O novo regime sobre prevenção de branqueamento de capitais (I): Os deveres de controlo previstos no Aviso do Banco de Portugal n.º 2/2018
SÉRVULO PUBLICATIONS 30 Oct 2018
No passado dia 26 de setembro de 2018, foi publicado o Aviso do Banco de Portugal n.º 2 /2018, de 26 de setembro (“Aviso n.º 2/2018”), o qual entra em vigor 60 dias após a data da sua publicação, isto é, no próximo dia 25 de novembro de 2018.
Com a aprovação deste novo instrumento regulamentar, o Banco de Portugal (“BdP”) procurou harmonizar, simplificar e concentrar, num só Aviso, várias matérias respeitantes à prevenção do branqueamento de capitais e financiamento ao terrorismo (“PBCFT”), que se encontravam dispersas em diferentes diplomas.
Mais precisamente, a entidade reguladora passou a regulamentar, num só diploma: (i)as condições de exercício dos deveres preventivos de branqueamento de capitais e do financiamento do terrorismo (previstos nos Capítulos IV e V da Lei n.º 83/2017, de 18 de agosto (“Lei n.º 83/2017” ou “Lei”); (ii) os meios e os mecanismos necessários ao cumprimento, pelas entidades financeiras, dos deveres previstos na Lei n.º 97/2017, de 23 de agosto, (“Lei n.º 97/2017”), tendo em a vista aplicação e a execução de medidas restritivas aprovadas pela Organização das Nações Unidas (“ONU”) ou pela União Europeia (“UE”); (iii) e ainda as medidas que os prestadores de serviços de pagamento, deverão adotar, para detetar as transferências de fundos, em situações em que as informações sobre o ordenante ou o beneficiário são omissas ou incompletas, e os procedimentos adequados a gerir as transferências de fundos, que não sejam acompanhadas das informações requeridas pelo Regulamento (UE) 2015/847, do Parlamento Europeu e do Conselho, de 20 de maio de 2015 (“Regulamento 2015/847”).
É ainda consagrado um novo regime próprio, aplicável ao Sistema Integrado do Crédito Agrícola Mútuo (“SICAM”), tendo em vista as suas especificidades.
Assim, com a construção desta nova arquitetura legal, aquele Aviso veio revogar os Avisos do Banco de Portugal n.º 5/2013, (“Aviso n.º 5/2013”) e n.º 9/2012, (“Aviso n.º 9/2012”), bem como as Instruções do Banco de Portugal n.ºs 46/2012 e 9/2017.
Dito isto, impõe-se fazer uma comparação entre o Aviso n.º 2/2018 com o Aviso n.º 5/2013, com a ressalva preliminar de que cada Aviso veio regulamentar Leis diferentes, sendo que o Aviso n.º 2/2018 veio revogar o Aviso n.º 5/2013, com o intuito de regulamentar a nova lei de PBCFT (Lei n.º 83/2017).
Anota-se, em primeiro lugar, que os dois Avisos adotam uma estrutura completamente diferente. O Aviso n.º 5/2013, depois das disposições de caráter geral, cuidou de ordenar e tratar: (i) num grupo, que designou como «deveres preventivos», os deveres de identificação, de diligência, de controlo e de formação; (ii) separando-o de um grupo distinto denominado «outros deveres» onde se incluem os deveres de recusa, conservação, exame, comunicação, abstenção colaboração, e segredo.
Por seu turno, o Aviso n.º 2/2018 procurou dotar este tema de uma sistematização diferente, conferindo uma maior ênfase aos deveres de controlo e de identificação e diligência, para depois se debruçar sobre aquilo que denominou de «outros deveres», nos quais incluiu os deveres de recusa, conservação, exame, não divulgação e de formação.
Neste Update cingiremos a nossa análise, aos chamados de «Deveres de Controlo».
Feita esta introdução, importa recordar que os n.ºs 1 e 4, ambos do artigo 13.º da Lei, preveem a designação de um órgão de administração que seja responsável pelas políticas, procedimentos e controlos, em matérias de prevenção do branqueamento de capitais e do financiamento do terrorismo. Com efeito, sempre que se demonstre adequado, poderá ser exigida às entidades obrigadas a designação de um membro da administração, responsável pela execução da referida lei, sem prejuízo da responsabilidade individual e colegial dos seus restantes membros.
O presente Aviso veio concretizar, no seu artigo 3.º, a forma como o membro do órgão de administração designado deve exercer as referidas funções, ou seja: (i) de um modo independente, com autonomia decisória necessária; (ii) rever, com sentido crítico, as decisões tomadas quanto ao não exercício de operações suspeitas, reportando, pelo menos mensalmente, ao órgão de administração, as conclusões dessa revisão; (iii) com acesso irrestrito e atempado a toda informação interna, considerada relevante; (iv) e, por último, sem sujeição a potenciais conflitos funcionais, nomeadamente através da atribuição de responsabilidades especificas a pelouros conflituantes, a não ser quando a natureza, dimensão e complexidades da atividade prosseguida pela entidade financeira o justifique, ou não se cumpram os requisitos previstos no n.º 5 do artigo 7.º ( sendo que neste último caso, as entidades visadas deverão munir-se de mecanismos de controlo adicionais, que permitam reduzir e atenuar os potenciais conflitos e riscos acrescidos, que possam emergir).
Quanto à revisão do sistema de controlo interno e das práticas de gestão de risco, a alínea d) do n.º 2 e o n.º 3 do artigo 12.º da Lei, previa que as entidades obrigadas revissem, com uma periodicidade adequada, não só a designação de um responsável pelo controlo do cumprimento do quadro normativo aplicável, como dos riscos existentes.
Agora, o novo Aviso veio regulamentar este tema, ao concretizar a periodicidade da revisão das políticas, procedimentos e controlos estabelecendo que ela deverá ser realizada com intervalos não superiores a doze meses, podendo o prazo ser estendido até vinte e quatro, quando a natureza, dimensão e complexidade da atividade prosseguida pela entidade financeira assim o justifique, bem como se a realidade operativa específica ou área de negócio em causa tiver uma menor exposição a riscos de branqueamento de capitais e de financiamento ao terrorismo.
Note-se que a revisão do sistema de controlo interno e das práticas de gestão de risco já referidas são distintas das avaliações periódicas e independentes à qualidade, à adequação e à eficácia das políticas, procedimentos e controlo das entidades financeiras, previstas no artigo 8.º do mesmo diploma, destinadas a efetuar uma avaliação da eficácia. Neste caso, as análises efetuadas são feitas de acordo com a alínea e) do n.º 2 do artigo 17.º da Lei e do n.º 1 do artigo 8.º do Aviso em análise, devendo, para o efeito, as mesmas serem realizadas por uma auditoria externa ou interna ou por entidade terceira que, devidamente qualificada, seja o garante da referida avaliação (cfr. n.º 2 do artigo 8.º).
Poderá dar-se o caso de haver uma dispensa ou simplificação de avaliações de risco individuais, na sequência das análises setoriais de riscos de branqueamento de capitais e de financiamento do terrorismo efetuadas pelo BdP, que identifiquem setores, cuja natureza, dimensão e complexidade da atividade prosseguida, assim o justifiquem e definam os procedimentos alternativos a adotar, através de notificação às entidades financeiras visadas.
Uma das preocupações do novo Aviso n.º 2/2018 foi a de fornecer um conjunto de fontes de informação, de caráter não exaustivo, para a identificação, avaliação e atenuação de riscos de branqueamento de capitais e financiamento ao terrorismo, previstos nos artigos 14.º e 15.º da Lei 83/2013. As referidas fontes estão elencadas no n.º 2 do artigo 6.º do Aviso em análise e, intencionalmente, não foram concretizadas. Isto porque, o BdP considerou ser mais conveniente as entidades financeiras adequarem à sua realidade operativa específica, o conjunto daquelas fontes de informação. Aliás, na mesma lógica com que foi definida a gestão de risco, prevista no artigo 14.º da Lei 83/2017.
Assim, no artigo 6.º, a entidade reguladora fixou que as entidades obrigadas devam recorrer a fontes de informação de natureza idónea, credível e diversificada, quanto à sua origem e natureza, para que possam ter uma base mais consistente de atuação, no contexto da prevenção ao branqueamento de capitais e financiamento ao terrorismo.
No artigo 16.º da Lei, previu-se a necessidade de as entidades obrigadas designarem um responsável pelo cumprimento do normativo, para zelar pelo cumprimento da legislação na área da PBCFT (cfr. artigo 7.º do Aviso), cuja seleção deverá ser efetuada com base em elevados padrões éticos e exigentes requisitos técnicos.
Nessa medida, o Aviso em análise, no seu artigo 7.º, veio concretamente definir o exercício daquela função, ao prever que o responsável pelo cumprimento do normativo deverá ser um elemento da direção de topo ou equiparado das entidades financeiras, ao qual caberá zelar - de forma independente, permanente, efetiva, autónoma e exclusiva - pela aplicação efetiva das políticas e dos procedimentos e controlos, adequados à gestão eficaz dos riscos PBCFT, a que a entidade visada a que ele pertence possa estar exposta. Deverá, portanto, preconizar o controlo efetivo do cumprimento do quadro normativo que temos vindo a referir, devendo para o efeito: (i) zelar pela aplicação efetiva de políticas e dos procedimentos e controlos adequados à gestão eficaz dos riscos de branqueamento de capitais e financiamento ao terrorismo; (ii) apoiar a preparação e execução das avaliações de eficácia, estatuídas nos artigos 8.º ; (iii) coordenar o reporte de relatórios e outra informações que sejam necessários remeter à entidade reguladora, para efeitos da PBCFT, designadamente comunicação da sua identidade e demais elementos identificativos do responsável pelo controlo normativo (cfr. artigo 73.º); (iv) e ainda aplicar as medidas restritivas previstas na Lei n.º 97/2017.
Recai ainda sobre aquele responsável o dever de conservação dos documentos e análises recolhidos ou elaborados no âmbito do cumprimento do presente Aviso (cfr. o seu artigo 4.º e o artigo 51.º da Lei).
Aqui chegados, cumpre salientar que as entidades financeiras deverão segregar de outras funções as do controlo propriamente dito do quadro normativo. O que não impede de acumular as funções de compliance, legalmente prevista, no artigo 17.º do Aviso do Banco de Portugal n.º 5/2008, de 1 de julho (“Aviso n.º 5/2008”), quando se verifiquem cumulativamente os requisitos previstos no n.º 5 do artigo 7.º.[1]
Ainda a este respeito, as entidades visadas deverão garantir que o responsável pelo cumprimento do normativo que temos vindo a falar não se encontre sujeito a potenciais conflitos, designadamente através da atribuição de pelouros conflituantes com a função de controlo do cumprimento do quadro normativo, ou ainda com a função de compliance já referida.
Portanto, as entidades financeiras deverão informar o regulador da identidade e demais elementos identificativos do responsável pelo cumprimento normativo, nos termos definidos no relatório de prevenção do branqueamento de capitais e do financiamento do terrorismo, bem como de quaisquer alterações a esses elementos, logo que as mesmas se verifiquem (cfr. n.º 10, do artigo 7.º e 73.º, ambos do Aviso n.º 2/2018).
E, por último, cumpre ainda evidenciar que o colaborador responsável por esta área, é considerado como titular de funções essenciais, ou seja, pese embora não pertençam a órgãos de administração ou fiscalização de Instituições de Crédito, que concretamente exercem funções que têm uma influência significativa na gestão daquela Instituição a que pertencem (cfr. do artigo 33.º- A do Regime Geral das Instituições de Crédito e Sociedades Financeiras (“RGICSF”) e n.º 11 do artigo 7.º do Aviso n.º 2/2018).
Conforme já referido, o diploma que temos vindo a analisar fixou, no seu artigo 8.º, a imposição às entidades financeiras de garantirem uma avaliação de eficácia, mediante a realização de avaliações periódicas e independentes à qualidade, adequação e eficácia das suas políticas e dos seus procedimentos e controlos, além dos elencados nos termos da alínea e) do n.º 2 do artigo 17.º da Lei. Porquanto, tais avaliações deverão incidir, pelo menos, sobre: (i) os procedimentos de identificação e diligência e de conservação adotados, (incluindo os executados por entidades terceiras, intermediários de crédito, promotores e outras relações de intermediação); (ii) a integridade, tempestividade e compreensibilidade dos reportes e relatórios gerados pelos sistemas de informação (cfr. os artigos 18.º e 19.º, ambos da Lei); (iii) a adequação dos procedimentos e controlos de monitorização de clientes e operações, sejam eles automatizados, manuais ou mistos; (iv)a adequação, abrangência e tempestividade dos processos de exame e comunicação de operações suspeitas; (v) a política de formação interna da entidade financeira, incluindo a adequação e abrangência das ações de formação ministradas; (vi) a qualidade, adequação e eficácia da execução dos processos, serviços ou atividades externalizados a terceiros prestadores de serviços (cfr. alínea a) do n.º 10 do artigo 38.º, sempre que aplicável); (vii) a celeridade e suficiência dos procedimentos corretivos de deficiências anteriormente detetadas em ações de auditoria ou de supervisão relacionadas com a PBFT.
Note-se que, para efeitos da implementação e cumprimento do dever de avaliação de eficácia já referido, (e por forma a que seja assegurada a independência dessa avaliação), as entidades financeiras deverão garantir a existência ou a subcontratação de uma função de auditoria interna ou externa, ou de uma entidade terceira devidamente qualificada.
A necessidade da existência ou subcontratação da referida função de auditoria (interna ou externa), só será dispensada para as entidades financeiras cujo número de colaboradores - com exceção dos administradores - sejam inferiores a trinta e cujos proveitos operacionais, sejam inferiores a € 20.000,00 euros.
Ainda no âmbito dos deveres de controlo, o regulador previu a adoção de procedimentos e sistemas de informação gerais e específicos, que abrangem as relações de negócio anteriores à entrada em vigor do presente instrumento regulamentar, devendo a comunicação de irregularidades ser feita, em relatórios com uma periodicidade anual (cfr. artigos 9.º e 10.º).
Com efeito, para cumprimento do disposto nos artigos 18.º e 19.º, ambos da Lei, as entidades financeiras deverão: (i) adotar ferramentas ou sistemas de gestão da informação que consolidem os registos relativos a relações de negócio, transações ocasionais ou operações em geral, próprias ou por conta de clientes, incluindo os suportes documentais recolhidos em cumprimento do dever de identificação e diligência; (ii) tratar da informação em bases de dados de acesso restrito, atribuindo diferentes classificações e perfis de acesso, em termos que previnam a sua partilha ou divulgação indevidas, dentro da própria entidade financeira ou perante terceiros; (iii) manter as bases de dados atualizadas e integralmente acessíveis, de forma a assegurar o cumprimento do disposto na alínea j), do n.º 2, do artigo 18.º da Lei.
Por sua vez, o presente Aviso, com vista a concretizar os conceitos de «pessoa politicamente exposta», «membro próximo da família» «pessoa reconhecida como estreitamente associada» ou «titular de outro cargo político ou público», veio consagrar um conjunto de procedimentos e sistemas de informação geral (cfr. artigo 9.º) para que as entidades visadas, - para além das fontes de informação, já referidas no artigo 6.º - pudessem socorrer-se de outras fontes que se ajustassem à sua realidade, nomeadamente: (i) os campos de informação específicos, incluídos na documentação ou nos registos de formalização da relação de negócio ou da transação ocasional, bem como no âmbito dos procedimentos de atualização previstos no artigo 34.º do presente Aviso;(ii) as declarações de controlo de riqueza, relativas aos rendimentos e ao património dos titulares de cargos relevantes de natureza política ou pública.
Cada entidade financeira deverá proceder à comunicação de irregularidades, mediante a elaboração de um relatório anual, o qual deverá conter, pelo menos: (i) a descrição dos canais específicos, independentes e anónimos, que internamente asseguram (de forma adequada) a receção, o tratamento e o arquivo das comunicações de irregularidades relacionadas com eventuais violações à Lei, ao presente Aviso e às políticas, procedimentos e controlos internamente definidos em matéria de PBCFT; (ii) uma indicação sucinta das comunicações recebidas e do seu respetivo processamento.
O dever de controlo que temos vindo a abordar não se cinge apenas às entidades visadas, mas também aos seus colaboradores, para os quais foi fixado um dever de identificação de colaboradores cujas funções sejam de execução dos deveres e diligência, nomeadamente na recolha, no registo e verificação dos meios comprovativos apresentados, os quais são obrigados a colocar, nos registos internos da entidade financeira, a sua identificação e a data em que praticaram aqueles atos, em moldes definidos por cada entidade visada (cfr. artigo 13.º).
Para melhor identificar e evitar que operações fracionadas escapem ao controlo das entidades visadas, o regulador estatuiu, no artigo 13.º do Aviso, um conjunto de procedimentos e registo centralizado relativo a transações ocasionais. Nessa medida, previu que as entidades financeiras se munissem de sistemas de controlo interno e de meios e procedimentos, que lhes permitissem distinguir os clientes com quem têm relações de negócios, daqueles que apenas fazem transações ocasionais.
Na verdade, e por forma a garantirem um efetivo controlo dos dois limites fixados na alínea b) do n.º 1 do artigo 23.º da Lei 83/2017, o Aviso 2/18 previu que fosse implementado um modelo de registo informatizado e centralizado de todas as transações efetuadas, independentemente do montante, isto por forma a que se possa detetar, mais facilmente, o fracionamento da operação. Em suma, cada registo efetuado, deverá conter a data e o valor da operação, o nome ou denominação completos, bem como o tipo e número de identificação do cliente em questão.
A entidade reguladora manifestou, ainda, a preocupação de que as transações ditas de ocasionais, fossem objeto de uma atualização constante, pelos procedimentos acima referidos. E, nessa medida, previu que, sempre que se efetuasse uma transação daquele tipo, o registo centralizado devesse ser imediatamente atualizado e aquelas novas informações ficassem disponíveis para toda a estrutura organizativa das entidades financeiras, bem como para os seus agentes, distribuidores e terceiros, com exceção das transações ocasionais fora de uma relação de negócios e as operações de troco e destroco, com um valor inferior a € 7.500,00 euros, que não apresentem um risco acrescido de branqueamento de capitais. Assim, e por forma a poderem mensurar concretamente o risco associado a uma dada operação de troco e de destroco, as entidades financeiras deverão considerar: (i)a troca de moedas ou notas por notas de denominação mais elevada, sem qualquer justificação plausível; (ii) a troca de notas por moedas ou notas de denominação mais baixa, quando tal não seja enquadrável na atividade do cliente da operação de troco e destroco; (iii) e, por último, a finalidade e montante da operação de troco e destroco, em função da ocupação profissional, atividade comercial e demais informação de que disponham sobre o cliente.
As entidades financeiras deverão ainda ter outros registos centralizados, (cfr. artigo 14.º) para prevenir técnicas de fracionamento de depósitos de valor inferior a € 10.000,00 euros e de depósitos em numerário realizados por terceiros, em contas tituladas por clientes, quando não se verifique a dispensa prevista no n.º 3 do artigo 31.º, relativa a esses depósitos. Estes registos deverão conter, pelo menos, a data e o valor do depósito, a conta de destino, bem como o nome ou a denominação completa e o tipo e número do documento de identificação do terceiro depositante.
A mesma ideia foi pensada para o aluguer de cofres. Também para estes casos, as entidades financeiras deverão manter um registo informatizado e centralizado das visitas efetuadas aos cofres, quer pelos locatários, quer por pessoas devidamente autorizadas por estes últimos, devendo, para o efeito, o registo informatizado conter, pelo menos, a data e a hora do início e do fim da visita, bem como o nome completo e o tipo e número do documento de identificação do locatário ou pessoa autorizada que realizou a visita.
Por último, as entidades visadas deverão assegurar que dispõem de mecanismos permanentes, rápidos e seguros, que garantam uma execução imediata, plena e eficaz das medidas restritivas (cfr. artigo 21.º em cumprimento da Lei n.º 97/2017) e permitam, pelo menos: (i) a deteção de quaisquer pessoas ou entidades, identificadas em medidas restritivas; (ii) o bloqueio ou a suspensão da realização de operações ou conjunto de operações, quando a entidade financeira deva dar cumprimento às obrigações de congelamento decorrentes das sanções financeiras (cfr. o disposto no artigo 16.º da Lei n.º 97/2017); (iii) e, ainda, a existência de canais de comunicação e procedimentos - fiáveis, seguros e eficazes - que garantam a adequada execução dos deveres de comunicação e de informação previstos, para efeitos do cumprimento do disposto no artigo 23.º da Lei n.º 97/2017, e que e assegurem a existência de uma estreita cooperação com a Direção-Geral de Política Externa do Ministério dos Negócios Estrangeiros e com o Gabinete de Planeamento, Estratégia, Avaliação e Relações Internacionais do Ministério das Finanças, de acordo com o disposto no artigo 22.º da Lei n.º 97/2017.
Recai ainda sobre a entidade visada, a monitorização do correto funcionamento dos meios e mecanismos implementados, destinados a assegurar o cumprimento das medidas restritivas, mediante a realização de avaliações periódicas e independentes, cabendo em concreto ao responsável do cumprimento do normativo, uma série de funções previstas nas alíneas a) a g) do n.º 5 do artigo 15.º.
A exceção à aplicação e execução das medidas restritivas, deverá ser feita em documento ou registo escrito, de acordo com os deveres de conservação previstos no artigo 40.º do presente Aviso, devendo para o efeito: (i) fundamentar-se a decisão de não execução; (ii) e fazer-se referência a quaisquer eventuais contactos informais, que tenham sido estabelecidos com as autoridades nacionais competentes, no processo de tomada da decisão, com a indicação das respetivas datas e meios de comunicação utilizados.
Luísa Cabral Menezes
lcm@servulo.com
[1]As entidades financeiras devem garantir a segregação, entre a função de controlo, do cumprimento do quadro normativo e outras funções, sem prejuízo de poderem cumular a função de controlo do cumprimento do quadro normativo com as demais competências atribuídas à função de compliance, sempre que: (i) o número de colaboradores, excluindo os administradores, seja igual ou superior a seis; (ii) e os proveitos operacionais no último exercício económico sejam iguais ou superiores a € 1 000.000,00 euros.