Ministerul Finanțelor (MF) a publicat astăzi în transparență decizională proiectul de Hotărâre pentru aprobarea procedurii de autorizare și/sau de înregistrare a furnizorilor de servicii de schimb între monede virtuale și monede fiduciare și a furnizorilor de portofele digitale, precum și a procedurii de acordare și retragere a avizului tehnic. Inițiatorii menționează, în Referatul de aprobare care însoțește proiectul de act normativ, că documentul a fost elaborat de Ministerul Finanțelor împreună cu Autoritatea pentru Digitalizarea României și Oficiul Național de Prevenire și Combatere a Spălării Banilor în scopul punerii în aplicare a dispozițiilor art. 30^1 alin. (4) din Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor, finanțării terorismului, precum și pentru modificarea și completarea unor acte normative, cu modificările și completările ulterioare.

Proiectul de act normativ vizează, în principal, reglementarea următoarelor aspecte: ▪ definirea unor termeni și expresii; ▪ stabilirea faptelor ce constituie contravenții, a sancțiunilor aplicabile acestora precum și a organelor cu atribuții de constatare și sancționare a acestora; ▪ instituirea în sarcina Ministerului Finanțelor a obligației de a publica pe site-ul propriu lista cu entitățile care dețin autorizație sau certificat de înregistrare eliberat de către Comisia de autorizare a activității de schimb valutar.

În ceea ce privește procedura de autorizare/înregistrare:

► sunt indicate entitățile care sunt obligate să parcurgă procedura de autorizare și/sau de înregistrare la Comisie, în vederea furnizării de servicii de schimb între monede virtuale și monede fiduciare și/sau a furnizării de portofele digitale;

► se precizează faptul că procedura vizează: ▪ autorizarea persoanelor juridice de drept român, înființate potrivit legislației în vigoare; ▪ înregistrarea persoanelor juridice constituite în mod legal și autorizate/înregistrate pentru a furniza servicii de schimb între monede virtuale și monede fiduciare și/sau portofele digitale într-un stat membru al Uniunii Europene, un stat semnatar al acordului privind Spațiul Economic European ori un stat din Confederația Elvețiană, denumite în continuare stat membru;

► dreptul de a furniza servicii de schimb între monede virtuale și monede fiduciare și/sau portofele digitale este condiționat de obținerea autorizației sau a certificatului de înregistrare, după caz, documente cu valabilitate limitată în timp;

► este interzisă desfășurarea activității de schimb între monede virtuale și monede fiduciare și de portofele digitale prin intermediul automatelor de schimb pentru alte persoane decât cele pentru care a fost parcursă procedura de cunoaștere a clientelei, conform dispozițiilor Legii nr. 129/2019, cu modificările și completările ulterioare, pe platforma digitală cu acces la distanță;

► sunt enunțate elementele principale pe care le vor conține autorizația de funcționare și certificatul de înregistrare;

► este stabilită procedura de urmat de către entitățile care doresc reautorizarea/reînregistrarea la momentul expirării valabilității autorizației/ certificatului de înregistrare anterioare/anterior;

► se instituie în sarcina entităților autorizate/înregistrate într-un stat membru obligația de a mandata în mod expres un reprezentant autorizat, precum și de a notifica Comisia cu privire la orice modificare a datelor și informațiilor cu privire la acesta;

► sunt stabilite condițiile pe care trebuie să le îndeplinească reprezentantul autorizat precum și atribuțiile principale ale acestuia;

► sunt stabilite condițiile pe care trebuie să le îndeplinească și documentele pe care trebuie să le depună entitățile care solicită autorizarea sau înregistrarea;

► Condițiile generale pentru autorizare/înregistrare sunt: ▪ deținerea unei platforme digitale cu acces la distanță pentru furnizarea de servicii de schimb între monede virtuale și monede fiduciare și/sau de portofele digitale conectată la cel puțin un domeniu de internet înregistrat în România; ▪ serverul cu platforma digitală cu acces la distanță să fie amplasat pe teritoriul României sau pe teritoriul unui stat membru; ▪ deținerea a cel puțin unui cont bancar în monede fiduciare prin care își desfășoară operațiunile, deschis în Romania.

► Între condițiile specifice pentru autorizarea persoanei juridice române se numără: ▪ deținerea ca obiect de activitate a codului CAEN 6499 - Alte intermedieri financiare n c a; ▪ activitatea de furnizare de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizare de portofele digitale pe teritoriul României se desfășoară prin intermediul sistemului informatic al entității care conține cel puțin un sistem de schimb între monede virtuale și monede fiduciare, un sistem de evaluare și gestionare a riscurilor de spălare a banilor și de finanțare a terorismului, de înregistrare, de identificare, de evaluare și monitorizare a clienților, în funcție de risc, în baza actelor de identitate/de înmatriculare ale acestora, precum și un sistem pentru păstrarea informațiilor privind: fiecare operațiune de schimb între monede virtuale și monede fiduciare, fiecare comision, precum și fiecare plată/încasare făcută în monede fiduciare și/sau în monede virtuale, în/din conturile și/sau portofelele digitale ale clienților; ▪ entitatea, reprezentanții legali, administratorii, acționarii semnificativi sau asociații entității care dețin părți sociale cel puțin într-un procent egal cu cel necesar pentru un acționar semnificativ, conform legislației în vigoare, persoanele care dețin o funcție de conducere în cadrul entității și persoanele care sunt beneficiarii reali ai acestor entități, astfel cum sunt definiți la art. 4 din Legea nr. 129/2019, cu modificările și completările ulterioare, nu au fost condamnați pe plan intern sau internațional, pentru infracțiuni de evaziune fiscală, privind regimul vamal, de spălare a banilor sau de finanțare a terorismului, precum și pentru cele prevăzute de art. 47 alin. (2) din Legea nr. 129/2019, cu modificările și completările ulterioare, pentru care nu a intervenit reabilitarea; ▪ persoanele care dețin o funcție de conducere în cadrul entității și persoanele care sunt beneficiarii reali ai acesteia, astfel cum sunt definiți la art. 4 din Legea nr. 129/2019, sunt persoane potrivite și competente, care pot proteja entitatea împotriva utilizării sale abuzive în scopuri infracționale, în sensul că dețin cunoștințele necesare în domeniul prevenirii și combaterii spălării banilor și finanțării terorismului și au o bună reputație profesională și morală; ▪ entitatea nu înregistrează obligații de plată restante, astfel cum sunt acestea definite în Legea nr. 207/2015 privind Codul de procedură fiscală, administrate de către organul fiscal central sau datorate bugetelor locale ale unităților administrativ-teritoriale. Certificatul de atestare fiscală privind obligațiile de plată restante administrate de către organul fiscal central, se solicită organului fiscal competent din cadrul ANAF conform procedurii aprobate prin OMF nr. 3894/2022 pentru aprobarea Regulamentului de organizare și funcționare, precum și a atribuțiilor Comisiei de autorizare a activității de schimb valutar, a Procedurii de solicitare și transmitere a certificatului de atestare fiscală, a modelului autorizației și scrisorii de atribuire a codului statistic, precum și a modelului unor declarații. Procedura reglementată prin acest act normativ se aplică tuturor situațiilor în care Comisia are competența de autorizare; ▪ entitatea a obținut avizul tehnic al Autorității pentru Digitalizarea României.

► Între condițiile specifice pentru înregistrarea persoanelor juridice dintr-un stat membru al Uniunii Europene, un stat semnatar al acordului privind Spațiul Economic European ori un stat din Confederația Elvețiană, inițiatorii menționează, în Referatul de aprobare a actului normativ: ▪ entitatea este autorizată și/sau înregistrată într-un stat membru, de autoritățile competente, pentru a desfășura activități de furnizare de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizare de portofele digitale; ▪ reprezentantul autorizat al entității nu a fost condamnat pe plan intern sau internațional, pentru infracțiuni de spălare a banilor sau de finanțare a terorismului și este persoană potrivită și competentă, care poate proteja entitatea împotriva utilizării abuzive în scopuri infracționale, în sensul că deține cunoștințele necesare în domeniul prevenirii și combaterii spălării banilor și finanțării terorismului și are o bună reputație profesională și morală.

► Sunt reglementate obligațiile pe care le au entitățile autorizate/înregistrate să desfășoare activități de furnizare de servicii de schimb între monede virtuale și monede fiduciare și de portofele digitale, între care se numără: ▪ să afișeze în mod vizibil pe pagina de internet unde entitatea își desfășoară activitatea de schimb între monede virtuale și monede fiduciare listele cursurilor de schimb între monede virtuale și monede fiduciare, comisionul practicat, dacă acesta există, precum și autorizația sau certificatul de înregistrare; ▪ să solicite datele de identificare ale clientului prevăzute în documentele care atestă identitatea persoanei fizice respectiv în actul de înființare al persoanei juridice sau al entității fără personalitate juridică, la crearea unui portofel digital; ▪ să țină un registru electronic al deținătorilor de portofele electronice, al tranzacțiilor în care vor fi evidențiate cumpărările și vânzările de monede virtuale, pe tipuri de monede virtuale și sumele plătite/încasate sau, după caz, transferate, asociate cu informațiile de identificare ale tuturor clienților care accesează platforma digitală cu acces la distanță precum și date privind localizarea geografică a adresei IP a clientului; ▪ să notifice Comisia dacă intervin modificări cu privire la datele de contact, sediul social/sediului declarat, reprezentanții legali, reprezentantul autorizat, împuterniciții, administratorii, beneficiarii reali, persoanele care dețin funcții de conducere, acționarii semnificativi sau asociații care dețin părți sociale cel puțin într-un procent egal cu cel necesar pentru un acționar semnificativ; ▪ să notifice clienții și Comisia, în situația în care decid să își suspende sau să înceteze activitatea.

► sunt enumerate situațiile în care Comisia poate dispune suspendarea autorizației sau a certificatului de înregistrare, între care se regăsesc: ▪ neanunțarea suspendării temporare a activității și respectiv a reluării acesteia; ▪ neafișarea în mod vizibil pe pagina de internet unde entitatea își desfășoară activitatea de schimb între monede virtuale și monede fiduciare a listelor cursurilor de schimb de vânzare/cumpărare între monede virtuale și monede fiduciare, a comisionului practicat, dacă există, precum și a autorizației sau a certificatului de înregistrare;

► sunt enumerate situațiile în care Comisia poate dispune revocarea autorizației sau a certificatului de înregistrare, între care se regăsesc: ▪ furnizarea de informații incomplete sau inexacte care, dacă ar fi fost cunoscute, ar fi condus la neacordarea autorizației sau certificatului de înregistrare; ▪ neîndeplinirea de către entitatea cu domiciliul fiscal în România, a obligațiilor de plată față de bugetul general consolidat, cu o întârziere mai mare de 30 de zile de la data la care obligațiile respective sunt scadente sau de la termenul de plată prevăzut de lege; ▪ entitatea a fost condamnată, pe plan intern sau internațional, pentru infracțiuni de evaziune fiscală, privind regimul vamal, de spălare a banilor sau de finanțare a terorismului.

► sunt stabilite organele cu atribuții de control al entităților care desfășoară activități de furnizare de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizare de portofele digitale.

În ceea ce privește procedura de eliberare a avizului tehnic:

► sunt stabilite cerințele minime de securitate pe care trebuie să le îndeplinească sistemul informatic și platforma digitală cu acces la distanță utilizată pentru furnizarea serviciilor de schimb între monede virtuale și monede fiduciare și/sau pentru furnizarea de portofele digitale. Între aceste cerințe se numără: ▪ asigurarea confidențialității și integrității comunicațiilor între emitentul și beneficiarul serviciilor furnizate prin intermediul platformei cu acces la distanță; ▪ asigurarea confidențialității, autenticității și integrității informațiilor și/sau datelor generate în cadrul platformei digitale cu acces la distanță care intermediază furnizarea serviciilor de schimb între monede virtuale și monede fiduciare și/sau furnizarea de portofele digitale, în timpul procesării, stocării și arhivării acestora; ▪ asigurarea trasabilității tranzacțiilor desfășurate în cadrul platformei digitale cu acces la distanță care intermediază serviciile de schimb între monede virtuale și monede fiduciare și/sau furnizarea de portofele digitale. Sistemul informatic al entității va asigura transmiterea criptată și înregistrarea automată, în timp real, a tuturor datelor solicitate expres de autoritățile competente din România sau din statele membre, respectiv a datelor de identificare ale clienților și a beneficiarilor reali, a datelor financiare ale acestora și toate datele aferente tranzacțiilor realizate de către aceștia; ▪ asigurarea respectării dispozițiilor legale privind protecția datelor cu caracter personal; ▪ prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranță a activității și recuperarea informațiilor afectate; ▪ activitatea de furnizare de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizare de portofele digitale pe teritoriul României se desfășoară prin intermediul sistemului informatic al entității care conține cel puțin un sistem de schimb între monede virtuale și monede fiduciare, un sistem de gestionare și evaluare a riscurilor de spălare a banilor și de finanțare a terorismului, de înregistrare, de identificare și monitorizare a clienților în baza actelor de identitate/înmatriculare ale acestora, precum și un sistem pentru păstrarea informațiilor și generarea de rapoarte privind: fiecare operațiune de schimb între monede virtuale și monede fiduciare, fiecare comision, după caz, precum și fiecare plată/încasare făcută în monede fiduciare și/sau în monede virtuale, după caz, în/din conturile și/sau portofelele digitale ale clienților; ▪ platforma digitală cu acces la distanță conține informații de identificare a tuturor clienților care o accesează precum și date privind localizarea geografică a adresei IP a clientului;

► este instituită în sarcina entităților, care dețin platformele digitale cu acces la distanță utilizate în furnizarea de servicii de schimb între monede virtuale și monede fiduciare și/sau în furnizarea de portofele digitale, obligația de a efectua anual teste de penetrare a aplicațiilor software și a sistemelor informatice utilizate;

► sunt stabilite documentele și informațiile pe care entitățile, care solicită eliberarea avizului tehnic, au obligația să le transmită Autorității pentru Digitalizarea României (ADR). Între acestea se numără: ▪ descrierea funcțională a sistemului informatic utilizat de furnizorul de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizorul de portofele digitale; ▪ planul de securitate al sistemului informatic, semnat de către reprezentantul legal al entității. Planul de securitate trebuie să includă descrierea metodelor de criptare utilizate pentru transmiterea criptată și înregistrarea automată, în timp real, a datelor de identificare ale clienților, a datelor financiare ale acestora și a tuturor datelor aferente tranzacțiilor realizate de către aceștia; ▪ certificările profesionale ale echipei de testare, recunoscute internațional; ▪ polița de asigurare de răspundere civilă pentru acoperirea eventualelor prejudicii față de terți rezultate din incidente de securitate, în valoare de 1% din valoarea tranzacțiilor din anul anterior solicitării avizului, dar nu mai puțin de echivalentul a 100.000 euro la cursul BNR valabil la data încheierii poliței; ▪ ordinul de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică sau contractul încheiat cu un administrator de arhivă electronică acreditat;

► este stabilită structura pe care trebuie să o aibă documentația aferentă planului de securitate;

▪ este instituită în sarcina furnizorilor de servicii de schimb între monede virtuale și monede fiduciare și a furnizorilor de portofele digitale obligația de a notifica ADR cu privire la: ▪ orice dezvoltare, modificare a datelor de exploatare și a procedurilor operaționale care ar putea afecta funcționarea și securitatea platformei, în termen de 15 zile calendaristice de la data când devin operaționale; ▪ orice incident de securitate care a afectat în mod direct clienții, în termen de maximum 10 zile calendaristice de la producerea acestuia; ▪ orice modificare privind situația juridică a entității, în termen de 10 zile lucrătoare de la data la care respectiva modificare a survenit.

► sunt reglementate unele aspecte care vizează efectuarea evaluării conformității sistemului informatic și a platformei digitale cu acces la distanță utilizate de către furnizorii de servicii de schimb între monede virtuale și monede fiduciare și/sau de către furnizorii de portofele digitale;

► este stabilită situația în care ADR dispune suspendarea avizului tehnic, respectiv atunci când aceasta constată că platforma digitală cu acces la distanță deținută de furnizorul de servicii de schimb între monede virtuale și monede fiduciare și/sau de furnizorul de portofele digitale nu mai îndeplinește una sau mai multe dintre condițiile prevăzute în procedură;

► sunt enumerate situațiile în care ADR dispune retragerea avizului tehnic, între care se regăsesc: ▪ neremedierea deficiențelor pentru care ADR a dispus anterior suspendarea avizului tehnic; ▪ platforma digitală cu acces la distanță nu mai îndeplinește cerințele tehnice și de securitate; ▪ în urma verificărilor la sediul operatorului sau pe platforma digitală cu acces la distanță, se constată neconcordanțe între informațiile conținute în documentația depusă pentru avizare și situația de fapt; ▪ deținătorul platformei digitale cu acces la distanță nu a prezentat raportul de evaluare a conformității solicitat de către ADR ca urmare a dezvoltării, modificării datelor de exploatare și a procedurilor operaționale care ar putea afecta funcționarea și securitatea platformei sau ca urmare a apariției unor incidente de securitate care au afectat clienții; ▪ împotriva furnizorului de servicii de schimb între monede virtuale și monede fiduciare și/sau a furnizorului de portofele digitale a fost pronunțată o hotărâre judecătorească definitivă privind intrarea în faliment.

► este stabilită perioada de valabilitate a avizului tehnic, respectiv 2 ani, precum și faptul că acesta este netransmisibil.

(Copyright foto: 123RF Stock Photo)