14/2025. (VI. 16.) MNB rendelet indokolás

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 2024. január 7. napján hatályba lépett módosításaira, ideértve a Magyar Nemzeti Bank (a továbbiakban: MNB) elnökének címzett új felhatalmazó rendelkezést is, továbbá figyelemmel az uniós követelményekre és a felügyelési tapasztalatokra, szükségessé vált a 2024. július 1. napján hatályba lépett, az MNB elnökének adott, általános jellegű pénzmosás és terrorizmusfinanszírozás megelőzési szabályozási tárgykörű jogalkotási felhatalmazásoknak megfelelő normaanyagot magába foglaló, a Magyar Nemzeti Bank által felügyelt szolgáltatóknak a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvényben foglalt egyes kötelezettségei végrehajtásának részletszabályairól, valamint e szolgáltatóknak az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszere kidolgozásának és működtetésének minimumkövetelményeiről szóló 30/2024. (VI. 24.) MNB rendelet [a továbbiakban: 30/2024. (VI. 24.) MNB rendelet] felülvizsgálata.

A 30/2024. (VI. 24.) MNB rendelet új szabályozási megoldásként került alkalmazásra, mivel 2024. július 1. napjától a Pmt.-ben és az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvényben az MNB elnökének adott jogalkotási felhatalmazások közül az „az auditált elektronikus hírközlő eszköz és működtetésének, belső szabályozásának minimum-követelményeire, auditálásának módjára, valamint az ilyen eszköz útján végzett ügyfél-átvilágítás végrehajtására, auditált hírközlő eszközre és elektronikus ügyfél-átvilágításra” vonatkozó jogalkotási felhatalmazással összefüggő szabályozási tárgykörtől (általános AML/CFT szabályozási tárgykörök) elkülönítve került szabályozásra. Ez a szétválasztás lehetővé tette, hogy az egyes szabályozási területek még pontosabban illeszkedjenek az adott eljárási és technológiai követelményekhez, valamint hozzájáruljanak a szabályozás átláthatóságához és hatékonyságához.

A Magyar Nemzeti Bank által felügyelt szolgáltatóknak a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvényben foglalt egyes kötelezettségei végrehajtásának részletszabályairól, valamint e szolgáltatóknak az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszere kidolgozásának és működtetésének minimumkövetelményeiről szóló 14/2025. (VI. 16.) MNB rendelet (a továbbiakban: Rendelet) a 30/2024. (VI. 24.) MNB rendelet által kialakított általános AML/CFT szabályokon alapvetően nem módosít, csak néhány új rendelkezéssel egészíti ki a 30/2024. (VI. 24.) MNB rendeletet, tekintettel arra, hogy az annak kihirdetését követő időszakban mind felügyeleti, mind pedig szabályozási oldalon olyan változások következtek be, amelyeket a rendeletnek egyrészt a pénzmosás és a terrorizmusfinanszírozás elleni még hatékonyabb fellépés érdekében szükséges lekövetnie, másrészt a módosítás az új uniós normák átültetését is szolgálja.

2025. január 1. napjától új felhatalmazó rendelkezéssel egészült ki a Pmt., amely szerint az ügyfél és a tényleges tulajdonos vonatkozásában a kiemelt közszereplői minőség megállapításával kapcsolatos kockázatkezelési rendszer kialakítására vonatkozó részletszabályokat az MNB elnökének rendeletében szükséges kialakítani.

Ugyanezen naptól az MNB pénzmosás-megelőzési felügyelete alá kerültek a kriptoeszköz-szolgáltatók, erre tekintettel a rájuk vonatkozó speciális szabályokkal is kiegészül a normaanyag, amelyhez egyrészt a 648/2012/EU európai parlamenti és tanácsi rendelet módosításáról, valamint a 2005/60/EK európai parlamenti és tanácsi irányelv és a 2006/70/EK bizottsági irányelv hatályon kívül helyezéséről szóló, 2015. május 20-i (EU) 2015/849 európai parlamenti és tanácsi irányelv (AMLD4), másrészt pedig a pénzátutalásokat és egyes kriptoeszköz-átruházásokat kísérő adatokról és az (EU) 2015/849 irányelv módosításáról szóló, 2023. május 31-i (EU) 2023/1113 európai parlamenti és tanácsi rendelet (Travel Rule rendelet) ad alapot. Az Európai Bankhatóság pénzátutalásokhoz és egyes kriptoeszköz-átruházásokhoz kapcsolódó adatközlési követelményekkel kapcsolatos iránymutatásának (EBA Iránymutatás, EBA/GL/2024/11) több rendelkezése erősen normatív jellegű elemet tartalmaz, amelyek egységes kikényszeríthetőségéhez jelentős pénzmosás-megelőzési felügyeleti érdek fűződik, ezért ezeket MNB rendeleti szinten szükséges szabályozni. Mindemellett olyan egyéb rendelkezésekkel egészül ki a szabályozás, amelyek az elmúlt időszak felügyeleti tapasztalatain alapulnak.

A jogalkotásról szóló 2010. évi CXXX. törvény 18. § (5)–(6) bekezdése, továbbá a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján jelen indokolás a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A Rendelet a Pmt. 1. § (1a) bekezdésére való utalással egyértelművé teszi, hogy a Rendelet hatálya kiterjed azon szolgáltatókra is, akik határon átnyúlóan tartós üzleti egység (akár közvetítő) útján nyújtanak szolgáltatást Magyarországon.

Az értelmező rendelkezések a 30/2024. (VI. 24.) MNB rendelettel megegyezően tartalmazzák a kockázati profil, a monitoring, a pénzmosási és terrorizmusfinanszírozási kockázat, a megerősített eljárás, valamint a szokatlan ügylet, a csatorna, az eredendő kockázat, a készpénzes ügylet, a küszöbérték és a vezető testület meghatározását. Az előbbiektől eltérően, törlésre került a 30/2024. (VI. 24.) MNB rendeletben használt „áru” fogalma, és a szövegben történő előfordulásai „szolgáltatásra”, illetve „termékre” módosultak, mivel gyakorlati tapasztalatok alapján az áru szó használata a felügyelt szervezetek körében értelmezési bizonytalanságot keltett, valamint a Pmt. sem használja. Továbbá új fogalomként kerül be a pénzforgalmi szolgáltató, egyértelműsítve a vonatkozó alanyi kört, valamint a kriptoeszköz-szolgáltatókkal összefüggésben a saját tárhelyen működtetett cím fogalma.

A fogalmak célja tehát az új elvárásokhoz kapcsolódóan az egységes jogalkalmazás elősegítése.

A Rendelet a 30/2024. (VI. 24.) MNB rendelet szabályait közel változatlan formában átemeli, ugyanakkor további új rendelkezéssel is kiegészíti.

A Pmt. 8. § (4) bekezdése a szolgáltató részére előírja, hogy a szolgáltató tegyen meg minden további, a felügyeletet ellátó szerv által meghatározott észszerű intézkedést mindaddig, amíg nem bizonyosodik meg a tényleges tulajdonos személyéről, ideértve az ügyfél tulajdonosi és irányítási rendszerének megértését is. A Pmt. 2025. január 1. napján történt módosítása továbbá rögzíti, hogy a szolgáltató köteles a felügyeleti szerv által útmutatóban – azaz a jelen Rendeletben – meghatározott intézkedéseket megtenni annak érdekében, hogy a tényleges tulajdonos kilétéről és tényleges tulajdonosi minőségéről meggyőződhessen. A felügyelet által meghatározott részletszabályok a Pmt.-ben foglalt vonatkozó felhatalmazó rendelkezés alapján kerültek be a Rendeletbe, az EBA Iránymutatás kapcsolódó elvárásaival [4.13., 4.17., 4.20. a) pont, 4.22.] együtt.

A szolgáltatónak olyan észszerű intézkedéseket kell tennie, amelyek alkalmazásával feltárja a tényleges tulajdonosi struktúra szerkezetét. A szolgáltató e körben ellenőrzi az elérhető nyilvántartásokban szereplő információkat, valamint szükségszerűen végigvezeti a tulajdonosi láncolatot is. A rendelkezés nem támaszt olyan elvárást, hogy a nyilvántartások igénybevételéhez a szolgáltató bármilyen előfizetéssel kell, hogy rendelkezzen, az ügyfelekkel kapcsolatos kockázatvállalási politikákat a szolgáltatóknak úgy kell kialakítani, hogy ha magasabb kockázatot kívánnak vállalni, akkor ahhoz a kockázatkezelési eszközrendszerüket is hozzá kell igazítani.

A tényleges tulajdonos meghatározása érdekében a szolgáltatónak a Pmt. 3. § 38. pontjában foglaltaknak, valamint az MNB által a honlapján közzétett pénzmosás- és terrorizmusfinanszírozás-megelőzési tárgyú dokumentumoknak [elektronikus elérési útvonala: Pénzmosás ellen (mnb.hu)] megfelelően kell megvizsgálnia, hogy vannak-e olyan személyek, akik a jogi személynek vagy jogi személyiséggel nem rendelkező szervezetnek minősülő ügyfél tekintetében egyéb módon tényleges irányítást, ellenőrzést gyakorolnak.

Felügyeleti elvárásként került meghatározásra – tekintettel a magas strómankockázatra – a Rendelet 7. §-a, amely rögzíti, hogy abban az esetben, ha kétség merül fel a tényleges tulajdonos kilétével kapcsolatban, úgy a szolgáltató ellenőrzi a tényleges tulajdonos személyazonosságát annak személyes jelenlétében vagy auditált hírközlő eszköz útján, és ügyfélismereti beszélgetést hajt végre az ügyféllel, valamint kockázatérzékenységi alapon a tényleges tulajdonossal is.

A Rendelet ezen túlmenően a Pmt.-ben foglalt kockázatcsökkentő intézkedéseket rendeli alkalmazni azokban az esetekben, amikor a szolgáltató intézkedései nem vezetnek eredményre a tényleges tulajdonos kilétének azonosítására vonatkozóan. E körben a szolgáltató ellenőrzi a tényleges tulajdonos valós gazdasági kapcsolódását is, amely magában foglalja a felek (tényleges tulajdonos és az ügyfél, illetve az ügyfél mögötti szervezetek) közötti valós gazdasági, pénzügyi vagy üzleti érdekeket. Tehát az előbb említett kapcsolatok mögött valós együttműködésnek kell állnia a tényleges tulajdonos és annak partnereit illetően, amelyet a szolgáltatónak ellenőriznie kell a rendelkezés vonatkozásában.

A Travel Rule rendelet 2025. január 1. napjával bevezette a kriptoeszköz és a kriptoeszköz-szolgáltató fogalmát az AMLD4 irányelvbe, amely egyben azt is jelentette, hogy módosult a virtuális fizetőeszközök, valamint a virtuális fizetőeszközök és rendeleti pénzek közötti átváltási szolgáltatásokat nyújtó szolgáltató szabályozása.

A fentiekre tekintettel a hazai szabályozási környezetben is jogalkotás vált szükségessé, amelynek következtében a Pmt. 2025. január 1. napjától hatályos 3. § 28. pont o) alpontja szerint a kriptoeszköz-szolgáltató pénzügyi szolgáltatónak minősül, és mint ilyen, az MNB pénzmosás-megelőzési felügyelete alá került, ennek megfelelően a Pmt. további, ezen témakört érintő rendelkezései is módosultak. Továbbá a korábban a Nemzeti Adó- és Vámhivatal Pénzmosás és Terrorizmusfinanszírozás Elleni Iroda pénzmosás-megelőzési felügyelete alá tartozó, de 2025. január 1. napjától már a kriptoeszköz-szolgáltatónak minősülő virtuális és törvényes fizetőeszközök, illetve virtuális fizetőeszközök közötti átváltási szolgáltatásokat nyújtó szolgáltatók és letétkezelő pénztárca-szolgáltatók felügyeletét is átvette az MNB.

Így a fentiekre tekintettel a jelen cím új speciális szabályokkal egészül ki a kriptoeszköz-szolgáltatókra vonatkozóan. Az új szabályozás szerint a kriptoeszköz-szolgáltató köteles ellenőrizni, hogy a saját tárhelyen működtetett cím a tranzakció kezdeményezőjének, illetve kedvezményezettjének a tulajdonában vagy végső irányítása alatt áll-e. Az előzőek érdekében a szolgáltatónak a következő intézkedés közül legalább egyet meg kell tennie:

– az Online átvilágítás rendelet [a Magyar Nemzeti Bank által felügyelt szolgáltatók által alkalmazott auditált elektronikus hírközlő eszköz és működtetésének, belső szabályozása minimumkövetelményeinek, auditálása módjának, valamint az ilyen eszköz útján végzett elektronikus ügyfél-átvilágítás végrehajtásának részletszabályairól szóló 29/2024. (VI. 24.) MNB rendelet] szerinti auditált elektronikus hírközlő eszköz alkalmazásával közvetlen vagy közvetett ügyfél-átvilágítás végrehajtása;

– a kriptoeszköz-szolgáltató által előre meghatározott összeg – lehetőleg az adott kriptoeszköz legkisebb címletének – küldése a saját tárhelyen működtetett címről a kriptoeszköz-szolgáltató számlájára;

– az ügyfél felkérése, hogy digitálisan írjon alá egy adott üzenetet a számla- és tárcaszoftverben az adott címnek megfelelő kulccsal;

– olyan megbízható és biztonságos technikai eszköz alkalmazása, amellyel a kriptoeszköz-szolgáltató meggyőződhet arról, hogy az adott cím valóban a kezdeményező vagy a kedvezményezett tulajdonában, valamint végső irányítása alatt áll-e.

A második lehetőség esetében fontos rögzíteni, hogy az csak egy lehetősége a szolgáltatónak, hogy az adott kriptoeszköz legkisebb címletét küldje, a szolgáltató dönthet másképp, amennyiben az indokolt. A rendelkezés célozza az illetéktelen díjbeszedést, valamint a csalás elkerülését is.

A Rendelet a 30/2024. (VI. 24.) MNB rendelet szabályait e rendelkezések vonatkozásában változatlan formában átemeli.

Tekintettel arra, hogy a Pmt. 15. § (1b) bekezdése kockázatérzékenységi megközelítés alapján a szolgáltatóra bízza az ügyfél-átvilágítási intézkedések elvégzését, szükséges annak előírása, hogy a szolgáltató határozzon meg egy észszerű küszöbértéket és határidőt, amely elérésekor sor kerül az addig későbbre halasztott intézkedések végrehajtására. A Rendelet továbbá kiegészíti a fokozott ügyfél-átvilágítás körét azokkal az esetekkel, amikor a szolgáltató belső kockázatértékelése alapján egy magas terrorizmusfinanszírozási kockázatot hordozó nonprofit szervezet, illetve magas proliferációfinanszírozási kockázatot hordozó szervezet vagy a szolgáltató tulajdonosi és irányítási szerkezete az üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.

A rendelkezések láttató jellegű alkalmazását az is indokolja, hogy a felügyelt szervezetek kockázatértékelése megfeleljen a kapcsolódó MONEYVAL elvárásoknak is. Továbbá felügyeleti tapasztalat alapján a fokozott ügyfél-átvilágítást előíró rendelkezések közé bekerül a szolgáltató belső kockázatértékelése alapján a működéséhez képest különösen jelentős készpénzforgalmazást lebonyolító szervezet, továbbá a szolgáltató belső kockázatértékelése alapján magas földrajzi kockázatú területhez szorosan kapcsolódó szervezet is.

A Rendelet a 30/2024. (VI. 24.) MNB rendelet szabályait közel változatlan formában átemeli, ugyanakkor további új rendelkezéssel is kiegészíti.

Az ügyfél egyedi kockázatbesorolása alapján elvégzendő szolgáltatói intézkedések külön alcímként kerültek beiktatásra az EBA Iránymutatás 4.38. pontjának megfelelően. Előírásra került, hogy a szolgáltatónak az üzleti kapcsolat jellegének és céljának megállapítása érdekében milyen intézkedéseket kell megtennie.

A Rendelet 12–13. §-ában található rendelkezések a kockázati besorolás érdekében beszerzendő további információkat határoznak meg egy ügyfélismereti kérdőív formájában. E kötelezettség a szolgáltatók számára előírja egy adott adattartalmú kérdőív kitöltését, és célja olyan kockázati indikátorok felmérése, amelyek jelentős segítséget jelentenek a szolgáltatóknak ahhoz, hogy az ügyfeleik kockázati szintjét érdemben meghatározzák, és ezáltal a szolgáltató megértse az üzleti kapcsolat célját és jellegét. Ezen adatok alkalmasak továbbá arra is, hogy a későbbi monitoringtevékenységében is támogassák a szolgáltatót.

Indokolt elvárás, hogy ha a szolgáltató az üzleti kapcsolat során az ügyfél vonatkozásában az általa ismert Know Your Customers (KYC, „ismerd meg az ügyfeledet elve”) adatokhoz képest eltérő körülményeket észlel, azokat kockázatérzékenységi alapon záros határidőn belül kísérelje meg tisztázni az ügyféllel. Amennyiben ez nem vezet sikerre, a kockázatokra tekintettel indokolt a szükséges ügyfél-átvilágítási intézkedések megtétele, és az alatt a Pmt. 13. § (8) bekezdésében foglalt intézkedések megtétele, különösképpen a felfüggesztés alkalmazandó.

A szolgáltató mellőzheti az ügyfélismereti kérdőív azon pontjainak a kitöltését, amelyek a szolgáltató jellegéből, tevékenységéből adódó okból nem értelmezhetőek, vagy amelyek vonatkozásában az információ más hiteles forrásból már a szolgáltató rendelkezésére áll. Továbbá a Rendelet egy új mellőzési lehetőséget tartalmaz, amikor is a szolgáltatónak az információ beszerzése más módon egyszerűbb, és a beszerzésig eltelt időben a pénzmosás vagy a terrorizmus finanszírozásának valószínűsége csekély.

A fejezet 4. alcíme igazodott a Pmt. 2024. július 1. napjával hatályba lépett kijelölt felelős vezető fogalmához, és a Pmt. 77. § (3) bekezdés f) pontjában foglalt felhatalmazás alapján rendelkezik a döntését igénylő esetek köréről, figyelemmel az AMLD4 irányelv 8. cikke és VI. fejezete szerinti AML/CFT megfelelési tisztviselő szerepéről és felelősségi köréről szóló EBA/GL/2022/05 EBA iránymutatásban foglaltakra, továbbá igazodva az MNB felügyeleti tapasztalataihoz is. A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól szóló 26/2020. (VIII. 25.) MNB rendelet elvárásai közül több régi pont kikerül, és újak kerülnek bevezetésre a 17. § (1) bekezdés a), d), e) és f) pontjában.

A Rendelet 18. §-ában kapnak helyet a kijelölt felelős vezető döntésének átruházására vonatkozó konkrét esetkörök, azzal a megkötéssel, hogy ezeket a döntéseket csak olyan vezetőre lehet delegálni, akinek a döntéshez szükséges szakmai ismeretei rendelkezésre állnak.

A megerősített eljárás esetkörei és feltételrendszere kapcsán a Rendelet a 30/2024. (VI. 24.) MNB rendeletben foglaltakkal azonos szabályozást vesz át, azon kivétellel, hogy kiegészül az olyan zártkörű befektetési alappal, melynek tulajdonosi és irányítási rendszere még nem került feltárásra, és a Pmt. 3. § 38. pontjának g) alpontja alapján a szolgáltató még nem állapította meg a zártkörű befektetési alap ügyfele tényleges tulajdonosát. A kiegészítésre azért van szükség, mert 2025. január 1. napjától a Pmt. meghatározza, hogy a zártkörű befektetési alapok esetében kit kell tényleges tulajdonosnak tekinteni és a meglévő ügyfeleket szükséges megerősített eljárásban kezelni mindaddig, amíg nem kerül sor a tényleges tulajdonosok új szabály szerinti megállapítására.

Az intézkedések közé tartozik, hogy a szolgáltató megvizsgálja, hogy ügyfele üzleti tevékenysége gazdasági szempontból racionális-e. E rendelkezés célja, hogy a szolgáltató megállapítsa, hogy az ügyfél számláin van-e munkabérekkel, közüzemi díjakkal kapcsolatos forgalom, fizet-e adót, látszik-e a tevékenységéből a profit stb.

Hiteles, megbízható nyilvános forrás tekintetében az MNB 15/2022. (IX. 15.) számú ajánlásának több pontja nyújt útmutatást (pl. az 50. pont).

A Rendelet a 30/2024. (VI. 24.) MNB rendelet szabályait közel változatlan formában átemeli, ugyanakkor további új rendelkezéssel is kiegészíti.

A belső kockázatértékelés elkészítésének szabályrendszere tartalmazza az EBA Iránymutatás normatív jellegű elvárásait, így többek között az információforrásokra, a szolgáltató által a felmerülő kockázatok feltárása érdekében bevezetendő rendszerekre és kontrollmechanizmusokra, valamint a kockázatértékelés naprakészen tartására vonatkozóan. A szabályozás továbbá felügyeleti tapasztalatok alapján előírja, hogy a szolgáltatónak a kockázati tényezők súlyozásakor milyen feltételeknek kell megfelelnie. Új elemként jelenik meg, hogy a szolgáltatónak az üzletági tevékenységei kockázati tényezőinek beazonosítása, valamint a kockázatok kezeléséhez szükséges intézkedések meghatározása során közvetlenül, MNB ajánlásba történő implementálás nélkül is figyelembe kell vennie az Európai Bankhatóság és a Pénzmosás és Terrorizmusfinanszírozás Elleni Hatóság által kiadott (de még ajánlás formába át nem ültetett), a szolgáltatóknak is címzett iránymutatásokat, figyelemmel a pénzmosás-megelőzési területen tapasztalható és a közeljövőben várható igen nagy mértékű és dinamikájú iránymutatási szintű szabályozásra.

A Rendeletben kap helyet az AMLD4 19a. cikk implementálása is. A kriptoeszköz-szolgáltató köteles azonosítani és felmérni a saját tárhelyen működtetett címekre irányuló vagy azokról kiinduló kriptoeszköz-átruházásokkal összefüggő pénzmosási és terrorizmusfinanszírozási kockázatot, a feltárt kockázatokat kockázatértékelésében, a kockázatok csökkentése és kezelése érdekében intézkedéseit pedig belső eljárásrendjében feltüntetni. A kriptoeszköz-szolgáltatók kötelesek az általuk végzett, a saját tárhelyen működtetett címekre irányuló vagy azokról kiinduló kriptoeszköz-átruházásokkal összefüggő tevékenységhez kapcsolódó kockázatcsökkentő intézkedéseket alkalmazni, legalább egyet a Rendeletben felsoroltak közül. Ezen intézkedések közül „a további információk megadásának előírása az átruházott kriptoeszközök eredetéről és rendeltetési helyéről” intézkedés esetében az „eredet” fogalma alatt a Rendelet nem a pénzeszközforrást érti, hanem azt, hogy a kibocsátótól vették-e meg, vagy másik kriptotárcából érkezett-e, és amennyiben igen, melyik tárcából. Az eredet lényege tehát itt az átruházási láncolat lekövethetősége.

2025. január 1. napjától új felhatalmazó rendelkezéssel bővült a Pmt., amellyel sor került az ügyfél és a tényleges tulajdonos vonatkozásában a kiemelt közszereplői minőség megállapításával kapcsolatos kockázatkezelési rendszer kialakításának részletszabályai megállapítására, a Pmt. 9/A. § (1) bekezdésében meghatározott új kötelezettséghez kapcsolódóan. A Pmt. 9/A. § (1) bekezdése előírja, hogy a szolgáltató köteles olyan kockázatkezelési rendszert kialakítani és fenntartani, amely alapján a szolgáltató képes annak folyamatos megállapítására, hogy az ügyfél vagy a tényleges tulajdonos kiemelt közszereplőnek vagy kiemelt közszereplő közeli hozzátartozójának vagy a kiemelt közszereplővel közeli kapcsolatban álló személynek minősül-e.

Az új rendeleti szabályozás e körben részletezi az ügyfél és a tényleges tulajdonos kiemelt közszereplői minőségének ellenőrzésére vonatkozó kötelezettségeket, amelyek az ügyfelek egyedi kockázati besorolását is figyelembe véve túlmutatnak a Pmt. által meghatározott alapvető, kockázati alapon nyugvó időszakos ellenőrzéseken (periodical review). A szolgáltatók a kiemelt közszereplői minőség megállapításához elektronikus – akár innovatív – eszközöket, dokumentumokat vagy ezek kombinációit is alkalmazhatják, de ezzel nem kizárva a papír alapon való nyilatkoztatás lehetőségét sem. Ugyanakkor az ellenőrzés kizárólag olyan eszközökkel végezhető, amelyek megfelelnek a megbízhatóság és függetlenség követelményének, kivéve, ha a szolgáltató közhiteles hatósági nyilvántartást használ.

Új rendelkezésként kerül meghatározásra az a kötelezettség is, miszerint a szolgáltató köteles hatástanulmányt készíteni az általa használt nyilvántartások alkalmazhatóságáról a felügyelet erre vonatkozó felhívására, amennyiben a felügyelet a szolgáltató által alkalmazott nyilvántartásokról nem rendelkezik információval. A szabályozás részletezi, hogy a hatástanulmányban a szolgáltatónak mit kell kötelezően rögzítenie, mint például az információ- és kommunikációtechnológiai kockázatokat, a minőségi kockázatokat, a jogi (különösen az adatvédelmi) kockázatokat, valamint harmadik felek szerepét és a hozzájuk kapcsolódó kockázatokat. Az adatvédelmi kockázatok felmérése során a szolgáltató köteles tájékozódni a nyilvánosan elérhető információkból, különös tekintettel arra, hogy az adatvédelmi hatóság szabott-e ki bírságot az érintett adatbázis-kezelőre, vagy történt-e vele szemben egyéb adatvédelmi eljárás.

A szolgáltatónak továbbá belső szabályzatában meg kell határoznia, hogy mely információkat és adatokat hogyan fogja a megbízhatóság és a függetlenség szempontjából értékelni az általa alkalmazott nyilvántartásokból, amelyhez pedig figyelembe kell vennie a jogszabályban rögzített feltételeket. A Rendelet 32. § (3) bekezdés b) pontja esetében a szolgáltatónak fel kell tárnia, hogy a nyilvántartás mögött milyen szervezetek vagy személyek állnak. Tehát a szolgáltatónak a nyilvántartást üzemeltető tulajdonosi körét meg kell állapítani, ugyanakkor ettől az üzemeltetőtől nem lehet azt elvárni, hogy a saját tulajdonosi körébe tartozható személyekről is hiteles információkat szolgáltasson. Ilyen érdekkonfliktus esetén az adatbázis-üzemeltetőre vonatkozó ügyfél- és tényleges tulajdonosi adatokat más független nyilvántartásból kell beszerezni. Azt a partnert kell vizsgálni, aki a nyilvántartást üzemelteti a szerződéskötés során, tőle meg kell követelni, hogy tulajdonosi viszonyait feltárja, és jelezze azokat a személyeket előzetesen, akik vonatkozásában szolgáltatása esetén érdekütközés állhat fenn. Ilyen érdekkonfliktus esetén pedig javasolt, hogy az adatbázis-üzemeltetőre vonatkozó ügyfél- és TT-adatokat más nyilvántartásból szerezzék be. Azokban az esetekben, ahol a forrás nem megállapítható, az adatokat a Rendelet 32. § (3) bekezdés a) pontja szerint a hitelesség körében kell értékelni.

Az ügylet felfüggesztésének szabályozása a 30/2024. (VI. 24.) MNB rendeletben foglaltakhoz képest nem változik.

A szolgáltató által működtetett belső ellenőrző és információs rendszerek működtetésére vonatkozóan elvárásokat rögzít a Rendelet, tekintettel az EBA Iránymutatás tranzakció-monitoringra vonatkozó normatív rendelkezéseinek implementálására. Ennek okán egyrészt beépült a Rendeletbe, hogy a szolgáltatónak rendelkeznie kell olyan szűrőrendszerrel, amely az ügyletek valós idejű monitoringját biztosítja, másrészt pedig a szolgáltatónak magának kell meghatároznia a szűrési feltételeinek intenzitását és az ügylet monitoringjának gyakoriságát, figyelembe véve az üzleti tevékenységének jellege, nagyságrendje és összetettsége, valamint a kockázati kitettségének szintje alapján kialakított szokatlan ügyletekre figyelmeztető jelzéseket és az MNB jelzéseit is. A Rendelet a 30/2024. (VI. 24.) MNB rendelettől eltérően nem terjeszti ki minden szolgáltatóra a valós idejű monitoringot, csak arra a körre, amelynek kötelezően automatikus szűrőrendszert kell használnia.

Továbbá, mint a 30/2024. (VI. 24.) MNB rendeletben, a Rendeletben sem szerepelnek kötelező szűrési feltételek, és továbbra is kockázatalapon írja elő a szolgáltatónak a kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmus finanszírozása szempontjából történő elemzésének és értékelésének határidejét, de legfeljebb a szűrés elvégzésének napját követő hatvan munkanapon belül.

A képzési program szabályozása tartalmilag nem változott.

A Rendelet a 30/2024. (VI. 24.) MNB rendelet szabályait változatlan formában átemeli.

A Rendelet a Pmt. 27. § (5) bekezdésében foglalt, a külső ellenőrzési funkció kijelölésére vonatkozó elvárásokat tölti meg további tartalommal. A szolgáltatók által a gyakorlatban eddigiekben kevéssé igénybe vett külső ellenőrzési funkció célja, hogy segítse a szolgáltató pénzmosás- és terrorizmusfinanszírozás-megelőzési területével kapcsolatos működését, és egy objektív értékelést adjon róla. A szabályozás egyrészt szigorú szakmai követelményeket fűz a külső ellenőrzési funkció tevékenységének végzéséhez, amelyre tekintettel a szolgáltatónak bizonyítási kötelezettsége áll fent az MNB felé, hogy az előírásoknak az általa választott ellenőrzési funkciót betöltő személy megfelel-e. Az előbbiekkel összefüggésben a Rendeletben meghatározásra kerülnek a külső ellenőrzési funkciót betöltő személyre vonatkozó összeférhetetlenségi szabályok is.

A Rendelet másrészt azt is előírja, hogy mely esetekben kötelező külső ellenőrzési funkciót igénybe vennie a szolgáltatónak.

A fentiek mellett a Rendelet megállapítja a külső ellenőr működésére vonatkozó elvárásokat és garanciális szabályokat, beleértve a jelentéskészítési kötelezettséget is, amelyben bemutatja, hogy a szolgáltató képes-e a Pmt.-ben, valamint az annak felhatalmazásán alapuló jogszabályban foglalt kötelezettségek teljesítésére, és hogy az ehhez szükséges eljárásrendjei, az általa alkalmazott rendszerek, valamint a belső és külső erőforrásai megfelelőek és elégségesek-e. A jelentéskészítési kötelezettség eseti megbízás esetén annak lezártakor, határozott idejű megbízása esetén évente egyszer áll fenn. A Rendelet a jelentés kötelező tartalmi elemeiről is rendelkezik.

A szabályozás rendezi a külső ellenőr által okozott károk fedezésének biztosítására vonatkozó előírásokat, és a külső ellenőri funkció ellátására létrejövő megbízási szerződés egyes fontos tartalmi elemeit is rögzíti.

A Rendelet szabályai három ütemben lépnek hatályba. Egyrészt 2025. július 1. napján, tekintettel arra, hogy az ezen a napon hatályba lépő rendelkezések a szolgáltatók részéről jelentős felkészülési időt nem igényelnek.

2025. szeptember 1. napján és december 31. napján lépnek hatályba a Rendelet azon rendelkezései, amelyek jelentősebb felkészülési időt igényelnek a felügyelt szolgáltatók részéről.