Jolanta Ojczyk: Od 13 lipca obowiązuje nowa ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Czy wymusza ona na wszystkich instytucjach obowiązanych stosowania systemów informatycznych?

Wojciech Kapica: Na gruncie starych przepisów wymogi ustawowe dało się spełnić manualnie w oparciu o tzw. metodę ekspercką, robiły tak, małe instytucje obowiązane np. banki spółdzielcze czy domy maklerskie. Teraz jest to niemożliwe. Ustawa zobowiązuje do ciągłego monitorowania transakcji, a to wyłącza możliwość niekorzystania z systemów IT.

Dlaczego?

Ma to być stały monitoring, a więc nie może go robić jedna osoba raz w tygodniu. Należy opracować scenariusze testowe do analizy transakcji, mechanizmy wychwytywania transakcji, które mogą mieć nietypowy charakter, a następnie podejrzany,  elementów, które nam nie pasują do profilu klienta. Nie jesteśmy już tego w stanie zrobić ręcznie.

 


 

Czy notariusz, który jest instytucją zobowiązaną, ale nie ma dużo klientów, też nie może opierać się na metodzie manualnej?

Nowe przepisy odchodzą od pewnej zero – jedynkowości, która była w starej ustawie.  Ma to być skuteczny sposób zapobiegniu praniu pieniędzy. Dlatego teraz liczy się nie tylko dążenie do skutku, ale sam skutek. Instytucja musi więc sama udowodnić dochowanie należytej staranności, a więc, że jej system skutecznie za skuteczny oraz dostosowany do skali i złożoności biznesu. Jeżeli mamy osobę fizyczną, to po pięciu latach, gdy przyjedzie kontrola nie będziemy wstanie udowodnić, że stosowała skuteczne mechanizmy, o ile robiła to wyłączenie w oparciu o swój proces myślowy. Notariusz musi za każdym razem w przypadku dokonywania czynności dot. przeniesienia praw majątkowych czy spółek, do każdego klienta zastosować środki bezpieczeństwa finansowego, czyli zidentyfikować klienta, jego beneficjentów, kontrahentów. Musi mieć przygotowane procedury, przeszkolony personel i system informatyczny. Notariusz bowiem nie może powiedzieć, że nie pośredniczy w zakładaniu, przekształcaniu spółek, gdyż ma ściśle określone sytuacje kiedy może odmówić sporządzenia aktu notarialnego. Proszę również pamiętać, że progi są do transakcji okazjonalnych, tych, które nie mają trwałości, są jednorazowe i związane z daną transakcją a nie osobą klienta.

Czytaj w SIP LEX:


Tak samo musi przepisy interpretować radca prawny, adwokat, który jedynie może zostać instytucją obowiązaną w określonych sytuacjach?

Adwokaci i radcowie są instytucją obowiązaną pod warunkiem, że świadczą pomoc prawną lub usługi w zakresie wymienionym w ustawie, np. transakcje nieruchomościowe. Tyle, że nie jest to precyzyjne określenie. Dlatego pojawia się pytania: czy, gdy dokonał jedną transakcję to staje się już podmiotem obowiązanym i będę nim zawsze, czy tylko dla tej jednej transakcji, czy wystarczy teoretyczna możliwość świadczenia określonych usług? . Należy przy tym pamiętać, że zgodnie z ustawami zawodowymi dotyczącymi radców prawnych lub adwokatów, mogą oni odmówić świadczenia usług tylko i wyłącznie z ważnych powodów. Nie można zatem powiedzieć, że odgórnie nie świadczymy jakiś usług.


A co z nowymi instytucjami, np. kantorami?

Nowa ustawa z jednej strony poszerza krąg instytucji zobowiązanych. Poszerza o wirtualne waluty, kantory, giełdy. Problem, że te podmioty nie są zidentyfikowane jako posiadające jakieś konkretne zezwolenie, koncesję, a jedynie przez sposób prowadzenia działalności. Zatem ustawodawca zakłada, że one same potrafią zdecydować, czy są podmiotem zobowiązanym i czy muszą wywiązać się z obowiązków AML  IV (tak nazywa się dyrektywę 2015/849  w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, którą wdraża ustawa).  Trzeba zatem ocenić, czy oferujemy zbywanie walut, czy pośrednictwo w zbywaniu.  Ustawa mówi o pośrednictwie w zbywaniu i nabywaniu. Jeśli firma tylko kojarzy strony, a one przeprowadzają transakcję między sobą, to nie jest w mojej ocenie pośrednictwo w zakresie zbywania i nabywania. Jeśli jednak rozrachunek idzie przez nas, to powinniśmy uznać, że to jest pośrednictwo. Obecnie jednak w tej sprawie nie ma wykładni jakiegokolwiek organu.

Instytucje muszą przygotować analizę ryzyka. Jak to wygląda w praktyce?

Przede wszystkim na poziomie ustawy jest ona wielopoziomowa. Po pierwsze mówimy o analizie ryzyka samego klienta, ale również analizie ryzyka instytucji obowiązanej. Potem mamy ocenę ryzyka na poziomie krajowym i europejskim. Niestety instytucje nie mogą się wzorować na ocenie krajowej, bo czas na jej wykonanie mają jest do stycznia przyszłego roku, zaś sam ocena krajowa zostanie sporządzona kwartał później. Cały przepis to art. 27 sprowadzający się do tego, że mamy przeprowadzić taką ocenę. Każda instytucja musi zatem sama przygotować kryteria, zakres danych. Dlatego RODO to jest mały króliczek przez predatorze jakim jest AML.

Co można poradzić instytucjom, jak do tego podejść?

Odradzam sporządzenie analizy wyłącznie w oparciu o podejście ekspercie. Taką ocenę trudniej będzie nam bowiem „obronić” przed organem nadzoru. Dużo lepszym rozwiązaniem jest stworzenie modelu dzięki, któremu będziemy wstanie policzyć, czy nasze ryzyko jest niskie, średnie czy podwyższone i to zarówno w ujęciu całościowym jak i szczątkowym. Sami więc musi ustalić, jak to zrobić. My opracowaliśmy pewne matryce. Pozwalają one ustalić m.in.: jakich klientów ma instytucja, z jakich z jakich usług korzystają. Do tego przypisujemy wagi, uwzględniamy ryzyko jakościowe, stosowane mechanizmy kontrolne a w konsekwencji ustalić poziom ryzyka.  Gdy przychodzi kontrola, ryzyko jest wyliczone.

 


 

Najważniejszy obowiązek, który trzeba wykonywać regularnie to raportowanie transakcji do Generalnego Inspektora Informacji Finansowej? Jak to wygląda?

Do 13 października można było raportować w starym trybie starej częstotliwości, na starych formularzach, ale z nowym zakresem.  Teraz np. trzeba weryfikować kraj urodzenia klienta, a według starych zasad nie było takiego obowiązku. Kiedyś się nie raportowało przychodzących transakcji zagranicznych, teraz trzeba. To jest wielkim problem. Żeby w starym formularzu podać nowy zakres danych, trzeba było zdjąć walidatory. Dlatego wszyscy zapewne będą musieli poprawiać opisy transakcji. Dzieje się tak dlatego, że podmioty raportują zgodnie ze swoją najlepszą wiedzą, która jednak może się w sporym stopniu różnić od oczekiwań organu nadzoru. Od 13 października do 13 lipca 2019 r. jest wybór: można raportować według starych lub nowych zasad.

Jak wygląda częstotliwość raportowania?

Za starej ustawy raportowaliśmy w trybie miesięcznym, teraz jest to 7 dni od momentu transakcji. Problem  jest w tym, że nie wiadomo jak go liczyć. Czy tak jak w kodeksie cywilnym od końca danego dnia, czy od konkretnej godziny. Jeżeli miałoby liczyć dokładnie 7 dni, to trzeba raportować przynajmniej dwa razy w tygodniu.

Można zostać ukaranym za niezaraportowanie danych w terminie, nie ujęcie jakiś?

Jeżeli instytucja nie zaraportowała transakcji lub podała za mało danych, powinna się liczyć z sankcją.  Jeśli danych będzie za dużo, zapewne skontaktuje się z nią GIIF w celu wyjaśnienia, ale sankcja z ustawy jest jedynie za niezaraportowanie.

Czytaj w SIP LEX: