Jawność CRBR się kończy, obowiązki się mnożą – duże zmiany w AML

W ostatnich dniach na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Planowane modyfikacje dotyczą przede wszystkim rejestru CRBR, który przestanie być jawny, ale również obowiązków po stronie instytucji obowiązanych. Przyjrzyjmy się szerzej zmianom, jakie są planowane w ustawie o AML, a także oceńmy skutki jakie może przynieść ta zmiana

Najważniejsze planowane zmiany w przepisach ustawy o AML

Zmiany dotyczące rejestru CRBR

• Rejestr przestanie być w pełni jawny.
• Dostęp do informacji na temat beneficjentów rzeczywistych będą mieć następujące grupy podmiotów:

1. określone instytucje państwowe (m.in. prokuratura, Policja, CBA, CBŚ, Straż Graniczna, KAS, organy podatkowe),
2. instytucje obowiązane w celu stosowania środków bezpieczeństwa finansowego,
3. podmioty posiadające uzasadniony interes związany z zapobieganiem praniu pieniędzy lub finansowaniu terroryzmu (w tym kręgu wyraźnie określono dziennikarzy, organizacje pozarządowe, podmioty, które prawdopodobnie zawrą transakcję z podmiotem wpisanym do CRBR, ale również wszelkie inne osoby fizyczne, prawne lub nieposiadające osobowości prawnej, które wykażą posiadanie ww. interesu prawnego).

• Podmiot wpisany do CRBR będzie powiadamiany o udostępnieniu informacji na jego temat w niektórych tylko przypadkach (w tym, gdy instytucja obowiązana wystąpi o informację w celu stosowania środków bezpieczeństwa).
• Informacje z CRBR będą udostępniane w terminie 12 dni od dnia złożenia wniosku z możliwością przedłużenia w przypadku zwiększenia napływu wniosków.
• Dane z CRBR będą udostępniane w formie elektronicznej za pośrednictwem Rejestru lub na piśmie w przypadku zgłoszenia takiego żądania przez wnioskodawcę.
• Podmiot wpisany do CRBR może zawnioskować o wyłączenie dostępu do jego danych w sytuacji, gdy ujawnienie danych naraziłoby go na niewspółmierne ryzyko stania się ofiarą określonego przestępstwa (w tym m.in. zabójstwa, wzięcia zakładnika, uprowadzenia małoletniego, oszustwa).

Zmiany dotyczące obowiązków instytucji obowiązanych

• Poszerzenie zakresu oceny ryzyka o kwestie związane z rozwojem nowych usług, produktów, kanałów dostaw oraz innych czynności wchodzących w zakres prowadzonej działalności zawodowej oraz wykorzystywaniem nowych i rozwijających się technologii na potrzeby nowych oraz dotychczas oferowanych produktów, usług lub innych czynności podejmowanych w ramach działalności zawodowej,
• Wprowadzenie jednoznacznego obowiązku dokumentowania działań podjętych w celu zastosowania środków bezpieczeństwa finansowego lub braku możliwości ich przeprowadzenia.
• Przekazywanie do GIIF formularza identyfikującego jako obowiązek dla wszystkich instytucji obowiązanych – dla podmiotów już działających, a które dotychczas nie były zobowiązane do złożenia takiej informacji, określono termin wykonania obowiązku na 31 grudnia 2026 r.)
• Wprowadzenie kary administracyjnej w wysokości do 1 mln złotych za brak przekazania do GIIF formularza identyfikującego przez instytucję obowiązaną.

Konsekwencje zmian przepisów dla przedsiębiorców będących instytucjami obowiązanymi

Zmianę należy zakwalifikować jako dość istotną zarówno z perspektywy funkcjonowania rejestru CRBR, jak i wypełniania swoich zadań przez instytucje obowiązane w obszarze AML.

Zmiany w obszarach oceny ryzyka

Po pierwsze wraz z wejściem w życie nowych przepisów, o których mowa powyżej, koniecznym będzie dokonanie aktualizacji procedur AML ze względu na nowe obowiązki w obszarze dokonywania oceny ryzyka. Jak wyjaśniono w uzasadnieniu do projektu ustawy „Ocena ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu odnoszącego się do działalności instytucji obowiązanych powinna obejmować również nowe usługi i produkty.”. Warto zatem rozważyć uzupełnienie posiadanej procedury AML o doprecyzowanie obowiązku firmy w zakresie oceny ryzyka o wspomniany powyżej aspekt.

Zgłoszenie identyfikujące do GIIF

Drugą kwestią jest zupełnie nowy dla większości podmiotów obowiązek dokonywania zgłoszeń identyfikujących do GIIF. Jest to jeden z elementów nowo budowanego systemu SIGIIF 2.0. Prace implementacyjne nowego oprogramowania, dzięki któremu zostanie ustrukturyzowana wymiana informacji GIIF z instytucjami obowiązanymi i jednostkami współpracującymi, trwają w Ministerstwie Finansów już od wiosny 2024 r. Dzięki temu możliwym będzie dokonywanie elektronicznego dokonywania zgłoszeń identyfikacyjnych już za pośrednictwem nowego systemu.

W ocenie Ministerstwa wprowadzenie ogólnego obowiązku zgłoszeń identyfikujących „usprawni proces nadzoru i organizacji współpracy z instytucjami obowiązanymi”.

Utrudniona weryfikacja beneficjenta rzeczywistego

Wreszcie, zmiana przepisów ustawy AML wpłynie na codzienne funkcjonowanie firm w obszarze dokonywania oceny ryzyka klienta na podstawie danych z CRBR. Co prawda już teraz zgodnie z przepisami AML instytucja obowiązana nie może przy dokonywaniu oceny ryzyka polegać wyłącznie na danych z publicznych rejestrów (KRS, CEIDG, czy właśnie CRBR), niemniej w praktyce dane o beneficjentach rzeczywistych, które były ogólnodostępne w CRBR stanowiły główne źródło identyfikacji i weryfikacji.

Dotychczas zatem instytucja obowiązana mogła pobrać informacje na temat beneficjentów rzeczywistych klienta z rejestru CRBR, zweryfikować tę informację z innymi posiadanymi źródłami i w ten sposób dopełnić swojego obowiązku identyfikacji i weryfikacji beneficjenta rzeczywistego zgodnie z ustawą o AML.

Zgodnie ze znowelizowanymi przepisami, ażeby firma mogła uzyskiwać informacje z rejestru CRBR na potrzeby identyfikacji i weryfikacji beneficjentów rzeczywistych, będzie musiała w pierwszej kolejności złożyć formularz identyfikujący, dzięki któremu zostanie potwierdzony jej status jako instytucji obowiązanej. Dopiero wówczas uzyska „dostęp” do danych zawartych w

CRBR. Podmioty, które nie przeprowadzą wspomnianej procedury „zgłoszeniowej” będą mogły uzyskać informacje z CRBR wyłącznie na podstawie indywidualnych wniosków z przedstawieniem uzasadnionego interesu.

Nie ulega zatem wątpliwości, że w przypadku wejścia w życie omawianej nowelizacji, wszystkie instytucje obowiązane powinny jak najszybciej dokonać zgłoszenia identyfikującego do GIIF, co umożliwi im realizację ustawowego obowiązku z ustawy o AML.

Będziemy Państwa informować na bieżąco o przebiegu prac legislacyjnych nad projektem ustawy, ponieważ – jak wynika z powyższego – planowana zmiana będzie wymagała podjęcia konkretnych działań przez firmy.

Twoja firma podlega nowym obowiązkom AML? Sprawdź, co trzeba zrobić

Jeśli jesteś instytucją obowiązaną, nowelizacja AML oznacza dla Ciebie konkretne działania do wdrożenia:

• aktualizacja oceny ryzyka AML z uwzględnieniem nowych usług, kanałów i technologii,
• wdrożenie obowiązku formularza identyfikującego do GIIF (do końca 2026 r. dla podmiotów wcześniej nieobjętych),
• przygotowanie się do pracy z ograniczonym dostępem do CRBR,
• rewizja procedur AML pod kątem zgodności z SIGIIF 2.0 i obowiązkiem dokumentowania środków bezpieczeństwa.

Jeśli potrzebujesz wsparcia w analizie zmian, aktualizacji dokumentacji lub przeprowadzeniu procedury zgłoszenia do GIIF — skontaktuj się z nami.