AML: koniec „wolności” kryptowalutowej w Unii Europejskiej?
Natomiast 29 czerwca 2022 roku Unia Europejska przyjęła tzw. provisional agreement w zakresie modyfikacji rozporządzenia 2015/847, który stanowi istotny krok w kierunku wzmocnienia ram AML.
Będzie to także dość spore wyzwanie dla szeroko rozumianego sektora usług płatniczych, w tym banków.
Coraz więcej regulacji sektora AML
Warto przypomnieć, że rozporządzenie jest częścią większego pakietu AML, który szykuje UE, a także, że niewątpliwie jest silnie powiązane z rozporządzeniem w sprawie rynku kryptoaktywów, którego ostateczny kształt nie jest jeszcze przesądzony. Znaczenie mają też wprowadzone niedawno zmiany do ustawy o AML, które odnoszą się m.in. do obowiązku rejestracji dostawcy w zakresie walut wirtualnych.
W zakresie podmiotowym i przedmiotowym samo rozporządzenie będzie miało zastosowanie zarówno do dostawców usług płatniczych, dostawców usług w zakresie kryptoaktywów, jak i pośredniczących dostawców usług płatniczych mających siedzibę w Unii. W konsekwencji, obowiązki monitorowania transakcji powiązanych z kryptoaktywami obciążą znaczną część sektora, nawet jeżeli określone podmioty nie są klasycznymi VASPs.
Konieczne będzie więc dostosowanie istniejących polityk i procedur w zakresie AML, ale także potencjalnie systemów (płatniczych) służących do transferu środków. Już dzisiaj obrót kryptoaktywami jest oczywiście uznawany za obrót podwyższonego ryzyka i wymaga stosowania wzmocnionych środków bezpieczeństwa, a wprowadzane zmiany będą tylko doprecyzowywały te obowiązki.
Czytaj także: BankTech 2022: banki i sektor finansowy w obliczu tsunami prawno-regulacyjnego
Jakie zmiany wprowadzi nowe rozporządzenie 2015/847?
Zwróciłbym tutaj uwagę na pewne trudności, które mogą pojawić się w związku z zastosowanymi definicjami, bowiem odniesienia znajdujemy do jeszcze nieuchwalonych aktów, jak np. rozporządzenie MiCA. Wątpliwości pojawią się także zapewne w kontekście art. 2 pkt 12) ustawy o AML, a więc podmiotów będących tzw. VASPs.
Zasadniczym założeniem zmian do rozporządzenia jest poddanie dostawców usług w zakresie kryptoaktywów (w polskim porządku prawnym te podmioty są instytucjami obowiązanymi ‒ art. 2 pkt 12 ustawy o AML) obowiązkom w zakresie pozyskiwania informacji w każdym przypadku, gdy realizowane przez nich transakcje, denominowane zarówno w walucie fiducjarnej, jak i kryptoaktywach, są powiązane z tradycyjnym transferem środków pieniężnych lub z transferem kryptoaktywów, w który zaangażowany jest ten podmiot.
Zakres bardzo szeroki, tym bardziej, że pierwotny kształt rozporządzenia zakłada(ł) poddanie wymogom także transferów z portfeli tzw. hardware’owych, a więc poza stałym obiegiem w sieci Internet. Tutaj komunikat prasowy Rady (UE) jest dość enigmatyczny, bowiem wskazano jedynie, że “[t]here will be specific requirements for crypto-asset transfers between crypto-asset service providers and un-hosted wallets”.
Ważna informacja ‒ UE zakłada, że transakcje niskokwotowe nie będą podlegały specjalnym wyłączeniom z obowiązku stosowania wymogów tego rozporządzenia.
Jeżeli chodzi o informacje, które będą dotyczyły tych transferów, to podkreślić należy, że będą one dotyczyły zarówno beneficjentów, jak i ich inicjatorów. Sam transfer kryptoaktywów jest określony dość szeroko, bowiem obejmuje dowolną transakcję, przynajmniej częściowo realizowaną drogą elektroniczną w imieniu inicjatora, za pośrednictwem VASP, w celu udostępnienia kryptoaktywów, bez względu na to, czy inicjator i beneficjent jest tą samą osobą, i niezależnie od tego, czy VASP właściwy dla inicjatora jest tożsamy z VASP dla beneficjenta.
Z punktu widzenia dostawców portfeli kryptoaktywów, giełd i kantorów będzie to spore wyzwanie. Rozporządzenie wprowadza też pojęcie transferu Peer-2-Peer, a więc między użytkownikami i bez udziału VASPs.
Samo rozporządzenie zakłada wprowadzenie obowiązków VASPs właściwych dla inicjatorów, aby transferowi środków towarzyszyły co najmniej takie informacje jak:
– imię i nazwisko inicjatora;
– numer rachunku inicjatora, w przypadku gdy rachunek jest wykorzystywany do obsługi transakcji ‒ możliwe jest też odstępstwo w przypadku transferu z rachunku na rachunek ‒ wtedy pokazujemy indywidualny identyfikator transakcji oraz ewidencjonujemy identyfikatory adresów w rejestrze rozproszonym;
– adres inicjatora, numer urzędowego dokumentu osobistego, numer identyfikacyjny klienta lub data i miejsce urodzenia.
Dodatkowo informacje w zakresie pkt. 1 i 2 powinny dotyczyć także beneficjenta transakcji. Istotne jest zastrzeżenie, że te informacje nie będą musiały być dołączone bezpośrednio do transferu kryptoaktywów, a więc jak rozumiem ‒ mogą być przekazywane w odrębnym komunikacie lub za pośrednictwem innego systemu. Same informacje będą podlegały weryfikacji zgodnie z wymogami w zakresie środków bezpieczeństwa finansowego ‒ projekt wprowadza referencje bezpośrednio do projektowanego rozporządzenia w sprawie AML.
Czytaj także: Nadzór finansowy w Unii Europejskiej ostrzega konsumentów przed kryptowalutami
Dodatkowe wymogi dla VASP beneficjenta
Również po stronie VASP beneficjenta pojawią się dodatkowe wymogi, które można streścić jako obowiązek wdrożenia procedur obejmujących m.in. monitorowanie transakcji pod kątem braku informacji niezbędnych do identyfikacji inicjatora i beneficjenta.
Ma to o tyle znaczenie, że zgodnie z propozycją Komisji taki dostawca będzie miał obowiązek wdrożenia odpowiednich rozwiązań ‒ opartych o zasadę podejścia opartego na ryzyku (risk-based approach) ‒ które pozwolą na szybkie podejmowanie decyzji w zakresie tego czy wykonać, czy odrzucić transfer środków, jeżeli brakuje odpowiednich informacji.
Zakres obowiązków jest nieco szerszy, ale opiszę je przy innej okazji. Nie możemy też oczywiście zapominać, że w przypadku braku informacji może pojawić się obowiązek zgłoszenia do FIU.
Projekt nie zakłada specyficznych zmian w zakresie ochrony danych i zgodnie z komunikatem Komisji przepisy dotyczące ochrony danych osobowych określone w Rozporządzeniu 2016/679 pozostaną „aktualne”.
Najwięcej zmian dotyczy dostawców
W konsekwencji przyjęcie nowego rozporządzenia najbardziej dotknie dostawców, których główny obszar działalności stanowi obrót walutami wirtualnymi. Będą oni podlegali dodatkowym obowiązkom, a także sankcjom, które będą wiązały się z niewykonaniem obowiązków, choć oczywiście i dzisiaj ‒ na podstawie ustawy o AML ‒ są oni zobowiązani do stosowania środków bezpieczeństwa finansowego czy opracowania i wdrożenia odpowiednich polityk i procedur.
Istotne jest to, że o ile nie zajdą jakieś wyjątkowe okoliczności, to rozporządzenie wejdzie w życie dwudziestego dnia po jego opublikowaniu w Dz. Urz. UE. Okresów przejściowych nie przewidziano.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.