AML: nowa ustawa.

28 marca 2018 roku Prezydent RP podpisał ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Ma ona dostosować polskie przepisy do standardów międzynarodowych – czyli IV Dyrektywy AML. Nowe prawo wprowadza szereg zapisów, które wymuszą na instytucjach finansowych zmianę podejścia do przeciwdziałania praniu pieniędzy. O tym, jakich obszarów dotyczą i co oznaczają dla podmiotów uczestniczących w obrocie finansowym mówi Edyta Zdziarska, Project Manager, Asseco Poland.

Nowa ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wprowadza duży zakres zmian. Czy są to zmiany rewolucyjne?

Chociaż nowe przepisy wprowadzają znaczące zmiany to nie są one tak rewolucyjne, jak miało to miejsce w roku 2009, kiedy po raz pierwszy zetknęliśmy się z terminem beneficjenta rzeczywistego, oceną ryzyka klienta, czy środkami bezpieczeństwa finansowego. Podstawowym założeniem ustawy jest zmiana podejścia do procesów z zakresu AML, która polega na pogłębionej weryfikacji klienta. Dla instytucji obowiązanych oznacza to przede wszystkim dodatkowe obowiązki kontrolne i sprawozdawcze.

Jakich obszarów dotyczą najbardziej znaczące zmiany?

Ustawa znacznie rozszerza katalog instytucji obowiązanych, włączając do niego m.in giełdy walut wirtualnych. Jest to zapis, który wykracza poza IV Dyrektywę i wchodzi w obszar V Dyrektywy AML, do której będziemy dopiero dostosowywać regulacje krajowe. Należy też podkreślić, że jest to pierwsza ustawa w Polsce, która wprowadza definicję waluty wirtualnej . W nowych przepisach po raz pierwszy pojawia się także termin Krajowej Oceny Ryzyka – obowiązku, który dotyczy organów nadzorczych ale dotyka również instytucji obowiązanych. Kolejna zmiana związana jest z Centralnym Rejestrem Beneficjentów oraz nowych obowiązków wynikających z weryfikacją danych o beneficjencie rzeczywistym.

Na jaką skalę wprowadza zmiany? Co to oznacza dla instytucji?

Nowe przepisy oznaczają nowe obowiązki natury organizacyjnej, które spowodują konieczność modyfikacji procedur wewnętrznych zarówno przez banki , jaki pozostałe instytucje objęte ustawą. Chodzi tu głównie o kwestie dotyczące zastosowania środków bezpieczeństwa finansowego, które instytucje musza podejmować w stosunku do swoich klientów. Ich zakres został znacznie rozszerzony, a to oznacza konieczność odzwierciedlenia ich w procedurach bankowych. Przykładem są tu m.in. zmiany definicji osób zajmujących eksponowane stanowiska polityczne, tzw. PEP, w stosunku do których prowadzone będą dodatkowe procedury weryfikacyjne.

Wymogi ustawy wprowadzają także szereg obowiązków dla pracowników komórek AML, związanych głównie z identyfikacją i weryfikacją klienta, a także jego produktów, transakcji oraz podmiotów z nim powiązanych. Należy jednak zaznaczyć, iż działanie te nie służą jedynie procedurom AML. Coraz częściej w regulacjach prawnych, spotykamy zapisy odnoszące się do potrzeby wykorzystania wyników analiz prowadzonych na potrzeby procedur AML również w innych obszarach np. w FATCA i CRS.

Jakie trudności mogą napotkać instytucje w realizacji nowych obowiązków?

Największe wyzwania związane z wdrożeniem tej ustawy, na które zwracają uwagę instytucje, wynikają głównie braku doprecyzowania niektórych definicji, terminów czy pojęć. W konsekwencji mogą one stać się problemem. Jeżeli nie pojawią się odpowiednie wytyczne ze strony GIIFu – czyli Generalnego Inspektora Informacji Finansowej lub tez innych organów to instytucje mogą mieć trudność z określeniem, jakie tak naprawdę obowiązki nakładają na nie nowa ustawa. Przykładem może być np. zapis dotyczący transakcji okazjonalnej, który jest na tyle ogólny, że pojawiają się trudności z jego interpretacją. Wątpliwości budzi również sposób funkcjonowania Rejestru Beneficjentów Rzeczywistych i dostępu do danych w nim zgromadzonych. Dlatego jeżeli nie pojawią się odpowiednie wytyczne Generalnego Inspektora Informacji Finansowej lub tez innych organów to instytucje mogą mieć trudność z określeniem, jakie tak naprawdę obowiązki nakładają na nie nowa ustawa.

Dlatego od początku monitorujemy i analizujemy wszelkie zapisy tej ustawy. Weryfikujemy je bardzo dokładnie pod względem ewentualnych zmian w systemie. Nie zamykamy się jednak na sprawy techniczne, ale skupiamy się również na kwestiach merytorycznych po to by jak najlepiej przygotować naszych klientów do zmian. Bardzo ważną częścią tego procesu jest udział w konferencjach, warsztatach czy dyskusjach dotyczących interpretacji definicji, z którymi jest problem. Dzięki temu możemy dobrze dopasować wymagania nowej ustawy do specyfiki danej instytucji i rozwiać wiele wątpliwości natury merytorycznej. Jeżeli posiadamy wiedzę, która umożliwia rozwiązanie problemu to chętnie dzielimy się nią z naszymi klientami.

Nowe przepisy wprowadzają duży zakres zmian. Czy trudno będzie dostosować do nich systemy informatyczne?

Wiele zależy tu od rozwiązania, jakim dysponuje instytucja. W przypadku elastycznego systemu proces ten powinien odbyć się sprawnie. Będzie jednak wymagał pewnych modyfikacji związanych np. z koniecznością spełnienia obowiązku dotyczącego weryfikacji danych i szerszego niż dotychczas zakresu gromadzonych informacji. Są to zmiany, które w przypadku starszych narzędzi mogą być znacznie trudniejsze do implementacji.
Natomiast dużą niewiadomą, która z pewnością spowoduje konieczność wprowadzenia znaczących modyfikacji w systemach IT, są zmiany dotyczące rejestru transakcji. Nowy rejestr powinien być udostępniony w rozporządzeniu wydanym przez Ministra Finansów. Z powodu braku projektu nie można jednoznacznie określić, w jakim stopniu struktury dotychczasowego rejestru zostaną zmienione. W Asseco na bieżąco monitorujemy te informacje i równocześnie mamy na uwadze propozycje umieszczone we wcześniejszych projektach. Jeden z nich wprowadzał zmianę struktury podmiotów uczestniczących w transakcji ze statycznej na dynamiczną. Oznaczało by to, że system będzie musiał zapewnić możliwość swobodnej zmiany liczby podmiotów, a to już będzie wymagało znaczącej modyfikacji.

Co się stanie w sytuacji, kiedy system lub dostawca zawiedzie i w niewłaściwy sposób zinterpretuje te zapisy, które są dla niego niejasne?

W takiej sytuacji na instytucje nałożone zostają kary finansowe, które w nowej ustawie zostały jeszcze mocniej zaostrzone. Ich wysokość zależy głównie od konsekwencji, jakie powstały lub mogły powstać w związku z zaniedbaniami. Jeśli w wyniku błędnej interpretacji przepisów proces weryfikacji nie obejmie np. danego typu transakcji realizowanych przez bank na dużą skalę, wówczas ryzyko przeoczenia procederu prania pieniędzy może być bardzo duże. Dlatego tak ważna w dostosowaniu systemu do nowych przepisów jest rola dostawcy, który musi zadbać o to, żeby ich interpretacja była właściwa. Trzeba też pamiętać, że vacatio legis ustawy wynosi tylko 3 miesiące, podczas których instytucje muszą zmodyfikować swoje procedury oraz narzędzia informatyczne.

Jakie kierunki zmian przewidujemy w obszarze AML?

Zakres danych poddawanych weryfikacji staje się coraz szerszy, a prowadzone analizy przybierają coraz bardziej skomplikowane formy. Przypomnę, że początkowo obszar AML obejmował jedynie weryfikację transakcji, później włączony został pakiet danych o kliencie – jego aktywnościach finansowych oraz ekonomicznych. Obecnie dotykamy już takich informacji jak adresy IP, z których następowało logowanie klienta, do systemów bankowości elektronicznej. Co to oznacza?

Dzisiaj banki potrzebują narzędzia, które umożliwi weryfikację szerokiego zakresu informacyjnego o kliencie, realizowanych przez niego transakcjach i produktach, z jakich korzysta. Zaciera się granica między danymi gromadzonymi na potrzeby analiz AML, anty fraudowych czy też wymiany informacji w dziedzinie opodatkowania. Dlatego rozwiązaniem są tu kompleksowe systemy informatyczne, takie jak Asseco Integrated Analytical Platform, gdzie moduły AML, Anti – Fraud i FATCA&CRS korzystają ze wspólnego repozytorium danych oraz silnika regułowego. Umożliwia to korelacje danych i korzystanie z wyników analiz prowadzonych w różnych obszarach.