4. 06 Travel rule

 

Tzw. „travel rule” to zasada dobrze znana z tradycyjnego sektora bankowego. Stanowi ona, że wszystkie fundusze przesyłane z jednej instytucji finansowej do innej muszą być monitorowane, rejestrowane oraz zawierać informacje identyfikujące zarówno nadawcę, jak i odbiorcę.

 

Treść

• Czym jest travel rule?
• Jakie są założenia travel rule?
• Przedmiot i zakres stosowania
• Stosowane definicje
• Obowiązki dostawcy usług inicjatora
• Obowiązki dostawcy usług beneficjenta
• Transfery poza teren Unii
• Travel rule a ochrona danych osobowych
• Podsumowanie

 

Czym jest travel rule?

Nazwą „travel rule” w sektorze kryptowalut określa się zalecenie Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (FATF) nr 15 z czerwca 2019 roku. Stwierdza ono, że wszystkie firmy kryptowalutowe, przetwarzając transakcje, muszą uzyskiwać i przechowywać wymagane informacje dotyczące zarówno nadawcy, jak i odbiorcy takiego przelewu. Co więcej, muszą udostępnić je właściwym organom na ich żądanie.

 

Jakie są założenia travel rule?

Głównym założeniem jest wprowadzenie do unijnego prawa nowych wymagań w obszarze pozyskiwania informacji od dostawców usług związanych z kryptoaktywami, właściwych dla inicjatora i beneficjenta. Te wymogi zostały zaproponowane w zaleceniu Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (FATF) nr 15 z czerwca 2019 roku.

„Państwa powinny zagwarantować, że dostawcy usług będą uzyskiwali i przechowywali wymagane informacje o inicjatorze transferu, jak również o jego beneficjencie oraz udostępniali je na żądanie właściwym organom.”

Wniosek dotyczący Rozporządzenia Parlamentu Europejskiego i Rady w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów wchodzi w skład pakietu AML/CFT. Ten z kolei jest częścią planu działania Komisji Europejskiej z 7 maja 2020 roku. Rozporządzenie ma wejść w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym. 

W planie działania Komisja zadeklarowała, że wprowadzi środki mające na celu wzmocnienie przepisów UE dotyczących zwalczania prania pieniędzy i finansowania terroryzmu oraz zwiększenie skuteczności ich realizacji. Ma to być osiągnięte poprzez zaadresowanie sześciu kluczowych priorytetów lub filarów:

• Zapewnienie skutecznego wdrożenia istniejących unijnych ram w zakresie AML/CFT,
• Ustanowienie jednolitego zbioru unijnych przepisów w zakresie AML/CFT,
• Zapewnienie nadzoru w zakresie AML/CFT na szczeblu UE,
• Ustanowienie mechanizmu wsparcia i współpracy dla jednostek analityki finansowej, 
• Egzekwowanie przepisów prawa karnego na szczeblu UE i wymiana informacji,
• Wzmocnienie międzynarodowego wymiaru unijnych ram w zakresie AML/CFT.

Wniosek uzupełnia obecne przepisy dotyczące przekazywania środków pieniężnych, rozszerzając zakres rozporządzenia 2015/847 na transfery kryptoaktywów.

 

Przedmiot i zakres stosowania

Rozporządzenie określa zasady dotyczące informacji o inicjatorach oraz beneficjentach, które mają być przechowywane w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu. Dzięki temu, jeśli co najmniej jeden z dostawców usług będących stroną takiego transferu ma siedzibę w Unii, znacznie łatwiej jest wykrywać nielegalne działania.

Wymogi mają zastosowanie do dostawców usług w przypadkach, gdy wykonywane przez nich transakcje, niezależnie od tego, czy denominowane w walucie fiducjarnej, czy w kryptoaktywach, obejmują: 

• tradycyjny elektroniczny transfer środków pieniężnych,
• transfer kryptoaktywów między dostawcą usług w zakresie kryptoaktywów a innym podmiotem zobowiązanym – np. między dwoma dostawcami usług lub między dostawcą usług a bankiem, lub inną instytucją finansową).

Ze względu na to, że kryptoaktywa są z natury międzynarodowe i ryzykowne, wszystkie przypadki ich przekazywania powinny być traktowane jako międzynarodowe elektroniczne transfery środków pieniężnych, co wyklucza zastosowanie uproszczonego krajowego systemu regulacji transferów.

Rozporządzenie nie ma zastosowania do:

• transferu kryptoaktywów na rzecz organów publicznych jako płatność z tytułu podatków, grzywien lub innych należności w państwie członkowskim, 
• transferów, gdzie zarówno inicjator, jak i beneficjent są dostawcami usług w zakresie kryptoaktywów działającymi na własny rachunek,
• transferu kryptoaktywów między osobami.

WYŁĄCZENIE

Państwa członkowskie powinny mieć możliwość wyłączenia z zakresu stosowania rozporządzenia transferów kryptoaktywów o niskiej wartości, wykorzystywanych w celu nabycia towarów lub usług. 

 

Stosowane definicje

• Transfer kryptoaktywów – dowolna transakcja przynajmniej częściowo realizowana drogą elektroniczną w imieniu inicjatora za pośrednictwem dostawcy usług w zakresie kryptoaktywów, odbywająca się w celu udostępnienia kryptoaktywów beneficjentowi za pośrednictwem dostawcy usług. Definicja pozostaje taka sama bez względu na to, czy inicjator i beneficjent jest tą samą osobą, i niezależnie od tego, czy dostawca usług w zakresie kryptoaktywów właściwy dla inicjatora jest tożsamy z dostawcą usług w zakresie kryptoaktywów właściwym dla beneficjenta.
• Transfer kryptoaktywów między osobami – transakcja między osobami fizycznymi działającymi w charakterze konsumentów, w celach innych niż działalność handlowa, gospodarcza lub zawodowa. Definicja zakłada, że taka osoba nie korzysta w tym przypadku z usług dostawcy lub innego podmiotu zobowiązanego.
• Kryptoaktywa – kryptoaktywa zdefiniowane w art. 3 ust. 1 pkt 2 rozporządzenia MiCA, z wyjątkiem tych, które zaliczają się do kategorii wymienionych w art. 2 ust. 2 tego rozporządzenia lub kwalifikują się jako fundusze z innego tytułu.
• Dostawca usług w zakresie kryptoaktywów – dostawca usług w zakresie kryptoaktywów zdefiniowany w art. 3 ust. 1 pkt 8 rozporządzenia MiCA, który świadczy co najmniej jedną usługę w zakresie kryptoaktywów w rozumieniu art. 3 ust. 1 pkt 9 rozporządzenia MiCA. 
• Inicjator – osoba, która posiada rachunek u dostawcy usług w zakresie kryptoaktywów i zezwala na transfer z tego rachunku lub, w przypadku braku rachunku, która składa zlecenie transferu kryptoaktywów.
• Beneficjent – osoba będąca zamierzonym odbiorcą danego transferu kryptoaktywów.
• Identyfikator podmiotu prawnego (LEI) – nadany podmiotowi prawnemu niepowtarzalny alfanumeryczny kod referencyjny oparty na normie ISO 17442. 
• Transfer zbiorczy – pakiet kilku pojedynczych transferów środków pieniężnych lub kryptoaktywów zgrupowanych na potrzeby przesłania.

 

Obowiązki dostawcy usług inicjatora

Dostawca usług w zakresie kryptoaktywów właściwy dla inicjatora musi wdrożyć obowiązek dołączenia do transferu takich danych jak:

• imię i nazwisko/nazwę inicjatora,
• numer jego rachunku, jeżeli jest wykorzystywany do obsługi transakcji,
• adres inicjatora,
• numer urzędowego dokumentu osobistego,
• numer identyfikacyjny klienta lub datę i miejsce urodzenia,
• imię i nazwisko/nazwę beneficjenta,
• numer jego rachunku, jeżeli taki rachunek istnieje i jest wykorzystywany do obsługi transakcji.

Informacje te nie muszą być dołączone bezpośrednio do transferu ani w nim zawarte. Na zasadzie odstępstwa, jeśli transfer nie jest realizowany z rachunku lub na rachunek, możliwa jest indywidualna identyfikacja transferu i ewidencja adresów inicjatora oraz beneficjenta w rozproszonym rejestrze.

W drodze odstępstwa, w przypadku transferu kryptoaktywów o wartości do 1000 EUR, który nie wydaje się powiązany z innymi transferami o wartości przekraczającej 1000 EUR, należy dołączyć co najmniej: 

• imię i nazwisko/nazwę inicjatora i beneficjenta; 
• numer rachunku inicjatora i beneficjenta. 

W pozostałych przypadkach dostawca właściwy dla inicjatora transakcji musi spełnić wymagania opisywane wcześniej, aby móc przeprowadzić transfer.

 

Obowiązki dostawcy usług beneficjenta

Dostawca usług właściwy dla beneficjenta powinien wdrożyć skuteczne procedury, które obejmują m.in. monitorowanie transferu w trakcie jego przetwarzania lub po wykonaniu. Procedury te mają na celu wykrycie, czy wraz z transferem przekazano informacje dotyczące inicjatora lub beneficjenta.

W przypadku przekazywania kryptoaktywów o wartości przekraczającej 1000 EUR niezależnie od tego, czy transfery te są dokonywane jako jedna transakcja lub kilka, przed udostępnieniem tych środków beneficjentowi dostawca usług właściwy dla niego musi zweryfikować poprawność otrzymanych informacji. Co więcej, powinien on wdrożyć skuteczne procedury wykrywania niekompletności podanych danych, które umożliwią odrzucenie polecenia transferu lub uruchomienie procedury uzupełnienia informacji.

W przypadku braku wymaganych danych o inicjatorze lub beneficjencie dostawca może dokonać zwrotu przekazanych kryptoaktywów na rachunek, lub adres inicjatora, jak również przechowywać je do czasu zbadania sprawy przez właściwy organ. 

 

Transfery poza teren Unii

Aby zapobiegać praniu pieniędzy i finansowaniu terroryzmu w państwach trzecich, transferom z Unii poza jej teren powinny towarzyszyć pełne informacje o płatniku i odbiorcy – umożliwia to identyfikację źródła pochodzenia kryptoaktywów.

Pełne informacje dotyczące płatnika i odbiorcy powinny zawierać identyfikator podmiotu prawnego (LEI), jeśli płatnik przekazał go swojemu dostawcy usług. Dzięki temu możliwe byłoby sprawniejsze zidentyfikowanie stron zaangażowanych w transfer środków pieniężnych.

 

Travel rule a ochrona danych osobowych

Dostawcy, którzy zbierają dane osobowe w celu przestrzegania zasady travel rule, nie mogą przetwarzać ich na inne potrzeby. Co za tym idzie, powinni posiadać odpowiednie środki techniczne i organizacyjne, aby chronić te dane przed przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem.

Przed nawiązaniem stosunków gospodarczych lub przed przeprowadzeniem transakcji dostawcy usług powinni poinformować nowych klientów o swoich obowiązkach prawnych odnośnie do przetwarzania danych osobowych w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu.

 

Przechowywanie danych

Dostawcy usług zobowiązani są do przechowywania informacji o inicjatorach i beneficjentach przez określony czas, aby usprawnić wykrywanie przypadków prania pieniędzy lub finansowania terroryzmu i ich zapobieganie. Ten okres nie powinien przekraczać pięciu lat, a po jego upływie wszelkie dane osobowe powinny zostać usunięte, chyba że obowiązujące prawo krajowe stanowi inaczej. Dzięki temu, w przypadku podejrzenia nielegalnych działań, łatwiej będzie prowadzić ewentualne śledztwa.

 

Kary i środki administracyjne

W przypadku łamania przepisów tego rozporządzenia przez dostawców usług, państwa członkowskie UE mogą zastosować kary lub środki zgodnie z prawem krajowym wobec członków zarządu danej firmy, lub innych osób odpowiedzialnych za naruszenie.

 

Podsumowanie

Obowiązki nałożone przez rozporządzenie będą wiązać się z różnymi wyzwaniami technicznymi, ponieważ dostawcy usług będą musieli opracować rozwiązania technologiczne umożliwiające gromadzenie niezbędnych informacji i ich wymianę zarówno między sobą, jak i z właściwymi organami.

Aby przestrzeganie nowych wymogów było możliwe, konieczna będzie nie tylko aktualizacja istniejących już wewnętrznych wytycznych, ale też ich rozbudowa i dopasowanie do nowych. To kolejny przypadek, gdy zasady obowiązujące już w sektorze bankowym są poszerzane na branżę kryptowalut.