Capitolul ii - POLITICILE, PROCEDURILE ŞI CONTROALELE INTERNE ALE ENTITĂŢILOR OBLIGATE - Regulamentul 1624/31-mai-2024 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanţării terorismului
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 19 Iunie 2024
CAPITOLUL II:POLITICILE, PROCEDURILE ŞI CONTROALELE INTERNE ALE ENTITĂŢILOR OBLIGATE
Art. 9: Domeniul de aplicare al politicilor, procedurilor şi controalelor interne
(1)Entităţile obligate instituie politici, proceduri şi controale interne pentru a asigura respectarea prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor şi, în special:
a)pentru a atenua şi a gestiona cu eficacitate riscurile de spălare a banilor şi de finanţare a terorismului identificate la nivelul Uniunii, al statului membru şi al entităţii obligate;
b)în plus faţă de obligaţia de a aplica sancţiuni financiare specifice, pentru a atenua şi a gestiona riscurile de neaplicare şi de eludare a sancţiunilor financiare specifice.
Politicile, procedurile şi controalele menţionate la primul paragraf trebuie să fie proporţionale cu natura activităţii, inclusiv cu riscurile şi complexitatea aferente acesteia, precum şi cu dimensiunea entităţii obligate şi includ toate activităţile entităţii obligate care intră în domeniul de aplicare a prezentului regulament.
(2)Politicile, procedurile şi controalele menţionate la alineatul (1) cuprind:
a)politici şi proceduri interne, inclusiv în special:
(i)efectuarea şi actualizarea evaluării riscurilor la nivel de întreprindere;
(ii)cadrul de gestionare a riscurilor al entităţii obligate;
(iii)precauţia privind clientela pentru a pune în aplicare capitolul III din prezentul regulament, inclusiv proceduri pentru a stabili dacă clientul, beneficiarul real sau persoana în numele căreia sau în folosul căreia se realizează o tranzacţie sau o activitate este o persoană expusă politic sau un membru al familiei sau o persoană cunoscută ca asociat apropiat;
(iv)raportarea tranzacţiilor suspecte;
(v)externalizarea şi recurgerea la alte entităţi obligate în ceea ce priveşte activităţile legate de precauţia privind clientela;
(vi)păstrarea evidenţelor şi politicile legate de prelucrarea datelor cu caracter personal în temeiul articolelor 76 şi 77;
(vii)monitorizarea şi gestionarea respectării acestor politici şi proceduri interne în conformitate cu litera (b) de la prezentul alineat, identificarea şi gestionarea deficienţelor şi punerea în aplicare a măsurilor de remediere;
(viii)verificarea, proporţională cu riscurile asociate sarcinilor şi funcţiilor care urmează să fie îndeplinite, în momentul recrutării şi repartizării personalului pentru anumite sarcini şi funcţii şi în momentul numirii agenţilor şi distribuitorilor, a faptului că persoanele respective au o bună reputaţie;
(ix)comunicarea internă a politicilor, procedurilor şi controalelor interne ale entităţii obligate, inclusiv către agenţii, distribuitorii şi prestatorii de servicii ai acesteia implicaţi în punerea în aplicare a politicilor sale în materie de CSB/CFT;
(x)o politică privind formarea angajaţilor şi, după caz, a agenţilor şi distribuitorilor cu privire la măsurile instituite în cadrul entităţii obligate pentru a se conforma cerinţelor prezentului regulament, ale Regulamentului (UE) 2023/1113 şi ale oricărui act administrativ emis de orice supraveghetor;
b)controale interne şi o funcţie de audit independentă în scopul testării politicilor şi procedurilor interne menţionate la litera (a) de la prezentul alineat şi a controalelor în vigoare în cadrul entităţii obligate; în absenţa unei funcţii de audit independente, entităţile obligate pot solicita ca această testare să fie efectuată de un expert extern.
Politicile, procedurile şi controalele interne prevăzute la primul paragraf se înregistrează în scris. Politicile interne sunt aprobate de organul de conducere acţionând în exercitarea funcţiei sale de conducere. Procedurile şi controalele interne se aprobă cel puţin la nivelul managerului responsabil cu funcţia de conformitate.
(3)Entităţile obligate actualizează politicile, procedurile şi controalele interne şi le consolidează în cazul în care sunt identificate deficienţe.
(4)Până la 10 iulie 2026, ACSB emite orientări cu privire la elementele pe care entităţile obligate ar trebui să le ia în considerare, bazate pe natura activităţii lor, inclusiv riscurile şi complexitatea aferente acesteia, precum şi pe dimensiunea entităţilor, atunci când decid cu privire la amploarea politicilor, procedurilor şi controalelor lor interne, în special în ceea ce priveşte personalul alocat funcţiilor de conformitate. Orientările respective identifică situaţiile în care, datorită naturii şi dimensiunii entităţii obligate:
(i)controalele interne urmează să fie organizate la nivelul funcţiei comerciale, al funcţiei de conformitate şi al funcţiei de audit;
(ii)funcţia de audit independentă poate fi îndeplinită de un expert extern.
Art. 10: Evaluarea riscurilor la nivel de întreprindere
(1)Entităţile obligate iau măsuri adecvate, proporţionale cu natura activităţii acestora, inclusiv cu riscurile şi complexitatea aferente acesteia, precum şi cu dimensiunea lor, pentru a identifica şi a evalua riscurile de spălare a banilor şi de finanţare a terorismului la care sunt expuse, precum şi riscurile de neaplicare şi de eludare a sancţiunilor financiare specifice, ţinând seama cel puţin de:
a)variabilele de risc prevăzute în anexa I şi factorii de risc prevăzuţi în anexele II şi III;
b)constatările evaluării riscurilor la nivelul Uniunii realizate de Comisie în temeiul articolului 7 din Directiva (UE) 2024/1640;
c)constatările evaluărilor naţionale ale riscurilor întocmite de statele membre în temeiul articolului 8 din Directiva (UE) 2024/1640, precum şi ale oricărei evaluări sectoriale relevante a riscurilor specifice efectuate de statele membre;
d)informaţiile relevante publicate de organismele internaţionale de standardizare din domeniul CSB/CFT sau, la nivelul Uniunii, de către Comisie sau de către ACSB;
e)informaţiile privind riscurile de spălare a banilor şi de finanţare a terorismului furnizate de autorităţile competente;
f)informaţiile privind baza de clienţi.
Înainte de lansarea de produse, servicii sau practici comerciale noi, inclusiv utilizarea de noi canale de livrare şi de tehnologii noi sau în curs de dezvoltare, împreună cu produse şi servicii noi sau preexistente sau înainte de a începe să furnizeze un serviciu sau un produs existent unui nou segment de clienţi sau într-o nouă zonă geografică, entităţile obligate identifică şi evaluează, în special, riscurile aferente de spălare a banilor şi de finanţare a terorismului şi iau măsurile adecvate pentru a gestiona şi a atenua riscurile respective.
(2)Evaluarea riscurilor la nivel de întreprindere întocmită de entitatea obligată în temeiul alineatului (1) este documentată, actualizată şi revizuită periodic, inclusiv în cazul în care orice evenimente interne sau externe afectează în mod semnificativ riscurile de spălare a banilor şi de finanţare a terorismului asociate activităţilor, produselor, tranzacţiilor, canalelor de livrare, clienţilor sau zonelor geografice de activitate ale entităţii obligate. Evaluarea este pusă la dispoziţia supraveghetorilor la cerere.
Evaluarea riscurilor la nivel de întreprindere este efectuată de coordonatorul funcţiei de conformitate şi aprobată de organul de conducere acţionând în exercitarea funcţiei sale de conducere şi, în cazul în care există un astfel de organ, este comunicată organului de conducere acţionând în exercitarea funcţiei sale de supraveghere.
(3)Cu excepţia instituţiilor de credit, a instituţiilor financiare, a furnizorilor de servicii de finanţare participativă şi a intermediarilor de finanţare participativă, supraveghetorii pot decide că nu sunt necesare evaluări individuale documentate ale riscurilor la nivel de întreprindere în cazul în care riscurile specifice inerente unui sector sunt clare şi înţelese.
(4)Până la 10 iulie 2026, ACSB emite orientări privind cerinţele minime pentru conţinutul evaluării riscurilor la nivel de întreprindere întocmite de entitatea obligată în temeiul alineatului (1) şi privind sursele suplimentare de informaţii de care trebuie să se ţină seama la efectuarea evaluării riscurilor la nivelul întregii activităţi.
Art. 11: Funcţiile de conformitate
(1)Entităţile obligate numesc un membru al organului de conducere acţionând în exercitarea funcţiei sale de conducere care să fie responsabil cu asigurarea respectării prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor (denumit în continuare "manager responsabil cu funcţia de conformitate").
Managerul responsabil cu funcţia de conformitate se asigură că politicile, procedurile şi controalele interne ale entităţii obligate sunt în concordanţă cu expunerea la risc a entităţii obligate şi că acestea sunt puse în aplicare. Managerul responsabil cu funcţia de conformitate se asigură, de asemenea, că sunt alocate suficiente resurse umane şi materiale în acest scop. Managerul responsabil cu funcţia de conformitate este responsabil de primirea informaţiilor cu privire la deficienţele semnificative sau importante ale unor astfel de politici, proceduri şi controale.
În cazul în care organul de conducere acţionând în exercitarea funcţiei sale de conducere este un organism responsabil în mod colectiv pentru deciziile sale, managerul responsabil cu funcţia de conformitate este responsabil de acordarea de asistenţă şi consiliere acestuia şi de pregătirea deciziilor menţionate la prezentul articol.
(2)Entităţile obligate dispun de un coordonator al funcţiei de conformitate, numit de organul de conducere acţionând în exercitarea funcţiei sale de conducere şi cu o poziţie ierarhică suficient de înaltă, care este responsabil de politicile, procedurile şi controalele desfăşurate în aplicarea zilnică a cerinţelor entităţii obligate în materie de CSB/CFT, inclusiv în ceea ce priveşte punerea în aplicare a sancţiunilor financiare specifice, şi este un punct de contact pentru autorităţile competente. Coordonatorul funcţiei de conformitate este, de asemenea, responsabil de raportarea tranzacţiilor suspecte către FIU, în conformitate cu articolul 69 alineatul (6).
În cazul entităţilor obligate care fac obiectul verificărilor privind personalul de conducere de nivel superior sau beneficiarii reali în temeiul articolului 6 din Directiva (UE) 2024/1640 sau în temeiul altor acte juridice ale Uniunii, coordonatorii funcţiei de conformitate sunt supuşi verificării conformităţii cu cerinţele respective.
În cazul în care dimensiunea entităţii obligate şi riscul scăzut al activităţilor sale justifică acest lucru, o entitate obligată care face parte dintr-un grup poate numi drept coordonator al funcţiei de conformitate o persoană care îndeplineşte această funcţie într-o altă entitate din cadrul grupului respectiv.
Coordonatorul funcţiei de conformitate poate fi revocat numai în urma notificării prealabile a organului de conducere acţionând în exercitarea funcţiei sale de conducere. Entitatea obligată notifică supraveghetorului revocarea coordonatorului funcţiei de conformitate, specificând dacă decizia se referă la îndeplinirea sarcinilor atribuite în temeiul prezentului regulament. Coordonatorul funcţiei de conformitate poate, din proprie iniţiativă sau la cerere, să furnizeze supraveghetorului informaţii cu privire la revocare. Supraveghetorul poate utiliza informaţiile respective pentru a-şi îndeplini sarcinile care îi revin în temeiul celui de al doilea paragraf de la prezentul alineat şi al articolului 37 alineatul (4) din Directiva (UE) 2024/1640.
(3)Entităţile obligate pun la dispoziţia funcţiilor de conformitate resurse adecvate, inclusiv personal şi tehnologie, proporţional cu dimensiunea, natura şi riscurile entităţii obligate pentru îndeplinirea eficace a sarcinilor lor şi se asigură că persoanelor responsabile de aceste funcţii li se acordă competenţele de a propune orice măsuri necesare care să garanteze eficacitatea politicilor, procedurilor şi controalelor interne ale entităţii obligate.
(4)Entităţile obligate iau măsuri pentru a se asigura că coordonatorul funcţiei de conformitate este protejat împotriva represaliilor, a discriminării şi a oricărui alt tratament inechitabil şi că deciziile coordonatorului funcţiei de conformitate nu sunt subminate sau influenţate în mod nejustificat de interesele comerciale ale entităţii obligate.
(5)Entităţile obligate se asigură că coordonatorul funcţiei de conformitate şi persoana responsabilă de funcţia de audit menţionată la articolul 9 alineatul (2) litera (b) pot raporta direct organului de conducere acţionând în exercitarea funcţiei sale de conducere şi, în cazul în care există un astfel de organ, organului de conducere acţionând în exercitarea funcţiei sale de supraveghere în mod independent şi pot exprima preocupări şi avertiza organul de conducere, în cazul în care evoluţii specifice ale riscurilor afectează sau pot afecta entitatea obligată.
Entităţile obligate se asigură că persoanele care participă direct sau indirect la punerea în aplicare a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor au acces la toate informaţiile şi datele necesare pentru îndeplinirea sarcinilor lor.
(6)Managerul responsabil cu funcţia de conformitate raportează periodic organului de conducere cu privire la punerea în aplicare a politicilor, procedurilor şi controalelor interne ale entităţii obligate. În special, managerul responsabil cu funcţia de conformitate prezintă organului de conducere o dată pe an sau, dacă este cazul, mai frecvent un raport privind punerea în aplicare a politicilor, procedurilor şi controalelor interne ale entităţii obligate elaborat de coordonatorul funcţiei de conformitate şi informează respectivul organ cu privire la rezultatul eventualelor revizuiri. Managerul responsabil cu funcţia de conformitate ia măsurile necesare pentru a remedia în timp util eventualele deficienţe identificate.
(7)În cazul în care natura activităţii entităţii obligate, inclusiv riscurile şi complexitatea sa, precum şi dimensiunea sa, justifică acest lucru, funcţiile managerului responsabil cu funcţia de conformitate şi ale coordonatorului funcţiei de conformitate pot fi îndeplinite de aceeaşi persoană fizică. Funcţiile respective pot fi cumulate cu alte funcţii.
În cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică, persoana respectivă este responsabilă de îndeplinirea sarcinilor prevăzute la prezentul articol.
Art. 12: Cunoaşterea cerinţelor
Entităţile obligate iau măsuri pentru a se asigura că angajaţii lor sau persoanele aflate în poziţii comparabile a căror funcţie impune acest lucru, inclusiv agenţii şi distribuitorii lor, au luat cunoştinţă de cerinţele care decurg din prezentul regulament, din Regulamentul (UE) 2023/1113 şi din orice act administrativ emis de orice supraveghetor, precum şi de evaluarea riscurilor la nivelul întregii activităţi şi de politicile, procedurile şi controalele interne în vigoare în cadrul entităţii obligate, inclusiv în ceea ce priveşte prelucrarea datelor cu caracter personal în sensul prezentului regulament.
Măsurile menţionate la primul paragraf includ participarea angajaţilor sau a persoanelor aflate în poziţii comparabile, inclusiv a agenţilor şi a distribuitorilor, la programe specifice de formare permanentă, menite să îi ajute să recunoască operaţiunile care pot avea legătură cu spălarea banilor sau cu finanţarea terorismului şi să îi înveţe cum să procedeze în astfel de cazuri. Astfel de programe de formare trebuie să fie adecvate funcţiilor sau activităţilor lor şi riscurilor de spălare a banilor şi de finanţare a terorismului la care este expusă entitatea obligată şi să fie documentate în mod corespunzător.
Art. 13: Integritatea angajaţilor
(1)Orice angajat sau persoană aflată într-o poziţie comparabilă, inclusiv agenţii şi distribuitorii, care participă direct la respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor este supus unei evaluări proporţionale cu riscurile asociate sarcinilor îndeplinite şi al cărei conţinut este aprobat de coordonatorul funcţiei de conformitate cu privire la:
a)competenţele, cunoştinţele şi expertiza individuale pentru a-şi îndeplini funcţiile în mod eficace;
b)buna reputaţie, onestitatea şi integritatea.
Evaluarea menţionată la primul paragraf se efectuează înainte de începerea activităţilor de către angajat sau de către persoana aflată într-o poziţie comparabilă, inclusiv de către agenţi şi distribuitori, şi se repetă periodic. Intensitatea evaluărilor ulterioare se stabileşte în funcţie de sarcinile încredinţate persoanei şi de riscurile asociate funcţiei pe care aceasta o îndeplineşte.
(2)Angajaţii sau persoanele aflate în poziţii comparabile, inclusiv agenţii şi distribuitorii, cărora li s-au încredinţat sarcini legate de respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor, îl informează pe coordonatorul funcţiei de conformitate cu privire la orice relaţie privată sau profesională apropiată stabilită cu clienţii sau potenţialii clienţi ai entităţii obligate şi sunt împiedicaţi să îndeplinească orice sarcină legată de conformitatea entităţii obligate în raport cu aceşti clienţi.
(3)Entităţile obligate instituie proceduri pentru a preveni şi a gestiona conflictele de interese care pot afecta îndeplinirea sarcinilor legate de respectarea de către entitatea obligată a prezentului regulament, a Regulamentului (UE) 2023/1113 şi a oricărui act administrativ emis de orice supraveghetor.
(4)Prezentul articol nu se aplică în cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică.
Art. 14: Raportarea încălcărilor şi protecţia persoanelor care efectuează raportarea
(1)Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului (41) se aplică raportării încălcărilor prezentului regulament, ale Regulamentului (UE) 2023/1113 şi ale oricărui act administrativ emis de orice supraveghetor, precum şi protecţiei persoanelor care raportează astfel de încălcări.
(41)Directiva (UE) 2019/1937 a Parlamentului European şi a Consiliului din 23 octombrie 2019 privind protecţia persoanelor care raportează încălcări ale dreptului Uniunii (JO L 305, 26.11.2019, p. 17).
(2)Entităţile obligate stabilesc canale interne de raportare care îndeplinesc cerinţele prevăzute în Directiva (UE) 2019/1937.
(3)Alineatul (2) nu se aplică în cazul în care entitatea obligată este o persoană fizică sau o persoană juridică ale cărei activităţi sunt desfăşurate de o singură persoană fizică.
Art. 15: Situaţia anumitor angajaţi
În cazul în care o persoană fizică, care se încadrează în oricare dintre categoriile enumerate la articolul 3 punctul 3, îşi desfăşoară activitatea profesională ca angajat al unei persoane juridice, cerinţele prevăzute de prezentul regulament se aplică persoanei juridice respective, şi nu persoanei fizice.
Art. 16: Cerinţe la nivel de grup
(1)O societate-mamă se asigură că cerinţele privind procedurile interne, evaluarea riscurilor şi personalul menţionate în secţiunea 1 din prezentul capitol se aplică tuturor sucursalelor şi filialelor grupului din statele membre şi, în cazul grupurilor al căror sediu social este situat în Uniune, din ţări terţe. În acest scop, o societate-mamă efectuează o evaluare a riscurilor la nivel de grup, ţinând seama de evaluarea riscurilor la nivel de întreprindere efectuată de toate sucursalele şi filialele grupului, şi stabileşte şi pune în aplicare politici, proceduri şi controale la nivel de grup, inclusiv cu privire la protecţia datelor şi la schimbul de informaţii în cadrul grupului în scopul CSB/CFT, pentru a se asigura că angajaţii din cadrul grupului cunosc cerinţele care decurg din prezentul regulament. Entităţile obligate din cadrul grupului pun în aplicare respectivele politici, proceduri şi controale la nivel de grup ţinând seama de specificul lor şi de riscurile la care sunt expuse.
Politicile, procedurile şi controalele la nivel de grup, precum şi evaluările riscurilor la nivel de grup menţionate la primul paragraf, includ toate elementele enumerate la articolul 9 şi, respectiv, 10.
În sensul primului paragraf, în cazul în care un grup are sedii în mai multe state membre şi, pentru grupurile al căror sediu social este situat în Uniune, în ţări terţe, societăţile-mamă iau în considerare informaţiile publicate de autorităţile din toate statele membre sau din toate ţările terţe în care sunt situate sediile grupului.
(2)Funcţiile de conformitate se stabilesc la nivelul grupului. Aceste funcţii includ un manager responsabil cu funcţia de conformitate la nivelul grupului şi, în cazul în care activităţile desfăşurate la nivel de grup justifică acest lucru, un coordonator al funcţiei de conformitate. Decizia privind amploarea funcţiilor de conformitate trebuie să fie fundamentată.
Managerul responsabil cu funcţia de conformitate menţionat la primul paragraf raportează periodic organului de conducere acţionând în exercitarea funcţiei sale de conducere al societăţii-mamă cu privire la punerea în aplicare a politicilor, procedurilor şi controalelor la nivel de grup. Managerul responsabil cu funcţia de conformitate prezintă cel puţin o dată pe an un raport privind punerea în aplicare a politicilor, procedurilor şi controalelor interne ale entităţii obligate şi ia măsurile necesare pentru remedierea în timp util a oricăror deficienţe identificate. În cazul în care organul de conducere acţionând în exercitarea funcţiei sale de conducere este un organism responsabil în mod colectiv pentru deciziile sale, managerul responsabil cu funcţia de conformitate îi acordă asistenţă şi consiliere şi pregăteşte deciziile necesare pentru punerea în aplicare a prezentului articol.
(3)Politicile, procedurile şi controalele referitoare la schimbul de informaţii menţionate la alineatul (1) impun obligativitatea entităţilor obligate din cadrul grupului de a face schimb de informaţii atunci când acest schimb este relevant în scopul aplicării măsurilor de precauţie privind clientela şi al gestionarii riscurilor de spălare a banilor şi de finanţare a terorismului. Schimbul de informaţii în cadrul grupului se referă în special la identitatea şi caracteristicile clientului, ale beneficiarilor săi reali sau ale persoanei în numele căreia acţionează clientul, la natura şi scopul relaţiei de afaceri şi al tranzacţiilor ocazionale şi la suspiciunile, însoţite de analizele subiacente, potrivit cărora fondurile sunt produse ale activităţii infracţionale ori sunt legate de finanţarea terorismului raportate către FIU în temeiul articolului 69, cu excepţia cazului în care FIU dispune altfel.
Politicile, procedurile şi controalele la nivel de grup nu împiedică entităţile din cadrul unui grup care nu sunt entităţi obligate să furnizeze informaţii entităţilor obligate din cadrul aceluiaşi grup, în cazul în care un astfel de schimb este relevant pentru ca respectivele entităţi obligate să respecte cerinţele stabilite în prezentul regulament.
Societăţile-mamă instituie politici, proceduri şi controale la nivel de grup pentru a se asigura că informaţiile schimbate în temeiul primului şi al celui de al doilea paragraf fac obiectul unor garanţii suficiente în ceea ce priveşte confidenţialitatea, protecţia datelor şi utilizarea informaţiilor, inclusiv pentru a preveni divulgarea acestora.
(4)Până la 10 iulie 2026, ACSB elaborează proiecte de standarde tehnice de reglementare şi le înaintează Comisiei spre adoptare. Aceste proiecte de standarde tehnice de reglementare specifică cerinţele minime pentru politicile, procedurile şi controalele la nivel de grup, inclusiv standardele minime pentru schimbul de informaţii în cadrul grupului, criteriile pentru identificarea societăţii-mamă în cazurile care intră sub incidenţa articolului 2 alineatul (1) punctul 42 litera (b), condiţiile în care dispoziţiile prezentului articol se aplică entităţilor care fac parte din structuri care deţin în comun proprietatea, gestionarea sau controlul conformităţii, inclusiv reţele sau parteneriate, precum şi criteriile pentru identificarea societăţii-mamă din Uniune în cazurile respective.
(5)Se deleagă Comisiei competenţa de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menţionate la alineatul (4) din prezentul articol în conformitate cu articolele 49-52 din Regulamentul (UE) 2024/1620.
Art. 17: Sucursale şi filiale în ţări terţe
(1)În cazul în care sucursalele sau filialele entităţilor obligate sunt situate în ţări terţe în care cerinţele minime în materie de CSB/CFT sunt mai puţin stricte decât cele prevăzute în prezentul regulament, societatea-mamă se asigură că respectivele sucursale sau filiale respectă cerinţele prevăzute în prezentul regulament, inclusiv cerinţele privind protecţia datelor, sau cerinţe echivalente.
(2)În cazul în care legislaţia unei ţări terţe nu permite respectarea prezentului regulament, societatea-mamă ia măsuri suplimentare pentru a se asigura că sucursalele şi filialele din ţara terţă respectivă fac faţă în mod eficace riscului de spălare a banilor sau de finanţare a terorismului şi informează supraveghetorii din statul său membru de origine cu privire la măsurile suplimentare respective. În cazul în care supraveghetorii din statul membru de origine consideră că măsurile suplimentare nu sunt suficiente, autorităţile respective exercită acţiuni suplimentare de supraveghere, inclusiv impunând grupului să nu stabilească nicio relaţie de afaceri, să pună capăt celor existente ori să nu efectueze tranzacţii sau să îşi închidă operaţiunile în ţara terţă.
(3)Până la 10 iulie 2026, ACSB elaborează proiecte de standarde tehnice de reglementare şi le înaintează Comisiei spre adoptare. Aceste proiecte de standarde tehnice de reglementare precizează tipul de măsuri suplimentare menţionate la alineatul (2) de la prezentul articol, inclusiv măsurile minime care trebuie luate de entităţile obligate în cazul în care dreptul ţării terţe nu permite punerea în aplicare a măsurilor necesare în temeiul articolului 16 şi acţiunile suplimentare de supraveghere necesare în astfel de cazuri.
(4)Se deleagă Comisiei competenţa de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menţionate la alineatul (3) din prezentul articol în conformitate cu articolele 49-52 din Regulamentul (UE) 2024/1620.
Art. 18: Externalizarea
(1)Entităţile obligate pot externaliza sarcini care decurg din prezentul regulament către furnizori de servicii. Entitatea obligată notifică supraveghetorului externalizarea înainte ca furnizorul de servicii să îndeplinească sarcinile externalizate.
(2)Atunci când îndeplinesc sarcinile prevăzute de prezentul articol, furnizorii de servicii sunt consideraţi ca făcând parte din entitatea obligată, inclusiv în cazul în care aceştia au obligaţia de a consulta registrele centrale menţionate la articolul 10 din Directiva (UE) 2024/1640 (denumite în continuare "registrele centrale") în scopul aplicării măsurilor de precauţie privind clientela în numele entităţii obligate.
Entitatea obligată rămâne pe deplin răspunzătoare pentru orice acţiune, indiferent dacă este vorba despre un act pozitiv sau o omisiune, legată de sarcinile externalizate care sunt îndeplinite de furnizorii de servicii.
Pentru fiecare sarcină externalizată, entitatea obligată trebuie să fie în măsură să demonstreze supraveghetorului că înţelege justificarea care stă la baza activităţilor desfăşurate de furnizorul de servicii şi abordarea urmată în punerea lor în aplicare şi că astfel de activităţi atenuează riscurile specifice la care este expusă entitatea obligată.
(3)Sarcinile externalizate în temeiul alineatului (1) de la prezentul articol nu se îndeplinesc într-un mod care să afecteze semnificativ calitatea politicilor şi a procedurilor entităţii obligate în vederea respectării cerinţelor prezentului regulament şi ale Regulamentului (UE) 2023/1113, precum şi a controalelor în vigoare pentru a testa respectivele politici şi măsuri. Următoarele sarcini nu pot fi externalizate în nicio situaţie:
a)propunerea şi aprobarea evaluării riscurilor la nivel de întreprinderea entităţii obligate, în temeiul articolului 10 alineatul (2);
b)aprobarea politicilor, procedurilor şi controalelor interne ale entităţii obligate, în temeiul articolului 9;
c)decizia privind profilul de risc care este atribuit clientului;
d)decizia de a stabili o relaţie de afaceri sau de a efectua o tranzacţie ocazională cu un client;
e)raportarea către FIU a activităţilor suspecte în temeiul articolului 69 sau raportarea pe bază de praguri în temeiul articolelor 74 şi 80, cu excepţia cazului în care astfel de activităţi sunt externalizate către o altă entitate obligată care aparţine aceluiaşi grup şi este stabilită în acelaşi stat membru;
f)aprobarea criteriilor de detectare a tranzacţiilor şi activităţilor suspecte sau neobişnuite.
(4)Înainte ca o entitate obligată să externalizeze o sarcină în temeiul alineatului (1), aceasta se asigură că furnizorul de servicii este suficient de calificat pentru a îndeplini sarcinile care urmează să fie externalizate.
În cazul în care o entitate obligată externalizează o sarcină în temeiul alineatului (1), aceasta se asigură că furnizorul de servicii, precum şi orice furnizor ulterior de servicii subcontractate, aplică politicile şi procedurile adoptate de entitatea obligată. Condiţiile pentru efectuarea acestor sarcini se stabilesc printr-un acord scris încheiat între entitatea obligată şi furnizorul de servicii. Entitatea obligată efectuează controale periodice pentru a confirma punerea efectivă în aplicare a acestor politici şi proceduri de către furnizorul de servicii. Frecvenţa acestor controale se stabileşte pe baza naturii critice a sarcinilor externalizate.
(5)Entităţile obligate se asigură că externalizarea nu este realizată într-un mod care să afecteze semnificativ capacitatea autorităţilor de supraveghere de a monitoriza şi a reconstitui respectarea de către entitatea obligată a prezentului regulament şi a Regulamentului (UE) 2023/1113.
(6)Prin derogare de la alineatul (1), entităţile obligate nu pot externaliza sarcini care decurg din cerinţele prevăzute în prezentul regulament către furnizori de servicii care îşi au reşedinţa sau sunt stabiliţi în ţări terţe identificate în temeiul secţiunii 2 din capitolul III, cu excepţia cazului în care sunt îndeplinite toate condiţiile următoare:
a)entitatea obligată externalizează sarcini exclusiv către un furnizor de servicii care face parte din acelaşi grup;
b)grupul aplică politici şi proceduri în materie de CSB/CFT, măsuri de precauţie privind clientela şi norme privind păstrarea evidenţelor care sunt în deplină conformitate cu prezentul regulament sau cu norme echivalente în ţări terţe;
c)punerea în aplicare efectivă a cerinţelor menţionate la litera (b) de la prezentul alineat este supravegheată la nivel de grup de către autoritatea de supraveghere din statul membru de origine în conformitate cu capitolul IV din Directiva (UE) 2024/1640.
(7)Prin derogare de la alineatul (3), în cazul în care un organism de plasament colectiv nu are personalitate juridică sau are doar un consiliu de administraţie şi a delegat prelucrarea subscrierilor şi colectarea de fonduri, astfel cum sunt definite la articolul 4 punctul 25 din Directiva (UE) 2015/2366, de la investitori către o altă entitate, acesta poate externaliza sarcina menţionată la alineatul (3) literele (c), (d) şi (e) către unul dintre furnizorii săi de servicii.
Externalizarea menţionată la primul paragraf de la prezentul alineat poate avea loc numai după ce organismul de plasament colectiv şi-a notificat intenţia de a externaliza sarcina supraveghetorului în temeiul alineatului (1), iar supraveghetorul a aprobat această externalizare luând în considerare:
a)resursele, experienţa şi cunoştinţele furnizorului de servicii în ceea ce priveşte prevenirea spălării banilor şi a finanţării terorismului;
b)cunoaşterea de către furnizorul de servicii a tipului de activităţi sau tranzacţii efectuate de organismul de plasament colectiv.
(8)Până la 10 iulie 2027, ACSB emite orientări adresate entităţilor obligate cu privire la:
a)stabilirea de relaţii de externalizare, inclusiv orice relaţie de externalizare ulterioară, în conformitate cu prezentul articol, guvernanţa acestora şi procedurile de monitorizare a punerii în aplicare a funcţiilor de către furnizorul de servicii, în special a acelor funcţii care trebuie considerate critice;
b)rolurile şi responsabilitatea entităţii obligate şi a furnizorului de servicii în cadrul unui acord de externalizare;
c)abordările în materie de supraveghere a externalizării, precum şi aşteptările în materie de supraveghere în ceea ce priveşte externalizarea funcţiilor critice.