Zmiana stanowiska GIIF – łagodniejsze wymogi AML w relacjach zdalnych

Generalny Inspektor Informacji Finansowej łagodzi wskazane w komunikacie z 22 sierpnia 2018 roku zasady nawiązywania relacji z klientem, przy braku jego fizycznej obecności. 

W komunikacie z 18 kwietnia 2019 r. GIIF nawiązał wprost do brzmienia przepisów o przeciwdziałaniu praniu pieniędzy (AML). Relacje zdalne nie zawsze będą wymagały wzmożonych środków bezpieczeństwa finansowego.

 

Dla podmiotów zobowiązanych do przestrzegania przepisów AML jest to bardzo ważna informacja. Przez okres ośmiu miesięcy, pomiędzy wydaniem obydwu komunikatów, można było wywnioskować, iż GIIF oczekuje zastosowania przez instytucje obowiązane wzmożonych środków bezpieczeństwa finansowego zawsze, jeżeli nawiązując stosunki gospodarcze przez kanał zdalny, nie zastosowano identyfikacji elektronicznej(1). Chodzi na przykład o kwalifikowany podpis elektroniczny lub podpis potwierdzony profilem zaufanym ePUAP (art. 42 ust. 2 pkt. 7 Ustawy AML).

 

Wzmożone środki bezpieczeństwa finansowego (zgodnie z komunikatem z dnia 22 sierpnia 2018 r.) wymagałyby przedstawienia przez klienta instytucji obowiązanej:

 

  • dwóch dokumentów potwierdzających tożsamość,
  • zweryfikowania tożsamości klienta podczas np. wideo rozmowy,
  • otrzymania przelewu weryfikacyjnego.

 

Główną wątpliwość instytucji wzbudziło bezwzględne powiązanie wyższego ryzyka z brakiem fizycznej obecności klienta przy nawiązywaniu stosunków gospodarczych. Takie podejście istotnie wykraczało poza zapisy przepisów AML(2), ponieważ art. 43 Ustawy AML, nie ma charakteru bezwzględnego i wymienia jedynie przesłanki do zastosowania wzmożonych środków bezpieczeństwa finansowego. Taki obowiązek określa jedynie art. 44 ustawy, w przypadku, gdy klient pochodzi lub ma siedzibę w państwie trzecim wysokiego ryzyka.

 

Co więcej, na ocenę ryzyka składa się więcej czynników, niż kanał dystrybucji (art. 33). Instytucja obowiązana powinna w ramach zaprojektowanego systemu oceny ryzyka, uwzględnić m.in. rodzaj klienta, obszar geograficzny, rodzaj produktu i usługi, poziom wartości majątkowych oraz cel, regularność i czas trwania stosunków gospodarczych. Interpretacja GIIF nie miała również poparcia w IV Dyrektywie AML oraz była bardziej restrykcyjna niż przyjęte standardy rynkowe.

 

W praktyce dla części instytucji prowadzenie sprzedaży kanałem zdalnym mogło okazać się nieopłacalne.

 

Zaktualizowany komunikat z 18 kwietnia łagodzi powyższe podejście(3), w sposób spójny z przepisami AML, czyli nawiązuje do stosowania, również w przypadku oceny relacji zdalnych, podejścia opartego na ryzyku.

 

Jak podkreśla GIIF powołując się na art. 33 ust. 4, to od instytucji obowiązanej i przeprowadzonej przez nią oceny ryzyka, zależy, z jaką intensywnością będą stosowane środki bezpieczeństwa finansowego. Jest do dobra wiadomość dla instytucji obowiązanych, zwłaszcza tych, które za pośrednictwem zdalnych kanałów sprzedaży oferują produkty mające minimalną ekspozycję na wykorzystanie w praniu pieniędzy lub finansowaniu terroryzmu.

 

Ważnym jest, aby instytucja obowiązana była świadoma, na jakie ryzyka, w jakiej sytuacji i kiedy jest narażona. Jest to istotne zarówno z punktu widzenia działalności biznesowej oraz w przypadku kontroli KNF lub GIIF. Instytucja obowiązana powinna być w stanie uzasadnić podjętą decyzję w myśl zasady „comply or explain”. Tutaj z pomocą przychodzą narzędzia przewidziane w Ustawie AML – ocena własna ryzyka oraz model oceny ryzyka klienta.

 

Kolejnym krokiem jest dostosowanie mechanizmów stosowanych w procesie weryfikacji do rozpoznanego ryzyka oraz specyfiki działalności danej organizacji. Instytucje obowiązane mogą skorzystać nie tylko z wideo-weryfikacji i przelewu weryfikacyjnego, ale również z biometrii, bądź odpytania zewnętrznych baz danych takich jak np. Rejestr dowodów osobistych, czy Rejestr dokumentów zastrzeżonych.

 

Podsumowując, to od instytucji obowiązanej zależy rozpoznanie ryzyka klienta, i dostosowanie mechanizmów identyfikacji i weryfikacji klienta, stosownie do oceny ryzyka. To również na instytucji obowiązanej spoczywa obowiązek wykazania podczas kontroli, że wprowadzone mechanizmy są odpowiednie, a rozpoznane ryzyko prawidłowe.

 

Współautorem ninejszego artykułu jest Piotr Jagodziński.


Kontakt
Chcesz dowiedzieć się więcej? Skontaktuj się z nami.