AML,  blockchain,  cybercrime

Travel rule – wytyczne światowego szeryfa FATF

W tym wpisie omówimy sobie istniejącą już na rynku od wielu lat na rynku finansowym travel rule. W świetle ostatnich wytycznych FATF zasada ta będzie miała również znaczenie dla rynku crypto. Zanim jednak o samej zasadzie zaczniemy od wyjaśnienia kilku nazw, które będą towarzyszyć nam w dalszej części wpisu.

FATF jest szeryfem, którego państwa słuchają, w interesie bowiem żadnego z nich nie jest znaleźć się na mapie FATF jako jurysdykcja high-risk. Tak samo niekorzystne jest to dla biznesu crypto. Ostatnim elementem łańcucha, który obrywa są oczywiście użytkownicy. Dla użytkowników pochodzących z jurysdykcji znajdującej się na #blacklist niektóre usługi pozostają wyłączone (wynika to wprost z Term of Service dostawców).

A czymże jest ten szeryf?

FATF (Financial Action Task Force) – Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy jest międzyrządowym ciałem powołanym do życia w 1989 r. podczas szczytu G7 w Paryżu.

Grupa ta ma charakter polityczny – nastawiona jest na kreowanie woli politycznej w państwach członkowskich do przedsięwzięcia stosownych reform ustawodawczych w obszarze przeciwpraniowym oraz zwalczania terroryzmu[1].

FATF w swojej przeciwpraniowej misji jest niezwykle pomocny w ocenie jurysdykcji, od których lepiej trzymać się z daleka. FATF klasyfikuje państwa, w których mechanizmy przeciwdziałania praniu pieniędzy są mizerne ze względu na [I] słabe mechanizmy, [II] braki kadrowe, czy [III] podatność korupcyjną, która niezwykle często powiązana jest z marną sytuacją gospodarczą w ogóle.

Na horyzoncie również crypto

W zakresie zainteresowań wspomnianej instytucji nie brakuje oczywiście miejsca na waluty wirtualne – w tym wpisie omówimy sobie ostatnie (z czerwca 2019 r.) wytyczne FATF.

VASP

Najpierw, krótka definicja, której jak dotąd wprost nie wysłowiliśmy sobie w ramach tego bloga.

Chodzi o określenie virtual asset service providers  – VASP.

FATF,  VASP określa jako: osobę fizyczną lub prawną prowadzącą działalność gospodarczą, która świadczy dla lub w imieniu innej osoby fizycznej / prawnej przynajmniej jedną z następujących usług:

  1. wymiana crypto-fiat,
  2. wymiana crypto-crypto,
  3. transfer crypto,
  4. przechowywanie lub administrowanie crypto (zwróćcie uwagę na portfele dla użytkowników),
  5. lub instrumentami, które umożliwiają kontrole nad crypto (będzie pewnie chodziło o wymienialne na waluty wirtualne tokeny),
  6. uczestniczenie lub świadczenie usług finansowych związanych z ofertą lub sprzedażą crypto przez emitenta.

Jak widzicie jest tego dość dużo, katalog jest szeroki i co jest mega ważne, to zobaczcie, że również FATF mówi już wprost to samo, co nasz ustawodawca w przepisach w ustawie przeciwpraniowej, tzn., że dostawcą usług opartych o waluty wirtualne jest także ten, kto dostarcza usługę wymiany crypto-crypto.

Taki podmiot będzie w rozumieniu przepisów AML traktowany jako instytucja obowiązana z całym bagażem wynikających z obowiązków przeciwpraniowych.

Więcej o tym pisałem na shadowtech.pl w tym miejscu.

* Nie widzę powodu, by czepiać się tego podobnego do dostawców usług płatniczych określenia, tym bardziej, że w rozumieniu PSD II i dalej naszej ustawy o usługach płatniczych giełdy takie usługi świadczą, a zatem powinno nam się to zmieścić w siatce pojęciowej chociażby obok payment service provider (PSP), czy account information service provider (AISP).

Status wytycznych FATF

Wytyczne FATF – w odróżnieniu od przepisów przeciwpraniowych, które kraje członkowskie na podstawie Dyrektyw UE obowiązane były implementować – nie są prawnie wiążące.

Nie ma jednak wątpliwości, że kształtować będą one globalne realia rynkowe. A żadnemu z państw nie zależy, by pojawić na wspomnianej w pierwszym akapicie mapie.

Powyższe wynika z tego, że kiedy najwięksi gracze na rynku finansowym (USA, UK) implementują standardy FATF, zmieniają działalność pozostałych podmiotów w sensie globalnym. To skutkuje, że pozostali podążają wytyczoną ścieżką.

Travel rule (przechowywanie i udostępnianie)

Wytyczne wskazują, że dostawcy usług opartych o crypto powinni działać zgodnie travel rule. Zasada ta polega na przekazywaniu informacji o transakcji  (w tym jej odbiorcy oraz nadawcy) pomiędzy instytucjami finansowymi. Na rynku finansowym nie jest to temat niezwykły[3]. 

*nie jest to również temat nowy dla – jak się zdaje – najbardziej wymagającego rynku w USA, gdzie VASP zarejestrowane są w FinCEN jako Money Service Business (MSB) i tam wymaga się od nich więcej.

Ma to znaczenie dla KNF

Jest t również kwestia, o której z pewnością rozmawia organ nadzoru z polskimi przedsiębiorcami.

Sięgnąć w tym miejscu należy do ustawy przeciwpraniowej:

Instytucje obowiązane stosują wzmożone środki bezpieczeństwa finansowego w przypadkach wyższego ryzyka prania pieniędzy lub finansowania terroryzmu(…)

Według ustawodawcy do wyższego ryzyka wystarczy korzystanie przez Klienta z usług / produktów sprzyjających anonimowości lub utrudniających jego identyfikację i w tym sensie odnosi się to w praktyce do walut wirtualnych.

Podobnie o wzmożonych środkach mowa jest, gdy transakcja odbywa się przy udziale obywatela państwa podwyższonego ryzyka (zob. pierwszy akapit powyżej).

Na podstawie jednego z przepisów ustawy przeciwpraniowej, organ upatruje obowiązku zachowania szczególnej ostrożności od giełd i kantorów walut wirtualnych. Sugerowanym rozwiązaniem mogły być rozwiązania techniczne dotyczące geolokalizacji, które miałyby pozwolić na uzyskanie dodatkowych danych o stronach transakcji.

Wytyczne FATF co do zasady wskazują na rozwiązanie tego tematu.

Zaawansowana procedura KYC

Standardowe wytyczne KYC nie wymagają wdrożenia travel rule. Wytyczne FATF dostarczają nam jednak jednoznacznej rekomendacji stworzenia bardziej zaawansowanej procedury KYC. Standardowa procedura KYC wymaga poznania danych wyłącznie o swoim kliencie; wdrożenie omawianych wytycznych wymagać będzie dodatkowo przekazania odebranych danych innym VASP, co pozwoli im dodać do procedury KYC kolejne dane.

Jakie dane będą przekazywane?

Zgodnie z wytycznymi FATF wymieniane będą informacje o:

  1. imieniu i nazwisku inicjatora płatności;
  2. numerze konta (chodzić tu może w mojej ocenie także o adres portfela [VA wallet])
  3. adresie inicjatora płatności lub NIN – national indentity number (na naszych warunkach może być to PESEL), data i miejsce urodzenia
  4. imieniu odbiorcy płatności,
  5. numerze konta (chodzić tu może w mojej ocenie także o adres portfela [VA wallet]) odbiorcy płatności

Krytyczne podejście branży

Niektórzy przedstawiciele branży jednoznacznie odmawiają, że stawianie VASP będzie bardzo utrudniało obsługę giełd lub nawet stawiało wymogi niemożliwe do wykonania.[3]

Ewangeliści walut wirtualnych wskazują również, że wypacza to samą istotę waluty wirtualnej, która miała zapewniać anonimowość i bezpieczeństwo. W dobie zaawansowanych polityk przeciwpraniowych, trzeba uczciwie przyznać, że co raz trudniej będzie o anonimowość.

Podejście FATF podano też słusznej krytyce wskazującej, że model działalności w związku z łatwością utworzenia nowych portfeli krypto walutowych nie pozwala w momencie dokonania transakcji na stwierdzenie, czy adres odbiorcy podawany przez użytkownika jest adresem innej regulowanej instytucji, prywatnego i docelowego odbiorcy, czy też wyłącznie pośrednika. To wszystko wskazuje, że weryfikacja na tym etapie może okazać się niemożliwa.

Travel rule a ochrona danych osobowych (GDPR)

Jeśli wrócimy sobie do ramki z informacjami, które VASP mają sobie przekazywać, to nie mamy wątpliwości, że będziemy mieć do czynienia z udostępnianiem  danych osobowych.

Taka relacja będzie wyglądała następująco: administrator – administrator (ADO – ADO).

W tym miejscu pojawią się także fundamentalna kwestia dla userów. Nie chcemy przecież, żeby poprzez rejestrację na jednej z giełd nasze dane osobowe były znane w całej branży, a w istocie rzeczy staną się #global.

Z rozwiązaniem tej kwestii przychodzi CipherTrace, który proponuje rozwiązanie mające polegać na bezpiecznym przekazywaniu sobie przez VASP, tzw. dowodu wiedzy (Proof of Knowledge), który zawierałby informacje o tym, że dane zostały przekazane, ale jednocześnie ich nie ujawniał.

CEO CipherTrace tłumaczy, że istnieją kryptograficzne narzędzia pozwalające na przekazywanie danych osobowych, ale przy zachowaniu ich poufności. Dane te zostaną dopiero ujawnione, gdy będzie to konieczne, np. w sytuacji, gdy wymagać będą tego organy ścigania lub określone procedury AML[4].

Powyższe rozwiązanie ma zapewniać bezpieczeństwo bez utraty anonimowości, a tym samym pozwalać wykonywać procedury zgodności, tj. #compliance.

Temat brzmi niezwykle ciekawie i pozostaje go obserwować. A czasu jeszcze trochę zostało, ponieważ kraje członkowskie FATF mają 12 miesięcy na wdrożenie travel rule.

Skąd to podejście FATF?

Prawdę mówiąc, nie jest ono niczym zaskakującym.

Z wypowiedzi przedstawicieli rządu USA i FATF jednoznacznie wynika, że poza technologicznymi korzyściami dla transakcji płatniczych, widzą oni także w technologii zagrożenie terroryzmem i praniem pieniędzy.

Co warto zapamiętać?

  1. FATF jest instytucją, która żywo interesuje się walutami wirtualnymi.
  2. Jej wytyczne, choć nie mają prawnego umocowania, kształtują politykę zachodnich państw, a tym samym warunki rynkowe.
  3. Wytyczne FATF zmierzają do tego, by zwiększyć nadzór nad rynkiem.
  4. VASP powinny świadczyć usługi w formie licencjowanej lub po wpisie do rejestru – przynajmniej w miejscu, gdzie zostały utworzone. [W Polsce wpisowi do rejestru podlegają Małe Instytucje Płatnicze, o których pisałem tutaj, a licencjonowaniu, np. Krajowe Instytucje Płatnicze]
  5. FATF z całą siłą promuję travel rule zarówno w relacji między dostawcami usług, jak i organami nadzoru poszczególnych państw.
  6. Według FATF organy nadzoru powinny wchodzić w dialog, w którym jasno zakomunikują swoje oczekiwania co do procesów compliance, przedstawią swoją interpretację przepisów / wytycznych pozwalające podmiotom obowiązanym wdrożyć jak najlepiej procedury.
  7. Dla podmiotów zajmujących się AML wytyczne FATF nie powinny być niczym zaskakującym.

*obraz dolara pochodzi z freepik, autor: jannoon028

[1] https://mfiles.pl/pl/index.php/FATF

[2] https://www.fatf-gafi.org/media/fatf/documents/recommendations/RBA-VA-VASPs.pdf

[3] https://www.coindesk.com/fatf-crypto-travel-rule

[4] https://www.coindesk.com/planned-solution-for-fatf-travel-rule-compliance-keeps-user-data-private

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *