Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu – obowiązki biur rachunkowych

Obowiązki w tym zakresie wynikają z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[1] (dalej upft) i ciążą na tzw. instytucjach obowiązanych (dalej IO).

Pojęcie to obejmuje m.in. podmioty usługowo prowadzące księgi rachunkowe[2], doradców podatkowych[3], biegłych rewidentów[4], a także przedsiębiorców świadczących usługi polegające na zakładaniu spółek, zarządzaniu spółkami jako członek zarządu lub za pomocą podobnej funkcji, zapewnianiu siedziby, adresu prowadzenia działalności lub adresu korespondencyjnego oraz innych pokrewnych usług (biura wirtualne)[5].

Przeważa pogląd, że IO nie są te biura rachunkowe, które nie prowadzą tzw. pełnej księgowości, a jedynie księgowość uproszczoną, rejestry VAT czy inne ewidencje, bo księgami rachunkowymi są wyłącznie księgi rachunkowe w rozumieniu uor.

Według mnie takie podejście wydaje się sprzeczne z celem, jaki przyświecał prawodawcy. Trudno uznać, że osoby fizyczne czy spółki cywilne i jawne osób fizycznych o przychodach poniżej 2 mln euro[6] są wyłączone z potencjalnych podejrzeń o pranie pieniędzy lub finansowanie terroryzmu.

Ponadto, kwalifikując podmioty usługowo prowadzące księgi rachunkowe do IO, ustawodawca nie odwołał się do uor („w rozumieniu przepisów uor”), podczas gdy tak właśnie postąpił w innych sytuacjach[7], co można interpretować jako nieograniczanie zakresu tego pojęcia do zakresu nadanego mu w uor[8].

Wyznaczenie osób odpowiedzialnych

Każda IO musi wyznaczyć kadrę kierowniczą wyższego szczebla do wzięcia odpowiedzialności za wykonywanie obowiązków nałożonych przez upft. Podmioty mające zarząd albo podobny organ zarządzający wyznaczają jednego z członków zarządu. W innych sytuacjach wyznaczoną osobą może być dyrektor lub pracownik.

W każdym przypadku musi to być człowiek posiadający wiedzę z zakresu ryzyka prania pieniędzy oraz finansowania terroryzmu, związanego z działalnością danej IO, oraz podejmujący decyzje mające wpływ na to ryzyko.

IO wyznacza ponadto pracownika na kierowniczym stanowisku, odpowiedzialnego za zapewnienie zgodności działalności IO oraz jej pracowników i innych osób, wykonujących czynności na rzecz tej IO, z przepisami upft, w tym do przekazywania wymaganych przez upft zawiadomień. W przypadku podmiotów jednoosobowych ww. zadania wykonuje osoba prowadząca działalność[9].

Pierwszy obowiązek IO ma zatem charakter kadrowy. Ktoś ze ścisłego kierownictwa, podejmujący w niej decyzje w obszarze, którego dotyczy problematyka prania pieniędzy lub finansowania terroryzmu, musi formalnie wziąć na siebie odpowiedzialność za to, że firma będzie prawidłowo wykonywać postanowienia upft w dotyczącym jej zakresie. Co za tym idzie, osoba ta musi zdobyć odpowiednie kompetencje. Następnie, ktoś na kierowniczym stanowisku powinien zostać wyznaczony do nadzoru nad faktyczną zgodnością działań firmy z upft. Z oczywistych względów również musi posiąść odpowiednią wiedzę. IO ma przy tym zapewnić udział tych osób (oraz innych wykonujących obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu) w programach szkoleniowych dotyczących realizacji tych obowiązków[10]. Nie przewidziano możliwości samodzielnego zdobycia kompetencji albo uznania już posiadanych za wystarczające.

Nasuwa się pytanie, jak to ma wyglądać u przedsiębiorców mikro czy małych. Załóżmy, że biuro rachunkowe działa w formie spółki jawnej – trzech wspólników i sekretarka będąca jedyną osobą zatrudnioną na umowę o pracę. Osobą ogólnie odpowiedzialną powinien zostać jeden ze wspólników, gdyż co do zasady to właśnie wspólnicy rządzą spółką. A co z pracownikiem wyznaczonym do faktycznego pilnowania zgodności działań firmy z przepisami o praniu pieniędzy i finansowaniu terroryzmu? Czy ma to być sekretarka, czy może spółka powinna kogoś specjalnie w tym celu zatrudnić albo wyznaczyć jednego ze wspólników, z którym zawrze wcześniej umowę o pracę?

Upft nie daje na te pytania jednoznacznej odpowiedzi, ale nie wydaje się, aby zmuszała przedsiębiorców do takich absurdów. Jako wskazówkę należy potraktować to, że w przypadku firm jednoosobowych właściciel pełni osobiście wszystkie wymagane funkcje. Nic nie powinno zatem stać na przeszkodzie, aby w spółce jawnej obie funkcje przyjął na siebie jeden ze wspólników lub dwaj wspólnicy po jednej z nich. Warto przy tym sporządzić dokument formalnie wskazujący ww. osobę lub osoby oraz zakres ich kompetencji i odpowiedzialności.

Ogólna identyfikacja i ocena ryzyka

Zgodnie z art. 27 upft IO identyfikują i oceniają ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu, odnoszące się do ich działalności, z uwzględnieniem czynników ryzyka, dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji bądź kanałów ich dostaw. Działania te są proporcjonalne do charakteru i wielkości IO. Ocenę ryzyka sporządza się w postaci papierowej lub elektronicznej, w razie potrzeby, nie rzadziej jednak niż co 2 lata, oraz aktualizuje się, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo obowiązującej krajowej oceny ryzyka[11] bądź sprawozdania Komisji Europejskiej[12].

Generalny Inspektor Informacji Finansowej (GIIF) może zażądać od IO przekazania mu sporządzonej oceny ryzyka, a także innych informacji mających wpływ na krajową ocenę ryzyka[13].

Omawiany dokument ma więc mieć charakter ogólny, a jego opracowanie wymaga całościowego spojrzenia na własną firmę, klientów, produkty i usługi, obszary geograficzne, transakcje itd., które w praktyce warto odnieść do dotyczących ich treści krajowej oceny ryzyka[14].

Nie ma możliwości utworzenia zamkniętego katalogu czynności czy okoliczności uznanych za ryzykowne. Nic nie zastąpi samodzielnej oceny konkretnych realiów dotyczących danej IO. Niemniej każde biuro rachunkowe powinno zwrócić szczególną uwagę na klientów, u których dominuje obrót gotówkowy, zajmujących się pozyskiwaniem funduszy przez różnego rodzaju zbiórki (crowdfunding), uczestniczących w grach hazardowych lub je organizujących, mających status non profit (stowarzyszenia, fundacje), zajmujących się obrotem towarami o wysokiej wartości (np. biżuteria, elektronika) czy tworzeniem nowych podmiotów i ich obsługą, dokonujących transakcji na nieruchomościach lub na walutach wirtualnych, mających siedzibę lub działających w rajach podatkowych albo w krajach o wątpliwej reputacji oraz tych, którzy w jakikolwiek sposób budzą podejrzenia co do źródła pozyskiwania pieniędzy lub legalnych celów ich używania[15].

Warto zauważyć, że w upft występuje pojęcie „państwo trzecie wysokiego ryzyka”, przez które rozumie się[16] państwo identyfikowane na podstawie informacji pochodzących z wiarygodnych źródeł, w tym raportów z ewaluacji krajowych systemów przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, przeprowadzanych przez Grupę Specjalną ds. Przeciwdziałania Praniu Pieniędzy (FATF) oraz organy lub organizacje z nią powiązane, jako nieposiadające skutecznego systemu przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu bądź posiadające znaczące braki w systemie przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu, w szczególności państwo trzecie zidentyfikowane przez Komisję Europejską w akcie delegowanym przyjętym na podstawie art. 9 dyrektywy 2015/849[17].

Obowiązki IO w zakresie środków bezpieczeństwa finansowego

[18]

IO rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze swoją współpracą z klientem oraz oceniają poziom rozpoznanego ryzyka, ze szczególnym uwzględnieniem rodzaju klienta, obszaru geograficznego, rodzaju produktów, usług i sposobów ich dystrybucji, wartości przeprowadzonych transakcji, celu, regularności lub czasu trwania stosunków gospodarczych, a następnie stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko oraz jego ocenę.

Środki bezpieczeństwa finansowego obejmują identyfikację klienta i weryfikację jego tożsamości, identyfikację beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu weryfikacji jego tożsamości, identyfikację osoby upoważnionej do działania w imieniu klienta oraz weryfikację jej tożsamości i umocowania do działania w imieniu klienta, ustalenie struktury własności i kontroli, ocenę relacji gospodarczych IO z klientem i uzyskanie informacji nt. ich celu i zamierzonego charakteru, bieżące monitorowanie stosunków gospodarczych z klientem, w tym:

• analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą IO o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem,
• badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta (w przypadkach uzasadnionych okolicznościami),
• zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.

IO stosują środki bezpieczeństwa finansowego w przypadku:

• nawiązywania stałych relacji gospodarczych z klientem,
• przeprowadzania transakcji okazjonalnej o równowartości 15 tys. euro lub większej,
• przeprowadzania transakcji okazjonalnej stanowiącej transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro,
• podejrzenia prania pieniędzy lub finansowania terroryzmu,
• wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

IO stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują już stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych.

Jeżeli IO nie może zastosować jednego ze środków bezpieczeństwa finansowego, to nie nawiązuje stosunków gospodarczych z klientem, nie przeprowadza transakcji okazjonalnej, nie przeprowadza transakcji za pośrednictwem rachunku bankowego albo rozwiązuje stosunki gospodarcze. IO ocenia ponadto, czy niemożność zastosowania środków bezpieczeństwa finansowego stanowi podstawę do przekazania zawiadomienia do GIIF.

Transakcje biura czy transakcje klienta

Z punktu widzenia biur rachunkowych niezwykle istotne jest dokładne zrozumienie zakresu pojęć „przeprowadzanie transakcji” oraz „stosunki gospodarcze”. W ramach pierwszego dochodzi do wykonania przez IO (biuro) dyspozycji bądź zlecenia, wydanych przez klienta lub osobę działającą w jego imieniu, natomiast drugie obejmuje stosunki IO z klientem, związane z działalnością zawodową IO, które w chwili ich nawiązywania wykazują cechę trwałości[22]. Dzięki tym definicjom możliwe staje się poprawne zinterpretowanie ciążących na biurze rachunkowym obowiązków. Jeden z nich polega np. na „bieżącym monitorowaniu stosunków gospodarczych klienta”[23], a inny na „prowadzeniu bieżącej analizy przeprowadzanych transakcji”[24].

Naturalnie pojawia się więc pytanie, czy biuro rachunkowe ma obowiązek badania wszystkich transakcji swojego klienta, czy tylko tych, które na jego zlecenie przeprowadza. Moim zdaniem biuro nie musi badać wszystkich transakcji klienta, ponieważ stosunki gospodarcze obejmują wyłącznie stosunki biura z klientem (a nie klienta z innymi podmiotami), a przeprowadzanie transakcji dotyczy tylko transakcji realizowanych przez biuro (a nie samodzielnie przez klienta, nawet jeśli biuro transakcje te potem księguje).

Jednak ww. sformułowanie „bieżące monitorowanie stosunków gospodarczych klienta” może wprowadzać w błąd, sugerując, że chodzi właśnie o relacje klienta z innymi podmiotami. Taka wykładnia byłaby niesłuszna nie tylko w świetle omówionych definicji. Na jej niekorzyść dodatkowo przemawia bowiem art. 13 ust. 1 dyrektywy 2015/849, którego treść zasadniczo pokrywa się z art. 34 ust. 1 upft, ale jego staranniejsza redakcja nie pozostawia wątpliwości co do ścisłego i konsekwentnego znaczenia pojęć „przeprowadzania transakcji” i „stosunków gospodarczych”.

Odpowiadając na pytania o obowiązek zgłaszania transakcji ponadprogowych, GIIF wskazał, że biura rachunkowe przekazują informacje o przyjętej wpłacie lub dokonanej wypłacie środków pieniężnych o równowartości przekraczającej 15 tys. euro, tj. o wpłacie gotówki przyjętej od klienta przez biuro lub wypłacie gotówki dokonanej przez biuro na rzecz klienta. W sferze zainteresowania GIIF jest raportowanie informacji o wykonanym przez daną IO transferze środków pieniężnych o równowartości przekraczającej 15 tys. euro, a nie raportowanie informacji wynikających z wiedzy biura rachunkowego nt. transferu środków pieniężnych wykonanego przez inną IO na podstawie złożonego zlecenia lub dyspozycji klienta.

Biura rachunkowe, które z założenia nie wykonują transferów środków pieniężnych (nie są dostawcami usług płatniczych), choć mogą mieć o nich wiedzę w związku z wykonywaniem usług na rzecz swoich klientów, nie są zatem obarczone obowiązkiem raportowania[25].

Kluczową dla biur rachunkowych kwestią jest więc określenie zakresu świadczonych klientowi usług. Typowe biura, ograniczające się do prowadzenia ksiąg rachunkowych i ściśle z tym związanych usług (np. generowanie raportów w wymaganym przez klienta układzie), będą miały znacznie mniej obowiązków wynikających z upft niż te, które przeprowadzają transakcje, tj. wykonują zlecenia klienta, polegające na dokonaniu czynności prawnej lub faktycznej, przenoszącej lub mającej na celu przeniesienie własności bądź posiadania wartości majątkowych[26].

Identyfikacja klienta i beneficjenta rzeczywistego

Identyfikacja:

• klienta będącego osobą fizyczną – polega na ustaleniu imienia i nazwiska, obywatelstwa, nr PESEL (a w przypadku jego braku – daty i państwa urodzenia), serii i numeru dokumentu stwierdzającego tożsamość, adresu zamieszkania (w miarę możliwości), a dla osoby prowadzącej działalność gospodarczą dodatkowo nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej,
• klienta będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej – polega na ustaleniu nazwy (firmy), formy organizacyjnej, adresu siedziby lub adresu prowadzenia działalności, NIP (w przypadku jego braku – państwa rejestracji, rejestru handlowego oraz numeru i daty rejestracji), danych identyfikacyjnych osoby reprezentującej (imię, nazwisko i PESEL, a w przypadku braku PESEL-u – daty i państwa urodzenia),
• beneficjenta rzeczywistego – obejmuje imię i nazwisko oraz obywatelstwo, a w miarę możliwości także PESEL (w przypadku jego braku – datę urodzenia i państwo urodzenia), serię i numer dokumentu stwierdzającego tożsamość i adres zamieszkania,
• osoby upoważnionej do działania w imieniu klienta – obejmuje ustalenie imienia i nazwiska, obywatelstwa, PESEL (w przypadku braku PESEL-u – daty i państwa urodzenia), serii i numeru dokumentu stwierdzającego tożsamość.

Weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła.

Weryfikacja tożsamości klienta i beneficjenta rzeczywistego następuje przed nawiązaniem stosunków gospodarczych lub przed przeprowadzeniem transakcji okazjonalnej. Może być zakończona podczas nawiązywania stosunków gospodarczych, jeżeli jest to konieczne dla zapewnienia ciągłości prowadzenia działalności gospodarczej i gdy występuje niskie ryzyko prania pieniędzy oraz finansowania terroryzmu. W takich przypadkach weryfikacja jest dokonywana w możliwie krótkim terminie od momentu rozpoczęcia nawiązywania stosunków gospodarczych.

Na potrzeby stosowania środków bezpieczeństwa finansowego IO mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Przed nawiązaniem stosunków gospodarczych lub przed przeprowadzeniem transakcji IO informują klienta o przetwarzaniu jego danych osobowych oraz o swoich obowiązkach z tym związanych.

Uproszczenia i obostrzenia

IO mogą stosować uproszczone środki bezpieczeństwa finansowego w przypadkach, w których ocena ryzyka potwierdziła niższe ryzyko prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy klient jest:

• jednostką sektora finansów publicznych, przedsiębiorstwem państwowym albo spółką z większościowym udziałem Skarbu Państwa, jednostką samorządu terytorialnego lub ich związkiem,
• spółką notowaną na rynku regulowanym, podlegającym wymogom ujawniania informacji o jej beneficjencie rzeczywistym, wynikającym z przepisów prawa UE lub odpowiadającym im przepisom prawa państwa trzeciego, albo spółką z większościowym udziałem takiej spółki,
• rezydentem państwa należącego do EOG, rezydentem państwa trzeciego określanego przez wiarygodne źródła jako państwo o niskim poziomie korupcji lub innej działalności przestępczej, rezydentem państwa trzeciego, w którym według danych pochodzących z wiarygodnych źródeł obowiązują przepisy dotyczące przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, odpowiadające wymogom wynikającym z przepisów UE z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Uproszczone środki bezpieczeństwa są wykluczone w przypadku podejrzenia o pranie pieniędzy lub finansowanie terroryzmu oraz wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

IO stosują wzmożone środki bezpieczeństwa finansowego w przypadkach wyższego ryzyka prania pieniędzy lub finansowania terroryzmu, o czym mogą świadczyć następujące okoliczności:

• nawiązywanie stosunków gospodarczych w nietypowych okolicznościach,
• klient jest podmiotem, którego działalność służy do przechowywania aktywów osobistych albo udział w jego kapitale dokumentują akcje na okaziciela lub jego papiery wartościowe nie są dopuszczone do obrotu zorganizowanego bądź prawa z jego akcji lub udziałów są wykonywane przez podmioty inne niż akcjonariusze lub udziałowcy,
• klient przeprowadza znaczną liczbę transakcji gotówkowych lub opiewają one na wysokie kwoty,
• występuje nietypowa lub nadmiernie złożona struktura własnościowa klienta,
• korzystanie z usług lub produktów oferowanych w ramach bankowości prywatnej, bądź sprzyjających anonimowości lub utrudniających identyfikację klienta, w tym z usługi polegającej na tworzeniu dodatkowych numerów rachunków w celu ich udostępniania innym podmiotom,
• dokonywane są transakcje bez fizycznej obecności klienta – jeśli związane z tym wyższe ryzyko prania pieniędzy lub finansowania terroryzmu nie zostało ograniczone w inny sposób (np. przez wymóg odpowiedniej identyfikacji elektronicznej[27]),
• zlecanie przez nieznane lub niepowiązane z klientem podmioty trzecie transakcji, których beneficjentem jest klient,
• wprowadzenie nowych produktów lub usług albo oferowanie produktów lub usług przy wykorzystaniu nowych kanałów dystrybucji,
• dokonywanie transakcji mających związek z państwem trzecim podwyższonego ryzyka.

IO na bieżąco analizują przeprowadzane transakcje. W przypadku ujawnienia transakcji nietypowych, nienaturalnie złożonych oraz opiewających na wysokie kwoty, które wydają się nie mieć uzasadnienia prawnego lub gospodarczego, podejmują działania w celu wyjaśnienia okoliczności, w jakich te transakcje przeprowadzono, oraz intensyfikują bieżące monitorowanie stosunków gospodarczych klienta związanych z tymi transakcjami. Należy zauważyć, że ponownie jest tu mowa o „przeprowadzanych transakcjach”, a więc o tych, które przeprowadza biuro rachunkowe dla klienta, nie zaś tych, które tylko księguje.

IO stosują wzmożone środki bezpieczeństwa finansowego wobec klientów pochodzących z państwa trzeciego wysokiego ryzyka lub mających w nim siedzibę, z czego – pod pewnymi warunkami – mogą być wyłączone oddziały i jednostki zależne podmiotów z siedzibą w UE.

Wzmożone środki bezpieczeństwa finansowego IO stosują ponadto wobec osób zajmujących eksponowane stanowisko polityczne, a relacje biznesowe z nimi wymagają akceptacji kadry kierowniczej wyższego szczebla. Chodzi tu o ludzi zajmujących, obecnie lub w niedalekiej przeszłości, znaczące stanowiska lub pełniących ważne funkcje publiczne, w tym urzędników w randze podsekretarza stanu i wyższych, członków parlamentu, organów zarządzających partii politycznych, sędziów (z pewnymi wyjątkami), wyższych oficerów sił zbrojnych, członków organów administracyjnych, zarządczych lub nadzorczych przedsiębiorstw państwowych bądź spółek z większościowym udziałem Skarbu Państwa, i innych, a także członków rodzin takich osÓb, lub ludzi znanych jako ich bliscy współpracownicy.

W celu ustalenia, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, IO wdrażają procedury oparte na analizie ryzyka, w tym mogą przyjmować od klienta oświadczenie w formie pisemnej lub dokumentowej, że jest on albo nie jest osobą zajmującą takie stanowisko, składane pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.

Dokumentacja

Zastosowane środki bezpieczeństwa finansowego podlegają udokumentowaniu włącznie z wynikami bieżącej analizy przeprowadzanych transakcji. Na żądanie organów kontrolnych IO wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcjami zastosowały odpowiednie środki bezpieczeństwa finansowego. Dokumentację dotyczącą stosowanych środków bezpieczeństwa finansowego oraz przeprowadzanych transakcji IO przechowuje przez 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne.

Outsourcing niektórych obowiązków

Stosowanie środków bezpieczeństwa finansowego, z wyjątkiem bieżącego monitorowania stosunków gospodarczych z klientem, można powierzyć innemu podmiotowi, który na żądanie IO niezwłocznie przekaże niezbędne informacje i dokumenty dotyczące zastosowanych środków, w tym kopii dokumentów uzyskanych podczas stosowania środków bezpieczeństwa finansowego, polegających na identyfikacji klienta i beneficjenta rzeczywistego oraz weryfikacji ich tożsamości. Takim podmiotem może być inna IO lub podmiot zagraniczny odpowiadający IO, o ile – z pewnymi wyjątkami – nie ma siedziby w państwie wysokiego ryzyka, a także – pod pewnymi warunkami – inny podmiot z grupy kapitałowej. Należy przy tym pamiętać, że korzystanie z usług podmiotu trzeciego nie zwalnia IO z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.

IO mogą powierzyć stosowanie środków bezpieczeństwa finansowego oraz prowadzenie i dokumentowanie wyników bieżącej analizy przeprowadzanych transakcji podmiotowi działającemu w imieniu i na rzecz IO, jeżeli na podstawie pisemnej umowy podmiot ten ma być traktowany jako część IO. Także w tym przypadku IO nie zostaje zwolniona z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.

Wewnętrzne procedury

IO muszą wprowadzić wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, dostosowaną do charakteru, rodzaju i rozmiaru prowadzonej działalności. Obejmuje ona m.in. określenie:

• czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem,
• zasad rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu, związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną, w tym zasad weryfikacji i aktualizacji uprzednio dokonanej oceny ryzyka,
• środków stosowanych w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu, związanym z danymi stosunkami gospodarczymi lub transakcją okazjonalną,
• zasad stosowania środków bezpieczeństwa finansowego,
• zasad przechowywania dokumentów oraz informacji,
• zasad wykonywania obowiązków obejmujących przekazywanie GIIF informacji o transakcjach oraz zawiadomień,
• zasad upowszechniania wśród pracowników IO wiedzy z zakresu upft,
• zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
• zasad kontroli wewnętrznej lub nadzoru zgodności działalności IO z przepisami upft oraz zasadami postępowania określonymi w wewnętrznej procedurze.

Procedura podlega akceptacji kadry kierowniczej wyższego szczebla. W przypadku grup kapitałowych obejmuje całą grupę z odpowiednim uwzględnieniem ról podmiotów wchodzących w jej skład oraz ograniczeń prawnych mogących dotyczyć poszczególnych jej członków z siedzibą za granicą.

IO opracowują i wdrażają wewnętrzną procedurę anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz IO rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Określa ona w szczególności:

• osobę odpowiedzialną za odbieranie zgłoszeń,
• sposób odbierania zgłoszeń,
• sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania,
• sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych,
• zasady zachowania poufności w przypadku ujawnienia tożsamości ww. osób lub gdy ich tożsamość jest możliwa do ustalenia,
• rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia,
• termin usunięcia przez IO danych osobowych zawartych w zgłoszeniach.

IO, ich pracownicy oraz inne osoby działające w ich imieniu i na ich rzecz zachowują w tajemnicy fakt przekazania informacji GIIF lub innym właściwym organom, w tym o prowadzonych analizach dotyczących prania pieniędzy lub finansowania terroryzmu. Obowiązek ten nie dotyczy przekazywania informacji między niektórymi IO, a także m.in. doradców podatkowych i biur rachunkowych, gdy przekazują informacje klientowi w celu spowodowania zaprzestania prowadzenia przez niego działalności sprzecznej z prawem lub powstrzymania go od podjęcia takiej działalności.

Przekazywanie i gromadzenie informacji

IO, z wyjątkiem m.in. doradców podatkowych, przekazują GIIF drogą elektroniczną informacje o przyjętej wpłacie lub dokonanej wypłacie środków pieniężnych o równowartości przekraczającej 15 tys. euro lub o wykonanym transferze środków pieniężnych (z pewnymi wyjątkami) o równowartości przekraczającej 15 tys. euro[30]. IO (wszystkie bez wyjątków) przekazują GIIF informacje o przeprowadzonej transakcji kupna lub sprzedaży wartości dewizowych, której równowartość przekracza 15 tys. euro, albo o pośredniczeniu w przeprowadzeniu takiej transakcji[31]. Jak już o tym była mowa, biura rachunkowe zwykle nie przeprowadzają ww. transakcji ani w nich nie pośredniczą, nie mają zatem wynikających z tego obowiązków.

Niezwłocznie, lecz nie później niż w ciągu 2 dni od dnia dostrzeżenia, IO zawiadamia drogą elektroniczną GIIF o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu. W zawiadomieniu podaje się m.in. dane identyfikacyjne klienta oraz zidentyfikowanych na potrzeby upft osób fizycznych z nim związanych, rodzaj i wielkość wartości majątkowych oraz miejsce ich przechowywania, posiadane informacje o transakcjach lub próbach ich przeprowadzenia, posiadane informacje o rozpoznanym ryzyku prania pieniędzy lub finansowania terroryzmu oraz o czynie zabronionym, z którego mogą pochodzić wartości majątkowe, uzasadnienie przekazania zawiadomienia[32].

Na pierwszy rzut oka mogłoby się wydawać, że ten obowiązek ma charakter ogólny i dotyczy – bez żadnych ograniczeń – wszelkich podejrzanych sytuacji, jakie IO dostrzeże. Jednak katalog danych, jaki przewidziano dla zawiadomienia, zawęża omawianą normę prawną zarówno podmiotowo, jak i przedmiotowo. Wymaganie podania numeru rachunku prowadzonego dla klienta IO przekazującej zawiadomienie, oznaczonego identyfikatorem IBAN lub identyfikatorem zawierającym kod kraju oraz numer rachunku w przypadku rachunków nieoznaczonych IBAN, ogranicza katalog IO do tych, które prowadzą dla klientów rachunki[33] (bankowe, maklerskie itp.[34]).

Z kolei żądanie przekazania m.in. niepowtarzalnego identyfikatora transakcji w ewidencji IO oraz daty i godziny przeprowadzenia transakcji ogranicza przedmiot ew. donosu do GIIF do tych transakcji, które IO dla klienta przeprowadza. Biura rachunkowe, które nie prowadzą dla klientów rachunków ani nie przeprowadzają dla nich transakcji, lecz jedynie je księgują, nie są zatem objęte omawianym tu obowiązkiem. Z tych samych powodów do biur rachunkowych nie mają zasadniczo zastosowania przepisy regulujące kwestię blokady rachunków i wstrzymywania transakcji[35].

IO, na żądanie GIIF, niezwłocznie i nieodpłatnie przekazuje lub udostępnia posiadane informacje lub dokumenty, niezbędne do realizacji zadań GIIF, określonych w ustawie, w tym dotyczące klientów, przeprowadzonych transakcji, rodzaju i wielkości wartości majątkowych oraz miejsca ich przechowywania, a także analizę stosunków gospodarczych z klientem[36]. Te obowiązki z pewnością dotyczą także biur rachunkowych, ale nie powstają one z mocy samego prawa, lecz dopiero na wyraźne żądanie GIIF.

W przypadku gdy na IO ciąży jeden z ww. obowiązków informacyjnych, przed jego wykonaniem należy elektronicznie złożyć do GIIF zgłoszenie identyfikacyjne, zawierające podstawowe dane o tej IO. W razie zmiany danych konieczna jest natomiast ich niezwłoczna aktualizacja[37]. Formularze do elektronicznego przekazywania informacji są dostępne na stronie internetowej GIIF[38].

Warto też zwrócić uwagę na przepis, który nie nakłada obowiązku, ale tworzy przyjazne okoliczności prawne dla donoszenia na IO przez ich pracowników. Mianowicie GIIF przyjmuje zgłoszenia rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu od pracowników, byłych pracowników IO lub innych osób, które wykonują lub wykonywały czynności na rzecz IO na innej podstawie niż stosunek pracy. Przekazanie zgłoszenia nie narusza obowiązku zachowania tajemnicy zawodowej, a dane osobowe zgłaszającego podlegają ochronie[39].

Kary

Osoby fizyczne będące beneficjentami rzeczywistymi, wspólnikami lub zajmujące stanowiska kierownicze w podmiotach świadczących usługi polegające m.in. na zakładaniu spółek lub zarządzaniu nimi bądź zapewnianiu im siedziby lub adresu muszą spełniać wymóg niekaralności za umyślne przestępstwo lub umyślne przestępstwo skarbowe, a ponadto mieć udokumentowaną wiedzę lub udokumentowane doświadczenie (minimum roczne) w tym zakresie[40]. Kara pieniężna za naruszenie tych wymagań wynosi maksymalnie 10 tys. zł[41].

GIIF oraz inne organy mają prawo kontrolowania IO w zakresie obowiązków nałożonych przez upft, która zwiera jednocześnie przepisy regulujące postępowanie kontrolne i pokontrolne oraz procedury związane z wydawaniem decyzji o karach. Ich omówienie wykracza poza zakres tego artykułu.

Niedopełnienie przez IO któregokolwiek z obowiązków nałożonych upft podlega karom administracyjnym, którymi są w szczególności nakaz zaprzestania podejmowania przez IO określonych czynności, wykreślenie z rejestru działalności regulowanej, zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie przez IO przepisów ustawy (maksymalnie do roku), kara pieniężna do wysokości 2-krotności kwoty korzyści osiągniętej lub straty unikniętej przez IO w wyniku naruszenia albo – w przypadku gdy nie jest możliwe ustalenie kwoty tej korzyści lub straty – do wysokości równowartości kwoty 1 mln euro[42]. Z kolei osoby odpowiedzialne (wskazane na początku tego artykułu) mogą zostać ukarane karą pieniężną do wysokości 1 mln zł za naruszenia wymogów upft[43].

Ustalając rodzaj kary administracyjnej oraz jej wysokość, organ uwzględni wagę naruszenia i czas jego trwania, zakres odpowiedzialności IO, jej możliwości finansowe, skalę osiągniętych przez nią korzyści lub unikniętych strat, jeżeli można te korzyści lub straty ustalić, straty poniesione przez osoby trzecie w związku z naruszeniem, jeżeli można je ustalić, stopień współpracy IO z organami właściwymi ws. przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, uprzednie naruszenia przepisów upft przez IO. Przepisy umożliwiają ponadto całkowite odstąpienie od wymierzenia kary w szczególnie uzasadnionych przypadkach, gdy waga naruszenia upft jest znikoma, a IO zaprzestała tego naruszania[44].

Najsurowsze sankcje karne przewidziano dla osób, które działając w imieniu lub na rzecz IO, nie dopełnią obowiązku przekazania GIIF zawiadomienia o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, bądź obowiązku przekazania GIIF zawiadomienia o powzięciu uzasadnionego podejrzenia, że określona transakcja lub wartości majątkowe będące jej przedmiotem mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu. Taka osoba, jeśli działa umyślnie, zostanie pozbawiona wolności na okres od 3 mies. do 5 lat.

Z takimi samymi konsekwencjami muszą się liczyć osoby, które umyślnie przekażą GIIF dane nieprawdziwe, zatają przed nim dane albo ujawnią osobom nieuprawnionym, posiadaczom rachunku lub osobom, których transakcja dotyczy, informacje zgromadzone zgodnie z upft lub wykorzystają je w sposób niezgodny z przepisami ustawy[45].

Podsumowanie

Każde biuro rachunkowe prowadzące księgi rachunkowe jest IO. Uniknąć tej kwalifikacji mogą jedynie te biura, które nie prowadzą klientom ksiąg rachunkowych w rozumieniu uor, z tym że wyłączenie to jest moim zdaniem dyskusyjne.

Biuro rachunkowe ma zasadniczo obowiązek:

1. Wyznaczyć kadrę odpowiedzialną za przestrzeganie przepisów upft oraz zapewnić jej odpowiednie przeszkolenie w tym zakresie.

2. Opracować i aktualizować dokument oceniający ryzyko prania pieniędzy i finansowania terroryzmu w odniesieniu do prowadzonej przez siebie działalności.

3. Rozpoznać ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze swoją współpracą z klientem oraz ocenić poziom rozpoznanego ryzyka.

4. Stosować środki bezpieczeństwa finansowego, takie jak identyfikacja oraz weryfikacja klienta i beneficjenta rzeczywistego, analiza dokumentów, analiza transakcji, analiza pochodzenia wartości majątkowych, i inne – w odniesieniu do świadczonych przez siebie usług (np. zakładania spółki, udostępnienia wirtualnego biura, pośrednictwa w sprzedaży aktywów).

5. Dokumentować zastosowane środki bezpieczeństwa finansowego włącznie z bieżącą analizą transakcji wykonywanych dla klienta.

6. Opracować i wdrożyć wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

7. Opracować i wdrożyć wewnętrzną procedurę anonimowego zgłaszania przez pracowników i współpracowników rzeczywistych lub potencjalnych naruszeń przepisów upft.

8. Zawiadamiać GIIF o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, związanych ze świadczonymi przez siebie usługami.

Księgowanie zdarzeń gospodarczych jest usługą, której realizacja nie ma zasadniczo związku z praniem pieniędzy lub finansowaniem terroryzmu. Biuro rachunkowe nie ma obowiązku weryfikowania zdarzeń, które księguje. Samo zaś ich księgowanie mogłoby podlegać pod przepisy upft chyba tylko wówczas, gdyby z treści księgowych zapisów wynikało przestępcze pochodzenie lub przeznaczenie pieniędzy, a trudno sobie taką sytuację wyobrazić bez świadomego uczestnictwa księgowego w takim procederze.

Należy też pamiętać, że stosowanie upft zakłada proporcjonalność podejmowanych środków do wielkości zagrożenia oraz zakresu działalności IO. Koresponduje z tym także zasada miarkowania kar za uchybienia, w tym możliwość poprzestania na upomnieniu lub odstąpienia od ukarania.

W związku z powyższym biura rachunkowe oferujące swoim klientom tylko usługi księgowe mogą stosunkowo łatwo się wywiązywać z obowiązków nałożonych przez upft, gdy stwierdzą brak zagrożeń prania pieniędzy i finansowania terroryzmu lub ew. ryzyko na bardzo niskim poziomie.

Wiązać się z tym będzie niska złożoność dokumentacji, a przede wszystkim brak lub szczątkowy zakres stosowania i dokumentowania środków bezpieczeństwa finansowego. W przypadku takich biur, nawet gdyby doszło do stwierdzenia jakichś uchybień, byłyby one prawdopodobnie uznane za znikome. Ich kluczowym zadaniem wydaje się więc jak najlepsze opracowanie dokumentu, o którym mowa w pkt 2 powyżej.

Z kolei biura rachunkowe, które oprócz usług księgowych świadczą klientom usługi dodatkowe, takie jak pomoc w zakładaniu spółek lub zarządzaniu nimi, wirtualne biuro, przeprowadzanie dla klienta określonych transakcji, powinny bardzo poważnie podejść do obowiązków nakładanych upft, bowiem przy okazji ich świadczenia mogą wystąpić zdarzenia związane zwłaszcza z praniem pieniędzy. Biuro powinno być w pełni przygotowane na ich identyfikację, analizę i ew. zgłoszenie do GIIF.