Wina jako fundament odpowiedzialności
Odpowiedzialność prawna od wieków opiera się na stosunkowo prostym założeniu. Sam fakt wystąpienia negatywnego skutku nie jest wystarczający do przypisania odpowiedzialności. Konieczne jest również ustalenie związku pomiędzy tym skutkiem a zachowaniem konkretnego podmiotu. W klasycznym modelu odpowiedzialności prawnej centralne znaczenie posiada więc nie sam rezultat, lecz możliwość przypisania go określonemu działaniu lub zaniechaniu. Najpełniejszy wyraz zasada ta znalazła w prawie karnym, gdzie odpowiedzialność od samego początku była ściśle związana z pojęciem winy. Państwo mogło wymierzyć karę wyłącznie w sytuacji, gdy wykazane zostało nie tylko naruszenie normy prawnej, ale również możliwość postawienia sprawcy zarzutu określonego zachowania. Odpowiedzialność miała charakter indywidualny, a sam fakt wystąpienia niepożądanego skutku nie był wystarczający do jej przypisania.
Z biegiem czasu podobna logika zaczęła oddziaływać również na inne gałęzie prawa. Chociaż odpowiedzialność administracyjna rozwijała się według własnych zasad, również w tym obszarze trudno było całkowicie abstrahować od pytania o możliwość przypisania podmiotowi odpowiedzialności za stwierdzone naruszenie. Nie chodziło przy tym o mechaniczne przenoszenie konstrukcji prawa karnego do prawa administracyjnego, lecz o bardziej fundamentalne założenie państwa prawa. Nałożenie sankcji powinno pozostawać związane z oceną zachowania adresata normy prawnej, a nie wyłącznie z samym faktem wystąpienia niepożądanego rezultatu.
Zasada ta nie wynika wyłącznie z tradycji europejskiej kultury prawnej. Znajduje ona odzwierciedlenie również w standardach ochrony praw człowieka. Znaczenie tego stanowiska zostało rozwinięte w orzecznictwie Europejskiego Trybunału Praw Człowieka dotyczącym administracyjnych postępowań sankcyjnych. W sprawie Engel i inni przeciwko Niderlandom Trybunał sformułował kryteria pozwalające ocenić, czy określona sankcja, niezależnie od jej kwalifikacji w prawie krajowym, posiada charakter karny w rozumieniu art. 6 EKPC. Kryteria te obejmują kwalifikację prawną naruszenia w prawie krajowym, charakter naruszonej normy oraz charakter i surowość przewidzianej sankcji. Szczególne znaczenie posiada przy tym okoliczność, że kwalifikacja przyjęta przez ustawodawcę krajowego nie ma charakteru rozstrzygającego. Oznacza to, że sankcja określana przez ustawodawcę jako administracyjna może podlegać standardom właściwym dla odpowiedzialności represyjnej. Podejście to zostało następnie rozwinięte m.in. w sprawie A. Menarini Diagnostics S.R.L. przeciwko Włochom. Trybunał wskazał tam, że administracyjne kary pieniężne mogą realizować cele represyjne i prewencyjne typowe dla odpowiedzialności karnej. O charakterze sankcji przesądza bowiem nie jej formalna kwalifikacja, lecz funkcja, jaką pełni w systemie prawnym. Znaczenie tej linii orzeczniczej wykracza daleko poza samą kwalifikację postępowania. Jeżeli bowiem określone sankcje administracyjne zaczynają być oceniane przez pryzmat standardów właściwych dla odpowiedzialności represyjnej, coraz trudniej uzasadnić model odpowiedzialności całkowicie oderwany od elementu winy. Nie oznacza to oczywiście konieczności pełnego utożsamienia odpowiedzialności administracyjnej z odpowiedzialnością karną. Oznacza jednak konieczność zachowania minimalnych gwarancji chroniących jednostkę przed arbitralnym przypisaniem odpowiedzialności.
Podobne tendencje dostrzegalne są również w polskim orzecznictwie oraz doktrynie prawa administracyjnego. W ostatnich latach coraz wyraźniej odchodzi się od koncepcji, zgodnie z którą dla przypisania odpowiedzialności administracyjnej wystarczający jest wyłącznie sam fakt naruszenia normy prawnej. Coraz częściej podkreśla się potrzebę uwzględniania okoliczności konkretnego przypadku oraz możliwości oceny zachowania podmiotu, którego dotyczy postępowanie sankcyjne.
Szczególne znaczenie mają w tym zakresie wypowiedzi Trybunału Konstytucyjnego. W swoim orzecznictwie Trybunał wielokrotnie wskazywał, że nawet odpowiedzialność administracyjna oparta na modelu obiektywnym nie może zostać utożsamiona z odpowiedzialnością absolutną. Podmiot powinien mieć możliwość wykazania, że uczynił wszystko, czego można było od niego rozsądnie wymagać, aby zapobiec naruszeniu prawa. Odpowiedzialność administracyjna może więc abstrahować od klasycznie rozumianej winy, nie może jednak abstrahować od oceny zachowania podmiotu oraz okoliczności konkretnej sprawy.
W konsekwencji współczesna odpowiedzialność administracyjna coraz częściej opisywana jest jako model obiektywno-subiektywny. Do przypisania odpowiedzialności konieczne pozostaje wykazanie naruszenia normy prawnej, jednak sam fakt naruszenia nie wyczerpuje jeszcze całej analizy. Istotne znaczenie zachowuje również pytanie o możliwość przypisania odpowiedzialności konkretnemu podmiotowi oraz zakres działań podjętych przez niego w celu zapobieżenia naruszeniu. Model ten wydaje się dziś dobrze ugruntowany zarówno w doktrynie, jak i orzecznictwie. Problem polega jednak na tym, że współczesne regulacje sektora finansowego coraz częściej opierają się na logice, która prowadzi do odmiennych rezultatów. W praktyce bowiem instytucje finansowe coraz częściej odpowiadają nie za samo zachowanie, lecz za fakt, że określone naruszenie w ogóle wystąpiło. To właśnie w tym miejscu rozpoczyna się współczesna dyskusja o granicach odpowiedzialności administracyjnej oraz o tym, czy odpowiedzialność instytucji finansowych nie zaczyna stopniowo zbliżać się do modelu odpowiedzialności za rezultat.
Narodziny odpowiedzialności administracyjnej obiektywnej
Mimo silnego związku pomiędzy odpowiedzialnością a winą, rozwój prawa administracyjnego doprowadził do stopniowego wykształcenia odmiennego modelu odpowiedzialności. Nie było to zjawisko przypadkowe. Wynikało ono z rosnącej złożoności współczesnego państwa oraz coraz większej liczby obszarów wymagających skutecznego egzekwowania obowiązków publicznoprawnych. Państwo regulacyjne stanęło przed problemem, którego nie znało klasyczne prawo karne. W wielu przypadkach celem ustawodawcy nie było już wyłącznie ukaranie sprawcy za określone zachowanie. Coraz częściej chodziło o zapewnienie skuteczności określonych mechanizmów regulacyjnych. W takich obszarach jak ochrona środowiska, bezpieczeństwo żywności, transport, energetyka czy rynek finansowy zasadnicze znaczenie zaczęła odgrywać efektywność systemu nadzoru nad przestrzeganiem prawa. Z perspektywy regulatora tradycyjny model oparty na badaniu winy zaczął być postrzegany jako niewystarczający. Wymagał bowiem każdorazowego ustalania motywacji sprawcy, stopnia jego zawinienia oraz okoliczności towarzyszących naruszeniu. Proces ten był nie tylko czasochłonny, lecz również utrudniał szybkie i skuteczne reagowanie na przypadki naruszeń.
W rezultacie ustawodawca zaczął coraz częściej sięgać po konstrukcję odpowiedzialności administracyjnej opartej na przesłance obiektywnej. Punktem wyjścia przestawała być analiza psychicznego stosunku podmiotu do naruszenia. Kluczowego znaczenia nabierał sam fakt naruszenia normy prawnej. Logika tego rozwiązania była stosunkowo prosta. Jeżeli określony podmiot prowadzi działalność w obszarze objętym szczególną regulacją, powinien ponosić odpowiedzialność za przestrzeganie związanych z nią obowiązków. W takim modelu zasadnicze znaczenie ma nie tyle pytanie o przyczyny naruszenia, ile pytanie o skuteczność systemu zapewniającego przestrzeganie prawa. Rozwiązanie to posiadało niewątpliwe zalety. Ułatwiało organom administracji realizację ich funkcji, zwiększało efektywność egzekwowania prawa oraz ograniczało ryzyko sytuacji, w których odpowiedzialność nie mogłaby zostać przypisana wyłącznie z powodu trudności dowodowych związanych z wykazaniem winy. Z tego punktu widzenia odpowiedzialność obiektywna stała się jednym z podstawowych instrumentów współczesnego państwa regulacyjnego.
Jednocześnie niemal od samego początku pojawiło się pytanie o granice takiego modelu. Jeżeli dla przypisania odpowiedzialności wystarczający jest sam fakt naruszenia normy prawnej, to czy podmiot powinien odpowiadać również w sytuacji, gdy zrobił wszystko, czego można było od niego rozsądnie wymagać, aby naruszeniu zapobiec? To pytanie szybko stało się jednym z najważniejszych problemów współczesnego prawa administracyjnego. Z jednej strony efektywność regulacji przemawiała za szerokim stosowaniem odpowiedzialności obiektywnej. Z drugiej strony zasady państwa prawnego wymagały zachowania minimalnej relacji pomiędzy odpowiedzialnością a możliwością postawienia podmiotowi zarzutu określonego zachowania.
To właśnie w tym miejscu zaczęła kształtować się fundamentalna różnica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną. Odpowiedzialność obiektywna zakłada, że dla przypisania odpowiedzialności nie jest konieczne wykazanie winy w klasycznym rozumieniu prawa karnego. Nie oznacza jednak automatycznie, że odpowiedzialność powstaje zawsze i w każdych okolicznościach. Wciąż pozostaje bowiem pytanie, czy podmiot miał realną możliwość zapobieżenia naruszeniu oraz czy podjął działania, których można było od niego rozsądnie oczekiwać. Odpowiedzialność absolutna opiera się natomiast na zupełnie innej logice. W takim modelu znaczenie traci zarówno stopień staranności podmiotu, jak i zakres podjętych działań organizacyjnych. Sam fakt wystąpienia naruszenia staje się wystarczający do przypisania odpowiedzialności.
Różnica pomiędzy tymi konstrukcjami może wydawać się subtelna. W praktyce ma jednak fundamentalne znaczenie. To właśnie ona wyznacza granicę pomiędzy odpowiedzialnością służącą skutecznemu egzekwowaniu prawa a odpowiedzialnością, która przekształca się w mechanizm automatycznego przypisywania negatywnych konsekwencji niezależnie od zachowania podmiotu. Przez wiele lat problem ten miał przede wszystkim charakter teoretyczny. W ostatnich latach coraz częściej staje się jednak problemem praktycznym. Szczególnie wyraźnie widać to w sektorze finansowym, gdzie zakres obowiązków regulacyjnych systematycznie rośnie, a odpowiedzialność instytucji coraz częściej oceniana jest przez pryzmat skuteczności całego systemu organizacyjnego. To właśnie sektor finansowy stał się miejscem, w którym napięcie pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną ujawnia się z największą siłą.
Sektor finansowy jako laboratorium odpowiedzialności za rezultat
Sektor finansowy jest jednym z tych obszarów prawa administracyjnego, w których najpełniej ujawnia się współczesne napięcie pomiędzy skutecznością regulacji a gwarancyjnym charakterem odpowiedzialności. Nie chodzi wyłącznie o to, że banki, zakłady ubezpieczeń, firmy inwestycyjne czy instytucje płatnicze podlegają szczególnie rozbudowanym obowiązkom publicznoprawnym. Istotniejsze jest to, że obowiązki te coraz częściej nie mają charakteru prostych nakazów lub zakazów, lecz przybierają postać wymogów organizacyjnych, procesowych i systemowych. To zasadniczo zmienia sposób myślenia o odpowiedzialności administracyjnej. W klasycznym modelu sankcyjnym punktem wyjścia było konkretne zachowanie adresata normy. Organ ustalał, czy podmiot wykonał określony obowiązek, czy dopuścił się zakazanego działania albo czy zaniechał czynności wymaganej przez prawo. Odpowiedzialność była więc powiązana z określonym naruszeniem, które można było zidentyfikować w czasie, opisać przez pryzmat konkretnej normy i przypisać określonemu podmiotowi. W sektorze finansowym taki model coraz częściej okazuje się niewystarczający. Współczesne regulacje nie oczekują bowiem od instytucji finansowych jedynie wykonania pojedynczych obowiązków. Oczekują stworzenia organizacji zdolnej do ciągłego, powtarzalnego i skutecznego zapobiegania naruszeniom. Przedmiotem regulacji przestaje być więc wyłącznie zachowanie, a staje się nim zdolność organizacyjna instytucji.
Najlepiej widać to na przykładzie regulacji przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Ustawa AML przewiduje konkretne obowiązki: identyfikację i weryfikację klienta, ocenę ryzyka, stosowanie środków bezpieczeństwa finansowego, bieżące monitorowanie relacji gospodarczej, analizę transakcji czy zawiadamianie właściwych organów. Na poziomie formalnym można więc powiedzieć, że odpowiedzialność instytucji obowiązanej dotyczy naruszenia konkretnych przepisów. W rzeczywistości jednak ciężar regulacji przesuwa się znacznie dalej. Instytucja obowiązana nie ma wyłącznie prawidłowo zidentyfikować określonego klienta. Ma posiadać system, który pozwala prawidłowo identyfikować klientów jako kategorię. Nie ma wyłącznie sporządzić pojedynczej oceny ryzyka. Ma stworzyć proces pozwalający na stałą identyfikację, aktualizację i weryfikację ryzyka. Nie ma wyłącznie wykryć określonej transakcji podejrzanej. Ma zbudować organizację, która z odpowiednią skutecznością rozpoznaje zachowania nietypowe, analizuje je i podejmuje adekwatne działania. Naruszenie pojedynczego obowiązku zaczyna więc pełnić podwójną funkcję. Po pierwsze, pozostaje podstawą formalnego przypisania odpowiedzialności. Po drugie, staje się sygnałem, że system organizacyjny instytucji mógł nie działać prawidłowo. W tym drugim znaczeniu naruszenie nie jest już wyłącznie zdarzeniem prawnym. Staje się dowodem potencjalnej niewystarczalności organizacji.
Analogiczny mechanizm widoczny jest w innych obszarach regulacji finansowej. Wymogi dotyczące ładu wewnętrznego nie ograniczają się do oceny pojedynczych decyzji zarządu lub rady nadzorczej. Ich celem jest zapewnienie, że instytucja posiada strukturę organizacyjną pozwalającą na prawidłowy przepływ informacji, skuteczny nadzór wewnętrzny, właściwy podział kompetencji oraz rzeczywistą zdolność do podejmowania decyzji w warunkach ryzyka. Regulacje dotyczące zarządzania ryzykiem nie koncentrują się na jednej decyzji obarczonej ryzykiem, lecz na całym systemie identyfikacji, pomiaru, monitorowania i ograniczania ryzyk. Regulacje dotyczące odporności cyfrowej nie pytają wyłącznie o reakcję na konkretny incydent, lecz o zdolność organizacji do utrzymania ciągłości działania, testowania odporności i zarządzania ryzykiem technologicznym. Regulacje dotyczące outsourcingu nie oceniają jedynie pojedynczej umowy z dostawcą, lecz zdolność instytucji do zarządzania ryzykiem powierzania funkcji podmiotom trzecim.
We wszystkich tych przypadkach odpowiedzialność administracyjna oddala się od prostego modelu naruszenia jednostkowego obowiązku. Coraz częściej zostaje powiązana z oceną jakości organizacji. Organ administracji nie pyta już wyłącznie, czy doszło do naruszenia. Pyta także, dlaczego organizacja do niego dopuściła, jakie mechanizmy nie zadziałały, czy funkcje kontrolne były skuteczne, czy zarząd miał właściwą informację, czy procedury były adekwatne i czy instytucja mogła zapobiec naruszeniu przy zachowaniu należytej staranności.
Na tym tle sektor finansowy staje się laboratorium odpowiedzialności za rezultat nie dlatego, że przepisy wprost ustanawiają odpowiedzialność absolutną. Problem jest bardziej subtelny. Formalnie odpowiedzialność nadal dotyczy naruszenia konkretnych obowiązków. Materialnie jednak ocena coraz częściej koncentruje się na tym, że system organizacyjny nie doprowadził do rezultatu oczekiwanego przez regulatora. Tym rezultatem może być niewystąpienie naruszenia AML, brak istotnego incydentu operacyjnego, prawidłowa dystrybucja produktu, skuteczna kontrola outsourcingu albo niezakłócona realizacja funkcji krytycznych.
Właśnie w tym miejscu powstaje ryzyko przesunięcia odpowiedzialności administracyjnej w kierunku odpowiedzialności quasi-absolutnej. Jeżeli bowiem każde naruszenie może być interpretowane jako dowód niewystarczającej organizacji, to podmiot regulowany znajduje się w bardzo trudnej sytuacji. Musi wykazać nie tylko, że posiadał procedury, systemy i mechanizmy kontrolne, ale także że były one adekwatne, skuteczne i realnie funkcjonujące. Jednocześnie sam fakt wystąpienia naruszenia działa przeciwko niemu, ponieważ sugeruje, że system nie był wystarczający. Nie można oczywiście odrzucić tej logiki w całości. W sektorze finansowym odpowiedzialność za organizację jest konieczna. Bank nie jest zwykłym przedsiębiorcą wykonującym incydentalne obowiązki administracyjne. Jest instytucją, której działalność opiera się na zaufaniu, zarządzaniu cudzymi środkami, przetwarzaniu ogromnych ilości danych, świadczeniu usług krytycznych dla gospodarki oraz przeciwdziałaniu ryzykom o charakterze systemowym i publicznym. Oczekiwanie, że taka instytucja będzie posiadała skuteczną organizację wewnętrzną, jest uzasadnione. Nie oznacza to jednak, że odpowiedzialność za organizację może przekształcić się w odpowiedzialność za każdy negatywny rezultat. System compliance, system AML, system zarządzania ryzykiem czy system odporności cyfrowej nigdy nie eliminują ryzyka całkowicie. Ich funkcją jest ograniczanie prawdopodobieństwa naruszeń, a nie zagwarantowanie, że naruszenie nigdy nie wystąpi. Jeżeli więc każde naruszenie automatycznie prowadzi do wniosku, że organizacja była niewłaściwa, odpowiedzialność administracyjna zaczyna tracić swój gwarancyjny charakter.
Granica jest tutaj wyjątkowo delikatna. Z jednej strony organ nadzoru musi mieć możliwość oceny, czy instytucja finansowa była zorganizowana w sposób pozwalający na realne wykonywanie obowiązków regulacyjnych. Z drugiej strony nie może przyjmować, że wystąpienie naruszenia samo w sobie przesądza o wadliwości organizacji. Taki sposób rozumowania prowadziłby do odpowiedzialności opartej nie na analizie zachowania podmiotu, lecz na retrospektywnej ocenie skutku. W konsekwencji kluczowe znaczenie powinno mieć pytanie, czy instytucja stworzyła i stosowała taki system organizacyjny, jakiego można było od niej rozsądnie wymagać w danych okolicznościach. Nie chodzi wyłącznie o formalne posiadanie procedur. Chodzi o realność mechanizmów, adekwatność zasobów, jakość nadzoru wewnętrznego, sposób reagowania na sygnały ostrzegawcze, charakter naruszenia oraz możliwość jego przewidzenia i uniknięcia. Dopiero taka analiza pozwala odróżnić odpowiedzialność obiektywną od odpowiedzialności absolutnej. Odpowiedzialność obiektywna może abstrahować od winy rozumianej w sposób karnistyczny. Nie może jednak abstrahować od pytania, czy podmiot miał realną możliwość uniknięcia naruszenia i czy podjął działania, których można było od niego rozsądnie oczekiwać. W przeciwnym razie odpowiedzialność administracyjna przestaje być odpowiedzialnością za naruszenie prawa, a staje się odpowiedzialnością za to, że organizacja nie osiągnęła stanu doskonałej skuteczności.
Sektor finansowy pokazuje ten problem z wyjątkową ostrością. Im bardziej regulacja oczekuje od instytucji tworzenia systemów zapobiegających naruszeniom, tym większe staje się ryzyko, że każde naruszenie zostanie potraktowane jako dowód nieskuteczności systemu. A im bardziej naruszenie utożsamiane jest z nieskutecznością organizacji, tym bardziej odpowiedzialność administracyjna zbliża się do odpowiedzialności za rezultat. Właśnie dlatego pytanie o absolutny charakter odpowiedzialności administracyjnej banków nie jest pytaniem abstrakcyjnym. Jest pytaniem o granice współczesnego państwa regulacyjnego. Państwo może wymagać od instytucji finansowych wysokiej staranności, adekwatnej organizacji i skutecznych mechanizmów kontroli. Nie powinno jednak zakładać, że każde naruszenie oznacza automatycznie brak tej staranności. Pomiędzy naruszeniem a odpowiedzialnością musi pozostać przestrzeń na ocenę okoliczności konkretnego przypadku. Bez tej przestrzeni odpowiedzialność administracyjna traci swój obiektywno-subiektywny charakter i staje się odpowiedzialnością absolutną w praktyce, nawet jeżeli nie została tak nazwana w ustawie.
Od odpowiedzialności za działanie do odpowiedzialności za organizację
Analiza współczesnych regulacji sektora finansowego prowadzi do wniosku, że najważniejsza zmiana nie dotyczy ani zakresu obowiązków regulacyjnych, ani wysokości sankcji administracyjnych. Znacznie głębsza transformacja dotyczy samego przedmiotu odpowiedzialności. Historycznie odpowiedzialność administracyjna koncentrowała się przede wszystkim na określonym działaniu lub zaniechaniu podmiotu. Organ administracji oceniał, czy adresat normy wykonał obowiązek wynikający z przepisów prawa, a następnie ustalał konsekwencje jego naruszenia. Punktem odniesienia pozostawało konkretne zachowanie podmiotu w określonym stanie faktycznym.
Współczesne regulacje sektora finansowego coraz częściej odchodzą od takiego modelu. Nie oznacza to oczywiście, że znikają konkretne obowiązki prawne. Nadal stanowią one podstawę odpowiedzialności administracyjnej. Coraz częściej jednak obowiązki te są jedynie elementem znacznie szerszego systemu wymogów organizacyjnych. Regulator oczekuje nie tylko wykonania określonych czynności, lecz również stworzenia organizacji zdolnej do ich prawidłowego wykonywania w sposób ciągły i powtarzalny. W rezultacie przedmiotem oceny organów nadzoru staje się nie tylko samo naruszenie, ale również sposób funkcjonowania instytucji jako całości. Zjawisko to szczególnie wyraźnie widoczne jest w regulacjach opartych na zarządzaniu ryzykiem. W przypadku AML przedmiotem zainteresowania organu nie jest wyłącznie to, czy doszło do naruszenia konkretnego obowiązku ustawowego. Analizowana jest również adekwatność systemu przeciwdziałania praniu pieniędzy, jakość oceny ryzyka, skuteczność monitorowania relacji gospodarczych czy funkcjonowanie mechanizmów kontrolnych.
Podobnie dzieje się w obszarze zarządzania ryzykiem operacyjnym, cyberbezpieczeństwa, outsourcingu czy ładu wewnętrznego. Coraz większego znaczenia nabiera pytanie o zdolność organizacji do identyfikowania i ograniczania zagrożeń, zanim doprowadzą one do materializacji ryzyka. Na tym tle odpowiedzialność administracyjna zaczyna stopniowo zmieniać swój charakter. Przedmiotem oceny nie jest już wyłącznie zgodność określonego zachowania z normą prawną. Coraz częściej oceniana jest zdolność organizacji do zapewnienia zgodności z prawem. Nie bada się wyłącznie tego, czy doszło do naruszenia. Bada się również, dlaczego organizacja nie była w stanie temu naruszeniu zapobiec. Zmiana ta ma istotne znaczenie dla konstrukcji odpowiedzialności. W klasycznym modelu stosunkowo łatwo było oddzielić odpowiedzialność za zachowanie od odpowiedzialności za rezultat. Jeżeli podmiot wykonał wszystkie obowiązki wynikające z przepisów prawa, trudno było przypisać mu odpowiedzialność wyłącznie dlatego, że wystąpił niepożądany skutek.
W modelu opartym na ocenie organizacji granica ta staje się znacznie mniej wyraźna. Jeżeli bowiem zadaniem instytucji jest stworzenie skutecznego systemu zapobiegania naruszeniom, to każde naruszenie może zostać potraktowane jako dowód, że system nie działał prawidłowo. Im większy nacisk regulator kładzie na skuteczność organizacji, tym większe staje się ryzyko utożsamienia wystąpienia naruszenia z niewłaściwym funkcjonowaniem całego systemu. Powstaje wówczas swoiste domniemanie organizacyjnej nieskuteczności. Skoro doszło do naruszenia, to organizacja musiała zawieść. Skoro organizacja zawiodła, to podmiot ponosi odpowiedzialność. Taka logika jest jednak problematyczna. Każda organizacja funkcjonuje w warunkach niepewności. Nie istnieją systemy całkowicie eliminujące ryzyko błędu, nadużycia, awarii technicznej czy nieprzewidywalnego zachowania uczestników rynku. Oczekiwanie absolutnej skuteczności prowadziłoby do utożsamienia obowiązku należytej organizacji z obowiązkiem zagwarantowania określonego rezultatu.
W tym miejscu pojawia się fundamentalne pytanie dla współczesnej odpowiedzialności administracyjnej. Czy obowiązek stworzenia skutecznej organizacji oznacza obowiązek zapobieżenia każdemu naruszeniu? Jeżeli odpowiedź byłaby twierdząca, odpowiedzialność administracyjna zaczęłaby stopniowo przekształcać się w odpowiedzialność za rezultat. Jeżeli natomiast odpowiedź jest przecząca, konieczne staje się określenie kryterium pozwalającego odróżnić organizację działającą prawidłowo od organizacji, której można postawić zarzut niewłaściwego działania. Tym kryterium wydaje się właśnie należyta staranność. To ona pozwala odpowiedzieć na pytanie, czy instytucja stworzyła i utrzymywała taki system organizacyjny, jakiego można było od niej rozsądnie oczekiwać. Bez tego elementu odpowiedzialność za organizację bardzo łatwo mogłaby zostać utożsamiona z odpowiedzialnością za sam fakt wystąpienia naruszenia. Dlatego analiza współczesnej odpowiedzialności administracyjnej nie może ograniczać się do badania samego naruszenia. Musi obejmować również ocenę działań podjętych przez podmiot w celu jego uniknięcia. Dopiero wtedy możliwe staje się zachowanie granicy pomiędzy odpowiedzialnością za organizację a odpowiedzialnością za rezultat.
Czy istnieje jeszcze znaczenie należytej staranności?
Przesunięcie odpowiedzialności administracyjnej z poziomu pojedynczego zachowania na poziom organizacji prowadzi do pytania fundamentalnego dla współczesnego prawa regulacyjnego. Jeżeli instytucja finansowa odpowiada za skuteczność swoich systemów, procedur i mechanizmów kontrolnych, to czy może uwolnić się od odpowiedzialności poprzez wykazanie, że działała z należytą starannością? Pytanie to nie ma wyłącznie znaczenia teoretycznego. W praktyce od odpowiedzi na nie zależy granica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną.
Klasyczne rozumienie należytej staranności zakłada, że prawo nie wymaga od podmiotu osiągnięcia określonego rezultatu za wszelką cenę. Wymaga natomiast podjęcia działań, których można od niego rozsądnie oczekiwać w danych okolicznościach. Naruszenie prawa nie jest więc automatycznie utożsamiane z zawinieniem ani z odpowiedzialnością. Konieczne pozostaje ustalenie, czy podmiot miał realną możliwość zapobieżenia naruszeniu oraz czy wykorzystał dostępne mu środki. Takie podejście jest dobrze zakorzenione zarówno w tradycji europejskiej kultury prawnej, jak i w orzecznictwie sądowym. Szczególne znaczenie mają w tym zakresie wypowiedzi Trybunału Konstytucyjnego, który wielokrotnie podkreślał, że nawet odpowiedzialność administracyjna oparta na modelu obiektywnym nie może być utożsamiana z odpowiedzialnością absolutną. Podmiot powinien mieć możliwość wykazania, że uczynił wszystko, czego można było od niego rozsądnie wymagać, aby zapobiec naruszeniu prawa. Znaczenie tego stanowiska jest trudne do przecenienia. Oznacza ono bowiem, że sam fakt wystąpienia naruszenia nie może automatycznie przesądzać o odpowiedzialności. Naruszenie pozostaje punktem wyjścia dla analizy, ale nie zastępuje samej analizy.
Stanowisko takie znajduje silne oparcie w orzecznictwie Trybunału Konstytucyjnego. Szczególne znaczenie posiada wyrok z 4 lipca 2002 r. (P 12/01), w którym Trybunał wskazał, że obiektywna koncepcja odpowiedzialności administracyjnej nie jest odpowiedzialnością absolutną. Podmiot może uwolnić się od odpowiedzialności, jeżeli wykaże, że uczynił wszystko, czego można było od niego rozsądnie wymagać, aby do naruszenia nie dopuścić. Kierunek ten został następnie rozwinięty w wyroku z 7 lipca 2009 r. (K 13/08), w którym Trybunał podkreślił, że brak winy może wpływać zarówno na samą odpowiedzialność administracyjną, jak i na jej zakres. Odpowiedzialność administracyjna pozostaje więc odpowiedzialnością opartą na obiektywnym naruszeniu prawa, jednak nie jest całkowicie oderwana od oceny zachowania podmiotu. Jeszcze dalej poszedł Trybunał w wyroku z 1 lipca 2014 r. (SK 6/12), wskazując, że stosowanie kar administracyjnych nie może opierać się na idei odpowiedzialności czysto obiektywnej, całkowicie oderwanej od okoliczności konkretnego przypadku, w tym od winy sprawcy. Tym samym Trybunał jednoznacznie zakwestionował możliwość konstruowania odpowiedzialności administracyjnej jako odpowiedzialności automatycznej, powstającej wyłącznie wskutek wystąpienia naruszenia.
Podobny kierunek można dostrzec również w orzecznictwie Europejskiego Trybunału Praw Człowieka. W sprawach dotyczących administracyjnych postępowań sankcyjnych ETPCz zwraca uwagę na konieczność zachowania gwarancji charakterystycznych dla odpowiedzialności represyjnej. Szczególnego znaczenia nabiera w tym kontekście możliwość oceny zachowania podmiotu oraz ustalenia przesłanek przypisania odpowiedzialności.
Problem polega jednak na tym, że praktyka regulacyjna sektora finansowego coraz częściej rozwija się w odmiennym kierunku. W wielu przypadkach analiza należytej staranności zostaje zastąpiona analizą skuteczności. Organ nie pyta już przede wszystkim, jakie działania podjął podmiot. Pyta raczej, czy działania te doprowadziły do oczekiwanego rezultatu. Jeżeli doszło do naruszenia, naturalnym odruchem staje się poszukiwanie wadliwości organizacji. Jeżeli system AML nie wykrył określonego schematu działania klienta, pojawia się pytanie o adekwatność systemu. Jeżeli wystąpił incydent operacyjny, analizowana jest skuteczność mechanizmów kontrolnych. Jeżeli doszło do naruszenia obowiązków regulacyjnych, oceniana jest jakość ładu wewnętrznego lub zarządzania ryzykiem. Takie podejście jest zrozumiałe z perspektywy nadzorczej. Współczesny regulator nie jest zainteresowany wyłącznie historycznym ustaleniem faktów. Jego zadaniem jest również ograniczanie ryzyk przyszłych. Naruszenie staje się więc źródłem informacji o potencjalnych słabościach organizacji. Problem pojawia się jednak wtedy, gdy analiza organizacji zaczyna być prowadzona wyłącznie przez pryzmat skutku.
Ocena ex post posiada bowiem naturalną skłonność do przeceniania możliwości przewidywania przyszłości. Po wystąpieniu naruszenia bardzo łatwo wskazać działania, które teoretycznie mogłyby mu zapobiec. Znacznie trudniej odpowiedzieć na pytanie, czy działania te były rzeczywiście możliwe do przewidzenia i wdrożenia przed wystąpieniem zdarzenia. To zjawisko jest dobrze znane zarówno ekonomii, jak i teorii zarządzania ryzykiem. Każda organizacja funkcjonuje w warunkach niepewności. Decyzje podejmowane są przy niepełnej informacji, ograniczonych zasobach oraz konieczności równoważenia wielu konkurencyjnych ryzyk. Ocena dokonywana po wystąpieniu zdarzenia niemal zawsze prowadzi do wniosku, że organizacja mogła zrobić więcej.
Przyjęcie takiej logiki jako podstawy odpowiedzialności prowadziłoby jednak do bardzo niebezpiecznych konsekwencji. Jeżeli każda materializacja ryzyka miałaby automatycznie dowodzić niewystarczającej staranności organizacji, wówczas należytą staranność należałoby utożsamić z całkowitym wyeliminowaniem ryzyka. Tymczasem taki standard jest niemożliwy do osiągnięcia. Nie istnieje system AML gwarantujący wykrycie wszystkich prób prania pieniędzy. Nie istnieje system cyberbezpieczeństwa gwarantujący brak incydentów. Nie istnieje również system zarządzania ryzykiem eliminujący możliwość błędnych decyzji biznesowych. Wymaganie całkowitej skuteczności oznaczałoby w praktyce ustanowienie odpowiedzialności za rezultat.
To właśnie dlatego należyta staranność zachowuje kluczowe znaczenie dla współczesnej odpowiedzialności administracyjnej. Jej funkcją nie jest zwolnienie podmiotów regulowanych z odpowiedzialności za naruszenia prawa. Jej funkcją jest wyznaczenie granicy pomiędzy sytuacją, w której organizacja rzeczywiście zawiodła, a sytuacją, w której pomimo podjęcia wszystkich rozsądnie wymaganych działań doszło do materializacji ryzyka. Z tej perspektywy pytanie o należytą staranność nie jest pytaniem pomocniczym. Jest pytaniem o samą naturę odpowiedzialności administracyjnej. Jeżeli możliwość wykazania należytej staranności zostanie wyłączona lub zredukowana do znaczenia czysto formalnego, odpowiedzialność administracyjna przestanie być odpowiedzialnością za naruszenie prawa. Stanie się odpowiedzialnością za brak osiągnięcia oczekiwanego rezultatu. A to oznaczałoby przekroczenie granicy oddzielającej odpowiedzialność obiektywną od odpowiedzialności absolutnej.
Granica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną
Dotychczasowe rozważania prowadzą do pytania o fundamentalnym znaczeniu dla współczesnego prawa regulacyjnego. Jeżeli odpowiedzialność administracyjna może abstrahować od klasycznie rozumianej winy, a jednocześnie obejmuje ocenę całej organizacji oraz skuteczności wdrożonych przez nią mechanizmów kontrolnych, to gdzie przebiega granica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną? Pytanie to nie ma charakteru wyłącznie teoretycznego. W praktyce od odpowiedzi na nie zależy dopuszczalny zakres ingerencji państwa w działalność podmiotów regulowanych. Odpowiedzialność obiektywna i odpowiedzialność absolutna są bowiem często utożsamiane, mimo że opierają się na odmiennych założeniach aksjologicznych i prowadzą do zasadniczo różnych konsekwencji prawnych.
Odpowiedzialność obiektywna zakłada, że dla przypisania odpowiedzialności nie jest konieczne wykazanie winy rozumianej w sposób charakterystyczny dla prawa karnego. Nie oznacza jednak, że odpowiedzialność powstaje automatycznie wraz z każdym naruszeniem normy prawnej. W dalszym ciągu konieczne pozostaje ustalenie związku pomiędzy naruszeniem a zachowaniem podmiotu, ocena okoliczności konkretnej sprawy oraz zbadanie, czy podmiot miał realną możliwość uniknięcia naruszenia. Odpowiedzialność absolutna opiera się natomiast na zupełnie innej logice. W takim modelu sam fakt wystąpienia naruszenia przesądza o odpowiedzialności. Bez znaczenia pozostaje stopień staranności podmiotu, zakres podjętych działań organizacyjnych, możliwość przewidzenia zdarzenia czy obiektywna zdolność zapobieżenia jego wystąpieniu. Odpowiedzialność zostaje całkowicie oderwana od oceny zachowania adresata normy prawnej. Taki model pozostaje jednak trudny do pogodzenia z konstytucyjnymi standardami odpowiedzialności administracyjnej.
W orzecznictwie Trybunału Konstytucyjnego konsekwentnie podkreśla się, że nawet odpowiedzialność administracyjna oparta na przesłankach obiektywnych nie może przybierać postaci odpowiedzialności absolutnej. Szczególne znaczenie posiada w tym zakresie stanowisko, zgodnie z którym podmiot powinien mieć możliwość wykazania, że uczynił wszystko, czego można było od niego rozsądnie wymagać, aby zapobiec naruszeniu prawa. Pozbawienie go takiej możliwości prowadziłoby do zerwania związku pomiędzy odpowiedzialnością a zachowaniem podmiotu, a tym samym do naruszenia zasad demokratycznego państwa prawnego wynikających z art. 2 Konstytucji RP.
Jeszcze szerszego kontekstu dostarcza orzecznictwo Europejskiego Trybunału Praw Człowieka. Począwszy od sprawy Engel i inni przeciwko Niderlandom, Trybunał konsekwentnie wskazuje, że część sankcji administracyjnych, mimo formalnej kwalifikacji przyjętej przez ustawodawcę krajowego, posiada charakter represyjny i prewencyjny właściwy odpowiedzialności karnej. W takich przypadkach zastosowanie znajdują gwarancje wynikające z art. 6 Europejskiej Konwencji Praw Człowieka. Linia ta została następnie rozwinięta m.in. w sprawie A. Menarini Diagnostics S.r.l. przeciwko Włochom, gdzie Trybunał potwierdził, że administracyjne kary pieniężne mogą podlegać standardom właściwym dla odpowiedzialności represyjnej. Znaczenie tego orzecznictwa dla sektora finansowego jest szczególne. Sankcje nakładane przez organy nadzoru nie pełnią bowiem wyłącznie funkcji restytucyjnej. Ich celem jest również ukaranie naruszenia oraz wywołanie efektu odstraszającego zarówno wobec adresata decyzji, jak i pozostałych uczestników rynku. Trudno więc całkowicie abstrahować od gwarancji, które historycznie rozwijały się właśnie po to, aby ograniczyć ryzyko arbitralnego przypisywania odpowiedzialności.
Problem polega jednak na tym, że współczesne regulacje sektora finansowego coraz częściej sytuują się na granicy pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną. Jeżeli odpowiedzialność instytucji oceniana jest przez pryzmat skuteczności systemu AML, skuteczności funkcji kontroli, skuteczności zarządzania ryzykiem czy skuteczności zabezpieczeń cybernetycznych, wówczas każde naruszenie może zostać potraktowane jako dowód wadliwości organizacji. Powstaje swoiste domniemanie organizacyjnej nieskuteczności. Skoro doszło do naruszenia, organizacja okazała się niewystarczająca. Skoro organizacja była niewystarczająca, podmiot ponosi odpowiedzialność.
Taka konstrukcja prowadzi jednak do niebezpiecznego przesunięcia ciężaru argumentacji. Przedmiotem postępowania przestaje być pytanie, czy podmiot dopuścił się naruszenia, a staje się pytanie, dlaczego nie udało mu się osiągnąć oczekiwanego rezultatu. W praktyce oznacza to stopniowe przekształcanie obowiązku należytej organizacji w obowiązek zapewnienia pełnej skuteczności. Tymczasem żaden system organizacyjny nie eliminuje ryzyka całkowicie. Nie istnieje system AML gwarantujący wykrycie wszystkich prób prania pieniędzy. Nie istnieje system cyberbezpieczeństwa gwarantujący brak incydentów. Nie istnieje również system zarządzania ryzykiem eliminujący możliwość popełnienia błędu przez człowieka.
Oczekiwanie całkowitej skuteczności prowadziłoby do utożsamienia należytej staranności z obowiązkiem osiągnięcia rezultatu. W takim modelu każde naruszenie stawałoby się dowodem niewystarczającej staranności, a możliwość wykazania przez podmiot podjęcia wszystkich rozsądnie wymaganych działań traciłaby znaczenie praktyczne. To właśnie tutaj przebiega granica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną. Odpowiedzialność obiektywna pozwala abstrahować od winy rozumianej w sensie karnym. Nie pozwala jednak abstrahować od pytania, czy podmiot miał realną możliwość uniknięcia naruszenia oraz czy podjął działania, których można było od niego rozsądnie oczekiwać. Odpowiedzialność absolutna zaczyna się natomiast w momencie, w którym odpowiedź na to pytanie przestaje mieć znaczenie.
Z tej perspektywy współczesna dyskusja o odpowiedzialności administracyjnej instytucji finansowych nie jest w istocie sporem o charakter sankcji administracyjnych. Jest sporem o granice państwa regulacyjnego. Odpowiedź na pytanie, czy bank może zostać ukarany pomimo wykazania, że zrobił wszystko, czego można było od niego rozsądnie wymagać, jest jednocześnie odpowiedzią na pytanie o to, czy odpowiedzialność administracyjna pozostaje jeszcze odpowiedzialnością za zachowanie podmiotu, czy staje się odpowiedzialnością za sam fakt, że rzeczywistość okazała się bardziej złożona niż zakładał regulator. Konstytucyjne i europejskie standardy odpowiedzialności prowadzą do jednoznacznego wniosku. Odpowiedzialność administracyjna może być odpowiedzialnością obiektywną. Nie może jednak przekształcić się w odpowiedzialność absolutną.
W istocie bowiem spór o granice odpowiedzialności administracyjnej przypomina znane prawu prywatnemu rozróżnienie pomiędzy obowiązkiem starannego działania a obowiązkiem osiągnięcia rezultatu. Instytucja finansowa może być zobowiązana do stworzenia adekwatnych procedur, zapewnienia odpowiednich zasobów i wdrożenia skutecznych mechanizmów kontrolnych. Nie oznacza to jednak automatycznie obowiązku zagwarantowania, że naruszenie nigdy nie wystąpi.
Między skutecznością regulacji a granicami odpowiedzialności
Rozwój współczesnych regulacji sektora finansowego doprowadził do istotnej zmiany sposobu postrzegania odpowiedzialności administracyjnej. Punkt ciężkości przesunął się z oceny pojedynczych zachowań na ocenę zdolności organizacji do zapobiegania naruszeniom. Wraz z tym przesunięciem zmienił się również sposób rozumienia obowiązków regulacyjnych. Coraz częściej nie są one postrzegane jako obowiązek wykonania określonej czynności, lecz jako obowiązek stworzenia systemu zdolnego do zapewnienia zgodności z prawem. Zmiana ta jest zrozumiała. Współczesny sektor finansowy funkcjonuje w środowisku rosnącej złożoności technologicznej, organizacyjnej i regulacyjnej. Ochrona stabilności rynku finansowego, przeciwdziałanie przestępczości finansowej czy zapewnienie bezpieczeństwa infrastruktury cyfrowej wymaga od instytucji finansowych znacznie więcej niż jedynie przestrzegania pojedynczych norm prawnych. Wymaga budowy organizacji zdolnych do identyfikowania, monitorowania i ograniczania ryzyk zanim doprowadzą one do materializacji niepożądanych zdarzeń.
Nie oznacza to jednak, że skuteczność regulacji może stać się jedynym kryterium oceny odpowiedzialności. Im większą wagę regulator przywiązuje do rezultatów, tym większe staje się ryzyko utożsamienia wystąpienia naruszenia z niewłaściwym funkcjonowaniem organizacji. W takim modelu łatwo przejść od odpowiedzialności za naruszenie prawa do odpowiedzialności za sam fakt, że nie udało się zapobiec określonemu zdarzeniu. To właśnie w tym miejscu pojawia się fundamentalne napięcie współczesnego prawa regulacyjnego. Z jednej strony państwo ma prawo oczekiwać od instytucji finansowych wysokiego poziomu organizacji, skutecznych mechanizmów kontroli oraz adekwatnego zarządzania ryzykiem. Z drugiej strony nawet najlepiej zorganizowana instytucja nie jest w stanie całkowicie wyeliminować ryzyka. Każdy system AML może okazać się nieskuteczny wobec nowych metod działania przestępców. Każdy system cyberbezpieczeństwa może zostać przełamany. Każdy system kontroli może zawieść pod wpływem błędu ludzkiego lub nieprzewidywalnych okoliczności.
Prawo regulacyjne nie może abstrahować od tej rzeczywistości. Jeżeli bowiem każde naruszenie będzie traktowane jako dowód niewystarczającej organizacji, a każda materializacja ryzyka jako dowód braku należytej staranności, odpowiedzialność administracyjna utraci swój związek z zachowaniem podmiotu. W praktyce stanie się odpowiedzialnością za rezultat, niezależnie od tego, jak zostanie nazwana przez ustawodawcę. Dlatego kluczowe znaczenie zachowuje możliwość wykazania przez podmiot, że stworzył i utrzymywał taki system organizacyjny, jakiego można było od niego rozsądnie oczekiwać w danych okolicznościach. To właśnie ta możliwość stanowi granicę oddzielającą odpowiedzialność obiektywną od odpowiedzialności absolutnej.
Wniosku tego nie podważa rosnące znaczenie zarządzania ryzykiem, ładu wewnętrznego czy funkcji kontrolnych. Przeciwnie. Im większą rolę odgrywa ocena organizacji, tym większego znaczenia nabiera pytanie o zakres odpowiedzialności za skuteczność tej organizacji. Ostatecznie problem odpowiedzialności administracyjnej banków nie sprowadza się do pytania o charakter sankcji administracyjnych. Jest on częścią znacznie szerszej dyskusji o granicach współczesnego państwa regulacyjnego. Państwo może wymagać od instytucji finansowych wysokich standardów organizacyjnych. Nie może jednak wymagać nieomylności. Pomiędzy obowiązkiem należytej organizacji a obowiązkiem osiągnięcia określonego rezultatu istnieje granica. Jeżeli granica ta zostanie zatarta, odpowiedzialność administracyjna przestanie być odpowiedzialnością za naruszenie prawa. Stanie się odpowiedzialnością za sam fakt, że rzeczywistość nie okazała się tak przewidywalna, jak oczekiwał regulator.
Podsumowanie
Spór o odpowiedzialność administracyjną banków zwykle przedstawiany jest jako spór o charakter sankcji administracyjnych. Dyskutujemy o wysokości kar, zasadach ich nakładania, przesłankach odpowiedzialności czy zakresie obowiązków regulacyjnych. W rzeczywistości problem jest znacznie głębszy. Współczesne regulacje sektora finansowego coraz częściej opierają się na założeniu, że organizacja powinna być zdolna do zapobiegania naruszeniom prawa. Nie oczekuje się już wyłącznie przestrzegania określonych obowiązków. Oczekuje się stworzenia systemu, który będzie skutecznie identyfikował, monitorował i ograniczał ryzyka zanim doprowadzą one do materializacji niepożądanych zdarzeń.
To fundamentalna zmiana sposobu myślenia o odpowiedzialności. Przez większość historii prawa odpowiedzialność była konsekwencją określonego zachowania. We współczesnym państwie regulacyjnym coraz częściej staje się oceną zdolności organizacji do osiągania pożądanego rezultatu. Bank nie odpowiada już wyłącznie za to, co zrobił. Coraz częściej odpowiada za to, że stworzony przez niego system okazał się niewystarczająco skuteczny. Na pierwszy rzut oka może wydawać się to naturalne. Im większe znaczenie sektora finansowego dla funkcjonowania gospodarki, tym większe oczekiwania wobec jakości jego organizacji. Problem polega jednak na tym, że logika ta nie posiada oczywistej granicy. Jeżeli bowiem każde naruszenie ma stanowić dowód niewystarczającej organizacji, to każda materializacja ryzyka staje się jednocześnie dowodem odpowiedzialności. W takim modelu należyta staranność stopniowo traci znaczenie. Nie liczy się już to, czy organizacja zrobiła wszystko, czego można było od niej rozsądnie oczekiwać. Liczy się wyłącznie to, czy udało się uniknąć niepożądanego rezultatu.
Paradoks współczesnego państwa regulacyjnego polega właśnie na tym, że im większy nacisk kładzie ono na zarządzanie ryzykiem, tym łatwiej zaczyna zapominać o naturze samego ryzyka. Ryzyko nie jest bowiem synonimem błędu. Ryzyko oznacza możliwość wystąpienia zdarzenia pomimo podjęcia działań zapobiegawczych. Jeżeli każda materializacja ryzyka automatycznie prowadzi do przypisania odpowiedzialności, to w praktyce przestajemy oceniać zachowanie podmiotu. Zaczynamy oceniać sam fakt, że rzeczywistość okazała się bardziej złożona niż zakładały procedury.
Dlatego pytanie o absolutny charakter odpowiedzialności administracyjnej banków jest w istocie pytaniem o granice współczesnego państwa regulacyjnego. Państwo może wymagać od instytucji finansowych wysokich standardów organizacyjnych. Może wymagać skutecznych mechanizmów kontroli, zarządzania ryzykiem i zgodności. Nie może jednak wymagać nieomylności. Granica pomiędzy odpowiedzialnością obiektywną a odpowiedzialnością absolutną przebiega dokładnie w tym miejscu, w którym przestajemy pytać, czy podmiot zrobił wszystko, czego można było od niego rozsądnie oczekiwać, a zaczynamy pytać wyłącznie o to, dlaczego nie udało mu się zapobiec określonemu zdarzeniu. I być może właśnie tam znajduje się dziś jedno z najważniejszych wyzwań współczesnego prawa regulacyjnego.