Anpassung an neue FMA-Forderungen in Österreich: Was wichtig zu wissen ist und wo Risiken verborgen sind
Im November 2021 veröffentlichte jedoch die Österreichische Finanzmarktbehörde FMA neue Online-Identifizierungsverordnung, die eine vollständige Automatisierung der biometrischen Verfahren zur Identitätsprüfung nach dem österreichischen Finanzmarkt-Geldwäschegesetz ermöglichte. Das bedeutet, dass Banken, Finanzinstitute und andere Organisationen, die den AntiGeldwäsche-Regeln (AML) unterliegen, jetzt zusätzlich zur Videoidentifikation eine biometrische Identitätsprüfung für die Online-Registrierung von Kunden verwenden können.
Während der nächsten neun Monaten der Regulator neue Information über NFC und ID ohne elektronische Signatur zur Verfügung stellen. Jedoch können die Unternehmen, die die beiden Sachen schon haben, schon jetzt sich für biometrische Identifizierung entscheiden. Darum ist es so wichtig, alle Anforderungen und Einschränkungen der Regulierungsbehörde rechtzeitig aufzuklären und zu verstehen, welche Risiken es heute für den Finanzsektor auf dem Weg der Digitalisierung der Online-Identifikation gibt.
Wen betrifft die FMA-Änderung?
Die FMA ist die Finanzmarktaufsichtbehörde. Die letzten Änderungen betreffen das KYCVerfahren, das regulierte Unternehmen durchführen müssen, um Bußgelder und Lizenzprobleme zu vermeiden. Das heißt, es handelt sich um Finanzdienstleister, Kreditinstitute, Kryptowährungsanbieter. Wir definieren diese Unternehmen relativ als Finanzdienstleister.
Was sind die letzten Anforderungen der Regulierungsbehörde ?
Im allgemeinen erlaubte die FMA die Verwendung von biometrischen Identifizierungsverfahren ohne oder mit minimaler menschlicher Beteiligung und ermöglichte die Durchführung eines Onboardingverfahrens ohne Videoüberprüfung. Die Videoüberprüfung für primäre Identifizierung des Benutzers war die letzte fortschrittlichste erlaubte Methode war. Bisjetzt bestehen die Aufsichtsbehörden einiger europäischer Länder, insbesondere der BaFIN in Deutschland auf diesem Verfahren aufgrund des vergleichsweise hohen Sicherheitsgrades. Dieses Verfahren ist jedoch für viele Unternehmen sehr kostspielig. Dabei ist es wichtig, eine niedrige Onboarding-Rate und eine niedrige Conversion-Rate zu beachten. Das ist besonders wichtig für kleine Unternehmen, die um ihre Kunden konkurrieren.
Zunächst muss man verstehen, was für die Online-Identifizierung im Zusammenhang mit den neuesten Änderungen erforderlich ist.
Erstens ist es notwendig, einen offiziellen Personalausweis mit einem Foto zu haben. Dieses Dokument muss optische Schutzelemente enthalten, die zumindest mit holografischen Elementen zusammenpassen. An diesem Punkt könnte es schwierig sein, die neue Identitätsmethode einzuführen, aber später mehr dazu.
Zweitens ist ein Screenshot der visuellen Komponente des Identifizierungsprozesses erforderlich. Die Qualität der Bilder muss den Prüfstandards entsprechen. Es ist wichtig, diese Screenshots zu speichern. Wenn der Benutzer jedoch während der Identifizierung eine elektronische Signatur nach allen Standards und einen entsprechenden Lichtbildausweis verwendet, wie oben erwähnt, ist es nicht erforderlich, diese Screenshots zu speichern.
Drittens ist die Anwesenheit eines Datenverarbeiters zu erwähnen. Darunter versteht man eine natürliche oder juristische Person, eine staatliche Behörde oder eine Agentur, die personenbezogene Daten verarbeitet. Es ist jedoch wichtig zu beachten, dass der Prozess der automatischen Online-Identifizierung mit Beteiligung der Dritte einschließlich davon ausgeht, dass die Person entweder teilweise oder vollständig am Prozess nicht beteiligt ist. Es ist wichtig, um Prozesse zu automatisieren und die Kosten für das Verfahren zu senken. Hier kommt die KI (Künstliche Intelligenz) zum Ersatz des Menschen als Informationsprozessor.
Wie funktioniert das Verfahren der biometrischen Identifizierung
Vor der Annahme der Änderungen führten Finanzdienstleister eine Überprüfung der Benutzer durch die Betreiber durch, was lange und teuer war. Jetzt können sie Kunden durch automatisierte Online-Identitätsprüfungsverfahren ohne oder mit minimaler menschlicher Beteiligung gewinnen.
Dieses Verfahren beinhaltet eine Präsenzprüfung (ein mehrstufiger Prozess, der die Lebendigkeit einer Person überprüft), das Sammeln von Daten über eine elektronische Signatur durch Verwendung einer ID mit einem NFC-Chip (das ist noch einmal wichtig zu betonen) anstelle von Screenshots des Identifizierungsverfahrens und die Zustimmung zur Verarbeitung der Daten. Der Prozess muss auch technologisch fortgeschritten sein und die Sicherheitsanforderungen erfüllen.
Die Präsenzprüfung oder eine "Lebendigkeitsprüfung" kann sowohl aktiv als auch passiv sein. Bislang hat die FMA jedoch keine Aufklärung über das passive Prüfverfahren gegeben. Für eine aktive Prozedur bewegt der Kunde den Kopf in die Kamera und zeigt sein Gesicht. Auf Anfrage spricht oder gibt der Benutzer eine ID-Nummer ein. Darunter sind Symbole oder Wörter mit einer Länge von mindestens vier Zeichen gemeint, die automatisch vom Finanzdienstleister generiert werden. Der Kunde erhält den Code per SMS und gibt ihn in die entsprechende Zeile ein. Als nächstes erfolgt die Zuordnung. Der gesamte Verifizierungsprozess wird fixiert. Dann folgt das Verifizierungsverfahren über NFC. Dazu muss der Personalausweis mit einem elektronischen Chip (NFC-Chip) versehen sein. Um die Gültigkeit eines Dokuments zu überprüfen, muss es beispielsweise über einen NFC-Leser am Telefon gelesen werden. Genau darin besteht das Problem: in der Verbreitung solcher Identitätstypen, der Verfügbarkeit von Geräten, die den Anforderungen entsprechen und der Verfügbarkeit entsprechender Software und Updates.
Der Regler empfiehlt selbst, alle Phasen der Identifizierung zu erfassen. Natürlich gibt es Anforderungen an die Einhaltung des “modernen technologischen Niveaus", damit das Verfahren aus Sicherheitsgründen nicht dem Prozess der menschlichen Identifizierung unterliegt. Der Regler selbst empfiehlt jedoch, eine Art Backup zu erstellen.
Was ist wichtig zu beachten
Um sich an die neuen Anforderungen anzupassen, ist es wichtig, die Risiken zu bannen. Das bedeutet, die Identifizierungsschritte aufzeichnen und speichern, auf
Anforderungsaktualisierungen achten, die Software regelmäßig aktualisieren und sicherstellen, dass das Unternehmen, das sich mit der Identifizierung befasst, die Anforderungen der FMA erfüllt.
Die Probleme im Jahr 2022
Die FMA hat für Anpassung an die neuen Anforderungen eigentlich eine Frist bis zum 31. Dezember 2022 gegeben. Die Herausforderungen auf dem Weg zur Digitalisierung der OnlineIdentitätsprozesse werden jedoch noch lange andauern. Diese Probleme sind sowohl mit der Anpassung sowohl der Finanzdienstleister, als auch der Kundenseite verbunden. Es geht um die geringe Nutzung von FMA entsprechenden Personalausweisen mit NFC-Chips. Das gilt sowohl für österreichische Staatsbürger als auch für Nutzer mit ausländischer ID. Die Firmen können viele Kunden verlieren, weil es für einige Nutzer kompliziert ist, den mehstufigen Verifizierungsprozess durchzuführen.
Darüber hinaus wird für diese Art der Identifizierung, basierend auf den aktuellen Erklärungen der FMA, entweder ein Handy mit NFC-Lesefunktion oder eine Drittanbieter-App für diese Identifizierung benötigt. Das alles zusammen wirkt negativ auf die Benutzererfahrung. Obwohl die FMA eine Übergangszeit bis zum 31. Dezember 2022 vorgesehen hat, deutet der allgemeine Trend darauf hin, dass es wesentlich länger dauern wird, um die Prozesse der biometrischen Identifizierung von Nutzern auf dem Finanzmarkt zu regeln.
Wie kann man sich an die neue Realität anpassen?
Natürlich trägt die Einführung neuer Technologien und Ansätze von der Online-Identifizierung trotz der Einschränkungen zur Entwicklung des Finanzmarktes bei. Bedeuten die erwähnten Probleme, dass Unternehmen keine neuen Ansätze einführen sollten? Nein, im Gegenteil. Das Unternehmen muss einen Schritt voraus sein und sich im Voraus auf neue Methoden zur Verifizierung und Identifizierung von Benutzern vorbereiten, auch wenn die Benutzer selbst die neuen Technologien langsam annehmen. Natürlich werden die alten Methoden der Videoüberprüfung nicht gleichzeitig in Vergessenheit geraten, sie werden auf dem Finanzmarkt für eine lange Zeit verwendet. Letztlich gewinnt jedoch derjenige, der vorbereitet ist.
Autorin: Julia Bondarenko, die Leiterin der regionalen Geschäftsentwicklung bei Sumsub
Sumsub
Scharnhorststrasse 8B
10115 Berlin
Telefon: +44 (20) 38827770
http://sumsub.com
E-Mail: dach@bmb-agency.com