Dotychczasowy polski system przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu wyznaczają regulacje prawne opierające się na przepisach dyrektyw unijnych w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu.
Podstawowym aktem prawnym w tym obszarze jest aktualnie ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „Ustawa o AML”), która jak dotąd była zmieniana aż 29 razy.
Obowiązująca aktualnie Ustawa o AML zawiera katalog instytucji obowiązanych wynikający z regulacji unijnych dyrektyw tj. dyrektywy 2015/849 (tzw. IV dyrektywa AML)1 oraz dyrektywy 2018/843 (tzw. V dyrektywa AML)2.
Instytucje obowiązane
Instytucje obowiązane pełnią kluczową rolę w systemie przeciwdziałania praniu pieniędzy.
To właśnie za ich pośrednictwem powołane do tego organy mają możliwość monitorowania przepływu środków finansowych na rynku.
Biorąc pod uwagę to, jak ważnym elementem systemu AML są instytucje obowiązane katalog tych podmiotów zawarty w Ustawie o AML jest przez prawodawcę sukcesywnie aktualizowany. Najczęściej sprowadza się to do jego rozszerzenia.
Zamknięty katalog instytucji obowiązanych jest więc modyfikowany w zależności od skali i trendów związanych z przestępstwami, którym ustawa o AML ma zapobiegać.
Cechą wspólną wszystkich podmiotów zaklasyfikowanych jako obowiązane na gruncie Ustawy o AML jest to, że prowadzona przez nie działalność wiąże się w mniejszym czy większym stopniu z przepływem istotnych wartości majątkowych.
Wśród instytucji obowiązanych można wyszczególnić zarówno podmioty działające na rynku finansowym (np. firmy inwestycyjne, instytucje pożyczkowe czy podmioty świadczące usługi w zakresie wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi), jak również takie spoza rynku finansowego,np.:
- podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych, również na rzecz spółek z grupy,
- podmioty świadczące tzw. corporate services / centra kompetencyjne, w tym zwłaszcza w postaci zapewniania siedziby/adresu.
- przedsiębiorcy w zakresie, w jakim przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość
10 000 euro.
[Ważne!] Jeśli w ramach działań reorganizacyjnych w grupie przeniesiono centra kompetencyjne, np. w zakresie świadczenia usług księgowych w ramach grupy, to pomiot z grupy, który przejął te kompetencje, powinien stać się instytucją obowiązaną i wdrożyć AML w organizacji. |
Podstawowe obowiązki
Ustawa o AML nakłada na instytucje obowiązane szereg obowiązków związanych z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu.
Po pierwsze ocena ryzyka AML instytucji obowiązanej
Należy wskazać, że każda instytucja obowiązana powinna zidentyfikować i ocenić ryzyko AML związane z jej działalnością uwzględniając czynniki ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw.
Przy ocenianiu ryzyka instytucje obowiązane mogą uwzględniać obowiązującą krajową ocenę ryzyka (ostatnia wydana przez GIIF 6 grudnia 20233) i tzw. unijną ocenę ryzyka.
Doświadczenia z inspekcji przeprowadzonych przez UKNF4 wskazują, że wśród najczęstszych błędów popełnianych dotychczas przez instytucje obowiązane w zakresie oceny ryzyka AML były5:
- pominięcie niektórych czynników ryzyka wskazanych w przepisach Ustawy o AML,
- niewskazanie finalnych wniosków wynikających z oceny ryzyka,
- brak harmonogramu planowanych działań instytucji obowiązanej w celu łagodzenia ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
- niezrozumienie różnic między ryzykiem inherentnym a rezydualnym,
- nieodpowiedni dobór metodyki, nieuwzględniający istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.
Ocenę ryzyka sporządza się w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują, w szczególności w związku ze zmianami krajowej czy unijnej oceny ryzyka.
Jeśli zatem w 2018 czy 2019 r. spółka przygotowała ocenę ryzyka i od tej pory nie była ona aktualizowana, to w razie kontroli organu można spodziewać się stwierdzenia uchybień obowiązkom ustawowym.
Po drugie procedury AML
Kolejnym podstawowym obowiązkiem każdej instytucji obowiązanej jest również posiadanie procedur AML tj.:
- wewnętrznej procedury w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
- procedury anonimowego zgłaszania rzeczywistych lub potencjalnych naruszeń,
- procedury opartej na analizie ryzyka w celu ustalenia czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne,
- grupowej procedury w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (nie w każdym przypadku).
Procedura wewnętrzna obejmuje m.in. określenie czynności lub działań podejmowanych w celu ograniczenia ryzyka AML i właściwego zarządzania zidentyfikowanym ryzykiem, zasad stosowania środków bezpieczeństwa finansowego czy zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML.
Procedura anonimowego zgłaszania naruszeń określa natomiast w szczególności osobę odpowiedzialną za odbieranie zgłoszeń, sposób odbierania zgłoszeń czy rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia.
W kontekście procedury anonimowego zgłaszania naruszeń warto sprawdzić, czy jest ona zgodna z procedurą dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych przyjętą na podstawie ustawy z 14 czerwca 2024 r. o ochronie sygnalistów. Warto zastanowić się, jak sprawić, aby oba te dokumenty ze sobą współgrały, a przynajmniej wzajemnie się nie wykluczały. Opcją do rozważenia jest zawarcie procedury anonimowego zgłaszania z Ustawy o AML i procedury z ustawy o ochronie sygnalistów w jednym dokumencie.