30/2024. (VI. 24.) MNB rendelet
30/2024. (VI. 24.) MNB rendelet
a Magyar Nemzeti Bank által felügyelt szolgáltatóknak a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvényben foglalt egyes kötelezettségei végrehajtásának részletszabályairól, valamint e szolgáltatóknak az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszere kidolgozásának és működtetésének minimumkövetelményeiről
A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 77. § (3) bekezdés a)–c) és e)–k) pontjában kapott felhatalmazás alapján,
a 9. alcím tekintetében az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény 17. § (3) bekezdésében kapott felhatalmazás alapján,
a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (9) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:
ÁLTALÁNOS RENDELKEZÉSEK
1. § (1) E rendelet hatálya – a (2) bekezdésben meghatározott kivétellel – a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 1. § (1) bekezdés a)–e) és m) pontja, valamint (1a) bekezdése szerinti szolgáltatóra (a továbbiakban együtt: szolgáltató) terjed ki.
(2) E rendelet 8. alcíme nem terjed ki a kizárólag a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény szerinti számlainformációs szolgáltatást nyújtó szolgáltatóra.
2. § E rendelet alkalmazásában
1. áru: a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § 2. pontjában meghatározott fogalom,
2. csatorna: elektronikus technikai eszköz – különösen mobiltelefon, számítógép, táblagép – vagy közvetítő, amelynek igénybevételével az ügyintézés nem abban a helyiségben történik, ahol a szolgáltató a tevékenységét állandó jelleggel folytatja,
3. készpénzes ügylet: az ügyfél részére történő készpénzkifizetés és az ügyfél általi készpénzbefizetés pénznemtől függetlenül,
4. kockázati profil: a beazonosított pénzmosási és terrorizmusfinanszírozási kockázatok csökkentését követően megmaradó kockázat általános jellege, beleértve a kockázat típusát és szintjét is,
5. küszöbérték: az üzleti kapcsolat során teljesített ügyletek révén elérhető olyan kumulált összeghatár, amelyet a szolgáltató kockázatérzékenységi alapon határoz meg,
6. megerősített eljárás: az ügyfélben, az áruban, az ügyletben, az alkalmazott eszközben vagy a földrajzi kitettségben rejlő kockázat kezelésére szolgáló kockázatalapú intézkedések együttesét magába foglaló fokozott monitoring,
7. monitoring: az üzleti kapcsolat és az ügyleti megbízásokat rendszeresen adó ügyfél folyamatos figyelemmel kísérése,
8. pénzmosási és terrorizmusfinanszírozási kockázat: a pénzmosás vagy a terrorizmusfinanszírozás felmerülésének valószínűsége és hatása,
9. szokatlan ügylet: olyan ügylet,
a) amely nincs összhangban az áruval kapcsolatban általánosan követett eljárásokkal,
b) amelynek nincs világosan érthető gazdasági célja vagy jogi alapja, vagy
c) amely esetében az ügyfél korábbi tevékenységéhez képest indokolatlanul megváltozik az ügyletek gyakorisága, illetve nagysága,
10. vezető testület: valamely szolgáltató irányítási funkciót betöltő testülete, illetve a felvigyázási funkciót betöltő testülete.
AZ ÜGYFÉL-ÁTVILÁGÍTÁSRA ÉS A TÉNYLEGES TULAJDONOS SZEMÉLYAZONOSSÁGÁNAK ELLENŐRZÉSÉRE VONATKOZÓ EGYES SZABÁLYOK
1. A tényleges tulajdonos kilétének, valamint az ügyfél tulajdonosi és irányítási szerkezetének megértése és megállapítása érdekében megteendő intézkedések
3. § A szolgáltató a Pmt. 8. § (4) bekezdésében és 9. § (3) bekezdésében előírt kötelezettség végrehajtása érdekében az ügyfél tulajdonosi és irányítási szerkezetének megértése céljából olyan észszerű intézkedéseket végez, amelyek elegendők ahhoz, hogy a szolgáltató meggyőződhessen arról, hogy átlátja és megérti az ügyfél vonatkozásában a tulajdonlás, irányítás és az ellenőrzés különböző szintjeihez kapcsolódó kockázatot, és meg tudja határozni a tényleges tulajdonosok kilétét.
4. § (1) A tényleges tulajdonos meghatározása érdekében a szolgáltató a Pmt. 3. § 38. pontjában foglaltaknak megfelelően – figyelembe véve a Magyar Nemzeti Bank (a továbbiakban: MNB) által nyilvánosságra hozott információkat is – megvizsgálja, hogy vannak-e olyan személyek, akik a jogi személynek vagy jogi személyiséggel nem rendelkező szervezetnek minősülő ügyfél tekintetében egyéb módon tényleges irányítást, ellenőrzést gyakorolnak. A szolgáltató ennek érdekében figyelembe veszi különösen:
a) az ügyfelet érintő, közvetlen tulajdonlás nélküli irányítást hozzátartozói viszony vagy szerződéses kapcsolatok révén,
b) az ügyfél tulajdonában lévő eszközök igénybevételét, használatát vagy azokból való haszonszerzést, továbbá
c) az ügyfél üzleti gyakorlatait vagy működését befolyásoló stratégiai döntésekért való felelősséget.
(2) A szolgáltató a tényleges tulajdonos kilétének megállapítása érdekében alkalmazott módszert belső szabályzatában rögzíti.
(3) A szolgáltató az ügyfél tulajdonosi és irányítási szerkezetének megállapítását akkor alapozhatja kizárólag az ügyfél nyilatkozatára, ha az ügyfél alacsony kockázatú, és a nyilatkozat valóságtartalmával összefüggésben az összes körülmény figyelembevételével a szolgáltatóban nem merül fel kétség. A szolgáltató minden más esetben kockázatérzékenységi megközelítés alapján a felmerült kockázati szinthez mérten arányos intézkedéseket alkalmaz az ügyfél tulajdonosi és irányítási szerkezetének feltárása érdekében.
5. § A szolgáltató a jogi személy ügyfél vonatkozásában kockázatérzékenységi alapon ellenőrzi a létesítési joghatósága szerinti tényleges tulajdonosi nyilvántartást, amennyiben a nyilvántartásban szereplő adatok a szolgáltató számára hozzáférhetőek. A jogi személy ügyfél vonatkozásában a tényleges tulajdonosok nyilvántartásában szereplő adatok kockázatérzékenységi alapon történő értékelésén túl a szolgáltató további adatokat szerez be, ha az üzleti kapcsolathoz magasabb kockázat társul, vagy ha a szolgáltatónak kétségei vannak afelől, hogy a nyilvántartásban szereplő személy a tényleges tulajdonos.
6. § (1) A szolgáltató az ügyfél által megnevezett vezető tisztségviselőt kizárólag abban az esetben rögzítheti az ügyfél tényleges tulajdonosaként, ha minden lehetséges eszközt kimerített azon természetes személy azonosítása céljából, aki az ügyfél tekintetében a Pmt. 3. § 38. pont a) vagy b) alpontja szerinti tulajdoni hányaddal, szavazati joggal vagy meghatározó befolyással rendelkezik, vagy aki egyéb módon tényleges irányítást, ellenőrzést gyakorol felette.
(2) A szolgáltató az (1) bekezdésben foglalt esetben a nyilvántartásában visszakereshető módon rögzíti annak okát, hogy az ügyfél tényleges tulajdonosaként miért az ügyfél által megnevezett vezető tisztségviselőt rögzítette.
7. § Ha kétség merül fel a tényleges tulajdonos kilétével kapcsolatban, a szolgáltató az ügyfél által megnevezett tényleges tulajdonos vonatkozásában a következő intézkedéseket alkalmazza:
a) a tényleges tulajdonos személyazonosságának igazoló ellenőrzése és
b) az üzleti kapcsolat céljának és jellegének, valamint a tényleges tulajdonos valós gazdasági kapcsolódásának ellenőrzése érdekében visszakereshető módon dokumentált és a Pmt. 56–58. §-ában foglaltaknak megfelelően megőrzendő ügyfélismereti beszélgetés lefolytatása
ba) az ügyféllel,
bb) – amennyiben a tényleges tulajdonos ebben együttműködik – kockázatérzékenységi alapon a tényleges tulajdonossal is.
8. § Ha a szolgáltató az ügyfél-átvilágítás keretében elvégzett intézkedések eredményeképpen nem tudja megismerni az ügyfél tulajdonosi és irányítási szerkezetét, és ekképpen a tényleges tulajdonos kilétét sem, az érintett ügyfélre vonatkozóan a Pmt. 13. § (8) bekezdésében foglaltak szerint jár el.
9. § A szolgáltató az ügyfél vonatkozásában felmerült kockázatokat és az azokra tekintettel elvégzett intézkedések eredményét visszakereshető módon dokumentálja és a Pmt. 56–58. §-ában foglaltaknak megfelelően megőrzi. Ennek érdekében a szolgáltató olyan nyilvántartást vezet, amelyből kétséget kizáróan megállapítható, hogy milyen forrásból származnak az ügyfélre vonatkozó adatok, és hogy a szolgáltató ezeket milyen módon ellenőrizte.
2. Az egyszerűsített ügyfél-átvilágítás és a fokozott ügyfél-átvilágítás esetkörei
10. § A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, ha ügyfele a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
11. § (1) A szolgáltató a Pmt.-ben meghatározottakon kívül fokozott ügyfél-átvilágítást alkalmaz, ha ügyfele
a) a szolgáltató belső kockázatértékelésében meghatározott kritériumoknak megfelelő nonprofit szervezet,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból származik,
c) olyan részvénytársaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli, vagy
d) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tulajdonosi szerkezete a jogi személy vagy jogi személyiséggel nem rendelkező szervezet üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik.
(2) Az (1) bekezdés d) pontjában foglaltak nem alkalmazandók, ha a szolgáltató megítélése szerint a jogi személy vagy jogi személyiséggel nem rendelkező szervezet túlzottan összetett tulajdonosi szerkezete megindokolható, és azt a szolgáltató belső kockázatértékelésében részletesen, a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja, vagy az ügyfél a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
AZ ÜGYFÉL EGYEDI KOCKÁZATBESOROLÁSA ALAPJÁN ELVÉGZENDŐ SZOLGÁLTATÓI INTÉZKEDÉSEK
3. A szolgáltató által az üzleti kapcsolat jellegének és céljának megállapítása érdekében megteendő intézkedések
12. § (1) A Pmt. 1. § (1) bekezdés a) pontja szerinti szolgáltató a Pmt. 6. § (1) bekezdés a) pontjában meghatározott esetben az ügyféllel az üzleti kapcsolat céljának és jellegének megértése, az ügyfél megfelelő kockázati szintbe történő besorolása, valamint a későbbi monitoringtevékenység támogatása érdekében ügyfélismereti kérdőívet töltet ki. Az ügyfélismereti kérdőív az üzleti kapcsolat céljáról és tervezett jellegéről legalább a következőket tartalmazza:
a) a jövedelemszerző tevékenységének jellegét,
b) a szerződéskötést követő 365 napban végrehajtani tervezett ügyletek maximális értékét,
c) a tervezett átlagos havi számlaforgalom összegét,
d) külföldi ügyletek tervezett végrehajtását, ennek keretében az ügyfélnek külön szükséges nyilatkoznia arról, hogy az Európai Unión kívüli ügyleteket tervez-e, amennyiben igen, úgy várhatóan mely országok irányába, milyen nagyságrendben és milyen gyakorisággal,
e) a havi és éves szintű készpénzes ügyletek várható nagyságát pénznemtől függetlenül,
f) a harmincmillió forintot meghaladó ügyletek várható előfordulását és tervezett gyakoriságát,
g) annak ismertetését, hogy az ügyfél tervezi-e csatornák igénybevételét – ennek keretében az ügyfélnek külön szükséges nyilatkoznia az így végrehajtani tervezett ügyleteinek maximális napi kumulált értékéről –, továbbá
h) az igénybe venni tervezett hitel vagy kölcsön összegét, továbbá hogy ezek igénybevétele során az ügyfél tervezi-e csatorna igénybevételét.
(2) A jogi személynek, valamint jogi személyiséggel nem rendelkező szervezetnek minősülő ügyfél esetében az ügyfélismereti kérdőív az (1) bekezdésben foglaltakon túlmenően az ügyfél vonatkozásában tartalmazza
a) leggyakoribb üzleti partnereit,
b) üzletszerű vagy nem üzletszerű bizalmi vagyonkezelői minőségét,
c) a tervezett átlagos havi számlaforgalom összegéhez viszonyított készpénzes ügyletek arányát,
d) az ügyfél nevében várhatóan készpénzbefizetést teljesítő személy ügyfélhez való viszonyát,
e) annak ismertetését, hogy milyen indok alapján döntött az ügyfél a szolgáltató, annak árui igénybevételéről, valamint
f) külföldi székhelyű ügyfél esetén
fa) a Magyarországon folytatott adóköteles gazdasági tevékenységét,
fb) a magyarországi számlanyitás indokát, azzal, hogy amennyiben a szolgáltató álláspontja szerint az ügyfél általi számlanyitás más országban racionálisabb lenne, az ügyfél nyilatkozatának arra is ki kell terjednie, hogy miért Magyarországon és miért a szolgáltatóval kíván üzleti kapcsolatot létesíteni,
fc) a leggyakoribb magyar üzleti partnereit,
fd) az alkalmazottai számát és
fe) az utolsó lezárt üzleti év szerinti árbevételét.
(3) A szolgáltató az ügyfelet az (1) bekezdés c)–h) pontjában, valamint a (2) bekezdés c) pontjában foglaltakról a szolgáltató által kockázati alapon, sávosan meghatározott érték megjelölésével nyilatkoztatja.
(4) A szolgáltató az ügyfélismereti kérdőíven az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 16. §-a szerint tájékoztatást nyújt az adatkezelésről az ügyfél részére.
13. § (1) Amennyiben a Pmt. 1. § (1) bekezdés a) pontja szerinti szolgáltató rendelkezésére álló ügyfélismereti adatok az ügyfél kockázati besorolásának megállapításához vagy az ügyfél esetében szükséges kockázatkezelési intézkedések meghatározásához nem elégségesek, a szolgáltató az ügyfelet az üzleti kapcsolat célja és tervezett jellege vonatkozásában a 12. §-ban foglaltakról, továbbá az alábbiakról is nyilatkoztatja:
a) a szolgáltató árui felhasználásának tervezett módja,
b) annak alátámasztása, hogy az ügyfél által végrehajtott ügyletek gazdasági szempontból racionálisak-e,
c) olyan ágazatokkal való kapcsolata, amelyekhez magasabb pénzmosási vagy terrorizmusfinanszírozási kockázat kapcsolódik, különösen amelyekre
ca) magasabb korrupciós kockázat vagy
cb) nagy mennyiségű készpénzhasználat
jellemző,
d) a szolgáltatónál igénybe vett szolgáltatások más szolgáltatónál történő párhuzamos igénybevétele, a versenytárs megjelölése nélkül, továbbá
e) a belföldi vagy külföldi politikai kapcsolatai, így különösen kiemelt közszereplővel vagy olyan jogi személlyel vagy jogi személyiséggel nem rendelkező szervezettel fennálló vagy az elmúlt egy naptári évben fennállt kapcsolatai, amelynek tényleges tulajdonosa kiemelt közszereplő, valamint az ügyfélnek vagy tényleges tulajdonosának kiemelt közszereplővel fennálló vagy az elmúlt egy naptári évben fennállt más releváns kapcsolata.
(2) A természetes személynek minősülő ügyfelet az ügyfélismereti kérdőívben – ha az (1) bekezdésben meghatározott kockázatkezelési intézkedésekhez szükséges – az (1) bekezdésben foglaltakon túlmenően a szolgáltató az alábbiakról is nyilatkoztatja:
a) milyen indok alapján döntött a szolgáltató, valamint annak árui igénybevételéről,
b) az esetleges nem üzletszerű bizalmi vagyonkezelői minőségéről, továbbá
c) az általa tervezett ügyletekben eseti jellegű meghatalmazottak igénybevételéről.
(3) A jogi személynek, valamint jogi személyiséggel nem rendelkező szervezetnek minősülő ügyfelet az ügyfélismereti kérdőívben – ha az (1) bekezdésben meghatározott kockázatkezelési intézkedésekhez szükséges – az (1) bekezdésben foglaltakon túlmenően a szolgáltató az alábbiakról is nyilatkoztatja:
a) annak alátámasztása, hogy az ügyfél által forgalmazott áru árképzése kereskedelmi szempontból racionális-e, és
b) valamely cégcsoporthoz tartozás esetén a cégcsoport és a tagok gazdasági tevékenységének, valamint földrajzi elhelyezkedésének bemutatása.
14. § (1) Ha a szolgáltatónak az üzleti kapcsolat – a Pmt. 11. § (1) bekezdésében meghatározott – folyamatos figyelemmel kísérése során a 12. és 13. § szerint rögzített adatokhoz, információkhoz, tényekhez képest ellentétes adat, információ jut a tudomására, az ellentmondások tisztázása érdekében felveszi a kapcsolatot az ügyféllel. A szolgáltató az ügyféllel történő kapcsolatfelvételt követően kockázatérzékenységi alapon, de legfeljebb hatvan munkanapon belül tisztázza az ellentmondás okát. Amennyiben ez nem vezet eredményre, a szolgáltató ismételten elvégzi a Pmt. 7–10. §-ában meghatározott, az ellentmondás feloldásához szükséges ügyfél-átvilágítási intézkedéseket, amelynek tartama alatt a Pmt. 13. § (8) bekezdésében foglaltakat alkalmazza.
(2) A szolgáltató mellőzheti az ügyfélismereti kérdőív azon pontjainak kitöltését, amelyek a szolgáltató jellegéből, tevékenységéből adódó okból nem értelmezhetőek, vagy amelyek vonatkozásában az információ más hiteles forrásból már a rendelkezésére áll. Ilyen esetben a szolgáltató az adott kérdés ügyfél általi kitöltésének mellőzését alátámasztó okot visszakereshető módon rögzíti.
4. A kockázatérzékenységi megközelítés alapján üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez a kijelölt felelős vezető döntését igénylő esetek és e döntések meghozatalának részletes szabályai
15. § (1) A Pmt.-ben meghatározottakon felül a szolgáltató kijelölt felelős vezetője dönt legalább az alábbi esetekben:
a) az üzleti kapcsolat létesítéséről, ha arra utaló adat, tény, illetve körülmény merül fel, hogy a szolgáltatást ténylegesen nem az a személy veszi igénybe, aki a szerződéskötési kérelemben ügyfélként feltüntetésre került,
b) privátbanki üzleti kapcsolat létesítéséről,
c) a szolgáltató által nyújtott árura vonatkozó vagy új üzleti gyakorlattal, többek között új teljesítési megoldással, valamint új vagy fejlődő technológiák alkalmazásának bevezetésével kapcsolatban,
d) az üzleti kapcsolat létesítéséről az ügyfélismereti kérdőív kiértékeléséből származó jelentős pénzmosási és terrorizmusfinanszírozási kockázat esetén, különösen, ha a kérdőíven évi százmillió forintot elérő vagy meghaladó készpénzforgalom lebonyolítását jelzi az ügyfél,
e) bizalmi vagyonkezelővel vagy ahhoz hasonló tevékenységet végző ügyféllel történő üzleti kapcsolat létesítéséről, valamint
f) üzleti kapcsolat létesítéséről, amennyiben az ügyfél székhelyéül székhelyszolgáltató címét jelöli meg.
(2) A szolgáltató kijelölt felelős vezetője az (1) bekezdésben meghatározott esetekben olyan dokumentált formában dönt, amely biztosítja a következetességet, a folyamatos figyelemmel kísérhetőséget és az ellenőrizhetőséget is.
16. § (1) A szolgáltató kockázatérzékenységi megközelítés alapján a Pmt. 65. §-a szerinti szabályzatában rendelkezhet a Pmt. 10. § (3) bekezdésében, 14/A. § (4) bekezdésében, 16. § (2) bekezdés a) pontjában és 16/A. § (1) bekezdés b) pontjában, valamint e rendelet 15. §-ában foglalt, az üzleti kapcsolat létesítéséhez vagy ügyleti megbízás teljesítéséhez a kijelölt felelős vezető döntését igénylő esetek teljes körű vagy részleges, állandó vagy a kijelölt felelős vezető eseti helyettesítését biztosító delegálásának szabályairól.
(2) A szolgáltató a Pmt. 65. §-a szerinti szabályzatában az (1) bekezdés szerinti döntési jogköröket kizárólag olyan vezetőre delegálhatja, aki rendelkezik a döntéshez szükséges szakmai ismeretekkel. A delegálásra vonatkozó szabályok kialakítása során a szolgáltató meghatározza az egyes döntési jogkörök delegálásnak mérlegelése során figyelembe veendő szempontokat is.
5. A megerősített eljárás esetkörei és feltételrendszere
17. § (1) A szolgáltató a Pmt.-ben meghatározottakon túl legalább a következő esetekben alkalmaz megerősített eljárást:
a) a takarékbetétről szóló törvényerejű rendelet szerinti nem névre szóló takarékbetét névre szólóvá alakításával érintett ügyfél tekintetében, ha a névre szólóvá alakítani kívánt takarékbetétek összértéke eléri a négymillió-ötszázezer forintot, az átalakítástól számított egy évig,
b) ha az ügyfelet a szolgáltató tízmillió forintot elérő vagy meghaladó pénzváltás miatt világítja át, a tízmillió forintot elérő vagy meghaladó utolsó pénzváltástól számított egy évig,
c) ha az ügyleti megbízásokat rendszeresen adó ügyfelet a szolgáltató ötvenmillió forintot elérő vagy meghaladó összegű ügyleti megbízás miatt világítja át, az ötvenmillió forintot elérő vagy meghaladó utolsó ügylettől számított egy évig,
d) ha az ügyfél készpénzforgalma – azaz befizetéseinek és pénzfelvételeinek összege – a havi százmillió forintot eléri vagy meghaladja, az utolsó százmillió forintot elérő vagy meghaladó készpénzforgalmú hónapot követően számított egy évig,
e) ha a szolgáltató ügyfelével kapcsolatban a szolgáltató által vagy a csoporton belül, amelyhez a szolgáltató tartozik, a Pmt. 30. § (1) bekezdése szerinti bejelentés történt, az utolsó bejelentéstől számított egy évig, valamint
f) nem magyar állampolgárságú és kilencven napot meghaladó magyarországi tartózkodásra jogosító engedéllyel vagy tartózkodási regisztrációval, lakóhellyel vagy tartózkodási hellyel nem rendelkező, az Európai Unió területén kívüli lakóhellyel vagy tartózkodási hellyel rendelkező természetes személynél.
(2) A szolgáltató a megerősített eljárásnak az (1) bekezdésben meghatározottakon kívüli egyéb eseteit a belső kockázatértékelésében rögzíti.
(3) A szolgáltató az általa meghatározott ügyfelek egy csoportja tekintetében mellőzheti a megerősített eljárást, ha az (1) bekezdés szerinti esetekre vonatkozóan belső kockázatértékelésében azt részletesen, a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja.
18. § (1) A szolgáltató a megerősített eljárás alá tartozó ügyfeleknél a 28–31. § rendelkezéseinek megfelelően szűri és pénzmosás és terrorizmusfinanszírozás szempontjából elemzi és értékeli a belső kockázatértékelésben meghatározott ügyleteket.
(2) Az (1) bekezdésben meghatározott kockázatértékelés során a szolgáltató ügyletenkénti értékhatárt alkalmaz.
(3) A belső kockázatértékelésben meghatározott értékhatárt a szolgáltató a kockázatcsökkentő és -növelő tényezők együttes értékelésével, kockázatalapon, ügyletenként határozza meg.
(4) Ha a megerősített eljárás alá tartozó ügyfelek tízmillió forintot elérő vagy meghaladó összegű készpénzbefizetést vagy pénzváltást teljesítenek, a szolgáltató beszerzi a pénzeszköz forrására vonatkozó információt, valamint ezen információk igazoló ellenőrzése érdekében a pénzeszközök forrására vonatkozó dokumentumok bemutatását is megköveteli.
A PÉNZMOSÁS ÉS A TERRORIZMUS FINANSZÍROZÁSA MEGELŐZÉSÉRE, MEGAKADÁLYOZÁSÁRA, VALAMINT AZ EURÓPAI UNIÓ ÉS AZ EGYESÜLT NEMZETEK SZERVEZETÉNEK BIZTONSÁGI TANÁCSA ÁLTAL ELRENDELT PÉNZÜGYI ÉS VAGYONI KORLÁTOZÓ INTÉZKEDÉSEK VÉGREHAJTÁSÁRA VONATKOZÓ EGYES SZABÁLYOK
6. A belső kockázatértékelés elkészítésének szabályrendszere
19. § (1) A belső kockázatértékelés alkalmazása során a szolgáltató beazonosítja a már ismert kockázatai közül azokat, amelyek hatással vannak a pénzmosási és terrorizmusfinanszírozási kockázataira.
(2) A szolgáltató az (1) bekezdésben meghatározott beazonosítás során figyelembe veszi a már rendelkezésre álló kockázati profilt.
20. § (1) A szolgáltató a kockázati tényezők beazonosítása során a Pmt.-ben meghatározottakon túl az alábbiakat veszi figyelembe:
a) az Európai Bizottság nemzetek feletti kockázatértékelését,
b) az európai felügyeleti hatóságok véleményét a pénzügyi ágazatot érintő európai uniós pénzmosási és terrorizmusfinanszírozási kockázatokról,
c) az MNB által kiadott ajánlást,
d) az MNB által nyilvánosságra hozott információkat és
e) az MNB által folytatott eljárás során keletkezett és nyilvánosságra hozott határozatokat.
(2) A szolgáltató a kockázati tényezők beazonosítása során különösen
a) a civil társadalomtól,
b) a 21. § (1) bekezdése szerinti állam pénzmosás és a terrorizmus finanszírozása elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerével kapcsolatos értékeléséből,
c) nyilvános forrásból és
d) tudományos intézményektől
származó információkat vehet figyelembe.
21. § (1) Ha a szolgáltató ki van téve az Európai Unió egy másik tagállama vagy harmadik ország pénzmosási és terrorizmusfinanszírozási kockázatainak, a szolgáltató ezeket a kockázatokat is beazonosítja.
(2) A szolgáltató az (1) bekezdés szerinti kockázatokat különösen abban az esetben azonosítja be, ha a szolgáltató
a) az Európai Unió egy másik tagállamában vagy harmadik országban létrehozott pénzügyi csoport tagja,
b) tulajdonosa az Európai Unió egy másik tagállamában vagy harmadik országban bejegyzett szolgáltatónak,
c) tényleges tulajdonosa az Európai Unió egy másik tagállamából vagy harmadik országból származik, vagy
d) olyan kapcsolatot tart fenn az Európai Unió egy másik tagállamában vagy harmadik országban lévő szervvel vagy szervezettel, amely arra utal, hogy a szolgáltató ki van téve az adott ország pénzmosási és terrorizmusfinanszírozási kockázatainak.
(3) A szolgáltató beszerzi az (1) bekezdés szerinti tagállamhoz vagy harmadik országhoz köthető pénzmosási és terrorizmusfinanszírozási kockázatokkal kapcsolatos azon információkat, amelyek hatással lehetnek az általa végzett tevékenységre.
(4) A szolgáltató a tudomásszerzéstől számított három munkanapon belül bejelentést tesz az MNB-hez, ha az (1) bekezdés szerinti kockázatok beazonosítását és a (3) bekezdés szerinti információk beszerzését követően olyan hiányosság jut a tudomására, amely veszélyt jelent az Európai Unió pénzügyi rendszerére.
22. § A szolgáltató az alábbi szempontokat veszi figyelembe belső kockázatértékelésének elkészítésekor:
a) tulajdonosi és vállalati szerkezete, figyelemmel arra, hogy a szolgáltató nemzetközi, külföldi vagy belföldi intézmény, anyavállalat, leányvállalat, fióktelep vagy egyéb szervezet,
b) szervezetének és szerkezetének összetettsége és átláthatósága,
c) a kínált áru, az elvégzett tevékenység és ügylet természete és összetettsége,
d) az alkalmazott eszköz, beleértve az ingyenes szolgáltatásnyújtást, az ügynök vagy a közvetítő használatát,
e) a kiszolgált ügyfelek típusai,
f) az üzleti tevékenység földrajzi területe, különösen, ha azt stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban végzi, vagy az ügyfelei jelentős részének származási országa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország,
g) a belső irányítási megoldás és szerkezet minősége, beleértve a belső ellenőrzési és megfelelési funkció hatékonyságát, a pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával összefüggő jogi követelménynek való megfelelést és a megelőző belső kockázatértékeléseinek hatékonyságát, és
h) az uralkodó vállalati kultúra, különösen a megfelelési és átláthatósági kultúra.
23. § (1) A 20–22. § szerinti tényezők együttesen képezik a szolgáltató kockázatértékelésének alapját.
(2) A szolgáltató értékeli a 20–22. § szerinti tényezők szolgáltatóra gyakorolt hatását és a szolgáltatónál működő kockázatalapú ellenőrzési rendszer és folyamat megfelelőségét a pénzmosási és terrorizmusfinanszírozási kockázat enyhítése érdekében.
(3) A szolgáltató a kockázati tényező relatív jelentősége alapján eltérően súlyozhatja a kockázatot és az azt mérséklő tényezőket.
(4) A szolgáltató a kockázatokat legalább alacsony, átlagos és magas kockázati kategóriába sorolja.
(5) A szolgáltató a kockázatokat legalább ügyfél, áru, alkalmazott eszköz, földrajzi kockázati csoportokba sorolja.
24. § (1) A szolgáltató a Pmt. 65. § (1) bekezdése szerinti belső szabályzatában a beazonosított kockázat értékelése alapján meghatározza, hogy milyen intézkedésre van szükség a feltárt kockázat kezelése érdekében.
(2) A szolgáltató vezető tisztségviselője vagy irányítási funkciót betöltő testülete a belső kockázatértékelésről szóló jelentést jóváhagyja.
25. § (1) A szolgáltató a belső kockázatértékelését az alapjául szolgáló információ időszakos és eseti felülvizsgálatával aktualizálja.
(2) A szolgáltató az (1) bekezdés alapján elvégzett felülvizsgálatot úgy ütemezi, hogy az arányban álljon a szolgáltatóhoz kapcsolódó pénzmosási és terrorizmusfinanszírozási kockázattal.
(3) A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, ha
a) külső hatás megváltoztatja a kockázat természetét,
b) új típusú pénzmosási és terrorizmusfinanszírozási kockázat merül fel,
c) az MNB hatósági döntése ilyen intézkedést tartalmaz,
d) a szolgáltató saját maga által tett, kockázatot csökkentő intézkedéséből ez következik,
e) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá
f) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem vagy nem teljesen helytálló.
7. Az ügylet felfüggesztése
26. § (1) A szolgáltató meghatározza az ügyfélnek adandó tájékoztatást, valamint belső szabályzatában rögzíti szervezeti egységeinek kötelezettségét és felelősségét az ügylet felfüggesztése során.
(2) Az (1) bekezdés szerinti tájékoztatás nem utalhat az ügylet felfüggesztésének tényére és a felfüggesztés indokára.
(3) A szolgáltató biztosítja, hogy
a) a felfüggesztés tényéről a szolgáltató tudomással bíró, Pmt. 31. § (1) bekezdésében meghatározott vezetője és foglalkoztatottja az (1) bekezdés szerinti tájékoztatás szerint járjon el,
b) a felfüggesztés teljesítéséhez csak a szükséges szervezeti egységet vonja be,
c) a felfüggesztési kötelezettség teljesítésére utaló adat, tény, illetve körülmény felmerülésekor telefonon értesíthesse a pénzügyi információs egységként működő hatóságot, és ebben az esetben a tőle kapott instrukciók szerint járjon el, valamint
d) a felfüggesztés ideje alatt a telefonos kapcsolattartás a pénzügyi információs egységként működő hatósággal a kijelölt személy akadályoztatása esetén is folyamatos legyen.
(4) A szolgáltató az általa vezetett nyilvántartáson belül az ügylet felfüggesztését igazoló iratot vagy annak másolatát elkülönítetten kezeli.
8. A belső ellenőrző és információs rendszer működtetése
27. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából előzetes paraméterezés alapján történő, emberi beavatkozást nem igénylő leválogatására alkalmas informatikai rendszer;
2. manuális szűrés: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő, emberi beavatkozást igénylő leválogatása.
28. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként olyan, a bejelentés teljesítését támogató szűrőrendszerrel rendelkezik, amely biztosítja a pénzmosás és a terrorizmusfinanszírozás szempontjából kockázatos ügyfél és szokatlan ügylet kiszűrését és a bejelentés megtételéhez szükséges adatok rendelkezésre bocsátását (a továbbiakban: szűrőrendszer).
(2) A szolgáltató – a (3) bekezdésben foglalt kivétellel – manuális szűréseken alapuló szűrőrendszert alkalmazhat.
(3) A szolgáltató automatikus szűrőrendszert működtet, ha
a) pénzforgalmi szolgáltatási tevékenységet végez, vagy
b) ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ötvenezret.
29. § (1) A szolgáltató a szűrőrendszer működéséről, a kiszűrt ügyfél, valamint az ügylet elemzésének és értékelésének menetéről belső eljárásrendet készít.
(2) Az (1) bekezdés szerinti belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és az illetékes felügyeleti hatóságok rendelkezésére bocsátja.
(3) A szűrőrendszer belső eljárásrendjének legalább az alábbi feltételeknek kell megfelelnie:
a) a szolgáltató belső kockázatértékelésén alapul,
b) megfelel a szolgáltató kapcsolódó belső szabályzatainak,
c) dokumentálja a szolgáltató által használt szcenáriókat, az azok alapjául szolgáló logikákkal, paraméterekkel és küszöbértékekkel, és biztosítja a változások nyomon követhetőségét,
d) biztosítja az adatok integritását és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,
e) rögzíti a releváns adatokat tartalmazó összes adatforrást,
f) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
g) rögzíti az elemző- és értékelőfolyamat során alkalmazott határidőket,
h) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint azt, hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
i) biztosítja a szcenáriók és az azok alapjául szolgáló logikák, paraméterek és küszöbértékek kockázataival összhangban történő felülvizsgálatát, illetve tartalmazza, hogy ki a felelős a felülvizsgálatért, valamint
j) automatikus szűrőrendszer esetén előírja a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, az adatok leképezése, az ügyletek azonosítása, a keresési szcenáriók és logikák, a szűrési modellezés, valamint a bevitt adatok és az eredmények vizsgálatával kapcsolatosan.
30. § (1) A szolgáltató legalább a következő ügyfél-, illetve ügylettípusokra végzett szűréseket hajtja végre, és azt biztosítja a belső kockázatértékelésében:
a) huszonötmillió forintot elérő vagy meghaladó összegű készpénzbefizetés természetes személy ügyfél részére,
b) ötvenmillió forintot elérő vagy meghaladó összegű készpénzbefizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
c) huszonötmillió forintot elérő vagy meghaladó összegű készpénzkifizetés természetes személy ügyfél részére,
d) ötvenmillió forintot elérő vagy meghaladó összegű készpénzkifizetés jogi személy és jogi személyiséggel nem rendelkező ügyfél részére,
e) stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból kezdeményezett vagy oda továbbított, huszonötmillió forintot elérő vagy meghaladó összegű ügylet,
f) huszonötmillió forintot elérő vagy meghaladó összegű pénzátutalás adószámmal nem rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve, valamint
g) ötvenmillió forintot elérő vagy meghaladó összegű pénzátutalás nem magyar adószámmal rendelkező jogi személy és jogi személyiséggel nem rendelkező ügyfél részére, vagy általa kezdeményezve.
(2) A szolgáltató a szűrési feltételeit az (1) bekezdésben meghatározottakon túl a belső kockázatértékelése alapján határozza meg.
(3) A szolgáltató belső kockázatértékelése alapján az (1) bekezdésben szereplő kötelező szűrési feltételeket más szűrésekkel is helyettesítheti, ha az MNB részére bizonyítani tudja, hogy bevezetett szűrései teljeskörűen alkalmasak az (1) bekezdésben szereplő szűrések mögötti kockázatok kezelésére.
31. § (1) A szolgáltató a szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az MNB Elektronikus Rendszer Hitelesített Adatok Fogadásához megnevezésű rendszerén (a továbbiakban: ERA rendszer) keresztül tájékoztatja az MNB-t.
(2) A kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő elemzését és értékelését a szolgáltató a 18. § (1) bekezdésében és a 30. § (1) bekezdésében foglalt esetben a szűrést követő hatvan munkanapon belül végzi el. A szűrés elvégzésének napja a határidőbe nem számít bele.
(3) A szolgáltató a szűrései során figyelembe veszi a belső kockázatértékelése alapján kialakított szokatlan tranzakciókra figyelmeztető jelzéseket.
(4) A kiszűrt ügyfél, illetve ügylet elemzésének és értékelésének folyamatát a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
32. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként névtelenséget biztosító visszaélésbejelentési rendszert működtet.
(2) Visszaélés-bejelentést az (1) bekezdésben foglaltak szerinti visszaélésbejelentési rendszeren keresztül az tehet, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.
(3) A visszaélés-bejelentést a szolgáltató harminc napon belül kivizsgálja. A határidőbe a bejelentés megtételének napja nem számít bele.
(4) A visszaélés-bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy.
(5) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra, terrorizmusfinanszírozásra vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény merül fel, a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(6) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, haladéktalanul feljelentést tesz a hatáskörrel és illetékességgel rendelkező nyomozó hatóságnál.
(7) Ha a szolgáltató az (5) és (6) bekezdésben foglalt eseteken kívül a Pmt., az Európai Unió és az Egyesült Nemzetek Szervezetének Biztonsági Tanácsa (a továbbiakban: ENSZ BT) által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény vagy e rendelet megsértését állapítja meg, e tényt a kijelölt személy haladéktalanul bejelenti az MNB-nek.
(8) A szolgáltató a bejelentés megtételét követően biztosítja, hogy a bejelentéshez a bejelentést tevőn vagy a szolgáltató foglalkoztatottján, mint a bejelentés kivizsgálásában érintett személyen kívül más személy ne férhessen hozzá.
33. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolat leválogatására
a) a Pmt. által előírt személyes adat,
b) a fizetési számla pénzforgalmi jelzőszáma vagy IBAN-ja,
c) ügyfélszám,
d) ügylettípus vagy
e) összeghatár
alapján.
34. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.
9. Az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása érdekében működtetett szűrőrendszer kidolgozása és működtetésének minimumkövetelményei
35. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak uniós jogi aktusban és az Egyesült Nemzetek Szervezete Biztonsági Tanácsának határozatában (a továbbiakban: ENSZ BT határozat) szereplő személyek adataival való folyamatos, emberi beavatkozást nem igénylő összehasonlítására alkalmas informatikai rendszer,
2. manuális szűrés: az ügyfél, a tényleges tulajdonos, a rendelkezésre jogosult, a meghatalmazott és a képviselő személyes adatainak uniós jogi aktusban és ENSZ BT határozatban szereplő személyek adataival való összehasonlítására alkalmas, emberi beavatkozást igénylő eljárás,
3. szankciós szűrőrendszer: olyan szűrőrendszer, amely biztosítja a pénzügyi és vagyoni korlátozó intézkedéseket elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan és teljes körű végrehajtását.
36. § A szolgáltató szankciós szűrőrendszerrel rendelkezik.
37. § A szolgáltató a szankciós szűrőrendszer keretében automatikus szűrést alkalmaz, ha a szolgáltató ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ezret, egyéb esetben a szolgáltató manuális szűréssel is biztosíthatja a pénzügyi és vagyoni korlátozásokat elrendelő uniós jogi aktusok és ENSZ BT határozatok haladéktalan végrehajtását.
38. § (1) A szolgáltató belső eljárásrendet készít a szankciós szűrőrendszer működése, illetve kiszűrt ügyfél, tényleges tulajdonos, rendelkezésre jogosult, meghatalmazott és képviselő, valamint ügylet elemzése és értékelése vonatkozásában.
(2) Az (1) bekezdésben meghatározott belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és azt a felügyeleti jogkörében eljáró MNB rendelkezésére bocsátja.
(3) A szankciós szűrőrendszer belső eljárásrendje legalább az alábbi feltételeknek felel meg:
a) dokumentálja a szolgáltató által használt keresési logikákat, az azok alapjául szolgáló feltételezésekkel, paraméterekkel,
b) biztosítja az adatok integritását, pontosságát és minőségét annak érdekében, hogy a szankciós szűrőrendszeren pontos és teljes adatok menjenek keresztül,
c) rögzíti a releváns adatokat tartalmazó összes adatforrást,
d) biztosítja a szankciós szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
e) rögzíti az elemző- és értékelőfolyamat során alkalmazott határidőket,
f) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szankciós szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
g) biztosítja a szűrési logikák és az azok alapjául szolgáló szabályok, paraméterek folyamatos vizsgálatát, és
h) automatikus szűrőrendszer esetén lehetővé teszi a szankciós szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, adatok leképezése, ügyletek azonosítása, keresési logikák, szűrési modellezés, valamint bevitt adatok és az eredmények vizsgálatával.
39. § (1) A szolgáltató az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekre vonatkozó szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülmény szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az ERA rendszeren keresztül tájékoztatja az MNB-t.
(2) A szolgáltató a kiszűrt találatokat elemzi és értékeli.
(3) A szolgáltató a (2) bekezdés alapján végzett értékelő-elemző munka eredményességét és a szűrőrendszerének hatékony működését kockázati alapon, a működési modellje figyelembevételével a szolgáltató valamennyi védelmi vonalának bevonásával, rendszeresen ellenőrzi.
(4) A kiszűrt találatok elemzésének és értékelésének folyamatát, valamint ezek ellenőrzését a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
10. A képzési program
40. § (1) A szolgáltató a pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában részt vevő megfelelési vezetőjét és foglalkoztatottját (a továbbiakban együtt: foglalkoztatott) ebben a munkakörben történő alkalmazását megelőzően vagy a belépést követő harminc napon belül képzésben részesíti (a továbbiakban: megelőzési képzés), és részére a belépés évét követően évente legalább egy alkalommal továbbképzést szervez (a továbbiakban együtt: képzés). A képzés része a szolgáltató által szervezett írásbeli vizsga, ideértve a szolgáltató elektronikus rendszereiben lebonyolított vizsgát is.
(2) A foglalkoztatott pénzmosás és a terrorizmusfinanszírozás megelőzésével és megakadályozásával, valamint az Európai Unió és az ENSZ BT által elrendelt pénzügyi és vagyoni korlátozó intézkedésekkel összefüggő tevékenység ellátásában csak az (1) bekezdésben meghatározott képzéssel összefüggő sikeres vizsgát tett munkatárs felügyelete mellett vehet részt mindaddig, amíg a megelőzési képzésen megszerzett ismeretekről a szolgáltató által szervezett vizsgát sikeresen nem teljesíti.
(3) A szolgáltató a képzések tartására csak olyan személyt vehet igénybe, aki
a) szakirányú felsőfokú – így különösen jogi, közgazdasági, pénzügyi vagy informatikai – végzettséggel, valamint
b) legalább hároméves,
ba) a Pmt. hatálya alá tartozó szolgáltatónál belső ellenőrzési vagy megfelelőségi (compliance) feladatokat ellátó területen szerzett szakmai gyakorlattal vagy
bb) a Pmt. 5. §-ában meghatározott felügyeletet ellátó szervnél a Pmt. hatálya alá tartozó felügyeleti tevékenység ellátása területén szerzett szakmai gyakorlattal
rendelkezik.
(4) A szolgáltató az egyes munkakörök betöltéséhez szükséges mélységű képzési programot állít össze, a képzési program az egyes munkakörök betöltéséhez szükséges témaköröket tartalmazza.
(5) A szolgáltató a képzések, valamint az ezekhez kapcsolódó vizsgák anyagát, a képzések időpontját és a résztvevők névsorát, a vizsga javítókulcsát, a vizsgázók névsorát és vizsgázónként a vizsgaeredményeket visszakereshető módon nyilvántartja, és a vizsga napjától számított öt évig őrzi.
(6) A szolgáltató megfelelési vezetője felelős a szolgáltató képzési programjának kidolgozásáért, a megelőzési képzés határidőben történő megszervezéséért, a foglalkoztatottak képzésen történő részvételi lehetőségének biztosításáért, az (5) bekezdésben meghatározott adatok visszakereshető módon történő nyilvántartásáért, valamint a (2) bekezdésben foglaltak betartásának ellenőrzéséért.
(7) A csoportszintű politikák és eljárások kidolgozása során a szolgáltató figyelembe veszi az (1)–(6) bekezdésben foglaltakat.
A KÜLSŐ ELLENŐRZÉSI FUNKCIÓT ELLÁTÓ SZEMÉLY SZAKMAI KÖVETELMÉNYEI ÉS IGÉNYBEVÉTELÉNEK KÖTELEZŐ ESETEI
11. A külső ellenőrzési funkciót ellátó személy kijelölésére és igénybevételére vonatkozó szabályok
41. § (1) A Pmt. 3. § 21a. pontjában meghatározottak szerinti külső ellenőrzési funkciót az a személy láthatja el, aki legalább 5 éves igazolt szakmai tapasztalattal rendelkezik a szolgáltató által nyújtott szolgáltatások ellenőrzése vagy az azokkal kapcsolatos tanácsadás tekintetében.
(2) A szolgáltató az MNB felhívására bizonyítja, hogy az általa kijelölt külső ellenőrzési funkciót ellátó fél és annak a külső ellenőrzési funkciót ténylegesen ellátó alkalmazottja (a továbbiakban együtt: külső ellenőr) megfelelő ismeretekkel rendelkezik az alábbiak tekintetében:
a) a szolgáltató szektorára irányadó jogszabályi követelmények,
b) a szolgáltató által alkalmazott rendszerek,
c) a szolgáltató által bevezetett szabályzatok és eljárásrendek, valamint
d) a szolgáltató által nyújtott áruk.
(3) A külső ellenőr kijelölése során a szolgáltató figyelembe veszi, hogy a külső ellenőr nem lehet azonos
a) a szolgáltató jogszabályi kötelezettségen alapuló könyvvizsgálatát a külső ellenőrzési vizsgálat időpontját megelőző három évben ellátó könyvvizsgálóval vagy könyvvizsgáló céggel, sem a szolgáltató által a külső ellenőrzési vizsgálat időpontját megelőző három évben a pénzmosás és terrorizmusfinanszírozás megelőzésével kapcsolatos normatív elvárásokat tartalmazó rendelkezéseknek való megfelelés érdekében igénybe vett jogi tanácsadóval vagy jogi képviselővel,
b) a szolgáltató által alkalmazott rendszereket szállító vagy azokat működtető szolgáltatóval, a szolgáltató hatályos belső eljárásrendjét kidolgozó külső szolgáltatóval, illetve az ilyen rendszerek beszerzése vagy az eljárásrendek kidolgozása során tanácsadói feladatkört betöltő szolgáltatóval, valamint
c) a szolgáltató, a szolgáltató leányvállalata vagy a (4) bekezdésben felsorolt személyek tulajdonában álló vállalkozással.
(4) Nem tölthet be külső ellenőrzési funkciót az, aki a megbízást megelőző három évben a szolgáltatónál az alábbi funkciókat töltötte be:
a) a vizsgált szolgáltató alkalmazottja,
b) a vizsgált szolgáltató vezető tisztséget betöltő alkalmazottja,
c) a vizsgált szolgáltató audit bizottságának tagja, vagy ilyen bizottság hiányában az audit bizottság feladatainak megfelelő feladatokat ellátó testület tagja vagy
d) a vizsgált szolgáltató vezető testületének tagja.
(5) A külső ellenőr megbízatása eseti jellegű vagy határozott idejű lehet. A külső ellenőrzési funkció ellátására szóló határozott idejű megbízás legfeljebb két évre szólhat. A megbízás lejártát követően az eredeti megbízás időtartamának kétszereséig terjedő időszakban a külső ellenőr számára a szolgáltató újabb külső ellenőrzési megbízást nem adhat. A rendszeresen ismétlődő eseti jellegű megbízásokat e bekezdés alkalmazásában egy összefüggő, határozott idejű megbízásnak kell tekinteni.
(6) A Pmt. 60. § (2) bekezdés e) pontjában írtakat is figyelembe véve a külső ellenőr kiválasztására vonatkozó eljárásrendet a szolgáltató belső szabályzatban rögzíti.
(7) Külső ellenőrzési funkció igénybevétele esetén a szolgáltató a Pmt. 27. § (1) bekezdésében meghatározott belső kockázatértékelése alapján a Pmt. 65. §-ában meghatározott belső szabályzatban naprakészen meghatározza mindazon vizsgálandó témaköröket, amelyekre a külső ellenőr által készített ellenőrzési jelentésnek ki kell terjednie a szolgáltató kockázatainak csökkentése és kezelése érdekében. Határozott idejű megbízás esetén a belső szabályzatban rögzített, vizsgálandó területek kiterjednek legalább a szolgáltató által a pénzmosás és terrorizmusfinanszírozás megelőzése és megakadályozása érdekében használt szűrő-, bejelentési és az ügyfelek kockázati besorolását támogató rendszerek megfelelésének vizsgálatára.
42. § (1) A szolgáltató legalább a következő esetekben alkalmaz külső ellenőrzési funkciót:
a) amennyiben a szolgáltató a belső kockázatértékelésében beazonosítottak alapján külső ellenőrzési funkció igénybevételéről dönt,
b) amennyiben az MNB a szolgáltatót annak belső kockázatértékelésében foglaltak figyelembevételével külső ellenőr igénybevételére kötelezi, valamint
c) amennyiben a szolgáltató éves átlagban legalább százezer, a szolgáltatóval üzleti kapcsolatot létesítő ügyféllel rendelkezik, és a szolgáltató szűrőrendszere által generált kockázati intézkedést igénylő jelzések éves száma eléri a tízezer darabot, vagy szűréseihez mesterséges intelligenciára épített megoldást alkalmaz; továbbá a szolgáltató által igénybe vett vagy alkalmazott, a pénzmosás és terrorizmusfinanszírozás megelőzése és megakadályozása érdekében használt szűrő-, bejelentési és az ügyfelek kockázati besorolását támogató rendszerek külső ellenőrzési funkció által történő vizsgálatára 5 éven belül nem került sor.
(2) A szolgáltató az MNB felhívására a felhívásban szereplő szempontok értékelése érdekében külső ellenőrzési vizsgálatot rendel el.
12. A külső ellenőr működésére vonatkozó szabályok
43. § (1) A külső ellenőr a feladata ellátása során nem utasítható és senki által nem befolyásolható.
(2) A külső ellenőr a szolgáltatónál végzett vizsgálatról az eseti megbízás lejáratakor, határozott idejű megbízás esetén pedig legalább naptári évenként ellenőrzési jelentést készít, amelyben gyakorlati példákkal alátámasztott megállapításokat és észrevételeket tesz annak értékelése érdekében, hogy a szolgáltató képes-e a Pmt.-ben, valamint az annak felhatalmazásán alapuló jogszabályban foglalt kötelezettségek teljesítésére, és hogy az ehhez szükséges eljárásrendjei, az általa alkalmazott rendszerek, valamint a belső és külső erőforrásai megfelelők és elégségesek-e. A külső ellenőr szükség szerint soron kívüli jelentést is készíthet.
(3) A külső ellenőr által készített ellenőrzési jelentés tartalmazza a szolgáltató jogszabályi megfelelése érdekében megtenni szükséges, valamint a (2) bekezdésében meghatározott szempontok vizsgálata alapján szükségesnek ítélt intézkedésekre vonatkozó javaslatokat is.
(4) A külső ellenőr az ellenőrzési jelentését közvetlenül a szolgáltató vezető testületének küldi meg. A szolgáltató vezető testülete a külső ellenőr ellenőrzési jelentését testületi ülésén megvitatja, amely során a külső ellenőr meghívottként jelen lehet.
(5) A szolgáltató a külső ellenőr ellenőrzési jelentését haladéktalanul az MNB és a szolgáltató megfelelési vezetője rendelkezésére bocsátja.
44. § A külső ellenőr az általa a szolgáltatónak okozott kár megtérítése érdekében felelősségbiztosítással rendelkezik, amely garantálja a tevékenységével kapcsolatos esetleges helytállási kötelezettség teljesítését.
45. § (1) A szolgáltató és a külső ellenőr között létrejött megbízási szerződés tartalmazza legalább
a) a 11. alcímben foglaltak szerint a külső ellenőr alkalmasságának szakmai ismertetését és az alkalmassági követelményeknek való megfelelésre vonatkozó nyilatkozatát, beleértve valamennyi közreműködője alkalmasságát is,
b) a külső ellenőr feladatának ellátáshoz szükséges tárgyi feltételek és rendszerhozzáférési jogosultságok meghatározását,
c) a külső ellenőr felelősségbiztosításával kapcsolatos, 44. § szerinti feltételek meghatározását,
d) a kötelezettséget arra vonatkozóan, hogy a külső ellenőr vagy az általa igénybe vett közreműködő részt vesz az MNB által szervezett vagy az MNB által megfelelőként elismert és a honlapján közzétett szakmai képzésen,
e) a megbízási szerződés azonnali felmondásával kapcsolatos feltételek között annak rögzítését, ha a külső ellenőr teljesítése során az alkalmatlanságát bizonyító tények merülnek fel, és
f) a külső ellenőr alkalmazását – a 42. §-ban foglaltak szerint – megalapozó tények ismertetését.
(2) A szolgáltató az MNB felhívására bemutatja, hogy milyen intézkedéseket tett a megbízási szerződésben foglalt, a külső ellenőrt terhelő kötelezettségek szerződésszerű teljesítésének betartatása érdekében.
ZÁRÓ RENDELKEZÉSEK
13. Hatályba léptető rendelkezések
46. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – 2024. július 1-jén lép hatályba.
14. Módosító rendelkezések
47. § A rendelet 2. §-a a következő 2a. ponttal egészül ki:
(E rendelet alkalmazásában)
48. § A rendelet 2. alcíme helyébe a következő alcím lép:
„2. A fokozott ügyfél-átvilágítás esetkörei, valamint az egyszerűsített ügyfél-átvilágítás során alkalmazandó küszöbérték és határidő
10. § (1) A szolgáltató a Pmt.-ben meghatározottakon túl fokozott ügyfél-átvilágítást alkalmaz legalább azokban az esetekben, ha ügyfele
a) a szolgáltató belső kockázatértékelése alapján
aa) magas terrorizmusfinanszírozási kockázatot hordozó nonprofit szervezet,
ab) magas proliferáció-finanszírozási kockázatot hordozó szervezet,
ac) működéséhez különösen jelentős készpénzforgalmazást lebonyolító szervezet,
ad) magas földrajzi kockázatú területhez szorosan kapcsolódó szervezet,
b) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tényleges tulajdonosa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országból származik,
c) olyan részvénytársaság, amelynek bemutatóra szóló részvénye van, vagy amelynek részvényesét részvényesi meghatalmazott képviseli,
d) olyan jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amelynek tulajdonosi és irányítási szerkezete a jogi személy vagy jogi személyiséggel nem rendelkező szervezet üzleti tevékenységének jellegéhez képest szokatlannak vagy túlzottan összetettnek tűnik, vagy
e) olyan tényleges tulajdonossal rendelkezik, aki nem működik együtt a 7. § b) pont bb) alpontja szerinti ügyfélismereti beszélgetésben.
(2) Az (1) bekezdés d) pontjában foglaltak nem alkalmazandók, ha a szolgáltató megítélése szerint a jogi személy vagy jogi személyiséggel nem rendelkező szervezet túlzottan összetett tulajdonosi szerkezete megindokolható, és azt a szolgáltató belső kockázatértékelésében részletesen a kockázatcsökkentő és -növelő tényezők együttes értékelésével alátámasztja, vagy az ügyfél a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
11. § (1) A szolgáltató egyszerűsített ügyfél-átvilágítást alkalmazhat, ha ügyfele a Pmt. 6/A. §-a szerinti besorolás alapján alacsony kockázatú.
(2) Egyszerűsített ügyfél-átvilágítás alkalmazása esetén a szolgáltató belső kockázatértékelésében rögzíti azt az észszerű küszöbértéket és határidőt, amely elérésekor sor kerül a Pmt. 15. § (1b) bekezdésében meghatározott intézkedések végrehajtására.
(3) Az intézkedés küszöbértékének és határidejének meghatározása akkor tekinthető észszerűnek, ha a Pmt. 15. § (1b) bekezdésében meghatározott intézkedéseknek az ügyfélkapcsolat létesítéstől eltérő időpontban való végrehajtása nem növeli a pénzmosás vagy a terrorizmusfinanszírozás kockázatát, és pénzmosásra vagy terrorizmusfinanszírozásra utaló adat, tény vagy körülmény nem merül fel.
(4) Nem szükséges a belső kockázatértékelésben küszöbértéket meghatározni azon esetekre, amelyeknél a folyamatosan csekély pénzmosási kockázat miatt az intézkedésekre kizárólag a Pmt. 12. § (1) és (2) bekezdésében meghatározott ellenőrzési kötelezettség teljesítése során kerül sor.”
„17. § (1) A szolgáltató a Pmt.-ben meghatározottakon túl legalább a következő esetekben alkalmaz megerősített eljárást:
a) a takarékbetétről szóló törvényerejű rendelet szerinti nem névre szóló takarékbetét névre szólóvá alakításával érintett ügyfél tekintetében, ha a névre szólóvá alakítani kívánt takarékbetétek összértéke eléri a négymillió-ötszázezer forintot, az átalakítástól számított egy évig,
b) ha az ügyfelet a szolgáltató húszmillió forintot elérő vagy meghaladó pénzváltás miatt világítja át, az utolsó húszmillió forintot elérő vagy meghaladó pénzváltástól számított egy évig,
c) ha az ügyleti megbízásokat rendszeresen adó ügyfelet a szolgáltató ötvenmillió forintot elérő vagy meghaladó összegű ügyleti megbízás miatt világítja át, az utolsó ötvenmillió forintot elérő vagy meghaladó ügylettől számított egy évig,
d) ha az ügyfél készpénzforgalma – azaz befizetéseinek és pénzfelvételeinek összege – a havi százmillió forintot eléri vagy meghaladja, az utolsó százmillió forintot elérő vagy meghaladó készpénzforgalmú hónapot követően egy évig,
e) ha a szolgáltató ügyfelével kapcsolatban szolgáltató által vagy a csoporton belül, amelyhez a szolgáltató tartozik, a Pmt. 30. § (1) bekezdése szerinti bejelentés történt, az utolsó bejelentéstől számított egy évig,
f) nem magyar állampolgárságú és kilencven napot meghaladó magyarországi tartózkodásra jogosító engedéllyel vagy tartózkodási regisztrációval, lakóhellyel vagy tartózkodási hellyel nem rendelkező, az Európai Unió területén kívüli lakóhellyel vagy tartózkodási hellyel rendelkező természetes személynél,
g) ha a szolgáltató ügyfelével kapcsolatban olyan levelezőbanki vagy hatósági megkeresést kap, amely alapján a szolgáltató értékelése szerint megnőtt az ügyfélhez kapcsolható pénzmosás kockázata, a jelzés érkezésétől számított egy évig, továbbá
h) ha a szolgáltató ügyfele székhelyéül székhelyszolgáltatót jelölt meg, és az ügyfélkapcsolat létesítését követő 3 hónapon belül Magyarország területén kívülre pénzátutalást teljesített, a pénzátutalástól számított egy évig.
(2) A szolgáltató a megerősített eljárásnak az (1) bekezdésben meghatározottakon kívüli egyéb eseteit a belső kockázatértékelésében rögzíti.
(3) A szolgáltató az általa meghatározott ügyfelek egy csoportja tekintetében mellőzheti a megerősített eljárást, ha az (1) bekezdés szerinti esetekre vonatkozóan a belső kockázatértékelésében részletesen, a kockázatcsökkentő és -növelő tényezők együttes értékelésével azt alátámasztja.
18. § (1) A szolgáltató a megerősített eljárás alá tartozó ügyfeleknél a 28–33. § rendelkezéseinek megfelelően kockázatalapon, de minden esetben 30 munkanapon belül szűri, és pénzmosás és terrorizmus finanszírozása szempontjából elemzi és értékeli a belső kockázatértékelésben meghatározott ügyleteket.
(2) Az (1) bekezdésben meghatározott kockázatértékelés során a szolgáltató a megerősített eljárás alá tartozó ügyfelekre ügyletenként és egy adott időszakra vonatkozó több ügyletre összesített értékhatárt is alkalmaz.
(3) A belső kockázatértékelésben meghatározott értékhatárt a szolgáltató a kockázatcsökkentő és -növelő tényezők együttes értékelésével, kockázatalapon, ügyletenként határozza meg.
(4) A szolgáltató a megerősített eljárás alá tartozó ügyfelek esetében – a megerősített eljárást megalapozó feltétel teljesülését követően – az ügyfele pénzmosás szempontjából kockázatos ügyletei vonatkozásában
a) haladéktalanul beszerzi a pénzeszköz forrására vonatkozó információkat, valamint ezen információk igazoló ellenőrzése érdekében a pénzeszközök forrására vonatkozó dokumentumok bemutatását is megköveteli,
b) ellenőrzi, hogy az ügyféllel vagy annak jelentős ügyleti partnereivel kapcsolatban nem merült-e fel negatív jellegű, hiteles és megbízható nyilvános forrásból származó információ, továbbá
c) megvizsgálja, hogy ügyfele üzleti tevékenysége gazdasági szempontból racionális-e.”
50. § A rendelet 6. alcíme helyébe a következő alcím lép:
„6. A belső kockázatértékelés elkészítésének szabályrendszere
19. § (1) A belső kockázatértékelés keretében a szolgáltató beazonosítja a már ismert kockázatai közül azokat, amelyek hatással vannak a pénzmosási és terrorizmusfinanszírozási kockázataira.
(2) A szolgáltató a belső kockázatértékelés keretében az egyedi ügyfélszintre vonatkozó és az egyes üzletági tevékenységeire kiterjedő kockázatok értékelését is elvégezi. A szolgáltató az üzleti tevékenységekre vonatkozó kockázatértékelést beépíti az egyedi ügyfélszintű kockázatértékelések módszertanába is.
(3) A szolgáltató az (1) bekezdésben foglalt kötelezettsége teljesítése során kockázatérzékenységi alapon határozza meg az információforrások típusát és számát, valamint a bevezetendő rendszerek és kontrollmechanizmusok körét, figyelembe véve üzleti tevékenysége jellegét és összetettségét is.
(4) Amennyiben a szolgáltató egy olyan csoport tagja, amely csoportszintű kockázatértékelést dolgoz ki, mérlegeli, hogy a csoportszintű kockázatértékelés kellően részletes és specifikus-e ahhoz, hogy tükrözze a szolgáltató üzleti tevékenységét és azokat a kockázatokat, amelyeknek a szolgáltató ki van téve, és szükség esetén a belső kockázatértékelése alapján kiegészíti a csoportszintű kockázatértékelést. Ha a csoport anyavállalatának székhelye stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban található, a szolgáltató ezt akkor is figyelembe veszi kockázatértékelésében, ha a csoportszintű kockázatértékelés nem tesz említést róla.
20. § (1) A pénzmosási és terrorizmusfinanszírozási kockázat feltárásához a szolgáltató különféle forrásokból származó információkat használ fel, amelyekhez egyedileg, illetve a rendelkezésre álló, több forrásból származó információkat összesítő eszközök vagy adatbázisok útján férhet hozzá.
(2) Az adatbázisokban foglaltakon túlmenően a szolgáltató a pénzmosási és terrorizmusfinanszírozási kockázati tényezők beazonosítása során
a) a civil társadalomtól,
b) harmadik ország pénzmosás és terrorizmusfinanszírozás elleni rendszere megfelelőségével és hatékonyságával, korrupcióellenes és adózási rendszerével kapcsolatos értékeléséből,
c) hiteles és megbízható nyilvános forrásból,
d) tudományos és felsőoktatási intézményektől,
e) szakmai érdekképviseleti szervezetektől, valamint
f) hiteles és megbízható kereskedelmi szervezetektől
származó információkat is figyelembe vehet.
21. § (1) A szolgáltató biztosítja, hogy rendelkezzen az újonnan felmerülő pénzmosási és terrorizmusfinanszírozási kockázatok feltárására szolgáló rendszerekkel és kontrollmechanizmusokkal, valamint, hogy értékelni tudja, és adott esetben időben be tudja építeni e kockázatokat az üzleti tevékenysége egészére kiterjedő és az egyedi kockázatértékelésébe.
(2) A szolgáltató által a felmerülő kockázatok feltárása érdekében bevezetendő rendszerek és kontrollmechanizmusok közé tartoznak legalább a következők:
a) olyan eljárások, amelyek biztosítják a szolgáltató belső üzleti működése során szerzett információk rendszeres felülvizsgálatát a tendenciák és a felmerülő kockázatok azonosítása érdekében, mind az egyedi üzleti kapcsolatok, mind a szolgáltató üzletági tevékenységével kapcsolatban,
b) olyan eljárások, amelyek biztosítják, hogy a szolgáltató mind az ügyfélszintű egyedi, mind az üzletági tevékenysége egészére kiterjedő kockázatértékelések tekintetében rendszeresen ellenőrizze a releváns információforrásokat, köztük a 20. §-ban meghatározott információforrásokat, beleértve az azok alapján szükséges intézkedések megtételét is,
ba) az ügyfélszintű egyedi kockázatértékelések tekintetében:
1. a terrorizmussal kapcsolatos riasztásokat, valamint a pénzügyi szankciórendszereket és ezek változásait azok közzétételét követően haladéktalanul, és
2. a szolgáltatás működése szerinti ágazatok vagy joghatóságok szempontjából releváns médiabeszámolókat,
bb) az üzletági tevékenységekre kiterjedő kockázatértékelések tekintetében:
1. a bűnüldözési riasztásokat és jelentéseket,
2. az illetékes hatóságok által kiadott tematikus értékeléseket és
3. a kockázatokra, különösen az ügyfelek, országok vagy földrajzi területek új kategóriáival, az új árukkal, új alkalmazott eszközzel, valamint az új megfelelési rendszerekkel és kontrollmechanizmusokkal kapcsolatos kockázatokra vonatkozó információk gyűjtésére és felülvizsgálatára szolgáló eljárásokat, valamint
c) a szolgáltató ágazatának más képviselőivel és az illetékes hatóságokkal folytatott együttműködés során szerzett információk, továbbá olyan eljárások, amelyek arra szolgálnak, hogy a szolgáltató munkavállalói visszajelzést kapjanak valamely megállapításról.
22. § A szolgáltató az üzletági tevékenységei kockázati tényezőinek beazonosítása során a Pmt. 27. §-ában foglaltakon túl az alábbiakat is figyelembe veszi:
a) az Európai Bizottság nemzetek feletti kockázatértékelését,
b) az európai felügyeleti hatóságok véleményét az európai uniós pénzügyi ágazatot érintő pénzmosási és terrorizmusfinanszírozási kockázatokról,
c) az MNB által kiadott ajánlást,
d) az MNB által nyilvánosságra hozott információkat,
e) az MNB által folytatott eljárás során keletkezett és nyilvánosságra hozott határozatokat,
f) az Európai Bizottság jegyzékét a kiemelt kockázatot jelentő harmadik országokról,
g) a Magyarország Kormánya által elfogadott nemzeti kockázatértékelést,
h) a pénzmosási és terrorizmusfinanszírozási tárgyú jogszabályok indokolását,
i) a pénzügyi információs egységektől és bűnüldöző hatóságoktól származó információkat,
j) az első ügyfél-átvilágítási folyamat és a folyamatos ügyfélmonitoring keretében szerzett információkat,
k) az általa kínált áru, az elvégzett tevékenység és ügylet természetét és összetettségét,
l) az általa alkalmazott megoldást, beleértve az ingyenes szolgáltatásnyújtást, az ügynök vagy a közvetítő használatát,
m) a kiszolgált ügyfelek típusait és
n) az üzleti tevékenység földrajzi területeit, különösen, ha azt stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik országban végzi, vagy az ügyfelei jelentős részének származási országa stratégiai hiányosságokkal rendelkező, kiemelt kockázatot jelentő harmadik ország.
23. § (1) A szolgáltató átfogó képet alakít ki az általa feltárt pénzmosási és terrorizmusfinanszírozási kockázati tényezőkről, amelyek együttes figyelembevételével határozza meg az üzletági és ügyfélszintű pénzmosási és terrorizmusfinanszírozási kockázat szintjét.
(2) A szolgáltató a kockázatértékelés során figyelembe veszi az eredendő kockázatokat és az általa meghatározott kockázatcsökkentő intézkedéseket, majd az így megállapított pénzmosási és terrorizmusfinanszírozási kockázati szint alapján a belső kockázatértékelésében kategorizálja az üzletágait, valamint üzleti kapcsolatait és ügyleti megbízásait.
(3) A szolgáltató a kockázatokat legalább alacsony, átlagos és magas kockázati kategóriába sorolja.
(4) A szolgáltató a (3) bekezdésben meghatározottaknak megfelelően definiált kockázatokat üzletági és ügyfél szinten is legalább ügyfél, áru, alkalmazott eszköz, földrajzi kockázati csoportba sorolja. A szolgáltató üzletági tevékenységeinek kockázatértékelései együttesen képezik a szolgáltató egyedi ügyfélszintű kockázatértékelésének alapját. Ügyfélszinten az üzletági szinten elvégzett kockázatértékelést nem kell megismételni, elégséges az ügyfélhez kapcsolódó üzleti kockázatra utalni, ha további egyedi ügyfél tényezőket ehhez a szolgáltató ügyfélszinten nem vesz figyelembe.
(5) A szolgáltató a kockázati tényező relatív jelentősége alapján üzletáganként eltérően súlyozhatja a kockázatot és az azokat mérséklő tényezőket.
(6) A kockázati tényezők súlyozásakor a szolgáltató biztosítja a következőket:
a) a súlyozást indokolatlanul ne befolyásolja kizárólag egyetlen tényező,
b) üzleti szempontokon alapuló megfontolások ne befolyásolják a kockázatminősítést,
c) a súlyozás ne vezessen olyan helyzethez, amelyben egyetlen üzleti kapcsolat sem sorolható magas kockázati kategóriába,
d) az ügyfelek kockázati besorolása kerüljön az informatikai rendszerben rögzítésre, és azok naprakészségét kockázatértékeléstől és a szolgáltató méretétől függően a rendszerbe épített automatizált informatikai megoldások támogassák,
e) a jogszabályban meghatározott magas pénzmosási kockázatot jelentő helyzetekre vonatkozó rendelkezéseket ne írhassa felül a szolgáltató súlyozása,
f) a szolgáltató kockázatértékelése ne kizárólagosan automatizmusokon alapuljon, szükség esetén a szolgáltató felülírhassa az automatikusan megállapított kockázati értékeket, továbbá
g) a kockázatértékelés során megállapított kockázati értékek felülírására vonatkozó döntés és annak indokolása visszakereshetően rögzítve legyen.
(7) A szolgáltató kockázatérzékenységi alapon meghatározza a belső kockázatértékeléséhez alkalmazott módszertan átfogó felülvizsgálatának gyakoriságát.
24. § (1) A szolgáltató Pmt. 65. § (1) bekezdése szerinti belső szabályzatában a beazonosított kockázat értékelését követően az ügyfélszintű kockázat mértékével arányosan meghatározza, hogy milyen intézkedésre van szükség a feltárt kockázatok kezelése érdekében. A szolgáltató az egyedi ügyfélszintű kockázatértékelések elvégzésekor mérlegeli az MNB kapcsolódó ajánlásában foglaltakat is.
(2) Az üzletági és az ügyfélszintű kockázatértékelést is tartalmazó, a belső kockázatértékelésről szóló jelentést a szolgáltató irányítási funkciót betöltő testülete vagy annak hiányában a vezető tisztségviselője hagyja jóvá.
25. § A szolgáltató a belső kockázatértékelését naprakészen tartja, minden naptári évre vonatkozóan egy időpontot meghatározva, amikor az üzleti tevékenység egészére kiterjedő kockázatértékelés aktualizálását el kell végezni.
25/A. § A szolgáltató a belső kockázatértékelését soron kívül felülvizsgálja, legalább azokban az esetekben, ha
a) külső hatás megváltoztatja a kockázat természetét,
b) a szolgáltató tulajdonosaival, a vezető testület tagjaival, a fő funkciókat ellátó személyekkel vagy a szervezetével kapcsolatban új információk merülnek fel, továbbá
c) minden egyéb esetben, amikor a szolgáltatónak alapos oka van azt feltételezni, hogy a kockázatértékelés alapjául szolgáló információ már nem alkalmazható.”
51. § A rendelet 8. alcíme helyébe a következő alcím lép:
„8. A belső ellenőrző és információs rendszer működtetése
27. § Ezen alcím alkalmazásában
1. automatikus szűrőrendszer: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából, előzetes paraméterezés alapján történő, emberi beavatkozást nem igénylő leválogatására alkalmas informatikai rendszer,
2. manuális szűrés: az ügyfél és az ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő, emberi beavatkozást igénylő leválogatása,
3. szűrőrendszer: a bejelentés teljesítését támogató rendszer, amely biztosítja a pénzmosás és terrorizmusfinanszírozás szempontjából kockázatos ügyfél és szokatlan ügylet kiszűrését, valamint a bejelentés megtételéhez szükséges adatok rendelkezésre bocsátását.
28. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként olyan szűrőrendszerrel rendelkezik, amely az ügyletek valós idejű monitoringját is biztosítja.
(2) A szolgáltató – a (3) bekezdésben meghatározott kivétellel – manuális szűréseken alapuló szűrőrendszert alkalmazhat.
(3) A szolgáltató automatikus szűrőrendszert működtet, ha
a) pénzforgalmi szolgáltatási tevékenységet végez, vagy
b) ügyfeleinek száma a tárgyévet megelőző év végén meghaladta az ötvenezret.
29. § A szolgáltató által alkalmazott szűrőrendszer legalább a következőket biztosítja:
a) a szokatlan vagy gyanús ügyletek feltárását,
b) a pénzmosás és terrorizmusfinanszírozás gyanúja szempontjából releváns ügyletek nyomon követését,
c) a b) pont szerinti ügyletekhez kapcsolódó ügyfelek kockázati profiljának összhangját a szolgáltató ügyfélre vonatkozó szélesebb körű ismereteivel,
d) a szűrőrendszer által tárolt jelzések összhangját a szolgáltató birtokában lévő dokumentumokkal, adatokkal vagy információkkal annak megértése céljából, hogy változott-e az üzleti kapcsolathoz társuló kockázat, és az arról való meggyőződés érdekében, hogy a folyamatos nyomon követés alapját képező információk pontosak-e és
e) amennyiben a szűrés eredményének lezárásához szükséges, további adatok – különösen a pénzeszközök vagy vagyon forrására vonatkozó dokumentumok – beszerzését.
30. § A szolgáltató az MNB felhívására bizonyítja, hogy az ügylet monitoringját szolgáló szűrőrendszere hatékony és megfelelő.
31. § (1) A szolgáltató a szűrések feltételeit, intenzitását és az ügylet monitoringjának gyakoriságát a belső kockázatértékelése alapján határozza meg, figyelembe véve az üzleti tevékenységének jellege, nagyságrendje és összetettsége, valamint a kockázati kitettségének szintje alapján kialakított szokatlan ügyletekre figyelmeztető jelzéseket és az MNB jelzéseit is.
(2) A szolgáltató a kiszűrt ügyfél, illetve ügylet pénzmosás és terrorizmusfinanszírozás szempontjából történő elemzését és értékelését kockázatalapon, de legfeljebb a szűrés elvégzésének napját követő hatvan munkanapon belül végzi el.
(3) A szolgáltató belső kockázatértékelésébe haladéktalanul beépíti az MNB által – a bűnügyi érdekek biztosítása céljából a nyilvánosság korlátozása mellett – adott tájékoztatást azokról a szűrési feltételekről, amelyek valós idejű ügyletmonitoringot tesznek szükségessé, vagy a (2) bekezdésben meghatározott hatvan munkanapnál gyorsabb értékelést követelnek meg.
(4) A szolgáltató a (2) bekezdés alapján végzett értékelő-elemző munka eredményességét és a szűrőrendszerének hatékony működését kockázati alapon, a működési modellje figyelembevételével, külső ellenőrzési funkció vagy annak hiányában további védelmi vonalak bevonásával rendszeresen ellenőrzi.
(5) A kiszűrt ügyfél, illetve ügylet elemzésének és értékelésének folyamatát, valamint ezek ellenőrzését a szolgáltató úgy dokumentálja, hogy a szolgáltató által végrehajtott intézkedés eredménye és az az alapján hozott döntés utólag rekonstruálható legyen.
32. § (1) A szolgáltató a szűrőrendszer működéséről, a kiszűrt ügyfél, valamint az ügylet elemzésének és értékelésének menetéről belső eljárásrendet készít.
(2) Az (1) bekezdés szerinti belső eljárásrendet a szolgáltató írásban rögzíti, naprakészen tartja, és felhívásra az MNB rendelkezésére bocsátja.
(3) A szűrőrendszerre vonatkozó belső eljárásrend megfelel legalább az alábbi feltételeknek:
a) a szolgáltató belső kockázatértékelésén alapul,
b) megfelel a szolgáltató kapcsolódó belső szabályzatainak,
c) dokumentálja a szolgáltató által használt szcenáriókat, az azok alapjául szolgáló logikákkal, paraméterekkel és küszöbértékekkel, és biztosítja a változások nyomonkövethetőségét,
d) biztosítja az adatok integritását és minőségét annak érdekében, hogy a szűrőrendszeren pontos és teljes adatok menjenek keresztül,
e) rögzíti a releváns adatokat tartalmazó összes adatforrást,
f) biztosítja a szűrőrendszer megtervezéséért, működtetéséért, teszteléséért, beüzemeléséért és folyamatos felügyeletéért, valamint az esetkezelésért, felülvizsgálatért és a találatok és lehetséges bejelentések tekintetében hozott döntésekért felelős szakképzett alkalmazottak vagy külső tanácsadók rendelkezésre állását,
g) rögzíti az elemző- és értékelőfolyamat során alkalmazott határidőket,
h) olyan vizsgálati protokollokat tartalmaz, amelyek részletesen bemutatják, hogy a szűrőrendszer által generált figyelmeztetéseket milyen módon kell megvizsgálni, milyen módon kell dönteni afelől, hogy mely találatok kerüljenek bejelentésre, ki a felelős az ilyen döntés meghozataláért, valamint azt, hogy milyen módon kell a döntéshozatali eljárást dokumentálni,
i) biztosítja a szcenáriók és az azok alapjául szolgáló logikák, paraméterek és küszöbértékek kockázataival összhangban történő felülvizsgálatát, és tartalmazza, hogy ki a felelős azok felülvizsgálatáért,
j) meghatározza, hogy mely ügyleteket követi nyomon valós időben, és mely ügyleteket követi nyomon utólag, ennek részeként legalább a következőkről rendelkezik:
ja) melyek azok a magas kockázatot jelző tényezők vagy a magas kockázatot jelző tényezők azon kombinációi, amelyek minden esetben valós idejű ügyletmonitoringot tesznek szükségessé, és
jb) a valós időben nyomon követett ügyletek esetében melyek a magasabb pénzmosási és terrorizmusfinanszírozási kockázatok, különös tekintettel azon ügyletekre, amelyek esetében az üzleti kapcsolathoz fokozott kockázat társul, valamint
k) automatikus szűrőrendszer esetén előírja a szűrőrendszer teljes folyamatát nyomon követő, valamint a bevezetését megelőző és azt követő tesztelését, csakúgy, mint az időszakos tesztelések elvégzését az irányítás, az adatok leképezése, az ügyletek azonosítása, a keresési szcenáriók és logikák, a szűrési modellezés, valamint a bevitt adatok és az eredmények vizsgálatával kapcsolatosan.
33. § A szolgáltató a szűrést folyamatosan végzi. A szűrés folyamatosságát huszonnégy órát meghaladóan akadályozó körülménynek a szolgáltató tudomására jutásáról és az ennek kiküszöbölésére foganatosított, illetve foganatosítani tervezett intézkedésekről a szolgáltató haladéktalanul, elektronikus formában, az MNB Elektronikus Rendszer Hitelesített Adatok Fogadásához megnevezésű rendszerén (a továbbiakban: ERA rendszer) keresztül tájékoztatja az MNB-t.
34. § (1) A szolgáltató a belső ellenőrző és információs rendszer részeként névtelenséget biztosító visszaélésbejelentési rendszert működtet.
(2) Visszaélés-bejelentést az (1) bekezdésben foglaltak szerinti visszaélésbejelentési rendszeren keresztül az tehet, aki tudomással bír arról, hogy a szolgáltatónál a Pmt. rendelkezése megsértésre kerül vagy került.
(3) A visszaélés-bejelentést a szolgáltató a beérkezését követő harminc napon belül kivizsgálja.
(4) A visszaélés-bejelentés kivizsgálásában nem vehet részt a bejelentéssel érintett személy.
(5) Ha a szolgáltató azt állapítja meg, hogy pénzmosásra, terrorizmus finanszírozására vagy dolog büntetendő cselekményből való származására utaló adat, tény, illetve körülmény merül fel, a kijelölt személy haladéktalanul bejelentést tesz a pénzügyi információs egységnek.
(6) Ha a szolgáltató azt állapítja meg, hogy bűncselekmény gyanúja áll fenn, haladéktalanul feljelentést tesz a hatáskörrel és illetékességgel rendelkező nyomozó hatóságnál.
(7) Ha a szolgáltató az (5) és (6) bekezdésben foglalt eseteken kívül a Pmt., az Európai Unió és az Egyesült Nemzetek Szervezetének ENSZ Biztonsági Tanácsa (a továbbiakban: ENSZ BT) által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény vagy e rendelet megsértését állapítja meg, e tényt a kijelölt személy haladéktalanul bejelenti az MNB-nek.
(8) A szolgáltató a bejelentés megtételét követően biztosítja, hogy a bejelentéshez a bejelentést tevőn vagy a szolgáltató foglalkoztatottján mint a bejelentés kivizsgálásával foglalkozó személyen kívül más személy ne férhessen hozzá.
34/A. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen az üzleti kapcsolatnak
a) a Pmt. által előírt személyes adat;
b) fizetési számla pénzforgalmi jelzőszáma vagy IBAN-ja;
c) az ügyfélszám;
d) az ügylettípus vagy
e) az összeghatár
alapján történő leválogatására.
34/B. § A szolgáltató biztosítja, hogy a belső ellenőrző és információs rendszer képes legyen a benne rögzített adatoknak a Pmt.-ben meghatározott időtartam alatt visszakereshetőséget lehetővé tevő nyilvántartására.”
15. Hatályon kívül helyező rendelkezés
52. § Hatályát veszti a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény végrehajtásának az MNB által felügyelt szolgáltatókra vonatkozó, valamint az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtásáról szóló törvény szerinti szűrőrendszer kidolgozásának és működtetése minimumkövetelményeinek részletes szabályairól szóló 26/2020. (VIII. 25.) MNB rendelet.
Virág Barnabás s. k.,
a Magyar Nemzeti Bank alelnöke
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás