Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu w branży fintech
W polskim prawie aktualnie nie znajdziemy definicji pojęcia fintech. Z pomocą przychodzi nam tutaj Komisja Europejska, która definiuje fintech jako innowacje w usługach finansowych oparte na technologii, które mogą prowadzić do powstania nowych modeli biznesowych, zastosowań, procesów oraz produktów, przez co mogą mieć znaczący wpływ na rynki i instytucje finansowe oraz na sposób świadczenia usług finansowych[1]. W praktyce, fintechy mogą być dostawcami rozwiązań technologicznych dla branży finansowej, lub też firmami technologicznymi, które bezpośrednio konkurują z bankami poprzez tworzenie, zarządzanie i oferowanie usług i produktów finansowych.
Podobnie jak banki, , fintechy jako instytucje płatnicze są zobowiązane, żeby przestrzegać Przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT). Do podstawowych obowiązków fintechów jako instytucji obowiązanych należy między innymi przeprowadzenie oceny ryzyka AML/CFT, zapewnienie oraz dokumentacja środków bezpieczeństwa finansowego, zapewnienie programu szkoleniowego AML/CFT Compliance, prowadzenie procesów Poznaj Swojego Klienta (KYC) oraz monitorowanie transakcji oraz sankcji.
Ryzyka prania pieniędzy oraz finansowania terroryzmu (ML/TF) w kontekście branży fintech
Europejskie Organy Nadzoru w wydanej wspólnej opinii na temat ryzyk prania pieniędzy oraz finansowania terroryzmu (ML/TF) w kontekście branży fintech wymieniają[2]:
- dostarczanie nieuregulowanych produktów i usług finansowych, za pośrednictwem firm fintech, które nie są objęte zakresem przepisów dotyczących przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
- jakość informacji gromadzonych w ramach zapewniania środków bezpieczeństwa finansowego, w szczególności stosowanie niekompletnych lub nieskutecznych środków bezpieczeństwa finansowego;
- brak zrozumienia przez dostawców fintech ich obowiązków wynikających z przepisów AML/CFT i ogólnych finansowych ram regulacyjnych;
- różne kultury zapewnienia zgodności (Compliance) między nadzorowanymi podmiotami a nowymi dostawcami fintech;
- zwiększone wykorzystanie nowych technologii do zdalnego nawiązania relacji z klientami, bez wprowadzania odpowiednich zabezpieczeń, co może zwiększyć narażenie firmy na cyberprzestępczość, w tym zwiększone ryzyko kradzieży tożsamości;
- nadmierna zależność wynikająca z polegania na umowach outsourcingowych z firmami fintech, brak wprowadzenia odpowiednich mechanizmów w celu zapewnienia, że korzystanie z rozwiązań fintech nie wpłynie na zdolność organizacji do wypełniania obowiązków w zakresie AML/CFT.
Brak zrozumienia obowiązków AML/CFT przez fintechy może wiazać się trudnościami w dostępie do specjalistów, którzy w imieniu organizacji będą wprowadzać procedury oraz wspierać nadzór nad realizacją zadań. Od dawna istnieje duże zapotrzebowanie na rynku pracy na doświadczonych i kompetentnych specjalistów AML/CFT i Compliance. Przyczyn można dopatrywać się między innymi w rosnącej liczbie powstających instytucji płatniczych, fintechów. Pracodawcom jest coraz trudniej przyciągać prawdziwe talenty, które zbudują kompetentny i skuteczny zespół do zwalczania przestępstw finansowych. Rynek pracy poprawił się na korzyść pracowników zajmujących się zapewnieniem zgodności AML/CFT względem roku 2021, zgodnie raporcie raportem „10 głównych globalnych problemów Compliance” opublikowanym przez Thomson Reuters Institute w 2023 roku. Badanie wskazało również na wzrost zapotrzebowania na pracowników na stanowiska niższego lub średniego szczebla w ramach procesów AML/CFT Compliance[3].
Szczególnie istotną rolę dla organizacji w budowaniu świadomości obowiązków oraz kultury zgodności AML/CFT ma współpraca pomiędzy zarządem (organem zarządzającym), a wyznaczonym AMLRO (Anti Money Laundering Reporting Officer). Kierownictwo musi mieć jasne zrozumienie ryzyka prania pieniędzy oraz finansowania terroryzmu (ML/FT) w organizacji, aby móc świadomie podejmować decyzje, jako organ odpowiedzialny, za zatwierdzanie oraz nadzór nad procedurami oraz politykami, zarządzanie ryzykiem AML/CFT. Natomiast za wdrażanie strategii i polityk oraz zapewnienie zgodności działań organizacji z przepisami AML/CFT odpowiedzialny jest AMLRO. Należy zapewnić niezależność AMLRO od działalności gospodarczej organizacji, w celu uniknięcia konfliktu interesów oraz zapewnienia bezstronności decyzji.
Wobec zmieniających się wymagań regulatorów, które wynikają z dynamicznego wprowadzania globalnych innowacji cyfrowych zachodzących obecnie na rynku finansowym, konieczne jest doprecyzowanie przekazywanych wytycznych. Grupa Wolfsberg w swojej opinii dotyczącej wytycznych European Banking Authority (EBA) na temat czynników ryzyka ML/TF zwraca uwagę, że potrzebna jest większa jasność interpretacyjna i dookreślenie, kiedy czynniki mają zastosowanie do:
- „banków”,
- „Money Service Business” (MSB, firma zajmująca się usługami pieniężnymi, które przekazują lub wymieniają pieniądze)
- „PSP” (payment service provider to dostawca usług płatniczych, firma zewnętrzna, która umożliwia firmom akceptowanie płatności elektronicznych, takich jak płatności kartą kredytową i debetową),
- „CAPs” (crypto-asset service providers, dostawców usług związanych z aktywami kryptograficznymi)[4].
W przypadku, w którym dany fintech prowadzi działalność instytucji płatniczej jedynie dla krajowych transakcji, możemy mówić o niższym ryzyku ML/TF niż w przypadku prowadzenia usług płatności transgranicznych (cross -border). Chcąc działać na arenie międzynarodowej, fintechy podlegają różnym przepisom AML/CFT, które obowiązują w więcej niż jednym kraju. Fintechy, podobnie jak tradycyjne banki, zmagają się z interpretacją zmieniających się przepisów regulacyjnych i trudnościami w nadążaniu za przystosowaniem do nich.
W dzisiejszych czasach, gdy sektor finansowy stoi w obliczu zwiększonych ryzyk sankcyjnych nakładanych przez USA i Unię Europejską, jeszcze ważniejsze niż dotychczas wydaje się dokonywanie pełnego przeglądu danych klientów i ich beneficjentów rzeczywistych. Dla pełnej oceny ryzyka klienta, warto jest w pełni przeanalizować czynnik ryzyka geograficznego, na który składają się narodowość, miejsce zamieszkania, miejsce rejestracji, miejsce prowadzenia działalności gospodarczej, lokalizacja podmiotów stowarzyszonych lub zależnych.
Wskazana jest pogłębiona analiza danych klienta, co oznacza zbieranie rozszerzonego zestawu informacji i dokumentów ponad ustawowe minimum wymagań do identyfikacji oraz weryfikacji beneficjenta. Przykładowo zgodnie z ustawą, zbieranie danych adresowych jest zalecane w przypadku posiadania tej informacji przez instytucję obowiązaną na temat beneficjentów rzeczywistych, ale nie jest to dana obligatoryjna, co wzbudza krytyczne oceny przedstawiane w ramach komentarzy do ustawy[5].
Wybór niewłaściwego dostawcy usług outsourcingowych lub niejasne umowy w zakresie wyznaczenia zasad współpracy mogą uniemożliwiać skuteczne zapewnienie środków bezpieczeństwa finansowego, co stanowi wysokie ryzyko dla zlecającego podmiotu. Ryzyko operacyjne przy wyborze niewłaściwego outsourcera, któremu brakuje praktycznego doświadczenia lub kompetencji, może prowadzić do błędów krytycznych po stronie podmiotu zlecającego na poziomie operacyjnym, jak również w obszarze technologicznych rozwiązań. Należy podkreślić tutaj wartość dodaną ze współpracy z outsourcerami o ugruntowanej opinii rynkowej, którzy dysponują wiedzą ekspercką, dzięki czemu są nieocenionym wsparciem dla organizacji w realizacji zadań związanych z procesami AML/CFT. Ostateczna odpowiedzialność za zgodność spoczywa zawsze na firmie obowiązanej, dlatego wybór właściwego dostawcy usługi jest kwestią kluczową dla zapewnienia, że świadczone usługi są najwyższej jakości, przy zachowaniu należytej staranności i nadzoru.
Możliwości i wyzwania związane z fitnechami w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu
Zacieśnianie współpracy między fintechami a bankami wydaje się być zjawiskiem nieuniknionym, tak samo zresztą jak konkurencja między nimi. Jak wynika z najnowszych badań przeprowadzonych przez Finastra i East & Partners, trzy na cztery globalne banki planowały nawiązać współpracę ze średnio trzema fintechami w ciągu 12-18 miesięcy (licząc od kwietnia 2023). Natomiast 73% banków w Europie stwierdziło, że chce podłączyć się do platformy zintegrowanych rozwiązań fintech, podczas gdy tylko 5% planuje budować rozwiązania technologiczne we własnym zakresie. Badanie zostało przeprowadzone przy pomocy ankiet wypełnionych przez 783 pracowników w 260 bankach w Wielkiej Brytanii, Unii Europejskiej, na Bliskim Wschodzie, w regionie Azji i Pacyfiku oraz w krajach Ameryki Północnej oraz Południowej, a także 393 wywiadów z północnoamerykańskimi bankami i instytucjami finansowymi[6].
Nowe technologie napędzane przez branżę fintech przyczyniają się do wprowadzania zautomatyzowanych rozwiązań również w AML/CFT, jak chociażby rozwiązania automatycznego screeningu list sankcyjnych lub zdalnego onboardingu w ramach procesów KYC (Know Your Customer, czyli poznaj swojego klienta). Branża fintech ma pozytywny wkład w rozwój branży finansowej, ale jednocześnie jest narażona na liczne ryzyka, które mogą stać na przeszkodzie zapewnienia zgodności oraz należytej staranności, jeśli chodzi o realizację zadań AML/CFT. Proponowanym rozwiązaniem może być tutaj wsparcie firmy doradczej, która dysponuje wiedzą i praktycznym doświadczeniem w realizacji projektów dla podmiotów z branży fintech.
[1] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Banku Centralnego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów https://eur-lex.europa.eu/resource.html?uri=cellar:6793c578-22e6-11e8-ac73-01aa75ed71a1.0007.02/DOC_1&format=PDF
[2] Joint Opinion of the European Supervisory Authorities on the risks of money laundering and terrorist financing affecting the European Union’s financial sector Joint Opinion on the risks on ML and TF affecting the EUs financial sector.pdf (europa.eu)
[3] 10 Global compliance concerns for 2023: ESG, money-laundering, and regulatory concerns weigh on compliance officers 23 Feb 2023 10 Global compliance concerns for 2023: ESG, money-laundering, and regulatory concerns weigh on compliance officers – Thomson Reuters Institute
[4] Wolfsberg Group Public Consultation on revised Guidelines on money laundering and terrorist financing (ML/TF) risk factors (EBA/CP/2023/11)
Wolfsberg EBA CP202311 Consultation Response.pdf (wolfsberg-group.org)
[5] Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Komentarz. Red. Naukowa Michał Nowakowski rok wyd. 2023
[6] Global banks turn to fintechs to cut operational costs and pursue innovation, Finastra research reveals; Finastra survey, produced in collaboration with East & Partners; 20.04.2023; https://www.finastra.com/press-media/global-banks-turn-fintechs-cut-operational-costs-and-pursue-innovation-finastra
Autor: Kamila Czajka – starsza konsultantka, Financial Crime, Deloitte