Банковское обозрение

Финансовая сфера

  • Влияние PSD2 и 5AMLD на KYC-процедуры в российских компаниях
31.07.2019 Best-practice
Влияние PSD2 и 5AMLD на KYC-процедуры в российских компаниях

Перед банковским бизнесом стоит задача повышению эффективности своей деятельности, одними из факторов которой становятся ускорение совершения платежей, их безопасность, а также быстрый доступ к средствам на счетах. Поговорим об особенностях регулирования этой сферы деятельности



Тенденции, которые отмечаются в развитии платежной сферы, также отражаются на внедряемых формах регулирования, которые распространяются как на резидентов, так и на нерезидентов той или иной территории.

Так, российские компании, оказывающие платежные услуги и заинтересованные в ведении деятельности в странах Европейского союза, обязаны соблюдать требования, предъявляемые законодательством ЕС.

Ключевыми актами, которые регулируют деятельность компаний, оказывающих услуги по переводам и платежам, являются Директива Европарламента № 2015/2366 (Payment Service Directive 2) и Директива Европарламента № 2018/843 от 30 мая 2018 года (5th Anti-Money Laundering Directive), вступившие в силу 13 января 2018 года и 9 июля 2018 года соответственно.

Директива PSD2 устанавливает правила и требования к осуществлению платежей на территории ЕС. В частности, она определяет понятия «провайдер платежных услуг» («payment service provider») и «провайдер платежного аккаунта» («account service provider»), определяет виды услуг, считающиеся платежными.

PSD2 также обязывает учреждения, которые оказывают платежные услуги, проходить регистрацию в уполномоченных органах стран — резидентов ЕС. Директива предусматривает участие и иностранных компаний в осуществлении платежей на территории ЕС. Иностранные компании могут рассматриваться Директивой как агенты, которые привлекаются организацией — резидентом ЕС для определенных целей, или, иными словами, для аутсорсинга определенного списка платежных услуг. Другим способом участия в осуществлении платежей на территории ЕС может быть учреждение дочернего общества или представительства на территории Евросоюза. Крупные международные компании предпочитают функционировать именно как представительства, то есть PayPal, Western Union, American Express учреждают в стране — резиденте ЕС представительство и осуществляют деятельность в соответствии с законодательством ЕС. Такие представительства так же, как и иностранные агенты, обязаны проходить регистрацию в уполномоченных органах.

В случае, если платежные институты — резиденты ЕС планируют предоставление платежных услуг на территории ЕС через иностранного агента, к примеру из России, то они обязаны зарегистрировать такого иностранного агента в уполномоченном органе страны — участницы EС. Например, финтех-компания TrueLayer, являющаяся резидентом Великобритании, предусматривает возможность установления агентских отношений в рамках предоставления услуг по платежным аккаунтам. Потенциальный агент может связаться с представителями TrueLayer для установления агентских отношений и возможности предоставления услуг от имени TrueLayer в качестве зарегистрированного агента. Если со стороны TrueLayer будет принято положительное решение об установлении деловых отношений, то со стороны резидента Великобритании необходимо будет провести регистрацию агента в Управлении по финансовому регулированию и надзору (Financial Conduct Authority).

Если организация открывает свое представительство или дочернюю компанию на территории ЕС, то процедуры регистрации в уполномоченных органах должны быть пройдены созданной организацией самостоятельно. Как пример можно рассмотреть сервис электронных денег Webmoney, одной из крупнейших электронных систем расчетов из России. Webmoney владеет Webmoney Europe Ltd, зарегистрированной в Великобритании, в уполномоченном органе (Financial Conduct Authority). Webmoney Europe Ltd является обществом, оказывающим услуги по проведению платежей и операциям с электронными деньгами, при этом не являющимся иностранным агентом.

Согласно требованиям PSD2, для регистрации агента платежный институт — резидент ЕС, который нанимает иностранного агента, должен передать в уполномоченный орган страны — участницы ЕС необходимые регистрационные сведения об агенте, которые включают кроме всего прочего описание механизмов внутреннего контроля, используемых провайдером платежных услуг в целях соблюдения требований законодательства о противодействии отмыванию денежных средств и финансированию терроризма.

Таким образом, PSD2 обязывает платежные институты, являющиеся резидентами стран ЕС, а также их агентов исполнять требования 5th AMLD, поэтому для прохождения регистрации в уполномоченных органах организации — резиденты ЕС и их платежные агенты должны полностью соответствовать не только предикатным требованиям PSD2, но и требованиям антиотмывочного законодательства.

Информация о механизмах внутреннего контроля, используемых провайдером платежных услуг или его агентом, представляется на основании требований, закрепленных 5th Anty-Money Laundering Directive. Эта Директива устанавливает общие требования к мерам и процессам, которые страны ЕС в лице регуляторов и организаций должны осуществлять в рамках противодействия отмыванию денежных средств и финансированию терроризма.

Основное требование, которое предъявляется к организациям, состоит в наличии достаточных и эффективных мер KYC, то есть мер по надлежащей проверке клиента, его представителей, бенефициарных владельцев, а также мер по оценке рисков, что является основным трендом усовершенствования механизмов ПОД/ФТ. Финансовые институты как в ЕС, так и России внедряют новые механизмы идентификации и аутентификации клиентов и совершенствуют существующие. Регуляторные требования в части идентификации и due diligence модернизируются и реформируются, становятся более обширными.

Учитывая существующие тренды и тенденции развития рынка платежных услуг организации, планирующие оказание платежных услуг на европейском рынке, в том числе в качестве платежных агентов, должны оценить, насколько механизмы контроля ПОД/ФТ, внедренные в компании на текущий момент, будут отвечать нормам, установленным европейским законодательством.

Согласно 5th AMLD, процессы по customer due diligence должны включать идентификацию личности клиента, его бенефициарного владельца и представителя, сбор информации о целях деловых отношений клиента с организацией, проведение постоянного и регулярного мониторинга установленных деловых отношений, а также изучение проводимых клиентом операций на предмет соответствия сведениям, которыми организация обладает о клиенте, сфере бизнес-деятельности клиента и уровне риска.

При необходимости организации, как и их агенты, могут проводить due diligence в части источников средств клиента. Обязательное требование — наличие актуальной информации о клиенте.

Важным аспектом является то, что Директива не ограничивает организации и их агентов в мерах, принимаемых при проведении due diligence. Организации могут расширить круг мер, усилить их на основании собственной оценки риска, которая также является обязательной мерой. Оценка должна проводиться организациями с учетом как минимум трех факторов:

• цели установления деловых отношений;

• объем активов (средств), предполагаемых к размещению клиентом, или предполагаемое количество проводимых клиентом операций;

• регулярность (периодичность) деловых отношений или их предполагаемая длительность.

Директива предусматривает разграничение и возможность применения как упрощенного, так и усиленного due diligence.

Проведение упрощенного due diligence возможно, во-первых, при условии, что законодательство страны — резидента ЕС предусматривает такого рода меры. Во-вторых, упрощенный due diligence возможен только при условии, что риск ОД/ФТ по отношению к деловым отношениям с клиентом оценен как низкий. Оценка уровня риска происходит посредством использования трехвекторной системы оценки, включающей:

• риск клиента;

• риск продукта, услуги, операций, механизма предоставления;

• географический риск1.

К каждой из перечисленных категорий Директива дополнительно устанавливает открытый список факторов, которые могут указывать на потенциально высокий или низкий риск, присваиваемый клиенту.

С точки зрения российского законодательства наличие риск-факторов, указывающих на низкий риск клиента, не предусмотрено, ввиду этого российским организациям необходимо разработать новые внутренние процессы и регуляторные положения. Важно отметить, что Директива не ограничивает список факторов, указывающих на низкий уровень риска, организации вправе самостоятельно дополнять списки факторов.

В свою очередь, усиленный due diligence должен быть проведен в случаях идентификации или возникновения высокого риска в целях соответствующего управления выявленным риском и его последующей митигации. Оценка риска происходит в рамках ранее упомянутых категорий для упрощенного due diligence, но в отличие от упрощенной формы усиленная предусматривает иные факторы, которые могли бы указывать на потенциально высокий риск. В большинстве случаев факторы аналогичны тем, что предусмотрены российским законодательством, однако есть и различия. В частности, высокий риск может быть присвоен в случае, если клиент представляет собой юридическое лицо или иное учреждение, которое является персональным средством хранения активов2, или если клиент, будучи гражданином третьей страны, обращается за видом на жительство или гражданством в стране ЕС в обмен на импорт капитала, покупку имущества, государственных облигаций или инвестиции в юридические лица в стране ЕС.

Кроме оценки рисков при усиленном due diligence организации в случае, если в деловых отношениях или операции участвует или присутствует высокорисковая третья страна, должны собирать дополнительную информацию о клиенте и его бенефециарном владельце, а также о целях деловых отношений.

Анализируя требования, предъявляемые директивами, можно сделать вывод, что большая часть мер и процессов отражена и в российском законодательстве. Российские нормы, как и европейские, обязывают иметь выстроенную систему внутреннего контроля, идентифицировать клиента до принятия его на обслуживание, оценивать риски при заключении или продолжении деловых отношений, выявлять бенефециарных владельцев клиентов, оценивать и анализировать совершаемые клиентом операции.

Однако некоторые процессы и требования в настоящий момент российским законодательством не предусмотрены. Касается это прежде всего глубины сведений, которые организации получают о бенефициарных владельцах, дополнительной информации, собираемой/получаемой о клиенте в рамках процессов due diligence. Кроме того, в настоящий момент российским законодательством не предусмотрено проведение усиленной идентификации, другими словами, усиленного due diligence. С одной стороны, можно определить процесс упрощенной идентификации как упрошенный due diligence, а процесс полной идентификации как усиленный due diligence, однако 5th AMLD предусматривает более глубокий и широкий спектр информации, получаемой от клиента.

Оценка рисков также не имеет единой градации с европейскими нормами, российские компании в силу действующего законодательства не оценивают риск-факторы, которые могут указывать на низкий риск деловых отношений с клиентом. Однако важно понимать: перечисленные различия не говорят о том, что уровень как законодательства, так и практики ПОД/ФТ в ЕС значительно выше, чем в России. В рассматриваемом случае различия по большей части обусловлены особенностями правового регулирования ЕС и развития рынка.

В связи с описанными выше различиями в подходах к реализации функции внутреннего контроля возникает определенная сложность исполнения европейских норм, так как правового регулирования PSD2 в России к настоящему моменту нет. Без разработанной регуляторной базы организации в случае принятия решения о ведении деятельности в качестве иностранного агента организации — резиденты ЕС вынуждены будут изменять существующие процессы due diligence и идентификации, а возможно, и разрабатывать новые, имея в качестве основы только мировую практику и иностранное законодательство. При этом внедрение новых практик и процессов не должно противоречить закрепленным российским нормам.

Поэтому важнейшими условиями дальнейшего развития сферы платежей являются разработка и принятие российских нормативных актов в части PSD2. При появлении регуляторных норм можно предположить, по какому пути развития пойдет практика по PSD2. С определенной долей вероятности обо всех действиях, которые организация будет предпринимать в отношении иностранных регуляторных органов (например, прохождение регистрация в иностранных уполномоченных органах, передача сведений и т.д.), необходимо будет предварительно оповещать уполномоченный российский орган. Такая форма взаимодействия может усложнить процесс оказания услуг, однако в перспективе оказания платежных услуг в юрисдикции ЕС усложненный процесс некритичен.

Подводя итог, можно сказать, что требования директив № 2015/2366 и № 2018/843 в целом совпадают с российскими и российские компании, имеющие адекватную и выстроенную систему комплаенса, вполне могут рассчитывать на работу в юрисдикции ЕС. Однако существуют и важные различия, которые в настоящий момент могут серьезно помешать или вовсе не позволить российским организациям работать на рынке ЕС. Ввиду отсутствия нормативного регулирования в России организации могут выполнять нормы директив не в полном объеме, а в случае их полного и корректного исполнения с точки зрения уполномоченных органов ЕС могут нарушить действующее российское законодательство, что может повлечь реализацию определенных рисков санкций со стороны регуляторных органов.


1. Согласно текущему списку стран, признаваемых высокорискованными в соответствии с 5th AMLD, Россия высокорискованной страной не является.

2. Например, трасты и сходные с ними структуры.




Присоединяйся к нам в телеграмм