立国家联合体(独联体)是世界上最大的地区之一,提供了许多商机。但是,在注册用户时不考虑当地具体情况的公司可能会面临监管机构的制裁。公司可能会被罚款数十万美元或被禁止开展业务。
本文包含来自 CIS 的客户验证 (KYC) 的最佳建议和实用技巧,这将帮助您避免制裁并保护自己免受欺诈计划的侵害。
独联体是一个政府间组织,负责监督十个后苏联加盟共和国之间的经济和政治合作:亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦和乌兹别克斯坦。在本文中,我们还将涉及前独联体成员国格鲁吉亚和乌克兰。
这篇文章是写给谁的?
注册独联体国家客户的公司应牢记参与国打击洗钱和保护个人数据的义务。
所需的合规程度取决于企业是否在独联体注册。如果一家公司在其中一个参与国设立法人实体,则必须完全遵守当地法律。但是,如果一家公司与独联体的客户合作,但未在该地区的任何国家注册,则它必须仅遵守个人数据保护的要求。
为什么在进行 KYC 时考虑 CIS 法律很重要
从不同司法管辖区注册客户和进行 KYC 的单一系统的想法可能对国际公司具有吸引力。但是,无视独联体国家监管要求的公司可能会承担行政和刑事责任。
例如,在乌兹别克斯坦,包括KYC在内的非法数据处理导致禁止创业活动。在白俄罗斯,法律规定以三年监禁的形式进行处罚。而在俄罗斯,由于违反数据处理要求,当局可以放慢甚至封锁公司的网站。如果发生特别严重的违规行为,俄罗斯法律规定最高可处以18百万卢布(超过24万美元)的罚款。
KYC以及如何注册用户
根据独联体国家关于打击洗钱的法律,公司必须识别和核实其客户。所有参与国家/地区都允许远程验证和用户实际在场,并且没有任何独特要求,例如通过自拍或视频进行验证。这意味着公司可以很容易地将独联体国家的客户注册系统与其他司法管辖区的要求相结合。为了降低验证阶段的风险,公司应注意该地区国家固有的五个特征。
1. 欺诈
风险高 在独联体国家,由于该地区的欺诈率很高,因此必须进行客户验证。2020 年,仅在俄罗斯,犯罪分子就通过在线欺诈计划窃取了 20 亿美元。即使是最大的金融平台也会成为骗子的受害者。例如,2020 年,一位著名的摩尔多瓦政治家被指控从摩尔多瓦三大银行挪用 10 亿美元。
在其他常见的欺诈计划中,值得注意的是隐藏国外资金,以及使用允许未经授权转账的支付系统。
2. 困难的政治局势
根据制裁名单检查独联体参与者应该是公司的首要任务,因为有大量受制裁的寡头和政客试图在国外洗钱。正如美国财政部金融犯罪办公室 2020 年泄露的文件所显示的那样,后苏联国家的富有官员通过最大的国际银行洗钱数十亿美元。其中包括乌克兰前总统的顾问,他于2014年被列入欧盟制裁名单,但直到2015年才继续通过美国银行洗钱。
3. 反洗钱
提供商的覆盖范围有限 尽管该地区的数据库覆盖面很广——在白俄罗斯和俄罗斯,这一数字达到 99%——但许多国际反洗钱提供商无法访问本地数据库。因此,公司必须确保其客户尽职调查和反洗钱服务提供商拥有必要的访问权限。
4. 保护个人数据
的具体义务 公司必须将哈萨克斯坦、俄罗斯和乌兹别克斯坦用户的个人信息存储在这些国家的服务器上。例如,一家注册乌兹别克斯坦客户的英国公司无法将这些用户的数据存储在英国——只能存储在乌兹别克斯坦。
5. 非拉丁文字
在大多数独联体国家,使用非拉丁文字,包括西里尔字母(白俄罗斯、俄罗斯、乌克兰等)、格鲁吉亚和亚美尼亚文字。因此,公司必须求助于使用 OCR(光学字符识别)技术进行用户验证,该技术允许您处理用非拉丁字符编写的文档并将其转换为文本。
现在,让我们仔细看看独联体中使用的身份证类型以及如何验证它们。
KYC — 如何验证文件
在注册独联体用户时,公司必须准备好使用特定类型的身份证。例如,在俄罗斯和乌克兰,既有国内护照,也有外国护照——这是苏联时期制定的制度。其他具体文件包括乌克兰海员身份证和白俄罗斯、吉尔吉斯斯坦和其他参与国的军队身份证。
为了实现高转化率,公司必须能够处理以下类型的文档:
- 国内护照;
- 护照;
- 驾照;
- 同上;
- 证明军队身份的文件。
一些身份证件(如旧的乌克兰护照)安全性低,很容易伪造。根据我们与每月从独联体注册数十万用户的公司合作的经验,我们制定了许多建议,可帮助您识别已更改的文档:
- 将文档与官方模板进行比较。使用白皮书模板,确保用户文档的所有元素都位于正确的位置。独联体护照的官方模板可以在PRADO网站(身份证和护照的在线登记)上找到。
- 检查保护元件。由于人眼并不总是能够区分假货,因此建议使用基于人工智能的系统来查看用户配置文件并识别文档上的安全特征,例如水印、全息图、印章等。
如何根据数据库检查用户
在大多数司法管辖区,数据库要么无法访问,要么不可靠。然而,在独联体国家,数据库涵盖了高达99%的信息(如俄罗斯的情况),这对于验证目的非常有用。
公司可以访问两种类型的数据库:
- 用于反洗钱目的的数据库(国际观察名单、政治人物和制裁名单、不良媒体名单等)。虽然必须检查独联体的CPL和制裁名单(鉴于腐败官员人数众多),但很难找到内部政治人物名单和制裁名单。因此,为了验证独联体的用户,公司应关注打击洗钱的国际名单以及不良媒体名单。
- 身份验证数据库(征信机构、政府和消费者数据库)。尽管一些独联体国家(亚美尼亚、白俄罗斯、俄罗斯和摩尔多瓦)允许用户仅通过国家数据库验证用户身份,但这并不能保证对欺诈者提供必要的保护。
一般来说,数据库验证可以成为独联体用户验证的有用补充,但公司不应单独依赖它。
访问区域数据库可能是一个漫长而昂贵的过程。这些费用与核查过程本身无关,而是与在该国建立法人实体以访问政府数据库的需要有关。因此,与服务提供商合作可能更具成本效益和时间效率。
如何开发最安全的程序来注册CIS,KYC的用户
为了欺骗在金融领域运营的公司,有创造力的欺诈者不仅使用伪造文件。相反,他们在暗网上购买真实身份证。因此,即使是最可靠的系统也不会检测到任何可疑的东西,因为实际上没有对文档进行任何操作。
因此,企业应制定全面的程序,确保通过验证的是文件的真正所有者。根据许多专家的说法,下面介绍了最可靠和最有效的方法。
自动文档
审阅 — 实施一个强大的系统来验证文档并检测对文档所做的更改。请务必确保系统可以处理西里尔文、亚美尼亚文和格鲁吉亚文。优先考虑自动化解决方案,因为 CIS 中的大多数服务都是数字化的,并且用户习惯于快速远程验证。
数据库
检查 从其他平台访问政府数据库、PEP 名单、制裁名单和内部黑名单。由于独联体中有许多伪造文件的欺诈者,公司应额外检查数据库,以确保在注册过程中获得最大的安全性。
面部生物识别技术
使用实时用户技术验证文档的真实所有者是否已验证。它可以让您注意到欺诈者是否使用面具或深度伪造来通过检查。
一般来说,注册过程中的安全检查应该是多种方法的组合,例如图像真实性分析、数据库验证和生物特征验证。
如何存储用户的个人数据
回想一下,在KYC之后,公司需要将来自哈萨克斯坦,俄罗斯和乌兹别克斯坦的用户的个人数据存储在本地服务器上。因此,如果一家公司注册了来自乌兹别克斯坦的客户,则必须仅在乌兹别克斯坦存储其数据。强烈建议不要忽视这一要求,因为不遵守可能会导致巨额罚款。
公司可以租用本地服务器来存储各自国家/地区的数据。除哈萨克斯坦、乌兹别克斯坦和俄罗斯外,独联体国家不需要在本地服务器上存储信息——主要是确保个人数据的安全。
如果公司使用远程验证提供商的服务,则此类提供商有义务:
- 将哈萨克斯坦、俄罗斯、乌兹别克斯坦用户的个人数据存储在本地服务器上;
- 被列入允许处理数据的公司的国家登记册(否则,提供商将无法处理这些国家/地区用户的个人数据);
- 使用数据保护系统,包括数据加密机制。
只有在用户书面同意的情况下,才能将用户数据传输到国外。但是,在某些国家/地区,公司可能会在未经用户事先同意的情况下传输数据。这些国家包括德国、英国和《关于个人数据自动处理保护个人公约》的其他国家。
主要发现
公司可以对独联体和其他国家/地区的用户使用统一的 KYC 和注册程序,因为该地区的州对远程验证没有具体要求。
为了避免监管机构的制裁,公司必须确保注册过程完全合规,特别注意数据保护义务,因为违反这一领域可能导致完全禁止商业活动和巨额罚款。
鉴于腐败、欺诈和洗钱案件在独联体国家极为普遍,建议公司采用综合方法,不仅包括文件验证,还包括数据库验证和生物特征验证。
通过遵循这些原则,公司将能够进入独联体国家的新兴市场,吸引越来越多的客户,同时免受欺诈者的侵害。
顺便说一句,对于那些从事赌博业务的人,我们准备了一份关于如何为在线赌场构建 PoD 程序的单独指南,可在此链接中找到。
多年来,我们的律师一直在帮助来自世界各地的各种公司建立内部计划和程序。如果您需要在您的业务中、在您的管辖范围内实施“了解您的客户”——KYC 的原则,那么我们将很乐意为您提供帮助!