Obowiązki instytucji obowiązanych w zakresie AML

Obowiązki instytucji obowiązanych w zakresie AML

Jakie obowiązki dot. przeciwdziałania praniu pieniędzy są nałożone na instytucje obowiązane? Sprawdź, czy Twoja firma działa w pełni zgodnie z ustawą AML!

Przedsiębiorstwa, instytucje oraz przedsiębiorcy zaklasyfikowani jako instytucje obowiązane przez wielokrotnie nowelizowaną ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z dnia 1 marca 2018 roku (dalej zwaną ustawą AML) muszą realizować szereg zadań w kontekście AML. Obowiązki instytucji obowiązanych nie są niczym nowym, ale kolejne nowelizacje ustawy AML zmieniają dotychczasowe przepisy oraz wprowadzają nowe wymogi obejmujące także nowe, wcześniej niewymienione instytucje obowiązane. Sprawdź, czy Twoja firma działa zgodnie z ustawą Anti Money Laundering!

Kluczowe tematy dot. obowiązków AML omawiane w artykule:

  • Obowiązki związane z oceną ryzyka AML.
  • Obowiązki związane ze środkami bezpieczeństwa finansowego.
  • Obowiązki związane ze współdziałaniem z GIIF.
  • Obowiązki o charakterze organizacyjnym.

Powody nałożenia obowiązków na instytucje obowiązane

Na wskazane w ustawie AML podmioty (czyli instytucje obowiązane) polski ustawodawca nałożył szereg obowiązków, które mają na celu:

  • dokonanie oceny narażenia danego podmiotu na wykorzystanie w procederze prania pieniędzy i finansowania terroryzmu,
  • rozpoznanie ryzyka związanego ze stosunkami gospodarczymi i transakcjami okazjonalnymi realizowanymi przez dany podmiot oraz zarządzanie tym ryzykiem poprzez odpowiednie działania mitygacyjne,
  • określenie zasad współpracy instytucji obowiązanych z GIIF (Generalnym Inspektorem Informacji Finansowej) w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
  • określenie osoby odpowiedzialnej za wykonywanie oraz wdrażanie obowiązków określonych w ustawie AML, w tym za dokonywanie zawiadomień z art. 74 ust. 1, art. 86 ust. 1, art. 89 ust. 1 i art. 90.

Co ważne, firmom, osobom i instytucjom grozi szereg dotkliwych kar oraz sankcji za naruszenia AML, czyli za nieprzestrzeganie przepisów, które wprowadza ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

Obowiązki instytucji obowiązanych

Obowiązki związane z AML, które zostały nałożone na polskie podmioty, można podzielić na pięć podstawowych kategorii:

  1. identyfikowanie i ocenianie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu,
  2. wdrożenie i stosowanie środków bezpieczeństwa finansowego proporcjonalnych do ryzyka zidentyfikowanego podczas analizy klienta,
  3. gromadzenie i przekazywanie odpowiednim instytucjom informacji przewidzianych przez ustawę i współdziałanie z GIIF w razie wystąpienia podejrzenia prania pieniędzy albo finansowania terroryzmu,
  4. wdrożenie działań o charakterze organizacyjnym, których celem jest zapewnienie właściwego zrealizowania podstawowych zadań instytucji obowiązanych.

1. Obowiązki związane z identyfikacją i oceną ryzyka prania pieniędzy i finansowania terroryzmu

Instytucje obowiązane są zobligowane do identyfikacji i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu z uwzględnieniem m.in. wymienionych niżej czynników ryzyka:

  • klienci – np. ryzyko błędnej identyfikacji klienta lub braku aktualnej wiedzy o kliencie (instytucje obowiązane są m.in. zobligowane do dokonania zgłoszenia do Ministra Finansów rozbieżności w zakresie prawdziwości danych innego podmiotu ujawnionych w Centralnym Rejestrze Beneficjentów Rzeczywistych),
  • państwa – np. ryzyko związane z dywersyfikacją geograficzną klientów lub przepływów środków finansowych,
  • obszary geograficzne – np. ryzyko miejsca prowadzenia działalności lub miejsca przeprowadzenia transakcji (nowelizacja ustawy AML z dnia 30 marca 2021 roku wprowadza dodatkowe czynności, które instytucja obowiązana powinna wykonać w stosunku do klienta z państwa trzeciego, m.in. ograniczenie zakresu stosunków gospodarczych),
  • produkty i usługi – np. ryzyko związane z zastosowaną technologią czy ryzyko prawne,
  • transakcje – np. ryzyko wynikające z funkcjonalności wykorzystywanych systemów transakcyjnych i szybkości przeprowadzenia transakcji,
  • kanały dostawy usług, produktów i transakcji – np. ryzyko związane z zawieraniem umów na odległość lub ryzyko czynnika ludzkiego.

Przy ocenie ryzyka instytucja obowiązana powinna wziąć pod uwagę również krajową ocenę ryzyka oraz sprawozdanie Komisji Europejskiej oceniające ryzyko na poziomie Unii Europejskiej.

Ważnym elementem tego obowiązku jest ponadto aktualizacja oceny ryzyka w razie wystąpienia takiej potrzeby, a najrzadziej raz na 2 lata.

2. Obowiązki związane z wdrożeniem i stosowaniem środków bezpieczeństwa finansowego

Instytucje obowiązane powinny stosować wobec swoich klientów odpowiednie środki bezpieczeństwa finansowego. Ich zakres i intensywność zależą jednak od rozpoznanego ryzyka narażenia na udział w procederze prania pieniędzy lub finansowania terroryzmu.

Wymienione w ustawie AML środki bezpieczeństwa finansowego to:

  1. identyfikacja klienta oraz weryfikacja jego tożsamości,
  2. identyfikacja beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu:
    • weryfikacji jego tożsamości,
    • ustalenia struktury własności i kontroli w przypadku klienta będącego osobą prawną albo jednostką organizacyjną nieposiadającą osobowości prawnej,
  3. ocena stosunków gospodarczych klienta oraz (stosownie do sytuacji) uzyskanie informacji na temat ich celu i zamierzonego charakteru,
  4. bieżące monitorowanie stosunków gospodarczych klienta, w tym:
    • analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem,
    • badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta w przypadkach uzasadnionych okolicznościami,
    • zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.

By wypełnić to zobowiązanie, można wykorzystać oprogramowanie służące do monitorowania klientów i transakcji (np. system analityczny iAML). Program tego rodzaju powinien obejmować co najmniej poniższe funkcjonalności:

  • tworzenie profilu klienta,
  • gromadzenie i filtrowanie danych,
  • wykrywanie transakcji podejrzanych,
  • stosowanie list sankcyjnych,
  • gromadzenie zapisów na temat weryfikacji klienta,
  • zarządzanie zmianami w zakresie prawodawstwa.

3. Obowiązki związane z zawiadomieniami i współdziałaniem z GIIF

Ustawodawca nałożył na instytucje obowiązek współdziałania z Generalnym Inspektorem Informacji Finansowej (GIIF) w celu uniemożliwienia finansowania terroryzmu i wprowadzenia do obrotu finansowego wartości majątkowych pochodzących z nielegalnych źródeł.

Współdziałanie z Generalnym Inspektorem Informacji Finansowej obejmuje m.in. wykonywanie przez instytucje obowiązane poniższych działań:

  • gromadzenie i przekazywanie danych na temat wskazanych przez ustawę AML transakcji,
  • składanie do odpowiednich organów zawiadomień:
    – o okolicznościach wskazujących na podejrzenie popełnienia przestępstwa (zawiadomienie do GIIF),
    – o powzięciu podejrzenia co do określonej transakcji lub wartości majątkowych mających związek z popełnieniem przestępstwa prania pieniędzy (zawiadomienie do GIIF) lub
    – o powzięciu uzasadnionego podejrzenia, że wartości majątkowe będące przedmiotem transakcji lub zgromadzone na rachunku pochodzą z przestępstwa innego niż przestępstwo prania pieniędzy / finansowania terroryzmu lub mają związek z tym przestępstwem, albo z przestępstwem skarbowym,
  • wstrzymanie transakcji, czyli czasowe uniemożliwienie dysponowania i korzystania z wartości majątkowych, polegające na uniemożliwieniu dokonania określonej transakcji (na żądanie GIIF),
  • zablokowanie rachunku, czyli czasowe uniemożliwienie dysponowania i korzystania ze wszystkich wartości majątkowych zgromadzonych na rachunku, w tym również przez instytucję obowiązaną (na żądanie GIIF),
  • zamrożenie wartości majątkowych, czyli uniemożliwienie ich przenoszenia, zmiany lub wykorzystania, a także przeprowadzenia z udziałem tych wartości jakiejkolwiek operacji (na żądanie GIIF),
  • nieudostępnienie wartości majątkowych podmiotowi lub osobie, czyli np. nieudzielanie pożyczek, kredytów konsumenckich lub hipotecznych, niedokonywanie darowizn oraz płatności za towary lub usługi (na żądanie GIIF).

4. Wdrożenie działań o charakterze organizacyjnym

Instytucje obowiązane w ramach swojej działalności zobligowane są także do podjęcia działań o charakterze organizacyjnym, których celem jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, w tym:

  • wyznaczenie osób odpowiedzialnym (w tym AMLRO) za realizację obowiązków wynikających z ustawy AML,
  • stworzenie i przestrzeganie wewnętrznej procedury AML w oparciu o sporządzoną wcześniej ocenę ryzyka organizacji,,
  • opracowanie i wdrożenie procedury anonimowego zgłaszania rzeczywistych lub potencjalnych naruszeń w zakresie AML,
  • zapewnienie pracownikom szkoleń z zakresu AML,
  • archiwizowanie dokumentów i informacji uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego oraz dowodów potwierdzających przeprowadzone transakcje i ewidencje transakcji,
  • poddanie się kontroli w zakresie przestrzegania przepisów ustawy AML.

Ustawa AML reguluje również sytuacje, gdy instytucja obowiązana planuje przekazać m.in. niektóre obowiązki związane ze stosowaniem środków bezpieczeństwa podmiotom trzecim. Należy jednak pamiętać, że zakres przekazanych obowiązków nie powinien przekraczać katalogu wskazanego w ustawie. Ponadto przekazanie takich obowiązków wiąże się również z uregulowaniem między stronami ochrony przekazanych danych osobowych. Ustawa AML podkreśla, że powierzenie stosowania środków bezpieczeństwa finansowego na zasadach określonych w art. 48 ustawy nie zwalnia instytucji obowiązanej z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.

Podmioty będące częścią grup, np. grup kapitałowych, oprócz wyżej wymienionych obowiązków dotyczących każdej instytucji z osobna, powinny rozważyć również m.in.:

  • wdrożenie grupowej wewnętrznej procedury przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, uwzględniając w niej charakter grupy, przepływ danych i informacji oraz charakter powiązań między poszczególnymi instytucjami,
  • wyznaczenie osoby odpowiedzialnej w ramach grupy za realizację obowiązków wynikających z ustawy AML.

Chcesz mieć pewność, że w swojej firmie właściwie wypełniasz obowiązki AML?
Skontaktuj się z nami i skorzystaj ze wsparcia ekspertów AML!

FAQ, czyli informacje o obowiązkach AML w pigułce:

1. Które podmioty są zobowiązane do realizowania obowiązków AML?

W Polsce do realizowania obowiązków AML są zobowiązane tzw. instytucje obowiązane wskazane w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. To liczna i zróżnicowana grupa, do której należą wymienione w ustawie podmioty (firmy, instytucje, organizacje i stowarzyszenia) oraz przedsiębiorcy prowadzący indywidualną działalność gospodarczą. Co istotne, instytucje obowiązane to nie tylko podmioty działające w branży finansowej, ale także wiele innych.

2. Jakie są powody nakładania obowiązków AML na instytucje obowiązane?

Obowiązki AML są nakładane są na instytucje obowiązane przede wszystkim po to, aby identyfikować ryzyko oraz zapobiegać praniu pieniędzy i finansowaniu terroryzmu, chronić stabilność oraz bezpieczeństwo systemu finansowego, realizować międzynarodowe standardy (m.in. GIIF, FATF), a także ograniczać ryzyko prawne, finansowe i wizerunkowe instytucji obowiązanych.

3. Jakie obowiązki AML muszą realizować instytucje obowiązane?

Katalog obowiązków wskazanych w ustawie AML obejmuje kilka grup zadań: identyfikowanie i ocenianie ryzyka AML, wdrożenie i stosowanie odpowiednich środków bezpieczeństwa finansowego, gromadzenie i przekazywanie właściwym instytucjom informacji przewidzianych przez ustawę AML, współdziałanie z GIIF w razie wystąpienia podejrzenia prania pieniędzy albo finansowania terroryzmu oraz wdrożenie działań o charakterze organizacyjnym (m.in. procedura AML, procedura zgłoszeń sygnalistów, szkolenia AML).

4. Jakie kary i sankcje mogą być nałożone na instytucje obowiązane za naruszenia lub braki w realizacji obowiązków AML?

Kary i sankcje za naruszenia przepisów AML mogą być bardzo dotkliwe – obejmują m.in. kary finansowe sięgające nawet 5 mln euro lub 10% obrotu wykazanego z poprzedniego roku, sankcje takie jak nakaz zaprzestania naruszeń, cofnięcie koncesji lub zezwolenia czy publikacja informacji o naruszeniu na stronie BIP., a także sankcje karne takie jak kara grzywny i kara pozbawienia wolności.