Ověření totožnosti online při sjednání půjčky

Jak probíhá ověření totožnosti v online procesu sjednání úvěru — doklady, selfie, kontrola podle AML zákona a alternativy přes bankovní identitu.

Když podáváte žádost o spotřebitelský úvěr přes internet, narazíte mezi formulářem s osobními údaji a podpisem smlouvy na samostatný krok: ověření totožnosti. V češtině se pro něj často používá zkratka KYC z anglického „know your customer" — poznej svého klienta. Není to formalita ani marketingové vylepšení procesu; je to zákonná povinnost, kterou poskytovatel splnit musí, jinak by se vystavoval správnímu řízení ze strany České národní banky a hrozila by mu pokuta v řádu milionů.

Tato stránka vysvětluje, proč ověření existuje, jak technicky probíhá, jaké alternativy má klasická cesta přes fotku dokladu a selfie a kde nejčastěji vznikají problémy. Cílem je dát žadateli realistickou představu o tom, co ho čeká, aby si připravil podklady a vyhnul se zbytečným kolům ověřování. Ověření totožnosti je první ze tří částí — širší rámec popisuje stránka o ověření, podpisu a bezpečnosti při online sjednání.

Proč ověření totožnosti existuje

Povinnost identifikovat klienta ukládá zákon č. 253/2008 Sb., známý jako AML zákon (anti money laundering). Vztahuje se na všechny finanční instituce — banky, pojišťovny, směnárny, poskytovatele platebních služeb i poskytovatele spotřebitelského úvěru — a jeho cílem je znemožnit zneužití finančního systému k legalizaci výnosů z trestné činnosti a k financování terorismu. Pro spotřebitelský úvěr přidává druhou vrstvu zákon č. 257/2016 Sb.: ověřenou totožnost potřebuje poskytovatel k tomu, aby vůbec mohl v úvěrových registrech najít žadatele a vyhodnotit jeho úvěruschopnost.^[1]

Ověření má tři roviny, které někdy splývají, ale jsou to různé věci. Prvním je identifikace — zjištění, kdo žadatel je (jméno, datum narození, číslo dokladu). Druhým je verifikace — důkaz, že osoba před kamerou je skutečně držitelem toho dokladu. Třetím je kontrola v sankčních seznamech a černých listinách, která vyloučí osoby, s nimiž finanční instituce ze zákona nesmí obchodovat. Klasická KYC procedura (foto dokladu, selfie, biometrické porovnání) plní všechny tři role najednou; bankovní identita prvních dvou (banka je provedla už při vašem vstupu do bankovního vztahu) a poskytovatel pak doplňuje jen kontrolu v sankčních seznamech.

Jak ověření krok za krokem probíhá

Klasický scénář u nebankovního poskytovatele bez napojení na bankovní identitu vypadá obvykle takto. Pořadí kroků se může lišit, jejich součet je v zásadě stejný.

Krok 1: Nahrání občanského průkazu

Žadatel vyfotí přední a zadní stranu občanského průkazu (nebo cestovního pasu) přímo z mobilu nebo nahraje z galerie. Systém v reálném čase kontroluje, zda jsou na fotografii čitelné ochranné prvky, datum platnosti a strojově čitelná zóna na zadní straně.
Krok 2: Pořízení selfie nebo krátkého videa

Žadatel se vyfotografuje čelně do kamery; některé systémy vyžadují krátké video s pohybem hlavy (tzv. liveness check). Cílem je prokázat, že před kamerou je živá osoba, ne fotografie z dokladu.
Krok 3: Porovnání obličeje s fotografií v dokladu

Biometrický algoritmus porovná rysy obličeje z aktuální selfie s podobiznou na občanském průkazu. Výsledkem je skóre shody; nízké skóre obvykle vede k ručnímu posouzení operátorem nebo k odmítnutí žádosti.
Krok 4: Ověření z veřejných rejstříků

Systém zkontroluje žadatele v základním registru obyvatel (přes registrované datové schránky poskytovatele), v sankčních seznamech (povinnost z AML zákona) a v interních black listech instituce.
Krok 5: Ověření vlastnictví bankovního účtu

Pro výplatu úvěru zákon vyžaduje účet vedený na jméno žadatele. Standardní postup je převod jedné koruny z účtu žadatele na účet poskytovatele; ve zprávě pro příjemce je jednorázový kód. Modernější varianta využívá bankovní identitu nebo službu AISP, která údaje vyčte přímo z bankovního API.

Většinu těchto kroků žadatel projde z mobilního telefonu během jednoho sezení v aplikaci nebo na webu poskytovatele. Pokud některý krok automatický systém neumí jednoznačně vyhodnotit (nečitelný doklad, nízké skóre shody, podezření na pozměněný snímek), žádost přechází do ručního posouzení. To ji zdrží o hodiny až jeden pracovní den a poskytovatel obvykle žadatele e-mailem nebo SMS upozorní, že se na žádost dívá operátor.

Alternativy klasického KYC postupu

Foto dokladu a selfie není jediná možná cesta. V Česku se postupně rozšiřují i alternativy, které proces zrychlují, ale zároveň mají své předpoklady na straně žadatele.

Krok 1: Klasická KYC cesta — doklad + selfie

Žadatel sám fotografuje občanský průkaz a obličej. Výhoda: funguje pro každého žadatele s občanským průkazem a smartphonem. Nevýhoda: pomalejší (10–15 minut), citlivější na kvalitu fotografií a osvětlení, automatické odmítnutí při nečitelném dokladu.
Krok 2: Bankovní identita (BankID)

Žadatel se přihlásí přihlašovacími údaji ke své bance a banka poskytovateli předá ověřenou identitu. Výhoda: během několika minut, vysoká spolehlivost, bez fotografování. Nevýhoda: vyžaduje aktivovanou bankovní identitu u jedné z napojených bank.
Krok 3: Videoidentifikace s operátorem

Žadatel se připojí na videokonferenci s pracovníkem poskytovatele, ukáže doklad před kamerou a odpovídá na kontrolní otázky. Výhoda: lidská kontrola, řeší okrajové případy. Nevýhoda: omezené úřední hodiny, delší čekání ve frontě.

Pro praxi to znamená, že pokud máte aktivovanou bankovní identitu u některé z napojených bank a poskytovatel ji podporuje, ověření celé žádosti se zkrátí na jednotky minut. Detailní popis fungování BankID, jeho dostupnosti a omezení najdete na samostatné stránce o bankovní identitě u půjčky.^[4]

Klíčové parametry procesu

5–15 min

Typická doba ověření klasickou KYC cestou při dobré kvalitě fotografií

10 let

Minimální doba uchování záznamu o ověření po ukončení obchodního vztahu (AML zákon)

Zákon č. 253/2008 Sb.

§ 184a

Trestný čin neoprávněného nakládání s osobními údaji při zneužití cizí identity

Zákon č. 40/2009 Sb.

Co poskytovatel s vašimi údaji smí a nesmí

Fotografie občanského průkazu a selfie jsou osobní údaje zvláštní kategorie podle zákona č. 110/2019 Sb. (česká adaptace nařízení GDPR). Poskytovatel je smí zpracovávat pouze za účelem, pro který je získal — splnění povinnosti identifikace, ověření úvěruschopnosti, plnění smlouvy — a po dobu stanovenou zákonem. Použít je k marketingu, profilování nebo prodat třetí straně bez souhlasu žadatele zákon zakazuje.^[3]

Žadatel má kdykoli právo požádat o výpis zpracovávaných údajů, o jejich opravu, případně o vymazání po skončení obchodního vztahu (s výjimkou údajů, které poskytovatel musí ze zákona uchovávat — typicky deset let podle AML a zákona o spotřebitelském úvěru). Žádost se podává písemně nebo přes komunikační kanál uvedený v zásadách ochrany osobních údajů poskytovatele a ten má na odpověď zpravidla 30 dní.

Pozor na falešné ověřovací stránky

Phishingové weby imitují vzhled bank a velkých nebankovních poskytovatelů a žadatele vedou k tomu, aby nahrál fotografii dokladu a selfie do podvodného formuláře. Získané kopie pak útočníci používají pro otevírání skutečných úvěrů a bankovních účtů na cizí jméno. Před nahráním jakékoli kopie občanského průkazu si vždy ověřte, že:

URL adresa v prohlížeči odpovídá oficiální doméně poskytovatele (pozor na záměnu „l" za „1" nebo „o" za „0")
spojení probíhá přes HTTPS a certifikát patří očekávanému subjektu
poskytovatel je dohledatelný v seznamu ČNB nebo v aplikaci JERRS
na žádost o ověření jste přišli sami z hlavního webu, ne prokliknutím z reklamy v sociálních sítích nebo z odkazu v SMS

Detailní typologii podvodů a varovných signálů popisujeme na stránce o podvodných online půjčkách.

Co dělat, když ověření neprojde

Automatické zamítnutí ověření samo o sobě neznamená zamítnutí úvěru. Větší poskytovatelé mají několik záložních cest a žadatele po neúspěšném prvním pokusu navedou na jinou. Nejčastější příčiny selhání jsou kvalitativní (nedostatečné osvětlení, rozmazaná fotografie, odlesk na fólii dokladu) a dají se odstranit opakováním pokusu s lepším světlem nebo z jiného zařízení. Pokud se opakované pokusy nedaří, většinou pomůže videoidentifikace s operátorem nebo bankovní identita.

Pokud žadatel projde celým procesem správně a poskytovatel přesto neuvede konkrétní důvod odmítnutí, má žadatel právo požádat o vysvětlení. Zákon o spotřebitelském úvěru sice nenařizuje poskytovateli zveřejnit konkrétní skoringový důvod, ale stanoví povinnost informovat žadatele o tom, že rozhodnutí padlo a v jakém ze zákonných důvodů (úvěruschopnost, AML, sankční seznamy, interní policy). Pro stížnost na postup poskytovatele lze využít Finančního arbitra a v krajním případě dohledový orgán ČNB.^[5]

Co si o ověření totožnosti odnést

Ověření totožnosti při online sjednání úvěru je zákonná povinnost poskytovatele podle AML zákona — nelze ho přeskočit ani dohodou s žadatelem.
Standardní postup: fotografie občanského průkazu, selfie nebo krátké video, biometrické porovnání a kontrola v rejstřících. Trvá zpravidla 5 až 15 minut.
Bankovní identita celý KYC krok zjednoduší — ověřená data poskytne přímo banka a fotografování dokladu odpadá.
Vaše fotografie dokladu a selfie poskytovatel ze zákona uchovává nejméně deset let. Žádost u podvodného webu znamená trvalou ztrátu kontroly nad kopií dokladu.
Pokud automatické ověření selže, většina poskytovatelů nabízí videoidentifikaci s operátorem jako záložní postup — žádost se tím zdrží o hodiny až jeden pracovní den.

Časté otázky k ověření totožnosti online

Proč musí poskytovatel ověřovat moji totožnost, když už mě zná z dřívějška?

Povinnost vyplývá ze zákona č. 253/2008 Sb. (AML zákon) a platí pro všechny finanční instituce při uzavírání obchodního vztahu. I když u poskytovatele máte historii, identifikace se obnovuje při novém úvěru nebo po určité době neaktivity. Zákon zároveň vyžaduje, aby poskytovatel uchovával doklad o tom, jak ověření proběhlo, po dobu nejméně deseti let od ukončení obchodního vztahu.

Co se stane s mojí fotografií dokladu a selfie po dokončení žádosti?

Poskytovatel je povinen údaje uchovávat po dobu, kterou stanoví AML zákon (deset let od ukončení obchodního vztahu) a zákon o spotřebitelském úvěru (deset let od podání žádosti). Po této době musí být údaje smazány nebo anonymizovány. Přístup k nim mají pouze oprávnění pracovníci poskytovatele, případně orgány činné v trestním řízení nebo ČNB v rámci dohledu.

Co když mi systém ověření opakovaně nepovolí — selfie a doklad se neshodnou?

Důvodů může být víc: nedostatečné osvětlení, příliš velký rozdíl ve vzhledu (změna účesu, výrazné brýle, vousy, nedávné zhubnutí nebo přibytí), staré foto v dokladu (občanský průkaz se vydává s podobiznou platnou po deset let). Většina poskytovatelů nabízí jako záložní postup videoidentifikaci s operátorem nebo návštěvu pobočky. Pokud žádný z postupů nefunguje, zvažte poskytovatele s napojením na bankovní identitu, kde ověření probíhá přes vaši banku bez fotografování.

Mohu nechat ověřit totožnost svého partnera nebo rodinného příslušníka místo sebe?

Ne. Identifikace musí proběhnout u skutečného žadatele — osoba, která bude úvěr splácet a podepisovat smlouvu. Podvodné použití cizí identity je trestný čin (neoprávněné získání osobních údajů podle § 184a a úvěrový podvod podle § 211 trestního zákoníku). Pokud spolužadatel přebírá společnou odpovědnost za úvěr (manžel, manželka), musí projít ověřením samostatně.