Zdalne nawiązywanie stosunków gospodarczych
Monitor Prawa Bankowego 2024/06 Czerwiec
Pismo Urzędu KNF z września 2023 r.
Stanowisko UKNF dotyczące prawidłowego wykorzystania w sektorze finansowym rozwiązań w zakresie nawiązywania stosunków gospodarczych bez fizycznej obecności klienta
Stanowisko[1] zawiera dobre praktyki dotyczące wypełniania obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[2] (dalej: „ustawa”), związanych m.in. z czynnościami jakie instytucje obowiązane, podlegające nadzorowi Komisji Nadzoru Finansowego (KNF), czyli podmioty nadzorowane, powinny podjąć:
• podczas wdrażania lub przeglądu stosowanych środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 pkt 1-3 ustawy, oraz w celu wypełnienia obowiązków wynikających z dyspozycji art. 37 ustawy w odniesieniu do nawiązywania stosunków gospodarczych z nowymi klientami bez ich fizycznej obecności;
• w przypadku korzystania z usług podmiotów trzecich zgodnie z przepisami prawa krajowego.
Praktyki te powinny znaleźć zastosowanie w bieżącej działalności podmiotów nadzorowanych, wykorzystujących metody nawiązywania stosunków gospodarczych lub przeprowadzania transakcji okazjonalnych (o których mowa w art. 35 ust. 1 pkt 2 i 3 ustawy) bez fizycznej obecności klienta, w celu zapewnienia zgodności z przepisami prawa w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT)[3].
Stanowisko[4] odnosi się również do polityk (strategii), systemu kontroli wewnętrznej i nadzoru wewnętrznego oraz procedur, jakie podmioty nadzorowane powinny wprowadzić w przypadku zdalnego stosowania środków bezpieczeństwa finansowego wobec klienta. Zgodnie z podejściem opartym na ryzyku, muszą być one proporcjonalne do specyfiki, wielkości i skali działalności podmiotów nadzorowanych.
W zakresie zarówno wdrożenia, jak i funkcjonowania modelu identyfikacji oraz weryfikacji tożsamości klientów w oparciu o rozwiązania technologiczne, mają zastosowanie standardy zawarte w odpowiednich rekomendacjach oraz wytycznych KNF dotyczących obszaru IT (odnoszących się do zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego), jak np.:
• Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach;
• Rekomendacja D-SKOK dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych;
• Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Zgodnie z ustawą instytucje obowiązane (w tym przypadku podmioty nadzorowane) mają obowiązek stosowania środków bezpieczeństwa finansowego, w tym m.in. przeprowadzania identyfikacji klienta oraz weryfikacji jego tożsamości. Ich zastosowanie musi być poprzedzone rozpoznaniem ryzyka prania pieniędzy oraz finansowania terroryzmu związanego ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceną poziomu tego ryzyka. Obowiązek ten dotyczy rozpoznania konkretnego profilu klienta oraz nadania mu kategorii ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danym stosunkiem gospodarczym lub transakcją okazjonalną oraz oceny jego poziomu. Ocena ta jest niezbędnym etapem poprzedzającym zastosowanie względem klienta środków bezpieczeństwa finansowego, proporcjonalnych do ryzyka prania pieniędzy, jakie dany klient generuje[5].
Oznacza to, że to na podmiotach nadzorowanych ciąży wymóg oszacowania poziomu ryzyka, w tym ustalenia profilu ryzyka klienta, wynikającego m.in. z rodzaju prowadzonej działalności gospodarczej, obszaru geograficznego itd. Podmiot nadzorowany dokonuje identyfikacji poziomu ryzyka, profilu ryzyka klienta oraz oceny tego ryzyka, również wtedy, gdy nawiązywanie albo utrzymywanie stosunków gospodarczych następuje bez fizycznej obecności klienta. Dobór środków bezpieczeństwa finansowego oraz to, z jaką intensywnością podmiot nadzorowany je zastosuje, zależy od zidentyfikowanego przez niego poziomu ryzyka.
Sytuacje, w których podmioty nadzorowane stosują środki bezpieczeństwa finansowego zostały wskazane w art. 35 ustawy i dotyczą m.in. nawiązywania stosunków gospodarczych oraz przeprowadzania transakcji okazjonalnej.
Jednym ze środków bezpieczeństwa finansowego, jakie podmiot nadzorowany ma obowiązek stosować, jest weryfikacja tożsamości (tj. dokonanie potwierdzenia ustalonych danych identyfikacyjnych):
• klienta;
• osoby upoważnionej/osób upoważnionych do działania w imieniu klienta oraz
• beneficjenta rzeczywistego/beneficjentów rzeczywistych, w przypadku których weryfikacja nie może polegać jedynie na sprawdzeniu informacji zawartych w Centralnym Rejestrze Beneficjentów Rzeczywistych lub rejestrze, o którym mowa w art. 30 lub art. 31 dyrektywy 2015/849, prowadzonym we właściwym państwie członkowskim (art. 37 ust. 3 ustawy).
Zgodnie z art. 37 ust. 1 ustawy do weryfikacji tożsamości niezbędne są:
• dokument stwierdzający tożsamość osoby fizycznej;
• dokument zawierający aktualne dane z wyciągu z właściwego rejestru;
• inne dokumenty, dane lub informacje pochodzące z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania okre (...)