Najpierw Cię zmierzą, zważą, zrobią zdjęcia a potem i tak okaże się, że czegoś wciąż brakuje…

Powyższe może być dla niektórych osób opisem doświadczeń związanych z onboardingiem na giełdzie, czyli startem relacji biznesowej jeszcze przed rozpoczęciem tradeingu. Nie dotyczy to tylko naszej platformy, na ogół w serwisach, w których rejestruje się bez fizycznego kontaktu z reprezentantem serwisu, cały sektor około finansowy lub po prostu niebankowy, lecz dający możliwość wprowadzenia pieniędzy do systemu finansowego ma pewne określone przepisami prawa1 obowiązki, które muszą zostać zrealizowane. Poniższy wpis ma na celu zwiększenie świadomości użytkowników giełdy w sposób możliwie lekki i przystępny bez ustawowej nomenklatury oraz paragrafów (co ciekawsi na pewno poradzą sobie ze znalezieniem odniesienia do konkretnych przepisów czy wytycznych samodzielnie2), wskazać skąd te wszystkie obostrzenia i fanaberie. Rzeczą absolutnie oczywistą jest fakt, że bezpieczeństwo użytkowników i komfort korzystania z platformy (user experience) jest bardzo istotną niemal najważniejszą wytyczną, nie mniej jednak podstawowym celem prowadzenia jakiejkolwiek działalności w sektorze prywatnym jest uzyskiwanie możliwie najwyższego dochodu, to podstawowa zasada z ekonomicznego punktu widzenia. Gdyby opierać się wyłącznie na takich założeniach to giełdy krypto funkcjonowałyby jak kilka ładnych już lat temu, wystarczyłby tylko adres e-mail i hasło do konta, aby móc korzystać z giełdy (bo takie było jedno z założeń, gdy rynek krypto zaczynał się krystalizować!) – zdajemy sobie sprawę, że takie podmioty nadal funkcjonują, lecz nie jest to przedmiotem tego wpisu. Obserwując rosnącą popularność kryptowalut na świecie, ich potencjał a co najważniejsze ryzyka idące za niekontrolowanym przekazywaniem wartości finansowych regulatorzy poszczególnych krajów, organizacje międzyrządowe oraz międzynarodowe jak FATF czy UE, zdecydowały się w sposób prawny narzucić podmiotom z rynku krypto pewne określone obowiązki3. Zależnie od lokalizacji geograficznej obostrzenia są mniej lub bardziej podobne do konwencjonalnego rynku finansowego, podstawy jednak niemal zawsze są zbliżone w każdej lokalizacji. Obecnie widać tendencję do nakładania coraz bardziej restrykcyjnych obowiązków związanych z prowadzeniem działalności w sektorze kryptowalutowym.


1 Z perspektywy BitBay w tym kontekście są to po pierwsze regulacje związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniem terroryzmu, zatem ze względu na jurysdykcję estońska ustawa o Zapobieganiu Praniu pieniędzy oraz Finansowaniu Terroryzmu z 26.10.2017 r. z późniejszymi zmianami.
2 Niemniej jednak część istotnych informacji ściśle związanych z podstawami prawnymi znajdzie się w przypisach.
3 Po raz pierwszy podmioty krypto zostały wprost objęte regulacjami AML w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2018/843 z dnia 30 maja 2018 r. zmieniająca dyrektywę (UE) 2015/849 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz zmieniająca dyrektywy 2009/138/WE i 2013/36/UE (Tekst mający znaczenie dla EOG). Dotychczas zagrożenia związane z kryptowalutami były sygnalizowane np. w wytycznych FATF.

Najlepszym punktem odniesienia do rozpoczęcia uświadamiania użytkowników jest wytyczne i zalecenia organizacji międzyrządowych, np. zalecenia FATF, czy w przypadku Stanów Zjednoczonych Ameryki regulacje z ustawy Bank Secrecy Act. Owe regulacje to przepisy najogólniej rzecz biorąc związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu (dalej AML/CFT - ang. Anti Money Laundering / Combating Financing of Terrorism). Ze względu na wcześniej wspomnianą stosunkowo łatwą do osiągnięcia anonimowość kryptowaluty stały się w pewnym momencie bardzo atrakcyjnym narzędziem do transferowania w szybki i tani sposób środków pochodzących z przestępczości lub mimo pochodzenia z w pełni legalnego źródła przeznaczania ich na finansowanie terroryzmu. Było to jednym z podstawowych powodów, który wpłynął na decyzje, aby rynek kryptowlautowy uregulować (celowo pomijamy kwestie wpływu podatków do skarbu państwa, bo jest to zagadnienie bardzo indywidualne zarówno w kontekście regulatorów, jak i osób podlegających tym regulacjom). Zatem znając już powód prób – mniej lub bardziej udanych – regulacji rynku możemy przejść do obowiązków. Nie sposób przy tym nie wspomnieć, że podstawowe założenia są lustrzane względem „konwencjonalnego” rynku finansowego4. Oznacza to mniej więcej tyle, że stosując przepisy prawa związane z AML oraz wprowadzając odpowiednie procedury i rozwiązania praktyczne, należy po pierwsze przyjąć podejście oparte na dowodach oraz ocenie ryzyka.

W kwestii dowodowej nie ma zbyt wiele do wytłumaczenia, najprościej rzecz ujmując, jeżeli pozyskujesz jakieś informacje od klienta, to zdobądź też dowód potwierdzający te informacje. Istotne jest, że obowiązek ten jest po stronie instytucji obowiązanej, a nie klienta. Jeżeli nie ma możliwości ustalenia i potwierdzenia pewnych informacji samodzielnie trzeba zaangażować do tego klienta - tę kwestię opiszemy w dalszej części tekstu5.

W kwestii ryzyka sprawa się już trochę komplikuje, zarówno dla klienta, jak i podmiotu, z którym klient chce nawiązać relację biznesową. Otóż ryzyko w kontekście AML/CFT jest wielowymiarowe prawie jak uniwersum Marvela czy DC. Zasadniczo chodzi o to, aby dostrzegać ryzyko w różnych aspektach kontaktu z klientem: a to raz ze względu na obszar geograficzny, z jakim klient jest powiązany, dwa ze względu na instrumenty, z jakich klient korzysta oraz jak z nich korzysta, co więcej czy zachowania klienta są zgodne z ogólnym schematem, dalej czy struktura organizacyjna klienta jest nadmiernie złożona, czy klient jest osobą na eksponowanym stanowisku politycznym, czy jest obecny na listach sankcyjnych oraz wiele innych aspektów, które mogą generować ryzyko AML / CFT6. Wszystkie te czynniki są swego rodzaju cząstkową oceną ryzyka klienta. Głównie z tego powodu klientowi zadawane są te wszystkie pytania w ankiecie KYC. Po wyszacowaniu ryzyka klient przyporządkowywany jest do jednej z trzech a w zasadzie czterech klas ryzyka. Te trzy standardowe klasy to niskie, normalne i wysokie ryzyko a czwarta to klasa ryzyka nieakceptowalnego. Zgodnie z przepisami im wyższe ryzyko, tym intensywniej stosowane są środki bezpieczeństwa finansowego7. Przy najwyższym ryzyku – nieakceptowalnym – relacja biznesowa nie jest nawiązywana, a istniejąca jest wypowiadana. Klasa ryzyka może się zmienić podczas trwania relacji biznesowej w dowolnym kierunku. Know Your Customer – poznaj swojego klienta, zmierz go, zważ go, oszacuj ryzyko i zastanów się, czy jeszcze czegoś nie potrzebujesz.

Skoro podejście dowodowe oraz związane z oceną ryzyka zostało nakreślone, to możemy przejść do bardziej praktycznego stosowania przepisów AML. Kolejnym filarem będzie stosowanie środków bezpieczeństwa finansowego w postaci: identyfikacji klienta, weryfikacji jego tożsamości, zrozumienia celu relacji biznesowej, monitorowania relacji biznesowych oraz identyfikacji i weryfikacji beneficjentów rzeczywistych8 – to w dużym uproszczeniu, bo poszczególne powyżej wymienione środki bezpieczeństwa finansowego to bardzo obszerne zagadnienia, a ten tekst ma nieco inny motyw przewodni. Warto natomiast skupić się na zagadnieniu weryfikacji. Na potrzeby tego tekstu i łatwiejszego zrozumienia obowiązków dalsza część będzie opisana na przykładzie relacji biznesowej z osobą fizyczną.


4 § 2 ust. 6 estońskiej Ustawy AML.
5 § 20 ust. 5 estońskiej Ustawy AML
6 § 13 estońskiej Ustawy AML
7 § 32 ust. 1, § 36 ust. 1, § 38 ust. 1 estońskiej ustawy AML
8 § 19 - § 23 estońskiej ustawy AML


Otóż z perspektywy regulatora sprawa wygląda następująco: Instytucje obowiązane mają przed wejściem w relację biznesową zidentyfikować klienta, zweryfikować jego tożsamość, zrozumieć cel relacji biznesowej oraz ją monitorować9.

  • Identyfikacja klienta10 to ustalenie tożsamości, na którą składają się określone dane osobowe, odbywa się to podczas uzupełniania formularza KYC.
  • Weryfikacja tożsamości11 to zderzenie danych z poprzedniego punktu z dokumentami potwierdzającymi tożsamość oraz adres.
  • Cel relacji biznesowej12: ustalenie, w jakim celu klient zakłada konto – ankieta KYC.
  • Monitorowanie relacji13:
    • Odbywa się poprzez analizę aktywności klienta (np. monitoring transakcyjny).
    • Regularna aktualizacja określonych danych i dokumentów związanych z klientem.
    • Ustalenie źródła środków finansowych wpłacanych na giełdę – temu zagadnieniu poświęcimy osobny akapit.
    • Zwracania szczególnej uwagi na zachowania niemające uzasadnienia logicznego lub ekonomicznego.

Wszystkie środki bezpieczeństwa finansowego muszą być stosowane. Nie ma wyjątków, w obecnym stanie prawnym jest możliwość manipulowania zakresem i intensywnością ich stosowania14. W praktyce oznacza to np. że weryfikacja tożsamości może zostać przeprowadzona na podstawie 2 dokumentów tożsamości zamiast jednego lub klient zostanie poproszony o przedstawienie dodatkowych informacji na temat źródła środków wpłacanych na giełdę, dane adresowe mogą być weryfikowane na podstawie rachunku za media oraz przy pomocy przelewu weryfikacyjnego.

„Zostałem zweryfikowany, a wy dalej mnie weryfikujecie, chcecie nawet wyciąg z mojego konta!”. To codzienność w dziale odpowiedzialnym za AML. W tym miejscu warto zwrócić szczególną uwagę na dwa różne środki bezpieczeństwa finansowego:

  • weryfikację tożsamości potocznie nazywaną „weryfikacją”, ta część odbywa się na początku przygody z instytucją obowiązaną,
  • badaniem źródła pochodzenia środków finansowych wpłacanych na giełdę15, które najczęściej odbywa się w formie oświadczenia, które musi zostać udokumentowanie, o czym pisaliśmy wcześniej.

9 § 20 ust. 1 pkt 1-6 estońskiej ustawy AML
10 § 21 ust. 1 pkt 1-3 estońskiej ustawy AML
11 § 21 ust. 2 estońskiej ustawy AML
12 § 20 ust. 2 estońskiej ustawy AML
13 § 23 estońskiej ustawy AML
14 § 20 ust. 6 estońskiej ustawy AML
15 § 23 ust. 2 pkt 3, § 38 ust. 2 pkt 2 estońskiej ustawy AML


Owa dokumentacja to nic innego jak weryfikowanie tego, co klient oświadczył. I właśnie to słowo „weryfikacja” użyte w tym kontekście wprowadza małe zamieszanie…bo „…przecież już zostałem zweryfikowany…”. O ile weryfikacja tożsamości musi odbyć się na początku relacji biznesowej o tyle badanie źródła pochodzenia środków finansowych wpłacanych na giełdę nie koniecznie, bo jeżeli klient jeszcze nic nie wpłacił albo wpłaty były o niskiej wartości (np. takiej, że można je pokryć bieżącym wynagrodzeniem klienta) to w zasadzie nie ma co badać. Jeżeli natomiast na koncie klienta zaczynają pojawiać się wpłaty o większych wartościach, wtedy zastosowanie tego środka bezpieczeństwa finansowego staje się zasadne. Teraz biorąc pod uwagę powyższe plus, wcześniej wspomniane podejście oparte na dowodach staje się bardziej zrozumiałym, dlaczego oświadczenie o źródle pochodzenia środków finansowych wpłacanych do nas wymaga potwierdzenia np. udostępnieniem wyciągu z konta bankowego. Niestety giełda krypto to nie bank, my jako instytucja nie widzimy bieżących transakcji na koncie bankowym klienta, zatem nie znamy źródła pochodzenia środków finansowych, dlatego prosimy o podzielenie się tymi informacjami16. Co więcej, banki na podstawie szczególnych przepisów mogą się wymieniać takimi informacjami między sobą bez każdorazowego informowania o tym klientów. Naprawdę nie interesuje nas to, że klient robi zakupy w czerwonej drogerii oraz żółtym sklepie wielkopowierzchniowym, zresztą często część danych pozwalamy zasłonić, jeżeli nie mają związku z prowadzoną weryfikacją, co więcej nie jest w naszym interesie utrudnianie klientom dostępu do konta. Jak klient traduje, to giełda zarabia, nigdy tego nie ukrywaliśmy. Tutaj warto jeszcze wspomnieć o korelacji RODO – AML. W tym kontekście zapisy ustawy AML wskazują, że w interesie społecznym jest pozyskiwanie określonych informacji, zatem na potrzeby stosowania przepisów AML instytucja obowiązana ma prawo żądać przedstawienia określonych dokumentów, nie mniej jednak pozyskane w ten sposób informacje nie mogą być wykorzystywane do celów innych niż te przewidziane przepisami – np. do marketingu17. Dobra mamy rozróżnioną weryfikację tożsamości, badanie źródła środków finansowych wpłacanych na giełdę oraz kwestię RODO i AML, to na koniec zostaje jeszcze wskazanie, co się dzieje, jak nie da się zrealizować któregoś ze środków bezpieczeństwa finansowego.

Na to też się znajdzie paragraf, ale tekst miał być w luźnym tonie bez podstaw prawnych. Zatem najprościej rzecz ujmując, jeżeli określonych środków bezpieczeństwa finansowego nie da się zastosować to nie nawiązuje się relacji biznesowej a istniejącą się wypowiada (np. brak możliwości zidentyfikowania oraz zweryfikowania tożsamości18), jeżeli klient odmawia dostarczenia dokumentów koniecznych do realizacji tychże środków podczas istniejącej relacji biznesowej, uważa się to za podstawę do wypowiedzenia umowy oraz zgłoszenia podejrzanych zachowań do Jednostki Analityki Finansowej (ang. Financial Inteligence Unit, FIU) – to taki SWAT regulatora ;). Realizacja transakcji, dostęp do usługi tradeingu mogą zostać zatrzymane do momentu dostarczenia odpowiedniej dokumentacji pokazującej w sposób jednoznaczny pochodzenie środków wykorzystanych na giełdzie lub dokumentujących inny aspekt relacji biznesowej. A zwróciliście powyżej uwagę na regularną aktualizację danych? W związku z nią powyższe czynności nie muszą być jednorazowe podczas trwania relacji biznesowej19.


16 § 38 ust. 2 pkt 2 estońskiej ustawy AML
17 § 48 ust. 2 - 22 estońskiej ustawy AML
18 § 42 ust. 1 estońskiej ustawy AML
19 § 43 ust. 1 estońskiej ustawy AML


Podsumowując powyższe: pomijając szczegółowe paragrafy (podstawy prawne macie najczęściej w korespondencji od nas), przypadki ewidentnego prania pieniędzy lub finansowania terroryzmu, te wszystkie utrudnienia w dostępie do kryptowalut wynikają z obostrzeń regulacyjnych oraz potrzeby zapewnienia większego poziomu bezpieczeństwa w kontekście zdecydowanie szerszym niż ujęcie regionalne. Warto wiedzieć, że giełda stosuje środki bezpieczeństwa finansowego podyktowane ustawą, bo po prostu musi, a nie jest to jakiś wymysł analityków z działu AML. Podejście oparte na dowodach oraz ocenie ryzyka wymaga aby stosować środki bezpieczeństwa finansowego w sposób pozwalający to udokumentować oraz określić ryzyko. W określonych przypadkach brak możliwości zastosowania środków bezpieczeństwa finansowego może zakończyć się zgłoszeniem do FIU i wypowiedzeniem umowy świadczenia usług. Generalnie, jeżeli nie masz nic do ukrycia, to nie obawiaj się kolejnej weryfikacji, im chętniej współpracujesz, tym proces ten jest krótszy i mniej odczuwalny. Jeżeli natomiast masz coś do ukrycia… to idź gdzie indziej…

Kurtyna.