SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

Marcin Balicki

adwokat
Senior Associate

Kryptoaktywa – kiedy zmiany przepisów?

Kryptoaktywa – kiedy zmiany przepisów?

Czytaj: 4 min

**AKTUALIZACJA 24.03.2022**
Po przeprowadzeniu w dniu 24 marca 2022 r. głosowania na posiedzeniu plenarnym, Parlament Europejski przyjął tekst Rozporządzenia Pilotażowego DLT. Kolejnym krokiem w ramach procedury legislacyjnej będzie przyjęcie Rozporządzenia Pilotażowego DLT przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej. Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

 

W dniu 17 marca 2022 r., Europejskie Urzędy Nadzoru („ESA”) [1] opublikowały ponownie ostrzeżenie skierowane do konsumentów w zakresie ryzyk związanych z inwestycjami w kryptoaktywa [2]. Oprócz takich zagrożeń jak niestabilność cen kryptoaktywów czy potencjalne cyberataki, ESA zwracają uwagę na niebezpieczeństwo związane z brakiem kompleksowych regulacji dotyczących rynku kryptoaktywów, a tym samym niewystarczającym poziomem ochrony inwestorów. W treści ostrzeżenia znalazła się jednak wzmianka, że prace nad takimi regulacjami już trwają.

W związku z powyższym warto mieć na uwadze, że zgodnie z kalendarzem posiedzeń Parlamentu Europejskiego, na dzień 23 marca 2022 r. planowane jest przyjęcie rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru (DLT) („Rozporządzenie Pilotażowe DLT”), stanowiącego część tzw. digital finance package.

Projektowane rozwiązania przewidują szereg innowacji, które powinny zainteresować uczestników rodzimego rynku finansowego, w szczególności krajowe firmy inwestycyjne.

Rozporządzenie Pilotażowe DLT – piaskownica regulacyjna?

Rozporządzenie Pilotażowe DLT zasługuje na szczególną uwagę. Przewidziany w nim system pilotażowy to tzw. piaskownica regulacyjna (regulatory sandbox) – środowisko testowe będące przestrzenią do prowadzenia doświadczeń w kontrolowanym otoczeniu, z tymczasowymi odstępstwami od obowiązujących przepisów. Taka metoda pozwolić ma organom nadzoru oraz uczestnikom rynku na zdobycie doświadczenia w drodze „eksperymentu”, by na późniejszym etapie i w świetle zdobytego doświadczenia dostosować ramy prawne, a jednocześnie nie zakłócać procesu wdrażania innowacyjnych rozwiązań.

Projekt Rozporządzenia Pilotażowego DLT przewiduje możliwość stworzenia infrastruktury rynkowej opartej na DLT [3] (distributed ledger technology, DLT market infrastructure), przez co należy rozumieć:

  1. wielostronną platformę obrotu opartą na DLT (DLT multilateral trading facility) – wielostronna platforma obrotu w rozumieniu MiFID II, na której dopuszczone będą do obrotu wyłącznie instrumenty finansowe obsługiwane przez DLT („MTF DLT”); lub
  2. system rozrachunku oparty na DLT (DLT settlement system) – system rozrachunku instrumentów finansowych obsługiwanych przez DLT; lub
  3. system obrotu i rozrachunku oparty na DLT (DLT trading and settlement system) – MTF DLT (pkt 1) lub system rozrachunku oparty na DLT (pkt 2), który będzie łączyć funkcje obu wspomnianych podmiotów.

Projekt Rozporządzenia Pilotażowego DLT zakłada, że operatorem MTF DLT oraz systemu obrotu i rozrachunku opartego na DLT może być m.in. firma inwestycyjna, po uzyskaniu zgody właściwego organu krajowego (w Polsce – KNF).

Ideą systemu pilotażowego są sygnalizowane powyżej rozwiązania, które pozwalają na tymczasowe odstępstwo od przepisów regulujących obrót instrumentami finansowymi (po spełnieniu warunków opisanych w projekcie Rozporządzenia Pilotażowego DLT), w tym:

  1. dopuszczenie jako uczestników lub członków MTF DLT – na wniosek operatora MTF DLT i za zgodą właściwego organu krajowego – również osób fizycznych i prawnych niebędących firmami inwestycyjnymi lub instytucjami kredytowymi, z możliwością handlu na ich własny rachunek (o ile spełniają kryteria opisane w projekcie Rozporządzenia Pilotażowego DLT);
  2. wyłączenie operatora MTF DLT oraz uczestników MTF DLT z obowiązku raportowania do organu nadzoru o transakcjach zgodnie z art. 26 MiFIR [4]. Wyłączenie ze wspomnianego obowiązku ma następować na wniosek operatora MTF DLT złożony właściwemu organowi nadzoru.

Zgodnie z projektem, instrumentami finansowymi obsługiwanymi przez infrastrukturę rynkową DLT będą mogły być przede wszystkim akcje, obligacje, instrumenty rynku pieniężnego oraz tytuły uczestnictwa w podmiotach zbiorowego inwestowania w rozumieniu MiFID II, o ile ich emitenci spełniać będę kryteria ilościowe określone w projekcie Rozporządzenia Pilotażowego DLT.

Zgodnie z założeniami, opisany system pilotażowy ma obowiązywać przez trzy lata, a następnie Komisja Europejska, w oparciu o opinię ESMA, powinna przedstawić Radzie i Parlamentowi Europejskiemu sprawozdanie zawierające propozycję odpowiednio jego przedłużenia na kolejne 3 lata, modyfikacji, zakończenia lub przekształcenia w stałe zasady, na jakich działać mają podmioty objęte regulacją (w zależności od efektów analizy dotychczasowej praktyki).

Jak wspomniano powyżej, przyjęcie Rozporządzenia Pilotażowego DLT przez Parlament Europejski planowane jest na posiedzeniu w dniu 23 marca 2022 r. Po przyjęciu aktu przez Parlament Europejski, kolejnym krokiem będzie przyjęcie przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej.

Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

Czym jest digital finance package?

W dniu 24 września 2020 r. Komisja Europejska opublikowała pakiet regulacji z zakresu tzw. cyfrowych finansów (digital finance package), zawierający w szczególności projekty:

  1. rozporządzenia w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”);
  2. Rozporządzenia Pilotażowego DLT;
  3. rozporządzenia w sprawie operacyjnej odporności cyfrowej („Rozporządzenie DORA”).

Podstawowym aktem prawnym dla rynku kryptoaktywów w UE ma być Rozporządzenie MiCA. Akt ma regulować działalność emitentów kryptoaktywów oraz podmiotów świadczących usługi związane z kryptoaktywami takie, jak:

  • prowadzenie platformy obrotu kryptoaktywami,
  • przechowywanie kryptoaktywów i zarządzanie nimi w imieniu osób trzecich,
  • wykonywanie lub przyjmowanie i przekazywanie zleceń w zakresie kryptoaktywów oraz
  • doradztwo w zakresie kryptoaktywów.

Celem Rozporządzenia MiCA ma być stworzenie jednolitych ram prawnych na przestrzeni całej UE dla obrotu kryptoaktywami, które nie stanowią instrumentów finansowych ani pieniądza elektronicznego i które w związku z powyższym nie podlegają w chwili obecnej regulacjom zapewniającym przejrzystość rynku i ochronę inwestora.

Rozporządzenie DORA, zgodnie z założeniami, obejmować ma swoją regulacją podmioty regulowane działające na rynku finansowym (w tym banki, firmy inwestycyjne oraz zarządzających alternatywnymi funduszami inwestycyjnymi), w celu zagwarantowania ciągłości działania oraz utrzymania jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne. Rozporządzenie DORA ma stworzyć ramy regulacyjne, dzięki którym wspomniane podmioty zostaną uodpornione na wszelkiego rodzaju zakłócenia i „cyberzagrożenia”.

W przypadku Rozporządzenia MiCA oraz Rozporządzenia DORA, postęp prac legislacyjnych nie jest tak zaawansowany jak w przypadku Rozporządzenia Pilotażowego DLT – wciąż trwają negocjacje ich treści pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej.

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner.

Przypisy:

[1] Europejskie Urzędy Nadzoru składają się z trzech instytucji – Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA), Europejskiego Urzędu Nadzoru Bankowego (EBA) oraz Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

[2] https://www.esma.europa.eu/sites/default/files/library/esa_2022_15_joint_esas_warning_on_crypto-assets.pdf

[3] DLT – technologia rozproszonego rejestru, służąca do ewidencjowania oraz weryfikowania własności aktywów na podstawie bazy zaszyfrowanych danych transakcyjnych, która nie jest zapisana na jednym, centralnym urządzeniu, ale rozłożona pomiędzy wiele urządzeń.

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 („MiFIR”).

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Informacja nadzorcza ESMA (supervisory briefing) dotycząca korzystania przez firmy inwestycyjne z usług agentów

Czytaj: 4 min

W dniu 2 lutego 2022 r. Europejski Urząd Nadzoru Giełd i Papierów Wartościowych („ESMA”) opublikował informację nadzorczą (supervisory briefing) dotyczącą oczekiwań nadzorczych w stosunku do firm inwestycyjnych [1] korzystających z usług agentów w ramach MiFID II [2].

Jaki jest status prawny informacji nadzorczej ESMA?

Dokument stanowi narzędzie wspierania przez ESMA jednolitego podejścia i praktyk nadzorczych na przestrzeni UE, nie zawiera jednak wiążących wytycznych ani rekomendacji dla organów nadzoru z poszczególnych państw. Powyższe jednak, zważywszy na rolę ESMA w procesie stosowania prawa wspólnotowego i kształtowaniu praktyki nadzorczej w obszarze rynku kapitałowego, powoduje, że stanowisko ESMA wyrażone w informacji nadzorczej będzie uwzględniane w praktyce wszystkich organów nadzoru UE, w tym m.in. KNF.

Jaki jest cel informacji nadzorczej ESMA?

Celem ESMA jest ujednolicenie praktyk nadzorczych nad firmami inwestycyjnymi korzystającymi z usług agentów [3]. ESMA podniosła, że po wystąpieniu Wielkiej Brytanii z Unii Europejskiej, monitoruje działalność firm inwestycyjnych w celu ustalenia, czy ich interakcje z klientami z Unii Europejskiej odbywają się w sposób zgodny z regulacjami unijnymi, w tym odnoszącymi się do warunków świadczenia usług inwestycyjnych i prowadzenia działalności inwestycyjnej przez przedsiębiorstwa z państw trzecich. W związku z powyższym, ESMA zauważyła potrzebę podsumowania w informacji nadzorczej dotychczasowych obserwacji, które odnoszą się głównie do przypadków wykorzystywania przez firmy inwestycyjne agentów będących osobami prawnymi oraz – w szczególności – osobami, na które wpływ wywierają podmioty spoza UE lub które powiązane są z takimi podmiotami. Stanowisko przedstawione przez ESMA ma jednak wydźwięk uniwersalny i może spowodować zmianę podejścia organów nadzoru do kwestii wykorzystywania agentów przez firmy inwestycyjne w pełnym zakresie, w tym również na rynku polskim.

Informacja nadzorcza ESMA zawiera oczekiwania nadzorcze skierowane do właściwych organów krajowych (m.in. KNF), w związku z czym może pośrednio – przez aktywność organu nadzoru – wpłynąć na działalność krajowych firm inwestycyjnych. Informacja podsumowuje:

  1. oczekiwania nadzorcze odnoszące się do etapu powierzania czynności przez firmę inwestycyjną do wykonywania agentowi;
  2. oczekiwania nadzorcze odnoszące się do etapu wykorzystywania agenta w bieżącej działalności firmy inwestycyjnej.

Jakie są oczekiwania nadzorcze ESMA odnoszące się do etapu powierzania czynności przez firmę inwestycyjną do wykonywania agentowi?

Odnosząc się do etapu powierzania czynności przez firmę inwestycyjną, ESMA w szczególności podkreśla, że:

  1. firma inwestycyjna przed powierzeniem agentowi czynności powinna mieć konkretne plany co do tego, jak agent przyczyni się do realizacji strategii tego podmiotu, z jakimi rodzajami klientów będzie się kontaktował w ramach wykonywanych czynności, a w pewnych sytuacjach (w zależności od struktury prawnej agenta i poziomu jej skomplikowania) niezbędne może okazać się opracowanie biznesplanu;
  2. firma inwestycyjna powinna wdrożyć mechanizmy zapewniające jej możliwość monitorowania działalności agenta, ze szczególnym uwzględnieniem przypadków agentów będących osobami prawnymi powiązanymi z podmiotami spoza UE (podmioty takie mogłyby wywierać niekorzystny wpływ na sposób wykonywania przez agenta powierzonych mu czynności, zwłaszcza jeśli podmiot spoza UE jest jednocześnie producentem lub dystrybutorem instrumentów finansowych);
  3. firma inwestycyjna zamierzająca powierzyć czynności agentowi będącemu osobą prawną, powinna zweryfikować zasoby tego podmiotu pod kątem możliwości spełnienia wszystkich wymogów oraz zapewnienia właściwej obsługi klienta również po powierzeniu agentowi czynności; powyższe powinno uwzględniać m.in. ustalenie:
    1. struktury organizacyjnej agenta,
    2. liczby osób, które będą przez agenta wykorzystywane do wykonywania umowy oraz miejsc, w których czynności powierzone przez firmę inwestycyjną będą wykonywane, przy czym ESMA podkreśla, że nie powinny być uznawane za prawidłowe rozwiązania, w których agent nie posiada wystarczającej obecności (sufficient substance) na terytorium UE,
    3. wiedzy, kompetencji, doświadczenia i możliwości zaangażowania czasowego osób, które odpowiedzialne będą u agenta za zarządzanie i kontrolę wewnętrzną (w przypadkach, w których miałoby to zastosowanie) oraz osób wykorzystywanych do wykonywania umowy zawartej z firmą inwestycyjną;
  4. organ nadzoru rejestrując agenta firmy inwestycyjnej będącego osobą prawną powinien:
    1. otrzymać listę osób (list of natural persons), które będą zaangażowane w wykonywanie czynności na rzecz firmy inwestycyjnej i będą kontaktować się z klientami/potencjalnymi klientami oraz
    2. zostać poinformowany, gdzie osoby wskazane na liście, o której mowa wyżej, będą zlokalizowane w celu wykonywania czynności powierzonych agentowi;
  5. jako alarmujące dla organu nadzoru, ESMA wskazuje modele biznesowe oparte głównie o założenie wyznaczania agentów o bliskich powiązaniach z innymi podmiotami, zwłaszcza z podmiotami spoza EU – ryzyko obejścia MiFID II;
  6. firma inwestycyjna powinna unikać wyznaczania agenta, którego pracownicy zaangażowani w wykonywanie czynności agenta pozostają do dyspozycji lub pod kontrolą podmiotów trzecich, w tym podmiotów z państw spoza UE (np. umowy typu staff sharing lub secondment) – ryzyko negatywnego wypływu na sposób wykonywania zadań agenta, jak również na monitorowanie jego działań przez firmę inwestycyjną;
  7. firma inwestycyjna powinna unikać wyznaczania agenta, który nie posiada wystarczających zasobów własnych na terenie UE (agent powinien prowadzić rzeczywistą działalność na terenie UE), a umożliwienie agentowi prowadzenia działalności przy wykorzystaniu głównie zasobów podmiotu trzeciego, w szczególności podmiotu z państwa spoza UE, stanowi ryzyko negatywnego wypływu na sposób wykonywania zadań agenta, jak również na monitorowanie jego działań przez firmę inwestycyjną.

Jakie są oczekiwania nadzorcze ESMA odnoszące się do etapu wykorzystywania agenta w bieżącej działalności firmy inwestycyjnej?

Odnosząc się do etapu wykorzystywania agenta w działalności firmy inwestycyjnej, ESMA w szczególności podkreśla, że:

  1. w następstwie powierzenia wykonywania czynności agentowi będącemu osobą prawną, firma inwestycyjna powinna wdrożyć środki i procesy wewnętrzne adekwatne do sytuacji, uwzględniając w szczególności strukturę właścicielską agenta (poziom jej skomplikowania), aby we właściwy sposób nadzorować czynności agenta, w szczególności, jeśli agent jest podmiotem powiązanym z podmiotami spoza UE;
  2. przyjęte przez firmy inwestycyjne mechanizmy nadzorcze powinny być odpowiednie z perspektywy monitorowania działalności agenta i proporcjonalne do liczby agentów, ich charakteru prawnego oraz struktury organizacyjnej i własnościowej; w tym celu, w zakresie monitorowania działalności agenta, firma inwestycyjna może rozważyć ustanowienie wewnętrznej dodatkowej funkcji nadzorczej (independent or non-executive director) odpowiedzialnej za nadzorowanie agentów albo zlecenie podmiotowi zewnętrznemu dokonania niezależnego przeglądu wewnętrznych rozwiązań kontrolnych oraz personelu agenta;
  3. firma inwestycyjna powinna regularnie monitorować sytuację finansową agenta, korzystając przy tym z usług wykwalifikowanych biegłych rewidentów;
  4. firma powinna mieć również możliwość – w razie potrzeby – zakończenia współpracy z agentem ze skutkiem natychmiastowym, gdy leży to w interesie jej klientów, bez szkody dla ciągłości i jakości świadczenia przez nią działalności na rzecz klientów;
  5. w przypadku zakończenia współpracy z agentem, firma inwestycyjna powinna mieć obowiązek poinformowania o tym fakcie wszystkich klientów (którzy mogliby mieć potencjalnie kontakt z takim agentem), aby uniknąć ryzyka, że klienci będą próbowali kontaktować się z firmą inwestycyjną za pośrednictwem podmiotu, który już nie działa na rzecz firmy inwestycyjnej, przez co mogliby mieć utrudniony kontakt z firmą inwestycyjną.

 

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner

 

Przypisy:

[1] Informacja nadzorcza ESMA, tak jak przepisy MiFID II dot. agenta, ma zastosowanie również do instytucji kredytowych.

[2] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE („MiFID II”).

[3] Na gruncie ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, są to agenci firm inwestycyjnych.

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Pin It on Pinterest