Več o servisu in kripto žetonu TRG.SI?
envelop
Oddaj oglas!
Prijava

Opis AML/KYC postopkov in politik skladnosti poslovanja

Datum: 3.3.2026

Pripravil: Petrov & Petrov d.o.o.

Projekt: Platforma TRGSI z lastnimi kripto žetoni

1. Uvod in zaveza k skladnosti poslovanja

Naše podjetje se zaveda odgovornosti, ki izhaja iz Zakona o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2) ter novele ZPPDFT-2B, ki je začela veljati aprila 2025. Prav tako upoštevamo določbe Zakona o izvajanju Uredbe (EU) o informacijah, ki spremljajo prenose sredstev in določenih kriptosredstev (ZIUIPSK).

Zavezujemo se k vzpostavitvi robustnega sistema za preprečevanje pranja denarja in financiranja terorizma, ki temelji na načelu "Spoznaj svojo stranko" (KYC) in skrbnem preučevanju poslovnih subjektov (KYB), kjer je to relevantno.

2. Tehnična infrastruktura in varstvo podatkov

Naša tehnična zasnova temelji na načelu "Privacy by Design" in zagotavlja popolno skladnost s Splošno uredbo o varstvu podatkov (GDPR):

Lokacija podatkov: Vsa osebna in identifikacijska dokumentacija uporabnikov je shranjena izključno na lastnih strežnikih pri slovenskem spletnem ponudniku, ki zagotavlja polno skladnost z GDPR. S tem zagotavljamo, da podatki ne zapuščajo ozemlja Republike Slovenije oziroma EU, razen v primerih, ko bi bilo to nujno potrebno in zakonsko dopustno.

Varnostni standardi: Strežniško okolje uporablja sodobne varnostne protokole (TLS 1.3 za šifriranje prenosov, redne varnostne kopije, požarne pregrade in sistem za zaznavanje vdorov). Vsa komunikacija med uporabnikom in platformo poteka izključno preko šifriranih povezav (HTTPS).

3. Programska rešitev za AML/KYC: Ballerine

Za izvajanje postopkov skrbnega preučevanja strank uporabljamo odprtokodno platformo Ballerine (https://ballerine.com), ki jo namestimo v lastnem strežniškem okolju.

Zakaj Ballerine:

  • Popoln nadzor nad podatki (Data Sovereignty): Ker gre za self-hosted rešitev, ostajajo vsi občutljivi podatki v naši domeni in pod našim nadzorom, kar je ključnega pomena za skladnost z ZPPDFT-2 in GDPR.
  • Prilagodljivost (Flexibility): Omogoča nam oblikovanje popolnoma prilagojenih KYC in AML tokov, ki ustrezajo specifiki naše platforme in tveganjem, povezanim s kriptožetoni.
  • Modularna arhitektura: Sestavljen je iz modulov, ki jih lahko poljubno kombiniramo:
  • Workflows (Delovni tokovi): Za orkestracijo posameznih korakov KYC postopka.
  • Collection Flows (Obrazci za zbiranje podatkov): Za zbiranje osebnih podatkov in dokumentov uporabnikov.
  • Rules Engine (Pravilnik): Za avtomatsko dodeljevanje ocen tveganja na podlagi vnaprej določenih pravil.
  • Case Management (Upravljanje primerov): Vmesnik za ročni pregled spornih primerov s strani naših pooblaščenih oseb.
  • VTI (Plugins): Omogoča enostavno integracijo z zunanjimi viri podatkov, kot so registri insolventnosti, seznami sankcioniranih oseb (SDN liste), uradni poslovni registri in drugi AML servisi.

4. Tehnološki sklad: Svelte 5 in integracija

Ballerine v našo platformo, razvito s Svelte 5 frameworkom, integriramo na naslednje načine:

  • Vgradljivi uporabniški vmesniki (Embeddable UI): Ballerine ponuja vnaprej pripravljene React/Svelte komponente, ki jih uporabljamo za izgradnjo uporabniške izkušnje pri oddaji dokumentov (t.i. "Collection Flow").
  • API komunikacija: Zaledni del platforme preko REST API-jev komunicira z Ballerine "Workflows Service", ki skrbi za ustvarjanje in posodabljanje KYC primerov ter proženje pravilnikov.
  • Spletne kljuke (Webhooks): Ko Ballerine zaključi obdelavo primera (npr. "odobreno", "zavrnjeno"), preko webhook-a obvesti našo platformo, ta pa ustrezno ukrepa (npr. odobrila dostop do storitev).

5. Opis KYC/AML postopkov (Delovni tok)

Načrtujemo uvedbo večstopenjskega KYC postopka, ki je sorazmeren z ocenjenim tveganjem posamezne transakcije oziroma uporabnika.

A. Postopek ob prijavi / registraciji

Zbiranje osnovnih podatkov: Uporabnik preko Collection Flow modula (razvitega v Svelte 5) vnese osebne podatke (ime, priimek, naslov, datum rojstva, državljanstvo).

Identifikacija z dokumentom:

  • Uporabnik je pozvan k nalaganju osebnega dokumenta (potni list, osebna izkaznica).
  • Ballerine izvede preverjanje pristnosti dokumenta (z uporabo OCR in morebitnih integracij z zunanjimi ponudniki).

Preverjanje identitete:

  • Selfie / Video verifikacija: Uporabnik mora narediti selfie ali kratek video, ki ga Ballerine primerja s fotografijo na osebnem dokumentu (tehnologija prepoznavanja obrazov).
  • Preverjanje naslova (dokazilo o naslovu): Po potrebi uporabnik mora predložiti dokazilo o naslovu (račun za komunalne storitve, bančni izpisek), ki ni starejše od 3 mesecev.

B. Preverjanje in vrednotenje tveganja

Sankcijski seznami (Sanctions & PEP Screening): Po uspešno zbranih podatkih Ballerine preko vgrajenih ali zunanjih virov (pluginov) preveri, ali se uporabnik nahaja na katerem od:

  • Seznamov sankcioniranih oseb (npr. OFAC SDN, EU restrictive measures).
  • Seznamov politično izpostavljenih oseb (PEP lists).
  • Seznamov mednarodnih sankcij.

Pravilnik za oceno tveganja (Risk Rules Engine): Na podlagi zbranih podatkov in rezultatov preverjanj sistem uporabi vnaprej določena pravila za dodelitev ocene tveganja (nizko, srednje, visoko). Primeri pravil:

  • IF državljanstvo = "Slovenija" AND ni zadetkov na sankcijskih seznamih THEN ocena tveganja = "nizko" → avtomatska odobritev.
  • IF državljanstvo = "tretja država z visokim tveganjem" OR zadetek na PEP seznamu THEN ocena tveganja = "visoko" → ročni pregled.

Ročni pregled (Manual Case Review):

Vsi primeri z oceno "visoko" tveganje, primeri s tehničnimi težavami (npr. neberljiv dokument) ali primeri, kjer je prišlo do zadetka na sankcijskih seznamih, so preusmerjeni v modul Case Management.

Naš usposobljeni skrbnik za skladnost poslovanja se prijavi v vmesnik, pregleda celotno dokumentacijo in sprejme dokončno odločitev o (ne)odobritvi uporabnika. Vmesnik omogoča tudi komunikacijo z uporabnikom (npr. zahteva po ponovnem nalaganju dokumentov).

C. Stalno spremljanje (Ongoing Monitoring)

V skladu z ZPPDFT-2 izvajamo stalno spremljanje poslovnih odnosov. To vključuje redno (npr. letno) ali dogodkovno (ob večjih transakcijah) ponovno preverjanje uporabnikov glede na posodobljene sankcijske liste in druge vire tveganja.

Spremljamo tudi sumljive vzorce transakcij (npr. nenadna visoka aktivnost, povezovanje z znanimi sumljivimi naslovi), za kar nadgradimo pravila v Ballerine-ovem pravilniku.

6. Politika hrambe podatkov in pravice posameznikov

Hramba: Vsi osebni podatki, zbrani v KYC postopku, so hranjeni v skladu z zakonskimi roki, določenimi v ZPPDFT-2 (praviloma 10 let po prenehanju poslovnega razmerja). Po preteku tega roka so podatki varno izbrisani.

Pravice posameznikov: Zagotavljamo uresničevanje vseh pravic posameznikov po GDPR:

  • Dostop do podatkov: Uporabnik lahko zahteva vpogled v vse svoje podatke.
  • Popravek: Uporabnik lahko zahteva popravek netočnih podatkov.
  • Pravica do pozabe: Uporabnik lahko zahteva izbris podatkov, razen v delu, kjer smo jih dolžni hraniti zaradi zakonskih obveznosti.
  • Omejitev obdelave in ugovor: V skladu z 21. členom GDPR.

7. Politika do tveganj in zaščita pred goljufijami

Poleg zgoraj opisanih postopkov izvajamo še dodatne ukrepe:

  • Omejitev hitrosti (Rate limiting): Preprečevanje avtomatiziranih napadov in botovskega ustvarjanja računov.
  • Zaznavanje sumljivih vzorcev (Anomaly detection): Spremljanje IP-naslovov, vzorcev vedenja in povezav med računi za odkrivanje morebitnih shem pranja denarja.
  • Usposabljanje osebja: Vse osebe, ki imajo dostop do Case Management modula, so ustrezno usposobljene za prepoznavanje sumljivih transakcij in ravnanje v skladu z internimi politikami in zakonodajo.

8. Zaključek

Z opisano tehnično infrastrukturo in postopki verjamemo, da delujemo v polni skladnosti s slovensko in evropsko zakonodajo s področja preprečevanja pranja denarja in financiranja terorizma ter varstva osebnih podatkov. Zavezani k nenehnemu izboljševanju svojo politiko redno posodabljamo v skladu s spremembami zakonodaje in novimi oblikami tveganj.