AML/CFT — 238 pytań i odpowiedzi

Skrót **AML/CFT** pochodzi z języka angielskiego: *Anti-Money Laundering / Countering the Financing of Terrorism*, czyli „przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu". W polskiej praktyce spotyka się także odpowiednik **PPP/PFT**. Jest to zbiór regulacji prawnych, procedur i działań, których celem jest niedopuszczenie do wprowadzania do legalnego obrotu środków pochodzących z przestępstw (pranie pieniędzy) oraz do finansowania działalności terrorystycznej. Polski system AML/CFT jest częścią systemu międzynarodowego: opiera się na zaleceniach FATF (Financial Action Task Force) i wdraża prawo Unii Europejskiej. Kluczowym aktem krajowym jest ustawa AML, a centralnym organem — Generalny Inspektor Informacji Finansowej (GIIF).

Podstawa prawna: ustawa AML (całość, w szczególności art. 1 i art. 2); art. 299 i art. 165a KK

Pełna wersja odpowiedzi (281 słów) dostępna w pełnej wersji e-booka. Kup e-book

Pranie pieniędzy to podejmowanie czynności mających ukryć przestępcze pochodzenie wartości majątkowych (pieniędzy, papierów wartościowych, walut wirtualnych itp.) i wprowadzić je do legalnego obrotu, tak by wyglądały na uczciwie zarobione. Ustawa AML definiuje pranie pieniędzy przez odesłanie do art. 299 Kodeksu karnego. Przestępstwo to nazywa się **następczym (wtórnym)**, ponieważ jego popełnienie jest możliwe dopiero po wcześniejszym czynie zabronionym (tzw. przestępstwie bazowym), z którego pochodzą nielegalne środki. Bez „brudnych" pieniędzy nie ma czego „prać". Co istotne, dla skazania za pranie pieniędzy nie jest konieczne wcześniejsze prawomocne skazanie sprawcy przestępstwa bazowego — wystarczy wykazać przestępcze pochodzenie środków.

Podstawa prawna: art. 299 KK; art. 2 ust. 2 pkt 14 ustawy AML

Pełna wersja odpowiedzi (374 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML ma chronić system finansowy i gospodarczy przed wykorzystywaniem go do legalizowania nielegalnych dochodów oraz do finansowania terroryzmu. Określa zasady i tryb przeciwdziałania tym zjawiskom, nakłada na wyznaczone podmioty (instytucje obowiązane) konkretne obowiązki prewencyjne, a także buduje system instytucjonalny — z Generalnym Inspektorem Informacji Finansowej na czele — oraz mechanizmy nadzoru, kontroli i współpracy międzynarodowej. Innymi słowy, łączy obowiązki sektora prywatnego (banki, kantory, notariusze, biura rachunkowe i wielu innych) z działaniem organów państwa, tworząc spójny system wykrywania i blokowania „brudnych" pieniędzy.

Podstawa prawna: art. 1 ustawy AML oraz systematyka całej ustawy

Pełna wersja odpowiedzi (132 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Choć wiele przepisów dotyczy transakcji i instytucji finansowych, ustawa AML obejmuje znacznie szerszy krąg podmiotów i czynności. Obowiązki ciążą m.in. na notariuszach, adwokatach, radcach prawnych i doradcach podatkowych (w określonym zakresie), pośrednikach w obrocie nieruchomościami, biurach rachunkowych, podmiotach z branży hazardowej, lombardach, a także na każdym przedsiębiorcy przyjmującym lub dokonującym płatności za towary w gotówce o wartości równej lub przekraczającej 10 000 euro. Ustawa reguluje też ocenę ryzyka, procedury wewnętrzne, szkolenia, blokady rachunków i współpracę z GIIF. Dotyczy więc każdej czynności, która może służyć praniu pieniędzy lub finansowaniu terroryzmu, niezależnie od jej „finansowego" charakteru.

Podstawa prawna: art. 2 ust. 1 ustawy AML; uzupełniająco art. 27, art. 33–37, art. 49–52, art. 72 i nast

Pełna wersja odpowiedzi (258 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podejście oparte na ryzyku (ang. *risk-based approach*, RBA) to fundamentalna zasada AML/CFT: instytucja obowiązana najpierw rozpoznaje i ocenia, jak duże ryzyko prania pieniędzy lub finansowania terroryzmu wiąże się z danym klientem, produktem czy transakcją, a następnie dobiera środki adekwatne do tego ryzyka. Tam, gdzie ryzyko jest niskie, można stosować uproszczone środki bezpieczeństwa finansowego; tam, gdzie wysokie — środki wzmożone. Dzięki temu zasoby koncentrowane są tam, gdzie zagrożenie jest największe. Ocena ryzyka musi być dokumentowana i okresowo aktualizowana. RBA jest zgodne z rekomendacjami FATF i stanowi rdzeń całego polskiego systemu AML.

Podstawa prawna: art. 25, art. 27, art. 33 (zwłaszcza ust. 3 i 4), art. 34, art. 42 i art. 43 ustawy AML

Pełna wersja odpowiedzi (224 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Wartości majątkowe" to bardzo szerokie pojęcie, obejmujące praktycznie wszystkie aktywa, które mogą być przedmiotem prania pieniędzy lub finansowania terroryzmu. Należą do nich prawa majątkowe, inne mienie ruchome i nieruchomości, środki płatnicze (banknoty i monety), instrumenty finansowe (np. akcje, obligacje), inne papiery wartościowe (np. weksle, czeki), wartości dewizowe (środki w walutach obcych) oraz waluty wirtualne. Tak pojemna definicja sprawia, że obowiązki AML obejmują nie tylko klasyczne pieniądze, lecz również kryptowaluty, dzieła sztuki, nieruchomości i inne składniki majątku.

Podstawa prawna: art. 2 ust. 2 pkt 27 ustawy AML (oraz definicja waluty wirtualnej w art. 2 ust. 2 ustawy AML)

Pełna wersja odpowiedzi (148 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie zawiera odrębnego „kodeksu etyki AML", ale z jej przepisów oraz z ogólnych standardów zawodowych można wyprowadzić zestaw zasad, którymi powinny kierować się osoby i instytucje obowiązane: uczciwość i rzetelność, profesjonalizm (w tym udział w szkoleniach), poufność (zakaz ujawniania klientowi faktu zgłoszenia — tzw. zasada no tipping-off), obiektywizm i proporcjonalność oceny ryzyka, odpowiedzialność, współpraca z organami nadzoru, przejrzystość i dokumentowanie działań, unikanie konfliktów interesów, ochrona sygnalistów oraz poszanowanie ochrony danych osobowych. Wiele z tych zasad ma oparcie w konkretnych przepisach ustawy, a poszczególne zawody mają dodatkowo własne kodeksy etyczne.

Podstawa prawna: art. 33–37, art. 49, art. 52, art. 53, art. 53a, art. 54, art. 147 i nast., art. 156–157 ustawy AML; RODO (rozporządzenie 2016/679)

Pełna wersja odpowiedzi (270 słów) dostępna w pełnej wersji e-booka. Kup e-book

W potocznym rozumieniu „pranie pieniędzy" to proces, w którym nielegalnie zdobyte pieniądze (lub inne wartości majątkowe) wprowadza się do legalnego obrotu tak, by ukryć ich przestępcze pochodzenie i nadać im pozory legalności — by można było z nich swobodnie korzystać, nie wzbudzając podejrzeń. Sama nazwa nawiązuje do „prania brudnej bielizny": tak jak pierze się ubrania, by były czyste, tak „pierze się" pieniądze, by ukryć ich „brudne" źródło. Proceder przebiega zazwyczaj w trzech etapach: umieszczenia środków w systemie finansowym, ich maskowania poprzez liczne transakcje, a następnie integracji jako pozornie legalnego dochodu.

Pełna wersja odpowiedzi (170 słów) dostępna w pełnej wersji e-booka. Kup e-book

W potocznym rozumieniu „finansowanie terroryzmu" to przekazywanie lub gromadzenie środków (pieniędzy lub innych wartości majątkowych) z zamiarem ich wykorzystania — lub ze świadomością, że mogą zostać wykorzystane — do popełnienia przestępstwa o charakterze terrorystycznym albo do wspierania organizacji terrorystycznych. Nie musi chodzić o sfinansowanie konkretnego zamachu; wystarczy, że środki są przeznaczone na działalność terrorystyczną w ogóle: szkolenia, rekrutację, propagandę, zakup broni czy utrzymanie członków organizacji. Co ważne, środki te mogą pochodzić zarówno ze źródeł nielegalnych, jak i całkowicie legalnych (np. z legalnego biznesu czy darowizn).

Podstawa prawna: art. 165a KK; art. 2 ust. 2 pkt 6 ustawy AML

Pełna wersja odpowiedzi (142 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Podejrzane działania" to wszelkie transakcje, zachowania klientów lub okoliczności, które budzą uzasadnione podejrzenie związku z praniem pieniędzy lub finansowaniem terroryzmu. Nie muszą wprost wskazywać na przestępstwo — wystarczy, że odbiegają od typowego profilu klienta, nie mają jasnego uzasadnienia ekonomicznego lub są nietypowe w danych okolicznościach. Przykłady: nietypowe operacje gotówkowe, skomplikowane struktury transakcji bez celu gospodarczego, powiązania z krajami wysokiego ryzyka, nagła zmiana zachowania klienta czy próby uniknięcia identyfikacji. Instytucja obowiązana, która poweźmie uzasadnione podejrzenie, ma obowiązek niezwłocznie zawiadomić GIIF.

Podstawa prawna: art. 50, art. 34 ust. 1 pkt 4, art. 72, art. 74, art. 86, art. 89 ust. 1, art. 90 ustawy AML

Pełna wersja odpowiedzi (336 słów) dostępna w pełnej wersji e-booka. Kup e-book

Proces prania pieniędzy opisuje się klasycznie w trzech etapach. Pierwszy to **lokowanie (placement)** — wprowadzenie nielegalnej gotówki do systemu finansowego (np. wpłata na rachunek, zakup żetonów w kasynie). Drugi to **maskowanie (layering)** — seria transakcji, która ma zatrzeć ślady i zerwać powiązanie z pierwotnym przestępstwem (np. przelewy między rachunkami w różnych krajach, zakup i sprzedaż aktywów). Trzeci to **integracja (integration)** — wprowadzenie „wypranych" środków do legalnej gospodarki jako pozornie uczciwego dochodu (np. inwestycje, zakup luksusowych dóbr). W praktyce etapy te bywają uproszczone lub nakładają się na siebie.

Pełna wersja odpowiedzi (210 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Smurfing" to technika prania pieniędzy polegająca na podzieleniu dużej kwoty nielegalnych środków na wiele drobnych wpłat lub transakcji, które pojedynczo nie przekraczają progów raportowania i nie wzbudzają podejrzeń. Celem jest uniknięcie obowiązku zgłoszenia transakcji (w Polsce — do GIIF) lub obejście procedur AML. Drobne operacje wykonują tzw. „smurfy" — osoby podstawione (świadome lub nie), nierzadko działające za drobną opłatą. Przykład: zamiast jednej wpłaty 100 000 zł sprawca rozbija ją na 50 wpłat po 2000 zł dokonywanych przez różne osoby w różnych oddziałach lub wpłatomatach.

Pełna wersja odpowiedzi (182 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Structuring" (strukturyzacja) to — podobnie jak smurfing — technika polegająca na dzieleniu większych kwot na mniejsze transakcje w celu uniknięcia obowiązku zgłoszenia lub identyfikacji. W praktyce oba terminy bywają używane zamiennie, choć „structuring" akcentuje bardziej zaplanowane, wyrafinowane działania, ukrywające nie tylko sam transfer, lecz także powiązania między transakcjami. Może obejmować wpłaty poniżej progu w różnych bankach, przelewy na liczne rachunki, korzystanie z różnych osób i firm („słupów") oraz zmianę formy aktywów (np. gotówka na kryptowaluty, a następnie na nieruchomości). Ustawa AML nie definiuje tego pojęcia wprost, ale takie działania mieszczą się w definicji prania pieniędzy.

Pełna wersja odpowiedzi (225 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucje obowiązane to podmioty, którym ustawa AML nakazuje aktywnie zapobiegać wykorzystywaniu ich działalności do prania pieniędzy i finansowania terroryzmu. Pełnią one rolę „strażników" systemu finansowego: identyfikują klientów, monitorują transakcje i zgłaszają podejrzenia do GIIF. Katalog tych podmiotów jest zamknięty i wymieniony w jednym przepisie ustawy. Znajdują się w nim m.in. banki, SKOK-i, instytucje płatnicze i pieniądza elektronicznego, firmy inwestycyjne i fundusze, zakłady ubezpieczeń na życie, kantory tradycyjne i kantory walut wirtualnych (kryptowalut), notariusze, adwokaci, radcowie prawni i doradcy podatkowi (w określonym zakresie), biura rachunkowe, pośrednicy nieruchomości, podmioty z branży hazardowej, instytucje pożyczkowe i lombardy, a także przedsiębiorcy przyjmujący gotówkę od 10 000 euro. O statusie decyduje nie nazwa firmy, lecz faktycznie wykonywana działalność.

Pełna wersja odpowiedzi (397 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie zna pojęcia „FinTech". O tym, czy startup technologiczno-finansowy jest instytucją obowiązaną, decyduje to, jaką działalność faktycznie prowadzi — a nie to, że działa cyfrowo. Instytucją obowiązaną będzie np. instytucja płatnicza, instytucja pieniądza elektronicznego, firma inwestycyjna, giełda lub kantor kryptowalut, instytucja pożyczkowa (także w modelu „kup teraz, zapłać później"), neobank działający na licencji bankowej czy platforma inwestycyjnego crowdfundingu. Decyduje katalog z ustawy AML: jeśli usługa mieści się w jednej z kategorii, podmiot ma pełne obowiązki AML, niezależnie od tego, że świadczy je przez aplikację. Samo bycie „FinTechem" niczego nie przesądza — każdy model wymaga indywidualnej analizy.

Pełna wersja odpowiedzi (267 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Podmioty prowadzące działalność w zakresie walut wirtualnych — czyli giełdy i kantory kryptowalut oraz dostawcy portfeli — są instytucjami obowiązanymi i mają pełen zestaw obowiązków AML: muszą identyfikować i weryfikować klientów, oceniać ryzyko, prowadzić wewnętrzną procedurę AML, zgłaszać podejrzane transakcje do GIIF i przechowywać dokumentację. Dodatkowo taka działalność jest działalnością regulowaną — wymaga wpisu do rejestru działalności w zakresie walut wirtualnych prowadzonego przez wyznaczony organ Krajowej Administracji Skarbowej. Uwaga: wpis ma charakter ewidencyjny — to nie jest licencja ani nadzór nad bezpieczeństwem finansowym klientów, lecz jedynie warunek legalnego prowadzenia działalności i objęcie reżimem AML.

Pełna wersja odpowiedzi (427 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Analityk AML" i „AMLRO" (Anti-Money Laundering Reporting Officer) to określenia z praktyki rynkowej — polska ustawa AML ich nie definiuje. Ustawa mówi natomiast o konkretnych funkcjach: o kadrze kierowniczej odpowiedzialnej za obowiązki AML, o wyznaczonym członku zarządu oraz — co najbliższe roli „AMLRO" — o pracowniku na kierowniczym stanowisku, który odpowiada za zgodność i przekazuje zawiadomienia do GIIF. Analityk AML to z kolei stanowisko operacyjne: monitoruje transakcje, analizuje alerty, prowadzi pogłębione analizy podejrzanych przypadków, weryfikuje klientów (KYC) i przygotowuje rekomendacje zgłoszeń do GIIF. Pracuje pod nadzorem osoby wyznaczonej ustawowo. W mniejszych podmiotach wszystkie te role może łączyć jedna osoba.

Pełna wersja odpowiedzi (330 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie wskazuje jednej „osoby od AML", lecz rozdziela odpowiedzialność na kilka ról. Po pierwsze, instytucja wyznacza kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków AML. Po drugie, jeśli działa zarząd, wyznacza się spośród jego członków osobę odpowiedzialną za wdrażanie tych obowiązków — to „właściciel" tematu na poziomie zarządu. Po trzecie, wyznacza się pracownika na kierowniczym stanowisku, który dba o bieżącą zgodność i przekazuje zawiadomienia do GIIF (odpowiednik AML officera). W działalności jednoosobowej wszystkie te zadania wykonuje sam przedsiębiorca. Osoby pełniące te funkcje powinny mieć odpowiednią wiedzę o ryzyku prania pieniędzy.

Pełna wersja odpowiedzi (309 słów) dostępna w pełnej wersji e-booka. Kup e-book

Generalny Inspektor Informacji Finansowej (GIIF) to polska jednostka analityki finansowej (FIU) — organ odpowiedzialny za przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, działający w strukturze Ministerstwa Finansów. GIIF zbiera i analizuje informacje o transakcjach i wartościach majątkowych podejrzanych o związek z przestępstwem, może wstrzymywać transakcje i blokować rachunki, przekazuje materiały prokuraturze i innym organom, współpracuje z zagranicznymi FIU, opracowuje krajową ocenę ryzyka, kontroluje instytucje obowiązane i nakłada kary administracyjne. To do GIIF instytucje obowiązane kierują zawiadomienia o podejrzanych transakcjach. Zadania GIIF realizuje wyodrębniona komórka w urzędzie obsługującym ministra finansów (Departament Informacji Finansowej).

Pełna wersja odpowiedzi (287 słów) dostępna w pełnej wersji e-booka. Kup e-book

GIIF jest centralnym punktem polskiego systemu AML/CFT. Jako jednostka analityki finansowej zbiera i analizuje zgłoszenia od instytucji obowiązanych, decyduje o wstrzymaniu transakcji lub blokadzie rachunku, przekazuje materiały organom ścigania i wymienia informacje z jednostkami współpracującymi (Policja, ABW, KNF, KAS) oraz z zagranicznymi FIU. To GIIF opracowuje krajową ocenę ryzyka i strategię przeciwdziałania, kontroluje instytucje obowiązane i nakłada kary. Funkcję koordynacyjną wzmacnia Komitet Bezpieczeństwa Finansowego — organ opiniodawczo-doradczy działający przy ministrze finansów, w którym GIIF odgrywa wiodącą rolę i który spina współpracę instytucji w sprawach AML/CFT.

Pełna wersja odpowiedzi (242 słów) dostępna w pełnej wersji e-booka. Kup e-book

GIIF jest głównym organem kontroli AML, ale nie jedynym. W ramach swojego nadzoru lub kontroli przestrzeganie przepisów AML/CFT sprawdzają także inne organy — zależnie od rodzaju instytucji obowiązanej. Banki, ubezpieczycieli, firmy inwestycyjne, instytucje płatnicze i podobne podmioty kontroluje Komisja Nadzoru Finansowego (KNF). Kantory walut nadzoruje Prezes NBP. SKOK-i kontroluje Krajowa SKOK, notariuszy — prezesi sądów apelacyjnych, stowarzyszenia — wojewodowie lub starostowie, fundacje — właściwi ministrowie lub starostowie, a pozostałe instytucje obowiązane — naczelnicy urzędów celno-skarbowych. Dzięki temu każdy typ instytucji obowiązanej ma przypisany organ kontroli właściwy dla swojej branży.

Pełna wersja odpowiedzi (211 słów) dostępna w pełnej wersji e-booka. Kup e-book

Środki bezpieczeństwa finansowego to zestaw czynności, które instytucja obowiązana musi wykonać wobec klienta, aby ograniczyć ryzyko prania pieniędzy i finansowania terroryzmu. Obejmują one cztery podstawowe działania: identyfikację klienta i weryfikację jego tożsamości; ustalenie, kto jest beneficjentem rzeczywistym (czyli osobą realnie kontrolującą klienta), wraz z poznaniem struktury własności i kontroli; ocenę celu i charakteru relacji z klientem; oraz bieżące monitorowanie tej relacji, w tym analizę transakcji i aktualizację posiadanych danych. Dodatkowo, jeśli klient działa przez pełnomocnika lub reprezentanta, instytucja identyfikuje i weryfikuje także tę osobę oraz jej umocowanie do działania. To nie jednorazowa formalność przy zawarciu umowy, lecz proces trwający przez cały okres współpracy z klientem.

Pełna wersja odpowiedzi (367 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana musi zastosować środki bezpieczeństwa finansowego przede wszystkim wtedy, gdy nawiązuje z klientem stałą relację (stosunek gospodarczy) oraz gdy przeprowadza jednorazową transakcję okazjonalną przekraczającą ustawowy próg (co do zasady 15 000 euro). Obowiązek powstaje także — niezależnie od jakiejkolwiek kwoty — w dwóch sytuacjach: gdy pojawia się podejrzenie prania pieniędzy lub finansowania terroryzmu oraz gdy instytucja ma wątpliwości co do prawdziwości lub kompletności posiadanych danych klienta. Środki stosuje się również wobec dotychczasowych klientów, gdy zmienia się charakter relacji albo dane klienta lub beneficjenta rzeczywistego. Niezastosowanie wymaganych środków oznacza, że instytucja nie może nawiązać relacji, a istniejącą powinna rozwiązać.

Pełna wersja odpowiedzi (385 słów) dostępna w pełnej wersji e-booka. Kup e-book

Stosunek gospodarczy to trwała relacja instytucji obowiązanej z klientem, związana z jej działalnością zawodową — na przykład prowadzenie rachunku bankowego, umowa o świadczenie usług płatniczych czy prowadzenie portfela walut wirtualnych. Transakcja okazjonalna to z kolei pojedyncza, jednorazowa operacja realizowana poza taką stałą relacją — na przykład jednorazowa wymiana waluty w kantorze albo wpłata gotówki. Rozróżnienie ma znaczenie praktyczne: przy stosunku gospodarczym instytucja stosuje pełen zakres środków bezpieczeństwa, w tym bieżące monitorowanie przez cały okres współpracy, niezależnie od kwoty. Przy transakcji okazjonalnej obowiązki uruchamiają się dopiero po przekroczeniu progu kwotowego (co do zasady 15 000 euro) albo gdy pojawi się podejrzenie prania pieniędzy.

Pełna wersja odpowiedzi (339 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podstawowy próg dla transakcji okazjonalnej to równowartość 15 000 euro lub więcej — po jego osiągnięciu instytucja obowiązana musi zastosować środki bezpieczeństwa finansowego. Obok niego ustawa przewiduje progi szczególne: 1 000 euro dla transferu środków pieniężnych oraz dla transakcji walutą wirtualną, 10 000 euro dla gotówkowych transakcji okazjonalnych u niektórych podmiotów (m.in. przedsiębiorców przyjmujących gotówkę), a także 2 000 euro przy obstawianiu stawek i odbiorze wygranych w branży hazardowej. Próg dotyczy zarówno pojedynczej operacji, jak i kilku powiązanych ze sobą operacji łącznie. Niezależnie od progów środki stosuje się zawsze przy podejrzeniu prania pieniędzy oraz przy wątpliwościach co do danych klienta.

Pełna wersja odpowiedzi (420 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dla transakcji okazjonalnej z wykorzystaniem waluty wirtualnej próg wynosi równowartość 1 000 euro lub więcej. Dotyczy to podmiotów świadczących usługi w zakresie walut wirtualnych — m.in. wymiany kryptowalut na środki płatnicze, wymiany między kryptowalutami, pośrednictwa w takiej wymianie oraz prowadzenia portfeli kryptowalutowych. Próg odnosi się jednak wyłącznie do transakcji okazjonalnych. Jeśli klient nawiązuje stałą relację (np. zakłada konto na giełdzie lub portfel kryptowalut), środki bezpieczeństwa stosuje się od początku, bez względu na kwotę. Środki obowiązują też zawsze przy podejrzeniu prania pieniędzy lub wątpliwościach co do danych klienta — wówczas próg 1 000 euro nie ma znaczenia.

Pełna wersja odpowiedzi (368 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Przy podejrzeniu prania pieniędzy lub finansowania terroryzmu instytucja obowiązana musi zastosować środki bezpieczeństwa finansowego niezależnie od wartości transakcji, jej rodzaju oraz tego, czy z klientem łączy ją stała relacja, czy tylko jednorazowa operacja. Żaden próg kwotowy ani zwolnienie wówczas nie obowiązuje — środki stosuje się nawet przy bardzo niskich kwotach. Ta sama zasada dotyczy sytuacji, gdy instytucja ma wątpliwości co do prawdziwości lub kompletności danych klienta. Co istotne, samo zastosowanie środków to nie wszystko: podejrzenie prania pieniędzy uruchamia także dalsze obowiązki, przede wszystkim zawiadomienie Generalnego Inspektora Informacji Finansowej, a w uzasadnionych przypadkach wstrzymanie transakcji.

Pełna wersja odpowiedzi (308 słów) dostępna w pełnej wersji e-booka. Kup e-book

Identyfikacja klienta to pierwszy etap stosowania środków bezpieczeństwa finansowego. Polega na ustaleniu danych identyfikacyjnych klienta na podstawie informacji przekazanych przez niego samego lub uzyskanych z innych wiarygodnych źródeł. Najprościej mówiąc: jest to odpowiedź na pytanie „kim jest mój klient?". Zakres zbieranych danych zależy od tego, czy klientem jest osoba fizyczna, osoba prawna, czy jednostka organizacyjna nieposiadająca osobowości prawnej. Identyfikacji podlega też osoba upoważniona do działania w imieniu klienta (np. pełnomocnik) oraz beneficjent rzeczywisty. Identyfikację należy odróżnić od weryfikacji tożsamości, która jest kolejnym krokiem i polega na potwierdzeniu prawdziwości zebranych danych. Sama identyfikacja oznacza tylko zebranie informacji, jeszcze bez ich sprawdzania.

Pełna wersja odpowiedzi (318 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy identyfikacji osoby fizycznej należy ustalić: imię i nazwisko, obywatelstwo, numer PESEL (a gdy nie został nadany — datę i państwo urodzenia) oraz serię i numer dokumentu tożsamości. Adres zamieszkania pozyskuje się tylko wtedy, gdy instytucja obowiązana tę informację posiada — nie ma obowiązku jej „wymuszania". Jeśli klient prowadzi działalność gospodarczą, dodatkowo ustala się nazwę (firmę), NIP oraz adres głównego miejsca wykonywania działalności. To jest zebranie danych (identyfikacja); odrębnym krokiem jest ich potwierdzenie (weryfikacja tożsamości), np. na podstawie dowodu osobistego lub paszportu.

Pełna wersja odpowiedzi (238 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy identyfikacji osoby prawnej (lub jednostki organizacyjnej nieposiadającej osobowości prawnej) ustala się: nazwę (firmę), formę organizacyjną (np. spółka z o.o., spółka akcyjna, fundacja), adres siedziby lub prowadzenia działalności oraz NIP. Gdy NIP nie został nadany, w jego miejsce ustala się państwo rejestracji, nazwę właściwego rejestru oraz numer i datę rejestracji. Trzeba też ustalić dane osoby reprezentującej podmiot (imię i nazwisko oraz PESEL lub datę urodzenia). Niezależnie od tego instytucja obowiązana identyfikuje beneficjenta rzeczywistego i ustala strukturę własności i kontroli klienta.

Pełna wersja odpowiedzi (197 słów) dostępna w pełnej wersji e-booka. Kup e-book

Weryfikacja tożsamości to drugi krok, następujący po identyfikacji. Polega na potwierdzeniu, że zebrane wcześniej dane są prawdziwe — czyli że klient rzeczywiście jest tym, za kogo się podaje. Weryfikacji dokonuje się na podstawie dokumentu tożsamości (dowód osobisty, paszport), aktualnego wyciągu z właściwego rejestru (np. KRS, CEIDG) albo innych informacji z wiarygodnego i niezależnego źródła, w tym środków identyfikacji elektronicznej lub usług zaufania. W praktyce stosuje się m.in. sprawdzenie autentyczności dokumentu, porównanie danych z rejestrami publicznymi, przelew weryfikacyjny czy wideoweryfikację. Co do zasady tożsamość potwierdza się przed nawiązaniem relacji lub przeprowadzeniem transakcji.

Pełna wersja odpowiedzi (258 słów) dostępna w pełnej wersji e-booka. Kup e-book

Pełnomocnik (osoba upoważniona do działania w imieniu klienta) podlega zarówno identyfikacji, jak i weryfikacji. Identyfikacja to ustalenie jego danych: imienia i nazwiska, obywatelstwa, numeru PESEL (lub daty i państwa urodzenia) oraz serii i numeru dokumentu tożsamości. Weryfikacja to potwierdzenie tych danych na podstawie dokumentu tożsamości lub innego wiarygodnego źródła. Dodatkowo instytucja obowiązana musi sprawdzić umocowanie pełnomocnika, czyli czy faktycznie ma on prawo działać w imieniu klienta — najczęściej na podstawie pełnomocnictwa lub wpisu w rejestrze (np. KRS). Obowiązki te powstają tylko wtedy, gdy pełnomocnik rzeczywiście występuje w relacji z instytucją obowiązaną.

Pełna wersja odpowiedzi (210 słów) dostępna w pełnej wersji e-booka. Kup e-book

Jednym ze środków bezpieczeństwa finansowego jest poznanie celu i zamierzonego charakteru relacji z klientem — czyli ustalenie, po co klient chce nawiązać współpracę i jak zamierza z niej korzystać. W praktyce instytucja obowiązana pyta m.in. o powód nawiązania relacji, rodzaj usług, przewidywaną częstotliwość i wartość transakcji, a przy wyższym ryzyku także o źródło środków. Zakres informacji zależy od poziomu ryzyka — im wyższe, tym więcej trzeba ustalić. Uzyskane informacje należy udokumentować; służą one także do bieżącego monitorowania relacji i oceny, czy transakcje klienta są z nią zgodne.

Pełna wersja odpowiedzi (184 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gdy klientem jest osoba prawna lub jednostka organizacyjna, instytucja obowiązana musi ustalić dane osoby działającej w jej imieniu oraz zweryfikować jej tożsamość i umocowanie. Umocowanie to potwierdzenie, że dana osoba faktycznie ma prawo reprezentować klienta. Sprawdza się je przede wszystkim na podstawie odpisu z KRS (kto i w jaki sposób reprezentuje podmiot), a w razie potrzeby także umowy spółki lub statutu, pełnomocnictwa, uchwały właściwego organu albo zaświadczenia z CEIDG. Instytucja powinna upewnić się, że sposób reprezentacji (np. jednoosobowo czy dwóch członków zarządu łącznie) jest zachowany, oraz aktualizować te dane w trakcie trwania relacji.

Pełna wersja odpowiedzi (233 słów) dostępna w pełnej wersji e-booka. Kup e-book

Minimalny zakres danych zależy od rodzaju klienta. Dla osoby fizycznej są to: imię i nazwisko, obywatelstwo, PESEL (lub data i państwo urodzenia) oraz seria i numer dokumentu tożsamości. Dla osoby prawnej: nazwa (firma), forma organizacyjna, adres siedziby lub prowadzenia działalności, NIP oraz dane osoby reprezentującej. Dodatkowo identyfikuje się osobę upoważnioną do działania w imieniu klienta i beneficjenta rzeczywistego. To są jednak wymagania minimalne — przy wyższym ryzyku trzeba zebrać więcej, a sama identyfikacja zawsze musi być uzupełniona o weryfikację tożsamości.

Pełna wersja odpowiedzi (194 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Ustawa różnicuje zakres identyfikacji według rodzaju klienta: inny zestaw danych zbiera się dla osoby fizycznej, a inny dla osoby prawnej lub jednostki organizacyjnej. Niezależnie od rodzaju klienta ustala się też dane osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego. Poza zakresem danych różni się również intensywność stosowania środków: przy niskim ryzyku można stosować środki uproszczone (węższy zakres, rzadsza aktualizacja), a przy wysokim — wzmożone (szerszy zakres, np. źródło majątku). W każdym przypadku trzeba jednak zebrać ustawowe minimum danych identyfikacyjnych.

Pełna wersja odpowiedzi (246 słów) dostępna w pełnej wersji e-booka. Kup e-book

Co do zasady identyfikacja klienta jest obowiązkowa przed nawiązaniem relacji lub przeprowadzeniem transakcji okazjonalnej. Ustawa dopuszcza wąski wyjątek dotyczący pieniądza elektronicznego: przy spełnieniu rygorystycznych warunków ograniczających ryzyko (m.in. niskie limity kwotowe, brak możliwości zasilenia anonimowym pieniądzem elektronicznym, bieżące monitorowanie transakcji) można odstąpić od stosowania niektórych środków bezpieczeństwa finansowego. Można też — przy niskim ryzyku — stosować środki uproszczone, ale nie zwalnia to z zebrania minimalnego zakresu danych. Całkowite pominięcie identyfikacji jest możliwe wyłącznie w wąskich, ustawowo określonych przypadkach.

Pełna wersja odpowiedzi (285 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML skupia się na identyfikacji i weryfikacji klienta, a nie odbiorcy płatności. Nie ma więc ogólnego obowiązku identyfikowania każdego odbiorcy, który nie jest klientem instytucji obowiązanej. Istnieją jednak obowiązki pośrednie. W usługach płatniczych unijne rozporządzenie o informacjach towarzyszących transferom środków pieniężnych (tzw. Travel Rule) wymaga, by przekazom towarzyszyły określone dane o płatniku i odbiorcy. Ponadto w ramach monitorowania transakcji dane odbiorcy bywają istotne dla oceny ryzyka, a każda strona transakcji — w tym odbiorca — musi być sprawdzana pod kątem list sankcyjnych. Zakres obowiązków zależy więc od rodzaju usługi, kwoty i ryzyka.

Pełna wersja odpowiedzi (351 słów) dostępna w pełnej wersji e-booka. Kup e-book

Publicznie dostępne rejestry to jedno z dopuszczonych źródeł weryfikacji tożsamości — ustawa traktuje je jako wiarygodne i niezależne źródło danych. Najczęściej wykorzystuje się KRS, CEIDG i Centralny Rejestr Beneficjentów Rzeczywistych, a także rejestry zagraniczne. Korzystając z nich, należy upewnić się, że dane są aktualne, kompletne i zgodne z informacjami od klienta, oraz udokumentować fakt sprawdzenia. Ważne: sama informacja z CRBR nie wystarcza do weryfikacji beneficjenta rzeczywistego — trzeba podjąć dodatkowe czynności. Gdy dane z rejestru są rozbieżne z informacjami klienta, instytucja wyjaśnia rozbieżność i — w razie potrzeby — zgłasza ją do organu prowadzącego rejestr.

Pełna wersja odpowiedzi (270 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa nie narzuca jednej metody weryfikacji — wskazuje dopuszczalne źródła i wymaga, by metoda była adekwatna do ryzyka i skutecznie potwierdzała tożsamość. Najczęściej tożsamość potwierdza się na podstawie dokumentu tożsamości (dowód, paszport, karta pobytu), danych z rejestrów publicznych (KRS, CEIDG, CRBR) albo innych wiarygodnych źródeł. Do tej ostatniej grupy należą m.in. przelew weryfikacyjny, wideoweryfikacja, kwalifikowany podpis elektroniczny, profil zaufany czy dostęp do informacji o rachunku (AIS). Przy usługach świadczonych zdalnie często łączy się kilka metod i stosuje wzmożone środki bezpieczeństwa.

Pełna wersja odpowiedzi (322 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zasady są takie same jak przy usługach świadczonych stacjonarnie — instytucja obowiązana musi ustalić ten sam zakres danych klienta i potwierdzić jego tożsamość. Różnica dotyczy sposobu weryfikacji: skoro klienta nie ma fizycznie, tożsamość potwierdza się metodami zdalnymi (np. wideoweryfikacja, przelew weryfikacyjny, profil zaufany lub kwalifikowany podpis elektroniczny, dostęp do informacji o rachunku). Ponieważ brak fizycznej obecności to według ustawy AML czynnik podwyższonego ryzyka, instytucja powinna ocenić, czy ryzyko zostało skutecznie ograniczone, a jeśli nie — zastosować wzmożone środki bezpieczeństwa finansowego. Cały czas obowiązuje też identyfikacja beneficjenta rzeczywistego i bieżące monitorowanie transakcji.

Pełna wersja odpowiedzi (384 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie ma obowiązku identyfikowania wszystkich użytkowników platformy. Obowiązek dotyczy tylko tych, którzy stają się klientami instytucji obowiązanej w rozumieniu ustawy AML — czyli nawiązują stosunki gospodarcze (np. zakładają konto, zawierają umowę), przeprowadzają transakcję okazjonalną powyżej progu albo gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu. Sam fakt przeglądania ofert czy rejestracji bez korzystania z usługi objętej ustawą nie uruchamia obowiązku identyfikacji. Jeśli więc platforma jedynie pośredniczy w prezentacji ofert i nie świadczy usług objętych ustawą (np. płatniczych), użytkowników nie trzeba identyfikować w rozumieniu AML. Identyfikować trzeba dopiero tych, którzy korzystają z usługi objętej ustawą.

Pełna wersja odpowiedzi (226 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zakres danych, które trzeba ustalić, jest taki sam jak przy obsłudze stacjonarnej. Różnica polega na sposobie weryfikacji tożsamości — bez fizycznej obecności klienta potwierdza się ją metodami zdalnymi: na podstawie środków identyfikacji elektronicznej, usług zaufania (np. profil zaufany, podpis kwalifikowany), wideoweryfikacji, przelewu weryfikacyjnego, dostępu do informacji o rachunku albo innych wiarygodnych i niezależnych źródeł. Ustawa nie narzuca jednej technologii — wskazuje cel: wiarygodne potwierdzenie danych. Ponieważ brak fizycznej obecności jest czynnikiem podwyższonego ryzyka, instytucja musi ocenić, czy ryzyko zostało ograniczone (np. środkiem identyfikacji elektronicznej), a jeśli nie — zastosować wzmożone środki bezpieczeństwa finansowego.

Pełna wersja odpowiedzi (277 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Ustawa AML dopuszcza identyfikację i weryfikację tożsamości za pomocą środków elektronicznych — jest to wprost przewidziane dla usług świadczonych na odległość. Tożsamość można potwierdzić m.in. przy użyciu środków identyfikacji elektronicznej i usług zaufania (profil zaufany, kwalifikowany podpis elektroniczny w rozumieniu eIDAS) albo innych wiarygodnych i niezależnych źródeł. W praktyce wykorzystuje się także wideoweryfikację, przelew weryfikacyjny czy dostęp do informacji o rachunku (AIS). Trzeba jednak pamiętać, że brak fizycznej obecności klienta to ustawowy czynnik podwyższonego ryzyka — jeśli nie ograniczono go w inny sposób (np. środkiem identyfikacji elektronicznej), należy zastosować wzmożone środki bezpieczeństwa finansowego.

Pełna wersja odpowiedzi (201 słów) dostępna w pełnej wersji e-booka. Kup e-book

Niska wartość transakcji nie zwalnia automatycznie z identyfikacji klienta. Jeżeli ocena ryzyka potwierdziła niższe ryzyko, instytucja może zastosować uproszczone środki bezpieczeństwa finansowego — np. rzadziej aktualizować dane lub ograniczyć intensywność monitorowania — ale wciąż musi ustalić minimalny zakres danych klienta. Pełne odstąpienie od identyfikacji jest możliwe tylko w wyjątkowym przypadku pieniądza elektronicznego, przy spełnieniu ściśle określonych warunków (m.in. niskie limity kwotowe, zakaz wykupu gotówkowego ponad próg). Niezależnie od wartości transakcji, gdy pojawia się podejrzenie prania pieniędzy lub finansowania terroryzmu, stosuje się pełne środki bezpieczeństwa.

Pełna wersja odpowiedzi (271 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana może wykonywać identyfikację klienta przy udziale innych podmiotów — zasadniczo w dwóch trybach. Po pierwsze, może korzystać z usług podmiotu trzeciego (np. innej instytucji obowiązanej), który już zastosował środki bezpieczeństwa i przekazuje niezbędne dokumenty. Po drugie, może powierzyć stosowanie tych środków podmiotowi działającemu w jej imieniu i na jej rzecz, na podstawie pisemnej umowy — taki podmiot (np. agent płatniczy) jest traktowany jak część instytucji. W obu przypadkach odpowiedzialność za prawidłową identyfikację pozostaje po stronie instytucji obowiązanej. Nie wolno korzystać z podmiotu trzeciego z siedzibą w państwie trzecim wysokiego ryzyka (poza wyjątkami grupowymi).

Pełna wersja odpowiedzi (321 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy usługach takich jak acquiring (obsługa płatności kartowych akceptanta) klientem instytucji obowiązanej jest akceptant — np. sklep — a nie poszczególni płatnicy płacący w tym sklepie. Środki bezpieczeństwa finansowego, w tym identyfikację i weryfikację, stosuje się więc wobec akceptanta: ustala się jego dane, beneficjenta rzeczywistego, ocenia ryzyko i monitoruje relację. Nie ma generalnego obowiązku identyfikowania każdego płatnika, chyba że zachodzą szczególne okoliczności (podejrzenie, wątpliwości co do danych). Niezależnie od tego transferom środków muszą towarzyszyć określone informacje o płatniku i odbiorcy — wynika to z odrębnego rozporządzenia UE o transferach środków pieniężnych.

Pełna wersja odpowiedzi (221 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wideoweryfikacja to zdalna metoda potwierdzenia tożsamości klienta przez wideorozmowę, podczas której weryfikuje się dokument tożsamości i porównuje wizerunek klienta z fotografią w dokumencie. Jest to dopuszczalny sposób weryfikacji „bez fizycznej obecności" w ramach ustawy AML. UKNF wskazał dobre praktyki dla tego rozwiązania: m.in. uprzednią analizę ryzyka, szczegółową procedurę, wysoką jakość obrazu i dźwięku, sprawdzenie autentyczności dokumentu, odpowiednie przeszkolenie personelu, rejestrację i bezpieczne przechowywanie nagrań oraz zgodność z RODO. Stanowiska UKNF nie są źródłem prawa powszechnie obowiązującego, ale wyznaczają standard oczekiwany przez nadzór wobec instytucji nadzorowanych przez KNF.

Pełna wersja odpowiedzi (299 słów) dostępna w pełnej wersji e-booka. Kup e-book

Usługa AIS (dostęp do informacji o rachunku, znana z PSD2) pozwala — za zgodą klienta — pobrać dane o jego rachunku bankowym i porównać je z danymi podanymi przy identyfikacji. Zgodność potwierdza, że klient dysponuje rachunkiem prowadzonym na jego dane, co wspiera weryfikację tożsamości. Mieści się to w art. 37 ustawy AML jako informacja z „wiarygodnego i niezależnego źródła". AIS jest szybki i wygodny, ale zwykle traktuje się go jako element szerszego procesu, a nie jedyną metodę — zwłaszcza przy wyższym ryzyku, gdzie potrzebne są dodatkowe środki. Wykorzystanie AIS musi być zgodne z RODO i wymaga wyraźnej zgody klienta.

Pełna wersja odpowiedzi (213 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przelew weryfikacyjny polega na tym, że klient wykonuje przelew na niewielką kwotę z rachunku prowadzonego na jego dane na rachunek instytucji obowiązanej. Instytucja sprawdza, czy dane nadawcy (imię i nazwisko lub nazwa firmy, numer rachunku) zgadzają się z danymi podanymi przy identyfikacji. Skoro klient dysponuje rachunkiem prowadzonym na swoje dane — uprzednio zweryfikowanym przez bank — potwierdza to jego tożsamość. Metoda jest prosta, szybka i tania, ale bywa łączona z innymi środkami, bo nie wyklucza wykorzystania rachunku założonego na cudze dane. Mieści się w art. 37 ustawy AML jako weryfikacja na podstawie wiarygodnego i niezależnego źródła.

Podstawa prawna: Przelew weryfikacyjny to weryfikacja na podstawie „dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła" (art. 37 ust. 1 ustawy AML). Wiarygodność wynika z faktu, że bank prowadzący rachunek wcześniej zastosował wobec klienta własne środki bezpieczeństwa finansowego

Pełna wersja odpowiedzi (178 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zasadą jest, że weryfikację tożsamości przeprowadza się przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej. Wyjątkowo weryfikację można zakończyć dopiero w trakcie nawiązywania relacji, jeżeli łącznie: jest to konieczne dla zapewnienia ciągłości działalności oraz występuje niskie ryzyko prania pieniędzy i finansowania terroryzmu. Wtedy weryfikacja musi nastąpić w możliwie krótkim terminie. Wyjątek dotyczy tylko zakończenia weryfikacji — sam proces identyfikacji trzeba rozpocząć przed nawiązaniem relacji — i nie obejmuje transakcji okazjonalnych, przy których weryfikacja musi się zakończyć przed transakcją.

Pełna wersja odpowiedzi (199 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ocena ryzyka instytucji obowiązanej (ORI) to dokument, w którym instytucja identyfikuje i ocenia ryzyko prania pieniędzy oraz finansowania terroryzmu związane z jej działalnością. Wymaga tego ustawa AML. Proces przebiega w kilku krokach: najpierw identyfikujesz czynniki ryzyka (jacy są Twoi klienci, z jakich krajów, jakie oferujesz produkty i usługi, jakimi kanałami, jakie transakcje), następnie oceniasz poziom ryzyka (np. niskie, normalne, podwyższone), a na końcu ustalasz, jakie środki je ograniczą. Całość trzeba sporządzić na piśmie (papierowo lub elektronicznie), udokumentować przyjętą metodykę i wnioski oraz aktualizować w razie potrzeby, nie rzadziej niż co 2 lata. Ocena musi być proporcjonalna do charakteru i wielkości firmy — mała kancelaria czy biuro rachunkowe nie potrzebuje tak rozbudowanego dokumentu jak duży bank. Nie kopiuj gotowych wzorów bez dostosowania ich do swojej rzeczywistej działalności.

Pełna wersja odpowiedzi (379 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML wskazuje pięć kategorii czynników ryzyka, które trzeba wziąć pod uwagę w ocenie ryzyka instytucji obowiązanej. Są to czynniki dotyczące: klientów, państw lub obszarów geograficznych, produktów, usług oraz transakcji lub kanałów ich dostaw. To znaczy, że oceniasz m.in. jacy klienci korzystają z Twoich usług (osoby fizyczne, spółki, podmioty zagraniczne, osoby na eksponowanych stanowiskach politycznych), z jakimi krajami się to wiąże, jak ryzykowne są Twoje produkty i jakimi kanałami je oferujesz (osobiście, zdalnie, przez pośredników). Dodatkowo możesz wesprzeć się krajową oceną ryzyka i sprawozdaniami Komisji Europejskiej. Cała ocena musi być proporcjonalna do skali Twojej działalności, sporządzona pisemnie i aktualizowana nie rzadziej niż co 2 lata.

Pełna wersja odpowiedzi (253 słów) dostępna w pełnej wersji e-booka. Kup e-book

To dwa ujęcia tego samego ryzyka prania pieniędzy — przed i po zastosowaniu zabezpieczeń. Ryzyko inherentne (pierwotne) to ryzyko, które wynika z samej natury Twojej działalności, klientów, produktów i kanałów — zanim uwzględnisz jakiekolwiek mechanizmy kontrolne. Ryzyko rezydualne (resztkowe) to ryzyko, które pozostaje po wdrożeniu środków ograniczających, czyli procedur AML/CFT, monitorowania transakcji, środków bezpieczeństwa finansowego. Porównanie obu pozwala ocenić, czy Twoje zabezpieczenia naprawdę działają: jeśli ryzyko rezydualne nadal jest wysokie, trzeba je wzmocnić. Ustawa AML nie używa wprost tych nazw, ale rozróżnienie to jest standardem praktyki i jest wprost rekomendowane przez nadzór jako prawidłowy sposób budowania oceny ryzyka.

Pełna wersja odpowiedzi (270 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ocenę ryzyka instytucji obowiązanej trzeba aktualizować w razie potrzeby, ale nie rzadziej niż co 2 lata — to minimum wynikające z ustawy AML. „W razie potrzeby" oznacza, że jeśli wcześniej zajdą istotne zmiany, aktualizację należy przeprowadzić od razu, nie czekając do upływu dwóch lat. Takimi zmianami są np. nowe rodzaje klientów, wejście na nowe rynki, wprowadzenie nowych produktów lub usług, zmiany przepisów, nowe schematy przestępcze ujawnione w krajowej ocenie ryzyka albo wnioski z własnych zawiadomień przekazanych do GIIF. W praktyce dobrze jest też zaktualizować ocenę po publikacji nowej krajowej oceny ryzyka. Aktualizacja powinna być udokumentowana wraz z uzasadnieniem wprowadzonych zmian.

Pełna wersja odpowiedzi (284 słów) dostępna w pełnej wersji e-booka. Kup e-book

Krajowa ocena ryzyka (KOR) to dokument, który identyfikuje, ocenia i opisuje ryzyko prania pieniędzy oraz finansowania terroryzmu na poziomie całego państwa. Opracowuje ją Generalny Inspektor Informacji Finansowej (GIIF) we współpracy z Komitetem Bezpieczeństwa Finansowego, jednostkami współpracującymi (np. Policja, ABW, KNF) i instytucjami obowiązanymi. KOR opisuje metodykę, zjawiska i regulacje AML/CFT w Polsce, wskazuje poziom ryzyka w kraju oraz formułuje wnioski. Na jej podstawie powstaje krajowa strategia przeciwdziałania praniu pieniędzy. KOR jest weryfikowana i aktualizowana nie rzadziej niż co 2 lata, a jej jawna część jest publikowana w Biuletynie Informacji Publicznej. Instytucje obowiązane mogą i w praktyce powinny wykorzystywać KOR przy budowie własnej oceny ryzyka.

Pełna wersja odpowiedzi (297 słów) dostępna w pełnej wersji e-booka. Kup e-book

Krajowa ocena ryzyka jest weryfikowana i — w razie potrzeby — aktualizowana nie rzadziej niż co 2 lata. To minimalna częstotliwość: Generalny Inspektor Informacji Finansowej musi przygotować nową krajową ocenę ryzyka przynajmniej raz na dwa lata, ale może to zrobić wcześniej, jeśli zmieni się obraz zagrożeń — np. pojawią się nowe metody prania pieniędzy, nowe technologie, zmiany prawne czy sytuacja geopolityczna. Krajową ocenę ryzyka opracowuje GIIF we współpracy z Komitetem Bezpieczeństwa Finansowego, jednostkami współpracującymi i instytucjami obowiązanymi. Jej wyniki są przekazywane Komisji Europejskiej, państwom członkowskim i europejskim urzędom nadzoru, a jawna część publikowana w Biuletynie Informacji Publicznej.

Pełna wersja odpowiedzi (198 słów) dostępna w pełnej wersji e-booka. Kup e-book

Literalnie ustawa AML mówi, że instytucja obowiązana „może" uwzględniać krajową ocenę ryzyka oraz sprawozdanie Komisji Europejskiej przy ocenianiu własnego ryzyka — brzmi to fakultatywnie. W praktyce jednak pominięcie KOR jest trudne do obrony i ryzykowne. Krajowa ocena ryzyka zawiera wiedzę o schematach przestępczych, sektorach i obszarach podwyższonego ryzyka w Polsce, której pojedyncza firma sama by nie zebrała. Ponadto środki bezpieczeństwa finansowego trzeba stosować w sposób uwzględniający rozpoznane ryzyko, a trudno je prawidłowo rozpoznać bez odniesienia do KOR. Dlatego, choć formalnie jest to uprawnienie, organy nadzoru (GIIF, KNF) oczekują, że instytucje będą KOR uwzględniać, a jej zignorowanie może skończyć się zaleceniami pokontrolnymi.

Pełna wersja odpowiedzi (293 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zasada proporcjonalności oznacza, że środki AML/CFT mają być dopasowane do dwóch rzeczy: do poziomu rozpoznanego ryzyka oraz do charakteru i wielkości instytucji obowiązanej. Nie stosujesz tych samych, maksymalnie intensywnych działań wobec każdego klienta i każdej transakcji — koncentrujesz wysiłek tam, gdzie ryzyko jest największe. Wobec klientów niskiego ryzyka można stosować uproszczone środki bezpieczeństwa finansowego, a wobec klientów wysokiego ryzyka — wzmożone. Tak samo procedura wewnętrzna, monitorowanie transakcji czy szkolenia mają być adekwatne do skali działalności: mała firma nie potrzebuje aparatu jak duży bank. Proporcjonalność nie zwalnia jednak z obowiązków — zawsze trzeba stosować środki bezpieczeństwa finansowego, tylko w zakresie odpowiednim do ryzyka.

Pełna wersja odpowiedzi (244 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ocena ryzyka klienta polega na rozpoznaniu i przypisaniu każdemu klientowi poziomu ryzyka prania pieniędzy i finansowania terroryzmu (najczęściej: niskie, standardowe, wysokie), a następnie dostosowaniu do tego poziomu środków bezpieczeństwa finansowego. Rządzi tu kilka zasad. Ocena musi być indywidualna — nie wolno przypisywać kategorii ryzyka „hurtowo" całym grupom bez analizy konkretnego przypadku. Musi opierać się na zdefiniowanych czynnikach ryzyka (m.in. rodzaj klienta, obszar geograficzny, rodzaj produktów i usług, wartość transakcji, cel i charakter relacji). Musi być udokumentowana, tak aby instytucja mogła wykazać organom nadzoru, że zastosowane środki były adekwatne. Wreszcie — musi być proporcjonalna i na bieżąco aktualizowana, gdy zmieniają się okoliczności dotyczące klienta.

Pełna wersja odpowiedzi (390 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML wskazuje sześć grup czynników, które instytucja musi uwzględnić, oceniając ryzyko związane z relacją lub transakcją: rodzaj klienta, obszar geograficzny, przeznaczenie rachunku, rodzaj produktów i usług oraz sposób ich dystrybucji, poziom deponowanych wartości majątkowych lub wartość transakcji, a także cel, regularność i czas trwania relacji. To katalog otwarty — instytucja może dodać czynniki własne (np. nietypowe zachowanie klienta, status PEP, skomplikowana struktura właścicielska). Czynniki te działają w obie strony: jedne podnoszą ryzyko, inne je obniżają. Ocenę trzeba przeprowadzić indywidualnie dla każdego klienta i aktualizować, gdy zmieniają się okoliczności relacji.

Pełna wersja odpowiedzi (336 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie narzuca sztywnych kategorii ryzyka — wymaga jedynie, by środki bezpieczeństwa były proporcjonalne do rozpoznanego ryzyka. W praktyce stosuje się najczęściej trzy poziomy: niskie, standardowe (średnie) i wysokie; część instytucji dodaje kategorię ryzyka nieakceptowalnego, przy której odmawia współpracy. Instytucja sama opracowuje metodykę przypisywania kategorii — punktową, opisową albo macierzową — adekwatną do skali i charakteru jej działalności. Wynik oceny przekłada się na środki: niskie ryzyko może uzasadniać środki uproszczone, wysokie wymaga wzmożonych. Każda kategoryzacja musi być udokumentowana i regularnie aktualizowana.

Pełna wersja odpowiedzi (297 słów) dostępna w pełnej wersji e-booka. Kup e-book

Niskie ryzyko nie zwalnia z obowiązków AML — pozwala jedynie zastosować uproszczone środki bezpieczeństwa finansowego. Instytucja nadal musi zidentyfikować i zweryfikować klienta oraz monitorować relację, ale może zrobić to w węższym zakresie: np. rzadziej aktualizować dane, łagodniej monitorować transakcje, ograniczyć zakres dodatkowych informacji. Stosowanie środków uproszczonych jest możliwością, nie obowiązkiem, i wymaga udokumentowanej oceny ryzyka, która potwierdziła niższe ryzyko. Co istotne — środków uproszczonych nie wolno stosować w razie podejrzenia prania pieniędzy lub wątpliwości co do prawdziwości danych klienta. Gdy okoliczności wskażą wyższe ryzyko, trzeba natychmiast od nich odstąpić.

Pełna wersja odpowiedzi (300 słów) dostępna w pełnej wersji e-booka. Kup e-book

Klient o wysokim ryzyku wymaga wzmożonych środków bezpieczeństwa finansowego — działań bardziej rygorystycznych niż standardowe. Typowo oznacza to: pozyskanie dodatkowych informacji o kliencie i jego beneficjencie rzeczywistym, ustalenie źródła majątku i pochodzenia środków, intensywniejsze i częstsze monitorowanie transakcji, a często także uzyskanie zgody kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację relacji. W szczególnych sytuacjach — takich jak współpraca z PEP, klientem z państwa trzeciego wysokiego ryzyka czy w ramach relacji korespondenckich — ustawa AML nakłada dodatkowe, konkretne obowiązki. Jeżeli ryzyka nie da się odpowiednio ograniczyć, instytucja powinna odmówić współpracy lub ją zakończyć i rozważyć zawiadomienie GIIF.

Pełna wersja odpowiedzi (335 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ocena ryzyka klienta to proces ciągły, a nie jednorazowa czynność przy otwarciu relacji. Instytucja musi na bieżąco monitorować stosunki gospodarcze i dbać, by posiadane dane i informacje były aktualne. Ocenę aktualizuje się przede wszystkim wtedy, gdy zmienią się istotne okoliczności — dane klienta, beneficjent rzeczywisty, profil działalności, struktura właścicielska, cel relacji, status PEP — albo gdy pojawią się nietypowe transakcje czy nowe informacje (np. z mediów lub od organów). Częstotliwość przeglądów zależy od kategorii ryzyka: klientów wysokiego ryzyka weryfikuje się częściej. Każdą aktualizację i jej skutki dla stosowanych środków należy udokumentować.

Pełna wersja odpowiedzi (280 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak — dokumentowanie oceny ryzyka klienta jest bezwzględnym obowiązkiem ustawowym, a nie tylko dobrą praktyką. Instytucja musi udokumentować rozpoznane ryzyko i jego ocenę oraz zastosowane środki bezpieczeństwa finansowego, tak aby na żądanie organu nadzoru wykazać, że dobrane środki były adekwatne do poziomu ryzyka. Dokumentacja powinna obejmować m.in. zidentyfikowane czynniki ryzyka, przypisaną kategorię i jej uzasadnienie, zastosowane środki, datę oceny oraz osoby odpowiedzialne. Może być prowadzona w formie papierowej lub elektronicznej i podlega przechowywaniu przez 5 lat. Brak dokumentacji to typowe ustalenie kontroli i podstawa odpowiedzialności.

Pełna wersja odpowiedzi (268 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie wyznacza sztywnej częstotliwości przeglądu oceny ryzyka konkretnego klienta. Zamiast tego nakłada obowiązek bieżącego monitorowania relacji i utrzymywania aktualnych danych. Częstotliwość przeglądów powinna wynikać z kategorii ryzyka: klientów wysokiego ryzyka weryfikuje się częściej niż niskiego. Niezależnie od przyjętego cyklu, przegląd przeprowadza się zawsze, gdy zmienią się istotne okoliczności lub pojawią się nowe informacje o kliencie. Konkretny harmonogram — np. co rok dla wysokiego, rzadziej dla niskiego ryzyka — instytucja ustala we własnej procedurze wewnętrznej. Warto pamiętać, że ustawowy cykl „co najmniej co 2 lata" dotyczy oceny ryzyka całej instytucji, a nie każdego klienta.

Pełna wersja odpowiedzi (242 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zmiana istotnych okoliczności po stronie klienta uruchamia obowiązek ponownej oceny ryzyka. Dotyczy to m.in. zmiany danych klienta lub beneficjenta rzeczywistego, profilu czy zakresu działalności, struktury właścicielskiej, celu relacji, statusu PEP, a także pojawienia się nietypowych transakcji lub nowych informacji o kliencie. Instytucja powinna mieć mechanizmy wychwytujące takie zmiany, ocenić ich wpływ na ryzyko, w razie potrzeby zmienić kategorię klienta i dostosować środki bezpieczeństwa finansowego (np. wdrożyć wzmożone). Cały proces — przyczynę, analizę, decyzję i jej skutki — należy udokumentować. Ustawa AML nie wyznacza tu konkretnego terminu w dniach; obowiązuje wymóg działania bez zbędnej zwłoki.

Pełna wersja odpowiedzi (267 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Ustawa AML nie zakazuje narzędzi automatycznych, a w instytucjach przetwarzających duże wolumeny danych są one wręcz praktyczną koniecznością — przyspieszają ocenę, zwiększają spójność i ułatwiają wykrywanie nietypowych transakcji. Kluczowe jest jednak kilka warunków: automat nie może w pełni zastąpić człowieka — wyniki powinien weryfikować wykwalifikowany personel; systemy trzeba regularnie testować i walidować; ich działanie, reguły i wyniki należy dokumentować. Systemy muszą też uwzględniać ustawowe czynniki ryzyka oraz spełniać wymogi ochrony danych osobowych, w tym zasady dotyczące zautomatyzowanego podejmowania decyzji. Odpowiedzialność za prawidłową ocenę ryzyka zawsze pozostaje po stronie instytucji.

Pełna wersja odpowiedzi (293 słów) dostępna w pełnej wersji e-booka. Kup e-book

Transakcje transgraniczne wiążą się z reguły z wyższym ryzykiem — trudniej śledzić przepływy między jurysdykcjami i weryfikować kontrahentów zagranicznych. Ustawa AML wymaga uwzględnienia czynnika geograficznego w ocenie ryzyka. W praktyce trzeba ustalić kraje pochodzenia i przeznaczenia środków, ocenić poziom ryzyka danej jurysdykcji (korzystając m.in. z krajowej oceny ryzyka, wykazów państw wysokiego ryzyka Komisji Europejskiej, list FATF i sankcyjnych), a wobec transakcji powiązanych z państwami trzecimi wysokiego ryzyka zastosować wzmożone środki bezpieczeństwa finansowego. Szczególne, dodatkowe obowiązki dotyczą transgranicznych relacji korespondenckich oraz informacji towarzyszących transferom środków pieniężnych. Ocenę i jej podstawy należy udokumentować.

Pełna wersja odpowiedzi (291 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gotówka jest trudna do śledzenia i sprzyja anonimowości, dlatego transakcje gotówkowe traktuje się co do zasady jako podwyższone ryzyko — zwłaszcza przy wysokich kwotach. Ustawa AML wyznacza progi, po przekroczeniu których obowiązkowo stosuje się środki bezpieczeństwa finansowego (m.in. 10 000 euro dla gotówkowej transakcji okazjonalnej u przedsiębiorców, 2000 euro w branży hazardowej). Niezależnie od kwoty, środki te stosuje się zawsze w razie podejrzenia prania pieniędzy. Przy transakcjach gotówkowych warto zwracać uwagę na strukturyzowanie (dzielenie kwot), brak ekonomicznego uzasadnienia dla gotówki czy rozbieżność z profilem klienta. Ocenę ryzyka i podjęte działania należy dokumentować, a transakcje podejrzane — zgłaszać do GIIF.

Pełna wersja odpowiedzi (341 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ryzyka produktowe to podatność konkretnego produktu lub usługi na wykorzystanie do prania pieniędzy lub finansowania terroryzmu. Niektóre produkty są z natury bardziej narażone — np. sprzyjające anonimowości (karty przedpłacone, waluty wirtualne), umożliwiające szybkie transfery transgraniczne, związane z wysokimi kwotami (bankowość prywatna), oferowane zdalnie czy oparte na nowych technologiach. Rodzaj produktów i usług oraz sposób ich dystrybucji to jeden z ustawowych czynników ryzyka. Oceniając produkt, analizuje się jego cechy, kanał dystrybucji, profil klientów i istniejące mechanizmy kontrolne, a następnie wdraża środki ograniczające ryzyko: limity, ograniczenia funkcjonalności, wzmożone monitorowanie czy zatwierdzanie nowych produktów na wyższym szczeblu.

Pełna wersja odpowiedzi (344 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak — czynnik geograficzny to jeden z obowiązkowych elementów oceny ryzyka, wprost wskazany w ustawie AML. Niektóre państwa i regiony są obarczone wyższym ryzykiem ze względu na słabe systemy AML, wysoki poziom korupcji, niestabilność polityczną czy objęcie sankcjami. W ocenie trzeba ustalić, z jakimi jurysdykcjami związany jest klient i jego transakcje (kraj siedziby, działalności, pochodzenia i przeznaczenia środków), a następnie ocenić poziom ryzyka tych jurysdykcji, korzystając m.in. z krajowej oceny ryzyka, wykazów państw wysokiego ryzyka Komisji Europejskiej, list FATF i sankcyjnych. Wobec klientów i transakcji powiązanych z państwami wysokiego ryzyka stosuje się wzmożone środki bezpieczeństwa finansowego.

Pełna wersja odpowiedzi (268 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wzmożone środki bezpieczeństwa finansowego to bardziej rygorystyczne, dodatkowe działania, które instytucja obowiązana podejmuje wobec klientów i transakcji obciążonych wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu. Stosuje się je obowiązkowo zawsze tam, gdzie zidentyfikowano wyższe ryzyko, a także w ustawowo określonych sytuacjach: w relacjach z państwami trzecimi wysokiego ryzyka, w transgranicznych relacjach korespondenckich oraz wobec osób zajmujących eksponowane stanowiska polityczne (PEP). Typowe przykłady to: pozyskanie dodatkowych informacji o kliencie i beneficjencie rzeczywistym, ustalenie źródła majątku, uzyskanie zgody kadry kierowniczej wyższego szczebla na współpracę oraz częstszy i dokładniejszy monitoring transakcji. Celem jest lepsze zrozumienie i ograniczenie podwyższonego ryzyka, a nie samo utrudnienie obsługi klienta.

Pełna wersja odpowiedzi (393 słów) dostępna w pełnej wersji e-booka. Kup e-book

Co do zasady środki bezpieczeństwa finansowego są obowiązkowe, ale ustawa AML przewiduje wyjątki i modyfikacje. Po pierwsze, w ściśle określonych warunkach można odstąpić od ich stosowania wobec niektórych form pieniądza elektronicznego (niskie limity, brak anonimowego zasilania, wyłącznie zakup towarów i usług, bieżący monitoring). Po drugie, przy potwierdzonym niższym ryzyku instytucja może stosować środki uproszczone, czyli ograniczyć zakres i intensywność działań – ale nie zrezygnować z nich całkowicie. Po trzecie, gdy w ogóle nie można zastosować któregoś środka, instytucja nie nawiązuje relacji lub ją rozwiązuje. Odstępstwa stosuje się ostrożnie i tylko w przypadkach wyraźnie wskazanych w ustawie; nigdy nie wolno odstąpić od środków przy podejrzeniu prania pieniędzy lub finansowania terroryzmu.

Pełna wersja odpowiedzi (327 słów) dostępna w pełnej wersji e-booka. Kup e-book

Środki uproszczone można stosować wobec klientów, dla których ocena ryzyka potwierdziła niższe ryzyko prania pieniędzy i finansowania terroryzmu. W praktyce oznaczają one ograniczenie zakresu gromadzonych danych i dokumentów oraz zmniejszenie częstotliwości i intensywności monitoringu – nie zwalniają jednak z obowiązku stosowania środków w ogóle. Ustawa nie wskazuje sztywno, na czym mają polegać uproszczenia; instytucja sama określa je w wewnętrznej procedurze, dostosowując do profilu działalności i klientów, i musi je uzasadnić oceną ryzyka. Uproszczeń nie wolno stosować przy podejrzeniu prania pieniędzy lub finansowania terroryzmu ani gdy istnieją wątpliwości co do prawdziwości lub kompletności danych klienta. Zastosowane uproszczenia trzeba dokumentować i na bieżąco weryfikować.

Pełna wersja odpowiedzi (246 słów) dostępna w pełnej wersji e-booka. Kup e-book

Środki uproszczone można zastosować, gdy ocena ryzyka potwierdziła niższe ryzyko prania pieniędzy i finansowania terroryzmu. Ustawa AML podaje przykładowe okoliczności, m.in.: klient jest jednostką sektora finansów publicznych, przedsiębiorstwem państwowym lub spółką ze znaczącym udziałem Skarbu Państwa, spółką giełdową albo rezydentem państwa członkowskiego UE lub państwa o niskim poziomie korupcji; niska wartość transakcji (np. niska składka ubezpieczeniowa); uczestnictwo w programach emerytalnych (PPK, IKE, IKZE); produkty o ograniczonym ryzyku. To tylko przykłady – samo zaliczenie klienta do takiej kategorii nie przesądza automatycznie o zastosowaniu uproszczeń; zawsze konieczna jest indywidualna ocena ryzyka, a uproszczeń nie wolno stosować przy podejrzeniu prania pieniędzy lub finansowania terroryzmu.

Pełna wersja odpowiedzi (269 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy stosunkach gospodarczych lub transakcjach związanych z państwem trzecim wysokiego ryzyka (zidentyfikowanym przez Komisję Europejską) instytucja obowiązkowo stosuje wzmożone środki bezpieczeństwa finansowego. Musi przy tym podjąć co najmniej: pozyskanie dodatkowych informacji o kliencie i beneficjencie rzeczywistym oraz o charakterze relacji, ustalenie źródła majątku i pochodzenia środków, ustalenie przyczyn i okoliczności transakcji, uzyskanie zgody kadry kierowniczej wyższego szczebla oraz zintensyfikowanie monitoringu. Dodatkowo przy takich transakcjach trzeba zastosować co najmniej jedno działanie ograniczające ryzyko (np. zwiększone raportowanie lub ograniczenie zakresu relacji). Utworzenie oddziału lub przedstawicielstwa w takim państwie wymaga zezwolenia GIIF albo KNF.

Pełna wersja odpowiedzi (264 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nietypowa lub nadmiernie złożona struktura własnościowa klienta – oceniana z uwzględnieniem rodzaju i zakresu jego działalności – jest ustawową przesłanką wyższego ryzyka, która wymaga zastosowania wzmożonych środków bezpieczeństwa finansowego. W praktyce instytucja powinna pogłębić identyfikację i weryfikację klienta oraz beneficjenta rzeczywistego: pozyskać schemat własnościowy i dokumenty korporacyjne, zweryfikować dane w rejestrach (KRS, CEIDG, CRBR), ustalić uzasadnienie biznesowe takiej struktury oraz wzmocnić monitoring transakcji. Wszystkie czynności należy dokumentować. Jeżeli mimo wzmożonych środków nie da się ustalić beneficjenta rzeczywistego lub ryzyko pozostaje wysokie, instytucja odmawia nawiązania relacji albo ją rozwiązuje; przy podejrzeniu prania pieniędzy zawiadamia GIIF.

Pełna wersja odpowiedzi (275 słów) dostępna w pełnej wersji e-booka. Kup e-book

Korzystanie przez klienta z usług lub produktów bankowości prywatnej jest ustawową przesłanką wyższego ryzyka prania pieniędzy lub finansowania terroryzmu, dlatego instytucja stosuje wobec takiego klienta wzmożone środki bezpieczeństwa finansowego. Powinna m.in. dokładniej zweryfikować tożsamość klienta i beneficjenta rzeczywistego, pozyskać szczegółowe informacje o źródle majątku i pochodzeniu środków, przeprowadzić pogłębioną analizę transakcji oraz częściej monitorować relację. W praktyce dobrym standardem jest wymóg akceptacji kadry kierowniczej wyższego szczebla dla takiej relacji. Szczegółowe zasady postępowania wobec klientów bankowości prywatnej powinny być opisane w wewnętrznej procedurze AML/CFT.

Pełna wersja odpowiedzi (213 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Bez fizycznej obecności klienta” oznacza nawiązywanie lub utrzymywanie relacji albo przeprowadzanie transakcji okazjonalnej na odległość, bez bezpośredniego kontaktu z klientem. Ustawa AML traktuje to jako przesłankę wyższego ryzyka, ponieważ utrudnia weryfikację tożsamości. Co istotne – wzmożone środki są wymagane tylko wtedy, gdy to wyższe ryzyko nie zostało ograniczone w inny sposób, na przykład przez bezpieczną zdalną identyfikację: środki identyfikacji elektronicznej i usługi zaufania (kwalifikowany podpis elektroniczny, podpis zaufany, e-dowód, wideoweryfikacja). Jeżeli ryzyka nie da się ograniczyć takimi metodami, instytucja stosuje wzmożone środki – żąda dodatkowych dokumentów lub informacji, weryfikuje ich autentyczność i zwiększa intensywność monitoringu.

Pełna wersja odpowiedzi (222 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zlecanie przez nieznane lub niepowiązane z klientem podmioty trzecie transakcji, których beneficjentem jest klient, jest ustawową przesłanką wyższego ryzyka. Instytucja powinna zachować szczególną ostrożność: zidentyfikować i zweryfikować zarówno klienta, jak i zlecający podmiot trzeci oraz ich beneficjentów rzeczywistych, ustalić powiązania między nimi, zbadać cel i okoliczności transakcji oraz źródło środków, a także zintensyfikować monitoring. W razie podejrzenia prania pieniędzy lub finansowania terroryzmu zawiadamia GIIF. Jeżeli nie można zastosować któregoś ze środków bezpieczeństwa finansowego albo ryzyko pozostaje wysokie, instytucja odmawia przeprowadzenia transakcji lub nie nawiązuje relacji.

Pełna wersja odpowiedzi (236 słów) dostępna w pełnej wersji e-booka. Kup e-book

Objęcie relacją nowych produktów lub usług albo oferowanie ich przez nowe kanały dystrybucji lub z wykorzystaniem nowych rozwiązań technologicznych jest ustawową przesłanką wyższego ryzyka. Instytucja powinna najpierw ocenić ryzyko związane z nowym produktem, usługą, kanałem lub technologią – zanim wprowadzi je do oferty – a następnie zastosować wzmożone środki bezpieczeństwa finansowego (m.in. pozyskanie dodatkowych informacji o kliencie i źródle środków oraz intensywniejszy monitoring). Nowe produkty i kanały trzeba uwzględnić w okresowej ocenie ryzyka instytucji i opisać zasady postępowania z nimi w wewnętrznej procedurze AML/CFT.

Pełna wersja odpowiedzi (184 słów) dostępna w pełnej wersji e-booka. Kup e-book

Jeżeli instytucja nie może zastosować choćby jednego ze środków bezpieczeństwa finansowego – na przykład nie jest w stanie zweryfikować tożsamości klienta lub ustalić beneficjenta rzeczywistego – nie wolno jej „przymknąć oka”. Zgodnie z ustawą AML instytucja wówczas nie nawiązuje stosunków gospodarczych, nie przeprowadza transakcji okazjonalnej, nie przeprowadza transakcji przez rachunek bankowy, a istniejącą relację rozwiązuje. Dodatkowo musi ocenić, czy ta niemożność nie jest podstawą do zawiadomienia GIIF o podejrzeniu prania pieniędzy lub finansowania terroryzmu. Wyjątek dotyczy prawników i doradców podatkowych w wąskim zakresie ustalania sytuacji prawnej klienta w związku z postępowaniem sądowym lub poradą prawną.

Pełna wersja odpowiedzi (215 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wątpliwości co do prawdziwości lub kompletności danych klienta są samodzielną ustawową przesłanką stosowania środków bezpieczeństwa finansowego. Instytucja powinna ponownie zweryfikować tożsamość klienta (żądając dodatkowych dokumentów lub informacji, korzystając z wideoweryfikacji, przelewu weryfikacyjnego czy wiarygodnych baz danych), wyjaśnić przyczyny rozbieżności – na przykład między danymi klienta a rejestrami – i w razie potrzeby zastosować wzmożone środki. W takiej sytuacji nie wolno stosować środków uproszczonych. Jeżeli wątpliwości pozostają i nie da się zastosować któregoś ze środków, instytucja odmawia nawiązania relacji lub ją rozwiązuje oraz ocenia potrzebę zawiadomienia GIIF.

Pełna wersja odpowiedzi (199 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zasadą jest, że weryfikację tożsamości przeprowadza się przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej. Ustawa AML dopuszcza jednak wyjątek: weryfikacja może zostać zakończona w trakcie nawiązywania relacji, jeżeli łącznie jest to konieczne dla zapewnienia ciągłości działalności gospodarczej oraz występuje niskie ryzyko prania pieniędzy i finansowania terroryzmu. Wówczas weryfikację należy dokonać w możliwie najkrótszym terminie. Przykładowo klient może założyć rachunek online z podstawowymi funkcjami, a pełne uruchomienie usług następuje po potwierdzeniu tożsamości (np. przez wideoweryfikację lub dostarczenie dokumentów).

Pełna wersja odpowiedzi (197 słów) dostępna w pełnej wersji e-booka. Kup e-book

Jeżeli w trakcie współpracy okaże się, że klient podał nieprawdziwe dane lub podszył się pod inną osobę, instytucja nie może zastosować jednego z kluczowych środków – prawidłowej identyfikacji i weryfikacji tożsamości. Powinna wówczas niezwłocznie rozwiązać stosunki gospodarcze, przeanalizować dotychczasowe transakcje klienta oraz przekazać GIIF zawiadomienie o podejrzeniu prania pieniędzy lub finansowania terroryzmu. Jeżeli istnieje uzasadnione podejrzenie związku transakcji z praniem pieniędzy lub finansowaniem terroryzmu, instytucja może też wstrzymać transakcję lub doprowadzić do blokady rachunku. Całość działań i ustaleń należy udokumentować.

Pełna wersja odpowiedzi (207 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak, część obowiązków zależy od formy prawnej klienta, choć rdzeń zasad jest wspólny. Inny jest zakres danych identyfikacyjnych dla osoby fizycznej, a inny dla osoby prawnej lub jednostki organizacyjnej. Obowiązek identyfikacji beneficjenta rzeczywistego i ustalenia struktury własności i kontroli dotyczy klientów instytucjonalnych (osób prawnych, jednostek bez osobowości prawnej, trustów), a nie zwykłych osób fizycznych. Od formy prawnej zależy też obowiązek zgłoszenia do Centralnego Rejestru Beneficjentów Rzeczywistych oraz maksymalna wysokość kar pieniężnych. Pozostałe obowiązki – weryfikacja tożsamości, ocena ryzyka, monitoring i zgłaszanie transakcji podejrzanych – są zasadniczo takie same dla wszystkich klientów.

Pełna wersja odpowiedzi (341 słów) dostępna w pełnej wersji e-booka. Kup e-book

Beneficjent rzeczywisty (ang. *ultimate beneficial owner*, UBO) to zawsze osoba fizyczna — nigdy spółka czy inna jednostka organizacyjna — która sprawuje bezpośrednią lub pośrednią kontrolę nad klientem albo w imieniu której nawiązywane są stosunki gospodarcze lub przeprowadzana jest transakcja. W praktyce, w spółkach, beneficjentem rzeczywistym jest najczęściej osoba fizyczna posiadająca ponad 25% udziałów lub akcji albo ponad 25% głosów, a także każdy, kto faktycznie kontroluje podmiot na innej podstawie. Gdy mimo udokumentowanych starań nie da się wskazać takiej osoby (i nie ma podejrzenia prania pieniędzy), za beneficjenta rzeczywistego uznaje się osobę zajmującą wyższe stanowisko kierownicze — to jednak rozwiązanie ostateczne, a nie reguła.

Pełna wersja odpowiedzi (420 słów) dostępna w pełnej wersji e-booka. Kup e-book

Identyfikacja beneficjenta rzeczywistego to ustalenie, kto faktycznie kontroluje klienta lub w czyim imieniu działa. Instytucja obowiązana musi prześledzić strukturę własności i kontroli, ustalić dane osoby fizycznej (imię i nazwisko, obywatelstwo, PESEL lub datę i państwo urodzenia, a jeśli ma taką informację — także serię i numer dokumentu tożsamości oraz adres) i zastosować ustawowe kryteria właściwe dla danej formy prawnej. Kluczowa zasada: nie wolno poprzestać na samym oświadczeniu klienta — trzeba podjąć uzasadnione czynności weryfikacyjne w wiarygodnych, niezależnych źródłach. Cały proces należy udokumentować i na bieżąco aktualizować.

Pełna wersja odpowiedzi (386 słów) dostępna w pełnej wersji e-booka. Kup e-book

Weryfikacja tożsamości beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych na podstawie wiarygodnych i niezależnych źródeł. Zakres czynności zależy od ryzyka: im wyższe, tym więcej źródeł i głębsza analiza. W praktyce korzysta się z dokumentów tożsamości (gdy są dostępne), odpisów z KRS i CEIDG, dokumentów korporacyjnych, rejestrów zagranicznych, baz komercyjnych i wywiadowni gospodarczych, a także z CRBR. Sam wpis w CRBR nie wystarcza — wymaga potwierdzenia w innych źródłach. Oświadczenie klienta może wspierać weryfikację, ale nie może być jej jedyną podstawą. Wszystkie czynności i ich wyniki trzeba udokumentować.

Pełna wersja odpowiedzi (269 słów) dostępna w pełnej wersji e-booka. Kup e-book

CRBR to jawny, bezpłatny rejestr prowadzony w systemie teleinformatycznym przez ministra właściwego do spraw finansów publicznych, gromadzący informacje o beneficjentach rzeczywistych m.in. spółek prawa handlowego (z wyjątkiem spółek publicznych), spółdzielni, stowarzyszeń wpisanych do KRS, fundacji oraz trustów powiązanych z Polską. Jego celem jest zwiększenie przejrzystości struktur własnościowych i utrudnienie ukrywania nielegalnych dochodów. Podmioty zgłaszają beneficjentów elektronicznie, w terminie 14 dni od wpisu do KRS, i aktualizują dane w terminie 14 dni od ich zmiany. Za niedopełnienie tych obowiązków grozi kara pieniężna. Dane z CRBR są pomocne, ale nie zwalniają instytucji obowiązanej z samodzielnej weryfikacji.

Pełna wersja odpowiedzi (323 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Instytucja obowiązana nie może polegać wyłącznie na informacjach z CRBR. Rejestr jest cennym punktem wyjścia, lecz dane w nim mogą być nieaktualne, niekompletne lub błędne, a osoby zaangażowane w nielegalną działalność mogą je celowo zniekształcać. Dlatego trzeba podjąć dodatkowe, uzasadnione czynności i potwierdzić dane w innych wiarygodnych źródłach — dokumentach klienta, KRS, CEIDG, bazach komercyjnych. Jeśli ustalenia instytucji różnią się od danych w CRBR, ma ona obowiązek odnotować rozbieżność, wyjaśnić jej przyczyny i — po potwierdzeniu — zgłosić ją organowi prowadzącemu Rejestr.

Pełna wersja odpowiedzi (192 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gdy ustalenia instytucji obowiązanej różnią się od danych w CRBR, należy najpierw odnotować rozbieżność, a następnie podjąć czynności wyjaśniające jej przyczyny — np. zwrócić się do klienta o dokumenty, ponownie sprawdzić KRS, CEIDG i dokumenty korporacyjne. Jeżeli rozbieżność się potwierdzi, instytucja przekazuje organowi prowadzącemu Rejestr (ministrowi finansów) zweryfikowaną informację wraz z uzasadnieniem i dokumentacją. Obowiązek dotyczy rozbieżności potwierdzonych, nie samych podejrzeń. Zgłoszenie rozbieżności nie zwalnia ze stosowania środków bezpieczeństwa finansowego — klient nadal podlega standardowemu lub wzmożonemu nadzorowi. Cały proces trzeba udokumentować.

Pełna wersja odpowiedzi (245 słów) dostępna w pełnej wersji e-booka. Kup e-book

Jeśli mimo udokumentowanych starań nie można wskazać konkretnej osoby fizycznej kontrolującej osobę prawną według podstawowych kryteriów (ponad 25% udziałów/akcji, ponad 25% głosów, kontrola pośrednia, kontrola na podstawie ustawy o rachunkowości), a nie ma podejrzenia prania pieniędzy lub finansowania terroryzmu, za beneficjenta rzeczywistego uznaje się osobę zajmującą wyższe stanowisko kierownicze — najczęściej członka zarządu. To rozwiązanie ostateczne, dopuszczalne dopiero po wyczerpaniu innych możliwości i pod warunkiem rzetelnego udokumentowania, dlaczego ustalenie nie było możliwe. W przypadku trustu, gdy beneficjenci nie zostali jeszcze określeni, wskazuje się grupę osób, w których głównym interesie trust działa.

Pełna wersja odpowiedzi (272 słów) dostępna w pełnej wersji e-booka. Kup e-book

Trust to regulowany prawem obcym stosunek powierniczy; na gruncie ustawy AML pojęcie to obejmuje również polską fundację rodzinną. Beneficjentami rzeczywistymi trustu są: założyciel (fundator), powiernik (członek zarządu fundacji rodzinnej), nadzorca — jeśli ustanowiony (członek rady nadzorczej), beneficjent oraz każda inna osoba sprawująca kontrolę. Jeśli beneficjenci nie zostali jeszcze określeni, wskazuje się grupę osób, w których głównym interesie trust działa. Identyfikacja wymaga analizy aktu założycielskiego i innych dokumentów oraz oświadczeń powiernika. Trusty objęte są obowiązkiem zgłoszenia do CRBR, gdy są powiązane z Polską, i z reguły wiążą się z podwyższonym ryzykiem.

Pełna wersja odpowiedzi (277 słów) dostępna w pełnej wersji e-booka. Kup e-book

Fundacja (klasyczna, nie rodzinna) jest osobą prawną, więc jej beneficjenta rzeczywistego ustala się według kryteriów dla osób prawnych. Ponieważ fundacja nie ma udziałowców ani akcjonariuszy, kryterium 25% udziałów zwykle nie znajdzie zastosowania. W praktyce beneficjentem rzeczywistym bywa fundator zachowujący realne uprawnienia kontrolne (np. powoływanie i odwoływanie zarządu, zmiana statutu, decydowanie o majątku), członkowie organów mający faktyczny wpływ na działalność, a w ostateczności — osoby zajmujące wyższe stanowisko kierownicze. Konieczna jest analiza statutu i faktycznych relacji. Fundacja podlega też obowiązkowi zgłoszenia beneficjenta do CRBR.

Pełna wersja odpowiedzi (273 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie przewiduje odrębnych zasad dla spółek Skarbu Państwa — stosuje się ogólne kryteria dla osób prawnych. Sam Skarb Państwa nie jest osobą fizyczną, a minister wykonujący prawa z akcji lub udziałów działa jako organ reprezentujący Skarb Państwa, a nie jako beneficjent rzeczywisty we własnym imieniu. W praktyce trzeba przeanalizować strukturę własności i kontroli, ustalić, czy istnieje osoba fizyczna sprawująca faktyczną kontrolę, a gdy jej nie ma — wskazać osobę zajmującą wyższe stanowisko kierownicze (np. członka zarządu). Spółki te, poza spółkami publicznymi, podlegają obowiązkowi zgłoszenia do CRBR.

Pełna wersja odpowiedzi (241 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Uzasadnione czynności" to działania, których instytucja obowiązana musi podjąć, by zweryfikować tożsamość beneficjenta rzeczywistego — ustawa nie definiuje ich wprost, pozostawiając ich zakres ocenie opartej na ryzyku. Im wyższe ryzyko, tym bardziej wnikliwa weryfikacja. W praktyce obejmują analizę dokumentów (tożsamości, odpisów z KRS/CEIDG, dokumentów korporacyjnych), korzystanie z wiarygodnych źródeł i baz danych oraz pozyskanie oświadczenia klienta (które nie może być jedynym źródłem). Sam wpis w CRBR nie wystarcza. Czynności i ich wyniki trzeba udokumentować, a gdy weryfikacja jest niemożliwa — udokumentować przyczyny i rozważyć odmowę współpracy oraz zawiadomienie GIIF.

Pełna wersja odpowiedzi (237 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustalenie struktury własności i kontroli to fundament prawidłowej identyfikacji beneficjenta rzeczywistego, zwłaszcza u klientów instytucjonalnych. W praktyce instytucja obowiązana pozyskuje informacje od klienta (oświadczenie, umowa spółki, odpis z KRS), weryfikuje je w rejestrach (KRS, CEIDG, CRBR), a przy złożonych strukturach analizuje dokumenty korporacyjne kolejnych podmiotów w łańcuchu. Trzeba patrzeć nie tylko na formalną własność, ale i na to, kto faktycznie kontroluje klienta — także na podstawie nieformalnych porozumień. Zakres analizy zależy od ryzyka, a cały proces należy udokumentować i okresowo aktualizować.

Pełna wersja odpowiedzi (238 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gdy dane z CRBR różnią się od informacji od klienta, instytucja obowiązana odnotowuje rozbieżność i podejmuje czynności wyjaśniające — kontaktuje się z klientem i żąda dokumentów potwierdzających aktualność danych (np. odpisu z KRS, umowy spółki). Po potwierdzeniu rozbieżności przekazuje organowi prowadzącemu Rejestr (ministrowi finansów) zweryfikowaną informację wraz z uzasadnieniem i dokumentacją. Jeśli wątpliwości się utrzymują, stosuje wzmożone środki bezpieczeństwa finansowego, a przy poważnych, niewyjaśnialnych rozbieżnościach rozważa odmowę współpracy oraz — gdy zachodzi podejrzenie — zawiadomienie GIIF. Warto wdrożyć wewnętrzną procedurę i rejestr wykrytych rozbieżności.

Pełna wersja odpowiedzi (207 słów) dostępna w pełnej wersji e-booka. Kup e-book

Po potwierdzeniu rozbieżności instytucja obowiązana zgłasza ją organowi prowadzącemu CRBR — ministrowi właściwemu do spraw finansów publicznych (nie bezpośrednio GIIF). Zgłoszenie powinno zawierać dane instytucji i klienta, szczegółowy opis rozbieżności, uzasadnienie przyczyn oraz dokumentację zgromadzoną w toku czynności wyjaśniających, a także dane osoby zgłaszającej. Przekazuje się je elektronicznie, za pośrednictwem systemu teleinformatycznego CRBR. Niedopełnienie obowiązku może skutkować odpowiedzialnością administracyjną. Po otrzymaniu zgłoszenia organ podejmuje czynności wyjaśniające i może wszcząć postępowanie, a nawet sprostować dane w Rejestrze.

Pełna wersja odpowiedzi (209 słów) dostępna w pełnej wersji e-booka. Kup e-book

PEP (od ang. *Politically Exposed Person*) to osoba zajmująca eksponowane stanowisko polityczne — czyli osoba, która zajmuje znaczące stanowisko publiczne lub pełni znaczącą funkcję publiczną, z wyłączeniem stanowisk średniego i niższego szczebla. Należą do nich m.in. szefowie państw i rządów, ministrowie, parlamentarzyści, członkowie zarządów partii politycznych, sędziowie najwyższych sądów i trybunałów, członkowie zarządów banków centralnych, ambasadorzy i wyżsi oficerowie, a także członkowie organów spółek z większościowym udziałem Skarbu Państwa. PEP-em jest zarówno osoba pełniąca taką funkcję w Polsce, jak i za granicą oraz w organizacjach międzynarodowych. Ze względu na podwyższone ryzyko prania pieniędzy instytucje obowiązane stosują wobec PEP wzmożone środki bezpieczeństwa finansowego.

Pełna wersja odpowiedzi (369 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wobec klienta będącego PEP instytucja obowiązana stosuje wzmożone środki bezpieczeństwa finansowego. W praktyce oznacza to trzy główne obowiązki: uzyskanie akceptacji kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację relacji, podjęcie działań w celu ustalenia źródła majątku i pochodzenia środków klienta oraz zintensyfikowanie bieżącego monitorowania transakcji i całej relacji. Wcześniej instytucja musi ustalić sam status PEP — może przyjąć w tym celu oświadczenie klienta. Te same obowiązki dotyczą członków rodziny PEP i jego bliskich współpracowników. Reżim PEP stosuje się przez cały okres pełnienia funkcji oraz przez co najmniej 12 miesięcy po jej zaprzestaniu.

Pełna wersja odpowiedzi (305 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa nie narzuca jednej metody — wymaga, by instytucja obowiązana wdrożyła procedury oparte na analizie ryzyka. Najczęściej stosuje się oświadczenie klienta, że jest albo nie jest PEP, składane pod rygorem odpowiedzialności karnej. Oświadczenie to jednak nie wystarcza samo w sobie: trzeba je weryfikować, korzystając z innych źródeł — wykazu krajowych stanowisk PEP (rozporządzenie Ministra Finansów), publicznych rejestrów, wiarygodnych informacji z Internetu czy komercyjnych baz danych PEP. Status PEP należy ustalać zarówno wobec klienta, jak i jego beneficjenta rzeczywistego, a także sprawdzać, czy nie jest on członkiem rodziny lub bliskim współpracownikiem PEP. Status weryfikuje się przy nawiązaniu relacji i aktualizuje w jej toku.

Pełna wersja odpowiedzi (248 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nawiązanie lub kontynuację stosunków gospodarczych z PEP musi zatwierdzić kadra kierownicza wyższego szczebla instytucji obowiązanej. Ustawa rozumie przez nią członka zarządu, dyrektora lub pracownika, który posiada wiedzę o ryzyku prania pieniędzy i finansowania terroryzmu związanym z działalnością instytucji oraz podejmuje decyzje wpływające na to ryzyko. Może to być zatem członek zarządu, dyrektor (np. ds. compliance lub AML) albo inny pracownik kierowniczy o odpowiednich kompetencjach — ale nie szeregowy pracownik. Instytucja powinna w wewnętrznej procedurze AML wskazać, które stanowiska są uprawnione do udzielania takiej akceptacji, a samą decyzję udokumentować.

Pełna wersja odpowiedzi (199 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wykaz krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi określa — w drodze rozporządzenia — minister właściwy do spraw finansów publicznych. Rozporządzenie to doprecyzowuje ustawowy, otwarty katalog kategorii PEP i wskazuje konkretne polskie stanowiska. Instytucje obowiązane powinny korzystać z aktualnej wersji tego rozporządzenia i śledzić jego nowelizacje. W praktyce wykaz uzupełnia się komercyjnymi bazami danych PEP, które obejmują również PEP zagranicznych i osoby z nimi powiązane.

Pełna wersja odpowiedzi (197 słów) dostępna w pełnej wersji e-booka. Kup e-book

Członkowie rodziny PEP nie są formalnie „PEP", lecz stanowią odrębną kategorię prawną, wobec której stosuje się te same wzmożone środki bezpieczeństwa finansowego co wobec samego PEP. Ustawa zalicza do nich: małżonka lub osobę pozostającą z PEP we wspólnym pożyciu, dziecko PEP oraz jego małżonka lub partnera, a także rodziców PEP. Wobec tych osób instytucja obowiązana również uzyskuje akceptację kadry kierowniczej, ustala źródło majątku i intensyfikuje monitorowanie. Choć skutki praktyczne są takie same jak przy PEP, nie należy utożsamiać tych dwóch kategorii — wynikają one z różnych przepisów ustawy.

Pełna wersja odpowiedzi (187 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak — wobec osób znanych jako bliscy współpracownicy PEP stosuje się te same wzmożone środki bezpieczeństwa finansowego co wobec samego PEP. Ustawa zalicza do nich osoby, które są wspólnie z PEP beneficjentami rzeczywistymi spółek, innych podmiotów lub trustów albo utrzymują z PEP inne bliskie stosunki związane z działalnością gospodarczą, a także osoby będące jedynym beneficjentem rzeczywistym podmiotu utworzonego w celu uzyskania faktycznej korzyści przez PEP. Pojęcie „bliskich stosunków" jest pojemne i wymaga oceny opartej na ryzyku. Instytucja obowiązana stosuje wobec tych osób akceptację kadry kierowniczej, ustalenie źródła majątku i wzmożone monitorowanie.

Pełna wersja odpowiedzi (215 słów) dostępna w pełnej wersji e-booka. Kup e-book

Osoba, która przestała zajmować eksponowane stanowisko polityczne, jest nadal objęta wzmożonymi środkami bezpieczeństwa finansowego przez okres nie krótszy niż 12 miesięcy od dnia zaprzestania pełnienia funkcji. Po upływie tego minimalnego okresu instytucja obowiązana może odstąpić od wzmożonych środków tylko wtedy, gdy ustali, że z daną osobą nie wiąże się już wyższe ryzyko prania pieniędzy i finansowania terroryzmu. Jeśli takie ryzyko nadal istnieje, środki stosuje się dłużej — aż do jego ustania. To samo dotyczy członków rodziny i bliskich współpracowników byłego PEP. Okres stosowania środków zależy więc od indywidualnej oceny ryzyka, a 12 miesięcy to ustawowe minimum.

Pełna wersja odpowiedzi (186 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Wobec PEP zawsze stosuje się wzmożone środki bezpieczeństwa finansowego — jest to obowiązek ustawowy, niezależny od indywidualnej oceny ryzyka, ponieważ PEP są z mocy ustawy uznawani za przypadek wyższego ryzyka. Wzmożone środki obejmują przede wszystkim: uzyskanie akceptacji kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację relacji, ustalenie źródła majątku i pochodzenia środków klienta oraz zintensyfikowane bieżące monitorowanie transakcji. Obowiązek ten dotyczy nie tylko samego PEP, ale również członków jego rodziny i bliskich współpracowników. W zależności od ryzyka instytucja może zastosować również dalsze, dodatkowe środki.

Pełna wersja odpowiedzi (194 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wobec PEP, poza standardowymi danymi identyfikacyjnymi, instytucja obowiązana musi ustalić źródło majątku klienta oraz pochodzenie środków zaangażowanych w relację lub transakcję. W praktyce oznacza to pozyskanie dokumentów potwierdzających, skąd pochodzi majątek (np. wynagrodzenie z funkcji publicznej, dochody z działalności, spadek, darowizna). Należy też uzyskać szczegółowe informacje o celu i charakterze relacji — rodzaju i wartości planowanych transakcji, krajach i kontrahentach. Jeśli klient odmawia podania tych informacji lub dokumentów, instytucja powinna rozważyć odmowę nawiązania lub rozwiązanie relacji, a w razie podejrzeń — zawiadomienie GIIF. Zakres dodatkowych informacji zależy od oceny ryzyka.

Pełna wersja odpowiedzi (224 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wobec PEP instytucja obowiązana intensyfikuje bieżące monitorowanie relacji i transakcji — analizuje je wnikliwiej i częściej niż w przypadku zwykłych klientów. Częstotliwość i zakres monitoringu dostosowuje się do oceny ryzyka danego PEP, jego funkcji, kraju i rodzaju transakcji. Szczególną uwagę zwraca się na transakcje nietypowe dla profilu klienta, skomplikowane, opiewające na wysokie kwoty lub pozbawione uzasadnienia ekonomicznego, a także na zgodność źródła środków z wcześniej ustalonymi informacjami. Wzmożone monitorowanie stosuje się przez cały okres pełnienia funkcji i co najmniej 12 miesięcy po jej zaprzestaniu, a wyniki analiz należy dokumentować. W praktyce pomocne są systemy informatyczne generujące alerty.

Pełna wersja odpowiedzi (237 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Ustalenie, czy klient lub beneficjent rzeczywisty jest PEP, jest bezwzględnym obowiązkiem instytucji obowiązanej — niezależnym od wartości transakcji, rodzaju klienta czy wyniku oceny ryzyka. Co istotne, możliwość stosowania uproszczonych środków bezpieczeństwa finansowego (przy niższym ryzyku) nie zwalnia z ustalania statusu PEP — to dwie odrębne kwestie. Jedyna modyfikacja dotyczy umów ubezpieczenia na życie: tu status PEP uprawnionego z umowy lub jego beneficjenta rzeczywistego ustala się najpóźniej w momencie przeniesienia praw z umowy lub wypłaty świadczenia. Nie jest to jednak zwolnienie z obowiązku, lecz przesunięcie momentu jego wykonania.

Pełna wersja odpowiedzi (179 słów) dostępna w pełnej wersji e-booka. Kup e-book

Oświadczenie PEP to oświadczenie klienta — w formie pisemnej lub dokumentowej — w którym deklaruje, czy jest, czy nie jest osobą zajmującą eksponowane stanowisko polityczne. Ustawa dopuszcza je jako jeden z elementów ustalania statusu PEP. Składa się je pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia, a sam dokument musi zawierać ustawowo określoną klauzulę: „Jestem świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia". Klauzula ta zastępuje pouczenie. Oświadczenie nie wystarcza jednak samo w sobie — instytucja powinna je weryfikować innymi źródłami. Może ono dotyczyć zarówno klienta, jak i jego beneficjenta rzeczywistego.

Pełna wersja odpowiedzi (210 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Oświadczenie klienta jest tylko jednym z elementów ustalania statusu PEP — instytucja obowiązana nie może na nim poprzestać. Musi je weryfikować, sięgając po inne wiarygodne źródła: wykaz krajowych stanowisk PEP (rozporządzenie Ministra Finansów), publiczne rejestry, informacje z Internetu czy komercyjne bazy danych PEP. Wynika to z ryzykowego charakteru relacji z PEP oraz z tego, że klient może nie być świadomy swojego statusu (np. jako członek rodziny lub bliski współpracownik), popełnić błąd albo celowo go zataić. Weryfikację należy prowadzić zarówno wobec klienta, jak i jego beneficjenta rzeczywistego, oraz aktualizować w toku relacji.

Pełna wersja odpowiedzi (211 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana powinna posiadać komplet dokumentów pozwalających wykazać organom kontroli, że realizuje obowiązki ustawy AML. Należą do nich przede wszystkim: wewnętrzna procedura AML/CFT, ocena ryzyka instytucji, dokumentacja klientów (dane identyfikacyjne, kopie dokumentów, oświadczenia o beneficjencie rzeczywistym i statusie PEP, oceny ryzyka klienta), dokumentacja transakcji, dowody przeprowadzonych szkoleń, procedura anonimowego zgłaszania naruszeń, dokumentacja z kontroli wewnętrznej oraz korespondencja z GIIF (zawiadomienia, odpowiedzi na żądania). Wszystkie te dokumenty trzeba przechowywać co do zasady przez 5 lat. W praktyce obowiązuje prosta reguła: jeśli czegoś nie ma na papierze lub w systemie, w trakcie kontroli przyjmuje się, że tego nie zrobiono.

Pełna wersja odpowiedzi (308 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wewnętrzna procedura AML/CFT to podstawowy dokument opisujący, jak instytucja obowiązana realizuje swoje obowiązki. Musi być dostosowana do charakteru, rodzaju i rozmiaru działalności. Ustawa AML wskazuje obowiązkowe elementy, które procedura powinna określać: zasady ograniczania i zarządzania ryzykiem, zasady rozpoznawania i oceny ryzyka klienta, zasady stosowania środków bezpieczeństwa finansowego, zasady przechowywania dokumentów, zasady przekazywania informacji do GIIF, zasady szkoleń, zasady zgłaszania naruszeń przez pracowników, zasady kontroli wewnętrznej oraz zasady postępowania z rozbieżnościami w CRBR. Procedura podlega bieżącej weryfikacji i — przed wdrożeniem — akceptacji kadry kierowniczej wyższego szczebla.

Pełna wersja odpowiedzi (288 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dokumentację związaną ze środkami bezpieczeństwa finansowego przechowuje się przez 5 lat. Okres ten liczy się od dnia zakończenia stosunków gospodarczych z klientem albo od dnia przeprowadzenia transakcji okazjonalnej, a dla wyników analiz transakcji — od dnia ich przeprowadzenia. GIIF może, po ocenie konieczności i proporcjonalności, zażądać przedłużenia przechowywania o kolejny okres, nie dłuższy niż 5 lat, jeżeli jest to potrzebne dla postępowań AML/CFT lub karnych. Dokumenty można przechowywać w formie papierowej lub elektronicznej, pod warunkiem zapewnienia ich zgodności z oryginałem, integralności, poufności i dostępności. Po upływie okresu przechowywania dane osobowe co do zasady się usuwa.

Pełna wersja odpowiedzi (238 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura grupowa to wewnętrzna procedura AML/CFT obejmująca całą grupę kapitałową — instytucje obowiązane wchodzące w skład grupy oraz ich oddziały i jednostki zależne z większościowym udziałem mające siedzibę w państwie trzecim. Jej celem jest spójne wykonywanie obowiązków AML/CFT w całej grupie, w szczególności bezpieczna wymiana i ochrona informacji między podmiotami grupy. Obowiązek wprowadzenia procedury grupowej spoczywa na instytucjach obowiązanych należących do grupy. Jeżeli prawo państwa trzeciego nie pozwala na jej wdrożenie w zagranicznych jednostkach, instytucja musi poinformować GIIF i zastosować dodatkowe środki zaradcze.

Pełna wersja odpowiedzi (251 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana musi zapewnić udział osób wykonujących obowiązki AML/CFT w programach szkoleniowych dotyczących realizacji tych obowiązków, z uwzględnieniem ochrony danych osobowych. Programy powinny być dostosowane do charakteru, rodzaju i rozmiaru działalności oraz zapewniać aktualną wiedzę — zwłaszcza w zakresie zawiadamiania GIIF, wstrzymywania transakcji i blokowania rachunków. Ustawa nie określa sztywnej częstotliwości ani formy szkoleń (mogą być stacjonarne, online, e-learning). W praktyce szkolenia prowadzi się regularnie, najczęściej raz w roku, a także doraźnie po istotnych zmianach przepisów. Brak szkoleń jest naruszeniem obowiązków AML/CFT i może skutkować karą administracyjną.

Pełna wersja odpowiedzi (240 słów) dostępna w pełnej wersji e-booka. Kup e-book

Punkt pierwszy katalogu z art. 50 ust. 2 ustawy AML wymaga, by procedura opisała konkretne czynności ograniczające ryzyko prania pieniędzy i finansowania terroryzmu oraz właściwe zarządzanie zidentyfikowanym ryzykiem. W praktyce procedura powinna opisać: stosowanie środków bezpieczeństwa finansowego (identyfikacja i weryfikacja klienta oraz beneficjenta rzeczywistego), metodykę oceny ryzyka, działania wobec klientów wysokiego ryzyka (w tym środki wzmożone), monitorowanie transakcji, zgłaszanie podejrzeń do GIIF, weryfikację wykazów sankcyjnych, szkolenia, kontrolę wewnętrzną oraz przechowywanie dokumentacji. Wszystko dostosowane do charakteru, rodzaju i rozmiaru działalności.

Pełna wersja odpowiedzi (201 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura powinna jasno opisać, jak instytucja rozpoznaje i ocenia ryzyko związane z konkretnym klientem lub transakcją okazjonalną oraz jak tę ocenę weryfikuje i aktualizuje. Należy określić: kryteria ryzyka (rodzaj klienta, państwo, produkt/usługa, kanał dostawy, wartość i charakter transakcji, źródło majątku, struktura własności), metodykę oceny (wagi, progi, kategorie ryzyka), zasady uwzględniania krajowej oceny ryzyka i oceny ryzyka instytucji, częstotliwość i okoliczności aktualizacji oceny oraz działania zależne od poziomu ryzyka (środki standardowe, uproszczone lub wzmożone). Całość musi być dostosowana do skali i specyfiki działalności.

Pełna wersja odpowiedzi (235 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura musi opisać, kiedy i jak instytucja przegląda oraz aktualizuje ocenę ryzyka klienta. Powinna określić: częstotliwość okresowych przeglądów (im wyższe ryzyko, tym częściej), sytuacje wymagające natychmiastowej aktualizacji (zmiana danych klienta, nowe informacje o powiązaniach sankcyjnych lub postępowaniach, transakcje nietypowe, zmiana przepisów lub wykazów państw wysokiego ryzyka), źródła informacji wykorzystywane do weryfikacji (oświadczenia klienta, rejestry KRS/CEIDG/CRBR, wykazy sankcyjne, systemy monitoringu), osoby odpowiedzialne, skutki zmiany oceny dla stosowanych środków bezpieczeństwa oraz sposób dokumentowania zapewniający ścieżkę audytu.

Pełna wersja odpowiedzi (174 słów) dostępna w pełnej wersji e-booka. Kup e-book

Punkt trzeci katalogu wymaga, by procedura opisała środki służące zarządzaniu rozpoznanym ryzykiem — czyli praktyczny sposób stosowania środków bezpieczeństwa finansowego. Procedura powinna określić metody: identyfikacji klienta, weryfikacji jego tożsamości (w tym zdalnej), identyfikacji i weryfikacji beneficjenta rzeczywistego, oceny stosunków gospodarczych oraz bieżącego monitorowania transakcji. Dodatkowo należy opisać zasady stosowania środków wzmożonych (np. wobec PEP i klientów z państw wysokiego ryzyka), środków uproszczonych oraz — w przewidzianych przypadkach — odstąpienia od stosowania środków. Wszystko z uwzględnieniem podejścia opartego na ryzyku.

Pełna wersja odpowiedzi (185 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana może na potrzeby stosowania środków bezpieczeństwa finansowego przetwarzać informacje z dokumentów tożsamości klienta i osoby działającej w jego imieniu oraz sporządzać ich kopie. Procedura wewnętrzna powinna określić sposób tworzenia kopii (papierowe lub elektroniczne, wymagana jakość i format), zasady potwierdzania zgodności z oryginałem, sposób bezpiecznego przechowywania (dostęp dla osób upoważnionych, ochrona przed utratą i nieuprawnioną zmianą) oraz zasady ochrony danych osobowych zgodnie z RODO (minimalizacja danych). Kopie przechowuje się przez 5 lat, z możliwością przedłużenia przez GIIF.

Pełna wersja odpowiedzi (205 słów) dostępna w pełnej wersji e-booka. Kup e-book

Jeżeli instytucja obowiązana odstępuje od stosowania środków bezpieczeństwa finansowego (co jest dopuszczalne tylko w przypadkach przewidzianych ustawą), procedura wewnętrzna powinna regulować dokumentowanie i przechowywanie informacji o takich wyjątkach. Pozwala to organom kontroli zweryfikować, czy odstąpienie było uzasadnione. Procedura powinna wskazać: dopuszczalne przypadki wyjątków, sposób dokumentowania (data, podstawa prawna, opis, ocena ryzyka), osoby uprawnione do decyzji o odstąpieniu, miejsce i zabezpieczenie przechowywania oraz okres przechowywania — co najmniej 5 lat, z możliwością przedłużenia przez GIIF. Warto też przewidzieć okresową weryfikację, czy warunki odstąpienia są nadal spełnione.

Pełna wersja odpowiedzi (232 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie określa szczegółowych zasad dokumentowania szkoleń, ale skoro instytucja ma obowiązek zapewnić udział pracowników w szkoleniach (art. 52), musi umieć to wykazać podczas kontroli. W praktyce dokumentacja obejmuje: listy obecności, program i zakres tematyczny szkolenia, materiały szkoleniowe (z datą opracowania), potwierdzenia ukończenia (certyfikaty, zaświadczenia), rejestr przeprowadzonych szkoleń oraz ewentualne wyniki testów wiedzy. Choć ustawa nie wskazuje okresu przechowywania tej dokumentacji, w praktyce zaleca się zachowanie jej przez co najmniej 5 lat, analogicznie do pozostałej dokumentacji AML/CFT.

Pełna wersja odpowiedzi (156 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura wewnętrzna musi określać zasady zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT (art. 50 ust. 2 pkt 8). Szczegóły reguluje odrębna procedura anonimowego zgłaszania naruszeń (art. 53), która powinna wskazywać: osobę odpowiedzialną za odbieranie zgłoszeń, sposób ich odbierania, sposób ochrony zgłaszającego przed działaniami odwetowymi, sposób ochrony danych osobowych zgłaszającego i osoby, której zarzuca się naruszenie, zasady zachowania poufności, rodzaj działań następczych podejmowanych po zgłoszeniu oraz termin usunięcia danych osobowych zawartych w zgłoszeniach.

Pełna wersja odpowiedzi (221 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML (art. 53) wymaga, by procedura zgłaszania naruszeń umożliwiała zgłoszenie anonimowe. W praktyce oznacza to udostępnienie kanałów, które nie rejestrują danych identyfikujących zgłaszającego (dedykowana skrzynka e-mail lub pocztowa, platforma internetowa, linia telefoniczna), wskazanie osoby odpowiedzialnej za odbieranie zgłoszeń, ochronę danych osobowych zgłaszającego i osoby, której zarzuca się naruszenie, oraz zasady zachowania poufności, gdyby tożsamość zgłaszającego miała zostać ujawniona. Ustawa wprost zakazuje działań odwetowych wobec zgłaszających. Procedura ma więc zarówno umożliwiać anonimowe zgłoszenie, jak i chronić zgłaszającego, jeśli jego tożsamość stanie się znana.

Pełna wersja odpowiedzi (191 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura wewnętrzna musi określać zasady kontroli wewnętrznej lub nadzoru zgodności działalności instytucji z przepisami AML/CFT oraz z samą procedurą (art. 50 ust. 2 pkt 9). Ustawa nie precyzuje szczegółów, więc w praktyce procedura powinna wskazać: kto przeprowadza kontrolę, co jej podlega (środki bezpieczeństwa finansowego, ocena ryzyka, raportowanie, szkolenia), jak często, jakimi metodami (przegląd dokumentacji, testy transakcji, wywiady), jak dokumentuje się wyniki, jakie działania następcze podejmuje się przy stwierdzeniu nieprawidłowości oraz komu raportowane są wyniki. Im wyższe ryzyko obszaru, tym intensywniejsza kontrola.

Pełna wersja odpowiedzi (175 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie wskazuje wprost częstotliwości wewnętrznego audytu AML/CFT — wymaga jedynie, by procedura określała zasady kontroli wewnętrznej (art. 50 ust. 2 pkt 9), a samą procedurę poddawać bieżącej weryfikacji (art. 50 ust. 1). Pomocniczo wskazuje się, że ocena ryzyka instytucji jest aktualizowana nie rzadziej niż co 2 lata (art. 27 ust. 3), a system kontroli powinien odzwierciedlać aktualne ryzyko. Dobrą praktyką jest przeprowadzanie audytu AML/CFT co najmniej raz w roku, częściej dla instytucji o wyższym profilu ryzyka, a także doraźnie po istotnych zmianach przepisów, poważnych nieprawidłowościach lub zaleceniach pokontrolnych.

Pełna wersja odpowiedzi (166 słów) dostępna w pełnej wersji e-booka. Kup e-book

Odpowiedzialność w systemie AML/CFT jest wielopoziomowa. Ogólną odpowiedzialność za zgodność ponosi kadra kierownicza wyższego szczebla; w organie zarządzającym wyznacza się jego członka odpowiedzialnego za wdrożenie obowiązków ustawowych (art. 7). Instytucja wyznacza też pracownika zajmującego kierownicze stanowisko, odpowiedzialnego za zapewnienie zgodności (art. 8). Samą kontrolę wewnętrzną może wykonywać wyznaczona osoba lub komórka (np. compliance, audyt wewnętrzny) zgodnie z procedurą (art. 50 ust. 2 pkt 9). Kluczowe jest, by odpowiedzialność była jasno przypisana w procedurze wewnętrznej, a funkcja kontrolna zachowała niezależność.

Pełna wersja odpowiedzi (163 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie zawiera odrębnego przepisu o formacie dokumentacji z kontroli wewnętrznej, ale obowiązek jej prowadzenia wynika z wymogu określenia w procedurze zasad kontroli wewnętrznej (art. 50 ust. 2 pkt 9). W praktyce dokumentacja powinna obejmować raporty/protokoły z kontroli (przedmiot, metody, ustalenia, nieprawidłowości, rekomendacje, terminy i osoby odpowiedzialne za naprawę), dokumentację utrudnień przy weryfikacji beneficjenta rzeczywistego (art. 50 ust. 2 pkt 11), dowody wykonania działań następczych oraz potwierdzenie zapoznania się kadry kierowniczej z wynikami. Dokumentację przechowuje się zgodnie z zasadami z art. 49.

Pełna wersja odpowiedzi (225 słów) dostępna w pełnej wersji e-booka. Kup e-book

Współpraca między osobą odpowiedzialną za AML/CFT a analitykiem powinna być ścisła i opisana w procedurze wewnętrznej. Osoba odpowiedzialna (członek zarządu z art. 7 lub pracownik kierowniczy z art. 8) nadzoruje system, a analityk wykonuje czynności operacyjne: analizę transakcji, identyfikację podejrzeń, przygotowanie dokumentacji. Analityk powinien regularnie raportować osobie odpowiedzialnej o stanie systemu, ryzykach i podejrzanych transakcjach, a osoba odpowiedzialna — zapewnić mu dostęp do informacji i zasobów oraz reagować na jego rekomendacje. Procedura powinna określać ścieżki raportowania, tryb eskalacji podejrzeń do GIIF oraz ochronę analityka przed działaniami odwetowymi.

Pełna wersja odpowiedzi (145 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zakres obowiązków pracowników w AML/CFT określa się w procedurze wewnętrznej (art. 50 ust. 2), dostosowując go do charakteru pracy danego pracownika i stosując zasadę „need-to-know" — dostęp tylko do informacji niezbędnych do wykonywania zadań. Przykładowo pracownik obsługi klienta powinien znać zasady identyfikacji i weryfikacji klienta, ale niekoniecznie szczegółowe reguły analizy transakcji. Każdy pracownik powinien przejść szkolenie odpowiednie do swoich obowiązków (art. 52) oraz znać obowiązek zachowania tajemnicy, w tym zakaz informowania klienta o przekazaniu informacji do GIIF (art. 54). Jasny podział obowiązków jest warunkiem skuteczności systemu AML/CFT.

Pełna wersja odpowiedzi (191 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura AML/CFT to fundament systemu compliance. Najlepsze praktyki to: zawarcie wszystkich obowiązkowych elementów z art. 50 ust. 2 ustawy AML, dostosowanie do charakteru, rodzaju i rozmiaru działalności, uwzględnienie krajowej oceny ryzyka i oceny ryzyka instytucji oraz wytycznych GIIF i nadzoru, jasny i zrozumiały język, formalne zatwierdzenie przez kadrę kierowniczą wyższego szczebla przed wdrożeniem, wyznaczenie osób odpowiedzialnych, regularne szkolenia, bieżąca weryfikacja i aktualizacja (zwłaszcza po zmianach przepisów lub profilu ryzyka) oraz dokumentowanie zmian (ścieżka audytu). Procedura powinna być realnie wdrożona i egzekwowana, a nie tylko spisana.

Pełna wersja odpowiedzi (257 słów) dostępna w pełnej wersji e-booka. Kup e-book

Skuteczna komunikacja wewnętrzna jest niezbędna dla działania systemu AML/CFT. Procedura powinna określać jasne zasady przekazywania informacji o transakcjach podejrzanych, wynikach kontroli i raportowania do kadry kierowniczej wyższego szczebla. Należy zapewnić bezpieczne kanały komunikacji (dedykowana skrzynka e-mail, platforma do zgłaszania naruszeń, regularne spotkania zespołu AML), wyznaczyć osoby odpowiedzialne, prowadzić regularne szkolenia, zachować poufność zgodnie z zasadą „need-to-know" oraz dokumentować istotną komunikację. Szczególną rolę odgrywa ścieżka zgłaszania podejrzeń do GIIF oraz procedura anonimowego zgłaszania naruszeń.

Pełna wersja odpowiedzi (205 słów) dostępna w pełnej wersji e-booka. Kup e-book

Analiza bieżąca to element bieżącego monitorowania stosunków gospodarczych z klientem, czyli jeden ze środków bezpieczeństwa finansowego. Polega na analizowaniu transakcji przeprowadzanych w ramach relacji z klientem po to, by upewnić się, że są one zgodne z wiedzą instytucji o tym kliencie, z rodzajem i zakresem jego działalności oraz z poziomem ryzyka prania pieniędzy i finansowania terroryzmu. Intensywność analizy dostosowuje się do ryzyka: im wyższe ryzyko, tym dokładniejsza i częstsza analiza. Gdy okoliczności tego wymagają, bada się też źródło pochodzenia środków klienta. Wyniki analizy instytucja musi dokumentować — mogą one prowadzić do aktualizacji danych klienta albo do zgłoszenia transakcji podejrzanej do GIIF.

Pełna wersja odpowiedzi (234 słów) dostępna w pełnej wersji e-booka. Kup e-book

Monitoring bieżący to środek bezpieczeństwa finansowego polegający na stałym śledzeniu stosunków gospodarczych z klientem przez cały czas ich trwania. Obejmuje analizę transakcji klienta pod kątem ich zgodności z wiedzą instytucji o nim i z poziomem ryzyka, badanie źródła pochodzenia jego środków w uzasadnionych przypadkach oraz dbanie o to, by dane i dokumenty klienta były na bieżąco aktualizowane. Monitoring jest procesem ciągłym i opartym na ryzyku: przy klientach niższego ryzyka może być prostszy i rzadszy, przy klientach wyższego ryzyka — bardziej intensywny. Zasady monitoringu powinny być opisane w wewnętrznej procedurze AML/CFT instytucji.

Pełna wersja odpowiedzi (233 słów) dostępna w pełnej wersji e-booka. Kup e-book

Monitoring transakcji to praktyczny rdzeń bieżącego monitorowania klienta. Polega na analizowaniu operacji wykonywanych przez klienta i porównywaniu ich z tym, co instytucja o nim wie — z profilem jego działalności i z przypisanym mu poziomem ryzyka. Celem jest wychwycenie transakcji nietypowych, niespójnych z profilem klienta lub mogących mieć związek z praniem pieniędzy bądź finansowaniem terroryzmu. Monitoring jest procesem ciągłym, dostosowanym do ryzyka, a w większych instytucjach realizowanym z pomocą systemów informatycznych. Wykrycie transakcji podejrzanej rodzi obowiązek zawiadomienia GIIF.

Pełna wersja odpowiedzi (224 słów) dostępna w pełnej wersji e-booka. Kup e-book

W analizie bieżącej transakcji stosuje się zestaw kryteriów dopasowanych do ryzyka klienta. Najczęściej są to kryteria: podmiotowe (kto jest klientem, czy to PEP, jaka jest struktura właścicielska), geograficzne (kraje i regiony podwyższonego ryzyka), ekonomiczne (czy transakcja ma sens gospodarczy, czy jej wielkość pasuje do profilu klienta), przedmiotowe (przedmiot transakcji, branża) oraz behawioralne (nietypowe zachowania, unikanie kontaktu, niespójna dokumentacja). Pomocne jest też porównanie transakcji z historią i typowymi wzorcami klienta — wolumenami, odbiorcami, częstotliwością. Wszystkie kryteria stosuje się proporcjonalnie do poziomu ryzyka.

Pełna wersja odpowiedzi (221 słów) dostępna w pełnej wersji e-booka. Kup e-book

Transakcje podzielone (tzw. smurfing lub strukturyzowanie) to celowe rozbicie jednej większej operacji na kilka mniejszych, by każda z osobna nie przekroczyła progu rodzącego obowiązki wobec GIIF — w praktyce progu 15 000 euro. Wykrywa się je, analizując operacje o podobnych cechach (ten sam płatnik lub odbiorca, podobny tytuł), wykonywane w krótkim czasie, których suma przekracza próg. Kluczowa jest celowość podziału — nie każde rozbicie płatności jest podejrzane. Pomagają systemy AML generujące alerty, a w razie uzasadnionego podejrzenia instytucja traktuje takie operacje łącznie i rozważa zawiadomienie GIIF.

Pełna wersja odpowiedzi (240 słów) dostępna w pełnej wersji e-booka. Kup e-book

W stanie prawnym obowiązującym od 2018 r. nie ma już dawnego, odrębnego „rejestru transakcji". Zamiast tego instytucja obowiązana przekazuje GIIF informacje o transakcjach ponadprogowych — co do zasady o wpłatach, wypłatach i transferach środków pieniężnych o równowartości przekraczającej 15 000 euro. Obowiązek dotyczy też operacji pozornie podzielonych, jeśli wydają się ze sobą powiązane. Niezależnie od kwoty zgłasza się transakcje podejrzane. Informacje przekazuje się do GIIF w ustawowym terminie. Równolegle instytucja przechowuje dokumentację transakcji przez 5 lat.

Pełna wersja odpowiedzi (329 słów) dostępna w pełnej wersji e-booka. Kup e-book

Część transakcji ponadprogowych jest wyłączona z obowiązku raportowania do GIIF. Przy transferach środków pieniężnych powyżej 15 000 euro nie trzeba zgłaszać m.in. transferów między rachunkiem bieżącym a lokatą tego samego klienta w tej samej instytucji, krajowych transferów z innej instytucji obowiązanej, transakcji gospodarki własnej instytucji (we własnym imieniu i na własną rzecz, w tym na rynku międzybankowym), transakcji na rzecz jednostek sektora finansów publicznych, niektórych transakcji w ramach zrzeszeń banków spółdzielczych oraz przewłaszczeń na zabezpieczenie. Wyłączenia te wynikają wprost z ustawy.

Pełna wersja odpowiedzi (263 słów) dostępna w pełnej wersji e-booka. Kup e-book

Obowiązująca ustawa AML nie wymaga prowadzenia odrębnego „rejestru transakcji" w dawnym rozumieniu. Zamiast tego instytucja: po pierwsze, przekazuje GIIF informacje o transakcjach ponadprogowych i podejrzanych; po drugie, przechowuje dokumentację transakcji i wyniki analiz przez 5 lat. Przechowywane dane powinny pozwalać zidentyfikować transakcję — daty, strony, kwoty, waluty, rodzaj i tytuł operacji, numery rachunków. Dokumentacja może mieć formę papierową lub elektroniczną. Szczegółowe zasady jej prowadzenia opisuje wewnętrzna procedura AML/CFT instytucji.

Pełna wersja odpowiedzi (332 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa nakazuje stosować środki bezpieczeństwa finansowego przy transakcji okazjonalnej o równowartości 15 000 euro lub większej — także wtedy, gdy składa się ona z kilku operacji, które wydają się ze sobą powiązane. W praktyce o powiązaniu mogą świadczyć: krótki odstęp czasu między operacjami, ten sam płatnik lub odbiorca, wspólny cel gospodarczy, logiczny związek między operacjami, nietypowy charakter oraz kwoty nieco poniżej progu, których suma go przekracza. W razie wątpliwości instytucja powinna zachować ostrożność i potraktować operacje jak transakcję ponadprogową. Kryteria powiązania warto opisać w procedurze wewnętrznej.

Pełna wersja odpowiedzi (213 słów) dostępna w pełnej wersji e-booka. Kup e-book

Wykrywanie transakcji sztucznie podzielonych (smurfingu) opiera się na analizie wzorców. Sygnały ostrzegawcze to: regularne operacje o zbliżonej wartości tuż poniżej progu 15 000 euro, ten sam nadawca lub odbiorca w wielu operacjach, nietypowe zmiany w aktywności klienta, korzystanie z różnych kanałów płatności i placówek oraz powiązania z podmiotami podwyższonego ryzyka. Pomagają systemy AML agregujące operacje i generujące alerty. Po wykryciu instytucja pogłębia analizę, stosuje adekwatne środki bezpieczeństwa finansowego i — w razie podejrzenia — zawiadamia GIIF, dokumentując cały proces.

Pełna wersja odpowiedzi (302 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustalenie źródła pochodzenia wartości majątkowych klienta jest elementem bieżącego monitorowania i stosuje się je w przypadkach uzasadnionych okolicznościami, proporcjonalnie do ryzyka. W praktyce instytucja może: pozyskać oświadczenie klienta o źródle majątku lub środków, zażądać dokumentów potwierdzających (np. zeznania podatkowe, umowy sprzedaży, dokumenty spadkowe), zweryfikować dane w publicznych rejestrach oraz analizować transakcje klienta. Przy klientach i sytuacjach wyższego ryzyka działania są bardziej pogłębione. Warto rozróżnić źródło majątku (skąd pochodzi cały majątek) od źródła środków (skąd pochodzą konkretne pieniądze w danej operacji). Cały proces należy dokumentować.

Pełna wersja odpowiedzi (253 słów) dostępna w pełnej wersji e-booka. Kup e-book

Bieżące monitorowanie stosunków gospodarczych to jeden z filarów systemu AML/CFT. W praktyce obejmuje: regularną analizę transakcji klienta (wysokość, częstotliwość, rodzaj, zgodność z profilem), okresową weryfikację i aktualizację danych klienta i beneficjenta rzeczywistego, badanie źródła pochodzenia środków w uzasadnionych przypadkach, śledzenie publicznie dostępnych informacji, kontakt z klientem w razie wątpliwości i zgłaszanie podejrzeń do GIIF. Zakres i częstotliwość monitorowania dostosowuje się do ryzyka — przy klientach wyższego ryzyka monitoring jest intensywniejszy. Cały proces należy dokumentować i opisać w procedurze wewnętrznej.

Pełna wersja odpowiedzi (264 słów) dostępna w pełnej wersji e-booka. Kup e-book

Informacje do GIIF przekazuje się w dwóch zasadniczych sytuacjach. Po pierwsze, transakcje ponadprogowe (przekraczające równowartość 15 000 euro, np. wpłaty, wypłaty, transfery, transakcje walutowe) raportuje się rutynowo w terminie 7 dni. Po drugie, gdy pojawia się podejrzenie prania pieniędzy lub finansowania terroryzmu — instytucja zawiadamia GIIF niezwłocznie. Jeżeli podejrzenie dotyczy konkretnej transakcji, którą zamierza się dopiero przeprowadzić, zawiadomienie składa się przed jej wykonaniem, a transakcję się wstrzymuje. Wszystkie informacje przekazuje się elektronicznie, przez system teleinformatyczny GIIF, na urzędowych wzorach formularzy.

Pełna wersja odpowiedzi (271 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zawiadomienie o okolicznościach mogących wskazywać na podejrzenie prania pieniędzy lub finansowania terroryzmu należy przekazać GIIF niezwłocznie, najpóźniej w terminie 2 dni roboczych od dnia, w którym instytucja potwierdziła to podejrzenie. Jeżeli jednak podejrzenie dotyczy konkretnej transakcji, którą instytucja ma dopiero przeprowadzić, obowiązuje tryb szybszy: zawiadomienie składa się przed wykonaniem transakcji, a samą transakcję się wstrzymuje. Liczy się zatem charakter sprawy — ogólne okoliczności podlegają zgłoszeniu w ciągu dwóch dni roboczych, a konkretna, planowana podejrzana transakcja musi być zgłoszona, zanim zostanie zrealizowana.

Pełna wersja odpowiedzi (154 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gdy instytucja nabierze uzasadnionego podejrzenia, że konkretna transakcja może mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, zawiadamia GIIF jeszcze przed jej wykonaniem i sama wstrzymuje się z transakcją — co do zasady na czas do otrzymania reakcji GIIF, nie dłużej niż 24 godziny. GIIF, jeśli potwierdzi ryzyko, może zażądać wstrzymania transakcji lub blokady rachunku na okres do 96 godzin i zawiadamia prokuratora. Prokurator może wydać postanowienie o wstrzymaniu lub blokadzie na czas do 6 miesięcy, z możliwością przedłużenia o kolejne 6 miesięcy. Blokada upada, jeśli w tym czasie nie zapadnie postanowienie o zabezpieczeniu majątkowym.

Pełna wersja odpowiedzi (371 słów) dostępna w pełnej wersji e-booka. Kup e-book

Raport o transakcji ponadprogowej zawiera zestaw danych pozwalających GIIF zidentyfikować transakcję i jej strony: niepowtarzalny identyfikator transakcji w ewidencji instytucji, datę (i ewentualnie godzinę) jej przeprowadzenia, dane identyfikacyjne klienta zlecającego oraz — o ile są dostępne — pozostałych stron, kwotę i walutę, rodzaj i tytuł transakcji, sposób wydania dyspozycji oraz numery rachunków (w formacie IBAN lub z kodem kraju). W przypadku notariuszy dodatkowo podaje się przedmiot transakcji, a gdy dotyczy ona nieruchomości — jej adres lub miejsce położenia. Dane przekazuje się elektronicznie, na urzędowym wzorze, w terminie 7 dni.

Pełna wersja odpowiedzi (211 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zawiadomienie o podejrzanej transakcji jest bogatsze niż rutynowy raport ponadprogowy — ma pozwolić GIIF na analizę ryzyka. Obejmuje dane identyfikacyjne klienta oraz innych osób biorących udział w sprawie, rodzaj i wielkość wartości majątkowych i miejsce ich przechowywania, numer rachunku klienta, szczegóły samej transakcji (data, kwota, waluta, tytuł, sposób zlecenia, numery rachunków), a w przypadku działalności transgranicznej — wskazanie powiązanego państwa. Najważniejsze są jednak dwa elementy: informacja o rozpoznanym ryzyku i o czynie zabronionym, z którego mogą pochodzić środki, oraz uzasadnienie zawiadomienia. To uzasadnienie jest sercem dobrego zgłoszenia.

Pełna wersja odpowiedzi (190 słów) dostępna w pełnej wersji e-booka. Kup e-book

Obowiązki informacyjne wobec GIIF nie kończą się na transakcjach. Instytucja obowiązana musi m.in.: przekazać formularz identyfikujący ją jako podmiot objęty ustawą (przed pierwszym wykonaniem obowiązków AML i aktualizować go przy zmianach danych), przekazywać informacje i dokumenty na każde żądanie GIIF, zawiadamiać o podejrzanych transakcjach przeprowadzonych mimo braku wcześniejszego zgłoszenia, a w razie potwierdzonych rozbieżności — przekazywać informacje o niezgodnościach danych w Centralnym Rejestrze Beneficjentów Rzeczywistych. Niektóre instytucje przekazują też GIIF informacje powiązane z zawiadomieniem prokuratora o środkach z innego przestępstwa. To rozbudowany strumień danych, nie tylko raporty o płatnościach.

Pełna wersja odpowiedzi (252 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Obowiązek raportowania nie ogranicza się do transakcji zrealizowanych — obejmuje także próby ich przeprowadzenia. Jeżeli instytucja nabierze uzasadnionego podejrzenia, że transakcja może mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, ale do jej wykonania nie doszło (np. klient się wycofał albo instytucja odmówiła), nadal musi zawiadomić GIIF o okolicznościach mogących wskazywać na podejrzenie. Zakres przekazywanych danych jest co do zasady taki sam jak przy transakcji zrealizowanej, a kluczowe jest opisanie okoliczności i uzasadnienie. Próba przeprowadzenia podejrzanej operacji bywa równie cennym sygnałem dla analizy GIIF jak operacja dokonana.

Pełna wersja odpowiedzi (159 słów) dostępna w pełnej wersji e-booka. Kup e-book

Komunikacja z GIIF odbywa się elektronicznie. Instytucja przekazuje informacje o transakcjach, zawiadomienia, formularz identyfikujący oraz dokumenty żądane przez GIIF za pomocą środków komunikacji elektronicznej, przez system teleinformatyczny udostępniony przez Generalnego Inspektora. Trzeba korzystać z urzędowych wzorów formularzy udostępnianych przez ministra finansów, a sposób i tryb przekazywania określają rozporządzenia wykonawcze. Forma papierowa jest wyjątkiem — dopuszczalna zasadniczo tylko przy awarii lub zakłóceniach systemów; po ustaniu przeszkody informację należy ponownie przekazać elektronicznie. W praktyce większość podmiotów korzysta z dedykowanego portalu GIIF lub interfejsu API.

Pełna wersja odpowiedzi (166 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nieprawidłowe raportowanie — przekazanie niepełnych lub nieprawdziwych danych, zgłoszenie transakcji niepodlegającej zgłoszeniu, uchybienie terminom czy niewłaściwa forma — naraża instytucję na kary administracyjne nakładane przez GIIF, włącznie z karą pieniężną, a w cięższych przypadkach na sankcje takie jak publikacja informacji o naruszeniu czy zakaz pełnienia funkcji kierowniczych przez osobę odpowiedzialną. Świadome wprowadzenie GIIF w błąd — przekazanie nieprawdziwych lub zatajenie prawdziwych danych o transakcjach, rachunkach lub osobach — jest przestępstwem zagrożonym karą pozbawienia wolności. Obok sankcji nieprawidłowe zgłoszenia osłabiają skuteczność całego systemu analitycznego GIIF.

Pełna wersja odpowiedzi (206 słów) dostępna w pełnej wersji e-booka. Kup e-book

Otrzymawszy od GIIF żądanie wstrzymania transakcji lub blokady rachunku, instytucja ma obowiązek wykonać je niezwłocznie. Żądanie GIIF przekazuje elektronicznie i może ono dotyczyć okresu do 96 godzin. Instytucja powinna mieć wewnętrzną procedurę określającą, kto wykonuje żądanie, jak dokumentuje się podjęte działania i jak zachować poufność. Przez cały czas obowiązuje zakaz informowania klienta o blokadzie, wstrzymaniu transakcji i o przekazaniu sprawy do GIIF (zakaz ujawniania). Dalsze losy blokady — jej przedłużenie na czas do 6 miesięcy — zależą już od prokuratora, który po zawiadomieniu przez GIIF może wydać stosowne postanowienie.

Pełna wersja odpowiedzi (264 słów) dostępna w pełnej wersji e-booka. Kup e-book

Gdy GIIF kontaktuje się z instytucją w związku z prowadzoną analizą — żądając wstrzymania transakcji, blokady rachunku albo udostępnienia informacji i dokumentów — instytucja powinna w pełni współpracować i wykonywać żądania w wyznaczonym terminie. Trzeba postępować zgodnie z wewnętrzną procedurą AML: wyznaczyć osobę odpowiedzialną za kontakt z GIIF, rejestrować korespondencję i dbać o poufność. Kluczowy jest bezwzględny zakaz informowania klienta o blokadzie, wstrzymaniu transakcji czy przekazaniu sprawy do GIIF. Decyzję o dalszym prowadzeniu lub zakończeniu relacji z klientem trzeba podejmować ostrożnie, tak by nie ujawnić klientowi rzeczywistej przyczyny związanej z podejrzeniem AML.

Pełna wersja odpowiedzi (196 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Instytucja obowiązana, jej pracownicy ani inne osoby działające w jej imieniu nie mogą ujawnić klientowi ani innym osobom nieuprawnionym faktu przekazania informacji do GIIF, ani tego, że prowadzona jest lub planowana analiza dotycząca prania pieniędzy lub finansowania terroryzmu. To tzw. zakaz ujawniania (tipping-off). Jego sens jest oczywisty: ostrzeżony klient mógłby wyprowadzić środki lub zatrzeć ślady, niwecząc cały sens zgłoszenia. Od zakazu istnieją wąskie wyjątki — m.in. wymiana informacji w ramach grupy oraz między określonymi kategoriami instytucji w odniesieniu do tego samego klienta i tej samej transakcji. Naruszenie zakazu jest przestępstwem.

Pełna wersja odpowiedzi (261 słów) dostępna w pełnej wersji e-booka. Kup e-book

Złamanie zakazu ujawniania jest przestępstwem. Kto — wbrew przepisom ustawy — ujawnia osobom nieuprawnionym, w tym klientowi czy posiadaczowi rachunku, informacje zgromadzone zgodnie z ustawą AML (w tym fakt przekazania informacji do GIIF lub prowadzenia analizy) albo wykorzystuje te informacje niezgodnie z przepisami, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Odpowiedzialność dotyczy konkretnej osoby fizycznej, która dopuściła się ujawnienia, a nie wyłącznie instytucji. Dlatego procedury wewnętrzne powinny jasno uświadamiać pracownikom, że nie wolno sygnalizować klientowi — choćby pośrednio czy „nieformalnie" — że jego sprawa trafiła do GIIF.

Pełna wersja odpowiedzi (201 słów) dostępna w pełnej wersji e-booka. Kup e-book

Na żądanie GIIF instytucja obowiązana musi niezwłocznie przekazać lub udostępnić posiadane informacje i dokumenty potrzebne GIIF do realizacji jego zadań. Obejmuje to w szczególności dane o klientach, o przeprowadzonych transakcjach, o rodzaju i wielkości wartości majątkowych oraz miejscu ich przechowywania, o stosowaniu bieżącego monitorowania stosunków gospodarczych, a także adresy IP, z których łączono się z systemem teleinformatycznym instytucji, oraz czasy tych połączeń. GIIF może w żądaniu wskazać termin oraz formę przekazania danych. Informacje i dokumenty przekazuje się nieodpłatnie, a w razie potrzeby — w formie kopii potwierdzonych za zgodność z oryginałem.

Pełna wersja odpowiedzi (179 słów) dostępna w pełnej wersji e-booka. Kup e-book

Co do zasady — niezwłocznie. Ustawa nie wyznacza tu sztywnego terminu liczonego w dniach: instytucja obowiązana ma przekazać lub udostępnić żądane informacje i dokumenty bez zbędnej zwłoki. GIIF może jednak w samym żądaniu wskazać konkretny termin i formę przekazania, a wówczas instytucja powinna się do nich zastosować. W praktyce oznacza to konieczność posiadania sprawnych procedur i osoby odpowiedzialnej za szybką obsługę żądań GIIF. Odrębne ograniczenia obowiązują przy świadczeniu pomocy prawnej — adwokaci, radcowie prawni i niektóre inne podmioty nie przekazują informacji objętych ustawowo chronioną tajemnicą związaną z reprezentacją w sprawach sądowych.

Pełna wersja odpowiedzi (159 słów) dostępna w pełnej wersji e-booka. Kup e-book

Niewykonanie żądania GIIF — nieprzekazanie żądanych informacji lub dokumentów w wyznaczonym terminie — naraża instytucję na kary administracyjne, w tym karę pieniężną, a także na inne sankcje z katalogu ustawowego, jak publikacja informacji o naruszeniu czy zakaz pełnienia funkcji kierowniczych przez osobę odpowiedzialną. Osoba działająca w imieniu instytucji, która nie dopełnia obowiązku przekazania GIIF informacji w sytuacjach objętych odpowiedzialnością karną, może odpowiadać karnie. Dodatkowo utrudnianie czynności kontrolnych bywa odrębnie sankcjonowane. W praktyce sprawne reagowanie na żądania GIIF jest jednym z podstawowych mierników dojrzałości systemu AML w instytucji.

Pełna wersja odpowiedzi (178 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak, choć w innym trybie niż wobec instytucji obowiązanych. GIIF może pozyskiwać informacje istotne dla swoich zadań także od podmiotów, które nie są objęte ustawą AML — na podstawie zawieranych z nimi porozumień określających zakres, formę i tryb przekazywania danych. To narzędzie pozwala GIIF uzupełniać analizę o informacje spoza systemu instytucji obowiązanych. Należy odróżnić ten mechanizm od żądań kierowanych do instytucji obowiązanych: te ostatnie mają bezwzględny ustawowy obowiązek niezwłocznego przekazania danych na żądanie GIIF, podczas gdy współpraca z podmiotami trzecimi opiera się na porozumieniach.

Pełna wersja odpowiedzi (133 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Instytucja obowiązana może powierzyć stosowanie środków bezpieczeństwa finansowego podmiotowi zewnętrznemu, ustawa AML wprost na to pozwala. Możliwe są dwa modele: poleganie na środkach zastosowanych już przez inny podmiot (np. inną instytucję obowiązaną) albo powierzenie tych czynności podmiotowi, który działa w imieniu i na rzecz instytucji obowiązanej, jak część jej organizacji. W obu przypadkach jest jednak granica nieprzekraczalna: outsourcing nie zwalnia instytucji obowiązanej z odpowiedzialności. Jeżeli środki zostaną zastosowane wadliwie, konsekwencje (w tym kary administracyjne) poniesie instytucja obowiązana, a nie podmiot, któremu zleciła czynności. Dlatego kluczowe są: dobra umowa, weryfikacja partnera i bieżący nadzór.

Pełna wersja odpowiedzi (239 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zależy to od modelu współpracy. Jeśli instytucja obowiązana chce polegać na czynnościach już wykonanych przez kogoś innego, ten ktoś musi być podmiotem podlegającym reżimowi AML i nadzorowi — inną instytucją obowiązaną albo zagranicznym podmiotem stosującym równoważne standardy i podlegającym odpowiedniemu nadzorowi. Nie wystarczy więc dowolny usługodawca. Jeśli natomiast instytucja powierza czynności podmiotowi, który działa w jej imieniu i na jej rzecz jak część jej organizacji (np. agentowi), może to być w zasadzie dowolny podmiot — pod warunkiem pisemnej umowy traktującej go jako część instytucji obowiązanej. W obu modelach obowiązuje zakaz korzystania z podmiotów z państw trzecich wysokiego ryzyka, z wąskimi wyjątkami dla podmiotów z grupy.

Pełna wersja odpowiedzi (241 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podstawowy wymóg ustawowy to forma pisemna. Umowa, na podstawie której podmiot zewnętrzny stosuje środki bezpieczeństwa finansowego w imieniu instytucji obowiązanej, musi zostać zawarta na piśmie i przewidywać, że ten podmiot jest traktowany jako część instytucji obowiązanej. Ustawa nie wylicza szczegółowo pozostałych postanowień, ale dobra praktyka i potrzeba wykazania zgodności wymagają, by umowa precyzyjnie określała: zakres powierzonych czynności, zasady niezwłocznego przekazywania dokumentów i informacji, mechanizmy nadzoru i kontroli instytucji obowiązanej oraz odpowiedzialność stron. Ponieważ wiążą się z tym dane osobowe klientów, umowa powinna też spełniać wymogi RODO dotyczące powierzenia przetwarzania danych.

Pełna wersja odpowiedzi (248 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Niezwłocznie" w tym kontekście oznacza praktycznie natychmiast. Podmiot zewnętrzny, który stosuje środki bezpieczeństwa finansowego w imieniu instytucji obowiązanej, musi na jej żądanie bez zbędnej zwłoki przekazać wszystkie dokumenty i informacje uzyskane podczas identyfikacji i weryfikacji klienta oraz beneficjenta rzeczywistego. GIIF wyjaśnił, że „niezwłocznie" należy rozumieć jako „na bieżąco, natychmiast lub od ręki". Chodzi o to, by instytucja obowiązana miała realny, szybki dostęp do dokumentacji, bo to ona musi prowadzić bieżącą analizę transakcji i raportować do GIIF. Opóźnienie w dostępie do danych może uniemożliwić jej wykonanie tych obowiązków.

Pełna wersja odpowiedzi (219 słów) dostępna w pełnej wersji e-booka. Kup e-book

Odpowiedzialność pozostaje w całości po stronie instytucji obowiązanej. Niezależnie od tego, czy korzysta ona z czynności podmiotu trzeciego, czy powierza je podmiotowi działającemu w jej imieniu, to instytucja obowiązana odpowiada za prawidłowe zastosowanie środków bezpieczeństwa finansowego. Jeśli outsourcer popełni błąd lub zaniedba obowiązki, konsekwencje — w tym kary administracyjne nakładane przez GIIF — poniesie instytucja obowiązana, a nie wykonawca. Dlatego ustawa nie traktuje outsourcingu jako sposobu na „pozbycie się" ryzyka. Przeciwnie: instytucja musi starannie dobrać partnera, zawrzeć precyzyjną umowę i sprawować nad nim realny nadzór przez cały czas współpracy.

Pełna wersja odpowiedzi (228 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana, która działa za pośrednictwem agentów, musi zapewnić, że agenci stosują wymagane środki bezpieczeństwa finansowego i procedury AML — i sprawować nad nimi nadzór. Podstawa tego nadzoru wynika z zasady, że powierzenie czynności nie zwalnia z odpowiedzialności (art. 48 ust. 2 ustawy AML), oraz z przepisów sektorowych regulujących działalność przez agentów (np. ustawa o usługach płatniczych). W praktyce nadzór obejmuje: weryfikację agenta przed rozpoczęciem współpracy, objęcie go procedurą wewnętrzną i szkoleniami AML, kontrolę bieżących działań, zapewnienie dostępu do informacji oraz reagowanie na nieprawidłowości. Obowiązek szkoleń osób wykonujących zadania AML wynika przy tym z art. 52 ustawy AML.

Pełna wersja odpowiedzi (314 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Ustawa AML przewiduje szczególny model pośrednictwa przy przekazywaniu informacji do GIIF. Instytucja obowiązana może przekazywać informacje o transakcjach za pośrednictwem określonych podmiotów — izb gospodarczych zrzeszających instytucje obowiązane, banków zrzeszających banki spółdzielcze, izb rozliczeniowych, a także innych podmiotów na podstawie zawartej umowy. Korzystanie z pośrednika nie zmienia jednak tego, kto odpowiada za przekaz: odpowiedzialność za przekazanie informacji do GIIF pozostaje przy instytucji obowiązanej. Należy odróżnić to pośrednictwo informacyjne od outsourcingu stosowania środków bezpieczeństwa finansowego — to dwa różne mechanizmy oparte na różnych przepisach.

Pełna wersja odpowiedzi (211 słów) dostępna w pełnej wersji e-booka. Kup e-book

Zasada jest jedna i konsekwentna we wszystkich modelach współpracy: odpowiedzialność za przestrzeganie przepisów AML/CFT pozostaje przy instytucji obowiązanej. Niezależnie od tego, czy korzysta ona z podmiotu trzeciego przy środkach bezpieczeństwa finansowego, czy powierza je agentowi, czy przekazuje informacje przez pośrednika, to instytucja obowiązana odpowiada za prawidłowe wykonanie obowiązków. W razie naruszeń popełnionych przez agenta lub pośrednika konsekwencje — w tym kary administracyjne nakładane przez GIIF — poniesie instytucja obowiązana. Dlatego powierzenie czynności wymaga starannego doboru partnera, dobrej umowy i bieżącego nadzoru, a samo zlecenie nie przenosi ryzyka prawnego.

Pełna wersja odpowiedzi (211 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Agent ani inny podmiot, któremu powierzono stosowanie środków bezpieczeństwa finansowego, nie zgłasza samodzielnie podejrzanych transakcji do GIIF. To obowiązek zastrzeżony dla samej instytucji obowiązanej. Podmiot zewnętrzny powinien niezwłocznie przekazać instytucji obowiązanej wszystkie informacje wskazujące na podejrzenie, a następnie to instytucja obowiązana — po potwierdzeniu podejrzenia — zawiadamia GIIF w ustawowym terminie. Umowa z agentem powinna jasno określać sposób i formę przekazywania takich sygnałów, tak aby instytucja obowiązana mogła dochować terminu i prawidłowo wypełnić obowiązek raportowy.

Pełna wersja odpowiedzi (202 słów) dostępna w pełnej wersji e-booka. Kup e-book

Współpracę z podmiotami zewnętrznymi trzeba dokumentować tak, aby w razie kontroli móc wykazać, że instytucja obowiązana panowała nad procesem i przestrzegała przepisów. Dokumentacja powinna obejmować przede wszystkim: pisemne umowy określające zakres powierzonych czynności i zasady przekazywania informacji, dowody przeszkolenia osób wykonujących zadania AML, ślady prowadzonych kontroli i działań nadzorczych, korespondencję w sprawach AML oraz przekazane kopie dokumentów i informacji o klientach. Kopie dokumentów i informacji uzyskane w wyniku stosowania środków bezpieczeństwa finansowego przechowuje się co do zasady przez 5 lat. GIIF może zażądać dłuższego przechowywania.

Pełna wersja odpowiedzi (298 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Instytucja obowiązana co do zasady nie może korzystać z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego, jeżeli ten podmiot ma siedzibę w państwie trzecim wysokiego ryzyka. Od zakazu istnieją wąskie wyjątki: dotyczy on m.in. korzystania z usług własnych oddziałów lub spółek zależnych instytucji obowiązanej oraz oddziałów i spółek zależnych podmiotów z UE — ale tylko pod warunkiem, że stosują one procedury grupowe AML. Niezależnie od tego, w relacjach związanych z państwami trzecimi wysokiego ryzyka instytucja obowiązana musi stosować wzmożone środki bezpieczeństwa finansowego.

Pełna wersja odpowiedzi (274 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa AML nie posługuje się wprost pojęciem „audytu" podmiotów zewnętrznych ani nie określa jego częstotliwości czy zakresu. Wynika z niej natomiast obowiązek faktycznej kontroli: skoro instytucja obowiązana zachowuje pełną odpowiedzialność za powierzone czynności, musi weryfikować, czy podmiot zewnętrzny rzeczywiście stosuje wymagane procedury i środki. W praktyce taka weryfikacja przyjmuje formę okresowych przeglądów obejmujących zgodność procedur AML podmiotu, bezpieczeństwo przetwarzania danych, kwalifikacje personelu oraz skuteczność stosowanych środków. Zakres i częstotliwość przeglądu powinny być proporcjonalne do ryzyka, a ich wyniki — udokumentowane.

Pełna wersja odpowiedzi (233 słów) dostępna w pełnej wersji e-booka. Kup e-book

AML i RODO da się pogodzić, bo nie są sprzeczne. Przetwarzanie danych na potrzeby przeciwdziałania praniu pieniędzy ma mocną podstawę prawną — jest to wykonanie obowiązku nałożonego ustawą AML. Klucz to stosowanie zasad RODO w praktyce: zbieraj tylko dane naprawdę potrzebne do AML (minimalizacja), wykorzystuj je wyłącznie w tym celu (ograniczenie celu), zabezpiecz je technicznie i organizacyjnie, przechowuj przez ustawowy okres (co do zasady 5 lat) i poinformuj klienta o przetwarzaniu jego danych. Tam, gdzie ustawa AML wymaga określonego działania (np. zgłoszenia transakcji do GIIF czy zachowania tajemnicy), ma ono pierwszeństwo, ale i tak realizujesz je z poszanowaniem zasad ochrony danych. W razie wątpliwości warto skonsultować rozwiązanie z inspektorem ochrony danych.

Pełna wersja odpowiedzi (323 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podstawą jest obowiązek prawny. Ustawa AML nakłada na instytucje obowiązane szereg zadań — identyfikację i weryfikację klienta, monitorowanie transakcji, raportowanie do GIIF — których nie da się wykonać bez przetwarzania danych. Dlatego przetwarzanie opiera się na art. 6 ust. 1 lit. c RODO, czyli na niezbędności do wypełnienia obowiązku prawnego. Nie jest do tego potrzebna zgoda klienta — przetwarzanie odbywa się niezależnie od jego woli. Dla danych szczególnie chronionych (np. o poglądach politycznych) podstawą jest ważny interes publiczny. Zgoda może być potrzebna tylko dla celów wykraczających poza AML, np. marketingu.

Pełna wersja odpowiedzi (283 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dane szczególnych kategorii (m.in. o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, zdrowiu, orientacji seksualnej, dane biometryczne służące identyfikacji) są pod silniejszą ochroną. W AML wolno je przetwarzać, ale tylko gdy jest to rzeczywiście niezbędne — np. przy ustalaniu statusu PEP czy analizie transakcji powiązanych z finansowaniem terroryzmu. Podstawą jest ważny interes publiczny, a nie zgoda. Zakres trzeba ograniczyć do minimum, dane szczególnie zabezpieczyć, a dostęp do nich ograniczyć tylko do osób, które ich potrzebują. Im wrażliwsze dane, tym ostrożniej należy z nimi postępować.

Pełna wersja odpowiedzi (293 słów) dostępna w pełnej wersji e-booka. Kup e-book

Co do zasady 5 lat. Okres ten liczy się od dnia zakończenia stosunków gospodarczych z klientem albo od dnia przeprowadzenia transakcji okazjonalnej. W tym czasie przechowujesz kopie dokumentów i informacje uzyskane przy stosowaniu środków bezpieczeństwa finansowego oraz dowody i ewidencje transakcji. Wyniki analiz transakcji również przechowuje się 5 lat. W szczególnych sytuacjach GIIF może zażądać przedłużenia o kolejne maksymalnie 5 lat, jeśli jest to potrzebne dla prowadzonych postępowań. Po upływie okresu dane należy usunąć — przechowywanie „na zapas" jest niezgodne z prawem.

Pełna wersja odpowiedzi (280 słów) dostępna w pełnej wersji e-booka. Kup e-book

To trudniejsze niż wobec klienta, bo z beneficjentem rzeczywistym instytucja zwykle nie ma bezpośredniego kontaktu. W praktyce stosuje się trzy ścieżki: zobowiązać klienta (np. spółkę) w umowie, by sam przekazał beneficjentowi klauzulę informacyjną; pozyskać od klienta dane kontaktowe beneficjenta i poinformować go bezpośrednio; albo udostępnić klauzulę informacyjną w łatwo dostępnym miejscu, np. na stronie internetowej. RODO przewiduje też wyjątki — gdy bezpośrednie poinformowanie jest niemożliwe lub wymagałoby niewspółmiernego wysiłku albo gdy pozyskanie danych jest uregulowane prawem, jak w przypadku ustawy AML.

Pełna wersja odpowiedzi (253 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak — ustawa AML wprost pozwala instytucji obowiązanej przetwarzać informacje z dokumentów tożsamości klienta i osoby działającej w jego imieniu oraz sporządzać ich kopie (a więc także skany). To samodzielna podstawa prawna i nie trzeba dodatkowej zgody klienta. Trzeba jednak działać proporcjonalnie i z poszanowaniem RODO: kopiować tylko gdy to potrzebne, ograniczyć zakres danych, zabezpieczyć kopie, poinformować klienta i przechowywać je przez ustawowy okres. Warto pamiętać, że stanowiska GIIF i UODO różnią się co do tego, jak szeroko z tej możliwości korzystać — szczegóły w kolejnym pytaniu. Alternatywą bywa wideoweryfikacja lub przelew weryfikacyjny.

Podstawa prawna: Art. 34 ust. 4 ustawy AML: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie." To samodzielny tytuł do sporządzania kopii (w tym skanów), niewymagający odrębnej zgody klienta

Pełna wersja odpowiedzi (166 słów) dostępna w pełnej wersji e-booka. Kup e-book

Oba organy zgadzają się, że ustawa AML pozwala kopiować dokumenty tożsamości, ale różnią się akcentami. GIIF traktuje art. 34 ust. 4 ustawy AML jako pełną podstawę do sporządzania kopii w ramach środków bezpieczeństwa finansowego. UODO podchodzi ostrożniej: podkreśla, że kopiowanie musi być niezbędne i proporcjonalne, że nie jest bezwzględnym obowiązkiem (ustawa wymaga weryfikacji tożsamości, niekoniecznie kopii), i przypomina o zasadzie minimalizacji. W praktyce instytucje stosują kompromis — kopiują tylko gdy to potrzebne, ograniczają zakres danych (np. zasłaniają zbędne pola) i dobierają środki do poziomu ryzyka.

Pełna wersja odpowiedzi (218 słów) dostępna w pełnej wersji e-booka. Kup e-book

Minimalizacja to zbieranie wyłącznie danych niezbędnych do wykonania obowiązków AML — nie więcej. W praktyce: ustal dokładnie, jakich danych wymaga ustawa (są one wskazane w przepisach o środkach bezpieczeństwa finansowego), dostosuj zakres do poziomu ryzyka (przy niskim ryzyku można stosować środki uproszczone, przy wysokim — wzmożone), udostępniaj dane tylko pracownikom, którzy ich potrzebują, i nie przechowuj ich dłużej niż przez ustawowy okres. Minimalizacja nie może jednak prowadzić do niewykonania obowiązków AML — gdy przepis wymaga określonych danych, trzeba je zebrać.

Pełna wersja odpowiedzi (203 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Gdy klient żąda usunięcia danych („prawo do bycia zapomnianym"), instytucja obowiązana może — a często musi — odmówić, jeśli dane są jej potrzebne do wykonania obowiązku prawnego, czyli przechowywania dokumentacji AML przez ustawowy okres (co do zasady 5 lat). RODO samo przewiduje taki wyjątek: prawo do usunięcia nie ma zastosowania, gdy przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego albo do ustalenia, dochodzenia lub obrony roszczeń. Po upływie okresu retencji dane należy usunąć. O odmowie i jej przyczynach trzeba poinformować osobę, wskazując prawo skargi do UODO.

Pełna wersja odpowiedzi (291 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przetwarzanie danych w celach AML to zwykłe przetwarzanie w rozumieniu RODO, więc wymaga standardowej dokumentacji ochrony danych. Należy prowadzić rejestr czynności przetwarzania, przygotować klauzule informacyjne dla klientów i beneficjentów, opisać środki bezpieczeństwa danych, zawrzeć umowy powierzenia z dostawcami (np. systemów monitorowania transakcji), prowadzić rejestr naruszeń, a w razie wysokiego ryzyka przeprowadzić ocenę skutków dla ochrony danych (DPIA). Procedura AML powinna uwzględniać też kwestie RODO. Kluczowe: wskazać, że podstawą jest obowiązek prawny, a nie zgoda klienta.

Pełna wersja odpowiedzi (217 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie. Przetwarzanie danych na potrzeby AML opiera się na obowiązku prawnym (art. 6 ust. 1 lit. c RODO), a nie na zgodzie. Ustawa AML nakłada na instytucje obowiązek stosowania środków bezpieczeństwa finansowego, więc dane przetwarza się niezależnie od woli klienta — i klient nie może tego skutecznie zablokować ani cofnąć „zgody", bo jej tu nie ma. Zgoda może być potrzebna tylko dla celów wykraczających poza AML, np. marketingu. Mimo braku wymogu zgody trzeba spełnić obowiązek informacyjny — poinformować klienta, że i po co przetwarzasz jego dane.

Pełna wersja odpowiedzi (217 słów) dostępna w pełnej wersji e-booka. Kup e-book

Obowiązek informacyjny realizuje się na zasadach RODO, z uwzględnieniem specyfiki AML. Ustawa AML wprost wymaga, by przed nawiązaniem relacji poinformować klienta o przetwarzaniu jego danych. W klauzuli należy podać m.in.: kto jest administratorem, w jakim celu i na jakiej podstawie przetwarza dane (obowiązek prawny), komu mogą być przekazane (np. GIIF), jak długo będą przechowywane (co do zasady 5 lat) oraz jakie prawa przysługują osobie. Jest jeden ważny wyjątek: nie wolno informować klienta o tym, że zgłoszono jego transakcję do GIIF lub że prowadzona jest analiza — to objęte tajemnicą („zakaz tippingu").

Pełna wersja odpowiedzi (295 słów) dostępna w pełnej wersji e-booka. Kup e-book

Nie ma takiego obowiązku wprost w ustawie AML. Konieczność wyznaczenia IOD wynika z RODO i zależy od charakteru i skali przetwarzania. IOD trzeba wyznaczyć m.in., gdy główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę albo na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych o przestępstwach. Część instytucji obowiązanych spełni te kryteria, część nie — trzeba to ocenić indywidualnie. Co istotne, IOD to inna rola niż osoby odpowiedzialne za AML wyznaczane na podstawie ustawy AML — to dwie odrębne funkcje.

Pełna wersja odpowiedzi (237 słów) dostępna w pełnej wersji e-booka. Kup e-book

Naruszenia danych w obszarze AML zgłasza się tak samo jak każde inne naruszenie RODO. Jeśli naruszenie może powodować ryzyko dla praw lub wolności osób, instytucja zgłasza je do UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia. Gdy ryzyko jest wysokie, trzeba zawiadomić także same osoby, których dane dotyczą. Zgłoszenie powinno opisywać naturę naruszenia, skalę, prawdopodobne skutki i podjęte działania. Specyfika AML: jeśli naruszenie dotyczy danych objętych tajemnicą (np. informacji o zgłoszeniu do GIIF), trzeba pamiętać o zakazie ich ujawniania i ostrożnie dobrać treść zawiadomień.

Pełna wersja odpowiedzi (223 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ocenę skutków dla ochrony danych (DPIA) przeprowadza się, gdy przetwarzanie może powodować wysokie ryzyko dla praw lub wolności osób — a w AML takie sytuacje są częste. DPIA jest wskazana zwłaszcza przy automatycznym monitorowaniu transakcji na dużą skalę, profilowaniu klientów na potrzeby oceny ryzyka, stosowaniu nowych technologii (np. sztucznej inteligencji) czy przetwarzaniu danych biometrycznych. Ocena powinna opisać operacje przetwarzania i ich cel, zbadać niezbędność i proporcjonalność, ocenić ryzyko dla osób i wskazać środki je ograniczające. Wyniki należy udokumentować i okresowo aktualizować. W razie wątpliwości warto skonsultować się z IOD lub UODO.

Pełna wersja odpowiedzi (297 słów) dostępna w pełnej wersji e-booka. Kup e-book

Listy sankcyjne to urzędowe wykazy osób i podmiotów, wobec których stosuje się środki ograniczające — najczęściej zamrożenie majątku i zakaz udostępniania im jakichkolwiek wartości majątkowych. Celem jest przeciwdziałanie terroryzmowi, jego finansowaniu, proliferacji broni masowego rażenia oraz innym zagrożeniom dla bezpieczeństwa międzynarodowego. W Polsce instytucja obowiązana sprawdza klientów wobec kilku list jednocześnie: list ONZ i UE (rozporządzenia Rady UE), krajowej listy „antyterrorystycznej" prowadzonej przez Generalnego Inspektora Informacji Finansowej (GIIF) oraz krajowej listy prowadzonej przez ministra spraw wewnętrznych na podstawie tzw. ustawy sankcyjnej z 2022 r. (dotyczącej Rosji i Białorusi). W praktyce wiele podmiotów sprawdza też listy zagraniczne, np. amerykańską OFAC czy brytyjską OFSI. Wszystkie listy są publicznie dostępne — głównie w Biuletynie Informacji Publicznej odpowiednich ministerstw oraz w Dzienniku Urzędowym UE.

Pełna wersja odpowiedzi (307 słów) dostępna w pełnej wersji e-booka. Kup e-book

Instytucja obowiązana musi sprawdzać swoich klientów (oraz beneficjentów rzeczywistych i osoby działające w ich imieniu) wobec obowiązujących list sankcyjnych — przed nawiązaniem relacji, przed transakcją okazjonalną i na bieżąco w trakcie współpracy, a także po każdej aktualizacji list. Jeśli klient lub jego beneficjent rzeczywisty figuruje na liście, instytucja niezwłocznie zamraża jego wartości majątkowe i nie udostępnia mu żadnych środków — bez uprzedzania go o tym. O zamrożeniu (lub o tym, że nie było ono możliwe) zawiadamia GIIF najpóźniej w ciągu 2 dni roboczych. Zasady weryfikacji i postępowania w razie trafienia powinny być opisane w wewnętrznej procedurze AML.

Pełna wersja odpowiedzi (310 słów) dostępna w pełnej wersji e-booka. Kup e-book

W Polsce funkcjonują dwie krajowe listy sankcyjne i należy je odróżniać. Pierwsza to lista „antyterrorystyczna" prowadzona przez Generalnego Inspektora Informacji Finansowej (GIIF) na podstawie ustawy AML — wpis następuje decyzją GIIF wydaną po rekomendacji Komitetu Bezpieczeństwa Finansowego, a skutkiem jest zamrożenie majątku i zakaz udostępniania środków. Druga to lista związana z agresją Rosji na Ukrainę, prowadzona przez ministra spraw wewnętrznych (MSWiA) na podstawie ustawy z 13 kwietnia 2022 r.; obejmuje osoby i podmioty powiązane z Rosją i Białorusią. Obie listy są publikowane w Biuletynie Informacji Publicznej i obie są dla instytucji obowiązanych wiążące.

Pełna wersja odpowiedzi (372 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Obowiązek weryfikacji wobec list sankcyjnych dotyczy wszystkich instytucji obowiązanych, bez wyjątku, i obejmuje wszystkie obowiązujące listy: ONZ, UE, krajową listę AML prowadzoną przez GIIF oraz listę MSWiA z ustawy z 2022 r. Zakres list, które trzeba sprawdzać, nie zależy od profilu ryzyka klienta — sprawdza się każdego klienta i każdego beneficjenta rzeczywistego. Od ryzyka zależy natomiast częstotliwość i głębokość ponownych weryfikacji, a nie sam katalog list. Weryfikację przeprowadza się przed nawiązaniem relacji, przed transakcją okazjonalną, na bieżąco oraz po każdej aktualizacji list.

Pełna wersja odpowiedzi (258 słów) dostępna w pełnej wersji e-booka. Kup e-book

Konsekwencje są dotkliwe i występują na kilku płaszczyznach. Za naruszenie obowiązków sankcyjnych grożą wysokie kary administracyjne, a w najpoważniejszych przypadkach — odpowiedzialność karna. W reżimie ustawy AML niedopełnienie obowiązku stosowania szczególnych środków ograniczających (np. brak zamrożenia majątku) jest zagrożone karą administracyjną, w tym karą pieniężną. Naruszenie unijnych sankcji wobec Rosji i Białorusi — np. brak zamrożenia środków — podlega na gruncie ustawy z 2022 r. karze pieniężnej nakładanej przez Szefa Krajowej Administracji Skarbowej w wysokości nawet do 20 mln zł. Do tego dochodzą skutki reputacyjne i ryzyko utraty dostępu do rynku finansowego.

Pełna wersja odpowiedzi (418 słów) dostępna w pełnej wersji e-booka. Kup e-book

Ustawa nie wyznacza sztywnej częstotliwości — obowiązuje podejście oparte na ryzyku. Bazę klientów weryfikuje się regularnie i cyklicznie, a częstotliwość dostosowuje do poziomu ryzyka: klientów wysokiego ryzyka sprawdza się częściej, niskiego — rzadziej. Niezależnie od tego weryfikację przeprowadza się zawsze: przed nawiązaniem relacji, przed transakcją okazjonalną, przy wątpliwościach co do tożsamości oraz przy każdej zmianie danych klienta. Kluczowy jest też przegląd całej bazy klientów niezwłocznie po każdej aktualizacji list sankcyjnych. Zasady i częstotliwość należy opisać w wewnętrznej procedurze AML, a w praktyce stosować rozwiązania automatyczne, które przeszukują bazę po każdej zmianie list.

Pełna wersja odpowiedzi (218 słów) dostępna w pełnej wersji e-booka. Kup e-book

Częściowe dopasowanie (np. zgodne imię i nazwisko, ale niepewna data urodzenia) to jeszcze nie potwierdzenie trafienia — wymaga pogłębionej weryfikacji. Należy porównać wszystkie dostępne dane: pełne imię i nazwisko, datę i miejsce urodzenia, obywatelstwo, numery identyfikacyjne (PESEL, paszport), adres. Można uzyskać dodatkowe dokumenty od klienta i sprawdzić wiarygodne źródła (KRS, CEIDG). Cały proces trzeba dokumentować. Jeśli dopasowanie się potwierdzi — zamrożenie środków, wstrzymanie transakcji i niezwłoczne zawiadomienie GIIF. Jeśli wątpliwości pozostaną nierozwiane, a ryzyko jest wysokie — należy rozważyć odmowę przeprowadzenia transakcji lub nawiązania relacji. Jeśli dopasowanie da się wykluczyć — relację można kontynuować, dokumentując uzasadnienie.

Pełna wersja odpowiedzi (234 słów) dostępna w pełnej wersji e-booka. Kup e-book

Weryfikację wobec list sankcyjnych dokumentuje się tak, aby w razie kontroli wykazać, że była rzetelna i skuteczna. Zapisz: datę i czas weryfikacji, którą listę (lub listy) sprawdzono, kto był weryfikowany (klient, beneficjent rzeczywisty, osoba upoważniona), wynik (dopasowanie / brak), a przy częściowym dopasowaniu — przebieg rozstrzygania i jego efekt. Przy trafieniu udokumentuj podjęte działania: zamrożenie środków, zakaz udostępniania, zawiadomienie GIIF. Zanotuj też, kto przeprowadził weryfikację i czy odbyła się ręcznie, czy w systemie. Dokumentację — papierową lub elektroniczną — przechowuje się przez 5 lat.

Pełna wersja odpowiedzi (245 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Rozdział 10 ustawy AML nakłada na instytucje obowiązane obowiązek stosowania tzw. szczególnych środków ograniczających wobec osób i podmiotów powiązanych z terroryzmem. Środki te polegają na zamrożeniu wartości majątkowych (zakaz ich przenoszenia, zmiany czy wykorzystania) oraz na zakazie udostępniania jakichkolwiek środków tym osobom — bezpośrednio i pośrednio. Instytucja stosuje je wobec osób z list ONZ ogłaszanych przez GIIF oraz z krajowej listy prowadzonej przez GIIF. Zamrożenie następuje niezwłocznie i bez uprzedzania zainteresowanego, a o jego dokonaniu trzeba zawiadomić GIIF najpóźniej w ciągu 2 dni roboczych. To wyodrębniony, „antyterrorystyczny" reżim sankcyjny ustawy AML — odrębny od sankcji UE wobec Rosji i Białorusi.

Pełna wersja odpowiedzi (401 słów) dostępna w pełnej wersji e-booka. Kup e-book

Za nieprzestrzeganie przepisów AML/CFT grożą dwie odrębne ścieżki odpowiedzialności. Pierwsza to kary administracyjne nakładane przez organy nadzoru na instytucję obowiązaną: od publikacji informacji o naruszeniu, przez nakaz zaprzestania określonych czynności, cofnięcie zezwolenia czy zakaz pełnienia funkcji kierowniczych, aż po kary pieniężne. Druga to odpowiedzialność karna za przestępstwa opisane w ustawie AML (np. niezłożenie zawiadomienia do GIIF, ujawnienie chronionych informacji) oraz w Kodeksie karnym (pranie pieniędzy, finansowanie terroryzmu). Odrębnie ustawa przewiduje kary pieniężne za uchybienia wobec Centralnego Rejestru Beneficjentów Rzeczywistych. Wysokość sankcji zależy od rodzaju naruszenia i statusu podmiotu.

Pełna wersja odpowiedzi (343 słów) dostępna w pełnej wersji e-booka. Kup e-book

Odpowiedzialność jest wielopoziomowa. Sama instytucja obowiązana odpowiada administracyjnie — to na nią nakładane są kary pieniężne i pozostałe sankcje za naruszenia. Odrębnie odpowiadać mogą osoby zarządzające: członek organu zarządzającego (kadra kierownicza) wyznaczony do nadzoru nad systemem AML może zostać ukarany karą pieniężną do 1 000 000 zł. Pracownicy i osoby działające w imieniu instytucji ponoszą odpowiedzialność karną za konkretne przestępstwa, np. niezgłoszenie podejrzanej transakcji czy ujawnienie chronionych informacji. Dodatkowo wchodzi w grę odpowiedzialność pracownicza (dyscyplinarna) oraz — wobec podmiotów zbiorowych — odpowiedzialność na podstawie odrębnej ustawy.

Pełna wersja odpowiedzi (238 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dla osoby fizycznej maksymalna kara administracyjna zależy od tego, jakiego rodzaju instytucji obowiązanej dotyczy. W przypadku instytucji sektora finansowego (banki, firmy inwestycyjne, instytucje płatnicze i podobne) kara pieniężna dla osoby fizycznej może sięgnąć 20 868 500 zł. Poza tym katalogiem obowiązuje pułap ogólny: dwukrotność osiągniętej korzyści lub unikniętej straty, a gdy nie da się jej ustalić — równowartość 1 000 000 euro. Osobno osoba odpowiedzialna za AML w instytucji może zostać ukarana karą pieniężną do 1 000 000 zł. W razie przestępstwa wchodzi w grę odpowiedzialność karna — pozbawienie wolności lub grzywna.

Pełna wersja odpowiedzi (234 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dla osoby prawnej będącej instytucją obowiązaną sektora finansowego maksymalna kara pieniężna wynosi równowartość 5 000 000 euro albo 10% obrotu wykazanego w ostatnim zatwierdzonym (lub skonsolidowanym) sprawozdaniu finansowym — stosuje się kwotę wyższą. Dla pozostałych instytucji obowiązanych obowiązuje pułap ogólny: dwukrotność osiągniętej korzyści lub unikniętej straty, a gdy nie da się jej ustalić — równowartość 1 000 000 euro. Poza karą pieniężną osobie prawnej grożą inne sankcje administracyjne: publikacja informacji o naruszeniu, nakaz zaprzestania czynności czy cofnięcie zezwolenia.

Pełna wersja odpowiedzi (248 słów) dostępna w pełnej wersji e-booka. Kup e-book

Kary administracyjne nakładają organy sprawujące kontrolę nad instytucjami obowiązanymi. Podstawowym organem jest Generalny Inspektor Informacji Finansowej (GIIF). Wobec podmiotów nadzorowanych przez Komisję Nadzoru Finansowego kary nakłada KNF, a wobec działalności kantorowej — Prezes Narodowego Banku Polskiego. Krąg organów jest szerszy: obejmuje także naczelników urzędów celno-skarbowych, prezesów sądów apelacyjnych (wobec notariuszy), Krajową SKOK, a wobec stowarzyszeń i fundacji — odpowiednio wojewodów, ministrów lub starostów. Kary karne orzekają natomiast sądy w postępowaniu karnym.

Pełna wersja odpowiedzi (206 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podczas kontroli instytucja obowiązana musi aktywnie współpracować z kontrolerami. Zapewnia im warunki i środki do sprawnego przeprowadzenia kontroli, w tym dostęp do pomieszczeń oraz systemów teleinformatycznych. Udostępnia żądane dokumenty i materiały (procedury, oceny ryzyka, rejestry transakcji), udziela wyjaśnień i odpowiada na pytania, umożliwia sporządzanie kopii oraz dokumentowanie czynności. Dokumenty obcojęzyczne przedkłada w urzędowym tłumaczeniu na język polski i ponosi związane z tym koszty. Udaremnianie lub utrudnianie kontroli jest przestępstwem zagrożonym grzywną.

Pełna wersja odpowiedzi (181 słów) dostępna w pełnej wersji e-booka. Kup e-book

Pranie pieniędzy to przestępstwo z art. 299 Kodeksu karnego. Karze podlega ten, kto przyjmuje, przekazuje, ukrywa, transferuje lub w inny sposób „legalizuje" mienie pochodzące z korzyści związanych z czynem zabronionym, utrudniając ustalenie jego przestępnego pochodzenia. Typ podstawowy zagrożony jest karą pozbawienia wolności, surowszą w przypadkach kwalifikowanych (działanie w porozumieniu z innymi, znaczna korzyść majątkowa). Odrębnie ustawa AML penalizuje uchybienia po stronie osób działających w imieniu instytucji obowiązanej (art. 156 — m.in. niezłożenie zawiadomienia do GIIF). Finansowanie terroryzmu jest osobnym przestępstwem z art. 165a KK.

Pełna wersja odpowiedzi (329 słów) dostępna w pełnej wersji e-booka. Kup e-book

Polskie prawo karne przewiduje także odpowiedzialność za nieumyślne formy zachowań związanych z praniem pieniędzy. Co do zasady czyn z art. 299 Kodeksu karnego jest przestępstwem umyślnym, ale Kodeks karny dopuszcza odpowiedzialność łagodniejszą tam, gdzie sprawca nie miał zamiaru, lecz naruszył wymaganą ostrożność. Nieumyślność (art. 9 § 2 KK) oznacza, że sprawca nie chciał popełnić czynu, ale popełnił go wskutek niezachowania ostrożności — choć możliwość tę przewidywał (lekkomyślność) albo mógł przewidzieć (niedbalstwo). W obszarze AML nieumyślność typowo wiąże się z zaniedbaniem obowiązków należytej staranności, np. niedostateczną analizą podejrzanej transakcji.

Pełna wersja odpowiedzi (188 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Pracownik instytucji obowiązanej może odpowiadać na kilku płaszczyznach. Po pierwsze — administracyjnie: jeśli był osobą wyznaczoną do realizacji obowiązków AML (lub na stanowisku kierowniczym), organ nadzoru może nałożyć na niego karę pieniężną do 1 000 000 zł. Po drugie — karnie: za niezgłoszenie podejrzanej transakcji do GIIF czy ujawnienie chronionych informacji grozi pozbawienie wolności od 3 miesięcy do lat 5 (przy działaniu nieumyślnym — grzywna), a za utrudnianie kontroli — grzywna. Po trzecie — pracowniczo (dyscyplinarnie), na zasadach Kodeksu pracy i regulaminów wewnętrznych.

Pełna wersja odpowiedzi (236 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Członek organu zarządzającego instytucji obowiązanej, odpowiedzialny za wykonanie obowiązków AML, może zostać ukarany administracyjną karą pieniężną do 1 000 000 zł. Wobec osoby odpowiedzialnej za naruszenie organ może też orzec zakaz pełnienia funkcji kierowniczych (do roku). Niezależnie członek zarządu odpowiada karnie za przestępstwa z ustawy AML i Kodeksu karnego oraz może ponosić odpowiedzialność cywilną wobec spółki i osób trzecich za szkody wyrządzone naruszeniem przepisów. Odpowiedzialność członka zarządu wynika z jego ustawowej roli w organizacji systemu AML w instytucji.

Pełna wersja odpowiedzi (341 słów) dostępna w pełnej wersji e-booka. Kup e-book

„Niezwłocznie" w ustawie AML oznacza „bez zbędnej zwłoki" — tak szybko, jak to w danych okolicznościach rozsądnie możliwe, ale niekoniecznie natychmiast. Co istotne, w wielu miejscach ustawa sama dopisuje twardy termin maksymalny, więc nie warto polegać wyłącznie na intuicji. Zawiadomienie o podejrzeniu prania pieniędzy przekazuje się niezwłocznie, lecz nie później niż w 2 dni robocze od potwierdzenia podejrzenia. Informacje o transakcjach ponadprogowych (powyżej 15 000 euro) przekazuje się w 7 dni. Po zgłoszeniu transakcji podejrzanej instytucja wstrzymuje ją do czasu reakcji GIIF, nie dłużej niż przez 24 godziny. Aktualizacji danych w formularzu identyfikującym dokonuje się niezwłocznie po zmianie. W praktyce każdą czynność „niezwłoczną" warto obudować wewnętrzną procedurą wskazującą realny czas reakcji.

Pełna wersja odpowiedzi (372 słów) dostępna w pełnej wersji e-booka. Kup e-book

Rozliczalność to zdolność wykazania organowi nadzoru, że instytucja faktycznie wykonała swoje obowiązki — a nie tylko, że ma je opisane w procedurze. W praktyce oznacza to dokumentowanie całego cyklu: oceny ryzyka klienta, zastosowanych środków bezpieczeństwa finansowego, analiz transakcji, decyzji o zgłoszeniu lub niezgłoszeniu do GIIF, a także szkoleń i wyników kontroli wewnętrznej. Dokumentację (m.in. kopie dokumentów z weryfikacji oraz wyniki analiz) przechowuje się co do zasady 5 lat. Forma może być papierowa lub elektroniczna — ważne, by zapisy były kompletne, opatrzone datą i wskazaniem osoby wykonującej czynność oraz zabezpieczone przed zmianą i utratą. Złota zasada: jeśli czegoś nie udokumentowano, w trakcie kontroli traktuje się to tak, jakby się nie wydarzyło.

Pełna wersja odpowiedzi (414 słów) dostępna w pełnej wersji e-booka. Kup e-book

Podstawowym kanałem jest zawiadamianie GIIF — to jednostka analityki finansowej, która dalej współpracuje z prokuraturą i służbami. Instytucja obowiązana ma obowiązek niezwłocznie zawiadamiać GIIF o podejrzeniu prania pieniędzy lub finansowania terroryzmu oraz wykonywać żądania wstrzymania transakcji i blokady rachunku. Na żądanie GIIF przekazuje też posiadane informacje i dokumenty. Jeżeli zachodzi podejrzenie innego przestępstwa ściganego z urzędu, należy rozważyć zawiadomienie prokuratury lub Policji na zasadach Kodeksu postępowania karnego. Przez cały czas obowiązuje zakaz „tippingu" — nie wolno ujawniać klientowi faktu zgłoszenia ani prowadzenia analizy. W praktyce warto wyznaczyć osobę kontaktową i opisać tryb obsługi wezwań w procedurze wewnętrznej.

Pełna wersja odpowiedzi (406 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przygotowanie do kontroli to proces ciągły, a nie akcja na ostatnią chwilę. Kontrolę wykonywania obowiązków AML sprawuje GIIF, a w ramach nadzoru także m.in. KNF, NBP, prezesi sądów apelacyjnych czy naczelnicy urzędów celno-skarbowych — zależnie od rodzaju instytucji. Warto utrzymywać aktualną i spójną dokumentację: ocenę ryzyka, procedurę wewnętrzną, rejestry zgłoszeń, dowody weryfikacji klientów i dokumentację szkoleń. Sprawdź, czy procedury są realnie stosowane, czy zgłoszenia do GIIF były terminowe, czy listy sankcyjne są aktualne i czy dokumentacja jest przechowywana przez wymagane 5 lat. Dobrą praktyką jest wyznaczenie osoby kontaktowej do spraw kontroli i uporządkowanie materiałów, których mogą zażądać kontrolerzy.

Pełna wersja odpowiedzi (333 słów) dostępna w pełnej wersji e-booka. Kup e-book

Po wykryciu nieprawidłowości kluczowa jest szybka i udokumentowana reakcja. Należy dokładnie opisać uchybienie, ustalić jego przyczynę i zasięg, a następnie wdrożyć działania naprawcze i zapobiec powtórzeniu w przyszłości. Jeśli przy okazji ujawniono transakcje podejrzane, trzeba je niezwłocznie zgłosić do GIIF (zasadniczo w 2 dni robocze od potwierdzenia podejrzenia). O istotnych nieprawidłowościach informuje się kierownictwo odpowiedzialne za AML, w razie potrzeby aktualizuje procedurę i przeprowadza dodatkowe szkolenia, a skuteczność działań monitoruje. Przy kontroli zewnętrznej GIIF działania naprawcze realizuje się w trybie zaleceń pokontrolnych. Warto pamiętać, że poważne uchybienia mogą skutkować karami administracyjnymi.

Pełna wersja odpowiedzi (298 słów) dostępna w pełnej wersji e-booka. Kup e-book

Po kontroli GIIF instytucja otrzymuje wystąpienie pokontrolne z zaleceniami, które wskazują sposób i termin usunięcia nieprawidłowości. W ciągu 30 dni od otrzymania wystąpienia trzeba przekazać GIIF informację o sposobie lub stanie realizacji zaleceń, ze wskazaniem ostatecznego terminu wykonania. Warto najpierw uważnie przeanalizować ustalenia (jeszcze na etapie protokołu kontroli można w 14 dni zgłosić umotywowane zastrzeżenia), a następnie przygotować plan naprawczy z osobami odpowiedzialnymi, terminami i miernikami skuteczności. Każde działanie należy dokumentować, aby móc wykazać jego wykonanie. W uzasadnionych przypadkach można wystąpić do GIIF o zmianę terminu — przed jego upływem.

Pełna wersja odpowiedzi (292 słów) dostępna w pełnej wersji e-booka. Kup e-book

Najpewniejszym źródłem jest oficjalny portal Ministerstwa Finansów na gov.pl, w sekcji poświęconej Generalnemu Inspektorowi Informacji Finansowej. Publikowane są tam komunikaty GIIF, stanowiska i wytyczne dla instytucji obowiązanych, informacje o listach sankcyjnych i państwach trzecich wysokiego ryzyka, krajowe oceny ryzyka oraz komunikaty Komitetu Bezpieczeństwa Finansowego. Instytucje obowiązane powinny regularnie śledzić te publikacje i odnosić je do własnych procedur — m.in. dlatego, że GIIF doprecyzowuje w nich praktyczne wątpliwości (np. dotyczące ograniczania ryzyka i tzw. deriskingu). Warto korzystać wyłącznie ze źródeł oficjalnych, ponieważ opracowania komercyjne bywają nieaktualne.

Pełna wersja odpowiedzi (206 słów) dostępna w pełnej wersji e-booka. Kup e-book

Tak. Organizacje branżowe i samorządy zawodowe opracowują rekomendacje i wytyczne dotyczące stosowania przepisów AML/CFT w danym sektorze — m.in. w bankowości, ubezpieczeniach, pośrednictwie w obrocie nieruchomościami czy wśród profesjonalnych pełnomocników. Nie są to źródła prawa powszechnie obowiązującego, lecz dobre praktyki: pomagają ujednolicić procesy, wdrożyć podejście oparte na ryzyku i ograniczyć ryzyko kar. Warto je traktować jako uzupełnienie, a nie zamiennik ustawy AML i własnej oceny ryzyka — ostatecznie to instytucja obowiązana odpowiada za zgodność swoich procedur z przepisami. Przed zastosowaniem należy upewnić się, że dany dokument jest aktualny.

Pełna wersja odpowiedzi (200 słów) dostępna w pełnej wersji e-booka. Kup e-book

Rozporządzenie TFR (Transfer of Funds Regulation), czyli rozporządzenie (UE) 2023/1113, to akt prawa Unii Europejskiej określający, jakie informacje muszą towarzyszyć transferom środków pieniężnych i kryptoaktywów. Zasada Travel Rule oznacza, że dane o nadawcy (inicjatorze, płatniku) i odbiorcy (beneficjencie) „podróżują" wraz z każdą transakcją — tak aby przepływ środków był identyfikowalny, a właściwe organy mogły go prześledzić. Jako rozporządzenie unijne TFR obowiązuje bezpośrednio we wszystkich państwach UE, bez potrzeby przepisywania go do prawa krajowego. Rozporządzenie jako całość stosuje się od 30 grudnia 2024 r. — od tej daty zastąpiło wcześniejsze rozporządzenie 2015/847 (obejmujące wyłącznie transfery pieniężne, tzw. FIAT) i jednocześnie rozszerzyło obowiązek Travel Rule na transfery kryptoaktywów.

Podstawa prawna: rozporządzenie (UE) 2023/1113 (TFR), w szczególności art. 1 i art. 3

Pełna wersja odpowiedzi (224 słów) dostępna w pełnej wersji e-booka. Kup e-book

TFR nie zastępuje ustawy AML — obowiązuje obok niej i ją uzupełnia. Prawidłowe wykonanie obowiązków oznacza więc łączne stosowanie obu aktów: ustawy AML oraz TFR. Większość obowiązków typu „poznaj swojego klienta" (identyfikacja i weryfikacja klienta, ocena ryzyka, zawiadomienia do GIIF) wynika z ustawy AML. Natomiast TFR określa, jakie informacje muszą towarzyszyć transferom środków pieniężnych i kryptoaktywów oraz jak postępować, gdy tych informacji brakuje. W praktyce dane zebrane w ramach środków bezpieczeństwa finansowego (KYC/CDD) zasilają jednocześnie informacje wymagane przez TFR — zbiera się je raz i wykorzystuje do obu celów.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 1; ustawa AML — art. 34, art. 36–37, art. 50; komunikat GIIF nr 113 (Travel Rule — wytyczne EBA i raportowanie do GIIF)

Pełna wersja odpowiedzi (290 słów) dostępna w pełnej wersji e-booka. Kup e-book

Każdy transfer pieniężny (FIAT) musi być opatrzony danymi płatnika oraz danymi odbiorcy. W przypadku płatnika są to: imię i nazwisko lub nazwa, numer rachunku oraz dodatkowo jeden z elementów identyfikujących — adres, numer dokumentu tożsamości, numer identyfikacji podatkowej albo data i miejsce urodzenia. W przypadku odbiorcy: imię i nazwisko lub nazwa oraz numer rachunku. Dane płatnika muszą być uprzednio zweryfikowane na podstawie wiarygodnych i niezależnych źródeł — w ramach KYC. Jeśli dostawca nie dysponuje wymaganymi, zweryfikowanymi danymi, nie może zrealizować transferu.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 4; ustawa AML — art. 34, art. 36

Pełna wersja odpowiedzi (191 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy transferach FIAT w obrębie UE komunikat towarzyszący transferowi może zawierać jedynie numery rachunków obu stron (lub niepowtarzalny identyfikator transakcji). Pełny zestaw zweryfikowanych danych nie musi być dołączany do każdej wiadomości, ale musi zostać udostępniony na żądanie drugiego dostawcy lub organu — co do zasady w ciągu 3 dni roboczych. To uproszczenie dotyczy wyłącznie formatu wiadomości, a nie obowiązku posiadania danych: instytucja musi te dane mieć i wcześniej je zweryfikować. Dodatkowo przy pojedynczych, niepowiązanych transferach do 1000 EUR co do zasady nie ma obowiązku weryfikacji danych płatnika — chyba że środki pochodzą z gotówki lub anonimowego pieniądza elektronicznego albo istnieje podejrzenie prania pieniędzy lub finansowania terroryzmu.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 5

Pełna wersja odpowiedzi (193 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy transferach FIAT do odbiorców poza UE obowiązuje pełny pakiet informacji o płatniku i odbiorcy, analogiczny do standardowego zestawu danych z TFR — i co do zasady musi on towarzyszyć transferowi (nie wystarczy udostępnienie „na żądanie" jak wewnątrz UE). Odstępstwo dotyczy pojedynczych, niepowiązanych transferów do 1000 EUR: wystarczą wówczas imiona i nazwiska (lub nazwy) oraz numery rachunków obu stron. Przy transferach zbiorczych poszczególne transfery składowe mogą zawierać tylko numer rachunku płatnika, pod warunkiem że komunikat zbiorczy zawiera pełne, zweryfikowane dane.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 6

Pełna wersja odpowiedzi (194 słów) dostępna w pełnej wersji e-booka. Kup e-book

Dostawca usług płatniczych odbiorcy musi przede wszystkim wykrywać niekompletne lub brakujące informacje o stronach transferu. Dla kwot przekraczających 1000 EUR powinien też zweryfikować tożsamość odbiorcy przed udostępnieniem mu środków (chyba że zrobił to już wcześniej). Przy stwierdzeniu braków podejmuje działania oparte na ocenie ryzyka: może odrzucić transfer, zwrócić środki, wstrzymać go i wezwać do uzupełnienia danych albo — przy niskim ryzyku — zrealizować. Powtarzające się braki po stronie dostawcy płatnika wymagają eskalacji, a same braki są jednym z czynników branych pod uwagę przy ocenie potrzeby zawiadomienia GIIF.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 7–9

Pełna wersja odpowiedzi (213 słów) dostępna w pełnej wersji e-booka. Kup e-book

CASP inicjatora musi zapewnić, że każdemu transferowi kryptoaktywów — niezależnie od kwoty — towarzyszą kompletne, zweryfikowane informacje o inicjatorze i beneficjencie. To istotna różnica wobec transferów FIAT: w kryptoaktywach nie ma progu kwotowego, od którego zależy obowiązek przekazania danych. Informacje przekazuje się co do zasady przed transferem lub równocześnie z nim; nie muszą one być technicznie zawarte w samym transferze, ale muszą być z nim powiązane i identyfikowalne. Jeśli CASP inicjatora nie spełni tych wymogów, nie może zainicjować ani wykonać transferu.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 14–15

Pełna wersja odpowiedzi (176 słów) dostępna w pełnej wersji e-booka. Kup e-book

Transferom kryptoaktywów muszą towarzyszyć dane inicjatora — imię i nazwisko lub nazwa, adres portfela (adres DLT) lub numer rachunku w CASP oraz jeden z elementów identyfikujących: adres zamieszkania, numer dokumentu tożsamości, numer identyfikacji podatkowej albo data i miejsce urodzenia — a także dane beneficjenta: imię i nazwisko lub nazwa oraz adres portfela (adres DLT). Dane inicjatora muszą być zweryfikowane w ramach KYC. W przypadku osób fizycznych podaje się pełne imię i nazwisko zgodne z dokumentem tożsamości, a w przypadku podmiotów — pełną zarejestrowaną nazwę.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 14; ustawa AML — art. 36–37; wytyczne EBA/GL/2024/11

Pełna wersja odpowiedzi (138 słów) dostępna w pełnej wersji e-booka. Kup e-book

CASP beneficjenta musi wykrywać braki informacyjne o inicjatorze i beneficjencie, zweryfikować tożsamość beneficjenta przed udostępnieniem mu kryptoaktywów oraz — przy stwierdzeniu braków — podejmować decyzje oparte na ocenie ryzyka (odrzucenie, zwrot, wstrzymanie i wezwanie do uzupełnienia). Przy powtarzających się naruszeniach po stronie CASP inicjatora obowiązuje eskalacja, aż po zakończenie współpracy. O powtarzających się naruszeniach CASP beneficjenta informuje właściwy organ — w Polsce GIIF.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 16–18; komunikat GIIF nr 113 (Travel Rule — raportowanie do GIIF, formularz SIGIIF)

Pełna wersja odpowiedzi (177 słów) dostępna w pełnej wersji e-booka. Kup e-book

Portfel hostowany (custodial) to portfel utrzymywany lub zarządzany przez licencjonowanego dostawcę usług w zakresie kryptoaktywów (CASP) — klient ma u niego „rachunek", a dostawca przechowuje klucze prywatne. Portfel niehostowany (NCW, non-custodial wallet) to portfel, w którym klient sam posiada i kontroluje klucze prywatne, bez pośrednictwa CASP (np. aplikacje typu self-custody czy portfele sprzętowe). Rozróżnienie ma kluczowe znaczenie dla TFR: przy transferach z udziałem portfeli niehostowanych powyżej 1000 EUR pojawia się dodatkowy obowiązek oceny, czy portfel należy do klienta lub jest przez niego kontrolowany.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 3 i art. 14 ust. 5; rozporządzenie MiCA (2023/1114); wytyczne EBA/GL/2024/11

Pełna wersja odpowiedzi (183 słów) dostępna w pełnej wersji e-booka. Kup e-book

W przypadku transferu kryptoaktywów na portfel niehostowany (NCW) o wartości przekraczającej 1000 EUR CASP inicjatora musi podjąć odpowiednie środki w celu oceny, czy adres tego portfela jest własnością inicjatora lub jest przez niego kontrolowany. Niezależnie od kwoty CASP inicjatora ma także obowiązek uzyskać i przechowywać wymagane informacje o stronach transferu oraz zapewnić możliwość jego indywidualnej identyfikacji. Przepis nie zakazuje transferów na portfele osób trzecich — powyżej progu wymaga jedynie oceny własności lub kontroli nad portfelem.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 14 ust. 5; wytyczne EBA/GL/2024/11

Pełna wersja odpowiedzi (198 słów) dostępna w pełnej wersji e-booka. Kup e-book

TFR i wytyczne EBA wskazują kilka technicznych metod potwierdzenia kontroli nad portfelem niehostowanym, m.in.: podpisanie wskazanej wiadomości testowej kluczem prywatnym portfela, wykonanie mikropłatności (mikrotransferu) z danego portfela na adres wskazany przez CASP albo wykorzystanie zaawansowanych narzędzi analitycznych blockchain. Dobór metody zależy od możliwości technicznych portfela i poziomu ryzyka. Co istotne, GIIF wskazał, że samo oświadczenie klienta ani zrzuty ekranu z portfela nie są wystarczające — wymagana jest weryfikacja techniczna.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 14 ust. 5; wytyczne EBA/GL/2024/11; komunikat GIIF nr 113 (dokumentowanie kontroli adresu niehostowanego)

Pełna wersja odpowiedzi (210 słów) dostępna w pełnej wersji e-booka. Kup e-book

Detekcja braków polega na wykrywaniu informacji niekompletnych lub „pozbawionych sensu" towarzyszących transferom. Brakiem nie jest tylko puste pole — także dane nielogiczne lub nieidentyfikowalne: ciągi przypadkowych znaków, same tytuły bez imienia i nazwiska, oznaczenia w rodzaju „inny" czy „mój klient". CASP i PSP muszą posiadać procedury oraz narzędzia pozwalające takie braki wykrywać, zarówno na bieżąco, jak i po realizacji transferu (ex post). To jeden z podstawowych obowiązków operacyjnych wynikających z TFR.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 7 i art. 16; wytyczne EBA/GL/2024/11; komunikat GIIF nr 113

Pełna wersja odpowiedzi (190 słów) dostępna w pełnej wersji e-booka. Kup e-book

Przy wykryciu braków CASP lub PSP podejmuje działania oparte na ocenie ryzyka: może odrzucić transfer, zwrócić środki, wstrzymać go i wezwać do uzupełnienia danych (co do zasady w 3 dni robocze) albo — przy niskim ryzyku — wykonać. Każdą decyzję należy udokumentować. Samo naruszenie wymogów informacyjnych TFR nie przesądza jeszcze o obowiązku zawiadomienia GIIF — wymaga to całościowej oceny okoliczności i zastosowania środków bezpieczeństwa finansowego wobec klienta. Jeśli jednak analiza prowadzi do podejrzenia prania pieniędzy lub finansowania terroryzmu, instytucja zawiadamia GIIF na podstawie ustawy AML.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 7–9 (FIAT) i art. 16–18 (kryptoaktywa); ustawa AML — art. 43, art. 74; komunikat GIIF nr 113

Pełna wersja odpowiedzi (234 słów) dostępna w pełnej wersji e-booka. Kup e-book

Procedura AML/CFT powinna zawierać dedykowaną część (rozdział lub załącznik) poświęconą TFR. Powinna ona określać zasady: przekazywania i weryfikacji informacji towarzyszących transferom, wykrywania braków i postępowania przy nich (odrzucenie, zwrot, wstrzymanie), obsługi portfeli niehostowanych, żądania uzupełnienia danych od innych dostawców, eskalacji przy powtarzających się naruszeniach oraz informowania GIIF, a także zasady przechowywania danych i ochrony danych osobowych. W praktyce warto włączyć ją do istniejącej procedury AML/CFT, aby uniknąć dublowania procesów.

Podstawa prawna: rozporządzenie (UE) 2023/1113, art. 23 (wewnętrzne polityki, procedury i mechanizmy kontroli) oraz przepisy o ochronie danych i przechowywaniu informacji; ustawa AML — art. 49–50; komunikat GIIF nr 113

Pełna wersja odpowiedzi (268 słów) dostępna w pełnej wersji e-booka. Kup e-book

Monitoring blockchain (analiza on-chain) polega na śledzeniu przepływu kryptoaktywów w sieci w celu identyfikacji ryzyk prania pieniędzy i finansowania terroryzmu. CASP powinien stosować narzędzia pozwalające sprawdzać historię portfeli, wykrywać powiązania z adresami podwyższonego ryzyka (sankcje, miksery, darknet, ransomware) oraz identyfikować podejrzane wzorce transakcji. Zakres i głębokość monitoringu powinny być proporcjonalne do oceny ryzyka klienta i danego portfela. Obowiązek bieżącego monitorowania transakcji wynika z ustawy AML, a jego specyfikę dla kryptoaktywów doprecyzowują wytyczne EBA.

Podstawa prawna: ustawa AML — art. 34 ust. 1 pkt 4; wytyczne EBA/GL/2024/11

Pełna wersja odpowiedzi (192 słów) dostępna w pełnej wersji e-booka. Kup e-book

Do typowych podejrzanych wzorców należą: wielokrotne małe transakcje tuż poniżej progów (strukturyzacja, smurfing), nagły wzrost aktywności niezgodny z profilem klienta, transfery do wielu nowych adresów bez historii lub o złej reputacji, łańcuchowe „przepuszczanie" środków przez wiele adresów (peel chains), korzystanie z mikserów i usług prywatności oraz szybkie konwersje i transfery między różnymi blockchainami w celu zatarcia śladu. Każdy taki sygnał wymaga analizy; jeśli prowadzi do podejrzenia prania pieniędzy lub finansowania terroryzmu, instytucja zawiadamia GIIF.

Podstawa prawna: ustawa AML — art. 74 ust. 1 (i ust. 2 co do terminu); wytyczne EBA/GL/2024/11

Pełna wersja odpowiedzi (226 słów) dostępna w pełnej wersji e-booka. Kup e-book