5 nejčastějších chyb v procesu KYC a jak se jim vyhnout

70 % finančních institucí ztratilo v uplynulém roce klienty kvůli neefektivnímu procesu onboardingu.

Vyplývá to ze zprávy Trendy v odvětví finanční kriminality 2025, kterou vypracovala společnost Fenergo na základě průzkumu mezi 600 osobami s rozhodovacími pravomocemi z bank, společností spravujících aktiva a správců fondů.

Studie společnosti Fenergo navíc ukazuje, že rozsah tohoto problému roste. V roce 2024 činil 67 % a v roce 2023. 48%.

Jedním z hlavních důvodů těchto potíží je složitost procesů KYC (Know Your Customer) a chyby v nich.

Klíčová zjištění

• 70 % finančních institucí přichází o zákazníky kvůli neefektivnímu onboardingu, včetně těch, které se týkají procesů KYC.
• Mezi nejčastější chyby, se kterými se setkáváme, patří zastaralé nebo povrchní posouzení rizik, nesprávné ověření totožnosti, nedodržování RODO, považování KYC za jednorázový proces a nedostatek konzistentní kultury dodržování předpisů.
• Ve více než polovině finančních institucí se 31 až 60 % úkolů souvisejících s procesy KYC stále provádí ručně. Instituce si zároveň stále více uvědomují potřebu automatizace, přičemž 62 % organizací uvádí investice do technologií jako jednu ze svých hlavních priorit v oblasti KYC a AML.
• Nesprávné procesy KYC, často spojené se současným dodržováním předpisů RODO, mohou vést k sankcím (včetně finančních). Jako v případě ING Bank, kde byla pokuta stanovena na více než 18 mil.
  
• Automatizace a nástroje pro digitální ověřování totožnosti (např. Autenti) snižují tato rizika a zvyšují efektivitu.

Co je to KYC a proč je tak důležitá?

KYC zahrnuje ověření totožnosti klienta a posouzení rizik spojených s navázáním vztahu.

Jedná se o zásadní prvek systémů proti praní špinavých peněz (AML) a financování terorismu (CFT), protože umožňuje institucím pochopit, s kým spolupracují a zda aktivity klienta odpovídají deklarovanému profilu.

Chyby v této oblasti mohou vést k závažným důsledkům, od regulatorního rizika, poškození pověsti, ztráty klientů (viz zpráva Fenergo) až po situace, kdy se instituce nevědomky stane prostředkem pro praní špinavých peněz nebo jiné trestné činy.

Velká část těchto důsledků je způsobena opakovanými chybami v procesu KYC.

Ve zbývající části tohoto článku se budeme zabývat pěti nejčastějšími chybami, které se v procesu KYC vyskytují, a způsoby, jak jim lze účinně předcházet.

1. Zastaralé nebo povrchní posouzení rizik klienta

V čem spočívá chyba

Jedním z nejčastějších problémů v procesu KYC je neaktualizace hodnocení rizik klienta po uplatnění finančních bezpečnostních opatření.

To znamená situaci, kdy je rizikový profil vytvořen pouze ve fázi onboardingu a poté zůstává po dlouhou dobu nezměněn. Změny v profilu klienta, a to i tak jednoduché, jako je adresa bydliště, často nejsou brány v úvahu.

K hodnocení rizik se někdy přistupuje jako k jednorázové formalitě, místo aby bylo součástí průběžného procesu řízení vztahů se zákazníky.

To je způsobeno tím, že

Jedním z důvodů je určitě omezený čas a zdroje týmů pro dodržování předpisů. V mnoha organizacích jsou navíc procesy KYC stále z velké části založeny na manuální práci.

Z průzkumu společnosti Fenergo vyplývá, že ve více než polovině finančních institucí se 31 až 60 % úkolů souvisejících s procesy KYC stále provádí ručně. Instituce si zároveň stále více uvědomují potřebu automatizace, přičemž 62 % organizací uvádí investice do technologií jako jednu ze svých hlavních priorit v oblasti KYC a AML. (zdroj:)

Proč je to problém

Rizikový profil zákazníka není neměnný.

Pokud instituce toto hodnocení neaktualizuje, hrozí riziko, že zákazníka nesprávně zařadí a následně použije nevhodná bezpečnostní opatření.

Jak se tomu vyhnout

Aby organizace toto riziko zmírnily, měly by:

• pravidelně aktualizovat hodnocení rizik zákazníka, např. čtvrtletně,
• propojit hodnocení rizik s cyklickými kontrolami AML a monitorováním vztahů se zákazníky,
• automatizovat proces aktualizace údajů v systémech pro dodržování předpisů,
• používat řešení, která umožňují digitální ověření a potvrzení totožnosti klienta, např. prostřednictvím elektronických ověřovacích platforem, jako je např. Autenti.

2 Nesprávné ověření totožnosti klienta

V čem spočívá chyba

Druhým častým problémem v procesech KYC je nesprávné ověření totožnosti zákazníka nebo nesprávná volba metody identifikace.

K tomu dochází u různých metod ověřování. Např:

• ověřování pomocívidea: chybou může být nedostatečné ověření "živosti" (detekce živosti, tj. posouzení provedených pohybů hlavy), rozmazané snímky dokladu nebo nedostatečné porovnání snímku s dokladem totožnosti,
  
  
• ověření pomocí elektronické karty nebo jiného dokladu s elektronickou vrstvou: problémem může být nepřečtení dat z elektronické vrstvy dokladu nebo neprovedení kryptografického ověření dokladu,
  
  
• ověření prostřednictvím elektronického bankovnictví: někdy nejsou údaje majitele účtu porovnány s údaji klienta nebo jsou povoleny převody z účtů patřících jiným osobám,
  
  
• identifikace pomocí kvalifikovaného podpisu nebo důvěryhodného profilu: chybou může být neověření platnosti certifikátu nebo nepřiřazení podpisu ke konkrétní osobě, jejíž údaje jsou v systému,
  
  
• ověření dokladu zákazníka při osobní návštěvě pobočky organizace: neprovedení řádného ověření dokladu zákazníka, např. nevěnování pozornosti datu platnosti dokladu.

Problémy vznikají také tehdy, když metoda ověření neodpovídá míře rizika zákazníka nebo když proces není řádně zdokumentován a nezanechává jasnou auditní stopu.

Zde si můžete přečíst více o různých metodách ověřování totožnosti zákazníka, o tom, jak se na ně připravit, jak jimi správně projít a kterou metodu v dané situaci zvolit.

Co je příčinou

Důvodů pro nesprávné ověření totožnosti může být celá řada. Často se jedná o prosté lidské chyby, které jsou důsledkem velkého množství zpracovávaných procesů nebo časového tlaku.

Problémem může být také nejasně popsaný proces ověřování, kdy nemáme jasné pokyny, jakými kroky se řídit a jak jednotlivé kroky ověřování dokumentovat.

Dalším problémem mohou být nástroje používané pro ověřování na dálku, které nejsou intuitivní nebo nejsou dobře integrovány se systémy organizace.

Důležité je také nepřehlížet situace, kdy je problém způsoben úmyslným jednáním uživatele. Pokusy vydávat se za někoho jiného nebo používat cizí údaje dnes patří k nejčastějším formám zneužití digitálních služeb.

Podle údajů společnosti Sumsub z roku 2025 se počet pokusů o podvodné ověření identity celosvětově zvýšil o 48 %, ačkoli v asijsko-pacifickém regionu došlo k poklesu, což lze částečně přičíst pokroku v regulaci digitální identifikace (údaje se týkají trhu s kryptoměnami).

Proč je to problém

Neschopnost řádně ověřit klienta podkopává jeden z hlavních cílů procesu KYC, a to zajistit, aby instituce věděla, s kým vstupuje do vztahu.

Nedostatky v této oblasti zvyšují riziko porušení právních předpisů a ztěžují audit nebo kontrolu.

Jak se tomu vyhnout

Pro snížení rizika chyb při ověřování totožnosti klienta je vhodné dbát na několik prvků:

• přesné vymezení metod ověřování, které jsou v organizaci povoleny, a situací, ve kterých by měly být použity,
• zdokumentování každé fáze procesu ověřování tak, aby ji bylo možné reprodukovat během auditu,
• standardizace postupů v rámci celé organizace, zejména pokud se procesem zabývá několik týmů nebo systémů,
• používání nástrojů pro ověřování totožnosti na dálku, které automatizují ověřování zákazníků, zaznamenávají proces a integrují výsledek ověření se systémy pro zajištění shody.

3 Nedodržování RODO a špatná správa údajů o zákaznících

V čem spočívá chyba

Proces KYC zahrnuje zpracování velkého množství osobních údajů, včetně citlivých údajů.

Mezi chyby v této oblasti patří např:

• Ukládání údajů bez odpovídajícího zabezpečení,
• selhání kontroly přístupu k dokladům totožnosti,
• zpracování údajů bez jasně definovaného účelu,
• absence řádné politiky uchovávání údajů.

Čím je to způsobeno

Nejčastěji je to způsobeno tím, že systémy nejsou sladěny s požadavky RODO nebo je KYC považováno čistě za povinnost AML, aniž by byly zohledněny aspekty ochrany údajů.

Proč je to problém

Porušení ochrany údajů může vést k:

• úniku osobních údajů,
• správní sankce podle nařízení RODO,
• ztrátě důvěry zákazníků.

Porušení ochrany údajů může vést k úniku osobních údajů, správním sankcím podle nařízení RODO a ztrátě důvěry zákazníků.

Příkladem z reálného života je např. případ ING Bank Śląski, které byla předsedou UODO (Úřad pro ochranu osobních údajů) uložena pokuta vevýši více než 18 milionů PLN za neoprávněné pořizování kopií občanských průkazů zákazníků.

Dohledový orgán zjistil, že banka zavedla postupy vyžadující hromadné pořizování dokladů pro mnoho činností nad rámec zákona o boji proti praní špinavých peněz, bez individuálního posouzení rizik a bez právního základu.

Podle orgánu pro ochranu osobních údajů vytvářelo skenování dokladů "ve velkém" vysoké riziko porušení práv zákazníků, například krádeže identity nebo úvěrového podvodu.

Jak se tomu vyhnout

• Zavedení zásad zabezpečení dat a řízení přístupu,
• uplatňujte zásadu minimalizace údajů,
• jasně definovat doby uchovávání údajů,
• používat certifikovaná řešení, která splňují požadavky GDPR.

4 Zacházení s KYC jako s jednorázovým procesem

V čem je chyba

V mnoha organizacích končí KYC ve fázi onboardingu, bez další aktualizace údajů o zákazníkovi.

Změny, jako např:

• změna v chování zákazníka,
• změna úrovně rizika,
• nové informace o zákazníkovi.

V důsledku čeho se tak děje

Důvodem je často nedostatečná automatizace a omezené zdroje týmů pro dodržování předpisů.

Proč je to problém

Profil zákazníka se v průběhu času mění. Nedostatek aktualizací může vést k:

• nesprávnému vyhodnocení rizik,
• používání nevhodných bezpečnostních opatření,
• porušování pravidel boje proti praní špinavých peněz.

Jako příklad uveďme finanční instituce.

Nedostatek účinného monitorování vztahů s klienty znamená, že instituce může přehlédnout transakce, které se odchylují od deklarovaného obchodního profilu klienta nebo nemají jasné obchodní zdůvodnění.

Podezřelé operace, jako jsou náhlé změny objemu transakcí, převody do nových zemí nebo neobvyklé zdroje finančních prostředků, mohou zůstat neodhaleny.

Z hlediska regulace mohou být důsledky takové nedbalosti velmi závažné.

Tlak regulačních orgánů zejména na finanční instituce v oblasti AML neustále roste. Z analýzy společnosti Fenergo týkající se sankcí v oblasti AML vyplývá, že celosvětová hodnota sankcí uložených finančním institucím v roce 2024 činila 4,6 miliardy USD (po rekordních 6,6 miliardy USD v roce 2023), přičemž 94 % všech sankcí v roce 2024 připadalo na Severní Ameriku. V první polovině roku 2025 již regulační orgány uložily pokuty ve výši 1,23 miliardy USD, což představuje nárůst o 417 % oproti první polovině roku 2024. (zdroj:)

Jak se tomu vyhnout

• Zavést cyklické kontroly KYC, např. čtvrtletní,
• automatizovat aktualizaci údajů,
• propojit KYC se sledováním činnosti klienta.

Nedostatek konzistentní komunikace a kultury dodržování předpisů v organizaci.

V čem spočívá chyba

Poslední, často přehlíženou chybou v procesu KYC je nedostatek důsledné interní komunikace a nedostatečné pochopení povinností v oblasti compliance ze strany zaměstnanců.

V praxi to znamená, že

• různé týmy (např. operační, onboarding, compliance) pracují izolovaně jeden od druhého,
• zaměstnanci nemají jasno o svých povinnostech v procesu KYC,
• postupy sice formálně existují, ale ve skutečnosti se neuplatňují.

Čím je to způsobeno

Nejčastěji je to způsobeno nedostatkem pravidelného školení a nedostatečným odhodláním organizace budovat kulturu dodržování předpisů.

Někdy je také problém v tom, že týmy jsou od sebe odtrženy a že KYC je považován za odpovědnost pouze oddělení compliance, nikoliv celé organizace.

Proč je to problém

Ani nejlépe navržené postupy KYC nebudou účinné, pokud jim zaměstnanci nebudou správně rozumět a nebudou je uplatňovat.

Nedostatečná konzistence operací může vést k:

• nedůslednému ověřování klientů,
• vynechání důležitých prvků procesu,
• zvýšenému riziku chyb a porušení právních předpisů.

Jak se tomu vyhnout

Pro zmírnění těchto rizik je vhodné:

• provádět pravidelná školení KYC a AML,
• jasně definovat role a odpovědnosti v tomto procesu,
• navázat spolupráci mezi týmy (compliance, provoz, IT),
• považovat dodržování předpisů za součást každodenní činnosti, nikoli za jednorázovou povinnost,
• používat školicí nástroje (např. online moduly, workshopy), které pomáhají udržovat aktuální znalosti v organizaci.

Shrnutí

Na evropských trzích, a zejména v Polsku, je právním základem pro činnosti v oblasti AML zákon z 1. března 2018 oAML a financování terorismu, který implementuje směrnice EUa stanoví povinnosti finančních institucí.

Shromažďování údajů a dokumentů ještě není KYC.

Nejčastější chyby, včetně zastaralého hodnocení rizik, nesprávného ověření totožnosti, špatné správy dat nebo považování procesu za jednorázový, mohou vést ke ztrátě zákazníků a dokonce k porušení právních předpisů.

Efektivní proces KYC vyžaduje průběžnou aktualizaci dat, automatizaci procesů, důkladné ověřování zákazníků a průběžné sledování jejich aktivit. Jen tak může instituce skutečně minimalizovat riziko a budovat důvěru zákazníků.

Vytvoření takového postupu však není nejjednodušší úkol, jak nám ukazuje příklad společnosti ING.

Jedním z řešení všech těchto problémů je odpovídající odborná podpora a výběr moderních, a především bezpečných technologických řešení.

Pokud si nejste jisti, zda jsou vaše postupy identifikace zákazníka adekvátní, obraťte se na naše odborníky a my vám pomůžeme vybrat správné metody ověření totožnosti zákazníka , které budou odpovídat vašim postupům KYC.

ČASTO KLADENÉ OTÁZKY

Proč bylo mé ověření KYC zamítnuto? A co mám dělat po zamítnutí ověření KYC?

Vaše ověření KYC mohlo být zamítnuto, pokud byly údaje zastaralé, dokumenty nesprávné nebo ověření totožnosti nebylo provedeno v souladu s postupy. V takové situaci je nejlepší doplnit chybějící údaje a předložit správné doklady, a pokud máte pochybnosti, obraťte se na instituci, která proces vyřizuje.

Jakých chyb se vyvarovat při procesu KYC?

Mezi nejčastější chyby v procesech KYC patří zastaralé nebo povrchní posouzení rizik klienta, nesprávné ověření totožnosti, nedodržení RODO a nedostatečná správa dat, považování KYC za jednorázový proces, nedostatek konzistentní komunikace a kultury dodržování předpisů v rámci organizace a nedostatečné monitorování transakcí. Každý z těchto problémů může vést k závažným důsledkům, včetně ztráty zákazníků, nesprávné klasifikace rizik a porušení právních předpisů.

Jak účinně předcházet chybám v procesu KYC?

Aby se minimalizovalo riziko chyb, měl by být proces KYC kontinuální a systematický. Je důležité pravidelně aktualizovat údaje o klientech a hodnocení rizik, automatizovat procesy ověřování totožnosti pomocí digitálních nástrojů, průběžně monitorovat aktivity a transakce klientů a zavést konzistentní komunikaci a kulturu dodržování předpisů v celé organizaci. Zároveň je důležité zajistit bezpečnost dat a soulad s předpisy, včetně RODO, aby byla chráněna instituce i zákazníci.

Jaké nástroje mohou podpořit KYC?

Automatizace a platformy pro digitální ověřování totožnosti, jako je například Autenti, mohou výrazně snížit riziko chyb, urychlit proces onboardingu a poskytnout úplnou auditní stopu. Mohou instituci umožnit efektivně spravovat aktualizace dat, ověřování dokumentů a sledování klientů při zachování souladu s předpisy.