Grywalizacja na rynku kapitałowym

Grywalizacja na rynku kapitałowym

Czytaj: 3 min

W dobie intensywnej cyfryzacji i rozwoju technologicznego, firmy inwestycyjne stoją przed licznymi dylematami, nie tylko związanymi z ciągłym dostosowywaniem się do dynamicznie zmieniającego się otoczenia prawnego, muszą też dbać o to, aby ich model biznesowy odpowiadał na potrzeby klientów, które również ewoluują. Ciągłe poszukiwania nowych dróg dotarcia do klienta, ale też walka o utrzymanie klienta już pozyskanego, w tym klienta młodego, czyli klienta, który nie tylko nie korzysta z tradycyjnych środków przekazu, dla którego wcale nie jest najwyższą wartością możliwość „spotkania się z doradcą w POK”, ale który również, jeżeli chodzi o styl obsługi, preferuje coś, czego rynek do tej pory nie oferował powodują, iż firmy inwestycyjne muszą szukać odpowiedzi w najnowszych dostępnych rozwiązaniach. Tylko, czy na pewno dostępnych dla rynku kapitałowego….?

Techniki grywalizacji znane są i stosowane w różnych dziedzinach życia. Jednak zachowania podmiotów działających na rynku kapitałowym podlegają nadzorowi właściwego organu nadzoru – w Polsce – Komisji Nadzoru Finansowego (KNF). Również stosowanie więc technik grywalizacji przez firmy inwestycyjne stało się przedmiotem analizy ze strony KNF.

Treść opublikowanego przez KNF komunikatu w dniu 11 kwietnia b.r. miała charakter raczej przestrogi i jakkolwiek nie zawierała wprost zakazu korzystania przez firmy inwestycyjne z technik tzw. grywalizacji (ang. gamification) to jednak w sposób oczywisty ostrzegała inwestorów przed ryzykami związanymi z takimi praktykami. Co więcej, analiza przedmiotowego stanowiska prowadzi do wniosku, że KNF zjawisko wykorzystywania technik grywalizacji przez firmy inwestycyjne postanowiła postrzegać wyłącznie w ujęciu wąskim – jako narzędzia do zwiększania obrotów, podczas, gdy tytuł komunikatu sugerowałby jednak szersze ujęcie: „Grywalizacja – co to takiego, jak działa w świecie inwestycji?[1]

Grywalizacja sama w sobie (a w zasadzie techniki grywalizacji) nie jest niczym złym i takie też podejście przyjmuje nadzorca unijny (ESMA) w raporcie sporządzonym dla Komisji Europejskiej i opublikowanym w dniu 29 kwietnia b.r. Według ESMA (który opiera się w tym zakresie również na stanowisku amerykańskiej Securities and Exchanges Commission), przedmiotowe techniki mogą być  pomocne w przekazywaniu skomplikowanych informacji w prosty i satysfakcjonujący sposób, mogą pomagać w edukacji inwestorów w zakresie inwestycji na rynku kapitałowym, upowszechniać te inwestycje jako bardziej dostępne. Grywalizacja może również być narzędziem wykorzystywanym w procesie badania odpowiedniości i adekwatności. Oczywiście ESMA dostrzega również ryzyka związane ze stosowaniem omawianych technik, w tym przede wszystkim wskazując, analogicznie, jak w komunikacie KNF, na ryzyko ich stosowania w celu wpływania na decyzje inwestycyjne klienta poprzez element gry (wpływ na emocje). Tego typu praktyki powinny być uznane za niedozwolone na mocy przepisów obowiązujących firmy inwestycyjne.

Według ESMA zastosowanie technik grywalizacji w procesie dystrybucji instrumentów finansowych jest częścią strategii dystrybucji firmy inwestycyjnej, mieści się w obecnych ramach prawnych i jako takie powinno być w tej strategii uwzględnione. Biorąc to pod uwagę, w opublikowanym w lipcu b.r. dokumencie Consultation Paper Review of the Guidelines on MiFID II product governance requirements, ESMA zaproponowała stosowne uzupełnienie wytycznych z zakresu zarządzania produktowego.

We wskazanym dokumencie ESMA przede wszystkim:

  • wskazała, że grywalizacją jest dodawanie do treści innej niż gra, w tym wypadku usługi finansowej, elementów gry lub podobnych do gry o charakterze współzawodnictwa, przy czym przykładami takich elementów podobnych do gry są: przyznawanie punktów lub odznak, prowadzenie tablic wyników lub liderów, tworzenie i publikowanie wykresów wydajności za pomocą historii lub awatarów aby zaangażować użytkowników lub wprowadzić członków zespołu w celu wywołania konfliktu, współpracy lub konkurencji; grywalizacja to rodzaj praktyki cyfrowego zaangażowania, którą można wykorzystać; oraz
  • zaproponowała, aby firma inwestycyjna określała w strategii dystrybucji grupy klientów, w stosunku do których stosowane będą techniki grywalizacji (na podstawie cech klientów lub potencjalnych klientów), przy czym ESMA wskazała, że niektóre techniki grywalizacji nigdy nie będą w interesie klienta, takie jak te stosowane w aplikacjach handlowych zaprojektowanych w celu nakłaniania (potencjalnego) klienta do szkodliwego zachowania (np. w celu maksymalizacji liczby transakcji).

W przedmiotowym dokumencie ESMA odniosła się również do praktyk zaangażowania cyfrowego, rozumianych jako techniki umożliwiające użytkownikom aktywne wchodzenie w interakcję z aplikacją lub platformą (podejście analogiczne do grywalizacji).

Dokument jest dostępny na stronie ESMA: https://www.esma.europa.eu/press-news/consultations/consultation-review-guidelines-mifid-ii-product-governance-requirements i jest aktualnie w toku publicznych konsultacji. Ewentualne uwagi mogą być zgłaszane ESMA do dnia 7 października b.r.

Przypisy:

[1] Komunikat dostępny na stronie KNF: https://www.knf.gov.pl/aktualnosci?articleId=77723&p_id=18

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

2022 rokiem wdrażania ESG w usługach inwestycyjnych

2022 rokiem wdrażania ESG w usługach inwestycyjnych

Czytaj: 4 min

W drugiej połowie 2022 r. obowiązywać zaczną zmiany do aktów delegowanych do MIFID II wynikające z realizacji strategii w zakresie czynników ESG (Environmental, Social and Governance) w sektorze usług finansowych. Wpisuje się to w unijną koncepcję Europejskiego Zielonego Ładu, tj. strategii na rzecz wzrostu gospodarczego, której celem jest przekształcenie UE w sprawiedliwe i prosperujące społeczeństwo o nowoczesnej, zasobooszczędnej i konkurencyjnej gospodarce.

Uczestnicy rynku już wkrótce będą musieli zmierzyć się z prowadzeniem działalności według nowych zasad, a co za tym idzie, również z dostosowaniem swoich regulacji wewnętrznych (regulaminów i procedur) oraz systemów informatycznych do nowych wymogów. Może to stanowić spore wyzwanie, zważywszy na ilość pracy do wykonania oraz brak spójności w datach rozpoczęcia stosowania poszczególnych przepisów (o czym szerzej poniżej).

Rozporządzenie delegowane Komisji (UE) 2021/1253 z dnia 21 kwietnia 2021 r. zmieniające rozporządzenie delegowane (UE) 2017/565 w odniesieniu do uwzględniania czynników, ryzyk i preferencji w zakresie zrównoważonego rozwoju w niektórych wymogach organizacyjnych i warunkach prowadzenia działalności przez firmy inwestycyjne („Rozporządzenie Zmieniające”).

Zgodnie z nowymi wymogami, podmioty świadczące usługę doradztwa inwestycyjnego lub zarządzania portfelami – zarówno firmy inwestycyjne, jak i towarzystwa funduszy inwestycyjnych („TFI”) – zobowiązane będą do pozyskiwania od klientów informacji o indywidualnych preferencjach w zakresie zrównoważonego rozwoju oraz uwzględnienia tych preferencji w ramach oceny odpowiedniości, jak również do dysponowania odpowiednimi strategiami i procedurami pozwalającymi im na zrozumienie wszelkich czynników zrównoważonego rozwoju w odniesieniu do usług i instrumentów finansowych wybranych dla klientów.

Rozpoczęcie stosowania Rozporządzenia Zmieniającego, mającego bezpośrednie obowiązywanie we wszystkich państwach członkowskich UE, nastąpi 2 sierpnia 2022 r. Z tym dniem wspomniane powyżej firmy inwestycyjne oraz TFI zobowiązane są włączyć czynniki ESG do procesu badania odpowiedniości, co z kolei wymagać będzie wprowadzenia szeregu zmian we właściwych regulaminach i procedurach wewnętrznych.

Co istotne, Europejski Urząd Nadzoru Giełd i Papierów Wartościowych („ESMA”) opublikował w dniu 27 stycznia 2022 r. dokument konsultacyjny mający na celu uwzględnienie czynników ESG w wydanych dotychczas wytycznych ESMA dotyczących oceny odpowiedniości. Termin prowadzenia konsultacji na podstawie wspomnianego dokumentu konsultacyjnego upłynął 27 kwietnia br. Zgodnie z ustalonym harmonogramem, publikacja wytycznych powinna nastąpić w trzecim kwartale 2022 r., co jednak, jak wynika z dotychczasowej historii prac ESMA, nie jest terminem pewnym a dokument ten będzie miał kluczowe znaczenie dla prawidłowego wdrożenia przedmiotowych czynników przez firmy inwestycyjne i TFI w prowadzonej przez nie działalności obejmującej doradztwo inwestycyjne lub zarządzanie portfelami.

Dyrektywa Delegowana Komisji (UE) 2021/1269 z dnia 21 kwietnia 2021 r. zmieniająca dyrektywę delegowaną (UE) 2017/593 w odniesieniu do uwzględniania czynników zrównoważonego rozwoju w zobowiązaniach w zakresie zarządzania produktami („Dyrektywa Zmieniająca”).

Celem Dyrektywy Zmieniającej jest włączenie przez firmy inwestycyjne czynników ESG do prowadzonych przez te podmioty procesów zarządzania produktowego (product governance).

Państwa członkowskie zobowiązane są przyjąć i opublikować przepisy implementujące Dyrektywę Zmieniającą do krajowych porządków prawnych najpóźniej do dnia 21 sierpnia 2022 r., natomiast stosowanie przepisów implementujących powinno nastąpić z dniem 22 listopada 2022 r.

W Polsce prace nad implementacją Dyrektywy Zmieniającej już trwają, projekt rozporządzenia zmieniającego rozporządzenie w sprawie trybu i warunków postępowania firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi oraz banków powierniczych został przekazany do uzgodnień resortowych, konsultacji publicznych w lutym b.r. i do chwili obecnej nie doszło do zakończenia prac legislacyjnych.

Data wejścia w życie projektowanych przepisów, zgodnie z obecnym brzmieniem projektu, to 22 listopada 2022 r., czyli data zgodna z Dyrektywą Zmieniającą.

Podsumowanie

Na przestrzeni najbliższych kilku miesięcy uczestnicy rynku finansowego powinni przeprowadzić złożony i (prawdopodobnie) długotrwały proces modyfikacji swoich regulacji, w celu wdrożenia wymogów przewidzianych Rozporządzeniem Zmieniającym (stosowanie od 2 sierpnia 2022 r.) oraz Dyrektywą Zmieniającą (stosowanie od 22 listopada 2022 r., po uprzedniej implementacji do krajowego porządku prawnego najpóźniej do 21 sierpnia 2022 r.).

W praktyce, zmiany mogą dotknąć różnych sfer działalności, przy czym powinny objąć nie tylko modyfikacje w takich obszarach jak procedury wewnętrzne, regulaminy usługowe, dokumentacja stosowana w kontaktach z klientami (np. formularze, wzory umów), ale też systemy informatyczne. Co więcej, dodatkowym elementem wdrożenia powinno być dostosowanie całej sieci sprzedaży do nowych wymogów, co przy rozbudowanej sieci (wszystkie POK, oddziały, agenci firmy inwestycyjnej) będzie dodatkowym utrudnieniem – zwłaszcza w przypadku korzystania z pośrednictwa podmiotów zewnętrznych. Nie da się przy tym wykluczyć konieczności przeprowadzenia dodatkowych szkoleń wewnętrznych w zakresie stosowania nowych wymogów w praktyce.

Ponadto, elementem utrudniającym powyższe prace może okazać się fakt, że wspomniane akty prawne mają różne terminy rozpoczęcia ich stosowania a nawet, że ostateczny termin wejścia w życie i treść krajowych wymogów implementujących Dyrektywę Zmieniającą może pozostawać niepewny na moment 2 sierpnia br., co postawi pod znakiem zapytania możliwość przeprowadzenia wdrożenia wszystkich wymogów w jednym procesie (taki model ułatwiłby znacząco proces związany m.in. z informowaniem klientów o dokonywanych zmianach). Dodatkowo, istnieje ryzyko, że nawet na dzień wdrażania wymogów wynikających z krajowych przepisów implementujących Dyrektywę Zmieniającą wciąż mogą nie być znane nowe wytyczne ESMA, które ostatecznie mogą w pewnym zakresie zmodyfikować (doprecyzować) wymogi określone przepisami Rozporządzenia Zmieniającego i niezbędna będzie kolejna procedura dostosowująca dokumentację firmy inwestycyjnej/TFI w tym zakresie.

Całokształt opisanych powyżej czynników wskazuje, że uczestników rynku finansowego czeka w tym roku mnóstwo pracy w warunkach sporej niepewności prawnej.

W razie pytań lub wątpliwości zapraszamy do kontaktu z Zespołem SPCG!

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner.

 

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Kryptoaktywa – kiedy zmiany przepisów?

Kryptoaktywa – kiedy zmiany przepisów?

Czytaj: 4 min

**AKTUALIZACJA 24.03.2022**
Po przeprowadzeniu w dniu 24 marca 2022 r. głosowania na posiedzeniu plenarnym, Parlament Europejski przyjął tekst Rozporządzenia Pilotażowego DLT. Kolejnym krokiem w ramach procedury legislacyjnej będzie przyjęcie Rozporządzenia Pilotażowego DLT przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej. Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

 

W dniu 17 marca 2022 r., Europejskie Urzędy Nadzoru („ESA”) [1] opublikowały ponownie ostrzeżenie skierowane do konsumentów w zakresie ryzyk związanych z inwestycjami w kryptoaktywa [2]. Oprócz takich zagrożeń jak niestabilność cen kryptoaktywów czy potencjalne cyberataki, ESA zwracają uwagę na niebezpieczeństwo związane z brakiem kompleksowych regulacji dotyczących rynku kryptoaktywów, a tym samym niewystarczającym poziomem ochrony inwestorów. W treści ostrzeżenia znalazła się jednak wzmianka, że prace nad takimi regulacjami już trwają.

W związku z powyższym warto mieć na uwadze, że zgodnie z kalendarzem posiedzeń Parlamentu Europejskiego, na dzień 23 marca 2022 r. planowane jest przyjęcie rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru (DLT) („Rozporządzenie Pilotażowe DLT”), stanowiącego część tzw. digital finance package.

Projektowane rozwiązania przewidują szereg innowacji, które powinny zainteresować uczestników rodzimego rynku finansowego, w szczególności krajowe firmy inwestycyjne.

Rozporządzenie Pilotażowe DLT – piaskownica regulacyjna?

Rozporządzenie Pilotażowe DLT zasługuje na szczególną uwagę. Przewidziany w nim system pilotażowy to tzw. piaskownica regulacyjna (regulatory sandbox) – środowisko testowe będące przestrzenią do prowadzenia doświadczeń w kontrolowanym otoczeniu, z tymczasowymi odstępstwami od obowiązujących przepisów. Taka metoda pozwolić ma organom nadzoru oraz uczestnikom rynku na zdobycie doświadczenia w drodze „eksperymentu”, by na późniejszym etapie i w świetle zdobytego doświadczenia dostosować ramy prawne, a jednocześnie nie zakłócać procesu wdrażania innowacyjnych rozwiązań.

Projekt Rozporządzenia Pilotażowego DLT przewiduje możliwość stworzenia infrastruktury rynkowej opartej na DLT [3] (distributed ledger technology, DLT market infrastructure), przez co należy rozumieć:

  1. wielostronną platformę obrotu opartą na DLT (DLT multilateral trading facility) – wielostronna platforma obrotu w rozumieniu MiFID II, na której dopuszczone będą do obrotu wyłącznie instrumenty finansowe obsługiwane przez DLT („MTF DLT”); lub
  2. system rozrachunku oparty na DLT (DLT settlement system) – system rozrachunku instrumentów finansowych obsługiwanych przez DLT; lub
  3. system obrotu i rozrachunku oparty na DLT (DLT trading and settlement system) – MTF DLT (pkt 1) lub system rozrachunku oparty na DLT (pkt 2), który będzie łączyć funkcje obu wspomnianych podmiotów.

Projekt Rozporządzenia Pilotażowego DLT zakłada, że operatorem MTF DLT oraz systemu obrotu i rozrachunku opartego na DLT może być m.in. firma inwestycyjna, po uzyskaniu zgody właściwego organu krajowego (w Polsce – KNF).

Ideą systemu pilotażowego są sygnalizowane powyżej rozwiązania, które pozwalają na tymczasowe odstępstwo od przepisów regulujących obrót instrumentami finansowymi (po spełnieniu warunków opisanych w projekcie Rozporządzenia Pilotażowego DLT), w tym:

  1. dopuszczenie jako uczestników lub członków MTF DLT – na wniosek operatora MTF DLT i za zgodą właściwego organu krajowego – również osób fizycznych i prawnych niebędących firmami inwestycyjnymi lub instytucjami kredytowymi, z możliwością handlu na ich własny rachunek (o ile spełniają kryteria opisane w projekcie Rozporządzenia Pilotażowego DLT);
  2. wyłączenie operatora MTF DLT oraz uczestników MTF DLT z obowiązku raportowania do organu nadzoru o transakcjach zgodnie z art. 26 MiFIR [4]. Wyłączenie ze wspomnianego obowiązku ma następować na wniosek operatora MTF DLT złożony właściwemu organowi nadzoru.

Zgodnie z projektem, instrumentami finansowymi obsługiwanymi przez infrastrukturę rynkową DLT będą mogły być przede wszystkim akcje, obligacje, instrumenty rynku pieniężnego oraz tytuły uczestnictwa w podmiotach zbiorowego inwestowania w rozumieniu MiFID II, o ile ich emitenci spełniać będę kryteria ilościowe określone w projekcie Rozporządzenia Pilotażowego DLT.

Zgodnie z założeniami, opisany system pilotażowy ma obowiązywać przez trzy lata, a następnie Komisja Europejska, w oparciu o opinię ESMA, powinna przedstawić Radzie i Parlamentowi Europejskiemu sprawozdanie zawierające propozycję odpowiednio jego przedłużenia na kolejne 3 lata, modyfikacji, zakończenia lub przekształcenia w stałe zasady, na jakich działać mają podmioty objęte regulacją (w zależności od efektów analizy dotychczasowej praktyki).

Jak wspomniano powyżej, przyjęcie Rozporządzenia Pilotażowego DLT przez Parlament Europejski planowane jest na posiedzeniu w dniu 23 marca 2022 r. Po przyjęciu aktu przez Parlament Europejski, kolejnym krokiem będzie przyjęcie przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej.

Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

Czym jest digital finance package?

W dniu 24 września 2020 r. Komisja Europejska opublikowała pakiet regulacji z zakresu tzw. cyfrowych finansów (digital finance package), zawierający w szczególności projekty:

  1. rozporządzenia w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”);
  2. Rozporządzenia Pilotażowego DLT;
  3. rozporządzenia w sprawie operacyjnej odporności cyfrowej („Rozporządzenie DORA”).

Podstawowym aktem prawnym dla rynku kryptoaktywów w UE ma być Rozporządzenie MiCA. Akt ma regulować działalność emitentów kryptoaktywów oraz podmiotów świadczących usługi związane z kryptoaktywami takie, jak:

  • prowadzenie platformy obrotu kryptoaktywami,
  • przechowywanie kryptoaktywów i zarządzanie nimi w imieniu osób trzecich,
  • wykonywanie lub przyjmowanie i przekazywanie zleceń w zakresie kryptoaktywów oraz
  • doradztwo w zakresie kryptoaktywów.

Celem Rozporządzenia MiCA ma być stworzenie jednolitych ram prawnych na przestrzeni całej UE dla obrotu kryptoaktywami, które nie stanowią instrumentów finansowych ani pieniądza elektronicznego i które w związku z powyższym nie podlegają w chwili obecnej regulacjom zapewniającym przejrzystość rynku i ochronę inwestora.

Rozporządzenie DORA, zgodnie z założeniami, obejmować ma swoją regulacją podmioty regulowane działające na rynku finansowym (w tym banki, firmy inwestycyjne oraz zarządzających alternatywnymi funduszami inwestycyjnymi), w celu zagwarantowania ciągłości działania oraz utrzymania jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne. Rozporządzenie DORA ma stworzyć ramy regulacyjne, dzięki którym wspomniane podmioty zostaną uodpornione na wszelkiego rodzaju zakłócenia i „cyberzagrożenia”.

W przypadku Rozporządzenia MiCA oraz Rozporządzenia DORA, postęp prac legislacyjnych nie jest tak zaawansowany jak w przypadku Rozporządzenia Pilotażowego DLT – wciąż trwają negocjacje ich treści pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej.

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner.

Przypisy:

[1] Europejskie Urzędy Nadzoru składają się z trzech instytucji – Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA), Europejskiego Urzędu Nadzoru Bankowego (EBA) oraz Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

[2] https://www.esma.europa.eu/sites/default/files/library/esa_2022_15_joint_esas_warning_on_crypto-assets.pdf

[3] DLT – technologia rozproszonego rejestru, służąca do ewidencjowania oraz weryfikowania własności aktywów na podstawie bazy zaszyfrowanych danych transakcyjnych, która nie jest zapisana na jednym, centralnym urządzeniu, ale rozłożona pomiędzy wiele urządzeń.

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 („MiFIR”).

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Informacja nadzorcza ESMA (supervisory briefing) dotycząca korzystania przez firmy inwestycyjne z usług agentów

Czytaj: 4 min

W dniu 2 lutego 2022 r. Europejski Urząd Nadzoru Giełd i Papierów Wartościowych („ESMA”) opublikował informację nadzorczą (supervisory briefing) dotyczącą oczekiwań nadzorczych w stosunku do firm inwestycyjnych [1] korzystających z usług agentów w ramach MiFID II [2].

Jaki jest status prawny informacji nadzorczej ESMA?

Dokument stanowi narzędzie wspierania przez ESMA jednolitego podejścia i praktyk nadzorczych na przestrzeni UE, nie zawiera jednak wiążących wytycznych ani rekomendacji dla organów nadzoru z poszczególnych państw. Powyższe jednak, zważywszy na rolę ESMA w procesie stosowania prawa wspólnotowego i kształtowaniu praktyki nadzorczej w obszarze rynku kapitałowego, powoduje, że stanowisko ESMA wyrażone w informacji nadzorczej będzie uwzględniane w praktyce wszystkich organów nadzoru UE, w tym m.in. KNF.

Jaki jest cel informacji nadzorczej ESMA?

Celem ESMA jest ujednolicenie praktyk nadzorczych nad firmami inwestycyjnymi korzystającymi z usług agentów [3]. ESMA podniosła, że po wystąpieniu Wielkiej Brytanii z Unii Europejskiej, monitoruje działalność firm inwestycyjnych w celu ustalenia, czy ich interakcje z klientami z Unii Europejskiej odbywają się w sposób zgodny z regulacjami unijnymi, w tym odnoszącymi się do warunków świadczenia usług inwestycyjnych i prowadzenia działalności inwestycyjnej przez przedsiębiorstwa z państw trzecich. W związku z powyższym, ESMA zauważyła potrzebę podsumowania w informacji nadzorczej dotychczasowych obserwacji, które odnoszą się głównie do przypadków wykorzystywania przez firmy inwestycyjne agentów będących osobami prawnymi oraz – w szczególności – osobami, na które wpływ wywierają podmioty spoza UE lub które powiązane są z takimi podmiotami. Stanowisko przedstawione przez ESMA ma jednak wydźwięk uniwersalny i może spowodować zmianę podejścia organów nadzoru do kwestii wykorzystywania agentów przez firmy inwestycyjne w pełnym zakresie, w tym również na rynku polskim.

Informacja nadzorcza ESMA zawiera oczekiwania nadzorcze skierowane do właściwych organów krajowych (m.in. KNF), w związku z czym może pośrednio – przez aktywność organu nadzoru – wpłynąć na działalność krajowych firm inwestycyjnych. Informacja podsumowuje:

  1. oczekiwania nadzorcze odnoszące się do etapu powierzania czynności przez firmę inwestycyjną do wykonywania agentowi;
  2. oczekiwania nadzorcze odnoszące się do etapu wykorzystywania agenta w bieżącej działalności firmy inwestycyjnej.

Jakie są oczekiwania nadzorcze ESMA odnoszące się do etapu powierzania czynności przez firmę inwestycyjną do wykonywania agentowi?

Odnosząc się do etapu powierzania czynności przez firmę inwestycyjną, ESMA w szczególności podkreśla, że:

  1. firma inwestycyjna przed powierzeniem agentowi czynności powinna mieć konkretne plany co do tego, jak agent przyczyni się do realizacji strategii tego podmiotu, z jakimi rodzajami klientów będzie się kontaktował w ramach wykonywanych czynności, a w pewnych sytuacjach (w zależności od struktury prawnej agenta i poziomu jej skomplikowania) niezbędne może okazać się opracowanie biznesplanu;
  2. firma inwestycyjna powinna wdrożyć mechanizmy zapewniające jej możliwość monitorowania działalności agenta, ze szczególnym uwzględnieniem przypadków agentów będących osobami prawnymi powiązanymi z podmiotami spoza UE (podmioty takie mogłyby wywierać niekorzystny wpływ na sposób wykonywania przez agenta powierzonych mu czynności, zwłaszcza jeśli podmiot spoza UE jest jednocześnie producentem lub dystrybutorem instrumentów finansowych);
  3. firma inwestycyjna zamierzająca powierzyć czynności agentowi będącemu osobą prawną, powinna zweryfikować zasoby tego podmiotu pod kątem możliwości spełnienia wszystkich wymogów oraz zapewnienia właściwej obsługi klienta również po powierzeniu agentowi czynności; powyższe powinno uwzględniać m.in. ustalenie:
    1. struktury organizacyjnej agenta,
    2. liczby osób, które będą przez agenta wykorzystywane do wykonywania umowy oraz miejsc, w których czynności powierzone przez firmę inwestycyjną będą wykonywane, przy czym ESMA podkreśla, że nie powinny być uznawane za prawidłowe rozwiązania, w których agent nie posiada wystarczającej obecności (sufficient substance) na terytorium UE,
    3. wiedzy, kompetencji, doświadczenia i możliwości zaangażowania czasowego osób, które odpowiedzialne będą u agenta za zarządzanie i kontrolę wewnętrzną (w przypadkach, w których miałoby to zastosowanie) oraz osób wykorzystywanych do wykonywania umowy zawartej z firmą inwestycyjną;
  4. organ nadzoru rejestrując agenta firmy inwestycyjnej będącego osobą prawną powinien:
    1. otrzymać listę osób (list of natural persons), które będą zaangażowane w wykonywanie czynności na rzecz firmy inwestycyjnej i będą kontaktować się z klientami/potencjalnymi klientami oraz
    2. zostać poinformowany, gdzie osoby wskazane na liście, o której mowa wyżej, będą zlokalizowane w celu wykonywania czynności powierzonych agentowi;
  5. jako alarmujące dla organu nadzoru, ESMA wskazuje modele biznesowe oparte głównie o założenie wyznaczania agentów o bliskich powiązaniach z innymi podmiotami, zwłaszcza z podmiotami spoza EU – ryzyko obejścia MiFID II;
  6. firma inwestycyjna powinna unikać wyznaczania agenta, którego pracownicy zaangażowani w wykonywanie czynności agenta pozostają do dyspozycji lub pod kontrolą podmiotów trzecich, w tym podmiotów z państw spoza UE (np. umowy typu staff sharing lub secondment) – ryzyko negatywnego wypływu na sposób wykonywania zadań agenta, jak również na monitorowanie jego działań przez firmę inwestycyjną;
  7. firma inwestycyjna powinna unikać wyznaczania agenta, który nie posiada wystarczających zasobów własnych na terenie UE (agent powinien prowadzić rzeczywistą działalność na terenie UE), a umożliwienie agentowi prowadzenia działalności przy wykorzystaniu głównie zasobów podmiotu trzeciego, w szczególności podmiotu z państwa spoza UE, stanowi ryzyko negatywnego wypływu na sposób wykonywania zadań agenta, jak również na monitorowanie jego działań przez firmę inwestycyjną.

Jakie są oczekiwania nadzorcze ESMA odnoszące się do etapu wykorzystywania agenta w bieżącej działalności firmy inwestycyjnej?

Odnosząc się do etapu wykorzystywania agenta w działalności firmy inwestycyjnej, ESMA w szczególności podkreśla, że:

  1. w następstwie powierzenia wykonywania czynności agentowi będącemu osobą prawną, firma inwestycyjna powinna wdrożyć środki i procesy wewnętrzne adekwatne do sytuacji, uwzględniając w szczególności strukturę właścicielską agenta (poziom jej skomplikowania), aby we właściwy sposób nadzorować czynności agenta, w szczególności, jeśli agent jest podmiotem powiązanym z podmiotami spoza UE;
  2. przyjęte przez firmy inwestycyjne mechanizmy nadzorcze powinny być odpowiednie z perspektywy monitorowania działalności agenta i proporcjonalne do liczby agentów, ich charakteru prawnego oraz struktury organizacyjnej i własnościowej; w tym celu, w zakresie monitorowania działalności agenta, firma inwestycyjna może rozważyć ustanowienie wewnętrznej dodatkowej funkcji nadzorczej (independent or non-executive director) odpowiedzialnej za nadzorowanie agentów albo zlecenie podmiotowi zewnętrznemu dokonania niezależnego przeglądu wewnętrznych rozwiązań kontrolnych oraz personelu agenta;
  3. firma inwestycyjna powinna regularnie monitorować sytuację finansową agenta, korzystając przy tym z usług wykwalifikowanych biegłych rewidentów;
  4. firma powinna mieć również możliwość – w razie potrzeby – zakończenia współpracy z agentem ze skutkiem natychmiastowym, gdy leży to w interesie jej klientów, bez szkody dla ciągłości i jakości świadczenia przez nią działalności na rzecz klientów;
  5. w przypadku zakończenia współpracy z agentem, firma inwestycyjna powinna mieć obowiązek poinformowania o tym fakcie wszystkich klientów (którzy mogliby mieć potencjalnie kontakt z takim agentem), aby uniknąć ryzyka, że klienci będą próbowali kontaktować się z firmą inwestycyjną za pośrednictwem podmiotu, który już nie działa na rzecz firmy inwestycyjnej, przez co mogliby mieć utrudniony kontakt z firmą inwestycyjną.

 

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner

 

Przypisy:

[1] Informacja nadzorcza ESMA, tak jak przepisy MiFID II dot. agenta, ma zastosowanie również do instytucji kredytowych.

[2] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE („MiFID II”).

[3] Na gruncie ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, są to agenci firm inwestycyjnych.

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Pin It on Pinterest