עולם חדש ואמיץ - קריפטו ו-KYC

[paskar]

bit 2c התחילו לנדנד על KYC. אם מישהו עשה את התהליך, מה בדיוק הם רוצים?
או איך אפשר לוותר (הצטרפתי לפני שהיו דרישות כאלה), ולמשוך את מה שיש שם?

יש לי שם משהו מינימלי, חסר משמעות, שלא קרוב לדגדג מבחינת הלבנת הון. בלי ה-KYC החדש נראה שאי אפשר למשוך, וגם לא לסחור.

כמקובל בימינו, הם לא מסבירים מראש מה הם רוצים בתהליך. ואנשים אמורים להרכין ראש, לעשות מה ואיך שחברות (גדולות כקטנות) אומרות להם, ולקוות לטוב. כולם אשמים כל עוד לא הוכח אחרת, וחברות קטנות יכולות וצריכות לקבל תמונות ומידע אישי מאנשים גם בשביל להעביר שקל.

לא מוצא חן בעיני מבחינת השלכות פרטיות-אבטחה, וגם, סליחה, כבוד או חירות בסיסיים.

בין השאר משתמע שהם רוצים שאנשים יצלמו תמונת אסיר, בלייב, מהטלפון:

פלוס אולי עוד צילום ת"ז (לא הספיק בזמן פתיחת החשבון?).

ניסיתי לפענח מה קורה שם, נראה שהתהליך עובר דרך 2 חברות חיצוניות:
Scanovate, ו-ElectronicId

kyc360 Demo

Scanovate is Creating Cyber Identity for financial institutions using a comprehensive platform that transforms compliance to a frictionless, profit generatin...

www.youtube.com

אני בטוח שהכל מאובטח.*

* ב-AWS bucket ללא סיסמא.

 

[Libertad]

מניח שזה בעקבות הצו לאיסור הלבנת הון לנותני שירותים פיננסיים שייכנס לתוקף בנובמבר.

 

[TWOSIXNINE]

אני מאד מזדהה אתך בנוגע לבעייתיות-משהו בעידן הפרטיות שבו אנו חיים.
תהליך הסריקה של הפנים באמת מעלה תחושת של צילום פרופיל אסירים, עם זאת אני רוצה להאמין שבעתיד (כמשקיע נקי ופועל על פי חוק) כל הזיהוי הזה יהיה נקודת זכות לטובתי מול הרשויות הרלוונטיות.

אני בעצם אומר להם ״אין לי מה להסתיר, הכל שקוף״.
זה לפחות מה שגרם לי להמשיך בתהליך.

מצד שני,
פייסבוק, יש לך?

לפחות כאן אתה האחראי הבלעדי לשיתוף המידע בעוד שהרשתות החברתיות מלקטות מידע אודותיך במודע ושלא במודע, בהסכמתך ושלא בהסכמתך (אם נרצה או לא).

אנשים אמורים להרכין ראש, לעשות מה ואיך שחברות (גדולות כקטנות) אומרות להם, ולקוות לטוב

יש ברירה?

נ.ב
אהבתי את הכותרת

 

[paskar]

למה שאנשים יצטרכו להראות שאין להם מה להסתיר, ואיך תמונה כזו מוכיחה משהו?

לבנק לא הייתי צריך לעשות את זה. אז לא ברור למה לפעולות קטנות יותר, בחברה של 5 אנשים, כן צריך.

וגם יש את העניין המשני. למה התהליך לא שקוף מראש, אלא מוביל אותך שלב אחד בכל פעם, כך שאם בשלב מאוחר יותר אתה מחליט שזה לא בשבילך כבר יש להם את המידע שנתת בשלבים מוקדמים יותר. אם עשית את התהליך, מה הוא כלל?

מצד שני, פייסבוק, יש לך?

לא.

יש ברירה?

כן. להתנגד לזה כלפי החברות, והגופים השלטוניים.
וגם למזער את נתינת מידע למינימום, כי לכולם בצד השני נוח לבקש יותר ממה שצריך כדי קל להם יותר, "שיהיה".

 

[sogi]

זה לא שיש לך ברירה, כי כל אתר קריפטו מבקש את זה כיום (לאו דווקא תמונת אסיר, אבל איזושהי וריאציה של סלפי).

מה שכן, אם כבר עושים את זה אז עדיף לעשות את זה באתר גדול ורציני ולא באתר של 5 אנשים.

אישית, עשיתי את התהליך בבייננס.

למזלי מביטוסי הוצאתי הכל לפני הרבה זמן, כשהם התחילו לעשות שטויות כמו עמלת אי פעילות וכו'. אז אני לא אצטרך לעשות תמונת אסיר בשביל האתר הזה...

 

[Libertad]

לבנק לא הייתי צריך לעשות את זה. אז לא ברור למה לפעולות קטנות יותר, בחברה של 5 אנשים, כן צריך.

מה הקשר חברה של 5 אנשים? הם נדרשים לעשות KYC.

 

[TWOSIXNINE]

למה שאנשים יצטרכו להראות שאין להם מה להסתיר

שמסלול הכסף חוקי, אתה בוודאי מודע לדעות הקדומות אודות ביטקוין (פשיעה וכו׳)

ואיך תמונה כזו מוכיחה משהו

אמצעי זיהוי דפניטיבי. בלי זהויות כפולות ובלי משחקים.

לבנק לא הייתי צריך לעשות את זה

לבנק שלך שקשור בחבל הטבור לממשלה יש (את האפשרות לגשת לכל) המידע שתרצה ולא תרצה לחלוק.
גוף כזה לא באמת מעניין אותו אם יש לו את התמונה שלך או לא.

לא

גם לי. אני יכול לבחור לא להיות שותף ברשתות החברתיות ולהגביל את כמות הפרטים שאוספים אודותיי אבל אם אני רוצה לסחור/להשקיע במטבע דיגיטלי אין לי באמת ברירה. עצוב. אבל הברירה השנייה היא לא לסחור/להשקיע בקריפטו.

 

[sogi]

מה הקשר חברה של 5 אנשים? הם נדרשים לעשות KYC.

ככל שהחברה קטנה יותר כך יש יותר סיכוני סייבר.
בחברות גגולות יש יותר אמצעים כדי להעסיק צוותי סייבר שייגנו על המידע של המשתמשים.

 

[Libertad]

ככל שהחברה קטנה יותר כך יש יותר סיכוני סייבר.
בחברות גגולות יש יותר אמצעים כדי להעסיק צוותי סייבר שייגנו על המידע של המשתמשים.

אף אחד לא מכריח אותך להשתמש בביטוסי, לעומת זאת ביטוסי נדרשים לבצע KYC ללקוחות שלהם.

 

[Libertad]

לבנק שלך שקשור בחבל הטבור לממשלה יש (את האפשרות לגשת לכל) המידע שתרצה ולא תרצה לחלוק.
גוף כזה לא באמת מעניין אותו אם יש לו את התמונה שלך או לא.

בנוסף אם אני לא טועה יש פעולות שאי אפשר לבצע בבנק ללא הגעה פיזית כדי להזדהות.

 

[sogi]

בנוסף אם אני לא טועה יש פעולות שאי אפשר לבצע בבנק ללא הגעה פיזית כדי להזדהות.

הנקודה היא שאין עדות לכך הבנק שומר את המידע אחרי ההזדהות, בניגוד לשמירת המידע בתהליך ה-KYC.

אם אתה מזדהה פיזית בסניף אז אין צילום וידאו של השיחה שלך עם הבנקאי. יש אומנם מצלמות אבטחה ששומרות את המידע לזמן מסויים (שנה?) אבל הם בטח לא באיכות של הסלפי שה-KYC דורש.

כנ"ל בבנקים שעושים שיחות וידאו (למשל פפר) - אין עדות שהוידאו נשמר.

 

[TWOSIXNINE]

כן. להתנגד לזה כלפי החברות, והגופים השלטוניים

העובדה שהעליתי תמונת פרופיל שלי אינה אומרת שאיני מתנגד.

 

[Libertad]

הנקודה היא שאין עדות לכך הבנק שומר את המידע אחרי ההזדהות, בניגוד לשמירת המידע בתהליך ה-KYC.

אם אתה מזדהה פיזית בסניף אז אין צילום וידאו של השיחה שלך עם הבנקאי. יש אומנם מצלמות אבטחה ששומרות את המידע לזמן מסויים (שנה?) אבל הם בטח לא באיכות של הסלפי שה-KYC דורש.

כנ"ל בבנקים שעושים שיחות וידאו (למשל פפר) - אין עדות שהוידאו נשמר.

חשבתי שהנקודה זה ה-KYC. אם יש לך בעיה עם רמת אבטחת המידע בחברה מסוימת, אל תעשה איתה עסקים. אני מבין את זה שפות"ש נקלע לסיטואציה מבאסת, אבל אין באמת מה לעשות עם זה. היו כבר מקרים הרבה יותר חמורים בעקבות שינוי מדיניות פתאומי (מס רווחי הון רטרואקטיבי שנלקח על קריפטו ב-2018).

אגב אתה מרגיש יותר בטוח ששלחת סלפי שלך לבייננס? בדקת את רמת אבטחת המידע שלהם? כבר פרצו להם בעבר.

 

[TWOSIXNINE]

*הערת צד ברוח השרשור

מה באמת המדיניות של ביטוסי במידה והחלטתי לסגור את החשבון/ לנתק איתם קשר ?

 

[paskar]

מישהו יכול לספר מה תהליך ודרישות ה-KYC של b2c?


(אגב, אני יכול להגיד שב-KYC לפני כמה חודשים בחברה ביטוח ישראלית, עם סכומים גדולים בכמה סדרי גודל, לא רצו שום תמונות חדשות ושום תהליך אונליין.)

בנוסף אם אני לא טועה יש פעולות שאי אפשר לבצע בבנק ללא הגעה פיזית כדי להזדהות.

אולי אי אפשר לעשות הכל כשפותחים בבנק אונליין, אבל עדיין אפשר פעולות בהיקף גדול יותר מכל מה שעשיתי אי פעם ב-b2c.

אף אחד לא מכריח אותך להשתמש בביטוסי, לעומת זאת ביטוסי נדרשים לבצע KYC ללקוחות שלהם.

נכון. אבל אני כבר שם, מלפני שדרשו דברים כאלה. אם יתעקשו, אנסה לראות איך לצאת בלי לתת להם עוד תמונות ונתונים. נראה שצריך לעבור לפעילות קריפטו מחתרתית.

מה הקשר חברה של 5 אנשים? הם נדרשים לעשות KYC.

החוקים מכריחים חברות שאין להן יכולת לשמור או לנהל מידע (ראה למטה), לקחת יותר מידי מידע מאנשים. ובמקביל, בלי שום בקרה על אופן לקיחת/עיבוד/שמירת המידע. מצד אחד, דרישות חוקיות דרקוניות. מצד שני, התנערות מוחלטת של המדינה מלקחת אחריות על ההשלכות של הדרישות האלה. אה כן, אולי יש חוק פלילי לגבי מאגרי מידע. נראה שכולם מאוד מתרגשים, והכל פועל מעולה.

אם אי אפשר לסמוך על גופים גדולים הרבה יותר, ראה שירביט ו-city4u/אוטומציה החדשה (כתבה בנושא) (בהנחה שמקרה הפצת צילומי הת"ז האחרון הוא אכן דליפה חדשה ואכן מהם), אני לא רואה סיבה לסמוך על חברות זעירות.

אגב אתה מרגיש יותר בטוח ששלחת סלפי שלך לבייננס?

לא הופנה אלי, אבל לא, אני לא סומך על חברות גדולות ומפוקפקות בחו"ל (כגון בייננס), והאמת גם לא על חברות ידועות בארץ. אין מסמכים פרטיים שלי אצל אף אחד בחו"ל.
כבר צריך KYC בבייננס לפעולות בסכומים נמוכים? אין לי כרגע כלום אצלם.

שמסלול הכסף חוקי

כל הכסף השקלי שלי שב-b2c הגיע מחשבון הבנק שרשום אצלם*. כל הקריפטו שהגיע לשם יצא מהם וחזר אליהם.
ובעיקר, מה שהוזכר בדיון אחר כאן: הסכומים שיש ועברו שם הם כל כך חסרי משמעות שהדרישה לתת עוד מידע, תמונות, ולעבור השפלות בשביל זה, היא חסרת הגיון. אולי מישהו יקח את זה לבימ"ש על בסיס כבוד האדם וחירותו?

* הם שומרים את פרטי חשבון הבנק על שרת הווב שלהם, ומנגישים אותם לאינטרנט כשמחוברים לחשבון. כשל אבטחתי-תכנוני. אם את זה הם לא מצליחים לעשות, לא נראה לי רעיון טוב לתת להם ולחברות האווטסורסינג שלהם עוד תמונות ועוד מידע.

אמצעי זיהוי דפניטיבי. בלי זהויות כפולות ובלי משחקים.

לא רואה איך זה מוכיח יותר מת"ז שכבר יש להם. פוטושופ היא לא תוכנה חדשה. גם עם וידאו אפשר לעשות משחקים, אם כי זה דורש יותר מאמץ ועבודה.

הברירה השנייה היא לא לסחור/להשקיע בקריפטו.

נקווה ש-DEX ישתפרו טכנולוגית ויהפכו למיינסטרים.
אפשר גם פנים-אל-פנים, אבל אכן לא טובי למסחר שוטף, וקשה אם אתה לא בתל-אביב.

העובדה שהעליתי תמונת פרופיל שלי אינה אומרת שאיני מתנגד.

כלפי חוץ, אף אחד לא יודע שאתה מתנגד.

מה באמת המדיניות של ביטוסי במידה והחלטתי לסגור את החשבון/ לנתק איתם קשר ?

נגלה בקרוב.

 

[Libertad]

@paskar, קודם כל אבהיר שאני בצד שלך לגמרי ומסכים עם רוב מה שכתבת.

למעשה החלק היחיד שאני לא מסכים איתו זה שאתה לא לוקח אחריות על הבחירות שלך. נרשמת והפקדת כסף לבורסה שאתה קורא לה "חברה של 5 אנשים" וצוחק על רמת אבטחת המידע שלה. בעיה שלך לא?
בנוסף, מדברים על חוקי הלבנת הון והקשחת הרגולציה כבר המון זמן, זאת הייתה אחריות שלך להבין את המשמעות. כמו ש@sogi כתב כל בורסה בחו"ל תבקש ממך את אותו הדבר, כולל עוד הרבה נותני שירות פיננסיים בארה"ב (לא רק בקריפטו).

אז שוב, אני מסכים עם הנקודות שהעלית, ואני מבואס בשבילך שכנראה תצטרך לשלוח סלפי לחברה של 5 אנשים, אבל אלו דברים שיכולת למנוע מראש. או במילים אחרות - בוקר טוב.

 

[paskar]

ממש לא התלהבתי להרשם אצלם ולתת להם מידע, אבל בזמנו זה היה מוגבל לצילום ת"ז ומספר חשבון, והם נראו הרע במיעוטו.
לא ידעתי איך הם מטפלים בנתונים לפני שנרשמתי אליהם.

לא ציפיתי לתוספת דרישות אחרי כמה שנים, ובטח לא בסכומים הקטנים שמדובר במקרה הזה. אם בנקים לא דורשים תוספת מידע, למה כאן כן?
(אולי הלבנת 1₪ בקריפטו שווה ל-100,000₪ פיאט בשקלול עליית ערך עתידי? )

 

[TWOSIXNINE]

לא רואה איך זה מוכיח יותר מת"ז שכבר יש להם

זיהוי פנים בימנו שווה משקל לדגימת הרוק /טביעת האצבע שלך מבחינת איכות הזיהוי. מאידך, ת״ז אפשר לזייף.

כלפי חוץ, אף אחד לא יודע שאתה מתנגד.

לא מסכים. אני יכול להחליט להצטרף אליהם ובמקביל גם לחתום על עצומה / לנסח מכתב ולפעול בערוצים אחרים אף על פי.

נקווה ש-DEX ישתפרו טכנולוגית ויהפכו למיינסטרים

נכנסתי לקישור. לא הכרתי לפני כן אז תודה על השיתוף.

בדיוק היום יצא לי להשתעשע במחשבה של עולם פיננסי (אם כי לא רק) ללא Middle Man.

נניח עולם ובו יש לך את האפשרות לסחור בעצמך בבורסה. בלי ברוקרים. בלי אף יד מתווכת. אתה (לקוח) והשוק.
שולח את הפקודות ישירות לבורסה. קונה. מחזיק. מוכר.
(
לא היית רוצה לדעת שהבורסה מפוקחת?
שמתבצעת אכיפה?
שהיא תוכל לתת לך תמיכה בבעיות?
אולי תבטח את כספך (בדומה למודל IB)?
)

איך היית רוצה שהיא תזהה אותך?
שתדע (המערכת) בוודאות שאתה אכן אתה?

 

[paskar]

זיהוי פנים בימנו שווה משקל לדגימת הרוק /טביעת האצבע שלך מבחינת איכות הזיהוי.

אני לא רואה איך מה שהם עושים מקביל לחוזק של הדברים האלה.
וגם אם נניח שכן, אני לא רוצה את זה. לא הייתי רוצה לתת טביעת אצבע או דגימת DNA בקניות במכולת.

אני יכול להחליט להצטרף אליהם ובמקביל גם לחתום על עצומה / לנסח מכתב ולפעול בערוצים אחרים

אני מניח שאכן. אם כי כל עוד רוב הקהל בסופו של דבר הולך בתלם, לא יודע עד כמה זה ישפיע.

לא היית רוצה לדעת שהבורסה מפוקחת?
שמתבצעת אכיפה?

שיהיו כל האפשרויות, וכל אחד יבחר את מה שמוצא חן בעיניו.

גם ביטוח לא דורש לגלות זהות אמיתית. מספיק הוכחות ל: בעלות, תשלום על הביטוח, ומקרה ביטוחי.

איך היית רוצה שהיא תזהה אותך?
שתדע (המערכת) בוודאות שאתה אכן אתה?

באותו אופן שקריפטו פועל: מפתחות פרטיים, חתימות דיגיטליות, וכו'.

מי שרוצה משהו יותר הפיך ומפוקח, שישתמש בנותני שירותים שבנויים על התשתית הטכנולוגית הבסיסית-נייטרלית שתהיה נגישה גם ישירות לאנשים מן הישוב.

 

[Libertad]

ממש לא התלהבתי להרשם אצלם ולתת להם מידע, אבל בזמנו זה היה מוגבל לצילום ת"ז ומספר חשבון, והם נראו הרע במיעוטו.
לא ידעתי איך הם מטפלים בנתונים לפני שנרשמתי אליהם.

לא ציפיתי לתוספת דרישות אחרי כמה שנים, ובטח לא בסכומים הקטנים שמדובר במקרה הזה. אם בנקים לא דורשים תוספת מידע, למה כאן כן?

בשנים האחרונות מדברים המון על הקשחת הרגולציה על מנת שהבנקים יוכלו לאשר הזרמה של כסף מהקריפטו אליהם, בורסת ביטוסי היא נותן שירות פיננסי ישראלי והולכת להיות תחת פיקוח הדוק לאחר שהצו לאיסור הלבנת הון ייכנס לתוקף בנובמבר.

מי שהיה ער לשינויים האלה עשה מה שצריך, כבר לפני שנתיים סגרתי את החשבונות שלי בבייננס, פולוניקס, ביטפינקס, ובכל מיני בורסות DEX שכוחות אל שנרשמתי אליהן. אני לא מאשים אותך אני רק אומר שזה לא הגיע בהפתעה.

קח לדוגמה כתבה שמדברת על הסלפי הזה כבר בתחילת 2019, לפי הכתבה זו דרישה של FINMA (רשות הפיקוח על שוק ההון של שווייץ):

Personal photo now needed to meet KYC verification regulation | Bity

FINMA regulation now requires a personal photo (selfie) to be submitted by users in order to complete KYC verification. Read now to learn more.

blog.bity.com

עריכה:
מצאתי כתבה מפברואר 2018:

Swiss watchdog tweaks digital onboarding rules

Swiss financial markets regulator Finma has updated its rules for digital client onboarding to reflect advances in technology such as the ability to authenticate a user with a "selfie with liveness detection".

www.finextra.com

איך היית רוצה שהיא תזהה אותך?
שתדע (המערכת) בוודאות שאתה אכן אתה?

למה שהמערכת תדע שזה אתה? אתה בסה"כ נכנס וסוחר מול מישהו אחר p2p. אם איבדת את הסיסמה אין לך דרך לשחזר אותה אפילו. כמו ש @paskar כתב:

באותו אופן שקריפטו פועל: מפתחות פרטיים, חתימות דיגיטליות, וכו'.