Michał Szałas
Podejmując próbę oceny, jaki wpływ na compliance, szczególnie w obszarze AML, wywrze obowiązująca od kilku dni ustawa o Systemie Informacji Finansowej(1.) (dalej: „Ustawa SInF” lub „Ustawa”), nie sposób nie zacząć od ogólnej uwagi. Cała Ustawa, niezależnie od jej poszczególnych przepisów i zmian dokonanych w Ustawie AML(2.) i innych ustawach, ma na celu przede wszystkim uszczelnienie systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. System PPP/FT rozumiem przy tym nie tylko jako AML compliance, tj. zgodność z reżimem prawnym unijnego rozporządzenia, dyrektyw i polskiej Ustawy AML, ale także jako bezpośrednie zwalczanie przestępstwa prania pieniędzy na gruncie prawa karnego.
Ustawa SInF w swojej treści wskazuje bowiem na dwa zasadnicze cele Systemu Informacji Finansowej (dalej: „SInF”), którymi są właśnie w pierwszym rzędzie PPP/FT, a w drugiej kolejności wykrywanie i zapobieganie najpoważniejszym przestępstwom oraz wspomaganie prowadzenia dotyczącego ich postępowania karnego (w tym wykrycie pochodzącego z takich przestępstw mienia). Nadmienić należy również, że sama ustawa stanowi część implementacji do polskiego systemu prawnego m.in. tzw. V Dyrektywy AML(3.).
Z tego względu uważam, że wymogi nałożone ustawą na instytucje zobowiązane (bo tak właśnie zostały określone podmioty zobowiązane do przekazywania informacji od Systemu) można zaliczyć do pojmowanego całościowo systemu AML compliance. Tym bardziej, że rodzaj i charakter sankcji za nieprzestrzeganie przepisów (już w tym miejscu należy zasygnalizować, że należą do nich surowe kary pieniężne) jest zbliżony do systemu sankcyjnego dotyczącego instytucji obowiązanych w ustawie AML.
Instytucja obowiązana a instytucja zobowiązana
Ustawa SInF wprowadza własną definicję instytucji zobowiązanych, do których należą m.in. banki, oddziały banków zagranicznych, oddziały instytucji kredytowych, SKOKi, Krajowa SKOK, instytucje płatnicze określone w ustawie o usługach płatniczych (m.in. KIP i MIP, KIPE, oddziały instytucji unijnych i zagranicznych), firmy inwestycyjne, przedsiębiorcy prowadzący działalność w zakresie udostępniania skrytek sejfowych oraz – w pewnym zakresie – Narodowy Bank Polski.
Proste porównanie ustawowych definicji instytucji obowiązanej (AML) i instytucji zobowiązanej (SInF) prowadzi do kilku wniosków.
Po pierwsze, katalog instytucji obowiązanych jest zdecydowanie szerszy i nie każda z nich będzie instytucją zobowiązaną do raportowania rachunków do Systemu Informacji Finansowej. Dotyczy to w szczególności instytucji sektora ubezpieczeniowego, kantorowego, podmiotów działających w branży prawnej i rachunkowej oraz przedsiębiorców i tych podmiotów, u których obowiązki z zakresu AML powstają wyłącznie z tytułu wartości transakcji (także gotówkowej). Innymi słowy, nie każda instytucja obowiązana jest instytucją zobowiązaną, ale (prawie) każda instytucja zobowiązana jest instytucją obowiązaną(4.). Tych dwóch kategorii instytucji nie można zatem utożsamiać ze sobą.
Po drugie, obowiązkami w ramach Ustawy SInF został objęty w zasadzie cały sektor finansowy, przy czym dotyczy to nie tylko „klasycznych” instytucji finansowych, lecz także wszelkiego rodzaju „nowych” instytucji, które można określić mianem FinTech.
Po trzecie – i być może najważniejsze – Ustawa SInF znacznie rozszerza katalog podmiotów, które dotychczas były zobowiązane do raportowania informacji o rachunkach za pośrednictwem STIR(5.). Do katalogu tego należały dotychczas tylko banki (rozumiane jako banki krajowe, oddziały instytucji kredytowych i banków zagranicznych) oraz SKOK-i. Odnośnie większości z tych podmiotów można zaryzykować tezę, że skutecznie wdrożyły one elektroniczne raportowanie i sprostały związanym z tym wyzwaniom (podnoszone przez Szefa KAS w kontrolach i zaleceniach pokontrolnych zastrzeżenia dotyczyły raczej nieterminowego i niewystarczającego udzielania odpowiedzi na żądanie organu, niż samego sposobu czy zakresu raportowania).
Obecnie jednak – już za kilka miesięcy – wyzwania związane z bieżącym przekazywaniem informacji w szczególnej formie dotkną znacznie szerszą grupę podmiotów sektora finansowego, dla których będzie to obowiązek zupełnie nowy. I to właśnie fintechy mogą zostać w największym stopniu dotknięte ustawą.
Obowiązek informacyjny
Ustawa nakłada na instytucje zobowiązane obowiązek przekazywania do SInF w formie elektronicznej tzw. informacji rejestrowanych, dotyczących:
– rachunków płatniczych w rozumieniu ustawy o usługach płatniczych (w tym, co wynika z tej definicji, ale może wymagać odrębnego zaakcentowania, także rachunków prowadzonych przez podmioty niebankowe – fintechy),
– rachunków bankowych i w SKOK, nawet jeżeli nie są rachunkami płatniczymi,
– rachunków papierów wartościowych i derywatów oraz rachunków zbiorczych wraz z rachunkami pieniężnymi służących do ich obsługi w rozumieniu ustawy o obrocie instrumentami finansowymi,
– umów o przechowywanie przedmiotów i papierów wartościowych (z wyjątkami) oraz o udostępnienie skrytki sejfowej.
Instytucje zobowiązane będą przekazywać informacje o:
– otwarciu rachunku (zawarciu umowy o przechowywanie przedmiotów lub papierów wartościowych albo o udostępnieniu skrytki sejfowej),
– zamknięciu rachunku (zakończeniu obowiązywania tego typu umowy),
– każdej zmianie szczegółowych informacji rejestrowanych.
Odnośnie tej ostatniej kategorii, art. 12 Ustawy SInF wprowadza bardzo szeroki, precyzyjny katalog informacji i danych osobowych, których w tym miejscu nie ma potrzeby powtarzać. Można zasygnalizować jedynie, że w zakres tych informacji wchodzi numer rachunku, liczne dane osobowe posiadacza, beneficjenta rzeczywistego (w rozumieniu przepisów AML) i szeroko rozumianego pełnomocnika, a także daty otwarcia i zamknięcia rachunków.
Zaakcentowania wymaga również, że gromadzeniu w SInF będą podlegały informacje, czy zamknięcie rachunku nastąpiło z uwagi na brak możliwości zastosowania jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 Ustawy AML.
Należy też wskazać, że przepisy Ustawy SInF wyraźnie wyłączają – w zakresie przekazywania informacji rejestrowanych do STIR oraz ze STIR do SInF – stosowanie przepisów regulujących ograniczenia udostępniania danych objętych tajemnicami ustawowo chronionymi, w tym tajemnicą bankową.
Termin przekazywania informacji
Zgodnie z ustawą, informacje rejestrowane mają być przekazywane do SInF nie później niż w ciągu 3 dni od dnia otwarcia/zamknięcia rachunku (zawarcia umowy) lub każdej zmiany powyższych informacji, przy czym do tych terminów nie wlicza się sobót i dni ustawowo wolnych od pracy oraz okresów zakłócenia funkcjonowania STIR. Przekazanie informacji ma następować w formie zautomatyzowanej, za pośrednictwem STIR.
Terminy wdrożenia
Ustawa już weszła w życie w lutym 2023 roku, jednak faktyczne przekazywanie informacji przez instytucje zobowiązane rozpocznie się etapami.
Jako pierwsze obowiązek ten będą musiały wdrożyć banki, SKOKi, oddziały instytucji kredytowych i banków zagranicznych oraz NBP, które będą są zobowiązane do rozpoczęcia raportowania w okresie od dwóch do trzech miesięcy od wejścia w życie ustawy (przy czym nowe informacje będą przekazywać łącznie z już przekazywanymi do STIR).
W drugiej kolejności – w okresie od czterech do sześciu miesięcy – do raportowania będą zobowiązane instytucje płatnicze (z wyjątkiem MIP) oraz operatorzy skrytek sejfowych.
Jako ostatnie obowiązek dotknie (w okresie od 7 do 9 miesięcy od wejścia w życie ustawy) MIP i firmy inwestycyjne oraz banki powiernicze.
Dzień rozpoczęcia raportowania, co należy podkreślić, nie jest jednak równoznaczny z dniem rozpoczęcia gromadzenia odpowiednich informacji. Wszystkie instytucje zobowiązane będą bowiem musiały przekazać informacje rejestrowane na dzień wejścia w życie Ustawy SINF, a także informacje o rachunkach otwartych (innych zmianach informacji) w okresie między wejściem w życie ustawy a dniem rozpoczęcia przekazywania informacji.
Kontrole i kary
Odnosząc się do uregulowanych w Ustawie SInF mechanizmów o charakterze kontrolnym i sankcyjnym należy wskazać, że KNF (w odniesieniu do podmiotów nadzorowanych) oraz naczelnicy urzędów celno-skarbowych (wobec pozostałych instytucji) zostali upoważnieni do sprawowania kontroli wykonywania przez instytucje zobowiązane obowiązków w zakresie przekazywania informacji rejestrowanych. W ramach takiej kontroli organy te otrzymały prawo wnioskowania do Szefa KAS o przekazanie informacji dotyczących wypełniania obowiązków informacyjnych.
W przypadku nie przekazania w terminie informacji rejestrowanych do STIR, przekazania informacji niekompletnych lub niezgodnych ze stanem faktycznym, wskazane wyżej organy nadzorujące (KNF i naczelnicy UC-S) mogą w drodze decyzji nałożyć na instytucję zobowiązaną karę pieniężną w wysokości nie większej niż 1 500 000 zł. Jeżeli jednak informacja taka zostanie przekazana w ciągu 14 dni od zaistnienia zdarzenia, z którym ustawa wiąże powstanie obowiązku informacyjnego, organ może odstąpić od wszczęcia postępowania w sprawie nałożenia kary pieniężnej lub od samego nałożenia kary pieniężnej. Wskazać należy również, że od decyzji wydanej przez KNF nie przysługuje odwołanie, lecz – na podstawie art. 127 § 3 kpa –wniosek o ponowne rozpoznanie sprawy, natomiast od decyzji naczelnika urzędu celno-skarbowego przysługuje odwołanie do Szefa KAS w terminie 14 dni od dnia jej doręczenia.
Ustawa SInF wprowadza również dwa nowe typy czynów zabronionych. Dla instytucji zobowiązanych szczególne znaczenie może mieć art. 35 Ustawy, zgodnie z którym kto, bez uprawnienia lub z naruszeniem posiadanych uprawnień, przetwarza informacje rejestrowane (…) podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Wyzwania compliance
Ustawa SInF nie jest zatem tylko kolejnym aktem prawnym wprowadzającym „jakiś” system informatyczny z zakresu SupTech.
Oprócz konkretnych obowiązków informacyjnych, wprowadza ona bowiem – jak wskazano w powyższym akapicie – także nowe uprawnienia dla organów nadzorczych i prawo nakładania kar administracyjnych, a także reguluje nowe czyny zabronione. Tym samym, może rodzić wyzwania w obszarze compliance.
Pierwszym i podstawowym wyzwaniem będzie przygotowanie i dopasowanie infrastruktury IT do wymagań STIR (i pośrednio SInF). W tym kontekście należy z jednej strony odnotować, że o ile banki i SKOK-i już dziś komunikują się ze STIR, o tyle dla podmiotów pozabankowych będzie to wymóg całkowicie nowy. Z drugiej strony jednak można wskazać, że sama kwestia wymagań technicznych nie należy do problemów nie do przezwyciężenia, a na rynku są już oferowane komercyjne moduły i aplikacje służące do integracji z systemami informatycznymi instytucji i zautomatyzowanego przygotowania plików w odpowiednim formacie.
Kolejnym wymogiem jest konieczność zapewnienia prawidłowego gromadzenia i przekazywania niezbędnych informacji, co może wymagać potencjalnego dostosowania wewnętrznych procedur, dokumentacji i procesów do wymogów stawianych przez Ustawę. Należy przy tym mieć na uwadze, że już w momencie nawiązania stosunków gospodarczych (tzw. onboardingu) konieczne będzie zebranie szerokich danych klienta, w tym osobowych i teleadresowych. W przypadku części instytucji zobowiązanych, zwłaszcza niebankowych, może zajść potrzeba dostosowania zakresu gromadzonych danych, co może mieć szczególne znaczenie w przypadkach onboardingu zdalnego. Znaczenie ma również wiarygodna weryfikacja tożsamości klienta oraz ustalenie beneficjenta rzeczywistego.
Oczywiście procesy te mogą nie budzić szczególnych trudności, jeżeli dana instytucja zobowiązana (w tym kontekście równocześnie instytucja obowiązana) prawidłowo wdrożyła funkcjonujący system compliance AML. Praktyka pokazuje jednak, że podejście do obowiązków wynikających z Ustawy AML jest różne, a nawet niektóre instytucje bankowe mogą mieć problem ze skutecznym przeciwdziałaniem praniu pieniędzy. Niezależnie od powyższego, zbieranie danych na potrzeby raportowania do SInF powinno zostać ujęte w procedurach i dokumentacji (choćby – w wariancie minimalnym – poprzez ich aktualizację).
Należy mieć też na uwadze prawidłowe i precyzyjne określenie zasad przetwarzania informacji rejestrowanych oraz wyznaczenie kręgu osób upoważnionych do ich przetwarzania – co może mieć znaczenie także dla możliwości przypisania odpowiedzialności karnej za przestępstwo z art. 35 Ustawy.
Zmiany w przepisach AML
Końcowo wskazać należy, że Ustawa SInF wprowadziła szereg zmian w przepisach Ustawy AML. Zmiany te mają na celu nie tylko bezpośrednie wdrożenie regulacji dotyczących SInF, ale także zmiany w samym systemie PPP/FT. Ich szersze omówienie wykracza jednak poza ramy niniejszych rozważań i będzie przedmiotem odrębnego artykułu.
Przypisy:
- Ustawa z dnia 1 grudnia 2022 roku o Systemie Informacji Finansowej – Dz.U. z 2023 roku, poz. 180
- Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu – t.jedn. Dz.U. z 2022 roku, poz. 593 ze zm.
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/843 z dnia 30 maja 2018 r. zmieniająca dyrektywę (UE) 2015/849 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz zmieniająca dyrektywy 2009/138/WE i 2013/36/UE
- Prawie, gdyż w ustawie SInF jako instytucja zobowiązana został określony również Narodowy Bank Polski.
- System Teleinformatyczny Izby Rozliczeniowej.