Având în vedere prevederile art. 1 alin. (1) lit. d) și alin. (4), art. 2 lit. g) pct. 2-7, art. 5 alin. (1) lit. b) și c), art. 10 alin. (6), art. 11 alin. (1) lit. a)-c), art. 12, art. 18, art. 59 alin. (3) și (4) din Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului, precum și pentru modificarea și completarea unor acte normative, cu modificările și completările ulterioare, în temeiul prevederilor art. 2 alin. (1), art. 3 alin. (1) lit. b), art. 6 alin. (2) și ale art. 14 din Ordonanța de urgență a Guvernului nr. 93/2012 privind înființarea, organizarea și funcționarea Autorității de Supraveghere Financiară, aprobată cu modificări și completări prin Legea nr. 113/2013, cu modificările și completările ulterioare, luând în considerare prevederile: – art. 173 alin. (1) lit. t) din Legea nr. 237/2015 privind autorizarea și supravegherea activității de asigurare și reasigurare, cu modificările și completările ulterioare; … – art. 36 alin. (2) lit. c) și g) din Legea nr. 236/2018 privind distribuția de asigurări, cu modificările și completările ulterioare; … – art. 280 alin. (1) din Legea nr. 126/2018 privind piețele de instrumente financiare, cu modificările și completările ulterioare; … – art. 63 alin. (6) din Legea nr. 74/2015 privind administratorii de fonduri de investiții alternative, cu modificările și completările ulterioare; … – art. 174 din Legea nr. 24/2017 privind emitenții de instrumente financiare și operațiuni de piață, republicată, cu modificările și completările ulterioare; … – Ordonanței de urgență a Guvernului nr. 32/2012 privind organismele de plasament colectiv în valori mobiliare și societățile de administrare a investițiilor, precum și pentru modificarea și completarea Legii nr. 297/2004 privind piața de capital, aprobată cu modificări și completări prin Legea nr. 10/2015, cu modificările și completările ulterioare; … – Legii nr. 204/2006 privind pensiile facultative, cu modificările și completările ulterioare; … – Legii nr. 1/2020 privind pensiile ocupaționale, cu modificările și completările ulterioare, … potrivit deliberărilor din ședința Consiliului Autorității de Supraveghere Financiară din data de 10.10.2023, ->Autoritatea de Supraveghere Financiară emite prezenta instrucțiune. > +
Articolul 1Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., aplică Ghidul privind utilizarea soluțiilor de înregistrare la distanță a clienților în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849 (EBA/GL/2022/15), prevăzut în anexa care face parte integrantă din prezenta instrucțiune. +
Articolul 2Entitățile reglementate prevăzute la art. 2 alin. (2) lit. d) din Regulamentul Autorității de Supraveghere Financiară nr. 13/2019 privind instituirea măsurilor de prevenire și combatere a spălării banilor și a finanțării terorismului prin intermediul sectoarelor financiare supravegheate de Autoritatea de Supraveghere Financiară, cu modificările și completările ulterioare, denumit în continuare Regulamentul A.S.F. nr. 13/2019, respectă prevederile prezentei instrucțiuni. +
Articolul 3În aplicarea prevederilor art. 11 alin. (1) lit. a)-c) din Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului, precum și pentru modificarea și completarea unor acte normative, cu modificările și completările ulterioare, în vederea stabilirii unei relații de afaceri sau a unei tranzacții ocazionale încheiate la distanță, entitățile reglementate analizează și evaluează necesitatea adoptării unei soluții tehnice de înregistrare/înrolare la distanță a clienților cu respectarea prevederilor prezentei instrucțiuni. +
Articolul 4Entitățile reglementate stabilesc politici și norme interne, mecanisme de control intern și proceduri de administrare a riscurilor de spălare a banilor și finanțare a terorismului (SB/FT) de înregistrare/înrolare la distanță a clienților, corespunzător naturii și volumului activității desfășurate și în funcție de riscurile de SB/FT la care sunt expuse, cu respectarea prevederilor art. 3 alin. (5) din Regulamentul A.S.F. nr. 13/2019 și a prevederilor prezentei instrucțiuni. +
Articolul 5Politicile și normele interne, mecanismele de control intern și procedurile de administrare a riscurilor de SB/FT de înregistrare/înrolare la distanță a clienților sunt elaborate, implementate, revizuite și aprobate potrivit prevederilor art. 4 alin. (1) și art. 9 alin. (1) lit. a) din Regulamentul A.S.F. nr. 13/2019, cu respectarea prevederilor prezentei instrucțiuni. +
Articolul 6Adoptarea unei soluții de înregistrare/înrolare la distanță a clienților și derularea activității în baza acestei soluții de către entitățile reglementate menționate la art. 2 se vor efectua cu respectarea prevederilor reglementărilor aplicabile în materie, după caz. +
Articolul 7Entitățile reglementate pun la dispoziția A.S.F., la solicitarea acesteia: a)evaluarea necesității adoptării unei soluții tehnice de înregistrare/înrolare la distanță a clienților prevăzute la art. 3, precum și rezultatul evaluării; … b)modul în care utilizarea soluției tehnice de înregistrare/înrolare la distanță a clienților este adecvată, cu luarea în considerare a riscurilor de SB/FT identificate, ținând seama de expunerea geografică, de baza de clienți, de canalele de distribuție și de produsele și serviciile oferite; … c)analizele efectuate și măsurile de remediere luate pentru corectarea deficiențelor identificate cu privire la soluția tehnică de înregistrare/înrolare la distanță a clienților. … +
Articolul 8Încălcarea prevederilor prezentei instrucțiuni se sancționează conform prevederilor cap. X din Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului, precum și pentru modificarea și completarea unor acte normative, cu modificările și completările ulterioare, și/sau legislației specifice aplicabile entității reglementate. +
Articolul 9(1)Prezenta instrucțiune se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării.(2)Entitățile reglementate menționate la art. 2 trebuie să se conformeze obligațiilor ce le revin în temeiul prezentei instrucțiuni până la data de 30 iunie 2024.
Președintele Autorității de Supraveghere Financiară,
Nicu MarcuBucurești, 11 octombrie 2023.Nr. 4. +
ANEXĂ
GHID
privind utilizarea soluțiilor de înregistrare la distanță a
clienților în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849I.Obligații de conformare și de raportare +
Statutul prezentului ghid1.Prezentul document conține orientări publicate în temeiul art. 16 din Regulamentul (UE) nr. 1.093/2010*1). În conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010, autoritățile competente și instituțiile financiare trebuie să depună toate eforturile necesare pentru a respecta prezentul ghid.*1) Regulamentul (UE) nr. 1.093/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea bancară europeană), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12). … 2.Prezentul ghid prezintă punctul de vedere al Autorității bancare europene (ABE) privind practicile adecvate în materie de supraveghere în cadrul Sistemului european de supraveghere financiară sau privind modul în care dreptul Uniunii Europene trebuie aplicat într-un anumit domeniu. Autoritățile competente cărora li se aplică ghidul, astfel cum sunt definite la art. 4 alin. (2) din Regulamentul (UE) nr. 1.093/2010, trebuie să se conformeze prin integrarea acestuia în practicile lor, după caz (de exemplu, prin modificarea cadrului legislativ sau a procedurilor de supraveghere ale acestora), inclusiv în cazurile în care ghidul se adresează în principal instituțiilor. … +
Cerințe de raportare3.În conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010, autoritățile competente trebuie să notifice ABE dacă se conformează sau intenționează să se conformeze prezentului ghid sau, în caz contrar, să prezinte motivele neconformării, până la 30 mai 2023. În lipsa unei notificări până la termenul prevăzut, ABE va considera că autoritățile competente nu s-au conformat. Notificările se trimit prin intermediul formularului disponibil pe site-ul ABE, cu mențiunea „EBA/GL/2022/15“. Notificările trebuie transmise de persoane care au competența necesară pentru a raporta conformitatea, în numele autorităților competente din care fac parte. Orice schimbare cu privire la situația conformării trebuie adusă, de asemenea, la cunoștința ABE. … 4.Notificările vor fi publicate pe site-ul ABE, în conformitate cu art. 16 alin. (3) din Regulamentul (UE) nr. 1.093/2010. … … II.Obiect și domeniu de aplicare +
Generalități5.Prezentul ghid stabilește etapele pe care trebuie să le parcurgă instituțiile de credit și financiare atunci când adoptă sau revizuiesc soluții pentru a se conforma obligațiilor care le revin în temeiul art. 13 alin. (1) lit. (a), (b) și (c) din Directiva (UE) 2015/849*2) pentru a înrola noi clienți de la distanță. Acesta stabilește, de asemenea, etapele pe care trebuie să le parcurgă instituțiile de credit și financiare atunci când se bazează pe terți în conformitate cu capitolul I secțiunea 4 din Directiva (UE) 2015/849, precum și politicile, controalele și procedurile pe care instituțiile de credit și financiare trebuie să le instituie în legătură cu precauția privind clientela, astfel cum se menționează la art. 8 alin. (3) și alin. (4) lit. (a) din Directiva (UE) 2015/849, în cazul în care măsurile de precauție privind clientela sunt aplicate de la distanță.*2) Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului. … 6.Autoritățile competente trebuie să țină seama de prezentul ghid atunci când evaluează caracterul adecvat și eficace al etapelor pe care instituțiile de credit și instituțiile financiare le parcurg pentru a se conforma obligațiilor care le revin în temeiul Directivei (UE) 2015/849 în contextul înrolării la distanță a clienților. … +
Destinatari7.Prezentul ghid se adresează autorităților competente, astfel cum sunt definite la art. 4 alin. (2) din Regulamentul (UE) nr. 1.093/2010. Prezentul ghid se adresează, de asemenea, operatorilor din sectorul financiar, astfel cum sunt definiți la art. 4 alin. (1a) din regulamentul respectiv, care sunt instituții de credit și financiare, astfel cum sunt definite la art. 3 pct. 1 și 2 din Directiva (UE) 2015/849. … +
Definiții8.Cu excepția cazului în care se prevede altfel, termenii utilizați și definiți în Directiva (UE) 2015/849 au același înțeles în cuprinsul ghidului. În plus, în sensul prezentului ghid, se aplică următoarele definiții:
| – date biometrice – |
date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a persoanei fizice respective, cum ar fi imaginile faciale sau datele dactiloscopice, care sunt obținute și prelucrate prin mijloace tehnice. |
… … III.Punerea în aplicare +
Data aplicăriiPrezentul ghid se aplică de la 2 octombrie 2023. … IV.Ghid privind utilizarea soluțiilor de înregistrare la distanță a clienților în temeiul art. 13 alin. (1) din Directiva (UE) 2015/849IV.1.Politici și proceduri interneIV.1.1.Politici și proceduri referitoare la înregistrarea la distanță a clienților9.Instituțiile de credit și financiare trebuie să instituie și să mențină politici și proceduri pentru a se conforma obligațiilor care le revin în temeiul art. 13 alin. (1) lit. (a) și (c) din Directiva (UE) 2015/849 în situațiile în care clientul este înregistrat de la distanță. Aceste politici și proceduri trebuie să fie stabilite în funcție de riscuri și să stabilească cel puțin următoarele: a)o descriere generală a soluției pe care o utilizează instituțiile de credit și financiare pentru a colecta, verifica și înregistra informații pe tot parcursul procesului de înregistrare la distanță a clienților. Aceasta trebuie să includă o explicație a elementelor și funcționării soluției; … b)situațiile în care poate fi utilizată soluția de înregistrare la distanță a clienților, ținând seama de factorii de risc identificați și evaluați în conformitate cu art. 8 alin. (1) din Directiva (UE) 2015/849 și în cadrul evaluării riscurilor la nivelul întregii întreprinderi, inclusiv descrierea categoriei de clienți, produse și servicii eligibile pentru înregistrare de la distanță; … c)etapele care sunt complet autonomizate și etapele care necesită intervenție umană; … d)controalele instituite pentru a se asigura că prima tranzacție cu un client nou înregistrat este executată numai după ce au fost aplicate toate măsurile inițiale de precauție privind clientela; … e)descrierea programelor de inițiere și de formare periodică pentru a asigura sensibilizarea personalului și informarea continuă și înțelegerea funcționării soluției de înregistrare la distanță a clienților, a riscurilor asociate, precum și a politicilor și procedurilor de înregistrare la distanță a clienților care vizează atenuarea acestor riscuri. … … 10.Atunci când sunt puse în aplicare, politicile și procedurile trebuie să permită instituțiilor de credit și financiare să asigure respectarea dispozițiilor din secțiunile IV.2-IV.7 din prezentul ghid. … … IV.1.2.Guvernanță11.Pe lângă dispozițiile prevăzute în secțiunea 4.2.4 din Ghidul ABE privind coordonatorul funcției de conformitate*3), coordonatorul funcției de conformitate în materie de combatere a spălării banilor și a finanțării terorismului*4) trebuie, ca parte a obligației sale generale de a elabora politici și proceduri pentru a se conforma cerințelor de precauție privind clientela, să se asigure că politicile și procedurile de înregistrare la distanță a clienților sunt puse în aplicare în mod eficace, revizuite periodic și modificate, dacă este necesar.*3) Proiect de ghid privind politicile și procedurile legate de gestionarea conformității și rolul și responsabilitățile coordonatorului funcției de conformitate în materie de combatere a spălării banilor și a finanțării terorismului în temeiul art. 8 și al cap. VI din directivă – art. 9 și art. 13 alin. (2^1) din Regulamentul ASF nr. 13/2019.*4) În conformitate cu criteriile de proporționalitate prevăzute în secțiunea 4.2.2 din Ghidul privind coordonatorul funcției de conformitate - art. 7^1 alin. (2) lit. b) și alin. (8) din Regulamentul ASF nr. 13/2019. … 12.Organul de conducere al instituției de credit și financiare trebuie să aprobe politicile și procedurile de înregistrare la distanță a clienților și să supravegheze punerea corectă în aplicare a acestora. … … IV.1.3.Evaluarea prealabilă punerii în aplicare a soluției de înregistrare la distanță a clienților13.Atunci când analizează dacă să adopte o nouă soluție de înregistrare la distanță a clienților, instituțiile de credit și financiare trebuie să efectueze o evaluare prealabilă punerii în aplicare a soluției de înregistrare la distanță a clienților. … 14.Instituțiile de credit și financiare trebuie să stabilească domeniul de aplicare, etapele și cerințele în materie de evidență a datelor pentru evaluarea prealabilă punerii în aplicare în politicile și procedurile lor, care trebuie să includă cel puțin următoarele elemente: a)evaluarea caracterului adecvat al soluției în ceea ce privește exhaustivitatea și acuratețea datelor și documentelor care trebuie colectate, precum și fiabilitatea și independența surselor de informații pe care le utilizează; … b)evaluarea impactului utilizării soluției de înregistrare la distanță a clienților asupra riscurilor la nivelul întregii sale activități, inclusiv asupra riscurilor de spălare a banilor și de finanțare a terorismului, a riscurilor operaționale, reputaționale și juridice; … c)identificarea unor posibile măsuri de atenuare și de remediere pentru fiecare risc identificat în evaluarea prevăzută la lit. b); … d)teste de evaluare a riscurilor de fraudă, inclusiv a riscurilor de fraudă prin uzurparea identității, și a altor riscuri legate de tehnologia informației și comunicațiilor („TIC“) și de securitate, în conformitate cu dispoziția de la pct. 43 din Ghidul ABE privind administrarea riscurilor TIC și de securitate*5);*5) EBA/GL/2019/04. … e)o testare de la un capăt la altul a funcționării soluției care vizează clientul (clienții), produsul (produsele) și serviciul (serviciile) identificat(e) în politicile și procedurile de înregistrare la distanță a clienților. … … 15*6).Instituțiile de credit și financiare trebuie să ia în considerare îndeplinirea criteriilor de la pct. 14 lit. (a), (d) și (e) în cazul în care soluția utilizează unul dintre următoarele elemente:*6) A se observa varianta Ghidului în limba engleză la adresa https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/ Guidelines/2022/EBA-GL-2022-15%20GL%20on%20remote%20customer%20onboarding/1043884/Guidelines%20on%20the%20use%20of%20Remote% 20Customer%20Onboarding%20Solutions.pdf.a)sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE și care îndeplinesc cerințele privind nivelurile de asigurare „substanțial“ sau „ridicat“, în conformitate cu art. 8 din regulamentul respectiv; … b)serviciile de încredere calificate relevante care îndeplinesc cerințele Regulamentului (UE) nr. 910/2014, în special cap. III secțiunea 3 și art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. … … 16.Instituțiile de credit și financiare trebuie să fie în măsură să demonstreze autorității lor competente care sunt evaluările pe care le-au efectuat prealabil punerii în aplicare a soluției de înregistrare la distanță a clienților, rezultatul evaluării lor și modul în care utilizarea acesteia este adecvată, având în vedere riscurile de spălare a banilor sau de finanțare a terorismului identificate pentru tipurile de client (clienți), serviciu (servicii), delimitări geografice și produs(e) inclus(e) în domeniul lor de aplicare. … 17.Instituțiile de credit și financiare trebuie să înceapă să utilizeze o soluție de înregistrare la distanță a clienților numai după ce se asigură că aceasta poate fi integrată în sistemul mai amplu de control intern al instituției, permițând astfel instituției să gestioneze în mod adecvat riscurile de spălare a banilor sau de finanțare a terorismului care pot apărea ca urmare a utilizării soluției de înregistrare la distanță a clienților. … … IV.1.4.Monitorizarea continuă a soluției de înregistrare la distanță a clienților18.Instituțiile de credit și financiare trebuie să monitorizeze în permanență soluția de înregistrare la distanță a clienților, pentru a se asigura că aceasta funcționează în conformitate cu așteptările instituțiilor de credit și financiare. Acestea trebuie să își completeze politicile și procedurile descrise la pct. 9 cu o descriere cel puțin a următoarelor elemente: a)măsurile pe care le vor lua pentru a se asigura de calitatea, exhaustivitatea, acuratețea și caracterul adecvat al datelor colectate în timpul procesului de înregistrare la distanță a clienților, care trebuie să fie proporționale cu riscurile de spălare a banilor sau de finanțare a terorismului la care este expusă instituția de credit și financiară; … b)domeniul de aplicare și frecvența unor astfel de revizuiri periodice; și … c)circumstanțele care vor declanșa revizuiri ad-hoc, care trebuie să includă cel puțin următoarele: (i)modificări ale expunerii la riscul de spălare a banilor sau de finanțare a terorismului al instituției de credit și financiare; … (ii)deficiențe privind funcționarea soluției detectate în cursul activităților de monitorizare, audit sau supraveghere; … (iii)o creștere percepută a tentativelor de fraudă; … (iv)modificări ale cadrului juridic sau de reglementare. … … … 19.Instituțiile de credit și financiare trebuie să prevadă în procedurile și procesele lor măsuri de remediere în cazul în care s-a materializat un risc sau în cazul în care au fost identificate erori care au un impact asupra eficienței și eficacității soluției generale de înregistrare la distanță a clienților. Aceste măsuri trebuie să cuprindă cel puțin următoarele: a)analiza tuturor relațiilor de afaceri afectate, pentru a evalua dacă instituțiile de credit și financiare au aplicat suficiente măsuri inițiale de precauție privind clientela pentru a se conforma cu cerințele art. 13 alin. (1) lit. (a), (b) și (c) din Directiva (UE) 2015/849. Instituțiile de credit și financiare trebuie să acorde prioritate relațiilor de afaceri care prezintă cel mai ridicat risc de spălare a banilor sau de finanțare a terorismului; … b)ținând cont de informațiile obținute în cadrul revizuirii menționate anterior, o evaluare pentru a stabili dacă o relație de afaceri afectată trebuie: (i)să facă obiectul unor măsuri suplimentare de precauție; … (ii)să facă obiectul unor limitări, cum ar fi limitarea volumului tranzacției, în cazul în care legislația națională permite acest lucru, până la efectuarea unei revizuiri; … (iii)să fie încetată; … (iv)să fie raportată către unitatea de informații financiare; … (v)să fie reclasificată în altă categorie de risc. … … … 20.Instituțiile de credit și financiare trebuie să ia în considerare cea mai eficace modalitate de a monitoriza adecvarea și fiabilitatea continuă a soluțiilor de înregistrare la distanță a clienților. Acestea trebuie să ia în considerare unul sau mai multe dintre următoarele mijloace, dar fără a se limita la acestea:a)testare pentru asigurarea calității; … b)alerte și notificări critice automatizate; … c)rapoarte periodice automate privind calitatea; … d)testare de eșantioane; … e)revizuiri manuale. … … 21.Această secțiune se aplică, de asemenea, în cazul în care sunt utilizate soluții complet automatizate de înregistrare la distanță a clienților, care depind în mare măsură de algoritmi automatizați, fără intervenție umană sau cu o intervenție umană redusă. … 22.Instituțiile de credit și financiare trebuie să fie în măsură să demonstreze autorității lor competente care sunt analizele pe care le-au efectuat și măsurile de remediere pe care le-au luat pentru a corecta deficiențele identificate pe parcursul duratei de viață a soluției de înregistrare la distanță a clienților. … … … IV.2.Obținerea de informațiiIV.2.1.Identificarea clientului 23.Pe lângă elementele prezentate la pct. 9, instituțiile de credit și financiare trebuie să prevadă în politicile și procedurile lor informațiile necesare pentru identificarea clientului, tipurile de documente, date sau informații pe care instituția le va utiliza pentru a verifica identitatea clientului și modul în care vor fi verificate aceste informații. … 24.Instituțiile de credit și financiare trebuie să se asigure că: a)informațiile obținute prin intermediul soluției de înregistrare la distanță a clienților sunt actualizate și adecvate pentru a respecta standardele juridice și de reglementare aplicabile pentru măsurile inițiale de precauție privind clientela; … b)toate imaginile, înregistrările video, înregistrările audio și datele sunt captate într-un format lizibil și de o calitate suficientă, astfel încât clientul să poată fi recunoscut fără echivoc; … c)procesul de identificare nu continuă dacă sunt detectate deficiențe tehnice sau întreruperi neașteptate ale conexiunii. … … 25.Instituțiile de credit sau financiare trebuie să considere că sunt îndeplinite criteriile de la pct. 24 în cazul în care soluția utilizează unul dintre următoarele elemente: a)sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 și care îndeplinesc cerințele privind nivelurile de asigurare „substanțial“ sau „ridicat“ în conformitate cu art. 8 din regulamentul respectiv; … b)serviciile de încredere calificate relevante care îndeplinesc cerințele Regulamentului (UE) nr. 910/2014, în special cap. III secțiunea 3 și art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. … … 26.Documentele și informațiile colectate în timpul procesului de identificare la distanță, care trebuie păstrate în conformitate cu art. 40 alin. (1) lit. (a) din Directiva (UE) 2015/849, trebuie să fie datate și stocate în siguranță de către instituția de credit și financiară. Conținutul înregistrărilor stocate, inclusiv imaginile, înregistrările video, înregistrările audio și datele, trebuie să fie disponibil într-un format lizibil și să permită verificări ex post. … … IV.2.2.Identificarea persoanelor fizice 27.Instituțiile de credit și financiare trebuie să stabilească în politicile lor, astfel cum se prevede la pct. 9, informațiile pe care trebuie să le obțină pentru a identifica clienții de la distanță, în conformitate cu art. 13 alin. (1) lit. (a) și (c) din Directiva (UE) 2015/849. În plus, instituțiile de credit și financiare trebuie să definească ce informații: a)sunt introduse manual de către client; … b)sunt preluate automat din documentația furnizată de client; … c)sunt colectate din alte surse interne sau externe. … … 28.Instituțiile de credit și financiare trebuie să instituie și să mențină mecanisme adecvate pentru a se asigura că informațiile pe care le colectează automat în conformitate cu pct. 27 sunt fiabile. Acestea trebuie să aplice controale pentru a aborda riscurile asociate, inclusiv riscurile asociate captării automate a datelor, cum ar fi ascunderea locației adreselor de Protocol Internet (IP) deghizate corespunzătoare dispozitivului clientului sau serviciile de tipul rețelelor virtuale private (VPN-uri). … … IV.2.3.Identificarea persoanelor juridice 29.În cazul în care integrează la distanță clienți care sunt persoane juridice, instituțiile de credit și financiare trebuie să definească în politicile și procedurile lor, astfel cum se prevede la pct. 9, categoria de persoane juridice pe care o vor înregistra de la distanță, ținând cont de nivelul de risc de spălare a banilor sau de finanțare a terorismului asociat fiecărei categorii și de nivelul de intervenție umană necesar pentru validarea informațiilor de identificare. … 30.Instituțiile de credit și financiare trebuie să se asigure că soluția de înregistrare la distanță a clienților are elemente pentru a colecta: a)toate datele și documentele relevante pentru identificarea și verificarea persoanei juridice; … b)toate datele și documentele relevante pentru a verifica dacă persoana fizică care acționează în numele persoanei juridice are dreptul legal de a acționa astfel; … c)informațiile privind beneficiarii reali în conformitate cu dispoziția de la pct. 4.12 din Ghidul ABE privind factorii de risc*7).*7) EBA/GL/2021/02. … … 31.Pentru persoana fizică care acționează în numele unei persoane juridice, instituțiile de credit și financiare trebuie să aplice procesul de identificare descris în secțiunea IV.2.2. … … IV.2.4.Natura și scopul relației de afaceri 32.Atunci când instituțiile de credit și financiare evaluează și, după caz, obțin informații privind scopul și natura dorită a relației de afaceri în conformitate cu art. 13 alin. (1) lit. (c) din Directiva (UE) 2015/849, astfel cum se precizează în secțiunea 4.38 din Ghidul ABE privind factorii de risc, acestea trebuie, în sensul prezentului ghid, să fi finalizat acțiunile respective înainte de încheierea procesului de înregistrare la distanță a clienților. … … … IV.3.Autenticitatea și integritatea documentelor 33.În cazul în care acceptă reproduceri ale unui document original și nu examinează documentul original, instituțiile de credit și financiare trebuie să ia măsuri pentru a se asigura că reproducerea este fiabilă. Instituțiile de credit și financiare trebuie să stabilească cel puțin următoarele: a)dacă reproducerea include elemente de securitate încorporate în documentul original și dacă specificațiile documentului original care sunt reproduse sunt valabile și acceptabile, în special tipul, dimensiunea caracterelor și structura documentului, prin compararea acestora cu bazele de date oficiale, cum ar fi PRADO*8);*8) https://www.consilium.europa.eu/prado/en/prado-start-page.html. … b)dacă datele cu caracter personal au fost schimbate sau modificate în alt mod sau, după caz, dacă imaginea clientului inclusă în document nu a fost înlocuită; … c)dacă se menține integritatea algoritmului utilizat pentru a genera numărul unic de identificare al documentului original, în cazul în care documentul oficial a fost eliberat cu o zonă de citire optică (machine-readable zone – MRZ); … d)dacă reproducerea furnizată este de o calitate și o rezoluție suficiente pentru a se asigura că informațiile relevante sunt lipsite de ambiguitate; … e)că reproducerea furnizată nu a fost afișată pe un ecran pe baza unei fotografii sau a unei scanări a documentului de identitate original. … … 34.În cazul în care instituțiile de credit și financiare utilizează elemente pentru a citi automat informații din documente, cum ar fi algoritmii de recunoaștere optică a caracterelor (OCR) sau verificările zonei de citire optică (MRZ), acestea trebuie să ia măsurile necesare pentru a se asigura că instrumentele respective captează informațiile într-un mod exact și consecvent. … 35.În situațiile în care dispozitivul utilizat de clienți pentru a-și dovedi identitatea permite colectarea de date relevante, de exemplu, deoarece datele sunt conținute în cipul unei cărți naționale de identitate, și este fezabil din punct de vedere tehnic ca instituțiile de credit și financiare să aibă acces la aceste date, instituțiile de credit și financiare trebuie să aibă în vedere utilizarea acestor informații pentru a verifica concordanța lor cu informațiile obținute din alte surse, cum ar fi datele transmise sau alte documente prezentate de client. … 36.În cazul în care sunt disponibile, în cursul procesului de verificare, instituțiile de credit și financiare trebuie să verifice elementele de securitate încorporate în documentele oficiale, dacă este cazul, cum ar fi hologramele, ca dovadă a autenticității lor. … 37.Instituțiile de credit și financiare trebuie să stabilească în politicile și procedurile lor modul în care își vor adapta cererile de documentație în scopul incluziunii financiare. În cazul în care, în consecință, se acceptă forme de documentație mai slabe sau netradiționale, instituțiile de credit și financiare trebuie să efectueze, pe lângă măsurile prevăzute la pct. 4.10 din Ghidul ABE privind factorii de risc, controale sau intervenții umane sporite pentru a se asigura că înțeleg riscul de spălare a banilor sau de finanțare a terorismului asociat relației de afaceri. … … IV.4.Corelarea identității clienților în cadrul procesului de verificare 38.Soluțiile de înregistrare la distanță a clienților puse în aplicare de o instituție de credit și financiară trebuie, ca cerință minimă, să permită următoarele elemente, ca parte a procesului lor de verificare: a)există o concordanță între informațiile vizibile ale persoanei fizice și documentația furnizată; … b)în cazul în care clientul este o persoană juridică, aceasta este înregistrată public, după caz; … c)în cazul în care clientul este o persoană juridică, persoana fizică ce îl reprezintă are dreptul de a acționa în numele său. … … 39.În cazul în care soluția de înregistrare la distanță a clienților implică utilizarea de date biometrice pentru a verifica identitatea clientului, instituțiile de credit și financiare trebuie să se asigure că datele biometrice sunt suficient de particulare pentru a fi legate fără echivoc de o singură persoană fizică. Instituțiile de credit și financiare trebuie să utilizeze algoritmi puternici și fiabili pentru a verifica concordanța dintre datele biometrice furnizate în documentul de identitate prezentat și clientul care este înregistrat. În situațiile în care soluția nu oferă nivelul necesar de încredere, trebuie aplicate controale suplimentare. … 40.În situațiile în care dovezile furnizate sunt de o calitate insuficientă, conducând la ambiguitate sau incertitudine, astfel încât este afectată efectuarea controalelor la distanță, procesul individual de înregistrare la distanță a clienților trebuie întrerupt și reinițiat sau redirecționat către o verificare față în față. … 41.În cazul în care instituțiile de credit și financiare utilizează soluții de înregistrare la distanță neasistate, în care clientul nu interacționează cu un angajat pentru a efectua procesul de verificare, acestea trebuie: a)să se asigure că orice fotografie (fotografii) sau înregistrare video este realizată (sunt realizate) în condiții de iluminare adecvate și că proprietățile necesare sunt captate cu claritatea necesară pentru a permite verificarea corespunzătoare a identității clientului; … b)să se asigure că orice fotografie (fotografii) sau înregistrare video este realizată (sunt realizate) în momentul în care clientul efectuează procesul de verificare; … c)să efectueze verificări de detectare a mișcării clientului, care pot include proceduri în cadrul cărora este necesară o acțiune specifică din partea clientului pentru a verifica dacă acesta este prezent la sesiunea de comunicare sau care se pot baza pe analiza datelor primite și nu necesită o acțiune specifică din partea clientului; … d)să utilizeze algoritmi puternici și fiabili pentru a verifica dacă fotografia (fotografiile) sau înregistrarea video realizată (realizate) corespunde (corespund) fotografiei (fotografiilor) extrase din documentul (documentele) oficial(e) aparținând clientului. … … 42.În cazul în care instituțiile de credit și financiare utilizează soluții de înregistrare la distanță a clienților care beneficiază de asistență, în cadrul cărora clientul interacționează cu un angajat pentru a efectua procesul de verificare, acestea trebuie: a)să se asigure că imaginea și materialul audio sunt de o calitate suficientă pentru a permite verificarea corespunzătoare a identității clientului și că sunt utilizate sisteme tehnologice fiabile; … b)să prevadă participarea unui angajat care are suficiente cunoștințe despre reglementările aplicabile în materie de combatere a spălării banilor și a finanțării terorismului și despre aspectele de securitate ale verificării la distanță și care este suficient de instruit pentru a anticipa și a preveni utilizarea intenționată sau deliberată a tehnicilor de înșelăciune legate de verificarea la distanță, precum și pentru a detecta și a reacționa în cazul apariției acestora; … c)să elaboreze un ghid de interviu care să definească etapele ulterioare ale procesului de verificare la distanță, precum și acțiunile necesare din partea angajatului. Ghidul interviului trebuie să includă orientări privind observarea și identificarea factorilor psihologici sau a altor caracteristici care ar putea caracteriza comportamentul suspect în timpul verificării la distanță. … … 43.Atunci când este posibil, instituțiile de credit și financiare trebuie să utilizeze soluții de înregistrare la distanță a clienților care să includă elemente aleatorii în seria de acțiuni care trebuie întreprinse de client în scopul verificării, pentru a preveni riscuri precum utilizarea de identități false sau constrângerea. Atunci când este posibil, instituțiile de credit și financiare trebuie să desemneze, de asemenea, sarcini aleatorii angajatului responsabil de procesul de verificare la distanță, pentru a evita coluziunea dintre client și angajatul responsabil. … 44.În plus față de acțiunile menționate anterior și atunci când acest lucru este proporțional cu riscul de spălare a banilor sau de finanțare a terorismului asociat relației de afaceri, instituțiile de credit și financiare trebuie să utilizeze unul sau mai multe dintre următoarele controale sau o măsură similară pentru a spori fiabilitatea procesului de verificare. Aceste controale sau măsuri pot include următoarele, fără a se limita la acestea: a)efectuarea primei plăți într-un cont de plăți deținut în nume unic sau comun de către client într-o instituție de credit sau financiară reglementată din Spațiul Economic European sau dintr-o țară terță în care există cerințe de combatere a spălării banilor sau a finanțării terorismului nu mai puțin ferme decât cele prevăzute în Directiva (UE) 2015/849; … b)trimiterea către client a unui cod de acces generat aleatoriu pentru a confirma prezența acestuia în timpul procesului de verificare la distanță. Codul de acces trebuie să fie un cod de unică folosință și pentru o perioadă limitată de timp; … c)colectarea de date biometrice pentru a le compara cu datele colectate din alte surse independente și fiabile; … d)contacte telefonice cu clientul; … e)corespondență directă (atât electronică, cât și poștală) către client. … … 45*9).Instituțiile de credit și financiare trebuie să ia în considerare îndeplinirea criteriilor de la pct. 38-43 în cazul în care soluția utilizează unul dintre următoarele elemente:*9) A se observa varianta Ghidului în limba engleză la adresa https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/ Guidelines/2022/EBA-GL-2022-15%20GL%20on%20remote%20customer%20onboarding/1043884/Guidelines%20on%20the%20use%20of%20Remote% 20Customer%20Onboarding%20Solutions.pdf.a)sistemele de identificare electronică notificate în conformitate cu art. 9 din Regulamentul (UE) nr. 910/2014 și care îndeplinesc cerințele privind nivelurile de asigurare „substanțial“ sau „ridicat“ în conformitate cu art. 8 din regulamentul respectiv; … b)serviciile de încredere calificate relevante care îndeplinesc cerințele Regulamentului (UE) nr. 910/2014, în special cap. III secțiunea 3 și art. 24 alin. (1) al doilea paragraf lit. (b) din regulamentul respectiv. … … … IV.5.Dependența de terți și externalizarea46.Pe lângă elementele prezentate la pct. 9, instituțiile de credit și financiare trebuie să includă în politicile și procedurile lor specificații care să stabilească funcțiile și activitățile de înregistrare la distanță a clienților care vor fi efectuate sau desfășurate de instituția de credit și financiară, de terți sau de alt furnizor de servicii externalizate. … IV.5.1.Recurgerea la furnizori terți în conformitate cu cap. II secțiunea 4 din Directiva (UE) 2015/84947.Pe lângă Ghidul ABE privind factorii de risc*10), în special orientările 2.20-2.21 și 4.32-4.37 din ghidul respectiv, acestea trebuie să aplice următoarele criterii:*10) EBA/GL/2021/02.a)să ia măsurile necesare pentru a se asigura că propriile măsuri de precauție privind clientela ale terțului referitoare la procese și proceduri de înregistrare la distanță a clienților, precum și informațiile și datele pe care le colectează în acest context sunt suficiente și conforme cu cerințele prevăzute în prezentul ghid; … b)să asigure continuitatea relațiilor de afaceri stabilite între client și instituția de credit și financiară pentru a preveni evenimentele care ar putea evidenția deficiențe ale procesului de înregistrare la distanță a clienților desfășurat de terț. … … … IV.5.2.Externalizarea măsurilor de precauție privind clienții48.În cazul în care instituțiile de credit și financiare externalizează integral sau parțial procesul de înregistrare la distanță a clienților către un furnizor de servicii externalizate, astfel cum se menționează la art. 29 din Directiva (UE) 2015/849, instituțiile de credit și financiare trebuie să aplice, pe lângă orientările 2.20-2.21 și 4.32-4.37 din Ghidul ABE privind factorii de risc și, după caz, pe lângă Ghidul ABE privind externalizarea*11), înaintea și în timpul relației de afaceri cu furnizorul de servicii externalizate, următoarele măsuri, a căror amploare trebuie ajustată în funcție de risc:*11) Ghidul ABE privind externalizarea.docx (europa.eu).a)să se asigure că furnizorul de servicii externalizate pune în aplicare în mod eficace și respectă politicile și procedurile de înregistrare la distanță a clienților ale instituției de credit și financiare în conformitate cu acordul de externalizare. Acest lucru trebuie realizat prin raportare periodică, monitorizare continuă, vizite la fața locului sau teste prin eșantionare; … b)să efectueze evaluări pentru a se asigura că furnizorul de servicii externalizate este suficient de echipat și capabil să efectueze procesul de înregistrare la distanță a clienților. Evaluările pot include, dar nu se limitează la evaluarea formării personalului, a adecvării tehnologice și a guvernanței datelor la furnizorul de servicii externalizate; … c)să se asigure că furnizorul de servicii externalizate informează instituțiile de credit și financiare cu privire la orice propunere de modificare a procesului de înregistrare la distanță a clienților sau cu privire la orice modificare adusă soluției furnizate de furnizorul de servicii externalizate. … … 49.În cazul în care furnizorul de servicii externalizate stochează date ale clienților, inclusiv, dar fără a se limita la fotografii, materiale video și documente, în timpul procesului de înregistrare la distanță, instituțiile de credit și financiare trebuie să se asigure că: a)numai datele necesare ale clientului sunt colectate și stocate în conformitate cu o perioadă de păstrare clar definită; … b)accesul la date este strict limitat și înregistrat; … c)sunt puse în aplicare măsuri de securitate adecvate pentru a asigura protecția datelor stocate. … … … … IV.6.Gestionarea riscurilor TIC și de securitate50.Instituțiile de credit și financiare trebuie să își identifice și să își gestioneze riscurile TIC și de securitate legate de utilizarea procesului de înregistrare la distanță a clienților, inclusiv în cazul în care instituțiile de credit și financiare se bazează pe terți sau în cazul în care serviciul este externalizat, inclusiv către entitățile din grup. … 51.Pe lângă respectarea cerințelor prevăzute în Ghidul ABE privind gestionarea riscurilor TIC și de securitate*12), după caz, instituțiile de credit și financiare trebuie să utilizeze canale de comunicare securizate pentru a interacționa cu clientul în timpul procesului de înregistrare la distanță a clienților. Soluția de înregistrare la distanță a clienților trebuie să utilizeze protocoale securizate și algoritmi criptografici în conformitate cu cele mai bune practici din sector pentru a proteja confidențialitatea, autenticitatea și integritatea datelor care fac obiectul schimbului, după caz.*12) EBA/GL/2019/04. … 52.Instituțiile de credit și financiare trebuie să ofere un punct de acces securizat pentru începerea procesului de înregistrare la distanță a clienților pe baza certificatelor calificate pentru sigiliile electronice, astfel cum se menționează la art. 3 pct. 30 din Regulamentul (UE) nr. 910/2014 sau pentru autentificarea unui site internet, astfel cum se menționează la art. 3 pct. 39 din regulamentul respectiv. De asemenea, clientul trebuie să fie informat cu privire la măsurile de securitate aplicabile care trebuie luate pentru a garanta utilizarea securizată a sistemului. … 53.În cazul în care se utilizează un dispozitiv multifuncțional pentru a efectua procesul de înregistrare la distanță a clienților, trebuie să se utilizeze un mediu securizat pentru executarea codului software pe partea clientului, după caz. Trebuie puse în aplicare măsuri de securitate suplimentare pentru a asigura securitatea și încrederea codului software și a datelor colectate, în conformitate cu evaluarea riscurilor de securitate, astfel cum se prevede în Ghidul ABE privind gestionarea riscurilor TIC și de securitate. … … IV.7.Respectarea prezentului ghid în cazul în care instituțiile de credit și financiare utilizează servicii de încredere și procese naționale de identificare, astfel cum se menționează la art. 13 alin. (1) lit. (a) din Directiva (UE) 2015/84954.Instituțiile de credit și financiare pot utiliza serviciile de încredere relevante și procesele de identificare electronică reglementate, recunoscute, aprobate sau acceptate de autoritățile naționale relevante, astfel cum se menționează la art. 13 alin. (1) lit. (a) din Directiva (UE) 2015/849, pentru a se conforma prezentului ghid. Atunci când utilizează astfel de soluții, instituțiile de credit și financiare trebuie să evalueze în ce măsură soluția respectă dispozițiile prezentului ghid și să aplice măsurile necesare pentru a atenua riscurile relevante care decurg din utilizarea soluțiilor respective. Acestea trebuie să ia în considerare, în special, dacă sunt abordate următoarele riscuri: a)riscurile pe care le implică autentificarea și care sunt prevăzute în politicile și procedurile lor specifice măsurilor de atenuare, în special în ceea ce privește riscurile de fraudă prin uzurparea identității; … b)riscul ca identitatea clientului să nu fie identitatea pretinsă; … c)riscul de pierdere, furt, suspendare, revocare sau expirare a dovezilor de identitate, inclusiv, după caz, instrumentele de detectare și prevenire a utilizării fraudelor de identitate. … … … … ->
