Obowiązki AML Officera wyznaczonego w podmiotach sektora finansowego związane z wdrażaniem procedur wewnętrznych w świetle nowych wytycznych EBA

Monitor Prawa Bankowego 2023/02 Luty

Zarówno unijna Dyrektywa AML[1], wdrażająca ją do polskiego porządku prawnego Ustawa AML[2], jak i wytyczne właściwych organów nadzoru nakładają szereg obowiązków na wyznaczonego pracownika, który zajmuje kierownicze stanowisko, odpowiedzialnego za zapewnienie zgodności działalności danej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (tzw. AML Officer)[3]. Przedmiotem niniejszego artykułu jest omówienie jednego z kluczowych obowiązków ciążących na AML Officerze. Chodzi o obowiązek opracowywania i wprowadzania odpowiednich strategii i procedur wewnętrznych w związku z koniecznością zapewnienia bezpiecznych i skutecznych praktyk dotyczących zdalnego onboardingu klientów w świetle nowych wytycznych Europejskiego Urzędu Nadzoru Bankowego[4].

Anna Utnik-Karaś

Wiktoria Grzywna

Postępujący rozwój technologiczny sprawia, że organizacje, w tym przede wszystkim instytucje finansowe, zobowiązane są do stałego monitorowania i wdrażania procesów związanych z transformacją cyfrową. W celu sprostania wyzwaniom szybko zmieniającego się rynku, w tym związanym z oczekiwaniami współczesnych klientów ceniących sobie w szczególności wygodę korzystania z usług finansowych, instytucje zmuszone są do bieżącego dostosowywania swoich modeli biznesowych[5]. Istotnym katalizatorem zmian przyspieszającym procesy transformacji cyfrowej był wybuch globalnej pandemii COVID-19. Wprowadzane ograniczenia podkreśliły w szczególności potrzebę przeprowadzania transakcji zdalnych, zwracając uwagę na „fundamentalną rolę, jaką ekosystemy cyfrowe mogą odegrać, wspierając kraj w szybkim, skutecznym i odpowiedzialnym świadczeniu usług i pomocy społecznej swoim obywatelom”[6]. Jak pokazują jednak przeprowadzane badania, pomimo postępującej cyfryzacji, instytucje finansowe wciąż dostrzegają w swojej działalności istotne pola do poprawy. Według raportu Innovation in retail banking report 2021: Beyond the pandemic, prawie jedna na cztery instytucje (23%), odpowiadając na pytanie o „etap podróży cyfrowej transformacji”, stwierdziła, że ich obecne wdrożenia nie przynoszą oczekiwanych rezultatów[7]. Jedną z przyczyn takiego stanu rzeczy może być brak pewności co do sposobów uzyskania zgodności z obowiązującymi przepisami prawnymi oraz oczekiwaniami właściwych organów nadzorczych.

Należy podkreślić, że postępująca cyfryzacja, w tym powstawanie nowych technologii służących do zdalnego nawiązywania relacji z klientem, z jednej strony otwiera nowe możliwości dla podmiotów sektora finansowego, z drugiej jednak strony niesie ze sobą istotne zagrożenia. Obecne przepisy AML/CFT dotyczące należytej staranności wobec klientów, unormowane zarówno w Dyrektywie AML, jak i w Ustawie AML, nie zapewniają bowiem wystarczającej jasności, co jest, a co nie jest dozwolone w kontekście zdalnym i cyfrowym. Ten brak przejrzystości utrudnia instytucjom wdrażanie nowych, innowacyjnych narzędzi służących do identyfikacji oraz weryfikacji tożsamości klienta.

Postępujący rozwój technologiczny stał się podstawą do dyskusji na poziomie międzynarodowym m.in. na temat automatyzacji procesów onboardingowych. Komisja Europejska[8] w 2020 r., w ramach opublikowanej strategii finansów cyfrowych (ang. Digital Finance Strategy[9]), zwróciła się do EBA o opracowanie wytycznych w ścisłej współpracy z pozostałymi europejskimi urzędami nadzoru. Wytyczne miałyby ułatwić przeprowadzanie przez dostawców usług finansowych bezpiecznego procesu onboardingu klientów na odległość w całej Unii Europejskiej. Rozwiązanie to zapewniłoby większą spójność odnośnie do identyfikacji i weryfikacji na potrzeby onboardingu[10]. Kluczowe znaczenie ma bowiem, aby wdrażając innowacyjne rozwiązania, podmioty sektora finansowego utrzymywały jednocześnie wysokie standardy jakości oferowanych usług oraz dbały o zapewnienie odpowiedniego poziomu cyberbezpieczeństwa[11]. W odpowiedzi na oczekiwania KE, pod koniec 2021 r. EBA rozpoczęła konsultacje publiczne w sprawie projektu wytycznych dotyczących zdalnego onboardingu klientów, a następnie 22.11.2022 r. opublikowała ich ostateczną wersję.

Wytyczne Onboardingowe skierowane są w szczególności do wszystkich instytucji kredytowych i finansowych określonych w art. 3 ust. 1 i 2 Dyrektywy AML[12]. Wymaga jednak zwrócenia uwagi, że sposób zdefiniowania „instytucji finansowych” w Dyrektywie AML jest nieco odmienny od przyjętego w Ustawie AML. Polski ustawodawca w art. 2 ust. 1 pkt 1 u.p.p.p. posłużył się pojęciem „instytucji finansowej” w rozumieniu prawa bankowego[13], które z kolei odsyła do art. 4 ust. 1 pkt 26 Rozporządzenia CRD IV[14]. Co istotne, definicja zawarta w Dyrektywie AML wyklucza z zakresu instytucji finansowych m.in. spółki holdingowe oraz finansowe spółki holdingowe o działalności mieszanej (które objęte są jednak definicją z Rozporządzenia CRD IV, do której odsyła Ustawa AML)[15]. Tym samym wyżej wymienione podmioty nie powinny być traktowane jako adresaci Wytycznych Onboardingowych.

Wpływ zdalnego onboardingu na ocenę ryzyka klienta

W praktyce działalności instytucji finansowych wątpliwości może rodzić kwestia, do jakiej kategorii ryzyka zakwalifikować klienta, w stosunku do którego przeprowadzana transakcja lub nawiązanie relacji gospodarczych odbywa się bez jego fizycznej obecności (ang. non-face-to-face). Kwalifikacji trzeba dokonać zgodnie ze skalą poziomów ryzyka, którą przyjęto w wewnętrznych regulacjach instytucji obowiązanej, zwłaszcza w procedurze AML/CFT. Chodzi w głównej mierze o zastosowanie odpowiednich środków bezpieczeństwa finansowego. Środki te – z uwagi na swoje zróżnicowanie w odniesieniu do kategorii ryzyka – powinny być konsekwentnie stosowane w stosunku do danego klienta.

(...)

Zasady postępowania banku
z umowami rachunków
i kredytów po śmierci klientów

Sporządzanie umów – na co zwracać uwagę

Sankcja kredytu darmowego – z uwzględnieniem dyrektywy CCD2