Kary za naruszenie przepisów AML – poznaj kluczowe kwestie, żeby ich uniknąć

Ustawa AML (tj. ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu) nakazuje identyfikację beneficjentów rzeczywistych aby środki finansowe będące w obrocie nie pochodziły z nielegalnych źródeł lub nie służyły do tego typu celów.

Co przesądziło o karach?

Bank Ochrony Środowiska S.A. musi zapłacić 1,2 mln, natomiast ING Bank Śląski S.A. ukarany został kwotą sięgającą niemal 22 mln złotych. Czego zabrakło w ich działaniach?

- Każda instytucja obowiązana, np. bank, biuro rachunkowe czy biuro nieruchomości, musi weryfikować poprawność danych podanych przez klientów, co nazywane jest weryfikacją otoczenia gospodarczego. W Polsce na mocy ustawy używa się nazwy środki bezpieczeństwa finansowego, a na świecie - KYC (Know Your Customer) – podkreśla Tomasz Kolaszynski, koordynator AML, inspektor RODO, twórca narzędzi GoAML i GoRODO pozwalających na wdrożenie i zarządzanie procedurami AML i RODO w firmach.

W zależności od potrzeb oprócz KRS skorzystać można również z innych bazy danych, np. CEIDG i CRBR.

- Trzeba przyznać, że GIIF nakłada kary wg faktycznych przewinień, nie ma tu względu na wielkość podmiotów. Podane powyżej przykłady, to naprawdę duże podmioty, a wcześniej kary dotknęły kantory, notariuszy i radców prawnych – zauważa Tomasz Kolaszynski.

To właśnie weryfikacji danych i beneficjenta rzeczywistego nie dopełniono w przypadku obu banków, za co posypały się kary. Trudno powiedzieć, co przeważyło w tych konkretnych przypadkach, ale zwykle dominuje niewłaściwie zrozumienie kto jest beneficjentem rzeczywistym.

Właściwa weryfikacja danych

Środki bezpieczeństwa finansowego obejmują czynności, które należy wykonać, aby poznać własnego klienta. Należy pamiętać, że jest to również weryfikacja baz danych ogólnodostępnych na temat podmiotu. Na czym to polega? W zależności od formy prawnej klienta można zaplanować szereg czynności poznawczych, a następnie zweryfikować czy informacje, które zebraliśmy o kliencie, zgodne są z tym, co jest ujawnione w oficjalnych rejestrach. W tym celu ważne jest, aby dla odpowiedniej formy prawnej zebrać właściwe informacje według podziału na osoby fizyczne, osoby fizyczne prowadzące działalność gospodarczą oraz osoby prawne (spółki).

Identyfikację można podzielić na 3 kroki:

1. Identyfikacja danych.
2. Weryfikacja.
3. W zależności od wyniku weryfikacji w kontekście danych, które są identyfikowane i które są zgodne z danymi zawartymi w bazach państwowych.

- Należy zwrócić uwagę, że w procesie weryfikacji klient przekazuje nam dane aktualne, czyli zgodne ze stanem rzeczywistym w momencie, kiedy go o to pytamy. W pierwszym kroku musimy zebrać dane identyfikacyjne (w zależności od formy prawnej), a następnie odpowiednie do typu klienta i dokonać weryfikacji danych. Warto zaznaczyć, że w przypadku osób z działalnością gospodarczą pierwszą bazą będzie CEIDG, a w przypadku osób prawnych KRS i CRBR. Natomiast tożsamość osoby fizycznej oraz tożsamość reprezentanta osoby prawnej weryfikujemy na podstawie dokumentu tożsamości – podkreśla Tomasz Kolaszynski z GoAML.

Po zweryfikowaniu (jeżeli wszystkie dane się zgadzają) uznajemy taką weryfikację za poprawną, a następnie zamykamy proces weryfikacji. Jeżeli jednak wykazane zostaną pewne niezgodności należy dokonać odpowiedniej korekty.

Identyfikacja beneficjentów rzeczywistych – obowiązek dla wszystkich podmiotów gospodarczych

Beneficjent rzeczywisty jest to osoba fizyczna, która posiada wpływ na podmiot i firmę. Przede wszystkim jest to udziałowiec w osobie prawnej, czyli osoba posiadająca udziały powyżej 25%, co automatycznie uznaje ją jako beneficjenta. Należy pamiętać, że definicja dotyczy również drugiego typu osób, takich jak członkowie zarządu i managerowie wyższego szczebla, czyli osoby zarządzające podmiotem i mające wpływ na jego działania. Nowością jest fakt, że AML nakazuje zbadanie beneficjentów rzeczywistych również w działalnościach gospodarczych, nie tylko w przypadku osoby prawnej.

W przypadku beneficjentów rzeczywistych mechanizm działania weryfikacyjnego jest analogiczny do identyfikacji danych, czyli zbieramy dane, a następnie je weryfikujemy. Jeżeli dane są zgodne, to proces weryfikacji jest pozytywny, jeżeli jednak dane się nie zgadzają, to musimy ustalić, z czego wynika nieścisłość, a następnie, jeżeli nie zostanie naprawiona, musimy zgłosić taką sytuację do odpowiedniego rejestru. Głównym rejestrem jest CRBR (Centralny Rejestr Beneficjentów Rzeczywistych), a w przypadku osób fizycznych informacje o pełnomocnikach znajdziemy w CEIDG (Centralna Ewidencja i Informacja o Działalności Gospodarczej). Należy jednak nadmienić, że w przypadku CRBR to nie traktujemy go jako wzoru. Dokładną informację o tym kto jest Beneficjentem Rzeczywistym znajdziemy w KRS. Natomiast w CRBR powinniśmy odnaleźć odwzorowanie stanu faktycznego.

W przypadku osoby fizycznej, która prowadzi działalność gospodarczą, musimy zweryfikować beneficjentów rzeczywistych w działalności. Dla osób prawnych zbieramy dane identyfikacyjne tego podmiotu oraz dane osobowe identyfikacyjne reprezentantów podmiotu. Podobnie jak w przypadku osoby fizycznej z działalnością musimy zebrać dane o beneficjentach rzeczywistych. A dla wszystkich trzech typów form prawnych należy zebrać deklaracje PEP, czyli dotyczące osób, które pełnią eksponowane stanowiska polityczne.

- Oczywiście poza dostępnymi bazami, możemy także dokonywać weryfikacji klientów na podstawie dodatkowych dokumentów, takich jak umowa spółki, akty notarialne. Wymienione metody i sposoby weryfikacji są poprawne, o ile mamy do nich dostęp. Instytucja Obowiązana jest zobligowana wykorzystać wszystkie dostępne mechanizmy w celu weryfikacji odpowiednich danych - podkreśla Tomasz Kolaszynski z GoAML.

Różnica pomiędzy poprzednimi czynnościami weryfikacyjnymi a deklaracjami PEP jest taka, że w deklaracji PEP instytucja obowiązana nie sprawdza, czy klient złożył deklarację zgodnie z prawdą, tylko przyjmuje złożoną deklarację. Deklaracja, jak i cały proces jest odpowiedzialnością klienta, więc jeżeli klient poświadczy nieprawdę w deklaracji PEP, to podlega odpowiedzialności karnej.

W przypadku weryfikacji osób w procesie środków bezpieczeństwa finansowego (ŚBF) dokonujemy jeszcze jednej czynności polegającej na tym, że w przypadku osób fizycznych, a także osób reprezentujących osoby prawne, instytucja obowiązana ma obowiązek sprawdzić, czy te osoby nie widnieją na listach sankcyjnych, np. “Polish list of persons and entities subject to sanctions”, “Common Foreign and Security Policy (CFSP) of the European Union (Sanctions EU)”, “EU Financial Sanctions Files (FSF)” czy “EU Sanctions Map European Union”.

Udokumentowanie procesu i wyjaśnienie nieścisłości

W przypadku ŚBF proces przeprowadzania powinien przebiegać od weryfikacji, przez identyfikację beneficjentów rzeczywistych oraz deklarację PEP.

Należy udokumentować jego przeprowadzenie oraz ewentualne rozbieżności w celu ich wyjaśnienia. Dokumentacja musi być bardzo dokładna i trzeba zachować jej kopię. Przy weryfikacji osób fizycznych realizujemy kopię dokumentu tożsamości, która pomaga udowodnić, że osoba została zweryfikowana.

W momencie kiedy wystąpiła nieścisłość, to nadrzędnym celem jako instytucji obowiązanej jest naprawienie występujących nieścisłości. W praktyce oznacza to zgłoszenie klientowi w celu jej wyjaśnienia. Zadaniem instytucji obowiązanej jest określenie, z czego wynika dana nieścisłość i w takim wypadku najczęściej klient dokonuje korekty oraz naprawia stan danych. Oczywiście może pojawić się sytuacja, w której klient nie dokona naprawy rozbieżności i w tym momencie instytucja obowiązana ma obowiązek zgłosić występującą nieprawidłowość do odpowiedniego rejestru.

W momencie kiedy nie można dokonać pozytywnej weryfikacji nie powinniśmy nawiązywać stosunków gospodarczych, a jeśli je mamy, to powinno nastąpić rozwiązanie współpracy.