Aktualności

Jak kształtują się najnowsze trendy legislacyjne w obszarze Legal FinTech?

W 2022 r. wydany został szereg komunikatów, stanowisk i wytycznych organów nadzoru, zarówno na poziomie europejskim, jak i krajowym dla podmiotów z sektora innowacji finansowych. Zmiany dotyczą także prawodawstwa: w kontekście aktów prawnych, które już weszły w życie jak i postępujących prac nad nadchodzącymi regulacjami. Ilość i wielotorowość zmian wyraźnie akcentuje szereg wyzwań regulacyjnych, jakie staną przed uczestnikami rynku.

Zapraszamy do lektury artykułu autorstwa prof. Jan Byrski oraz Piotr Orłowski.

Więcej na temat kluczowych zagadnień w obszarze sektora technologii finansowych już 21 września w trakcie konferencji Legal FinTech 2022.

Zapisy i szczegóły dotyczące wydarzenia na: https://bit.ly/3AG0B2v.

Najnowsze trendy legislacyjne w obszarze Legal FinTech

Obecny rok, mimo że upłynęła dopiero nieco ponad jego połowa, już można uznać za obfity w kontekście zmian regulacyjnych w sektorze innowacji finansowych (Legal FinTech). Wydany został szereg komunikatów, stanowisk i wytycznych organów nadzoru, zarówno na poziomie europejskim, jak i krajowym dla podmiotów z tego sektora. Zmiany dotyczą także prawodawstwa, zarówno w kontekście aktów prawnych, które już weszły w życie jak i postępujących prac nad nadchodzącymi regulacjami. Ilość i wielotorowość zmian wyraźnie akcentuje szereg wyzwań regulacyjnych, jakie staną przed uczestnikami rynku. Kluczowe zagadnienia w tym obszarze, na które uczestnicy rynku powinni zwrócić uwagę, zostaną omówione już 21.9.2022 r. przez wybitnych ekspertów w trakcie konferencji Legal FinTech 2022. W niniejszym opracowaniu przedstawiamy Państwu zarys problematyki, która zostanie omówiona podczas konferencji.

Usługi płatnicze bez licencji vs usługi regulowane

W dniu 24.2.2022 r. wraz z opublikowaniem przez Europejski Urząd Nadzoru Bankowego (EBA) nowych wytycznych dotyczących wyłączenia z tytułu ograniczonej sieci[1], wprowadzone zostały istotne zmiany w zakresie rozumienia tzw.  instrumentów płatniczych ograniczonej sieci, objętych wyłączeniem z zakresu zastosowania dyrektywy PSD2[2], a w konsekwencji implementującej jej ustawy o usługach płatniczych[3]. Wspomniane instrumenty, objęte wyłączeniem określonym w art. 3 lit. k PSD2, to instrumenty płatnicze:

  • służące nabywaniu towarów lub usług wyłącznie w placówkach wydawców;
  • służące nabywaniu towarów lub usług w ramach ograniczonej sieci podmiotów związanych bezpośrednią umową z  zawodowym wydawcą;
  • służące nabywaniu bardzo ograniczonego zakresu towarów lub usług;
  • regulowane ze względu na określone cele społeczne lub podatkowe przez krajowy lub samorządowy organ administracji publicznej.

Wytyczne EBA znajdują zastosowanie od 1.6.2022 r., a tzw. proces reautoryzacji już wpisanych podmiotów do rejestrów prowadzonych przez organu nadzoru powinien zakończyć się do 1.9.2022 r., i  dotyczą szeregu zagadnień, obejmujących przede wszystkim: nowy sposób rozumienia „ograniczonego zakresu towarów lub usług”, interpretację pojęcia ograniczonej sieci dostawców usług, sprecyzowanie wymogów dotyczących rozwiązań wdrażanych przez podmiot wydający instrumenty w ramach wyłączenia, a także wprowadzenie jasnych zasad separacji tradycyjnych oraz wyłączonych instrumentów płatniczych. Dokument porusza także zagadnienia dotyczące łączenia działalności regulowanej i  wyłączonej spod reżimu regulowanego, czy wydawania instrumentów ograniczonej sieci w kilku krajach.

Adresatami wytycznych są właściwe organy nadzoru w państwach, członkowskich, które powinny wezwać podmioty nadzorowane do ponownego przesłania powiadomienia, o którym mowa w art. 37 ust. 2 PSD2, uwzględniającego brzmienie nowowydanych wytycznych. W  związku z powyższym, podmioty korzystające dotychczas z wyłączenia – zgodnie ze stanowiskiem UKNF[4], będą musiały dokonać przeglądu swojej działalności i przeanalizować, czy wciąż jest ona objęta wyłączeniem, o którym mowa w art. 6 pkt 11 ustawy o usługach płatniczych.

Osobną kwestię stanowią zagadnienia związane ze współpracą zewnętrznych dostawców usług (TPP) z dostawcami usług płatniczych prowadzącymi rachunek użytkownika (ASPSP), w kontekście otwartej bankowości. W tym zakresie występują problemy z uzyskiwaniem odpowiedniego zakresu danych przez TPP od ASPSP. Drugą istotną kwestią jest stosowany mechanizm uwierzytelniania podczas uzyskiwania dostępu do informacji o rachunku w kontekście świadczenia usług przez TPP. .

Projektowane zmiany prawne dla sektora Lend-Tech

W zakresie sektora Lend-Tech prace nad zmianami prawnymi przebiegają dwutorowo. Na poziomie unijnym dotyczą opracowania nowej dyrektywy w sprawie kredytów konsumenckich (tzw. CCD2)[5], która ma przynieść szereg zmian względem dyrektywy obecnie obowiązującej. Obejmą one między innymi zmianę zakresu przedmiotowego, w tym usunięcie niektórych obecnie występujących wyjątków jak kredyt darmowy oraz kredyt o niewielkiej wartości i spłacie w ciągu 3 miesięcy. Projektowany akt prawny przyniesie także modyfikacje w zakresie obowiązków informacyjnych, czy zasad stosowania oceny zdolności kredytowej, w tym w oparciu o profilowanie danych osobowych.

Z kolei w Sejmie RP trwają prace nad projektem ustawy o zmianie niektórych ustaw w celu przeciwdziałania lichwie[6]. Projekt przewiduje szereg zmian mających na celu zapewnić odpowiedni standard ochrony konsumentów. Wśród nich można wymienić: wprowadzenie na poziomie Kodeksu cywilnego maksymalnych pozaodsetkowych kosztów dla pożyczek udzielanych w umowie zawieranej z osobą fizyczną i niezwiązanej bezpośrednio z działalnością gospodarczą lub zawodową tej osoby, przedkontraktowych obowiązków informacyjnych, czy zmniejszenie limitów maksymalnych pozaodsektowych kosztów dla kredytów podlegających reżimowi ustawy o kredycie konsumenckim. Ponadto projektowana ustawa ma wprowadzić zmiany w zakresie wymogów regulacyjnych dla instytucji pożyczkowych. Dodatkowo zgodnie z najnowszą wersją projektu instytucja pożyczkowa będzie mogła prowadzić działalność wyłącznie w formie spółki akcyjnej, albo w formie spółki z ograniczoną odpowiedzialnością, w której ustanowiono radę nadzorczą. Podniesiony zostanie także pułap minimalnego kapitału zakładowego dla takich podmiotów z dotychczasowych 200 000 zł do 1 000 000 zł.

Regulacje w obszarze kryptoaktywów, ze szczególnym uwzględnieniem kryptowalut

W obliczu rozwoju technologicznego i znaczącego wzrostu liczby innowacji, w ramach przygotowania Unii Europejskiej na erę cyfrową podejmowane są znaczne prace w obszarze finansów cyfrowych. Ich celem jest zarówno umożliwienie finansowania transformacji cyfrowej, jak i zapewnienie, żeby unijny sektor finansowy mógł jak najlepiej wykorzystać możliwości, jakie stwarza era cyfrowa i stał się konkurencyjny w skali globalnej. Aby zapewnić realizację tej strategii został przyjęty tzw. pakiet dotyczący finansów cyfrowych obejmujący między innymi projekty  regulacji w obrębie kryptoaktywów tj. Rozporządzenie w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (Rozporządzenie DLT)[7] i Rozporządzenie w sprawie rynków kryptoaktywów (MiCA)[8], a także Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA)[9]. Unia Europejska dostrzega szanse, jakie kryptoaktywa stwarzają dla rynku finansowego, jak przykładowo bogatsza oferta w zakresie usług finansowych i nowoczesnych płatności czy decentralizacja, jakkolwiek zauważane są także zagrożenia związane z tymi innowacjami, w związku z czym wskazane regulacje mają zapewnić zarazem odpowiedni standard ochrony konsumentów i stabilności finansowej.

Pierwszy ze wspomnianych aktów został już przyjęty i ogłoszony 2.6.2022 r. w Dzienniku Urzędowym UE, jakkolwiek większość regulacji w nim zawartych znajdzie zastosowanie od 23.3.2023 r. Regulacja ta, w przeciwieństwie do MiCA, dotyczy tych kryptoaktywów, które są jednocześnie instrumentami finansowymi. Akt określa wymogi dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) w tym zasady ich prowadzenia oraz reguluje zasady udzielania i cofania specjalnych zezwoleń na prowadzenie Infrastruktur rynkowych opartych na wspomnianej technologii oraz zwolnień z nimi powiązanych. Specjalne zezwolenia są ważne w całej UE przez okres sześciu lat od dnia wydania. Rozporządzenie wskazuje także, jakie instrumenty finansowe są dopuszczone do obrotu w infrastrukturze rynkowej opartej na technologii DLT.

Unia Europejska oczekuje, że tokenizacja instrumentów finansowych poprawi efektywność procesu obrotu i rozliczeń posttransakcyjnych. Regulacja ta była potrzebna, tym bardziej że unijne przepisy dot.  usług finansowych nie zostały opracowane z myślą o technologii DLT i kryptoaktywach. Dodatkowo kształt dotychczasowych regulacji w tym zakresie potencjalnie uniemożliwiał lub ograniczał korzystanie z technologii rozproszonego rejestru do celów emisji kryptoaktywów kwalifikujących się jako instrumenty finansowe, a także obrót takimi kryptoaktywami. Dotychczas względem kryptoaktywów będących instrumentami finansowymi, nie występowały także zatwierdzone infrastruktury rynku finansowego wykorzystujące technologię DLT do świadczenia usług obrotu, rozrachunku lub ich kombinacji, a rozwój rynku wtórnego takich kryptoaktywów mógłby przynieść znaczące korzyści. Wprowadzony system pilotażowy ma stanowić swego rodzaju test dla wykorzystania technologii rozproszonego rejestru w infrastrukturach rynkowych. W 2026 r. Komisja Europejska ma ocenić system pilotażowy oraz jego skuteczność, która to ocena posłuży do decyzji, czy powinien on funkcjonować dalej, a jeśli tak, to czy nie należy rozszerzyć go o nowe rodzaje instrumentów finansowych.

Drugim z unijnych aktów dotyczących kryptoaktywów jest projekt rozporządzenia MiCA,, które ma regulować między innymi działalność emitentów kryptowalut oraz świadczenie usług w zakresie kryptowalut. Projekt aktu dzieli regulowane przez siebie kryptoaktywa na tokeny powiązane z aktywami (rozumiane jako kryptoaktywa, mające utrzymywać stabilną wartość dzięki powiązaniu z wartością szeregu walut fiat, co najmniej jednego towaru, co najmniej jednego kryptoaktywa lub połączenia takich aktywów[10]), tokeny będące pieniądzem elektronicznym (rozumiane jako kryptoaktywa wykorzystywane głównie jako środek wymiany i które mają utrzymywać stabilną wartość dzięki powiązaniu z walutą fiat będącą prawnym środkiem płatniczym[11]) oraz kryptoaktywa inne niż tokeny wspomniane powyżej. Projekt rozporządzenia określa także między innymi zasady przeprowadzania oferty publicznej tokenów powiązanych z aktywami lub ubiegania się o dopuszczenie takich aktywów do obrotu na platformie obrotu kryptowalutami, w tym zasady wydawania zezwolenia na taką działalność, które ma być udzielane na jednolitych zasadach we wszystkich państwach członkowskich i być ważne w całej UE. Projektowane regulacje określają także obowiązki ciążące na emitentach kryptoaktywów, w tym wymogi posiadania aktywów rezerwowych, ich przechowywania i inwestowania.

Prace trwające nad regulacją kryptoaktywów w UE trwają już stosunkowo długo, a dotychczasowe projekty wywołują ożywioną dyskusję. Bezsprzecznie natomiast przed unijnym regulatorem stoi poważne wyzwanie uregulowania kryptoaktywów w sposób pozwalający na rozwój tej technologii i podmiotów opierających o nią swoją działalność w UE, przy zapewnieniu odpowiedniego standardu ochrony konsumentów i stabilności rynku finansowego. Zarazem, szybkość rozwoju technologicznego oceni,  gdy MiCA zostanie już przyjęte, czy nowe regulacje nie okażą się zbyt kazuistyczne i pojawiające się innowacje nie wymkną się szybko poza ich zakres. Zadania stojącego przed unijnym regulatorem nie ułatwia także fakt, że niektóre z kryptowalut, mogą kwalifikować się także jako pieniądz elektroniczny w rozumieniu dyrektywy 2009/110/WE z 16.9.2009 r. (EMD2) i podlegać pod regulacje w niej zawarte, co rodzi potrzebę zapewnienia odpowiedniej relacji pomiędzy tym aktem, a planowanym rozporządzeniem MiCA.

Procedury Know Your Customer (KYC) w kontekście nowych regulacji i wytycznych w obszarze AML, w tym zagadnienia dotyczące ochrony danych osobowych

Zmiany nadchodzą także w obszarze AML, a zwłaszcza w kontekście przetwarzania w tym celu danych osobowych. Komisja Europejska planuje nowy zestaw regulacji prawnych, które mają objąć między innymi powołanie nowego organu nadzoru UE w zakresie AML. Innym działaniem wspomnianego zestawu ma być uchwalenie rozporządzenia, wprowadzającego jednolite, bezpośrednio obowiązujące reguły, mającego uporządkować zasady dotyczące między innymi należytej staranności wobec klienta[12], służące uzyskaniu odpowiedniej wiedzy o nim przez podmioty obowiązane, co jest konieczne w procesie określania przez ryzyka prania pieniędzy i finansowania terroryzmu związanego ze stosunkami gospodarczymi lub sporadycznymi transakcjami oraz w podjęciu decyzji o odpowiednich środkach ograniczających ryzyko, które podmioty te muszą zastosować. Zmiany planowane przez Komisję Europejską w ramach zestawu regulacji w obszarze AML, pociągną za sobą konieczność aktualizacji dokumentacji wewnętrznej podmiotów obowiązanych, potrzebę przeprowadzenia dodatkowych szkoleń w podmiotach obowiązanych oraz wymóg modyfikacji funkcjonujących w organizacji procesów AML/CFT.

Aktywne w zakresie tzw. KYC pozostają także organy nadzorcze. Pod koniec grudnia 2021 roku Europejski Urząd Nadzoru Bankowego rozpoczął konsultacje w sprawie nowych wytycznych dla zdalnego onboardingu klienta, natomiast w marcu bieżącego roku ukazało się stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w oparciu o metodę wideoweryfikacji[13]. Stanowisko UKNF określa dobre praktyki w zakresie wypełniania obowiązków ustawy o AML, dotyczących tzw. KYC oraz onboardingu klienta. W dniu 23.3.2022 r. także Generalny Inspektor Informacji Finansowej wydał Komunikat nr 45 w sprawie oceniania informacji uzyskiwanych o klientach przez instytucje obowiązane i działań w przypadku braku możliwości zastosowania środków bezpieczeństwa finansowego[14].

Cyberbezpieczeństwo i chmura obliczeniowa

Rosnąca liczba cyberprzestępstw i złośliwego oprogramowania stanowi znaczące zagrożenie dla podmiotów rynku finansowego, zarówno z uwagi na wrażliwość danych, jakie są w ich posiadaniu, jak i powagę konsekwencji, do jakich może doprowadzić skuteczny atak cybernetyczny. Wobec tego nie dziwi, że w ostatniej, już czwartej aktualizacji Q&A w zakresie stosowania Komunikatu UKNF z 23.1.2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, jednym z głównych zagadnień była problematyka kluczy szyfrujących[15]. Organizacje zrzeszające podmioty z sektora finansowego także nie pozostają bierne. Opracowywane są standardy branżowe w zakresie wdrażania chmury obliczeniowej przez uczestników rynku, mające zapewnić zgodność z wymogami regulacyjnymi i nadzorczymi. W czerwcu ubiegłego roku ukazał się standard chmury obliczeniowej dla branży ubezpieczeniowej opublikowany przez Polską Izbę Ubezpieczeń, natomiast w lutym bieżącego roku, Związek Banków Polskich opublikował drugą wersję standardu wdrożenia chmury obliczeniowej publicznej lub hybrydowej POLISHCLOUD 2.0[16]. Spore zmiany prawne w zakresie cyberbezpieczeństwa i outsourcingu w sektorze finansowym przyniesie ze sobą rozporządzenie DORA[17], które ma objąć swoim zakresem 20 rodzajów regulowanych podmiotów sektora finansowego.

[1] Zob. Wytyczne dotyczące wyłączenia z tytułu ograniczonej sieci zgodnego z drugą dyrektywą w sprawie usług płatniczych (PSD2) https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2022/EBA-GL-2022-02%20GL%20on%20limited%20network%20exclusions/Translations/1030095/GL%20on%20the%20limited%20network%20exclusion%20under%20PSD2_PL_COR.pdf [dostęp: 11.07.2022].

[2] Dyrektywa PE i Rady z 25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, Dz.Urz. UE L Nr 337, s. 35.

[3] Ustawa z 19.8.2011 r. o usługach płatniczych, tj. z 17.9.2021 r. (Dz.U. z 2021 r. poz. 1907 ze zm.).

[4] Komunikat UKNF z 1.6.2022 r. ws. stosowania wyłączenia z art. 6 pkt 11 ustawy o usługach płatniczych, https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_ws_stosowania_wylaczenia_z_art_6_pkt_11_ustawy_o_uslugach_platniczych.pdf [dostęp: 11.7.2022].

[5] Zob. https://eur-lex.europa.eu/resource.html?uri=cellar:2df39e27-da3e-11eb-895a-01aa75ed71a1.0012.02/DOC_1&format=PDF [dostęp: 11.07.2022]

[6] Zob. https://orka.sejm.gov.pl/Druki9ka.nsf/0/9DDFBFBB05E71702C125881C0024379A/%24File/2143.pdf [dostęp: 11.7.2022].

[7] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/858 z 30.5.2022 r. w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru, a także zmiany rozporządzeń (UE) nr 600/2014 i (UE) nr 909/2014 oraz dyrektywy 2014/65/UE, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022R0858 [dostęp: 4.7.2022 r.].

[8] Wniosek Rozporządzenie Parlamentu Europejskiego i Rady  w sprawie rynków kryptoaktywów i zmieniające dyrektywę (UE) 2019/1937, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52020PC0593 

[dostęp: 4.7.2022 r.].

[9] Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014, https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52020PC0595&from=EN [dostęp: 11.7.2022 r.].

[10] Zob. Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniające dyrektywę (UE) 2019/1937, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52020PC0593 , s. 41.

[11] Ibidem.

[12] Zob. https://ec.europa.eu/info/publications/210720-anti-money-laundering-countering-financing-terrorism_en [dostęp: 11.7.2022 r.].

[13] Zob. Stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące identyfikacji klienta instytucjonalnego i weryfikacji jego tożsamości w sektorze finansowym podlegającym nadzorowi Komisji Nadzoru Finansowego w oparciu o metodę wideoweryfikacji, https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_dot_wideoweryfikacji_klientow_instytucjonalnych.pdf [dostęp: 11.7.2022 r.].

[14] Zob. https://www.gov.pl/web/finanse/komunikat-nr-45-w-sprawie-oceniania-informacji-uzyskiwanych-o-klientach-przez-instytucje-obowiazane-i-dzialan-w-przypadku-braku-mozliwosci-zastosowania-srodkow-bezpieczenstwa-finansowego [dostęp 11.7.2022 r.].

[15]  Pytania i odpowiedzi (Q&A) w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej https://www.knf.gov.pl/dla_rynku/fin_tech/chmura_obliczeniowa/Q&A [dostęp: 11.07.2022].

[16] STANDARD POLISHCLOUD 2.0, Związek Banków Polskich, Warszawa 2022, https://www.zbp.pl/getmedia/b12d42d9-b6e8-436a-9d30-c3071c436721/Standard-wdrozenia-uslugi-chmury-obliczniowej-publicznej-lub-hybrydowej [dostęp: 11.7.2022 r.].

[17] Wniosek Rozporządzenie PE i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014, https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52020PC0595&from=PL [dostęp: 11.7.2022 r.].