29/2024. (VI. 24.) MNB rendelet indokolás

Az Európai Bankhatóság által az (EU) 2015/849 irányelv 13. cikke (1) bekezdésének megfelelő távoli ügyfélbefogadási megoldások használatáról 2022. november 22-én közzétett iránymutatások (EBA/GL/2022/15) (a továbbiakban: EBA/GL/2022/15 iránymutatás) alapján indokolttá vált a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól szóló 26/2020. (VIII. 25.) MNB rendelet [a továbbiakban: 26/2020. (VIII. 25.) MNB rendelet] felülvizsgálata.

A Rendelet a fentieken túlmenően a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.) hatálybalépésével összefüggő módosításokat is tartalmaz, amelyek az auditált elektronikus hírközlő rendszer útján végzett közvetett elektronikus ügyfél-átvilágítási módokat érintik.

Az új jogszabály megalkotásával a szabályozás formai szempontból is megújul: kodifikációs megfontolásból, valamint a felügyeleti feladatok hatékony ellátása érdekében a korábban egy MNB rendeletben szabályozott tárgykörök szétválasztásra kerülnek, és a szolgáltatók által alkalmazott auditált elektronikus hírközlő eszközökkel összefüggő szabályokat a jövőben önálló MNB rendelet tartalmazza.

A jogalkotásról szóló 2010. évi CXXX. törvény 18. § (3) bekezdése és a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján jelen indokolás a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A hatályra vonatkozó szabályozás a 26/2020. (VIII. 25.) MNB rendeletben foglaltakhoz képest pontosítást tartalmaz, mely szerint a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1a) bekezdése szerinti szolgáltatóra a Magyarországon létesített tartós üzleti egysége révén nyújtott szolgáltatása tekintetében is kiterjed.

Az értelmező rendelkezések köre a biometrikus adatok, az IKT- és biztonsági kockázat, valamint a csalással összefüggésben – az online csalások elleni fellépés érdekében szükséges törvények és egyéb büntetőjogi tárgyú törvények módosításáról szóló 2024. évi XVIII. törvény 37/A. § (1) bekezdésében foglalt meghatározást követve – a visszaéléssel érintett ügylet fogalmával bővül.

A rendelet egyértelművé teszi, hogy rendelkezéseit az ügyfél mellett az ügyfél szolgáltatónál eljáró meghatalmazottjára, rendelkezésre jogosultjára és képviselőjére is alkalmazni kell.

A Rendelet az EBA/GL/2022/15 iránymutatásnak megfelelően új szabályokat tartalmaz arra vonatkozóan, hogy az elektronikus ügyfél-átvilágításhoz alkalmazandó új auditált elektronikus hírközlő eszköz bevezetését megelőzően milyen előzetes értékeléseket kell elvégeznie a szolgáltatónak, ami új kötelezettség az eddigiekhez képest.

Ennek értelmében egy új auditált elektronikus hírközlő eszköz bevezetését megelőzően a szolgáltatónak minden esetben mérlegelnie kell az auditált elektronikus hírközlő eszköz bevezetésének indokoltságát, és ehhez kapcsolódóan el kell végeznie az auditált elektronikus hírközlő eszköz előzetes értékelését. A szolgáltatónak mérlegelnie kell, hogy a bevezetendő auditált elektronikus hírközlő eszközzel végzett elektronikus ügyfél-átvilágítás milyen kockázatokat hordoz magában, illetve hogy ezen kockázatokat a szolgáltató képes-e kezelni. Az értékelés elvégzését a szolgáltatónak felhívásra igazolnia kell a Magyar Nemzeti Bank (a továbbiakban: MNB) felé, illetve annak eredményét a szolgáltatónak szintén be kell mutatnia az MNB részére. Ezen MNB ellenőrzés nem konkrétan az adott auditált elektronikus hírközlő eszköz bevezetési folyamathoz kapcsolódik, az előzetes értékelés megtörténtét a bevezetés után az MNB bármikor vizsgálhatja folyamatos felügyelés vagy ellenőrzési eljárás keretében.

A rendelkezés nem egy előzetes auditra vonatkozik, hanem annak elvi eldöntésére, hogy tevékenységét, kockázatait stb. nézve kell vagy lehet-e a szolgáltatónál ilyet bevezetni, és amennyiben igen, akkor milyen elvárásoknak kell egy ilyen rendszernek általánosan megfelelni.

Hangsúlyozandó, hogy az auditált elektronikus hírközlő eszköz alkalmazása – amennyiben az az előzetes értékelés alapján képest kezelni az alkalmazásából eredő kockázatokat –, ahogy eddig is, alapvetően a szolgáltató üzleti döntési körébe tartozik, kivéve azt az esetkört, ha alkalmazását jogszabály írja elő. Ilyen eset a Pmt. 2025. január 1. napjától hatályos 17/A. §-a, amely úgy rendelkezik, hogy a Pmt. 1. § (1) bekezdés a)–e) pontjában meghatározott szolgáltató a magyarországi lakcímet igazoló hatósági igazolvánnyal rendelkező természetes személy ügyfél erre irányuló döntése esetén a Pmt. 7–10. §-ában, 12. § (3) bekezdésében és 16. § (3) bekezdésében meghatározott kötelezettségek végrehajtását az általa üzemeltetett biztonságos, védett, a Pmt. 5. §-ában meghatározott felügyeletet ellátó szerv által meghatározott módon, előzetesen auditált elektronikus hírközlő eszköz útján is köteles lehetővé tenni. Ilyen esetben természetesen az előzetes értékelés nem bírna jelentőséggel, így azt nem kell alkalmazni.

Az előzetes értékelés kapcsán a Rendelet független külső tesztelők alkalmazását írja elő, amely az EBA/GL/2022/15 iránymutatás szerint alkalmazandó, az IKT- és biztonsági kockázatok kezelésére vonatkozó EBA iránymutatások (EBA/GL/2019/04) 43. pontja szerinti követelmény.

A Rendelet az EBA/GL/2022/15 iránymutatással összhangban bevezeti az elektronikus ügyfél-átvilágítással kapcsolatos szabályzatkészítési kötelezettséget, mely alapján a szolgáltatónak kockázatérzékenységi alapú elektronikus ügyfél-átvilágítási szabályzatot és eljárásrendet (a továbbiakban együtt: elektronikus ügyfél-átvilágítási szabályzat) kell készítenie, amelyet a szolgáltató irányítási funkciót betöltő testülete hagy jóvá.

Az elektronikus ügyfél-átvilágítással kapcsolatos szabályzat tekintetében a Rendelet minimum tartalmi követelményeket határoz meg, melyek szerint a szolgáltatónak az elektronikus ügyfél-átvilágítási szabályzatában többek között ki kell térnie az auditált elektronikus hírközlő eszköz alkalmazásának feltételeire, működtetésére, a működtetéssel kapcsolatos kontrollokra, nyilvántartási kötelezettségekre, kockázatokra, illetve azok kezelésére, a felülvizsgálatokra, az elektronikus ügyfél-átvilágítás általános szabályaira, a szükséges és elfogadható adatok, információk, dokumentumok körére, illetve az ügyfél-átvilágítás kiszervezésének szabályaira is. A szolgáltató természetesen, amennyiben relevánsnak ítéli, további tárgyköröket is rögzíthet az elektronikus ügyfél-átvilágítási szabályzatában.

Eredménykövetelmény, miszerint az elektronikus ügyfél-átvilágítási szabályzatnak alkalmasnak kell lennie arra, hogy a szolgáltató meg tudjon felelni a rendeletben előírt követelményeknek. Az előzetes felmérés alapján az MNB kiemelten a szolgáltatók által feltárt tipikus kockázatok és hibák bemutatását várja el az elektronikus ügyfél-átvilágítási szabályzatban, valamint a hibák kiküszöbölésére a szolgáltató által tervezett eljárásokat. A Rendelet 7. § (2) bekezdés 6. pontja szerinti értékelés a Rendelet 2. alcíme szerinti előzetes értékelésre, valamint a 4. alcíme szerinti folyamatos ellenőrzésre egyaránt vonatkozik.

A Rendelet az EBA/GL/2022/15 iránymutatásnak való megfelelés érdekében előírja, hogy a szolgáltató folyamatosan ellenőrizzen minden általa alkalmazott auditált elektronikus hírközlő eszközt annak biztosítása érdekében, hogy az auditált elektronikus hírközlő eszköz a szolgáltató belső szabályzatainak és a jogszabályok elvárásainak megfelelően működjön, valamint hogy a szolgáltató korrekciós intézkedésekkel rendelkezzen olyan kockázat felmerülése vagy hiba feltárása esetére, amely hatással van az auditált hírközlő eszköz útján végzett elektronikus ügyfél-átvilágítás hatékonyságára és eredményességére.

E folyamatos ellenőrzésre a Rendelet több módszert is felkínál a szolgáltatónak a kötelező módszer, az automatizált kritikus riasztások és értesítések mellett.

A szolgáltatónak továbbá nyilvántartása alapján az MNB felhívására be kell tudnia mutatni, hogy milyen felülvizsgálatokat és korrekciós intézkedéseket hajtott végre az általa alkalmazott auditált elektronikus hírközlő eszköz teljes alkalmazási időtartama alatt feltárt hiányosságok kezelésére.

A Rendelet az EBA/GL/2022/15 iránymutatással összhangban a 26/2020 (VIII. 25.) MNB rendeletben foglaltakhoz képest kiegészítésre kerül az elektronikus ügyfél-átvilágítási folyamat használatához kapcsolódó IKT- és biztonsági kockázatok azonosításával és értékelésével kapcsolatos rendelkezésekkel.

Az új szabályok értelmében, ha a szolgáltató az elektronikus ügyfél-átvilágítási folyamat lebonyolítására többcélú eszközt használ, a szoftverkódnak az ügyfél oldalán történő futtatásához biztonságos környezetet kell használnia. A szolgáltatónak további biztonsági intézkedéseket is végre kell hajtania a szoftverkód és az összegyűjtött adatok biztonságának és megbízhatóságának biztosítása érdekében.

Az auditált elektronikus hírközlő eszköznek alkalmasnak kell lennie az ügyfélre vonatkozó, a Pmt. 7–10. §-a szerinti ügyfél-átvilágítással kapcsolatos valamennyi adat, dokumentáció és információ befogadására. Kivétel e szabály alól, ha a szolgáltató elektronikus ügyfélazonosító és nyilatkozattételi rendszert működtet (netbank), és e netbank felületén is tölthet fel az ügyfél a 20. § (2) bekezdésében taxatíve meghatározott dokumentumokat, e dokumentumokra ebben az esetben nem terjed ki a fenti követelmény.

A korábbi szabályozáshoz hasonlóan a Rendelet 19. § (3) bekezdésében foglalt ellenőrzési követelmények értelmében a szolgáltató az elektronikus ügyfél-átvilágításra vonatkozó követelmények teljesülését az elektronikus ügyfél-átvilágítási szabályzatban meghatározott foglalkoztatottja által, az elektronikus ügyfél-átvilágítási szabályzatban meghatározott módon ellenőrzi. Ez ugyanakkor nem az egyes, konkrét közvetlen vagy közvetett ügyfél-átvilágítások utólagos ellenőrzését jelenti, hanem az elektronikus ügyfél-átvilágítás működtetésével összefüggő követelmények, folyamatok ellenőrzését.

A Rendelet az EBA/GL/2022/15 iránymutatásnak való megfelelés érdekében a 26/2020. (VIII. 25.) MNB rendeletben foglaltakhoz képest az elektronikus ügyfél-átvilágítás terén új kötelezettségeket tartalmaz.

A szolgáltatónak gondoskodnia kell kontrollmechanizmus alkalmazásáról a kapcsolódó kockázatok kezelésére, ideértve az ügyfél készüléke helymeghatározásának megzavarásával, illetve hamis IP-címek, virtuális magánhálózatok (VPN) vagy más hasonló szolgáltatások használatával kapcsolatos kockázatokat.

Ha a szolgáltató biometrikus adatok használata révén ellenőrzi a természetes személy ügyfél személyazonosságát, akkor gondoskodnia kell arról, hogy a biometrikus adatok kellően egyediek legyenek ahhoz, hogy egyértelműen egyetlen természetes személyhez lehessen kötni őket.

Továbbá a szolgáltatónak kockázatérzékenységi megközelítés alapján legalább egy kontrollmechanizmust vagy más hasonló intézkedést kell alkalmaznia az ellenőrzési folyamat megbízhatóságának fokozása érdekében.

A Rendelet az EBA/GL/2022/15 iránymutatásnak való megfelelés érdekében bevezeti az elektronikus ügyfél-átvilágítás kiszervezésének lehetőségét. Ezzel összefüggésben a Rendelet meghatározza, hogy a szolgáltatónak a kiszervezett tevékenységet végző féllel kapcsolatban milyen követelményeket kell állítania, valamint hogy kockázatérzékenységi alapon a kiszervezés előtt, illetve a kiszervezés alatt milyen intézkedéseket kell végrehajtania, amelyek biztosítják, hogy a kiszervezett tevékenységet végző fél ténylegesen végrehajtja-e a szolgáltató elektronikus ügyfél-átvilágításra vonatkozó belső szabályait, és azoknak megfelelően jár-e el, a kiszervezett tevékenységet végző fél megfelelő felszereltséggel és képességgel rendelkezik-e az elektronikus ügyfél-átvilágítási folyamat, részfolyamat elvégzésére, illetve megfelelően tájékoztatja-e a kiszervezett tevékenységet végző fél a szolgáltatót.

A Rendelet továbbá adatkezelési szabályokat is rögzít, amelyek értelmében a szolgáltatónak biztosítania szükséges, hogy a kiszervezett tevékenységet végző fél az elektronikus ügyfél-átvilágítás folyamat során az ügyfélre vonatkozó adatokat a Rendeletben foglaltakkal összhangban kezelje.

A Rendelet rögzíti továbbá, hogy a kiszervezés nem eredményezheti a szolgáltatónak az üzleti kapcsolat létesítésével kapcsolatos döntési jogkörének átadását.

A Rendelet a Dáptv. rendelkezéseivel összhangban a 26/2020. (VIII. 25.) MNB rendeletben foglaltakhoz képest kibővíti az auditált elektronikus hírközlő eszköz útján végzett közvetett elektronikus ügyfél-átvilágítási módok körét egy új megoldással.

Az eddigi három megoldás – a Központi Azonosítási Ügynökön (KAÜ) keresztül történő személyazonosság igazoló ellenőrzés, az elektronikus tárolóelemet tartalmazó személyazonosító (E-személyi) igénybevételével történő személyazonosság igazoló ellenőrzés, valamint az ügyfelet érintő korlátozások mellett végezhető „egyszerű szelfis” ügyfél-átvilágítás – mellett a Dáptv. szerinti digitális szolgáltatás biztosítására kötelezett szervezetnek minősülő szolgáltató (valamint adott esetben más szolgáltató is) immár egy negyedik módon, az eAzonosítással is végezheti a közvetett elektronikus ügyfél-átvilágítást.

Az eAzonosítást a szolgáltató az ügyfél kockázatiszint-besorolásától függetlenül alkalmazhatja, mivel a megoldás megfelelő biztonsági elemeket tartalmaz. Az eAzonosítás tartalmi, biztonsági követelményeit nem a Rendelet, hanem a Dáptv. végrehajtási szabályai határozzák majd meg.

A Rendelet 33. § (1) bekezdés d) pontja szerinti „egyéb módon” történő közvetett elektronikus ügyfél-átvilágítással kapcsolatban a Rendelet már nem összeghatárhoz kötött tranzakciós korlátozás tartalmaz, hanem általános jelleggel egy évig tartó megerősített eljárást.

A Rendelet az EBA/GL/2022/15 iránymutatásnak való megfelelés érdekében a 26/2020. (VIII. 25.) MNB rendeletben foglaltakhoz képest kiegészítésre kerül, azzal, hogy a szolgáltató egy ún. kérdés-felelet formájú útmutatót készít, amely meghatározza a közvetlen elektronikus ügyfél-átvilágítás egymást követő lépéseit, valamint a foglalkoztatottól elvárt intézkedéseket. Az útmutatónak iránymutatást kell tartalmaznia a közvetlen elektronikus ügyfél-átvilágítás során gyanús viselkedést jelző pszichológiai tényezők és egyéb jellemzők megfigyelésére és azonosítására vonatkozóan.

Mivel a rendelkezéseknek való megfelelés túlnyomó többségében a szolgáltatók részéről jelentős felkészülési időt nem igényel, a Rendelet a kihirdetését követő napon lép hatályba. Kivétel ez alól az elektronikus ügyfél-átvilágítási szabályzatra vonatkozó alcím, amelynek rendelkezései 2025. január 1. napján lépnek hatályba, így erre fél év felkészülést biztosít a Rendelet.

Átmeneti rendelkezésként, a Rendelet elektronikus ügyfél-átvilágítással kapcsolatos szabályainak való megfelelésre tekintettel a szolgáltatók a Rendelet hatálybalépésekor már alkalmazott auditált elektronikus hírközlő eszközeik tekintetében 2024. október 31. napjáig kötelesek a szükséges felméréseket elvégezni, és legkésőbb 2025. május 1. napjáig megfelelni a Rendelet előírásainak.