Nowoczesny Bank Spółdzielczy. Bezpieczeństwo. System DOKUMENTY ZASTRZEŻONE: Czy klient jest tym za kogo się podaje? – refleksje po nałożeniu pierwszej kary za nieustalenie beneficjenta rzeczywistego
Wojciech Kapica, Magdalena Jaczewska
Gorące lato
Rekordowe pod względem nowych zaleceń i komunikatów w tej materii były miesiące czerwiec i lipiec. Generalny Inspektor Informacji Finansowej opublikował ponad połowę (dziesięć) spośród dotychczas wydanych komunikatów (szesnaście) w trakcie ostatnich dwóch miesięcy. Komunikaty odnosiły się przede wszystkim do nowych zasad raportowania transakcji ponadprogowych, obowiązujących od lipca 2019 r. 17 lipca 2019 r. światło dzienne ujrzała natomiast Krajowa Ocena Ryzyka, będąca kompleksowym dokumentem, opisującym system przeciwdziałania praniu pieniędzy i finansowania terroryzmu w Polsce, wymuszająca na instytucjach obowiązanych aktualizację swoich ocen ryzyka. Z Krajowej Oceny Ryzyka wynika, że wskutek przeprowadzonych przez GIIF kontroli zidentyfikowano najczęstsze naruszenia obowiązków nakładanych ustawą AML, przede wszystkim związane z nieprawidłową identyfikacją beneficjenta rzeczywistego, niewłaściwym udokumentowaniem przeprowadzenia oceny ryzyka, niedokonywaniem bieżącej analizy transakcji, niezapewnieniem pracownikom odpowiednich szkoleń. Najwięcej nieprawidłowości w stosunku do liczby skontrolowanych podmiotów zidentyfikowano w sektorze banków spółdzielczych.
Pojawiła się również informacja o nałożeniu kolejnej (drugiej) kary finansowej na instytucję obowiązaną, za naruszenie przepisów ustawy AML. Spółka Krajowy Integrator Płatności, właściciel systemu szybkich płatności internetowych Tpay.com, została ukarana za nieustalenie czterech beneficjentów rzeczywistych karą pieniężną w wysokości 7,7 tys. zł – czyli 1925 zł za jednego beneficjenta. Kara, mimo że niewysoka, z pewnością spowoduje długofalowe skutki dla spółki, która będzie przez lata tłumaczyła się swoim partnerom z rynku finansowego, np. bankom, którzy zawsze przed podjęciem współpracy analizują kary za naruszenie przepisów AML. Dodatkowo, przyjmując nieco inną optykę, kara w wysokości prawie 2000 zł za brak ustalenia każdego pojedynczego beneficjenta rzeczywistego klienta, z punktu widzenia dużych podmiotów, np. banków lub zakładów ubezpieczeń, których bazy klientowskie idą w setki tysięcy lub nawet miliony klientów może okazać się mocno dotkliwa. Taka perspektywa skłania do głębszej refleksji nad sposobem zapewnienia skuteczności procesu ustalania beneficjenta rzeczywistego. Dlatego warto w tym miejscu zastanowić się, z jakich ułatwień możemy w tym zakresie skorzystać. Propozycje, jakie dla Państwa mamy, są dwie – jedna wynikająca z działań samych regulatorów, zaś druga mająca swoje źródło w dostępnych narzędziach informatycznych.
Bierny bowiem w ostatnich miesiącach nie pozostał Urząd Komisji Nadzoru Finansowego, który w swoim stanowisku z dnia 5 czerwca 2019 r. dotyczącym identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji (dalej: stanowisko) skupił się na przedstawieniu dobrych praktyk w zakresie weryfikacji klientów i beneficjentów rzeczywistych. Jak zdaniem UKNF instytucja obowiązana powinna efektywnie przeprowadzić identyfikację i weryfikację klienta?
Identyfikacja i weryfikacja klienta na gruncie przepisów i wytycznych UKNF
Zgodnie z art. 33 ustawy AML „instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, które muszą zostać dostosowane do każdego klienta indywidualnie, zgodnie z przeprowadzoną analizą ryzyka”, przez co należy rozumieć (zgodnie z Komunikatem GIIF nr 4 z dnia 22 sierpnia 2018 r.), że to od zidentyfikowanego przez instytucję obowiązaną ww. ryzyka i przeprowadzonej przez nią jego oceny zależy, z jaką intensywnością instytucja obowiązana zastosuje środki bezpieczeństwa finansowego wobec klienta. Do środków bezpieczeństwa finansowego należą między innymi identyfikacja klienta (art. 36 ustawy AML) oraz weryfikacja jego tożsamości (art. 37 ustawy AML). Każdorazowo instytucja obowiązana jest zobligowana do ustalenia imienia i nazwiska klienta, jego obywatelstwa, numeru PESEL (lub daty urodzenia w przypadku jego braku), państwa urodzenia oraz serii i numeru dokumentu stwierdzającego tożsamość klienta.
Ustalone dane identyfikacyjne muszą zostać w dalszej kolejności poddane weryfikacji przez pracownika instytucji obowiązanej. Instytucja obowiązana jest zobligowana do posługiwaniu się podczas weryfikacji tożsamości klienta materiałami pochodzącymi z wiarygodnych i niezależnych źródeł oraz do określenia rodzajów akceptowanych przez nią materiałów w swoich wewnętrznych procedurach. UKNF wskazuje w swoim stanowisku, że każdorazowo co najmniej jednym z materiałów weryfikacyjnych musi być dokument stwierdzający tożsamość (dowód osobisty, paszport, karta pobytu), uzupełniająco zaś dokument ze zdjęciem lub inny dokument, jak np. rachunek za media. Ze względu na wysokie znaczenie dowodów osobistych w procesie weryfikacji klientów oraz ich beneficjentów rzeczywistych tak istotne jest zweryfikowanie, czy mamy do czynienia z dokumentem autentycznym.
W art. 43 ustawy AML doprecyzowane zostało, jakie sytuacje mogą wymagać stosowania wzmożonych środków bezpieczeństwa finansowego oraz co może świadczyć o wyższym ryzyku prania pieniędzy i finansowania terroryzmu. Jedną z wymienionych okoliczności jest nawiązywanie stosunków gospodarczych na odległość. Szczegółowe środki bezpieczeństwa finansowego, które dana instytucja zastosuje, powinny zostać dostosowane do zidentyfikowanego poziomu ryzyka związanego z konkretnym klientem. UKNF wskazuje w swoim stanowisku, że oczekiwanym wzmożonym środkiem bezpieczeństwa finansowego jest ustalenie, aby pierwsza transakcja musiała zostać przeprowadzona za pośrednictwem rachunku klienta w innej instytucji obowiązanej (przelew weryfikacyjny). UKNF zaznacza również, że dane informacje dotyczące klienta, zawarte w okazywanym przez niego dowodzie tożsamości, powinny zostać zweryfikowane w jednej z przykładowo wymienionych w stanowisku baz (Bazie DOKUMENTY ZASTRZEŻONE, Rejestrze Dowodów Osobistych, Bazie Numerów PESEL, Liście Osób Poszukiwanych Listami Gończymi, Systemie Wymiany Ostrzeżeń o Zagrożeniach, Listach Sankcyjnych, wewnętrznych bazach danych banku – tzw. czarne listy).
System DOKUMENTY ZASTRZEŻONE jako narzędzie efektywnej weryfikacji klienta
Przydatnym narzędziem w procesie weryfikacji tożsamości klienta i beneficjenta rzeczywistego okazać się wobec powyższego może prowadzony przez Związek Banków Polskich od 1997 r. System DOKUMENTY ZASTRZEŻONE, w którym uczestniczą wszystkie polskie banki oraz wiele innych firm i instytucji. Wielkość Centralnej Bazy Danych Systemu DOKUMENTY ZASTRZEŻONE z dokumentami, które służą do potwierdzania tożsamości wyniosła na koniec czerwca 2019 r. 1 779 499 szt. Statystycznie do bazy trafiało 445 dokumentów dziennie. Informacja o zastrzeżonym dokumencie widoczna jest we wszystkich placówkach bankowych i innych podmiotach uczestniczących w Systemie DOKUMENTY ZASTRZEŻONE. Zastrzeżenie dokumentu oznacza, że nie można się nim dalej posługiwać. Co ważne, utracone dokumenty tożsamości mogą w bankach zastrzegać nie tylko osoby, które mają już konta bankowe, ale i te, które z usług bankowych nie korzystają.
System DOKUMENTY ZASTRZEŻONE umożliwia weryfikację w ewidencjach Ministerstwa Cyfryzacji numeru PESEL (ewidencja ludności) oraz zapewnia dostęp do Rejestru Dowodów Osobistych. Tym samym System DOKUMENTY ZASTRZEŻONE ułatwi instytucjom obowiązanym, jakimi są m.in. banki, potwierdzanie zgodności przekazywanych danych przez klientów, weryfikację danych adresowych, potwierdzenie istnienia ważnego dowodu osobistego, a także potwierdzenie śmierci posiadacza rachunku. Chociaż system został w zamyśle stworzony na użytek sektora bankowego, dostęp do bazy DOKUMENTY ZASTRZEŻONE może wykupić dowolna instytucja obowiązana.
Dlaczego warto efektywnie weryfikować klientów i beneficjentów rzeczywistych?
Nieprawidłowa identyfikacja i weryfikacja klienta może mieć surowe konsekwencje dla instytucji obowiązanych. Ustawa AML przewiduje szeroki katalog sankcji administracyjnych, do których należą m.in.
- publikacja informacji o instytucji obowiązanej oraz zakresie naruszenia w BIP
- nakaz zaprzestania podejmowania przez instytucję obowiązaną określonych czynności
- cofnięcie koncesji lub zezwolenia albo wykreślenie z rejestru działalności regulowanej
- zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie przez instytucję obowiązaną przepisów ustawy, przez okres nie dłuższy niż rok
- czy wreszcie kara pieniężna (w wysokości dwukrotności osiągniętej korzyści lub unikniętej straty lub w wypadku, gdy kwoty tej nie da się ustalić – do 1 000 000 euro).
Jak widać po karze nałożonej na spółkę Krajowy Integrator Płatności, oprócz sankcji przewidzianych ustawą, nie przestrzegając jej przepisów, instytucje obowiązane mogą narazić się również na katastrofę wizerunkową. Weryfikacja dowodu osobistego klienta, który najczęściej jest głównym źródłem danych klientowskich w procesie jego identyfikacji, stanowić będzie jedną z możliwych form dodatkowej ochrony. System DOKUMENTY ZASTRZEŻONE jest polecany przez organy nadzoru, m.in. przez Urząd Ochrony Danych Osobowych, jako skuteczne narzędzie do walki z kradzieżą cudzej tożsamości. Również UKNF w Stanowisku rekomenduje korzystanie z baz DOKUMENTY ZASTRZEŻONE, w ramach stosowania wzmożonych środków bezpieczeństwa finansowego. Ze względu na coraz dłuższą listę banków i innych instytucji obowiązanych przynależących do Systemu DOKUMENTY ZASTRZEŻONE, ci którzy decydują się pozostawać poza nim niejako wystawiają się na strzał – nie tylko przestępców, ale również zwracając na siebie uwagę organów nadzoru, co może potencjalnie skłonić je do przeprowadzenia kontroli. Istotnym benefitem dla instytucji obowiązanych płynącym z uczestniczenia w Systemie DOKUMENTY ZASTRZEŻONE będzie także przyczynienie się do upowszechniania wiedzy na temat problemu kradzieży tożsamości w społeczeństwie (www.DokumentyZastrzezone.pl).
Na koniec nie wypada nie wspomnieć o fakcie, że 4 lipca 2019 r. opublikowano na stronie Rządowego Centrum Legislacyjnego projekt nowelizacji ustawy AML. Główną implikacją dla instytucji finansowych wynikającą z tego projektu będzie objęcie karami pieniężnymi z art. 154 ustawy AML do 1 mln zł już nie tylko wyznaczonych członków zarządu, ale również przedstawicieli kadry kierowniczej wyznaczonych na podstawie art. 6 oraz art. 8 ustawy AML. Pojawienie się osobistej odpowiedzialności coraz to szerszego kręgu osób odpowiedzialnych za system przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu niech będzie kolejnym asumptem do pochylenia się nad skutecznością naszych wewnętrznych systemów.