-0.5 C
Warszawa
niedziela, 24 listopada 2024

Czarna Lista Polskich Kont

Banki przygotowują system, który wytypuje polskie firmy podejrzane o pranie brudnych pieniędzy lub przestępstwa skarbowe.

Do 3 kwietnia br. banki miały czas na przekazanie informacji o swoich klientach Krajowej Izbie Rozliczeniowej (KIR). Informacje te mają posłużyć do stworzenia supersystemu, który będzie gromadził dane o kontach Polaków. Sektor bankowy wspólnie z Krajową Izbą Rozliczeniową realizuje właśnie projekt zatytułowany „Centralny Mechanizm Oceny”, który ma ułatwić stworzenie takiego systemu. Będzie on zawierał nie tylko dane o klientach biznesowych z całej Polski, lecz także „ocenę ryzyka” związanego z ich biznesową aktywnością. Do końca nie wiadomo, kto był rzeczywistym inicjatorem tego projektu oraz na jakiej podstawie prawnej będzie on realizowany. Rodzi się jednak pytanie, czy stworzenie w ramach realizowanego przez banki i Krajową Izbę Rozliczeniową wspólnego projektu takiej superbazy danych na temat kont polskich obywateli nie jest kolejną próbą ich inwigilacji i to na niespotykaną wcześniej skalę?

W walce z przestępcami

Krajowa Izba Rozliczeniowa to podmiot działający na podstawie przepisu art. 67 ustawy „Prawo Bankowe”. Izba skupia swoje działania na obszarze rozliczeń i płatności realizowanych w ramach takich systemów jak Elixir, Euro Elixir oraz Express Elixir. Z usług i produktów Krajowej Izby Rozliczeniowej korzystają banki na terenie Polski. To właśnie Krajowa Izba Rozliczeniowa ma być odpowiedzialna za przygotowanie systemu, który ma zastąpić wysłużonego CERBER-a. Jest to protoplasta obecnie konstruowanego systemu, który umożliwiał wgląd w nasze konta. Realizowany obecnie przez banki i Krajową Izbę Rozliczeniową „Centralny Mechanizm Oceny” od początku owiany był aurą tajemniczości. Wiadomo jedynie tyle, że dzięki niemu ma powstać centralna baza informacji o rachunkach firm w Polsce. W bazie tej mają m.in. znaleźć się takie dane jak numery PESEL, NIP oraz REGON. Ważnym elementem tej bazy będą również wszelkie dane kontaktowe, w tym adresy e-mailowe. Znajdą się tam jednak nie tylko dane właścicieli firm, lecz także ich pełnomocników. Baza będzie także zawierała ocenę ryzyka, która ma obejmować m.in. jego wyodrębnione kategorie oraz listę sprzyjających mu czynników. Jednym z elementów decydujących o takim ryzyku może być fakt rejestracji firmy pod wirtualnym adresem. Nie wiadomo jednak, w jaki sposób banki będą ustalały, czy dana firma lub jej właściciel mają wirtualny adres.

Centralny Mechanizm Oceny miał zacząć funkcjonować już 3 kwietnia 2017 roku. Dane, jakie będą pozyskiwane w ramach tego projektu, mają być przeliczane codziennie i codziennie też mają być ustalane czynniki ryzyka. Wiadomo, że serwery, na których znajdą się dane w ramach CMO, będą znajdowały się pod kontrolą Krajowej Izby Rozliczeniowej. System będzie zawierał dane ze wszystkich kont należących do polskich przedsiębiorców bez względu na to, czy są one wykorzystywane do wykonywania przelewów, czy do ich odbierania. W zamian za przekazywane do systemu dane banki otrzymają tzw. Risk Score, czyli ocenę ryzyka, jakie generuje dane konto. Jego wyliczenie i odpowiednie wyniki, będą decydowały o tym, czy podmiot znajdzie się na czarnej liście, czy też nie. Nie wiadomo dokładnie, co będzie oznaczać wciągnięcie danego podmiotu na czarną listę „ryzykantów”, w tworzonym systemie. To zagadnienie jest jeszcze przedmiotem ostatecznych ustaleń pomiędzy Ministerstwem Finansów oraz przedstawicielami sektora bankowego. Banki będą musiały na bieżąco archiwizować swoje dane, tak aby Ministerstwo Finansów mogło weryfikować informacje wprowadzone do systemu. Dokumentacja będzie wysyłana do Krajowej Izby Rozliczeniowej codziennie, ale tylko w przypadku otwarcia nowych rachunków.

Bez podstawy prawnej

Pojawiły się jednak głosy, że do chwili obecnej nie ma wystarczającej podstawy prawnej do funkcjonowania takiego właśnie systemu. Między innymi poseł Krzysztof Sitarski (Kukiz’15) złożył w tej sprawie interpelację. W serii pytań, jakie zostały przedstawione, były także te, które dotyczyły podstawy prawnej całego projektu. W odpowiedzi na interpelację Paweł Gruza – podsekretarz stanu w Ministerstwie Finansów, udzielił krótkiej odpowiedzi, która w żaden sposób nie rozwiała pojawiających się wątpliwości. Zdaniem Gruzy, Ministerstwo Finansów prowadziło prace „koncepcyjne”, dotyczące „usprawnienia dokonywania przez banki oraz spółdzielcze kasy oszczędnościowo-kredytowe sektorowej analizy ryzyka wykorzystywania działalności banków do celów mających związek z przestępstwem skarbowym”. Przekładając to na język polski, można przyjąć, że Ministerstwo Finansów „zastanawiało się”, jak wykorzystać banki i dane, którymi one dysponują do wykrywania przestępstw podatkowych. Podstawą prawną podejmowanych działań Ministerstwa Finansów było to, że opracowywane są rozwiązania legislacyjne służące ograniczeniu wykorzystywania przez przestępców uczestniczących w wyłudzających VAT, i istniejących „niedoskonałości” w przepływie informacji w ramach systemu bankowego. Jak usłyszeliśmy, prace te ciągle trwają, natomiast decyzja w kwestii zainicjowania odpowiedniego procesu legislacyjnego w tym zakresie zostanie w najbliższym czasie podjęta przez kierownictwo resortu finansów. Krótko mówiąc, prace te są na zbyt wczesnym etapie, aby można było mówić o zastrzeżeniach w zakresie ochrony danych przesyłanych przez banki. Tak mniej więcej zabrzmiała odpowiedź na pytania dotyczące zabezpieczeń danych przesyłanych przez banki w ramach Centralnego Mechanizmu Oceny.

Jak jednak zdołaliśmy ustalić, dane te są przesyłane w plikach w strukturze XML, która nie jest szyfrowana. Co więcej, okazało się również, że Komisja Nadzoru Finansowego (KNF) została poinformowana o prowadzonych w ministerstwie pracach nad Centralnym Mechanizmem Oceny. Ministerstwo zapewniło Komisję, że będzie współpracowało z nią w przypadku podjęcia prac legislacyjnych w tej materii. Tak więc mamy projekt, który gromadzi dane rachunków bankowych wszystkich polskich firm bez wyraźnej podstawy prawnej. Gdy Ministerstwo Finansów wpadło w ogień krytyki z powodu swoich prac, zaczęło uspokajać opinię publiczną. Urzędnicy zaczęli wówczas twierdzić, że pracują tylko nad rozwiązaniami, które mają zapobiegać w przyszłości wyłudzeniom podatku VAT. Jak komunikowali, jednym z ważnych elementów tych prac ma być opracowanie modelu ograniczenia możliwości wykorzystania systemu bankowego w przestępczym mechanizmie określanym jako tzw. karuzela VAT-owska. Według Ministerstwa Finansów już teraz banki mają obowiązek monitorowania poczynań swoich klientów pod względem działalności przestępczej. Jak podkreślają urzędnicy fiskusa, Centralny Mechanizm Oceny zakłada jedynie wykorzystanie informacji publicznych dostępnych w ewidencjach urzędowych oraz bazach stworzonych już przez banki. Centralny Mechanizm Oceny będzie więc jedynie koordynował działania prewencyjne Krajowej Administracji Skarbowej, nie zaś pozyskiwał wrażliwe informacje o podatnikach. Trudno się jednak zgodzić z taką opinią, albowiem jak inaczej KAS ma funkcjonować i kierować swoje działania prewencyjne bez znajomości danych wrażliwych? To trochę tak, jakby stwierdzić, że wywiad danego państwa podejmuje działa prewencyjne mające na celu zwalczanie terrorystów, nie zbierając przy tym informacji wrażliwych o swoich obywatelach.

Eksperci zauważają, że Ministerstwo Finansów udzielając odpowiedzi posłowi Sitarskiemu, delikatnie mówiąc, rozminęło się z prawdą, gdyż na dzień 28 lutego 2017 roku (jest to dzień sporządzenia pisma), nie można mówić o pracach koncepcyjnych, lecz o niemal gotowym już systemie. Co więcej, udostępniono środowisko testowe, które miało służyć przesyłaniu plików przez banki i sprawdzeniu całej maszynerii. Jak widać słowo „prace koncepcyjne” może być bardzo różnie rozumiane.

Kto znajdzie się na czarnej liście?

Centralny Mechanizm Oceny ma oficjalnie ułatwiać pracę Krajowej Administracji Skarbowej. Będzie to jednak możliwe dopiero wtedy, gdy system będzie oceniał sytuację danego rachunku bankowego i związane z nim ryzyko. Jedną z przyczyn znalezienia się na czarnej liście może być wskazany wcześniej przez nas fakt zarejestrowania firmy pod wirtualnym adresem. Inną przyczyną może być posiadanie przez daną firmę kilku lub kilkunastu kont bankowych. Jeszcze inną przyczyną może być sytuacja, w której kilka podmiotów będzie posiadało jednego pełnomocnika do konta bankowego, co stanie się podstawą do zwiększonej oceny ryzyka. Algorytm może także wyłapywać duże wpłaty lub wypłaty gotówkowe z konta oraz skokowy wzrost obrotów na koncie. Nie wiadomo również, jak zgromadzone przez CMO informacje zostaną ostatecznie wykorzystane przez Krajową Administrację Skarbową. Można jedynie przypuszczać, że kontrole skarbówki skupią się wówczas na tych podmiotach, które trafią na wspomnianą „czarną listę”. Istnieje również duże prawdopodobieństwo, że korzystając z CMO, banki będą dyskryminować podmioty, które uzyskały wątpliwą według wspomnianego algorytmu ocenę i nie będą chciały udzielać im kredytów czy pożyczek.

Cały tekst w najnowszej “Gazecie Finansowej”.

FMC27news