Jakie zmiany wprowadzono w rozporządzeniu 2015/847?
W czerwcu 2022 roku Unia Europejska zaproponowała modyfikację rozporządzenia Parlamentu Europejskiego i Rady w sprawie informacji towarzyszącym transferom środków pieniężnych i niektórym kryptoaktywom, lepiej znane jako rozporządzenie WTR2. Akt legislacyjny jest silnie powiązany z innym rozporządzeniem, MiCA i razem z nim ma uregulować rynek kryptowalut, także w kontekście przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
Zakres podmiotowy rozporządzenia
Nowa regulacja dotyczy szerokiej grupy podmiotów:
dostawców usług płatniczych;
dostawców usług w zakresie kryptowalut;
pośredniczących dostawców usług płatniczych z siedzibą w Unii Europejskiej.
W rezultacie unijny ustawodawca obciąża nowymi obowiązkami nawet tych przedsiębiorców, którzy nie kwalifikują się jako typowy dostawca usług bazujących na kryptowalutach (ang. Virtual Asset Service Provider, VASP).
Wspólnota Europejska dostrzega ryzyka związane z coraz większą popularnością kryptowalut. W motywie 27 wskazano, że wymogi rozporządzenia powinny mieć zastosowanie do dostawców usług w każdym przypadku, gdy realizowane przez nich transakcje denominowane zarówno w walucie fiducjarnej, jak i w kryptowalutach wiążą się z:
tradycyjnym transferem środków pieniężnych;
transferem kryptoaktywów.
Ważne jest, aby podmiotem zaangażowanym w transakcję był dostawca usług w zakresie kryptoaktywów lub inny podmiot zobowiązany.
Czym jest kryptoaktywo według rozporządzenia?
Nowa regulacja w zakresie kryptowalut definiuje to pojęcie bardzo szeroko i podobnie jak rozporządzenie MiCA. Zgodnie z art. 3 pkt. 15 kryptoaktywem jest cyfrowe przedstawienie wartości lub prawa z wykorzystaniem kryptografii jako zabezpieczenia. Może ono przybierać postać monety lub tokenu bądź dowolnego innego środka cyfrowego, który można transferować i przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub innej podobnej.
Rozporządzenie wprowadza również pojęcie rachunku kryptoaktywów rozumianego jako rachunek prowadzony przez dostawcę usług w zakresie kryptoaktywów (lub u niego), który jest wykorzystywany do dokonywania transakcji. Przeciwieństwem rachunku kryptoaktywów jest tzw. portfel niehostowany, czyli taki, który nie jest przechowywany przez żadnego dostawcę.
Istotnym pojęciem jest też inicjator, czyli osoba, która posiada rachunek u dostawcy usług w zakresie kryptowalut i zezwala na transfer kryptoaktywów z tego rachunku lub, w przypadku braku rachunku, składa zlecenie transferu kryptoaktywów. Drugą stroną transakcji jest beneficjent.
Na czym polega zasada travel rule?
Rozporządzenie nakłada na podmioty świadczące usługi w zakresie kryptoaktywów obowiązek zbierania informacji dotyczących płatnika, beneficjenta oraz samej transakcji, a także wdrożenie odpowiednich środków zapobiegawczych, jeśli ustalenie tych informacji nie jest możliwe. Sankcje mogą polegać np. na zablokowaniu dostępu do rachunku z kryptoaktywami. Jest to tzw. travel rule.
Travel rule powinno być stosowane bez względu na to, czy beneficjent transakcji jest instytucją obowiązaną, zobligowaną do wdrożenia przepisów o AML, czy nie. Aby dochować nowych wymagań, konieczna będzie nie tylko aktualizacja istniejących wewnętrznych wytycznych, ale też ich rozbudowa i dopasowanie do nowych wymagań.
Obowiązki dostawcy transferów kryptoaktywów
W art. 14 rozporządzenie wprowadza szereg obowiązków, które spoczywają na dostawcy usług w zakresie kryptoaktywów. Jest on zobligowany zapewnić, aby transferom kryptoaktywów towarzyszyły następujące informacje o inicjatorze:
imię i nazwisko lub nazwa inicjatora;
adres portfela inicjatora, jeżeli transfer kryptoaktywów jest rejestrowany w sieci wykorzystującej technologię rozproszonego rejestru lub inną podobną technologię oraz numer rachunku aktywów inicjatora, jeżeli rachunek jest wykorzystywany do obsługi transakcji;
rachunek kryptoaktywów inicjatora, jeżeli transfer kryptoaktywów nie jest rejestrowany w sieci wykorzystującej technologię rozproszonego rejestru lub inną podobną technologię;
adres inicjatora, państwo, numer urzędowego dokumentu osobistego, numer identyfikacyjny klienta lub datę i miejsce urodzenia;
nadany inicjatorowi aktualny identyfikator podmiotu prawnego lub dowolny inny dostępny równoważny indywidualny identyfikator (pod warunkiem że w odpowiednim formacie komunikatu płatniczego znajduje się odpowiednie pole i że inicjator dostarczy ten identyfikator swojemu dostawcy usług w zakresie kryptoaktywów).
Znowelizowany akt prawny nakłada również obowiązek dostawcy usług w zakresie kryptowalut do udostępniania w ramach transferu następujących informacji o beneficjencie:
imię i nazwisko beneficjenta;
adres portfela beneficjenta, jeżeli transfer kryptoaktywów jest wykorzystywany w sieci wykorzystującej technologię rozproszonego rejestru lub inną podobną technologię oraz numer rachunku kryptoaktywów beneficjenta, o ile istnieje i jest wykorzystywany do obsługi transakcji;
rachunek kryptoaktywów beneficjenta, jeżeli transfer aktywów nie jest rejestrowany w sieci wykorzystującej technologię rozproszonego rejestru lub inną podobną technologię;
nadany beneficjentowi indywidualny identyfikator podmiotu prawnego lub dowolny inny dostępny równoważny oficjalny identyfikator pod warunkiem, że w odpowiednim formacie komunikatu płatniczego znajduje się odpowiednie pole i że beneficjent dostarczy ten identyfikator swojemu dostawcy usług w zakresie transferu kryptoaktywów.
Dodatkowo, jeżeli adres portfela którejkolwiek ze stron jest rejestrowany, ale sama transakcja nie jest realizowana z rachunku lub na rachunek dostawca usług w zakresie transferu kryptoaktywów właściwy dla inicjatora ma obowiązek:
zapewnienia niepowtarzalnego ID transakcji;
zaewidencjonowania w rozproszonym rejestrze identyfikatorów adresów inicjatora i beneficjenta.
Szeroko zakreślone obowiązki informacyjne bardzo często będą wymagały dostosowania funkcjonalności platformy do aktualnych przepisów. Warto w tym celu rozważyć skorzystanie z pomocy prawników specjalizujących się w prawie nowych technologii, którzy pomogą dopasować regulaminy platformy i poszczególnych usług do nowych regulacji.
Rozporządzenie przewiduje, że wszystkie wymienione dane powinny być przekazane przed dokonaniem transferu kryptoaktywów lub równocześnie z nim z zachowaniem standardu ochrony danych osobowych przewidzianych w rozporządzeniu RODO.
Dostawca usług w zakresie kryptoaktywów właściwy dla beneficjenta, który wie lub podejrzewa, że dostawca drugiej strony nie przestrzega standardu ochrony danych osobowych, jest zwolniony z obowiązku przekazania informacji w zakresie:
imienia i nazwiska inicjatora;
imienia i nazwiska beneficjenta.
adresu portfela inicjatora.
Dane te powinny być jednak przechowywane i udostępnione na żądanie uprawnionego organu. W tym celu dostawca usług w zakresie kryptoaktywów ma obowiązek wdrożyć odpowiednie procedury wewnętrzne, które pozwalają na selektywne wysyłanie informacji. Wytyczne w zakresie przechowywania i przekazywania informacji opracowuje Europejski Urząd Nadzoru Bankowego w oparciu o art. 30 rozporządzenia. Szczególną ostrożność należy zachować w przypadku transferu kryptowalut do portfela niehostowanego.
Działania dostawcy usług w zakresie transferu kryptoaktywów powinny obejmować ustalenie, czy inicjator lub beneficjent nie są podmiotem, względem których stosowane są środki ograniczające w kontekście przeciwdziałania praniu pieniędzy lub finansowania terroryzmu. Obejmuje to również ustalenie, czy usługa nie będzie powodowała ryzyka takich czynności.
Ocena ryzyka transakcji
Dostawca usług w zakresie kryptowalut ma obowiązek wdrożenia oceny ryzyka każdej dokonywanej transakcji z uwzględnieniem wytycznych dyrektywy 2015/849 w sprawie AML. Jeżeli w informacji o transakcji brakuje danych inicjatora lub beneficjenta albo sam transfer wydaje się podejrzany dostawca:
natychmiast odrzuca transfer lub zwraca transferowane kryptoaktywa;
żąda wymaganych informacji o inicjatorze i beneficjencie;
zgłasza się do właściwego organu odpowiedzialnego za monitorowanie prania pieniędzy i finansowania terroryzmu oraz przechowuje transferowane kryptoaktywa do czasu podjęcia działań przez organ.
Jeżeli przypadki brakujących informacji powtarzają się, dostawca usług ma prawo wystosować ostrzeżenie oraz wyznaczyć termin na ich uzupełnienie, a w razie jego niedochowania informuje właściwy organ. Dopuszcza się odrzucenie wszystkich przyszłych transferów od danego podmiotu oraz zakończenie stosunków handlowych w zakresie transferu kryptoaktywów.
Środki ograniczające ryzyko przy transferze kryptowalut
Rozporządzenie wprowadza wymóg posiadania przez podmiot zajmujący się transferem kryptowalut stosownego zezwolenia oraz siedziby, punktu kontaktowego lub przynajmniej znaczącej obecności kadry zarządzającej w jednym z państw wspólnotowych.
Firmy, które zostaną uznane za działające zgodnie z prawem, mogą względem kontrahentów poza wspólnotowych stosować następujące środki bezpieczeństwa:
gromadzenie informacji o kontrahencie oraz jakości prowadzonego przez niego nadzoru;
ocenianie środków kontroli w zakresie AML;
ocenianie standardów ochrony danych osobowych;
uzyskanie zgody kadry kierowniczej wyższego szczebla w zakresie usługi transferu kryptowalut.
Kiedy transakcja kryptowalut jest operacją wysokiego ryzyka?
Dostawcy usług w zakresie kryptowalut mają obowiązek unikania transakcji wysokiego ryzyka, z uwzględnieniem czynników:
geograficznych (np. dostawca usług ma siedzibę w kraju wysokiego ryzyka);
związanych z kontrahentami (np. dostawca nie identyfikuje swoich klientów, nie stosuje środków bezpieczeństwa lub ma powiązania z nielegalnymi działaniami, w tym praniem pieniędzy lub finansowaniem terroryzmu);
usługowych (np. próby anonimizacji portfela, powiązanie portfeli z działalnością prania pieniędzy lub finansowania terroryzmu, świadczenie usług za pośrednictwem nielegalnej platformy poprzez darknet).
W celu ujednolicenia nadzoru nad transakcjami z wykorzystaniem kryptowalut rozporządzenie nakładania na Europejski Urząd Nadzoru Bankowego obowiązek prowadzenie scentralizowanego rejestru, do którego dostęp mają wszystkie organy zajmujące się nadzorem sektora AML.
Podmiot świadczący usługi w zakresie transferu kryptowalut ma obowiązek niezwłocznego zgłoszenia podejrzenia, że uczestnik transakcji jest podmiotem wysokiego ryzyka, zgłasza taką informację do organu krajowego. Jeśli informacja zostanie potwierdzona organ krajowy przekazuje ją do EUNB, który dokonuje odpowiedniego wpisu w rejestrze.
Zmiana rozporządzenia w zakresie kryptowalut ma na celu zaimplementowanie do systemu wspólnotowego jednolitych standardów ochrony i nadzoru rynkowego. Dla dostawców usług w tym zakresie to jednak szereg nowych wyzwań, których wdrożenie pociąga za sobą wysokie koszty i konieczność zmiany infrastruktury.
Pytania i odpowiedzi:
Zgodnie z art. 18ad ust. 1 rozporządzenie będzie to lista:
dostawców usług w zakresie transferu kryptowalut siedzibą w Unii i poza nią;
dostawców usług w zakresie transferu kryptowalut stwarzających wysokie ryzyko;
usług w zakresie kryptowalut stwarzających wysokie ryzyko oraz adresów portfeli.
Nie, każdy dostawca usług jest zobowiązany wdrożyć we własnym zakresie stosowne mechanizmy wykrywania i oceny ryzyka. Rejestr ma jedynie charakter pomocniczy.
Rozporządzenie przewiduje obowiązek raportowania każdego transferu na kwotę przekraczającą 1000 euro, jeżeli pochodzi ona z portfela niehostowanego. Kwotę należy traktować sumarycznie i dotyczy na również niższych transferów powiązanych ze sobą, o ile łącznie przekroczą 1000 euro.
Zaufali nam: