Część I – Ramy regulacyjne oraz dekodowanie siatki pojęciowej
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („Ustawa„) nakłada szereg obowiązków na podmioty będące w jej rozumieniu tzw. instytucjami obowiązanymi.
Wątpliwości może budzić jednak kwestia czy podmioty, które świadczą wyłącznie usługę dostępu do informacji o rachunku (ang. account Information service – „AIS„) albo wyłącznie usługę inicjowania transakcji płatniczej (ang. payment Information service – „PIS„) objęte są obowiązkami nałożonymi na instytucje obowiązane.
Ustawa w art. 2 ust. 1 wymienia jakie podmioty uznaje się za instytucje obowiązane, jednocześnie w punkcie 3 wskazuje, iż są nimi: (i) krajowe instytucje płatnicze, (ii) krajowe instytucje pieniądza elektronicznego, oddziały unijnych instytucji płatniczych, (iii) oddziały unijnych i zagranicznych instytucji pieniądza elektronicznego, (iv) małe instytucje płatnicze, (v) biura usług płatniczych oraz (v) agenci rozliczeniowi, w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych („Ustawa o usługach płatniczych„).
Przepis ten nie wymienia zatem innych dostawców usług płatniczych określonych w ustawie o usługach płatniczych, jakimi są dostawca świadczący usługę inicjowania transakcji płatniczej oraz dostawca świadczący usługę dostępu do informacji o rachunku oraz dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku.
Warto zwrócić uwagę, że przepis art. 2 ust. 1 pkt 1 Ustawy, kwalifikuje jako instytucje obowiązane (obok banków krajowych, oddziałów banków zagranicznych oraz oddziałów instytucji kredytowych) również instytucje finansowe mające siedzibę na terytorium Rzeczypospolitej Polskiej oraz oddziały instytucji finansowych niemających siedziby na terytorium Rzeczypospolitej Polskiej, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe („Prawo bankowe„).
Natomiast Prawo bankowe w definicji „instytucji finansowej” odsyła do definicji zawartej w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 („CRR„).
Sama Ustawa, stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE („AMLD4„) oraz częściowo dyrektywy Parlamentu Europejskiego i Rady 2018/843 z dnia 30 maja 2018 r. zmieniająca dyrektywę (UE) 2015/849 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz zmieniająca dyrektywy 2009/138/WE i 2013/36/UE („AMLD5„).
Z art. 2 AMLD4 wynika wprost, że dyrektywa ta ma zastosowanie do instytucji finansowych, przy czym za instytucje finansowe w rozumieniu tej dyrektywy uznaje się między innymi podmioty inne niż instytucje kredytowe wykonujące jedną działalności wymienionych w pkt 2–12 oraz w pkt 14 i 15 załącznika I do dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338) („CRD„).
Jednocześnie w załączniku do CRD w punkcie 4 wymienione są usługi płatnicze w rozumieniu Dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniająca dyrektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylająca dyrektywę 97/5/WE („PSD1„).
Definicje „instytucji finansowej” zawarte w CRR oraz AMLD4 różnią się od siebie, natomiast w obu przypadkach odnoszą się do przedsiębiorstwa innego niż instytucja kredytowa (a w przypadku definicji zawartej CRR również innego niż firma inwestycyjna), które prowadzi co najmniej jeden z rodzajów działalności wymienionych w pkt 2–12 oraz w pkt 14 i 15 załącznika I (definicja zawarta w CRR nie obejmuje jednak pkt 14), w obu jednak przypadkach obejmują wskazany powyżej punkt 4 załącznika do CRD, przy czym definicja z CRR dodatkowo wprost wymienia instytucje płatnicze w rozumieniu PSD1.
Załącznik do PSD1, który wymienia rodzaje usług płatniczych, których wykonywanie kwalifikuje dany podmiot za instytucje płatniczą nie zawiera ani usługi AIS ani PIS. Wynika to z tego, iż katalog usług płatniczych został rozszerzony o te usługi dopiero na mocy dyrektywy Parlamentu Europejskiego i Rady UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE („PSD2„).
Jednocześnie zgodnie z art. 114 PSD2, odesłania do PSD1 należy interpretować jako odesłania do PSD2.
Skoro więc załącznik do PSD2 obejmuje między innymi usługi inicjowania płatności oraz dostępu do informacji o rachunku, jak się wydaje należy przyjąć, iż podmioty które świadczą takie usługi, na mocy art. 2 ust. 1 pkt 1 Ustawy są jednocześnie instytucjami obowiązanymi, mimo braku bezpośredniego wskazania w art. 2 ust. 1 pkt 3 do tego typu dostawców usług płatniczych.
W Części II artykułu – podejmę próbę oceny racjonalności stosowania przepisów Ustawy do dostawców usług AIS oraz PIS (w kontekście ryzyka prania pieniędzy i finansowania terroryzmu mając na uwadze charakter świadczonych usług) oraz przedstawię znane mi stanowiska regulatorów dotyczące omawianej tematyki.