Obowiązki AML/CFT w działalności instytucji finansowych. Świadczenie usług finansowych wiąże się z wymogiem uzyskania odpowiednich zezwoleń oraz przestrzegania przez przedsiębiorców wielu obowiązków regulacyjnych mających na celu zapewnienie bezpieczeństwa obrotu. Jednym z głównych obowiązków i wyzwań banków, firm inwestycyjnych, instytucji płatniczych oraz kantorów[1] jest przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu (tzw. „AML/CFT”). Kwestie związane z przeciwdziałaniem praniu brudnych pieniędzy reguluje ustawodawstwo unijne (np. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych[2] czy kolejne dyrektywy AML), jak również krajowe, w szczególności ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[3] (“Ustawa AML”).
Jakie są zatem główne obowiązki nakładane na instytucję obowiązaną do przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (“Instytucja”)?
Wyznaczenie osób odpowiedzialnych za AML/CFT w danej organizacji
Wyznaczenie osób odpowiedzialnych w Instytucji za AML/CFT jest obowiązkiem o charakterze korporacyjnym. Spośród osób wchodzących w skład zarządu Instytucji należy wyznaczyć (na podstawie uchwały zarządu) członka zarządu odpowiedzialnego za wdrażanie obowiązków określonych w Ustawie AML (tj. Członka zarządu odpowiedzialnego za AML/CFT).
Ponadto Instytucja ma obowiązek wyznaczyć (również np. na podstawie uchwały zarządu) pracownika zajmującego kierownicze stanowisko (popularnie określany mianem AML Officer czy MLRO) odpowiedzialnego za:
- zapewnienie zgodności działalności Instytucji oraz jej pracowników i współpracowników z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (nie tylko Ustawy AML),
- przekazywanie w imieniu Instytucji zawiadomień do Generalnego Inspektora Informacji Finansowej („GIIF”) oraz prokuratury (np. o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu).
Wyżej wymienione obowiązki może wykonywać jedna osoba, ale nie ma przeciwwskazań do rozdzielenia odpowiedzialności pomiędzy więcej osób. AML Officer powinien dysponować odpowiednią wiedzą i doświadczeniem z zakresu AML/CFT (w celu należytego wykonywania powierzonych obowiązków).
Obowiązki AML/CFT – Sporządzanie oceny ryzyka przez Instytucję oraz jej aktualizacja
Instytucja ma obowiązek zidentyfikować i ocenić ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu odnoszące się do jej działalności, z uwzględnieniem czynników ryzyka określonych przez Ustawę AML (inter alia dotyczących klientów czy świadczonych usług). Innymi słowy, Instytucja powinna dokonać samooceny, w jakim stopniu jej usługi mogą zostać wykorzystane w procederze prania pieniędzy (“ML”) lub finansowania terroryzmu (“FT”). W ramach oceny ryzyka (przyjmującego postać dokumentu) można stosować metodę ilościową oraz jakościową. Podobnie jak przy innych procesach analizy ryzyka, Instytucja powinna zidentyfikować poziom ryzyka inherentnego, stosowane mityganty ryzyka oraz stopień ryzyka rezydualnego.
Przy ocenianiu ryzyka Instytucja może korzystać z analizy zawartej w Krajowej Ocenie Ryzyka przygotowanej przez GIIF (obecnie wersja z 2019 r., w najbliższym czasie możemy spodziewać się aktualizacji)[4] czy Sprawozdania Komisji dla Parlamenty Europejskiego i Rady w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, które ma wpływ na rynek wewnętrzny i dotyczy działalności transgranicznej[5].
Ocena ryzyka powinna być przygotowana przez Instytucję w postaci papierowej lub elektronicznej i aktualizowana w razie potrzeby, nie rzadziej jednak niż co 2 lata, a w szczególności w związku ze zmianami czynników ryzyka albo ww. dokumentów. Ocena ryzyka również powinna zostać odpowiednio przyjęta przez daną Instytucję (np. na podstawie uchwały zarządu). Należy pamiętać, iż na żądanie GIIF Instytucja ma obowiązek przekazać przygotowaną ocenę ryzyka oraz inne informacje mogące mieć wpływ na Krajową Ocenę Ryzyka.
Stosowanie środków bezpieczeństwa finansowego, w tym analiza i ocena ryzyka generowanego przez klienta
Każda Instytucja ma obowiązek stosować wobec swoich klientów środki bezpieczeństwa finansowego (“śbf”). Jest to bezsprzecznie jeden z najważniejszych obowiązków nakładanych przez Ustawę AML. W związku z ich stosowaniem, Instytucja powinna dokonać analizy i oceny ryzyka ML/FT generowanego przez danego klienta (zgodnie z przyjętymi kategoriami/poziomami ryzyka). Wspomnieć należy o obowiązującej zasadzie risk based approach, zgodnie z którą każdy klient Instytucji generuje ryzyko ML/FT, a Instytucja powinna je zidentyfikować, ocenić i odpowiednio nim zarządzać. W ramach procesu analizy i oceny ryzyka należy uwzględnić czynniki takie jak rodzaj klienta (np. czy jest to konsument lub spółka kapitałowa) czy cel zawarcia umowy (np. w jakim celu klient zakłada dany rachunek bankowy).
Śbf obejmują w szczególności identyfikację i weryfikację tożsamości klienta oraz beneficjenta rzeczywistego (Know Your Customer) czy bieżące monitorowanie stosunków gospodarczych klienta (analizę transakcji przeprowadzanych z klientem, które powinny być zgodne z wiedzą Instytucji o kliencie oraz przypisanym mu ryzykiem ML/FT). Instytucja ma obowiązek stosować śbf w określonych momentach, m.in.: w przypadku nawiązywania stosunków gospodarczych (np. podczas zawierania umowy ramowej) lub podejrzenia prania pieniędzy lub finansowania terroryzmu (np. w przypadku zlecenia przez klienta przelewu do nowego odbiorcy z państwa trzeciego wysokiego ryzyka na bardzo wysoką kwotę).
Niezwykle ważnym obowiązkiem Instytucji jest dokumentowanie dla celów dowodowych (np. w formie elektronicznej) rozpoznanego poziomu ryzyka oraz wyników bieżącej analizy przeprowadzanych transakcji. W przypadku kontroli organów nadzoru takie dokumenty są przedmiotem analizy, a ich brak może rodzić negatywne skutki dla Instytucji.
Stosowanie wzmożonych środków bezpieczeństwa finansowego w przypadkach wyższego ryzyka ML/FT oraz innych określonych przepisami Ustawy AML
Instytucje mają obowiązek stosować wzmożone śbf o w przypadku wyższego ryzyka ML/FT (Ustawa AML podpowiada, w jakich sytuacjach ryzyko może być uznane za podwyższone, np. gdy biorąc pod uwagę rodzaj i zakres prowadzonej przez klienta działalności gospodarczej jego struktura własnościowa jest nietypowa lub nadmiernie złożona), powiązania stosunków gospodarczych z państwem trzecim wysokiego ryzyka (obecnie do takich państwa Komisja Europejska zalicza Syrię czy Irak) czy nawiązywania relacji z osobą zajmującą eksponowane stanowisko polityczne (tzw. PEP).
Ustawa AML nie określa na czym polega stosowanie wzmożonych śbf. W praktyce może to polegać na żądaniu przedstawienia przez klienta dodatkowego dokumentu stwierdzającego jego tożsamość czy intensyfikacji przeprowadzanego monitoringu transakcji zawieranych z klientem (np. weryfikujemy każdą transakcję). W niektórych przypadkach Ustawa AML wprost wskazuje jakie wzmożone śbf Instytucja ma obowiązek zastosować wobec klienta (np. uzyskanie zgody kadry kierowniczej wyższego szczebla na zawarcie umowy z PEP-em).
Obowiązki AML/CFT – Zapewnienie, aby transferowi środków pieniężnych towarzyszyły odpowiednie informacje
Instytucje realizujące transfery środków pieniężnych na zlecenie swoich klientów (przelew z rachunku płatniczego czy realizacja zlecenia przekazu pieniężnego) mają obowiązek zapewnić, aby takiemu transferowi towarzyszyły określone informacje o płatniku (zlecającym transfer) oraz odbiorcy środków, takie jak numer rachunku płatniczego czy niepowtarzalny identyfikator transakcji. Minimalny zakres informacji towarzyszących transferowi różni się w zależności od “zakresu terytorialnego” danej operacji.
Natomiast od Instytucji, które są dostawcami usług płatniczych odbiorcy wymaga się wdrożenia mechanizmu pozwalającego na wykrywanie braków w zakresie danych o stronach danej transakcji. Dodatkowo w przypadku braku kompletnych wymaganych informacji o płatniku i odbiorcy dostawca odbiorcy powinien wdrożyć mechanizm mający na celu podjęcie decyzji, czy należy dany transfer wykonać, odrzucić lub wstrzymać.
Przechowywanie dokumentacji związanej z stosowaniem Ustawy AML/CFT
Instytucje mają obowiązek przechowywać uzyskane w wyniku stosowania śbf kopie dokumentów i informacje (np. odpisy z KRS dotyczące danego klienta) oraz dowody potwierdzające przeprowadzone transakcje i ewidencję transakcji (tzw. rejestr transakcji) przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem (np. od momentu upływu okresu wypowiedzenia umowy o prowadzenie rachunku płatniczego) lub od dnia przeprowadzenia transakcji okazjonalnej. Co więcej, Instytucja ma obowiązek przechowywać wyniki bieżącej analizy przeprowadzanych transakcji z klientem przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wprowadzenie i stosowanie wewnętrznej procedury AML/CFT oraz zgłaszania nieprawidłowości (whistleblowing)
Każda Instytucja ma obowiązek posiadać zgodną z aktualnie obowiązującymi przepisami prawa wewnętrzną procedurę AML/CFT. Przedmiotowy dokument powinien w szczególności określać zasady rozpoznawania i oceny ryzyka ML/FT generowanego przez klienta, w tym weryfikacji i aktualizacji uprzednio dokonanej oceny ryzyka (poziom ryzyka nie jest nadawany raz na zawsze), upowszechniania wśród pracowników i współpracowników Instytucji wiedzy z zakresu przepisów AML/CFT (np. w ramach szkoleń wstępnych) czy odnotowywania rozbieżności między informacjami zgromadzonymi w CRBR a informacjami o beneficjentach rzeczywistych klienta ustalonymi przez Instytucję w związku ze stosowaniem śbf (jeden z najnowszych obowiązków).
Należy pamiętać, aby procedura AML/CFT była na bieżąco weryfikowana i aktualizowana, a przed jej wprowadzeniem do stosowania w danej organizacji podlega akceptacji przez kadrę kierowniczą wyższego szczebla (np. zarząd).
Procedura whistleblowing (może stanowić oddzielny od Procedury AML/CFT dokument) powinna określać w szczególności osobę odpowiedzialną za odbieranie zgłoszeń, sposób odbierania zgłoszeń oraz sposoby ochrony pracownika lub współpracownika dokonującego zgłoszenia (m.in. szczególna ochrona przed dyskryminacją czy rozwiązaniem umowy o pracę bez zachowania okresu wypowiedzenia).
Obowiązki AML/CFT – Raportowanie transakcji do GIIF
Raportowanie transakcji do GIIF jest kluczowym obowiązkiem pozwalającym na nadzorowanie działalności instytucji finansowych. Większość Instytucji ma obowiązek przekazywać informacje do GIIF o takich zdarzeniach jak przyjęta wpłata środków, wykonany transfer środków, wypłata środków lub o zawartej i zrealizowanej transakcji kupna lub sprzedaży wartości dewizowych (w ramach usługi wymiany walut). Obowiązek informacyjny wobec GIIF dotyczy operacji o równowartości przekraczającej 15 000 euro (warto pamiętać o obowiązku zgłaszania transakcji powiązanych, na mniejsze kwoty). Termin na zawiadomienie GIIF wynosi 7 dni od dnia wpłaty lub wypłaty środków pieniężnych, wykonania przelewu do odbiorcy czy przeprowadzenia transakcji wymiany walut. Wymiana informacji dokonywana jest online (za pośrednictwem systemu udostępnianego przez GIIF[6]).
Przekazanie zawiadomień do GIIF i prokuratury
Instytucje mają obowiązek niezwłocznie zawiadomić GIIF o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu czy o przypadku powzięcia uzasadnionego podejrzenia, że określona transakcja lub określone wartości majątkowe mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzm. W zawiadomieniu do GIIF Instytucja ma obowiązek przekazać m.in. dane klienta, parametry podejrzanej transakcji, uzasadnienie oraz dokumentację potwierdzającą podnoszone okoliczności. Ponadto Instytucje (z zastrzeżeniem wyłączeń m.in. co do banków krajowych oraz SKOK) mają obowiązek niezwłocznie zawiadomić właściwego prokuratora o przypadku powzięcia uzasadnionego podejrzenia, że wartości majątkowe będące przedmiotem transakcji lub zgromadzone na rachunku klienta pochodzą z przestępstwa innego niż przestępstwo ML/FT lub z przestępstwa skarbowego albo mają związek z takimi przestępstwami. Złożone zawiadomienia wszczynają następnie postępowania, w wyniku których Instytucja może zostać zobligowana np. do wstrzymania realizacji danej transakcji czy zablokowania środków klienta zgromadzonych na rachunku płatniczym.
Obowiązki AML/CFT – Kary za nieprzestrzeganie obowiązków
Podkreślić należy, iż niewypełnienie opisanych w niniejszym artykule obowiązków przez Instytucje zagrożone jest nałożeniem kar administracyjnych. Ustawa AML przewiduje następujący katalog sankcji:
- publikacja informacji o Instytucji oraz zakresie naruszenia przepisów ustawy przez tę instytucję w BIP[7],
- wydanie nakazu zaprzestania podejmowania przez Instytucję określonych czynności,
- cofnięcie zezwolenia (np. na prowadzenie działalności w charakterze krajowej instytucji płatniczej) albo wykreślenie z rejestru działalności regulowanej (np. małych instytucji płatniczych),
- zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie przez Instytucję przepisów Ustawy AML (przez okres nie dłuższy niż rok),
- kara pieniężna do wysokości dwukrotności kwoty korzyści osiągniętej lub straty unikniętej przez Instytucję w wyniku naruszenia albo – w przypadku gdy nie jest możliwe ustalenie kwoty tej korzyści lub straty – do wysokości równowartości kwoty 1 000 000 euro.
Niniejszy artykuł ma wyłącznie charakter informacyjny, nie stanowi wyczerpującego opracowania tematu i nie stanowi opinii prawnej ani porady prawnej.
Jeżeli jesteście Państwo zainteresowani szczegółowymi informacjami w odniesieniu do wskazanego powyżej zakresu, zapraszamy do bezpośredniego kontaktu.
Aleksander Wasiak, Associate, Aplikant radcowski, e-mail: aleksander.wasiak@rsplegal.pl
[1] Pełny katalog instytucji obowiązanych określa art. 2 ust. 1 Ustawy AML – obecnie 25 kategorii,
[2] https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=celex%3A32015R0847 (dostęp 09.12.2021 r.),
[3] https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20210000815 (dostęp 09.12.2021 r.),
[4] https://www.gov.pl/web/finanse/krajowa-ocena-ryzyka-prania-pieniedzy-oraz-finansowania-terroryzmu (dostęp 09.12.2021 r.),
[5] https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52017DC0340 (dostęp 09.12.2021),
[6] https://www.giif.mofnet.gov.pl/#/start (dostęp 09.12.2021 r.).
[7] Na stronie internetowej GIIF (https://www.gov.pl/web/finanse/sankcje-administracyjne; dostęp 09.12.2021 r.) na bieżąco publikowane są komunikaty o nakładanych karach administracyjnych.
