IV dyrektywa AML w prawie polskim
Prezes Związku Banków Polskich stwierdził, że trzeba np. automatyzować procesy związane z przeciwdziałaniem praniu brudnych pieniędzy i finansowaniu terroryzmu. Konieczne jest standaryzowanie działań. Należy również standaryzować działania, zwłaszcza te związane z bezpieczeństwem. Zauważył, że banki posiadają informacje, z których oficjalnie – ze względu na obowiązujące obecnie przepisy – nie mogą skorzystać. To powinno zostać zmienione. Zachęcał do korzystania z dostępnych w ZBP oraz Centrum Prawa Bankowego i Informacji systemów i baz danych. Zwrócił uwagę na obciążenia banków i postulował, żeby np. wpłaty na Bankowy Fundusz Gwarancyjny zostały uznane za koszt.
W pierwszym z wystąpień Radosław Obczyński z Urzędu Komisji Nadzoru Finansowego omówił wzmożone środki bezpieczeństwa finansowego z punktu widzenia i wytycznych nadzoru. Podkreślił, że obecnie prowadzone są prace związane z kolejnymi projektami unijnymi. Przepisy będą aktualizowane. Z każdym klientem związane jest ryzyko i w zależności od jego poziomu należy podejmować stosowne działania. Przedstawiciel UKNF mówił o sytuacjach podwyższonego ryzyka i kliencie nieobecnym na potrzeby identyfikacji. Zwrócił uwagę na postęp w technologiach np. związanych z wideo identyfikacją, biometrią głosu, podpisu itp. Jak stwierdził, przelew identyfikacyjny nadal jest możliwy, jeśli spełni się związane z tym wymogi.
Radosław Obczyński wspomniał o relacjach z klientami z krajów podwyższonego ryzyka i osobach zajmujących eksponowane stanowiska w państwie. O tym, czy sytuacja opisana w ustawie jest rzeczywiście podwyższonego ryzyka, bank musi zadecydować sam, ale będzie musiał wykazać, że zastosował adekwatne działania i środki.
Problematykę obsługi klienta PEP przedstawiła mec. Natalia Fałat-Radziejewska z Departamentu Informacji Finansowej Ministerstwa Finansów. Zastrzegła, że niebawem rozpoczną się prace nad nowelizacją obecnych przepisów. Wspomniała o regulacjach dotyczących należytej staranności i o problemach z klientami o wysokiej pozycji politycznej. Mówiła również o problemie z doprecyzowaniem kto jest w Polsce wyższym przedstawicielem w siłach zbrojnych.
Przedstawicielka Ministerstwa Finansów zwróciła uwagę na możliwości identyfikacji PEP. W przypadku instytucji, podjęcie współpracy z klientami PEP wymaga akceptacji kadry kierowniczej banku. W nowych przepisach określono minimalny czas na wstrzymanie procedur, gdy osoba PEP zaprzestała zajmować eksponowane stanowisko.
Monika Błaszczyk z banku BZ WBK swoje wystąpienie poświęciła beneficjentowi rzeczywistemu w ujęciu nowej ustawy. Skoncentrowała się ona sposobie ustalania danych beneficjenta. Jeśli z dokumentacji nie można ustalić beneficjentów, to – wg przepisów – uznać za nie można osoby zajmujące wyższe stanowiska w spółce. Nowa ustawa definiuje też termin „trust” i osoby, które mogą być w tego rodzaju organizmach gospodarczych uznane za beneficjentów rzeczywistych (np. dodatkowo założyciel, powiernik itp.).
W drugim swoim wystąpieniu Radosław Obczyński skupił się na problematyce bieżącej analizy transakcji. Zwrócił uwagę, że może zdarzyć się tak, że zmiany sposobów prowadzenia transakcji przez klienta mogą wynikać np. ze zmiany rodzaju prowadzonej działalności itp. Wtedy należy zaprzestać stosowania w stosunku do niego specjalnych procedur. Jeśli chodzi o analizowanie transakcji, to – jak stwierdził przedstawiciel UKNF – nic nie ulega obecnie zmianie.
W trakcie dyskusji rozmawiano m.in. o ustalaniu beneficjentów spółek giełdowych oraz w grupach finansowych.
Mec. Natalia Fałat-Radziejewska poinformowała m.in. o projektach wzorów dokumentów do komunikacji z GIF. Radosław Obczyński omówił problematykę współpracy banków z podmiotami pośredniczącymi w obrocie kryptowalutami. Podkreślił, że dotychczasowa praktyka postępowania polskich banków z nimi jest właściwa. Dodał też, że nikt nie jest przeciwny rozwijaniu technologii związanych z kryptowalutami. Komisja Nadzoru Finansowego nie zakazała współpracy z podmiotami, które handlują nimi, przestrzega wszakże, że wiąże się z tym wiele ryzyk. Podobnie czynią instytucje nadzorcze w wielu krajach. Nie są bowiem w stanie wskazać kto stoi za użytkownikiem kryptowalut i jak wszedł on w posiadanie tych środków.
Zdaniem Radosława Obczyńskiego, ryzyko reputacyjne dla banków jest niedoszacowane. Jako przykład podał możliwy scenariusz związany np. z upadkiem największej giełdy kryptowalut w Polsce, choćby spowodowanym atakiem hakerskim na nią i problemami, jakie mógłby mieć obsługujący ją bank. Ostrzegał, żeby ostrożnie podchodzić do współpracy z bardzo dużymi podmiotami tego typu, co może wprawdzie poprawić sytuację finansową banku, ale jest ryzykowne. Warto skorzystać z możliwości rozwiązywania umów z takimi klientami (osobami prawnymi).
O ochronie prawnej instytucji zobowiązanych i pracowników uczestniczących w przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu mówił w swoim wystąpieniu prok. Leszek Stryjewski z Prokuratury Krajowej. Jak wiadomo, istnieje obowiązek informowania o operacjach finansowych przekraczających wartość 10 tys. euro; jak również wtedy, jeśli jest to kilka powiązanych transakcji o mniejszej wartości. Wykonanie wskazanej czynności przez instytucję zobowiązaną nie rodzi odpowiedzialności cywilnej np. w związku z blokadą środków na koncie. Przedstawiciel Prokuratury Krajowej przekonywał, że obecnie liczba sposobów pomocy oraz ochrony dla poszkodowanych i świadków w postępowaniach karnych jest wystarczająca. Przedstawił przegląd obowiązujących przepisów. Uczestnicy konferencji nie chcieli jednak zgodzić się z tezą, że obecne przepisy są wystarczające, bo w wielu z nich pojawiają się słowa takie, jak „może” itp., co pozwala na swobodę w interpretacji przepisów i nie daje gwarancji ochrony świadków – pracowników banków.
Marcin Bizoń i Katarzyna Łukasik-Gogol z firmy analitycznej EY przedstawili problematykę outsourcingu czynności AML/KYC po wejściu w życie nowej ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Instytucje zobowiązane muszą zatrudniać wielu pracowników do realizacji nałożonych na nie obowiązków. Jak się okazuje to – w zależności od instytucji – od 8 do 100 etatów na jeden milion klientów. Tak duża rozbieżność może świadczyć też o tym, że jest tu obszar do optymalizacji zatrudnienia. Jak stwierdzono, dużym obciążeniem jest np. obowiązek aktywnego wprowadzania zmian dotyczących klientów. Nie ma przy tym rozwiązania, które byłoby dobre dla wszystkich. Są instytucje, które wiele czynności zlecają na zewnątrz i takie, które prawie wszystkie procesy wykonują własnymi siłami. Polska jest istotnym centrum kompetencji w zakresie AML. Specjaliści z naszego kraju wykonują usługi z tego zakresu dla instytucji finansowych również z innych państw.
W trakcie dyskusji mówiono o praktycznych problemach związanych z outsourcingiem. Nowe przepisy wchodzące w życie już w lipcu br. i dają więcej możliwości wykorzystywania tego rozwiązania. Warto się zatem zastanowić i wybrać któryś z dostępnych modeli outsourcingu.
Andrzej Sytniewski z Agencji Bezpieczeństwa Wewnętrznego przedstawił rekomendacje dla banków wynikające z doświadczeń ABW w zwalczaniu finansowania terroryzmu. Omówił nowy podział poziomów zagrożeń alarmowych i sposób, w jak się je ustala. W Polsce podwyższone stopnie zagrożenia wprowadzono w 2012 oraz 2016 r. i miały one charakter prewencyjny.
Przedstawiciel ABW omówił również ustawę o działaniach antyterrorystycznych. Wprowadzono w niej nowe kategorie przestępstw, np. szkolenia do wykonania ataku terrorystycznego. W Izraelu karane jest np. wpłacenie pieniędzy na konto szpitala, jeśli prowadzi go Hamas, uznany za organizację terrorystyczną. W Polsce nie poszliśmy w tym zakresie tak daleko. Andrzej Sytniewski mówił też o dokumentach o charakterze strategicznym. W ABW powstała właśnie nowa jednostka organizacyjna – Centrum Prewencji Terrorystycznej. Będzie zajmować się badaniami i prewencją. Obecnie główne problemy to podprogowe transakcje bankowe i transfery typu Western Union oraz MoneyGram a także systemy „hawala”, czyli tzw. niewidzialne banki. Przedstawiciel ABW radził, by zwrócić uwagę na takie transakcje w bankach.
O kierunkach rozwoju narzędzi informatycznych w kontekście zmian prawnych w obszarze AML mówił Miłosz Posyłek, dyrektor Działu Systemów Analitycznych w Asseco Poland. Przedstawił etapy rozwoju AML w minionych latach. Podkreślił, że zakres potrzeb związanych z wymaganiami AML zbliża się do tego z systemów antyfraudowych. Zwrócił uwagę na zalety, jakie mogą się pojawić, gdy obejmie się obie dziedziny jednym systemem IT. Uzyskamy wtedy bowiem efekt synergii.
O wczesnym wykrywaniu incydentów bezpieczeństwa IT jako metodzie przeciwdziałania finansowaniu terroryzmu mówił dr inż. Mariusz Stawowski z Forcepoint. Przedstawił oprogramowanie firmy zabezpieczające komputery przedsiębiorstw przed wykorzystaniem przez cyberprzestępców. Dziś coraz trudniej wykryć zagrożenia wyłącznie na podstawie historycznych zdarzeń. Analizuje się zatem zachowanie użytkowników i wykrywa anomalie. Choćby to, że pracownik próbuje korzystać z innych serwerów niż zwykle lub zaczyna pracować w „dziwnych” godzinach itp.
W ostatnim, podsumowującym konferencję wystąpieniu, Alina Wieloch z Nest Banku porównała STIR z AML i przedstawiła możliwości wykorzystania risk score ze STIR do oceny ryzyka klienta z perspektywy AML. Słuchacze mogli poznać praktyczny przebieg rzeczywistego testu wykorzystania takiego risk score i wyniki jakie uzyskano. Wywołało to wśród ożywioną dyskusję. W jej trakcie kilkukrotnie radzono, by jednak podchodzić do takich rozwiązań elastycznie.