Comunica experienta
MonitorulJuridic.ro
Având în vedere prevederile art. 1 alin. (1) lit. d) şi alin. (4), art. 2 lit. g) pct. 2-7, art. 5 alin. (1) lit. b) şi c), art. 10 alin. (6), art. 11 alin. (1) lit. a)-c), art. 12, art. 18, art. 59 alin. (3) şi (4) din Legea nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare, în temeiul prevederilor art. 2 alin. (1), art. 3 alin. (1) lit. b), art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare, luând în considerare prevederile: - art. 173 alin. (1) lit. t) din Legea nr. 237/2015 privind autorizarea şi supravegherea activităţii de asigurare şi reasigurare, cu modificările şi completările ulterioare; – art. 36 alin. (2) lit. c) şi g) din Legea nr. 236/2018 privind distribuţia de asigurări, cu modificările şi completările ulterioare; – art. 280 alin. (1) din Legea nr. 126/2018 privind pieţele de instrumente financiare, cu modificările şi completările ulterioare; – art. 63 alin. (6) din Legea nr. 74/2015 privind administratorii de fonduri de investiţii alternative, cu modificările şi completările ulterioare; – art. 174 din Legea nr. 24/2017 privind emitenţii de instrumente financiare şi operaţiuni de piaţă, republicată, cu modificările şi completările ulterioare; – Ordonanţei de urgenţă a Guvernului nr. 32/2012 privind organismele de plasament colectiv în valori mobiliare şi societăţile de administrare a investiţiilor, precum şi pentru modificarea şi completarea Legii nr. 297/2004 privind piaţa de capital, aprobată cu modificări şi completări prin Legea nr. 10/2015, cu modificările şi completările ulterioare; – Legii nr. 204/2006 privind pensiile facultative, cu modificările şi completările ulterioare; – Legii nr. 1/2020 privind pensiile ocupaţionale, cu modificările şi completările ulterioare, potrivit deliberărilor din şedinţa Consiliului Autorităţii de Supraveghere Financiară din data de 10.10.2023, Autoritatea de Supraveghere Financiară emite prezenta instrucţiune. ART. 1 Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., aplică Ghidul privind utilizarea soluţiilor de înregistrare la distanţă a clienţilor în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849 (EBA/GL/2022/15), prevăzut în anexa care face parte integrantă din prezenta instrucţiune. ART. 2 Entităţile reglementate prevăzute la art. 2 alin. (2) lit. d) din Regulamentul Autorităţii de Supraveghere Financiară nr. 13/2019 privind instituirea măsurilor de prevenire şi combatere a spălării banilor şi a finanţării terorismului prin intermediul sectoarelor financiare supravegheate de Autoritatea de Supraveghere Financiară, cu modificările şi completările ulterioare, denumit în continuare Regulamentul A.S.F. nr. 13/2019, respectă prevederile prezentei instrucţiuni. ART. 3 În aplicarea prevederilor art. 11 alin. (1) lit. a)-c) din Legea nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare, în vederea stabilirii unei relaţii de afaceri sau a unei tranzacţii ocazionale încheiate la distanţă, entităţile reglementate analizează şi evaluează necesitatea adoptării unei soluţii tehnice de înregistrare/înrolare la distanţă a clienţilor cu respectarea prevederilor prezentei instrucţiuni. ART. 4 Entităţile reglementate stabilesc politici şi norme interne, mecanisme de control intern şi proceduri de administrare a riscurilor de spălare a banilor şi finanţare a terorismului (SB/FT) de înregistrare/înrolare la distanţă a clienţilor, corespunzător naturii şi volumului activităţii desfăşurate şi în funcţie de riscurile de SB/FT la care sunt expuse, cu respectarea prevederilor art. 3 alin. (5) din Regulamentul A.S.F. nr. 13/2019 şi a prevederilor prezentei instrucţiuni. ART. 5 Politicile şi normele interne, mecanismele de control intern şi procedurile de administrare a riscurilor de SB/FT de înregistrare/înrolare la distanţă a clienţilor sunt elaborate, implementate, revizuite şi aprobate potrivit prevederilor art. 4 alin. (1) şi art. 9 alin. (1) lit. a) din Regulamentul A.S.F. nr. 13/2019, cu respectarea prevederilor prezentei instrucţiuni. ART. 6 Adoptarea unei soluţii de înregistrare/înrolare la distanţă a clienţilor şi derularea activităţii în baza acestei soluţii de către entităţile reglementate menţionate la art. 2 se vor efectua cu respectarea prevederilor reglementărilor aplicabile în materie, după caz. ART. 7 Entităţile reglementate pun la dispoziţia A.S.F., la solicitarea acesteia: a) evaluarea necesităţii adoptării unei soluţii tehnice de înregistrare/înrolare la distanţă a clienţilor prevăzute la art. 3, precum şi rezultatul evaluării; b) modul în care utilizarea soluţiei tehnice de înregistrare/înrolare la distanţă a clienţilor este adecvată, cu luarea în considerare a riscurilor de SB/FT identificate, ţinând seama de expunerea geografică, de baza de clienţi, de canalele de distribuţie şi de produsele şi serviciile oferite; c) analizele efectuate şi măsurile de remediere luate pentru corectarea deficienţelor identificate cu privire la soluţia tehnică de înregistrare/înrolare la distanţă a clienţilor. ART. 8 Încălcarea prevederilor prezentei instrucţiuni se sancţionează conform prevederilor cap. X din Legea nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare, şi/sau legislaţiei specifice aplicabile entităţii reglementate. ART. 9 (1) Prezenta instrucţiune se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării. (2) Entităţile reglementate menţionate la art. 2 trebuie să se conformeze obligaţiilor ce le revin în temeiul prezentei instrucţiuni până la data de 30 iunie 2024. Preşedintele Autorităţii de Supraveghere Financiară, Nicu Marcu Bucureşti, 11 octombrie 2023. Nr. 4. ANEXA 1 GHID privind utilizarea soluţiilor de înregistrare la distanţă a clienţilor în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849 I. Obligaţii de conformare şi de raportare Statutul prezentului ghid 1. Prezentul document conţine orientări publicate în temeiul art. 16 din Regulamentul (UE) nr. 1.093/2010*1). În conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010, autorităţile competente şi instituţiile financiare trebuie să depună toate eforturile necesare pentru a respecta prezentul ghid. *1) Regulamentul (UE) nr. 1.093/2010 al Parlamentului European şi al Consiliului din 24 noiembrie 2010 de instituire a Autorităţii europene de supraveghere (Autoritatea bancară europeană), de modificare a Deciziei nr. 716/2009/CE şi de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12). 2. Prezentul ghid prezintă punctul de vedere al Autorităţii bancare europene (ABE) privind practicile adecvate în materie de supraveghere în cadrul Sistemului european de supraveghere financiară sau privind modul în care dreptul Uniunii Europene trebuie aplicat într-un anumit domeniu. Autorităţile competente cărora li se aplică ghidul, astfel cum sunt definite la art. 4 alin. (2) din Regulamentul (UE) nr. 1.093/2010, trebuie să se conformeze prin integrarea acestuia în practicile lor, după caz (de exemplu, prin modificarea cadrului legislativ sau a procedurilor de supraveghere ale acestora), inclusiv în cazurile în care ghidul se adresează în principal instituţiilor. Cerinţe de raportare 3. În conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010, autorităţile competente trebuie să notifice ABE dacă se conformează sau intenţionează să se conformeze prezentului ghid sau, în caz contrar, să prezinte motivele neconformării, până la 30 mai 2023. În lipsa unei notificări până la termenul prevăzut, ABE va considera că autorităţile competente nu s-au conformat. Notificările se trimit prin intermediul formularului disponibil pe site-ul ABE, cu menţiunea „EBA/GL/2022/15“. Notificările trebuie transmise de persoane care au competenţa necesară pentru a raporta conformitatea, în numele autorităţilor competente din care fac parte. Orice schimbare cu privire la situaţia conformării trebuie adusă, de asemenea, la cunoştinţa ABE. 4. Notificările vor fi publicate pe site-ul ABE, în conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010. II. Obiect şi domeniu de aplicare Generalităţi 5. Prezentul ghid stabileşte etapele pe care trebuie să le parcurgă instituţiile de credit şi financiare atunci când adoptă sau revizuiesc soluţii pentru a se conforma obligaţiilor care le revin în temeiul art. 13 alin. (1) lit. (a), (b) şi (c) din Directiva (UE) 2015/849*2) pentru a înrola noi clienţi de la distanţă. Acesta stabileşte, de asemenea, etapele pe care trebuie să le parcurgă instituţiile de credit şi financiare atunci când se bazează pe terţi în conformitate cu capitolul I secţiunea 4 din Directiva (UE) 2015/849, precum şi politicile, controalele şi procedurile pe care instituţiile de credit şi financiare trebuie să le instituie în legătură cu precauţia privind clientela, astfel cum se menţionează la art. 8 alin. (3) şi alin. (4) lit. (a) din Directiva (UE) 2015/849, în cazul în care măsurile de precauţie privind clientela sunt aplicate de la distanţă. *2) Directiva (UE) 2015/849 a Parlamentului European şi a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanţării terorismului. 6. Autorităţile competente trebuie să ţină seama de prezentul ghid atunci când evaluează caracterul adecvat şi eficace al etapelor pe care instituţiile de credit şi instituţiile financiare le parcurg pentru a se conforma obligaţiilor care le revin în temeiul Directivei (UE) 2015/849 în contextul înrolării la distanţă a clienţilor. Destinatari 7. Prezentul ghid se adresează autorităţilor competente, astfel cum sunt definite la art. 4 alin. (2) din Regulamentul (UE) nr. 1.093/2010. Prezentul ghid se adresează, de asemenea, operatorilor din sectorul financiar, astfel cum sunt definiţi la art. 4 alin. (1a) din regulamentul respectiv, care sunt instituţii de credit şi financiare, astfel cum sunt definite la art. 3 pct. 1 şi 2 din Directiva (UE) 2015/849. Definiţii 8. Cu excepţia cazului în care se prevede altfel, termenii utilizaţi şi definiţi în Directiva (UE) 2015/849 au acelaşi înţeles în cuprinsul ghidului. În plus, în sensul prezentului ghid, se aplică următoarele definiţii:
┌──────────┬───────────────────────────┐
│ │date cu caracter personal │
│ │referitoare la │
│ │caracteristicile fizice, │
│ │fiziologice sau │
│ │comportamentale ale │
│ │unei persoane fizice, care │
│- date │permit sau confirmă │
│biometrice│identificarea unică a │
│- │persoanei fizice │
│ │respective, cum ar fi │
│ │imaginile │
│ │faciale sau datele │
│ │dactiloscopice, care sunt │
│ │obţinute şi prelucrate prin│
│ │mijloace tehnice. │
└──────────┴───────────────────────────┘
III. Punerea în aplicare Data aplicării Prezentul ghid se aplică de la 2 octombrie 2023. IV. Ghid privind utilizarea soluţiilor de înregistrare la distanţă a clienţilor în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849 IV.1. Politici şi proceduri interne IV.1.1. Politici şi proceduri referitoare la înregistrarea la distanţă a clienţilor 9. Instituţiile de credit şi financiare trebuie să instituie şi să menţină politici şi proceduri pentru a se conforma obligaţiilor care le revin în temeiul art. 13 alin. (1) lit. (a) şi (c) din Directiva (UE) 2015/849 în situaţiile în care clientul este înregistrat de la distanţă. Aceste politici şi proceduri trebuie să fie stabilite în funcţie de riscuri şi să stabilească cel puţin următoarele: a) o descriere generală a soluţiei pe care o utilizează instituţiile de credit şi financiare pentru a colecta, verifica şi înregistra informaţii pe tot parcursul procesului de înregistrare la distanţă a clienţilor. Aceasta trebuie să includă o explicaţie a elementelor şi funcţionării soluţiei; b) situaţiile în care poate fi utilizată soluţia de înregistrare la distanţă a clienţilor, ţinând seama de factorii de risc identificaţi şi evaluaţi în conformitate cu art. 8 alin. (1) din Directiva (UE) 2015/849 şi în cadrul evaluării riscurilor la nivelul întregii întreprinderi, inclusiv descrierea categoriei de clienţi, produse şi servicii eligibile pentru înregistrare de la distanţă; c) etapele care sunt complet autonomizate şi etapele care necesită intervenţie umană; d) controalele instituite pentru a se asigura că prima tranzacţie cu un client nou înregistrat este executată numai după ce au fost aplicate toate măsurile iniţiale de precauţie privind clientela; e) descrierea programelor de iniţiere şi de formare periodică pentru a asigura sensibilizarea personalului şi informarea continuă şi înţelegerea funcţionării soluţiei de înregistrare la distanţă a clienţilor, a riscurilor asociate, precum şi a politicilor şi procedurilor de înregistrare la distanţă a clienţilor care vizează atenuarea acestor riscuri. 10. Atunci când sunt puse în aplicare, politicile şi procedurile trebuie să permită instituţiilor de credit şi financiare să asigure respectarea dispoziţiilor din secţiunile IV.2-IV.7 din prezentul ghid. IV.1.2. Guvernanţă 11. Pe lângă dispoziţiile prevăzute în secţiunea 4.2.4 din Ghidul ABE privind coordonatorul funcţiei de conformitate*3), coordonatorul funcţiei de conformitate în materie de combatere a spălării banilor şi a finanţării terorismului*4) trebuie, ca parte a obligaţiei sale generale de a elabora politici şi proceduri pentru a se conforma cerinţelor de precauţie privind clientela, să se asigure că politicile şi procedurile de înregistrare la distanţă a clienţilor sunt puse în aplicare în mod eficace, revizuite periodic şi modificate, dacă este necesar. *3) Proiect de ghid privind politicile şi procedurile legate de gestionarea conformităţii şi rolul şi responsabilităţile coordonatorului funcţiei de conformitate în materie de combatere a spălării banilor şi a finanţării terorismului în temeiul art. 8 şi al cap. VI din directivă - art. 9 şi art. 13 alin. (2^1) din Regulamentul ASF nr. 13/2019. *4) În conformitate cu criteriile de proporţionalitate prevăzute în secţiunea 4.2.2 din Ghidul privind coordonatorul funcţiei de conformitate - art. 7^1 alin. (2) lit. b) şi alin. (8) din Regulamentul ASF nr. 13/2019. 12. Organul de conducere al instituţiei de credit şi financiare trebuie să aprobe politicile şi procedurile de înregistrare la distanţă a clienţilor şi să supravegheze punerea corectă în aplicare a acestora. IV.1.3. Evaluarea prealabilă punerii în aplicare a soluţiei de înregistrare la distanţă a clienţilor 13. Atunci când analizează dacă să adopte o nouă soluţie de înregistrare la distanţă a clienţilor, instituţiile de credit şi financiare trebuie să efectueze o evaluare prealabilă punerii în aplicare a soluţiei de înregistrare la distanţă a clienţilor. 14. Instituţiile de credit şi financiare trebuie să stabilească domeniul de aplicare, etapele şi cerinţele în materie de evidenţă a datelor pentru evaluarea prealabilă punerii în aplicare în politicile şi procedurile lor, care trebuie să includă cel puţin următoarele elemente: a) evaluarea caracterului adecvat al soluţiei în ceea ce priveşte exhaustivitatea şi acurateţea datelor şi documentelor care trebuie colectate, precum şi fiabilitatea şi independenţa surselor de informaţii pe care le utilizează; b) evaluarea impactului utilizării soluţiei de înregistrare la distanţă a clienţilor asupra riscurilor la nivelul întregii sale activităţi, inclusiv asupra riscurilor de spălare a banilor şi de finanţare a terorismului, a riscurilor operaţionale, reputaţionale şi juridice; c) identificarea unor posibile măsuri de atenuare şi de remediere pentru fiecare risc identificat în evaluarea prevăzută la lit. b); d) teste de evaluare a riscurilor de fraudă, inclusiv a riscurilor de fraudă prin uzurparea identităţii, şi a altor riscuri legate de tehnologia informaţiei şi comunicaţiilor („TIC“) şi de securitate, în conformitate cu dispoziţia de la pct. 43 din Ghidul ABE privind administrarea riscurilor TIC şi de securitate*5); *5) EBA/GL/2019/04. e) o testare de la un capăt la altul a funcţionării soluţiei care vizează clientul (clienţii), produsul (produsele) şi serviciul (serviciile) identificat(e) în politicile şi procedurile de înregistrare la distanţă a clienţilor. 15*6). Instituţiile de credit şi financiare trebuie să ia în considerare îndeplinirea criteriilor de la pct. 14 lit. (a), (d) şi (e) în cazul în care soluţia utilizează unul dintre următoarele elemente: *6) A se observa varianta Ghidului în limba engleză la adresa https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/ Guidelines/2022/EBA-GL-2022-15%20GL%20on%20remote%20customer%20onboarding/1043884/Guidelines%20on%20the%20use%20of%20Remote% 20Customer%20Onboarding%20Solutions.pdf. a) sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE şi care îndeplinesc cerinţele privind nivelurile de asigurare „substanţial“ sau „ridicat“, în conformitate cu art. 8 din regulamentul respectiv; b) serviciile de încredere calificate relevante care îndeplinesc cerinţele Regulamentului (UE) nr. 910/2014, în special cap. III secţiunea 3 şi art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. 16. Instituţiile de credit şi financiare trebuie să fie în măsură să demonstreze autorităţii lor competente care sunt evaluările pe care le-au efectuat prealabil punerii în aplicare a soluţiei de înregistrare la distanţă a clienţilor, rezultatul evaluării lor şi modul în care utilizarea acesteia este adecvată, având în vedere riscurile de spălare a banilor sau de finanţare a terorismului identificate pentru tipurile de client (clienţi), serviciu (servicii), delimitări geografice şi produs(e) inclus(e) în domeniul lor de aplicare. 17. Instituţiile de credit şi financiare trebuie să înceapă să utilizeze o soluţie de înregistrare la distanţă a clienţilor numai după ce se asigură că aceasta poate fi integrată în sistemul mai amplu de control intern al instituţiei, permiţând astfel instituţiei să gestioneze în mod adecvat riscurile de spălare a banilor sau de finanţare a terorismului care pot apărea ca urmare a utilizării soluţiei de înregistrare la distanţă a clienţilor. IV.1.4. Monitorizarea continuă a soluţiei de înregistrare la distanţă a clienţilor 18. Instituţiile de credit şi financiare trebuie să monitorizeze în permanenţă soluţia de înregistrare la distanţă a clienţilor, pentru a se asigura că aceasta funcţionează în conformitate cu aşteptările instituţiilor de credit şi financiare. Acestea trebuie să îşi completeze politicile şi procedurile descrise la pct. 9 cu o descriere cel puţin a următoarelor elemente: a) măsurile pe care le vor lua pentru a se asigura de calitatea, exhaustivitatea, acurateţea şi caracterul adecvat al datelor colectate în timpul procesului de înregistrare la distanţă a clienţilor, care trebuie să fie proporţionale cu riscurile de spălare a banilor sau de finanţare a terorismului la care este expusă instituţia de credit şi financiară; b) domeniul de aplicare şi frecvenţa unor astfel de revizuiri periodice; şi c) circumstanţele care vor declanşa revizuiri ad-hoc, care trebuie să includă cel puţin următoarele: (i) modificări ale expunerii la riscul de spălare a banilor sau de finanţare a terorismului al instituţiei de credit şi financiare; (ii) deficienţe privind funcţionarea soluţiei detectate în cursul activităţilor de monitorizare, audit sau supraveghere; (iii) o creştere percepută a tentativelor de fraudă; (iv) modificări ale cadrului juridic sau de reglementare. 19. Instituţiile de credit şi financiare trebuie să prevadă în procedurile şi procesele lor măsuri de remediere în cazul în care s-a materializat un risc sau în cazul în care au fost identificate erori care au un impact asupra eficienţei şi eficacităţii soluţiei generale de înregistrare la distanţă a clienţilor. Aceste măsuri trebuie să cuprindă cel puţin următoarele: a) analiza tuturor relaţiilor de afaceri afectate, pentru a evalua dacă instituţiile de credit şi financiare au aplicat suficiente măsuri iniţiale de precauţie privind clientela pentru a se conforma cu cerinţele art. 13 alin. (1) lit. (a), (b) şi (c) din Directiva (UE) 2015/849. Instituţiile de credit şi financiare trebuie să acorde prioritate relaţiilor de afaceri care prezintă cel mai ridicat risc de spălare a banilor sau de finanţare a terorismului; b) ţinând cont de informaţiile obţinute în cadrul revizuirii menţionate anterior, o evaluare pentru a stabili dacă o relaţie de afaceri afectată trebuie: (i) să facă obiectul unor măsuri suplimentare de precauţie; (ii) să facă obiectul unor limitări, cum ar fi limitarea volumului tranzacţiei, în cazul în care legislaţia naţională permite acest lucru, până la efectuarea unei revizuiri; (iii) să fie încetată; (iv) să fie raportată către unitatea de informaţii financiare; (v) să fie reclasificată în altă categorie de risc. 20. Instituţiile de credit şi financiare trebuie să ia în considerare cea mai eficace modalitate de a monitoriza adecvarea şi fiabilitatea continuă a soluţiilor de înregistrare la distanţă a clienţilor. Acestea trebuie să ia în considerare unul sau mai multe dintre următoarele mijloace, dar fără a se limita la acestea: a) testare pentru asigurarea calităţii; b) alerte şi notificări critice automatizate; c) rapoarte periodice automate privind calitatea; d) testare de eşantioane; e) revizuiri manuale. 21. Această secţiune se aplică, de asemenea, în cazul în care sunt utilizate soluţii complet automatizate de înregistrare la distanţă a clienţilor, care depind în mare măsură de algoritmi automatizaţi, fără intervenţie umană sau cu o intervenţie umană redusă. 22. Instituţiile de credit şi financiare trebuie să fie în măsură să demonstreze autorităţii lor competente care sunt analizele pe care le-au efectuat şi măsurile de remediere pe care le-au luat pentru a corecta deficienţele identificate pe parcursul duratei de viaţă a soluţiei de înregistrare la distanţă a clienţilor. IV.2. Obţinerea de informaţii IV.2.1. Identificarea clientului 23. Pe lângă elementele prezentate la pct. 9, instituţiile de credit şi financiare trebuie să prevadă în politicile şi procedurile lor informaţiile necesare pentru identificarea clientului, tipurile de documente, date sau informaţii pe care instituţia le va utiliza pentru a verifica identitatea clientului şi modul în care vor fi verificate aceste informaţii. 24. Instituţiile de credit şi financiare trebuie să se asigure că: a) informaţiile obţinute prin intermediul soluţiei de înregistrare la distanţă a clienţilor sunt actualizate şi adecvate pentru a respecta standardele juridice şi de reglementare aplicabile pentru măsurile iniţiale de precauţie privind clientela; b) toate imaginile, înregistrările video, înregistrările audio şi datele sunt captate într-un format lizibil şi de o calitate suficientă, astfel încât clientul să poată fi recunoscut fără echivoc; c) procesul de identificare nu continuă dacă sunt detectate deficienţe tehnice sau întreruperi neaşteptate ale conexiunii. 25. Instituţiile de credit sau financiare trebuie să considere că sunt îndeplinite criteriile de la pct. 24 în cazul în care soluţia utilizează unul dintre următoarele elemente: a) sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 şi care îndeplinesc cerinţele privind nivelurile de asigurare „substanţial“ sau „ridicat“ în conformitate cu art. 8 din regulamentul respectiv; b) serviciile de încredere calificate relevante care îndeplinesc cerinţele Regulamentului (UE) nr. 910/2014, în special cap. III secţiunea 3 şi art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. 26. Documentele şi informaţiile colectate în timpul procesului de identificare la distanţă, care trebuie păstrate în conformitate cu art. 40 alin. (1) lit. (a) din Directiva (UE) 2015/849, trebuie să fie datate şi stocate în siguranţă de către instituţia de credit şi financiară. Conţinutul înregistrărilor stocate, inclusiv imaginile, înregistrările video, înregistrările audio şi datele, trebuie să fie disponibil într-un format lizibil şi să permită verificări ex post. IV.2.2. Identificarea persoanelor fizice 27. Instituţiile de credit şi financiare trebuie să stabilească în politicile lor, astfel cum se prevede la pct. 9, informaţiile pe care trebuie să le obţină pentru a identifica clienţii de la distanţă, în conformitate cu art. 13 alin. (1) lit. (a) şi (c) din Directiva (UE) 2015/849. În plus, instituţiile de credit şi financiare trebuie să definească ce informaţii: a) sunt introduse manual de către client; b) sunt preluate automat din documentaţia furnizată de client; c) sunt colectate din alte surse interne sau externe. 28. Instituţiile de credit şi financiare trebuie să instituie şi să menţină mecanisme adecvate pentru a se asigura că informaţiile pe care le colectează automat în conformitate cu pct. 27 sunt fiabile. Acestea trebuie să aplice controale pentru a aborda riscurile asociate, inclusiv riscurile asociate captării automate a datelor, cum ar fi ascunderea locaţiei adreselor de Protocol Internet (IP) deghizate corespunzătoare dispozitivului clientului sau serviciile de tipul reţelelor virtuale private (VPN-uri). IV.2.3. Identificarea persoanelor juridice 29. În cazul în care integrează la distanţă clienţi care sunt persoane juridice, instituţiile de credit şi financiare trebuie să definească în politicile şi procedurile lor, astfel cum se prevede la pct. 9, categoria de persoane juridice pe care o vor înregistra de la distanţă, ţinând cont de nivelul de risc de spălare a banilor sau de finanţare a terorismului asociat fiecărei categorii şi de nivelul de intervenţie umană necesar pentru validarea informaţiilor de identificare. 30. Instituţiile de credit şi financiare trebuie să se asigure că soluţia de înregistrare la distanţă a clienţilor are elemente pentru a colecta: a) toate datele şi documentele relevante pentru identificarea şi verificarea persoanei juridice; b) toate datele şi documentele relevante pentru a verifica dacă persoana fizică care acţionează în numele persoanei juridice are dreptul legal de a acţiona astfel; c) informaţiile privind beneficiarii reali în conformitate cu dispoziţia de la pct. 4.12 din Ghidul ABE privind factorii de risc*7). *7) EBA/GL/2021/02. 31. Pentru persoana fizică care acţionează în numele unei persoane juridice, instituţiile de credit şi financiare trebuie să aplice procesul de identificare descris în secţiunea IV.2.2. IV.2.4. Natura şi scopul relaţiei de afaceri 32. Atunci când instituţiile de credit şi financiare evaluează şi, după caz, obţin informaţii privind scopul şi natura dorită a relaţiei de afaceri în conformitate cu art. 13 alin. (1) lit. (c) din Directiva (UE) 2015/849, astfel cum se precizează în secţiunea 4.38 din Ghidul ABE privind factorii de risc, acestea trebuie, în sensul prezentului ghid, să fi finalizat acţiunile respective înainte de încheierea procesului de înregistrare la distanţă a clienţilor. IV.3. Autenticitatea şi integritatea documentelor 33. În cazul în care acceptă reproduceri ale unui document original şi nu examinează documentul original, instituţiile de credit şi financiare trebuie să ia măsuri pentru a se asigura că reproducerea este fiabilă. Instituţiile de credit şi financiare trebuie să stabilească cel puţin următoarele: a) dacă reproducerea include elemente de securitate încorporate în documentul original şi dacă specificaţiile documentului original care sunt reproduse sunt valabile şi acceptabile, în special tipul, dimensiunea caracterelor şi structura documentului, prin compararea acestora cu bazele de date oficiale, cum ar fi PRADO*8); *8) https://www.consilium.europa.eu/prado/en/prado-start-page.html. b) dacă datele cu caracter personal au fost schimbate sau modificate în alt mod sau, după caz, dacă imaginea clientului inclusă în document nu a fost înlocuită; c) dacă se menţine integritatea algoritmului utilizat pentru a genera numărul unic de identificare al documentului original, în cazul în care documentul oficial a fost eliberat cu o zonă de citire optică (machine-readable zone - MRZ); d) dacă reproducerea furnizată este de o calitate şi o rezoluţie suficiente pentru a se asigura că informaţiile relevante sunt lipsite de ambiguitate; e) că reproducerea furnizată nu a fost afişată pe un ecran pe baza unei fotografii sau a unei scanări a documentului de identitate original. 34. În cazul în care instituţiile de credit şi financiare utilizează elemente pentru a citi automat informaţii din documente, cum ar fi algoritmii de recunoaştere optică a caracterelor (OCR) sau verificările zonei de citire optică (MRZ), acestea trebuie să ia măsurile necesare pentru a se asigura că instrumentele respective captează informaţiile într-un mod exact şi consecvent. 35. În situaţiile în care dispozitivul utilizat de clienţi pentru a-şi dovedi identitatea permite colectarea de date relevante, de exemplu, deoarece datele sunt conţinute în cipul unei cărţi naţionale de identitate, şi este fezabil din punct de vedere tehnic ca instituţiile de credit şi financiare să aibă acces la aceste date, instituţiile de credit şi financiare trebuie să aibă în vedere utilizarea acestor informaţii pentru a verifica concordanţa lor cu informaţiile obţinute din alte surse, cum ar fi datele transmise sau alte documente prezentate de client. 36. În cazul în care sunt disponibile, în cursul procesului de verificare, instituţiile de credit şi financiare trebuie să verifice elementele de securitate încorporate în documentele oficiale, dacă este cazul, cum ar fi hologramele, ca dovadă a autenticităţii lor. 37. Instituţiile de credit şi financiare trebuie să stabilească în politicile şi procedurile lor modul în care îşi vor adapta cererile de documentaţie în scopul incluziunii financiare. În cazul în care, în consecinţă, se acceptă forme de documentaţie mai slabe sau netradiţionale, instituţiile de credit şi financiare trebuie să efectueze, pe lângă măsurile prevăzute la pct. 4.10 din Ghidul ABE privind factorii de risc, controale sau intervenţii umane sporite pentru a se asigura că înţeleg riscul de spălare a banilor sau de finanţare a terorismului asociat relaţiei de afaceri. IV.4. Corelarea identităţii clienţilor în cadrul procesului de verificare 38. Soluţiile de înregistrare la distanţă a clienţilor puse în aplicare de o instituţie de credit şi financiară trebuie, ca cerinţă minimă, să permită următoarele elemente, ca parte a procesului lor de verificare: a) există o concordanţă între informaţiile vizibile ale persoanei fizice şi documentaţia furnizată; b) în cazul în care clientul este o persoană juridică, aceasta este înregistrată public, după caz; c) în cazul în care clientul este o persoană juridică, persoana fizică ce îl reprezintă are dreptul de a acţiona în numele său. 39. În cazul în care soluţia de înregistrare la distanţă a clienţilor implică utilizarea de date biometrice pentru a verifica identitatea clientului, instituţiile de credit şi financiare trebuie să se asigure că datele biometrice sunt suficient de particulare pentru a fi legate fără echivoc de o singură persoană fizică. Instituţiile de credit şi financiare trebuie să utilizeze algoritmi puternici şi fiabili pentru a verifica concordanţa dintre datele biometrice furnizate în documentul de identitate prezentat şi clientul care este înregistrat. În situaţiile în care soluţia nu oferă nivelul necesar de încredere, trebuie aplicate controale suplimentare. 40. În situaţiile în care dovezile furnizate sunt de o calitate insuficientă, conducând la ambiguitate sau incertitudine, astfel încât este afectată efectuarea controalelor la distanţă, procesul individual de înregistrare la distanţă a clienţilor trebuie întrerupt şi reiniţiat sau redirecţionat către o verificare faţă în faţă. 41. În cazul în care instituţiile de credit şi financiare utilizează soluţii de înregistrare la distanţă neasistate, în care clientul nu interacţionează cu un angajat pentru a efectua procesul de verificare, acestea trebuie: a) să se asigure că orice fotografie (fotografii) sau înregistrare video este realizată (sunt realizate) în condiţii de iluminare adecvate şi că proprietăţile necesare sunt captate cu claritatea necesară pentru a permite verificarea corespunzătoare a identităţii clientului; b) să se asigure că orice fotografie (fotografii) sau înregistrare video este realizată (sunt realizate) în momentul în care clientul efectuează procesul de verificare; c) să efectueze verificări de detectare a mişcării clientului, care pot include proceduri în cadrul cărora este necesară o acţiune specifică din partea clientului pentru a verifica dacă acesta este prezent la sesiunea de comunicare sau care se pot baza pe analiza datelor primite şi nu necesită o acţiune specifică din partea clientului; d) să utilizeze algoritmi puternici şi fiabili pentru a verifica dacă fotografia (fotografiile) sau înregistrarea video realizată (realizate) corespunde (corespund) fotografiei (fotografiilor) extrase din documentul (documentele) oficial(e) aparţinând clientului. 42. În cazul în care instituţiile de credit şi financiare utilizează soluţii de înregistrare la distanţă a clienţilor care beneficiază de asistenţă, în cadrul cărora clientul interacţionează cu un angajat pentru a efectua procesul de verificare, acestea trebuie: a) să se asigure că imaginea şi materialul audio sunt de o calitate suficientă pentru a permite verificarea corespunzătoare a identităţii clientului şi că sunt utilizate sisteme tehnologice fiabile; b) să prevadă participarea unui angajat care are suficiente cunoştinţe despre reglementările aplicabile în materie de combatere a spălării banilor şi a finanţării terorismului şi despre aspectele de securitate ale verificării la distanţă şi care este suficient de instruit pentru a anticipa şi a preveni utilizarea intenţionată sau deliberată a tehnicilor de înşelăciune legate de verificarea la distanţă, precum şi pentru a detecta şi a reacţiona în cazul apariţiei acestora; c) să elaboreze un ghid de interviu care să definească etapele ulterioare ale procesului de verificare la distanţă, precum şi acţiunile necesare din partea angajatului. Ghidul interviului trebuie să includă orientări privind observarea şi identificarea factorilor psihologici sau a altor caracteristici care ar putea caracteriza comportamentul suspect în timpul verificării la distanţă. 43. Atunci când este posibil, instituţiile de credit şi financiare trebuie să utilizeze soluţii de înregistrare la distanţă a clienţilor care să includă elemente aleatorii în seria de acţiuni care trebuie întreprinse de client în scopul verificării, pentru a preveni riscuri precum utilizarea de identităţi false sau constrângerea. Atunci când este posibil, instituţiile de credit şi financiare trebuie să desemneze, de asemenea, sarcini aleatorii angajatului responsabil de procesul de verificare la distanţă, pentru a evita coluziunea dintre client şi angajatul responsabil. 44. În plus faţă de acţiunile menţionate anterior şi atunci când acest lucru este proporţional cu riscul de spălare a banilor sau de finanţare a terorismului asociat relaţiei de afaceri, instituţiile de credit şi financiare trebuie să utilizeze unul sau mai multe dintre următoarele controale sau o măsură similară pentru a spori fiabilitatea procesului de verificare. Aceste controale sau măsuri pot include următoarele, fără a se limita la acestea: a) efectuarea primei plăţi într-un cont de plăţi deţinut în nume unic sau comun de către client într-o instituţie de credit sau financiară reglementată din Spaţiul Economic European sau dintr-o ţară terţă în care există cerinţe de combatere a spălării banilor sau a finanţării terorismului nu mai puţin ferme decât cele prevăzute în Directiva (UE) 2015/849; b) trimiterea către client a unui cod de acces generat aleatoriu pentru a confirma prezenţa acestuia în timpul procesului de verificare la distanţă. Codul de acces trebuie să fie un cod de unică folosinţă şi pentru o perioadă limitată de timp; c) colectarea de date biometrice pentru a le compara cu datele colectate din alte surse independente şi fiabile; d) contacte telefonice cu clientul; e) corespondenţă directă (atât electronică, cât şi poştală) către client. 45*9). Instituţiile de credit şi financiare trebuie să ia în considerare îndeplinirea criteriilor de la pct. 38-43 în cazul în care soluţia utilizează unul dintre următoarele elemente: *9) A se observa varianta Ghidului în limba engleză la adresa https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/ Guidelines/2022/EBA-GL-2022-15%20GL%20on%20remote%20customer%20onboarding/1043884/Guidelines%20on%20the%20use%20of%20Remote% 20Customer%20Onboarding%20Solutions.pdf. a) sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 şi care îndeplinesc cerinţele privind nivelurile de asigurare „substanţial“ sau „ridicat“ în conformitate cu art. 8 din regulamentul respectiv; b) serviciile de încredere calificate relevante care îndeplinesc cerinţele Regulamentului (UE) nr. 910/2014, în special cap. III secţiunea 3 şi art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. IV.5. Dependenţa de terţi şi externalizarea 46. Pe lângă elementele prezentate la pct. 9, instituţiile de credit şi financiare trebuie să includă în politicile şi procedurile lor specificaţii care să stabilească funcţiile şi activităţile de înregistrare la distanţă a clienţilor care vor fi efectuate sau desfăşurate de instituţia de credit şi financiară, de terţi sau de alt furnizor de servicii externalizate. IV.5.1. Recurgerea la furnizori terţi în conformitate cu cap. II secţiunea 4 din Directiva (UE) 2015/849 47. Pe lângă Ghidul ABE privind factorii de risc*10), în special orientările 2.20-2.21 şi 4.32-4.37 din ghidul respectiv, acestea trebuie să aplice următoarele criterii: *10) EBA/GL/2021/02. a) să ia măsurile necesare pentru a se asigura că propriile măsuri de precauţie privind clientela ale terţului referitoare la procese şi proceduri de înregistrare la distanţă a clienţilor, precum şi informaţiile şi datele pe care le colectează în acest context sunt suficiente şi conforme cu cerinţele prevăzute în prezentul ghid; b) să asigure continuitatea relaţiilor de afaceri stabilite între client şi instituţia de credit şi financiară pentru a preveni evenimentele care ar putea evidenţia deficienţe ale procesului de înregistrare la distanţă a clienţilor desfăşurat de terţ. IV.5.2. Externalizarea măsurilor de precauţie privind clienţii 48. În cazul în care instituţiile de credit şi financiare externalizează integral sau parţial procesul de înregistrare la distanţă a clienţilor către un furnizor de servicii externalizate, astfel cum se menţionează la art. 29 din Directiva (UE) 2015/849, instituţiile de credit şi financiare trebuie să aplice, pe lângă orientările 2.20-2.21 şi 4.32-4.37 din Ghidul ABE privind factorii de risc şi, după caz, pe lângă Ghidul ABE privind externalizarea*11), înaintea şi în timpul relaţiei de afaceri cu furnizorul de servicii externalizate, următoarele măsuri, a căror amploare trebuie ajustată în funcţie de risc: *11) Ghidul ABE privind externalizarea.docx (europa.eu). a) să se asigure că furnizorul de servicii externalizate pune în aplicare în mod eficace şi respectă politicile şi procedurile de înregistrare la distanţă a clienţilor ale instituţiei de credit şi financiare în conformitate cu acordul de externalizare. Acest lucru trebuie realizat prin raportare periodică, monitorizare continuă, vizite la faţa locului sau teste prin eşantionare; b) să efectueze evaluări pentru a se asigura că furnizorul de servicii externalizate este suficient de echipat şi capabil să efectueze procesul de înregistrare la distanţă a clienţilor. Evaluările pot include, dar nu se limitează la evaluarea formării personalului, a adecvării tehnologice şi a guvernanţei datelor la furnizorul de servicii externalizate; c) să se asigure că furnizorul de servicii externalizate informează instituţiile de credit şi financiare cu privire la orice propunere de modificare a procesului de înregistrare la distanţă a clienţilor sau cu privire la orice modificare adusă soluţiei furnizate de furnizorul de servicii externalizate. 49. În cazul în care furnizorul de servicii externalizate stochează date ale clienţilor, inclusiv, dar fără a se limita la fotografii, materiale video şi documente, în timpul procesului de înregistrare la distanţă, instituţiile de credit şi financiare trebuie să se asigure că: a) numai datele necesare ale clientului sunt colectate şi stocate în conformitate cu o perioadă de păstrare clar definită; b) accesul la date este strict limitat şi înregistrat; c) sunt puse în aplicare măsuri de securitate adecvate pentru a asigura protecţia datelor stocate. IV.6. Gestionarea riscurilor TIC şi de securitate 50. Instituţiile de credit şi financiare trebuie să îşi identifice şi să îşi gestioneze riscurile TIC şi de securitate legate de utilizarea procesului de înregistrare la distanţă a clienţilor, inclusiv în cazul în care instituţiile de credit şi financiare se bazează pe terţi sau în cazul în care serviciul este externalizat, inclusiv către entităţile din grup. 51. Pe lângă respectarea cerinţelor prevăzute în Ghidul ABE privind gestionarea riscurilor TIC şi de securitate*12), după caz, instituţiile de credit şi financiare trebuie să utilizeze canale de comunicare securizate pentru a interacţiona cu clientul în timpul procesului de înregistrare la distanţă a clienţilor. Soluţia de înregistrare la distanţă a clienţilor trebuie să utilizeze protocoale securizate şi algoritmi criptografici în conformitate cu cele mai bune practici din sector pentru a proteja confidenţialitatea, autenticitatea şi integritatea datelor care fac obiectul schimbului, după caz. *12) EBA/GL/2019/04. 52. Instituţiile de credit şi financiare trebuie să ofere un punct de acces securizat pentru începerea procesului de înregistrare la distanţă a clienţilor pe baza certificatelor calificate pentru sigiliile electronice, astfel cum se menţionează la art. 3 pct. 30 din Regulamentul (UE) nr. 910/2014 sau pentru autentificarea unui site internet, astfel cum se menţionează la art. 3 pct. 39 din regulamentul respectiv. De asemenea, clientul trebuie să fie informat cu privire la măsurile de securitate aplicabile care trebuie luate pentru a garanta utilizarea securizată a sistemului. 53. În cazul în care se utilizează un dispozitiv multifuncţional pentru a efectua procesul de înregistrare la distanţă a clienţilor, trebuie să se utilizeze un mediu securizat pentru executarea codului software pe partea clientului, după caz. Trebuie puse în aplicare măsuri de securitate suplimentare pentru a asigura securitatea şi încrederea codului software şi a datelor colectate, în conformitate cu evaluarea riscurilor de securitate, astfel cum se prevede în Ghidul ABE privind gestionarea riscurilor TIC şi de securitate. IV.7. Respectarea prezentului ghid în cazul în care instituţiile de credit şi financiare utilizează servicii de încredere şi procese naţionale de identificare, astfel cum se menţionează la art. 13 alin. (1) lit. (a) din Directiva (UE) 2015/849 54. Instituţiile de credit şi financiare pot utiliza serviciile de încredere relevante şi procesele de identificare electronică reglementate, recunoscute, aprobate sau acceptate de autorităţile naţionale relevante, astfel cum se menţionează la art. 13 alin. (1) lit. (a) din Directiva (UE) 2015/849, pentru a se conforma prezentului ghid. Atunci când utilizează astfel de soluţii, instituţiile de credit şi financiare trebuie să evalueze în ce măsură soluţia respectă dispoziţiile prezentului ghid şi să aplice măsurile necesare pentru a atenua riscurile relevante care decurg din utilizarea soluţiilor respective. Acestea trebuie să ia în considerare, în special, dacă sunt abordate următoarele riscuri: a) riscurile pe care le implică autentificarea şi care sunt prevăzute în politicile şi procedurile lor specifice măsurilor de atenuare, în special în ceea ce priveşte riscurile de fraudă prin uzurparea identităţii; b) riscul ca identitatea clientului să nu fie identitatea pretinsă; c) riscul de pierdere, furt, suspendare, revocare sau expirare a dovezilor de identitate, inclusiv, după caz, instrumentele de detectare şi prevenire a utilizării fraudelor de identitate. ------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
