המשרד לפיקוח על נכסים זרים במשרד האוצר האמריקאי (OFAC) פרסם לאחרונה (30.04.20) ממצאי פעולת אכיפה בעניינה של חברת American Express Travel Related Services Company ("Amex"), שבה נמצא כי החברה הפרה את משטר הסנקציות של ה-OFAC בעקבות הנפקת כרטיס פרי-פייד ליחיד מוכרז. 

בשנת 2015, בנק לא אמריקאי (ששמו לא צוין בהודעה) קיבל בקשה להנפקת כרטיס פרי-פייד מסוג American Express GlobalTravel. מגיש הבקשה היה  Gerhard Wisser, אזרח גרמני שהוכנס לרשימת ה-SDN של OFAC בשל מעורבותו ברשת  פקיסטנית להפצת נשק להשמדה המונית. 

כאשר אותו בנק הזין את פרטיו של Wisser במערכת הסריקה הפנימית שלו, המערכת זיהתה את שמו אל מול השם שהופיע ברשימת ה-SDN והפיקה הודעת דחייה אוטומטית שלא אפשרה להמשיך בתהליך ההנפקה. הבנק המשיך וביצע מספר ניסיונות רצופים לאישור הבקשה במנוע החיפוש (שפותח ע"י חברה בת של Amex ), מה שהוביל ל-"time out" במנוע החיפוש ולאישור אוטומטי של הבקשה ע"י Amex. במקביל, מנוע החיפוש ניתב את פרטי הלקוח לרשימת לקוחות המצריכים בדיקה ידנית בשל התאמה פוטנציאלית לרשימות סנקציות, אך עובד הציות שבדק את הבקשה שלל את ההתאמה בין הלקוח ליחיד המוכרז. כתוצאה מכך, אותו יחיד נכנס לרשימת הלקוחות המאושרים ("Accept List")  של Amex , והצליח לבצע פעולות ומשיכות שונות בכספומטים בגרמניה ובאיחוד האמירויות הערביות, בסכום כולל של כ-35 אלף דולר. 

בהודעת OFAC נכתב כי העובדה ש- Amex נתנה אישור אוטומטי לבקשת הנפקה, באותם מקרים שבהם מנוע החיפוש הוביל ל-system timeout, היוותה ליקוי קריטי בתכנית הציות של  החברה. עם זאת, OFAC החליט שלא להטיל קנס כספי על החברה, לאור העובדה ש- Amex דיווחה מיוזמתה על ההפרה, תיקנה את הליקוי ושיתפה פעולה עם חקירת OFAC. עוד נמסר, כי המקרה ממחיש את החשיבות שיש ליישום צעדים שיאפשרו לוודא כי לא ניתן לעקוף בקרות אוטומטיות בתחום הציות לסנקציות ("cannot be overridden"), מבלי שתתבצע בדיקה נאותה. 

פורסם 04-05-2020