Вернуться назад

СПРАВКА-ОБОСНОВАНИЕ 

к проекту постановления Правления Национального банка Кыргызской Республики  

«О внесении изменений в Порядок идентификации и верификации клиентов  

в удаленном режиме» 

 

 

1. Цель и задачи 

Проект постановления Правления Национального банка Кыргызской Республики «О внесении изменений в Порядок идентификации и верификации клиентов в удаленном режиме» (далее проект постановления) разработан в целях расширения минимальных требований по удаленной идентификации и верификации клиентов для предоставления банковских услуг. 

 

2. Описательная часть 

Постановлением Правления Национального банка от 13 мая 2020 года  

№ 2020-П-12/27-1-(НПА) был утвержден Порядок идентификации и верификации клиентов в удаленном режиме (далее Порядок). В рамках данного Порядка коммерческим банкам была предоставлена возможность проводить удаленную идентификацию и верификацию клиентов посредством видеосвязи и иных каналов взаимодействия, а у действующих или новых клиентов банков появилась возможность пользоваться услугами банков посредством дистанционного обслуживания.  

В Порядке под клиентами, которых можно удаленно идентифицировать и верифицировать, понимаются только физические лица-граждане Кыргызской Республики. В этой связи проектом постановления предлагается расширить определение клиентов индивидуальными предпринимателями с выставлением дополнительных требований их идентификации. 

Кроме того, в связи с обращениями коммерческих банков проектом постановления также предлагается расширить возможность коммерческих банков проводить удаленную идентификацию и верификацию с использованием искусственного интеллекта, машинного обучения или других форм прогнозных алгоритмов обработки биометрических данных клиентов. 

В этой связи Порядок предлагается дополнить требованиями к коммерческим банкам при внедрении программного обеспечения для удаленной идентификации и верификации клиентов: принятие соответствующего внутреннего документа в соответствии с возможными рисками ФТД/ЛПД и с ограничениями по операциям, а также проведение периодического аудита информационных технологий.  

 

3. Прогнозы возможных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий 

Принятие проекта постановления негативных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий не повлечет. 

 

4. Информация о результатах общественного обсуждения  

В соответствии со статьями 19 и 22 Закона «О нормативных правовых актах Кыргызской Республики», а также с требованиями Положения «О нормативных правовых актах Национального банка Кыргызской Республики» проекты нормативных правовых актов, непосредственно затрагивающие интересы граждан и юридических лиц, а также регулирующие предпринимательскую деятельность, подлежат общественному обсуждению и анализу регулятивного воздействия.  

 

5. Анализ соответствия проекта законодательству 

Представленный проект постановления не противоречит нормам действующего законодательства. 

 

6. Информация о необходимости финансирования 

Принятие проекта постановления не предусматривает дополнительного финансирования, кроме расходов банков на внедрение решений для удаленной идентификации клиентов.  

 

7. Информация об анализе регулятивного воздействия  

К представленному проекту постановления проведен анализ регулятивного воздействия в соответствии с Методикой проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденной Правительством Кыргызской Республики от 30 сентября 2020 года № 504. 

 

 

 

 

 

 

 

Приложение 

к постановлению Правления Национального банка Кыргызской Республики 

от ___________________  

№____________________ 

 

 

О внесении изменений в Порядок идентификации и верификации клиентов в удаленном режиме 

 

 

1. Внести в постановление Правления Национального банка Кыргызской Республики «О порядке идентификации и верификации клиентов в удаленном режиме» от 13 мая 2020 года № 2020-П-12/27-1-(НПА) следующие изменения: 

в Порядке идентификации и верификации клиентов в удаленном режиме, утвержденном вышеуказанным постановлением: 

- пункт 1 изложить в следующей редакции: 

«1. Настоящий Порядок идентификации и верификации клиентов в удаленном режиме (далее Порядок) определяет порядок проведения банками идентификации и верификации физических лиц-граждан Кыргызской Республики, включая определение их статуса в качестве индивидуального предпринимателя (далее клиенты) с использованием данных клиента, полученных в электронной форме без личного присутствия.»; 

- дополнить пунктом 5-1 следующего содержания: 

«5-1. При внедрении нового программного обеспечения для удаленной идентификации и верификации клиентов банк должен направить соответствующее уведомление в Национальный банк с полным описанием программного обеспечения и методами удаленной идентификации и верификации клиентов, согласно требованиям Порядка.»; 

- пункт 6 изложить в следующей редакции: 

«6. До начала идентификации банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента, идентификационного налогового номера и данных для заполнения анкеты клиента.»; 

- пункт 7 изложить в следующей редакции: 

«7. Банк также осуществляет проверку номера мобильного телефона (зарегистрированного на территории Кыргызской Республики), указанного клиентом, путем отправки кодов, паролей в SMS-сообщении на указанный клиентом номер мобильного телефона или иным способом.»; 

- дополнить пунктом 11-1 следующего содержания: 

«11-1. При определении статуса клиента в качестве индивидуального предпринимателя должна осуществляться верификация данных соответствующей налоговой регистрации клиента путем запроса и проверки данных из соответствующей информационной системы налоговой службы.»; 

- пункт 15 изложить в следующей редакции: 

«15. До проведения сеанса видеосвязи банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента, идентификационного налогового номера и данных для заполнения анкеты клиента.»; 

- дополнить пунктом 18-1 следующего содержания: 

«18-1. При определении статуса клиента в качестве индивидуального предпринимателя должна осуществляться верификация данных соответствующей налоговой регистрации клиента путем запроса и проверки данных из соответствующей информационной системы налоговой службы.»; 

- второе предложение пункта 20 изложить в следующей редакции: 

«При этом удаленная идентификация с использованием видеосвязи должна проводиться сотрудником банка и/или программным обеспечением в соответствии с требованиями Порядка.»; 

- наименование параграфа «§3. Интервью во время сеанса видеосвязи» заменить наименованием «§3. Требования к сеансу видеосвязи»; 

- пункт 28 изложить в следующей редакции: 

«28. В ходе сеанса видеосвязи сотрудник банка, прошедший соответствующий инструктаж по удаленной идентификации клиентов, должен провести интервью с клиентом, либо клиент должен выполнить действия согласно алгоритму, заложенному в программном обеспечении, в случае идентификации клиента без участия сотрудника банка.»; 

- пункт 29 изложить в следующей редакции: 

«29. При интервью непосредственно с сотрудником банка он должен представиться, озвучив свое имя, фамилию, занимаемую должность и наименование банка.»; 

- пункт 32 изложить в следующей редакции: 

«32. Банк должен разработать соответствующий опросник для проведения интервью или алгоритм действий клиента для снижения риска предоставления заранее подготовленной видеозаписи или проведения иных манипуляций с видеоизображением.»; 

- в пункте 35 слово «стороны» заменить словом «сторон»; 

- пункт 38 изложить в следующей редакции: 

«38. Фото, видео- и аудиозаписи должны храниться в изначально заданном качестве.»; 

- дополнить пунктом 42 следующего содержания: 

«42. При проверке личности клиента с использованием искусственного интеллекта, машинного обучения или других форм прогнозных алгоритмов обработки биометрических данных, полностью или частично, банк должен обеспечить достаточную точность определения подлинных и поддельных случаев идентификации и верификации клиента.»; 

- дополнить пунктами 44, 45, 46, 47, 48 и 49 следующего содержания: 

«44. Программное обеспечение идентификации клиентов должно содержать в себе алгоритм идентификации «один-к-одному» для сравнения изображения из видеопотока с уже известными фотографиями в документах, удостоверяющих личность клиента, и государственных базах данных. Сравнение изображений клиента должно осуществляться с построением трехмерной модели лица по контурам глаз, бровей, губ, носа и других элементов лица, с определением расстояния между ними. Алгоритмы идентификации должны учитывать возможность проверки на признак «живой» и исключение подлога видеопотока.  

45. Внедрение программного обеспечения идентификации клиентов должно сопровождаться тестированием с определением уровня точности алгоритмов, используемых в программном обеспечении, обработки биометрических данных. Если количество данных для определения точности решения на начальном этапе развертывания ограничено, банк должен установить дополнительные меры безопасности, особенно для продуктов, которые представляют более высокий риск, или установить лимит для всех продуктов, связанный с неточной идентификацией и верификацией клиентов. 

46. При применении программного обеспечения для удаленной идентификации и верификации клиентов банк должен использовать соответствующую комбинацию факторов аутентификации при установлении мер по проверке личности клиента в степени, соразмерной рискам, связанным с неточной идентификацией и верификацией клиентов. Допустимый уровень точности используемых алгоритмов обработки биометрических данных определяется банком в соответствии с возможными рисками ФТД/ЛПД и внутренними ограничениями по операциям. 

47. Оценка рисков применения банком удаленной идентификации и верификации клиентов с использованием программного обеспечения обработки биометрических данных должна быть одобрена советом директоров банка. Внутренний нормативный документ, предусматривающий пороги рисков и допустимый уровень точности применения банком удаленной идентификации и верификации клиентов с использованием программного обеспечения обработки биометрических данных, должен быть утвержден правлением банка.  

48. Программное обеспечение обработки биометрических данных, применяемое банком для удаленной идентификации и верификации клиентов, должно быть подвергнуто проверке информационных технологий с периодичностью не менее одного раза в полгода на предмет наличия технологических ошибок и проверки допустимого уровня точности используемых алгоритмов обработки биометрических данных соответствующими структурными подразделениями/сотрудниками, ответственными за информационную безопасность банка. При этом эти данные должны быть подтверждены в рамках периодичного внешнего аудита информационных систем банка. 

49. Использование программного обеспечения обработки биометрических данных должно охватывать проверку биометрических данных клиентов с базами данных государственных органов, а также должно обеспечить наличие механизмов обнаружения мошенничества (подмены биометрических данных).»; 

- в Таблице 3 «Перечень типов рисков и мер по их минимизации, в разрезе типов операций» Приложения 1 к Порядку идентификации и верификации клиента в удаленном режиме в столбцах шесть, семь, восемь, девять и десять слово «банком» заменить на слово «банками». 

 

СРАВНИТЕЛЬНАЯ ТАБЛИЦА 

к проекту внесения изменений в Порядок идентификации и верификации клиентов в удаленном режиме 

№ 

Действующая редакция 

Предлагаемая редакция 

Порядок идентификации и верификации клиентов в удаленном режиме 

1.  

1. Настоящий Порядок идентификации и верификации клиентов в удаленном режиме (далее - Порядок) определяет порядок проведения банками идентификации и верификации физических лиц - граждан Кыргызской Республики с использованием данных клиента, полученных в электронной форме без личного присутствия. 

1. Настоящий Порядок идентификации и верификации клиентов в удаленном режиме (далее - Порядок) определяет порядок проведения банками идентификации и верификации физических лиц - граждан Кыргызской Республики, включая определение их статуса в качестве индивидуального предпринимателя (далее клиенты) с использованием данных клиента, полученных в электронной форме без личного присутствия.  

2.  

5-1. При внедрении нового программного обеспечения для удаленной идентификации и верификации клиентов банк должен направить соответствующее уведомление в Национальный банк с полным описанием программного обеспечения и методами удаленной идентификации и верификации клиентов, согласно требованиям Порядка. 

3.  

6. До начала идентификации банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента и данных для заполнения анкеты клиента. 

6. До начала идентификации банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента, идентификационного налогового номера и данных для заполнения анкеты клиента. 

4.  

7. Банк также осуществляет проверку номера мобильного телефона (зарегистрированного на территории Кыргызской Республики), указанного клиентом, путем направления информации по каналу связи, независимому от того, что используется для регистрации (путем отправки кодов, паролей в SMS-сообщении на указанный клиентом номер мобильного телефона или иным способом)

7. Банк также осуществляет проверку номера мобильного телефона (зарегистрированного на территории Кыргызской Республики), указанного клиентом, путем отправки кодов, паролей в SMS-сообщении на указанный клиентом номер мобильного телефона или иным способом. 

5.  

11-1. При определении статуса клиента в качестве индивидуального предпринимателя должна осуществляться верификация данных соответствующей налоговой регистрации клиента путем запроса и проверки данных из соответствующей информационной системы налоговой службы. 

6.  

15. До проведения сеанса видеосвязи банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента и данных для заполнения анкеты клиента. 

15. До проведения сеанса видеосвязи банк должен провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента, идентификационного налогового номера и данных для заполнения анкеты клиента. 

7.  

18-1. При определении статуса клиента в качестве индивидуального предпринимателя должна осуществляться верификация данных соответствующей налоговой регистрации клиента путем запроса и проверки данных из соответствующей информационной системы налоговой службы. 

8.  

20. Банк для целей проведения идентификации с использованием видеосвязи может использовать собственное программное обеспечение или программное обеспечение, предоставленное третьими сторонами, которые позволят обеспечить соблюдение условий и процедур, в предусмотренных настоящим Порядком и законодательством Кыргызской Республики. При этом удаленная идентификация с использованием видеосвязи должна проводиться сотрудником банка. 

20. Банк для целей проведения идентификации с использованием видеосвязи может использовать собственное программное обеспечение или программное обеспечение, предоставленное третьими сторонами, которые позволят обеспечить соблюдение условий и процедур, в предусмотренных настоящим Порядком и законодательством Кыргызской Республики. При этом удаленная идентификация с использованием видеосвязи должна проводиться сотрудником банка и/или программным обеспечением в соответствии с требованиями Порядка

9.  

§ 3. Интервью во время сеанса видеосвязи 

§ 3. Требования к сеансу видеосвязи 

10.  

28. В ходе сеанса видеосвязи сотрудник банка, прошедший соответствующий инструктаж по удаленной идентификации клиентов, должен провести интервью с клиентом.   

28. В ходе сеанса видеосвязи сотрудник банка, прошедший соответствующий инструктаж по удаленной идентификации клиентов, должен провести интервью с клиентом, либо клиент должен выполнить действия согласно алгоритму, заложенному в программном обеспечении в случае идентификации клиента без участия сотрудника банка. 

11.  

29. Сотрудник банка должен представить себя, указав свое имя, фамилию, занимаемую должность и наименование банка.  

29. При интервью непосредственно с сотрудником банка он должен представиться, озвучив свое имя, фамилию, занимаемую должность и наименование банка.  

12.  

32. Для проведения интервью используется опросник, разработанный в соответствии с программой внутреннего контроля банка. Опросник используется для получения или проверки сведений, необходимых для внесения в анкету клиента, при этом банк должен провести верификацию иных сведении о клиенте.  

32. Банк должен разработать соответствующий опросник для проведения интервью или алгоритм действий клиента для снижения риска предоставления заранее подготовленной видеозаписи или проведения иных манипуляций с видеоизображением.   

13.  

35. Банки должны использовать информационные системы и методы, обеспечивающие защиту от неавторизованного доступа третьих стороны к процедуре и результатам идентификации. 

35. Банки должны использовать информационные системы и методы, обеспечивающие защиту от неавторизованного доступа третьих сторон к процедуре и результатам идентификации. 

14.  

38. Фото, видео- и аудиозаписи хранятся без потери качества.  

38. Фото, видео- и аудиозаписи должны храниться в изначально заданном качестве.  

15.  

 

42. При проверке личности клиента с использованием искусственного интеллекта, машинного обучения или других форм прогнозных алгоритмов обработки биометрических данных, полностью или частично, банк должен обеспечить достаточную точность определения подлинных и поддельных случаев идентификации и верификации клиента. 

16.  

 

44. Программное обеспечение идентификации клиентов должно содержать в себе алгоритм идентификации «один-к-одному» для сравнения изображения из видеопотока с уже известными фотографиями в документах, удостоверяющих личность клиента, и государственных базах данных. Сравнение изображений клиента должно осуществляться с построением трехмерной модели лица по контурам глаз, бровей, губ, носа и других элементов лица, с определением расстояния между ними. Алгоритмы идентификации должны учитывать возможность проверки на признак «живой» и исключение подлога видеопотока.  

45. Внедрение программного обеспечения идентификации клиентов должно сопровождаться тестированием с определением уровня точности алгоритмов, используемых в программном обеспечении, обработки биометрических данных. Если количество данных для определения точности решения на начальном этапе развертывания ограничено, банк должен установить дополнительные меры безопасности, особенно для продуктов, которые представляют более высокий риск, или установить лимит для всех продуктов, связанный с неточной идентификацией и верификацией клиентов. 

46. При применении программного обеспечения для удаленной идентификации и верификации клиентов банк должен использовать соответствующую комбинацию факторов аутентификации при установлении мер по проверке личности клиента в степени, соразмерной рискам, связанным с неточной идентификацией и верификацией клиентов. Допустимый уровень точности используемых алгоритмов обработки биометрических данных определяется банком в соответствии с возможными рисками ФТД/ЛПД и внутренними ограничениями по операциям. 

47. Оценка рисков применения банком удаленной идентификации и верификации клиентов с использованием программного обеспечения обработки биометрических данных должна быть одобрена советом директоров банка. Внутренний нормативный документ, предусматривающий пороги рисков и допустимый уровень точности применения банком удаленной идентификации и верификации клиентов с использованием программного обеспечения обработки биометрических данных, должен быть утвержден правлением банка.  

48. Программное обеспечение обработки биометрических данных, применяемое банком для удаленной идентификации и верификации клиентов, должно быть подвергнуто проверке информационных технологий с периодичностью не менее одного раза в полгода на предмет наличия технологических ошибок и проверки допустимого уровня точности используемых алгоритмов обработки биометрических данных соответствующими структурными подразделениями/сотрудниками, ответственными за информационную безопасность банка. При этом эти данные должны быть подтверждены в рамках периодичного внешнего аудита информационных систем банка. 

49. Использование программного обеспечения обработки биометрических данных должно охватывать проверку биометрических данных клиентов с базами данных государственных органов, а также должно обеспечить наличие механизмов обнаружения мошенничества (подмены биометрических данных). 

17.  

Таблица 3. Перечень типов рисков и мер по их минимизации, в разрезе типов операций 

Тип операции 

Риск 

Меры минимизации рисков (кроме ограничения по суммам операции) 

Переводы между физическими лицами (между резидентами) 

Риски финансирования терроризма 

Личности плательщика и получателя устанавливаются банком. Данные проверяются по национальным и международным санкционным спискам. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Риски запутывания потоков денежных средств, затруднение расследований 

Личности плательщика и получателя устанавливаются банком. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Риски уклонения от уплаты налогов 

Личности плательщика и получателя устанавливаются банком. Ведется выявление подозрительных операций. Данные при необходимости доступны налоговым органам. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Коррупционные риски 

Личности плательщика и получателя устанавливаются банком. Осуществляется проверка на принадлежность клиента к категории публичных должностных лиц. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Любые операции 

Совершение операций подсанкционными лицами 

Личность клиента устанавливается банком. Данные проверяются по национальным и международным санкционным спискам. Для иных операций - ограничение сумм и (или) мониторинг операций. Скрининг по перечню подсанкционных лиц, выявление публичных должностных лиц 

Таблица 3. Перечень типов рисков и мер по их минимизации, в разрезе типов операций 

Тип операции 

Риск 

Меры минимизации рисков (кроме ограничения по суммам операции) 

Переводы между физическими лицами (между резидентами) 

Риски финансирования терроризма 

Личности плательщика и получателя устанавливаются банками. Данные проверяются по национальным и международным санкционным спискам. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Риски запутывания потоков денежных средств, затруднение расследований 

Личности плательщика и получателя устанавливаются банками. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Риски уклонения от уплаты налогов 

Личности плательщика и получателя устанавливаются банками. Ведется выявление подозрительных операций. Данные при необходимости доступны налоговым органам. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Коррупционные риски 

Личности плательщика и получателя устанавливаются банками. Осуществляется проверка на принадлежность клиента к категории публичных должностных лиц. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска 

Переводы электронных денег (с участием нерезидента) 

Риски финансирования терроризма 

Личности плательщика и получателя устанавливаются банками. Данные проверяются по национальным и международным санкционным спискам. Банки руководствуются признаками подозрительных операций, которые могут свидетельствовать о выходе клиента за пределы профиля риска