KYC, weryfikacja tożsamości i adresu – dowód osobisty, Proof of Address, polskie instytucje finansowe

Pytanie

Czy do procesu weryfikacji kyc, weryfikacji tożsamości i adresu można użyć dowodu osobistego i czy ten jeden dokument wystarczy?

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Tak, polski dowód osobisty można wykorzystać w procesie KYC (Know Your Customer) do weryfikacji tożsamości.
• Nie, sam dowód osobisty ‒ zwłaszcza wydany po 1 marca 2015 r., który nie zawiera już adresu zameldowania ‒ zwykle nie wystarcza do potwierdzenia adresu zamieszkania; instytucje finansowe wymagają wówczas dodatkowego dokumentu (tzw. proof-of-address).

Kluczowe punkty
• Dowód osobisty = pełna weryfikacja tożsamości
• Adres = najczęściej drugi dokument (rachunek za media, wyciąg bankowy, zaświadczenie urzędowe itp.)

Szczegółowa analiza problemu

1. Rozdzielenie dwóch obowiązków KYC

1) Customer Identification Programme (CIP) – identyfikacja/uwierzytelnienie osoby fizycznej.
2) Customer Due Diligence (CDD) – zebranie informacji adresowych i ocena ryzyka AML.

Dowód osobisty spełnia wymogi pkt 1 (dane osobowe, PESEL, zdjęcie, hologramy, chip EID), lecz od 2015 r. nie zaspokaja pkt 2, ponieważ nie posiada pola „adres”.

2. Podstawa prawna

• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. 2024, poz. 339) – art. 34 nakłada na instytucje obowiązek uzyskania:
  • imienia i nazwiska, obywatelstwa, numeru PESEL, daty i miejsca urodzenia (to realizuje dowód)
  • adresu zamieszkania lub siedziby – wymaga innego źródła.
• Dyrektywa AMLD V/AMLD VI – transpozycja powyższych wymagań.
• RODO/GDPR – minimalizacja danych i bezpieczne przechowywanie skanów.

3. Praktyka rynkowa

• Podejście risk-based: duże banki i giełdy kryptowalut wymagają co najmniej dwóch artefaktów (ID + adres).
• Starszy dowód (sprzed 03.2015 r.) teoretycznie zawiera adres, ale:
  • z punktu widzenia zgodności może być nieaktualny;
  • instytucje rezygnują z jego honorowania, aby ograniczyć ryzyko.
• Zamiast adresu zameldowania coraz częściej żąda się adresu faktycznego pobytu (address of residence).

4. Akceptowane dokumenty „proof-of-address”

Wersja papierowa lub PDF, nie starsza niż 3–6 mies. (zależnie od polityki podmiotu):

• Imienny rachunek za media (prąd, gaz, internet).
• Wyciąg bankowy lub potwierdzenie otwarcia rachunku.
• Decyzja podatkowa, pismo ZUS/US, e-pit z kwal. podpisem.
• Zaświadczenie o zameldowaniu (formularz ZAM-1) lub e-Urząd → pdf z kwal. pieczęcią.
• Umowa najmu / akt notarialny (niekiedy).

5. Techniczne aspekty zdalnej weryfikacji

• OCR + NFC (eDO App, IDnow, Onfido) do odczytu kryptograficznego chipu dowodu.
• Liveness detection (selfie, ruch gałek ocznych, test akustyczny).
• Porównanie EXIF, hash plików, blockchain KYC ledgers.

Aktualne informacje i trendy

• UE finalizuje eIDAS 2.0 Digital Wallet – dokument w smartfonie ma zawierać także dane adresowe, co może w przyszłości ograniczyć konieczność osobnego proof-of-address.
• Rosnąca popularność Open-Banking-Proof-of-Address (API AIS > wyciąg bankowy generowany on-line).
• Technologie anty-deepfake (Passive Liveness by Intel RealSense, FaceTec 3D).
• W Polsce: mDowód (mObywatel 2.0) staje się równoważny fizycznemu dowodowi, ale jeszcze nie jest szeroko zintegrowany z międzynarodowym onboardingiem KYC.

Wspierające wyjaśnienia i detale

• Czujnik NFC w smartfonie pozwala na bezpośrednie potwierdzenie autentyczności chipu EID – redukuje ryzyko fałszerstw.
• „Adres zameldowania” ≠ „adres zamieszkania”; AML wymaga zwykle adresu faktycznego.
• Zbyt stary rachunek (≥ 6 mies.) zwiększa prawdopodobieństwo odrzutu przez systemy automatycznej oceny zgodności.

Aspekty etyczne i prawne

• Minimalizacja danych – instytucja nie może żądać nadmiarowych dokumentów; wszystko musi być proporcjonalne do ryzyka (art. 5 RODO).
• Przechowywanie skanów ID → szyfrowanie w stanie spoczynku i in-transit, polityka retention (5 lat + rok) zgodnie z AML.
• Ryzyko udostępniania obrazu dowodu w niepewnych aplikacjach (phishing, kradzież tożsamości).

Praktyczne wskazówki

• Wykonuj zdjęcia dokumentu w neutralnym oświetleniu, bez odblasków; zachowaj wszystkie krawędzie, usuń tło.
• Przy proof-of-address upewnij się, że imię, nazwisko i adres są czytelne i zgodne z formularzem.
• Jeżeli adres jest długi (polskie znaki), wpisuj dokładnie tak, jak w dokumencie, inaczej algorytm może uznać rozbieżność.
• Stary dowód z adresem? Miej w zapasie rachunek – procedura może się zmienić w ostatniej chwili.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Podmioty fintech spoza UE (np. giełdy krypto w Azji) mogą mieć własne listy akceptowanych dokumentów; zawsze sprawdzaj FAQ.
• Instytucje o niskim progu transakcyjnym (np. prepaid do 150 €) mogą stosować skrócone due-diligence – czasem wystarcza sam dowód.
• Aplikacja mObywatel: prawnie równorzędna w PL, lecz brak standardu międzynarodowego podpisu cyfrowego utrudnia globalną akceptację.

Sugestie dalszych badań

• Samo-suwerenna tożsamość (SSI, DID, Verifiable Credentials) – redukcja wielokrotnych uploadów dokumentów.
• Mechanizmy zero-knowledge proof dla potwierdzenia adresu bez ujawniania pełnych danych.
• Integracja chipu EID z portfelem sprzętowym (HSM) w urządzeniach IoT w celu bezpiecznego zdalnego onboardingu.
• Standaryzacja EBSI (European Blockchain Service Infrastructure) do wymiany danych KYC między instytucjami.

Krótkie podsumowanie

Dowód osobisty pozostaje podstawowym i w pełni wystarczającym dokumentem do weryfikacji tożsamości w procedurach KYC. Z powodu braku informacji adresowych w dokumentach wydawanych od 2015 r. potrzebny jest jednak drugi, świeży dokument potwierdzający miejsce zamieszkania. Rekomenduje się wcześniej sprawdzić listę dopuszczalnych dokumentów u danego usługodawcy i przygotować imienny rachunek lub wyciąg bankowy nie starszy niż 3 miesiące. Trendy legislacyjne (eIDAS 2.0, mDowód, API bankowe) będą w przyszłości upraszczały tę procedurę, lecz obecnie „jeden dokument” rzadko kiedy spełnia oba wymogi jednocześnie.