Zdalny onboarding, PEP, ocena ryzyka – ostatnie zmiany regulacyjne w zakresie AML/CFT.

Zdalny onboarding w świetle nowych wytycznych organów nadzoru   

Europejski Urząd Nadzoru Bankowego (EBA) opublikował w dniu 22 listopada 2022 r. wytyczne dotyczące korzystania z technologii zdalnego nawiązywania relacji z klientami, zgodnie z artykułem 13 ust. 1 dyrektywy (UE) 2015/849. Wytyczne skupiają się na różnych aspektach zdalnego nawiązywania relacji z klientami, określając jednocześnie szczegółowe wymagania dotyczące implementacji tych technologii, monitorowania ich działania oraz przeprowadzania regularnych testów ich skuteczności.

Wytyczne EBA zawierają także dodatkowe wymogi w odniesieniu do outsourcingu do podmiotu trzeciego rozwiązań służących zdalnemu nawiązywaniu relacji, a także wymagają uzupełnienia procedur w zakresie AML/CFT.

Zaczęły one obowiązywać od 1 października 2023 roku. Kilka dni przed ich wejściem w życie (29 września 2023 roku), Komisja Nadzoru Finansowego („KNF”) wydała swoje stanowisko dot. prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta („Stanowisko”).

Co istotne, Wytyczne EBA nie znajdą zastosowania do wszystkich instytucji obowiązanych w rozumieniu Dyrektywy AML IV, a co do zasady jedynie do instytucji kredytowych i finansowych w rozumieniu tej dyrektywy (m.in. banki, dostawcy usług płatniczych, dostawcy świadczący usługę dostępu do informacji o rachunku, zakłady ubezpieczeń).

Stanowisko dotyczy podmiotów nadzorowanych przez KNF, objętych zakresem zastosowania ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu („Ustawa AML”).

Zarówno Wytyczne EBA, jak i Stanowisko odnoszą się przy tym do możliwości wykorzystywania w procesach zdalnego onboardingu usług zaufania i środków identyfikacji elektronicznej, zgodnych z eIDAS¹.

W tym zakresie dokumenty odnoszą się w szczególności do notyfikowanych systemów identyfikacji elektronicznej (w Polsce mamy jeden taki system, jest to: Polski Publiczny System Identyfikacji Elektronicznej) i kwalifikowanych usług zaufania.

Wykorzystanie takich środków może w sposób znaczący wpływać na ograniczenie ryzyka wynikającego z braku fizycznej obecności klienta i jednocześnie podnosić poziom bezpieczeństwa i „zaufania” do rozwiązania wykorzystywanego przez instytucję obowiązaną (i tym samym wpłynąć na poziom zgodności instytucji z tymi dokumentami) – choć oczywiście zakres i sposób wykorzystywania notyfikowanych systemów, czy kwalifikowanych usług zaufania będzie w dużej mierze zależał od tego jakie sposoby nawiązywania zdalnych relacji dana instytucja wykorzystuje.

Wytyczne EBA i Stanowisko dopuszczają też możliwość korzystania z innych środków m.in. niekwalifikowanych usług zaufania na potrzeby zapewnienia zgodności z Wytycznymi EBA, czy Stanowiskiem, co jednak jest obwarowane dodatkowymi wymogami, takimi jak analiza takich środków w odniesieniu do zgodności z Wytycznymi EBA, czy Stanowiskiem i wdrożenie odpowiednich rozwiązań ograniczających możliwe ryzyka związane z korzystaniem z takich środków.

Europejski Portfel Tożsamości Cyfrowej a środki bezpieczeństwa finansowego

EDIW , czyli europejski portfel tożsamości cyfrowej, to rozwiązanie, którego przyjęcie na poziomie UE wydaje się już zdecydowanie bliższe. Projekt eIDAS 2.0² pojawił się w 2021 roku, a w listopadzie tego roku pojawiła się informacja o uzgodnieniu ostatecznego brzmienia tekstu eIDAS 2.0³.

EDIW będzie środkiem identyfikacji elektronicznej wydawanym w ramach notyfikowanego systemu identyfikacji elektronicznej. Środek identyfikacji to materialna lub niematerialna jednostka zawierająca dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi online.

Co szczególnie istotne EDIW będzie się charakteryzował wysokim poziomem bezpieczeństwa zgodnie z implementującymi standardami technicznymi do obowiązującego rozporządzenia, które wymagają dla tego poziomu m.in. przeprowadzenie uwierzytelnienia dynamicznego – czyli zmieniającego się przy każdym zachodzącym procesie uwierzytelnienia.

Środek identyfikacji elektronicznej wydany na poziomie wysokim powinien wykorzystywać co najmniej dwa czynniki uwierzytelniania należące do różnych kategorii. Poziom bezpieczeństwa portfela sprawia, że z perspektywy choćby zarządzania ryzykiem AML/CFT, będzie potencjalnie pełnił istotną rolę w procesach zdalnego nawiązywania relacji z klientami, w szczególności w odniesieniu do wymogów w zakresie identyfikacji i weryfikacji klienta.

AML-owy compliance, czyli na co jeszcze instytucje obowiązane powinny zwrócić uwagę

24 listopada EBA rozpoczął konsultuje nowych wytycznych w sprawie zapobiegania nadużyciom środków i transferom niektórych kryptowalut na potrzeby prania pieniędzy i finansowania terroryzmu⁴.

Projektowane wytyczne dotkną wielu istotnych obszarów dotyczących zastosowania rozporządzenia 2023/1113, nie tylko w odniesieniu do rozszerzenia jego zastosowania na CASPs (dostawcy usług w zakresie kryptoaktywów). W ramach wytycznych mają zostać doprecyzowane m.in. wyłączenia spod obowiązku stosowania rozporządzenia, transfer w odniesieniu do poleceń zapłaty, czy wspólne standardy dotyczące informacji, które dostawcy usług płatniczych i dostawcy kryptoaktywów powinni zawrzeć w polach nazwy, adresu i LEI (identyfikatora podmiotu prawnego) /alternatywnego identyfikatora dla celów transferu.

W odniesieniu do CASPs, EBA opublikował również 27 listopada wytyczne skierowane do organów nadzoru w zakresie ryzyk i środków jakie powinny być podejmowane wobec CASPs.

Financial Action Task Force (FATF) był instytucją bardzo aktywną w ostatnich miesiącach. W listopadzie zaktualizował swój raport Consolidated assessment ratings⁵  dotyczący przeglądu ocen uzyskanych przez kraje pod kątem efektywności i zgodności technicznej w odniesieniu do zaleceń FATF.

Raporty mają na celu oceniać, jak skutecznie środki AML/CFT stosowane przez poszczególne kraje działają w praktyce i jak dobrze wdrożone zostały wymagania techniczne zawarte w zaleceniach FATF. W październiku z kolei FATF zaktualizował swoje listy państw trzecich objętych monitoringiem lub wezwaniem do działania⁶, co również może wpływać na poziom ryzyka ML/FT w ramach działalności instytucji obowiązanych. Dodatkowo pojawił się dokument odnoszący się do ryzyk ML/FT w działalności crowdfundingowej⁷.

Warto również pamiętać, że 11 listopada 2023 roku, w Dzienniku Urzędowym UE pojawił się wykaz znaczących funkcji publicznych na poziomie krajowym, na poziomie organizacji międzynarodowych oraz na poziomie instytucji i organów Unii Europejskiej⁸, a 22 listopada w Dzienniku Ustaw ukazało się rozporządzenie Ministra Finansów z dnia 20 listopada 2023 r. zmieniające rozporządzenie w sprawie wykazu krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi, gdzie wykreślone zostało stanowisko posła do Parlamentu Europejskiego. Ponadto w związku z wątpliwościami interpretacyjnymi dotyczącymi użytego w rozporządzeniu pojęcia „sędzia Trybunału Stanu”, w odniesieniu do osób piastujących funkcje w Trybunale Stanu, zdecydowano się na wprowadzenie terminu „Przewodniczący Trybunału Stanu” – dodano również 2 nowe stanowiska – Zastępca Przewodniczącego Trybunału Stanu oraz Członek Trybunału Stanu.

Podsumowanie

Instytucje obowiązane nieustannie muszą monitorować zmieniające się przepisy, czy wytyczne, rekomendacje lub publikacje organów nadzoru, zarówno na poziomie krajowym, jak i międzynarodowym, żeby skutecznie adresować zmiany, aktualizować – w razie konieczności - oceny ryzyka stosunków gospodarczych, czy podejmować inne środki zgodne z wewnętrznymi procedurami lub procesami.

Wszystko wskazuje, że taki stan zwiększonej aktywności ze strony organów nadzoru i prawodawców, zostanie w najbliższym czasie utrzymany (trzeba pamiętać choćby o pracach nad rozporządzeniem AML/CFT i monitorować proces legislacyjny na poziomie UE⁹).

Przypisy:

¹ https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32014R0910.

² https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281.

³ https://www.europarl.europa.eu/cmsdata/278103/eIDAS-4th-column-extract.pdf.

⁴ https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Consultations/2024/Consultation%20on%20Guidelines%20on%20preventing%20the%20abuse%20of%20funds%20and%20certain%20crypto-assets%20transfers%20for%20ML- TF%20%28Travel%20rule%20Guidelines%29/1063898/Consultation%20paper%20on%20draft%20travel%20rule%20Guidelines%20under%20Regulation%20%28EU%29%202023_1113.pdf.

⁵ https://www.fatf-gafi.org/content/fatf-gafi/en/publications/Mutualevaluations/Assessment-ratings.html.

⁶ Objęte monitorowaniem: https://www.fatf-gafi.org/content/fatf-gafi/en/publications/High-risk-and-other-monitored-jurisdictions/Increased-monitoring-october-2023.html
objęte wezwaniem do działania: https://www.fatf-gafi.org/content/fatf-gafi/en/publications/High-risk-and-other-monitored-jurisdictions/Call-for-action-october-2023.html.

⁷ https://www.fatf-gafi.org/content/fatf-gafi/en/publications/Methodsandtrends/crowdfunding-for-terrorism-financing.html.

⁸ C/2023/724: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:C_202300724.

⁹ https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0239(COD)&l=en.