30 marca 2021 r. uchwalono ustawę o zmianie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz niektórych innych ustaw. Spowodowało to modyfikację niektórych obowiązków instytucji obowiązanych, nałożonych Ustawą z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „Ustawa AML”). Część uchwalonych zmian weszła w życie 15 maja 2021 r., a pozostałe zmiany weszły w życia 31 października 2021 r. Co dokładnie się zmieniło?

Nowe przesłanki, metody i proces weryfikacji oraz wzmożone środki bezpieczeństwa finansowego

Znowelizowane przepisy wprowadziły nową przesłankę stosowania środków bezpieczeństwa finansowego wobec obecnych klientów, które instytucja obowiązana ma obowiązek stosować, jeżeli doszło do zmiany ustalonych danych klienta lub jego beneficjenta rzeczywistego.

Ponadto, zmianie uległ etap weryfikacji tożsamości klienta wprowadzono możliwość weryfikacji tożsamości klienta poprzez narzędzia elektroniczne, takie jak podpis elektroniczny lub pieczęć elektroniczna, czy też inne narzędzia wskazane w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE. Ponadto instytucja obowiązana ma obowiązek udokumentowania przyczyn braku możliwości weryfikacji określonych informacji o kliencie.

Zmodyfikowano również proces weryfikacji beneficjenta rzeczywistego klienta. Instytucje obowiązane nie mogą już polegać wyłącznie na danych zawartych w CRBR, lecz muszą wprowadzić dodatkowe czynności weryfikujące beneficjenta rzeczywistego. Jeżeli między uzyskanymi od klienta danymi lub wskutek weryfikacji zaistnieją rozbieżności z danymi widniejącymi w CRBR, instytucja obowiązana ma obowiązek je wyjaśnić.

Ponadto, w świetle komunikatu Generalnego Inspektora Informacji Finansowej (GIIF), instytucja obowiązana powinna m. in. odnotować te rozbieżności oraz udokumentować, jakie czynności podjęła w celu identyfikacji i weryfikacji beneficjenta rzeczywistego oraz struktury własności i kontroli klienta, a następnie całą dokumentację związaną z powyższym procesem przekazać GIIF.

Kolejna zmiana dotyczy zakresu stosowania wzmożonych środków bezpieczeństwa finansowego. Ustalono również katalog informacji, które instytucja obowiązana powinna uzyskać wskutek stosowania wzmożonych środków bezpieczeństwa finansowego wobec państw wysokiego ryzyka.

Sygnaliści

Zmiany nie ominęły również wzmożenia poziomu ochrony sygnalistów, poprzez nałożenie na instytucje obowiązane obowiązku ochrony osób wykonujących czynności na rzecz instytucji obowiązanej. Dotychczas taka ochrona przysługiwała wyłącznie pracownikom instytucji obowiązanej.

Doprecyzowano także zakres działań podejmowanych względem sygnalisty, przed którymi instytucja obowiązana ma sygnalistę ochronić, tj. przed działaniami:

• o charakterze represyjnym;
• lub wpływającymi na pogorszenie jego sytuacji prawnej lub faktycznej;
• lub polegającymi na kierowaniu gróźb.

Instytucja obowiązana i jej współpracownicy muszą powstrzymać się nie tylko od podejmowania ww. działań, a także od działań negatywnie wpływających na warunki pracy lub zatrudnienia sygnalisty. Warto podkreślić, że jeżeli instytucja obowiązana nie będzie prawidłowo wywiązywała się z obowiązku ochrony sygnalisty, będzie on mógł ubiegać się o przyznanie mu ochrony od GIIF.

Okres przechowywania dokumentacji

W wyniku nowelizacji modyfikacji uległy zasady dotyczące okresu przechowywania dokumentacji uzyskanej w wyniku stosowania środków bezpieczeństwa finansowego przez instytucje obowiązane:

• aktualnie okres ten wynosi 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od daty przeprowadzenia transakcji;
• poprzednio okres wynosił również 5 lat, lecz był liczony od roku następującego po tym, w którym zakończono stosunki gospodarcze z klientem lub przeprowadzono transakcję.

Rozszerzenie zakresu działalności regulowanej

Jedną z największych uchwalonych zmian jest wskazanie, że działalność polegająca na:

• obrocie,
• pośrednictwie,
• lub prowadzeniu rachunków walut wirtualnych,

jest działalnością regulowaną, czego konsekwencją jest wprowadzenie rejestru działalności w zakresie walut wirtualnych. Obowiązek wpisu do niego obejmuje osoby fizyczne, osoby prawne oraz tzw. ułomne osoby prawne.

Co reguluje ustawa AML i jakie obowiązki ma instytucja obowiązana?

Ustawa określa zasady i tryb przeciwdziałania praniu pieniędzy, finansowaniu terroryzmu oraz warunki wykonywania działalności gospodarczej przez niektóre instytucje obowiązane. Wskazuje również katalog zamknięty podmiotów definiowanych jako instytucje obowiązane, mające obowiązek wdrożyć procedury i podejmować działania narzucone przez ustawę w określonych okolicznościach.

Obowiązki identyfikacji i oceny ryzyka

Instytucje obowiązane mają obowiązek zidentyfikować i ocenić ryzyko prania pieniędzy i finansowania terroryzmu poprzez uwzględnienie wiedzy o:

• kliencie;
• państwie;
• obszarze geograficznym, w tym dodatkowe czynności wobec klienta z państwa trzeciego, m. in. ograniczenie zakresu stosunków gospodarczych,
• produkcie i usłudze;
• transakcji,
• kanałach dostawy usług, produktów i transakcji.

Przy dokonywaniu oceny ryzyka instytucja obowiązana uwzględnia krajową ocenę ryzyka oraz sprawozdanie Komisji Europejskiej oceniające ryzyko na poziomie UE. Warto mieć na uwadze, że instytucja obowiązana co najmniej raz na 2 lata ma obowiązek podjąć czynności w celu aktualizacji oceny ryzyka wobec swoich klientów.

Środki bezpieczeństwa finansowego

Kolejnym obowiązkiem jest wdrożenie i stosowanie środków bezpieczeństwa finansowego. Ustawa AML wymienia następujące środki bezpieczeństwa finansowego:

• identyfikacja klienta wraz z weryfikacją jego tożsamości;
• identyfikacja beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu weryfikacji jego tożsamości i ustalenia struktury własności i kontroli – w stosunku do klienta będącego osobą prawną lub ułomną osobą prawną;
• ocena stosunków gospodarczych klienta i uzyskanie informacji na temat ich celu i zamierzonego charakteru;
• bieżące monitorowanie stosunków gospodarczych klienta obejmujące m.in. analizę przeprowadzanych transakcji, badanie źródła pochodzenia wartości majątkowych, będących w dyspozycji klienta, bieżące aktualizowanie posiadanych dokumentów, danych lub informacji dotyczących stosunków gospodarczych.

Współdziałanie z GIIF

Instytucje obowiązane mają również obowiązek współdziałać z GIIF odniesieniu do transakcji i informacji, o których mowa w art. 72 i 74 Ustawy AML. GIIF w określonych w Ustawie przypadkach może również zażądać od instytucji obowiązanej:

• wstrzymania transakcji;
• zablokowania rachunku klienta;
• lub uniemożliwienia korzystania w pełni z jego wartości majątkowych poprzez ich zamrożenie lub nieudostępnienie.

Procedury organizacyjne

Ustawa AML nakłada na instytucje obowiązane stworzenie procedur organizacyjnych w zakresie przeciwdziałania prania pieniędzy i finansowania terroryzmu.

Wśród nich można wyróżnić:

• stworzenie wewnętrznej procedury AML;
• opracowanie i wdrożenie procedury anonimowego zgłaszania rzeczywistych lub potencjalnych naruszeń w zakresie AML;
• szkolenie pracowników z zakresu AML, w tym przeszkolenie ich z zakresu ochrony danych osobowych;
• wyznaczenie osób odpowiedzialnych za realizację obowiązków wynikających z ustawy AML;
• przechowywanie dokumentacji i informacji uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego na zasadach określonych w ustawie AML i wewnętrznej procedurze AML;
• poddawanie się kontroli w zakresie przestrzegania przepisów ustawy AML.