Seit einiger Zeit entsprechen die Online-Identitätsprüfungen, die die Identifikation von Kunden durch die Aufnahme von Bildern ihrer Ausweisdokumente und Selfies zu Verifizierungs- und Identifizierungszwecken ermöglichen, nicht mehr den Vorschriften bezüglich Terrorismusfinanzierung und Geldwäsche (AML, Geldwäschebekämpfung), insbesondere im Finanzsektor.
In diesem Artikel wird erläutert, warum diese Art von Selfie-Ident Verfahren mit FotoID zur Nutzerverifizierung nicht die KYC-Verfahren und AML-Vorschriften bezüglich Onboarding und Authentifizierung von Kunden erfüllt.
DIE 3 SICHERHEITSSTUFEN FÜR DIE REGISTRIERUNG UND DEN IDENTITÄTSNACHWEIS BEI KYC
Um zu verstehen, warum FotoID und Selfie-Ident zur Verifizierung und Authentifizierung nicht als sichere Lösungen für risikoreiche Vorgänge akzeptiert werden, müssen wir die drei Sicherheitsstufen für die Erfassung und den Identitätsnachweis verstehen.
In Anbetracht der zahlreichen Betrugsfälle bei KYC/AML-Prozessen hat das US-Handelsministerium über das National Institute of Standards and Technology (NIST) eine Grundlage für die digitale Identitätsprüfung (NIST SP 800- 63A) definiert, die drei Sicherheitsstufen für die Registrierung und den Identitätsnachweis vorsieht, die in niedrig (IAL1), mittel (IAL2) und hoch (IAL3) unterteilt werden.
Die höchste Stufe (IAL3) entspricht der persönlichen Identifikation und ist für die Online-/Remote- Kontoerstellung geeignet. Diese Stufe erfordert menschliches Eingreifen und eine hochauflösende kontinuierliche Videoübertragung. Daher ist eine Selfie-Verifizierung nicht zulässig.
Lösungen, die Bilder/Selfies erlauben, falls sie mit anderen starken Beweisen bezüglich der Identität einer Person kombiniert werden, zusätzlich zu Bildern oder Scans von Personalausweisen und der Aufnahme des Gesichtes der Person haben eine mittlere Sicherheitsstufe (IAL2). Starke Beweise sind in der Regel Rechnungsformulare, ein Adressnachweis oder Hintergrundinformationen über die Identität der entsprechenden Person.
Die zweite Stufe ist unsicher, ineffizient und unzuverlässig. In der Europäischen Union sind diese Methoden aus Gründen des Schutzes der Privatsphäre und der Sicherheit aus vielen Gründen und auf jeder Risikostufe nicht zulässig. Darüber hinaus stellt die Schwierigkeit der Verarbeitung personenbezogener Daten, selbst wenn sie öffentlich sind, ein Problem für die Einrichtungen dar, die diese Daten mit der ausdrücklichen Zustimmung der betroffenen Personen verarbeiten.
Für die niedrigste Stufe (IAL1) ist keine Beweiserhebung, Validierung, Verifizierung oder biometrische Erfassung notwendig. Das bedeutet, dass es bei IAL1 nicht notwendig ist, den Nutzer mit einer bestimmten Echtzeit-Identität zu verknüpfen, und dass die selbst bestätigten Attribute weder validiert noch verifiziert werden müssen. Mit anderen Worten: IAL1 erfordert keine Überprüfung der Angaben und Attribute, die der Nutzer dem Anbieter von Berechtigungsnachweisen zur Verfügung stellt, und ist daher nur für Operationen mit geringstem Risiko geeignet.
2 GRÜNDE, WARUM FOTOID UND SELFIE-IDENT NICHT MIT DER IDENTITÄTSPRÜFUNG UND DEN KYC-STANDARDS KONFORM SIND
Einerseits führen das niedrige technische Sicherheitsniveau, die Mängel des elektronischen Nachweises beim KYC (Know Your Customer)-Prozess und die geringe Zuverlässigkeit der Verifizierung mit Selfie-Ident in Verbindung mit ihrer mangelnden Integrität dazu, dass diese Art von Lösungen nicht die von gesetzlichen Vorschriften erfüllen.
Andererseits ist das Sicherheitsniveau bei der Identifizierung und Identitätsprüfung durch Selfie-KYC-Lösungen unzureichend und weit von den erforderlichen Standards für die formelle Kundenidentifikation gemäß den anspruchsvollsten Vorschriften in diesem Bereich entfernt. Daher sind bei KYC/AML-Prozessen höhere technische Anforderungen notwendig als bei Selfie-Ident Verfahren.
Laden Sie sich diesen Leitfaden herunter, um zu erfahren, welche Lösungen KYC/AML-konform sind.
AML & EIDAS SCHLIESSEN DAS KYC-SELFIE IDENT VERFAHREN ALS LÖSUNG FÜR EINE STARKE IDENTITÄTSPRÜFUNG AUS
Wie bereits erwähnt, gibt es in Europa keine Identifikationsverfahren ohne Gesichtserkennung, die den Einsatz von Selfie-Identifizierungslösungen für KYC erlauben, insbesondere in stark regulierten Branchen. Wirtschaftssektoren, die durch die AML- und eIDAS-Verordnungen geregelt sind.
Die AML5-Richtlinie und die eIDAS-Verordnung für Vertrauensdienste bilden den rechtlichen Rahmen für KYC/AML-Prozesse in Europa. Die erste stützt sich auf den eIDAS-Sicherheitsrahmen für die Remote-Identifikation von Kunden.
Die Kombination aus beidem schafft einen einzigartigen Rechtsrahmen, der Selfies untersagt und die Einführung von Video-Identifikationslösungen für neue Vertragsabschlüsse und Kontoeröffnungen ermöglicht, die vollständig online und sicher sind und somit den europäischen digitalen Binnenmarkt homogenisieren.
Allerdings gab es bereits vor dem Inkrafttreten von AML5 und eIDAS in vielen Mitgliedstaaten der Europäischen Union Vorschriften über die Autorisierung für die Identifizierung ohne persönliche Präsenz, die die Videostreaming-Technologie erlauben.
Daher arbeitet die Europäische Kommission seit mehr als zwölf Jahren an der Entwicklung geeigneter Lösungen, die eIDAS entsprechen und die notwendigen Sicherheitsniveaus bei der elektronischen Identifikation und der elektronischen Signatur erfüllen.
Gleichzeitig legt eIDAS auch verschiedene Sicherheitsstufen (von niedrig über erheblich bis hoch) für dieelektronische Identifikation und die elektronische Signatur fest, die denen des NIST ähneln.
Ebenso stützt sie sich auf lokale Normungsgremien und Konformitätsbewertungsstellen (KBS). Die KBS führen ein Audit durch und erstellen einen Konformitätsbewertungsbericht, um sicherzustellen, dass eine Videoidentifizierungslösung gültig ist. Nehmen wir zum Beispiel an, Sie möchten eine KYC/AML-Lösung einführen. In diesem Fall müssen Sie vom Softwareanbieter einen Konformitätsbewertungsbericht anfordern, der bestätigt, dass Ihre Lösung geprüft und zertifiziert wurde und eIDAS/AML konform ist.
Darüber hinaus haben einige Länder, darunter auch Deutschland, zusätzliche Leitlinien entwickelt. Zum Beispiel die Technische Richtlinie TR-03147. Diese Richtlinie legt Sicherheitsmaßnahmen für die Remote-Identifizierung von Kunden ausschließlich per Video und Ausweisdokument fest.
VERMEIDUNG VON SELFIE-IDENT FÜR KYC UND IMPLEMENTIERUNG EINER SICHEREN VIDEO-IDENTIFIZIERUNGSLÖSUNG
Videostreaming wird zum Standard bei der Online-Kundenidentifikation, weil es eine reibungslose Nutzererfahrung bietet, sicher und digital automatisiert ist. Infolgedessen gibt es zwei Lösungsmodelle:
- Synchrone Lösungen: Diese führen die Identifizierung per Videokonferenz durch, die von einem Agenten geleitet wird, der die Online-Kundenbefragung, die Identitätsprüfung und die Dokumentenprüfung durchführt.
- Asynchrone Lösungen: Der gesamte Identifizierungsprozess wird durch eine Videoaufzeichnung mit Streaming durchgeführt, die für den Nutzer und das Unternehmen automatisch ist und die Verwaltung und Integrität des Videoaufzeichnungsprozesses durch die verpflichtete Person und die anschließende Offline-Verifizierung durch einen qualifizierten Mitarbeiter garantiert.
Beide Lösungen können je nach Bedarf kombiniert werden. In der Regel werden Videokonferenzen (synchron) für einen beratenden Vertrieb eingesetzt, um neue Kunden zu gewinnen. Andererseits wird die asynchrone Videoidentifizierung immer häufiger bei Kundenakquisitionsprozessen eingesetzt, die Flexibilität und ein schnelles und reibungsloses Erlebnis erfordern, aber genauso sicher sind wie die Face-to-Face Identifikation (z. B. bei der Online-Kontoeröffnung). Ein Beispiel für eine sichere und unkomplizierte Lösung ist VideoID.
VideoID ermöglicht auch die Ausstellung eines qualifizierten elektronischen Zertifikats. Damit können Nutzer und Unternehmen alle sehr risikoreichen Vorgänge online abwickeln, von der Unterzeichnung einer Hypothek bis zur Eröffnung eines Bankkontos, und zwar mit der gleichen Rechtsverbindlichkeit wie mit der handschriftlichen Signatur.
Entdecken Sie das einzige rechtsverbindliche digitale Onboarding, das europaweit völlig konform und mit umfassender Sicherheit funktioniert.