Secţiunea 1 - Politicile, procedurile şi controalele interne, evaluarea riscurilor şi personalul - Regulamentul 1624/31-mai-2024 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanţării terorismului
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 19 Iunie 2024
SECŢIUNEA 1:Politicile, procedurile şi controalele interne, evaluarea riscurilor şi personalul
Art. 9: Domeniul de aplicare al politicilor, procedurilor şi controalelor interne
(1)Entităţile obligate instituie politici, proceduri şi controale interne pentru a asigura respectarea prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor şi, în special:
a)pentru a atenua şi a gestiona cu eficacitate riscurile de spălare a banilor şi de finanţare a terorismului identificate la nivelul Uniunii, al statului membru şi al entităţii obligate;
b)în plus faţă de obligaţia de a aplica sancţiuni financiare specifice, pentru a atenua şi a gestiona riscurile de neaplicare şi de eludare a sancţiunilor financiare specifice.
Politicile, procedurile şi controalele menţionate la primul paragraf trebuie să fie proporţionale cu natura activităţii, inclusiv cu riscurile şi complexitatea aferente acesteia, precum şi cu dimensiunea entităţii obligate şi includ toate activităţile entităţii obligate care intră în domeniul de aplicare a prezentului regulament.
(2)Politicile, procedurile şi controalele menţionate la alineatul (1) cuprind:
a)politici şi proceduri interne, inclusiv în special:
(i)efectuarea şi actualizarea evaluării riscurilor la nivel de întreprindere;
(ii)cadrul de gestionare a riscurilor al entităţii obligate;
(iii)precauţia privind clientela pentru a pune în aplicare capitolul III din prezentul regulament, inclusiv proceduri pentru a stabili dacă clientul, beneficiarul real sau persoana în numele căreia sau în folosul căreia se realizează o tranzacţie sau o activitate este o persoană expusă politic sau un membru al familiei sau o persoană cunoscută ca asociat apropiat;
(iv)raportarea tranzacţiilor suspecte;
(v)externalizarea şi recurgerea la alte entităţi obligate în ceea ce priveşte activităţile legate de precauţia privind clientela;
(vi)păstrarea evidenţelor şi politicile legate de prelucrarea datelor cu caracter personal în temeiul articolelor 76 şi 77;
(vii)monitorizarea şi gestionarea respectării acestor politici şi proceduri interne în conformitate cu litera (b) de la prezentul alineat, identificarea şi gestionarea deficienţelor şi punerea în aplicare a măsurilor de remediere;
(viii)verificarea, proporţională cu riscurile asociate sarcinilor şi funcţiilor care urmează să fie îndeplinite, în momentul recrutării şi repartizării personalului pentru anumite sarcini şi funcţii şi în momentul numirii agenţilor şi distribuitorilor, a faptului că persoanele respective au o bună reputaţie;
(ix)comunicarea internă a politicilor, procedurilor şi controalelor interne ale entităţii obligate, inclusiv către agenţii, distribuitorii şi prestatorii de servicii ai acesteia implicaţi în punerea în aplicare a politicilor sale în materie de CSB/CFT;
(x)o politică privind formarea angajaţilor şi, după caz, a agenţilor şi distribuitorilor cu privire la măsurile instituite în cadrul entităţii obligate pentru a se conforma cerinţelor prezentului regulament, ale Regulamentului (UE) 2023/1113 şi ale oricărui act administrativ emis de orice supraveghetor;
b)controale interne şi o funcţie de audit independentă în scopul testării politicilor şi procedurilor interne menţionate la litera (a) de la prezentul alineat şi a controalelor în vigoare în cadrul entităţii obligate; în absenţa unei funcţii de audit independente, entităţile obligate pot solicita ca această testare să fie efectuată de un expert extern.
Politicile, procedurile şi controalele interne prevăzute la primul paragraf se înregistrează în scris. Politicile interne sunt aprobate de organul de conducere acţionând în exercitarea funcţiei sale de conducere. Procedurile şi controalele interne se aprobă cel puţin la nivelul managerului responsabil cu funcţia de conformitate.
(3)Entităţile obligate actualizează politicile, procedurile şi controalele interne şi le consolidează în cazul în care sunt identificate deficienţe.
(4)Până la 10 iulie 2026, ACSB emite orientări cu privire la elementele pe care entităţile obligate ar trebui să le ia în considerare, bazate pe natura activităţii lor, inclusiv riscurile şi complexitatea aferente acesteia, precum şi pe dimensiunea entităţilor, atunci când decid cu privire la amploarea politicilor, procedurilor şi controalelor lor interne, în special în ceea ce priveşte personalul alocat funcţiilor de conformitate. Orientările respective identifică situaţiile în care, datorită naturii şi dimensiunii entităţii obligate:
(i)controalele interne urmează să fie organizate la nivelul funcţiei comerciale, al funcţiei de conformitate şi al funcţiei de audit;
(ii)funcţia de audit independentă poate fi îndeplinită de un expert extern.
Art. 10: Evaluarea riscurilor la nivel de întreprindere
(1)Entităţile obligate iau măsuri adecvate, proporţionale cu natura activităţii acestora, inclusiv cu riscurile şi complexitatea aferente acesteia, precum şi cu dimensiunea lor, pentru a identifica şi a evalua riscurile de spălare a banilor şi de finanţare a terorismului la care sunt expuse, precum şi riscurile de neaplicare şi de eludare a sancţiunilor financiare specifice, ţinând seama cel puţin de:
a)variabilele de risc prevăzute în anexa I şi factorii de risc prevăzuţi în anexele II şi III;
b)constatările evaluării riscurilor la nivelul Uniunii realizate de Comisie în temeiul articolului 7 din Directiva (UE) 2024/1640;
c)constatările evaluărilor naţionale ale riscurilor întocmite de statele membre în temeiul articolului 8 din Directiva (UE) 2024/1640, precum şi ale oricărei evaluări sectoriale relevante a riscurilor specifice efectuate de statele membre;
d)informaţiile relevante publicate de organismele internaţionale de standardizare din domeniul CSB/CFT sau, la nivelul Uniunii, de către Comisie sau de către ACSB;
e)informaţiile privind riscurile de spălare a banilor şi de finanţare a terorismului furnizate de autorităţile competente;
f)informaţiile privind baza de clienţi.
Înainte de lansarea de produse, servicii sau practici comerciale noi, inclusiv utilizarea de noi canale de livrare şi de tehnologii noi sau în curs de dezvoltare, împreună cu produse şi servicii noi sau preexistente sau înainte de a începe să furnizeze un serviciu sau un produs existent unui nou segment de clienţi sau într-o nouă zonă geografică, entităţile obligate identifică şi evaluează, în special, riscurile aferente de spălare a banilor şi de finanţare a terorismului şi iau măsurile adecvate pentru a gestiona şi a atenua riscurile respective.
(2)Evaluarea riscurilor la nivel de întreprindere întocmită de entitatea obligată în temeiul alineatului (1) este documentată, actualizată şi revizuită periodic, inclusiv în cazul în care orice evenimente interne sau externe afectează în mod semnificativ riscurile de spălare a banilor şi de finanţare a terorismului asociate activităţilor, produselor, tranzacţiilor, canalelor de livrare, clienţilor sau zonelor geografice de activitate ale entităţii obligate. Evaluarea este pusă la dispoziţia supraveghetorilor la cerere.
Evaluarea riscurilor la nivel de întreprindere este efectuată de coordonatorul funcţiei de conformitate şi aprobată de organul de conducere acţionând în exercitarea funcţiei sale de conducere şi, în cazul în care există un astfel de organ, este comunicată organului de conducere acţionând în exercitarea funcţiei sale de supraveghere.
(3)Cu excepţia instituţiilor de credit, a instituţiilor financiare, a furnizorilor de servicii de finanţare participativă şi a intermediarilor de finanţare participativă, supraveghetorii pot decide că nu sunt necesare evaluări individuale documentate ale riscurilor la nivel de întreprindere în cazul în care riscurile specifice inerente unui sector sunt clare şi înţelese.
(4)Până la 10 iulie 2026, ACSB emite orientări privind cerinţele minime pentru conţinutul evaluării riscurilor la nivel de întreprindere întocmite de entitatea obligată în temeiul alineatului (1) şi privind sursele suplimentare de informaţii de care trebuie să se ţină seama la efectuarea evaluării riscurilor la nivelul întregii activităţi.
Art. 11: Funcţiile de conformitate
(1)Entităţile obligate numesc un membru al organului de conducere acţionând în exercitarea funcţiei sale de conducere care să fie responsabil cu asigurarea respectării prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor (denumit în continuare "manager responsabil cu funcţia de conformitate").
Managerul responsabil cu funcţia de conformitate se asigură că politicile, procedurile şi controalele interne ale entităţii obligate sunt în concordanţă cu expunerea la risc a entităţii obligate şi că acestea sunt puse în aplicare. Managerul responsabil cu funcţia de conformitate se asigură, de asemenea, că sunt alocate suficiente resurse umane şi materiale în acest scop. Managerul responsabil cu funcţia de conformitate este responsabil de primirea informaţiilor cu privire la deficienţele semnificative sau importante ale unor astfel de politici, proceduri şi controale.
În cazul în care organul de conducere acţionând în exercitarea funcţiei sale de conducere este un organism responsabil în mod colectiv pentru deciziile sale, managerul responsabil cu funcţia de conformitate este responsabil de acordarea de asistenţă şi consiliere acestuia şi de pregătirea deciziilor menţionate la prezentul articol.
(2)Entităţile obligate dispun de un coordonator al funcţiei de conformitate, numit de organul de conducere acţionând în exercitarea funcţiei sale de conducere şi cu o poziţie ierarhică suficient de înaltă, care este responsabil de politicile, procedurile şi controalele desfăşurate în aplicarea zilnică a cerinţelor entităţii obligate în materie de CSB/CFT, inclusiv în ceea ce priveşte punerea în aplicare a sancţiunilor financiare specifice, şi este un punct de contact pentru autorităţile competente. Coordonatorul funcţiei de conformitate este, de asemenea, responsabil de raportarea tranzacţiilor suspecte către FIU, în conformitate cu articolul 69 alineatul (6).
În cazul entităţilor obligate care fac obiectul verificărilor privind personalul de conducere de nivel superior sau beneficiarii reali în temeiul articolului 6 din Directiva (UE) 2024/1640 sau în temeiul altor acte juridice ale Uniunii, coordonatorii funcţiei de conformitate sunt supuşi verificării conformităţii cu cerinţele respective.
În cazul în care dimensiunea entităţii obligate şi riscul scăzut al activităţilor sale justifică acest lucru, o entitate obligată care face parte dintr-un grup poate numi drept coordonator al funcţiei de conformitate o persoană care îndeplineşte această funcţie într-o altă entitate din cadrul grupului respectiv.
Coordonatorul funcţiei de conformitate poate fi revocat numai în urma notificării prealabile a organului de conducere acţionând în exercitarea funcţiei sale de conducere. Entitatea obligată notifică supraveghetorului revocarea coordonatorului funcţiei de conformitate, specificând dacă decizia se referă la îndeplinirea sarcinilor atribuite în temeiul prezentului regulament. Coordonatorul funcţiei de conformitate poate, din proprie iniţiativă sau la cerere, să furnizeze supraveghetorului informaţii cu privire la revocare. Supraveghetorul poate utiliza informaţiile respective pentru a-şi îndeplini sarcinile care îi revin în temeiul celui de al doilea paragraf de la prezentul alineat şi al articolului 37 alineatul (4) din Directiva (UE) 2024/1640.
(3)Entităţile obligate pun la dispoziţia funcţiilor de conformitate resurse adecvate, inclusiv personal şi tehnologie, proporţional cu dimensiunea, natura şi riscurile entităţii obligate pentru îndeplinirea eficace a sarcinilor lor şi se asigură că persoanelor responsabile de aceste funcţii li se acordă competenţele de a propune orice măsuri necesare care să garanteze eficacitatea politicilor, procedurilor şi controalelor interne ale entităţii obligate.
(4)Entităţile obligate iau măsuri pentru a se asigura că coordonatorul funcţiei de conformitate este protejat împotriva represaliilor, a discriminării şi a oricărui alt tratament inechitabil şi că deciziile coordonatorului funcţiei de conformitate nu sunt subminate sau influenţate în mod nejustificat de interesele comerciale ale entităţii obligate.
(5)Entităţile obligate se asigură că coordonatorul funcţiei de conformitate şi persoana responsabilă de funcţia de audit menţionată la articolul 9 alineatul (2) litera (b) pot raporta direct organului de conducere acţionând în exercitarea funcţiei sale de conducere şi, în cazul în care există un astfel de organ, organului de conducere acţionând în exercitarea funcţiei sale de supraveghere în mod independent şi pot exprima preocupări şi avertiza organul de conducere, în cazul în care evoluţii specifice ale riscurilor afectează sau pot afecta entitatea obligată.
Entităţile obligate se asigură că persoanele care participă direct sau indirect la punerea în aplicare a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor au acces la toate informaţiile şi datele necesare pentru îndeplinirea sarcinilor lor.
(6)Managerul responsabil cu funcţia de conformitate raportează periodic organului de conducere cu privire la punerea în aplicare a politicilor, procedurilor şi controalelor interne ale entităţii obligate. În special, managerul responsabil cu funcţia de conformitate prezintă organului de conducere o dată pe an sau, dacă este cazul, mai frecvent un raport privind punerea în aplicare a politicilor, procedurilor şi controalelor interne ale entităţii obligate elaborat de coordonatorul funcţiei de conformitate şi informează respectivul organ cu privire la rezultatul eventualelor revizuiri. Managerul responsabil cu funcţia de conformitate ia măsurile necesare pentru a remedia în timp util eventualele deficienţe identificate.
(7)În cazul în care natura activităţii entităţii obligate, inclusiv riscurile şi complexitatea sa, precum şi dimensiunea sa, justifică acest lucru, funcţiile managerului responsabil cu funcţia de conformitate şi ale coordonatorului funcţiei de conformitate pot fi îndeplinite de aceeaşi persoană fizică. Funcţiile respective pot fi cumulate cu alte funcţii.
În cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică, persoana respectivă este responsabilă de îndeplinirea sarcinilor prevăzute la prezentul articol.
Art. 12: Cunoaşterea cerinţelor
Entităţile obligate iau măsuri pentru a se asigura că angajaţii lor sau persoanele aflate în poziţii comparabile a căror funcţie impune acest lucru, inclusiv agenţii şi distribuitorii lor, au luat cunoştinţă de cerinţele care decurg din prezentul regulament, din Regulamentul (UE) 2023/1113 şi din orice act administrativ emis de orice supraveghetor, precum şi de evaluarea riscurilor la nivelul întregii activităţi şi de politicile, procedurile şi controalele interne în vigoare în cadrul entităţii obligate, inclusiv în ceea ce priveşte prelucrarea datelor cu caracter personal în sensul prezentului regulament.
Măsurile menţionate la primul paragraf includ participarea angajaţilor sau a persoanelor aflate în poziţii comparabile, inclusiv a agenţilor şi a distribuitorilor, la programe specifice de formare permanentă, menite să îi ajute să recunoască operaţiunile care pot avea legătură cu spălarea banilor sau cu finanţarea terorismului şi să îi înveţe cum să procedeze în astfel de cazuri. Astfel de programe de formare trebuie să fie adecvate funcţiilor sau activităţilor lor şi riscurilor de spălare a banilor şi de finanţare a terorismului la care este expusă entitatea obligată şi să fie documentate în mod corespunzător.
Art. 13: Integritatea angajaţilor
(1)Orice angajat sau persoană aflată într-o poziţie comparabilă, inclusiv agenţii şi distribuitorii, care participă direct la respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor este supus unei evaluări proporţionale cu riscurile asociate sarcinilor îndeplinite şi al cărei conţinut este aprobat de coordonatorul funcţiei de conformitate cu privire la:
a)competenţele, cunoştinţele şi expertiza individuale pentru a-şi îndeplini funcţiile în mod eficace;
b)buna reputaţie, onestitatea şi integritatea.
Evaluarea menţionată la primul paragraf se efectuează înainte de începerea activităţilor de către angajat sau de către persoana aflată într-o poziţie comparabilă, inclusiv de către agenţi şi distribuitori, şi se repetă periodic. Intensitatea evaluărilor ulterioare se stabileşte în funcţie de sarcinile încredinţate persoanei şi de riscurile asociate funcţiei pe care aceasta o îndeplineşte.
(2)Angajaţii sau persoanele aflate în poziţii comparabile, inclusiv agenţii şi distribuitorii, cărora li s-au încredinţat sarcini legate de respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor, îl informează pe coordonatorul funcţiei de conformitate cu privire la orice relaţie privată sau profesională apropiată stabilită cu clienţii sau potenţialii clienţi ai entităţii obligate şi sunt împiedicaţi să îndeplinească orice sarcină legată de conformitatea entităţii obligate în raport cu aceşti clienţi.
(3)Entităţile obligate instituie proceduri pentru a preveni şi a gestiona conflictele de interese care pot afecta îndeplinirea sarcinilor legate de respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor.
(4)Prezentul articol nu se aplică în cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică.
Art. 14: Raportarea încălcărilor şi protecţia persoanelor care efectuează raportarea
(1)Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului (41) se aplică raportării încălcărilor prezentului regulament, ale Regulamentului (UE) 2023/1113 şi ale oricărui act administrativ emis de orice supraveghetor, precum şi protecţiei persoanelor care raportează astfel de încălcări.
(41)Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului din 23 octombrie 2019 privind protecţia persoanelor care raportează încălcări ale dreptului Uniunii (JO L 305, 26.11.2019, p. 17).
(2)Entităţile obligate stabilesc canale interne de raportare care îndeplinesc cerinţele prevăzute în Directiva (UE) 2019/1937.
(3)Alineatul (2) nu se aplică în cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică.
Art. 15: Situaţia anumitor angajaţi
În cazul în care o persoană fizică, care se încadrează în oricare dintre categoriile enumerate la articolul 3 punctul 3, îşi desfăşoară activitatea profesională ca angajat al unei persoane juridice, cerinţele prevăzute de prezentul regulament se aplică persoanei juridice respective, şi nu persoanei fizice.