EBA 远程客户入职（GL/2022/15）：Didit 的合规性分析 (ZH)

在过去十年中的大部分时间里，“我们能否远程引导客户？”是每个欧洲银行、电子货币机构（EMI）和支付公司都小心翼翼地回答的问题——答案往往是国家法规、监管期望和法律意见的拼凑。2022年，欧洲银行管理局（EBA）终于划定了一条明确的界限：关于使用远程客户入职解决方案的指南 EBA/GL/2022/15。它们明确告诉受监管公司，合规的远程入职流程必须做到什么。

Didit 正是为了这些指南而构建的。它不仅仅声称合规——独立的法律咨询公司 finReg360 针对 EBA/GL/2022/15 和即将生效的欧盟反洗钱（AML）单一规则手册，对 Didit 远程入职工具进行了审查，并得出结论：它符合要求。本文解释了这些指南的要求、其重要性，以及 Didit 如何精确地满足这些要求。

主要收获

• EBA/GL/2022/15 是欧盟范围内根据反洗钱和反恐怖融资（AML/CFT）规则进行合规远程客户入职的标准——它告诉公司如何远程获取、验证和确认身份。
• 它要求可靠的身份文件获取、证明个人真实存在（活体检测）、文件与个人匹配，以及每个步骤的完整、可审计记录。
• finReg360（一家独立的西班牙 AML/CFT 法律咨询公司）发布了一份日期为 2026-04-28 的备忘录，结论是 Didit 的远程入职工具符合 EBA/GL/2022/15，并与即将生效的 欧盟 AML 单一规则手册兼容。
• 该意见支持，在 Didit 的自动化控制到位的情况下，视频识别过程无需人工手动审查。
• Didit 将每项指南要求映射到具体的控制措施：文件验证、NFC 芯片读取、主动和被动活体检测、生物特征人脸匹配，以及通过 Webhook 实现的完整审计追踪。
• Didit 的其他认证也强化了同样的立场，包括西班牙财政部/SEPBLAC/CNMV 沙盒结论，即 Didit 的远程验证达到并超越了面对面身份识别标准。

规则要求什么

EBA/GL/2022/15 适用于欧盟境内的信用和金融机构，并规范它们如何依赖远程解决方案——视频、文件捕获、生物识别——在业务关系开始时识别和验证客户。这些指南在以下几个方面设定了期望：

• 可靠的身份捕获。解决方案必须以允许公司评估其真实性、有效性和完整性的方式捕获客户的身份文件——检测篡改、伪造和重复使用的图像。
• 存在和真实性证明（活体检测）。公司必须确信正在入职的人是真实的、在场的，并且是文件的真正持有者——而不是照片、视频回放、面具或深度伪造。
• 将个人与文件绑定。现场人员与身份文件上的照片之间进行可靠匹配。
• 风险敏感性。在洗钱风险较高时采用更严格的控制；能够升级到额外的检查。
• 记录保存和可审计性。完整的、防篡改的入职记录——捕获了什么、检查了什么、结果是什么——予以保留并可供监管机构检索。
• 解决方案的质量和监督，包括实施前的测试和对其性能的持续监控。

指南下反复出现的实际问题是，公司是否必须为每次视频识别保留人工审核员——这是一种成本高昂且无法扩展的模式。指南允许自动化流程，前提是控制措施足够强大，能够提供同等水平的保障。

为什么这很重要

远程入职出错的代价是双向的。如果入职过于宽松，就会让欺诈者、人头账户和受制裁方进入系统——随之而来的是罚款和执法行动。如果入职过于严格，每一步都由人工审核，就会阻碍增长，增加每个客户的成本，并导致申请人流失。

EBA/GL/2022/15 是监管机构和洗钱报告官（MLRO）判断公司远程入职是否合规的参考点。当供应商能够（在独立法律意见的支持下）证明其工具符合这些指南时，MLRO 的采购风险就会急剧下降。更难的问题（“这是否允许我们取消人工审核？”）正是 finReg360 备忘录所要解决的。

Didit 如何提供帮助

Didit 的远程入职是一组可组合的自动化控制措施，每个都映射到 EBA 的一项要求：

• 身份文件验证。Didit 可读取和验证来自 220 多个国家和地区的 14,000 多种文件类型，检查真实性、有效性和完整性——满足可靠捕获的要求。
• NFC 芯片读取。对于带有电子芯片的文件，Didit 直接从芯片读取加密签名数据（每次读取 0.15 美元），提供最高保障级别的证明，表明文件数据真实且未被篡改。
• 主动和被动活体检测。被动活体检测（0.10 美元）和主动活体检测（0.15 美元）确认是真实存在的活人——直接满足存在和真实性要求。Didit 的演示攻击检测已通过 iBeta Level 1 独立测试，符合 ISO/IEC 30107-3 标准，在 360 次攻击尝试中实现了 0% 的攻击成功率 / 0% 的 IAPAR。
• 生物特征人脸匹配。人脸 1:1 匹配（0.05 美元）将活人与文件照片绑定——满足指南要求的人证匹配。
• 完整的审计追踪。每个步骤都会发出 Webhook 事件（status.updated、data.updated），并记录下来以供检索，满足记录保存和可审计性要求。
• 通过编排实现风险敏感性。Didit 的无代码工作流构建器允许您精确地组合特定风险级别所需的检查，并进行升级——根据风险基础添加反洗钱筛选（0.20 美元，1,300 多个列表）、地址证明（0.20 美元）或升级验证。

Didit 的核心验证流程——身份识别 + 被动活体检测 + 人脸匹配 + 互联网协议（IP）分析——起价为 0.33 美元，每月提供 500 次免费检查，并按成功计费。

深度解读：finReg360 的合规性意见

在 2026 年 4 月 28 日，finReg360（一家位于马德里的独立 AML/CFT 法律咨询公司）发布了一份正式备忘录，分析 Didit 的远程客户入职工具是否符合 EBA/GL/2022/15 和新的欧盟监管框架。该备忘录详细阐述了 AML/CFT 规则下非面对面识别的监管框架、西班牙目前的立场、欧盟 AML 单一规则手册生效后的欧洲情况，并专门分析了视频识别过程是否需要人工审核。

其结论是：Didit 的远程入职工具符合 EBA 关于使用远程客户入职解决方案的指南，并与即将生效的欧盟 AML 单一规则手册兼容——并且在 Didit 的自动化控制到位的情况下，视频识别过程无需人工手动审核。

这份文件是洗钱报告官可以呈交给董事会或监管机构的文件：一份独立的法律意见，而非供应商的自我评估。它可以根据要求分发给潜在客户和现有客户。它补充了 Tesoro / SEPBLAC / CNMV 沙盒的结论——这是欧盟成员国政府唯一一项证明远程身份验证工具达到并超越面对面身份识别标准的认证。

使用案例

• 欧盟数字银行和电子货币机构，需要一个可辩护的、完全远程的入职流程，而无需配备人工视频审查团队。
• 支付机构，在多个欧盟市场扩展业务，需要监管机构认可的统一入职标准。
• 加密货币虚拟资产服务提供商 (VASP)，为欧盟 AML 单一规则手册和加密资产市场 (MiCA) 义务做准备。
• 贷款机构和经纪公司，在审计期间必须向监管机构展示风险敏感的入职流程。

常见问题

什么是 EBA/GL/2022/15？

它是欧洲银行管理局关于使用远程客户入职解决方案的指南——欧盟范围内关于受监管公司如何根据 AML/CFT 规则远程验证身份的标准。

Didit 的远程入职是否需要人工审核每个会话？

根据独立的 finReg360 法律意见，不需要——在 Didit 的自动化控制到位的情况下，视频识别过程无需人工手动审核。如果您的内部政策要求，您仍然可以通过编排在风险基础上添加人工审核。

finReg360 备忘录可以与我的监管机构分享吗？

它可以根据要求分发给潜在客户和现有客户。它是一份独立的法律意见，正是为采购和 MLRO 使用而设计的；是否提交给监管机构由您的公司决定。

Didit 如何证明活体检测符合指南预期标准？

通过主动和被动活体检测，其演示攻击检测已通过 iBeta Level 1 独立测试，符合 ISO/IEC 30107-3 标准，在 360 次攻击尝试中实现了 0% 的攻击成功率。

这是否也涵盖新的欧盟 AML 单一规则手册？

finReg360 备忘录的结论是，Didit 的远程入职与即将生效的欧盟 AML 单一规则手册兼容，除了 EBA/GL/2022/15 之外。

准备好开始了吗？

在信任中心查看 Didit 的认证和监管立场，探索身份验证产品，并在定价页面查看透明的按次检查定价。准备好后，免费开始——每月 500 次免费 KYC 检查，核心验证流程从 0.33 美元起。