Coraz większa liczba podmiotów z zezwoleniami lub wpisami do rejestru, pozwalającymi na świadczenie usług PIS i AIS, oraz projekt zmienionych wytycznych ESA dotyczących czynników ryzyka AML/CFT skłaniają do refleksji nad tym, jak powinien wyglądać system AML w przypadku tych usług. Zwłaszcza, że w ramach żadnej z tych usług nie dochodzi do faktycznego wykonania transakcji przez jej dostawcę.

Dostawcy usług PIS i AIS instytucjami obowiązanymi

Rozważania warto zacząć od tego, że status tzw. AISP-only czyli dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku, jako instytucji obowiązanych do stosowania AML, przez część rynku był kwestionowany. Jednym z argumentów potwierdzających tę tezę miało być m.in. to, że katalog dokumentów wymaganych do uzyskania wpisu do rejestru AISP, a które należy dołączyć do wniosku o taki wpis, nie obejmował procedury AML. Jednocześnie załączenie takiej procedury jest obowiązkowe dla wniosku o wpis do rejestru lub o uzyskanie zezwolenia w przypadku innych dostawców usług płatniczych regulowanych ustawą o usługach płatniczych, np. KIP-ów.

Kolejnym, był brak podmiotów AISP-only na liście instytucji obowiązanych wymienionych wprost w katalogu ustawy AML, choć znaleźli się tam wszyscy pozostali dostawcy, których forma i zasady rozpoczęcia i prowadzenia działalności reguluje ustawa o usługach płatniczych. Zarówno są to wspomniane KIP-y, jak i biura usług płatniczych, czy małe instytucje płatnicze. AISP jest bowiem instytucją obowiązaną, ponieważ jest instytucją finansową w rozumieniu Prawa bankowego, a te regulacja ustawy AML obejmuje. Wreszcie, podnoszono także fakt, że AISP-only w ramach swojej działalności nie przeprowadza transakcji i nie wchodzi w posiadanie środków użytkowników usług płatniczych.

O ile pierwsze dwa argumenty mogą znaleźć uzasadnienie, tego ostatniego, dotyczącego transakcji, nie sposób już bronić. Przesłanka wykonywania transakcji w rozumieniu ustawy AML wcale nie determinuje znalezienia się w katalogu instytucji obowiązanych. Na liście instytucji obowiązanych jest sporo podmiotów, które jej nie spełnia, np. doradcy podatkowi lub podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych.

Zgody co do tego zagadnienia nie było także pomiędzy autorami niniejszego felietonu. Głosy rozkładały się dokładnie 50:50. Dyskusję jednoznacznie ucina jednak projekt nowych wytycznych ESA ws. czynników ryzyka AML/CFT. Wprost określa on dostawców usługi AIS i PIS jako instytucje obowiązane, a ponadto, formułuje specyficzne wytyczne dotyczące czynników ryzyka i środków bezpieczeństwa finansowego w ramach tych usług. Argument związany z tym dokumentem spotkał się także z aprobatą autorów felietonu (obu), różnice zdań poszły w niepamięć i od tego momentu możliwe stało się wyartykułowanie wspólnego stanowiska, które niniejszym prezentujemy.

Zamykając ten etap rozważań, wskażemy jeszcze, że podobnych wątpliwości nie ma i nie było w przypadku usługi PIS. Dostawcy usług płatniczych, którzy mogą świadczyć te usługę, są w katalogu instytucji obowiązanych ustawy AML.

Kiedy AML w usługach PIS i AIS

Zagadnienie wdrożenia systemu AML w przypadku usług TPP ma dwa wymiary. Po pierwsze, podmiot świadczący takie usługi to instytucja obowiązana, co implikuje obowiązek spełnienia pełnego wachlarza wymogów ustawy AML, np. dokumentacyjnych i organizacyjnych, czyli przyjęcia niezbędnych procedur, czy wyznaczenia osób i stanowisk odpowiedzialnych. Drugi wymiar dotyczy samej usługi tj. zaprojektowania środków bezpieczeństwa finansowego adekwatnych i odpowiednich dla omawianego produktu. Chodzi tu przede wszystkim o to, w stosunku do których klientów, kiedy i w jaki sposób te środki instytucja będzie stosować.

Instytucje obowiązane mają obowiązek stosować środki bezpieczeństwa finansowego, w szczególności, w przypadku nawiązywania stosunków gospodarczych oraz przeprowadzania ponadprogowych transakcji okazjonalnych. Dla transferów środków pieniężnych (m.in. przelewy, przekazy pieniężne) ten próg wynosi 1000 EUR.

Kilka objaśnień pojęć niezbędnych do przeprowadzenia dalszego wywodu. Stosunki gospodarcze w rozumieniu ustawy AML to stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Natomiast transakcje okazjonalne to transakcje przeprowadzane poza stosunkami gospodarczymi. Transakcją jest czynność prawna lub faktyczna, na podstawie której dokonuje się przeniesienia własności lub posiadania wartości majątkowych, lub czynność prawna lub faktyczna dokonywana w celu przeniesienia własności lub posiadania wartości majątkowych.

Przeniesienie opisanej powyżej siatki pojęciowej na konkretne usługi i produkty świadczone przez instytucje obowiązaną ma kluczowe znaczenie dla kształtu systemu AML w tych usługach. To determinuje bowiem kiedy i w stosunku do których klientów środki bezpieczeństwa finansowego są stosowane – przede wszystkim identyfikacja i weryfikacja tożsamości klienta. W kontekście biznesowym, wdrożenie tego procesu niejednokrotnie utrudnia lub wręcz uniemożliwia świadczenie usługi w praktyce. Zwłaszcza w przypadku zdalnych kanałów dystrybucji i świadczenia usługi, gdzie weryfikację tożsamości trudniej przeprowadzić. Wiele zależeć będzie od modelu i konkretnego zastosowania usługi PIS i AIS, a to na rynku dopiero się kształtuje. Weryfikacja tożsamości klientów to oczywiście nie jedyny środek bezpieczeństwa finansowego. Chodzi tu także, między innymi, o ustalenie i weryfikację tożsamości beneficjenta rzeczywistego, czy bieżący monitoring stosunków gospodarczych.

W przypadku usługi AIS, ze względu na jej charakter, nie będzie dochodziło do przeprowadzania transakcji w rozumieniu AML. Dostawcy tych usług muszą zatem w szczególności zidentyfikować te relacje z klientami, w których nawiązują stosunki gospodarcze. Najczęściej będą to po prostu stałe stosunki umowne. Podobnie w przypadku PIS, z tym że tutaj zagadnienie przeprowadzania transakcji nie jest już tak oczywiste. Co prawda, inicjowanie transakcji płatniczych nie oznacza ich wykonania, zwracamy jednak uwagę na drugą część wspomnianej wyżej definicji przeprowadzania transakcji. Transakcja to nie tylko czynności skutkująca przeniesieniem wartości majątkowych, ale także „czynność prawna lub faktyczna dokonywana w celu przeniesienia własności lub posiadania wartości majątkowych”.

Zagadnienie na pewno wymaga przeanalizowania w kontekście usługi inicjowania płatności.

Wdrożenie

Dla podmiotów, które były już wcześniej instytucjami obowiązanymi, wyzwaniem jest przede wszystkim zaprojektowanie systemu AML w nowych usługach. Obok środków bezpieczeństwa finansowego oznacza to na przykład konieczność ich uwzględnienia w metodologii oceny ryzyka klientów, czy w ocenie ryzyka instytucji. Dla podmiotów AISP-only najczęściej wdrożenie usługi AIS równoznaczne będzie z wdrożeniem systemu AML od zera. Tu zadań jest z pewnością więcej – stworzenie wymaganych procedur, struktury organizacyjnej, procesów raportowania do GIIF.

Wytyczne, które jak się wydaje, przesądziły wątpliwości w przypadku AISP, na dziś istnieją jedynie jako projekt. Bynajmniej, nie oznacza to jednak, że podmioty te nie mają już obecnie obowiązku wdrożenia i stosowania wymogów ustawy AML. Należy o tym pamiętać. Obecna ustawa AML i aktualny katalog instytucji obowiązanych obowiązują już od 13 lipca 2018 r.

Autorzy:

mec. Michał Ćwiakowski, Counsel w kancelarii Gawroński & Piecuch

Aleksander Wasiak

AML w usługach TPP

Dostawcy usług PIS i AIS instytucjami obowiązanymi

Kiedy AML w usługach PIS i AIS

Wdrożenie