Maciej Szukała
|
30 listopada 2022
Spis treści

Przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która implementuje do porządku krajowego rozwiązania wspólnotowe, wprowadzają pojęcie instytucji obowiązanej. To podmioty zobligowane do wdrożenia określonych regulacji i procedur, realizujących politykę AML. W rozumieniu ustawy instytucją obowiązaną są też banki spółdzielcze. Jakich obowiązków muszą one przestrzegać?

Bank spółdzielczy jako instytucja obowiązana

Bank spółdzielczy to instytucja finansowa działająca w formie spółdzielni, w oparciu o następujące przepisy:

  • ustawa prawo bankowe;
  • ustawa o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających;
  • ustawa prawo spółdzielcze.

Bank spółdzielczy podlega również normom nadzorczym na poziomie krajowym oraz wspólnotowym.

W kontekście ustawy o AML banki spółdzielcze należy zaliczyć do tej samej grupy, co banki działające w formie spółek akcyjnych lub przedsiębiorstw państwowych. Znalazły się one w art. 2 ust. 1 pkt 1 jako instytucja obowiązana zobligowana do stosowania norm ustawy o AML. Warto zwrócić uwagę, że banki spółdzielcze nie są tym samym co spółdzielcze kasy oszczędnościowo-kredytowe (popularne SKOK-i).

Kary za naruszenie ustawy o AML w praktyce

Wśród postępowań prowadzonych przez uprawnione podmioty na gruncie ustawy o AML nietrudno znaleźć kary administracyjne nakładane na instytucje finansowe. Choć nie ma wśród nich banków spółdzielczych dobrym przykładem są sankcje nakładane np. na SKOK-i:

  • kara administracyjna w wysokości 5 tysięcy złotych nałożona przez Ministra Finansów, Funduszy i Polityki regionalnej na SKOK “Progres” w Koziegłowach za niedopełnienie obowiązków stosowania środków bezpieczeństwa finansowego;
  • kara administracyjna w wysokości 3 tysięcy złotych nałożona przez Ministra Finansów, Funduszy i Polityki regionalnej na SKOK w Kostrzynie nad Odrą za niedopełnienie obowiązków stosowania środków bezpieczeństwa finansowego oraz niewdrożenie wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu;
  • kara administracyjna w wysokości 500 zł nałożona przez GIIF na SKOK przy ZWCH “Stilon” S.A. w Gorzowie Wielkopolskim za niewdrożenie wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, niewyznaczenie pracownika do spraw  AML oraz niewyznacznie skutecznej  procedury pozwalającej na wykrycie informacji wymaganych prawem.

Warto pamiętać, że kary za naruszenie przepisów ustawy  o AML mogą być wielokrotnie większe.

Jakie obowiązki AML ciążą na banku spółdzielczym?

Instytucje obowiązane poprzez wdrożenie obowiązkowych procedur mają za zadanie monitorowanie ryzyka transakcji w kontekście prania pieniędzy i finansowania terroryzmu. Chodzi nie tylko o stałe relacje gospodarcze z uczestnikami rynku, ale również transakcje doraźne.

W tym zakresie instytucja obowiązana współpracuje z Generalnym Inspektorem Informacji Finansowej (GIIF), a w określonym zakresie z organami ścigania (prokuraturą). Przestrzeganie norm AML jest bardzo ważne, ponieważ uchybienia w tym zakresie są zagrożone dotkliwymi karami administracyjnymi.

Obowiązki spoczywające na banku jako instytucji obowiązanej można podzielić na kilka podstawowych grup:

  • identyfikowanie i ocena ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu;
  • stosowanie środków bezpieczeństwa finansowego;
  • gromadzenie i przekazywanie określonych informacji oraz współpraca z GIIF;
  • wdrożenie mechanizmów o charakterze ogólnoorganizacyjnym, które mają na celu monitorowanie bezpieczeństwa w zakresie AML.

Identyfikacja i ocena ryzyka

Zgodnie z art. 27 ust. 1 ustawy o AML instytucja obowiązana ocenia i identyfikuje ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu w kontekście swojej działalności. Ocena powinna być dokonana z uwzględnieniem czynników ryzyka dotyczących:

  • klientów;
  • państw lub obszarów geograficznych;
  • produktów, usług i transakcji oraz kanałów ich dostaw.

Ustawodawca nie określa zalecanego rozmiaru oraz intensywności działań, które zawsze powinny być dopasowane do charakteru i wielkości instytucji obowiązanej. Ocena ryzyka powinna być sporządzona w formie papierowej i elektronicznej i wymaga cyklicznej aktualizacji, nie rzadziej niż co 2 lata lub częściej jeśli jest to uzasadnione zmianą czynników kluczowych dla ewaluacji.

Przy sporządzaniu oceny indywidualnej oceny ryzyka instytucje obowiązane mogą uwzględnić krajową ocenę ryzyka sporządzaną przez GIIF oraz Komitet Bezpieczeństwa Finansowego i wytyczne dyrektywy 2015/849 w tym zakresie. Unijny akt w art. 6 wskazuje, co powinna zawierać ocena ryzyka w zakresie AML.

Wdrożenie i stosowanie środków bezpieczeństwa finansowego

Instytucje obowiązane opierając się na art. 33 ust. 1 ustawy o AML są zobligowane do:

  • stosowania wobec klientów środków bezpieczeństwa finansowego;
  • rozpoznania ryzyka prania pieniędzy i finansowania terroryzmu oraz jego oceny;
  • dokumentowania rozpoznanego ryzyka.

Podobnie jak w przypadku indywidualnej oceny ryzyka, także stosowanie środków bezpieczeństwa finansowego powinno być dopasowane do indywidualnie rozpoznanych zagrożeń. Stosowane środki obejmują:

  • identyfikację klienta oraz weryfikację jego tożsamości;
  • identyfikację beneficjenta rzeczywistego oraz podjęcie działań, które zmierzają do ustalenia jego tożsamości (w przypadku osób fizycznych) lub struktury organizacyjnej (w przypadku osób prawnych oraz jednostek organizacyjnych);
  • ustalenie celu i charakteru stosunków gospodarczych;
  • bieżące monitorowanie stosunków gospodarczych, w tym analizę transakcji, badanie pochodzenia źródła pochodzenia wartości majątkowych będących w posiadaniu klienta oraz aktualizację dokumentów, danych i informacji.

Kiedy należy stosować środki bezpieczeństwa finansowego?

Stosowanie środków bezpieczeństwa finansowego nie zawsze będzie obligatoryjne. Zgodnie z art. 35 ustawy o AML taki obowiązek w kontekście banku pojawia się m.in. w przypadku:

  • nawiązywania stosunków gospodarczych;
  • realizowania transakcji okazjonalnej o równowartości:
    • 15 tysięcy euro lub więcej;
    • przekraczającej 1 tysiąc euro w przypadku transferu środków pieniężnych;
  • podejrzenia prania pieniędzy lub finansowania terroryzmu;
  • wątpliwości co do prawdziwości lub kompletności danych identyfikacyjnych klienta.

W przypadku stałych relacji gospodarczych obowiązek stosowania AML pojawia się również każdym razem, gdy dochodzi m.in. do zmiany charakteru lub okoliczności stosunków albo zmianie uległy dane klienta lub beneficjenta rzeczywistego.

W sytuacji, gdy nie jest możliwe zastosowanie finansowych środków bezpieczeństwa, instytucja obowiązana powinna:

  • odmówić nawiązania stosunków gospodarczych;
  • odmówić przeprowadzenia transakcji okazjonalnej (w tym za pośrednictwem rachunku bankowego);
  • rozwiązać stosunki gospodarcze.

Warto pamiętać, że w określonych sytuacjach instytucja obowiązana może stosować uproszczone środki bezpieczeństwa (np. klient jest jednostką sektora finansów publicznych) lub wręcz przeciwnie, powinna wdrożyć wzmożonych środków bezpieczeństwa (np. klient jest rezydentem państwa wysokiego ryzyka). Rozpoznanie okoliczności, które umożliwiają odejście od podstawowych rozwiązań AML jest kluczowe dla prawidłowego stosowania ustawy.

Obok standardowych środków bezpieczeństwa ustawa AML nakłada obowiązek stosowania specjalnych procedur w związku z nawiązaniem stosunków gospodarczych z osobą zajmującą eksponowane stanowisko polityczne (ang. Politically Exposed Person, PEP). Do tych działań zalicza się:

  • uzyskanie akceptacji kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację stosunków gospodarczych z PEP;
  • stosowanie środków w celu ustalenia źródła majątku klienta oraz źródła pochodzenia wartości majątkowych znajdujących się w jego posiadaniu;
  • intensyfikację stosowania wybranych środków bezpieczeństwa.

Gromadzenie i przekazywanie określonych informacji oraz współpraca z GIIF

Ustawa o AML obliguje instytucje obowiązane do gromadzenia określonych informacji dotyczących obsługiwanych klientów oraz transakcji, które powinny być udostępnione na żądanie GIIF w trybie art. 76 ustawy o AML. W szczególności są to dane dotyczące:

  • rozpoznanego ryzyka prania pieniędzy i finansowania terroryzmu, dotyczące zarówno stosunków gospodarczych, jak i transakcji okazjonalnej;
  • stosowanych środków bezpieczeństwa;
  • wyników analiz przeprowadzonych transakcji;
  • dowodów potwierdzających przeprowadzenie transakcji;
  • adresów IP, z których nastąpiło połączenie się podmiotu z systemem teleinformatycznym instytucji obowiązanej.

Oprócz gromadzenia informacji instytucja obowiązana jest zobligowana do przekazywania GIIF informacji o transakcji powyżej progu kwotowego 15 tysięcy euro (z ustawowymi wyłączeniami), a także wszelkich okolicznościach, które mogą wskazywać na podejrzenie prania pieniędzy lub finansowania terroryzmu.

Realizując swoje obowiązki GIIF może nakazać instytucji obowiązanej:

  • czasowe wstrzymanie transakcji, czyli uniemożliwienie dysponowania wartościami majątkowymi potrzebnymi do zrealizowania operacji;
  • zablokowanie rachunku, czyli uniemożliwienie dysponowania jakimikolwiek wartościami majątkowymi zgromadzonymi na rachunku;
  • zamrożenie wartości majątkowych polegające na zablokowaniu możliwości ich transferu, obciążania lub przeprowadzenia z ich udziałem innej operacji;
  • odmowę udostępnienia wartości majątkowych polegającą na wstrzymaniu przekazania określonych aktywów, np. pożyczki lub kredytu.

Co istotne banki krajowe (w tym banki spółdzielcze) nie realizują obowiązku przekazania informacji o podejrzeniu popełnienia przestępstwa innego niż związanego z praniem pieniędzy lub finansowaniem terroryzmu właściwemu prokuratorowi.

Wdrożenie mechanizmów o charakterze ogólnoorganizacyjnym

Każda instytucja obowiązana realizuje obowiązki organizacyjne, które mają przygotować jej infrastrukturę do właściwego wypełniania przepisów z zakresu AML. Firma nie musi jednak angażować w tym celu swoich pracowników, ale może zlecić outsourcing usług AML podmiotowi zewnętrznemu, który przyjmie na siebie funkcję AML Officera.

Przede wszystkim, zgodnie z art. 6 ustawy AML bank powinien wyznaczyć kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w ustawie. W przypadku banku spółdzielczego będzie to członek zarządu.

Kolejnym obowiązkiem jest wytypowanie pracownika wyższego szczebla, który zapewnia zgodność działalności instytucji obowiązanej, jej wszystkich pracowników oraz osób działających na jej rzecz z przepisami AML. Ta sama osoba jest odpowiedzialna za przekazywanie informacji do GIIF. W celu realizacji tego obowiązku warto rozważyć nie tylko regularne organizowanie szkoleń z zakresu AML, ale także utworzenie odrębnego działu compliance, który zapewni zgodność z prawem.

Zgodnie z art. 50 ustawy AML instytucja obowiązana wdraża wewnętrzną procedurę, która zapewnia zgodność jej funkcjonowania z przepisami. Procedura powinna regulować m.in.:

  • czynności podejmowane w celu zidentyfikowania i zarządzania ryzykiem w kontekście AML;
  • zasady rozpoznawania i oceny ryzyka;
  • zasady stosowania bezpieczeństwa finansowego;
  • przechowywanie dokumentów i informacji;
  • przekazywanie informacji do GIIF;
  • szkolenie pracowników w zakresie AML;
  • zgłaszanie rzeczywistych i potencjalnych naruszeń przepisów AML;
  • zasady kontroli wewnętrznej;
  • dokumentowanie rozbieżności w CRBR;
  • zasady dokumentowania utrudnień związanych z identyfikacją beneficjenta rzeczywistego.

Niezależnie od obowiązku opracowania procedury zgodności należy zadbać o utworzenie kanału do anonimowych zgłoszeń (ang. whistleblowing channel) w taki sposób, aby osoby raportujące naruszenia były chronione przed działaniami represyjnymi.

Banki spółdzielcze powinny również zadbać o wpis w Centralnym Rejestrze Beneficjentów Rzeczywistych zgodnie z art. 58 pkt. 10 ustawy o AML.

Automatyzacja procedur AML

Banki spółdzielcze często korzystają z zautomatyzowanych procedur, które pozwalają m.in. na:

  • przeprowadzenie procesu oceny ryzyka klienta oraz jego profilowanie;
  • integrację z publicznymi rejestrami i bazami danych (m.in. KRS, REGON, CRBR, CEIDG);
  • typowanie transakcji podejrzanych z uwzględnieniem narzędzi analitycznych;
  • identyfikację i rejestrację transakcji zgłaszanych do GIIF

Dzięki tym rozwiązaniom możliwe jest przyspieszenie realizowania procedur AML z jednoczesnym obniżeniem do minimum ryzyka błędu ludzkiego. Stanowią one doskonałe uzupełnienie pracy wykwalifikowanego zespołu.

Prowadzenie działalności gospodarczej przez banki, w tym banki spółdzielcze wymaga spełnienia wielu wymagań formalnych, w tym regulacji AML. Kompleksowe dostosowanie procedur jest jednak niezbędne, aby uniknąć zarzutu niedochowania należytej staranności podczas kontroli GIIF.

Maciej Szukała

Pytania i odpowiedzi

Ustawa AML nakłada na instytucje obowiązane obowiązek proaktywnego działania, które ma na celu jak najdokładniejszą kontrolę realizowanych transakcji oraz poznanie klientów korzystających z usług tych podmiotów. Poprzez wdrożenie indywidualnie opracowanych procedur każdy podmiot jest w stanie w optymalnym zakresie realizować cel ustawy. Podejście oparte na ryzyku zostało uznane przez FATF (ang. Financial Action Task Force) za najsilniej realizujące założenia walki z praniem pieniędzy oraz finansowaniem terroryzmu.

Zgłoszenia dokonuje się poprzez portal crbr.podatki.gov.pl korzystając ze środków komunikacji elektronicznej. Zgłoszenie podmiotu jest nieodpłatne i powinno być dokonane przez osobę uprawnioną ustawowo do reprezentacji podmiotu.

Kary nakładane są w drodze decyzji administracyjnej. Ich katalog został wymieniony w art. 150 ustawy AML i obejmuje:

  • publikację informacji o naruszeniu w BIP;
  • nakaz zaprzestania podejmowania przez instytucję obowiązaną określonych czynności;
  • cofnięcie zezwolenia KNF (w przypadku banku spółdzielczego);
  • zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę, która dopuściła się naruszenia;
  • karę pieniężną nawet do 1 miliona euro.
5/5 - (liczba głosów: 2)