Edyta Zdziarska, Ekspert ds. AML
Obszar przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT) w ostatnich latach uległ znacznym zmianom. Sytuacja ta spowodowana jest m.in. rozwojem rynku finansowego i stosowaniem nowych technologii. Powstają innowacyjne rozwiązania, które z jednej strony umożliwiają klientom dostęp do ciekawych produktów i usług, z drugiej strony natomiast generują ryzyka związane z nowymi schematami przestępczymi. Regulacje prawne nie nadążają za zmianami a istniejąca luka utrudnia działania instytucjom obowiązanym.
Rok 2022 pokazał również jak ogromny wpływ na obszar AML/CFT wywiera sytuacja geopolityczna. Ubiegły rok, to sprawdzian skuteczności działania procesów i mechanizmów umożliwiających wdrożenie sankcji krajowych i unijnych wobec Rosji. Oceny nie są optymistyczne, zastrzeżenia dotyczą m.in. braku wsparcia ze strony Regulatorów. Kolejną ważną kwestię stanowi stopień automatyzacji procesów weryfikacji klientów, transakcji i beneficjentów rzeczywistych. W szczególnie trudnej sytuacji znalazły się te instytucje obowiązane, które nie dysponują odpowiednimi rozwiązaniami IT oraz borykają się z brakami kadrowymi.
Na szczeblu Unii Europejskiej pojawiają się nowe koncepcje, które w najbliższych latach oznaczać będą rewolucję systemu AML/CFT. Mimo, iż są one w fazie projektu, każda instytucja obowiązana już dzisiaj powinna mieć świadomość jaki jest planowany zakres zmian, aby odpowiednio przygotować się do realizacji nowych wyzwań.
1. Unijne sankcje wobec Rosji
24 lutego 2022 roku nastąpiła inwazja Rosji na Ukrainę. W odpowiedzi, państwa na całym świecie podjęły kroki w celu zatrzymania działań wojennych.
Unia Europejska wprowadziła sankcje, które są podstawowym elementem unijnej wspólnej polityki zagranicznej i bezpieczeństwa. Głównym celem wprowadzenia sankcji wobec Rosji było:
- sparaliżowanie zdolność Kremla do finansowania wojny,
- nałożenie ekonomicznych i politycznych kosztów na rosyjską elitę polityczną odpowiedzialną za inwazję.
Sankcje zawierały szereg wytycznych. Na listach sankcyjnych UE pojawiły się nowe rekordy. Konieczne okazało się wdrożenie dodatkowych mechanizmów weryfikacyjnych gwarantujących realizację obowiązków. Dla instytucji finansowych rozpoczął się wielomiesięczny okres wzmożonej pracy.
Na podstawie weryfikacji z listami sankcyjnymi dokonywano zamrożenia aktywów i wstrzymania udostępnienia środków finansowych osobom oraz podmiotom, które wspierają materialnie lub finansowo działania podważające integralność terytorialną, suwerenność i niezależność Ukrainy. Do końca 2022 r Unia Europejska przyjęła dziewięć, pakietów sankcji gospodarczych i indywidualnych wobec Rosji. Każdy kolejny pakiet sankcji oznacza dla instytucji obowiązanych konieczność przeprowadzenia analizy i włączenia nowych wytycznych do procesu weryfikacji. Proces ten obejmuje nie tylko sprawdzenie z zaktualizowaną listą sankcyjną ale również sprawdzenie transakcji i dokumentów mogących świadczyć o eksporcie w zakresie produktów podwójnego zastosowania i zaawansowanych technologii.
Częste aktualizacje list sankcyjnych i konieczność uruchamiania procesów weryfikacji, to również wyzwanie związane z rosnącym wolumenem danych. W odniesieniu do sankcji sektorowych, trudną kwestię stanowią interpretacje dotyczące przedmiotów podwójnego zastosowania. Przy sankcjach osobowych szczególnym utrudnieniem są nieprawidłowe trafienia na listach i konieczność analizy alertów. W wielu instytucjach finansowych poważnym problemem okazały się braki kadrowe.
Wielu klientów instytucji finansowych włączyło się w pomoc Ukrainie, poprzez dokonywanie wpłat na konta bankowe należące do różnego rodzaju organizacji. W tytułach przelewów nagminnie pojawiały się takie słowa jak np. „broń”, „amunicja”,” kamizelki kuloodporne”. W wyniku działania automatycznych algorytmów kontrolnych, transakcje zawierające tego typu słowa, były masowo wstrzymywane przez systemy informatyczne. Nieodpowiedni tytuł przelewu oznaczał dodatkowe obowiązki dla, i tak już mocno obciążonych, pracowników komórek AML. Analityk musiał zweryfikować kto jest zleceniodawcą i ocenić, czy transakcja jest bezpieczna i czy może trafić do beneficjenta.
Kolejne obowiązki pojawiły się w kwietniu 2022r. Wtedy właśnie zaczęła obowiązywać ustawa o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Ustawa od początku nastręczała sporo trudności a jej nowelizacja niewiele zmieniła. Na podstawie ustawy opublikowana została polska lista osób i podmiotów objętych sankcjami prowadzona przez MSWiA. Na liście znalazły się wyłącznie osoby lub podmioty, które nie są uwzględnione w wykazach określonych w rozporządzeniach UE. Od listopada 2022 r. lista dostępna jest w formie pliku xls, co znacznie ułatwia korzystanie z niej. Nowy format pozwala m.in. na wprowadzenie mechanizmów automatycznej weryfikacji.
Sporym wyzwaniem dla instytucji finansowych, stało się również zapewnienie uchodźcom z Ukrainy dostępu do podstawowych produktów i usług finansowych. Zadanie nie było łatwe ze względu na konieczność realizacji wymogów ustawy AML, dotyczących identyfikacji i weryfikacji klientów. Niestety uchodźcy często nie posiadali wymaganych dokumentów potwierdzających ich tożsamość.
Według praktyków, główne wyzwania przed jakimi stanęły instytucje finansowe w ubiegłym roku, związane były właśnie z wybuchem wojny na Ukrainie. Ich zdaniem największe trudności dotyczyły:
- tworzenia produktów dedykowanych uchodźcom,
- tempa wdrażania sankcji przy ich jednoczesnym skomplikowaniu i kumulacji w krótkim okresie czasu,
- braku ujednoliconego podejścia w zakresie sankcji i niewielkiej świadomości klientów oraz podmiotów spoza rynku finansowego.
Niewątpliwie nowa sytuacja i dodatkowe obowiązki stanowiły ogromne obciążenie, była to również okazja do weryfikacji, czy stosowane rozwiązania IT są dobrym wsparciem w realizacji obowiązków. W tym przypadku kluczowe okazały się takie cechy systemu jak elastyczność umożliwiająca sprawne dostosowane do nowych wymagań oraz stopień automatyzacji procesów związanych z weryfikacją danych z listami sankcyjnymi.
Warto zaznaczyć, iż mimo stosowania narzędzi informatycznych, część analiz ze względu na brak schematów działania, wymagała indywidualnego podejścia.
2. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR)
Napaść Rosji na Ukrainę i sankcje nałożone na rosyjskich oligarchów, pokazały całemu światu jak ważna jest czytelność struktury własności firmy. Jak skutecznie zamrozić aktywa, skoro nie wiadomo kto sprawuje kontrolę w danej firmie ?
Po raz kolejny wrócił problem Centralnego Rejestru Beneficjentów Rzeczywistych i jakości danych, które w nim się znajdują. W związku z nowelizacją ustawy AML, instytucje obowiązane muszą odnotowywać i wyjaśniać rozbieżności zidentyfikowane podczas weryfikacji danych beneficjenta rzeczywistego w CRBR. Wprowadzono również obowiązek przekazywania organowi właściwemu w sprawach Rejestru, informacji o stwierdzonych rozbieżnościach wraz z uzasadnieniem i dokumentacją.
Instytucje obowiązane zatrudniają kolejnych pracowników aby sprostać wymogom ustawy AML. Problem z dostępem do rejestrów z rzetelnymi danymi beneficjentów rzeczywistych dotyczy również pozostałych krajów Unii Europejskiej. Dotychczas na szczeblu UE, nie zostały podjęte konkretne działania, mające na celu poprawę obecnej sytuacji.
Warto natomiast zwrócić uwagę na wielokrotnie podnoszoną kwestię dotyczącą zapewnienia lepszej ochrony prawa do prywatności w zakresie przetwarzania i ochrony danych osobowych w Centralnym Rejestrze Beneficjentów Rzeczywistych.
W listopadzie 2022 opublikowane zostało orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w którym unieważniony został przepis V Dyrektywy AML w sprawie przeciwdziałania praniu pieniędzy, gwarantujący publiczny dostęp do informacji o beneficjentach rzeczywistych. Wyrok TS ma kluczowe znaczenie dla wszystkich państw UE zobowiązanych do udostępnienia rejestrów beneficjentów rzeczywistych na mocy unijnej dyrektywy.
3. Rola i zadania AMLRO
Zmiany prawne w obszarze AML/CFT, które miały miejsce w ostatnich latach, przyczyniły się do znacznego zwiększenia ilości obowiązków spoczywających na instytucjach finansowych.
Ustawa AML jasno wskazuje, kto powinien być odpowiedzialny za wykonanie obowiązków ustawowych, jednak nie znajdziemy w niej dokładnych informacji dotyczących roli AML Officera oraz współpracy z organem zarządzającym .
Od grudnia 2022r, zaczęły obowiązywać Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA), określające rolę i obowiązki AML Officerów oraz zarządów instytucji kredytowych lub finansowych. W grudniu 2022r, zostało również opublikowane Stanowisko UKNF (Urząd Komisji Nadzoru Finansowego) dotyczące AMLRO.
Oba dokumenty systematyzują i w klarowny sposób pokazują jakie są obowiązki organu zarządzającego w obszarze AML/CFT i w jakim zakresie powinien on wspierać AML Officera. Brak zaangażowania ze strony organu zarządzającego, może uniemożliwić realizację AML Officerowi obowiązków w zakresie AML/CFT i w konsekwencji narazić instytucję obowiązaną na dotkliwe kary i utratę reputacji a nawet koncesji.
Zarówno w Wytycznych EBA jak i w Stanowisku UKNF znajdziemy bardzo szczegółowy wykaz obowiązków spoczywających na AMLRO, które dotyczą następujących obszarów:
- Opracowanie ram oceny ryzyka ML/TF,
- Opracowanie polityk i procedur AML/CFT,
- Monitorowanie zgodności,
- Sprawozdawczość dla organu zarządzającego,
- Zgłaszanie podejrzanych transakcji,
- Szkolenie i podnoszenie świadomości pracowników.
Dokument EBA zwraca uwagę na wymagania stawiane osobie pełniącej tę rolę – odpowiednie doświadczenie, głęboka wiedza, dobra reputacja – to tylko niektóre z nich.
Wiele instytucji obowiązanych już dzisiaj stosuje dobre praktyki o których mowa w Wytycznych EBA, są jednak takie, które zgodność z przepisami odsuwają na dalszy plan. W takich sytuacjach rola AML Officera jest szczególnie trudna, a jego pozycja marginalizowana.
Ze Stanowiska UKNF jasno wskazuje, iż podmioty nadzorowane powinny przeprowadzić analizę regulacji wewnętrznych i dostosować je do wymogów. Co ważne UKNF, GIIF, oraz NBP oświadczyły, iż stosowanie Wytycznych EBA nie wymaga dodatkowych zmian pranych.
4. Zdalny onboarding klientów
Ustawa AML, dosyć ostro podchodzi do obowiązków związanych z identyfikacją i weryfikacją klienta. Zderzając wymagania ustawy z organizacją procesu zdalnego onboardingu, wiele aspektów jest niedoprecyzowanych i budzi wątpliwości instytucji finansowych.
W listopadzie 2022 r EBA opublikował ostateczne wytyczne, dotyczące korzystania z rozwiązań wykorzystywanych do zdalnego onboardingu klientów. Celem Wytycznych jest ujednolicenie podejścia stosowanego przez podmioty sektora finansowego a przedstawione założenia mają zapewnić ograniczenie zagrożenia wykorzystania zdalnego kanału do działań przestępczych.
Wytyczne wejdą w życie 6 miesięcy po ich opublikowaniu we wszystkich językach urzędowych UE. Już dzisiaj instytucje finansowe i kredytowe powinny przeprowadzić audyt wdrożonych procedur oraz wykorzystywanych narzędzi do zdalnego onboardingu klientów.
Dostawcy narzędzi IT również powinni postawić sobie pytanie, jakie funkcjonalności należy wdrożyć aby wspierać instytucje w przyszłych obowiązkach. Szczególnie warto zwrócić uwagę na :
- wskazówki dotyczące prawidłowej organizacji procesu po stronie narzędzia,
- wymagania w stosunku do narzędzi w zakresie wsparcia AML Officera w realizacji jego obowiązków,
- wymóg dotyczący oceny przedwdrożeniowej, oceny elastyczności narzędzia i możliwości jego dostosowania do zmian prawnych.
Na początku 2022 r pojawił się również inny dokument przedstawiający dobre praktyki w zakresie wypełniania obowiązków wynikających z ustawy AML/CFT.
UKNF opublikował Stanowisko dotyczące wideoweryfikacji klientów instytucjonalnych. UKNF zaleca między innymi objęcie rozwiązań w zakresie wideoweryfikacji systemem kontroli wewnętrznej oraz systemem informacji zarządczej. Podobne zalecenia znajdziemy w Wytycznych EBA dotyczących korzystania z rozwiązań do zdalnego onboardingu klientów.
Stanowisko UKNF, to obowiązkowa lektura dla instytucji finansowych korzystających z metod wideoweryfikacji. Nie dostarcza ona odpowiedzi na wszystkie pytania ale z pewnością porządkuje wiele zagadnień, które dotychczas budziły wątpliwości.
5. Współpraca z instytucjami sektora usług płatniczych
Szczególnie trudnym zadaniem dla banków stał się proces zakładania i prowadzenia rachunków dla klienta, będącego niebankowym dostawcą usług płatniczych.
W 2020 r. UKNF opublikował Stanowisko dotyczące stosowania kwestionariusza ankietowego przez banki wobec instytucji sektora usług płatniczych. Jego celem było wskazanie na konieczność identyfikacji ryzyka prania pieniędzy oraz finansowania terroryzmu przy relacjach banków z niebankowymi dostawcami usług płatniczych oraz zarządzania tym ryzykiem.
Stosowanie zaproponowanego przez UKNF scenariusza spowodowało, iż ze względu na ryzyko banki odmawiały nawiązania relacji z niebankowymi dostawcami usług płatniczych.
Czynnikiem mogącym wpłynąć na zmianę podejścia jest opublikowana w dniu 26 września 2022r przez UKNF, informacja uzupełniająca do Stanowiska UKNF z 2 czerwca 2020 r. Wynika z niej, iż kwestionariusz należy traktować jako wzór, a zakres zawartych w nim pytań nie jest obligatoryjny. Banki mając na względzie podejście oparte na ryzyku, powinny modyfikować i dostosowywać treść poszczególnych pytań oraz stopień ich wnikliwości, zgodnie z przyjętą polityką i charakterem prowadzonej przez klienta działalności.
Podejście jest zgodne z duchem ustawy AML, jednak praktycy zwracają uwagę, iż indywidualne interpretacje instytucji obowiązanych, mogą w konsekwencji prowadzić do stosowania na rynku różnych standardów. Nadal potrzebna jest więc dyskusja oraz wsparcie w postaci konkretnych wytycznych, które pozwolą na wypracowanie jednolitej praktyki rynkowej i przyczynią się do poprawy współpracy banków z instytucjami sektora usług płatniczych.
Jakie wyzwania czekają instytucje finansowe w roku 2023 ?
Nowy rok, to z pewnością wyzwania związane z realizacją tematów, które pojawiły się już w ubiegłym roku, do których należą m.in. sankcje, AMLRO, zdalny onboarding klienta. W najbliższych latach czekają nas kolejne, spore zmiany w obszarze AML.
Nowy system AML/CFT dla UE
W 2021 roku opublikowany został nowy pakiet regulacyjny dotyczący przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Propozycje zmian mają na celu wzmocnienie unijnych przepisów w obszarze AML/CFT. KE pracuje m.in. nad stworzeniem nowych przepisów dotyczących AML/CFT oraz powołaniem nowego unijnego organu ds. przeciwdziałania praniu pieniędzy (tzw. AMLA), który zgodnie z planami pełne uprawnienia osiągnie w 2026 r.
Sektorowe Centrum Usług AML (SCU – AML)
W ubiegłym roku pojawił się bardzo ciekawy projekt, którego celem jest udostępnienie katalogu usług wspierających w bankach procesy AML/CFT w oparciu o sektorowe współdzielenie danych. Sektorowe Centrum Usług AML (SCU – AML), jest to partnerskie przedsięwzięcie KIR i ZBP, które ma ułatwić życie bankom i zwiększyć skuteczność ich działań.
Dzięki uruchomieniu SCU – AML, banki będą mogły liczyć na wsparcie w wykonywaniu bieżących obowiązków AML/CFT w takim zakresie jak np. :
- analiza i wykrywanie podejrzanych transakcji,
- typowanie podejrzanych transakcji,
- identyfikacja rzeczywistych łańcuchów transakcji przestępczych,
- procesy KYC (Know Your Customer),
- sektorowa lista PEP ( (Politically Exposed Persons),
- sektorowe narzędzia weryfikacji list sankcyjnych,
- centralizacja odpowiedzi dla organów ścigania.
Zdaniem specjalistów zaangażowanych w projekt SCU-AML, rok 2023 będzie oznaczał intensywne prace nad jego rozwojem.
Nowe technologie
Ogromną szansą dla rozwoju rynku finansowego są nowe technologie, jednocześnie stanowią one spore wyzwanie, gdyż bez odpowiednich regulacji prawnych ich stosowanie rodzi spore ryzyka.
Unia Europejska podjęła próbę globalnego i kompleksowego uregulowania rynków kryptowalut, czego efektem jest ostateczny projekt rozporządzenia w sprawie rynków kryptowalut (MiCA). Oczekuje się, iż MiCA zostanie ratyfikowana i opublikowana w Dzienniku Urzędowym w pierwszej połowie 2023 roku. Mimo, iż większość przepisów będzie objęta 12-18 miesięcznym okresem vacatio legis, już dzisiaj warto dokładnie pochylić się nad treścią rozporządzenia.
MiCA wchodzi w skład szerszego pakietu finansów cyfrowych, zaproponowanego przez Komisję Europejską w 2020 r. obejmującego m. in. :
- Rozporządzenie Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (Rozporządzenie DLT),
- Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA),
- Rozporządzenie w sprawie wyjaśniania lub zmiany niektórych powiązanych przepisów w zakresie unijnych usług finansowych.
Rok 2023 wpisuje się w trwający od kilku lat trend oznaczający wzmożoną aktywność ze strony instytucji obowiązanych. Wszystko wskazuje na to, iż ilość obowiązków w obszarze AML/CFT nadal będzie rosła a skuteczność ich realizacji uzależniona jest od dobrej organizacji systemu AML.
Instytucje finansowe mają coraz większą świadomość, iż filarami tego systemu są kompetentne zasoby ludzkie oraz odpowiednie narzędzia IT.