De-risking a proces KYC instytucji obowiązanej w kontekście AML

De-risking a proces KYC instytucji obowiązanej

Wytyczne GIIF, NBP, EBA i FATF oraz ich wpływ na proces KYC i ocenę ryzyka instytucji obowiązanej

Ostatnie lata przyniosły przedsiębiorstwom wiele ważnych zmian prawnych w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML), nakładając na nie szeroki wachlarz nowych zadań. Obowiązki AML są nie tylko skomplikowane, ale również czasochłonne. Powoduje to, że część instytucji obowiązanych decyduje się na de-risking, czyli w pewnym uproszczeniu świadome ograniczanie lub zaprzestanie współpracy z pewnymi grupami podmiotów albo prowadzenia działalności generującej konieczność wypełniania tych nowych obowiązków.

Zjawisko de-riskingu jest na tyle istotne w kontekście przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, że wiodące instytucje zajmujące się zagadnieniami AML (polskie takie jak GIIF i NBP, a także międzynarodowe takie jak EBA i FATF) opublikowały w tym zakresie swoje wytyczne dla instytucji obowiązanych. Rekomendacje te mają na celu wsparcie przedsiębiorstw, aby uchronić je przed niewłaściwym rozumieniem przepisów, co może skutkować między innymi nadmiernym lub niedostatecznym ograniczaniem dostępności usług dla klientów, którzy zostali określeni jako klienci podwyższonego lub wysokiego ryzyka.

Czym jest de-risking w kontekście AML i KYC?

Europejski Urząd Nadzoru Bankowego (European Banking Authority, EBA) definiuje de-risking w swoich wytycznych EBA/GL/2021/02 z 1 marca 2021 roku w następujący sposób:

Termin „de-risking” odnosi się do decyzji podjętej przez instytucje o zaprzestaniu oferowania usług niektórym kategoriom klientów związanym z wyższym ryzykiem prania pieniędzy i finansowania terroryzmu. W związku z tym, że ryzyko związane z indywidualnymi stosunkami gospodarczymi będzie różne, nawet w ramach jednej kategorii, stosowanie podejścia z uwzględnieniem ryzyka nie wymaga od instytucji odmowy nawiązania lub zakończenia stosunków gospodarczych z całymi kategoriami klientów, do których jest przypisane większe ryzyko prania pieniędzy i finansowania terroryzmu. Instytucje powinny starannie wyważyć potrzebę włączenia społecznego pod względem finansowym z potrzebą ograniczania ryzyka prania pieniędzy i finansowania terroryzmu.

Stanowisko GIIF w sprawie de-riskingu

Generalny Inspektor Informacji Finansowej (GIIF) w kontekście de-riskingu opublikował 25 stycznia 2024 roku komunikat pt. „Komunikat nr 73 w sprawie wykluczania niektórych kategorii klientów z nawiązywania stosunków gospodarczych (de-risking) oraz skarg wnoszonych do Generalnego Inspektora Informacji Finansowej przez klientów instytucji obowiązanych”. Wskazuje w tym dokumencie między innymi, że:

Rezygnacja z nawiązania stosunku gospodarczego lub decyzja o rozwiązaniu stosunku gospodarczego nie może być podyktowana jedynie faktem, że podmiot należy do grupy klientów o podwyższonym ryzyku prania pieniędzy i finansowania terroryzmu. Każda decyzja powinna zostać oparta na indywidualnej analizie.

Zgodnie ze wskazówkami GIIF, w sytuacjach podwyższonego ryzyka instytucja obowiązana może podjąć kilka działań:

  • dostosować poziom i intensywność monitoringu do sytuacji;
  • oferować wyłącznie podstawowe produkty i usługi finansowe, ale ważne jest, aby wszelkie ograniczenia były proporcjonalne i nie ograniczały klientom w sposób nieuzasadniony lub niepotrzebny dostępu do produktów i usług finansowych;
  • dokonać skutecznej weryfikacji i dokumentacji tożsamości klienta będącego osobą fizyczną o statusie podwyższonego ryzyka.

W swoim komunikacie, GIIF podkreśla, że nie ma ustawowej legitymacji do ingerencji w decyzje instytucji obowiązanych, w szczególności nie może wpływać na ich zmianę. Nie ma również wpływu na politykę biznesową instytucji obowiązanych i ich relacje z poszczególnymi klientami.

Jednak z drugiej strony, GIIF ocenia prawidłowość realizacji obowiązków ustawowych oraz zgodności działalności instytucji obowiązanych z przepisami w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Ma wpływ i może reagować w przypadku, gdy pojawią się systemowe problemy w instytucjach obowiązanych z oceną ryzyka klientów prowadzące do wykluczania całych ich kategorii ze stosunków gospodarczych.

Z pełną treścią komunikatu GIIF można zapoznać się tutaj.

Wytyczne EBA dotyczące de-riskingu

Europejski Urząd Nadzoru Bankowego (European Banking Authority, EBA) opublikował 31 marca 2023 roku dokument pt. „Wytyczne w sprawie strategii i środków kontroli w zakresie skutecznego zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu przy zapewnieniu dostępu do usług finansowych” (EBA/GL/2023/04). Dokonuje w nim rozróżnienia między ryzykiem związanym z określoną kategorią klientów a ryzykiem związanym z indywidualnymi klientami, którzy należą do tej kategorii:

Instytucje kredytowe i finansowe powinny zapewnić, aby wdrożenie środków kontroli nie skutkowało ogólną odmową ani zakończeniem stosunków gospodarczych z całymi kategoriami klientów, które instytucje uznały za stwarzające wyższe ryzyko prania pieniędzy lub finansowania terroryzmu. Instytucje te powinny określić wszystkie możliwości ograniczania wyższego ryzyka prania pieniędzy lub finansowania terroryzmu, których zastosowanie będą rozważać, zanim podejmą decyzję o odrzuceniu klienta z powodu ryzyka prania pieniędzy i finansowania terroryzmu. Przed podjęciem decyzji o odmowie lub zakończeniu stosunku gospodarczego instytucje kredytowe i finansowe powinny upewnić się, że rozważyły i odrzuciły wszystkie możliwe środki ograniczające ryzyko, które można byłoby racjonalnie zastosować w danym przypadku, biorąc pod uwagę ryzyko prania pieniędzy i finansowania terroryzmu powiązane z istniejącym lub potencjalnym stosunkiem gospodarczym. Dodatkowo, każdą decyzję o odmowie lub zakończeniu stosunku gospodarczego wraz z jej uzasadnieniem należy dokumentować i udostępniać na żądanie właściwego organu.

EBA zaleca, aby strategie i procedury, o ile zezwala na to prawo krajowe, obejmowały możliwości i kryteria dotyczące dostosowania cech produktów lub usług oferowanych danemu klientowi w sposób indywidualny i uwzględniający ryzyko.

W celu ograniczenia ryzyka, w wytycznych EBA rekomendowana jest ocena możliwości wykorzystania poniższych działań:

  • brak dostępu do kredytów lub kredytów w rachunku bieżącym;
  • miesięczne limity obrotu;
  • ograniczenia dotyczące kwoty, rodzaju lub liczby przelewów;
  • limity dotyczące kwoty transakcji do i z państw trzecich;
  • ograniczenia wielkości depozytów;
  • ograniczenia płatności dokonywanych przez osoby trzecie do płatności dokonywanych przez organ, który wypłaca takim klientom wsparcie;
  • limity płatności otrzymywanych od osób trzecich, których instytucja nie zweryfikowała;
  • zakaz wypłaty środków pieniężnych pochodzących z państw trzecich.

Ważną częścią rekomendacji EBA jest wskazanie, że przekazując decyzję o odmowie lub zakończeniu stosunków gospodarczych z klientem lub potencjalnym klientem, instytucje muszą poinformować takie osoby o przysługującym im prawie do skontaktowania się z odpowiednim organem oraz muszą podać właściwe dane kontaktowe.

Pełną treść tych wytycznych EBA w języku polskim można przeczytać tutaj.

Wytyczne NBP na temat de-riskingu

W odpowiedzi na wytyczne EBA (omówione w powyższej części artykułu), swoje rekomendacje opublikował 14 września 2023 roku również Narodowy Bank Polski (NBP), podkreślając, że:

Wytyczne EBA wskazują konieczność dokumentowania każdej decyzji instytucji obowiązanej o odmowie lub zakończeniu stosunku gospodarczego wraz z jej uzasadnieniem. Dokumenty te powinny być przechowywane i udostępniane na żądanie właściwego organu. Wypełnienie przez instytucję obowiązków wynikających z tych wytycznych będzie podlegało kontroli NBP.

NBP w swoim komunikacie skupił się na kantorach, wskazując, że przy określaniu czynników ryzyka dla tego rodzaju działalności, należy:

  • określić sytuacje, w których transakcje lub zidentyfikowane transakcje powiązane wynoszą 15.000 euro;
  • określić, w którym momencie seria jednorazowych transakcji staje się stosunkiem gospodarczym, biorąc pod uwagę kontekst działalności firmy;
  • identyfikować powiązane transakcje (np. w celu wykrycia, czy ten sam klient odwiedza wiele kantorów w krótkim czasie) oraz monitorować transakcje w sposób, który jest odpowiedni i skuteczny w świetle wielkości instytucji obowiązanej, liczby jej kantorów i ilości transakcji, rodzaju prowadzonej działalności, kanałów dostawy oraz ryzyka zidentyfikowanego w ramach ogólnej oceny ryzyka;
  • wzmocnić monitorowanie transakcji (np. większa częstotliwość lub niższe pułapy), uzyskując dodatkowe informacje na temat charakteru i celu działalności lub źródła finansowania klienta;
  • przekazując decyzję o odmowie lub zakończeniu stosunków gospodarczych z klientem lub potencjalnym klientem, informować o przysługującym im prawie do skontaktowania się z odpowiednim właściwym organem lub wyznaczonym organem pozasądowego rozstrzygania sporów oraz podać odpowiednie dane kontaktowe do tychże organów.

Z wytycznymi NBP na temat de-riskingu w kantorach można zapoznać się tutaj (pod datą 14 września 2023 roku w sekcji „Informacje – pranie pieniędzy / finansowanie terroryzmu”).

Prowadząc działalność kantorową, warto również zapoznać się z poradnikiem „AML w kantorze – obowiązki ustawowe i wytyczne organów nadzoru”.

Rekomendacje FATF odnośnie do de-riskingu

Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy (Financial Action Task Force, FATF) temat de-riskingu podejmuje już od wielu lat, korzystając przy tym ze swojej definicji, według której:

De-risking jest to zjawisko polegające na zakończeniu lub ograniczeniu przez instytucje finansowe relacji biznesowych z klientami lub kategoriami klientów w celu uniknięcia ryzyka, a nie zarządzania nim, zgodnie z podejściem FATF opartym na ryzyku.

Zgodnie z rekomendacjami FATF, utrata dostępu do usług finansowych stanowi de-risking w rozumieniu powyższej definicji, jeśli nie jest oparta na indywidualnej ocenie ryzyka i zdolności do jego ograniczenia. W innym swoim stanowisku (które można przeczytać tutaj) FATF dodaje, że takie podejście jest sprzeczne z rekomendacją pierwszą mówiącą o podejściu opartym na analizie ryzyka oraz ze standardami FATF, gdy skutkiem działań instytucji obowiązanych jest „hurtowe odcinanie całych krajów i klas klientów, bez poważnego i kompleksowego uwzględnienia ich poziomu ryzyka prania pieniędzy i finansowania terroryzmu oraz mających zastosowanie środków ograniczających ryzyko dla tych krajów i dla klientów w danym sektorze”.

Pozbawienie dostępu do usług finansowych przez de-risking nie jest właściwym stosowaniem zasady ograniczonego ryzyka promowanej przez FATF, która ma kluczowe znaczenie dla skutecznego wdrażania zaleceń FATF. Tak stosowany de-risking może skutkować negatywnymi konsekwencjami, na przykład niektóre transakcje finansowe mogą z większym prawdopodobieństwem odbywać się poza regulowanym systemem finansowym.

Więcej o rekomendacjach FATF na temat de-riskingu można przeczytać tutaj.

Wpływ wytycznych na temat de-riskingu na procesy KYC i ocenę ryzyka

Podsumowując wszystkie opisane powyżej rekomendacje odnoszące się do zagadnień de-riskingu oraz procesów Poznaj Swojego Klienta (Know Your Customer, KYC), szczególną uwagę należy zwrócić na kilka obszarów:

  • istotne jest rozróżnienie między ryzykiem związanym z określoną kategorią klientów a ryzykiem związanym z indywidualnymi klientami;
  • zalecane jest indywidualna analiza klienta oraz dokumentowanie decyzji o odmowie lub zakończeniu stosunku gospodarczego;
  • ważną rolę odgrywa zidentyfikowanie istotnych czynników ryzyka oraz przygotowanie oceny ryzyka prania pieniędzy i finansowania terroryzmu związanego z indywidualnymi stosunkami gospodarczymi;
  • onboarding klientów z wykorzystaniem usług cyfrowych nie powinien powodować automatycznego odrzucenia;
  • ograniczenie dostępu do usług powinno być proporcjonalne, co stanowi pośrednie KYC;
  • konieczne jest informowanie klientów o procedurach odwołania i/lub skargi.