Dyrektywa PSD2 a obowiązek przeciwdziała­nia praniu pieniędzy i finansowaniu terroryzmu

Zakres regulacji PSD2

Dla nieregulowanych do tej pory TPP wywoła to szereg wątpliwości praktycznych dotyczących zakresu, w jakim podmioty te będą zobowiązane do wypełniania obowiązków z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Od daty ostatecznej transpozycji do prawa krajowego przepisów PSD2, tj. od 13 stycznia 2018 r., TPP, jako instytucje płatnicze staną się podmiotami zobowiązanymi na gruncie AML IV^[5] i formalnie spoczywać na nich będą wszystkie przewidziane w AML IV obowiązki w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Z drugiej jednak strony specyfika, a często również skala świadczonych przez TPP usług, pozwala uznać je za podmioty w mniejszym stopniu będą musiały osobiście wykonywać  środki określonych w ALM IV niż ma to miejsce w przypadku pozostałych podmiotów zobowiązanych, które są bezpośrednio zaangażowane w transakcje finansowe dokonywane przez klientów oraz wchodzą w posiadanie należących do klientów środków finansowych.

Środki należytej staranności i analiza ryzyka – zasady ogólne

Nie ulega wątpliwości, że jednym z podstawowych wymogów regulacji AML IV jest obowiązek stosowania przez instytucje zobowiązane środków należytej staranności opisanych w art. 13 ust. 1 AML IV. Środki te polegają na:

a)     identyfikacji i weryfikacji tożsamości klienta,

b)    identyfikacji i weryfikacji tożsamości beneficjenta rzeczywistego

c)     ocenie i uzyskiwaniu informacji na temat celu i zamierzonego charakteru stosunków gospodarczych klienta

d)    prowadzeniu bieżącego monitorowania stosunków gospodarczych z klientem

Przy czym środki, o których mowa w lit. a-c powyżej, powinny co do zasady być podejmowane przez podmioty zobowiązane przed zawarciem umowy z klientem (względnie przed przeprowadzeniem przez niego pojedynczej transakcji), natomiast bieżący monitoring klienta, o którym mowa w lit. d powinien być stosowany przez podmioty zobowiązane w sposób ciągły po rozpoczęciu świadczenia usług na rzecz klienta.

Art. 11 AML IV wymienia sytuacje, w których podmioty zobowiązane powinny stosować ww. środki należytej staranności. Z perspektywy TPP najistotniejsze jest wskazanie, że środki te powinny być podejmowane:

a)     przy nawiązywaniu stosunków gospodarczych,

b)    przy przeprowadzaniu sporadycznej transakcji:

                      i.    na kwotę 15 000 EUR lub większą, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja czy kilka operacji, które wydają się być ze sobą powiązane; lub

                     ii.    która stanowi transfer środków pieniężnych zdefiniowany w art. 3 pkt 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 na kwotę przekraczającą 1 000 EUR;

c)     gdy istnieje podejrzenie prania pieniędzy lub finansowania terroryzmu, bez względu na jakiekolwiek odstępstwo, wyłączenie lub próg;

d)    gdy istnieją wątpliwości, co do prawdziwości lub adekwatności wcześniej otrzymanych danych dotyczących ustalenia tożsamości klienta.

Zakres stosowania ww. środków należytej staranności przez podmioty zobowiązane oraz ich intensywność, AML IV uzależnia od analizy ryzyka klienta i jego klasyfikacji, w oparciu o tę analizę (risk based approach). Wspomniana analiza oraz ocena ryzyka zawsze powinny być dokonywane przez podmiot zobowiązany w oparciu o konkretne przyjęte strategie, środki kontroli i procedury, o których mowa w art. 8 ust. 3 AML IV. Przepisy AML IV nie wskazują przy tym, jakie dokładnie okoliczności powinny być brane pod uwagę przez podmiot zobowiązany przy ocenie ryzyka i klasyfikacji klienta, a jedynie określają, że ocena klienta pod kątem ryzyka prania pieniędzy i finansowania terroryzmu powinna być dokonywana z uwzględnieniem czynników obejmujących ryzyko dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów dostaw. Ponadto, wszystkie działania podejmowane przez podmioty zobowiązane, a także ww. strategie, środki kontroli i procedury powinny być proporcjonalne do charakteru i wielkości podmiotów zobowiązanych.^[6]

Wymogi AML IV a specyfika usług świadczonych przez TPP

Specyfika usług świadczonych przez TPP, a więc usług inicjowania płatności (PIS) oraz dostępu do informacji o rachunku (AIS) jest w myśl definicji wykonywana bez wchodzenia w posiadanie środków finansowych klienta oraz co do zasady przez podmiot inny niż dostawca usług płatniczych prowadzący rachunek klienta. Z tego względu nie wydaje się uzasadnione, aby podmiot ograniczający się tylko do świadczenia ww. usług był zobowiązany w pełnym zakresie stosować wobec swoich klientów środki należytej staranności, o których mowa powyżej. Wyraz takiemu podejściu daje pkt 35 preambuły Dyrektywy AML IV, który stanowi, że „w celu uniknięcia powtarzania procedur identyfikacji klienta, co prowadzi do opóźnień i nieefektywności w działalności gospodarczej, należy zezwolić - pod warunkiem zastosowania właściwych środków ochronnych - na przyjmowanie przez podmioty zobowiązane klientów, których identyfikację przeprowadzono gdzie indziej. W przypadkach, w których podmiot zobowiązany korzysta z usług osoby trzeciej, ostateczną odpowiedzialność za zastosowanie wobec klienta należytej staranności powinien ponosić podmiot zobowiązany, który przyjmuje klienta”.

Powyższe oznacza, że ciężar stosowania środków należytej staranności polegających na identyfikacji klienta ponosić będzie ASPSP^[7] (ang. account servicing payment service provider). W takiej sytuacji TPP nie będzie zobowiązany do ponownego stosowania środków identyfikacji klienta w zakresie w jakim są one wykonywane przez ASPSP.

Należy zaznaczyć jednak, że powyższe wyłączenie w stosunku do TPP nie ma charakteru całkowitego. Odnosi się ono bowiem jedynie do kwestii „identyfikacji klienta”, a zatem dotyczy działań podejmowanych przez podmioty zobowiązane, o których mowa w art. 13 ust. 1 lit. a) i b) AML IV (identyfikacja i weryfikacja klienta oraz beneficjenta rzeczywistego), natomiast nie dotyczy obowiązków bieżącego monitorowania stosunków gospodarczych z klientem oraz badania zamierzonego celu działalności klienta, w zakresie w jakim nie zostało to zbadane przez ASPSP^[8]. Ponadto nie wydaje się również, aby charakter usług świadczonych przez TPP wyłączał w stosunku do niego stosowanie innych istotnych obowiązków wynikających z AML IV, jak choćby obowiązek przechowywania wyników analiz przez okres 5 lat (art. 40 ust. 1 lit. a AML IV), współpracy i informowania jednostek analizy finansowej o spostrzeżonych naruszeniach (art. 33 AML IV), czy szkolenia pracowników w zakresie AML i ochrony danych (art. 46 AML IV).

Pewnym ułatwieniem dla TPP w zakresie stosowania postanowień Dyrektywy AML IV może być korzystanie z outsourcingu, który regulują postanowienia art. 25-29 AML IV. W tym wypadku należy jednak pamiętać, że ostateczną odpowiedzialność za spełnienie wymogów Dyrektywy zawsze ponosi podmiot, który korzysta z usług osoby trzeciej – a zatem w przypadku gdy TPP zleca osobie trzeciej czynności na zasadzie outsourcingu, będzie on ponosił za nie odpowiedzialność^[9].

Wnioski

Nie ulega wątpliwości, że nowa Dyrektywa AML IV wprowadza szereg istotnych zmian w działalności TPP, które jako instytucje płatnicze zostaną objęte jej postanowieniami. Mimo iż z uwagi na charakter świadczonych przez TPP usług wydaje się, że nie wszystkie postanowienia AML IV będą stosowane wobec nich z taką samą mocą jak wobec innych podmiotów zobowiązanych, te przepisy które znajdą do TPP zastosowanie będą musiały być przestrzegane rygorystycznie. Należy zaznaczyć, że Dyrektywa AML IV w przeciwieństwie do swojej poprzedniczki (AML III)^[10] znacznie rozbudowuje i zaostrza katalog sankcji za jej nieprzestrzeganie, a zatem można się spodziewać, że dotychczasowe podejście regulatora krajowego również w tym zakresie ulegnie zmianie.

Warto też zwrócić uwagę, że AML IV jest dyrektywą minimalnej harmonizacji, co w praktyce oznacza, że państwa członkowskie implementując jej przepisy do porządków krajowych będą uprawnione do obciążenia podmiotów zobowiązanych bardziej rozbudowanymi wymogami niż wynika to z treści samej Dyrektywy. Ponadto, należy podkreślić, że AML IV w odróżnieniu od AML III wyraźnie zwiększa nacisk na państwa członkowskie, aby to one podejmowały konkretne decyzje odnośnie zdefiniowania lokalnych ryzyk sektorowych w zakresie prania pieniędzy i finansowania terroryzmu i na tej podstawie ustanawiały ewentualne dodatkowe zasady, które przyczynią się do zapobiegania nadużyciom. Z powyższych względów wydaje się, że ostateczny rozmiar obowiązków TPP na gruncie AML IV będzie znany dopiero po implementowaniu jej przepisów do prawa krajowego.

Przypisy

^[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE.

^[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE.

^[3] Zgodnie z art. 4 pkt 15 PSD2 „usługa inicjowania płatności” oznacza usługę polegającą na zainicjowaniu zlecenia płatniczego na wniosek użytkownika usług płatniczych w odniesieniu do rachunku płatniczego posiadanego u innego dostawcy usług płatniczych.

^[4] Zgodnie z art. 4 pkt 16 PSD2 „usługa dostępu do informacji o rachunku” oznacza usługę online polegającą na dostarczaniu skonsolidowanych informacji na temat co najmniej jednego rachunku płatniczego posiadanego przez danego użytkownika usług płatniczych u innego dostawcy usług płatniczych albo u więcej niż jednego dostawcy usług płatniczych.

^[5] Zgodnie z art. 2 ust. 1 pkt 2 Dyrektywy AML IV jej przepisy będą miały zastosowanie m.in. do instytucji finansowych, czyli w myśl definicji zawartej w art. 3 pkt 2) lit. a) Dyrektywy również do instytucji świadczących usługi płatnicze w myśl PSD2. Tym samym od momentu transpozycji do prawa krajowego przepisów PSD2, tj. od 13 stycznia 2018 r., TPP regulowane na gruncie PSD2 staną się jednocześnie podmiotami zobowiązanymi zgodnie z AML IV.

^[7] Dostawca usług płatniczych prowadzący rachunek w rozumieniu art. 4 pkt 17 PSD2.

^[8] Środki te będzie zatem musiał podejmować TPP w oparciu o strategie, środki i procedury stosowane w ramach analizy ryzyka klienta zgodnie z art. 8 AML IV.

^[9] Art. 25 AML IV.

^[10] Dyrektywa 2005/60/WE Parlamentu Europejskiego i Rady z dnia 26 października 2005 r. w sprawie przeciwdziałania korzystaniu z systemu finansowego w celu prania pieniędzy oraz finansowania terroryzmu.