16 czerwca 2023 r. Europejski Urząd Nadzoru Bankowego (dalej: „EBA”) opublikował raport na temat ryzyka prania pieniędzy i finansowania terroryzmu w instytucjach  płatniczych (dalej: „ML/FT”). Opracowanie to podsumowanie przeprowadzonej w 2022 r. oceny ryzyka ML/FT w sektorze usług płatniczych. W toku prac nad oceną ryzyka, EBA zobowiązała organy nadzoru do wypełnienia dedykowanych ankiet z zakresu AML, przeanalizowała ponadnarodowe oceny ryzyka Komisji Europejskiej, krajowe oceny ryzyka państw członkowskich oraz sektorowe oceny ryzyka organów nadzoru, jak również dokonała przeglądu zezwoleń dla instytucji płatniczych w dyrektywie PSD2. Celem oceny ryzyka było zrozumienie skali i charakteru ryzyka ML/FT, oszacowanie skuteczności wewnętrznych systemów i kontroli instytucji płatniczych, skuteczności czynności nadzorczych.

Wnioski z raportu EBA

W raporcie stwierdzono następujące czynniki ryzyka, z których wynika nieodłącznie wysokie ryzyko ML/FT związane  w branży płatniczej:

• baza klientów, w szczególności nierezydenci oraz klienci wykluczeni z różnych względów przez sektor bankowy;
• świadczenie usługi przekazu pieniężnego w gotówce;
• przewaga transakcji okazjonalnych nad trwałymi relacjami biznesowymi;
• świadczenie usług w krajach trzecich wysokiego ryzyka;
• duży wolumen i szybkość przeprowadzania transakcji;
• wykorzystywanie nowych technologii do zdalnego onboardingu klienta;
• świadczenie usług z wykorzystaniem pośredników – w tym zakresie w szczególności EBA zwraca uwagę, że część pośredników nie działa w sektorze finansowym, przez co ich świadomość ryzyk wynikających z ML/FT jest na niższym poziomie, co może mieć bezpośredni wpływ na możliwości kontrolne i nadzorcze instytucji płatniczej nad takim pośrednikiem.

Outsourcing usług specjalistycznych a „istota lokalna”

Ciekawym wątkiem raportu jest outsourcing istotnych czynności. EBA zauważa, że outsourcing może pomóc instytucjom uzyskać dostęp do specjalistycznych usług i tym samym osiągnąć lepsze wyniki w zakresie zgodności, często po konkurencyjnych cenach. Jednak bez odpowiednich zabezpieczeń może negatywnie wpłynąć na ramy kontroli i zarządzania ryzykiem instytucji.

Ponadto, outsourcing w kontekście transgranicznym może zagrozić „lokalnej istocie” instytucji płatniczej, która jest wymagana przez dyrektywę PSD2 . „Lokalna istota” odnosi się do potrzeby posiadania przez instytucje płatnicze siedziby głównej w państwie członkowskim, w którym ubiegają się o zezwolenie, i prowadzenia tam części swojej działalności, tak aby instytucje były skutecznie zarządzane i kontrolowane w jurysdykcji, w której uzyskały zezwolenie.

Zdaniem, EBA brak zapewnienia istoty lokalnej oznacza brak bliskich powiązań z jurysdykcją, w której instytucja płatnicza ma siedzibę, a jeżeli instytucja płatnicza nie jest skutecznie zarządzana i kontrolowana w jurysdykcji, w której została ustanowiona, może to przyczynić się do ograniczonego nadzoru nad jakością usługi outsourcingu.

Nowe ryzyka w obszarze ML/FT

EBA zidentyfikowała również trzy nowe ryzyka ML/FT w sektorze instytucji płatniczych, w tym:

• wirtualny IBAN, służący wyłącznie do przekierowywania przychodzących transferów na regularny IBAN;
• „white labelling”, czyli udostępnianie przez instytucje płatnicze swoich licencji niezależnym podmiotom, tworzącym pod tą licencją własne produkty finansowe;
• outsourcing części procesu acquiringu do TPA (third-party-acquirer).

Zaznaczono jednak, że ww. czynniki są nowe i wymagają odpowiedniej obserwacji, więc w omawianym raporcie EBA nie podjęła się szerszego ich omówienia.

Świadomość ryzyk ML/FT

W dalszej części raportu stwierdzono przede wszystkim niższą świadomość ryzyk ML/FT w sektorze instytucji płatniczych niż w sektorze bankowym.

Ponadto, EBA analizuje poziom uchybień w zakresie przeciwdziałania ML/FT przez instytucje płatnicze, w wyniku czego stwierdzono:

• niską ogólną świadomość ryzyka ML/FT;
• brak lub niewystarczające monitorowanie transakcji;
• niewystarczającą identyfikację i zgłaszanie podejrzanych transakcji;
• niewdrożenie lub niewystarczające wdrożenie systemów środków ograniczających;
• brak wdrożenia odpowiednich wewnętrznych systemów zarządzania, w tym brak stosowania systemu trzech linii obrony (członek zarządu ds. AML, MLRO, organ nadzoru), duża rotacja na stanowiskach kierowniczych;
• stosowanie zdalnego onboardingu klientów bez odpowiednich zabezpieczeń.

Wnioski

Należy stwierdzić, że według EBA cały sektor instytucji płatniczych jest ogółem narażony na wyższe ryzyko ML/FT.

Wynika to nie tylko ze specyfiki sektora, lecz również z podejścia instytucji płatniczych do zagadnień z zakresu przeciwdziałania prania pieniędzy i finansowania terroryzmu.

Raport podkreśla jednak, że sektor instytucji płatniczych jest bardzo różnorodny, co uniemożliwia ustanowienie wspólnego dla wszystkich instytucji płatniczych poziomu ryzyka ML/FT.

Przykładowo, instytucja płatnicza świadcząca usługi jedynie w kraju, w którym uzyskała zezwolenie, będzie mniej narażona na ryzyko ML/FT niż instytucje świadczące usługi transgranicznie, w tym do krajów trzecich wysokiego ryzyka.