Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Czytaj: 4 min

Zostało już niecałe 1,5 miesiąca na wdrożenie wytycznych Europejskiego Urzędu Nadzoru Bankowego (ang. European Banking Authority; „EBA”) dotyczących strategii i procedur zarządzania zgodnością z przepisami oraz roli i obowiązków pracownika ds. zgodności z przepisami AML/CFT („Wytyczne EBA”) – Wytyczne EBA (Guidelines on the role of AML/CFT compliance officers | European Banking Authority (europa.eu) zaczną obowiązywać od 1 grudnia 2022 r.

Wytyczne EBA nie wprowadzają nowych obowiązków, ale konkretyzuję te płynące z obowiązujących już przepisów. Uszczegółowienia wprowadzone przez EBA dla instytucji zobowiązanych działających na rynku finansowym dość istotnie jednak modyfikują dotychczasowe rozumienie obowiązków i koniecznego zakresu normowania procedur w obszarze AML oraz zadań osób odpowiedzialnych za ten obszar.

W niektórych podmiotach wdrożenie Wytycznych EBA może oznaczać wyłącznie kosmetyczną aktualizację niektórych procedur, ale – patrząc na zakres i poziom szczegółowości wytycznych – wydaje się, że dla większości podmiotów ich wdrożenie, będzie wiązać się z czasochłonnymi pracami nad zmianą szeregu regulacji, w tym nie tylko tych, bezpośrednio związanych z procesami AML. Wytyczne EBA dotykają bowiem zadań wszystkich osób dotychczas odpowiedzialnych za obszar AML/CFT w organizacji, a dodatkowo jeszcze rozszerzają zadania podmiotu nadzorczego w tej dziedzinie.

Każdy podmiot będący adresatem Wytycznych EBA powinien rozpocząć proces wdrożeniowy od szczegółowej analizy obecnie posiadanych rozwiązań w kontekście ich zgodności z wytycznymi zawartymi w przedmiotowym dokumencie, w celu ustalenia zakresu ewentualnych prac.

Należy również pamiętać, że samo opracowanie nowych albo zmodyfikowanie już wdrożonych procedur może zostać ocenione jako niewystarczające do uznania procesu wdrożenia Wytycznych EBA za pełny i skuteczny. Aby bowiem wdrożone rozwiązania efektywnie działały w praktyce niezbędne jest zapoznanie się z nimi przez osoby zaangażowane w procesy AML/CFT, a więc w szczególności przeprowadzenie szkoleń w tym zakresie.

Dlatego też w naszej ocenie jest to ostatni moment, aby rozpocząć procesy wdrożeniowe w zakresie Wytycznych EBA.

Do kogo adresowane są Wytyczne EBA

Wytyczne EBA są adresowane do wszystkich podmiotów działających profesjonalnie na rynku finansowym, a więc do instytucji kredytowych oraz instytucji finansowych, czyli podmiotów mieszczących się w definicji tego pojęcia przyjętej na potrzeby dyrektywy 2015/849 – AML IV [1]. Definicja ta obejmuje w szczególności:

  1. domy maklerskie,
  2. fundusze inwestycyjne i alternatywne spółki inwestycyjne,
  3. towarzystwa funduszy inwestycyjnych i zarządzających ASI,
  4. instytucje płatnicze i instytucje pieniądza elektronicznego,
  5. zakłady ubezpieczeń wykonujące działalność z zakresu ubezpieczeń na życie,
  6. pośredników ubezpieczeniowych wykonujących czynności pośrednictwa ubezpieczeniowego w zakresie ubezpieczeń na życie.

 Co obejmują Wytyczne EBA

Wytyczne EBA obejmują obszarowo zakres funkcji:

  1. pracownika ds. zgodności z przepisami AML/CFT,
  2. organu zarządzającego (w warunkach polskich spółek kapitałowych będzie to zarząd),
  3. członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT (w warunkach polskich spółek kapitałowych będzie to członek zarządu wyznaczony jako odpowiedzialny za wdrażanie obowiązków AML/CFT),
  4. organu zarządzającego pełniącego funkcję nadzorczą (w warunkach polskich spółek kapitałowych, w których działa rada nadzorcza, będzie to ten organ)

– dalej łącznie jako: „Organy AML” oraz osoby wskazane w p. 1 i 3 dalej łącznie jako: „Osoby AML”.

Opisane w Wytycznych EBA szczegółowe obowiązki Organów AML, powinny zostać transponowane do dokumentacji wewnętrznej danej organizacji. To jednak może oznaczać zmiany również na poziomie regulacji dotyczących zasad funkcjonowania tych podmiotów, a szczególnie rady nadzorczej w danej instytucji. Wytyczne EBA przewidują bowiem dużo aktywniejszą rolę tego organu w obszarze AML/CFT niż dotychczasowy standard sprowadzający się, co do zasady, do corocznej weryfikacji sprawozdań z tego obszaru.

Wytyczne EBA kładą nacisk na dysponowanie przez Osoby AML odpowiednim czasem oraz zasobami na realizację zadań, jak również uprawnieniami, w tym przede wszystkim dostępem do informacji – te kwestie również powinny zostać uwzględnione w procedurach wewnętrznych.

Dodatkowo, Wytyczne EBA stawiają szereg wymagań o charakterze kompetencyjnym, które powinny spełnić Osoby AML. Jest to element Wytycznych EBA istotny na potrzeby przyszłych rekrutacji i wymuszający modyfikację stosownych polityk wewnętrznych (instytucje finansowe już obecnie posiadają polityki dotyczące weryfikacji i wyboru osób wchodzących w skład organów oraz kluczowych pracowników). EBA nie rozstrzyga przy tym, czy wymagania o charakterze kompetencyjnym należy wdrożyć i stosować wyłącznie na przyszłość, czy również w odniesieniu do Osób AML już obecnie pełniących stosowne obowiązki (czy należy przeprowadzić stosowną procedurę weryfikacyjną).

Wytyczne EBA zaostrzają zasady organizacji funkcji zgodności z przepisami AML/CFT, określając szczegółowe przesłanki i zasady podejmowania decyzji o łączeniu przedmiotowej funkcji z innymi funkcjami wewnętrznymi w ramach danej instytucji.

EBA proponuje również doprecyzowanie zasad zorganizowania funkcji AML/CFT w podmiotach prowadzących działalność w kilku jurysdykcjach. Zgodnie z Wytycznymi EBA od tej pory możliwe będzie posiadanie jednego pracownika ds. zgodności z przepisami AML/CFT dla wszystkich jurysdykcji pod warunkiem zapewnienia mu realnej możliwości realizacji zadań w we wszystkich tych jurysdykcjach (nie tylko dostęp do informacji i systemów, ale również dyspozycyjność na potrzeby spotkań lokalnych).

EBA doprecyzowuje również zasady outsourcingu funkcji operacyjnych pracownika ds. zgodności z przepisami AML/CFT, w szczególności, w zakresie zapewnienia monitoringu, kontroli i sprawozdawczości insourcera.

Również podmioty, które outsourcują zadania z obszaru zgodności z przepisami AML/CFT na poziomie grupy powinny szczegółowo przeanalizować treść Wytycznych EBA – gdyż ten model został przez EBA uregulowany poprzez określenie odrębnych wymagań organizacyjnych na szczeblu grupy.

Podsumowanie

Bazując na posiadanej przez nas wiedzy wynikającej z pracy z Klientami, jesteśmy przekonani, że Wytyczne EBA, choć z założenia jedynie uszczegóławiają istniejące już obowiązki z obszaru AML/CFT, i choć oparte są o zasadę proporcjonalności, to jednak doprowadzą do sytuacji, w której, w przeważającej części instytucji rynku finansowego, procedury, które zostały dotychczas wdrożone, będą musiały ulec modyfikacji.

Ze względu natomiast na fakt, że regulacje objęte Wytycznymi EBA dotykają obszarów objętych różnymi procedurami a nawet relacji z podmiotami trzecimi (outsourcing) i mogą wiązać się z koniecznością dokonania pewnych istotnych zmian w organizacji danego podmiotu, niezbędne jest podjęcie działań nakierowanych na ustalenie zakresu i istoty tych zmian możliwie wcześnie w celu uniknięcia negatywnych skutków prawnych.

Przypisy:

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE.

 

Napisz do autorów:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

Konsultacje propozycji zmian w rozporządzeniu delegowanym PRIIP

Konsultacje propozycji zmian w rozporządzeniu delegowanym PRIIP

Czytaj: 2 min

W dniu 16 października 2019 r. Wspólny Komitet Europejskich Urzędów Nadzoru (EBA, EIOPA, ESMA) opublikował dokument konsultacyjny zawierający propozycje zmian do rozporządzenia delegowanego Komisji (UE) 2017/653 z dnia 8 marca 2017 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1286/2014 w sprawie dokumentów zawierających kluczowe informacje, dotyczących detalicznych produktów zbiorowego inwestowania i ubezpieczeniowych produktów inwestycyjnych (PRIIP) przez ustanowienie regulacyjnych standardów technicznych w zakresie prezentacji, treści, przeglądu i zmiany dokumentów zawierających kluczowe informacje oraz warunków spełnienia wymogu przekazania takich dokumentów („Rozporządzenie Delegowane”).

Cel proponowanych zmian

Celem proponowanych zmian jest umożliwienie stosowania przepisów Rozporządzenia Delegowanego przez fundusze inwestycyjne typu UCITS obecnie objęte tymczasowym zwolnieniem od obowiązku stosowania tego rozporządzenia. Ponadto, nowelizacja ma na celu rozwiązanie najistotniejszych kwestii regulacyjnych zidentyfikowanych podczas przeprowadzonego w ubiegłym roku przeglądu Rozporządzenia Delegowanego, przy uwzględnieniu realizacji celów rozporządzenia PRIIP (rozporządzenia Parlamentu Europejskiego i Rady (UE) 1286/2014).

Zakres zmian

Poniżej przedstawiamy listę planowanych zmian, które, w naszej opinii, należy uznać za kluczowe:

  • Uzupełnienie Rozporządzenia Delegowanego o odpowiednie zapisy rozporządzenia regulującego sporządzanie KII (rozporządzenia Komisji (UE) nr 583/2010) w celu umożliwienia stosowania Rozporządzenia Delegowanego przez UCITS objęte obecnie tymczasowym zwolnieniem, o którym mowa powyżej,
  • Rozszerzenie zakresu przekazywanych inwestorom informacji o dane dotyczące wyników funduszu osiągniętych w przeszłości – na wzór dokumentów KII przekazywanych przez fundusze typu UCITS,
  • Zmiana metodyki obliczania kosztów oraz sposobu przedstawiania informacji o kosztach w celu uczynienia tych informacji bardziej zrozumiałymi dla inwestorów,
  • Wprowadzenie ilustracyjnego sposobu prezentacji scenariuszy wyników (w zależności od wyniku konsultacji ten sposób prezentacji może być obligatoryjny bądź fakultatywny),
  • Ograniczenie katalogu przedstawianych scenariuszy dotyczących wyników poprzez usunięcie obowiązku przedstawienia scenariusza warunków skrajnych,
  • Zmiana sposobu przedstawiania informacji w przypadku oferowania różnych bazowych wariantów inwestycyjnych (ubezpieczeniowe fundusze kapitałowe będące wariantami inwestycyjnymi w ramach ubezpieczenia), mająca na celu rozwiązanie problemu niezrozumiałości treści przekazywanych dokumentów przez inwestorów detalicznych.

Pełny tekst dokumentu konsultacyjnego dostępny jest na stronie internetowej ESMA pod adresem https://www.esma.europa.eu/sites/default/files/library/jc-2019-63_consultation_paper_amendments_priips_kid.pdf.

Termin zakończenia konsultacji

Uwagi w zakresie proponowanych zmian można zgłaszać do dnia 13 stycznia 2020 r. Zakończenie przeglądu Rozporządzenia Delegowanego planowane jest na koniec pierwszego kwartału 2020 r. Krótko po tym finalna wersja projektu ma zostać przekazana Komisji Europejskiej. W związku z terminem zakończenia obowiązywania tymczasowego zwolnienia w odniesieniu do funduszy inwestycyjnych typu UCITS w dniu 31 grudnia 2021 r., wejście w życie i rozpoczęcie stosowania zmienionego Rozporządzenia Delegowanego planowa­­ne jest na 2021 rok.

Pin It on Pinterest