Как международным и европейским компаниям проводить KYC проверку клиентов из СНГ?

Один из крупнейших регионов мира, Содружество независимых государств (СНГ), открывает множество возможностей для бизнеса. Однако компании, которые не учитывают местную специфику при регистрации пользователей, рискуют столкнуться с санкциями со стороны надзорных органов. Компании могут подвергнуться штрафу в размере нескольких сотен тысяч долларов или получить запрет на ведение предпринимательской деятельности.
В этой статье собраны лучшие рекомендации и практические советы по верификации клиентов (KYC — знай своего клиента) из СНГ, которые помогут вам избежать санкций и защититься от мошеннических схем.

СНГ представляет собой межправительственную организацию, которая осуществляет надзор за экономическим и политическим сотрудничеством между десятью постсоветскими республиками: Арменией, Азербайджаном, Беларусью, Казахстаном, Кыргызстаном, Молдовой, Россией, Таджикистаном, Туркменистаном и Узбекистаном. В этой статье мы также затронем бывшую участницу СНГ Грузию и Украину.

Для кого эта статья

Компании, которые регистрируют клиентов из стран СНГ, должны помнить об обязательствах стран-участниц по борьбе с отмыванием денег и защите персональных данных.

Требуемая степень соответствия зависит от того, зарегистрирован ли бизнес в СНГ. Если компания создает юридическое лицо в одной из стран-участниц, то она должна полностью соблюдать местное законодательство. Однако, если компания работает с клиентами из СНГ, но не зарегистрирована ни в одной из стран региона, она должна соблюдать только требования по защите персональных данных.

Почему важно учитывать законы СНГ при проведении KYC

Идея единой системы регистрации клиентов и проведения KYC из разных юрисдикций может оказаться привлекательной для международных компаний. Однако компании, игнорирующие нормативные требования стран СНГ, могут понести административную и уголовную ответственность.

Например, в Узбекистане незаконная обработка данных, в том числе KYC, ведет к запрету на предпринимательскую деятельность. В Беларуси закон предусматривает наказание в виде лишение свободы на три года. А в России за нарушение требований к обработке данных власти могут замедлить или даже заблокировать сайт компании. В случае особо серьезных нарушений российское законодательство предусматривает штраф в размере до 18 млн рублей (более 240 тыс. долларов).

KYC и как регистрировать пользователей

Согласно законам стран СНГ о противодействии отмыванию денег, компании должны проводить идентификацию и верификацию своих клиентов. Все страны-участницы разрешают верификацию как удаленно, так и при фактическом присутствии пользователя и не предъявляют никаких уникальных требований, таких как проверка по селфи или видео. А значит, компаниям будет легко интегрировать систему регистрации клиентов из стран СНГ с требованиями других юрисдикций. Чтобы снизить риски на этапе верификации, компаниям стоит обратить внимание на пять особенностей, присущих странам региона.

1. Высокий риск мошенничества
В странах СНГ проверка клиентов является обязательной из-за высокого уровня мошенничества в регионе. В 2020 году только в России преступники украли 2 млрд долларов через схемы онлайн-мошенничества. Даже крупнейшие финансовые платформы становятся жертвами мошенников. Например, в 2020 году известный молдавский политик был обвинен в хищении 1 млрд долларов из трех крупнейших банков Молдовы.

Среди других распространенных схем мошенничества стоит отметить сокрытие средств за рубежом, а также использование платежных систем, разрешающих несанкционированные переводы.

2. Сложная политическая ситуация
Проверка игроков из СНГ по санкционным спискам должна стать приоритетом для компаний, так как существует большое количество попавших под санкции олигархов и политиков, которые пытаются отмывать деньги за рубежом. Как показала утечка файлов из Управления Минфина США по борьбе с финансовыми преступлениями в 2020 году, через крупнейшие международные банки богатые чиновники из постсоветских государств отмыли миллиарды долларов. Среди них советник бывшего президента Украины который попал в санкционные списки ЕС в 2014 году, но продолжал отмывать средства через американские банки вплоть до 2015 года.

3. Ограниченный охват провайдерами, занимающимися борьбой с отмыванием денег
Несмотря на то, что регион хорошо охвачен базами данных — в Беларуси и России это показатель достигает 99%, — многие международные провайдеры, занимающиеся борьбой с отмыванием денег, не имеют доступа к местным базам данных. Поэтому компании должны убедиться, что их провайдер услуг, связанных с проверкой клиентов и борьбой с отмыванием денег, имеет необходимый доступ.

4. Специфические обязательства по защите персональных данных
Компании должны хранить личную информацию пользователей из Казахстана, России и Узбекистана на серверах, расположенных в этих странах. Например, британская компания, регистрирующая клиентов из Узбекистана, не может хранить данные этих пользователей в Великобритании – только в Узбекистане.

5. Нелатинская письменность
В большинстве стран СНГ используется нелатинская письменность, в том числе кириллица (Беларусь, Россия, Украина и др.), грузинская и армянская письменность. Поэтому компаниям приходится прибегать к верификации пользователей с помощью технологии OCR (оптического распознавания текста), которая позволяет обрабатывать и преобразовывать в текст документы, написанные нелатинскими символами.

Теперь давайте более подробно рассмотрим типы удостоверений личности, которые применяются в СНГ, и то, как их проверять.

KYC — Как проверять документы

При регистрации пользователей из СНГ компании должны быть готовы к работе со специфическими видами удостоверений личности. Например, в России и Украине существуют как внутренние паспорта, так и загранпаспорта — система, заложенная еще в советский период. К другим специфическим документам относятся украинское удостоверение личности моряка и удостоверения личности военных в Беларуси, Кыргызстане и других странах-участницах.

Для достижения высоких показателей конверсии компании должны иметь возможность обрабатывать следующие типы документов:

• Внутренние паспорта;
• Загранпаспорта;
• Водительские права;
• Удостоверения личности;
• Документы, удостоверяющие личность военного.

Некоторые документы, удостоверяющие личность (например, старые украинские паспорта), имеют низкую степень защиты и могут быть легко подделаны. На базе опыта работы с компаниями, которые регистрируют сотни тысяч пользователей из СНГ каждый месяц, мы разработали ряд рекомендаций, которые помогут обнаружить документы, в которые вносились изменения:

• Сравните документы с официальными шаблонами. Пользуясь шаблонами официальных документов, убедитесь, что все элементы документа пользователя находятся в нужном месте. Официальные шаблоны загранпаспортов стран СНГ можно найти на сайте PRADO (онлайн-реестр удостоверений личности и загранпаспортов).
• Проверьте защитные элементы. Поскольку человеческий глаз не всегда способен отличить подделку, для просмотра профилей пользователей и распознавания защитных элементов на документах, таких как водяные знаки, голограммы, печати и т.д., рекомендуется использовать системы на базе ИИ.

Как проверять пользователей по базам данных

В большинстве юрисдикций базы данных либо недоступны, либо ненадежны. Однако в СНГ базы данных охватывают до 99% информации (как в случае с Россией), что может оказаться весьма полезно для целей проверки.

Компании могут получить доступ к двум видам баз данных:

1. Базы данных для целей борьбы с отмыванием денег (международные контрольные списки, списки ПЗЛ и санкционные списки, списки нежелательных СМИ и т.д.). Хотя проверка ПЗЛ и санкционных списков в СНГ обязательна (учитывая большое количество коррумпированных чиновников), найти внутренние списки ПЗЛ и санкционные списки чрезвычайно сложно. Поэтому для проверки пользователей из СНГ компаниям стоит ориентироваться на международные списки для борьбы с отмыванием денег, а также перечни нежелательных СМИ.
2. Базы данных для проверки личности (кредитные бюро, государственные и потребительские базы данных). Хотя в некоторых странах СНГ (Армения, Беларусь, Россия и Молдова) разрешено проверять личность пользователей только по государственным базам данных, это не гарантирует необходимой защиты от мошенников.

В целом, проверка по базам данных может быть полезным дополнением к верификации пользователей из СНГ, но компаниям не стоит полагаться только на нее.

Получение доступа к региональной базе данных может оказаться длительным и затратным процессом. Эти расходы связаны не с самим процессом проверки, а с необходимостью учредить юридическое лицо в стране для получения доступа к государственным базам данных. Поэтому работа с поставщиком соответствующих услуг может оказаться более эффективной с точки зрения финансовых и временных затрат.

Как разработать наиболее безопасную процедуру регистрации пользователей из СНГ, KYC

Чтобы обмануть компании, работающие в финансовой сфере, изобретательные мошенники используют не только поддельные документы. Вместо этого они покупают настоящие удостоверения личности в даркнете. Таким образом, даже самые надежные системы не обнаружат ничего подозрительного, потому что никаких манипуляций с документами на самом деле не проводилось.

Поэтому предприятиям стоит разработать комплексную процедуру, которая гарантирует, что верификацию проходит именно настоящий владелец документа. По мнению многих специалистов, наиболее надежными и эффективными являются методы, представленные ниже.

Автоматизированная проверка документов
Внедрите надежную систему, которая проверяет документы и обнаруживает внесенные в них изменения. Обязательно убедитесь, что система может обрабатывать кириллицу, армянское и грузинское письмо. Отдавайте предпочтение автоматизированным решениям, поскольку большинство сервисов в СНГ являются цифровыми, и пользователи привыкли к быстрой удаленной проверке.

Проверка по базам данных
Получите доступ к правительственным базам данных, спискам ПЗЛ, санкционным спискам и внутренним черным спискам других платформ. Поскольку в СНГ действует немало мошенников, подделывающих документы, компаниям стоит дополнительно проводить проверку по базам данных для обеспечения максимальной безопасности при регистрации.

Биометрия лица
Используйте технологию живого пользователя, чтобы убедиться, что верификацию проходит настоящий владелец документа. Она позволит заметить, если мошенники будут использовать маски или дипфейки для прохождения проверки.

В целом, проверка безопасности при регистрации должна представлять собой сочетание нескольких методов, таких как анализ подлинности изображения, проверка по базам данных и проверка биометрии.

Как хранить личные данные пользователей

Напомним, что компании обязаны после проведения KYC хранить личную данные пользователей из Казахстана, России и Узбекистана на местных серверах. Таким образом, если компания регистрирует клиентов из Узбекистана, она должна хранить их данные только в Узбекистане. Игнорировать это требование крайне не рекомендуется, поскольку его несоблюдение может привести к огромным штрафам.

Для хранения данных в соответствующей стране компании могут арендовать местные сервера. Страны СНГ, кроме Казахстана, Узбекистана и России, не требуют хранить информацию на локальных серверах – главное, обеспечить безопасность персональных данных.

Если компания прибегает к услугам провайдера удаленной верификации, такой провайдер обязан:

• Хранить персональные данные пользователей из Казахстана, России, Узбекистана на локальных серверах;
• Входить в национальные реестры компаний, которым разрешена обработка данных (в противном случае провайдеры не смогут обрабатывать персональные данные пользователей в этих странах);
• Использовать системы защиты данных, включая механизмы шифрования данных.

Передача данных пользователей за границу возможна только при наличии письменного согласия пользователя. Однако в ряде стран компании могут передавать данные без предварительного согласия пользователя. К таким странам относятся Германия, Великобритания и другие государства-участники Конвенции о защите физических лиц при автоматизированной обработке персональных данных.

Основные выводы

Компании могут использовать унифицированные процедуры KYC  и регистрации пользователей из СНГ и других стран, поскольку государства региона не предъявляют специфических требований к удаленной верификации.

Во избежание санкций со стороны надзорных органов компании должны обеспечить полное соответствие процесса регистрации установленным требованиям, уделяя особое внимание обязательствам по защите данных, поскольку нарушения в этой сфере могут привести к полному запрету на предпринимательскую деятельность и огромным штрафам.

С учетом того, что случаи коррупции, мошенничества и отмывания денег исключительно распространены в странах СНГ, компаниям рекомендуется использовать комплексный подход, который включает не только проверку документов, но и проверку по базам данным и биометрическую верификацию.

Следуя этим принципам, компании смогут выйти на развивающийся рынок стран СНГ, привлекая все больше клиентов и при этом оставаясь защищенными от мошенников.
Кстати, для тех, кто занимается игорным бизнесом, мы подготовили отдельный гайд по построению ПоД программы для онлайн казино, доступен по данной ссылке.

Юристы Private Financial Services помогают на протяжении многих лет выстраивать внутренние программы и процедуры для различных компаний из разных уголков мира. Если Вам необходимо внедрить принципы «Знай своего клиента» — KYC, в своем бизнеса, в рамках Вашей юрисдикции, то мы с радостью поможем Вам!