Pranie pieniędzy w perspektywie compliance
Pranie pieniędzy oraz finansowanie terroryzmu stało się w ostatnich latach źródłem istotnych ryzyk w działalności przedsiębiorców. Z jednej strony są oni narażeni na to, że świadczone przez nich usługi będą wykorzystywane do prania pieniędzy, z drugiej strony są coraz częściej adresatem rygorystycznych przepisów AML, których nieprzestrzeganie może wiązać się dla nich z dotkliwymi sankcjami.
Przedsiębiorcy nie mają zatem wyjścia – muszą uczynić obszar AML elementem swojego systemu compliance. Okazuje się jednak, że odpowiednie zaimplementowanie systemu AML nie ogranicza się do wprowadzenia w organizacji standardowej procedury AML. To istotny, ale nie najważniejszy element systemu. Poniżej wskazujemy trzy wybrane wyzwania, z którymi spotykamy się często, doradzając przedsiębiorcom w implementacji procedur AML.
Zakres podmiotowy
Ustalenie, czy dany przedsiębiorca podlega pod przepisy ustawy AML (czyli czy musi stosować szereg obowiązków przewidzianych przez tę ustawę) jest pierwszym krokiem w budowaniu strategii AML organizacji. W większości przypadków jest to zadanie łatwe. Kategorie podmiotów podlegających ustawie, czyli tzw. instytucje obowiązane, są w niej bowiem wskazane wprost. Niekiedy jednak kwalifikacja poszczególnych podmiotów nie jest oczywista. Tytułem przykładu, część podmiotów działających na rynku usług finansowych może nie odnaleźć się wśród instytucji takich jak banki, instytucje płatnicze czy zakłady ubezpieczeń. Warto jednak w takim przypadku przyjrzeć się nieco zapomnianej kategorii instytucji finansowych, która obejmuje swoim zakresem wielu nieuregulowanych przedsiębiorców działających na rynku finansowym. Innym przykładem są podmioty działające na rynku gamingowym, które z uwagi na wprowadzone niedawno przepisy AML dotyczące walut wirtualnych mogą wpaść w reżim AML (np. w zakresie, w jakim uczestniczą w wymianie wirtualnych tokenów w grach).
Nadmierny formalizm
Bardzo często spotykamy się w praktyce z przedsiębiorcami, którzy ograniczają implementację systemu AML w organizacji do wprowadzenia procedury AML skupiającej się na przestrzeganiu formalnych wymogów identyfikacji i weryfikacji tożsamości klientów oraz beneficjentów rzeczywistych. Nadmierna koncentracja na tych elementach paradoksalnie zmniejsza prawdopodobieństwo wykrycia prania pieniędzy lub finansowania terroryzmu.
Kluczowe w efektywnym systemie AML wydają się trzy elementy:
- sprofilowana analiza ryzyka, uwzględniająca specyfikę organizacji, jej klientów i rynku, na którym działa – najpierw trzeba bowiem zidentyfikować kluczowe obszary ryzyk AML w działalności organizacji,
- bieżące monitorowanie transakcji klientów – dopiero wychwycenie pewnych trendów i anomalii pozwala zidentyfikować podejrzane transakcje,
- zapewnienie przepływu informacji wewnątrz organizacji – często dopiero zestawienie kilku faktów lub informacji pochodzących z różnych obszarów organizacji pozwala zidentyfikować podejrzaną działalność.
System AML, który pomija te trzy elementy, może okazać się zupełnie nieefektywny.
Nadgorliwość
To zapewne najmniej oczywiste ryzyko. Mimo że regulacje AML mają zastosowanie do bardzo wielu kategorii przedsiębiorców, nadal są przedsiębiorcy, którzy formalnie nie podlegają pod ustawę AML. Obserwujemy, że coraz więcej przedsiębiorców z tej kategorii, podążając za trendami, próbuje dobrowolnie konstruować różnego rodzaju procedury AML. To ostrożnościowe podejście jest jednak związane z istotnym ryzykiem naruszenia przepisów o ochronie danych osobowych. Należy pamiętać o tym, że zbieranie i przetwarzanie danych na temat klientów (które jest częstym elementem takich dobrowolnych procedur AML) musi mieć solidne podstawy prawne oraz być ograniczone do minimum. Podmioty podlegające pod przepisy AML mają w tym względzie łatwiej, przepisy te stanowią dla nich bowiem wyraźną podstawę do przetwarzania danych. Przedsiębiorcy niepodlegający formalnie pod przepisy AML muszą zatem szczególnie ostrożnie podchodzić do przetwarzania danych osobowych w ramach swoich procedur AML.
Krzysztof Wojdyło, adwokat, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy
Artykuł wchodzi w skład publikacji Compliance – ważne zmiany w 2020 r.