Transfer of funds regulation (TFR)

De flöden av pengar från olaglig verksamhet som skapas genom överföringar av medel och virtuella tillgångar kan skada den finansiella sektorns integritet, stabilitet och anseende och utgöra ett hot mot såväl unionens inre marknad som internationell utveckling. Penningtvätt, finansiering av terrorism och organiserad brottslighet är fortfarande betydande problem som bör angripas på unionsnivå. Den sundhet, integritet och stabilitet som präglar systemet för överföring av medel och virtuella tillgångar och tilltron till det finansiella systemet i dess helhet, kan allvarligt sättas på spel genom brottslingars och deras medhjälpares försök att antingen dölja ursprunget till vinning från brott eller att överföra medel eller virtuella tillgångar för brottslig verksamhet eller terroriständamål.

För att underlätta sin brottsliga verksamhet är det sannolikt att personer som ägnar sig åt penningtvätt och finansiering av terrorism utnyttjar den fria rörligheten för kapital inom unionens integrerade finansiella område, om inte vissa samordnade åtgärder antas på unionsnivå. Internationellt samarbete inom ramen för FATF och en global tillämpning av dess rekommendationer syftar till att förhindra penningtvätt och finansiering av terrorism vid överföring av medel eller virtuella tillgångar.

På grund av räckvidden för de åtgärder som vidtas bör unionen säkerställa att de internationella standarder för bekämpning av penningtvätt och finansiering av terrorism och spridning som FATF antog den 16 februari 2012 och därefter reviderade den 21 juni 2019 (de reviderade FATF-rekommendationerna) och i synnerhet FATF:s rekommendation nr 15 om ny teknik, FATF:s rekommendation nr 16 om elektroniska överföringar och de reviderade tolkningsnoterna till dessa rekommendationer, tillämpas på ett enhetligt sätt i hela unionen och att det i synnerhet inte förekommer någon diskriminering eller diskrepans mellan, å ena sidan, nationella betalningar eller överföringar av virtuella tillgångar inom medlemsstaterna och, å andra sidan, gränsöverskridande betalningar eller överföringar av virtuella tillgångar mellan medlemsstaterna. Enskilda medlemsstaters icke samordnade åtgärder kan på området gränsöverskridande överföringar av medel och virtuella tillgångar inverka väsentligt på hur väl betalningssystemen och tjänsterna för virtuella tillgångar fungerar på unionsnivå och kan därför skada den inre marknaden på området finansiella tjänster.

För att främja ett enhetligt internationellt tillvägagångssätt och öka effektiviteten i kampen mot penningtvätt och finansiering av terrorism, bör man vid unionens ytterligare åtgärder ta hänsyn till utvecklingen på internationell nivå, särskilt de reviderade FATF-rekommendationerna.

Deras globala räckvidd, den hastighet med vilken transaktioner kan genomföras och den möjliga anonymitet som deras överföring erbjuder gör att virtuella tillgångar är särskilt mottagliga för brottsligt missbruk, inbegripet i gränsöverskridande sammanhang. För att effektivt hantera riskerna med missbruk av virtuella tillgångar för penningtvätt och finansiering av terrorism bör unionen verka för en tillämpning på global nivå av de standarder som genomförts genom denna förordning och en utveckling av den internationella och jurisdiktionsöverskridande dimensionen av ramen för reglering och tillsyn av överföringar av virtuella tillgångar vad gäller penningtvätt och finansiering av terrorism.

Genom Europaparlamentets och rådets direktiv (EU) 2015/849(⁷), till följd av ändringen genom Europaparlamentets och rådets direktiv (EU) 2018/843(⁸), infördes en definition av virtuella valutor, och leverantörer som erbjuder växlingstjänster mellan virtuella valutor och fiatvalutor samt tillhandahållare av plånböcker för virtuella valutor togs med bland de enheter som omfattas av kraven för bekämpning av penningtvätt och finansiering av terrorism enligt unionsrätten. Den senaste internationella utvecklingen, särskilt inom ramverket för FATF, innebär nu ett behov att reglera ytterligare kategorier av leverantörer av tjänster för virtuella tillgångar som ännu inte omfattas, samt att bredda den nuvarande definitionen av virtuell valuta.

Definitionen av kryptotillgångar i Europaparlamentets och rådets förordning (EU) 2023/1114(⁹) motsvarar definitionen av virtuella tillgångar i FATF:s reviderade rekommendationer, och att förteckningen över kryptotillgångstjänster och leverantörer av kryptotillgångstjänster som omfattas av den förordningen även omfattar de leverantörer av tjänster för virtuella tillgångar som identifierats som sådana av FATF och som anses kunna ge upphov till problem med penningtvätt och finansiering av terrorism. För att säkerställa samstämmighet i unionsrätten inom detta område bör den här förordningen använda samma definitioner av kryptotillgångar, kryptotillgångstjänster och leverantörer av kryptotillgångstjänster som de som används i förordning (EU) 2023/1114.

Genomförandet och verkställigheten av denna förordning utgör lämpliga och effektiva sätt att förebygga och bekämpa penningtvätt och finansiering av terrorism.

Denna förordning är inte avsedd att leda till omotiverade bördor eller oproportionella kostnader för betaltjänstleverantörer, leverantörer av kryptotillgångstjänster eller personer som använder deras tjänster. I det avseendet bör den förebyggande strategin vara målinriktad, proportionell och i full överensstämmelse med den fria rörligheten för kapital som garanteras i hela unionen.

I unionens reviderade strategi mot finansiering av terrorism av den 17 juli 2008 (den reviderade strategin) anges att insatser för att förebygga finansiering av terrorism och att kontrollera hur misstänkta terrorister använder sina egna finansiella medel måste fortsätta. Det fastslås där att FATF ständigt arbetar för att förbättra sina rekommendationer och skapa en samsyn om hur de ska genomföras. I den reviderade strategin noteras att det regelbundet utvärderas hur alla FATF-medlemmar och medlemmar av regionala organ efter FATF-modell genomför de reviderade FATF-rekommendationerna och att det därför är viktigt att medlemsstaterna intar en gemensam hållning till genomförandet.

I sitt meddelande av den 7 maj 2020 om en handlingsplan för en övergripande EU-politik för att förhindra penningtvätt och finansiering av terrorism fastställde kommissionen dessutom sex prioriterade områden för brådskande åtgärder för att förbättra unionens system för bekämpning av penningtvätt och finansiering av terrorism, bland annat fastställandet av ett enhetligt regelverk för systemet i unionen så att reglerna blir mer detaljerade och harmoniserade, särskilt för att ta hänsyn till konsekvenserna av teknisk innovation och utveckling inom internationella standarder och för att undvika olikheter i genomförandet av befintliga regler. Arbete på internationell nivå tyder på att de sektorer eller enheter som omfattas av det systemet bör utvidgas och det bör bedömas hur det ska tillämpas på leverantörer av kryptotillgångstjänster som hittills inte omfattats av det.

För att förebygga finansiering av terrorism har åtgärder vidtagits i syfte att frysa vissa personers, gruppers och enheters penningmedel och ekonomiska resurser, däribland rådets förordningar (EG) nr 2580/2001(¹⁰), (EG) nr 881/2002(¹¹) och (EU) nr 356/2010(¹²). Av samma skäl har åtgärder vidtagits i syfte att skydda det finansiella systemet mot att penningmedel och ekonomiska resurser överförs för terroriständamål. direktiv (EU) 2015/849 innehåller ett antal sådana åtgärder. Dessa åtgärder kan dock inte helt hindra terrorister eller andra brottslingar från att få tillgång till betalningssystem för att överföra sina medel.

För att penningtvätt och finansiering av terrorism ska kunna förebyggas, upptäckas och utredas och restriktiva åtgärder ska kunna genomföras, särskilt de som införs genom förordningarna (EG) nr 2580/2001, (EG) nr 881/2002 och (EU) nr 356/2010, är det särskilt viktigt och värdefullt att överföringar av medel och kryptotillgångar fullständigt kan spåras. För att säkerställa att uppgifterna vidarebefordras genom hela betalningskedjan eller kedjan för överföring av kryptotillgångar är det därför lämpligt att införa en skyldighet för betaltjänstleverantörerna att till överföringar av medel foga uppgifter om betalaren och betalningsmottagaren och för leverantörerna av kryptotillgångstjänster att till överföringar av kryptotillgångar foga uppgifter om avsändaren och mottagaren.

Vissa överföringar av kryptotillgångar medför särskilda högriskfaktorer för penningtvätt, finansiering av terrorism och annan brottslig verksamhet, särskilt överföringar som rör varor, transaktioner eller teknik som utformats för att öka anonymiteten, inbegripet privata plånböcker, mixertjänster eller tumlartjänster. För att säkerställa spårbarheten för sådana överföringar bör Europeiska tillsynsmyndigheten (Europeiska bankmyndigheten), som inrättades genom Europaparlamentets och rådets förordning (EU) nr 1093/2010(¹³) (EBA), särskilt klargöra hur de riskfaktorer som förtecknas i bilaga III till direktiv (EU) 2015/849 ska tas i beaktande av leverantörer av kryptotillgångstjänster, inbegripet när de utför transaktioner med enheter utanför unionen som inte är reglerade, registrerade eller har tillstånd i något tredjeland, eller med fristående adresser. Om situationer med högre risk identifieras bör EBA utfärda riktlinjer som anger vilka skärpta åtgärder för kundkännedom som ansvariga enheter bör överväga att vidta för att minska dessa risker, inbegripet införande av lämpliga förfaranden, såsom användning av analysverktyg som använder teknik för distribuerade liggare (DLT), för att bestämma kryptotillgångarnas ursprung eller destination.

Denna förordning bör tillämpas utan att det påverkar tillämpningen av nationella restriktiva åtgärder och unionens restriktiva åtgärder som införs genom förordningar som grundas på artikel 215 i fördraget om Europeiska unionens funktionssätt, såsom förordningarna (EG) nr 2580/2001, (EG) nr 881/2002 och (EU) nr 356/2010 och rådets förordningar (EU) nr 267/2012(¹⁴), (EU) 2016/1686(¹⁵) och (EU) 2017/1509(¹⁶), som kan kräva att betalarnas och betalningsmottagarnas betaltjänstleverantörer, avsändarnas och mottagarnas leverantörer av kryptotillgångstjänster, förmedlande betaltjänstleverantörer, samt förmedlande leverantörer av kryptotillgångstjänster, vidtar lämpliga åtgärder för att frysa vissa medel och kryptotillgångar eller att de iakttar särskilda restriktioner avseende vissa överföringar av medel eller kryptotillgångar. Betaltjänstleverantörer och leverantörer av kryptotillgångstjänster bör ha interna strategier, förfaranden och kontroller för att säkerställa genomförandet av dessa restriktiva åtgärder, inbegripet granskning mot unionens och nationella förteckningar över personer som omfattas av sanktioner. EBA bör utfärda riktlinjer som specificerar dessa interna strategier, förfaranden och kontroller. Avsikten är att de krav på interna strategier, förfaranden och kontroller för restriktiva åtgärder som fastställs i denna förordning inom en snar framtid ska upphävas genom Europaparlamentets och rådets förordning om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism.

Behandlingen av personuppgifter enligt denna förordning bör ske i full överensstämmelse med Europaparlamentets och rådets förordning (EU) 2016/679(¹⁷). Ytterligare behandling av personuppgifter för kommersiella ändamål bör vara strängt förbjuden. Samtliga medlemsstater anser att bekämpningen av penningtvätt och finansiering av terrorism har ett starkt allmänintresse. Vid tillämpningen av denna förordning krävs det att överföring av personuppgifter till ett tredjeland sker i enlighet med kapitel V i förordning (EU) 2016/679. Det är viktigt att betaltjänstleverantörer och leverantörer av kryptotillgångstjänster som är verksamma i flera jurisdiktioner med filialer eller dotterföretag utanför unionen inte förhindras att överföra information om misstänkta transaktioner inom samma organisation, förutsatt att de tillämpar lämpliga säkerhetsåtgärder. Avsändarens och mottagarens leverantör av kryptotillgångstjänster, betalarens och betalningsmottagarens betaltjänstleverantör samt den förmedlande betaltjänstleverantören och den förmedlande leverantören av kryptotillgångstjänster bör dessutom förfoga över lämpliga tekniska och organisatoriska medel för att skydda personuppgifter mot oavsiktlig förlust, ändring och obehörigt röjande eller obehörig åtkomst.

Personer som endast omvandlar pappersdokument till elektroniska uppgifter och som agerar enligt ett kontrakt med en betaltjänstleverantör och personer som tillhandahåller betaltjänstleverantörer enbart med meddelandesystem eller andra stödsystem för överföring av medel eller system för clearing och avveckling bör inte omfattas av denna förordnings tillämpningsområde.

Personer som endast tillhandahåller kringliggande infrastruktur, såsom tjänsteleverantörer av internetnätverk och internetinfrastruktur, molntjänstleverantörer eller programvaruutvecklare, som gör det möjligt för en annan enhet att tillhandahålla överföringstjänster för kryptotillgångar bör inte omfattas av denna förordning, såvida de inte utför överföringar av kryptotillgångar.

Denna förordning bör inte tillämpas på överföringar av kryptotillgångar från person till person som genomförs utan medverkan av en leverantör av kryptotillgångstjänster, eller i fall där både avsändaren och mottagaren är leverantörer av överföringstjänster för kryptotillgångar, som agerar för egen räkning.

Överföringar av medel som motsvarar de tjänster som avses i artikel 3 a–m och o i Europaparlamentets och rådets direktiv (EU) 2015/2366(¹⁸) omfattas inte av denna förordning. Det är också lämpligt att undanta överföringar av medel och e-pengartoken, enligt definitionen i artikel 3.1.7 i förordning (EU) 2023/1114, där risken för penningtvätt eller finansiering av terrorism är liten. Sådana undantag bör omfatta betalkort, instrument för elektroniska pengar, mobiltelefoner eller annan förbetald eller efterhandsbetald digital utrustning eller it-utrustning med liknande egenskaper, där de uteslutande används för köp av varor eller tjänster och kortets, instrumentets eller utrustningens nummer åtföljer alla överföringar. Användningen av ett betalkort, ett instrument för elektroniska pengar, en mobiltelefon eller annan förbetald eller efterhandsbetald digital utrustning eller it-utrustning med liknande egenskaper för att verkställa en överföring av medel eller e-pengartoken mellan fysiska personer som agerar i egenskap av konsumenter för andra ändamål än handelsverksamhet, affärsverksamhet eller yrkesverksamhet omfattas dock av denna förordning. Dessutom bör uttag från uttagsautomater, betalning av skatter, böter eller andra avgifter, överföringar av medel som görs genom checkavbildningar, inklusive trunkerade checkar eller växlar, och överföringar av medel där både betalaren och betalningsmottagaren är betaltjänstleverantörer som agerar för egen räkning, undantas från denna förordnings tillämpningsområde.

Kryptotillgångar som är unika och inte fungibla omfattas inte av kraven i denna förordning såvida de inte klassificeras som kryptotillgångar eller medel enligt förordning (EU) 2023/1114.

Uttagsautomater för kryptotillgångar (kryptobankomater) kan göra det möjligt för användare att överföra kryptotillgångar till en adress för kryptotillgångar genom att deponera kontanter, ofta utan någon form av identifiering och kontroll av kunden. Kryptobankomater är särskilt utsatta för risker för penningtvätt och finansiering av terrorism eftersom anonymiteten och möjligheten att använda kontanter av okänt ursprung gör dem till ett idealiskt verktyg för olaglig verksamhet. Med tanke på kryptobankomaternas roll när det gäller att tillhandahålla eller aktivt underlätta överföringar av kryptotillgångar, bör överföringar av kryptotillgångar med koppling till kryptobankomater omfattas av denna förordnings tillämpningsområde.

För att beakta de nationella betalningssystemens särskilda egenskaper, och förutsatt att det alltid är möjligt att spåra överföringen av medel tillbaka till betalaren bör medlemsstaterna dessutom kunna undanta vissa inhemska överföringar av medel som avser låga belopp som används för köp av varor eller tjänster, inbegripet elektroniska girobetalningar, från denna förordnings tillämpningsområde.

På grund av den inneboende gränslösa karaktären hos och den globala räckvidden för överföringar av kryptotillgångar och tillhandahållandet av kryptotillgångstjänster, finns det inga objektiva anledningar att göra åtskillnad mellan behandlingen av nationella överföringar och gränsöverskridande överföringar när det gäller risken för penningtvätt och finansiering av terrorism. För att återspegla dessa särdrag bör det därför inte beviljas några undantag från denna förordnings tillämpningsområde för inhemska överföringar av kryptotillgångar av lågt värde, i enlighet med FATF:s krav att alla överföringar av kryptotillgångar ska behandlas som gränsöverskridande överföringar.

Betaltjänstleverantörer och leverantörer av kryptotillgångstjänster bör säkerställa att uppgifter om betalaren och betalningsmottagaren eller avsändaren och mottagaren inte saknas eller är ofullständiga.

För att inte inverka negativt på betalningssystemens effektivitet och för att skapa en rimlig avvägning mellan risken för att transaktioner kommer att ske utanför det officiella systemet som ett resultat av alltför strikta identifieringskrav och det potentiella terroristhot som små överföringar av medel innebär, bör, vid överföringar av medel där en kontroll ännu inte har ägt rum, skyldigheten att kontrollera att uppgifterna om betalaren eller betalningsmottagaren är riktiga endast tillämpas på enskilda överföringar av medel som överstiger 1 000 EUR, om inte överföringen förefaller vara sammankopplad till andra överföringar av medel som tillsammans skulle överstiga 1 000 EUR, medlen har tagits emot eller betalats ut i kontanter eller i anonyma elektroniska pengar eller det finns rimliga skäl att misstänka penningtvätt eller finansiering av terrorism.

Jämfört med överföringar av medel kan överföringar av kryptotillgångar genomföras i större skala och snabbare mellan flera jurisdiktioner tack vare deras globala räckvidd och tekniska egenskaper. Utöver kryptotillgångarnas pseudoanonymitet ger dessa särdrag hos överföringar av kryptotillgångar brottslingar möjlighet att snabbt utföra stora olagliga överföringar och samtidigt kringgå kraven på spårbarhet och undvika upptäckt genom att strukturera en stor transaktion i mindre belopp med hjälp av flera till synes orelaterade DLT-adresser, inbegripet DLT-adresser för engångsanvändning, och med användande av automatiserade processer. De flesta kryptotillgångar är också mycket volatila och deras värde kan fluktuera avsevärt på mycket kort tid, vilket gör beräkningen av sammankopplade transaktioner mer osäker. För att återspegla dessa särdrag bör överföringar av kryptotillgångar vara föremål för samma krav oavsett belopp och oavsett om de är inhemska eller gränsöverskridande överföringar.

När det gäller överföringar av medel eller överföringar av kryptotillgångar där en kontroll anses ha ägt rum bör betaltjänstleverantörer och leverantörer av kryptotillgångstjänster inte vara skyldiga att kontrollera riktigheten i de uppgifter om betalaren eller betalningsmottagaren som åtföljer varje överföring av medel, eller om avsändaren och mottagaren som åtföljer varje överföring av kryptotillgångar, förutsatt att skyldigheterna i direktiv (EU) 2015/849 är fullgjorda.

Mot bakgrund av unionens lagstiftningsakter om betaltjänster, nämligen Europaparlamentets och rådets förordning (EU) nr 260/2012(¹⁹), direktiv (EU) 2015/2366 och Europaparlamentets och rådets förordning (EU) 2021/1230(²⁰), bör det vara tillräckligt att föreskriva att endast förenklade uppgifter, såsom betalkontonummer eller en unik transaktionsidentifierare, åtföljer överföringar av medel inom unionen.

För att myndigheter som ansvarar för bekämpning av penningtvätt eller finansiering av terrorism i tredjeländer ska kunna spåra källan till de medel eller kryptotillgångar som används för sådana ändamål bör överföringar av medel eller överföringar av kryptotillgångar från unionen till utanför unionen åtföljas av fullständiga uppgifter om betalaren och betalningsmottagaren när det gäller överföring av medel och om avsändaren och mottagaren när det gäller överföring av kryptotillgångar. Fullständiga uppgifter om betalaren och betalningsmottagaren bör omfatta identifieringskoden för juridiska personer (LEI), eller en likvärdig officiell identifieringskod, om den identifieringskoden lämnas av betalaren till sin betaltjänstleverantör, eftersom det skulle göra det möjligt att bättre identifiera de parter som deltar i en överföring av medel och enkelt skulle kunna inkluderas i befintliga format för betalningsmeddelanden, såsom det som utvecklats av Internationella standardiseringsorganisationen för elektroniskt datautbyte mellan finansiella institut. De myndigheter som ansvarar för bekämpning av penningtvätt eller finansiering av terrorism i tredjeländer bör endast ges tillgång till fullständiga uppgifter om betalaren och betalningsmottagaren eller om avsändaren och mottagaren, beroende på vad som är tillämpligt, för att kunna förebygga, upptäcka och utreda penningtvätt eller finansiering av terrorism.

Kryptotillgångar finns i en gränslös virtuell verklighet och kan överföras till vilken leverantör av kryptotillgångstjänster som helst, oberoende av om den leverantören är registrerad eller inte i en viss jurisdiktion. Många jurisdiktioner utanför unionen har regler om dataskydd och verkställighet som skiljer sig från dem som gäller i unionen. Vid överföring av kryptotillgångar för en kunds räkning till en leverantör av kryptotillgångstjänster som inte är registrerad i unionen bör avsändarens leverantör av kryptotillgångstjänster bedöma förmågan hos mottagarens leverantör av kryptotillgångstjänster att ta emot och lagra den information som krävs enligt denna förordning i enlighet med förordning (EU) 2016/679, i tillämpliga fall med användning av tillgängliga alternativ i kapitel V i förordning (EU) 2016/679. Europeiska dataskyddsstyrelsen bör, efter samråd med EBA, utfärda riktlinjer för det praktiska genomförandet av dataskyddskrav för överföring av personuppgifter till tredjeländer i samband med överföringar av kryptotillgångar. Det kan uppstå situationer där personuppgifter inte kan översändas på grund av att kraven i förordning (EU) 2016/679 inte kan uppfyllas. EBA bör utfärda riktlinjer om lämpliga förfaranden för att avgöra om överföringen av kryptotillgångar bör verkställas, avvisas eller avbrytas i sådana fall.

Medlemsstaternas myndigheter som ansvarar för att bekämpa penningtvätt och finansiering av terrorism och berörda rättsliga och brottsbekämpande myndigheter i medlemsstaterna och på unionsnivå bör intensifiera samarbetet sinsemellan och med berörda myndigheter i tredjeländer, inklusive i utvecklingsländer, i syfte att ytterligare stärka öppenheten, samt utbytet av information och bästa praxis.

Avsändarens leverantör av kryptotillgångstjänster bör säkerställa att överföringar av kryptotillgångar åtföljs av avsändarens namn, avsändarens adress i den distribuerade liggaren, i fall där en överföring av kryptotillgångar registrerats på ett nätverk som använder DLT eller liknande teknik, avsändarens kontonummer för kryptotillgångar, i fall där konto finns och används för transaktionen, avsändarens adress, inbegripet landets namn, officiella personliga dokumentnummer och kundnummer, eller, alternativt, avsändarens födelsedatum och födelseort och, under förutsättning att det nödvändiga fältet finns i det relevanta meddelandeformatet, och om avsändaren har tillhandahållit denna kod till sin leverantör av kryptotillgångstjänster, den aktuella LEI-koden, eller, om sådan saknas, någon annan tillgänglig likvärdig officiell identifieringskod för avsändaren. Uppgifterna bör lämnas på ett säkert sätt och före, eller samtidigt som eller i samband med, överföringen av kryptotillgångar.

Avsändarens leverantör av kryptotillgångstjänster bör även säkerställa att överföringar av kryptotillgångar åtföljs av mottagarens namn, mottagarens adress i den distribuerade liggaren, i fall där en överföring av kryptotillgångar registrerats på ett nätverk som använder DLT eller liknande teknik, mottagarens kontonummer, i fall där konto finns och används för transaktionen, samt, under förutsättning att det nödvändiga fältet finns i det relevanta meddelandeformatet, och om avsändaren har tillhandahållit denna kod till sin leverantör av kryptotillgångstjänster, den aktuella LEI-koden, eller, om sådan saknas, någon annan tillgänglig likvärdig officiell identifieringskod för mottagaren. Uppgifterna bör lämnas på ett säkert sätt och före, eller samtidigt som eller i samband med, överföringen av kryptotillgångar.

När det gäller överföringar av kryptotillgångar bör kraven i denna förordning tillämpas på alla överföringar, inbegripet överföring av kryptotillgångar till eller från en fristående adress, så länge en leverantör av kryptotillgångstjänster är inblandad.

Vid överföring till eller från en fristående adress bör leverantören av kryptotillgångstjänster samla in uppgifterna om både avsändaren och mottagaren, vanligtvis från dess kund. Leverantören av kryptotillgångstjänster bör i princip inte vara skyldig att kontrollera uppgifterna om användaren av den fristående adressen. Vid en överföring av ett belopp som överstiger 1 000 EUR och som sänds till eller tas emot från en fristående adress på uppdrag av en kund till en leverantör av kryptotillgångstjänster bör dock den leverantören av kryptotillgångstjänster kontrollera om den kunden faktiskt äger eller kontrollerar den fristående adressen.

Vad gäller medel som överförs från en enskild betalare till flera betalningsmottagare med en batchöverföring som innehåller enskilda överföringar från unionen till utanför unionen, bör det föreskrivas att sådana enskilda överföringar endast ska åtföljas av betalarens betalkontonummer eller den unika transaktionsidentifieraren samt fullständiga uppgifter om betalningsmottagaren, under förutsättning att batchfilen innehåller fullständiga verifierade uppgifter om betalaren och fullständiga uppgifter om betalningsmottagaren, som är fullständigt spårbara.

När det gäller batchöverföringar av kryptotillgångar bör inlämning av uppgifter om avsändaren och mottagaren i batchfiler godtas så länge som den inlämningen sker omedelbart och säkert. Det bör inte vara tillåtet att lämna in de erforderliga uppgifterna efter överföringen, eftersom inlämningen måste ske före eller vid den tidpunkt då transaktionen slutförs, och leverantörer av kryptotillgångstjänster eller andra ansvariga enheter bör lämna in de erforderliga uppgifterna samtidigt som batchöverföringen av kryptotillgångar sker.

För att kunna kontrollera om erforderliga uppgifter om betalaren och betalningsmottagaren åtföljer överföringarna av medel, och för att upptäcka misstänkta transaktioner, bör betalningsmottagarens betaltjänstleverantör och den förmedlande betaltjänstleverantören ha effektiva förfaranden för fastställande av huruvida uppgifter om betalaren och betalningsmottagaren saknas eller är ofullständiga. Dessa förfaranden bör inbegripa övervakning efter eller samtidigt med överföringarna där så är lämpligt. De behöriga myndigheterna bör säkerställa att betaltjänstleverantörerna inkluderar den nödvändiga transaktionsinformationen i den elektroniska överföringen eller i ett tillhörande meddelande genom hela betalningskedjan.

När det gäller överföringar av kryptotillgångar bör mottagarens leverantör av kryptotillgångstjänster införa effektiva förfaranden för att upptäcka om uppgifter om avsändaren eller mottagaren saknas eller är ofullständiga. Dessa förfaranden bör, när så är lämpligt, omfatta övervakning efter eller samtidigt med överföringarna. Det bör inte krävas att uppgifterna direkt medföljer själva överföringen av kryptotillgångar, så länge som de lämnas in före, eller samtidigt som eller i samband med, överföringen av kryptotillgångar och görs tillgängliga för berörda myndigheter på begäran.

Mot bakgrund av den potentiella risk för penningtvätt och finansiering av terrorism som anonyma betalningar utgör bör det krävas att betaltjänstleverantörer begär uppgifter om betalaren och betalningsmottagaren och att leverantörer av kryptotillgångstjänster begär uppgifter om avsändaren och mottagaren. I enlighet med den riskbaserade metod som FATF utvecklat bör områden med högre respektive lägre risk fastställas för att risken för penningtvätt och finansiering av terrorism ska kunna motverkas bättre. Därför bör mottagarens leverantör av kryptotillgångstjänster, betalningsmottagarens betaltjänstleverantör, den förmedlande betaltjänstleverantören och den förmedlande leverantören av kryptotillgångstjänster ha effektiva riskbaserade förfaranden som är tillämpliga när en överföring av medel saknar de nödvändiga uppgifterna om betalaren eller betalningsmottagaren, eller när en överföring av kryptotillgångar saknar de nödvändiga uppgifterna om avsändaren eller mottagaren, för att den tjänsteleverantören ska kunna avgöra om den ska verkställa, avvisa eller avbryta den överföringen och fastställa de lämpliga uppföljningsåtgärder som ska vidtas.

Leverantörer av kryptotillgångstjänster bör, liksom alla ansvariga enheter, bedöma och övervaka den risk som är förknippad med deras kunder, produkter och leveranskanaler. Leverantörer av kryptotillgångstjänster bör också bedöma den risk som är förknippad med deras transaktioner, även när de utför överföringar till eller från fristående adresser. I händelse av att leverantören av kryptotillgångstjänster har eller får kännedom om felaktiga uppgifter om avsändare eller mottagare som använder en fristående adress, eller om leverantören av kryptotillgångstjänster stöter på ovanliga eller misstänkta transaktionsmönster eller situationer med högre risk för penningtvätt och finansiering av terrorism i samband med överföringar som inbegriper fristående adresser, bör den leverantören av kryptotillgångstjänster, när så är lämpligt, vidta skärpta åtgärder för kundkännedom för att hantera och minska riskerna på lämpligt sätt. Leverantören av kryptotillgångstjänster bör ta hänsyn till dessa omständigheter vid bedömningen av huruvida en överföring av kryptotillgångar, eller en relaterad transaktion, är ovanlig och om den ska rapporteras till finansunderrättelseenheten (FIU) i enlighet med direktiv (EU) 2015/849.

Denna förordning bör ses över i samband med antagandet av en Europaparlamentets och rådets förordning om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, ett Europaparlamentets och rådets direktiv om de mekanismer som medlemsstaterna ska inrätta för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism och om upphävande av direktiv (EU) 2015/849 och en Europaparlamentets och rådets förordning om inrättande av en myndighet för bekämpning av penningtvätt och finansiering av terrorism och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010, för att säkerställa överensstämmelse med de relevanta bestämmelserna.

Betalningsmottagarens betaltjänstleverantör, den förmedlande betaltjänstleverantören, mottagarens leverantör av kryptotillgångstjänster eller den förmedlande leverantören av kryptotillgångstjänster bör vid bedömningen av riskerna vara särskilt vaksam om den får kännedom om att uppgifter om betalaren eller betalningsmottagaren, eller om avsändaren eller mottagaren, beroende på vad som är tillämpligt, saknas eller är ofullständiga, eller om en överföring av kryptotillgångar måste anses vara misstänkt på grundval av de berörda kryptotillgångarnas ursprung eller destination, och bör rapportera misstänkta transaktioner till de behöriga myndigheterna i enlighet med rapporteringsskyldigheterna i direktiv (EU) 2015/849.

I likhet med överföringar av medel mellan betaltjänstleverantörer kan överföringar av kryptotillgångar som involverar förmedlande leverantörer av kryptotillgångstjänster underlätta överföringar som ett mellanled i en kedja av överföringar av kryptotillgångar. I linje med internationella standarder bör sådana förmedlande leverantörer också omfattas av de krav som fastställs i denna förordning, på samma sätt som befintliga skyldigheter för förmedlande betaltjänstleverantörer.

Bestämmelserna om överföringar av medel och överföringar av kryptotillgångar avseende vilka uppgifter om betalaren eller betalningsmottagaren eller avsändaren eller mottagaren som saknas eller är ofullständiga, och avseende vilka överföringar av kryptotillgångar måste anses vara misstänkta på grundval av de berörda kryptotillgångarnas ursprung eller destination, är tillämpliga utan att det påverkar betaltjänstleverantörers, förmedlande betaltjänstleverantörers, leverantörer av kryptotillgångstjänsters och förmedlande leverantörer av kryptotillgångstjänsters skyldigheter att avvisa eller avbryta överföringar av medel och överföringar av kryptotillgångar som strider mot en civilrättslig, förvaltningsrättslig eller straffrättslig bestämmelse.

För att säkerställa teknikneutralitet bör denna förordning inte föreskriva användning av en viss teknik för överföring av transaktionsinformation från leverantörer av kryptotillgångstjänster. För att säkerställa ett effektivt genomförande av krav som är tillämpliga på leverantörer av kryptotillgångstjänster enligt denna förordning kommer standardiseringsinitiativ som kryptotillgångsindustrin deltar i eller leder att vara av avgörande betydelse. De resulterande lösningarna bör vara interoperabla genom användning av internationella eller unionsomfattande standarder som möjliggör ett snabbt informationsutbyte.

I syfte att hjälpa betaltjänstleverantörer och leverantörer av kryptotillgångstjänster att inrätta effektiva förfaranden för att upptäcka fall där de tar emot överföringar av medel eller överföringar av kryptotillgångar som saknar uppgifter eller har ofullständiga uppgifter om betalaren, betalningsmottagaren, avsändaren eller mottagaren samt vidta effektiva uppföljningsåtgärder, bör EBA utfärda riktlinjer.

För att göra det möjligt att snabbt vidta åtgärder för bekämpning av penningtvätt och finansiering av terrorism bör betaltjänstleverantörerna och leverantörerna av kryptotillgångstjänster skyndsamt besvara en begäran om uppgifter om betalaren och betalningsmottagaren eller om avsändaren och mottagaren som kommer från myndigheter med ansvar för bekämpning av penningtvätt eller finansiering av terrorism i den medlemsstat där dessa betalningstjänstleverantörer är etablerade eller där dessa leverantörer av kryptotillgångstjänster har sitt säte.

Antalet arbetsdagar som förflutit i den medlemsstat där betalarens betaltjänstleverantör finns avgör antalet dagar för att besvara en begäran om uppgifter om betalaren.

Eftersom det inte alltid är möjligt i brottsutredningar att identifiera de uppgifter som behövs eller de personer som varit inblandade i en transaktion förrän flera månader eller till och med år efter den ursprungliga överföringen av medel eller överföringen av kryptotillgångar, och för att tillgängliggöra viktig bevisning i utredningar, är det lämpligt att kräva att betaltjänstleverantörerna eller leverantörerna av kryptotillgångstjänster bevarar uppgifterna om betalaren och betalningsmottagaren eller avsändaren och mottagaren under en tidsperiod i syfte att förebygga, upptäcka och utreda penningtvätt och finansiering av terrorism. Den perioden bör begränsas till fem år, varefter alla personuppgifter bör raderas, såvida inte annat föreskrivs i nationell rätt. Om det är nödvändigt för att förebygga, upptäcka eller utreda penningtvätt eller finansiering av terrorism, och efter att ha gjort en bedömning av åtgärdens nödvändighet och proportionalitet, bör medlemsstaterna kunna tillåta eller kräva att uppgifter lagras i ytterligare högst fem år, utan att det påverkar tillämpningen av nationell straffrätt om bevis som är tillämplig på pågående brottsutredningar och rättsliga förfaranden och i full överensstämmelse med Europaparlamentets och rådets direktiv (EU) 2016/680(²¹). Dessa åtgärder kan ses över mot bakgrund av antagandet av Europaparlamentets och rådets förordning om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism.

För att förbättra efterlevnaden av denna förordning, och i enlighet med kommissionens meddelande av den 9 december 2010 med titeln Reinforcing sanctioning regimes in the financial services sector, bör de behöriga myndigheternas befogenheter att vidta tillsynsåtgärder och deras sanktionsbefogenheter stärkas. Administrativa sanktioner och åtgärder bör föreskrivas och mot bakgrund av hur viktig bekämpningen av penningtvätt och finansiering av terrorism är bör medlemsstaterna fastställa sanktioner och åtgärder som är effektiva, proportionella och avskräckande. Medlemsstaterna bör underrätta kommissionen samt den permanenta interna kommitté för bekämpning av penningtvätt och finansiering av terrorism som avses i artikel 9a.7 i förordning (EU) nr 1093/2010 om sanktionerna och åtgärderna.

För att säkerställa enhetliga villkor för genomförandet av denna förordning, bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011(²²).

Ett antal länder och territorier som inte utgör en del av unionens territorium ingår i en monetär union med en medlemsstat, tillhör en medlemsstats valutaområde eller har undertecknat ett monetärt avtal med unionen företrädd av en medlemsstat, och har betaltjänstleverantörer som direkt eller indirekt deltar i den medlemsstatens betalnings- och avvecklingssystem. För att tillämpningen av denna förordning på överföringar mellan berörda medlemsstater och dessa länder eller territorier inte ska medföra betydande negativa effekter på dessa länders eller territoriers ekonomier bör sådana överföringar av medel kunna behandlas som överföringar av medel inom de berörda medlemsstaterna.

Med tanke på de potentiellt höga riskerna förenade med fristående adresser och den tekniska och lagstiftningsmässiga komplexitet som de innebär, inbegripet avseende kontroll av uppgifterna om ägande, bör kommissionen senast den 1 juli 2026 bedöma behovet av ytterligare specifika åtgärder för att minska de risker som följer med överföringar till eller från fristående adresser eller till eller från enheter som inte är etablerade i unionen, inbegripet införandet av möjliga restriktioner, och bör bedöma om de mekanismer som används för att kontrollera riktigheten i uppgifter om ägande av fristående adresser är ändamålsenliga och proportionerliga.

För närvarande är direktiv (EU) 2015/849 endast tillämpligt på två kategorier av leverantörer av kryptotillgångstjänster, nämligen tillhandahållare av plånböcker för virtuella valutor och leverantörer som erbjuder växlingstjänster mellan virtuella valutor och fiatvalutor. För att täppa till befintliga kryphål i regelverket för bekämpning av penningtvätt och finansiering av terrorism och för att anpassa unionsrätten till internationella rekommendationer bör direktiv (EU) 2015/849 ändras så att det omfattar alla kategorier av leverantörer av kryptotillgångstjänster enligt definitionen i förordning (EU) 2023/1114, som omfattar ett bredare spektrum av leverantörer av kryptotillgångstjänster. För att säkerställa att leverantörer av kryptotillgångstjänster omfattas av samma krav och tillsynsnivå som kreditinstitut och finansiella institut är det framför allt lämpligt att uppdatera förteckningen över ansvariga enheter genom att i kategorin finansiella institut inkludera leverantörer av kryptotillgångstjänster vid tillämpning av direktiv (EU) 2015/849. Med beaktande av att traditionella finansiella institut också omfattas av definitionen av leverantörer av kryptotillgångstjänster när de erbjuder sådana tjänster innebär identifieringen av leverantörer av kryptotillgångstjänster som finansiella institut dessutom att en enda konsekvent uppsättning regler kan tillämpas på enheter som tillhandahåller både traditionella finansiella tjänster och kryptotillgångstjänster. Direktiv (EU) 2015/849 bör också ändras för att säkerställa att leverantörer av kryptotillgångstjänster på lämpligt sätt kan minska de risker för penningtvätt och finansiering av terrorism som de är exponerade för.

Förbindelser som upprättats mellan leverantörer av kryptotillgångstjänster och enheter etablerade i tredjeländer i syfte att verkställa överföringar av kryptotillgångar eller tillhandahålla liknande kryptotillgångstjänster uppvisar likheter med korrespondentbankförbindelser som etablerats med ett tredjelands motpartsinstitut. Eftersom dessa förbindelser kännetecknas av en fortlöpande och upprepad karaktär bör de betraktas som en typ av korrespondentförbindelse och vara föremål för särskilda skärpta åtgärder för kundkännedom som i princip liknar dem som tillämpas i samband med banktjänster och finansiella tjänster. I synnerhet bör leverantörer av kryptotillgångstjänster, när de upprättar en ny korrespondentförbindelse med en motpartsenhet, tillämpa särskilda skärpta åtgärder för kundkännedom för att identifiera och bedöma riskexponeringen avseende den motparten, på grundval av motpartens anseende, tillsynens kvalitet och motpartens kontroller för bekämpning av penningtvätt och finansiering av terrorism. På grundval av de uppgifter som samlats in bör korrespondentleverantörerna av kryptotillgångstjänster vidta lämpliga riskreducerande åtgärder, med särskilt beaktande av den potentiellt högre risken för penningtvätt och finansiering av terrorism som är förenad med enheter som inte är registrerade eller inte har tillstånd. Det är särskilt relevant så länge genomförandet av FATF:s standarder avseende kryptotillgångar på global nivå fortfarande är ojämn, vilket innebär ytterligare risker och utmaningar. EBA bör ge vägledning om hur leverantörer av kryptotillgångstjänster bör genomföra de skärpta åtgärderna för kundkännedom och bör ange lämpliga riskreducerande åtgärder, inbegripet de minimiåtgärder som ska vidtas, när de interagerar med enheter som tillhandahåller kryptotillgångstjänster och som inte är registrerade eller inte har tillstånd.

Genom förordning (EU) 2023/1114 har ett omfattande regelverk för leverantörer av kryptotillgångstjänster inrättats, som harmoniserar reglerna för auktorisation och drift av leverantörer av kryptotillgångstjänster i hela unionen. För att undvika dubbla krav bör direktiv (EU) 2015/849 ändras så att registreringskraven tas bort för de kategorier av leverantörer av kryptotillgångstjänster som kommer att omfattas av en gemensam licensieringsordning enligt förordning (EU) 2023/1114.

Eftersom målen för denna förordning, som består i att bekämpa penningtvätt och finansiering av terrorism, inbegripet genom att följa internationella standarder och säkerställa att grundläggande uppgifter om betalare och betalningsmottagare vid överföring av medel, och avsändare och mottagare vid överföring av kryptotillgångar, är tillgängliga, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

Denna förordning omfattas av bestämmelserna i förordning (EU) 2016/679 och Europaparlamentets och rådets förordning (EU) 2018/1725(²³). Den är förenlig med de grundläggande rättigheter och de principer som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt rätten till respekt för privatlivet och familjelivet (artikel 7), rätten till skydd av personuppgifter (artikel 8), rätten till ett effektivt rättsmedel och till en opartisk domstol (artikel 47) samt ne bis in idem-principen.

För att säkerställa överensstämmelse med förordning (EU) 2023/1114 bör den här förordningen tillämpas från och med den dag då den förordningen börjar tillämpas. Senast den dagen bör medlemsstaterna också införliva ändringarna av direktiv (EU) 2015/849.

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 22 september 2021(²⁴).