Nowe obowiązki związane z przeciwdziałaniem praniu pieniędzy
Kilka miesięcy temu w życie weszła ustawa o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu – stanowi ona implementację unijnej dyrektywy dotyczącej właśnie przeciwdziałania praniu brudnych pieniędzy. Potocznie nazywa się ją ustawą AML (anti-money laundering). U stawa ta nakłada nowe obowiązki (liczniejsze niż w starych przepisach regulujących tę tematykę) na tzw. instytucje obowiązane – czyli różne organizacje, które mogą wejść w posiadanie informacji o praniu pieniędzy albo finansowaniu terroryzmu . Wbrew pozorom nie są to jedynie banki i firmy inwestycyjne. Katalog tych firm jest naprawdę szeroki i obejmuje różnych przedsiębiorców działających w branżach, które na pierwszy rzut oka nie mają wiele wspólnego z praniem pieniędzy - również tych, które działają w branży IT.
Jakie podmioty są instytucjami obowiązanymi? To między innymi (oprócz banków, zakładów ubezpieczeń i innych gigantów):
-
pośrednicy ubezpieczeniowi w zakresie prowadzenia działalności dot. oferowania ubezpieczeń na życie – chyba że jest się agentem ubezpieczeniowym wykonującym czynności pośrednictwa ubezpieczeniowego na rzecz jednego zakładu ubezpieczeń (wtedy przepisy nie znajdują zastosowania),
-
przedsiębiorcy prowadzący działalność kantorową,
-
giełdy kryptowalut - a dokładnie to (zgodnie z tym co napisano w ustawie) podmioty prowadzące działalność gospodarczą polegającą na świadczeniu usług w zakresie wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi (czyli umożliwiającymi nabywanie kryptowalut za pieniądze albo ich sprzedaż), wymiany pomiędzy walutami wirtualnymi (jeżeli nie umożliwiamy sprzedaży kryptowalut za pieniądze, a jedynie wymianę na inną kryptowalutę) lub pośrednictwa w takiej wymianie,
-
doradcy podatkowi,
-
podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych,
-
pośrednicy w obrocie nieruchomościami,
-
przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców w zakresie, w jakim przyjmują lub dokonują płatności za towary w gotówce (czyli nie przelewem) o wartości równej lub przekraczającej równowartość 10 000 euro , bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane.
Takie właśnie firmy muszą wdrożyć nowe regulacje dotyczące przeciwdziałania praniu pieniędzy.
Jak widać, kategorie mogą objąć również te przedsiębiorstwa, które prowadzą działalność w zakresie nowych technologii – dotyczy to zwłaszcza giełd kryptowalut. Sama ustawa wprowadza również definicję waluty wirtualnej, którą określa się jako cyfrowe odwzorowanie wartości, które nie jest:
a) prawnym środkiem płatniczym emitowanym przez NBP, zagraniczne banki centralne lub inne organy administracji publicznej,
b) międzynarodową jednostką rozrachunkową ustanawianą przez organizację międzynarodową i akceptowaną przez poszczególne kraje należące do tej organizacji lub z nią współpracujące,
c) pieniądzem elektronicznym (w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych),
d) instrumentem finansowym w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
e) wekslem lub czekiem
– oraz jest wymienialne w obrocie gospodarczym na prawne środki płatnicze (czyli na pieniądze) i akceptowane jako środek wymiany , a także może być elektronicznie przechowywane lub przeniesione albo może być przedmiotem handlu elektronicznego.
Jakie są najważniejsze kroki, który musi podjąć przedsiębiorca będący instytucją obowiązaną?
Wyznaczenie osób odpowiedzialnych za przestrzeganie przepisów dot. przeciwdziałania praniu pieniędzy.
Istotnym obowiązkiem nałożonym na instytucje obowiązane jest wyznaczenie osób odpowiedzialnych za zapewnienie zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu . Powinna być to osoba lub osoby „będąca kadrą kierowniczą” – w przypadku spółek z ograniczoną odpowiedzialnością i akcyjnych osobą taką jest członek zarządu. Jeżeli ktoś prowadzi jednoosobową działalność gospodarczą – to właśnie on jest „osobą na stanowisku kierowniczym”. Przepisy precyzują, że w organizacji musi zostać wyznaczony pracownik zajmujący kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wyznaczony pracownik powinien być również odpowiedzialny za przekazywanie w imieniu instytucji obowiązanej zawiadomień o podejrzanych transakcjach, podejrzeniach popełnienia przestępstwa itp.
Rozpoznawanie ryzyka.
Drugim istotnym obowiązkiem jest konieczność rozpoznawania i oceny ryzyka prania brudnych pieniędzy, związana z transakcjami, które dana organizacja przeprowadza ze swoimi klientami . Ustawa precyzuje, że w toku takiej oceny ryzyka należy wziąć pod uwagę takie czynniki jak rodzaj klienta (to kim jest i czym się zajmuje), obszar geograficzny, z którego pochodzi (niektóre kraje są uznawane za kraje „podwyższonego ryzyka” jeśli chodzi o finansowanie terroryzmu – takie przesłanki na szczęście są wymienione w ustawie), przeznaczenia rachunku (jeżeli prowadzimy komuś jakiś rachunek), rodzaju produktów, usług i sposobów ich dystrybucji, poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji czy też celu, regularności lub czasu trwania stosunków gospodarczych. Jak widać wskazówki są dość ogólne, co nakłada na przedsiębiorców obowiązek dokonywania samodzielnej oceny – a tym samym również wzięcie odpowiedzialności za swoje decyzje w tym zakresie.
Wdrożenie środków bezpieczeństwa finansowego.
Środki bezpieczeństwa finansowego obejmują w szczególności identyfikację oraz weryfikację tożsamości klientów, osób działających w ich imieniu oraz beneficjentów rzeczywistych. Beneficjent rzeczywisty to np. wspólnik spółki (co do zasady posiadający ponad 20% udziałów), która jest stroną transakcji – czyli ten (finalny) podmiot, który może mieć korzyści związane z transakcją. Ustawa wskazuje, że powinno się również podejmować działania w celu ustalania struktury własnościowej podmiotów. Innymi słowy, jeżeli zawieramy (jako instytucja obowiązana) umowę ze spółką z ograniczoną odpowiedzialnością, należy podjąć działania mające na celu ustalenie kto jest wspólnikiem takiej spółki . Przydatny do tego będzie tzw. Centralny Rejestr Beneficjentów Rzeczywistych, czyli prowadzony przez Ministra Finansów rejestr spółek i osób, które są właśnie beneficjentami rzeczywistymi. Rejestr będzie ogólnodostępny, a tym samym każdy będzie mógł sprawdzić, kto jest wspólnikiem danej spółki (także akcyjnej). Środki bezpieczeństwa finansowego obejmują także ocenę stosunków gospodarczych klienta i (niekiedy) uzyskanie informacji na temat ich celu oraz bieżące monitorowanie stosunków gospodarczych klienta a także analizę przeprowadzanych transakcji pod kątem zgodności naszej wiedzy o kliencie z rodzajem i zakresem prowadzonej przez niego działalności. Innymi słowy, jeżeli klient dokonuje jakichś transakcji, które nie pasują do jego działalności, powinno to wzbudzić nasze podejrzenia pod kątem ewentualnego prania pieniędzy.
Wewnętrzne procedury w zakresie przeciwdziałania praniu brudnych pieniędzy.
Ustawa nakłada na przedsiębiorców obowiązek wprowadzenia wewnętrznej procedury dotyczącej przeciwdziałania praniu brudnych pieniędzy, która będzie obowiązywała w organizacji. Powinna ona określać m.in. zasady dotyczące czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem prania pieniędzy lub finansowania terroryzmu, obejmujące:
a) zasady rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną (musimy mieć więc procedurę w jaki sposób dokonujemy analizy ryzyka transakcji),
b) opis środków stosowanych w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu związanym z danymi stosunkami gospodarczymi lub transakcją okazjonalną,
c) zasad stosowania środków bezpieczeństwa finansowego (tych samych, o których pisałem wyżej),
d) zasad przechowywania dokumentów oraz informacji,
e) zasad wykonywania obowiązków obejmujących przekazywanie Generalnemu Inspektorowi Informacji Finansowej informacji o transakcjach oraz zawiadomieniach – przepisy ustawy wskazują w jakich sytuacjach należy przekazać do Generalnego Inspektora informacji o transakcjach – procedura dot. przekazywania takich informacji powinna znaleźć odzwierciedlenie w wewnętrznej dokumentacji dot. przeciwdziałania praniu pieniędzy w organizacji,
f) zasad upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;
g) zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (co ciekawe, ustawa przewiduje możliwość zgłaszania naruszeń w sposób anonimowy!)
h) zasad kontroli wewnętrznej lub nadzoru zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz zasadami postępowania określonymi w wewnętrznej procedurze.
Trochę tego jest - procedura ma po prostu być kompletną "mapą drogową", która pokazuje organizacji co powinna robić w związku z przeciwdziałaniem praniu brudnych pieniędzy. Jak widać, opisana procedura dot. postępowania w ramach organizacji przypomina nieco polityki bezpieczeństwa dot. ochrony danych osobowych, których stworzenie jest zalecane w RODO. Oznacza to, że w ciągu kilku miesięcy przybyło nam obowiązków dot. tworzenia takich wewnętrznych regulacji, które będą stosowane w firmach. To jest coś, do czego przedsiębiorcy (zwłaszcza mniejsi) nie są przyzwyczajeni. Nie ma się jednak czego bać. Ich stworzenie nie jest bowiem zadaniem, którego nie da się wykonać – zwłaszcza, że ustawa o przeciwdziałaniu praniu pieniędzy dość precyzyjnie wskazuje na to, co w takiej procedurze powinno się znaleźć.
Czy grożą jakieś sankcje za niestosowanie przepisów nowej ustawy? Niestety tak – niewdrożenie nowej regulacji zgodnie z postanowieniami ustawy może skutkować nałożeniem kary administracyjnej , w tym kary pieniężnej – w wysokości do dwukrotności kwoty korzyści osiągniętej lub straty unikniętej przez instytucję obowiązaną w wyniku naruszenia albo - w przypadku gdy nie jest możliwe ustalenie kwoty tej korzyści lub straty - do wysokości równowartości kwoty 1 000 000 euro. Wobec niektórych instytucji (np. banków, ale także pośredników ubezpieczeniowych czy kantorów) kary finansowe mogą być wyższe (do 5 mln Euro albo 10% obrotu).
Ale to górna wysokość kary – co oznacza, że biorąc pod uwagę realną sytuację podmiotu naruszającego przepisy, jej wysokość może być znacznie niższa. Ustawa bowiem zakłada jej miarkowanie, w tym z uwagi na możliwości finansowe instytucji obowiązanej.
W praktyce więc nowych przepisów nie trzeba się bać. Oczywiście, przedsiębiorcy powinni wdrożyć nowe regulacje w taki sposób aby spełnić obowiązki wynikające z przepisów – nie jest to jednak zadanie niewykonalne – zwłaszcza, jeśli dotyczy małego lub średniego przedsiębiorstwa.