Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetExists($offset) should either be compatible with ArrayAccess::offsetExists(mixed $offset): bool, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 68 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetGet($offset) should either be compatible with ArrayAccess::offsetGet(mixed $offset): mixed, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 75 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetSet($offset, $value) should either be compatible with ArrayAccess::offsetSet(mixed $offset, mixed $value): void, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 82 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::offsetUnset($offset) should either be compatible with ArrayAccess::offsetUnset(mixed $offset): void, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 89 Deprecated: Return type of BuddyBossPlatform\Alchemy\BinaryDriver\Configuration::getIterator() should either be compatible with IteratorAggregate::getIterator(): Traversable, or the #[\ReturnTypeWillChange] attribute should be used to temporarily suppress the notice in /home/lexro/public_html/devstage/wp-content/plugins/buddyboss-platform/vendor/alchemy/binary-driver/src/Alchemy/BinaryDriver/Configuration.php on line 23 Warning: Undefined array key "/home/lexro/public_html/wp-content/plugins/wpdiscuz/themes/default" in /home/lexro/public_html/devstage/wp-content/plugins/wpdiscuz/utils/class.WpdiscuzHelper.php on line 458 Warning: Trying to access array offset on value of type null in /home/lexro/public_html/devstage/wp-content/plugins/wpdiscuz/utils/class.WpdiscuzHelper.php on line 458

CELEX:32025R0303: Regulamentul delegat (UE) 2025/303 al Comisiei din 31 octombrie 2024 de completare a Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează informațiile care trebuie incluse de anumite entități financiare în notificarea cu privire la intenția lor de a furniza servicii de criptoactive

redactia-lex24
Redacția Lex24 16/03/2025
0 comentarii
Redacția Lex24
Publicat in Repertoriu EUR-Lex, 16/03/2025

Vă rugăm să vă conectați la marcaj Închide

Jurnalul Ofícial al Uniunii EuropeneROSeria L2025/30320.2.2025REGULAMENTUL DELEGAT (UE) 2025/303 AL COMISIEI din 31 octombrie 2024 de completare a Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează informațiile care trebuie incluse...

Informatii

Data documentului: 31/10/2024; data publicării
Data intrării în vigoare: 12/03/2025; intrare în vigoare data publicării +20 a se vedea articolul 12
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Stabilitate Financiară, Servicii Financiare și Uniunea Piețelor de Capital
Formă: Repertoriu EUR-Lex
European flag

Jurnalul Ofícial
al Uniunii Europene

RO

Seria L

2025/303

20.2.2025

REGULAMENTUL DELEGAT (UE) 2025/303 AL COMISIEI

din 31 octombrie 2024

de completare a Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează informațiile care trebuie incluse de anumite entități financiare în notificarea cu privire la intenția lor de a furniza servicii de criptoactive

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului din 31 mai 2023 privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (1), în special articolul 60 alineatul (13) al treilea paragraf,

întrucât:

(1)

Pentru a permite autorităților competente să evalueze dacă anumite entități financiare care intenționează să furnizeze servicii de criptoactive îndeplinesc cerințele aplicabile prevăzute în titlul V și, după caz, în titlul VI din Regulamentul (UE) 2023/1114, informațiile care trebuie notificate de anumite entități financiare cu privire la intenția lor de a furniza servicii de criptoactive ar trebui să fie suficient de detaliate și de cuprinzătoare, fără a impune o sarcină nejustificată.

(2)

În conformitate cu articolul 60 alineatul (7) litera (a) din Regulamentul (UE) 2023/1114, o notificare a intenției de a furniza servicii de criptoactive trebuie să conțină un program de activitate. Pentru a oferi o imagine completă a activității pe care entitatea notificatoare intenționează să o desfășoare, programul de activitate ar trebui să cuprindă o descriere a structurii organizatorice a entității notificatoare, a strategiei acesteia de furnizare a serviciilor de criptoactive clienților vizați și a capacității sale operaționale pentru o perioadă de trei ani de la data notificării. În ceea ce privește strategia utilizată pentru a atrage clienți, entitatea notificatoare ar trebui să descrie modalitățile de marketing pe care intenționează să le utilizeze, cum ar fi site-urile web, aplicațiile de telefonie mobilă, reuniunile față în față, comunicatele de presă sau orice formă de mijloace fizice sau electronice, inclusiv instrumente de campanie pe platformele de comunicare socială, reclame sau bannere web, redirecționarea publicității, acorduri cu influențatori, acorduri de sponsorizare, apeluri, seminare online, invitații la evenimente, campanii de afiliere, tehnici de gamificare, invitații de a completa un formular de răspuns sau de a urma un curs de formare, conturi demonstrative sau materiale educaționale.

(3)

Pentru a permite autorităților competente să evalueze reziliența entității notificatoare la șocuri financiare externe, inclusiv la cele legate de valoarea criptoactivelor, entitatea notificatoare ar trebui să includă în notificare scenarii de criză care să simuleze evenimente grave, însă plauzibile, în planul său contabil previzional.

(4)

Pentru a evita întreruperea activității, deoarece aceasta poate avea consecințe financiare, de reglementare și reputaționale majore pentru entitatea notificatoare și, cu caracter mai general, pentru piețele criptoactivelor per ansamblu, este esențial să se mențină desfășurarea activității sau cel puțin funcțiile esențiale ale furnizorilor de servicii de criptoactive și să se reducă la minimum perioadele de indisponibilitate din cauza perturbărilor neprevăzute, inclusiv a atacurilor cibernetice și a dezastrelor naturale. Prin urmare, o notificare ar trebui să conțină informații detaliate privind măsurile luate de entitatea notificatoare pentru a asigura continuitatea și regularitatea furnizării de servicii de criptoactive, inclusiv o descriere detaliată a riscurilor și a planurilor sale de continuitate a activității.

(5)

Sunt necesare mecanisme, sisteme și proceduri eficace, care să respecte Directiva (UE) 2015/849 a Parlamentului European și a Consiliului (2), pentru a se asigura că entitățile notificatoare abordează în mod corespunzător riscurile și practicile de spălare a banilor și de finanțare a terorismului în furnizarea de servicii de criptoactive. Astfel, entitățile notificatoare ar trebui să furnizeze în notificarea lor informații detaliate cu privire la mecanismele, sistemele și procedurile instituite de acestea pentru a preveni riscurile asociate activităților lor comerciale în ceea ce privește, printre altele, combaterea spălării banilor și a finanțării terorismului.

(6)

Având în vedere caracterul descentralizat și digital al criptoactivelor, riscurile în materie de securitate cibernetică pentru furnizorii de servicii de criptoactive sunt semnificative și iau multe forme. Pentru a se asigura că entitatea notificatoare este în măsură să prevină încălcările securității datelor și pierderile financiare care ar putea fi cauzate de atacuri cibernetice, informațiile privind sistemele TIC implementate de entitatea notificatoare și măsurile de securitate conexe, cum ar fi identitatea și localizarea geografică a furnizorilor, descrierea activităților externalizate sau a serviciilor TIC cu principalele caracteristici ale acestora, copia acordurilor contractuale, astfel cum se menționează la articolul 60 alineatul (7) litera (c) din Regulamentul (UE) 2023/1114, ar trebui să includă resursele umane alocate abordării riscurilor în materie de securitate cibernetică.

(7)

Separarea criptoactivelor și a fondurilor clienților îi protejează pe clienți împotriva pierderilor furnizorului de servicii de criptoactive și a utilizării abuzive a criptoactivelor și a fondurilor lor. Prin urmare, articolul 70 din Regulamentul (UE) 2023/1114 impune furnizorilor de servicii de criptoactive să asigure mecanismele adecvate pentru a proteja drepturile de proprietate ale clienților. Această cerință se aplică și furnizorilor de servicii de criptoactive care nu furnizează servicii de asigurare a custodiei și a administrării.

(8)

Pentru a permite autorităților competente să evalueze adecvarea normelor de funcționare ale entității notificatoare în ceea ce privește platformele de tranzacționare pentru criptoactive ale acesteia, entitatea notificatoare ar trebui să detalieze elemente specifice în descrierea normelor respective. În special, în ceea ce privește normele de funcționare, entitatea notificatoare ar trebui să detalieze aspecte referitoare la admiterea la tranzacționare, la tranzacționare și la decontarea criptoactivelor. În ceea ce privește admiterea la tranzacționare a criptoactivelor, entitățile notificatoare ar trebui să furnizeze informații detaliate cu privire la modul în care criptoactivele admise respectă normele entității notificatoare, cu privire la tipurile de criptoactive pe care entitatea notificatoare nu le va admite la tranzacționare pe platforma sa de tranzacționare și motivele unor astfel de excluderi, precum și cu privire la comisioanele pentru admiterea la tranzacționare. În ceea ce privește tranzacționarea criptoactivelor, entitatea notificatoare ar trebui să specifice elementele din cadrul normelor de funcționare care reglementează executarea și anularea ordinelor, tranzacționarea ordonată, transparența și ținerea evidențelor. În sfârșit, entitatea notificatoare ar trebui să includă în descrierea normelor de funcționare elementele care reglementează decontarea tranzacțiilor cu criptoactive pe platforma de tranzacționare, inclusiv dacă decontarea este inițiată prin intermediul tehnologiei registrelor distribuite (DLT), intervalul în care este inițiată executarea, definirea momentului în care decontarea este finală, toate verificările necesare pentru a asigura decontarea efectivă a tranzacției și orice măsură de limitare a cazurilor de neexecutare a decontării.

(9)

Pentru a permite autorităților competente să evalueze adecvarea entității notificatoare în ceea ce privește furnizarea anumitor servicii de criptoactive, cum ar fi schimbul de criptoactive contra unor fonduri sau contra altor criptoactive, executarea, oferirea de consultanță cu privire la criptoactive sau asigurarea administrării de portofolii de criptoactive și serviciile de transfer, entitatea notificatoare ar trebui să specifice detaliile modului în care vor fi furnizate aceste servicii de criptoactive, precum și măsurile instituite pentru a se asigura că entitatea notificatoare respectă dispozițiile relevante din Regulamentul (UE) 2023/1114 în ceea ce privește furnizarea serviciilor de criptoactive respective.

(10)

Orice prelucrare a datelor cu caracter personal în temeiul prezentului regulament respectă cerințele Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (3).

(11)

Prezentul regulament se bazează pe proiectele de standarde tehnice de reglementare transmise Comisiei de Autoritatea Europeană pentru Valori Mobiliare și Piețe (ESMA) și concepute în strânsă colaborare cu Autoritatea Bancară Europeană.

(12)

ESMA a efectuat consultări publice deschise cu privire la proiectele de standarde tehnice de reglementare pe care se bazează prezentul regulament, a analizat costurile și beneficiile potențiale aferente și a solicitat avizul Grupului părților interesate din domeniul valorilor mobiliare și piețelor, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (4).

(13)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (5) și a prezentat observații formale la 21 iunie 2024,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Programul de activitate

(1)   În sensul articolului 60 alineatul (7) litera (a) din Regulamentul (UE) 2023/1114, entitatea notificatoare furnizează autorității competente programul de activitate pe o perioadă de trei ani de la data notificării, inclusiv următoarele informații:

(a)

în cazul în care entitatea notificatoare aparține unui grup, astfel cum este definit la articolul 2 punctul 11 din Directiva 2013/34/UE a Parlamentului European și a Consiliului (6), o explicație a modului în care activitățile entitățile notificatoare se încadrează în strategia grupului respectiv și interacționează cu activitățile celorlalte entități ale grupului respectiv, inclusiv o prezentare generală a organizării și structurii actuale și planificate a grupului respectiv;

(b)

o explicație a modului în care se preconizează că activitățile entităților afiliate entității notificatoare, inclusiv în cazul în care există entități reglementate în grup, vor avea un impact asupra activităților entității notificatoare, inclusiv o listă a entităților afiliate entității notificatoare și informații cu privire la acestea, și, în cazul în care există entități reglementate, serviciile furnizate de aceste entități și numele de domenii ale fiecărui site web operat de entitățile respective;

(c)

o listă a serviciilor de criptoactive pe care entitatea notificatoare intenționează să le furnizeze și tipurile de criptoactive la care se vor referi serviciile de criptoactive;

(d)

alte activități planificate, reglementate în conformitate cu dreptul Uniunii sau cu dreptul intern sau nereglementate, inclusiv orice alte servicii decât serviciile de criptoactive, pe care entitatea notificatoare intenționează să le furnizeze;

(e)

dacă entitatea notificatoare intenționează să ofere criptoactive publicului sau solicită admiterea la tranzacționare a criptoactivelor și, în caz afirmativ, tipul de criptoactive;

(f)

o listă a jurisdicțiilor, atât din Uniune, cât și din țări terțe, în care entitatea notificatoare intenționează să furnizeze servicii de criptoactive, inclusiv informații privind numărul vizat de clienți în funcție de zona geografică;

(g)

tipurile de clienți potențiali vizați de serviciile de criptoactive ale entității notificatoare;

(h)

o descriere a mijloacelor de acces ale clienților la serviciile de criptoactive ale entității notificatoare, inclusiv toate elementele următoare:

(i)

numele de domenii pentru fiecare site web sau altă aplicație bazată pe TIC prin intermediul căreia vor fi furnizate serviciile de criptoactive de către entitatea notificatoare și informații privind limbile în care va fi disponibil site-ul web sau altă aplicație bazată pe TIC, tipurile de servicii de criptoactive care vor fi accesate prin intermediul site-ului web respectiv sau al altei aplicații bazate pe TIC și, după caz, statele membre din care va fi accesibil site-ul web sau altă aplicație bazată pe TIC;

(ii)

denumirea oricărei aplicații bazate pe TIC aflate la dispoziția clienților pentru a accesa serviciile de criptoactive, limbile în care este disponibilă respectiva aplicație bazată pe TIC și serviciile de criptoactive care pot fi accesate prin intermediul aplicației respective bazate pe TIC;

(i)

activitățile și modalitățile de marketing și de promovare planificate pentru serviciile de criptoactive, inclusiv următoarele:

(i)

toate mijloacele de marketing care urmează să fie utilizate pentru fiecare serviciu;

(ii)

mijloacele preconizate de identificare a entității notificatoare;

(iii)

informații privind categoria relevantă de clienți vizați;

(iv)

tipurile de criptoactive;

(v)

limbile care vor fi utilizate pentru activitățile de marketing și de promovare;

(j)

o descriere detaliată a resurselor umane, financiare și TIC alocate serviciilor de criptoactive avute în vedere, precum și localizarea lor geografică;

(k)

politica de externalizare a entității notificatoare și modul în care aceasta a fost adaptată la serviciile de criptoactive, precum și o descriere detaliată a acordurilor de externalizare planificate ale entității notificatoare, inclusiv a acordurilor intragrup, precum și a modului în care entitatea notificatoare va respecta articolul 73 din Regulamentul (UE) 2023/1114, inclusiv informații cu privire la funcția sau persoana responsabilă cu externalizarea, resursele umane și TIC alocate controlului funcțiilor, serviciilor sau activităților externalizate aferente acordurilor conexe, precum și cu privire la evaluarea riscurilor legate de externalizare;

(l)

lista entităților care vor furniza servicii externalizate de criptoactive, localizarea lor geografică și serviciile externalizate relevante;

(m)

un plan contabil previzional care să includă scenarii de criză la nivel individual și, după caz, pe bază consolidată la nivelul grupului și pe bază subconsolidată în conformitate cu Directiva 2013/34/UE, luând în considerare orice împrumuturi intragrup acordate sau care urmează să fie acordate entității notificatoare și de către aceasta;

(n)

orice schimb de criptoactive contra unor fonduri și alte activități legate de criptoactive pe care entitatea notificatoare intenționează să le efectueze, inclusiv prin orice aplicație de servicii de open finance cu care entitatea notificatoare intenționează să interacționeze în nume propriu.

(2)   În cazul în care entitatea notificatoare intenționează să furnizeze serviciul de primire și transmitere a ordinelor aferente criptoactivelor în numele clienților, aceasta furnizează autorității competente o copie a procedurilor și o descriere a mecanismelor care asigură respectarea articolului 80 din Regulamentul (UE) 2023/1114.

(3)   În cazul în care entitatea notificatoare intenționează să furnizeze serviciul de plasare a criptoactivelor, aceasta furnizează autorității competente o copie a procedurilor pentru identificarea, prevenirea, monitorizarea și divulgarea conflictelor de interese și o descriere a mecanismelor instituite pentru respectarea articolului 79 din Regulamentul (UE) 2023/1114 și a Regulamentului delegat al Comisiei de stabilire a standardelor tehnice adoptate în temeiul articolului 72 alineatul (5) din Regulamentul (UE) 2023/1114.

Articolul 2

Planul de continuitate a activității

(1)   În sensul articolului 60 alineatul (7) litera (b) punctul (iii) din Regulamentul (UE) 2023/1114, entitatea notificatoare prezintă autorității competente o descriere detaliată a planului său de continuitate a activității, inclusiv a măsurilor care trebuie luate pentru a asigura continuitatea și regularitatea furnizării serviciilor sale de criptoactive.

(2)   Descrierea menționată la alineatul (1) include următoarele:

(a)

detalii care să arate că planul stabilit de continuitate a activității este adecvat și că sunt instituite măsuri pentru a menține și a testa periodic planul respectiv;

(b)

în ceea ce privește funcțiile critice sau importante sprijinite de furnizori terți de servicii, detalii privind modul în care se garantează continuitatea activității în cazul în care calitatea asigurării acestor funcții se deteriorează până la un nivel inacceptabil sau acestea nu mai sunt asigurate;

(c)

informații privind modul în care este asigurată continuitatea activității în cazul decesului unei persoane care deține o funcție cheie și, după caz, riscurile politice din jurisdicțiile furnizorului de servicii.

Articolul 3

Detectarea și prevenirea spălării banilor și a finanțării terorismului

În sensul articolului 60 alineatul (7) litera (b) punctele (i) și (ii) din Regulamentul (UE) 2023/1114, entitatea notificatoare furnizează autorității competente informații cu privire la mecanismele de control intern, politicile și procedurile acesteia menite să asigure respectarea dispozițiilor de drept intern de transpunere a Directivei (UE) 2015/849, precum și cu privire la cadrul de evaluare a riscurilor pentru gestionarea riscurilor legate de spălarea banilor și finanțarea terorismului, inclusiv următoarele:

(a)

evaluarea de către entitatea notificatoare a riscurilor inerente și reziduale de spălare a banilor și de finanțare a terorismului legate de furnizarea de servicii de criptoactive, inclusiv a riscurilor legate de:

(i)

clientela entității notificatoare;

(ii)

serviciile furnizate;

(iii)

canalele de distribuție utilizate;

(iv)

zonele geografice de desfășurare a activității;

(b)

măsurile pe care entitatea notificatoare le-a instituit sau le va institui pentru a preveni riscurile identificate și pentru a respecta cerințele aplicabile în materie de combatere a spălării banilor și a finanțării terorismului, inclusiv procesul de evaluare a riscurilor al entității notificatoare, politicile și procedurile menite să asigure respectarea cerințelor de precauție privind clientela, precum și politicile și procedurile de detectare și raportare a tranzacțiilor sau a activităților suspecte;

(c)

informații detaliate cu privire la modul în care mecanismele de control intern, politicile și procedurile sunt adecvate și proporționale cu amploarea, natura, riscul inerent de spălare a banilor și de finanțare a terorismului, inclusiv gama de servicii de criptoactive furnizate, complexitatea modelului de afaceri și modul în care entitatea notificatoare asigură respectarea Directivei (UE) 2015/849 și a Regulamentului (UE) 2023/1113 al Parlamentului European și al Consiliului (7);

(d)

identitatea persoanei responsabile cu asigurarea respectării de către entitatea notificatoare a cerințelor în materie de combatere a spălării banilor și a finanțării terorismului, inclusiv dovada competențelor și a calificării persoanei respective;

(e)

mecanismele, precum și resursele umane și financiare alocate pentru a se asigura, pe baza unor valori anuale, că personalul entității notificatoare beneficiază de formare corespunzătoare în ceea ce privește aspectele legate de combaterea spălării banilor și a finanțării terorismului și riscurile specifice legate de criptoactive;

(f)

o copie a politicilor, a procedurilor și a sistemelor de combatere a spălării banilor și de combatere a terorismului ale entității notificatoare;

(g)

un document de sinteză care să prezinte modificările aduse procedurilor și sistemelor entității notificatoare de combatere a spălării banilor și a terorismului ca urmare a serviciilor de criptoactive planificate;

(h)

frecvența evaluării adecvării și a eficacității mecanismelor de control intern, a sistemelor și a procedurilor, inclusiv identitatea persoanei sau a funcției responsabile cu realizarea unei astfel de evaluări.

Articolul 4

Sistemele TIC și măsurile de securitate aferente

În sensul articolului 60 alineatul (7) litera (c) din Regulamentul (UE) 2023/1114, entitatea notificatoare furnizează autorității competente următoarele informații:

(a)

documentația tehnică a sistemelor TIC, a infrastructurii DLT utilizate, după caz, și a măsurilor de securitate, inclusiv o descriere a resurselor umane și TIC utilizate și a măsurilor instituite pentru respectarea Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului (8), inclusiv următoarele:

(i)

o descriere a modului în care entitatea notificatoare asigură un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC, ca parte a sistemului său general de gestionare a riscurilor, inclusiv o descriere detaliată a sistemelor, a protocoalelor și a instrumentelor TIC, precum și a modului în care procedurile, politicile și sistemele entității notificatoare vor proteja securitatea, integritatea, disponibilitatea, autenticitatea și confidențialitatea datelor în conformitate cu Regulamentele (UE) 2022/2554 și (UE) 2016/679;

(ii)

identificarea serviciilor TIC care sprijină funcții critice sau importante dezvoltate sau menținute de entitatea notificatoare, precum și a celor furnizate de furnizori terți de servicii, și o descriere a unor astfel de acorduri contractuale și a modului în care acordurile respective respectă articolul 73 din Regulamentul (UE) 2023/1114 și capitolul V din Regulamentul (UE) 2022/2554;

(iii)

o descriere a procedurilor, a politicilor, a măsurilor și a sistemelor de securitate și de gestionare a incidentelor ale entității notificatoare;

(b)

dacă este disponibilă, o descriere a unui audit de securitate cibernetică efectuat de un auditor terț în materie de securitate cibernetică care are suficientă experiență în conformitate cu Regulamentul delegat al Comisiei de stabilire a unor standarde tehnice în temeiul articolului 26 alineatul (11) al patrulea paragraf din Regulamentul (UE) 2022/2554, care să acopere, în mod ideal, următoarele audituri sau teste efectuate de părți independente externe:

(i)

măsuri privind securitatea cibernetică, securitatea fizică și dezvoltarea sigură a software-ului la nivelul organizației;

(ii)

evaluări ale vulnerabilității și evaluări ale securității rețelei;

(iii)

revizuiri ale configurației activelor TIC care sprijină funcții critice și importante, astfel cum sunt definite la articolul 3 punctul 22 din Regulamentul (UE) 2022/2554;

(iv)

teste de penetrare asupra activelor TIC care sprijină funcții critice și importante, astfel cum sunt definite la articolul 3 punctul 17 din Regulamentul (UE) 2022/2554, în conformitate cu toate abordările următoare în ceea ce privește testele de audit:

1.

black box”: auditorul nu deține alte informații decât adresele IP și URL-urile asociate cu ținta auditată. Această fază este precedată, în general, de aflarea informațiilor și de identificarea țintei prin interogarea serviciilor sistemului de nume de domenii (DNS), scanarea porturilor deschise, descoperirea prezenței echipamentelor de filtrare;

2.

faza „grey box”: auditorii cunosc un utilizator standard al sistemului informatic (autentificare legitimă, post de lucru „standard”). Identificatorii pot aparține unor profiluri de utilizator diferite pentru a se testa diferite niveluri ale privilegiilor;

3.

faza „white box”: auditorii dispun de cât mai multe informații tehnice posibil (arhitectură, cod sursă, contacte telefonice, identificatori etc.) înainte de începerea analizei și, de asemenea, de acces la contacte tehnice legate de țintă;

(v)

în cazul în care entitatea notificatoare utilizează și/sau elaborează contracte inteligente, o revizuire a codurilor sursă de securitate cibernetică ale acestora;

(c)

o descriere a auditurilor efectuate asupra sistemelor TIC, dacă este cazul, inclusiv asupra infrastructurii DLT și a măsurilor de securitate utilizate;

(d)

o descriere a informațiilor relevante menționate la literele (a) și (b) într-un limbaj fără caracter tehnic.

Articolul 5

Separarea și păstrarea în condiții de siguranță a criptoactivelor și a fondurilor clienților

(1)   În sensul articolului 60 alineatul (7) litera (d) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să dețină criptoactive aparținând clienților sau mijloacele de acces la respectivele criptoactive sau la fondurile clienților, altele decât tokenurile de monedă electronică, furnizează autorității competente o descriere detaliată a procedurilor sale de separarea a criptoactivelor și a fondurilor clienților, inclusiv următoarele:

(a)

modul în care entitatea notificatoare se asigură că:

(i)

fondurile clienților nu sunt utilizate în nume propriu;

(ii)

criptoactivele aparținând clienților nu sunt utilizate în nume propriu;

(iii)

portofelele care conțin criptoactivele clienților sunt diferite de portofelele entității notificatoare;

(b)

o descriere detaliată a sistemului de aprobare a cheilor criptografice și a protecției cheilor criptografice, inclusiv în ceea ce privește portofelele cu semnături multiple;

(c)

modul în care entitatea notificatoare separă criptoactivele clienților, inclusiv de criptoactivele altor clienți, în cazul în care portofelele care conțin criptoactive ale mai multor clienți sunt păstrate în conturi omnibus;

(d)

o descriere a procedurii prin care se asigură că fondurile clienților, altele decât tokenurile de monedă electronică, sunt depuse la o bancă centrală sau la o instituție de credit până la sfârșitul zilei lucrătoare care urmează zilei în care acestea au fost primite și sunt deținute într-un cont care poate fi identificat separat de orice cont utilizat pentru păstrarea fondurilor care aparțin entității notificatoare;

(e)

în cazul în care entitatea notificatoare nu intenționează să depună fonduri la banca centrală relevantă, factorii luați în considerare de entitatea notificatoare pentru a selecta instituțiile de credit la care urmează să depună fondurile clienților, inclusiv politica de diversificare a entității notificatoare, dacă este disponibilă, și frecvența revizuirii instituțiilor de credit selectate la care urmează să depună fondurile clienților;

(f)

modul în care entitatea notificatoare se asigură că clienții sunt informați într-un limbaj clar, concis și fără caracter tehnic cu privire la principalele aspecte ale sistemelor, politicilor și procedurilor entității notificatoare instituite pentru respectarea articolului 70 alineatele (1), (2) și (3) din Regulamentul (UE) 2023/1114.

(2)   În conformitate cu articolul 70 alineatul (5) din Regulamentul (UE) 2023/1114, furnizorii de servicii de criptoactive care sunt instituții emitente de monedă electronică sau instituții de credit furnizează numai informațiile menționate la alineatul (1) de la prezentul articol.

Articolul 6

Politica de custodie și de administrare

În sensul articolului 60 alineatul (7) litera (e) din Regulamentul (UE) 2023/1114, entitatea notificatoare furnizează autorității competente următoarele informații:

(a)

o descriere a mecanismelor legate de tipul de custodie oferit clienților, o copie a acordului standard al entității notificatoare privind custodia și administrarea criptoactivelor în numele clienților în temeiul articolului 75 alineatul (1) din Regulamentul (UE) 2023/1114 și o copie a rezumatului politicii de custodie pus la dispoziția clienților în conformitate cu articolul 75 alineatul (3) al treilea paragraf din regulamentul respectiv;

(b)

politica de custodie și administrare a entității notificatoare, inclusiv o descriere a surselor identificate de riscuri operaționale și TIC pentru păstrarea în condiții de siguranță și controlul criptoactivelor sau a mijloacelor de acces la criptoactivele clienților, împreună cu următoarele informații:

(i)

politicile și procedurile, precum și o descriere a măsurilor instituite pentru respectarea articolului 75 alineatul (8) din Regulamentul (UE) 2023/1114;

(ii)

politicile și procedurile, precum și o descriere a sistemelor și a controalelor pentru gestionarea riscurilor operaționale și TIC, inclusiv în cazul în care asigurarea custodiei și a administrării criptoactivelor în numele clienților este externalizată către un terț;

(iii)

politicile și procedurile referitoare la sistemele care asigură exercitarea drepturilor asociate criptoactivelor de către clienți, precum și o descriere a acestor sisteme;

(iv)

politicile și procedurile referitoare la sistemele care asigură returnarea criptoactivelor sau a mijloacelor de acces către clienți, precum și o descriere a acestor sisteme;

(c)

informații privind modul în care sunt identificate criptoactivele și mijloacele de acces la criptoactivele clienților;

(d)

informații privind modalitățile de reducere la minimum a riscului de pierdere a criptoactivelor sau a mijloacelor de acces la criptoactive;

(e)

în cazul în care furnizorul de servicii de criptoactive a delegat unui terț asigurarea custodiei și a administrării criptoactivelor în numele clienților:

(i)

informații privind identitatea oricărui terț care furnizează serviciul de custodie și administrare a criptoactivelor și statutul acestuia în conformitate cu articolul 59 sau cu articolul 60 din Regulamentul (UE) 2023/1114;

(ii)

o descriere a oricăror funcții legate de custodia și administrarea criptoactivelor delegate de furnizorul de servicii de criptoactive, lista delegaților și a subdelegaților, după caz, și orice conflict de interese care ar putea decurge dintr-o astfel de delegare;

(iii)

o descriere a modului în care entitatea notificatoare intenționează să supravegheze delegările sau subdelegările.

Articolul 7

Normele de funcționare a platformei de tranzacționare și detectarea abuzului de piață

(1)   În sensul articolului 60 alineatul (7) litera (f) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să opereze o platformă de tranzacționare pentru criptoactive furnizează autorității competente următoarele informații:

(a)

normele privind admiterea la tranzacționare a criptoactivelor;

(b)

procesul de aprobare a admiterii criptoactivelor la tranzacționare, inclusiv măsurile de precauție privind clientela aplicate în conformitate cu Directiva (UE) 2015/849;

(c)

lista categoriilor de criptoactive care nu vor fi admise la tranzacționare și motivele unei astfel de excluderi;

(d)

politicile, procedurile și comisioanele pentru admiterea la tranzacționare, împreună cu o descriere, dacă este cazul, a calității de membru, a rabaturilor și a condițiilor aferente;

(e)

normele care reglementează executarea ordinelor, inclusiv procedurile de anulare a ordinelor executate și de divulgare a acestor informații participanților pe piață;

(f)

metodele instituite pentru a evalua adecvarea criptoactivelor în conformitate cu articolul 76 alineatul (2) din Regulamentul (UE) 2023/1114;

(g)

sistemele, procedurile și mecanismele instituite pentru respectarea articolului 76 alineatul (7) din Regulamentul (UE) 2023/1114;

(h)

modalitatea prin care face publice orice preț de cumpărare și de vânzare, amploarea intereselor de tranzacționare la aceste prețuri care sunt afișate pentru criptoactive prin intermediul platformei sale de tranzacționare, precum și prețul, volumul și momentul tranzacțiilor executate în legătură cu criptoactivele tranzacționate pe platforma sa de tranzacționare, în conformitate cu articolul 76 alineatele (9) și (10) din Regulamentul (UE) 2023/1114;

(i)

structurile tarifare și o justificare cu privire la modul în care aceste structuri respectă articolul 76 alineatul (13) din Regulamentul (UE) 2023/1114;

(j)

sistemele, procedurile și mecanismele instituite pentru a menține datele referitoare la toate ordinele la dispoziția autorității competente sau mecanismul instituit pentru a se asigura că autoritatea competentă are acces la registrul de ordine și la orice alt sistem de tranzacționare;

(k)

în ceea ce privește decontarea tranzacțiilor:

(i)

dacă decontarea finală a tranzacțiilor este inițiată în registrul distribuit sau în afara registrului distribuit;

(ii)

intervalul de timp în care este inițiată decontarea finală a tranzacțiilor cu criptoactive;

(iii)

modul de verificare a disponibilității fondurilor și a criptoactivelor;

(iv)

modul de confirmare a detaliilor relevante ale tranzacțiilor;

(v)

măsurile prevăzute pentru limitarea cazurilor de neexecutare a decontării;

(vi)

momentul în care decontarea este finală și momentul în care decontarea finală este inițiată în urma executării tranzacției;

(l)

procedurile și sistemele instituite pentru detectarea și prevenirea abuzului de piață, inclusiv informații privind comunicarea către autoritatea competentă a posibilelor cazuri de abuz de piață.

(2)   Entitățile notificatoare care intenționează să opereze o platformă de tranzacționare pentru criptoactive furnizează autorității competente o copie a normelor de funcționare a platformei de tranzacționare și a oricăror proceduri de detectare și prevenire a abuzului de piață.

Articolul 8

Schimbul de criptoactive contra unor fonduri sau contra altor criptoactive

În sensul articolului 60 alineatul (7) litera (g) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să schimbe criptoactive contra unor fonduri sau contra altor criptoactive furnizează autorității competente următoarele informații:

(a)

o descriere a politicii comerciale stabilite în conformitate cu articolul 77 alineatul (1) din Regulamentul (UE) 2023/1114;

(b)

metoda de determinare a prețului criptoactivelor pe care entitatea notificatoare le propune la schimb contra unor fonduri sau contra altor criptoactive în conformitate cu articolul 77 alineatul (2) din Regulamentul (UE) 2023/1114, inclusiv modul în care volumul și volatilitatea pieței criptoactivelor afectează mecanismul de stabilire a prețurilor.

Articolul 9

Politica de executare a ordinelor

În sensul articolului 60 alineatul (7) litera (h) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să execute ordine aferente criptoactivelor în numele clienților furnizează autorității competente politica sa de executare a ordinelor, inclusiv următoarele informații:

(a)

mecanismele prin care se asigură că clientul și-a dat acordul cu privire la politica de executare a ordinelor înainte de executarea ordinului;

(b)

o listă a platformelor de tranzacționare pentru criptoactive pe care entitatea notificatoare le va utiliza pentru executarea ordinelor și criteriile de evaluare a locurilor de executare incluse în politica de executare a ordinelor în conformitate cu articolul 78 alineatul (6) din Regulamentul (UE) 2023/1114;

(c)

platformele de tranzacționare pe care entitatea notificatoare intenționează să le utilizeze pentru fiecare tip de criptoactive și confirmarea faptului că entitatea notificatoare nu va primi nicio remunerație, reducere sau beneficiu nepecuniar în schimbul direcționării ordinelor primite către o anumită platformă de tranzacționare pentru criptoactive;

(d)

modul în care executarea ține seama de prețul, costurile, rapiditatea, probabilitatea de executare și de decontare, valoarea, natura, condițiile de păstrare în custodie a criptoactivelor sau orice alți factori relevanți care sunt considerați ca făcând parte din toate etapele necesare pentru a obține cel mai bun rezultat posibil pentru client;

(e)

după caz, modalitățile de informare a clienților cu privire la faptul că entitatea notificatoare va executa ordinele în afara unei platforme de tranzacționare și modul în care entitatea notificatoare va obține acordul prealabil expres al clientului său înainte de a executa astfel de ordine;

(f)

modul în care clientul este avertizat că orice instrucțiuni specifice din partea unui client pot împiedica entitatea notificatoare să ia măsurile necesare, în conformitate cu mecanismele pe care entitatea notificatoare le-a stabilit și pus în aplicare în cadrul politicii sale de executare a ordinelor, pentru a obține cel mai bun rezultat posibil pentru executarea ordinelor respective în ceea ce privește elementele care fac obiectul instrucțiunilor respective;

(g)

procedura de selecție pentru locurile de tranzacționare, strategiile de executare utilizate, modalitățile utilizate pentru a analiza calitatea executării obținută și modul în care entitatea notificatoare monitorizează și verifică faptul că s-au obținut cele mai bune rezultate pentru clienți;

(h)

mecanismele de prevenire a utilizării abuzive de către angajații entității notificatoare a oricăror informații referitoare la ordinele clienților;

(i)

mecanismele și procedurile privind modul în care entitatea notificatoare va comunica clienților informații privind politica sa de executare a ordinelor și îi va notifica cu privire la orice modificare semnificativă a politicii sale de executare a ordinelor;

(j)

modalitățile prin care se demonstrează autorității competente respectarea articolului 78 din Regulamentul (UE) 2023/1114, la cererea autorității competente respective.

Articolul 10

Oferirea de consultanță cu privire la criptoactive sau asigurarea administrării de portofolii de criptoactive

În sensul articolului 60 alineatul (7) litera (i) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să ofere consultanță cu privire la criptoactive sau să asigure administrarea de portofolii de criptoactive furnizează autorității competente următoarele informații:

(a)

o descriere detaliată a măsurilor instituite de entitatea notificatoare pentru a asigura respectarea articolului 81 alineatul (7) din Regulamentul (UE) 2023/1114, inclusiv următoarele:

(i)

mecanismele de control, evaluare și menținere efectivă a cunoștințelor și a calificării persoanelor fizice care oferă consultanță cu privire la criptoactive sau care administrează portofolii de criptoactive;

(ii)

măsurile prin care se asigură că persoanele fizice implicate în oferirea de consultanță sau asigurarea administrării de portofolii cunosc, înțeleg și aplică politicile și procedurile interne ale entității notificatoare stabilite pentru respectarea Regulamentului (UE) 2023/1114, în special a articolului 81 alineatul (1) din regulamentul respectiv, și a Directivei (UE) 2015/849;

(iii)

resursele umane și financiare planificate să fie alocate anual de către entitatea notificatoare dezvoltării și formării profesionale a personalului care oferă consultanță cu privire la criptoactive sau care administrează portofolii de criptoactive;

(b)

mecanismele de control, evaluare și menținere a faptului că persoanele fizice care oferă consultanță în numele entității notificatoare dețin cunoștințele și calificarea necesare, în conformitate cu criteriile pentru o astfel de evaluare utilizate în legislația națională, pentru a evalua adecvarea, astfel cum se prevede la articolul 81 alineatul (1) din Regulamentul (UE) 2023/1114.

Articolul 11

Serviciile de transfer

În sensul articolului 60 alineatul (7) litera (k) din Regulamentul (UE) 2023/1114, entitatea notificatoare care intenționează să furnizeze servicii de transfer pentru criptoactive în numele clienților furnizează autorității competente următoarele informații:

(a)

detalii privind tipurile de criptoactive pentru care entitatea notificatoare intenționează să furnizeze servicii de transfer;

(b)

o descriere detaliată a mecanismelor instituite de entitatea notificatoare pentru respectarea articolului 82 din Regulamentul (UE) 2023/1114, inclusiv informații detaliate privind resursele umane și TIC utilizate și măsurile instituite de entitatea notificatoare pentru a aborda riscurile în mod prompt, eficient și riguros în timpul furnizării de servicii de transfer pentru criptoactive în numele clienților, ținând seama de potențialele deficiențe operaționale și riscuri în materie de securitate cibernetică;

(c)

dacă este disponibilă, o descriere a poliței de asigurare a entității notificatoare, inclusiv privind acoperirea prin asigurare a prejudiciilor aduse criptoactivelor clienților care pot rezulta din riscurile de securitate cibernetică;

(d)

modalitățile prin care se asigură că clienții sunt informați în mod corespunzător cu privire la mecanismele menționate la litera (b).

Articolul 12

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 31 octombrie 2024.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1)  
JO L 150, 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2)  Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(3)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană pentru valori mobiliare și piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(5)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6)  Directiva 2013/34/UE a Parlamentului European și a Consiliului din 26 iunie 2013 privind situațiile financiare anuale, situațiile financiare consolidate și rapoartele conexe ale anumitor tipuri de întreprinderi, de modificare a Directivei 2006/43/CE a Parlamentului European și a Consiliului și de abrogare a Directivelor 78/660/CEE și 83/349/CEE ale Consiliului (JO L 182, 29.6.2013, p. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(7)  Regulamentul (UE) 2023/1113 al Parlamentului European și al Consiliului din 31 mai 2023 privind informațiile care însoțesc transferurile de fonduri și de anumite criptoactive și de modificare a Directivei (UE) 2015/849 (JO L 150, 9.6.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(8)  Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

ELI: http://data.europa.eu/eli/reg_del/2025/303/oj

ISSN 1977-0782 (electronic edition)

Top

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Libera circulaţie a capitalurilor
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile
0
Opinia dvs. este importantă, adăugați un comentariu.x

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .