Instytucja obowiązana, ale do czego?
Najprościej rzecz ujmując, instytucjami obowiązanymi są te podmioty, które z uwagi na świadczony rodzaj usług, skupionych wokół transferu środków pieniężnych, generują podwyższone ryzyko w zakresie prania pieniędzy i finansowania terroryzmu. Szczegółowe zasady ich funkcjonowania oraz obowiązki w zakresie zapobiegania praniu pieniędzy określa Ustawa z dnia z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. W art. 2 ust. 1 ww. Ustawy znajdziemy szeroki wachlarz podmiotów, które zgodnie z literą prawa są zobligowane do badania, czy klienci ich instytucji generują ryzyko “wyprania” pieniędzy lub sfinansowania działań terrorystycznych. Wśród wskazanych tam instytucji znajdziemy w szczególności: banki, fundusze inwestycyjne i towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń, notariuszy, biura rachunkowe, banki spółdzielcze czy instytucje pożyczkowe. Więcej na temat AML mogą Państwo przeczytać w innych publikacjach dostępnych na stronie m.in. Nowe limity transakcji gotówkowych i limity z AML – jakie zmiany czekają przedsiębiorców i konsumentów?
Gdzie tkwi ryzyko?
Status podmiotu obowiązanego, na gruncie art. 2 ust. 1 pkt 3 Ustawy o AML, posiadają także krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego, oddziały unijnych instytucji płatniczych, oddziały unijnych i zagranicznych instytucji pieniądza elektronicznego, małe instytucje płatnicze, biura usług płatniczych oraz agenci rozliczeniowi, w rozumieniu Ustawy o usługach płatniczych. Mając na uwadze przedmiot usług świadczonych przez BUPy, KIPy i MIPy – polegające w głównej mierze na transferze środków płatniczych – działalność tych podmiotów charakteryzuje się wysokim ryzykiem z punktu widzenia AML. A jednak, aby świadczyć usługi, a także, aby w ogóle prowadzić działalność jako uczestnik obrotu gospodarczego, muszą one wszystkie posiadać rachunek bankowy. W tym celu zgłaszają się więc do innych instytucji obowiązanych, oferujących tego typu produkty — do banków. W tym miejscu właśnie zaczynają się przysłowiowe schody dla wielu z instytucji płatniczych.
Banki, wypełniając obowiązki nałożone na nich Ustawą o AML, dokonują oceny ryzyka klientów. Z uwagi na charakter działalności prowadzonej przez instytucje świadczące usługi płatnicze, z zasady generują one wyższy stopień ryzyka, aniżeli firmy z innych branży czy osoby fizyczne. Z uwagi na powyższe, banki stosują wobec instytucji płatniczych dodatkowe wymogi poprzedzające zawarcie umowy o prowadzenie rachunku bankowego.
Stanowisko UKNF dotyczące stosowania kwestionariusza ankietowego przez banki wobec instytucji sektora finansowego
Dostrzegając proces postępującej cyfryzacji oraz digitalizacji usług finansowych, Urząd Komisji Nadzoru Finansowego, jako organ nadzorczy wobec instytucji sektora usług płatniczych, wydał w 2020 roku (aktualizowane w 2022) stanowisko w przedmiocie informacji, jakie banki powinny pozyskać od klienta będącego instytucją płatniczą, w celu zwiększenia bezpieczeństwa obsługiwanych transakcji i wypracowywania podobnych praktyk przy zawieraniu przez banki relacji z instytucjami płatniczymi. Ma ono zapewnić jednolite podejście wobec sektora usług finansowych oraz kompletność i zgodność pozyskanych informacji z przepisami Ustawy o AML. Jednocześnie Komisja opublikowała przykładowy Kwestionariusz współpracy z podmiotami usług płatniczych.
Stanowisko wraz z kwestionariuszem powinno być traktowane przez banki jako rozwiązanie zmierzające do wypracowania przez rynek finansowy uniwersalnego procesu zakładania rachunków płatniczych. Tym samym banki przyjęły pewien ustandaryzowany model weryfikacji i identyfikacji takich klientów, o którym więcej poniżej.
KYC – Know Your Customer
Standardową procedurą, w przypadku umów zawieranych z podmiotami świadczącymi usługi płatnicze, jest konieczność wypełnienia formularza zwanego potocznie KYC ( z ang. Know Your Klient – Poznaj swojego klienta). Jest to zbiór danych o kliencie, które pozwalają zweryfikować jego wiarygodność. Za jego pomocą bank pozyskuje informacje, które pozwalają oszacować ryzyko związane z praniem pieniędzy i finansowania terroryzmu w przypadku danego klienta. W ten sposób realizują nałożony na nich Ustawą AML obowiązek identyfikacji.
Powszechną praktyką stało się już przygotowywanie przez banki specjalnych – dodatkowo rozbudowanych – formularzy dla instytucji, których działalność z zasady wiąże się z podwyższonym ryzykiem. Takimi instytucjami, o czym zostało już wspomniane, są instytucje sektora usług płatniczych.
Jakie zagadnienia powinien zawierać wyspecjalizowany formularz przygotowany przez bank dla instytucji płatniczej?
Forma organizacyjna oraz informacje dotyczące instytucji płatniczej
Na wstępie kwestionariuszy KYC znajdują się pytania dotyczące podstawowych informacji na temat instytucji, pozwalających ją zidentyfikować. Będą to zatem elementy, takie jak: nazwa, adres siedziby podmiotu, NIP, REGON, KRS – jeśli dotyczy – oraz data rozpoczęcia prowadzenia działalności, w zakresie usług płatniczych. Długość prowadzenia działalności, zgodnie ze stanowiskiem KNF, ma wpływ na znajomość klientów, historię i sposób wykonywania środków bezpieczeństwa finansowego, a także pozwala uzyskać informację na temat reputacji danej instytucji.
Na tym etapie banki powinny zapytać także o kwestie związane z licencją na prowadzenie działalności w ramach usług płatniczych. Dla przykładu, działalność krajowych instytucji płatniczych wymaga uprzedniego uzyskania zezwolenia Komisji Nadzoru Finansowego. Po otrzymaniu zezwolenia instytucja wpisywana jest do prowadzonego przez KNF rejestru dostawców usług płatniczych i wydawców pieniądza elektronicznego. Tymczasem małe instytucje płatnicze i biura usług płatniczych, chociaż nie muszą prowadzić postępowania licencyjnego, zobligowane są pozyskać wpisy do odpowiednich rejestrów prowadzonych przez KNF. Komisja jest także organem, który sprawuje nadzór nad wszystkimi instytucjami sektora finansowego.
W ramach danych podstawowych bank będzie domagał się szczegółowych informacji na temat prowadzonej działalności, w szczególności doprecyzowania czy instytucja prowadzi działalność także w ramach innych usług aniżeli usługi płatnicze, a jeśli tak, to jak rozkłada się udział procentowy tych usług w ramach ogółu prowadzonej działalności. Wiele instytucji płatniczych świadczy bowiem swoje usługi w formie hybrydowej, a działalność wykraczająca poza obszar usług płatniczych może mieć wpływ na zwiększenie lub obniżenie ogólnego ryzyka. Z pewnością pojawi się także pytanie o obszar, na jakim instytucja świadczy swoje usługi – z naciskiem na informację, czy instytucja świadczy usługi poza terytorium Rzeczypospolitej.
Bank może także chcieć pozyskać informacje na temat udziału podmiotu w grupie kapitałowej. Ponadto, niezbędne będą informacje na temat ewentualnego dopuszczenia akcji instytucji do obrotu na rynkach regulowanych.
Dane reprezentantów
Wystandaryzowany formularz KYC posiada także rubrykę, w której będzie należało wskazać dane osób reprezentujących podmiot. W tym zakresie po stronie instytucji mogą pojawić się wątpliwości, czy istnieje w ogóle możliwość przekazania takich danych osobowych jak imię i nazwisko, PESEL, kraj urodzenia oraz seria i numer dowodu osobistego. Tymczasem Ustawa o AML mówi wprost: instytucje obowiązane, stosując środki bezpieczeństwa finansowego, identyfikują osobę upoważnioną do działania w imieniu klienta oraz weryfikują jej tożsamość i umocowanie do działania w imieniu klienta. Na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Dodatkowo, w tym miejscu należy wskazać, iż w oparciu o art. 112b Ustawy Prawo bankowe, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Instytucje płatnicze mogą zatem, mając na uwadze, że jest to działanie niezbędne do celów wynikających z prawnie uzasadnionych interesów, przekazać te dane do banku.
Więcej na temat łączenie obowiązków wynikających z AML oraz RODO mogą Państwo przeczytać w artykule AML a RODO – jak wygląda ochrona danych osobowych przy wypełnianiu obowiązków instytucji obowiązanej?
Dane beneficjentów rzeczywistych
Beneficjent rzeczywisty, to na gruncie przepisów Ustawy o AML, osoba fizyczna sprawująca bezpośrednio lub pośrednio kontrolę nad klientem poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez klienta, lub każdą osobę fizyczną, w której imieniu są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna. Prościej rzecz ujmując, jest to ta osoba fizyczna, która w ostatecznym rozrachunku odnosi korzyść z prowadzonej działalności lub wykonanej transakcji. W przypadku instytucji płatniczych beneficjentami będą osoby fizyczne, które:
-
są udziałowcami lub akcjonariuszami, którym przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji tej osoby prawnej,
-
dysponują więcej niż 25% ogólnej liczby głosów w organie stanowiącym tej osoby prawnej, także jako zastawnicy albo użytkownicy, lub na podstawie porozumień z innymi uprawnionymi do głosu,
-
sprawują kontrolę nad osobą prawną lub osobami prawnymi, którym łącznie przysługuje prawo własności więcej niż 25% ogólnej liczby udziałów lub akcji, lub które łącznie dysponują więcej niż 25% ogólnej liczby głosów w organie stanowiącym tej osoby prawnej, także jako zastawnik albo użytkownik, lub na podstawie porozumień z innymi uprawnionymi do głosu,
-
sprawują kontrolę nad osobą prawną poprzez posiadanie uprawnień podmiotu dominującego,
-
zajmują wyższe stanowisko kierownicze w przypadku udokumentowanego braku możliwości ustalenia lub wątpliwości co do tożsamości osób fizycznych wskazanych powyżej oraz w przypadku niestwierdzenia podejrzeń prania pieniędzy, lub finansowania terroryzmu.
W nawiązaniu do powyższego, bank może zażyczyć sobie także, aby instytucja płatnicza przedstawiła do weryfikacji strukturę kapitałową i/lub wyciąg z Centralnego Rejestru Beneficjentów Rzeczywistych podmiotu.
Charakter relacji instytucji płatniczej z bankiem
Bank przed zawarciem umowy z instytucją płatniczą będzie dążył do poznania charakteru relacji, jaka ma go wiązać z klientem. Przede wszystkim przedmiotem zainteresowania banku będą produkty i usługi, z jakich instytucja zamierza korzystać, informacja, czy owe produkty/usługi będą wykorzystywane na potrzeby instytucji jako takiej, czy jej klientów, a nadto informacja, czy owe produkty/usługi będą wykorzystywane na potrzeby innej działalności prowadzonej przez instytucję, aniżeli usługi płatnicze i czy podmiot zamierza przechowywać środki klientów na owym rachunku płatniczym.
Jeśli instytucja zamierza wykorzystywać rachunek bankowy do obsługi klientów, bank z pewnością zapyta o to, czy podmiot zamierza obsługiwać klientów zagranicznych. Będzie też dociekał, czy instytucja pozwala swoim klientom na realizowanie transakcji związanych z obszarami, w których Ustawa o AML upatruje podwyższonego ryzyka tj. hazardem, obrotem metalami lub kamieniami szlachetnymi, handlem kryptowalutami, bronią, środkami odurzającymi, lub farmaceutykami.
W ramach pozyskiwania informacji o klientach podmiotu i usługach świadczonych na ich rzecz, banki zwykły gromadzić także informacje związane z charakterystyką świadczonych przez dany podmiot usług. W przypadku instytucji płatniczych przedmiotem zainteresowania banku będzie lista oferowanych produktów, obsługiwanych walut, informacja o możliwości obsługi transakcji gotówkowych i kart przedpłaconych. Ponadto, instytucja płatnicza powinna wskazać w formularzu czy pozwala swoim klientom realizować transakcje wykraczające poza Europejski Obszar Gospodarczy.
Procedury, polityki i programy AML
Instytucja płatnicza w ramach swoich regulacji wewnętrznych powinna posiadać wdrożone rozwiązania, które pozwalają zapobiegać transakcjom polegającym na praniu pieniędzy i finansowaniu terroryzmu. Bank, przed zawarciem umowy z takim podmiotem, może chcieć upewnić się, że wdrożone rozwiązania są wystarczającym narzędziem mitygującym ryzyko AML. W szczególności należy więc przygotować się na pytania o posiadanie i stosowanie wewnętrznych procedur w tym zakresie oraz o przeprowadzanie samooceny i identyfikacji kluczowych czynników ryzyka. O tym, w jaki sposób skonstruować prawidłowo postanowienia Procedury zapobiegania praniu pieniędzy i finansowaniu terroryzmu mogą Państwo przeczytać w artykule Procedura przeciwdziałaniu praniu brudnych pieniędzy (AML/KYC)
Narzędziem ochrony w ramach AML jest także wskazanie osoby, która w danym podmiocie jest odpowiedzialna za realizację obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu. W większych podmiotach może to być pracownik zatrudniony na stanowisku AML Officera, czy Inspektora PPP. W mniejszych podmiotach lub jednoosobowych działalnościach gospodarczych zadania z zakresu AML może wykonywać sam przedsiębiorca.
Charakterystyka działalności instytucji płatniczej
Dla banku istotną informacją będzie przede wszystkim forma świadczenia usług tj. to, czy instytucja świadczy usługi w sposób stacjonarny w siedzibie – i tylko taki – czy realizuje transakcje bezkontaktowo. Istotną informacją, na podstawie której bank może ocenić ryzyko AML, może być także informacja o liczbie stałych klientów, na rzecz których instytucja świadczy usługi w sposób ciągły, oraz liczbie klientów mających statut osoby prawnej.
Z punktu widzenia AML niezwykle istotne jest także identyfikowanie osób o statusie PEP. Są to osoby zajmujące eksponowane stanowiska polityczne. Pojęcie to funkcjonuje w oparciu o przepisu Ustawy o AML. Jako takie, Ustawa definiuje w szczególności:
-
szefów państw, szefów rządów, ministrów, wiceministrów oraz sekretarzy stanu,
-
członków parlamentu lub podobnych organów ustawodawczych,
-
członków organów zarządzających partii politycznych,
-
członków sądów najwyższych, trybunałów konstytucyjnych oraz innych organów sądowych wysokiego szczebla, których decyzje nie podlegają zaskarżeniu, z wyjątkiem trybów nadzwyczajnych,
-
członków trybunałów obrachunkowych lub zarządów banków centralnych,
-
ambasadorów, chargés d’affaires oraz wyższych oficerów sił zbrojnych,
-
członków organów administracyjnych, zarządczych lub nadzorczych przedsiębiorstw państwowych, spółek z udziałem Skarbu Państwa, w których ponad połowa akcji albo udziałów należy do Skarbu Państwa lub innych państwowych osób prawnych,
-
dyrektorów, zastępców dyrektorów oraz członków organów organizacji międzynarodowych lub osoby pełniące równoważne funkcje w tych organizacjach,
-
dyrektorów generalnych w urzędach naczelnych i centralnych organów państwowych oraz dyrektorów generalnych urzędów wojewódzkich,
-
inne osoby zajmujące stanowiska publiczne lub pełniące funkcje publiczne w organach państwa, lub centralnych organach administracji rządowej.
Bank ważący ryzyko AML z pewnością zapyta o to, czy instytucja płatnicza zidentyfikowała w ramach listy swoich klientów takich, którzy posiadają status PEP.
Zwykle instytucje płatnicze prowadzą pewną klasyfikację transakcji, według typologii przyjętej w ramach swoich wewnętrznych ustaleń. Taka typologia może okazać się także czynnikiem wpływającym na ocenę ryzyka wystawioną przez bank. Bank z pewnością zada także pytanie o to, ile transakcji łącznie instytucja wykonała w ostatnim roku i na jaką kwotę, a także o to, czy instytucja weryfikuje odbiorców i nadawców transferu i czy posiada mechanizmy służące wykrywaniu nieprawidłowości w ramach zleconych transakcji (np. brak podania niektórych danych).
Ocena ryzyka i środki bezpieczeństwa finansowego
W ramach informacji pozyskiwanych w zakresie stosowanych środków bezpieczeństwa zainteresowanie banku wzbudzi kryterium oceny ryzyka klientów, przyjęte przez daną instytucję płatniczą. Z punktu widzenia banku, niezwykle istotne są dane dotyczące czynników wpływających na podwyższenie oceny ryzyka klientów stosowane przez instytucję, przyjęty w podmiocie sposób weryfikacji klientów, oraz wykaz dokumentów, które podmiot weryfikuje dla przeprowadzenia identyfikacji klienta. Interesujące dla banku będą metody prowadzenia weryfikacji i identyfikacji oraz stosowane narzędzia ( tym mechanizmy i platformy zewnętrzne).
Więcej na ten temat mogą Państw przeczytać w artykule AML: Formułowanie oceny ryzyka instytucji obowiązanej – praktyczne wskazówki
System kontroli wewnętrznej
Innymi elementami, które w ramach struktury instytucji, mogą mieć wpływ na ocenę Banku, jest istnienie komórki audytu wewnętrznego i/lub systemu kontroli funkcjonalnej. Co oczywiste, małe podmioty o niezbyt rozbudowanej strukturze, nie będą mogły pochwalić się podobnymi rozwiązaniami. Takie instytucje mogą na przykład wskazać, iż w ramach systemu kontroli przechodzą audyty przeprowadzane przez niezależne kancelarie. Kancelaria RPMS także świadczy dla Państwa usługi związane z audytami w zakresie funkcjonowania systemu AML. Warto jednak mieć na uwadze, że bank zawsze całościowo ocenia sytuację instytucji, przez pryzmat jej wielkości, stosowanych rozwiązań, liczby zatrudnianych pracowników i prowadzonych transakcji.
Pozostałe informacje
Poza danymi, o których zostało wspomniane powyżej, bank w ramach wystandaryzowanego formularza powinien poruszyć jeszcze następujące kwestie:
-
Dane finansowe instytucji – przy czym, dla przeprowadzenia weryfikacji, wystarczające powinno być wskazanie, czy instytucja ta osiągnęła w poprzednim roku kalendarzowym zysk, czy stratę.
-
Liczbę pracowników zatrudnionych w instytucji płatniczej.
-
Informacje na temat szkoleń z zakresu AML dla pracowników instytucji.
-
Listy sankcyjne — ważnym elementem weryfikacji instytucji płatniczej przez bank, jest pozyskanie danych na temat weryfikacji klientów przez pryzmat występowania na listach sankcyjnych. Owe listy są to listy osób i podmiotów, wobec których stosuje się szczególne środki ograniczające, na podstawie przepisów Ustawy o AML. Dobrą praktyką, stosowaną przez instytucje płatnicze, jest weryfikacja nie tylko klientów instytucji, ale także beneficjentów, płatników, a nawet odbiorców transakcji. Im więcej list sankcyjnych przeszukuje instytucja, tym także generuje ona w oczach banku mniejsze ryzyko nadużyć na płaszczyźnie AML.
-
Sankcje administracyjne – bank dla oceny ryzyka powinien zapytać instytucję płatniczą o sankcje administracyjne, które zostały nałożone w ciągu ostatnich 5 lat, a także o sankcje administracyjne w zakresie prania pieniędzy nałożone na beneficjentów, członków kierownictwa lub akcjonariuszy.
Podsumowanie
Instytucje płatnicze, będące zgodnie z Ustawą o AML instytucjami obowiązanymi, w oczach banków prowadzących rachunki płatnicze, są klientami podwyższonego ryzyka w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. To powoduje, że przed zawarciem umowy o świadczenie usług bankowych, prowadzą wobec tych instytucji pogłębiony due dilligance mający zmitygować potencjalne ryzyko w zakresie AML. Przejście przez biurokratyczne zawiłości może zająć trochę czasu i energii, ale nie jest z gruntu skazane na porażkę. Warto się jednak do niego odpowiednio przygotować i drobiazgowo wypełnić formularz KYC przygotowany przez bank.
A czy bank może wypowiedzieć instytucji płatniczej umowę na prowadzenie rachunku? O tym dowiedzą się Państwo z artykułu Wypowiedzenie umowy rachunku bankowego przez bank — czyli kiedy bank może wypowiedzieć instytucji płatniczej umowę rachunku bankowego?
Czy bank może odmówić zawarcia umowy?
W konsekwencji badania ryzyka AML instytucji płatniczej, bank może dojść do przekonania, że zawarcie umowy z danym klientem jest obarczone zbyt dużym zagrożeniem. Odmową otwarcia rachunku na podstawie przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu będzie skutkowało m.in.: niezłożenie wszystkich wymaganych oświadczeń, lub złożenie ich w niepełnej formie (zawierających nierzetelne, niepełne informacje). Wówczas bank — bez uzasadnienia — może odmówić zawarcia danej umowy. Co pozostaje wówczas takiej instytucji? Może także podjąć próby negocjacji z wybranym bankiem w celu znalezienia rozwiązania dla płaszczyzny, w której ryzyko jest dla banku nieakceptowalne. Wówczas nieoceniona może okazać się pomoc wykwalifikowanej kancelarii. Kancelaria RPMS zatrudnia prawników specjalizujących się w prawie bankowym, którzy chętnie wesprą instytucje płatnicze podczas takich pertraktacji.
Ponadto, warto zwrócić po raz kolejny uwagę na Stanowisko Urzędu KNF dotyczące stosowania kwestionariusza ankietowego przez banki wobec instytucji sektora usług płatniczych oraz uzupełniającą je informację z 26 września 2022 r. Wynika z nich, że każda odmowa dostępu instytucjom płatniczym, instytucjom pieniądza elektronicznego, małym instytucjom płatniczym oraz biurom usług płatniczych do świadczonych przez bank usług wymaga zawiadomienia Komisji Nadzoru Finansowego wraz z podaniem przyczyn odmowy. Zawiadomienie powinno zawierać pełen opis zaistniałej sytuacji, ze wskazaniem, jakie działania wyjaśniające zostały podjęte oraz powinno wskazać konkretne powody odmowy, np. jakich środków bezpieczeństwa finansowego nie można było wykonać lub zastosować.
Pytania i odpowiedzi
Jest to zasada, zgodnie z którą wszystkie środki transferowane z jednej instytucji finansowej do drugiej muszą być monitorowane, rejestrowane oraz zawierać informacje identyfikujące zarówno nadawcę, jak i odbiorcę.
Nie. Dokument ten jest dokumentem co do zasady poufnym i nie powinien być dostarczany osobom trzecim. Wystarczy informacja o kluczowych ryzykach i końcowej ocenie ryzyka. Banki jednak takie żądania wyrażają.
KNF nie rekomenduje takiego rozwiązania, z uwagi na fakt, iż celowe dla banku jest uzyskanie odpowiedzi w formie zagregowanej, podczas gdy w regulacjach kwestie interesujące bank mogą być rozsiane. To utrudni przeprowadzenie analizy ceny ryzyka. Banki jednak uzależniają swoje działanie od tego, czy podmiot przekaże Procedury AML posiadane wewnętrznie.
Zaufali nam: