÁP rendelkezése?

A törvényben meghatározott szolgáltatók:

  1. a közműszolgáltatók (hulladék, távhő, földgáz, víz, szennyvíz, villamosenergia, kéményseprő),
  2. a posta,
  3. a hitelintézetek és pénzügyi szolgáltatók, valamint a pénzforgalmi intézmények, elektronikuspénz-kibocsátó intézmények és a Posta Elszámoló Központ,
  4. a biztosítók és viszontbiztosítók, valamint biztosító egyesületek,
  5. a befektetési vállalkozások és árutőzsdei szolgáltatók,
  6. az Önkéntes Kölcsönös Biztosító Pénztárak és a magánnyugdíjpénztárak.

– Mikortól kell készen állniuk az eAzonosítás és eAláírás funkciókkal?

A szolgáltatók 2025. június 1. napjától kötelesek biztosítani a Digitális Állampolgárság Program szolgáltatásait.

– Mit mond a törvény az eddig használt auditált elektronikus hírközlő eszközökről – az okostelefonos szelfi- és okmányfotóról, az e-személyi kiolvasásról vagy a videóhívásról?

A törvény ezzel kapcsolatban így fogalmaz: a fenti felsorolás c)-f) pontjaiban szereplő, azaz az MNB által felügyelt szolgáltatóknak a saját szolgáltatásaik nyújtása során – azonos funkciót betöltő szolgáltatásuk mellett vagy helyett – kell biztosítaniuk az eAzonosítási és eAláírási funkciók használatát ügyfeleik számára. Azaz a DÁP megoldása mellett szabadon használhatják egyéb auditált elektronikus hírközlő eszközeiket is.

– Mindeközben a Pénzmosás és terrorizmus elleni törvény (Pmt.) egyik idevágó része is módosult. Hogyan?

A Pmt. kibővül a 17/A. §-al, amely előírja a Pmt. 3. § 28. pontjában felsorolt összes szolgáltatónak – többek között a hitelintézeteknek, biztosítóknak, alkuszoknak, pénzügyi szolgáltatóknak, foglalkoztatói nyugdíjszolgáltató intézményeknek, önkéntes kölcsönös biztosítópénztáraknak, pénzváltóknak –, hogy 2025. január 01. napjától kötelező lesz a magyar lakcímkártyával rendelkezők számára lehetővé tenniük, hogy az ügyfél igénye esetén az ügyfél-átvilágításra a szolgáltató által üzemeltetett biztonságos, védett, előzetesen auditált elektronikus hírközlő eszköz útján kerüljön sor.

A már alkalmazott auditált elektronikus hírközlő eszköz tekintetében a szolgáltató 2024. október 31-ig köteles felmérni, hogy milyen mértékben felel meg a rendeletben foglaltaknak, és a teljes körű megfelelésig intézkedéseket kell alkalmaznia az auditált elektronikus hírközlő eszköz igénybevételéből eredő releváns kockázatok csökkentése érdekében. Ezt követően legkésőbb 2025. május 1-jéig köteles megfelelni a rendelet előírásainak.

– Milyen jogszabályokra kell figyelniük még a szolgáltatóknak a távoli ügyintézéssel és ügyfél-átvilágítással kapcsolatban?

Az ügyfél-regisztráció (onboarding) folyamatát az említett Pmt. és az MNB által felügyelt szolgáltatók tekintetében az MNB éppen most módosuló rendelete szabályozza, amely a 26/2020. (VIII. 25.) rendeletet váltja fel.

– A 26/2020. MNB rendelet egészen pontosan július 1-jével módosul. Mi a legfontosabb változás?

A 26/2020. rendeletet 2024. július 1. napjától, két új MNB rendelet váltja fel, amelyből a 29/2024. (VI. 24.) MNB rendelet kifejezetten az ügyfél-regisztráció folyamatát hivatott szabályozni (összhangban a DÁP törvény hatálybalépésével), míg a 30/2024. (VI. 24.) MNB rendelet általánosságban szabályozza a pénzmosás és terrorizmus finanszírozásának megakadályozása érdekében követendő eljárásrendet.

– Lesz-e új rendelkezés a közvetlen és a közvetett ügyfél-átvilágítás lehetséges módjaival kapcsolatban?

Mind a korábban hatályos, mind a 29/2024. (VI. 24.) MNB rendelet alapján az ügyfél-regisztráció során az elektronikus (táv)ügyfél-átvilágítási folyamat történhet:

  1. közvetlen elektronikus ügyfél-átvilágítással, vagy
  2. közvetett elektronikus ügyfél-átvilágítással.

Ebben tehát nincs változás.

A szolgáltatónak mindkét esetben alkalmaznia kell a személyes ügyfél-átvilágításra irányadó, a Pmt. szerinti belső szabályzatában meghatározott általános eljárásrendjét. Ezen túlmenően rendelkeznie kell az ügyfél-átvilágításhoz alkalmazott auditált elektronikus hírközlő eszközzel (rendszerrel) és az elektronikus (táv)ügyfél-átvilágításra vonatkozó kiegészítő belső szabályzattal. Az ezekre vonatkozó követelményeket a rendelet részletesen taglalja majd.

– Van-e változás a rendeletben azzal kapcsolatban, hogy milyen technológiával lehet elvégezni a közvetett és közvetlen ügyfél-átvilágítást?

Mielőtt válaszolnék, pontosítsuk, melyik alatt mit értünk. A közvetlen ügyfél-átvilágítás azt jelenti, hogy egy valós idejű folyamat során a szolgáltató helyiségében tartózkodó alkalmazott valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszközzel (például élő videóhívásban) végzi el az ügyfél átvilágítását. A közvetett esetében a folyamat automatizálható (“önkiszolgáló” folyamatként) a rendeletben foglalt feltételek fennállása esetén.

A legfőbb változás egyrészről az, hogy 2025. január 01. napjától a Központi Azonosítási Ügynök rendszerében (KAÜ) már csak az Ügyfélkapu+ és a DÁP eAzonosítás marad, a “sima Ügyfélkapu”, az eSzemélyi bejelentkezés, a telefonos és az arcképes (videós) azonosítás megszűnik. Ugyanakkor 2024. július 1. napjától a KAÜ-höz már bármilyen piaci szereplő csatlakozhat, megszűnik a korábban a 26/2020. MNB rendelet 13. §-ában foglalt korlátozás, vagyis elméletileg a szolgáltató közvetlenül csatlakozhat a KAÜ-höz.

A szolgáltató a közvetett elektronikus ügyfél-átvilágítást a következő módokon végezheti el:

  1. KAÜ igénybevételével,
  2. elektronikus tárolóelemet tartalmazó, személyazonosság igazolására alkalmas hatósági igazolványból, az ügyfél azonosításra alkalmas, hiteles természetes azonosító adatok kiolvasásával,
  3. a DÁP tv. szerinti eAzonosítás igénybevételével, vagy
  4. egyéb módon, például önkiszolgáló úton, okostelefonos szelfi és okmányfotó segítségével. Ez esetben azonban az ügyfél tevékenységét az üzleti kapcsolat létrehozásának időpontjától számítva egy évig megerősített eljárásban nyomon kell követnie.

– Módosulnak-e tartalmilag az ügyfél-átvilágítás és az ügyfélazonosítás fogalmai?

A jogszabály a korábbiaknál bővebben részletezi a fokozott és megerősített ügyfél-átvilágítás fogalmát, de mielőtt rátérnénk, tisztázzuk, hogy miben tér el az átvilágítás az azonosítástól.

Az ügyfél azonosítása az ügyfél-átvilágítás első lépése, melynek során a szolgáltató megállapítja, hogy az ügyfél-átvilágításon részt vevő személy valóban az, akinek mondja magát (vagyis azonos a személyazonosító okmányban rögzített adatokkal rendelkező személlyel).

Az ügyfél-átvilágítás jóval több az azonosításnál, mivel annak során további információk beszerzése szükséges, a Pmt.-ben és a szolgáltató belső szabályzatában, valamint kockázatértékelésében meghatározottak szerint. (Így például az, hogy saját nevében jár-e el, ha nem, akkor kiében, annak ki a tényleges tulajdonosa, és ő, illetve a képviselt személy vagy annak tényleges tulajdonosa kiemelt közszereplőnek, vagy azzal egy tekintet alá eső személynek minősül-e és így tovább.)

– Hogyan változik tehát a fokozott és megerősített ügyfél-átvilágítás tartalma?

Ami a megerősített ügyfél-átvilágítást illeti: az ügyfél-átvilágítás során beszerzett ügyféladatok alapján – nemcsak elektronikus ügyfél-azonosításkor, hanem mindig – a szolgáltató köteles az átvilágított ügyfelet a saját belső kockázatértékelésére tekintettel alacsony, átlagos, vagy magas kockázati szintre besorolni, és annak megfelelően további átvilágítási folyamatokat (fokozott vagy megerősített ügyfél-átvilágítást) végezni.

Emellett köteles a kockázatértékelés és a belső szabályzatában meghatározott eljárásrend szerint ügyleti küszöbértékeket meghatározni; monitorozni az ügyfél által adott megbízásokat; meghatározott ügyleti megbízásokat felelős vezető jóváhagyásához kötni, vagy adott esetben felfüggeszteni, megtagadni, zárolni a szolgáltató által kezelt pénzeszközöket, bejelenteni a tranzakciót a pénzügyi információs egység részére, végső soron pedig, szükség esetén megszüntetni az üzleti kapcsolatot.

– Jól tudjuk, hogy az új rendelet a Pmt. változását lekövetve eltörli a tranzakciós korlátot az ügyfél-átvilágításban?

Igen. A fentiekre is tekintettel a 29/2024. (VI. 24.) MNB rendelet eltörli a 26/2020. (VIII. 25.) MNB rendelet 16. §-ában foglalt, az elektronikus ügyfél-átvilágításhoz rendelt tranzakciós korlátokat. Ezzel egyrészt törekszik az elektronikus ügyfél-átvilágítást a személyes ügyfél-átvilágítással egyenértékűnek elismerni, másrészről a fentiek alapján a szolgáltatói kockázatértékelést az átvilágítás módjától jogalkotói szinten leválasztani, vagyis a szolgáltatóra bízni, hogy önmagában az ügyfél-átvilágítás (elektronikus) módja hordoz-e további kockázati elemeket. Illetve a d) pont szerinti átvilágítás esetében megerősített eljárásban az ügyfél tranzakcióit egy évig nyomon kell követni.

– Jól sejtjük, hogy a tranzakciós korlát eltörlésével egyúttal bővülnek az okostelefonos szelfis átvilágítás lehetőségei is?

Igen, de fontos különbséget tenni az elektronikus személyazonosítóval (tárolóchipes “eSzemélyivel”) történő személyazonosítás és az egyszerű szelfis-okmányfotós módszer közötti azonosítás tekintetében.

Az eSzemélyis azonosítás esetén korlátozásmentesen végezhet tranzakciót az ügyfél, míg a szelfis-okmányfotós azonosítás esetében megerősített eljárásban nyomon kell követni az ügyfél tranzakcióit egy évig. Ez azt is jelenti, hogy az ügyfél a szolgáltató kockázatértékelésében foglaltak szerinti küszöbértékig végezhet tranzakciót, illetve bizonyos, a kockázatértékelésben és a belső szabályzatban meghatározott ügyleti megbízásokat felelős vezető jóváhagyásához kell kötni.

– Hogyan változik az ügyfél-átvilágítás kiszervezése az új rendelet szerint?

A 29/2024. (VI. 24.) MNB rendelet – ellentétben a 26/2020. (VIII. 25.) MNB rendelettel – kifejezetten rendelkezik az elektronikus ügyfél-átvilágítás kiszervezésének szabályairól. A rendelet a kiszervező feladatait és a kiszervezett ügyfél-átvilágítást végzővel szemben támasztandó minimumkövetelményeket fogalmaz meg, és nem korlátozza a kiszervezett ügyfél-átvilágítást végző személyek körét (ellentétben a jelenleg hatályos rendelet 13. §-ában foglalt korlátozásokkal, mely a KAÜ alkalmazását csak az ott meghatározott szervezetek számára engedi meg).

– Milyen változások várhatók az e-aláírással kapcsolatban?

A DÁP tv. által biztosított minősített elektronikus aláírás (eAláírás) a legmagasabb szintű biztonságot és a legmagasabb szintű írásbeliséget jelenti. Az ezzel hitelesített dokumentum nemcsak eIDAS-konform (azaz minden EU tagállamban kötelező elfogadni és azonos joghatású), de írásbelinek (Ptk. 6:7. §), teljes bizonyító erejű magánokiratnak (Pp. 325. § (1) bekezdés f) pont), hitelesnek (451/2016. korm. rendelet 12. § (1) bekezdés a) pont) minősül, és elektronikus magánokiratot hoz létre (Eüsztv. 104/B. §, DÁPtv. 109. §).

– Ez nagyobb biztonságot jelent majd az ügyfél számára?

Nemcsak az ügyfél, de a szolgáltató számára is. Az eAláíráshoz  jogvita esetén az a vélelem társul, hogy a nyilatkozatot/okiratot a tanúsítványban megjelölt személy írta alá, és az aláírás érvényessége esetén az okirat tartalma az aláírás óta változatlan. Ez mind az ügyfél, mind a szolgáltató számára azt a biztonságot nyújtja, hogy utólag az eAláírással hitelesített okirat/nyilatkozat az aláíró személyére és az okirat tartalmára vonatkozóan nem támadható meg eredményesen. Érdemes mérlegelni a szolgáltatóknak, hogy nagy összegű tranzakciók teljesítését eAláírással történő hitelesítéshez kössék, amellyel nagymértékben csökkenthető az internetes pénzügyi csalások eredményessége.