Ustawa o Systemie Informacji Finansowej. Co się zmieni?
- Napisał Marcin Staniszewski
- Kategoria: Ekspert radzi - prawo transportowe dla opornych
Dnia 1 grudnia 2022 roku w Senacie pojawił się projekt ustawy o Systemie Informacji Finansowej. Wiąże się ona z publikacją dwóch wspólnotowych aktów prawnych: dyrektywy 2018/843 w sprawie zapobiegania wykorzystania systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz dyrektywy 2019/1153, która ustanawia zasady ułatwiające korzystanie z informacji finansowych i innych informacji w celu zapobiegania niektórym przestępstwom. Co ulegnie zmianie po wejściu tej ustawy w życie? Na kogo będzie mieć największy wpływ? Wyjaśniamy.
Cel wprowadzenia Systemu Informacji Finansowanej
Nowelizacja systemu prawnego ma na celu utworzenie rejestru, który będzie stanowił bazę informacyjną dla organów zajmujących się ściganiem przestępstw finansowych. Jego założeniem jest usprawnienie wymiany informacji pomiędzy strukturami centralnymi, a także zapewnienie większej efektywności toczących się postępowań.
Według artykułu 2 projektu ustawy System Informacji Finansowej (SInF) tworzy się poprzez użycie systemu teleinformatycznego. Jego celem jest:
- przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu;
- rozpoznawanie i wykrywanie przestępstw katalogowych oraz zapobieganiu im, w tym wspomaganie prowadzenia postępowania karnego w sprawie przestępstwa katalogowego;
- realizacja celów określonych ustawą.
W ustawie o SInF uwzględniono pojęcie instytucji zobowiązanej – podobnie, jak w ustawie AML, która wprowadza pojęcie instytucji obowiązanej, jednak w ustawie SInF uwzględniono o wiele węższy krąg podmiotów. Do kategorii instytucji zobowiązanej należą więc:
- oddziały instytucji kredytowej, banki krajowe lub oddziały banków zagranicznych;
- spółdzielcze kasy oszczędnościowo-kredytowe oraz Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa;
- małe i krajowe instytucje płatnicze (KIP i MIP), instytucje pieniądza elektronicznego, a także oddziały unijnych i zagranicznych instytucji pieniądza elektronicznego;
- firmy inwestycyjne i banki powiernicze;
- NBP w zakresie, w jakim prowadzi rachunki bankowe innych osób prawnych;
- przedsiębiorcy, w tym przedsiębiorcy zagraniczni prowadzący działalność gospodarczą w zakresie udostępniania skrytek sejfowych.
- Powyższy zasięg podmiotowy pozwala stwierdzić, że SiNF nie będzie obejmować m.in. przedsiębiorców prowadzących działalność kantorową czy towarzystw ubezpieczeniowych.
Jako organ właściwy w sprawie SInF wyznaczono Szefa Krajowej Administracji Skarbowej. Jego zadania to zarówno utrzymanie sprawnej infrastruktury, jak i opracowanie analiz statystycznych, nakładanie kar administracyjnych oraz weryfikacja prawdziwości uzyskanych informacji.
Charakterystyka przestępstw katalogowych
Jeszcze inna nowość to wprowadzenie pojęcia przestępstwa katalogowego. Chodzi tutaj o czyny zabronione, uwzględnione w załączniku nr I do rozporządzenia Parlamentu Europejskiego i Rady 2016/794 z dnia 11 maja 2016 roku w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol).
Dotyczy to przede wszystkim ciężkich przestępstw, takich jak:
- terroryzm;
- przestępczość zorganizowana;
- handel narkotykami;
- działalność związana z praniem pieniędzy;
- przemyt imigrantów;
- handel ludźmi;
- oszustwa i nadużycia finansowe;
- manipulacje na rynkach finansowych;
- fałszowanie pieniądza i środków płatniczych.
Informacje, które obejmuje System Informacji Finansowej
W Systemie Informacji Finansowej znajdziemy też rozszerzenie obowiązków raportowania względem właściwych organów na szereg danych, do których zaliczają się:
- informację o rachunku;
- informacje o wybranych umowach, w tym: dotyczące przechowywania przedmiotów i papierów wartościowych zawieranych przez bank krajowy lub zagraniczny (z wyłączeniem umów zawieranych z jednostkami państwowymi); dotyczące udostępnienia skrytki sejfowej, jeżeli umowę zawiera bank krajowy lub zagraniczny albo przedsiębiorca krajowy lub zagraniczny prowadzący działalność w zakresie udostępniania skrytek bankowych.
Jako „rachunek” ustawodawca definiuje różne rodzaje kont bankowych, takie jak:
- rachunek płatniczy lub inny rachunek w banku albo SKOK-u;
- rachunek papierów wartościowych;
- rachunek derywatów (pochodnych instrumentów finansowych);
- rachunek zbiorczy wraz z rachunkami pomocniczymi.
W artykule 12 projektu wprowadzono precyzyjne określenie zakresu danych objętych obowiązkiem zgłoszenia do SInF. Dzieli się je na kilka różnych grup:
- numer rachunku lub umowy;
- dane identyfikacyjne posiadacza, beneficjenta rzeczywistego i pełnomocnika;
- data zawarcia umowy lub otwarcia rachunku oraz data rozwiązania umowy lub zamknięcia rachunku;
- określenie początku i końca nawiązania relacji przez strony, jeśli trwała ona dłużej niż czas obowiązywania umowy lub istnienia rachunku.
Podmiot, który gromadzi informacji musi jednocześnie przekazać, czy zakończenie współpracy wynika z niemożności zastosowania jednego z finansowych środków bezpieczeństwa uwzględnionych w ustawie AML. Będzie to przykładowo brak możliwości ustalenia beneficjenta rzeczywistego.
Kwestia danych identyfikacyjnych podmiotów, które nawiązują relację z instytucją zobowiązaną została przedstawiona bardzo szczegółowo. Dane te obejmują informacje takie jak imię i nazwisko (nazwa), adres siedziby oraz korespondencyjny. W przypadku osób fizycznych konieczne jest podanie numeru PESEL, z kolei osób prawnych i jednostek organizacyjnych numeru NIP. W przypadku braku tych numerów należy wskazać państwo rejestracji, właściwy rejestr, a także datę i numer wpisu.
Dane gromadzone w SInF są przechowywane przez okres pięciu lat. Istnieje możliwość wydłużenia tego okresu do dziesięciu lat, ale pod warunkiem, że jest to konieczne do przeciwdziałania praniu pieniędzy, przeciwdziałania terroryzmowi bądź popełnieniu innych przestępstw katalogowych.
Kiedy trzeba zgłosić informacje do SInF?
Każda informacja rejestrowana powinna być automatycznie i bez zwłoki przekazywana do SInF. przez instytucja zobowiązane. Co więcej, chodzi tutaj nie tylko o krótkotrwałe przechowywanie środków pieniężnych związanych z automatycznym przeksięgowaniem i zwrotem na rachunek wraz z odsetkami w terminie nie późniejszym niż 2 dni robocze (rachunki overnight). Obowiązek zgłoszeniowy powstaje też w przypadku każdej czynności mającej związek z przedmiotowym rachunkiem lub umową – zarówno w sytuacji ich otwarcia (podpisania), zmiany, jak i zamknięcia (rozwiązania).
Do przekazania danych dochodzi za pośrednictwem systemu STIR – Systemu Teleinformatycznego Izby Rozliczeniowej. Służy on do wykrywania przestępstw finansowych i nadużyć w tym zakresie, m.in. poprzez monitorowanie przesunięć na rachunkach bankowych w czasie rzeczywistym. Informacja trafiająca do STIR, następnie zostaje przekazana właśnie do SInF.
Jaki jest termin na przekazania informacji do STIR? Są to 3 dni od podpisania umowy lub otwarcia rachunku. W sytuacji, w której weryfikacja tożsamości klienta i beneficjenta rzeczywistego została ukończona już po nawiązaniu relacji, to termin wynosi 3 dni od tej daty. Za to izba rozliczeniowa przekazuje informacje ze STIR do SInF w terminie nie przekraczającym 2 dni od daty otrzymania jej od instytucji zobowiązanej.
Sprawia to, że wymiana informacji pomiędzy podmiotem zobowiązanym do stosowania nowych przepisów, a SInF, może trwać nawet do 5 dni, a czasem i dłużej. Do ustawowym terminów nie wlicza się bowiem sobót, niedziel, dni wolnych od pracy, a także okresów awarii lub zakłóceń działania systemu.
Opóźnienie w przekazaniu informacji o umowie lub rachunku daje właściwemu organowi prawo do nałożenia wysokiej kary administracyjnej. Gdy jednak dane te zostaną przekazane w terminie 14 od daty powstania obowiązku, organ ma prawo:
- odstąpić od wszczęcia postępowania;
- odstąpić od nałożenia kary administracyjnej.
Podmioty, które mają dostęp do danych przekazanych do SInF
Informacje gromadzone w Systemie Informacji Finansowej będą przekazywane głównie GIIF, co pozwala na realizację postanowień ustawy AML. Bez względu na to, wgląd do danych będzie mieć również wiele innych podmiotów, w tym między innymi:
- Prokurator Krajowy i prokuratorzy regionalni;
- sądy apelacyjne;
- komendant Policji na szczeblu wojewódzkim i centralnym;
- szefowie CBA, ABW, CBŚP,AW, SWK i SWW;
- przewodniczący Komisji Nadzoru Finansowego;
- dyrektorzy izb administracji skarbowej;
- główni komendanci Straży Granicznej oraz Żandarmerii Wojskowej.
Każdy z tych organów może przetwarzać informacje do celów związanych z wykonywaniem ich zadań ustawowych. Legitymacja ustawowa uprawnia także do udzielania upoważnień pracownikom danych jednostek, w tym dalszych upoważnień.
Czy informacje dotyczące podmiotów są bezpieczne w SInF?
Według treści art. 27 projektu, dane gromadzone w SInF mają być efektywnie zabezpieczone przed nadużyciami oraz chronione przed nieuprawnionym dostępem i udostępnianiem. Protokoły zabezpieczeń obejmują więc:
- dopuszczenie przez administratora danych wyłącznie osób uprawnionych;
- zobowiązanie się podmiotu uprawnionego do zapewnienia bezpieczeństwa przetwarzania informacji;
- testy oraz udoskonalanie zabezpieczeń technicznych i organizacyjnych;
- zapewnienie bezpiecznej komunikacji w systemie teleinformatycznym;
- zapewnienie ochrony przed nieuprawnionym dostępem do systemu teleinformatycznego;
- określenie zasad bezpieczeństwa przetwarzanych informacji rejestrowanych.
Instytucje zobowiązane będą poddawane kontroli przez uprawnione podmioty - KNF (w przypadku instytucji płatniczych i banków) oraz przez naczelników urzędów celno-skarbowych (w przypadku pozostałych podmiotów).
Jakie sankcje przewidziano za naruszenie przepisów ustawy?
Przekazanie informacji niekompletnej lub niezgodnej ze stanem faktycznym podlega karze administracyjnej w wysokości 1 500 000 zł, nakładanej w drodze decyzji administracyjnej. Co więcej, ustawodawca przewidział karę pozbawienia wolności za działania związane z ujawnieniem osobom danych rejestrowanych w Systemie Informacji Finansowej, a także z ich nieuprawnionym przetwarzaniem.
Co zmieni utworzenie Systemu Informacji Finansowej? Konsekwencje dla uczestników rynku
Podmioty, które są zobowiązane do przekazywania odpowiednich informacji do Systemu Informacji Finansowej muszą już teraz zadbać o dostosowanie swojej infrastruktury IT do nowych wymogów. Przydatną formą wsparcia będzie pomoc kancelarii prawnej - warto wybrać prawników, którzy łączą znajomość przepisów prawa i sposobu funkcjonowania nowoczesnych technologii.
Poza wdrożeniem zmian w infrastrukturze, konieczne będzie przygotowanie wewnętrznych procesów, procedur i dokumentacji do spełnienia nowych istotnych wymagań. Do tego typu wymogów zalicza się m.in. realizację obowiązku raportowego przez instytucje płatnicze oraz onboarding klienta, czyli weryfikowanie jego tożsamości na potrzeby transakcji finansowych, które mogą podlegać ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
Biorąc pod uwagę, że w dzisiejszych czasach onboarding ma zazwyczaj charakter zdalny i jest realizowany poprzez zaawansowane algorytmy informatyczne, większość firm będzie musiała przeprowadzić szybkie, kosztowne działania adaptacyjne, oraz dostosować istniejące rozwiązania z zakresu AML.
Ponadto instytucje zobowiązane powinny zająć się opracowaniem wewnętrznych procedur, które umożliwią im gromadzenie kompleksowych informacji o umowach i rachunkach bankowych, oraz sprawne przekazywanie ich do STIR w sposób zautomatyzowany. Oczywiście opracowanie tych procedur najlepiej zlecić profesjonalistom. Niestety termin na przekazanie informacji nie jest długi, a kary za ewentualne zaniedbania mogą być bardzo dotkliwe.
Na koniec warto wspomnieć, że w wyniku pojawienia się nowego obowiązku, koniecznością może okazać się aktualizacja procedur due diligence o poszerzony zakres audytu wewnętrznego.
Marcin Staniszewski
Radca prawny, absolwent Uniwersytetu im. Adama Mickiewicza oraz Uniwersytetu Ekonomicznego w Poznaniu, od ponad 15 lat zajmujący się obsługą prawną przedsiębiorców. Na przestrzeni lat nadzorował liczne przekształcenia i fuzje spółek prawa handlowego. Specjalizuje się w zagadnieniach związanych z funkcjonowaniem spółek z branży IT, prawem telekomunikacyjnym, własnością intelektualną i prawem transportowym. Entuzjasta świadczenia usług w ramach rozwiązań Legal Tech, a prywatnie miłośnik motoryzacji i nowych technologii.
Kancelaria Prawna RPMS Staniszewski & Wspólnicy specjalizuje się w kompleksowej obsłudze podmiotów gospodarczych, ze szczególnym uwzględnieniem e-commerce oraz sektora IT. Doświadczona i szeroka kadra pozwala na świadczenie pełnego wsparcia prawnego, od ochrony właśności intelektualnej, ochrony marki, przez przekształcenia spółek, koordynowanie procesów windykacyjnych, po realizacje z zakresu prawa mediów oraz prawa transportowego. RPMS działa w wymiarze ogólnopolskim i posiada placówki w największych polskich miastach, a także międzynarodowym, pracując z zagranicznymi klientami z państw członkowskich Unii Europejskiej, a także wspomagając prawnie przedsiębiorców działających w skali międzynarodowej.
Najnowsze od Marcin Staniszewski
- Przeładunek towaru bez zgody - jakie będą konsekwencje (na podstawie konwencji CMR)
- Kto ponosi odpowiedzialność za czynności ładunkowe, rozmieszczające, zabezpieczające?
- Wypowiedzenie umowy o pracę przez pracodawcę. Jak zrobić to legalnie?
- Kontrahent nie płaci? Poznaj wady i zalety faktoringu
- Jak założyć oddział firmy zagranicznej w Polsce?