Nařízení AML/CFT: Unifikace oblasti praní peněz a financování terorismu napříč EU

Nová kapitola v boji proti finanční kriminalitě je tady. Evropská unie právě odstartovala masivní změny v legislativě pro prevenci praní peněz a financování terorismu (AML/CFT), které se přímo dotknou každé povinné osoby. V tomto úvodním článku naší série se zaměřujeme na nejdůležitější součást celého balíčku: čerstvě schválené Nařízení Evropského parlamentu a Rady (EU) 2024/1624 ze dne 31. května 2024 (AMLR).

V platnost AMLR vstoupilo 9. července 2024 a většina článků bude účinná od 10. července 2027. Toto nařízení představuje důležitý krok k jednotnému prosazování pravidel v celé EU, protože na rozdíl od dosavadních směrnic, které musely být vždy transponovány členskými státy do vnitrostátního právního řádu, má nařízení z podstaty věci přímou účinnost a neumožňuje regionální odlišnosti způsobené rozdílným přístupem k transpozici.  

Nařízení AMLR přichází s celou řadou změn. Vzhledem k objemu a rozsahu podrobnosti pravidel AML/CFT je pro povinné osoby důležité na všechny relevantní změny adekvátně zareagovat a zajistit tak, že jejich činnost, bez ohledu na oblast, bude v souladu s AMLR požadavky. Nařízení AMLR vyžaduje silný rámec interní kontroly a jasně definuje role manažerů a pracovníků pro dodržování předpisů, včetně požadavků na jejich jmenování, odpovědnosti a ochranu před odvetnými opatřeními. V následujících několika odstavcích si popíšeme, s čím je potřeba v budoucnu počítat.

Sjednocení pravidel napříč EU 

Dříve existující národní rozdíly ve výkladu AML/CFT pravidel vedly k regulační arbitráži, což motivovalo některé subjekty k přesouvání činností do méně přísných jurisdikcí. AMLR tato rizika eliminuje tím, že sjednocuje pravidla a zavádí jednotné standardy napříč EU v oblastech, jako jsou: 

• vnitřní strategie, postupy a kontroly povinných osob, pravidla pro outsourcing, 
• odpovědnosti managementu a AML funkcí, 
• rozsah a forma “Customer Due Diligence” (CDD), 
• rozsah a forma “Enhanced Due Diligence (EDD), 
• nastavení limitů hotovostních plateb, 
• povinnosti týkající se skutečných majitelů (UBO), 
• uchování údajů,  
• oznamovací povinnost a sdílení informací. 

Dopad pro české firmy: Firmy operující ve státech EU budou moci zavést jednotný AML přístup a strategii, což by mělo zvýšit efektivitu compliance a zároveň snížit náklady. 

Přísnější pravidla pro anonymní nástroje a kryptoměny  

Nařízení reaguje na rizika spojená s anonymními finančními nástroji, které představují klíčový problém v oblasti AML/CFT, a to tím, že zpřísňuje pravidla pro hotovostní transakce, reguluje služby spojené s kryptoměnami a vyžaduje identifikaci skutečného majitele u právnických osob i trustových struktur.  

Úvěrové a finanční instituce, stejně jako poskytovatelé služeb s kryptoměnami, nesmí vést anonymní bankovní a platební účty, anonymní vkladní knížky, anonymní bezpečnostní schránky ani anonymní kryptoměnové účty, a to včetně účtů umožňujících skrývání identity majitele nebo transakcí. 

Nařízení AMLR také nově stanovuje jednotný unijní maximální limit pro hotovostní platby ve výši 10 000 EUR, čímž omezuje prostor pro anonymní pohyby financí. Zároveň zavádí povinnosti pro poskytovatele služeb souvisejících s kryptoaktivy (CASP), kteří musí podléhat dohledu a dodržovat požadavky na identifikaci klienta a sledování transakcí, čímž reaguje na rizika spojená s anonymitou v digitálních aktivech.  

Rozšíření okruhu povinných osob 

Důvody rozšíření okruhu povinných osob vychází z analýzy slabých míst dosavadního systému a z cíle EU lépe pokrýt oblasti, kde se prokazatelně vyskytuje praní špinavých peněz a financování terorismu.  

Nařízení AMLR tak rozšiřuje okruh povinných osob o sektory s vysokým rizikem, sjednocuje pravidla, aby eliminovala regulační arbitráž a zločincům zabránila volit jurisdikce s menšími regulacemi, reflektuje nové technologie a trendy jako fintech a NFT a zavádí povinnosti pro poskytovatele služeb s virtuálními aktivy, a posiluje preventivní roli systému AML/CFT s cílem rychleji detekovat a zabránit zneužití podezřelých toků. EU se tímto balíčkem tedy snaží implementovat doporučení FATF a reagovat na mezinárodní tlak k zapojení dalších profesí do systému monitoringu transakcí. 

K dosavadnímu seznamu povinných osob, který již zahrnuje téměř všechny finanční instituce a různé druhy nefinančních subjektů (např. advokáty, účetní, realitní makléře, kasina či některé poskytovatele služeb v oblasti kryptoaktiv), přidává nová regulace další subjekty: 

• Všechny typy a kategorie poskytovatelů služeb v oblasti kryptoaktiv – budou považováni za finanční instituce se stejnými povinnostmi; 
• Platformy pro crowdfunding (hromadné financování); 
• Zprostředkovatelé hypotečních úvěrů a poskytovatelé spotřebitelských úvěrů, kteří nejsou finančními institucemi; 
• Zprostředkovatelé jednající jménem státních příslušníků třetích zemí za účelem získání povolení k pobytu v EU; 
• Obchodníci s luxusním zbožím s vysokou hodnotou, jako jsou klenotníci, hodináři, prodejci luxusních automobilů, letadel a jachet, jakož i kulturních předmětů (např. uměleckých děl); 
• Profesionální fotbalové kluby a hráčští agenti, pokud provádějí určité transakce (členské státy však budou mít možnost vyloučit z povinností kluby s nízkým rizikem). 

Mezi klíčové rizikové oblasti tak nově patří i transakce s investory a sponzory a hráčské přestupy. Profesionální fotbalové kluby a agenti by měli přijmout účinná opatření proti praní špinavých peněz, která zahrnují hloubkové prověřování investorů, sponzorů a dalších obchodních partnerů a protistran. Toto je obzvlášť významné pro Českou republiku, která se pravidelně potýká s korupčními kauzami z fotbalového prostředí. 

Povinnosti vrcholového vedení a compliance funkce  

Zatímco dříve byla AML compliance role vnímána jako podpůrná funkce, nyní je považována za strategickou roli s přímým vlivem na řízení společnosti. Povinné osoby musí mít zavedeny písemné a aktualizované vnitřní strategie, postupy a kontroly, které odpovídají jejich velikosti, povaze a rizikům. Tyto strategie mají zmírňovat rizika praní peněz, financování terorismu a obcházení sankcí. Zahrnují posouzení rizik, hloubkovou kontrolu klienta (CDD), oznamování podezřelých transakcí, uchovávání záznamů, prověřování zaměstnanců a školení. Mimo to musí povinné osoby rovněž provádět a dokumentovat celopodnikové posouzení rizik praní peněz a financování terorismu, zohledňující unijní a národní hodnocení rizik, mezinárodní standardy a klientskou základnu. Nové produkty a služby musí být vždy posouzeny před uvedením na trh. Nařízení AMLR také přináší změny v náhledu na postavení compliance officerů.   

Vrcholový management nese odpovědnost za zavedení a funkčnost AML rámce a určení AML/CFT odpovědné osoby. Tato AML/CFT odpovědná osoba s vysokým postavením v hierarchii a přímým přístupem k vedení, je odpovědná za strategie, postupy a kontroly v oblasti AML/CFT, včetně cílených finančních sankcí. Dále slouží jako kontaktní osoba pro příslušné orgány a je zodpovědná za oznamování podezřelých transakcí finanční zpravodajské jednotce. 

V neposlední řadě je nutné zajistit, aby zaměstnanci byli pravidelně školeni o AML/CFT požadavcích a rizicích. Ti, kteří se přímo podílejí na compliance, musí projít posouzením bezúhonnosti a odbornosti. Musí být zavedeny postupy pro předcházení střetům zájmů. Kromě toho musí povinné osoby zajistit plně funkční systém zajišťující whistleblowing, který podporuje ochranu oznamovatelů. 

Evidence a transparentnost skutečných majitelů 

Nařízení uvádí, že vlastnictví a ovládání jsou hlavními kritérii pro identifikaci skutečného majitele (UBO). Kritérium „vlastnictví“ se primárně aplikuje u obchodních korporací a posuzuje podíl zisku/likvidačním zůstatku, zatímco kritérium „ovládání“ se uplatní u všech právnických osob, pokud nelze skutečného majitele určit na základě podílu. Práh pro kvalifikaci jako UBO se také změní. Současný práh „více než 25 %“ bude snížen na „25 % nebo více“. Nařízení umožňuje Evropské komisi stanovit nižší práh, zpravidla 15 % nebo méně, pro určité korporátní subjekty, u nichž je vyšší riziko praní peněz nebo financování terorismu, například podle jejich oboru činnosti. 

 Skutečnými majiteli právnický osob jsou tedy osoby, které: 

• mají přímý nebo nepřímý vlastnický podíl ve společnosti (25 % nebo větší podíl, nebo podíl na hlasovacích právech); nebo 
• přímo či nepřímo kontrolují společnost nebo jinou právnickou osobu skrze vlastnické podíly nebo jiné prostředky.  

Nařízení dále eliminuje možnost volitelné identifikace většiny údajů a rozšiřuje rozsah informací získávaných od klientů. Informace o skutečných majitelích zahrnují: 

• Všechna jména a příjmení; 
• Místo a datum narození; 
• Adresu a zemi bydliště; 
• Státní příslušnost nebo státní příslušnost skutečného majitele; 
• Číslo dokladu totožnosti a jedinečné osobní identifikační číslo; 
• Informace o povaze a rozsahu účasti skutečného majitele; 
• Informace o právnické osobě, přes kterou je fyzická osoba skutečným majitelem v daném subjektu; 
• Popis vlastnické struktury v případě, že v ní figuruje více než jedna právnická osoba nebo právní uspořádání; 
• Charakteristika třídy obmyšlených v případě, že jsou identifikovány; 
• Identifikační údaje obmyšlených v případě, že jdou identifikováni.   

Pokud jsou právnické osoby založeny v EU, musí uchovávat přesné a aktuální informace o svých skutečných majitelích. Pokud jsou právnické osoby založeny mimo EU, jsou povinny poskytnout informace o skutečných majitelích centrálnímu registru v těchto případech: 

• Navázání obchodního vztahu s povinnou osobou; 
• Nákup nemovitosti v EU; 
• Pořízení motorového vozidla pro nekomerční účely, pokud cena přesahuje 250 000 EUR, nebo lodi či letadla za více než 7,5 milionu EUR; 
• Získání veřejné zakázky od vnitrostátního orgánu. 

Přísnější požadavky na sběr a správu dat / Změny v oblasti uchovávání údajů  

AMLR upravuje podmínky zpracování osobních údajů povinnými osobami za účelem prevence praní peněz a financování terorismu tak, že povinné osoby mohou zpracovávat specifické kategorie osobních údajů pouze v nezbytném rozsahu a s vysokým zabezpečením, přičemž musí informovat klienty o možnosti takového zpracování. Zpracování musí být zdrojově důvěryhodné, aktuální a nesmí vést k diskriminaci. Automatizované rozhodovací procesy, včetně použití umělé inteligence, jsou povoleny, pokud zahrnují lidský zásah a umožní klientovi rozhodnutí vysvětlit a napadnout.  

AMLR se dále zaměřuje na uchovávání záznamů, které musí být uchovávány po dobu pěti let po ukončení obchodního vztahu s možností prodloužení pro účely prevence a stíhání praní peněz. Všechny tyto informace pak musí být dostupné příslušným orgánům. 

Uplatnění opatření hloubkové kontroly klienta (CDD) 

Povinné osoby provádějí hloubkovou kontrolu klienta, včetně situací, kdy: 

• Navazují nový obchodní vztah; 
• Realizují jednorázové transakce v hodnotě alespoň 10 000 EUR; 
• Mají podezření na praní peněz nebo financování terorismu; 

Nařízení AMLR snižuje limit pro transakce, které nařizuje povinnost hloubkové kontroly klienta (CDD), z 15 000 EUR na 10 000 EUR. Zároveň se vyžaduje provádět omezené opatření CDD u příležitostných hotovostních transakcí dosahujících minimálně 3 000 EUR. Tyto limity se týkají jednotlivých i propojených transakcí.  

Nařízení AMLR poskytuje detailní popis opatření v případě zjednodušené a zesílené hloubkové kontroly. Vedle standardních opatření hloubkové kontroly AMLR unifikuje rovněž jejich zjednodušenou a zesílenou variantu v návaznosti na míru rizika spojenou s daným klientem. 

Přísnější podmínky pro outsourcing činností (článek 18 AMLR) 

Outsourcing činností v oblasti AML/CFT je povolen pouze za přísně definovaných podmínek, přičemž některé kritické úkoly je zakázáno outsourcovat. Podle článku 18 mohou povinné osoby outsourcovat AML/CFT úkoly až poté, co jej ohlásí svému dozorovému orgánu. Mezi požadavky na dodavatele patří: 

• Dodavatel musí být odborně způsobilý a kvalifikovaný; 
• Musí dodržovat AML zásady a postupy společnosti, která jej využívá; 
• Povinný subjekt musí pravidelně sledovat a kontrolovat outsourcované činnosti. 

Na seznamu úkolů, které nelze outsourcovat, se nachází: 

• Vypracování a schvalování celopodnikových hodnocení rizik; 
• Schvalování vnitřních AML strategií, postupů a kontrol; 
• Rozhodování o rizikovém profilu klienta; 
• Rozhodování o navázání obchodního vztahu nebo provedení příležitostné transakce s klientem; 
• Oznamování podezřelých aktivit finanční zpravodajské jednotce; 
• Schválení detekčních kritérií pro odhalování podezřelých nebo neobvyklých transakcí a činností. 

Shrnutí  

Nařízení AMLR představuje zásadní proměnu evropského rámce boje proti praní peněz a financování terorismu. Reaguje na technologický vývoj a reflektuje nová rizika spojená s digitálními aktivy, anonymními nástroji i komplexními vlastnickými strukturami. Jeho cílem je vytvoření jednotných pravidel napříč členskými státy EU, eliminace regulatorní arbitráže a posílení efektivity dohledového systému. Přináší komplexní požadavky na povinné osoby, přísněji reguluje kryptoměny, zvyšuje transparentnost vlastnických struktur a klade důraz na odpovědnost vrcholového vedení. 

Z pohledu českých firem i dohledových orgánů může úprava AML/CFT na úrovni nařízení přinášet i komplikace, a to z důvodu výkladu práva, který již nadále nebude probíhat v rámci České republiky tak, jak tomu bylo v případě AML zákona, který transponoval obsah evropských AML směrnic, ale budeme v tomto plně odkázaní na EU, což může způsobovat komplikace a průtahy. Zároveň se ale jedná o příležitost zavedení konzistentních standardů, jež může přispět k zvýšení efektivity, lepšímu řízení rizik a vyšší důvěryhodnosti na evropských trzích. Firmy by neměly čekat na rok 2027, ale již nyní zahájit přípravy. Včasná analýza dopadů, přizpůsobení vnitřních předpisů a systematické vzdělávání odpovědných osob představují klíčové kroky pro zajištění souladu a minimalizaci rizik. 

Následující články této série se zaměří na zbývající pilíře AML balíčku, zejména na roli nově vznikající evropské AML autority (AMLA), 6. směrnici a pravidla pro převody finančních prostředků. 

Chcete mít jistotu, že vaše společnost splní nové AML povinnosti? Obraťte se na naše odborníky, kteří vám pomohou s analýzou dopadů, nastavením interních procesů a přípravou na nové regulatorní požadavky. 

V případě dotazů nás můžete kdykoliv kontaktovat:

• Petr Kranda, partner PwC, Financial Crime Advisory: petr.kranda@pwc.com

Tento článek je součástí série věnované novému „AML balíčku“ Evropské unie. V jednotlivých částech této série se postupně zaměřujeme na klíčové pilíře nové legislativy: úvod o AML balíčku v najdete článku zde, popis změn v 6. AML směrnici (AMLD6) v článku zde, až po Nařízení o zřízení Anti-Money Laundering Authority (AMLA) a Nařízení o převodech finančních prostředků (TFR) popsané v článku zde. Cílem těchto článků je poskytnout srozumitelný přehled hlavních změn a praktických doporučení pro povinné osoby, nikoli právní analýzu či výklad jednotlivých ustanovení.