Nowe wytyczne dotyczące Travel Rule a działalność CASP

Zasada Travel Rule to międzynarodowy standard opracowany przez FATF dla podmiotów rynku finansowego, który ma na celu zminimalizowanie ryzyka związanego z AML. Zgodnie z tą zasadą podstawowe informacje o nadawcach i odbiorcach transakcji muszą „podróżować” wraz z daną kwotą. Innymi słowy, instytucja finansowa, która wykonuje przelew, ma obowiązek załączyć do niego zestaw informacji, a instytucja, która przelew przyjmuje, weryfikuje, czy ten komplet danych otrzymała.

Zasada Travel Rule od dawna funkcjonuje w tradycyjnych przelewach międzybankowych. Na mocy rozporządzenia Parlamentu Europejskiego i Rady nr 2023/1113 w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów oraz zmiany dyrektywy (UE) 2015/849 została rozszerzona także na podmioty działające w obszarze kryptowalut.

Dzięki stosowaniu Travel Rule możliwe staje się wyśledzenie stron partycypujących w transakcji finansowej, która przestaje być anonimowa.

Obecnie zasadę Travel Rule muszą stosować praktycznie wszystkie instytucje finansowe. Dotyczy ona:

• dostawców usług płatniczych (Małe Instytucje Płatnicze, Krajowe Instytucje Płatnicze),

• pośredniczących dostawców usług płatniczych,

• dostawców usług w zakresie kryptoaktywów (CASP),

• pośredniczących CASP,

• podmioty VASP.

W praktyce Travel Rule powinny wdrożyć takie podmioty, jak kantory kryptowalut, giełdy kryptowalut, czy platformy transakcyjne, jeżeli przynajmniej jeden z dostawców usług płatniczych lub dostawców usług w zakresie kryptoaktywów biorących udział w danym transferze środków pieniężnych lub transferze kryptoaktywów ma siedzibę w Unii Europejskiej. Dla obowiązywania nowych wytycznych nie ma znacznie, w jakiej walucie środki pieniężne są wysyłane lub otrzymywane.

Zasadę Travel Rule stosuje się do pojedynczych transferów środków pieniężnych na kwotę przekraczającą 1 000 EUR, chyba że (stosownie do motywu 29 rozporządzenia):

• dany transfer wydaje się powiązany z innymi transferami środków pieniężnych, które łącznie opiewałyby na kwotę przekraczającą 1 000 EUR,

• dane środki pieniężne otrzymano lub wypłacono w gotówce lub w postaci anonimowego pieniądza elektronicznego,

• istnieją uzasadnione powody, by podejrzewać pranie pieniędzy lub finansowanie terroryzmu.

Kiedy nie stosuje się Travel Rule?

Zasada Travel Rule dotyczy obrotu bezgotówkowego. Oznacza to, że nie stosuje się jej do transakcji obejmujących pieniądz fizyczny (zgodnie z art. 3 a-m oraz o dyrektywy 2015/2366). Nie ma ono zastosowania także do płatności kartą płatniczą lub innym instrumentem płatniczym, jeżeli zostaną spełnione łącznie następujące warunki (chyba że transakcja jest realizowana między konsumentami):

• dana karta, dany instrument lub dane urządzenie są wykorzystywane wyłącznie do dokonania zapłaty za towary lub usługi,

• numer tej karty, tego instrumentu lub urządzenia towarzyszy wszystkim transferom będącym następstwem danej transakcji.

Unijne rozporządzenie 2023/1113 wyłącza także Travel Rule, jeżeli:

• transfer środków pieniężnych wiąże się z wypłatą przez płatnika gotówki ze swojego rachunku płatniczego,

• operacja stanowi transfer środków pieniężnych na rzecz organów publicznych jako płatność z tytułu podatków, grzywien lub innych należności w państwie członkowskim,

• zarówno płatnik, jak i odbiorca są dostawcami usług płatniczych działającymi na własny rachunek,

• transfer środków pieniężnych jest dokonywany za pomocą wymiany cyfrowych obrazów czeków, w tym czeków przekształconych w formę elektroniczną,

• zarówno inicjator, jak i beneficjent są dostawcami usług w zakresie kryptoaktywów działającymi na własny rachunek,

• transfer stanowi transfer kryptoaktywów między osobami dokonywany bez udziału dostawcy usług w zakresie kryptoaktywów.

Od dnia 30 grudnia 2024 r. obowiązują wytyczne European Banking Authority w zakresie stosowania Travel Rule w kontekście rozporządzenia 2023/1113.

Przede wszystkim podmioty objęte zakresem wspomnianego rozporządzenia mają obowiązek opracowania polityk i procedur, które zapewnią zgodność z Travel Rule. Sprawność wewnętrznych mechanizmów powinna być testowana, na przykład przez analizę próby losowej spośród wszystkich zrealizowanych transferów. Systemy wykorzystywane w tym celu gwarantują integralność danych bez ryzyka ich pominięcia.

Dostawcy usług w zakresie kryptoaktywów mogą zastosować mniej rygorystyczne wymagania techniczne pod warunkiem, że posługują się dodatkowymi rozwiązaniami technicznymi lub rozwiązaniami naprawczymi w celu zapewnienia pełnej zgodności wytycznymi EBA.

Informacje mają zostać przekazane niezwłocznie i w bezpieczny sposób, nie później niż w momencie rozpoczęcia transakcji w łańcuchu bloków. W tym celu można wykorzystać np.:

• bezpośrednią komunikację między dostawcami usług w zakresie kryptoaktywów,

• interfejs programowania aplikacji (API),

• rozwiązania kodowe funkcjonujące ponad łańcuchem bloków,

• rozwiązania zewnętrzne dedykowane temu celowi (pod warunkiem że zapewniają bezpieczny i kompletny transfer danych).

Wewnętrzne procedury mają określać, w jaki sposób ustalone zostanie, które transfery będą monitorowane w trakcie lub po dokonaniu transferu ze wskazaniem czynników, które mają wpływ na częstotliwość lub automatyzm kontroli. Czynniki ryzyka powinny być określone na podstawie krajowej oceny ryzyka oraz lokalnej oceny ryzyka, zaprojektowanej na potrzeby danej organizacji w ramach procedur AML. W szczególności należy uwzględnić takie przesłanki, jak:

• transfery na kwoty ponadprogowe,

• siedziba partycypanta transakcji w kraju o wysokim ryzyku terroryzmu,

• transfery z podmiotami mającymi siedzibę w państwie trzecim, które nie posiada systemów zezwoleń lub nie reguluje działalności usług płatniczych lub kryptowalut,

• transfery z adresami niehostowanymi,

• stosowanie technik w celu ustrukturyzowania warstw transakcji, które utrudniają śledzenie kryptoaktywów poprzez ukrywanie ścieżki wskazującej na inicjatora, jak usługi miksowania, anonimizatory protokołu internetowego (IP) i ukryte adresy.

Jak oceniać przydatność systemu IT pod kątem Travel Rule?

Wybierając system do przekazywania komunikatów o transferach środków oraz płatności i rozrachunku, dostawcy usług w zakresie kryptoaktywów muszą kierować się odpowiednią oceną ryzyka. Taka ocena powinna uwzględniać:

• zdolności systemu do komunikowania się z innymi wewnętrznymi systemami podstawowymi oraz z systemami przesyłania komunikatów lub systemami płatności i rozrachunku kontrahenta,

• zdolności odbiorczej protokołu,

• możliwość wykrycia przez system transferu z brakującymi lub niekompletnymi informacjami,

• rozwiązań technicznych zapewniających integralność, bezpieczeństwo i wiarygodność danych.

Jeżeli transfery środków są dokonywane z co najmniej dwoma pośredniczącymi dostawcami usług płatniczych lub z dostawcami usług płatniczych na zasadzie transgranicznej, należy opisać w wewnętrznych politykach i procedurach, w jaki sposób przekazywane są dane dotyczące płatnika i odbiorcy.

Transakcje z portfela niehostowanego a bezpieczeństwo AML

EBA zwraca szczególną uwagę na transakcje realizowane z wykorzystaniem portfela niehostowanego, czyli takiego, który nie jest powiązany z dostawcą usług w zakresie kryptoaktywów albo podmiotem niemającym siedziby w Unii i świadczącym usługi podobne do usług dostawcy usług w zakresie kryptoaktywów.

W takiej sytuacji VASP/CASP powinien dołożyć wszelkich starań, aby ustalić, kto jest drugą stroną transakcji. Można osiągnąć ten cel poprzez:

• narzędzia do analityki bloków,

• korzystanie z zewnętrznych dostawców danych,

• sięganie po identyfikatory używane przez systemy przesyłania komunikatów,

• uzyskanie informacji bezpośrednio od klienta.

Co istotne informacje dotyczące transakcji niehostowanej należy zebrać przed jej rozpoczęciem. Dodatkowe środki ostrożności należy stosować, jeśli kwota transferu wynosi lub przekracza 1000 euro.

Weryfikacja portfeli niehostowanych może odbywać się m.in. poprzez nadzór w rozumieniu przepisów AML, podpisywanie komunikatów kluczem powiązanym z adresem lub przesyłanie wcześniej ustalonej kwoty z adresu niehostowanego (na podobieństwo przelewów weryfikacyjnych na przysłowiową złotówkę przy zakładaniu konta bankowego)

CASP mogą uwzględnić tzw. whitelisting, czyli pomijanie każdorazowej weryfikacji, jeśli nie ma wątpliwości, że dany adres jest powiązany z użytkownikiem uznanym za niepowodującego ryzyka.

Polski organ nadzoru nad AML/CFT w komunikacie nr 87 podkreślił konieczność dostosowania bieżącej działalności VASP-ów do nowego rozporządzenia oraz Travel Rule. Oznacza to konieczność wdrożenia rozwiązań technicznych i organizacyjnych zapewniających odpowiedni poziom zgodności i bezpieczeństwa.

Projektując biznes wykorzystujący kryptowaluty, trzeba więc pamiętać, aby nie bazować jedynie na krajowych i unijnych przepisach, ale również wytycznych Europejskiego Urzędu Nadzoru Bankowego. Obecnie decydujące znaczenie mają komplety wytycznych oznaczone jako EBA/GL/2024/11, EBA/GL/2021/02 oraz EBA/GL/2024/01.