Bilag 1

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2023/1113

af 31. maj 2023

om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849

(omarbejdning)

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Den Europæiske Centralbank (1),

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (2),

efter den almindelige lovgivningsprocedure (3), og

ud fra følgende betragtninger:

(1) Europa-Parlamentets og Rådets forordning (EU) 2015/847 (4) er blevet ændret væsentligt (5). Da der skal foretages yderligere ændringer, bør nævnte forordning af klarhedshensyn omarbejdes.

(2) Forordning (EU) 2015/847 blev vedtaget for at sikre, at kravene fra Den Finansielle Aktionsgruppe (FATF) vedrørende formidlere af elektroniske overførsler, og navnlig forpligtelsen for betalingstjenesteudbydere til ved pengeoverførsler at medsende oplysninger om betaleren og betalingsmodtageren, anvendes konsekvent i hele Unionen. De seneste ændringer, som blev indført i juni 2019 i FATF-standarderne vedrørende nye teknologier, og som har til formål at regulere virtuelle aktiver og udbydere af tjenester for virtuelle aktiver, har medført nye og lignende forpligtelser for udbydere af tjenester for virtuelle aktiver med det formål at gøre det lettere at spore overførsler af virtuelle aktiver. Som følge af disse ændringer skal udbydere af tjenester for virtuelle aktiver ved overførsler af virtuelle aktiver medsende oplysninger om ordregiveren og ordremodtageren af disse overførsler. Det er et også krav, at udbydere af tjenester for virtuelle aktiver skal indhente, opbevare og dele disse oplysninger med deres modparter i den anden ende af overførslen af virtuelle aktiver og efter anmodning stille dem til rådighed for de kompetente myndigheder.

(3) Idet forordning (EU) 2015/847 på nuværende tidspunkt kun finder anvendelse på pengeoverførsler, dvs. sedler og mønter, kontopenge og elektroniske penge som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/110/EF (6), bør anvendelsesområdet for forordning (EU) 2015/847 udvides til også at omfatte overførsler af virtuelle aktiver.

(4) Strømme af sorte penge via pengeoverførsler og overførsler af virtuelle aktiver kan skade finanssektorens integritet, stabilitet og omdømme og true Unionens indre marked og den internationale udvikling. Hvidvask af penge, finansiering af terrorisme og organiseret kriminalitet er fortsat væsentlige problemer, som bør håndteres på EU-plan. Pengeoverførselssystemets soliditet, integritet og stabilitet og soliditeten, integriteten og stabiliteten af systemet til overførsler af virtuelle aktiver og tilliden til det finansielle system som helhed kan blive bragt alvorligt i fare ved kriminelles og medvirkende personers bestræbelser på enten at sløre oprindelsen af udbytte af kriminelle handlinger eller at overføre midler eller virtuelle aktiver til kriminelle aktiviteter eller terrorformål.

(5) For at lette deres kriminelle aktiviteter vil de, der hvidvasker penge eller finansierer terrorisme, højst sandsynligt drage fordel af den frie bevægelighed for kapital, som det integrerede finansielle område inden for Unionen indebærer, medmindre der på EU-plan vedtages visse koordinerende foranstaltninger. Det internationale samarbejde inden for rammerne af FATF samt den globale gennemførelse af FATF's anbefalinger sigter mod at forhindre hvidvask af penge og finansiering af terrorisme i forbindelse med pengeoverførsler eller overførsler af virtuelle aktiver.

(6) Grundet omfanget af de fornødne initiativer bør Unionen sikre, at de internationale standarder om forebyggelse af hvidvask af penge samt finansiering af terrorisme og masseødelæggelsesvåben, der blev vedtaget af FATF den 16. februar 2012 og derefter revideret den 21. juni 2019 (de »reviderede FATF-anbefalinger«), og særligt FATF's anbefaling 15 om nye teknologier, FATF's anbefaling 16 om elektroniske overførsler og de reviderede fortolkningsnoter om disse anbefalinger, anvendes ensartet i hele Unionen, og navnlig, at der ikke finder nogen forskelsbehandling eller uoverensstemmelser sted mellem nationale betalinger eller overførsler af virtuelle aktiver inden for en medlemsstat på den ene side og grænseoverskridende betalinger eller overførsler af virtuelle aktiver mellem medlemsstater på den anden side. Ukoordinerede tiltag fra de enkelte medlemsstaters side med hensyn til grænseoverskridende pengeoverførsler og overførsler af virtuelle aktiver vil, hvis de handler alene, kunne gribe ind i betalingssystemernes funktion og funktionen af tjenester for virtuelle aktiver på EU-plan og vil derfor kunne skade det indre marked for finansielle tjenesteydelser.

(7) For at fremme en sammenhængende tilgang i international sammenhæng og øge effektiviteten af kampen mod hvidvask af penge og finansiering af terrorisme bør der i nye initiativer på EU-plan tages højde for udviklingen på internationalt niveau, navnlig de reviderede FATF-anbefalinger.

(8) Deres globale rækkevidde, den hastighed, hvormed transaktioner kan gennemføres, og den mulige anonymitet, som overførslen af dem giver, gør virtuelle aktiver særligt udsatte for kriminelt misbrug, herunder i grænseoverskridende situationer. For effektivt at imødegå de risici, der er forbundet med misbrug af virtuelle aktiver til hvidvask af penge og finansiering af terrorisme, bør Unionen fremme anvendelse på globalt plan af de standarder, der gennemføres ved denne forordning, og udvikling af den internationale og tværjurisdiktionelle dimension af den regulerings- og tilsynsmæssige ramme for overførsler af virtuelle aktiver i relation til hvidvask af penge og finansiering af terrorisme.

(9) Europa-Parlamentets og Rådets direktiv (EU) om ændring af direktiv (EU) 2015/849 (7), som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2018/843 (8), indførte en definition af virtuelle valutaer, og udbydere af valutaveksling mellem virtuelle valutaer og fiatvalutaer samt udbydere af virtuelle tegnebøger blev anerkendt som enheder, der er omfattet af krav vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme i henhold til EU-retten. Den seneste internationale udvikling, navnlig inden for rammerne af FATF, indebærer nu et behov for at regulere yderligere kategorier af udbydere af tjenester for virtuelle aktiver, som endnu ikke er omfattet heraf, og at udvide den nuværende definition af virtuel valuta.

(10) Definitionen af kryptoaktiver i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 (9) svarer til definitionen af virtuelle aktiver som fastsat i de reviderede FATF-anbefalinger, og listen over kryptoaktivtjenester og udbydere af kryptoaktivtjenester, som er omfattet af nævnte forordning, omfatter ligeledes de udbydere af tjenester for virtuelle aktiver, der er identificeret som sådanne af FAFT, og som anses for med sandsynlighed at give anledning til betænkeligheder med hensyn til hvidvask af penge og finansiering af terrorisme. For at sikre sammenhæng i EU-retten på dette område bør nærværende forordning anvende de samme definitioner af kryptoaktiver, kryptoaktivtjenester og udbydere af kryptoaktivtjenester som dem, der anvendes i forordning (EU) 2023/1114.

(11) Gennemførelsen og håndhævelsen af denne forordning udgør relevante og effektive midler til at forebygge og bekæmpe hvidvask af penge og finansiering af terrorisme.

(12) Hensigten med denne forordning er ikke at indføre unødvendige byrder og omkostninger for betalingstjenesteudbydere, udbydere af kryptoaktivtjenester eller personer, der gør brug af deres tjenester. I denne henseende bør den forebyggende tilgang være målrettet og stå i rimeligt forhold til målet og bør være i fuld overensstemmelse med den frie bevægelighed for kapital, som sikres i hele Unionen.

(13) I Unionens reviderede strategi vedrørende terrorismefinansiering af 17. juli 2008 (»den reviderede strategi«) anføres det, at der fortsat udfoldes bestræbelser på at forhindre terrorismefinansiering og kontrollere mistænkte terroristers anvendelse af deres egne finansielle midler. Det anerkendes, at FATF løbende søger at forbedre sine anbefalinger og arbejder på en fælles forståelse af, hvordan de skal gennemføres. Det bemærkes i den reviderede strategi, at alle FATF-medlemmers og FATF-tilknyttede regionale organers gennemførelse af de reviderede FATF-anbefalinger vurderes regelmæssigt, og at en fælles tilgang til medlemsstaternes gennemførelse ud fra dette synspunkt derfor er vigtig.

(14) Dertil kommer, at der i Kommissionens meddelelse af 7. maj 2020 om en handlingsplan for en samlet EU-politik for forebyggelse af hvidvask af penge og finansiering af terrorisme blev udpeget seks prioriterede områder, hvor der skal træffes hasteforanstaltninger, for at forbedre Unionens ordning for bekæmpelse af hvidvask af penge og finansiering af terrorisme, herunder indførelse af en sammenhængende EU-lovramme for nævnte ordning med henblik på at opnå mere udførlige og harmoniserede regler, navnlig for at tage højde for konsekvenserne af teknologisk innovation og udviklingen i nationale standarder og undgå divergerende gennemførelse af eksisterende regler. Arbejde på internationalt plan tyder på, at der er behov for at udvide omfanget af sektorer eller enheder, som er omfattet af denne ordning, og for at vurdere, hvordan den bør finde anvendelse på udbydere af kryptoaktivtjenester, som indtil videre ikke er omfattet heraf.

(15) For at forebygge finansiering af terrorisme er der truffet foranstaltninger med det formål at indefryse visse personers, gruppers og enheders aktiver og økonomiske ressourcer, herunder Rådets forordning (EF) nr. 2580/2001 (10), (EF) nr. 881/2002 (11) og (EU) nr. 356/2010 (12). Med dette formål for øje er der ligeledes truffet foranstaltninger med henblik på at beskytte det finansielle system mod, at aktiver og økonomiske ressourcer kanaliseres til terrorformål. Direktiv (EU) 2015/849 indeholder en række af foranstaltninger af denne art. Disse foranstaltninger kan imidlertid ikke helt forhindre terrorister eller andre kriminelle i at skaffe sig adgang til betalingssystemer, så de kan overføre deres midler.

(16) Et særlig vigtigt og værdifuldt redskab i forbindelse med forebyggelse, afsløring og efterforskning af hvidvask af penge og finansiering af terrorisme og i forbindelse med gennemførelsen af restriktive foranstaltninger, særlig dem, der er indført ved forordning (EF) nr. 2580/2001, (EF) nr. 881/2002 og (EU) nr. 356/2010, kan være, at pengeoverførsler og overførsler af kryptoaktiver kan spores. For at sikre, at oplysninger videresendes gennem hele betalingskæden eller overførselskæden i forbindelse med kryptoaktiver, er det derfor hensigtsmæssigt at pålægge betalingstjenesteudbydere at sørge for, at der ved pengeoverførsler medsendes oplysninger om betaleren og betalingsmodtageren, og pålægge udbyderne af kryptoaktivtjenester at sørge for, at der i forbindelse med overførsler af kryptoaktiver, medsendes oplysninger om ordregiveren og ordremodtageren.

(17) Visse overførsler af kryptoaktiver indebærer særlige højrisikofaktorer for hvidvask af penge, finansiering af terrorisme og andre kriminelle aktiviteter, navnlig overførsler i forbindelse med produkter, transaktioner eller teknologier, der har til formål at øge anonymiteten, herunder anonyme tegnebøger og mikser- og tumblertjenester. For at sikre sporbarheden af sådanne overførsler bør Den Europæiske Tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (13) (EBA), navnlig præcisere, hvordan udbydere af kryptoaktivtjenester skal tage højde for de risikofaktorer, der er opført i bilag III til direktiv (EU) 2015/849, herunder når de udfører transaktioner med ikke-EU-enheder, der ikke er reguleret, registreret eller godkendt i et tredjeland, eller med selvhostede adresser. Hvis der konstateres situationer med højere risiko, bør EBA udstede retningslinjer, der præciserer, hvilke skærpede kendskabsprocedurer de forpligtede enheder bør overveje at anvende for at begrænse sådanne risici, herunder vedtagelse af passende procedurer, såsom anvendelse af analyseværktøjer til distributed ledger-teknologi (DLT), til at fastslå kryptoaktivers oprindelse eller bestemmelsessted.

(18) Denne forordning bør finde anvendelse uden at det berører nationale restriktive foranstaltninger og Unionens restriktive foranstaltninger, som er indført ved forordninger med hjemmel i artikel 215 i traktaten om Den Europæiske Unions funktionsmåde, f.eks. forordning (EF) nr. 2580/2001, (EF) nr. 881/2002 og (EU) nr. 356/2010 og Rådets forordning (EU) nr. 267/2012 (14), (EU) 2016/1686 (15) og (EU) 2017/1509 (16), og som kan kræve, at betalernes og betalingsmodtagernes betalingstjenesteudbydere, ordregivernes og ordremodtagernes udbydere af kryptoaktivtjenester, mellembetalingsformidlerne samt mellemudbydere af kryptoaktivtjenester, træffer de nødvendige foranstaltninger for at indefryse visse pengemidler og kryptoaktiver, eller at de overholder specifikke restriktioner vedrørende visse pengeoverførsler eller overførsler af kryptoaktiver. Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester bør have indført interne politikker, procedurer og kontroller for at sikre gennemførelsen af disse restriktive foranstaltninger, herunder screeningforanstaltninger i forhold til EU-lister og nationale lister over udpegede personer. EBA bør udstede retningslinjer, der præciserer disse interne politikker, procedurer og kontroller. Det er hensigten, at kravene i nærværende forordning om interne politikker, procedurer og kontroller vedrørende restriktive foranstaltninger vil blive ophævet i den nærmeste fremtid ved Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

(19) Behandling af personoplysninger i henhold til denne forordning bør finde sted i fuld overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (17). Yderligere behandling af personoplysninger til kommercielle formål bør være strengt forbudt. Bekæmpelse af hvidvask af penge og finansiering af terrorisme er anerkendt som en vigtig samfundsinteresse af alle medlemsstater. Ved anvendelsen af nærværende forordning skal videregivelse af personoplysninger til et tredjeland ske i overensstemmelse med kapitel V i forordning (EU) 2016/679. Det er vigtigt, at betalingstjenesteudbydere og udbydere af kryptoaktivtjenester, som opererer i flere jurisdiktioner med filialer eller datterselskaber uden for Unionen, ikke forhindres i at overføre oplysninger om mistænkelige transaktioner inden for den samme organisation, forudsat at de anvender passende sikkerhedsforanstaltninger. Ordregiverens og ordremodtagerens udbydere af kryptoaktivtjenester, betalerens og betalingsmodtagerens betalingstjenesteudbydere og mellembetalingsformidlerne og mellemudbyderne af kryptoaktivtjenester bør desuden råde over de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændeligt tab, ændring eller uautoriseret videregivelse eller adgang.

(20) Personer, som blot omarbejder papirdokumenter til elektroniske data på basis af en kontrakt med en betalingstjenesteudbyder, og personer, som blot forsyner betalingstjenesteudbydere med et meddelelsessystem eller andre støttesystemer til pengeoverførsler eller med clearing- og afviklingssystemer bør ikke henhøre under denne forordnings anvendelsesområde.

(21) Personer, der kun leverer supplerende infrastruktur, f.eks. udbydere af internetnetværk og -infrastruktur, cloud-udbydere eller softwareudviklere, der gør det muligt for en anden enhed at levere tjenester til overførsel af kryptoaktiver, bør ikke være omfattet af denne forordnings anvendelsesområde, medmindre de foretager overførsler af kryptoaktiver.

(22) Denne forordning bør ikke finde anvendelse på person-til-person-overførsler af kryptoaktiver, der foretages uden involvering af en udbyder af kryptoaktivtjenester, eller i tilfælde hvor både ordregiveren og ordremodtageren er udbydere af tjenester til overførsel af kryptoaktiver, der handler på egne vegne.

(23) Pengeoverførsler, som svarer til tjenesteydelserne omhandlet i artikel 3, litra a)-m) og litra o), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (18), henhører ikke under denne forordnings anvendelsesområde. Fra denne forordnings anvendelsesområde bør også undtages pengeoverførsler og elektroniske pengetokens, som defineret i artikel 3, stk. 1, nr. 7), i forordning (EU) 2023/1114, hvor der er en mindre risiko for hvidvask af penge eller finansiering af terrorisme. Sådanne undtagelser bør omfatte betalingskort, elektroniske pengeinstrumenter, mobiltelefoner eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, når de eller det udelukkende anvendes til køb af varer eller tjenesteydelser og når alle overførsler ledsages af nummeret på kortet, instrumentet eller udstyret. Anvendelse af et betalingskort, et elektronisk pengeinstrument, en mobiltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, til pengeoverførsler eller overførsler af elektroniske pengetokens mellem fysiske personer, der som forbrugere optræder med et andet formål end handel, forretning eller en professionel aktivitet, henhører dog under nærværende forordnings anvendelsesområde. Endvidere bør hævning fra pengeautomater, betaling af skatter, bøder eller andre afgifter, pengeoverførsler ved hjælp af udveksling af billeder af checks, herunder elektronisk clearede checks eller veksler og pengeoverførsler, hvor både betaleren og betalingsmodtageren er betalingstjenesteudbydere, der handler i eget navn, udelukkes fra denne forordnings anvendelsesområde.

(24) Kryptoaktiver, der er unikke og ikkefungible, er ikke omfattet af kravene i denne forordning, medmindre de er klassificeret som kryptoaktiver eller midler i henhold til forordning (EU) 2023/1114.

(25) Hæveautomater for kryptoaktiver (»krypto-ATM'er«) giver brugerne mulighed for at foretage overførsler af kryptoaktiver til en kryptoaktivadresse ved at deponere kontanter, ofte uden nogen form for identifikation og kontrol af kunder. Krypto-ATM'er er særligt udsatte for risiko for hvidvask af penge og finansiering af terrorisme, fordi den anonymitet, de giver, og muligheden for at operere med kontanter af ukendt oprindelse gør dem til et ideelt middel til ulovlige aktiviteter. I betragtning af krypto-ATM'ers rolle med hensyn til at tilvejebringe eller aktivt lette overførsler af kryptoaktiver bør overførsler af kryptoaktiver, der er knyttet til krypto-ATM'er, være omfattet af denne forordnings anvendelsesområde.

(26) For at tage hensyn til deres nationale betalingssystemers særlige karakteristika og forudsat at det altid er muligt at spore pengeoverførslen tilbage til betaleren, bør medlemsstaterne kunne undtage visse indenlandske pengeoverførsler af lav værdi, herunder elektroniske girobetalinger, der anvendes til køb af varer eller tjenesteydelser, fra denne forordnings anvendelsesområde.

(27) På grund af den iboende grænseløse karakter og den globale rækkevidde af overførsler af kryptoaktiver og af levering af kryptoaktivtjenester er der ingen objektive begrundelser for at skelne mellem behandlingen af risiciene for hvidvask af penge og finansiering af terrorisme ved nationale overførsler og grænseoverskridende overførsler. For at afspejle disse særlige karakteristika bør der ikke indrømmes indenlandske overførsler af kryptoaktiver af lav værdi undtagelser fra denne forordnings anvendelsesområde i overensstemmelse med FATF-kravet om, at alle overførsler af kryptoaktiver behandles som grænseoverskridende.

(28) Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester bør sikre, at der forefindes oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren, og at oplysningerne ikke mangler eller er fuldstændige.

(29) For ikke at hindre betalingssystemernes effektivitet og for at skabe balance mellem risikoen for, at transaktionerne sker uden om de officielle kanaler som følge af for strenge identifikationskrav, og den potentielle terrortrussel ved små overførsler bør pligten til at kontrollere oplysningerne om betalerens eller betalingsmodtagerens identitet, hvis der endnu ikke har fundet kontrol sted, kun gælde over for individuelle overførsler, som overstiger 1 000 EUR, medmindre overførslen synes at hænge sammen med andre pengeoverførsler, som tilsammen overstiger 1 000 EUR, midlerne er modtaget eller udbetalt i kontanter eller i anonyme elektroniske penge, eller der er en rimeligt begrundet mistanke om hvidvask af penge eller finansiering af terrorisme.

(30) Sammenlignet med pengeoverførsler kan overførsler af kryptoaktiver foretages på tværs af flere jurisdiktioner i større skala og hurtigere på grund af deres globale rækkevidde og teknologiske karakteristika. Sammen med kryptoaktivers pseudoanonymitet giver disse karakteristika ved overførsler af kryptoaktiver kriminelle mulighed for meget hurtigt at foretage store ulovlige overførsler og samtidig omgå sporbarhedsforpligtelserne og undgå afsløring ved at strukturere en stor transaktion i mindre beløb ved hjælp af flere tilsyneladende ikkerelaterede DLT-adresser, herunder engangsanvendelse af DLT-adresser, og ved hjælp af automatiserede processer. De fleste kryptoaktiver er også særdeles volatile, og deres værdi kan svinge betydeligt inden for en meget kort tidsramme, hvilket gør beregningen af indbyrdes forbundne transaktioner mere usikker. For at afspejle disse særlige karakteristika bør overførsler af kryptoaktiver være omfattet af de samme krav uanset deres værdi, og uanset om de er indenlandske eller grænseoverskridende overførsler.

(31) Ved pengeoverførsler eller overførsler af kryptoaktiver i tilfælde hvor kontrol anses for at have fundet sted, bør betalingstjenesteudbydere og udbydere af kryptoaktivtjenester ikke være forpligtet til at kontrollere nøjagtigheden af de oplysninger om betaleren eller betalingsmodtageren, der medsendes ved hver enkelt pengeoverførsel, eller om ordregiveren og ordremodtageren, der medsendes ved hver enkelt overførsel af kryptoaktiver, forudsat at forpligtelserne fastsat i direktiv (EU) 2015/849 er overholdt.

(32) På baggrund af lovgivningsmæssige EU-retsakter vedrørende betalingstjenester, dvs. Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 (19), Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 og Europa-Parlamentets og Rådets forordning (EU) 2021/1230 (20), bør det være tilstrækkeligt at indføre bestemmelser om, at der ved pengeoverførsler inden for Unionen blot medsendes forenklede oplysninger som f.eks. betalingskontonummer eller en entydig transaktionsidentifikator.

(33) For at gøre det muligt for de myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i tredjelande, at spore kilden til de midler eller kryptoaktiver, der anvendes til disse formål, bør pengeoverførsler eller overførsler af kryptoaktiver fra Unionen til lande uden for Unionen indeholde fuldstændige oplysninger om betaleren og betalingsmodtageren for så vidt angår pengeoverførsler og om ordregiveren og ordremodtageren for så vidt angår overførsler af kryptoaktiver. Fuldstændige oplysninger om betaleren og betalingsmodtageren bør indeholde identifikatoren for juridiske enheder (Legal Entity Identifier (LEI)) eller en tilsvarende officiel identifikator, når betaleren forelægger denne identifikator for sin betalingstjenesteudbyder, da dette vil muliggøre en bedre identifikation af de parter, der er involveret i en pengeoverførsel, og nemt kan indlæses i eksisterende betalingsmeddelelsesformater, f.eks. det format, der er udviklet af Den Internationale Standardiseringsorganisation til elektronisk dataudveksling mellem finansieringsinstitutter. De myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i tredjelande, bør kun have adgang til de fuldstændige oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren, alt efter hvad der er relevant, med henblik på forebyggelse, afsløring og efterforskning af hvidvask af penge og finansiering af terrorisme.

(34) Kryptoaktiver eksisterer i en grænseløs virtuel virkelighed og kan overføres til enhver udbyder af kryptoaktivtjenester, uanset om den pågældende udbyder er registreret i en jurisdiktion eller ej. Mange jurisdiktioner uden for Unionen har indført regler for databeskyttelse og -håndhævelse, som afviger fra dem, der gælder i Unionen. Ved overførsel af kryptoaktiver på vegne af en kunde til en udbyder af kryptoaktivtjenester, der ikke er registreret i Unionen, bør ordregiverens udbyder af kryptoaktivtjenester vurdere, om ordremodtagerens udbyder af kryptoaktivtjenester er i stand til at modtage og opbevare de oplysninger, der kræves i henhold til denne forordning i overensstemmelse med forordning (EU) 2016/679, ved brug af, hvor det er relevant, mulighederne i kapitel V i forordning (EU) 2016/679. Det Europæiske Databeskyttelsesråd bør efter høring af EBA udstede retningslinjer for den praktiske gennemførelse af databeskyttelseskravene til overførsel af personoplysninger til tredjelande i forbindelse med overførsler af kryptoaktiver. Der kan opstå situationer, hvor der ikke kan sendes personoplysninger, fordi kravene i forordning (EU) 2016/679 ikke kan opfyldes. EBA bør udstede retningslinjer for passende procedurer for at bestemme, om overførslen af kryptoaktiver bør gennemføres, afvises eller suspenderes i disse tilfælde.

(35) Medlemsstaternes myndigheder, der har ansvar for bekæmpelse af hvidvask af penge og finansiering af terrorisme og relevante retslige og retshåndhævende myndigheder i medlemsstaterne og på EU-plan, bør intensivere samarbejdet med hinanden og med de relevante tredjelandsmyndigheder, herunder myndigheder i udviklingslandene, med henblik på yderligere at styrke gennemsigtigheden, udvekslingen af oplysninger og bedste praksis yderligere.

(36) Ordregiverens udbyder af kryptoaktivtjenester bør sikre, at der ved overførsel af kryptoaktiver medsendes ordregivers navn, ordregivers distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, ordregivers kryptoaktivkontonummer i tilfælde, hvor en sådan konto findes og anvendes til at behandle transaktionen, ordregivers adresse, herunder landets navn, officielle personlige dokumentnummer og kunde-ID-nummer eller alternativt ordregivers fødselsdato og -sted og med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst det til sin udbyder af kryptoaktiver, den aktuelle LEI eller i mangel heraf enhver anden tilgængelig tilsvarende officiel identifikator på ordregiver. Oplysningerne bør fremsendes på en sikker måde og forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver.

(37) Ordregiverens udbyder af kryptoaktivtjenester bør også sikre, at der ved overførsel af kryptoaktiver medsendes ordremodtagers navn, ordremodtagers distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, ordremodtagers kontonummer i tilfælde, hvor en sådan konto findes og anvendes til at behandle transaktionen, og ordremodtagers aktuelle LEI eller i mangel heraf enhver anden tilgængelig tilsvarende officiel identifikator på ordremodtager med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst den til sin udbyder af kryptoaktiver. Oplysningerne bør fremsendes på en sikker måde og forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver.

(38) Med hensyn til overførsel af kryptoaktiver bør kravene i denne forordning finde anvendelse på alle overførsler, herunder overførsler af kryptoaktiver til eller fra en selvhostet adresse, forudsat at en udbyder af kryptoaktivtjenester er involveret.

(39) I tilfælde af overførsel til eller fra en selvhostet adresse bør udbyderen af kryptoaktivtjenester indsamle oplysninger om både ordregiveren og ordremodtageren, sædvanligvis fra sin kunde. En udbyder af kryptoaktivtjenester bør i princippet ikke være forpligtet til at kontrollere oplysningerne om brugeren af den selvhostede adresse. I tilfælde af en overførsel af et beløbet, der overstiger 1 000 EUR, som sendes eller modtages på vegne af en kunde hos en udbyder af kryptoaktivtjenester til eller fra en selvhostet adresse, bør den pågældende udbyder af kryptoaktivtjenester ikke desto mindre kontrollere, om denne selvhostede adresse reelt ejes eller kontrolleres af den pågældende kunde.

(40) Med hensyn til pengeoverførsler fra en enkelt betaler til flere betalingsmodtagere, der skal sendes i en batchfiloverførsel, som indeholder individuelle overførsler fra Unionen til uden for Unionen, bør det fastsættes, at disse individuelle overførsler kun indeholder betalerens betalingskontonummer eller den entydige transaktionsidentifikator og betalingsmodtagerens fuldstændige oplysninger, såfremt batchfilen indeholder fuldstændige oplysninger om betaleren, som er kontrolleret med henblik på korrekthed, og fuldstændige oplysninger om betalingsmodtageren, som kan spores fuldt ud.

(41) Med hensyn til batchfiloverførsler af kryptoaktiver bør det accepteres, at oplysninger om ordregiver og ordremodtager fremsendes i batches, så længe denne fremsendelse sker øjeblikkeligt og på sikker vis. Det bør ikke være tilladt at fremsende de påkrævede oplysninger efter overførslen, da fremsendelsen skal ske før eller på det tidspunkt, hvor transaktionen gennemføres, og udbydere af kryptoaktivtjenester eller andre forpligtede enheder bør fremsende de påkrævede oplysninger samtidig med batchfiloverførslen af kryptoaktiver.

(42) For at kunne kontrollere, om de krævede oplysninger om betaleren og betalingsmodtageren er medsendt ved pengeoverførsler, og for at kunne bidrage til at identificere mistænkelige transaktioner bør betalingsmodtagerens betalingstjenesteudbyder og mellembetalingsformidleren have etableret effektive procedurer til at konstatere, om oplysninger om betaleren eller betalingsmodtageren mangler eller er ufuldstændige. Disse procedurer bør omfatte overvågning efter eller under overførslen, hvor det er relevant. De kompetente myndigheder bør sikre, at betalingstjenesteudbyderne inkluderer de fornødne transaktionsoplysninger ved elektroniske overførsler eller tilsvarende oplysninger gennem hele betalingskæden.

(43) Med hensyn til overførsler af kryptoaktiver bør ordremodtagerens udbyder af kryptoaktivtjenester gennemføre virkningsfulde procedurer til at konstatere, om oplysningerne om ordregiveren eller ordremodtageren mangler eller er ufuldstændige. Disse procedurer bør, hvor det er relevant omfatte overvågning efter eller under overførslen. Det bør ikke være et krav, at oplysningerne knyttes direkte til selve overførslen af kryptoaktiver, så længe de fremsendes forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver og gøres tilgængelige efter anmodning fra relevante myndigheder.

(44) I betragtning af den potentielle risiko for, at anonyme pengeoverførsler kan anvendes til hvidvask af penge og finansiering af terrorisme, er det hensigtsmæssigt at pålægge betalingstjenesteudbydere at kræve oplysninger om betaleren og betalingsmodtageren og stille krav om, at udbydere af kryptoaktivtjenester kræver oplysninger om ordregiver og ordremodtager. I overensstemmelse med den risikobaserede tilgang, som FATF har udviklet, er det hensigtsmæssigt at identificere høj- og lavrisikoområder med henblik på mere målrettet at imødegå risikoen for hvidvask af penge og finansiering af terrorisme. Ordremodtagerens udbyder af kryptoaktivtjenester, betalingsmodtagerens betalingstjenesteudbyder, mellembetalingsformidleren og mellemudbyderen af kryptoaktivtjenester bør derfor have effektive risikobaserede procedurer, der anvendes, hvor der ved en pengeoverførsel ikke er medsendt de krævede oplysninger om betaler eller betalingsmodtager, eller hvor der ved en overførsel af kryptoaktiver ikke er medsendt de krævede oplysninger om ordregiver eller ordremodtager, for at de pågældende formidlere og udbydere kan afgøre, om denne overførelse skal gennemføres, afvises eller suspenderes, og afgøre, hvilke opfølgningsforanstaltninger det vil være hensigtsmæssigt at træffe.

(45) Udbydere af kryptoaktivtjenester bør som alle forpligtede enheder vurdere og overvåge den risiko, der er forbundet med deres kunder, produkter og leveringskanaler. Udbydere af kryptoaktivtjenester bør også vurdere den risiko, der er forbundet med deres transaktioner, herunder når de foretager overførsler til eller fra selvhostede adresser. Hvis udbyderen af kryptoaktivtjenester er eller får kendskab til, at oplysningerne om den ordregiver eller ordremodtager, der bruger en selvhostet adresse, er urigtige, eller hvis udbyderen af kryptoaktivtjenester støder på usædvanlige eller mistænkelige transaktionsmønstre eller situationer med højere risiko for hvidvask af penge og finansiering af terrorisme i forbindelse med overførsler, der involverer selvhostede adresser, bør denne udbyder af kryptoaktivtjenester, hvor det er relevant, indføre skærpede kendskabsprocedurer for at styre og begrænse risiciene på passende vis. Udbyderen af kryptoaktivtjenester bør tage disse omstændigheder i betragtning, når det vurderes, om en overførsel af kryptoaktiver eller enhver relateret transaktion er usædvanlig, og om den skal indberettes til den finansielle efterretningsenhed (FIU) i overensstemmelse med direktiv (EU) 2015/849.

(46) Denne forordning bør revideres i forbindelse med vedtagelsen af Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, Europa-Parlamentets og Rådets direktiv om de mekanismer, medlemsstaterne skal indføre for at forebygge, at det finansielle system anvendes til hvidvask af penge eller finansiering af terrorisme, og om ophævelse af direktiv (EU) 2015/849 og Europa-Parlamentets og Rådets forordning om oprettelse af Myndigheden for Bekæmpelse af Hvidvask af Penge og Finansiering af Terrorisme og om ændring af forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010, for at sikre overensstemmelse med de relevante bestemmelser.

(47) Ved vurderingen af risiciene bør betalingsmodtagerens betalingstjenesteudbyder, mellembetalingsformidleren, ordremodtagerens udbyder af kryptoaktivtjenester eller mellemudbyderen af kryptoaktivtjenester udvise særlig årvågenhed, når disse får kendskab til, at oplysninger om betaleren eller betalingsmodtageren eller om ordregiveren eller ordremodtageren, alt efter hvad der er relevant, mangler eller er ufuldstændige, eller når en overførsel af kryptoaktiver skal betragtes som mistænkelig på grundlag af de pågældende kryptoaktivers oprindelse eller bestemmelsessted, og de bør indberette mistænkelige transaktioner til de kompetente myndigheder i overensstemmelse med indberetningsforpligtelsen i henhold til direktiv (EU) 2015/849.

(48) På samme måde som med pengeoverførsler mellem betalingstjenesteudbydere kan overførsler af kryptoaktiver, der involverer mellemudbydere af kryptoaktivtjenester, eventuelt lette overførsler som et mellemled i en kæde af overførsler af kryptoaktiver. I overensstemmelse med internationale standarder bør sådanne mellemudbydere også være omfattet af denne forordnings krav på samme måde som eksisterende forpligtelser for mellembetalingsformidlere.

(49) Bestemmelserne om pengeoverførsler og overførsler af kryptoaktiver, hvor oplysninger om betaleren eller betalingsmodtageren eller om ordregiveren eller ordremodtageren mangler eller er ufuldstændige, og hvor overførsler af kryptoaktiver skal betragtes som mistænkelige på grundlag af de pågældende kryptoaktivers oprindelse eller bestemmelsessted, finder anvendelse, uden at det berører forpligtelser for betalingstjenesteudbydere, mellembetalingsformidlere, udbydere af kryptoaktivtjenester og mellemudbydere af kryptoaktivtjenester til at afvise eller suspendere pengeoverførsler og overførsler af kryptoaktiver, der strider mod civil-, forvaltnings- eller strafferetten.

(50) For at sikre teknologineutralitet bør denne forordning ikke pålægge udbydere af kryptoaktivtjenester at anvende en bestemt teknologi til overførsel af transaktionsoplysninger. For at sikre en effektiv gennemførelse af de krav, der gælder for udbydere af kryptoaktivtjenester i henhold til denne forordning, er det afgørende, at kryptoaktivbranchen er med til eller fører an i standardiseringsinitiativer. De deraf resulterende løsninger bør være interoperable gennem anvendelsen af internationale eller EU-dækkende standarder for at muliggøre hurtig udveksling af oplysninger.

(51) Med henblik på at hjælpe betalingstjenesteudbydere og udbydere af kryptoaktivtjenester med at indføre effektive procedurer for at konstatere tilfælde, hvor de modtager pengeoverførsler eller overførsler af kryptoaktiver med manglende eller ufuldstændige oplysninger om betaleren, betalingsmodtageren, ordregiveren eller ordremodtageren og med at træffe effektive opfølgende foranstaltninger bør EBA udstede retningslinjer.

(52) For at muliggøre hurtig indgriben i bekæmpelsen af hvidvask af penge og finansiering af terrorisme bør betalingstjenesteudbydere og udbydere af kryptoaktivtjenester reagere hurtigt på forespørgsler om oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren fra de myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i den medlemsstat, hvor disse betalingstjenesteudbydere er etableret, eller hvor disse udbydere af kryptoaktivtjenester har deres vedtægtsmæssige hjemsted.

(53) Antallet af arbejdsdage, der forløber i den medlemsstat, hvor betalers betalingstjenesteudbyder er etableret, bestemmer, inden for hvor mange dage der skal reageres på forespørgsler om oplysninger om betaleren.

(54) Da det kan forekomme, at det i forbindelse med efterforskning i straffesager ikke er muligt at identificere de krævede data eller de personer, der er involveret i en transaktion, før der er gået adskillige måneder eller måske endda år siden den oprindelige pengeoverførsel eller overførsel af kryptoaktiver, og for at have adgang til vigtigt bevismateriale som led i efterforskning bør betalingstjenesteudbyderne eller udbyderne af kryptoaktivtjenester opbevare registre med oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren i en periode med henblik på at forebygge, afsløre og efterforske hvidvask af penge og finansiering af terrorisme. Denne periode bør være begrænset til fem år, hvorefter alle personlige data bør slettes, medmindre andet er fastsat i national ret. Hvis det er nødvendigt med henblik på forebyggelse, afsløring eller efterforskning af hvidvask af penge eller finansiering af terrorisme, bør medlemsstaterne efter at have foretaget en vurdering af nødvendigheden og forholdsmæssigheden af foranstaltningen kunne tillade eller kræve opbevaring af registre i en yderligere periode på højst fem år, uden at det berører de nationale strafferetlige bevisregler, der gælder for verserende strafferetlige efterforskninger og retslige procedurer, og i fuld overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (21). Disse foranstaltninger kan revideres i lyset af vedtagelsen af Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

(55) For at fremme overholdelsen af denne forordning og i overensstemmelse med Kommissionens meddelelse af 9. december 2010»Udvidelse af sanktionsordningerne i sektoren for finansielle tjenesteydelser« bør de kompetente myndigheders beføjelser til at træffe tilsynsforanstaltninger og anvende sanktionsbeføjelser styrkes. Der bør indføres bestemmelser om administrative sanktioner og foranstaltninger, og på grund af betydningen af bekæmpelsen af hvidvask af penge og finansiering af terrorisme bør medlemsstaterne indføre sanktioner og foranstaltninger, der er effektive, forholdsmæssige og har afskrækkende virkning. Medlemsstaterne bør underrette Kommissionen og det permanente interne udvalg for bekæmpelse af hvidvask af penge og finansiering af terrorisme, der er omhandlet i artikel 9a, stk. 7, i forordning (EU) nr. 1093/2010 herom.

(56) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (22).

(57) En række lande og territorier, der ikke indgår i Unionens område, er i en monetær union med en medlemsstat, indgår i en medlemsstats valutaområde eller har undertegnet en monetær aftale med Unionen repræsenteret af en medlemsstat og har betalingstjenesteudbydere, der direkte eller indirekte deltager i den pågældende medlemsstats betalings- og afviklingssystem. For at undgå anvendelsen af denne forordning ved pengeoverførsler mellem de pågældende medlemsstater og disse lande eller territorier, hvilket ville have væsentlige negative konsekvenser for økonomien i de pågældende lande eller territorier, bør der gives mulighed for, at sådanne pengeoverførsler behandles som pengeoverførsler inden for de pågældende medlemsstater.

(58) I betragtning af de potentielle høje risici og den reguleringsmæssige kompleksitet, der er forbundet med selvhostede adresser, herunder i forbindelse med kontrol af ejerskabsoplysningerne, bør Kommissionen senest den 1. juli 2026 vurdere behovet for yderligere specifikke foranstaltninger til at begrænse de risici, der er forbundet med overførsler til eller fra selvhostede adresser eller til eller fra enheder, der ikke er etableret i Unionen, herunder indførelse af eventuelle begrænsninger, og bør vurdere effektiviteten og forholdsmæssigheden af de mekanismer, der anvendes til at kontrollere nøjagtigheden af oplysningerne om ejerskabet af selvhostede adresser.

(59) For nuværende finder direktiv (EU) 2015/849 kun anvendelse på to kategorier af udbydere af kryptoaktivtjenester, nemlig udbydere af virtuelle tegnebøger og udbydere af veksling mellem virtuelle valutaer og fiatvalutaer. For at lukke eksisterende smuthuller i de lovgivningsmæssige rammer for bekæmpelse af hvidvask af penge og finansiering af terrorisme og for at tilpasse EU-retten til internationale henstillinger bør direktiv (EU) 2015/849 ændres til at omfatte alle kategorier af udbydere af kryptoaktivtjenester som defineret i forordning (EU) 2023/1114, der dækker et bredere spektrum af udbydere af kryptoaktivtjenester. For at sikre, at udbydere af kryptoaktivtjenester er underlagt de samme krav og det samme tilsynsniveau, som kredit- og finansieringsinstitutter, er det navnlig hensigtsmæssigt at ajourføre listen over forpligtede enheder ved at medtage udbydere af kryptoaktivtjenester i kategorien finansieringsinstitutter med henblik på direktiv (EU) 2015/849. I betragtning af at traditionelle finansieringsinstitutter også falder ind under definitionen af udbydere af kryptoaktivtjenester, når de tilbyder sådanne tjenester, giver kategoriseringen af udbydere af kryptoaktivtjenester som finansieringsinstitutter desuden mulighed for et enkelt sammenhængende regelsæt, der finder anvendelse på enheder, der leverer både traditionelle finansielle tjenesteydelser og kryptoaktivtjenester. Direktiv (EU) 2015/849 bør også ændres for at sikre, at udbydere af kryptoaktivtjenester på passende vis kan begrænse de risici for hvidvask af penge og finansiering af terrorisme, som de er udsat for.

(60) De forbindelser, der etableres mellem udbydere af kryptoaktivtjenester og enheder, der er etableret i tredjelande, med henblik på at gennemføre overførsler af kryptoaktiver eller levering af lignende kryptoaktivtjenester, minder om korrespondentbankforbindelser, der etableres med et tredjelands respondentinstitut. Da disse forbindelser er kendetegnet ved en vedvarende og gentagen karakter, bør de betragtes som en form for korrespondentforbindelse og være omfattet af specifikke skærpede kendskabsprocedurer, der i princippet svarer til dem, der anvendes i forbindelse med bankydelser og finansielle tjenesteydelser. Udbydere af kryptoaktivtjenester bør navnlig, når de etablerer en ny korrespondentforbindelse med en respondentenhed, anvende specifikke skærpede kendskabsprocedurer med henblik på at identificere og vurdere den pågældende respondents risikoeksponering på grundlag af dens omdømme, kvaliteten af tilsynet og dens kontrol af bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT). På grundlag af de indsamlede oplysninger bør korrespondentudbyderne af kryptoaktivtjenester gennemføre passende risikobegrænsende foranstaltninger, som navnlig bør tage hensyn til ikkeregistrerede og ikkegodkendte enheders potentielle højere risiko for hvidvask af penge og finansiering af terrorisme. Dette er især relevant, så længe gennemførelsen af FATF's standarder vedrørende kryptoaktiver på globalt plan fortsat er uensartet, hvilket medfører yderligere risici og udfordringer. EBA bør vejlede om, hvordan udbydere af kryptoaktivtjenester bør gennemføre de skærpede kendskabskrav, og præcisere de passende risikobegrænsende foranstaltninger, herunder de minimumsforanstaltninger, der skal træffes ved interaktion med ikkeregistrerede og ikkegodkendte enheder, der udbyder kryptoaktivtjenester.

(61) Forordning (EU) 2023/1114 fastsætter en omfattende lovgivningsmæssig ramme for udbydere af kryptoaktivtjenester, der harmoniserer reglerne vedrørende tilladelsen til og driften af udbydere af kryptoaktivtjenester i hele Unionen. For at undgå overlapning af krav bør direktiv (EU) 2015/849 ændres for at fjerne registreringskrav i forbindelse med de kategorier af udbydere af kryptoaktivtjenester, som vil blive omfattet af en fælles godkendelsesordning i henhold til forordning (EU) 2023/1114.

(62) Målene for denne forordning, nemlig at bekæmpe hvidvask af penge og finansiering af terrorisme, herunder ved at gennemføre internationale standarder, og idet der sikres adgang til grundlæggende oplysninger om betalere og betalingsmodtagere ved pengeoverførsler og om ordregivere og ordremodtagere ved overførsler af kryptoaktiver, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af initiativets omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(63) Denne forordning er underlagt Europa-Parlamentets og Rådets forordning (EU) 2016/679 og forordning (EU) 2018/1725 (23). Heri overholdes de grundlæggende rettigheder og de principper, som anerkendes ved Den Europæiske Unions charter om grundlæggende rettigheder, navnlig retten til respekt for privatliv og familieliv (artikel 7), retten til beskyttelse af personoplysninger (artikel 8), retten til adgang til effektive retsmidler og til en upartisk domstol (artikel 47) samt ne bis in idem-princippet.

(64) For at sikre overensstemmelse med forordning (EU) 2023/1114 bør nærværende forordning finde anvendelse fra anvendelsesdatoen for nævnte forordning. Senest denne dato bør medlemsstaterne også gennemføre ændringerne af direktiv (EU) 2015/849.

(65) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den 22. september 2021 (24) -

VEDTAGET DENNE FORORDNING:

KAPITEL I

Genstand, anvendelsesområde og definitioner

Artikel 1

Genstand

I denne forordning fastsættes der regler om de oplysninger om betalere og betalingsmodtagere, der skal medsendes ved pengeoverførsler uanset valuta, og om de oplysninger om ordregivere og ordremodtagere, som skal medsendes ved overførsler af kryptoaktiver, med henblik på at forebygge, afsløre og efterforske hvidvask af penge og finansiering af terrorisme, når mindst en af de betalingstjenesteudbydere eller udbydere af kryptoaktivtjenester, der er involveret i pengeoverførslen eller overførslen af kryptoaktiver, er etableret eller har sit vedtægtsmæssige hjemsted, alt efter hvad der er relevant, i Unionen. I denne forordning fastsættes der desuden regler om interne politikker, procedurer og kontroller for at sikre gennemførelsen af restriktive foranstaltninger, hvis mindst en af de betalingstjenesteudbyderne eller udbyderne af kryptoaktivtjenester, der er involveret i pengeoverførslen eller overførslen af kryptoaktiver, er etableret eller har sit vedtægtsmæssige hjemsted, alt efter hvad der er relevant, i Unionen.

Artikel 2

Anvendelsesområde

1.    Denne forordning finder anvendelse på pengeoverførsler uanset valuta, der afsendes eller modtages af en betalingstjenesteudbyder eller en mellembetalingsformidler, der er etableret i Unionen. Den finder også anvendelse på overførsler af kryptoaktiver, herunder overførsler af kryptoaktiver, der udføres ved hjælp af krypto-ATM'er, hvis enten ordregiverens eller ordremodtagerens udbyder af kryptoaktivtjenester eller mellemudbyder af kryptoaktivtjenester har sit vedtægtsmæssige hjemsted i Unionen.

2.    Denne forordning finder ikke anvendelse på de tjenester, der er anført i artikel 3, litra a)-m) og o), i direktiv (EU) 2015/2366.

3.    Denne forordning finder ikke anvendelse på pengeoverførsler eller på overførsler af elektroniske pengetokens, som defineret i artikel 3, stk. 1, nr. 7), i forordning (EU) 2023/1114, der foretages ved hjælp af et betalingskort, et elektronisk pengeinstrument eller en mobiltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, hvis følgende betingelser er opfyldt:

a) dette kort, instrument eller udstyr anvendes udelukkende til at betale for varer eller tjenesteydelser og

b) nummeret på dette kort, instrument eller udstyr medsendes ved alle overførsler i forbindelse med transaktionen.

Denne forordning finder dog anvendelse, hvis et betalingskort, et elektronisk pengeinstrument, en mobiltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, anvendes til overførsler af penge eller elektroniske pengetokens mellem fysiske personer, der som forbrugere optræder med et andet formål end handel, forretning eller en professionel aktivitet.

4.    Denne forordning finder ikke anvendelse på personer, som ikke har anden aktivitet end at omarbejde papirdokumenter til elektroniske data, og som gør dette i henhold til en kontrakt med en betalingstjenesteudbyder, eller på personer, som ikke har anden aktivitet end at forsyne betalingstjenesteudbydere med et meddelelsessystem eller andre støttesystemer i forbindelse med pengeoverførsler eller med clearing- og afviklingssystemer.

Denne forordning finder ikke anvendelse på pengeoverførsler, hvis en af følgende betingelser er opfyldt:

a) de indebærer, at betaler hæver kontanter på sin egen betalingskonto

b) de udgør pengeoverførsler til en offentlig myndighed som betaling af skatter, bøder eller andre afgifter inden for en medlemsstat

c) både betaler og betalingsmodtager er betalingstjenesteudbydere, der handler for egen regning

d) de udføres ved hjælp af udveksling af billeder af checks, herunder elektronisk clearede checks.

Denne forordning finder ikke anvendelse på overførsler af kryptoaktiver, hvis en af følgende betingelser er opfyldt:

a) både ordregiver og ordremodtager er udbydere af kryptoaktivtjenester, der handler for egen regning

b) overførslerne er person-til-person-overførsler af kryptoaktiver, der foretages uden inddragelse af en udbyder af kryptoaktivtjenester.

Elektroniske pengetokens, jf. definitionen i artikel 3, stk. 1, nr. 7), i forordning (EU) 2023/1114, behandles som kryptoaktiver i henhold til nærværende forordning.

5.    En medlemsstat kan beslutte ikke at anvende denne forordning på pengeoverførsler på sit område til en betalingsmodtagers betalingskonto, der udelukkende giver mulighed for at betale for levering af varer eller tjenesteydelser, såfremt alle følgende betingelser er opfyldt:

a) betalingsmodtagerens betalingstjenesteudbyder er omfattet af direktiv (EU) 2015/849

b) betalingsmodtagerens betalingstjenesteudbyder er i stand til ved hjælp af en entydig transaktionsidentifikator via betalingsmodtageren at spore pengeoverførsler fra den person, der har indgået en aftale med betalingsmodtageren om levering af varer eller tjenesteydelser

c) pengeoverførslens beløb overstiger ikke 1 000 EUR.

Artikel 3

Definitioner

I denne forordning forstås ved:

1) »finansiering af terrorisme«: finansiering af terrorisme som defineret i artikel 1, stk. 5, i direktiv (EU) 2015/849

2) »hvidvask af penge«: handlinger i forbindelse med hvidvask af penge som omhandlet i artikel 1, stk. 3 og 4, i direktiv (EU) 2015/849

3) »betaler«: en person, der er indehaver af en betalingskonto og tillader en pengeoverførsel fra denne betalingskonto, eller, hvis der ikke er nogen betalingskonto, der udsteder en ordre om pengeoverførsel

4) »betalingsmodtager«: en person, som er den tiltænkte modtager af pengeoverførslen

5) »betalingstjenesteudbyder«: de kategorier af betalingstjenesteudbydere, som er omhandlet i artikel 1, stk. 1, i direktiv (EU) 2015/2366, fysiske og juridiske personer, der drager fordel af undtagelser i henhold til artikel 32 deri, og juridiske personer, der drager fordel af undtagelser i henhold til artikel 9 i direktiv 2009/110/EF, og som udbyder tjenester i form af pengeoverførsler

6) »mellembetalingsformidler«: en betalingstjenesteudbyder, som hverken er betalers eller betalingsmodtagers betalingstjenesteudbyder, og som modtager og videresender en pengeoverførsel på vegne af betalers eller betalingsmodtagers betalingstjenesteudbyder eller på vegne af en anden mellembetalingsformidler

7) »betalingskonto«: en betalingskonto som defineret i artikel 4, nr. 12), i direktiv (EU) 2015/2366

8) »midler«: midler som defineret i artikel 4, nr. 25), i direktiv (EU) 2015/2366

9) »pengeoverførsel«: en transaktion, der helt eller delvist gennemføres elektronisk på en betalers vegne gennem en betalingstjenesteudbyder med henblik på at stille midler til rådighed for en betalingsmodtager gennem en betalingstjenesteudbyder, uanset om betaler og betalingsmodtager er en og samme person, og uanset om betalerens og betalingsmodtagerens betalingstjenesteudbyder er en og samme, herunder

a) en kreditoverførsel som defineret i artikel 4, nr. 24), i direktiv (EU) 2015/2366

b) en direkte debitering som defineret i artikel 4, nr. 23), i direktiv (EU) 2015/2366

c) pengeoverførsler som defineret i artikel 4, nr. 22), i direktiv (EU) 2015/2366, uanset om de er indenlandske eller grænseoverskridende

d) en overførsel gennemført ved hjælp af et betalingskort, et elektronisk pengeinstrument eller en mobiltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika

10) »overførsel af kryptoaktiver«: en transaktion, der har til formål at flytte kryptoaktiver fra én distributed ledger-adresse, én kryptoaktivkonto eller en anden enhed, der muliggør opbevaring af kryptoaktiver, til en anden, som udføres af mindst én udbyder af kryptoaktivtjenester, der handler på vegne af enten en ordregiver eller en ordremodtager, uanset om ordregiver og ordremodtager er en og samme person, og uanset om ordregivers og ordremodtagers udbyder af kryptoaktivtjenester er en og samme udbyder

11) »batchfiloverførsel«: en gruppe bestående af flere individuelle pengeoverførsler eller overførsler af kryptoaktiver, der sendes samlet

12) »entydig transaktionsidentifikator«: en kombination af bogstaver, tal eller symboler, fastlagt af betalingstjenesteudbyderen i overensstemmelse med protokollerne for de betalings- og afviklingssystemer eller meddelelsessystemer, der anvendes til at foretage pengeoverførslen, eller fastlagt af en udbyder af kryptoaktivtjenester, der gør det muligt at spore transaktionen tilbage til betaleren og betalingsmodtageren eller at spore overførslen af kryptoaktiver tilbage til ordregiveren og ordremodtageren

13) »person-til-person-overførsel af kryptoaktiver«: en overførsel af kryptoaktiver, uden at der inddrages en udbyder af kryptoaktivtjenester

14) »kryptoaktiv«: et kryptoaktiv som defineret i artikel 3, stk. 1, nr. 5), i forordning (EU) 2023/1114, undtagen når det henhører under de kategorier, der er anført i nævnte forordnings artikel 2, stk. 2, 3 og 4, eller på anden måde kan betegnes som midler

15) »udbyder af kryptoaktivtjenester«: en udbyder af kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 15), i forordning (EU) 2023/1114, når denne leverer en eller flere af de kryptoaktivtjenester, der er defineret i nævnte forordnings artikel 3, stk. 1, nr. 16)

16) »mellemudbyder af kryptoaktivtjenester«: en udbyder af kryptoaktivtjenester, som hverken er ordregivers eller ordremodtagers udbyder af kryptoaktivtjenester, og som modtager og videresender en overførsel af kryptoaktiver på vegne af ordregivers eller ordremodtagers udbyder af kryptoaktiver eller på vegne af en anden mellemudbyder af kryptoaktivtjenester

17) »hæveautomat for kryptoaktiver« eller »krypto-ATM'er«: fysiske eller online elektroniske terminaler, der gør det muligt for en udbyder af kryptoaktivtjenester at udføre navnlig tjenester vedrørende overførsel af kryptoaktiver som omhandlet i artikel 3, stk. 1, nr. 16), litra j), i forordning (EU) 2023/1114

18) »distributed ledger-adresse«: en alfanumerisk kode, der identificerer en adresse på et netværk, som anvender distributed ledger-teknologi (DLT) eller lignende teknologi, og hvortil der kan sendes eller modtages kryptoaktiver

19) »kryptoaktivkonto«: en konto, som en udbyder af kryptoaktivtjenester er indehaver af i en eller flere fysiske eller juridiske personers navn, og som kan anvendes til at gennemføre overførsler af kryptoaktiver

20) »selvhostet adresse«: en distributed ledger-adresse, der ikke er knyttet til nogen af følgende:

a) en udbyder af kryptoaktivtjenester

b) en enhed, der ikke er etableret i Unionen, og som leverer tjenester svarende til dem, en udbyder af kryptoaktivtjenester leverer

21) »ordregiver«: en person, som er indehaver af en kryptoaktivkonto hos en udbyder af kryptoaktivtjenester, en distributed ledger-adresse eller en enhed, der muliggør opbevaring af kryptoaktivtjenester, og som giver tilladelse til overførsel af kryptoaktiver fra nævnte konto, distributed ledger-adresse eller enhed, eller, hvis der ikke findes en sådan konto, distributed ledger-adresse eller enhed, en person, som afgiver en ordre om eller foranlediger en overførsel af kryptoaktiver

22) »ordremodtager«: en person, som er den tiltænkte modtager af overførslen af kryptoaktiver

23) »identifikator for juridiske enheder« eller »LEI«: en alfanumerisk referencekode baseret på ISO 17442-standarden, som er tildelt en juridisk enhed

24) »distributed ledger-teknologi« eller »DLT«: en distributed ledger-teknologi som defineret i artikel 3, stk. 1, nr. 1), i forordning (EU) 2023/1114.

KAPITEL II

Forpligtelser for betalingstjenesteudbydere

Afdeling 1

Forpligtelser for betalers betalingstjenesteudbyder

Artikel 4

Oplysninger, der skal medsendes ved pengeoverførsler

1.    Betalers betalingstjenesteudbyder sikrer, at der ved pengeoverførsler medsendes følgende oplysninger om betaleren:

a) betalerens navn

b) betalerens betalingskontonummer

c) betalerens adresse, herunder landets navn, officielle personlige dokumentnummer og kunde-ID-nummer eller alternativt betalerens fødselsdato og -sted, og

d) betalerens aktuelle LEI eller i mangel heraf, enhver tilgængelig tilsvarende officiel identifikator med forbehold af, at det nødvendige felt i det relevante betalingsmeddelelsesformat findes, og at betaleren har oplyst den til sin betalingstjenesteudbyder.

2.    Betalers betalingstjenesteudbyder sikrer, at der ved pengeoverførslen medsendes følgende oplysninger om betalingsmodtageren:

a) betalingsmodtagerens navn

b) betalingsmodtagerens betalingskontonummer og

c) betalerens aktuelle LEI eller i mangel heraf, enhver tilgængelig tilsvarende officiel identifikator med forbehold af, at det nødvendige felt i det relevante betalingsmeddelelsesformat findes, og at betaleren har oplyst den til sin betalingstjenesteudbyder.

3.    Uanset stk. 1, litra b), og stk. 2, litra b), sørger betalerens betalingstjenesteudbyder for, at overførsler, der ikke er foretaget til eller fra en betalingskonto, ledsages af en entydig transaktionsidentifikator i stedet for betalingskontonummeret.

4.    Før pengene overføres, kontrollerer betalerens betalingstjenesteudbyder, at de i stk. 1 og i givet fald stk. 3 omhandlede oplysninger er korrekte, på grundlag af dokumenter, data eller oplysninger fra en pålidelig og uafhængig kilde.

5.    Den i nærværende artikels stk. 4 omhandlede kontrol anses for at have fundet sted, hvis et af følgende forhold gør sig gældende:

a) identiteten af en betaler er blevet kontrolleret i overensstemmelse med artikel 13 i direktiv (EU) 2015/849, og de ved denne kontrol indhentede oplysninger er blevet opbevaret i overensstemmelse med nævnte direktivs artikel 40

b) artikel 14, stk. 5, i direktiv (EU) 2015/849 finder anvendelse på betaleren.

6.    Betalerens betalingstjenesteudbyder må ikke gennemføre en pengeoverførsel, før betalingstjenesteudbyderen har sikret sig, at det vil være i fuld overensstemmelse med denne artikel, uden at det berører undtagelserne i artikel 5 og 6.

Artikel 5

Pengeoverførsler inden for Unionen

1.    Hvis alle betalingstjenesteudbydere, der er involveret i betalingskæden, er etableret i Unionen, ledsages pengeoverførslen uanset artikel 4, stk. 1 og 2, mindst af både betalerens og betalingsmodtagerens betalingskontonummer eller, hvis artikel 4, stk. 3, finder anvendelse, den entydige transaktionsidentifikator, uden at det berører oplysningskravene i henhold til forordning (EU) nr. 260/2012, hvor det er relevant.

2.    Uanset stk. 1 stiller betalerens betalingstjenesteudbyder inden tre arbejdsdage efter modtagelsen af en anmodning om oplysninger fra betalingsmodtagerens betalingstjenesteudbyder eller fra mellembetalingsformidleren følgende til rådighed:

a) ved pengeoverførsler på over 1 000 EUR, uanset om sådanne overførsler gennemføres som en enkeltstående overførsel eller som flere overførsler, der synes at hænge sammen, oplysningerne om betaleren eller betalingsmodtageren i overensstemmelse med artikel 4

b) ved pengeoverførsler på ikke over 1 000 EUR, som ikke synes at hænge sammen med andre pengeoverførsler, der tilsammen med den pågældende overførsel overstiger 1 000 EUR, mindst:

i) betalerens og betalingsmodtagerens navn og

ii) betalerens og betalingsmodtagerens betalingskontonummer eller, hvis artikel 4, stk. 3, finder anvendelse, den entydige transaktionsidentifikator.

3.    Ved de i denne artikels stk. 2, litra b), omhandlede pengeoverførsler er betalerens betalingstjenesteudbyder uanset artikel 4, stk. 4, ikke forpligtet til at kontrollere oplysningerne om betaleren, medmindre betalerens betalingstjenesteudbyder:

a) har modtaget de midler, der skal overføres, i kontanter eller i anonyme elektroniske penge, eller

b) har en rimeligt begrundet mistanke om hvidvask af penge eller finansiering af terrorisme.

Artikel 6

Pengeoverførsler til uden for Unionen

1.    Ved batchfiloverførsler fra en enkelt betaler, hvor betalingsmodtagernes betalingstjenesteudbydere er etableret uden for Unionen, finder artikel 4, stk. 1, ikke anvendelse på de enkelte overførsler, der er samlet heri, såfremt batchfilen indeholder de oplysninger, der er omhandlet i artikel 4, stk. 1, 2 og 3, oplysningerne er blevet kontrolleret i overensstemmelse med artikel 4, stk. 4 og 5, og de enkelte overførsler indeholder betalers betalingskontonummer eller, hvis artikel 4, stk. 3, finder anvendelse, den entydige transaktionsidentifikator.

2.    Hvis betalingsmodtagerens betalingstjenesteudbyder er etableret uden for Unionen, skal der ved pengeoverførsler på ikke over 1 000 EUR, som ikke synes at hænge sammen med andre pengeoverførsler, der tilsammen med den pågældende overførsel overstiger 1 000 EUR, uanset artikel 4, stk. 1, og hvor det er relevant, uden at det berører de oplysninger, der kræves i overensstemmelse med forordning (EU) nr. 260/2012, mindst medsendes oplysninger om:

a) betalerens og betalingsmodtagerens navn, og

b) betalerens og betalingsmodtagerens betalingskontonummer eller, hvis artikel 4, stk. 3, finder anvendelse, den entydige transaktionsidentifikator.

Betalerens betalingstjenesteudbyder er uanset artikel 4, stk. 4, ikke forpligtet til at kontrollere de i dette stykke omhandlede oplysninger om betaleren, medmindre betalerens betalingstjenesteudbyder:

a) har modtaget de midler, der skal overføres, i kontanter eller i anonyme elektroniske penge, eller

b) har en rimeligt begrundet mistanke om hvidvask af penge eller finansiering af terrorisme.

Afdeling 2

Forpligtelser for betalingsmodtagers betalingstjenesteudbyder

Artikel 7

Konstatering af, hvorvidt der mangler oplysninger om betaler eller betalingsmodtager

1.    Betalingsmodtagerens betalingstjenesteudbyder indfører effektive procedurer til at konstatere, om felterne vedrørende oplysninger om betaler og betalingsmodtager i det meddelelses- eller betalings- og afviklingssystem, der anvendes til pengeoverførslen, er udfyldt med tegn eller input i overensstemmelse med det pågældende systems konventioner.

2.    Betalingsmodtagerens betalingstjenesteudbyder indfører effektive procedurer, herunder hvor det er relevant overvågning efter eller under overførslerne, til at konstatere, hvorvidt der mangler følgende oplysninger om betaler eller betalingsmodtager:

a) ved pengeoverførsler, hvor betalers betalingstjenesteudbyder er etableret inden for Unionen, de i artikel 5 omhandlede oplysninger

b) ved pengeoverførsler, hvor betalers betalingstjenesteudbyder er etableret uden for Unionen, de i artikel 4, stk. 1, litra a), b) og c), og artikel 4, stk. 2, litra a) og b), omhandlede oplysninger

c) ved batchfiloverførsler, hvor betalers betalingstjenesteudbyder er etableret uden for Unionen, de oplysninger, der er omhandlet i artikel 4, stk. 1, litra a), b) og c), og artikel 4, stk. 2, litra a) og b), vedrørende denne batchfiloverførsel.

3.    Ved pengeoverførsler på over 1 000 EUR, uanset om de gennemføres som en enkeltstående overførsel eller som flere overførsler, der synes at hænge sammen, kontrollerer betalingsmodtagerens betalingstjenesteudbyder, inden betalingsmodtagerens betalingskonto krediteres, eller midlerne stilles til rådighed for betalingsmodtageren, at de i denne artikels stk. 2 omhandlede oplysninger om betalingsmodtageren er korrekte, på grundlag af dokumenter, data eller oplysninger fra en pålidelig og uafhængig kilde, uden at det berører kravene fastsat i artikel 83 og 84 i direktiv (EU) 2015/2366.

4.    Ved pengeoverførsler på ikke over 1 000 EUR, som ikke synes at hænge sammen med andre pengeoverførsler, der tilsammen med den pågældende overførsel overstiger 1 000 EUR, er betalingsmodtagerens betalingstjenesteudbyder ikke forpligtet til at kontrollere, at oplysningerne om betalingsmodtageren er korrekte, medmindre betalingsmodtagerens betalingstjenesteudbyder:

a) udbetaler midlerne i kontanter eller i anonyme elektroniske penge, eller

b) har en rimeligt begrundet mistanke om hvidvask af penge eller finansiering af terrorisme.

5.    Den i nærværende artikels stk. 3 og 4 omhandlede kontrol anses for at have fundet sted, hvis et af følgende forhold gør sig gældende:

a) identiteten af en betalingsmodtager er blevet kontrolleret i overensstemmelse med artikel 13 i direktiv (EU) 2015/849, og de ved denne kontrol indhentede oplysninger er blevet opbevaret i overensstemmelse med nævnte direktivs artikel 40

b) artikel 14, stk. 5, i direktiv (EU) 2015/849 finder anvendelse på betalingsmodtageren.

Artikel 8

Pengeoverførsler med manglende eller ufuldstændige oplysninger om betaler eller betalingsmodtager

1.    Betalingsmodtagerens betalingstjenesteudbyder fastsætter og indfører effektive risikobaserede procedurer, herunder procedurer baseret på det risikobaserede grundlag som omhandlet i artikel 13 i direktiv (EU) 2015/849 til at konstatere, hvorvidt en pengeoverførsel, som mangler de krævede fuldstændige oplysninger om betaler og betalingsmodtager, skal gennemføres, afvises eller suspenderes, og til at træffe hensigtsmæssige opfølgningsforanstaltninger.

Hvis betalingsmodtagerens betalingstjenesteudbyder ved modtagelsen af en pengeoverførsel får kendskab til, at de i artikel 4, stk. 1, litra a), b) og c), artikel 4, stk. 2, litra a) og b), artikel 5, stk. 1, eller artikel 6 omhandlede oplysninger om betaler eller betalingsmodtager mangler eller er ufuldstændige eller ikke er udfyldt med tegn eller input, der er tilladt i overensstemmelse med det pågældende meddelelses- eller betalings- og afviklingssystems konventioner, som omhandlet i artikel 7, stk. 1, skal betalingsmodtagerens betalingstjenesteudbyder på et risikobaseret grundlag:

a) afvise overførslen, eller

b) anmode om de krævede oplysninger om betaleren og betalingsmodtageren før eller efter, at betalingsmodtagerens betalingskonto krediteres, eller midlerne stilles til rådighed for betalingsmodtageren.

2.    Undlader en betalingstjenesteudbyder gentagne gange at levere nogle af de krævede oplysninger om betaleren eller betalingsmodtageren, skal betalingsmodtagerens betalingstjenesteudbyder:

a) træffe foranstaltninger, som i første omgang kan omfatte udsendelse af advarsler og fastsættelse af frister inden der skrides til afvisning, begrænsning eller afbrydelse i overensstemmelse med litra b), hvis de krævede oplysninger fortsat ikke er leveret, eller

b) direkte afvise enhver fremtidig pengeoverførsel fra denne betalingstjenesteudbyder eller begrænse eller afbryde sine forretningsforbindelser med denne betalingstjenesteudbyder.

Betalingsmodtagerens betalingstjenesteudbyder indberetter denne undladelse og de trufne foranstaltninger til den kompetente myndighed, der har ansvar for at føre tilsyn med, at bestemmelserne om forebyggelse af hvidvask af penge og bekæmpelse af finansiering af terrorisme overholdes.

Artikel 9

Vurdering og rapportering

Betalingsmodtagerens betalingstjenesteudbyder skal lade manglende eller ufuldstændige oplysninger om betaleren eller betalingsmodtageren indgå som en faktor ved vurderingen af, om pengeoverførslen eller dertil knyttede transaktioner er mistænkelige, og om den skal indberettes til den finansielle efterretningsenhed (Financial Intelligence Unit, FIU) i overensstemmelse med direktiv (EU) 2015/849.

Afdeling 3

Forpligtelser for mellembetalingsformidlere

Artikel 10

Opbevaring af oplysninger om betaler og betalingsmodtager, der medsendes ved overførslen

Mellembetalingsformidlere sikrer, at samtlige modtagne oplysninger om betaleren og betalingsmodtageren, der medsendes ved en pengeoverførsel, opbevares sammen med denne overførsel.

Artikel 11

Konstatering af, hvorvidt der mangler oplysninger om betaler eller betalingsmodtager

1.    Mellembetalingsformidleren indfører effektive procedurer til at konstatere, om felterne vedrørende oplysninger om betaler og betalingsmodtager i det meddelelses- eller betalings- og afviklingssystem, der anvendes til pengeoverførslen, er udfyldt med tegn eller input i overensstemmelse med det pågældende systems konventioner.

2.    Mellembetalingsformidleren indfører effektive procedurer, herunder hvor det er relevant overvågning efter eller under overførslerne, til at konstatere, hvorvidt følgende oplysninger mangler om betaler eller betalingsmodtager:

a) ved pengeoverførsler, hvor betalers og betalingsmodtagers betalingstjenesteudbyder er etableret inden for Unionen, de i artikel 5 omhandlede oplysninger

b) ved pengeoverførsler, hvor betalers eller betalingsmodtagers betalingstjenesteudbyder er etableret uden for Unionen, de i artikel 4, stk. 1, litra a), b) og c), og artikel 4, stk. 2, litra a) og b), omhandlede oplysninger

c) ved batchfiloverførsler, hvor betalers eller betalingsmodtagers betalingstjenesteudbyder er etableret uden for Unionen, de oplysninger, der er omhandlet i artikel 4, stk. 1, litra a), b) og c), og artikel 4, stk. 2, litra a) og b), vedrørende denne batchfiloverførsel.

Artikel 12

Pengeoverførsler med manglende oplysninger om betaler eller betalingsmodtager

1.    Mellembetalingsformidleren fastsætter og etablerer effektive risikobaserede procedurer til at fastslå, hvorvidt en pengeoverførsel, hvor de krævede oplysninger om betaler og betalingsmodtager mangler, skal gennemføres, afvises eller suspenderes, og til at træffe hensigtsmæssige opfølgningsforanstaltninger.

Hvis mellembetalingsformidleren ved modtagelsen af en pengeoverførsel får kendskab til, at de i artikel 4, stk. 1, litra a), b) og c), artikel 4, stk. 2, litra a) og b), artikel 5, stk. 1, eller artikel 6 omhandlede oplysninger mangler eller ikke er udfyldt med tegn eller input i overensstemmelse med det pågældende meddelelses- eller betalings- og afviklingssystems konventioner, som omhandlet i artikel 7, stk. 1, skal denne mellembetalingsformidlere på et risikobaseret grundlag:

a) afvise overførslen, eller

b) anmode om de krævede oplysninger om betaleren og betalingsmodtageren før eller efter pengeoverførslen.

2.    Undlader en betalingstjenesteudbyder gentagne gange at levere de krævede oplysninger om betaleren eller betalingsmodtageren, skal mellembetalingsformidleren:

a) træffe foranstaltninger, som i første omgang kan omfatte udsendelse af advarsler og fastsættelse af frister inden der skrides til afvisning, begrænsning eller afbrydelse i overensstemmelse med litra b), hvis de krævede oplysninger fortsat ikke er leveret, eller

b) direkte afvise enhver fremtidig pengeoverførsel fra denne betalingstjenesteudbyder eller begrænse eller afbryde sine forretningsforbindelser med denne betalingstjenesteudbyder.

Mellembetalingsformidleren indberetter denne undladelse og de trufne foranstaltninger til den kompetente myndighed, der har ansvar for at føre tilsyn med, at bestemmelserne om forebyggelse af hvidvask af penge og bekæmpelse af finansiering af terrorisme overholdes.

Artikel 13

Vurdering og rapportering

Mellembetalingsformidleren skal lade manglende oplysninger om betaleren eller betalingsmodtageren indgå som en faktor ved vurderingen af, om en pengeoverførsel eller dertil knyttede transaktioner er mistænkelige, og om den skal indberettes til FIU'en i overensstemmelse med direktiv (EU) 2015/849.

KAPITEL III

Forpligtelser for udbydere af kryptoaktivtjenester

Afdeling 1

Forpligtelser for ordregiverens udbyder af kryptoaktivtjenester

Artikel 14

Oplysninger, der skal medsendes ved overførsler af kryptoaktiver

1.    Ordregiverens udbyder af kryptoaktivtjenester sikrer, at der ved overførsler af kryptoaktiver medsendes følgende oplysninger om ordregiveren:

a) ordregiverens navn

b) ordregiverens distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, og ordregiverens kryptoaktivkontonummer, hvis en sådan konto findes og anvendes til at behandle transaktionen

c) ordregiverens kryptoaktivkontonummer i tilfælde, hvor en overførsel af kryptoaktiver ikke registreres på et netværk, der anvender DLT eller lignende teknologi

d) ordregiverens adresse, herunder landets navn, officielle personlige dokumentnummer og kunde-ID-nummer eller alternativt ordregiverens fødselsdato og -sted, og

e) ordregiverens aktuelle LEI eller i mangel heraf, enhver tilgængelig tilsvarende officiel identifikator med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst den til sin udbyder af kryptoaktivtjenester.

2.    Ordregiverens udbyder af kryptoaktivtjenester sikrer, at der ved overførslen af kryptoaktiver medsendes følgende oplysninger om ordremodtageren:

a) ordremodtagerens navn

b) ordremodtagerens distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, og ordremodtagerens kryptoaktivkontonummer, hvis en sådan konto findes og anvendes til at behandle transaktionen

c) ordremodtagerens kryptoaktivkontonummer i tilfælde, hvor en overførsel af kryptoaktiver ikke registreres på et netværk, der anvender DLT eller lignende teknologi, og

d) ordremodtagers aktuelle LEI eller i mangel heraf enhver anden tilgængelig tilsvarende officiel identifikator på ordremodtager med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst den til sin udbyder af kryptoaktivtjenester.

3.    Uanset stk. 1, litra c), og stk. 2, litra c), sørger ordregiverens udbyder af kryptoaktivtjenester for, at der ved overførsler af kryptoaktiver, som ikke registreres på et netværk, der anvender DLT eller lignende teknologi, og som ikke er foretaget til eller fra en kryptoaktivkonto, medsendes en entydig transaktionsidentifikator.

4.    De i stk. 1 og 2 omhandlede oplysninger fremsendes forud for, eller samtidigt eller parallelt med overførslen af kryptoaktiver og på en sikker måde og i overensstemmelse med forordning (EU) 2016/679.

Det er ikke et krav, at de i stk. 1 og 2 omhandlede oplysninger knyttes direkte til eller indgår i overførslen af kryptoaktiver.

5.    I tilfælde af en overførsel af kryptoaktiver til en selvhostet adresse indhenter og opbevarer ordregiverens udbyder af kryptoaktivtjenester de i stk. 1 og 2 omhandlede oplysninger og sikrer, at overførslen af kryptoaktiver kan identificeres individuelt.

Uden at det berører specifikke risikobegrænsende foranstaltninger truffet i overensstemmelse med artikel 19b i direktiv (EU) 2015/849, skal ordregiverens udbyder af kryptoaktivtjenester i tilfælde af en overførsel af et beløb, der overstiger 1 000 EUR, til en selvhostet adresse, træffe passende foranstaltninger til at vurdere, om denne adresse ejes eller kontrolleres af ordregiveren.

6.    Før kryptoaktiverne overføres, kontrollerer ordregiverens udbyder af kryptoaktivtjenester på grundlag af dokumenter, data eller oplysninger fra en pålidelig og uafhængig kilde, at de i stk. 1 omhandlede oplysninger er korrekte.

7.    Den i nærværende artikels stk. 6 omhandlede kontrol anses for at have fundet sted, hvis et af følgende forhold gør sig gældende:

a) ordregiverens identitet er blevet kontrolleret i overensstemmelse med artikel 13 i direktiv (EU) 2015/849, og de ved denne kontrol indhentede oplysninger er blevet opbevaret i overensstemmelse med nævnte direktivs artikel 40

b) artikel 14, stk. 5, i direktiv (EU) 2015/849 finder anvendelse på ordregiveren.

8.    Ordregiverens udbyder af kryptoaktivtjenester må ikke tillade foranledning eller gennemførelse af en overførsel af kryptoaktiver, før denne har sikret sig, at den er i fuld overensstemmelse med nærværende artikel.

Artikel 15

Batchfiloverførsler af kryptoaktiver

Ved batchfiloverførsler af kryptoaktiver fra en enkelt ordregiver finder artikel 14, stk. 1, ikke anvendelse på de enkelte overførsler, der er samlet heri, såfremt batchfilen indeholder de oplysninger, der er omhandlet i artikel 14, stk. 1, 2 og 3, oplysningerne er blevet kontrolleret i overensstemmelse med artikel 14, stk. 6 og 7, og de enkelte overførsler indeholder ordregivers distributed ledger-adresse, hvis artikel 14, stk. 2, litra b), finder anvendelse, ordregivers kryptoaktivkontonummer, hvis artikel 14, stk. 2, litra c), finder anvendelse, eller den entydige transaktionsidentifikator, hvis artikel 14, stk. 3, finder anvendelse.

Afdeling 2

Forpligtelser for ordremodtagerens udbyder af kryptoaktivtjenester

Artikel 16

Konstatering af, hvorvidt der mangler oplysninger om ordregiver eller ordremodtager

1.    Ordremodtagerens udbyder af kryptoaktivtjenester indfører effektive procedurer, herunder hvor det er relevant overvågning efter eller under overførslerne, til at konstatere, om de i artikel 14, stk. 1 og 2, omhandlede oplysninger om ordregiveren og ordremodtageren indgår i eller følger efter overførslen eller batchfiloverførslen.

2.    I tilfælde af en overførsel af kryptoaktiver fra en selvhostet adresse indhenter og opbevarer ordremodtagerens udbyder af kryptoaktivtjenester de i artikel 14, stk. 1 og 2, omhandlede oplysninger og sikrer, at overførslen af kryptoaktiver kan identificeres individuelt.

Uden at det berører specifikke risikobegrænsende foranstaltninger truffet i overensstemmelse med artikel 19b i direktiv (EU) 2015/849, skal ordremodtagerens udbyder af kryptoaktivtjenester i tilfælde af en overførsel af et beløb, der overstiger 1 000 EUR, fra en selvhostet adresse, træffe passende foranstaltninger til at vurdere, om denne adresse ejes eller kontrolleres af ordremodtageren.

3.    Før kryptoaktiverne stilles til rådighed for ordremodtageren, kontrollerer ordremodtagerens udbyder af kryptoaktivtjenester på grundlag af dokumenter, data eller oplysninger fra en pålidelig og uafhængig kilde, at de i artikel 14, stk. 2, omhandlede oplysninger om ordremodtageren er korrekte.

4.    Den i nærværende artikels stk. 2 og 3 omhandlede kontrol anses for at have fundet sted, hvis et af følgende forhold gør sig gældende:

a) ordremodtagerens identitet er blevet kontrolleret i overensstemmelse med artikel 13 i direktiv (EU) 2015/849, og de ved denne kontrol indhentede oplysninger er blevet opbevaret i overensstemmelse med nævnte direktivs artikel 40

b) artikel 14, stk. 5, i direktiv (EU) 2015/849 finder anvendelse på modtageren.

Artikel 17

Overførsler af kryptoaktiver med manglende eller ufuldstændige oplysninger om ordregiver eller ordremodtager

1.    Ordremodtagerens udbyder af kryptoaktivtjenester indfører effektive risikobaserede procedurer, herunder procedurer baseret på det risikobaserede grundlag, der er omhandlet i artikel 13 i direktiv (EU) 2015/849 til at konstatere, hvorvidt en overførsel af kryptoaktiver, som mangler de krævede fuldstændige oplysninger om ordregiveren og ordremodtageren, skal gennemføres, afvises, sendes tilbage eller suspenderes, og til at træffe hensigtsmæssige opfølgningsforanstaltninger.

Hvis ordremodtagerens udbyder af kryptoaktivtjenester får kendskab til, at de oplysninger, der er omhandlet i artikel 14, stk. 1 eller 2, eller i artikel 15 mangler eller er ufuldstændige, skal denne udbyder af kryptoaktivtjenester på et risikobaserede grundlag og uden unødig forsinkelse:

a) afvise overførslen eller sende de overførte kryptoaktiver tilbage til ordregiverens kryptoaktivkonto, eller

b) anmode om de krævede oplysninger om ordregiveren og ordremodtageren, inden kryptoaktiverne stilles til rådighed for ordremodtageren.

2.    Hvis en udbyder af kryptoaktivtjenester gentagne gange undlader at forelægge de påkrævede oplysninger om ordregiveren eller ordremodtageren, skal ordremodtagerens udbyder af kryptoaktivtjenester:

a) træffe foranstaltninger, som i første omgang kan omfatte udsendelse af advarsler og fastsættelse af frister inden der skrides til afvisning, begrænsning eller afbrydelse i overensstemmelse med litra b), hvis de krævede oplysninger fortsat ikke er leveret, eller

b) direkte afvise enhver fremtidig overførsel af kryptoaktiver til eller fra eller begrænse eller afbryde sine forretningsforbindelser med denne udbyder af kryptoaktivtjenester.

Ordremodtagerens udbyder af kryptoaktivtjenester indberetter denne undladelse og de trufne foranstaltninger til den kompetente myndighed, der har ansvar for at føre tilsyn med, at bestemmelserne om forebyggelse af hvidvask af penge og bekæmpelse af finansiering af terrorisme overholdes.

Artikel 18

Vurdering og rapportering

Ordremodtagerens udbyder af kryptoaktivtjenester skal lade manglende eller ufuldstændige oplysninger om ordregiveren eller ordremodtageren indgå som en faktor ved vurderingen af, om overførslen af kryptoaktiver eller dertil knyttede transaktioner er mistænkelig, og om den skal indberettes til FIU'en i overensstemmelse med direktiv (EU) 2015/849.

Afdeling 3

Forpligtelser for mellemudbydere af kryptoaktivtjenester

Artikel 19

Opbevaring af oplysninger om ordregiver og ordremodtager, der medsendes ved overførslen

Mellemudbydere af kryptoaktivtjenester sikrer, at samtlige modtagne oplysninger om ordregiveren og ordremodtageren, der medsendes ved en overførsel af kryptoaktiver, overføres sammen med overførslen, og at registreringer af sådanne oplysninger opbevares og på anmodning stilles til rådighed for de kompetente myndigheder.

Artikel 20

Konstatering af, hvorvidt der mangler oplysninger om ordregiver eller ordremodtager

Mellemudbyderen af kryptoaktivtjenester indfører effektive procedurer, herunder hvor det er relevant overvågning efter eller under overførslerne, for at konstatere, om de oplysninger om ordregiver eller ordremodtager, der er omhandlet i artikel 14, stk. 1, litra a), b) og c), og artikel 14, stk. 2, litra a), b) og c), er blevet fremsendt forud for eller samtidigt eller parallelt med overførslen eller batchfiloverførslen af kryptoaktiver, herunder hvis overførslen foretages til eller fra en selvhostet adresse.

Artikel 21

Overførsler af kryptoaktiver med manglende oplysninger om ordregiver eller ordremodtager

1.    Mellemudbyderen af kryptoaktivtjenester etablerer effektive risikobaserede procedurer, herunder procedurer baseret på det risikobaserede grundlag der er omhandlet i artikel 13 i direktiv (EU) 2015/849 til at fastslå, hvorvidt en overførsel af kryptoaktiver, hvor de krævede oplysninger om ordregiveren og ordremodtageren mangler, skal gennemføres, afvises, sendes tilbage eller suspenderes, og til at træffe hensigtsmæssige opfølgningsforanstaltninger.

Hvis mellemudbyderen af kryptoaktivtjenester ved modtagelse af en overførsel af kryptoaktiver får kendskab til, at de oplysninger, der er omhandlet i artikel 14, stk. 1, litra a), b) og c), og artikel 14, stk. 2, litra a), b) og c) eller artikel 15, stk. 1, mangler eller er ufuldstændige, skal denne mellemudbyder af kryptoaktivtjenester på et risikobaseret grundlag og uden unødig forsinkelse:

a) afvise overførslen eller sende de overførte kryptoaktiver tilbage, eller

b) anmode om de krævede oplysninger om ordregiveren og ordremodtageren inden overførslen af kryptoaktiver.

2.    Hvis en udbyder af kryptoaktivtjenester gentagne gange undlader at forelægge de påkrævede oplysninger om ordregiveren eller ordremodtageren, skal mellemudbyderen af kryptoaktivtjenester:

a) træffe foranstaltninger, som i første omgang kan omfatte udsendelse af advarsler og fastsættelse af frister inden der skrides til afvisning, begrænsning eller afbrydelse i overensstemmelse med litra b), hvis de krævede oplysninger fortsat ikke er leveret, eller

b) direkte afvise enhver fremtidig overførsel af kryptoaktiver til eller fra eller begrænse eller afbryde sine forretningsforbindelser med den denne udbyder af kryptoaktivtjenester.

Mellemudbyderen af kryptoaktivtjenester indberetter denne undladelse og de trufne foranstaltninger til den kompetente myndighed, der har ansvar for at føre tilsyn med, at bestemmelserne om forebyggelse af hvidvask af penge og bekæmpelse af finansiering af terrorisme overholdes.

Artikel 22

Vurdering og rapportering

Mellemudbyderen af kryptoaktivtjenester skal lade manglende oplysninger om ordregiveren eller ordremodtageren indgå som en faktor ved vurderingen af, om overførslen af kryptoaktiver eller dertil knyttede transaktioner er mistænkelig, og om den skal indberettes til FIU'en i overensstemmelse med direktiv (EU) 2015/849.

KAPITEL IV

Fælles foranstaltninger, som skal anvendes af betalingstjenesteudbydere og udbydere af kryptoaktivtjenester

Artikel 23

Interne politikker, procedurer og kontroller for at sikre gennemførelsen af restriktive foranstaltninger

Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester indfører interne politikker, procedurer og kontroller for at sikre gennemførelsen af restriktive foranstaltninger på EU-plan og nationalt plan i forbindelse med pengeoverførsler og overførsel af kryptoaktiver i henhold til denne forordning.

Den Europæiske Banktilsynsmyndighed (EBA) udsteder retningslinjer senest den 30. december 2024, der præciserer de i denne artikel omhandlede foranstaltninger.

KAPITEL V

Oplysninger, databeskyttelse og opbevaring af registreringer

Artikel 24

Formidling af oplysninger

Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester efterkommer i overensstemmelse med procedurekravene i den nationale ret i den medlemsstat, hvor de er etableret eller har deres vedtægtsmæssige hjemsted, alt efter hvad der er relevant" fuldt ud og straks, herunder gennem et centralt kontaktpunkt i overensstemmelse med artikel 45, stk. 9, i direktiv (EU) 2015/849, hvis der er udpeget et sådant kontaktpunkt, udelukkende anmodninger fra de myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i den pågældende medlemsstat, for så vidt angår de oplysninger, der kræves i henhold til denne forordning.

Artikel 25

Databeskyttelse

1.    Behandling af personoplysninger efter denne forordning er underlagt forordning (EU) 2016/679. Personoplysninger, der behandles i henhold til nærværende forordning af Kommissionen eller EBA, er underlagt forordning (EU) 2018/1725.

2.    Personoplysninger må kun behandles af betalingstjenesteudbydere og udbydere af kryptoaktivtjenester på grundlag af denne forordning med henblik på forebygge hvidvask af penge eller finansiering af terrorisme og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål. Det er forbudt at behandle personoplysninger på grundlag af denne forordning til kommercielle formål.

3.    Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester giver nye kunder de oplysninger, der kræves i henhold til artikel 13 i forordning (EU) 2016/679, inden der etableres forretningsforbindelser, eller der udføres en lejlighedsvis transaktion. Disse oplysninger forelægges i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form i overensstemmelse med artikel 12 i forordning (EU) 2016/679 og skal navnlig omfatte en generel meddelelse om betalingstjenesteudbydernes og udbyderne af kryptoaktivtjenesters juridiske forpligtelser i henhold til nærværende forordning, når de behandler personoplysninger med henblik på at forebygge hvidvask af penge og finansiering af terrorisme.

4.    Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester sikrer til enhver tid, at personoplysninger om de parter, der er involveret i en pengeoverførelse eller en overførsel af kryptoaktiver, videresendes i overensstemmelse med forordning (EU) 2016/679.

Det Europæiske Databeskyttelsesråd udsteder efter høring af EBA retningslinjer for den praktiske gennemførelse af databeskyttelseskravene til overførsel af personoplysninger til tredjelande i forbindelse med overførsler af kryptoaktiver. EBA udsteder retningslinjer for passende procedurer til bestemmelse af, hvorvidt en overførsel af kryptoaktiver skal gennemføres, afvises, sendes tilbage eller suspenderes i situationer, hvor det ikke kan sikres, at databeskyttelseskravene for overførsel af personoplysninger til tredjelande overholdes.

Artikel 26

Opbevaring af registreringer

1.    Oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren må ikke opbevares længere end strengt nødvendigt. Betalerens og betalingsmodtagerens betalingstjenesteudbyder opbevarer registreringer af de i artikel 4-7 omhandlede oplysninger, og ordregiverens og ordremodtagerens udbyder af kryptoaktivtjenester opbevarer de i artikel 14-16 omhandlede oplysninger i en periode på fem år.

2.    Efter udløbet af den i stk. 1 omhandlede opbevaringsperiode sikrer betalingstjenesteudbyderne og udbyderne af kryptoaktivtjenester, at personoplysningerne slettes, medmindre andet er fastsat i national ret, som bestemmer, under hvilke omstændigheder betalingstjenesteudbydere og udbydere af kryptoaktivtjenester kan eller skal opbevare sådanne oplysninger yderligere. Medlemsstaterne kan kun tillade eller kræve yderligere opbevaring, efter at de har foretaget en grundig vurdering af nødvendigheden og forholdsmæssigheden af den pågældende yderligere opbevaring og, hvis de anser det for at være begrundet som værende nødvendigt af hensyn til forebyggelse, afsløring eller efterforskning af hvidvask af penge eller finansiering af terrorisme. Den yderligere opbevaringsperiode må ikke overstige fem år.

3.    Såfremt der i en medlemsstat den 25. juni 2015 verserer retssager med henblik på at forebygge, afsløre, efterforske eller retsforfølge en formodet hvidvask af penge eller finansiering af terrorisme, og en betalingstjenesteudbyder besidder oplysninger eller dokumenter vedrørende disse verserende sager, må betalingstjenesteudbyderen opbevare disse oplysninger eller dokumenter i overensstemmelse med national ret i en periode på fem år fra den 25. juni 2015. Medlemsstaterne kan, uden at det berører de nationale strafferetlige bevisregler, der gælder for verserende strafferetlige efterforskninger og retslige procedurer, tillade eller kræve, at de pågældende oplysninger eller dokumenter opbevares i en periode på yderligere fem år, såfremt det er blevet fastslået, at en sådan yderligere opbevaring er nødvendig og står i rimeligt forhold til forebyggelse, afsløring, efterforskning eller retsforfølgning af formodet hvidvask af penge eller finansiering af terrorisme.

Artikel 27

Samarbejde mellem kompetente myndigheder

Udveksling af oplysninger mellem kompetente myndigheder og med relevante tredjelandsmyndigheder i henhold til denne forordning er underlagt direktiv (EU) 2015/849.

KAPITEL VI

Sanktioner og overvågning

Artikel 28

Administrative sanktioner og foranstaltninger

1.    Uden at det berører retten til at fastsætte og pålægge strafferetlige sanktioner, fastsætter medlemsstaterne bestemmelser om administrative sanktioner og foranstaltninger for overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. Sanktionerne og foranstaltningerne skal være effektive, forholdsmæssige og have afskrækkende virkning og være i overensstemmelse med dem, der fastsættes i henhold til kapitel VI, afdeling 4, i direktiv (EU) 2015/849.

Medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller foranstaltninger for overtrædelser af denne forordning, der er omfattet af strafferetlige sanktioner i henhold til national ret. I så fald meddeler medlemsstaterne Kommissionen de relevante strafferetlige bestemmelser.

2.    Medlemsstaterne sikrer, at der i tilfælde af overtrædelse af forpligtelser, som i henhold til denne forordning påhviler betalingstjenesteudbydere og udbydere af kryptoaktivtjenester, kan anvendes sanktioner eller foranstaltninger på de i national ret fastlagte betingelser over for medlemmerne af den relevante tjenesteudbyders ledelsesorgan og over for enhver anden fysisk person, som i henhold til national ret er ansvarlig for denne overtrædelse.

3.    Medlemsstaterne meddeler Kommissionen og det permanente interne udvalg for bekæmpelse af hvidvask af penge og finansiering af terrorisme, der er omhandlet i artikel 9a, stk. 7, i forordning (EU) nr. 1093/2010, de i stk. 1 omhandlede bestemmelser. Medlemsstaterne underretter uden unødigt ophold Kommissionen og dette permanente interne udvalg om senere ændringer af bestemmelserne.

4.    De kompetente myndigheder tillægges i overensstemmelse med artikel 58, stk. 4, i direktiv (EU) 2015/849 alle de tilsyns- og efterforskningsbeføjelser, der er nødvendige for, at de kan udføre deres opgaver. De kompetente myndigheder iværksætter et tæt samarbejde ved udøvelsen af deres beføjelser til at pålægge administrative sanktioner og foranstaltninger for at sikre, at disse administrative sanktioner eller foranstaltninger får de ønskede virkninger, og for at koordinere deres indsats i forbindelse med grænseoverskridende sager.

5.    Medlemsstaterne sikrer, at juridiske personer kan drages til ansvar for de i artikel 29 omhandlede overtrædelser, som for vindings skyld begås af en person, der handler individuelt eller som medlem af et organ under denne juridiske person, og som har en ledende stilling inden for den juridiske person baseret på et af følgende forhold:

a) beføjelse til at repræsentere den juridiske person

b) beføjelse til at træffe beslutninger på den juridiske persons vegne

c) beføjelse til at udøve intern kontrol inden for den juridiske person.

6.    Medlemsstaterne sikrer også, at en juridisk person kan drages til ansvar, når manglende tilsyn eller kontrol fra en af de i nærværende artikels stk. 5 omhandlede personers side har gjort det muligt for en person, der er underlagt den juridiske persons myndighed, at begå en af de i artikel 29 omhandlede overtrædelser for at skaffe denne juridiske person vinding.

7.    De kompetente myndigheder udøver deres beføjelser til at pålægge administrative sanktioner og foranstaltninger i overensstemmelse med denne forordning på en af følgende måder:

a) direkte

b) i samarbejde med andre myndigheder

c) på eget ansvar ved delegation til sådanne andre myndigheder

d) ved anmodning til de kompetente retlige myndigheder.

De kompetente myndigheder iværksætter et tæt samarbejde under udøvelsen af deres beføjelser til at pålægge administrative sanktioner og foranstaltninger for at sikre, at disse administrative sanktioner eller foranstaltninger får de ønskede virkninger, og for at koordinere deres indsats i forbindelse med grænseoverskridende sager.

Artikel 29

Særlige bestemmelser

Medlemsstaterne sikrer, at deres administrative sanktioner og foranstaltninger som minimum omfatter dem, der er fastsat i artikel 59, stk. 2 og 3, i direktiv (EU) 2015/849, i tilfælde af følgende overtrædelser af denne forordning:

a) en betalingstjenesteudbyders gentagne eller systematiske undladelse af ved pengeoverførsel at medsende de krævede oplysninger om betaler eller betalingsmodtager i strid med artikel 4, 5 eller 6, eller en udbyder af kryptoaktivtjenesters gentagne eller systematiske undladelse af ved overførsel af kryptoaktiver at medsende de krævede oplysninger om ordregiver og ordremodtager i strid med artikel 14 eller 15

b) gentagne, systematiske eller alvorlige forsømmelser fra betalingstjenesteudbyderes eller fra udbydere af kryptoaktivtjenesters side med hensyn til at sikre opbevaring af registreringer i strid med artikel 26

c) en betalingstjenesteudbyders manglende indførelse af effektive risikobaserede procedurer i strid med artikel 8 eller 12 eller udbyder af kryptoaktivtjenesters manglede indførelse af effektive risikobaserede procedurer i strid med artikel 17

d) en mellembetalingsformidlers alvorlige tilsidesættelser af artikel 11 eller 12 eller mellemudbyder af kryptoaktivtjenesters alvorlige tilsidesættelser af artikel 19, 20 eller 21.

Artikel 30

Offentliggørelse af sanktioner og foranstaltninger

De kompetente myndigheder offentliggør i overensstemmelse med artikel 60, stk. 1, 2 og 3, i direktiv (EU) 2015/849 uden unødig forsinkelse de administrative sanktioner og foranstaltninger, der er pålagt i de tilfælde, der er omhandlet i denne forordnings artikel 28 og 29, herunder oplysninger om overtrædelsens type og art og identiteten på de personer, som er ansvarlige for overtrædelsen, hvis det er nødvendigt og står i rimeligt forhold til målet efter en vurdering af den enkelte sag.

Artikel 31

Kompetente myndigheders anvendelse af sanktioner og foranstaltninger

1.    Ved afgørelsen af, hvilken type administrative sanktioner eller foranstaltninger der skal anvendes, og hvor store de administrative bøder skal være, tager de kompetente myndigheder hensyn til alle relevante forhold, herunder dem, der er anført i artikel 60, stk. 4, i direktiv (EU) 2015/849.

2.    Med hensyn til de administrative sanktioner og foranstaltninger, der er pålagt i overensstemmelse med denne forordning, finder artikel 62 i direktiv (EU) 2015/849 anvendelse.

Artikel 32

Indberetning af overtrædelser

1.    Medlemsstaterne indfører effektive mekanismer, som tilskynder til at indberette overtrædelser af bestemmelserne i denne forordning til de kompetente myndigheder.

Disse mekanismer skal som minimum omfatte dem, der er omhandlet i artikel 61, stk. 2, i direktiv (EU) 2015/849.

2.    Betalingstjenesteudbyderne og udbyderne af kryptoaktivtjenester skal i samarbejde med de kompetente myndigheder indføre egnede interne procedurer, der giver deres ansatte eller personer i en sammenlignelig stilling mulighed for at indberette overtrædelser internt via en sikker, uafhængig, specifik og anonym kanal, der står i rimeligt forhold til den pågældende betalingstjenesteudbyders eller den pågældende udbyder af kryptoaktivtjenesters art og størrelse.

Artikel 33

Overvågning

1.    Medlemsstaterne pålægger de kompetente myndigheder effektivt at overvåge og træffe de nødvendige foranstaltninger for at sikre, at denne forordning overholdes, og fremmer gennem effektive mekanismer indberetning til de kompetente myndigheder af overtrædelser af bestemmelserne i denne forordning.

2.    Senest den 31. december 2026 og derefter hvert tredje år forelægger Kommissionen en rapport for Europa-Parlamentet og Rådet om anvendelsen af kapitel VI, navnlig hvad angår grænseoverskridende sager.

KAPITEL VII

Gennemførelsesbeføjelser

Artikel 34

Udvalgsprocedure

1.    Kommissionen bistås af Udvalget til Forebyggelse af Hvidvask af Penge og Finansiering af Terrorisme. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.    Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

KAPITEL VIII

Undtagelser

Artikel 35

Aftaler med lande og territorier, der ikke indgår i Unionens område

1.    Kommissionen kan bemyndige en medlemsstat til at indgå en aftale med et tredjeland eller med et territorium uden for det territoriale anvendelsesområde for traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde (TEUF) som omhandlet i artikel 355 i TEUF (»det pågældende land eller territorium«), som indeholder undtagelser fra denne forordning, hvorved det bliver muligt at behandle pengeoverførsler mellem dette land eller territorium og den pågældende medlemsstat som pengeoverførsler inden for medlemsstaten.

Der kan kun gives bemyndigelse til at indgå sådanne aftaler, når alle følgende betingelser er opfyldt:

a) det pågældende land eller territorium er i valutaunion med den pågældende medlemsstat, indgår i medlemsstatens valutaområde eller har undertegnet en monetær aftale med Unionen repræsenteret af en medlemsstat

b) betalingstjenesteudbydere i det pågældende land eller territorium deltager direkte eller indirekte i den pågældende medlemsstats betalings- og afviklingssystem

c) det pågældende land eller territorium kræver, at betalingstjenesteudbydere inden for dets jurisdiktion anvender samme regler som fastsat i denne forordning.

2.    En medlemsstat, der ønsker at indgå en aftale som omhandlet i stk. 1, indgiver en anmodning til Kommissionen og leverer alle de oplysninger, der er nødvendige for vurderingen af anmodningen.

3.    Når Kommissionen har modtaget en sådan anmodning, behandles pengeoverførsler mellem denne medlemsstat og det pågældende land eller territorium midlertidigt som overførsler inden for denne medlemsstat, indtil der er truffet en afgørelse i overensstemmelse med denne artikel.

4.    Hvis Kommissionen senest to måneder efter at have modtaget anmodningen skønner, at den ikke har alle de oplysninger, der er nødvendige for vurderingen af anmodningen, kontakter den den pågældende medlemsstat og specificerer, hvilke yderligere oplysninger der kræves.

5.    Senest en måned efter, at Kommissionen har modtaget alle de oplysninger, den finder nødvendige for at kunne vurdere anmodningen, underretter den medlemsstaten herom og videresender kopier af anmodningen til de andre medlemsstater.

6.    Senest tre måneder efter den underretning, der er omhandlet i denne artikels stk. 5, beslutter Kommissionen ved hjælp af en gennemførelsesretsakt i overensstemmelse med artikel 34, stk. 2, hvorvidt den pågældende medlemsstat kan bemyndiges til at indgå den aftale, der er genstand for anmodningen.

Under alle omstændigheder træffer Kommissionen en beslutning som omhandlet i nærværende stykkes første afsnit, senest 18 måneder efter, at den har modtaget anmodningen.

KAPITEL IX

Andre bestemmelser

Artikel 36

Retningslinjer

EBA udsteder retningslinjer til de kompetente myndigheder og betalingstjenesteudbyderne i overensstemmelse med artikel 16 i forordning (EU) nr. 1093/2010 om foranstaltninger, der skal træffes i overensstemmelse med nærværende forordning, særlig med hensyn til gennemførelsen af nærværende forordnings artikel 7, 8, 11 og 12. Senest den 30. juni 2024 udsteder EBA retningslinjer til de kompetente myndigheder og til udbydere af kryptoaktivtjenester om foranstaltninger, der skal træffes med hensyn til gennemførelsen af nærværende forordnings artikel 14-17 og 19-22.

EBA udsteder retningslinjer, der beskriver de tekniske aspekter af denne forordnings anvendelse på direkte debiteringer samt de foranstaltninger, der skal træffes af betalingsinitieringstjenesteudbydere som defineret i artikel 4, nr. 18), i direktiv (EU) 2015/2366 i henhold til denne forordning, idet der tages højde for deres begrænsede rolle i betalingstransaktioner.

EBA udsteder retningslinjer til de kompetente myndigheder om kendetegnene ved en risikobaseret tilgang til tilsyn med udbydere af kryptoaktivtjenester og de skridt, der skal tages, når der føres et sådant tilsyn.

EBA sikrer en regelmæssig dialog med interessenterne om udviklingen af tekniske interoperable løsninger med henblik på at lette gennemførelsen af kravene i denne forordning.

Artikel 37

Revision

1.    Senest 12 måneder efter ikrafttrædelsen af en forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme reviderer Kommissionen nærværende forordning og foreslår, hvis det er relevant, ændringer for at sikre en konsekvent tilgang og tilpasning til forordningen om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

2.    Senest den 1. juli 2026 udsender Kommissionen efter høring af EBA en rapport med en vurdering af de risici, der er forbundet med overførsler til eller fra selvhostede adresser eller enheder, som ikke er etableret i Unionen, og behovet for specifikke foranstaltninger til at begrænse disse risici og foreslår, hvis det er relevant, ændringer til denne forordning.

3.    Senest den 30. juni 2027 fremlægger Kommissionen en rapport for Europa-Parlamentet og Rådet om denne forordnings anvendelse og håndhævelse, eventuelt ledsaget af et lovgivningsforslag.

Den i første afsnit omhandlede rapport skal indeholde følgende elementer:

a) en vurdering af effektiviteten af foranstaltningerne i denne forordning og af, hvorvidt betalingstjenesteudbydere og udbydere af kryptoaktivtjenester overholder denne forordning

b) en vurdering af de teknologiske løsninger, der kan anvendes til at opfylde de forpligtelser, der pålægges udbydere af kryptoaktivtjenester i henhold til denne forordning, herunder af den seneste udvikling inden for teknologisk forsvarlige og interoperable løsninger, der kan anvendes til at overholde denne forordning, og af anvendelsen af analyseværktøjer til DLT til at konstatere oprindelsen af og bestemmelsesstedet for overførsler af kryptoaktiver og til at foretage en »kend din transaktion-vurdering« (KYT)

c) en vurdering af effektiviteten og egnetheden af bagatelgrænser for pengeoverførsler, navnlig med hensyn til anvendelsesområdet og det sæt af oplysninger, der medsendes ved overførsler, og en vurdering af behovet for at sænke eller fjerne sådanne tærskler

d) en vurdering af omkostninger og fordele ved at indføre bagatelgrænser for så vidt angår det sæt oplysninger, der medsendes ved overførsler af kryptoaktiver, herunder en vurdering af de dermed forbundne risici for hvidvask af penge og finansiering af terrorisme

e) en analyse af tendenserne med hensyn til anvendelse af selvhostede adresser til overførsler uden involvering af en tredjepart, sammen med en vurdering af de hermed forbundne risici for hvidvask af penge og finansiering af terrorisme og en evaluering af behovet for og effektiviteten og håndhævelsen af yderligere risikobegrænsende foranstaltninger, f.eks. specifikke forpligtelser for udbydere af hardware- og softwaretegnebøger samt begrænsning for, kontrol af eller forbud mod overførsler, der involverer selvhostede adresser.

Rapporten tager hensyn til ny udvikling på området for bekæmpelse af hvidvask af penge og finansiering af terrorisme samt relevante evalueringer, vurderinger og rapporter på det område, der er udarbejdet af internationale organisationer og standardsættere, retshåndhævende myndigheder og efterretningstjenester, udbydere af kryptoaktivtjenester eller andre pålidelige kilder.

KAPITEL X

Afsluttende bestemmelser

Artikel 38

Ændringer af direktiv (EU) 2015/849

I direktiv (EU) 2015/849 foretages følgende ændringer:

1) I artikel 2, stk. 1, nr. 3), udgår litra g) og h).

2) I artikel 3 foretages følgende ændringer:

a) I nr. 2) tilføjes følgende litra:

»g) udbydere af kryptoaktivtjenester«.

b) Nr. 8) affattes således:

»8) »korrespondentforbindelse«:

a) levering af bankydelser fra en bank (»korrespondenten«) til en anden bank (»respondenten«), herunder, men ikke begrænset til, oprettelse af en løbende konto eller en anden passivkonto samt tilknyttede ydelser såsom likviditetsstyring, internationale overførsler af midler, checkclearing, »gennemstrømningskonti« og valutatransaktioner

b) forbindelser mellem kreditinstitutter, mellem finansieringsinstitutter og mellem kreditinstitutter og finansieringsinstitutter, herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, og herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver«.

c) Nr. 18) og 19) affattes således:

»18) »kryptoaktiv«: et kryptoaktiv som defineret i artikel 3, stk. 1, nr. 5), i Europa-Parlamentet og Rådets forordning (EU) 2023/1114 (*1), undtagen når det henhører under de kategorier, der er anført i nævnte forordnings artikel 2, stk. 2, 3 og 4, eller på anden måde kan betegnes som midler

19) »udbyder af kryptoaktivtjenester«: en udbyder af kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 15), i forordning (EU) 2023/1114, når denne leverer en eller flere af de kryptoaktivtjenester, der er defineret i nævnte forordnings artikel 3, stk. 1, nr. 16), med undtagelse af rådgivning om kryptoaktiver som omhandlet i nævnte forordnings artikel 3, stk. 1, nr. 16), litra h)

(*1) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (EUT L 150 af 9.6.2023, s. 40).«"

d) Følgende nummer tilføjes:

»20) »selvhostet adresse«: en selvhostet adresse som defineret i artikel 3, nr. 20), i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 (*2).

(*2) Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849 (EUT L 150 af 9.6.2023, s. 1).«"

3) I artikel 18 tilføjes følgende stykker:

»5.    Senest den 30. december 2024 udsteder EBA retningslinjer for risikovariabler og risikofaktorer, som udbydere af kryptoaktivtjenester skal tage i betragtning, når de indgår forretningsforbindelser eller gennemfører transaktioner med kryptoaktiver.

6.    EBA bør navnlig præcisere, hvordan udbydere af kryptoaktivtjenester skal tage de risikofaktorer, der er opført i bilag III, i betragtning, herunder når de udfører transaktioner med personer og enheder, der ikke er omfattet af dette direktiv. Med henblik herpå skal EBA være særlig opmærksom på produkter, transaktioner og teknologier, der har potentiale til at fremme anonymitet, såsom anonyme tegnebøger og mikser- og tumblertjenester.

Hvis der konstateres situationer med øget risiko, bør retningslinjerne omhandlet i stk. 5 omfatte skærpede kendskabsprocedurer, som de forpligtede enheder skal overveje at anvende for at begrænse sådanne risici, herunder vedtagelse af passende procedurer, til at fastslå kryptoaktivers oprindelse eller bestemmelsessted.«

4) Følgende artikler indsættes:

»Artikel 19a

1.    Medlemsstaterne pålægger udbydere af kryptoaktivtjenester at identificere og vurdere risikoen for hvidvask af penge og finansiering af terrorisme i forbindelse med overførsler af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse. Udbydere af kryptoaktivtjenester indfører med henblik herpå interne politikker, procedurer og kontroller. Medlemsstaterne pålægger udbydere af kryptoaktivtjenester at træffe begrænsende foranstaltninger, der står i et rimeligt forhold til de identificerede risici. Disse begrænsende foranstaltninger skal omfatte en eller flere af følgende:

a) indførelse af risikobaserede foranstaltninger, der skal identificere og kontrollere identiteten af ordregiveren eller ordremodtageren af en overførsel til eller fra en selvhostet adresse eller en sådan ordregivers eller ordremodtagers reelle ejer, herunder gennem anvendelse af tredjeparter

b) krav om yderligere oplysninger om de overførte kryptoaktivers oprindelse og bestemmelsessted

c) gennemførelse af øget løbende overvågning af disse transaktioner

d) enhver anden foranstaltning til begrænsning og styring af risikoen for hvidvask af penge og finansiering af terrorisme samt risikoen for manglende gennemførelse og unddragelse af målrettede finansielle sanktioner og målrettede finansielle sanktioner i forbindelse med finansiering af spredning.

2.    Senest den 30. december 2024 udsteder EBA retningslinjer med henblik på at præcisere de i denne artikel omhandlede foranstaltninger, herunder kriterierne og formerne for identifikation og kontrol af identiteten af ordregiveren eller ordremodtageren af en overførsel til eller fra en selvhostet adresse, navnlig gennem anvendelse af tredjeparter, under hensyntagen til den seneste teknologiske udvikling.

Artikel 19b

1.    Uanset artikel 19 pålægger medlemsstaterne ved grænseoverskridende korrespondentforbindelser, der involverer gennemførelse af kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 16), i forordning (EU) 2023/1114, med undtagelse af nævnte nummers litra h), med en respondentenhed, der ikke er etableret i Unionen og leverer lignende tjenester, herunder overførsler af kryptoaktiver, ud over de kundekendskabsprocedurer, der er fastsat i dette direktivs artikel 13, udbydere af kryptoaktivtjenester i forbindelse med etablering af en forretningsforbindelse med en sådan enhed:

a) at fastslå, om respondentenheden er godkendt eller registreret

b) at indhente tilstrækkelige oplysninger om respondentenheden til fuldt ud at forstå, hvori dens virksomhed består, og på grundlag af offentligt tilgængelige oplysninger at bedømme enhedens omdømme og kvaliteten af overvågningen

c) at vurdere respondentenhedens AML/CFT-kontroller

d) at indhente den øverste ledelses godkendelse, inden der etableres nye korrespondentforbindelser

e) at dokumentere de respektive ansvarsområder, der påhviler hver part i korrespondentforbindelsen

f) i forbindelse med »gennemstrømningskryptoaktivkonti« at sikre sig, at respondentenheden har identitetskontrolleret de kunder, der har direkte adgang til korrespondentenhedens konti, og løbende har gennemført kundekendskabsprocedurer, samt at den er i stand til at forelægge relevante kundekendskabsoplysninger for korrespondentenheden efter anmodning.

Når udbydere af kryptoaktivtjenester beslutter at afslutte korrespondentforbindelser af årsager, som har tilknytning til politikker vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme, skal de dokumentere og registrere deres beslutning.

Udbydere af kryptoaktivtjenester ajourfører regelmæssigt kendskabsoplysningerne for korrespondentforbindelsen, eller når der opstår nye risici i forbindelse med respondentenheden.

2.    Medlemsstaterne sikrer, at udbydere af kryptoaktivtjenester tager hensyn til de oplysninger, der er omhandlet i stk. 1, for på et risikofølsomt grundlag at fastlægge de passende foranstaltninger, der skal træffes for at begrænse de risici, der er forbundet med respondentenheden.

3.    Senest den 30. juni 2024 udsteder EBA retningslinjer for at præcisere de kriterier og elementer, som udbydere af kryptoaktivtjenester skal tage i betragtning i forbindelse med den vurdering, der er omhandlet i stk. 1, og de risikobegrænsende foranstaltninger, der er omhandlet i stk. 2, herunder de minimumsforanstaltninger, der skal træffes af udbydere af kryptoaktivtjenester, hvis respondentenheden ikke er registreret eller godkendt.«

5) Følgende artikel indsættes:

»Artikel 24a

Senest den 1. januar 2024 udsteder EBA retningslinjer, der præciserer, hvordan de skærpede kundekendskabsprocedurer i denne afdeling finder anvendelse, når forpligtede enheder udfører kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 16), i forordning (EU) 2023/1114, med undtagelse af nævnte nummers litra h), samt overførsler af kryptoaktiver som defineret i artikel 3, nr. 10), i forordning (EU) 2023/1113. EBA præciserer navnlig, hvordan og hvornår disse forpligtede enheder skal indhente yderligere oplysninger om ordregiver og ordremodtager.«

6) Artikel 45, stk. 9, affattes således:

»9.    Medlemsstaterne kan kræve, at udstedere af elektroniske penge som defineret i artikel 2, nr. 3), i direktiv 2009/110/EF og betalingstjenesteudbydere som defineret i artikel 4, nr. 11), i direktiv (EU) 2015/2366, og udbydere af kryptoaktivtjenester, der er etableret på deres område i anden form end en filial, og som har hovedsæde i en anden medlemsstat, udpeger et centralt kontaktpunkt på deres område. Dette centrale kontaktpunkt sikrer på vegne af den enhed, der driver virksomhed på tværs af grænserne, overholdelse af AML/CFT-reglerne og letter tilsynsorganernes tilsyn, herunder ved på anmodning at give tilsynsorganerne dokumenter og oplysninger.«

7) Artikel 47, stk. 1, affattes således:

»1.    Medlemsstaterne sikrer, at valutavekslings- og checkindløsningskontorer samt udbydere af tjenester til truster eller selskaber er godkendte eller registrerede, og at udbydere af spiltjenester reguleres.«

8) I artikel 67 tilføjes følgende stykke:

»3.    Medlemsstaterne vedtager og offentliggør senest den 30. december 2024 de love og administrative bestemmelser, der er nødvendige for at efterkomme artikel 2, stk. 1, nr. 3), artikel 3, nr. 2), litra g), artikel 3, nr. 8), 18), 19) og 20), artikel 19a, stk. 1, artikel 19b, stk. 1 og 2, artikel 45, stk. 9, og artikel 47, stk. 1. De meddeler straks Kommissionen teksten til disse love og bestemmelser.

De anvender disse love og bestemmelser fra den 30. december 2024.«

Artikel 39

Ophævelse

Forordning (EU) 2015/847 ophæves med virkning fra anvendelsesdatoen for nærværende forordning.

Henvisninger til den ophævede forordning gælder som henvisninger til nærværende forordning og læses efter sammenligningstabellen i bilag II.

Artikel 40

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 30. december 2024.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 31. maj 2023.

(1) EUT C 68 af 9.2.2022, s. 2.

(2) EUT C 152 af 6.4.2022, s. 89.

(3) Europa-Parlamentets holdning af 20.4.2023 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 16.5.2023.

(4) Europa-Parlamentets og Rådets forordning (EU) 2015/847 af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og om ophævelse af forordning (EF) nr. 1781/2006 (EUT L 141 af 5.6.2015, s. 1).

(5) Jf. bilag I.

(6) Europa-Parlamentets og Rådets direktiv 2009/110/EF af 16. september 2009 om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksomhed, ændring af direktiv 2005/60/EF og 2006/48/EF og ophævelse af direktiv 2000/46/EF (EUT L 267 af 10.10.2009, s. 7).

(7) Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (EUT L 141 af 5.6.2015, s. 73).

(8) Europa-Parlamentets og Rådets direktiv (EU) 2018/843 af 30. maj 2018 om ændring af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og om ændring af direktiv 2009/138/EF og 2013/36/EU (EUT L 156 af 19.6.2018, s. 43).

(9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (EUT L 150 af 9.6.2023, s. 40).

(10) Rådets forordning (EF) nr. 2580/2001 af 27. december 2001 om specifikke restriktive foranstaltninger mod visse personer og enheder med henblik på at bekæmpe terrorisme (EFT L 344 af 28.12.2001, s. 70).

(11) Rådets forordning (EF) nr. 881/2002 af 27. maj 2002 om indførelse af visse specifikke restriktive foranstaltninger mod visse personer og enheder, der har tilknytning til ISIL- (Da'esh) og al-Qaedaorganisationerne (EFT L 139 af 29.5.2002, s. 9).

(12) Rådets forordning (EU) nr. 356/2010 af 26. april 2010 om indførelse af visse specifikke restriktive foranstaltninger mod visse fysiske eller juridiske personer, enheder eller organer på grund af situationen i Somalia (EUT L 105 af 27.4.2010, s. 1).

(13) Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12).

(14) Rådets forordning (EU) nr. 267/2012 af 23. marts 2012 om restriktive foranstaltninger over for Iran og om ophævelse af forordning (EU) nr. 961/2010 (EUT L 88 af 24.3.2012, s. 1).

(15) Rådets forordning (EU) 2016/1686 af 20. september 2016 om indførelse af yderligere restriktive foranstaltninger over for ISIL (Da'esh) og al-Qaeda og fysiske og juridiske personer, enheder eller organer, der er knyttet til dem (EUT L 255 af 21.9.2016, s. 1).

(16) Rådets forordning (EU) 2017/1509 af 30. august 2017 om restriktive foranstaltninger over for Den Demokratiske Folkerepublik Korea og om ophævelse af forordning (EF) nr. 329/2007 (EUT L 224 af 31.8.2017, s. 1).

(17) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(18) Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, og om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).

(19) Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning (EF) nr. 924/2009 (EUT L 94 af 30.3.2012, s. 22).

(20) Europa-Parlamentets og Rådets forordning (EU) 2021/1230 af 14. juli 2021 om grænseoverskridende betalinger i Unionen (EUT L 274 af 30.7.2021, s. 20).

(21) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handling

BILAG I

OPHÆVET FORORDNING MED OVERSIGT OVER ÆNDRINGER

BILAG II

SAMMENLIGNINGSTABEL