Q&A az ügyfél-átvilágítás legújabb jogszabályi változásairól
A pénzügyi és biztosítási piac szereplői egyre feszültebb várakozással követik az eAzonosítás bevezetéséről szóló híreket, miközben az ügyfél-átvilágításról rendelkező egyéb szabályozások is több ponton módosulnak.
Változott a Pénzmosás elleni törvény, július 1-től „két részre szakad” az MNB 26/2020-as rendelete, és a DÁP törvény egyes passzusai is érinteni fogják az ügyfél-átvilágítást. Mindezzel kapcsolatban rengeteg kérdés merül fel. Dr. Kósa Ferenc ügyvédet, a Magyar Elektronikus Aláírás Szövetség Egyesület elnökét kértük meg, hogy válaszoljon a legfontosabbakra.
A pénzügyi és biztosítási piac szereplőinek alig egy év múlva minden ügyfelük számára lehetővé kell tenniük, hogy távolról, mobiltelefonon intézhessék ügyeiket, a DÁP eAzonosítás alkalmazásán keresztül.
– Pontosan mit ír elő számukra a DÁP törvény?
A törvény szerint mind az ügyfél-regisztráció (“onboarding”) folyamata, mind az ezt követő, az elektronikus szolgáltatásaikhoz való hozzáférés (weboldalra, vagy applikációba történő bejelentkezés) során a szolgáltatónak lehetővé kell tennie, hogy az ügyfél a DÁP keretalkalmazás eAzonosítási funkcióját használva igazolja magát, és a szükséges jognyilatkozatokat (szerződéseket, megbízásokat, kérelmeket) az eAláírási funkcióval hitelesítse.
– Pontosan mely szolgáltatókra vonatkozik a DÁP rendelkezése?
A törvényben meghatározott szolgáltatók:
- a közműszolgáltatók (hulladék, távhő, földgáz, víz, szennyvíz, villamosenergia, kéményseprő),
- a posta,
- a hitelintézetek és pénzügyi szolgáltatók, valamint a pénzforgalmi intézmények, elektronikuspénz-kibocsátó intézmények és a Posta Elszámoló Központ,
- a biztosítók és viszontbiztosítók, valamint biztosító egyesületek,
- a befektetési vállalkozások és árutőzsdei szolgáltatók,
- az Önkéntes Kölcsönös Biztosító Pénztárak és a magánnyugdíjpénztárak.
– Mikortól kell készen állniuk az eAzonosítás és eAláírás funkciókkal?
A szolgáltatók 2025. június 1. napjától kötelesek biztosítani a Digitális Állampolgárság Program szolgáltatásait.
– Mit mond a törvény az eddig használt auditált elektronikus hírközlő eszközökről – az okostelefonos szelfi- és okmányfotóról, az e-személyi kiolvasásról vagy a videóhívásról?
A törvény ezzel kapcsolatban így fogalmaz: a fenti felsorolás c)-f) pontjaiban szereplő, azaz az MNB által felügyelt szolgáltatóknak a saját szolgáltatásaik nyújtása során – azonos funkciót betöltő szolgáltatásuk mellett vagy helyett – kell biztosítaniuk az eAzonosítási és eAláírási funkciók használatát ügyfeleik számára. Azaz a DÁP megoldása mellett szabadon használhatják egyéb auditált elektronikus hírközlő eszközeiket is.
– Mindeközben a Pénzmosás és terrorizmus elleni törvény (Pmt.) egyik idevágó része is módosult. Hogyan?
A Pmt. kibővül a 17/A. §-al, amely előírja a Pmt. 3. § 28. pontjában felsorolt összes szolgáltatónak – többek között a hitelintézeteknek, biztosítóknak, alkuszoknak, pénzügyi szolgáltatóknak, foglalkoztatói nyugdíjszolgáltató intézményeknek, önkéntes kölcsönös biztosítópénztáraknak, pénzváltóknak –, hogy 2025. január 01. napjától kötelező lesz a magyar lakcímkártyával rendelkezők számára lehetővé tenniük, hogy az ügyfél igénye esetén az ügyfél-átvilágításra a szolgáltató által üzemeltetett biztonságos, védett, előzetesen auditált elektronikus hírközlő eszköz útján kerüljön sor.
A már alkalmazott auditált elektronikus hírközlő eszköz tekintetében a szolgáltató 2024. október 31-ig köteles felmérni, hogy milyen mértékben felel meg a rendeletben foglaltaknak, és a teljes körű megfelelésig intézkedéseket kell alkalmaznia az auditált elektronikus hírközlő eszköz igénybevételéből eredő releváns kockázatok csökkentése érdekében. Ezt követően legkésőbb 2025. május 1-jéig köteles megfelelni a rendelet előírásainak.
– Milyen jogszabályokra kell figyelniük még a szolgáltatóknak a távoli ügyintézéssel és ügyfél-átvilágítással kapcsolatban?
Az ügyfél-regisztráció (onboarding) folyamatát az említett Pmt. és az MNB által felügyelt szolgáltatók tekintetében az MNB éppen most módosuló rendelete szabályozza, amely a 26/2020. (VIII. 25.) rendeletet váltja fel.
– A 26/2020. MNB rendelet egészen pontosan július 1-jével módosul. Mi a legfontosabb változás?
A 26/2020. rendeletet 2024. július 1. napjától, két új MNB rendelet váltja fel, amelyből a 29/2024. (VI. 24.) MNB rendelet kifejezetten az ügyfél-regisztráció folyamatát hivatott szabályozni (összhangban a DÁP törvény hatálybalépésével), míg a 30/2024. (VI. 24.) MNB rendelet általánosságban szabályozza a pénzmosás és terrorizmus finanszírozásának megakadályozása érdekében követendő eljárásrendet.
– Lesz-e új rendelkezés a közvetlen és a közvetett ügyfél-átvilágítás lehetséges módjaival kapcsolatban?
Mind a korábban hatályos, mind a 29/2024. (VI. 24.) MNB rendelet alapján az ügyfél-regisztráció során az elektronikus (táv)ügyfél-átvilágítási folyamat történhet:
- közvetlen elektronikus ügyfél-átvilágítással, vagy
- közvetett elektronikus ügyfél-átvilágítással.
Ebben tehát nincs változás.
A szolgáltatónak mindkét esetben alkalmaznia kell a személyes ügyfél-átvilágításra irányadó, a Pmt. szerinti belső szabályzatában meghatározott általános eljárásrendjét. Ezen túlmenően rendelkeznie kell az ügyfél-átvilágításhoz alkalmazott auditált elektronikus hírközlő eszközzel (rendszerrel) és az elektronikus (táv)ügyfél-átvilágításra vonatkozó kiegészítő belső szabályzattal. Az ezekre vonatkozó követelményeket a rendelet részletesen taglalja majd.
– Van-e változás a rendeletben azzal kapcsolatban, hogy milyen technológiával lehet elvégezni a közvetett és közvetlen ügyfél-átvilágítást?
Mielőtt válaszolnék, pontosítsuk, melyik alatt mit értünk. A közvetlen ügyfél-átvilágítás azt jelenti, hogy egy valós idejű folyamat során a szolgáltató helyiségében tartózkodó alkalmazott valós idejű kép- és hangátvitelt lehetővé tévő elektronikus hírközlő eszközzel (például élő videóhívásban) végzi el az ügyfél átvilágítását. A közvetett esetében a folyamat automatizálható (“önkiszolgáló” folyamatként) a rendeletben foglalt feltételek fennállása esetén.
A legfőbb változás egyrészről az, hogy 2025. január 01. napjától a Központi Azonosítási Ügynök rendszerében (KAÜ) már csak az Ügyfélkapu+ és a DÁP eAzonosítás marad, a “sima Ügyfélkapu”, az eSzemélyi bejelentkezés, a telefonos és az arcképes (videós) azonosítás megszűnik. Ugyanakkor 2024. július 1. napjától a KAÜ-höz már bármilyen piaci szereplő csatlakozhat, megszűnik a korábban a 26/2020. MNB rendelet 13. §-ában foglalt korlátozás, vagyis elméletileg a szolgáltató közvetlenül csatlakozhat a KAÜ-höz.
A szolgáltató a közvetett elektronikus ügyfél-átvilágítást a következő módokon végezheti el:
- KAÜ igénybevételével,
- elektronikus tárolóelemet tartalmazó, személyazonosság igazolására alkalmas hatósági igazolványból, az ügyfél azonosításra alkalmas, hiteles természetes azonosító adatok kiolvasásával,
- a DÁP tv. szerinti eAzonosítás igénybevételével, vagy
- egyéb módon, például önkiszolgáló úton, okostelefonos szelfi és okmányfotó segítségével. Ez esetben azonban az ügyfél tevékenységét az üzleti kapcsolat létrehozásának időpontjától számítva egy évig megerősített eljárásban nyomon kell követnie.
– Módosulnak-e tartalmilag az ügyfél-átvilágítás és az ügyfélazonosítás fogalmai?
A jogszabály a korábbiaknál bővebben részletezi a fokozott és megerősített ügyfél-átvilágítás fogalmát, de mielőtt rátérnénk, tisztázzuk, hogy miben tér el az átvilágítás az azonosítástól.
Az ügyfél azonosítása az ügyfél-átvilágítás első lépése, melynek során a szolgáltató megállapítja, hogy az ügyfél-átvilágításon részt vevő személy valóban az, akinek mondja magát (vagyis azonos a személyazonosító okmányban rögzített adatokkal rendelkező személlyel).
Az ügyfél-átvilágítás jóval több az azonosításnál, mivel annak során további információk beszerzése szükséges, a Pmt.-ben és a szolgáltató belső szabályzatában, valamint kockázatértékelésében meghatározottak szerint. (Így például az, hogy saját nevében jár-e el, ha nem, akkor kiében, annak ki a tényleges tulajdonosa, és ő, illetve a képviselt személy vagy annak tényleges tulajdonosa kiemelt közszereplőnek, vagy azzal egy tekintet alá eső személynek minősül-e és így tovább.)
– Hogyan változik tehát a fokozott és megerősített ügyfél-átvilágítás tartalma?
Ami a megerősített ügyfél-átvilágítást illeti: az ügyfél-átvilágítás során beszerzett ügyféladatok alapján – nemcsak elektronikus ügyfél-azonosításkor, hanem mindig – a szolgáltató köteles az átvilágított ügyfelet a saját belső kockázatértékelésére tekintettel alacsony, átlagos, vagy magas kockázati szintre besorolni, és annak megfelelően további átvilágítási folyamatokat (fokozott vagy megerősített ügyfél-átvilágítást) végezni.
Emellett köteles a kockázatértékelés és a belső szabályzatában meghatározott eljárásrend szerint ügyleti küszöbértékeket meghatározni; monitorozni az ügyfél által adott megbízásokat; meghatározott ügyleti megbízásokat felelős vezető jóváhagyásához kötni, vagy adott esetben felfüggeszteni, megtagadni, zárolni a szolgáltató által kezelt pénzeszközöket, bejelenteni a tranzakciót a pénzügyi információs egység részére, végső soron pedig, szükség esetén megszüntetni az üzleti kapcsolatot.
– Jól tudjuk, hogy az új rendelet a Pmt. változását lekövetve eltörli a tranzakciós korlátot az ügyfél-átvilágításban?
Igen. A fentiekre is tekintettel a 29/2024. (VI. 24.) MNB rendelet eltörli a 26/2020. (VIII. 25.) MNB rendelet 16. §-ában foglalt, az elektronikus ügyfél-átvilágításhoz rendelt tranzakciós korlátokat. Ezzel egyrészt törekszik az elektronikus ügyfél-átvilágítást a személyes ügyfél-átvilágítással egyenértékűnek elismerni, másrészről a fentiek alapján a szolgáltatói kockázatértékelést az átvilágítás módjától jogalkotói szinten leválasztani, vagyis a szolgáltatóra bízni, hogy önmagában az ügyfél-átvilágítás (elektronikus) módja hordoz-e további kockázati elemeket. Illetve a d) pont szerinti átvilágítás esetében megerősített eljárásban az ügyfél tranzakcióit egy évig nyomon kell követni.
– Jól sejtjük, hogy a tranzakciós korlát eltörlésével egyúttal bővülnek az okostelefonos szelfis átvilágítás lehetőségei is?
Igen, de fontos különbséget tenni az elektronikus személyazonosítóval (tárolóchipes “eSzemélyivel”) történő személyazonosítás és az egyszerű szelfis-okmányfotós módszer közötti azonosítás tekintetében.
Az eSzemélyis azonosítás esetén korlátozásmentesen végezhet tranzakciót az ügyfél, míg a szelfis-okmányfotós azonosítás esetében megerősített eljárásban nyomon kell követni az ügyfél tranzakcióit egy évig. Ez azt is jelenti, hogy az ügyfél a szolgáltató kockázatértékelésében foglaltak szerinti küszöbértékig végezhet tranzakciót, illetve bizonyos, a kockázatértékelésben és a belső szabályzatban meghatározott ügyleti megbízásokat felelős vezető jóváhagyásához kell kötni.
– Hogyan változik az ügyfél-átvilágítás kiszervezése az új rendelet szerint?
A 29/2024. (VI. 24.) MNB rendelet – ellentétben a 26/2020. (VIII. 25.) MNB rendelettel – kifejezetten rendelkezik az elektronikus ügyfél-átvilágítás kiszervezésének szabályairól. A rendelet a kiszervező feladatait és a kiszervezett ügyfél-átvilágítást végzővel szemben támasztandó minimumkövetelményeket fogalmaz meg, és nem korlátozza a kiszervezett ügyfél-átvilágítást végző személyek körét (ellentétben a jelenleg hatályos rendelet 13. §-ában foglalt korlátozásokkal, mely a KAÜ alkalmazását csak az ott meghatározott szervezetek számára engedi meg).
– Milyen változások várhatók az e-aláírással kapcsolatban?
A DÁP tv. által biztosított minősített elektronikus aláírás (eAláírás) a legmagasabb szintű biztonságot és a legmagasabb szintű írásbeliséget jelenti. Az ezzel hitelesített dokumentum nemcsak eIDAS-konform (azaz minden EU tagállamban kötelező elfogadni és azonos joghatású), de írásbelinek (Ptk. 6:7. §), teljes bizonyító erejű magánokiratnak (Pp. 325. § (1) bekezdés f) pont), hitelesnek (451/2016. korm. rendelet 12. § (1) bekezdés a) pont) minősül, és elektronikus magánokiratot hoz létre (Eüsztv. 104/B. §, DÁPtv. 109. §).
– Ez nagyobb biztonságot jelent majd az ügyfél számára?
Nemcsak az ügyfél, de a szolgáltató számára is. Az eAláíráshoz jogvita esetén az a vélelem társul, hogy a nyilatkozatot/okiratot a tanúsítványban megjelölt személy írta alá, és az aláírás érvényessége esetén az okirat tartalma az aláírás óta változatlan. Ez mind az ügyfél, mind a szolgáltató számára azt a biztonságot nyújtja, hogy utólag az eAláírással hitelesített okirat/nyilatkozat az aláíró személyére és az okirat tartalmára vonatkozóan nem támadható meg eredményesen. Érdemes mérlegelni a szolgáltatóknak, hogy nagy összegű tranzakciók teljesítését eAláírással történő hitelesítéshez kössék, amellyel nagymértékben csökkenthető az internetes pénzügyi csalások eredményessége.