«بنك الكويت المركزي»: مراقبة مستمرة لمعاملات عملاء «الدفع الإلكتروني»
شدد البنك المركزي في تعميمات جديدة على مقدمي خدمات الدفع الإلكتروني والنقود الإلكترونية بإعداد دراسة لتقييم مخاطر غسيل الاموال وتمويل الارهاب وتحديثها كل عامين، وأن تتناول الدراسة طبيعة المخاطر المرتبطة بالعملاء والمنتج أو الخدمة سواء الجاري تقديمها أو أي خدمات يتم استحداثها مستقبلا ويزمع تقديمها، يأتي ذلك إلى جانب المراقبة المستمرة لمعاملات العميل والتي يتعين معها وضع الاجراءات والنظم التي تكفل المتابعة المستمرة للمعاملات المنفذة، للتأكد من أنها تتماشى مع المعلومات المتوافرة عنه والمخاطر المحددة له.
يأتي ذلك في إطار تعميمات حديثة حصلت «الأنباء» على نسخة منها، والتي أصدرها محافظ بنك الكويت المركزي باسل الهارون، بشأن مكافحة غسيل الأموال وتمويل الإرهاب والحد الأدنى لمتطلبات الأمن السيبراني واستمرارية الأعمال لمقدمي خدمات الدفع الإلكتروني ومقدمي خدمات النقود الإلكترونية. وأفاد الهارون في التعميم الأول الذي صدر تحت رقم (2/ر ك/529/2023) بأن مجلس ادارة «المركزي» اعتمد تعليمات مكافحة غسيل الاموال وتمويل الارهاب لمقدمي خدمات الدفع الالكتروني ومقدمي خدمات النقود الالكترونية، إذ يتعين عليهم الالتزام بما يلي:
أولا- دراسة المخاطر المتعلقة بغسيل الاموال وتمويل الإرهاب، إذ يتعين عليهم إعداد دراسة لتقييم مخاطر غسيل الاموال وتمويل الارهاب المرتبطة بالنشاط المزمعة ممارسته وتحديثها كل عامين، على أن تتناول الدراسة الوقوف على طبيعة المخاطر المرتبطة بالانواع المختلفة من العملاء الذين تم التعامل معهم، والمنتج أو الخدمة سواء الجاري تقديمها أو أي خدمات يتم استحداثها مستقبلا ويزمع تقديمها، وكذلك تحديد درجة المخاطر التي يتعرض لها مقدمو خدمات الدفع الالكتروني ومقدمو خدمات النقود الالكترونية وفقا لكل عنصر من العنصرين سالفي الذكر، ليتم تقسيمها الى ثلاثة مستويات (منخفضة، متوسطة، مرتفعة)، مع وضع اجراءات العناية المناسبة التي ستتبع لدى التعامل مع هذه العناصر في سبيل الحد من تأثيرها على النشاط.
ثانيا- متطلبات العناية الواجبة المطلوبة، والتي تأتي استنادا الى ما تنتهي اليه الدراسة من تقييم وتحديد المخاطر المرتبطة بغسيل الأموال وتمويل الإرهاب، إذ يتم تحديد متطلبات العناية الواجبة المزمع اتباعها من مقدمي خدمات الدفع الالكتروني ومقدمي خدمات النقود الالكترونية، وذلك فيما يتعلق بـ 4 محاور، يأتي على رأسها نوعية المستندات التي سيتم استيفاؤها وفق كل مستوى من المخاطر المرتبطة بالمعاملات والعملاء، والمعلومات التي ستتم مطالبة العملاء بتقديمها وفق المخاطر المرتبطة بكل منهم، والاجراءات الإضافية المزمع اتخاذها في سبيل تطبيق متطلبات العناية الواجبة المشددة المزمع اتباعها في حال وجود مخاطر مرتفعة مرتبطة بالعملاء، ومراعاة الالتزام بالتحديث المطلوب للبيانات والمعلومات الخاصة بالعملاء، وذلك وفق فترات دورية تتناسب مع درجة المخاطر المرتبطة بهؤلاء العملاء (عام أو أقل للعملاء مرتفعي المخاطر، عامين أو أقل للعملاء متوسطي المخاطر، ثلاثة أعوام للعملاء منخفضي المخاطر).
ثالثا- تحديد هوية العميل، إذ يحظر على مقدمي الخدمات إنشاء علاقة عمل مع أي من العملاء دون التأكد من الاسم الكامل للعميل وانه هو المستفيد الفعلي من الخدمة المقدمة، كما يتعين التحقق من هوية العميل، استنادا الى مستندات قانونية تثبت تلك الهوية صادرة من جهات رسمية بالكويت شرط سريان صلاحية تلك المستندات، وهي البطاقة المدنية للمواطنين وغير المواطنين (المقيمين) الصادرة من الهيئة العامة للمعلومات المدنية، واستخدام تطبيق هويتي المتاح من قبل الهيئة العامة للمعلومات المدنية، والاحتفاظ بنسخة عن المستندات التي تم استيفاؤها للتحقق من هوية العميل.
رابعا- مراقبة الالتزام بالنسبة للشركات المقيدة في سجل بنك الكويت المركزي كمقدمي خدمات الدفع الإلكتروني الصغيرة أو مقدمي خدمات النقود الإلكترونية الصغيرة، فيتعين أن يتضمن الهيكل التنظيمي وظيفة مراقبة الالتزام مع تحديد الوصف الوظيفي المطلوب للمهام التي تتم تأديتها في هذا الخصوص، ويكلف بتأديتها أحد موظفي الشركة، مع مراعاة أن تتوافر لديه الخبرة في مجال المكافحة المطلوبة وفقا للقانون.
وبالنسبة للشركات المقيدة في سجل بنك الكويت المركزي كمقدمي خدمات الدفع الالكتروني الكبيرة او مقدمي خدمات النقود الالكترونية الكبيرة، فيجب تعيين مراقب التزام مستقل على مستوى الادارة العليا يختص بالتحقق من التزام الشركة بمتطلبات احكام القانون، على ان يراعى فيمن تسند اليه هذه الاعمال توافر المؤهلات والخبرات الملائمة في مجال مكافحة غسيل الأموال وتمويل الإرهاب التي تؤهله للقيام بالمهام المنوطة به، مع الالتزام بموافاة بنك الكويت المركزي بالبيانات الخاصة بمراقب الالتزام وبمن ينوب عنه خلال الاجازات التي يحصل عليها، متضمنة الاسم والمؤهل وارقام هواتفه وعنوان البريد الالكتروني الخاص به، مع الالتزام بتزويد بنك الكويت المركزي بأي تغيير يحدث في هذه البيانات، مع الالتزام بإعداد وصف وظيفي محدد لمراقب الالتزام ومن يعاونه في اداء مهامه ان وجد يتضمن المهام المنوطة به.
خامسا- المراقبة المستمرة لمعاملات العميل، إذ يتعين وضع الاجراءات والنظم التي تكفل المتابعة المستمرة من قبل مقدمي خدمات الدفع الالكتروني ومقدمي خدمات النقود الالكترونية للمعاملات المنفذة لكل عميل، للتأكد من أن المعاملات التي يتم اجراؤها تتماشى مع المعلومات المتوافرة عنه والمخاطر المحددة له.
سادسا-الاحتفاظ بالمعلومات الخاصة بالعميل (اعرف عميلك)، إذ يتعين على مقدمي الخدمات الوقوف على المعلومات الخاصة بالعميل والمستفيد الفعلي من خلال استيفاء نموذج «اعرف عميلك»، متضمنا كحد ادنى المعلومات المتعلقة بكل من نوع النشاط وحجم النشاط والغرض من التعامل مع مقدم الخدمة، عدد وقيمة العمليات المتوقعة، حدود العمليات التي يمكن إجراؤها (اليومية والاسبوعية والشهرية)، والافصاح عما اذا كان العميل يعمل حاليا او سبق له شغل احد المناصب السياسية محليا او دوليا، مع الاحتفاظ بما يقدم من مستندات لتلك المعلومات والتأكد من سريان صلاحيتها، والاحتفاظ بها طيلة فترة التعامل مع العميل.
وحدد التعميم 7 متطلبات عامة يجب الالتزام بها وجاءت كالتالي:
1 ـ يتعين لدى الاشتباه في ان معاملة ما قد تشكل عائدات جريمة او يكون لها علاقة بغسيل الاموال او تمويل الارهاب، اجراء عمليات البحث والتحري وجمع المعلومات، دون ان يترتب على ذلك معرفة أي من الاطراف او الايحاء لأي منهم بوجود مثل هذه الاجراءات، ويتعين توثيق نتائج البحث والتحري كتابة والاحتفاظ بالمستندات الدالة على ذلك وتقديمها لدى الطلب، على ان يتم اخطار وحدة التحريات المالية خلال يومي عمل بالواقعة، اذا ما انتهى البحث الى وجود اشتباه او اموال لها علاقة بغسيل اموال او تمويل ارهاب.
2 ـ يتعين التحقق من عدم وجود أي من اسماء العملاء الذين يتم التعامل معهم بالقوائم الخاصة بتجميد الاموال سواء الصادرة عن لجان العقوبات التابعة لمجلس الامن او تلك التي تصدرها لجنة تنفيذ قرارات مجلس الامن المشكلة بوزارة الخارجية (اللجنة المحلية) وعدم التعامل مع أي عميل يدرج اسمه على أي من تلك القوائم.
3 ـ يتعين الاحتفاظ بالمستندات والبيانات والمعلومات سواء عن المعاملات المنفذة او تلك التي يتم جمعها في اطار تدابير العناية الواجبة، لمدة لا تقل عن 5 سنوات من تاريخ انتهاء علاقة العمل، كما يتعين ايضا الاحتفاظ بكل الدراسات المعدة عن المخاطر المرتبطة بغسيل الأموال وتمويل الإرهاب التي يتم اعدادها، والتحديثات التي تتم عليها.
4 ـ وضع اجراءات داخلية لتحديث بيانات العملاء على فترات دورية تتناسب مع درجة المخاطر المرتبطة بكل منهم، ومراعاة الابقاء على سريان صلاحية المستندات المتوافرة المستوفاة وفق متطلبات العناية الواجبة المطلوبة.
5 ـ توفير التدريب المناسب والدراية الكافية للموظفين المختصين لدى مقدمي خدمات الدفع الالكتروني ومقدمي خدمات النقود الالكترونية حول مراقبة الأعمال والتحقق من الالتزام بتعليمات مكافحة غسيل الأموال وتمويل الارهاب، على نحو يمكنهم من تنفيذ الاعمال المطلوبة منهم في هذا الخصوص.
6 ـ يحظر تقديم خدمات الدفع الالكتروني وخدمات النقود الالكترونية لأفراد او جهات غير مرخصة من جهة الاختصاص.
7 ـ وضع سياسات واجراءات العمل والنظم والضوابط الداخلية لمكافحة غسيل الأموال وتمويل الارهاب التي يجب تطبيقها.
وفي سياق متصل، أصدر الهارون تعليمات بشأن الحد الأدنى لمتطلبات الأمن السيبراني واستمرارية الأعمال لمقدمي خدمات الدفع الإلكتروني ومقدمي خدمات النقود الإلكترونية، والتي تسري على مقدمي خدمات الدفع الإلكتروني ومقدمي خدمات النقود الإلكترونية حديثي الانشاء والقائمين حاليا. وبموجب التعليمات الجديدة يتعين على مقدمي الخدمات الالتزام بما يلي:
1 ـ فصل المهام بين وظيفة الأمن السيبراني ووظيفة تقنية المعلومات مع الالتزام بأن يتم انشاء وظيفة مستقلة لأمن المعلومات تكون مستقلة عن عمليات تقنية المعلومات درءا لتعارض المصالح بينهما بالنسبة لمقدمي خدمات الدفع الإلكتروني الكبيرة ومقدمي خدمات النقود الإلكترونية الكبيرة، أو أن تعطى هذه الوظيفة الاستقلالية اللازمة من خلال الهيكل التنظيمي للقيام بدورها على أكمل وجه بالنسبة لمقدمي خدمات الدفع الإلكتروني الصغيرة ومقدمي خدمات النقود الإلكترونية الصغيرة.
2 ـ تحديد سياسات أمن المعلومات وسياسات وإجراءات وخطط استمرارية أعمال وإدارة الأزمات وأن تكون السياسات موقعة أو مختومة من قبل الادارة العليا لمقدم النشاط (المدير التنفيذي أو مجلس الإدارة) مع تحديد دورية مراجعتها أولويا أودوريا من قبل مدقق مستقل.
3 ـ في حال كان مقدم النشاط يحتفظ أو يعالج بيانات البطاقات المصرفية يتعين استيفاء شهادة الاعتماد الخاصة بالمعايير الأمنية للبطاقات المصرفية pci-dss معتمدة من طرف ثالث مع تجديد الشهادة بصفة دورية لضمان استمرارية صلاحيتها من الجهات المعتمدة، كما يتعين اخطار بنك الكويت المركزي في حال إلغاء الشهادة أو عدم التجديد لأي سبب من الأسباب.
4 ـ إجراء اختبارات التقييم الأمني الشامل للمنتج أو الخدمة من قبل طرف مستقل وأن تتم معالجة كافة الملاحظات الواردة في تقرير التقييم الأمني الشامل وفق خطة واضحة تتماشى مع إطار إدارة المخاطر لمقدم النشاط وقبل إطلاق الخدمة. ويتعين على مقدمي النشاط مراعاة الامتثال للممارسات المعيارية مثل شهادات المعايير الأمنية iso وذلك بما يكفل ممارسة أعمالهم وفق بيئة متوافقة مع المعايير العالمية لأمن المعلومات.
المخالفات والجزاءات
شدد التعميم على سريان الجزاءات المنصوص عليها في المادة 15 من القانون رقم 106 لسنة 2013 بشأن مكافحة غسيل الأموال وتمويل الارهاب على مقدمي خدمات الدفع الالكتروني ومقدمي خدمات النقود الالكترونية حال مخالفة اي من التعليمات.