O kłopocie z interpretacją przepisów poinformował nas Artur Bilski, szef działu prawnego w jednej ze spółek fintechowych. Chodzi o to, czy AISP-y (czyli dostawcy świadczący usługi dostępu do informacji o rachunku) muszą realizować wymogi służące walce z praniem pieniędzy i finansowaniem terroryzmu (AML). Gdyby uznać, że tak – wiele firm powinno zakończyć działalność. Restrykcyjne regulacje zostały bowiem stworzone głównie z myślą o bankach. Opierają się one na systemie stałego raportowania, analizowania transakcji, posiadania wykwalifikowanych specjalistów. Drobny biznes – a takim w większości są AISP-y – w najlepszym razie znacząco by ucierpiał.

Nie ma większego sensu, by dostawcy usług realizowali wymogi AML. Mają oni bowiem jedynie dostęp do danych na rachunku płatniczym klienta. Wymogi musi realizować bank obsługujący płatności. Należy zaś zakładać, że prędzej duża korporacja dostrzeże kontrowersyjną aktywność na rachunku niż start-up. Z tego założenia wyszedł zresztą prawodawca unijny przy tworzeniu dyrektywy PSD2.

Zdaniem wielu prawników z brzmienia samych przepisów (zarówno unijnych, jak i krajowych) wynika, że AISP-y są zobowiązane do stosowania AML. Świadczą bowiem usługę płatniczą. Skoro tak – są instytucjami finansowymi. Są więc instytucjami zobowiązanymi w rozumieniu przepisów AML. A skoro tak – muszą regulacje AML stosować.

W największym skrócie: uchwalono liberalną dyrektywę PSD2, ale najprawdopodobniej zapomniano o treści restrykcyjnych przepisów AML.

Dwugłos władzy

– AISP-y nie muszą stosować AML – tak w uproszczeniu można sparafrazować nadesłane nam stanowisko Komisji Nadzoru Finansowego.

– AISP-y muszą stosować AML – tak z kolei wynika z odpowiedzi resortu finansów, który przesłał nam stanowisko głównego inspektora informacji finansowej.

Dotarliśmy też do analizy renomowanej kancelarii. W opinii sporządzonej na rzecz jednego z fintechów, za którą kancelaria pobrała 38 tys. zł, możemy przeczytać, że „stan prawny jest na tyle niejasny, że nie sposób sformułować jednoznacznego wskazania co do sposobu postępowania”.

Wiadomo więc tyle, że nic nie wiadomo. Fintechy stoją właśnie przed wyborem. Można nie stosować wymogów AML i prowadzić biznes. Tak robi większość. Istnieje jednak ryzyko, że za kilka lat urzędnicy stwierdzą, że ktoś zaniedbał obowiązki. Oprócz drakońskich kar finansowych menedżerom start-upów może grozić nawet odsiadka w zakładzie karnym.

Można też stosować wymogi AML. Wtedy jednak część najmniejszych przedsiębiorców zapewne zakończyłaby działalność, gdyż cały potencjalny zysk zjadłyby wydatki na realizację procedur. Większe firmy co prawda utrzymałyby się na rynku, ale byłyby niekonkurencyjne względem tych, które postanowiły zaryzykować i wymogów AML nie realizować.

– Sytuacja jest niedopuszczalna i kuriozalna. Trudno mieć pretensje do polskiego ustawodawcy, gdyż kontrowersje to wynik braku precyzji prawodawcy unijnego. Zarazem jednak organy państwa powinny prezentować jedno stanowisko. Gdy dwa istotne organy mają różne zdania, co mają robić przedsiębiorcy? – zastanawia się adwokat Radosław Płonka, wspólnik w kancelarii Płonka Ozga i ekspert prawny BCC. Jego zdaniem główny inspektor informacji finansowej lub minister finansów oraz przewodniczący KNF powinni wydać wspólną opinię co do tego, jak mają postępować przedsiębiorcy.

Tak uczyniono w kilku państwach UE, w których już dostrzeżono kłopot. Stanowisko wydał niemiecki BaFIN, a także regulatorzy brytyjski i litewski. Wszyscy stwierdzili, że do czasu nowelizacji dyrektywy unijnej AISP-y muszą realizować wymogi AML.

– Uważam, że nie można karać tych, którzy w sytuacji niejasności nie będą stosowali się do wymogów AML. Zarazem jednak niekaranie ich to pośrednie ukaranie tych, którzy zgodnie ze stanowiskiem GIIF będą w swych firmach realizować specjalne działania przeciwdziałające praniu pieniędzy – spostrzega mec. Płonka.

Co dają fintechy

Unijny prawodawca i rodzimy ustawodawca jeszcze niedawno wierzyli, że przepisy dyrektywy PSD2 spowodują rozwój nowoczesnych usług finansowych. Dostarczać by je miały właśnie fintechy. Przykłady? Program do oszczędzania, który ma wgląd w nasze płatności, dzięki czemu może dokładnie zasugerować, gdzie wycieka nam zbyt wiele pieniędzy. Kolejny: aplikacja, dzięki której można w prosty sposób zarządzać kilkoma rachunkami bankowymi założonymi w różnych bankach. Rozwój sztucznej inteligencji pozwala już na to, by aplikacja mająca wgląd w nasz rachunek zasugerowała nam np. tańsze ubezpieczenie OC auta lub kawiarnię z tańszą, ale równie dobrze ocenianą kawą od miejsca, z którego obecnie korzystamy. 

opinia

W prawie najgorszy jest stan niepewności

Czy objęcie tzw. AISP-ów reżimem AML (w tym uciążliwymi obowiązkami identyfikacji i weryfikacji) ma racjonalne uzasadnienie? Nie. Podmioty te mają bowiem do czynienia jedynie z użytkownikami korzystającymi z płatniczych rachunków online prowadzonych przez licencjonowanych dostawców (głównie banki), którzy musieli już przeprowadzić identyfikację i weryfikację tych użytkowników jako posiadaczy rachunków. Przeprowadzenie tej samej procedury drugi raz nie ma żadnego sensu, a dla wielu innowacyjnych podmiotów działających w internecie będzie albo niemożliwe (w przeciwieństwie do banków nie posiadają one bowiem rozbudowanych sieci oddziałów), albo zbyt kosztowne.

Najgorszą z możliwych sytuacji w prawie jest stan niepewności. Właśnie z tym przypadkiem mamy do czynienia w tej sprawie. Trudno się więc dziwić rozbieżności zdań pomiędzy KNF a MF, wszak istnieje tu realny rozdźwięk pomiędzy treścią obu ustaw (a na wyższym poziomie dyrektyw – PSD 2 i AMLD IV). Nie można jednak zamykać oczu na literalne brzmienie przepisów – a zgodnie z nim AISP-y są uznawane za instytucje obowiązane. Nawet jeśli wydaje nam się to bezcelowe, to jednak taka jest treść przepisu – choć może to być efektem błędu legislacyjnego.

Jedynym trwałym rozwiązaniem problemu jest korekta wątpliwych przepisów. Tymczasową protezą mogłaby być też tutaj opinia nadzorcy europejskiego. Efektem powinno być wyłączenie AISP-ów z reżimu AML. W przeciwnym razie nie tylko nie pozbędziemy się niepewności, ale zablokujemy możliwość rozwoju wielu innowacyjnym firmom. Zwłaszcza tym rzetelnym, które nie zdecydują się na zignorowanie przepisów w myśl strategii „jakoś to będzie i może regulator nie zauważy”. A w całej Unii Europejskiej AISP-ów działa już sporo – i, z tego, co wiem, znaczna część z nich nie realizuje wymogów AML. Możliwe więc, że bez swojej wiedzy łamią prawo, narażając się na poważne kary.