Krajowa ocena ryzyka AML – już jest!
Krajowa ocena ryzyka AML
O krajowej ocenie ryzyka sporządzanej przez GIIF przypominałem w ubiegły piątek na shadowtech.pl, a dokladnie tutaj.
Tam wspominałem dlaczego ocena ta jest ważna i potrzebna.
Wspomniałem o kryteriach, jakimi GIIF powinien się kierować oraz o obowiązku instytucji obowiązanych do dostosowania swoich ocen ryzyk do krajowej oceny ryzyka
Krajowa ocena ryzyka opublikowana
Krajową ocenę ryzyka wraz z 5 aneksami Generalny Inspektor opublikował z minimalnym poślizgiem 17 lipca.
Dostępna jest ona na stronie rządowej.
Niektórzy dokonali podsumowania opublikowanej oceny bezzwłocznie
Moje zdumienie wzbudziło (dokument ma ponad 300 stron), że już wczoraj pojawiały się głosy jednoznacznie chwalące dokument jako kompleksowo przygotowany i profesjonalny, a z drugiej strony głosy krytyczne mówiące o szeregach ogólników i braku konkretnych rozwiązań dla rynku.
Ograniczenie do walut wirtualnych i cyberprzestrzeni
Z uwagi na to, że w ostatnimi czasie badam raporty z dziedziny cybercrime oraz cybersecurity, gdzie autorzy tych opracowań nie pomijają znaczenia walut wirtualnych. Pozwólcie więc, że z krajowej oceny ryzyka przybliżę wątki dotyczące ryzyka związanego właśnie z tym obszarem.
Globalne spojrzenie
Na wyróżnienie zasługuje, że autorzy raportu spojrzeli na temat, tak jak on tego wymaga, tj. przy uwzględnieniu uwarunkowań globalnych. Miało to miejsce w zarówno doborze źródeł powołując się na stanowiska Financial Action Task Force (FATF) czy EUROPOLU. Autorzy nie pominęli również wątków dotyczących globalnego finansowania, gdzie waluty wirtualne grają główne skrzypce, tj. omawiając zagadnienia związane z Initial Coin Offering (ICO), choć dzisiaj bardziej przydałoby się mówić o Security Token Offering, czy z tokenizacją aktywów w ogóle. No, chyba że ryzyka się tutaj nie dostrzega… ; )
Badanie spraw karnych
Pozytywnie oceniam również zwrócenie uwagi na sytuację pokrzywdzonych, czy to użytkowników giełd wyparowujących wraz ze zgromadzonymi aktywami (zob. Bitcurex, postępowanie wciąż prowadzi Prokuratora w Łodzi i dzisiaj Bitmarket), czy pokrzywdzonych inwestorów w różnych procesach pozyskiwania kapitału przy wykorzystaniu tokenów. Inwestorzy tacy stali się zwyczajnie ofiarami przestępstwa oszustwa, którym z góry nikt nie planował wypłacić zysków. Możliwe też są oczywiście sytuacje, że zamiary emitujących tokeny nie były przestępcze, ale rynek to mocno zweryfikował. Wciąż jednak pozostają pokrzywdzeni, choć trudno wykazać w takiej sprawie: działanie polegające na wprowadzeniu w błąd celem osiągnięcia korzyści majątkowej.
Poziom prawdopodobieństwa scenariusza prania pieniędzy
Poziom prawdopodobieństwa wykorzystania kryptowalut do transferowania środków pochodzących z nielegalnego źródła określono jako dość wysoki, bo na 3,0 w 4-stopniowej skali.
Jakie ryzyka wskazuje GIIF związane z walutami wirtualnymi
Anonimowość
Klasycznie przywołuje się już tutaj waluty wirtualnie, takie jak Z-Cash oraz Monero.
W mojej ocenie problem leży tutaj nie tyle, co w samych walutach wirtualnych a w narzędziach wykorzystywanych do zacierania śladów i powiązań transakcji, takich jak mixery. O tym wątku więcej napiszę także w komentarzu do ostatniego raportu o cybercrime wydanego przez EUROPOL oraz EUROJUST – będzie niebawem.
Globalny transfer
To co dla biznesu i wolnego handlu jest plusem, jest oczywiście również korzyścią dla smart przestępców.
W zasadzie brak ograniczeń terytorialnych przy transakcji i ingerencji tradycyjnych instytucji płatniczych (zwróćcie uwagę, że tam gdzie jest problem z pieniądzem, płatnościami kartą, BTC doskonale tę lukę wypełnia, co potwierdza przykład Wenezelu, o którym opowiada Bartek z BezPlanu – polecam ten kanał) pozwala sprawnie działać i nie otrzymywać niechcianych pytań.
Ryzyko kradzieży
Temat naturalny, infrastruktura, procedury, procesy audytu oraz cyberbezpieczeństwo wciąż się rozwija, a bezpieczeństwo tym samym wzrasta.
Brak gwarancji
GIIF wskazuje na brak gwarancji chociażby w Bankowym Funduszu Gwarancyjnym. W porządku, choć warto zwrócić uwagę na aktywność giełd w coraz to większym zabezpieczeniu interesów ich userów. Dość dobrze ten wątek został również zaakcentowany przez przedstawicieli giełd walut wirtualnych na ostatnim spotkaniu zorganizowanym przez Trading Jam w związku ze sprawą Bitmarket. Relację ze spotkania zobaczyć można tutaj.
Brak powszechnej akceptowalności
Podobnie temat naturalny, wszystko jednak ma podstawy, by znacząco się zmienić.
Wolatywność
Szybkie spadki i wzrosty w krótkim czasie – jeszcze jak.
Taka specyfika tego rynku, trudno tutaj powiedzieć coś więcej – zwyczajnie trzeba być świadomym.
Koncentracja kapitału
Według danych przedstawionych przez analityków banku Credit Suisse w styczniu 2018 r., 97% Bitcoinów trzymanych jest w zaledwie 4% wszystkich wirtualnych portfeli.
To jest akurat wątek ciekawy i trudny do rozwiązania, na pewno stanowi zagwozdkę dla przeciętnego użytkownika, bowiem pozostaje całkowicie poza sferą jego wpływów.
Spieniężania zabezpieczonych walut wirtualnych
Pozytywną wiadomością dla pokrzywdzonych różnymi czynami zabronionymi przy wykorzystaniu walut wirtualnych jest fakt, że organy ścigania te środki zabezpieczają. O potrzebie zrozumienia tematu i podejmowania określonych działań przez prokuratorów pisał już w 2016 r. prokurator Paweł Opitek.
W krajowej ocenie ryzyka przytoczono zaś przykład zajęcia przez organy ścigania 8 BTC pochodzących z przestępstwa i sprzedania ich za kwotę niespełna 240 k zł. Więcej napisano w komunikacie prasowym Prokuratury z Jeleniej Góry, dostępnym: tutaj
Gdzie to zmierza?
Co cieszy:
Wydaje się, że przynajmniej w komentowanym – dość wąskim – obszarze organ całkiem dobrze wykonał swoje zadanie ustawowe.
Przypomnę, że cieszy spoglądanie na temat z perspektywy globalnej i przy uwzględnieniu interesów jednostek.
Wskazówki dla instytucji obowiązanych
Pamiętajcie, że Wasze oceny ryzyka powinny być zgodną z krajową ocenę ryzyka. Mamy więc temat do analizy i wprowadzenia ewentualnych modyfikacji.
Jednocześnie wątki uwzględnione w krajowej ocenie ryzyka mogą być dla instytucji obowiązanych właściwymi wskazówkami, choć uważam, że dla podmiotów aktywnie interesujących się swoją pozycją regulacyjną i dbających o wypracowanie dobrych praktyk, złotych rozwiązań może tutaj nie być.
Potrzebna współpraca
Nie trudno też się dziwić, że wątki technologiczne wywołują tutaj problemy. Potrzebujemy czasu na szerszą adaptację i zrozumienie zawiłości. Jest to tematyka interdyscyplinarna i jak zwykle powtórzę: potrzebujemy dialogu technicznych z prawnikami.
Podobnie, jak podkreślane jest w raportach o cyberprzestępczości niezbędny jest również dialog sektora publicznego z prywatnym:
- z punktu widzenia zwalczania cyberprzestępczości pozwoli to na większą skuteczność, bez utraty zaufania użytkowników.
- z punktu widzenia biznesu pozwoli to na pewien stopień bezpieczeństwa regulacyjnego, wypracowanie dobrych praktyk. Dla władzy zaś powinna być do dobra droga do stworzenia regulacji odpowiadających realiom tego rynku.
Obraz Steve Buissinne z Pixabay