KYC/KYB a prawo – regulacje w UE i na świecie

Wprowadzenie

Obowiązki Know Your Customer (KYC) i Know Your Business (KYB) stanowią fundament globalnych regulacji w zakresie przeciwdziałania praniu pieniędzy (AML) oraz finansowaniu terroryzmu (CFT).
Zobowiązują one instytucje finansowe i niefinansowe do weryfikacji tożsamości osób fizycznych oraz poznania struktury własności i kontroli podmiotów prawnych, w tym rzeczywistych beneficjentów (UBO – Ultimate Beneficial Owners).
Ich celem jest eliminacja anonimowości w dostępie do usług finansowych i cyfrowych oraz zapewnienie, że instytucje wiedzą, kim są ich klienci i w jakim celu nawiązują relacje biznesowe.

Międzynarodowym punktem odniesienia jest Financial Action Task Force (FATF), którego Rekomendacja 10 definiuje zasady identyfikacji klienta (CDD) oraz ustalania rzeczywistego beneficjenta¹.

1. Ramy prawne Unii Europejskiej

1.1 Dyrektywy w sprawie przeciwdziałania praniu pieniędzy (AMLD4–6)

Podstawowe akty prawne UE to:

• Dyrektywa (UE) 2015/849 (AMLD4) – ustanawia obowiązki KYC i CDD²,

• Dyrektywa (UE) 2018/843 (AMLD5) – rozszerza zakres na dostawców usług kryptowalutowych³,

• Dyrektywa (UE) 2018/1673 (AMLD6) – harmonizuje odpowiedzialność karną osób prawnych⁴.

Zgodnie z art. 13(1) AMLD4, instytucje zobowiązane muszą:

1. zidentyfikować i zweryfikować tożsamość klienta z niezależnych źródeł,

2. ustalić rzeczywistego beneficjenta,

3. uzyskać informacje o celu i charakterze relacji biznesowej,

4. prowadzić bieżący monitoring transakcji².

Artykuł 30 nakłada obowiązek tworzenia rejestrów rzeczywistych beneficjentów².
Jednakże wyrok TSUE z 22 listopada 2022 r. (połączone sprawy C-37/20 i C-601/20) ograniczył publiczny dostęp do tych rejestrów z uwagi na ochronę danych osobowych⁵.

AMLD5 rozszerzyła obowiązki m.in. na:

• giełdy kryptowalut i dostawców portfeli,

• ograniczyła użycie anonimowych instrumentów przedpłaconych,

• wprowadziła wymogi wzmożonej staranności wobec państw trzecich wysokiego ryzyka³.

AMLD6 doprecyzowała definicję prania pieniędzy i wzmocniła odpowiedzialność osób prawnych⁴.

1.2 Nowy pakiet AML UE i AMLA

UE opracowuje nowy rozporządzenie o przeciwdziałaniu praniu pieniędzy (AML Regulation), które będzie stosowane bezpośrednio we wszystkich państwach członkowskich.
Nowo powołany organ – Europejski Urząd ds. Przeciwdziałania Praniu Pieniędzy (AMLA) – będzie miał uprawnienia nadzorcze wobec instytucji wysokiego ryzyka na poziomie unijnym⁶.

1.3 RODO i ochrona danych

Wszystkie procesy KYC/KYB muszą być zgodne z Rozporządzeniem Ogólnym o Ochronie Danych (RODO)⁷.
Na podstawie art. 6(1)(c) przetwarzanie danych odbywa się z tytułu obowiązku prawnego.
Art. 5 określa zasady minimalizacji danych oraz ograniczenia okresu przechowywania.
Zgodnie z art. 40 AMLD4, dane należy przechowywać co najmniej 5 lat, z możliwością przedłużenia do 10 lat².

1.4 Kryptowaluty, Travel Rule i MiCA

UE wprowadziła zasadę Travel Rule FATF dla przelewów pieniężnych i transakcji kryptowalutowych poprzez rozporządzenie (UE) 2023/1113⁸.
Dostawcy usług płatniczych i kryptowalutowych muszą przekazywać informacje o nadawcy i odbiorcy.
Rozporządzenie MiCA (UE) 2023/1114 wprowadza przepisy dotyczące licencjonowania i ochrony konsumentów w sektorze kryptoaktywów⁹.

1.5 Zakres podmiotowy w UE

Zgodnie z art. 2(1) AMLD4, obowiązki KYC/KYB dotyczą:

• instytucji kredytowych i finansowych,

• audytorów, księgowych i doradców podatkowych,

• notariuszy i prawników,

• dostawców usług trustów i spółek,

• pośredników w obrocie nieruchomościami,

• kasyn,

• przedsiębiorców przyjmujących płatności gotówkowe ≥ 10 000 €,

• od AMLD5 – również dostawców usług kryptowalutowych (VASP)²³.

W niektórych państwach zakres ten obejmuje także operatorów telekomunikacyjnych (rejestracja kart SIM), platformy e-commerce (np. DAC7) oraz sprzedawców dóbr luksusowych.

2. Tożsamość cyfrowa, eIDAS i standardy ETSI

Rozporządzenie eIDAS (UE) nr 910/2014 ustanawia ramy prawne dla wzajemnego uznawania tożsamości elektronicznej i usług zaufania (np. kwalifikowany podpis elektroniczny, pieczęć)¹⁰.
Dzięki temu użytkownik posiadający eID o wysokim poziomie zaufania może być zdalnie zweryfikowany w innym państwie UE.

Nadchodzące eIDAS 2.0 wprowadzi Europejski Portfel Tożsamości Cyfrowej, umożliwiający bezpieczne udostępnianie zweryfikowanych atrybutów tożsamości¹¹.

Kluczowe standardy techniczne:

• ETSI EN 319 401 – ogólne wymagania bezpieczeństwa dla dostawców usług zaufania,

• ETSI TS 119 461 – wymagania dotyczące zdalnej weryfikacji tożsamości i wideoweryfikacji¹².

Standardy te stanowią podstawę zdalnego onboardingu klientów zgodnego z regulacjami AML w UE.

3. Kraje spoza UE

3.1 Stany Zjednoczone

Podstawy prawne:

• Bank Secrecy Act (BSA), 31 U.S.C. §5311 i nast.¹³,

• USA PATRIOT Act (2001), Tytuł III¹⁴,

• FinCEN Customer Identification Program (CIP), 31 CFR §1020.220¹⁵,

• FinCEN Customer Due Diligence (CDD), 31 CFR §1010.230¹⁶.

Banki muszą zebrać i zweryfikować imię, datę urodzenia, adres oraz numer identyfikacji podatkowej klienta przed otwarciem konta.
Dla osób prawnych wymagane jest ujawnienie beneficjentów rzeczywistych (≥25% udziałów).
Corporate Transparency Act (CTA) wprowadził krajowy rejestr beneficjentów rzeczywistych¹⁷.

3.2 Wielka Brytania

• Proceeds of Crime Act 2002,

• Money Laundering Regulations 2017 (MLR), znowelizowane w latach 2019–2020¹⁸.
  FCA publikuje wytyczne dotyczące zdalnej identyfikacji i biometrii.
  Economic Crime Act 2022 wprowadził rejestr właścicieli zagranicznych nieruchomości.

3.3 Szwajcaria

• Federalna ustawa o przeciwdziałaniu praniu pieniędzy (AMLA)¹⁹,

• Rozporządzenie FINMA w sprawie AML (OBA-FINMA).
  Instytucje są zobowiązane do identyfikacji klienta i beneficjenta rzeczywistego, przechowywania danych przez 10 lat oraz zgłaszania podejrzanych transakcji do MROS.
  Szwajcaria stosuje zasadę Travel Rule również wobec kryptowalut¹.

3.4 Kanada

• Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)²⁰,

• nadzór: FINTRAC.
  KYC obowiązuje banki, dostawców płatności, kasyna oraz platformy kryptowalutowe.
  Dopuszczalna jest zdalna identyfikacja (np. Verified.Me).
  Ochrona danych regulowana jest przez PIPEDA[^21].

3.5 Australia

• Anti-Money Laundering and Counter-Terrorism Financing Act 2006[^22],

• nadzór: AUSTRAC.
  Transakcje ≥ 10 000 AUD muszą być raportowane.
  W 2020 r. Westpac ukarano grzywną w wysokości 1,3 mld AUD za naruszenia AML/KYC.

3.6 Singapur

• MAS Notice 626[^23].
  Każdy klient i beneficjent rzeczywisty musi być zidentyfikowany.
  SingPass pełni funkcję państwowej tożsamości cyfrowej.
  Podejrzane transakcje zgłaszane są do STRO.

4. Analiza porównawcza

5. Technologia i zdalna weryfikacja

Organy nadzorcze akceptują zdalne procedury KYC, pod warunkiem że:

1. zapewniają poziom bezpieczeństwa równoważny z weryfikacją osobistą,

2. przetwarzanie danych jest bezpieczne i zgodne z RODO,

3. proces jest audytowalny i rejestrowany.

Rozwiązania zgodne ze standardem ETSI TS 119 461 są uznawane w UE za spełniające wymogi AML.
API-based KYC oraz weryfikacja biometryczna stają się globalnym standardem.

6. Sektory niefinansowe

Obowiązki KYC/KYB dotyczą także:

• dostawców usług kryptowalutowych (VASP),

• ubezpieczeń,

• gier hazardowych,

• nieruchomości,

• kancelarii prawnych i doradców finansowych,

• sprzedawców dóbr luksusowych,

• telekomunikacji i platform cyfrowych (np. DAC7).

FATF wskazuje, że ryzyko prania pieniędzy nie ogranicza się do sektora bankowego¹.

7. Koszty i skuteczność

Według raportów (Fenergo, Thomson Reuters):

• duże instytucje finansowe ponoszą 15–30 mln USD rocznie kosztów KYC,

• proces onboardingu klienta korporacyjnego trwa średnio 2–5 miesięcy,

• nawet 2–5% globalnego PKB pochodzi z działalności związanej z praniem pieniędzy[^24][^25].

Pomimo rozbudowanego systemu regulacyjnego wciąż potrzebna jest większa standaryzacja danych i współpraca transgraniczna.

8. Wnioski

• Systemy KYC/KYB w UE, USA, Wielkiej Brytanii, Szwajcarii, Kanadzie, Australii i Singapurze są w dużej mierze zgodne ze standardami FATF.

• Unia Europejska wyróżnia się poprzez:

  1. szeroki zakres sektorowy,

  2. integrację tożsamości cyfrowej (eIDAS),

  3. silną ochronę danych (RODO),

  4. centralny nadzór (AMLA).

• Poza UE przodują USA, Australia i Singapur, zwłaszcza w zakresie egzekwowania przepisów i cyfrowych systemów tożsamości.

• Globalny trend: koniec anonimowości, większa transparentność, automatyzacja i cyfrowa weryfikacja.

Celem regulatorów pozostaje zapewnienie skutecznych procedur KYC/KYB przy zachowaniu równowagi między zgodnością a obciążeniami dla przedsiębiorstw i klientów.

Zamów bezpłatną konsultację KYC/KYB online

Źródła / Przypisy

Footnotes

1. FATF, International Standards on Combating Money Laundering and the Financing of Terrorism, Rekomendacje 10, 11, 24 (2023). ↩ ↩² ↩³

2. Dyrektywa (UE) 2015/849 (AMLD4), OJ L 141/73, 5.6.2015. ↩ ↩² ↩³ ↩⁴ ↩⁵

3. Dyrektywa (UE) 2018/843 (AMLD5), OJ L 156/43, 19.6.2018. ↩ ↩² ↩³

4. Dyrektywa (UE) 2018/1673 (AMLD6), OJ L 284/22, 12.11.2018. ↩ ↩²

5. TSUE, sprawy połączone C-37/20 i C-601/20, wyrok z 22 listopada 2022 r. ↩

6. Wniosek legislacyjny COM(2021) 421 final – Anti-Money Laundering Authority (AMLA). ↩

7. Rozporządzenie (UE) 2016/679 (RODO), OJ L 119/1, 4.5.2016. ↩

8. Rozporządzenie (UE) 2023/1113, dotyczące transferów środków i kryptoaktywów (TFR). ↩

9. Rozporządzenie (UE) 2023/1114 – Markets in Crypto-Assets (MiCA). ↩

10. Rozporządzenie (UE) nr 910/2014 (eIDAS). ↩

11. Wniosek legislacyjny COM(2021) 281 final – eIDAS 2.0. ↩

12. ETSI TS 119 461:2021; ETSI EN 319 401:2019. ↩

13. Bank Secrecy Act (31 U.S.C. §5311 i nast.). ↩

14. USA PATRIOT Act, Pub. L. No. 107–56 (2001). ↩

15. FinCEN Rule, 31 CFR §1020.220 – Customer Identification Program. ↩

16. FinCEN Rule, 31 CFR §1010.230 – Customer Due Diligence. ↩

17. Corporate Transparency Act, 31 U.S.C. §5336 (2021). ↩

18. Money Laundering Regulations 2017, Wielka Brytania. ↩

19. Federal Act on Combating Money Laundering and Terrorist Financing (AMLA), SR 955.0, Szwajcaria. ↩

20. *Proceeds of Crime (Money Laundering) ↩

     

Zamów bezpłatną konsultację KYC/KYB online