Artykuły eksperckie

Technologie FinTech stały się nieodłączną częścią światowego biznesu. Nowoczesna bankowość, płatności bezgotówkowe, cyfrowi doradcy PFM – Personal Finance Management – czy platformy crowdfundingowe to tylko kilka przykładów, gdzie technologia styka się z finansami. Startupy zaczynające funkcjonować w branży FinTech nie powinny jednak zapominać o okresowej walidacji swojej działalności. Na czym polega FinTech compliance i dlaczego warto o niego zadbać?

Czego dowiesz się z tego artykułu:

• FinTech compliance ma ogromne znaczenie dla każdego przedsiębiorstwa z obszaru cyfrowych finansów.
• Typowe obszary audytu obejmują RODO, AML, wykorzystanie AI i ochronę konsumenta.
• Decydując się na regularny audyt compliance minimalizujesz ryzyko odpowiedzialności prawnej.

Czym jest FinTech compliance?

Regularne badania compliance mają na celu upewnienie się, że dana organizacja funkcjonuje w zgodzie ze stawianymi jej wymaganiami. Te wymagania mogą wynikać z przepisów prawa, praktyk organów regulacyjnych, ale także standardów branżowych właściwych dla danego sektora. Nie jest niczym zaskakującym, że sektor finansowy jest jednym z najdokładniej regulowanych obszarów rynku ze względu na kluczowe znaczenie dla gospodarki. O ile jednak o compliance muszą dbać banki, SKOK-i, czy domy maklerskie, jeszcze do niedawna pojęcie zgodności nie pojawiało się raczej w kontekście FinTechów.

Nie należy jednak zapominać, że FinTechy stanowią w rzeczywistości hybrydy będące połączeniem tradycyjnego biznesu i nowoczesnych technologii. W rezultacie dotyczą jej wszystkie wymagania stawiane przed instytucjami finansowymi, ale też konieczność sprostania oczekiwaniom stawianym przed przedsiębiorstwami działającymi w przestrzeni cyfrowej.

FinTech compliance jest podwójnie wymagającym procesem, ponieważ musi uwzględniać równolegle dwie sfery – tę tradycyjną, związaną z przestrzeganiem obowiązujących regulacji oraz tę nowoczesną, która wynika wprost z cyfrowej specyfiki działalności gospodarczej.

Sprawdź również: Doradztwo prawne dla podmiotów w sektorze FinTech

Poznaj 4 powody, dla których compliance jest ważny dla FinTechów

Zgodność działania z przepisami jest istotna dla FinTechów z wielu względów. Czym ryzykuje organizacja, która zaniedbuje regularne badania zgodności?

1. Ryzyko nałożenia kar i sankcji – naruszenie przez organizacje zajmujące się finansami obowiązujących przepisów nierzadko wiąże się z ryzykiem potężnych kar finansowych liczonych w milionach euro, na co wskazuje chociażby regulacja AML, czy RODO;
2. Utrata kontroli nad danymi – ataki cyfrowe kierowane w stronę instytucji finansowych mogą mieć na celu wykradzenie danych o strategicznym znaczeniu, a także informacji dotyczących klientów. Jeśli dane to dostaną się w niepowołane ręce, przedsiębiorca ryzykuje odpowiedzialność za masowe naruszenie przetwarzania danych osobowych;
3. Zaburzenia w działaniu systemu – systemy FinTechów to zwykle mocno rozbudowane platformy, które wymagają dobrej optymalizacji. Nie chodzi jedynie o zapewnienie widoczności w sieci, ale przede wszystkim bezpieczeństwo i integralność platformy. Warto regularnie sprawdzać, czy system jest odporny na ataki z zewnątrz;
4. Spadek zaufania użytkowników – dla wielu przedsiębiorców działających w sieci największą szkodą jest utrata zaufania odbiorców. Platforma, która wydaje się niestabilna, która nie dba o ochronę danych klientów lub postępuje niezgodnie z prawem, ryzykuje bezpowrotną utratę klientów.

Kluczowe obszary FinTech compliance

Dokładny zakres audytu compliance zależy od specyfiki działalności prowadzonej przez przedsiębiorcę. Można jednak wskazać na najważniejsze obszary, których zweryfikowanie jest szczególnie istotne.

Możliwość legalnego świadczenia usług finansowych

W pierwszej kolejności należy upewnić się, czy dany rodzaj działalności FinTechu nie jest biznesem reglamentowanym. W takiej sytuacji konieczne będzie uzyskanie odpowiedniego zezwolenia, licencji lub koncesji. Doskonałym przykładem działalności, której wykonywanie wymaga spełnienia dużej ilości formalności, są instytucje płatnicze lub emitenci pieniądza elektronicznego. Pomijając kwestię konieczności opracowania złożonej dokumentacji, samo postępowanie przed regulatorem potrafi trwać kilkanaście miesięcy. Do czasu jego zakończenia świadczenie usług jest niedopuszczalne.

Procedury AML/CFT

Regulacje dotyczące przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu zostały w pierwotnej wersji zarysowane przez FATF, zaś wdrożone do polskiego porządku prawnego ustawą AML. Przepisy AML wprowadzają procedurę m.in., Know Your Customer, konieczność monitorowania relacji z klientami oraz raportowanie transakcji progowych do GIIF. W ramach AML instytucje obowiązane powinny m.in. opracować wewnętrzną procedurę, zadbać o szkolenie pracowników i monitorować podejrzane transakcje.

Sprawdź również: KYC (Know Your Customer) – na czym polega ta procedura?

Ochrona prywatności

Świadczenie usług finansowych wiąże się zwykle z przetwarzaniem danych osobowych. Dlatego FinTech powinien upewnić się, że realizuje swoje działania zgodnie z rozporządzeniem RODO lub innego aktu prawnego ustanawiającego standardy ochrony danych osobowych, np. kalifornijską ustawą CCPA. Europejskie przepisy o ochronie danych wprowadzają m.in. obowiązek wywiązania się administratora z zasady rozliczalności, regularne przeprowadzanie audytów RODO i wdrożenie zaawansowanych mechanizmów ochrony danych osobowych.

Wytyczne FFIEC oraz IBA

Organizacje działające w sektorze bankowym powinny zwrócić uwagę na wytyczne agencji Federal Financial Institutions Examination Council. Wprowadza ona wymagania dotyczące m.in. zarządzania ryzykiem, warstwowania ochrony, kontroli dostępu, monitorowania dostępu i edukacji konsumenckiej.

Instytucje finansowe mające siedzibę na terytorium Unii Europejskiej mają obowiązek uwzględnić także dyrektywy European Banking Authority (EBA). Regulują one m.in. dopuszczalność outsourcingu usług bankowych na podmioty trzecie, wymagania dotyczące bezpiecznych płatności i poziomu ochrony systemów IT.

Naturalnie powyższe wyliczenie ma jedynie charakter przykładowy. W praktyce duże znaczenie może mieć również ochrona konsumenta, zgodność z dyrektywą PSD2 i kwestie podatkowe. Audyt compliance dodatkowo komplikuje się w przypadku usług świadczonych transgranicznie. Dodatkowe wymagania pojawiają się w przypadku wykorzystania technologii AI.

Jak przeprowadzić badanie compliance w FinTechu?

Zaplanowanie audytu compliance w Fintechu jest bardzo ważne. Warto do tego celu skorzystać z usług multidyscyplinarnego zespołu składającego się z prawników, biegłych rewidentów, informatyków i specjalistów ds. cyberbezpieczeństwa. Tylko w ten sposób startup zyskuje gwarancję holistycznej oceny i bezpieczeństwa.

Jak często przeprowadzać audyt compliance FinTechu?

Kompleksowy audyt compliance warto przeprowadzić mniej więcej raz do roku. Zaleca się też badanie compliance w przypadku istotnych zmian w przedsiębiorstwie, np. wdrożenia nowej technologii opartej o AI, czy nawiązanie współpracy z nowym dostawcą usługi SaaS.

Czy fintechowy startup ma obowiązek preprowadzania audytów compliance?

Regularny przegląd niektórych procedur, jak np. AML, wynika z obowiązujących przepisów. Warto jednak regularnie zlecać kompleksowy audyt profesjonalistom, aby mieć pewność, że biznes jest prowadzony zgodnie z prawem. W ten sposób firma zwiększa swoje bezpieczeństwo i buduje zaufanie odbiorców jej usług.

Jak opracować kodeks dobrych praktyk dla startupu FinTech?

Katalog rekomendacji należy dobierać indywidualnie. Zwykle obejmuje on m.in. zarządzanie konfliktem interesów, ochronę informacji poufnych, outsourcing kluczowych funkcji, czy zasady funkcjonowania i aktualizacji infrastruktury IT. Warto zlecić sporządzenie takich wytycznych wyspecjalizowanej kancelarii prawnej.

Fintech compliance – Kancelaria After Legal

Kancelaria After Legal to zespół doświadczonych prawników specjalizujących się w prawie nowych technologii. Od lat obsługujemy sektor NewTech i Fintech. Doskonale orientujemy się w przepisach, które regulują blockchain, kryptowaluty, czy sztuczną inteligencję. Zapraszamy do współpracy wszystkie firmy działające na styku finansów i nowoczesnych technologii. Przeprowadzimy szczegółowy audyt zgodności, opracujemy zalecenia, a także zajmiemy się bieżącą obsługą prawną startupu Fintech.