Kryptowaluty i szeroko rozumiane waluty wirtualne doczekały się pierwszej w polskim prawie regulacji. Na podmioty, które nie tylko prowadzą giełdy bądź kantory kryptowalut, ale też na każdego kto udostępnia portfele kryptowalutowe zostały nałożone nowe, liczne obowiązki związane z procedurami AML/CFT (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu) oraz KYC (know your customer). Oznacza to, że firmy, które udostępniają użytkownikom możliwość zakupu, wymiany czy przechowania kryptowalut, w tym także firmy, które organizują ICO, muszą dokładnie zidentyfikować i zweryfikować tożsamość tego użytkownika, ale również weryfikować transakcje i prowadzić rejestry transakcji podejrzanych oraz nadprogowych.
Kiedy kryptowaluty wymagają AML i KYC?
Zgodnie z przepisami nowej ustawy o przeciwdziałaniu praniu pieniędzy, do stosowania procedur i mechanizmów AML/CFT oraz KYC zobowiązane są wszystkie podmioty, które świadczą następujące usługi:
- Wymiany pomiędzy walutami wirtualnymi (kryptowalutami), a środkami płatniczymi (np. waluty FIAT) – czyli będą to wszystkie kantor kryptowalutowe;
- Wymiany pomiędzy walutami wirtualnymi – tutaj mowa przede wszystkim o kantorach oraz ICO, bowiem w ramach ICO użytkownik w zamian za daną kryptowalutę otrzymuje nowoemitowane tokeny;
- Pośrednictwa w wymianie walut wirtualnych, zarówno na środki płatnicze jak i inne kryptowaluty – mowa tutaj głównie o giełdach kryptowalut;
- Prowadzenia rachunków walut wirtualnych, a za takie rachunki uznawany jest każdy zbiór danych zapewniający uprawnionej osobie możliwość korzystania z waluty wirtualnej, w tym przeprowadzania transakcji jej wymiany – czyli każdy portfel kryptowalut.
Tym samym jeśli w ramach Twojej działalności świadczysz któreś z tych usług – powinieneś niezwłocznie wdrożyć procedury i mechanizmy przeciwdziałania praniu pieniędzy.
Na czym polegają procedury przeciwdziałania praniu pieniędzy?
Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu w skrócie można sprowadzić do dwóch procesów biznesowych:
- Procedur KYC – czyli uzyskiwania wiedzy o kliencie, jego identyfikacji, a także ustaleniu czy klient nie działa np. w charakterze tzw. „słupa”;
- Analizy transakcji w celu wyłapania transakcji podejrzanych (mogących stanowić pranie pieniędzy) lub transakcji nadprogowych, czyli takich, których wartość przekracza równowartość 15 000 euro – nawet jeśli dokonano jej w ramach kilku powiązanych transferów.
O ile pierwszy proces, tj. identyfikacja i weryfikacja klienta, jest stosunkowo prosty i może zostać wdrożony bez większej wiedzy z zakresu AML/CFT – wymaga jedynie zebrania znacznej ilości danych, często ze skanem dowodu osobistego lub paszportu włącznie (ustawa AMLowa pozwala na sporządzanie i wykonywanie kopii dokumentów tożsamości).
O tyle procesy związane z wyłapywaniem transakcji podejrzanych wymagają znacznie większej wiedzy z zakresu AML/CFT. Do stworzenia odpowiednich reguł czy wytycznych wymagana jest nie tylko znajomość danej branży, ale przede wszystkim wiedza dotycząca „kreatywności” osób, które chcą wyprać lub ukryć aktywa finansowe. Przez ponad siedem lat zajmowania się AML/CFT zdążyłem poznać naprawdę sprytne sposoby dokonywania fraudów – często coś co wygląda na pranie, praniem wcale nie jest, i odwrotnie – transakcje z pozoru nie groźne (np. zwykła sprzedaż internetowa) mogą służyć ukryciu znacznej części środków, np. w Hong Kongu.
[lgpromo_img title=”Potrzebujesz pomocy z AML/CFT?” desc=”Legal Geek to prawnicy AML!” url=”https://legalgeek.pl/prawnik-fintech/” urldesc=”Chcę pomocy z AML!” img=”https://legalgeek.pl/wp-content/uploads/2018/09/checklist.png” iw=”280″ ih=”276″ ia=”alignright”]
Jakie dane kantor lub giełda kryptowalut musi zebrać od użytkownika?
Zakres danych jakie zbiera giełda kryptowalut, emitent ICO czy podmiot udostępniający portfele walut wirtualnych nie różni się od tego, który muszą zebrać bank czy instytucja płatnicza.
W przypadku gdy klientem jest osoba fizyczna są to w szczególności następujące dane:
- Imię i nazwisko;
- Obywatelstwo;
- Nr PESEL, a jeśli osoba nie ma nr PESEL (np. jest cudzoziemcem) – datę urodzenia i państwo urodzenia;
- Seria numer dokumentu tożsamości (są to dowód osobisty lub paszport);
- Adres zamieszkania;
- Nazwa, nr NIP oraz adres prowadzonej działalności gospodarczej;
Natomiast w przypadku osób prawnych (np. spółek z o.o.) będą to przede wszystkim:
- Nazwa;
- Forma prawna;
- Adres siedziby;
- Nr NIP – a w przypadku jego braku, państwo rejestracji, nazwę właściwego rejestru handlowego oraz numer i datę wpisu do tego rejestru;
- Dane identyfikacyjne osoby reprezentującej (np. członka zarządu, prokurenta, pełnomocnika) – w zakresie niemal takim jak dla osoby fizycznej;
Dodatkowo należy ustalić czy nasz klient ma tzw. beneficjentów rzeczywistych (czyli osoby, które sprawują kontrolę nad Twoim klientem), a także dowiedzieć się czy Twój klient nie jest tzw. PEPem – czyli osobą zajmującą eksponowane politycznie stanowisko lub osobą blisko z taką osobą powiązaną (będzie to np. członek najbliższej rodziny).
Co więcej – informacje te nie tylko muszą zostać zebrane, ale również zweryfikowane. Tymczasem w przypadku relacji on-line – weryfikowanie danych użytkownika nie jest już takie proste.
Czy AML wymaga dokumentów?
Tak. AML kocha dokumenty i biurokrację. Nie tylko musisz posiadać sformalizowane procedury AML/CFT, ale też dokumentować podejmowane przez Ciebie działania. W praktyce kontroli GIIF – czyli Generalnego Inspektora Informacji Finansowej, tj. podmiotu, który może Cię ukarać za brak lub nieprawidłowe stosowanie procedur AML/CFT oraz KYC – brak dokumentów potwierdzających np. identyfikowania czy weryfikowania klienta traktowany jest jak niewykonanie obowiązków. Nie ma dokumentów – nie ma AML.
Dodatkowo musisz również szkolić swoich pracowników, a same szkolenia… dokumentować.
Jakie kary grożą za brak AML?
Kar za nieprawidłowe wdrożenie lub niewdrożenie AML może być kilka, od tych najmniej dotkliwych (np. publikacja informacji o naruszeniu), po znacznie bardziej bolesne – takie jak nakaz zaprzestania określonej działalności, cofnięcie licencji (np. w przypadku podmiotów wpisanych do rejestrów dostawców usług płatniczych), czy w końcu kara pieniężna, a w skrajnych przypadkach nawet kara więzienia.
Kary pieniężne nakładane przez GIIF czy KNF w związku z AML są co prawda znacznie mniejsze niż te nakładane w związku RODO, jednak nadal równowartość 1 000 000 euro lub dwukrotność korzyści osiągniętych w związku z naruszeniem – robi wrażenie.
Co ważne – za korzyści związane z naruszeniem mogą być uznane kwoty prowizji od transakcji, które przeprowadzisz, a w ramach których nieprawidłowo zastosowałeś lub nie zastosowałeś AML.
Czy jest się czego bać? W 2017 roku, kiedy jeszcze obowiązywały łagodniejsze (obejmujące znacznie mniej podmiotów) regulacje AML/CFT, GIIF przeprowadził prawie 100 postępowań o ukaranie, z czego aż 85 zakończyło się karami w kwotach do 300 000 zł. Natomiast Komisja Nadzoru Finansowego i Narodowy Bank Polski przeprowadziły aż 695 kontroli dotyczących prawidłowego wdrożenia AML!
[lgpromo_img title=”Musisz wdrożyć AML/CFT?” desc=”Legal Geek specjalizuje się w AML” url=”https://legalgeek.pl/prawnik-fintech/” urldesc=”Pomóżcie mi z AML!” img=”https://legalgeek.pl/wp-content/uploads/2018/09/checklist.png” iw=”280″ ih=”276″ ia=”alignleft”]
