EBA richtsnoeren voor onboarding van cliënten op afstand 

De vraag naar tools voor het onboarden of accepteren van klanten op afstand neemt toe. Dit biedt kansen, maar ook extra risico’s op het gebied van Money Laundering & Terrorist Financing (ML/MT risico’s). Dit was voor de Europese Bankenautoriteit (EBA) aanleiding om hier richtsnoeren over uit te vaardigen. Op 2 oktober 2023 treden deze EBA richtsnoeren voor het gebruik van oplossingen voor de acceptatie van cliënten op afstand in werking. 

Waarom EBA richtsnoeren? 

De richtsnoeren stellen normen voor de ontwikkeling en implementatie van beleid en processen voor het initiële klantonderzoek (CDD) in de context van onboarding op afstand. Ze beschrijven de stappen die financiële instellingen moeten nemen bij het kiezen van tools voor de onboarding of acceptatie van klanten op afstand, en bij het beoordelen van de geschiktheid en betrouwbaarheid van dergelijke tools. Zo kunnen instellingen effectief stappen ondernemen om de ML/TF-risico’s te beperken en te voldoen aan hun AML/CFT-verplichtingen –  ook wanneer een financiële instelling het onboarden van klanten uitbesteedt.
 

We zijn momenteel in afwachting van de Nederlandse AFM leidraad. Deze zal waarschijnlijk dit jaar nog gepubliceerd worden. In de aanloop hier naartoe zetten wij alvast uiteen waarmee instellingen rekening moeten houden bij het implementeren van deze Richtsnoeren in hun beleid en procedures. Daarbij komen de volgende punten aan bod: 

• Op wie zijn de richtsnoeren van toepassing? 
• AML/CTF compliance officer als verantwoordelijke partij 
• Beoordelingsproces voorafgaand aan het gebruik van hulpmiddelen 
• Beleid beoordelen en aanpassen (Policy Checklist) 
• Andere aandachtspunten 

Op wie zijn de richtsnoeren van toepassing? 

De richtsnoeren zijn met name gericht tot banken, beheerders van beleggingsinstellingen, beleggingsondernemingen, betaaldienstverleners, financiële dienstverleners, leasemaatschappijen en levensverzekeraars die gebruik (willen) maken van tools bij het onboarden van klanten op afstand. De richtsnoeren zijn dus niet van toepassing op alle Wwft-instellingen.
 

AML/CTF compliance officer verantwoordelijk 

Sinds 1 december 2022 zijn de richtsnoeren over gedragslijnen en procedures betreffende het nalevingsbeheer en de rol en verantwoordelijkheden van de AML/CFT-nalevingsfunctionaris van 14 juni 2022van toepassing op de eerdergenoemde financiële instellingen. Deze richtsnoeren specificeren de rol, taken en verantwoordelijkheden van de AML/CFT-nalevingsfunctionaris, het leidinggevend orgaan en de senior manager belast met de AML/CFT-naleving in het interne beleid, de controlemaatregelen en procedures.
 

De richtsnoeren waar we in dit artikel over schrijven stellen de AML/CTF-nalevingsfunctionaris aan als verantwoordelijke voor de naleving van daarvan. Deze functionaris is verantwoordelijk voor de effectiviteit van het beleid en de procedures, zal dit regelmatig toetsen en indien nodig herzien. Het leidinggevende orgaan keurt goed en ziet toe op juiste uitvoering van beleid en procedures. 

Beoordelingsproces voorafgaand het gebruik van tools 

Wil je een tool of digitale oplossing gebruiken bij de onboarding op afstand? Dan zul je allereerst vooraf moeten beoordelen en vastleggen of de tool aan de onderstaande voorwaarden voldoet. Volgens de richtsnoeren beoordeel je ten minste het volgende: 

• De toereikendheid van de tool met betrekking tot de volledigheid en nauwkeurigheid van de documenten- en gegevensverzameling; 
• De betrouwbaarheid en onafhankelijkheid van de gebruikte informatiebronnen; 

• De impact van het gebruik van de tool op de bedrijfsbrede risico’s (waaronder ML/TF-gerelateerde, operationele, reputatiegebonden en juridische risico’s). Daarnaast stel je mogelijke risicobeperkende en corrigerende maatregelen voor elk vastgesteld risico vast; 
• Frauderisico’s (met inbegrip van imitatierisico’s en andere informatie- en communicatietechnologie- en beveiligingsrisico’s) met behulp van tests (zoals in de EBA-richtsnoeren inzake ICT en risicobeheer op het gebied van veiligheid); 
• De werking van de tool met behulp van end-to-endtests; en 
• 
  De beheersing van de ML/TF-risico’s: deze risico’s kunnen adequaat beheerst en geïntegreerd worden in het bredere internecontrolesysteem. 

Als je tot de conclusie komt dat de tool aan de beoordeling voldoet, mag je de tool gebruiken. 

Wanneer je gebruik wil maken van eIDAS of een soort gelijk systeem hoef je slechts vooraf de impact van de tool op de bedrijfsbrede risico’s te beoordelen en de risicobeperkende en corrigerende maatregelen vast te stellen.
 

Checklist beleid 

Als je voornemens bent de tool te gebruiken bij het onboarden van klanten op afstand die voldoet aan de (minimaal) gestelde eisen, zal je het beleid daarop aan moeten passen. De richtsnoeren beschrijven algemene punten en meer specifieke onderdelen die het beleid in elk geval moet beschrijven. We hebben de punten hieronder in een checklist samengevat:
 

Algemeen
●	Algemene beschrijving van de tool met uitleg over de functies en werking.
●	Situaties waarin de tool kan worden gebruikt, rekening houdend met geïdentificeerde en beoordeelde risk factoren, inclusief beschrijving klantcategorieën, producten en diensten.
●	Onderscheid van stappen in de procedure: welke stappen zijn autonoom en welke vereisen menselijke handelingen?
●	Controlemaatregelen zodat de eerste transactie van een nieuwe klant pas plaatsvindt nadat alle initiële customer due diligence maatregelen zijn uitgevoerd.
●	Beschrijving training en awareness van werknemers.
Continue bewaking
●	Controle van de doorlopende kwaliteit, volledigheid, nauwkeurigheid en geschiktheid van data verzameld (met betrekking tot ML/TF-risico's).
●	Reikwijdte en frequentie van deze beoordelingen.
●	Omstandigheden voor ad-hocbeoordelingen, hoe dan ook:
	●	Veranderingen in ML/TF risk blootstelling;
	●	Tekortkomingen in de werking van tool (bijvoorbeeld aan het licht gekomen tijdens een audit/controle);
	●	Waargenomen toename van pogingen tot fraude;
	●	Veranderingen in wet- of regelgeving.
Identificatie van de klant
●	Informatie die nodig is om de klant te identificeren, inclusief de soorten documenten, data of informatie die je gaat gebruiken om de identiteit van de klant te verifiëren en hoe deze informatie zal worden geverifieerd.
Identificatie van natuurlijke personen
●	Informatie die nodig is om de klant op afstand te identificeren.
●	Een onderscheid met betrekking tot informatie. Een overzicht van welke informatie handmatig wordt ingevoerd door de klant, welke automatisch wordt overgenomen door de documentatie die de klant aanlevert en welke informatie wordt verzameld met behulp van andere interne of externe bronnen.
Identificatie van rechtspersonen
●	Als klanten op afstand rechtspersonen zijn, wordt de categorie rechtspersonen beschreven. Hierbij wordt rekening gehouden met het niveau van ML/TF risk dat bij elke categorie hoort, evenals de mate waarin tussenkomst van medewerkers vereist is om de identificatiegegevens te verifiëren.
Beroep op derden en uitbesteding
●	Een beschrijving van de functies en activiteiten voor klantacceptatie op afstand en wie deze uitvoert: door de financiële instelling zelf, door derden of door een andere uitbestede dienstverlener.

Overige aandachtspunten 

Een aantal punten dat ook aandacht verdient en waarvan de richtsnoeren verwachten dat instellingen hier rekening mee houden, zijn onder andere:
 

• de beoordeling van het doel en de beoogde aard van de zakelijke relatie; 
• de authenticiteit en integriteit van documenten; 

• het matchen van de identiteit van de klant als onderdeel van het verificatieproces; en 
• ICT- en beveiligingsrisico's beheren. 

Hoewel uit de richtsnoeren niet expliciet volgt dat de punten hierboven in het beleid opgenomen moeten worden, raden wij aan om dit wel vast te leggen in procedures en de nodige processen hiervoor in te richten.