Ponadto, niektóre z kantorów internetowych świadczą także usługi płatnicze, np. przekazu pieniężnego, w związku z czym posiadają odpowiednią licencję Komisji Nadzoru Finansowego. Status zarejestrowanej instytucji płatniczej to dodatkowa i niezależna przesłanka bycia instytucją obowiązaną w rozumieniu przepisów o AML, a świadczenie usług płatniczych obok samej wymiany walut modyfikuje zakres obowiązków kantoru.
W kwietniu tego roku NBP – jeden z organów nadzoru nad wypełnianiem przez instytucje obowiązane obowiązków AML, przypomniał, że nie tylko banki, ale także inne podmioty np. kantory, w tym wypadku te stacjonarne, zobligowane są do stosowania przepisów o przeciwdziałaniu praniu pieniędzy. 19 kwietnia opublikował komunikat informujący o nałożeniu kary administracyjnej za brak ich stosowania. Wcześniej, w lutym, NBP zapowiedział prowadzenie na szeroką skalę kontroli w tym zakresie.
Choć wysokość kary jest symboliczna, należy pamiętać, że jej wysokość zależy m.in. od wagi i czasu naruszenia, a także możliwości finansowych instytucji obowiązanej. W omawianym przypadku była to osoba fizyczna. To pierwsza informacja o karze za nieprzestrzeganie przepisów o przeciwdziałaniu praniu pieniędzy pod rządami nowej ustawy i dotyczy działalności właśnie kantoru. Oczywiście, w przypadku kantorów internetowych właściwym organem nadzoru będzie sam GIIF, a jeżeli kantor jest jednocześnie instytucją płatniczą, także KNF.
Obowiązki wynikające z ustawy AML
Do podstawowych i najczęściej najbardziej uciążliwych obowiązków wynikających z ustawy należy wymóg identyfikacji i weryfikacji tożsamości klienta, ustalenia jego statusu PEP (osoby zajmującej eksponowane stanowisko polityczne) oraz identyfikacja i weryfikacja tożsamości beneficjenta rzeczywistego. Dochodzi do tego ocena ryzyka klienta, bieżące analizowanie i monitorowanie transakcji, czy ocena stosunków gospodarczych. Obowiązki te łącznie składają się na tzw. środki bezpieczeństwa finansowego, które instytucje obowiązane mają obowiązek stosować względem swoich klientów. AML to także wymogi formalno – organizacyjne. M.in. instytucje obowiązane muszą sporządzić procedury wewnętrzne, w tym procedury zgłaszania przez pracowników naruszeń w zakresie AML – tzw. whistleblowing, wyznaczyć członka zarządu odpowiedzialnego za wdrażanie obowiązków określonych w ustawie o przeciwdziałaniu praniu pieniędzy, przeprowadzić i udokumentować ocenę ryzyka instytucji.
Jeżeli kantor internetowy jest jednocześnie instytucją obowiązaną, te obowiązki ulegają modyfikacji, a właściwie rozszerzeniu. W przypadku transakcji okazjonalnych stanowiących transfer środków pieniężnych – np. przekazu pieniężnego, środki bezpieczeństwa finansowego powinny być stosowane od progu 1000 euro zamiast 15 000 euro właściwych dla innych transakcji przeprowadzanych na zlecenie klienta. Szerszy jest także zakres obowiązków raportowych. Kantor internetowy nie przyjmujący wpłat gotówkowych i nie świadczący usług płatniczych właściwie nie musi raportować do GIIF transakcji innych niż te, które uzna za podejrzane. Jeżeli jest natomiast dostawcą usług płatniczych świadczącym usługi polegające na transferze środków pieniężnych musi dodatkowo raportować te z wykonanych transakcji, które przekraczają próg 15 000 euro.
Wartość przeprowadzonych transakcji a środki bezpieczeństwa finansowego
Wśród kantorów internetowych występuje nieraz praktyka polegająca na zbieraniu „dodatkowych danych” w przypadku, gdy wartość transakcji przeprowadzanej przez klienta przekracza 15 000 euro. Wówczas dopiero kantor dokonuje pełnej identyfikacji i weryfikacji, i żąda dodatkowych dokumentów. Próg 15 000 euro wynika właśnie z przepisów ustawy o przeciwdziałaniu praniu pieniędzy. W przypadku transakcji okazjonalnych jego przekroczenie implikuje obowiązek przeprowadzenia przez instytucję obowiązaną w stosunku do klienta środków bezpieczeństwa finansowego. Transakcja okazjonalna to, zgodnie z przepisami, transakcja przeprowadzana poza stosunkami gospodarczymi. Stosunki gospodarcze natomiast to stosunki instytucji obowiązanej z klientem, związane z jej działalnością zawodową, które w chwili nawiązywania wykazują cechę trwałości.
Faktycznie zatem, jeżeli klient dokonuje z kantorem pojedynczej transakcji, próg ma zastosowanie i jeżeli jej wartość jest niższa od 15 000 euro, nie ma obowiązku przeprowadzenia środków bezpieczeństwa finansowego i w szczególności szczegółowej identyfikacji i weryfikacji tożsamości klienta. Każdorazowo jednak kantor musi ocenić, czy nie dochodzi do nawiązania z klientem stosunków gospodarczych, tj. relacja nie nosi cech trwałości. Na przykład dlatego, że klient zakłada indywidualne „konto” w portalu, rejestruje się, dokonuje szeregu transakcji. W sytuacji nawiązania stosunków gospodarczych wartość przeprowadzanej lub przeprowadzanych transakcji nie ma wpływu na sam obowiązek przeprowadzenia środków bezpieczeństwa finansowego, które to powinny być wykonane zawsze.
Zdalne kanały dystrybucji
Charakter działalności kantorów internetowych z definicji sprawia, że dystrybucja ich usług i produktów następuje zdalnie, bez fizycznej obecności klienta. Zarówno przepisy polskie i unijne, jak i wytyczne Europejskiego Organu Nadzoru Bankowego (EBA) uznają tę okoliczność za podwyższającą ryzyko prania pieniędzy, przede wszystkim z uwagi na utrudnioną identyfikację i weryfikację tożsamości klienta. W braku możliwości fizycznej weryfikacji oryginalnego dokumentu tożsamości klienta powstaje zagadnienie praktyczne, jakimi innymi środkami tej weryfikacji dokonać.
Zagadnienie jest na tyle istotne, że GIIF zdecydował się wydać w tej sprawie jedne z nielicznych, dotychczas opublikowanych na podstawie nowej ustawy AML, wytycznych w formie oficjalnego komunikatu. Chodzi tu o komunikat z dnia 22 sierpnia 2018 r. – Wytyczne Generalnego Inspektora Informacji Finansowej w sprawie identyfikacji klienta instytucji obowiązanej i weryfikacji jego tożsamości w sytuacji braku jego fizycznej obecności, uzupełniony później komunikatem opublikowanym 18 kwietnia 2019 r.
Instytucje obowiązane w ramach zdalnych metod weryfikacji tożsamości klientów posługują się różnymi metodami. Do najpopularniejszych należą tzw. przelewy weryfikacyjne – tj. weryfikacja tożsamości klienta poprzez porównanie podanych przez niego danych z danymi nadawcy widniejącymi na przelewie, którego klient dokonuje ze swojego rachunku bankowego na wskazany przez instytucję obowiązaną jej rachunek, oraz wideo-rozmowy. Z przytoczonego komunikatu GIIF płynie dość jasny przekaz, że to na samych instytucjach obowiązanych ciąży odpowiedzialność ustanowienia skutecznych metod zdalnej weryfikacji tożsamości. Jeżeli jednak wykorzystują one inne metody niż środki identyfikacji elektronicznej wynikające z tzw. rozporządzenia eIDAS (np. kwalifikowany podpis elektroniczny), co do zasady, powinny zastosować co najmniej dwa źródła weryfikacji tożsamości.
Złoty środek
Ustanowienie skutecznego, a jednocześnie nie będącego nadmiernym obciążeniem dla instytucji obowiązanej systemu przeciwdziałania praniu pieniędzy jest nie lada wyzwaniem. Dobór środków bezpieczeństwa finansowego jest bardzo istotny z punktu widzenia działalności każdej instytucji obowiązanej, w tym kantorów internetowych. Z jednej strony musi zapewniać spełnienie wymogów przepisów o przeciwdziałaniu praniu pieniędzy, z drugiej strony, z przyczyn biznesowych, nie utrudniać w zbyt dużym stopniu korzystania z produktów i usług przedsiębiorcy.
Ilustruje to chociażby przykład weryfikacji tożsamości klienta za pomocą kanałów zdalnych, gdzie na jednej szali leży skuteczność weryfikacji, a na drugiej łatwość dostępu i przystępność oferowanego produktu. W założeniu prostego, bo przecież internetowego. Znalezienie złotego środka powinno być tutaj celem każdej instytucji obowiązanej.
Ostatnie podcasty