MAR – MiFID, MAR & Compliance

AI, machine learning i deep learning w „służbie” przeciwdziałania manipulacjom na rynkach

„Jane obserwuje wszystko. Potrafi wykonać milion zadań i zwracać uwagę

na tysiąc spraw równocześnie. Żadna z tych możliwości nie jest

nieskończona, ale można ją za taką uznać w porównaniu z naszą żałosną

zdolnością myślenia o jednym, gdy wykonujemy co innego.

Jej zmysły podlegają za to ograniczeniom, jakich my nie znamy…

a raczej: to my jesteśmy jej największym ograniczeniem.

Nie widzi i nie wie niczego, co nie zostało wprowadzone jako dane do komputera (…)”

O.S.Card „Ksenocyd”, st. 90.

Tematyka sztucznej inteligencji jest dzisiaj w fazie wznoszącego zainteresowania, pojęcie głębokie uczenie czy uczenie maszynowe są dziś odmieniane przez wszystkie możliwe przypadki (i bardzo słusznie!), zaś na skutek rewolucji ChatuGPT i pochodnych narzędzi, na znaczeniu zyskują pojęcia etyki (p. ethics by design, desing for values) przy projektowaniu i używaniu algorytmów ale też i pojawiają się głosy wieszczące powstanie osobliwości (jak u Raymonda Kurzweila) czy nawet zagłady człowieka. Coraz więcej słyszymy o neurotechnologii, transhumanizmie, genomice, dehumanizacji człowieka i wielu innych pojęciach z obszaru nauk, powiązanych z tematyką AI.

W niniejszym artykule nie odpowiem na pytania czy używanie algorytmów AI powinno być, jak chcą niektórzy, mocno ograniczone przez prawo, zasady etyki i standardy branżowe, czy też raczej powinniśmy pozwolić na nieograniczony rozwój technologii (jak chcą niektórzy transhumaniści właśnie), co ma doprowadzić do powstania transczłowieka (cyborga przejściowego), czy nawet postczłowieka (człowieka ostatecznego). Niniejszy artykuł skupia się na tematyce przeciwdziałania manipulacjom na rynku finansowym, właśnie z użyciem algorytmów, wszelkiej maści technologii uczenia maszynowego czy uczenia głębokiego. Jednakże nie jest wyczerpującym opracowaniem technik przeciwdziałania manipulacjom na rynku finansowym a raczej próbą analizy szans i zagrożeń związanych z używaniem algorytmów.

Czym jest tzw. „trade surveillance” na przykładzie banków i firm inwestycyjnych?

W Unii Europejskiej system tzw. „trade surveillance” został ustanowiony w art. 16 MAR[1] – „Zapobieganie nadużyciom na rynku i ich wykrywanie”. Zgodnie z art. 16 ust. 1 MAR operatorzy rynku i firmy inwestycyjne prowadzące system obrotu ustanawiają i utrzymują skuteczne rozwiązania, systemy i procedury mające na celu zapobieganie wykorzystywaniu informacji poufnych, manipulacjom na rynku i usiłowaniu wykorzystywania informacji poufnych i manipulacji na rynku oraz ich wykrywanie. Zgodnie zaś z art. 16 ust. 2 MAR każda osoba zawodowo zajmująca się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń ustanawia i utrzymuje skuteczne rozwiązania, systemy i procedury wykrywania i powiadamiania o podejrzanych zleceniach i transakcjach. Jeżeli osoba ta poweźmie uzasadnione podejrzenie, że zlecenie lub transakcja dotycząca jakiegokolwiek instrumentu finansowego może stanowić wykorzystywanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych lub manipulacji na rynku, bez względu na to, czy takie zlecenie złożono lub taką transakcję wykonano w ramach systemu obrotu, czy poza nim, niezwłocznie powiadamia właściwy organ[2].

Dalsze obowiązki dla m.in. firm inwestycyjnych czy banków znajdziemy w przepisach Rozporządzenia delegowanego Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania[3],

I tak zgodnie z art. 2 ust. 1 Rozporządzenia 2016/957 osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń ustanawiają i utrzymują rozwiązania, systemy i procedury, które zapewniają skuteczne i ciągłe monitorowanie – do celów wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku – wszystkich otrzymanych i przesłanych zleceń oraz wszystkich wykonanych transakcji oraz przesyłanie zgłoszeń STOR właściwym organom.

Wskazane powyżej rozwiązania, systemy i procedury, powinny, czym zbliżamy się do tematyki używania algorytmów AI w przeciwdziałaniu manipulacjom na rynku finansowym, zgodnie z art. 3 Rozporządzenia 2016/957, umożliwiać analizę, indywidualną i porównawczą, wszelkich wykonanych transakcji oraz złożonych, zmienionych, anulowanych lub odrzuconych zleceń, przeprowadzonych w ramach podsystemów systemu obrotu oraz, w przypadku osób zawodowo pośredniczących w zawieraniu transakcji lub wykonywaniu zleceń, również poza systemem obrotu, a także generować ostrzeżenia wskazujące na aktywność wymagającą dalszej analizy do celów wykrywania potencjalnego wykorzystywania informacji poufnych, manipulacji na rynku lub usiłowania wykorzystania informacji poufnych bądź manipulacji na rynku.

Dodatkowo, zgodnie z art. 3 ust. 4 Rozporządzenia 2016/957 osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, operatorzy rynku i firmy inwestycyjne prowadzące system obrotu wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka w ramach monitorowania, wykrywania i identyfikacji transakcji i zleceń, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku.

Gdybyśmy zatem mieli w sposób obrazowy pokazać system „trade surveillance” to w wielkim uproszczeniu powinien on w firmie inwestycyjnej czy banku wyglądać w następujący sposób:

Używanie zaawansowanych metod uczenia maszynowego do przeciwdziałania manipulacji na rynku finansowym

Dzięki ciągłemu postępowi algorytmów sztucznej inteligencji poddziedzina uczenia maszynowego umożliwia dzisiaj tworzenie coraz bardziej autonomicznych systemów zawierania transakcji czy handlu algorytmicznego. Jednakowoż tak szybki rozwój systemów transakcyjnych w oparciu o uczenie maszynowe implikuje ciągły rozwój systemów trade surveillance, w przeciwnym wypadku przeciwdziałanie manipulacji może nie nadążyć za samą manipulacją („Change has never been as fast as it is now, and it will never be as slow again” cytując nagłówki kilku artykułów). Algorytmy transakcyjne, szkolone technikami uczenia nadzorowanego, uczenia nienadzorowanego czy uczenia ze wzmacnianiem mogą „zachowywać się” w niezrozumiały dla człowieka sposób, zarówno pozytywny jak i negatywny, co może prowadzić nawet do „powstania” nowych form, technik manipulacji instrumentami finansowymi. Dlatego mówi się, że może istnieć potrzeba zmiany paradygmatu regulacyjnego na rzecz zwiększonej elastyczności wobec wyzwań stawianych przez ciągle ewoluujący technologiczny ekosystem rynkowy, tak aby skutecznie chronić integralność rynków[4]. Z wykorzystaniem zaawansowanych technik uczenia maszynowego i uczenia głębokiego związane są też potencjalne zagrożenia powstania nowych form algorytmicznej manipulacji czy innych nadużyć na rynku, które będą niezależne od jakiejkolwiek bezpośredniej ludzkiej ingerencji.

Używając pojęcia z nauk biologicznych, można zauważyć, że proliferacja (mnożenie się) poszczególnych rynków na świecie ale także nowych instrumentów finansowych, są fundamentalnymi czynnikami przyczyniającymi się do generowania ogromnej ilości szczegółowych i wysokiej częstotliwości danych, co przekłada się na skuteczność uczenia algorytmów zawierających transakcje na instrumentach finansowych, ale i tych, które składają zlecenia (tzw. ordery), a które to zlecenia także mogą wpłynąć na integralność rynków[5]. Z drugiej strony algorytmy oparte o uczenie maszynowe są dzisiaj w stanie podejmować decyzje inwestycyjne w oparciu o dane, które nie są zrozumiałe dla człowieka, co może prowadzić do trudności, zgodnie z cytowanymi wyżej przepisami systemu MAR, w dokonaniu efektywnej analizy przez człowieka.

Patrząc z punktu widzenia zarówno algorytmów transakcyjnych i algorytmów przeciwdziałania manipulacjom na rynkach, oba te typy „systemów” muszą już dziś działać w złożonym i dynamicznym środowisku rynkowym, ale co ciekawe algorytmy w środowisku produkcyjnym mogą zachowywać się w odmienny sposób, niż te w środowisku testowym, co implikuje, że już faza wdrożeniowa algorytmów przeciwdziałania manipulacjom na rynku, opartych np. o metody uczenia ze wzmocnieniem, wymaga uwzględnienia kilku ograniczeń, np. pojawia się ograniczenie określane jako „przekleństwo wymiarowości”, które oznacza „trudności wynikające z analizy danych opisanych dużą liczbą cech wymiarów(…).Trudności te wynikają przede wszystkim z gwałtownego (wykładniczego) wzrostu objętości hiperprzestrzeni wraz ze wzrostem jej wymiaru”[6] bądź „odnosi się do sytuacji, gdy poprawna klasyfikacja obiektów, wykorzystując pełny zbiór danych, jest niemal niemożliwa, a wielość charakterystyk w wektorze skutkuje wzrostem liczby parametrów, co skutkuje wzrostem złożoność klasyfikatora”[7].

Przy okazji warto wskazać, że istnieją również dość zasadnicze wyzwania związane z oceną jakości badań z zakresu uczenia maszynowego, które jest stosowane w algorytmach przeciwdziałania manipulacji na rynkach. Bo chociaż badania z zakresu uczenia maszynowego są coraz bardziej zaawansowane, to już zarówno teoria jak i praktyka takiego przeciwdziałania nie dostarcza dotychczas przekonującego naukowego modelu ani nawet metodyki do analizy różnych metod uczenia maszynowego w kontekście systemów „trade surveillance”

Tak znaczący rozwój technik handlu algorytmicznego opartych o głębokie uczenie, uczenie maszynowe i inne techniki, abstrahując od korzyści biznesowych, niesie jednak za sobą zagrożenia, gdzie decyzje inwestycyjne podejmowane przez niezależne algorytmy mogą być wykorzystywane do dokonywania zaawansowanych manipulacji na rynkach finansowych, dlatego też etyczne nauczanie algorytmów, w którym nie zawsze maksymalizacja zysków jest celem nadrzędnym algorytmu, jest jednym z kluczowych czynników dla tworzenia algorytmów handlu algorytmicznego opartych o ww. techniki.

Do powyższych rozważań warto dodać także aspekt behawiorystyczny – im więcej coraz bardziej zaawansowanych narzędzi technologicznych będzie coraz bardziej dostępnych dla szerszego kręgu odbiorców, tym większe prawdopodobieństwo, że trafią one także ręce potencjalnych „manipulatorów”. „Technologia jest w swej istocie neutralna. To ludzie wykorzystują ją do czynienia dobra lub zła. Przełomowe technologie czasem stają się ogniem Prometeusza, a czasem puszką Pandory, w zależności od człowieka, który robi z nich określony użytek”[8].

Konkludując systemy trade surveillance oparte na sztucznej inteligencji, uczeniu maszynowym, głębokim uczeniu itp. są ewolucyjnym krokiem naprzód w technikach przeciwdziałania manipulacjom na rynku finansowym. Ciągły postęp w metodach uczenia maszynowego stosowanych w przeciwdziałaniu manipulacjom na rynkach zasadniczo ma szansę otworzyć drogę do nowych metod opartych na „głębokim uczeniu ze wzmocnieniem”, które z czasem mają szansę przekształcić się w niemalże autonomiczne lub nawet w pełni autonomiczne systemy przeciwdziałania manipulacjom na rynku finansowym.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 z dnia 16 kwietnia 2014 r. w sprawie nadużyć na rynku (rozporządzenie w sprawie nadużyć na rynku) oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE, Dziennik Urzędowy Unii Europejskiej z 12.6.2014, nr L 173/1, zmienione Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/2115 z dnia 27 listopada 2019 r. zmieniającym dyrektywę 2014/65/UE oraz rozporządzenia (UE) nr 596/2014 i (UE) 2017/1129 w odniesieniu do promowania korzystania z rynków rozwoju MŚP, Dziennik Urzędowy Unii Europejskiej z 11.12.2019, nr L 320/1.

[2] Za G.Włodarczyk, Trade surveillance (pod MAR) dla osób zawodowo zajmujących się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń – część pierwsza – wprowadzenie, Compliance&MiFID, 2016 r., https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: 24.05.2023 r.].

[3] Dziennik Urzędowy Unii Europejskiej z 17.6.2016, nr L 160/1.

_{[4] A.W. Lo, Adaptive Markets: Financial Evolution at the Speed of Thought, Princeton University Press (ed. 2019).}

[5] Por. tzw. scenariusze manipulacyjne oparte o „ordery” a określone w Rozporządzeniu delegowanym Komisji (UE) 2016/522 z dnia 17 grudnia 2015 r. uzupełniającym rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w kwestiach dotyczących wyłączenia niektórych organów publicznych i banków centralnych państw trzecich, okoliczności wskazujących na manipulację na rynku, progów powodujących powstanie obowiązku podania informacji do wiadomości publicznej, właściwych organów do celów powiadomień o opóźnieniach, zgody na obrót w okresach zamkniętych oraz rodzajów transakcji wykonywanych przez osoby pełniące obowiązki zarządcze podlegających obowiązkowi powiadomienia, typu „ping orders”, „placing orders with no intention of executing them”, „phishing” i inne.

[6] K. Migdał-Najman, Ocena wpływu wartości stałej minkowskiego na możliwość identyfikacji struktury grupowej danych o wysokim wymiarze, Prace Naukowe Uniwersytetu Ekonomicznego We Wrocławiu, https://www.dbc.wroc.pl/Content/29500/Migdal-Najman_Ocena_Wplywu_Wartosci_Stalej_Minikowskiego_Na_Mozliwosci_2015.pdf [dostęp: 24.05.2023 r.].

[7] Wikipedia, za: R.O. Duda, P.E. Hart, D.G. Stork, Pattern Classification 2ed., Wiley, New York 2000

[8] Kai Fu Lee, Ch. Qiufan, sztuczna inteligencja 2041, 10 wizji przyszłości, Wyd. Media Rodzina, 2022.

Pre-hedging, last look a front-running

ESMA opublikowała dokument konsultacyjny z prośbą o analizę przez uczestników rynku oraz informacją, że uczestnicy rynku proszeni są o uwagi oraz odpowiedzi na pytania zadane przez ESMA. Dokument nosi nazwę Call for Evidence on pre-hedging[1]. ESMA zbiera uwagi uczestników rynku do dnia 30 września 2022 r.

To co jest kluczowym dla omawianego dokumentu, to sam fakt, że próbuje on uregulować praktykę tzw. pre-hedning’u. Warto wskazać także, że ze wskazaną praktyką powiązane są także takie pojęcia jak „last look” czy „fron-trunning”. O ile pojęcie frontrunning’u na gruncie MAR[2] jest, wydaje się, pojęciem znanym, o tyle kwestie pre-hedning’u czy „last look” nie zostały dotychczas wyczerpująco opisane w polskiej literaturze.

Jeśli chodzi o opracowania anglojęzyczne to bez dwóch zdań warto wskazać na „FX Global Code – A set of global principles of good practice in the foreign exchange market”[3], czy „Global Foreign Exchange Committee: Commentary on Principle 11 and the role of pre‐hedging in today’s FX landscape”[4] z 2021 r., „Global Foreign Exchange Committee: Execution Principles Working Group Report on Last Look”[5] również z 2021 r.

Niniejsze opracowanie ma na celu przybliżyć i wyjaśnić zarówno ww. pojęcia jak i samą praktykę pre-hedning’u, wraz z odniesieniem do dokumentu ESMA. Warto pamiętać, że omawiane praktyki nie są wyłącznie przypisane do „systemu MAR” ale de facto funkcjonują gdzieś pomiędzy systemami „MAR” i „MiFID II”.

Na chwilę obecną nie istnieją polskie odpowiedniki opisanych sformułowań, poza tzw. front-runningiem, czyli jak chce tego Rozporządzenie MAR – „dokonywaniem własnych transakcji na podstawie wiedzy o zleceniach klientów”[6]. Praktykę pre-hedning’u można by określić jako „wyprzedzające zabezpieczenie” (autor uważa, że to sformułowanie bardziej odzwierciedla wskazaną praktykę aniżeli „zabezpieczenie z wyprzedzeniem”).

Praktykę „last look” można przetłumaczyć jako „ostateczne spojrzenie, sprawdzenie” etc., jednak żadna z wersji takiego tłumaczenia nie wskazuje odbiorcy, na czym miałaby ona polegać. Dlatego autor w niniejszym opracowaniu będzie posługiwał się angielskimi odpowiednikami.

Warto jednakże zacząć od przyczyn dla których ESMA postanowiła opublikować dokument konsultacyjny wspomniany powyżej. Otóż europejski organ nadzoru nad rynkami kapitałowymi słusznie zauważył, że na praktykę pre-hedging’u można patrzeć dwojako. Z jednej strony jest to praktyka niezbędna instytucjom finansowym w celu zarządzania ryzykiem płynności (czy np. także ryzykiem walutowym). Z drugiej strony taka praktyka mogłaby zostać potraktowana jako ogólnie pojęty insider dealing, jeśli dealer postanowiłby, mając wiedzę o zleceniu klienta, wykorzystać ją w celu osiągniecia zysków (na swój prywatny rachunek, ale także na swój portfel w instytucji finansowej), w szczególności zawierając zlecenie odwrotne do zlecenia klienta (choć nie jest to przesłanka przesądzająca).

Przykład: do instytucji finansowej zwraca się klient z informacją, że w ciągu 1 godziny będzie chciał dokonać transakcji na 2 mld EURPLN (kontrakt SPOT). Instytucja finansowa wie, że 800 mln będzie w stanie zapewnić z własnego portfela, zaś pozostałe 1,2 mld będzie musiała „ściągnąć z rynku”. Zatem dealer walutowy w trosce o portfel instytucji finansowej (które to instytucje mają szczególne znaczenie w kontekście ryzyka systemowego) dokonuje transakcji na takim samym instrumencie finansowym (z tym samym zwrotem lub przeciwnym), czy nawet na aktywie bazowym dla instrumentu finansowego. Jeśli dokonuje jej w celu zabezpieczenie portfela instytucji finansowej możemy mówić o pre-hedning’u, zaś jeśli dokonuje jej w celu osiągniecia zysku (niezależnie czy swojego prywatnego, czy swojego portfela dealingowego w instytucji finansowej) wówczas moglibyśmy mówić o możliwości dokonania front-runningu. Jak więc widać istotną jest intencja delaera czy organizacji, interes ekonomiczny w dokonaniu wyprzedzającego zabezpieczenia, w którym jednakże nie chodzi o zysk, ale o brak straty oraz fakt, że klient nie poniesie straty na skutek działalności dealera/instytucji finansowej.

ESMA zauważa również, że praktyka pre-hedning’u nie została zdefiniowana nigdzie w prawie UE, jednakże, choć zdania na rynkach są podzielone, co do istotny wskazanej praktyki, wydaje się ona niezbędna z punktu widzenia zabezpieczenia płynności dla instytucji finansowych. Ciekawe jest, że praktyka na świecie wskazuje również, że instytucja pre-hedging’u służy również do zabezpieczenia dużego zlecenia klienta, zatem że de facto służy interesowi klienta (choć ewidentnie jest to tylko jedno ze spojrzeń na wskazaną praktykę).

Pre-hedning to także praktyka zabezpieczenia (hedning’u) przed ryzykiem, co do zasady płynności, o ile taka działalność ma zabezpieczyć instytucję finansową, jest związana z prowadzonym obrotem na rachunek własny (własnymi pozycjami w instrumentach finansowych), zaś, co wydaje się kluczowe, transakcja instytucji finansowej następuje przed przewidywaną transakcją klienta oraz, że transakcja jest zawierana, choć częściowo, w interesie klienta.

ESMA wskazuje również na częste powiązanie praktyki pre-hedning’u z tzw. last look, tj. praktyką, która co do zasady jest uzasadnioną praktyką akceptacji lub odrzucenia danej transakcji w „oknie czasowym” następującym pomiędzy akceptacją warunków transakcji przez klienta (po ich dostarczeniu przez instytucję finansową), ale przed jej realizacją. Najczęściej praktyka taka jest w pełni uzasadnioną, pozwala również na zapewnienie, że oferowana przez instytucję finansową cena transakcji pozostaje zgoda z rynkiem. Jednakowoż praktyka last look może prowadzić także do nadużyć, w momencie w którym instytucja finansowa anulowałaby transakcję klienta po last look, np. chcąc zarobić na dokonanym uprzednio zabezpieczeniu w wyprzedzeniem.

Praktykę transakcyjną można zatem w omawianym przypadku zobrazować następująco:

Praktyka pre-hedningu’u niesie jednak ze sobą ryzyka, m.in. może wiązać się z ryzykiem zakłócenia tzw. integralności rynku bądź naruszeniem przepisów w zakresie ochrony konkurencji.

Co ciekawe ESMA odnosi się do również do tzw. RFQ (request for quotation – rodzaj zapytania o kwotowanie danej transakcji) wskazując na odpowiedzi respondentów przesłane w ramach konsultacji MAR Review report[7]. Część respondentów wskazała, że samo RFQ może nosić już znamiona informacji poufnej w rozumieniu MAR, z czym oczywiście nie sposób się nie zgodzić, aczkolwiek z pewnym zastrzeżeniem. Jeśli instytucja finansowa dostaje zapytanie RFQ, to jest związana tajemnicą bankową w rozumieniu ustawy – Prawo bankowe (banki), czy tajemnicą zawodową w rozumieniu Ustawy o obrocie instrumentami finansowymi (firmy inwestycyjne). Żeby móc jednakże uznać daną informację za informację poufną w rozumieniu Rozporządzenia MAR instytucja taka musiałaby również otrzymać wyraźne oznaczenie tej informacji jako informacji poufnej w rozumieniu Rozporządzenia MAR od emitenta. Oczywiście instytucja finansowa może zakładać, że dane RFQ może być dla emitenta informacją poufną w rozumieniu Rozporządzenia MAR i chronić ją „jak informację poufną”, co jednak nie oznacza, że bez wyraźnego oznaczenia ww. informacji przez emitenta, nabywa ona waloru informacji poufnej w rozumieniu Rozporządzenia MAR.

Ciekawym jest także wskazanie ESMA na praktykę pre-hedning’u jako potencjalnie podlegającą przepisom systemu MiFID II, w szczególności w kontekście zarządzania konfliktem interesów poprzez pryzmat art. 33 lit a) Rozporządzenia 2017/565[8] – „W celu określenia rodzajów konfliktów interesów, które powstają w trakcie świadczenia usług inwestycyjnych i usług dodatkowych albo obu tych rodzajów usług łącznie, i których istnienie może zaszkodzić interesom klienta, firmy inwestycyjne biorą pod uwagę, na zasadzie kryteriów minimalnych, to, czy samej firmy inwestycyjnej, osoby zaangażowanej bądź osoby bezpośrednio lub pośrednio powiązanej z firmą stosunkiem kontroli dotyczy jedna z poniższych sytuacji, niezależnie od tego, czy jest ona skutkiem świadczenia usług inwestycyjnych lub dodatkowych albo wykonywania działalności inwestycyjnej, czy też wynika z innych przyczyn: a) taka firma lub osoba mogą osiągnąć zysk finansowy lub uniknąć straty finansowej kosztem klienta(…)” ale także poprzez pryzmat art. 33 lit b) wskazanego rozporządzenia – „(…)taka firma lub osoba mają interes w określonym wyniku usługi świadczonej na rzecz klienta lub transakcji przeprowadzanej w imieniu klienta, który to interes jest rozbieżny z interesem klienta;” i nast.

ESMA wskazuje, że niezależnie od faktu, czy instytucja finansowa dokonując pre-hedning’u działa w interesie klienta, z samą praktyką związany może być konflikt interesów w rozumieniu przepisów Rozporządzenia 2017/565, co oznacza, że instytucja finansowa obowiązana jest nim w odpowiedni sposób zarządzić (w ostateczności taki konflikt interesów ujawnić, co jednak nie zwalnia z zarządzenia nim[9]).

Oczywiście wątków prawnych, compliance’owych czy ekonomicznych związanych z instytucjami pre-hedning’u czy last look jest znacznie więcej aniżeli pomieściło by niniejsze opracowanie, dlatego dla zainteresowanych polecam poniższe dokumenty:

GFEC – FX GLOBAL CODE A set of global principles of good practice in the foreign exchange market;
GFEC – Global Foreign Exchange Committee: Execution Principles Working Group Report on Last Look;
GFEC – Global Foreign Exchange Committee: Commentary on Principle 11 and the role of pre‐hedging in today’s FX landscape;
Norges Bank – The Role Of Last Look In Foreign Exchange Markets Asset Manager Perspective;
FINRA – 5270. Front Running of Block Transactions;
ICE Futures US – Block Trade FAQs;

[1] https://www.esma.europa.eu/sites/default/files/library/esma70-449-672_call_for_evidence_on_pre-hedging.pdf

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 z dnia 16 kwietnia 2014 r. w sprawie nadużyć na rynku (rozporządzenie w sprawie nadużyć na rynku) oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE.

[3] https://www.globalfxc.org/docs/fx_global.pdf

[4] https://www.globalfxc.org/docs/commentary_principle_11_role_prehedging.pdf

[5] https://www.globalfxc.org/docs/gfxc_report_last_look.pdf

[6] Motyw (30) do Rozporządzenia MAR.

[7] Z dnia 23 września 2020 r., sygn. ESMA70-156-2391.

[8] Rozporządzenie delegowane Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy

[9] Zob. G. Włodarczyk, Konflikt interesów w obszarze usług inwestycyjnych i usług dodatkowych w praktyce firm inwestycyjnych i banków, Monitor Prawa Bankowego Nr 12 (133)/2021.

„MAR-Light” – zmiana list insiderów

W dniu 14 lipca 2022 r. zostało opublikowane Rozporządzenie Wykonawcze Komisji (UE) 2022/1210 z dnia 13 lipca 2022 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 596/2014, w odniesieniu do formatu list osób mających dostęp do informacji poufnych i ich aktualizacji^[1]. Rozporządzenie wejdzie w życie 20 dni po jego opublikowaniu, jest konsekwencją nowelizacji Rozporządzenia MAR (tzw. MAR-Light), czyli zmiany rozporządzenia MAR dokonanej rozporządzeniem 2019/2115 w odniesieniu do promowania korzystania z rynków rozwoju MŚP, oraz uchylającego dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE^[2].

Rozporządzenie MAR (wersja po zmianach określonych rozporządzeniem 2019/2115) w art. 18 ust. 1 stanowi, że emitenci i wszelkie osoby działające w ich imieniu lub na ich rzecz sporządzają listę wszystkich osób mających dostęp do informacji poufnych, które pracują dla nich na podstawie umowy o pracę lub wykonują, na innej podstawie, zadania, w ramach których mają dostęp do informacji poufnych, takich jak doradcy, księgowi lub agencje ratingowe (lista osób mających dostęp do informacji poufnych), także niezwłocznie aktualizują listę osób mających dostęp do informacji poufnych zgodnie z art. 18 ust. 4 rozporządzenia MAR oraz przedstawiają listę osób mających dostęp do informacji poufnych właściwemu organowi na jego żądanie w możliwie najkrótszym terminie. Obrazowo zatem można zaprezentować ww. podział w następujący sposób:

Zgodnie z art. 1 ust. 3 rozporządzenia 2022/1210 listy osób mających dostęp do informacji poufnych sporządza się w formie elektronicznej, co jest unormowaniem powszechnie przyjętej praktyki ale i powtórzeniem art. 2 ust. 3 w związku z art. 2 ust. 4 Rozporządzenia Wykonawczego Komisji (UE) 2016/347 z dnia 10 marca 2016 r. ustanawiającego wykonawcze standardy techniczne w odniesieniu do określonego formatu list osób mających dostęp do informacji poufnych i ich aktualizacji zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 596/2014^[3]. Przedmiotowe rozporządzenie 2016/347 zostało uchylone (art. 3 rozporządzenia 2022/1210), zaś odesłania do uchylonego rozporządzenia traktuje się jako odesłania do rozporządzenia 2022/1210.

Dodatkowo lista prowadzona w formacie elektronicznym w każdym momencie musi gwarantować, że dostęp do list osób mających dostęp do informacji poufnych jest ograniczony do wyraźnie określonych osób^[4], które potrzebują tego dostępu ze względu na charakter pełnionej przez nie funkcji lub zajmowanego przez nie stanowiska (analogicznie wcześniej art. 2 ust. 4 rozporządzenia 2016/347). Żeby być bardziej precyzyjnym i najdokładniej oddać wielość stanów faktycznych, wypadałoby również rozumieć „pełnioną funkcją/zajmowane stanowisko” przez pryzmat „wykonywanych czy powierzonych obowiązków”. Taka interpretacja wydaje się konsumować maksymalną liczbę stanów faktycznych występujących w praktyce obrotu.

Lista musi także zapewniać dokładność zamieszczonych informacji (art. 1 ust. 3 lit. b rozporządzenia 2022/1210), oraz że dostępne będą poprzednie wersje listy osób mających dostęp do informacji poufnych (art. 1 ust. 3 lit. b rozporządzenia 2022/1210, wcześniej jako „format elektroniczny zapewnia stale (…) dostęp do poprzednich wersji listy osób mających dostęp do informacji poufnych i możliwość przeszukiwania ich” (art. 2 ust. 4 lit. c) rozporządzenia 2016/347). To sformułowanie jest o tyle ciekawe, że analogicznie jak w przypadku ustawodawstwa MiFID II[5], stanowi o „wersjonowalności”, aczkolwiek wydaje się, że w ograniczonym zakresie, odmiennie od bezwzględnej „wersjonowalności” wskazanej w ustawodawstwie MiFID II. Oznacza to, zdaniem autora, że lista prowadzona w formie elektronicznej powinna zapewniać, że dostępne są poprzednie wersje listy osób mających dostęp do informacji poufnych. O ile cytowane rozporządzenie 2017/565 wydaje się przesądzać, że rejestry MiFID nie mogą być prowadzone w plikach typu word, excel (zapisywanie „na koniec dnia” w formacie pdf nie zapewnia, zdaniem autora, wskazanej „wersjonowalności”), o tyle w przypadku rozporządzenia 2022/1210 taka możliwość wydaje się być dopuszczalna („dostęp do poprzednich wersji listy(…)”. Może to oznaczać, że dla ustawodawcy europejskiego jest ważne, aby podmiot prowadził listę w taki sposób, żeby każda zmiana była widoczna w poszczególnych wersjach listy (w omawianym przypadku zapisywania pliku word, czy excel w postaci pdf, wydaje się, że każda zmiana danych zawartych w liście powinna skutkować nowym plikiem pdf np. ze wskazaniem numeru wersji i datą^[6]), ale bez (jak chciało rozporządzenie 2017/565) możliwości łatwego sprawdzenia wszelkich poprawek lub innych zmian, a także odtworzenia zawartości zapisów przed wprowadzeniem do nich poprawek czy zmian.

Jako uzupełnienie wymogów wobec listy warto wskazać także na motyw^[7] (3) rozporządzenia 2022/1210, zgodnie z którym „Ponieważ w obrębie podmiotu może jednocześnie istnieć wiele różnych informacji poufnych, listy osób mających dostęp do informacji poufnych powinny dokładnie określać konkretne informacje poufne, do jakich mają dostęp osoby pracujące dla danego podmiotu. W związku z tym listy osób mających dostęp do informacji poufnych powinny określać, co stanowi konkretną informację poufną (która może obejmować informacje dotyczące np. transakcji, projektu, zdarzenia, w tym zdarzenia korporacyjnego lub finansowego, publikacji sprawozdania finansowego lub informacji o korekcie zysku). W tym celu listy osób mających dostęp do informacji poufnych powinny być podzielone na sekcje, z oddzielnymi sekcjami dla każdej konkretnej informacji poufnej. W każdej sekcji należy wymienić wszystkie osoby, które mają dostęp do danej konkretnej informacji poufnej.”.

Chociaż motywy, zgodnie ze wskazaniem „Wspólnego przewodnika praktycznego Parlamentu Europejskiego, Rady i Komisji przeznaczonego dla osób redagujących akty prawne Unii Europejskiej” co do zasady nie zawierają treści normatywnych – „(…)motywy to część aktu zawierająca uzasadnienie i znajdująca się pomiędzy umocowaniami a częścią normatywną” oraz „Celem motywów jest zwięzłe uzasadnienie podstawowych przepisów części normatywnej bez ich przytaczania czy parafrazowania. Nie zawierają one wypowiedzi normatywnych (…)”, warto jednak wskazać w jaki sposób ustawodawca europejski, na kanwie motywów, widziałby prowadzenie listy osób posiadających dostęp do informacji poufnych:

– forma elektroniczna (o czym więcej powyżej) zapewniająca poufność które zawiera lista osób mających dostęp do informacji poufnych (motyw (9) rozporządzenia 2022/1210);

– możliwość „filtrowania po osobie”, tj. określenia do jakich informacji poufnych posiada dostęp dana osoba;

– określenie konkretnej informacji poufnej na danej liście, w danej zakładce tj. czego konkretnie lista dotyczy (wydaje się zatem, że w danym pliku powinno znajdować się pole opisowe, ze wskazaniem czego dotyczy dana informacja poufna – „co stanowi konkretną informację poufną (która może obejmować informacje dotyczące np. transakcji, projektu, zdarzenia, w tym zdarzenia korporacyjnego lub finansowego, publikacji sprawozdania finansowego lub informacji o korekcie zysku”);

– podział pliku (np. excel) na „sekcje”, czyli np. zakładki, z których każda będzie zawierać wykaz wszystkich osób, które miały dostęp do konkretnej informacji poufnej (za wyjątkiem osób posiadających dostęp do wszystkich informacji poufnych – zob. pkt. następny);

– motyw (4) rozporządzenia 2022/1210 wskazuje, że „Aby uniknąć powielania wpisów danych osobowych tych samych osób w różnych sekcjach listy osób mających dostęp do informacji poufnych, powinna istnieć możliwość zamieszczenia tych danych osobowych w odrębnej sekcji listy osób mających dostęp do informacji poufnych, określonej jako sekcja dotycząca osób mających stały dostęp do informacji poufnych, niepowiązana z konkretną informacją poufną. Sekcja dotycząca osób mających stały dostęp do informacji poufnych powinna obejmować wyłącznie te osoby, które w związku z charakterem pełnionej przez nie funkcji lub zajmowanego przez nie stanowiska mają stały dostęp do wszystkich informacji poufnych w obrębie danego podmiotu”.

Warto wskazać także na motyw (7) rozporządzenia 2022/1210, gdzie odniesiono się do przepisów RODO, wskazując, że lista osób mających dostęp do informacji poufnych powinna zawierać dane osobowe niezbędne do zidentyfikowania osób mających dostęp do informacji poufnych, zaś wszelkie przetwarzanie danych osobowych do celów sporządzania i przechowywania list osób mających dostęp do informacji poufnych, o których to listach mowa w art. 18 rozporządzenia (UE) nr 596/2014, powinno być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679^[8].

Bardzo istotnym jest wskazanie w motywie (8) rozporządzenia 2022/1210 na fundamentalną rolę posiadania wiedzy przez dany podmiot o numerach telefonów „Listy osób mających dostęp do informacji poufnych powinny również zawierać dane, które mogą pomóc właściwym organom w czynnościach wyjaśniających oraz w szybkim analizowaniu praktyk handlowych osób mających dostęp do informacji poufnych, w ustaleniu powiązań między osobami mającymi dostęp do informacji poufnych a osobami uczestniczącymi w podejrzanych praktykach handlowych oraz w identyfikacji kontaktów między nimi w krytycznych momentach. Z tego względu zasadnicze znaczenie mają numery telefonów, ponieważ pozwalają one właściwemu organowi szybko podjąć działania oraz, jeżeli to konieczne, zwrócić się o udostępnienie rejestrów przesyłu danych. Ponadto dane takie powinny być dostępne od samego początku, tak by integralność czynności wyjaśniających nie była zagrożona przez to, że właściwy organ w trakcie czynności wyjaśniających musi zwrócić się o dalsze informacje do emitenta, uczestnika rynku uprawnień do emisji, platformy aukcyjnej, prowadzącego aukcje lub monitorującego aukcje lub osoby mającej dostęp do informacji poufnych.”, co oznacza, że wpisanie/podanie prywatnego numeru telefonu jest niezbędnym wymogiem, a wręcz kluczową daną dla ustawodawcy europejskiego. Zatem zarówno osoby posiadające dostęp do danej informacji poufnej, jak również służby wewnętrzne koordynujące wskazane kwestie (np. inspektor nadzoru, funkcja compliance) powinny dołożyć starań, by wszystkie wymagane dane znalazły się w danej liście (można np. tak opracować rozwiązania wewnętrzne w zakresie IT, że brak podania jakiejkolwiek danej wymaganej uniemożliwia wpis na daną listę).

Kluczowym w kontekście zmian wprowadzonych rozporządzeniem 2022/1210 jest odniesienie do art. 18 ust. 6 rozporządzenia MAR (wersja po zmianach określonych rozporządzeniem 2019/2115), zgodnie z którym emitenci, których instrumenty finansowe zostały dopuszczone do obrotu na rynku rozwoju MŚP, są uprawnieni do uwzględniania na swoich listach osób mających dostęp do informacji poufnych jedynie tych osób, które w związku z charakterem pełnionych przez nie funkcji lub stanowiska zajmowanego u emitenta mają regularny (tzw. „stały”) dostęp do informacji poufnych. W drodze odstępstwa od zdania poprzedniego, jeżeli jest to uzasadnione konkretnymi obawami dotyczącymi integralności rynku krajowego, państwa członkowskie mogą nałożyć na emitentów, których instrumenty finansowe zostały dopuszczone do obrotu na rynku rozwoju MŚP, obowiązek uwzględniania na ich listach osób mających dostęp do informacji poufnych wszystkich osób, nie tylko zaś tzw. isiderów stałych.

W przedmiotowym rozporządzeniu 2022/1210 lista osób mających dostęp do informacji poufnych, o której mowa w art. 18 ust. 6 akapit pierwszy rozporządzenia MAR, może zawierać wyłącznie dane osobowe osób mających regularny dostęp do informacji poufnych, co oznacza, że na liście takiej mogą być umieszczeni wyłącznie tzw. insiderzy stali (jak w motywie (1)) – osoby mające dostęp do informacji poufnych (ang. insiders)).

Motyw (9) wskazanego rozporządzenia wskazuje, że „aby uniknąć nakładania nieproporcjonalnego obciążenia administracyjnego na emitentów na rynkach rozwoju MŚP, wymóg sporządzania listy osób mających dostęp do informacji poufnych w formie elektronicznej nie powinien mieć zastosowania do tych emitentów (aczkolwiek mogą oni sporządzać ją w tej formie), pod warunkiem że zapewniona jest kompletność, poufność i integralność informacji.”

To co jest dodatkowo ciekawe, choć nad wyraz słuszne, to wskazanie w art. 2 ust. 2 akapit drugi rozporządzenia 2022/1210, że w przypadku, gdy sporządza się sekcję dotyczącą osób mających stały dostęp do informacji poufnych, danych osobowych osób mających stały dostęp do informacji poufnych nie zamieszcza się w odrębnych sekcjach listy osób mających dostęp do informacji poufnych odpowiadających poszczególnym informacjom poufnym (co oznacza, że de facto nie powiela się „wpisów” tych osób na sekcje zmienne – dotyczące określonych informacji poufnych).

Reasumując, rozporządzenie 2022/1210 jest w znacznej mierze ułatwieniem dla emitentów MŚP, jak wskazano w motywie (6) „(…)w świetle zasadniczo skromniejszych zasobów ludzkich i finansowych, jakimi dysponują MŚP, uznano, że w ich przypadku proporcjonalne będzie stosowanie formatu, który stanowi mniejsze obciążenie administracyjne w porównaniu z formatem list osób mających dostęp do informacji poufnych sporządzanych zgodnie z art. 18 ust. 1 lit. a) rozporządzenia (UE) nr 596/2014, oraz ograniczenie zawartości przedmiotowych list do tego, co jest absolutnie niezbędne do identyfikacji odpowiednich osób fizycznych. Rezygnacja z wymogu ujmowania przez emitentów, w sporządzanych przez nich listach osób mających dostęp do informacji poufnych, prywatnych danych kontaktowych tych osób powinna stanowić dla emitentów ułatwienie w gromadzeniu i aktualizowaniu danych tych osób, a jednocześnie nie pozbawia właściwych organów krajowych narzędzia umożliwiającego identyfikację osób przetwarzających informacje poufne i skontaktowanie się z nimi przy wykorzystaniu służbowych danych kontaktowych.”.

^[1] Dz. U. UE z dnia 14.07.2022 r., L 187/23.

^[2]Dz. U. UE z dnia 11.12.2019 r., L 320/1.

^[3] Dz. U. UE z dnia 11.03.2016 r., L 65/49.

^[4] Zob. także FCA Market Watch nr 58/2018 – „Each time new inside information is identified, a new section should be added to the insider list. Each section should contain details of everyone who has access to that inside information who are working for the issuer under a contract of employment, or otherwise performing tasks through which they have access to the inside information. Issuers are obliged to take reasonable steps to ensure that those on the list with access to inside information acknowledge their duties and are aware of the sanctions for insider dealing and the unlawful disclosure of inside information”.

^[5] Art. 72 ust. 1 („przechowywanie danych”) Rozporządzenia Delegowanego Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (Dz. U. UE z dnia 31.03.2017 r., L 87/1): „Zapisy przechowywane są na nośniku, który pozwala na przechowywanie informacji do przyszłego wglądu właściwego organu, oraz w takiej formie i w taki sposób, aby spełnione były następujące warunki: a) właściwy organ ma możliwość uzyskania w każdej chwili dostępu do zapisów i odtworzenia każdego istotnego etapu każdej transakcji; b) istnieje możliwość łatwego sprawdzenia wszelkich poprawek lub innych zmian, a także odtworzenia zawartości zapisów przed wprowadzeniem do nich poprawek czy zmian; c) zapisy nie są przedmiotem innych manipulacji i zmian; d) istnieje możliwość przetwarzania przy użyciu środków informatycznych lub innych wydajnych metod w przypadku, gdy łatwe przeprowadzenie analizy danych nie jest możliwe ze względu na ich wielkość i charakter; oraz e) rozwiązania firmowe są zgodne z wymogami prowadzenia rejestrów niezależnie od wykorzystanej technologii.”

^[6] Np. Lista osób posiadających dostęp do informacji poufnej „XYZ” (np. wskazanie nazwy projektu – zob. Thomson Reuters Practical Law, GC100: Listing Part Rules Guidelines II: Guidelines on the requirement to maintain insider lists, Appendix 3: Memorandum on inside information) o nr 1/2022 z dnia 25 lipca 2022 r. Zob. także „In some cases large numbers of support staff having access to documents containing inside information rather than access being restricted to those who need inside information for the proper fulfilment of their role. Reasonable steps in the FCA’s view would be to grant IT staff access only to anonymised or code-named folders for maintenance or permission purposes and not to files within those folders.” – Market Abuse Regulation (“MAR”) round-up August 2019: what the FCA expects, Market Abuse Regulation (“MAR”) round-up August 2019: what the FCA expects | Charles Russell Speechlys.

^[7] O motywach zob. Wspólny przewodnik praktyczny Parlamentu Europejskiego, Rady i Komisji przeznaczony dla osób redagujących akty prawne Unii Europejskiej.

^[8] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE z dnia 04.05.2016 r., L 119/1.

Czy w praktyce banków, występuje outsourcing „marowski”?

Zagadnienia ogólne

Ile w praktyce banków w Polsce, na potrzeby niniejszych rozważań rozumianych przez pryzmat rynku finansowego, czyli banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, wyróżniamy „rodzajów” outsourcingu?

Na pierwszy rzut oka wydawać by się mogło, że mówimy o dwóch, względnie trzech „rodzajach” outsourcingu dla działalności banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi. W niniejszym krótkim opracowaniu postaram się jednak udowodnić, że de facto mówimy o czterech „rodzajach” takiego outsourcingu.

Rynek bankowy, jak każda inna branża, charakteryzuje się również branżowym słownictwem, mówimy zatem potocznie o tzw. outsourcingu bankowym[1], outsourcingu inwestycyjnym[2] czy outsourcingu chmurowym[3]. Uważam jednak, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi możemy się spotkać także z outsourcingiem „marowskim” (na marginesie warto wskazać, że w praktyce banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, jeden system bądź aplikacja może wspierać tak wiele różnych procesów w banku, że znajdą zastosowanie przepisy w zakresie outsourcingu bankowego, outsourcingu inwestycyjnego czy komunikat w sprawie outsourcingu chmurowego). Ze względu na fakt, że wszystkie ww. trzy „rodzaje” outsourcingu wydają się być dobrze znane oraz opisane w literaturze, skupię się na outsourcingu „marowskim”, z odniesieniem do odpowiednich rodzajów outsourcingu o ile to będzie konieczne.

Outsourcing „marowski”

W systemie MAR[4] ustanawiany jest system, zwany potocznie z ang. trade surveillance. System tzw. „trade surveillance” został ustanowiony w art. 16 MAR – „Zapobieganie nadużyciom na rynku i ich wykrywanie”. Zgodnie z art. 16 ust. 2 MAR każda osoba zawodowo zajmująca się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń ustanawia i utrzymuje skuteczne rozwiązania, systemy i procedury wykrywania i powiadamiania o podejrzanych zleceniach i transakcjach. Jeżeli osoba ta poweźmie uzasadnione podejrzenie, że zlecenie lub transakcja dotycząca jakiegokolwiek instrumentu finansowego może stanowić wykorzystywanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych lub manipulacji na rynku, bez względu na to, czy takie zlecenie złożono lub taką transakcję wykonano w ramach systemu obrotu, czy poza nim, niezwłocznie powiadamia właściwy organ[5].

Dodatkowe wskazówki znaleźć można w przepisach Rozporządzenia Delegowanego Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania[6].

Zgodnie zatem z art. 2 ust. 1 wskazanego Rozporządzenia osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń ustanawiają i utrzymują rozwiązania, systemy i procedury, które zapewniają skuteczne i ciągłe monitorowanie – do celów wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku – wszystkich otrzymanych i przesłanych zleceń oraz wszystkich wykonanych transakcji oraz przesyłanie zgłoszeń STOR właściwym organom zgodnie z wymaganiami określonymi w wskazanym Rozporządzeniu.

Warto w tym miejscu zauważyć, że banki, o których mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi są traktowane na potrzeby systemu MAR także jako osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, przy czym druga definicja jest o tyle szersza, że mieści w sobie także firmy inwestycyjne.

Zgodnie zatem z art. 3 ust. 1 wskazanego Rozporządzenia rozwiązania, systemy i procedury umożliwiają analizę, indywidualną i porównawczą, wszelkich wykonanych transakcji oraz złożonych, zmienionych, anulowanych lub odrzuconych zleceń, przeprowadzonych w ramach podsystemów systemu obrotu oraz, w przypadku osób zawodowo pośredniczących w zawieraniu transakcji lub wykonywaniu zleceń, również poza systemem obrotu, generują ostrzeżenia wskazujące na aktywność wymagającą dalszej analizy do celów wykrywania potencjalnego wykorzystywania informacji poufnych, manipulacji na rynku lub usiłowania wykorzystania informacji poufnych bądź manipulacji na rynku oraz obejmują pełen zakres działalności handlowej podejmowanej przez osoby, których to dotyczy.

Zgodnie z art. 3 ust. 3 wskazanego Rozporządzenia operatorzy rynku i firmy inwestycyjne prowadzące system obrotu, w stopniu, w jakim jest to odpowiednie i proporcjonalne w stosunku do skali, wielkości i charakteru ich działalności gospodarczej, stosują systemy oprogramowania i dysponują procedurami, które pomagają w zapobieganiu wykorzystywaniu informacji poufnych, manipulacjom na rynku i usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku oraz w wykrywaniu tych czynności, zaś systemy i procedury, o których mowa powyżej, obejmują oprogramowanie umożliwiające opóźniony odczyt automatyczny oraz odtwarzanie i analizę danych arkusza zleceń, a oprogramowanie to musi mieć wystarczającą zdolność działania w środowisku handlu algorytmicznego.

Dodatkowo zgodnie z, odpowiednio, art. 3 ust. 4 i 5 wskazanego Rozporządzenia, osoby zawodowo pośredniczące w zawieraniu transakcji lub wykonywaniu zleceń, operatorzy rynku i firmy inwestycyjne prowadzące system obrotu wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka[7] w ramach monitorowania, wykrywania i identyfikacji transakcji i zleceń, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku oraz wprowadzają i utrzymują rozwiązania i procedury, które zapewniają odpowiedni poziom analizy dokonywanej przez człowieka również w ramach zapobiegania wykorzystywaniu informacji poufnych, manipulacjom na rynku lub usiłowaniu wykorzystania informacji poufnych bądź manipulacji na rynku.

Graficznie zatem wskazane procesy można by opisać w sposób następujący:

Co ciekawe na gruncie art. 3 ust. 7 wskazanego Rozporządzenia osoba zawodowo pośrednicząca w zawieraniu transakcji lub wykonywaniu zleceń (a więc i bank, o którym mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi) może, na mocy pisemnej umowy, przekazać osobie trzeciej („usługodawcy”) przeprowadzanie analizy danych, w tym danych dotyczących zleceń i transakcji, i generowanie ostrzeżeń niezbędnych tejże osobie do prowadzenia monitorowania, wykrywania i identyfikacji zleceń i transakcji, które mogłyby stanowić wykorzystanie informacji poufnych, manipulację na rynku lub usiłowanie wykorzystania informacji poufnych bądź manipulacji na rynku.

Oznacza to, że bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi może powierzyć innemu przedsiębiorcy wykonywanie analiz z zakresu trade surveillance (np. zakupić właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz, zgodnie z grafiką powyżej).

Dodatkowo zgodnie z tym samym artykułem, zdanie drugie osoba przekazująca te funkcje (a więc i bank, o którym mowa w art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi) pozostaje w pełni odpowiedzialna za wywiązanie się ze wszystkich obowiązków spoczywających na niej na mocy omawianego Rozporządzenia i art. 16 MAR i spełnia przez cały czas następujące warunki:

w sposób ciągły zachowuje wiedzę specjalistyczną i zasoby niezbędne do oceny jakości świadczonych usług oraz adekwatności organizacyjnej usługodawców, do nadzoru nad przekazanymi usługami i do zarządzania rodzajami ryzyka związanego z przekazaniem tych funkcji;
ma bezpośredni dostęp do wszystkich istotnych informacji odnoszących się do analizy danych i generowania ostrzeżeń.

Co więcej umowa pisemna zawiera opis praw i obowiązków osoby przekazującej funkcje, o której mowa w akapicie pierwszym, oraz praw i obowiązków usługodawcy. Określa się w niej również powody, które umożliwiają osobie przekazującej wspomniane funkcje rozwiązanie takiej umowy.

Wydaje się zatem, że mówimy o odrębnym, od wcześniej powoływanych „rodzaju” outsourcingu – outsourcingu „marowskim”. Nie oznacza to rzecz jasna, że dany system czy właściwe oprogramowanie analityczne, zapewniające pierwszy poziom analiz (zgodnie z grafiką powyżej) nie będzie jednocześnie mógł być traktowany jako outsourcing bankowy, outsourcing inwestycyjny czy, jeśli zajdą właściwe przesłanki wskazane w Komunikacie UKNF dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 233 stycznia 2020 r., także outsourcing chmurowy.

Jednakże, co wydaje się być istotne, sam outsourcing „marowski” nie wiąże się poza wskazanymi wyżej obowiązkami, z notyfikacją czy zgodą właściwego organu nadzoru oraz aż tak restrykcyjnymi, jak np. dla outsourcingu inwestycyjnego, wymogami co do umowy z dostawcą etc.

[1] Na podstawie ustawy z dnia 29 sierpnia 1997 prawo bankowe, Dz.U.2021.2439 t.j. z dnia 2021.12.28.

[2] Na podstawie przepisów ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz.U.2022.861 t.j. z dnia 2022.04.21) oraz przepisów Rozporządzenia Delegowanego Komisji (UE) 2018/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (Dziennik Urzędowy Unii Europejskiej z dnia 31.03.2017 r., L 87/1).

[3] Na podstawie Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf [dostęp: lipiec 2022 r.].

[4] Dyrektywa Parlamentu Europejskiego i Rady 2014/57/UE z dnia 16 kwietnia 2014 r. w sprawie sankcji karnych za nadużycia na rynku (dyrektywa w sprawie nadużyć na rynku) (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/179) oraz Rozporządzenie Parlamentu Europejskiego i Rady dnia 16 kwietnia 2014 r. w sprawie nadużyć na rynku (rozporządzenie w sprawie nadużyć na rynku) oraz uchylające dyrektywę 2003/6/WE Parlamentu Europejskiego i Rady i dyrektywy Komisji 2003/124/WE, 2003/125/WE i 2004/72/WE (Dziennik Urzędowy Unii Europejskiej z dnia 12.06.2014 r., L 173/1 ze zm.).

[5] Zob. więcej G. Włodarczyk, System trade surveillance dla osób zawodowo zajmujących się pośredniczeniem w zawieraniu transakcji lub wykonywaniu zleceń – wprowadzenie, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.] oraz G. Włodarczyk, Trade surveillance (pod MAR) – okoliczności wskazujące na zachowania manipulacyjne związane z wprowadzaniem w błąd oraz utrzymaniem cen – część pierwsza, Compliance&MiFID (2016 r.) https://compliancemifid.files.wordpress.com/2021/05/trade-surveillance-pod-mar-dla-osob-zawodowo-zajmujacych-sie-posredniczeniem-w-zawieraniu-transakcji-lub-wykonywaniu-zlecen-e28093-czesc-pierwsza-wprowadzenie.pdf [dostęp: lipiec 2022 r.].

[6] Dziennik Urzędowy Unii Europejskiej z dnia 17 czerwca 2016 r., L 160/1.

[7] Przyjmuje się, choć nie wynika to z systemu MAR, że zadania takie wykonuje zwyczajowo funkcja compliance, ze względu na fakt, że ustanowienia systemów trade surveillance w obszarze I-ej linii obrony, jednostek zawierających transakcje na instrumentach finansowych może budzić uzasadnione wątpliwości („Nemo iudex in causa sua”).

Najnowszy Market Watch (69) a trade (orders) surveillance

Najnowszy Market Watch FCA, tym razem nr 69 z 17 maja 2022 r. koncentruje się na kwestiach związanych z MAR (odpowiednio UK MAR) zatem tematyką market abuse, tym razem także o market abuse surveillance (order & trade surveillance).

FCA wskazuje, co powinno być praktyką także w bankach i firmach inwestycyjnych w Polsce, w przypadku systemów i metodyk order & trade surveillance (więcej o tym, czym jest trade surveillance w MAR dla banków i firm inwestycyjnych pisałem TU i TU), że właściwa metodyka powinna być wynikową scenariuszy manipulacyjnych oraz instrumentów finansowych. Dla firm inwestycyjnych i banków w Polsce, w przypadku tzw. scenariuszy manipulacyjnych (zachowań, które mogą być uznane za manipulację) kluczowy jest Załącznik I do Rozporządzenia MAR oraz Rozporządzenie Delegowane Komisji (UE) 2016/957 z dnia 9 marca 2016 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 596/2014 w odniesieniu do regulacyjnych standardów technicznych dotyczących właściwych rozwiązań, systemów i procedur oraz formularzy powiadomienia stosowanych w celu zapobiegania praktykom stanowiącym nadużycie lub podejrzanym zleceniom i transakcjom, ich wykrywania i zgłaszania. Instrumenty finansowe rzecz jasna określone są w Ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi. Zatem przykładowa metodyka w postaci tabelarycznej mogłaby wyglądać następująco (jest to oczywiście absolutnie abstrakcyjna tabela):

Scenariusze manipulacyjne vs instrumenty finansowe (+ SPOT)	Wash trade	Front running	Ping Orders
FX SPOT	TAK	TAK	TAK
FX FWD	TAK	TAK	TAK
Obligacja skarbowa	TAK	TAK	NIE

Właściwe ujęcie metodyczne wszystkich scenariuszy manipulacyjnych wynikających z ww. aktów w zestawieniu z wszystkimi instrumentami finansowymi (plus FX SPOT) oferowanymi przez firmę inwestycyjną czy bank pozwala na właściwe zarządzenie kwestiami market abuse w instytucji.

W takiej praktyce można posiłkować się także innymi dokumentami np. FX Global Code w wersji z 2021 r., czy starszymi dokumentami CESR – Level 3 – First set of CESR guidance and information on the common operation of the Directive, Level 3 – Second set of CESR guidance and information on the common operation of the Directive to the market , Third set of CESR guidance and information on common operation of the Directive to the market.

Wydaje się, na co wskazuje także FCA, że lepszym i dokładniejszym podejściem jest wskazywanie na ryzyko i analizowanie nie tyle całego MAR w zestawieniu z AML (kategoria ogólna), nie MAR na zasadzie „manipulacja i wykorzystanie informacji poufnej”, ale właśnie na rozbijanie analiz „scenariusz vs. instrument finansowy”, uwzględniając także takie podkategorie zachowań jak np. layering i spoofing czy wash trading i ramping. Warto zauważyć, że takie analizy powinny dotyczyć wszystkich typów rynków na których działa bank, czy firma inwestycyjna.

FCA wskazuje także, że w bardzo wielu podmiotach monitorowanie i analizy są mocno niekompletne lub bardzo ogólne (w Polsce podobnie). Algorytmy scenariuszy manipulacyjnych nie powinny być ogólne, aplikowalne dla każdego typu instrumentu finansowego, ale właściwie skalibrowane (inna może być kalibracja wash trade dla FX SPOT, a inna dla polskich obligacji skarbowych na rynku hurtowym) dla konkretnych instrumentów finansowych, w tym powinna odbywać się analiza fałszywych alarmów (tzw. false positive). FCA zaznacza również, z czym należy się zgodzić i co powinno być stosowane przez firmy inwestycyjne i banki w Polsce, że stosowanie wspólnego progu kwotowego (w szczególności na rynkach OTC) w swoich scenariuszach manipulacyjnych (alertach) dla wszystkich typów instrumentów finansowych, może skutkować trudnościami z zapewnieniem skutecznego monitorowania.

Jak wspomniałem wyżej, w takim przypadku próg może być ustawiony zbyt wysoko lub zbyt nisko dla niektórych instrumentów (przykład obligacji skarbowej vs. FX SPOT) lub może generować wysoki poziom „szumu” (alarm jest kalibrowany do najbardziej wrażliwego z instrumentów).

Kilka nieprawidłowości, na które wskazuje FCA (które nie powinny mieć miejsca także w firmach inwestycyjnych i bankach w Polsce):

– kalibrowanie scenariuszy manipulacyjnych dla wykorzystania informacji poufnej wyłącznie do 24 godzin przed publikacją informacji poufnej, bez uwzględnienia całego okresu „życia” informacji poufnej;

– nie branie pod uwagę wszystkich transakcji w tym anulowanych czy modyfikowanych;

– brak przeglądu rozwiązań w celu zapewnienia ich skuteczności (parametry, logikę alarmów itp);

– niedokładne procedury, w tym zbyt mało szczegółowe, niejasne, nie zawierające przykładów, wytycznych;

– braku nadzoru w przypadku outsourcingu analizy zachowań manipulacyjnych;

– powierzenie monitorowania i odpowiedzialności za order & trade surveillance pracownikom pierwszej linii (jednostek biznesowych) zamiast funkcji compliance (konflikt interesów – nemo iudex in causa sua);

Cały FCA Market Watch nr 69: TUTAJ.

Jest już nowy Market Watch (FCA) – nr 68

Brytyjski organ nadzoru – FCA (Financial Conduct Authority) opublikował kolejne już wydanie (nr 68) Market Watch. Jak to ostatnio ma w zwyczaju, tym razem także wydanie mocno MAR’owskie (Market abuse surveillance/ Market abuse risk assessments) ale także w powiązaniu z obszarem MiFID II – Record keeping czy compliance w zestawieniu z MAR – Compliance awareness. Warto wskazać, że Market Watch jest o tyle uniwersalnym spojrzeniem, głównie na przepisy i praktykę z zakresu MAR, że powinny się z nim zapoznać funkcje compliance także w polskich firmach inwestycyjnych i bankach prowadzących działalność maklerską czy tzw. bankach z art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi. Ciekawym jest, że FCA wskazuje, iż zdaniem FCA pewne obowiązki z zakresu określonego przez MAR tj. market abuse surveillance dalej nie są w pełni wdrożone w firmach, pomimo faktu, że MAR wszedł w życie 3 lipca 2016 r.

Całość Market Watch (68): TUTAJ.

Luki platform obrotu instrumentami „fixed income” i „rates” – FCA zauważa, że w celu zapewnienia jak największej płynności, podmioty profesjonalne – brokerzy, wprowadzają różne typy elektronicznych platform transakcyjnych. Problemem wg FCA jest sytuacja, w której wskazane elektroniczne platformy transakcyjne (które mogą być połączone z systemami rynku regulowanego, MTF, OTF czy SI) nie wymagają formalnego połączenia i interfejsu z systemami transakcyjnymi użytkownika, co oznacza, że np. komunikaty o zleceniach i transakcjach nie podlegają rejestracji (w szczególności tzw. pop-up’y). To zdaniem FCA oznacza de facto błędy w monitorowaniu zleceń i transakcji (jeden z obowiązków wynikających z MAR), jako że brak rejestracji takiego „pop-up’a” a co za tym idzie także zlecenia czy transakcji, oznacza brak jego monitorowania i „przepuszczenia” przez algorytmy market abuse surveillance/trade surveillance (analogicznie, jeśli firma uruchomi kanał zawierania transakcji czy składania zleceń i nie zostanie on poddany algorytmom market abuse surveillance/trade surveillance).

Ordery (zlecenia) – Podobnie FCA stwierdza, że ich zdaniem gro firm nie monitoruje w ogóle zleceń (jest to praktyka spotykana na rynku – algorytmy market abuse surveillance/ trade surveillance ograniczają się jedynie do monitorowania zawartych transakcji, nie zaś samych zleceń, które nie zostały zrealizowane, co często jest spowodowane trudnością w pozyskaniu danych i zestawieniu ich z zawartymi transakcjami- np. zlecenia składane na czatach popularnych dostawców oprogramowania) – „Orders are a critical component in effective monitoring for some types of actual or attempted market manipulation, eg, layering and spoofing as well as cross venue and product manipulation where users have a unique line of sight of their own trader activity. If firms do not capture all unexecuted orders, they may fail to identify this activity.”.

Record keeping (MiFID II) – FCA słusznie zauważa, że jeśli firmy nie nie monitorują zleceń (np. niezrealizowanych), zaś funkcja compliance często nie wie, że takowe w ogóle są składane, to najprawdopodobniej firmy nie będą tym samym w stanie wypełniać swoich obowiązków w zakresie archiwizacji z MiFID II.

Świadomość funkcji compliance – Bardzo ciekawe zagadnienie poruszone przez FCA dotyczy świadomości, wiedzy i kompetencji funkcji compliance wykonującej zadania z zakresu market abuse surveillance/trade surveillance (dodam, że nie jest to specyfika brytyjska, ale obowiązek dla wszystkich firm inwestycyjnych i banków prowadzących działalność maklerską czy tzw. banków z art. 70 ust. 2 Ustawy o obrocie instrumentami finansowymi podlegających pod MAR). FCA wskazał, że jego zdaniem funkcja compliance wykonująca zadania z zakresu market abuse surveillance/trade surveillance cechuje się bardzo różnym poziomem wiedzy na temat korzystania przez „ich” biznesy z różnych platform internetowych (ale i dalej – zapewne wszelkiej maści komunikatorów etc.). Organ nadzoru wskazał wręcz, że niektóre zespoły compliance wykonujące zadania z zakresu market abuse surveillance/trade surveillance nie były nawet świadome, jakie platformy są wykorzystywane przez front office.

Co ciekawe FCA wskazuje także na błędy w zakresie oceny ryzyka (także funkcja compliance). Błędem, zdaniem FCA, jest przeprowadzenie oceny ryzyka nadużyć na rynku z pominięciem wyżej wskazanych zagadnień tj. wszelkiej maści transakcji zawieranych na różnych platformach internetowych czy niezrealizowanych zleceń (także usuniętych, modyfikowanych itp.). – takie działania zostały ocenione jako błędy w pracy compliance i w zakresie oceny ryzyka nadużyć na rynku.

Książka – Przestępczość finansowa. Tom 2 – Rynki finansowe.

Dostępna już w sprzedaży jest publikacja, której mam przyjemność być współautorem (razem z Rafał Płókarz Maciej Czapiewski Jakub Strysik, Konrad Zacharzewski) „Przestępczość finansowa. Tom 2. Rynki finansowe”. Do nabycia: TUTAJ.

Opis Wydawcy:

Książka poświęcona jest przestępstwom i różnym patologiom występującym na rynkach finansowych oraz metodom ich zwalczania i zapobiegania im. Autorzy przeanalizowali w niej najnowsze zjawiska przestępcze i inne patologie oraz przyjmowane środki zaradcze o charakterze systemowym (w tym w ramach tzw. Polskiego Ładu – od 2022 r.), w uniwersum rynków finansowych.

Najważniejsze poruszane zagadnienia to:

– uregulowania prawne (w USA, UE i w Polsce) stosowane w zapobieganiu i zwalczaniu nadużyć rynku finansowego;
– zjawisko unikania opodatkowania dochodów kapitałowych, wraz z przeglądem katalogu stosowanych w ostatnich dekadach instrumentów i technik optymalizacyjnych;
– zagadnienia nieprawidłowości w zakresie doradztwa inwestycyjnego, a zwłaszcza nielegalnego doradztwa na rynku kapitałowym;
– nadużycia w obrocie walutami cyfrowymi (aktywami kryptograficznymi), w tym analiza najnowszych projektów regulacji i przypadków nadużyć w obrocie np. tokenami inwestycyjnymi;
– patologie związane z oszukańczą sprawozdawczością finansową, wraz z analizą przyczyn najgłośniejszych oszustw księgowych ostatnich lat.

Autorami niniejszej monografii są doświadczeni praktycy biznesowi, w tym wykładowcy akademiccy z wieloletnim stażem, uznani specjaliści z zakresu m.in. rynków finansowych, rachunkowości, prawa, w szczególności w obszarze zwalczania przestępczości finansowej.”

Stanowisko UKNF w sprawie wykorzystywania mediów społecznościowych – komentarz kwestie compliance

Urząd opublikował projekt Stanowiska UKNF w sprawie wykorzystywania mediów społecznościowych przez podmioty nadzorowane oraz osoby zatrudnione w tych podmiotach, które ma być „reakcją Urzędu na coraz częstsze wykorzystywanie mediów społecznościowych w działalności prowadzonej przez podmioty nadzorowane. Dotyczy to w szczególności udostępniania informacji o ich usługach i produktach”.

Stanowisko liczy sobie 30 stron, jest podzielone na następujące rozdziały: 1. Wstęp/2. Zasady ogólne/ 3. Uwarunkowania związane z treścią udostępnianych informacji w mediach społecznościowych/ 4. Odpowiedzialność za zamieszczanie, udostępnianie lub komentowanie wpisów/ 5. Współpraca podmiotu nadzorowanego z podmiotami trzecimi w zakresie aktywności w mediach społecznościowych w tym 5A. Korzystanie przez podmiot nadzorowany ze zwiększonej rozpoznawalności niektórych osób w mediach społecznościowych oraz 5B. Współpraca z wyspecjalizowanym podmiotem zewnętrznym, w związku z prowadzeniem konta podmiotu nadzorowanego w mediach społecznościowych/ 6. Przechowywanie i archiwizowanie wpisów zamieszczanych w mediach społecznościowych/ 7. Uwarunkowania związane z reżimem Rozporządzenia MAR i Rozporządzenia ws. rekomendacji/ 8. Rola systemu nadzoru zgodności działalności z prawem (compliance) w podmiotach nadzorowanych/ 9. Cyberbezpieczeństwo/ 10. Nota prawna/ 11. Wykaz skrótów.

Na uwagę zwraca ciekawie przedstawiony Załącznik 1 – Praktyczne aspekty wykorzystywania mediów społecznościowych przez podmioty nadzorowane oraz osoby zatrudnione przez ten podmiot (przykłady) a także szata graficzna całego projektu Stanowiska. Projekt Stanowiska ma być konsultowany z szeroko pojętym rynkiem.

Przechodząc do meritum zwrócę uwagę na kwestie problematyczne we wdrożeniu dla funkcji compliance, choć oczywiście projekt oceniam jako ważny krok ku uregulowaniu kwestii, które do dziś pozostawały nieco poza sferą regulacji podmiotów nadzorowanych.

Kwestie compliance

Nie sposób odmówić słuszności stwierdzeniu, że aktywność danego podmiotu nadzorowanego powinna być w centrum zainteresowania compliance i temu, że podmiot nadzorowany „powinien wprowadzić mechanizmy kontrolne dotyczące treści zamieszczanych w mediach społecznościowych mające na celu zapewnienie zgodności z przepisami prawa i regulacjami wewnętrznymi oraz z uwzględnieniem rekomendacji nadzorczych„. Dlatego jak najbardziej popieram postulat wdrożenia w podmiocie nadzorowanym „polityki” regulującej te kwestie (rozumianej niekoniecznie jako wewnętrzny akt normatywny w podmiocie nadzorowanym, ale raczej jako ogół procesów i procedur) i uwzględnienia w niej funkcji compliance.

Urząd wskazuje na dwie formy „nadzoru” funkcji w zakresie działalności w social media tj.: 1) uzyskanie opinii komórki wykonującą funkcję compliance przed publikacją informacji w mediach społecznościowych uwzględniającej m.in. charakterystykę serwisów społecznościowych, na których komunikat (wpis) ma zostać opublikowany (ocena ex ante) oraz 2) dobór odpowiedniej, na podstawie szacowania ryzyka, liczby tych komunikatów (wpisów) po ich opublikowaniu w mediach społecznościowych oraz ich następcza analiza (ocena ex post). Zwraca uwagę spójnik „albo”, który sugerowałby (na etapie projektu), że podmiot nadzorowany „może” stosować jeden ze wskazanych sposobów. Intencja Urzędu wydaje się być jednak inna, mianowicie w pkt. 8.4 wskazano, że podmiot nadzorowany powinien pisemnie określić sposób postępowania (ocena ex post, ocena ex ante) w odniesieniu do poszczególnych kategorii wpisów w mediach społecznościowych oraz zasady obowiązujące przy określaniu i doborze próby do oceny ex post.

Zatem jako funkcja compliance powinniśmy stosować dwa sposoby zarządzania ryzykiem – ex ante i ex post, co generalnie wpisuje się w praktykę compliance na rynku, aczkolwiek z pewnymi zastrzeżeniami. W wskazanym pkt. 8.4 wskazano także, że w podmiocie nadzorowanym powinien odbyć się proces kategoryzacji wszystkich przekazów w social media, tak by punkt po punkcie określić, dla których funkcja compliance będzie stosować ocenę ex ante a dla którego ex post, i tu oczywiście nie sposób się nie zgodzić z wizją Urzędu – funkcja compliance powinna znać wszystkie „kategorie” wpisów w social media, choć znać kategorie to jeszcze moim zdaniem nie znaczy, że powinna opiniować każdy przekaz ex ante.

Wydaje się, że na podstawie pkt. 8.5 projektu Stanowiska można teoretycznie przyjąć, że wszelkiej maści komentarze/posty (nie tzw. komentarze ekonomiczne, tylko raczej krótkie w swej formie odniesienia do konkretnych tematów, krótkie relacje z wydarzeniem etc.) na serwisach typu Twitter/Linkedin/Facebook mogą być oceniane przez funkcję compliance ex post („Do kategorii wpisów podlegających ocenie ex post zaliczyć można komunikację prowadzoną w czasie rzeczywistym w formie dyskusji z innymi użytkownikami.”.).

Jeśli tak można czytać wskazane postanowienia, to co do zasady się z nimi zgadzam, w innym wypadku, gdyby funkcja compliance miałaby „posty” na wspomnianych serwisach oceniać ex ante, uważam, że nastręczałoby zbyt dużo problemów, kosztów (także osobowych), zaś nakład pracy mógłby być nieproporcjonalny do ryzyka i potencjalnych korzyści.

I tu dochodzimy do pkt. 8.6, który wskazuje, że „Ze względu na naturalne cechy niektórych informacji (pewna trwałość i statyczność), do katalogu weryfikacji według formuły ex ante można zaliczyć informacje zamieszczane w szablonach, danych profilowych czy tablicach kont w serwisach społecznościowych. Analogiczne podejście wydaje się zasadne w przypadku zamieszczania informacji o charakterze promocyjno-reklamowym, czy w przypadku zamieszczenia materiałów na blogach lub vlogach niewymagających niezwłocznej publikacji.”. I o ile można zrozumieć opiniowanie ex ante wszelkich materiałów niewymagających niezwłocznej publikacji, to już tzw. szybkie posty niekoniecznie widziałbym w domenie ex ante compliance, raczej w ocenie ex post (przyjmując założenie, że np. osoby udostępniające takie posty działają na zasadzie sprawdzenia na „dwie pary oczu”).

Trzeba natomiast pozytywnie odnieść się do kwestii wskazanych w pkt. 8.7 projektu Stanowiska tj. (zdanie pierwsze): „W niektórych przypadkach podmiot nadzorowany może rozważyć odstąpienie od weryfikacji ex ante zawartości postów. Przykładowo, taka okoliczność będzie miała miejsce w sytuacji dalszego, prostego udostępniania materiałów podmiotu nadzorowanego przez osoby zatrudnione w podmiocie, które to materiały zostały już zatwierdzone przez komórkę compliance.„. Jest to praktyczne podejście, stosowane dziś na rynku, w którym funkcja compliance akceptuje większy materiał, zaś poszczególne jednostki biznesowe wykorzystują jego fragmenty do publikacji np. w serwisach społecznościowych (co do zasady bez zmiany meritum – tak jak wskazano w pkt. 8.7 zdanie drugie – „Dopuszczając taką możliwość podmiot nadzorowany powinien jednocześnie wprowadzić czytelne zasady zapobiegające ryzykom zniekształcania pierwotnie zatwierdzonego przekazu np. braku możliwości modyfikacji materiału, dodawania własnych ocen i komentarzy bądź publikowania jedynie selektywnych treści, które mogłyby zmieniać kontekst zatwierdzonego przekazu„).

Punkty 8.8 i 8.10 co do zasady w kontekście obowiązków funkcji compliance, nie wydają się być kontrowersyjnie, a nawet ocenić je trzeba zdecydowanie pozytywnie. To co dla pkt. 8.8 może budzić wątpliwości (choć wątpliwości są raczej natury ogólnej, niż skierowane w stronę projektu Stanowiska) to wskazanie, że „Podmiot nadzorowany określa samodzielnie metody i techniczne rozwiązania weryfikacji aktywności w mediach społecznościowych, jednakże powinny być to rozwiązania, które wykażą, że analiza aktywności jest przeprowadzana w sposób cykliczny, efektywny, sprawny, w rozmiarze dostosowanym do rodzajów wpisów (statyczne, dynamiczne) oraz w sposób adekwatny do liczby osób, pełnionych przez nie funkcji oraz do dotychczasowej intensyfikacji ich obecności w mediach społecznościowych„.

Wątpliwość natury ogólnej, nie skierowanej w stronę projektu Stanowiska, jest taka, że np. wskazane wyżej serwisy co do zasady (może z pewnymi wyjątkami poza Facebook’iem) dopuszczają konta „służbowe” w rozumieniu „konto organizacji”, ale nie mają szczególnej funkcjonalności dla „konto służbowe pracownika, wykonującego czynności kontrolne”, co często w praktyce oznacza, że pracownik funkcji compliance dokonując przeglądu tego, co na portalu społecznościowym się znajduje, robi to z własnego zawodowego, aczkolwiek dalej prywatnego (osoby fizycznej), profilu. Rozwiązanie, w którym pracownicy funkcji compliance mają zaś dostęp do loginów i haseł oficjalnych portali organizacji (które to dostępy nie różnicują użytkowników jednego profilu na „read-only” i „constant”) nie wydaje się zaś być efektywnym i nie pasuje mi do koncepcji funkcji compliance w modelu trzech linii obrony czy to via Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach czy Systemu MiFID II. Ale jak wspomniałem na początku, jest to problem o wiele szerszy, aniżeli tylko wynikający z projektu Stanowiska, problem, z którym w ten czy inny sposób starają się radzić instytucje, już od dłuższego czasu.

Trudności praktyczne może też sprawiać kwestia opisana w pkt. 8.9 j. „Wprowadzone rozwiązania, jakkolwiek autonomiczne w wyborze, powinny zapewniać posiadanie przez komórkę compliance: 1) oryginalnych formatów wpisów lub materiałów zamieszczanych w mediach społecznościowych, 2) informacji, kto i kiedy zatwierdził opublikowanie lub zmodyfikowanie wpisu (o ile przewidziane jest zatwierdzanie wiadomości ex ante), 3) możliwość śledzenia „życia” wiadomości od momentu rozpowszechniania lub jej zmodyfikowania, aż do momentu ewentualnego jej usunięcia, w przypadku wiadomości weryfikowanych ex post.„.

Jeśli powyższe czytać z fragmentami projektu Stanowiska, które stanowią o archiwizacji wpisów w social media, to możemy dojść do wniosku, że powinniśmy każdy wpis, wraz z komentarzami osób „postronnych” pod nim zapisywać w formie „print screen’a”, co z jednej strony powodować może drastyczne zwiększenie niezbędnej przestrzeni dyskowej czy chociażby nakładu pracy (taki *jpg trzeba „wkleić”, opisać etc.). Aczkolwiek nie wydaje mi się, żeby taka była intencja Urzędu, pamiętając, że Urząd jest raczej zwolennikiem funkcji compliance działającej sprawnie i efektywnie, bez manualnych i nieefektywnych procesów, które na bazie oceny ryzyka czy apetytu na ryzyko podmiotu nadzorowanego, niekoniecznie mogą być traktowane priorytetowo.

Reasumując projekt Stanowiska, jego przedmiot i koncepcję oceniam pozytywnie jako ważny krok ku objęciu ogólnie pojętym nadzorem, tak w podmiotach nadzorowanych przez funkcję compliance, jak i na całym rynku przez Urząd, działalności podmiotów nadzorowanych w social media. Kilka kwestii wymaga jeszcze w projekcie Stanowiska być może wyjaśnienia, być może dopracowania ale na szczęście Urząd zdecydował się także skonsultować projekt z rynkiem, zatem sądzę, że wskazane konsultacje przyniosą rozstrzygnięcie kwestii dziś budzących wątpliwości.

Aktualizacja QA ESMA MAR – ratingi kredytowe

6 sierpnia 2021 r. ESMA opublikowała aktualizację QA MAR – Questions and Answers On the Market Abuse Regulation (MAR). Aktualizacja o tyle ciekawa, że może wpłynąć na praktykę banków-emitentów, w szczególności w Polsce. Praktyką banków w Polsce jest publikowanie informacji o ratingu kredytowym, po jej publikacji przez agencję ratingową, jako informacji poufnej w rozumieniu Rozporządzenia MAR. Tymczasem ESMA we wskazanych QA (pytanie/odpowiedź nr 5.8 – Interaction between MAR and CRAR, nr 5.9 – Disclosure to the public of credit ratings and inside information i 5.10 – Distribution of subscription ratings and disclosure of inside information) wskazuje jak niżej.

MAR w zakresie ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących należy czytać razem z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1060/2009 z dnia 16 września 2009 r. w sprawie agencji ratingowych (Aktualna wersja skonsolidowana: 01/01/2019), w szczególności z art. 10 ust. 2a wskazanego. Rozporządzenie stosuje się do ratingów kredytowych wystawianych przez agencje ratingowe zarejestrowane w Unii oraz ujawnianych publicznie lub rozpowszechnianych w drodze subskrypcji. Wskazany art. 10 ust. 2a Rozporządzenia stanowi, że do czasu upublicznienia ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących traktuje się je jak informacje wewnętrzne zgodnie z definicją i przepisami dyrektywy 2003/6/WE. Wskazana dyrektywa to oczywiście, nieobowiązująca Dyrektywa MAD I (uchylona przez MAD II/MAR), czyli Dyrektywa 2003/6/WE Parlamentu Europejskiego i Rady z dnia 28 stycznia 2003 r. w sprawie wykorzystywania poufnych informacji i manipulacji na rynku (nadużyć na rynku). Zdaniem ESMA, pomimo odwołania Rozporządzenia do Dyrektywy MAD I, należy obecnie przepisy czytać poprzez odwołanie do art. 7 MAR i definicji „informacji poufnej”. Oznacza to zdaniem ESMA, że ratingi kredytowe, perspektywy ratingowe i informacje ich dotyczące należy traktować jak informację poufną w rozumieniu MAR do momentu jej upublicznienia przez agencję ratingową (co następuje najszybciej). Zatem np. banki-emitenci po otrzymaniu takiej informacji, nie powinny publikować otrzymanego ratingu jako informacji poufnej w rozumieniu MAR, bo informacja ta została już upubliczniona.

ESMA wskazuje dodatkowo, że to właśnie moment upublicznienia (w tym także za pośrednictwem „subskrypcji”, przy ograniczonym kręgu subskrybentów) informacji na temat ratingów kredytowych, perspektyw ratingowych i informacji ich dotyczących przez agencję ratingową jest momentem, w którym informacja poufna traci walor poufności („do czasu ich upublicznienia(…)”), co ponownie potwierdza, że praktyka banków publikujących takie informacje jak informacje poufne, nie znajdzie dalej zastosowania (zgodnie z zasadą, że nie powinno się publikować jako informacji poufnej w rozumieniu MAR informacji publicznie dostępnej). Agencje ratingowe znowuż co do zasady publikują ratingi kredytowe, perspektywy ratingowe i informacje ich dotyczące na stronach www/w ramach subskrypcji. Zgodnie ze wskazanym Rozporządzeniem uznaje się, że agencja ratingowa z siedzibą w Unii i zarejestrowana zgodnie z Rozporządzeniem wystawiła rating kredytowy, gdy rating kredytowy został opublikowany na stronie internetowej agencji ratingowej lub z wykorzystaniem innych środków albo został rozpowszechniony w drodze subskrypcji oraz przedstawiony i ujawniony zgodnie z obowiązkami w zakresie m.in. informacji poufnych. Wydaje się, że jest to kolejny krok w sprawie doprecyzowania katalogu zdarzeń powtarzalnych, które nie powinny być już traktowane jak informacja poufna (tu – z powodu utraty waloru poufności), a co za tym idzie – zmniejszenie ilości „wypuszczanych” na rynek informacji poufnych.

QA dostępne TUTAJ.

Update: link do bardzo ciekawej dyskusji w tym temacie: TUTAJ.