Strategie dla dostawców IT w obliczu nowelizacji Ustawy AML

Jak firmy IT – dostawcy rozwiązań AML – będą mogli zapewnić ciągłość działania dostępu do CRBR w nowej ustawie AML

Procedowana nowelizacja ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (projekt UC75 – nowa ustawa AML) wprowadza fundamentalne zmiany w zasadach funkcjonowania Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR).

Zmiany te są bezpośrednią odpowiedzią na wyrok Trybunału Sprawiedliwości UE, który zakwestionował pełną, publiczną jawność rejestrów beneficjentów.

Dla firm IT dostarczających systemy typu AML Skaner oznacza to konieczność przedefiniowania modelu technologicznego i prawnego, aby utrzymać oferowaną klientom jakość usług.

Obecny stan vs. nadchodzące wyzwania

W obecnym stanie prawnym CRBR jest rejestrem jawnym, co pozwala dostawcom rozwiązań IT na swobodne pobieranie danych i udostępnianie ich w czasie rzeczywistym poprzez interfejsy API. Nowy projekt odchodzi od tej zasady na rzecz dostępu celowego.

Głównym wyzwaniem dla sektora IT będzie czas uzyskania informacji. Projekt przewiduje bowiem, że dostęp dla podmiotów wykazujących „uzasadniony interes” nie będzie automatyczny.

Scenariusz 1: Dostawca produktów AML (Art. 68d)

Nowa ustawa przewiduje specjalną ścieżkę dla podmiotów tworzących produkty wspierające walkę z praniem pieniędzy. Zgodnie z projektowanym Art. 68d ust. 2 pkt 14, dostawcy produktów AML będą mieli domniemany uzasadniony interes w dostępie do danych.

  • Ograniczenie danych: Dostawcy ci nie otrzymają pełnych danych beneficjenta. Zakres zostanie ograniczony do imienia, nazwiska, obywatelstwa, państwa zamieszkania oraz jedynie miesiąca i roku urodzenia (zamiast pełnej daty lub numeru PESEL).
  • Bariera czasu: Proces ten opiera się na procedurze administracyjnej. Organ ma 12 dni roboczych na rozpatrzenie wniosku, co w przypadku spiętrzenia prac może zostać wydłużone do 36 dni. Nawet dla stałych dostawców posiadających 3-letnie „potwierdzenie”, termin ten wyniesie 7 dni roboczych.
  • Warunki: Firma musi wykazać, że posiada umowy na dostarczenie produktów wyłącznie instytucjom obowiązanym lub organom państwowym.

Scenariusz 2: Podmiot trzeci i API w czasie rzeczywistym (Art. 47)

Aby zapewnić klientom dostęp bez opóźnień (model „instant”), kluczowe pozostaje wykorzystanie Art. 47 obecnej ustawy, który w nowym projekcie pozostaje bez zmian. Pozwala on instytucjom obowiązanym (np. bankom) korzystać z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego.

W tym modelu to klient posiada bezpośredni i niezwłoczny dostęp do CRBR na podstawie Art. 68a ust. 1 pkt 2. Firma IT występuje tu jako dostawca technologii, który w imieniu i na rzecz klienta (wykorzystując jego uprawnienia) łączy się z systemem. Pozwala to na:

  • Pobieranie danych w czasie rzeczywistym (bez 12-dniowego oczekiwania).
  • Dostęp do pełnego zakresu danych, w tym numeru PESEL, jeśli jest to niezbędne klientowi do weryfikacji tożsamości.

Nowa infrastruktura: SIGIIF 2.0

Fundamentem technologicznym zmian będzie nowy system SIGIIF 2.0, którego budowa trwa od 2022 roku i ma zostać ukończona wraz z wejściem w życie nowelizacji.

  • API i GUI: System ma oferować zarówno interfejs programistyczny (API) do automatycznej wymiany danych, jak i interfejs graficzny (GUI).
  • Jawność systemu: W przeciwieństwie do poprzednika, SIGIIF 2.0 będzie systemem jawnym, co ułatwi komunikację elektroniczną, ale nie będzie on służył do przesyłania informacji niejawnych.
  • Uwierzytelnianie: Szczegółowe wymogi techniczne i sposoby uwierzytelniania w systemie (np. rodzaje podpisów elektronicznych) zostaną określone w dedykowanym rozporządzeniu wykonawczym.

Wnioski dla dostawców IT

Dla firm IT kluczowe będzie dostosowanie architektury swoich narzędzi do wymogów privacy by design oraz privacy by default. Choć projekt ustawy nie narzuca wprost certyfikacji typu ISO, to precyzuje, że administratorzy systemów muszą zapewniać integralność, poufność i dostępność danych.

Zapewnienie ciągłości działania „skanerów” AML w dotychczasowej formie będzie wymagało od firm IT pozycjonowania się raczej jako partnerów technologicznych wspierających instytucje obowiązane (model Art. 47), niż jako samodzielnych dysponentów baz danych beneficjentów, ze względu na paraliżujące procesy weryfikacyjne w modelu „uzasadnionego interesu”.

Komentarze są wyłączone.