Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) - przegląd kluczowych wyzwań dla instytucji obowiązanyc

Artykuł

Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) - przegląd kluczowych wyzwań dla instytucji obowiązanych

Wytyczne EBA, projekt rozporządzenia AML/CFT, projekt ustawy o aplikacji mObywatel, eIDAS 2.0.

Biuletyn prawny dla branży finansowej | Maj 2023 r.

Instytucje obowiązane w najbliższym czasie muszą przygotować się na wiele zmian i skutecznie dostosować swoje systemy i procedury AML/CFT do ciągle ewoluujących oczekiwań zarówno organów nadzoru, jak i klientów.

Wytyczne EBA

Europejski Urząd Nadzoru Bankowego („EBA”) w pierwszej połowie 2023 zdecydowanie nie próżnował, zwłaszcza w obszarach dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT). Po pierwsze, opublikowane zostały oficjalne tłumaczenia wytycznych w zakresie zdalnego onboardingu (EBA/ GL/2022/15), które zaczną obowiązywać już od 2 października 2023 roku. Wytyczne te znajdą zastosowanie wobec instytucji obowiązanych będących instytucjami kredytowymi lub finansowymi w rozumieniu Dyrektywy AML IV1. Temat zdalnego nawiązywania relacji z klientami był już wprawdzie przedmiotem pewnych uregulowań ze strony Komisji Nadzoru Finansowego czy Generalnego Inspektora Informacji Finansowej, jednakże nowe wytyczne EBA prezentują podejście bardziej szczegółowe. Instytucje obowiązane będą musiały przede wszystkim dostosować swoje wewnętrzne procedury AML/CFT, analizy ryzyka, czy rozwiązania teleinformatyczne do wymogów stawianych przez EBA. Na ten moment KNF nie dokonała jeszcze notyfikacji co do dostosowania do wytycznych.

31 marca EBA opublikował również ostateczną wersję zmienionych wytycznych dotyczących czynników ryzyka ML/FT2  (obecnie oczekują na tłumaczenia na języki urzędowe). Do wytycznych dodano nową sekcję, która ma pomóc instytucjom finansowym zrozumieć, w jaki sposób zorganizowane są organizacje non-profit, czym mogą się różnić od innych klientów i jakie kroki powinny podjąć instytucje obowiązane, aby skutecznie zarządzać ryzykiem ML/FT związanym z takimi klientami. Praktyka polegająca na odmawianiu tym instytucjom dostępu do usług finansowych stanowi przejaw tzw. de-riskingu, do którego odnoszą się również znowelizowane wytyczne w zakresie efektywnego zarządzania ryzykiem ML/TF przez instytucje finansowe przy udostępnianiu usług finansowych3. Te wytyczne również oczekują obecnie na tłumaczenie na języki urzędowe, a ich głównym celem jest wyjaśnienie interakcji między dostępem do usług finansowych a obowiązkami instytucji obowiązanych w zakresie AML/CFT, w tym w sytuacjach, gdy klienci mają uzasadnione powody, aby nie być w stanie skutecznie przejść przez ścieżkę wzmożonych środków bezpieczeństwa finansowego. Odmowa nawiązania stosunków gospodarczych (lub ich rozwiązanie), ma być ostatecznością.

Dodatkowo, do 29 czerwca trwają konsultacje publiczne dotyczące wytycznych w sprawie nadzoru AML/CFT opartego na ryzyku4. Wytyczne mają być skierowane do organów nadzoru. Proponowane zmiany rozszerzają zakres zastosowania tego dokumentu również wobec dostawców usług w zakresie kryptoaktywów. Warto także nadmienić, że Parlament Europejski w kwietniu przyjął rozporządzenie MiCA (rozporządzenia w sprawie rynków kryptoaktywów)5  oraz zmianę tzw. rozporządzenia transferowego6, tak aby uwzględniało zasady w zakresie transferu kryptoaktywów (choć niektóre obowiązki, takie jak rozszerzenie katalogu informacji, które powinny towarzyszyć transferowi środków pieniężnych i być zapewniane przez dostawcę płatnika, znajdą zastosowanie również do innych podmiotów).

Unijny pakiet AML/CFT

W 2023 roku przyspieszają również prace nad nowym reżimem AML/CFT na poziomie Unii Europejskiej. W marcu Parlament Europejski przedstawił swoje stanowisko wobec trzech projektowanych aktów prawnych:

  1. Rozporządzenia AML/CFT,
  2. VI dyrektywy w sprawie przeciwdziałania praniu pieniędzy oraz
  3. Rozporządzenia ustanawiającego Europejski Urząd ds. Przeciwdziałania Praniu Pieniędzy (AMLA) z uprawnieniami nadzorczymi i dochodzeniowymi w celu zapewnienia zgodności z wymogami AML/CFT. 

Zmianie ma ulec wiele kwestii, jedną z najistotniejszych są modyfikacje dotyczące wyznaczania beneficjenta rzeczywistego. W ramach nowego rozporządzenia proponuje się, aby zmodyfikować definicję, w ten sposób, że posiadanie 15%+, praw głosu lub innego bezpośredniego lub pośredniego udziału własnościowego było równoznaczne ze statusem beneficjenta rzeczywistego (z pewnymi bardziej restrykcyjnymi wyjątkami). Co dodatkowo istotne, Parlament wprowadził dodatkowe zmiany wyjaśniające sposób obliczania własności pośredniej w podmiocie prawnym, a także doprecyzowujące pojęcia „sprawowania kontroli” – zarówno bezpośredniej, jak i pośredniej. Warto również wspomnieć, że w nowym rozporządzeniu AML/CFT pojawią się dodatkowe obowiązki/rozwiązania dotyczące funkcji wewnętrznych w instytucjach obowiązanych, takich jak AMLRO, czy compliance manager (wyznaczony członek zarządu). Projektowane unijne przepisy mają również na celu zaadresowanie zeszłorocznego wyroku TSUE (o którym pisaliśmy tutaj), w zakresie ograniczenia publicznego dostępu do rejestrów beneficjentów rzeczywistych.

Co jeszcze wpłynie na compliance w AML/CFT?

Aby zapewnić pełną zgodność z wymogami w zakresie AML/CFT w najbliższym czasie warto również wziąć pod uwagę rządowy projekt ustawy o aplikacji mObywatel. Znajduje się on obecnie na końcowym etapie procesu legislacyjnego – poprawki zaproponowane przez Senat oczekują na rozpoznanie przez Sejm (co najprawdopodobniej odbędzie się podczas najbliższego posiedzenia zaplanowanego na 24-26 maja). Zgodnie z aktualnym brzmieniem tego projektu instytucje obowiązane będą obowiązane stosować przepisy ustawy w zakresie wykorzystywania dokumentu mObywatel jako środka bezpieczeństwa finansowego do identyfikacji klienta oraz weryfikacji jego tożsamości, od dnia 1 września 2023 r. (czasu pozostaje zatem obiektywnie niewiele). Otwarta pozostaje przy tym dyskusja na temat możliwości wykorzystania nowego środka identyfikacji elektronicznej w postaci profilu mObywatel w ramach zdalnego onboardingu klientów (i potencjalnie innych rozwiązań wynikających z projektowanych regulacji).

Pozostając przy kwestiach związanych ze zdalnym potwierdzaniem tożsamości należy również uważnie śledzić prace nad tzw. eIDAS 2.0. ustanawiającym m.in. europejski portfel tożsamości cyfrowej (choć jest on również bardzo interesujący pod kątem zastosowania silnego uwierzytelniania – SCA). Ten projekt obecnie przeszedł na etap trilogu7.

Dodatkowo, zmiany w zakresie zasad i trybu przeprowadzania kontroli dotyczących zgodności z przepisami AML/CFT w instytucjach obowiązanych zostały zawarte w projektowanej ustawie o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku8. Są to zmiany o wymiarze bardziej praktycznym, aniżeli proceduralnym i odnoszą się m.in. do zasad zgłaszania zastrzeżeń do protokołu kontroli.

Podsumowanie

Obszar AML w organizacji stanowi bardzo duże wyzwanie dla jednostek compliance i ryzyka, które każdego roku muszą liczyć się z wieloma zmianami przepisów – zarówno krajowych, jak i unijnych - i stanowisk organów nadzoru. Nieustannego monitorowania wymagają dodatkowo listy sankcyjne (nie tylko na potrzeby AML/CFT), listy PEP (przy uwzględnieniu choćby ostatniej nowelizacji polskiego rozporządzenia9), czy zasady ustalania beneficjenta rzeczywistego (ostatnie wskazówki opublikowane przez FATF10). Monitoring legislacyjny jest tym samym kluczowy w celu zmapowania tych obowiązków, które wymagać będą zmiany w dokumentacji wewnętrznej czy stosowanych procesach. Z całą pewnością nadchodzące lata nie zapowiadają, aby ta rzeczywistość miała ulec zmianie – wręcz przeciwnie, wszystko wskazuje na to, że funkcje AML/CFT – zwłaszcza w sektorze finansowym – czeka wiele wyzwań. Wprawdzie niektóre obowiązki wydają się jeszcze odległe w czasie, jednak już teraz należy zastanowić się nad skutecznymi metodami dostosowania działalności do zbliżających się zmian, w szczególności, aby skutecznie przetestować wdrożone rozwiązania i ich skuteczność.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE
Wytyczne EBA/GL/2023/03, dostępne online: https://www.eba.europa.eu/regulation-and-policy/anti-money-laundering-and-e-money/revised-guidelines-on-ml-tf-risk-factors
Wytyczne EBA/GL/2023/04 https://www.eba.europa.eu/eba-issues-guidelines-challenge-unwarranted-de-risking-and-safeguard-access-financial-services
Projekt wytycznych jest dostępny online: https://www.eba.europa.eu/eba-consults-amendments-guidelines-risk-based-amlcft-supervision-include-crypto-asset-service
Więcej informacji na temat MiCA można znaleźć tutaj: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2020/0265(COD)&l=en
Więcej informacji na temat zmian w rozporządzeniu transferowym można znaleźć tutaj: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0241(COD)&l=en
Więcej informacji na temat prac nad eIDAS 2.0 można znaleźć tutaj: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0136(COD)&l=en
Projekt ustawy dostępny online: https://legislacja.rcl.gov.pl/projekt/12349203/katalog/12803512
Projekt na stronach RCL można znaleźć tutaj: https://legislacja.rcl.gov.pl/projekt/12368255/katalog/12943617#12943617
10 Wytyczne FATF w zakresie beneficjentów rzeczywistych osób prawnych, dostępne online: https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-Beneficial-Ownership-Legal-Persons.html

Czy ta strona była pomocna?