Ustawa AML – obowiązki AFI i ASI

13 lipca br. weszła w życie nowa ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („Ustawa AML”). Ustawa zaimplementowała do polskiego porządku prawnego regulacje IV Dyrektywy AML, tj. Dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu.

Przepisy Ustawy AML zawierają szereg nowych obowiązków dla podmiotów obowiązanych, które mają na celu zapobieganie wykorzystywania systemu finansowego do prania pieniędzy i finansowania terroryzmu na poziomie krajowym.

Zakres podmiotowy Ustawy AML

Katalog instytucji obowiązanych został uregulowany w art. 2 Ustawy AML, są to m.in.: fundusze inwestycyjne, alternatywne spółki inwestycyjne, towarzystwa funduszy inwestycyjnych, zarządzający ASI. W praktyce, obowiązki z Ustawy AML wykonują zarządzający ASI lub TFI – jako organ zarządzający funduszem.

Obowiązki instytucji obowiązanych

1. Procedura wewnętrzna AML i whistleblowing

Podmioty podlegające obowiązkom Ustawy AML są obowiązane opracować i wdrożyć w swoich strukturach organizacyjnych dwie procedury: przeciwdziałania prania pieniędzy i finansowania terroryzmu oraz anonimowego zgłaszania naruszeń.

Zgodnie z Ustawą AML, procedura AML powinna zostać opracowana w sposób uwzględniający charakter i rodzaj działalności prowadzonej przez dany podmiot. Należy w niej uregulować przede wszystkim:

• czynności i działania mające na celu ograniczenie ryzyka prania pieniędzy i finansowania terroryzmu,
• zasady rozpoznawania i oceny ryzyka prania pieniędzy i finansowania terroryzmu,
• środki stosowane w celu zarządzania zidentyfikowanym ryzykiem,
• stosowanie środków bezpieczeństwa finansowego,
• zasady przechowywania dokumentów i informacji,
• zasady raportowania do GIIF,
• obowiązek przekazywania wiedzy i informacji pracownikom w zakresie obowiązków AML,
• obowiązek szkolenia pracowników,
• zasady przeprowadzania kontroli wewnętrznej i nadzorowania przez jednostkę compliance wykonywania obowiązków z zakresu AML.

Ponadto, w strukturze organizacyjnej TFI bądź ZASI, bądź zarządzającego funduszem, należy wskazać pracownika odpowiedzialnego za wykonywanie obowiązków Ustawy AML. TFI powinno wskazać tego pracownika (stanowisko) w swoich regulacjach wewnętrznych – np. w regulaminie organizacyjnym i procedurze AML.

Procedura anonimowego zgłaszania naruszeń („whistleblowing”) powinna składać się z co najmniej następujących elementów:

• wskazanie osoby odpowiedzialnej za odbieranie zgłoszeń,
• sposób odbierania zgłoszeń,
• sposób ochrony pracownika dokonującego zgłoszenia – zapobieganie działaniom represyjnym,
• sposób ochrony danych osobowych pracownika zgłaszającego oraz osoby, której zgłoszenie dotyczy,
• zasady zachowania poufności – w przypadku ujawnienia tożsamości osób, o których mowa powyżej lub w przypadku gdy ich tożsamość jest możliwa do ustalenia,
• opis działań podejmowanych po odebraniu zgłoszenia – opis procedury, zasady których należy przestrzegać,
• termin usunięcia danych osobowych zawartych w zgłoszeniu.

Warto zaznaczyć, że w przypadku gdy w TFI funkcjonuje już procedura whistleblowing, nie ma potrzeby wdrażania odrębnego dokumentu i procedury anonimowego zgłaszania naruszeń w zakresie AML. Należy przeanalizować funkcjonującą procedurę pod kątem wyżej wymienionych wymogów oraz zaznaczyć w zakresie przedmiotowego dokumentu, że procedura służy m.in. do zgłaszania naruszeń w zakresie Ustawy AML.

2. Stosowanie środków bezpieczeństwa finansowego

Instytucje obowiązane stosują środki bezpieczeństwa finansowego w celu weryfikacji tożsamości klienta i późniejszej obserwacji jego aktywności, co pozwala na ograniczenie ryzyka prania pieniędzy i finansowania terroryzmu. Do katalogu środków bezpieczeństwa finansowego należą:

• Identyfikacja klienta i weryfikacja jego tożsamości;
• Identyfikacja beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu:
  • Weryfikacji jego tożsamości
  • Ustalenia struktury własności i kontroli
• Ocena stosunków gospodarczych z klientem i, stosownie do sytuacji, uzyskiwanie informacji dotyczących ich celu i zamierzonego charakteru;
• Bieżące monitorowanie stosunków gospodarczych klienta, w tym:
  • Analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanych z tym klientem
  • Badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta – w przypadkach uzasadnionych okolicznościami
  • Zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.

Warto zwrócić uwagę na obowiązek identyfikacji beneficjenta rzeczywistego – dotyczy on przypadków, gdy klientem jest osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej. W uproszczeniu, beneficjentem rzeczywistym jest osoba lub osoby fizyczne, sprawujące bezpośrednio lub pośrednio kontrolę nad klientem – np. uczestnikiem funduszu. Takim beneficjentem może być większościowy akcjonariusz spółki. Uprzednio obowiązująca ustawa nakładała na podmioty jedynie obowiązek podjęcia działań w celu identyfikacji beneficjenta rzeczywistego, natomiast obecnie obowiązująca ustawa jednoznacznie nakazuje identyfikować beneficjenta, co może być sporym problemem. W tym celu ustawodawca zapowiedział utworzenie CRBR – Centralnego Rejestru Beneficjentów Rzeczywistych („Rejestr”), który ma ułatwić wykonywanie tego obowiązku.

Rozpoczęcie działalności CRBR zaplanowano na październik 2019 r.  Do zgłaszania informacji o beneficjentach rzeczywistych i ich aktualizacji będą obowiązane: spółki jawne, spółki komandytowe, spółki komandytowo-akcyjne, spółki z ograniczoną odpowiedzialnością oraz spółki akcyjne, z wyjątkiem spółek publicznych w rozumieniu ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych. Informacje podlegające zgłoszeniu do Rejestru obejmują dane identyfikacyjne powyższych spółek oraz dane identyfikacyjne beneficjenta rzeczywistego i członka organu lub wspólnika uprawnionego do reprezentowania spółek. Warto wskazać, że do zgłoszenia beneficjenta będą również obowiązane TFI i ZASI.

3. Prowadzenie rejestru transakcji i przechowywanie dokumentacji

Zgodnie z wymogami Ustawy AML, TFI lub ZASI obowiązane są prowadzić rejestry transakcji, zawierające informacje o przeprowadzonych transakcjach przekraczających równowartość 15.000 euro (również w przypadku, gdy przeprowadzono kilka pozornie niezwiązanych ze sobą transakcji), np. w związku z zakupem jednostek uczestnictwa lub certyfikatów inwestycyjnych.

Dodatkowo polecono instytucjom zobowiązanym przechowywanie rejestrów transakcji do czasu upływu okresu ich przechowywania przewidzianego na podstawie przepisów dotychczasowych (okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym dokonano ostatniego zapisu związanego z transakcją).

Obowiązek przechowywania dokumentacji dotyczy okresu 5 lat – licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne – tj. od momentu wykupu jednostek uczestnictwa bądź certyfikatów inwestycyjnych klienta (w przypadku, gdy klient nie nabędzie kolejnych). Warto wskazać, że Generalny Inspektor może zażądać przechowywania dokumentacji, przez kolejny okres nie dłuższy niż 5 lat, licząc od dnia, w którym upływa pierwotny okres, jeżeli jest to konieczne w celu przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu.

4. Zgłaszanie podejrzenia popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu

TFI/ ZASI są obowiązane zawiadomić Generalnego Inspektora o podejrzeniu popełnienia przestępstwa związanego z Ustawą AML. W zakresie tego obowiązku, istotna jest zasadnicza zmiana w porównaniu z poprzednimi regulacjami – podstawę zawiadomienia mogą stanowić podejrzane okoliczności, niezwiązane z konkretną transakcją.

Termin na dokonanie zawiadomienia określono w ustawie jako 2 dni robocze od dnia potwierdzenia przez instytucję obowiązaną podejrzenia. Co to oznacza w praktyce? Ustawodawca zobowiązał zgłaszającego do podjęcia czynności mających na celu potwierdzenie istnienia zidentyfikowanych okoliczności – tym samym położono nacisk na przeprowadzenie analizy przez samą instytucję, żeby ograniczyć ilość fałszywie pozytywnych alarmów analizowanych przez GIIF

Instytucje obowiązane – w tym TFI oraz ZASI – są obowiązane wykonywać wymienione powyżej obowiązki od dłuższego okresu czasu bowiem uprzednio obowiązująca ustawa także przewidywała stosowanie ww. środków bezpieczeństwa, czy powiadamianie Głównego Inspektora. Nowelizacja wprowadziła modyfikacje starych obowiązków i kilka nowych takich jak właśnie bezwzględny obowiązek identyfikacji beneficjenta rzeczywistego czy procedurę whistleblowing.

TFI oraz ZASI często mogą być nieświadome działań przestępczych, gdy współpracy w drodze szantażu lub przekupstwa dokonuje jeden z pracowników bądź gdy uczestnikami funduszu lub wspólnikami spółki zostają członkowie zorganizowanych grup przestępczych lub kontrolowane przez nich osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej.

Wobec powyższego oraz mając na względzie, że w związku z wysokimi standardami zabezpieczeń stosowanych w bankach, grupy przestępcze coraz częściej wykorzystują niebankowe instytucje rynku finansowego do celu legalizacji środków pochodzących z przestępstwa, ważne jest aby TFI oraz ZASI zwróciły uwagę na staranne wykonywanie obowiązków z zakresu AML/CFT.