«وحدة مكافحة غسل الأموال بالبنك المركزى المصري» تُصدر تعليمات جديدة لتحديث بيانات عملاء البنوك باستخدام التوكيلات الإلكترونية
كتب:مصطفى عيد
أصدرت وحدة مكافحة غسل الأموال وتمويل الإرهاب التابعة للبنك المركزي المصري، “اشتراطات تحديث البيانات والمعلومات والمستندات باستخدام التوكيلات واشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية لعملاء البنوك” بعد اعتمادها من مجلس أمناء الوحدة، وتمثل هذه الاشتراطات جزء مكمل لإجراءات العناية الواجبة بعملاء البنوك.
مكافحة غسل الأموال
وتأتي هذه الاشتراطات بمبادرة من الوحدة في إطار جهودها المستمرة لإيجاد حلول للتحديات التي تواجه البنوك فيما يتعلق قيامها بتحديث بيانات العملاء، وفي إطار التطوير المستمر للتعليمات الرقابية ذات الصلة بمنظومة مكافحة غسل الأموال وتمويل الإرهاب التي تدخل ضمن اختصاص الوحدة.
جدير بالذكر أنه تم التنسيق والتشاور بشأن هذه الاشتراطات مع قطاعات البنك المركزي المصري المعنية في إطار التعاون المستمر بين الوحدة والبنك المركزي المصري.
الاشتراطات
وتضمنت الاشتراطات، أن تقتصر خدمة التحديث باستخدام التوكيلات على العملاء من الأشخاص الطبيعيين فقط، وألا يكون العميل ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري في ٤ أغسطس ۲۰۲۱، وأية تعديلات أخرى تصدر عليها.
تقييم المخاطر
كما شملت أن يتم تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك، وكذا وضع الإجراءات اللازمة لتقديم هذه الخدمة ومراجعة كافة تلك الإجراءات من قبل مسئول الالتزام بالبنك للتأكد من توافقها مع القوانين والتعليمات ذات الصلة، واعتمادها من قبل البنك، قبل إطلاق الخدمة المذكورة، على أن تقع المسئولية النهائية المتعلقة بتقديم هذه الخدمة على عاتق البنك.
ونص البند على ضرورة إعداد قائمة الشروط والأحكام لتقديم هذه الخدمة تتضمن المخاطر المترتبة عليها، والإرشادات الواجب اتباعها، ومسئوليات كل من العميل ووكيله، وعند البدء في تقديم الخدمة يتعين حصول البنك على موافقة الوكيل على هذه القائمة، وإخطار العميل بها باستخدام قناتين من قنوات الاتصال المشار إليها في البند (۱۰) من هذه الاشتراطات.
التوكيل
وأن يكون التوكيل سواء التوكيل المصرفي، أو الصادر عن مصلحة الشهر العقاري والتوثيق، أو المعتمد من وزارة الخارجية المصرية مستوفي الشروط اللازمة، ومنصوص فيه صراحة على صلاحية الوكيل في القيام بتحديث البيانات والمعلومات والمستندات التي حصل عليها البنك عند تطبيق إجراءات العناية الواجبة مع الاطلاع على أصل التوكيل بخلاف التوكيل (المصرفي والتأكد من خلوه من مظاهر توحي بالعبث به، والحصول على صورة منه وتوقيع الموظف المختص عليها بأنها صورة طبق الأصل.
وتضمنت الاشتراطات ضرورة الحصول من الوكيل على إقرار بأن التوكيل ساري المفعول، وأن الموكل لا يزال على قيد الحياة، وذلك عند كل عملية تحديث.
تحديث البيانات والمعلومات
واشترطت وحدة مكافحة غسل الأموال وتمويل الإرهاب أن يكون تحديث البيانات والمعلومات والمستندات عن طريق الوكيل، وفقًا لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم (۳) من هذه الاشتراطات، مع التحقق من صحة ما يقدمه الوكيل من بيانات ومعلومات ومستندات في إطار عملية التحديث، باستخدام مصادر موثوق فيها ومستقلة بما فيها الاطلاع على المستندات الأصلية والتأكد من خلوها من مظاهر توحي بالعبث بها، والحصول على صور ضوئية واضحة منها، وتوقيع الموظف المختص على كل منها بأنها صورة طبق الأصل.
وتضمنت الاشتراطات أنه في حالة وجود شك لدى البنك في صحة ما يفيد به الوكيل أو ما يقدمه من بيانات ومعلومات ومستندات أثناء تنفيذ الخدمة، أو في أي حالات أخرى يحددها البنك، يتعين عليه اتخاذ تدابير إضافية، مثل التحقق من أن العميل لا يزال على قيد الحياة، ومن سريان التوكيل، ويمكن أن يتم ذلك من خلال ما يلي، على سبيل المثال لا الحصر التواصل مع العميل دون طلب أي بيانات لها صفة السرية، وتوجيهه للقيام بنفسه بالاتصال الهاتفي على مركز الاتصال الخاص بالبنك على أن يكون هذا الاتصال مسجلا مع علم العميل بذلك.
مصلحة الأحوال المدنية
وتضمنت الاشتراطات ضرورة الدخول على قاعدة بيانات مصلحة الأحوال المدنية للتحقق من البيانات الشخصية وبيانات أحدث بطاقة، والتحقق من أن العميل لا يزال على قيد الحياة، وأن يتم الدخول على بوابة مصر الرقمية أو الاتصال بمصلحة الشهر العقاري والتوثيق للتحقق من سريان التوكيل.
اتخاذ تدابير اضافية
وبحسب الكتاب الدوري، فإنه في حالة التحقق من صحة البيانات والمعلومات والمستندات المقدمة من الوكيل ومن صحة ما يفيد به حال اتخاذ التدابير الإضافية المشار إليها في البند (۹) من هذه الاشتراطات، ينبغي على البنك تسجيل ما تم تحديثه من بيانات ومعلومات ومستندات على قاعدة البيانات لديه، وإخطار العميل به (دون الإفصاح عن تفاصيله وبإتمام عملية التحديث عن طريق الوكيل بنجاح، باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المختلفة المقررة من قبل العميل الواردة بتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ٢٨ مارس ۲۰۲٤ بشأن الضوابط الخاصة بتحديث بيانات العملاء.
ووفق الاشتراطات، فإنه في حالة التحقق من وفاة العميل يتعين على البنك عدم إتمام عملية التحديث، وفي حالة التحقق من عدم سريان التوكيل أو عدم صحة ما يفيد به الوكيل بشأن البيانات والمعلومات والمستندات المطلوب تحديثها، ويتعين على البنك عدم إتمام عملية التحديث مع إخطار العميل بذلك باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المشار إليها في البند (۱۰) من هذه الاشتراطات والنظر في تطبيق البند (٤-١٦) من الأحكام العامة من إجراءات العناية الواجبة بعملاء البنوك الصادرة عن الوحدة في فبراير ٢٠٢٠.
آلية تتبع
وطالبت وحدة مكافحة غسل الأموال وتمويل الإرهاب بوجود آلية تمكن البنك من تتبع التغييرات التي تمت نتيجة عملية التحديث وتاريخ التحديث والقائم به، وأن يُطبق على الوكلاء عند قيامهم بالتحديث ذات إجراءات العمل الداخلية التي يطبقها البنك على العملاء عند قيامهم بأنفسهم بعملية التحديث.
التدريب والدعم
واشترطت الوحدة ضرورة توفير التدريب والدعم اللازمين لممثلي البنك، بما يشمل خدمة العملاء، والمكاتب الأمامية، ومركز الاتصال لاستيعاب متطلبات تقديم هذه الخدمة والإلمام الشامل بها للرد على أسئلة واستفسارات العملاء بخصوصها، مع الالتزام بأية قواعد أو تعليمات أو اشتراطات أخرى تصدر عن البنك المركزي المصري أو وحدة مكافحة غسل الأموال وتمويل الإرهاب تتعلق باستخدام التوكيلات أو بتقديم هذه الخدمة.
وطالبت الوحدة بتطبيق كافة متطلبات مكافحة غسل الأموال وتمويل الإرهاب، بما يشمل تطبيق ما يلزم من إجراءات العناية الواجبة على الوكيل.
تحديث البيانات
وفيما يتعلق بالمحور الثاني والذي يخص اشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية، فإنها نصت على أنه مع عدم الإخلال بأحكام أي من القوانين ذات الصلة بتنظيم استخدام الوسائل الإلكترونية (مثل قانون التوقيع الإلكتروني) والقواعد الصادرة عن البنك المركزي المصري (مثل القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر ٢٠١٤ والتحديثات ذات الصلة)، وتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ۲۸ مارس ۲۰۲۰ بشأن الضوابط الخاصة بتحديث بيانات العملاء، يتعين على البنوك الالتزام بالاشتراطات التالية عند تحديث البيانات والمعلومات للعملاء (سواء أشخاص طبيعيين أو أشخاص اعتبارية أو ترتيبات قانونية باستخدام الوسائل الإلكترونية).
وتضمنت الاشتراطات ألا يكون العميل ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري
في ٤ أغسطس ۲۰۲۱، وأية تعديلات أخرى تصدر عليها.
ونصت الاشتراطات على ضرورة تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك،
ووضع الإجراءات اللازمة لتقديم هذه الخدمة، ومراجعة كافة تلك الإجراءات من قبل مسئول الالتزام بالبنك للتأكد من توافقها مع القوانين والتعليمات ذات الصلة، واعتمادها من قبل البنك، وذلك قبل إطلاق الخدمة المذكورة، على أن تقع المسئولية النهائية المتعلقة بتقديم هذه الخدمة على عاتق البنك.
وطالبت الوحدة بإعداد قائمة الشروط والأحكام لتقديم هذه الخدمة تتضمن المخاطر المترتبة عليها، والإرشادات الواجب اتباعها، ومسئوليات العميل، وعند البدء في تقديم الخدمة يتعين حصول البنك على موافقة العميل على هذه القائمة، مع وضع خطط وآليات التأمين الخاصة بالبيانات والمعلومات والوسائل الإلكترونية وضمان عدم التلاعب بها.
ونصت الاشتراطات على ضرورة إتاحة البنك وسيلتين من وسائل المصادقة الثنائية “Two-Factor Authentication” وفقاً لما تم النص عليه بشأن وسائل المصادقة الثنائية الصادرة في القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر ۲۰۱٤ والتحديثات ذات الصلة، عند تحديث البيانات والمعلومات من خلال الوسائل الالكترونية.
وقال الكتاب الدوري إن تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية يجب أن يكون وفقًا لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم (۲) من هذه الاشتراطات في الحالات التي يفيد فيها العميل بعدم وجود أي تغيير في البيانات والمعلومات والمستندات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة عند حلول موعد التحديث مع استمرار سريان مستند تحقيق الشخصية.
ضوابط قوية
وطالبت وحدة مكافحة غسل الأموال وتمويل الإرهاب بضرورة تنفيذ ضوابط وصول قوية لتقييد الوصول إلى بيانات العملاء للموظفين المصرح لهم فقط، ويتضمن ذلك آليات مصادقة المستخدم مثل كلمات المرور القوية، والمصادقة متعددة العوامل، وعناصر التحكم في الوصول المستندة إلى الأدوار (RBAC) للحد من امتيازات الوصول بناءً على الأدوار والمسؤوليات الوظيفية.
تخزين البيانات
وفيما يتعلق بالتخزين الآمن، تضمنت الاشتراطات أنه يجب تخزين البيانات والمعلومات في بيئات، آمنة ماديًا وإلكترونيا، ويجب أن يكون الوصول إلى مناطق التخزين المادية مقيدًا مع وضع ضمانات قوية ضد السرقة أو الدخول غير المصرح به ويجب أن يستخدم التخزين الإلكتروني خوادم وقواعد بيانات وأنظمة ملفات آمنة مع ضوابط الوصول والمراقبة المناسبة.
وقالت الوحدة إن تقليل البيانات Data Minimization يتم فقط جمع بيانات العملاء الضرورية لعملية تحديث البيانات والمعلومات والاحتفاظ بها وذلك للحد من مخاطر الوصول غير المصرح به وللخفض من التأثير في حالة حدوث خرق لهذه للبيانات.
فصل البيانات
وعن فصل البيانات، تضمنت الاشتراطات وجوب أن يتم فصل البيانات والمعلومات عن الأنظمة أو قواعد البيانات الأخرى لتقليل مخاطر الوصول غير المصرح به والتي تساعد على احتواء التأثير المحتمل لأي حادث أمني والحد من المخاطر المرتبطة به.
وفيما يتعلق بالنسخ الاحتياطية للبيانات فإنه يجب القيام بإجراء نسخ احتياطية منتظمة للبيانات لضمان توفرها وسلامتها على أن يتم تخزين النسخ الاحتياطية بشكل آمن واختبارها بشكل دوري لضمان إمكانية استعادة البيانات عند الحاجة.
الممارسات العالمية
وعند النقل الآمن يجب الالتزام باستخدام بروتوكولات تأمين حديثة طبقا للممارسات العالمية المتبعة عند نقل البيانات عبر شبكات الانترنت أو عند الاستعلام عن البيانات من خلال الربط مع قاعدة بيانات مصلحة الأحوال المدنية مما يمنع الاعتراض والوصول غير المصرح به لهذه البيانات والمعلومات.