Stanowisko dotyczące stosowania kwestionariusza ankietowego przez banki wobec instytucji sektora usług płatniczych

Proces postępującej cyfryzacji oraz digitalizacji usług finansowych jest coraz bardziej widoczny, zwłaszcza w obszarze sektora usług płatniczych. Liberalizacja świadczenia usług finansowych sprzyja tworzeniu innowacyjnych produktów finansowych oraz dostosowywaniu oferty do potrzeb klientów. Stanowi to zarówno szansę dla rozwoju cyfryzacji w obszarze finansów, jak i implikuje liczne zagrożenia związane z bezpieczeństwem obrotu finansowego.

Rozwój sektora usług płatniczych ma istotne znaczenie dla wprowadzania nowych, szybszych, bezpieczniejszych i skuteczniejszych rozwiązań technologicznych. Może też jednak stwarzać ryzyko wykorzystania systemów finansowych do procederu prania pieniędzy oraz finansowania terroryzmu. W ocenie Urzędu Komisji Nadzoru Finansowego (UKNF) celowe jest więc wspieranie rozwoju rynku nowych technologii oraz blisko z nim związanego sektora usług płatniczych z uwzględnieniem ograniczania ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu.

Zarówno Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy oraz Finansowania Terroryzmu (FATF),jaki Komisja Europejska wskazują na znaczne ryzyko wynikające z szeroko pojętych usług płatniczych oraz relacji korespondenckich. Działania inspekcyjne i analityczne prowadzone przez KNF począwszy od 2018 roku do chwili obecnej potwierdzają znaczne ryzyko prania pieniędzy oraz finansowania terroryzmu w tym sektorze. Ponadto z przeprowadzonej w 2019 r. przez UKNF ankiety wśród banków komercyjnych wynika, że istnieje bardzo duża rozbieżność w zakresie pozyskiwanych przez banki informacji o kliencie będącym instytucją płatniczą i nie istnieją w tym zakresie żadne standardy rynkowe. Zidentyfikowano przypadki, w których bank nie miał wiedzy o fakcie świadczenia przez klienta usług płatniczych. Miało to w szczególności miejsce w przypadkach, gdzie klient świadczy usługi płatnicze jako hybrydowa instytucja płatnicza. Z przeprowadzonej ankiety wynika także, że banki mają nawiązane relacje gospodarcze z instytucjami płatniczymi z całego świata, z krajów o różnym poziome rozwoju systemów AML/CFT.

WobecpowyższegoUKNFprzygotowałkwestionariuszzawierającyprzykładowyzakresinformacji, które banki powinny pozyskać od klienta będącego instytucją sektora usług płatniczych, w celu zwiększenia bezpieczeństwa obsługiwanych transakcji i wypracowania podobnych praktyk przy zawieraniu przez banki relacji z instytucjami płatniczymi. Zapewni to jednolite podejście wobec sektora usług płatniczych oraz kompletność i zgodność pozyskanych informacji z przepisami ustawy AML.

Treść pytań zawartych w kwestionariuszu była przedmiotem opinii przedstawicieli Związku Banków Polskich oraz Polskiej Organizacji Niebankowych Instytucji Płatności.

Zasadność opublikowania ww. kwestionariusza została potwierdzona przez Ministerstwo Finansów z uwagi na ryzyka związane z usługami płatniczymi.

Zapisy dyrektywy PSD2 1 , której przepisy transponowane zostały do polskiego porządku prawnego za pośrednictwem ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2019 r. poz. 659, z późn. zm.), zwanej dalej: ustawą o usługach płatniczych, znacząco rozszerzyły katalog instytucji sektora usług płatniczych oraz zakres możliwych do świadczenia przez te instytucje usług.

W opublikowanym przez Komisję Europejską Sprawozdaniu dla Parlamentu Europejskiego i Rady w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, które ma wpływ na rynek wewnętrzny i dotyczy działalności transgranicznej z dnia 26 czerwca 2017 r. wskazała ona, że nowe technologie oraz usługi płatnicze są znacząco narażone na ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu. Powyższe obszary ryzyka w dalszym ciągu pozostają istotne, czemu wyraz daje ocena poziomów zagrożenia i podatności dla transferu funduszy i usług płatniczych oszacowana ponownie w 2019 r. przez Komisję Europejską. 2

Także opublikowana przez Generalnego Inspektora Informacji Finansowej na podstawie art. 25 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 1115 z późn. zm.), zwanej dalej: ustawą AML, Krajowa Ocena Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu z dnia 17 lipca 2019 r. potwierdza, że ryzyko w obszarze sektora usług płatniczych z uwzględnieniem oferowanych przez instytucje tego sektora produktów jest znaczne.

W ocenie UKNF, stały rozwój regulacji z zakresu usług płatniczych nakazuje zwrócić uwagę na fakt, że prowadzenie rachunków dla instytucji płatniczych nie jest zwykłą relacją klient - bank, a wpisuje się wprost w definicję relacji korespondenckich określoną w art. 2 ust. 2 pkt 18 lit. b ustawy AML.

Przez relacje korespondenckie rozumie się relacje między instytucjami kredytowymi, instytucjami finansowymi, w tym relacje, w ramach których są świadczone podobne usługi przez instytucję będącą korespondentem na rzecz instytucji będącej respondentem, oraz relacje, które zostały ustanowione na potrzeby transakcji dotyczących papierów wartościowych lub na potrzeby transferów środków pieniężnych.

Relacje korespondenckie generują podwyższone ryzyko prania pieniędzy oraz finansowania terroryzmu. Ze swojej natury takie relacje tworzą sytuację, w której bank realizuje transakcje klientów innej instytucji finansowej. Oznacza to, że bank świadczy za pośrednictwem swoich rachunków usługi dla osób i podmiotów, których nie zweryfikował, ani o których nie uzyskał bezpośredniej wiedzy. Rachunki prowadzone dla korespondenta mogą stanowić poważne zagrożenie dla banku, ponieważ bank przetwarza duże ilości transakcji dla klientów swoich klientów. W większości przypadków instytucja bankowa nie ma pełnych informacji na temat rzeczywistych stron obsługiwanych transakcji. Stwarza to poważne trudności w dokonaniu analizy i zidentyfikowaniu transakcji podejrzanych.

Zalecenia Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (FATF), która jest jedną z ważniejszych międzyrządowych organizacji mających na celu wypracowywanie i określanie standardów w dziedzinie przeciwdziałania praniu pieniędzy na podstawie, których tworzone jest prawo na świecie (w tym Unii Europejskiej), w ramach swoich rekomendacji wydała wytyczne dotyczące relacji korespondenckich (w tym obejmujących relacje z instytucjami płatniczymi), które wymagają podjęcia odpowiednich działań:

Zgodnie z treścią 13 Rekomendacja FATF - Bankowość korespondencka jest relacją, wobec której oprócz zwykłych środków badania klienta, w odniesieniu do stosunków transgranicznej bankowości korespondencyjnej i podobnych relacji, instytucje finansowe powinny:

Ponadto należy uwzględnić podejście oparte na ryzyku oraz treść art. 43 ust. 2 pkt 6 ustawy AML określający, że o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu może świadczyć korzystanie przez klienta z usług lub produktów sprzyjających anonimowości lub utrudniających jego identyfikację, w tym z usługi polegającej na tworzeniu dodatkowych numerów rachunków w celu ich udostępniania innym podmiotom do identyfikacji płatności lub zleceniodawców tych płatności, a więc usług świadczonych przez instytucje płatnicze. Co istotne, treść ww. przepisu zawiera-poprzez użycie określenia "w szczególności" - katalog otwartych przesłanek mogących świadczyć o wyższym ryzyku prania pieniędzy oraz finansowania terroryzmu, a w treści tego przepisu wymienione zostały tylko nieliczne przykłady. Oznacza to, że banki w relacjach z instytucjami płatniczymi, w szczególności prowadzącymi rachunki płatnicze, są bezwzględnie zobowiązane do przeprowadzenia szczegółowej analizy ryzyka, zwłaszcza w kontekście zastosowania wzmożonych środków bezpieczeństwa finansowego. Instytucja obowiązana powinna swojego klienta analizować indywidualnie, a w ocenie ryzyka stosunków gospodarczych uwzględnić wagę wszystkich czynników.

Mając na uwadze bezpieczeństwo obrotu finansowego oraz poprawność realizowania przez podmioty nadzorowane obowiązków wynikających z ustawy AML, UKNF podjął działania mające na celu usprawnienie współpracy instytucji sektora bankowego oraz sektora usług płatniczych.

Na podstawie przeprowadzonych badań ankietowych oraz doświadczeń kontrolnych opracowano projekt kwestionariusza, który powinien zostać wykorzystany przez banki przy pozyskiwaniu i aktualizowaniu danych o kliencie świadczącym usługi płatnicze, a którego treść stanowi Załącznik nr 1 do niniejszego stanowiska. Kwestionariusz wzoruje się na ankiecie grupy Wolfsberg 3 , która jest powszechnie obowiązującym standardem na rynku międzybankowym, przy nawiązywaniu relacji korespondenckich pomiędzy bankami. Zakres zawartych w nim pytań nie jest obligatoryjny, jednakże istotne jest umożliwienie instytucjom sektora bankowego uzyskanie informacji o kliencie będącym przedstawicielem instytucji sektora płatniczego. Jego wdrożenie ułatwi wypełnienie obowiązków ustawy AML, w tym przede wszystkim rozpoznania ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi, a następnie zastosowania adekwatnych środków bezpieczeństwa finansowego celem jego ograniczenia. Ponadto wprowadzenie uniwersalnego podejścia w tym zakresie może usprawnić proces uruchamiania przez instytucje sektora usług płatniczych rachunków bankowych. Raz przygotowane przez instytucję płatniczą informacje będą mogły być wykorzystane do nawiązywania i podtrzymania relacji w różnych bankach, bez konieczności dopasowywania zakresu danych i informacji w każdej relacji z bankiem z osobna.

Dobrą praktyką w tym zakresie jest aktualizowanie wiedzy o innej instytucji finansowej nie rzadziej niż raz w roku oraz uzyskanie akceptacji kadry kierowniczej wyższego szczebla na nawiązanie lub kontynuację stosunków gospodarczych z instytucjami sektora usług płatniczych. Przy nawiązywaniu lub kontynuowaniu tego typu stosunków gospodarczych, wskazane jest co najmniej uzyskanie opinii komórki odpowiedzialnej za przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

Przedstawione stanowisko oraz kwestionariusz wskazuje na zakres informacji, które banki powinny pozyskać przy nawiązywaniu relacji z instytucjami sektora usług płatniczych oraz przy okresowej aktualizacji danych. Mając na względzie podejście oparte na ryzyku, treść poszczególnych pytań oraz stopień ich wnikliwości może być modyfikowany zgodnie z przyjętą przez bank polityką i charakterem prowadzonej działalności przez instytucję płatniczą.

Przypominamy również o ciążącym, na podstawie art. 4 ust. 8 ustawy o usługach płatniczych, obowiązku informowania Komisji Nadzoru Finansowego o każdym przypadku odmowy klientowi będącemu dostawcą usług płatniczych dostępu do usług oferowanych przez bank, wraz ze wskazaniem przyczyn takiej odmowy.

Forma organizacyjna oraz informacje dotyczące instytucji płatniczej

1. Data rozpoczęcia prowadzenia działalności przez instytucję w zakresie świadczenia usług płatniczych.

Data uzyskania licencji lub wpisu do rejestru nie musi być datą rozpoczęcia działalności operacyjnej. Ponadto część instytucji mogła świadczyć tego typu usługi na podstawie wcześniejszych zezwoleń lub przed obowiązkiem rejestracji tego typu działalności (np. krajowa instytucja płatnicza posiadała uprzednio zezwolenie na świadczenie usług jako mała instytucja płatnicza lub biuro usług płatniczych). Długość prowadzenia działalności w zakresie świadczenia usług płatniczych ma wpływ na znajomość klientów, historię i sposób wykonywania przez instytucję środków bezpieczeństwa finansowego oraz w razie konieczności pozwala uzyskać informacje na temat reputacji danej instytucji.

2. Zakres posiadanej licencji/zezwolenia.

Zakres posiadanej licencji/zezwolenia nie musi pokrywać się z katalogiem świadczonych usług w praktyce. Jednakże pozwala na wdrożenie nowych usług bez konieczności uzyskania dodatkowych uprawnień, co może mieć wpływ na ocenę ryzyka prania pieniędzy i finansowania terroryzmu.

3. Czy działalność w zakresie świadczenia usług płatniczych jest jedyną działalnością wykonywaną przez Państwa instytucję?

Wiele instytucji płatniczych wykonuje swoją działalność jako hybrydowe instytucje płatnicze. Pozostała działalność może mieć istotny wpływ na ryzyko prania pieniędzy i finansowania terroryzmu np. mieścić się w katalogu branż podwyższonego ryzyka.

4. Jeśli działalność w zakresie świadczenia usług płatniczych nie jest jedyną działalnością wykonywaną przez Państwa instytucję, proszę o wskazanie szacowanego procentowego udziału ww. usług płatniczych względem pozostałej działalności instytucji.

Celem pytania jest ustalenie wpływu pozostałej działalności na działalność świadczenia usług płatniczych. W związku z powyższym nie jest koniecznym uzyskanie precyzyjnych danych. Przedmiotowa informacja może być pozyskana w przybliżeniu np. przy zastosowaniu przedziałów udziałowych (więcej niż...; mniej niż.... itp.).

5. Główne kraje, w których instytucja prowadzi działalność.

Cześć instytucji prowadzi działalność na wielu rynkach i kieruje swoją ofertę do klientów w różnych krajach. Powyższe decyduje o charakterze, rodzaju i kierunki przepływu środków finansowych, co ma istotne znaczenie w procesie analizy transakcji realizowanej przez bank.

6. Dane osób upoważnionych do działania w imieniu instytucji w relacjach z bankiem, w szczególności osób upoważnionych do inicjowania transakcji.

Niecelowym jest zbieranie danych o wszystkich pełnomocnikach instytucji. Celem pytania jest zebranie danych osób uprawnionych do bieżącej relacji z bankiem, w szczególności do wydawania dyspozycji dla banku (również w sposób zdalny). 7. Jakim wynikiem instytucja zakończyła ubiegły rok finansowy? Proszę o wskazanie: zysk, strata, bieżący rok jest pierwszym okresem rozliczeniowym.

Nie jest koniecznym uzyskanie szczegółowych danych finansowych. Sama informacja o uzyskanym zysku lub poniesionej stracie pozwoli ocenić poziom relacji biznesowych i jako jeden z wielu czynników pozwoli oszacować apetyt na ryzyko danej instytucji.

Charakter relacji instytucji płatniczej z bankiem

1. Czy Państwa instytucja dopuszcza do realizowania przez klientów transakcji związanych z (niżej przykładowy katalog).

Bank tworząc przedmiotowy katalog powinien wziąć pod uwagę branże i działalności, które zgodnie z regulacjami wewnętrznymi są niedopuszczalne przy nawiązywaniu bezpośrednich relacji z bankiem. Powyższe pozwoli podjąć decyzję o możliwości lub ew. sposobie przeprowadzania przez klientów tego typu transakcji i ich analizowania.

Informacje dotyczące Procedury/Polityki/Programu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT)

1. Czy posiadają Państwo ocenę ryzyka instytucji w zakresie przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu? Jeśli tak, proszę o przekazanie informacji o końcowej ocenie ryzyka oraz kluczowych czynników ryzyka w formie załącznika.

Ocena ryzyka instytucji jest dokumentem sensytywnym i nie powinna być udostępniana podmiotom trzecim. W związku z powyższym każda instytucja obowiązana powinna dla celów relacji z innymi podmiotami przygotować i udostępniać jedynie informacje o kluczowych czynnikach ryzyka w działalności danej instytucji i końcowej ocenie ryzyka.

2. Proszę o podanie imion i nazwisk oraz stanowisk osób odpowiedzialnych za realizację obowiązków związanych z przeciwdziałaniem praniu pieniędzy oraz finansowaniem terroryzmu, wraz z danymi kontaktowymi (np. e-mail, numer telefonu).

Celem pytania jest uzyskanie danych osób, o których mowa w art. 6, 7 oraz 8 ustawy lub w przypadku relacji z instytucjami zagranicznymi osób pełniących równoważne funkcje.

3. Czy zapewniają Państwo udział osób wykonujących obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu w programach szkoleniowych dotyczących tych obowiązków? Jeśli tak, proszę o wskazanie sposobu realizacji programu szkoleniowego w zakresie AML/CFT.

Celem pytania jest uzyskanie informacji o sposobie realizacji obowiązku szkoleniowego:

- czy instytucja posiada własny program szkoleniowy, czy też korzysta z podmiotu trzeciego;

- czy program szkoleniowy dostosowany jest do charakteru i zakresu działalności instytucji;

- jak realizowany jest program szkoleniowy w przypadku działalności przez agentów lub podmioty trzecie.

Jakość realizacji obowiązków szkoleniowych ma istotny wpływ na sposób wykonywania całości obowiązków z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, tym samym na ocenę ryzyka AML/CFT stosunków gospodarczych z instytucją płatniczą. Charakterystyka działalności instytucji płatniczej

1. Wykaz oferowanych (w praktyce) produktów i świadczonych usług płatniczych.

Zakres posiadanej licencji/zezwolenia nie musi pokrywać się z katalogiem świadczonych usług w praktyce. Bank powinien móc ocenić ryzyko związane z faktycznie świadczonymi usługami przez instytucję płatniczą.

2. Wykaz oferowanych produktów i świadczonych usług podlegających obowiązkom związanym z procesem AML, nie będących usługami płatniczymi.

Część instytucji działających jako hybrydowe instytucje płatnicze prowadzi pozostałą działalność, która również może podlegać obowiązkom przeciwdziałania praniu pieniędzy i finansowania terroryzmu (np. działalność kantorowa lub obrót walutami wirtualnymi), która powinna być wzięta pod uwagę przy ocenie ryzyka klienta. Wiele z przeprowadzanych przez te instytucje transakcji łączy w sobie obydwie usługi (np. wymiana waluty i jednoczesny transfer środków do osoby trzeciej). Szczególnie przy nawiązywaniu relacji z instytucjami zagranicznymi należy ustalić, czy usługi narażone na wykorzystanie w procederze prania pieniędzy i finasowania terroryzmu podlegają regulacjom AML/CFT w państwach pochodzenia.

3. Sposób nawiązywania relacji z klientem, ze wskazaniem sposobu przeważającego (wraz z szacunkowym udziałem procentowym); Liczba klientów, z którymi instytucja ma nawiązane stałe stosunki gospodarcze (szacunkowy podział klientów na poszczególne kategorie ryzyka AML/CFT); Struktura prawna bazy klientów (proszę o podanie szacunkowego udziału).

Do celu oszacowania ryzyka AML/CFT nie jest koniecznym uzyskanie szczegółowych danych liczbowych, które mogą być tajemnicą przedsiębiorstwa. W związku z powyższym możliwe jest ustalenie danych szacunkowych np. przy zastosowaniu przedziałów udziałowych (więcej niż...; mniej niż.... itp.).

4. Czy instytucja świadczy usługi dla osób prawnych?

W ramach przedmiotowego pytania należy ustalić, czy instytucja zgodnie z przyjętymi zasadami świadczy usługi dla osób prawnych (w tym dla transakcji okazjonalnych), niezależnie od faktu posiadania (lub braku) wśród bazy aktualnych klientów nawiązanych stosunków gospodarczych z osobami prawnymi.

5. Czy Państwa instytucja świadczy bądź zamierza świadczyć usługi pośrednictwa na rzecz innych instytucji finansowych w formie rachunków zagnieżdżonych (tzw. relacje nested)? Jeśli tak, proszę o podanie typów tych instytucji i szczegółowy opis tego typu relacji.

Rachunki zagnieżdżone - w ramach rachunku prowadzonego przez bank dla instytucji płatniczej, podmiot ten prowadzi rachunki płatnicze dla innych podmiotów sektora usług płatniczych lub podmiotów świadczących podobne usługi. Powstaje wówczas sytuacja, w której bank realizuje transakcje nie tylko klientów swojego klienta jakim jest instytucja płatnicza ale klientów podmiotów, z którymi instytucja płatnicza ma nawiązane relacje gospodarcze. W ten sposób może powstać dowolnej długości łańcuch wzajemnych powiązań, który utrudni lub wręcz uniemożliwi prawidłowe wykonanie obowiązków ustawowych. Bank przy nawiązywaniu tego typu relacji powinien ocenić i udokumentować możliwość realizacji programu przeciwdziałania praniu pieniędzy i finansowania terroryzmu, w szczególności związanych z analizą transakcji. 6. Łączna liczba transakcji płatniczych wykonanych w ostatnim roku; Łączna wartość transakcji płatniczych wykonanych w ostatnim roku; Średnia wartość transakcji płatniczej wykonanej w ostatnim roku.

Do celu oszacowania ryzyka AML/CFT oraz poziomu zaangażowania w relacjach biznesowych nie jest koniecznym uzyskanie szczegółowych danych liczbowych, które mogą być tajemnicą przedsiębiorstwa. W związku z powyższym możliwe jest ustalenie danych szacunkowych np. przy zastosowaniu przedziałów liczbowych i kwotowych (więcej niż...; mniej niż.... itp.).

7. Czy w terminie najbliższych 12-stu m-cy planowane jest (zostało zatwierdzone) poszerzenie portfela produktów lub usług płatniczych oraz rozszerzenie rynku docelowego klientów? Jeśli tak, proszę o dodanie opisu w zakresie powyższego.

Każdy rodzaj usługi lub produktu generuje własne ryzyko prania pieniędzy i finansowania terroryzmu. Zmiana katalogu oferowanych usług ma istotny wpływ na ryzyko prania pieniędzy i finansowania terroryzmu, a tym samym na ocenę ryzyka klienta i konieczność zastosowania odpowiednich środków bezpieczeństwa finansowego, w szczególności związanych z analizą transakcji.

Ocena ryzyka i środki bezpieczeństwa finansowego instytucji płatniczej

1. Pytania od 54 do 69

Nie jest wystarczające w odpowiedzi na przedmiotowe pytania uzyskanie w formie załączników regulacji wewnętrznych instytucji płatniczej. Odpowiedzi te mogą być rozproszone po wielu regulacjach. W związku z powyższym celowe jest uzyskanie odpowiedzi w formie zagregowanej, umożliwiającej poddanie ich szczegółowej analizie oceny ryzyka AML/CFT.

2. Czy instytucja posiada dedykowanych pracowników do monitoringu/analizy transakcji? Jeśli tak, proszę o podanie liczby pracowników.

Bank prowadząc rachunek dla instytucji płatniczej realizuje transakcje osób i podmiotów, z którymi nie nawiązał bezpośrednich relacji i o których, ma ograniczona wiedzę. Powyższe stanowi utrudnienie w zakresie analizy przeprowadzanych transakcji. W związku z powyższym, kluczowym jest ustaleni sposobu analizy transakcji swoich klientów przez instytucję płatniczą. Jednym z elementów mających istotny wpływ na skuteczność analizy transakcji są zasoby kadrowe w tym zakresie.