Регулаторно съответствие и текущо обслужване

Регулаторна отчетност пред БНБ

Всяка лицензирана или регистрирана институция е длъжна да подава периодични отчети до БНБ. Неспазването на сроковете или подаването на непълна информация може да доведе до принудителни административни мерки.

Тримесечни отчети

Финансови отчети — баланс, отчет за приходите и разходите, отчет за паричните потоци
Обем на транзакциите — по вид услуга, по държава, по валута
Изчисление на собствените средства — по Метод А, Б или В (Приложение 2 към ЗПУПС) за ПИ; 2% от средния размер на e-money за ДЕП
Информация за рекламации и жалби от клиенти

Годишни отчети

Годишен финансов отчет, заверен от регистриран одитор
Годишен доклад за дейността — стратегия, рискови показатели, промени в ръководството
Доклад за AML съответствие — обобщена информация за комплексните проверки, подозрителните операции и обучението на персонала

Начин на подаване

Всички отчети се подават по електронен път чрез информационната система на БНБ, подписани с квалифициран електронен подпис (КЕП). Хартиени копия не се приемат за регулярната отчетност.

AML/CTF съответствие — ЗМИП и ЗМФТ

Превенцията на изпирането на пари и финансирането на тероризма е централен елемент от регулаторното съответствие на всяка финансова институция. Задълженията произтичат от Закона за мерките срещу изпирането на пари (ЗМИП) и Закона за мерките срещу финансирането на тероризма (ЗМФТ).

Надзорни органи

ФРР-ДАНС (Финансово-разузнавателен район при ДАНС) — получава и анализира докладите за подозрителни операции
БНБ — надзор върху спазването на AML изискванията от платежни и кредитни институции
КФН (Комисия за финансов надзор) — надзор върху инвестиционните посредници и застрахователите

Комплексна проверка на клиенти (CDD)

Стандартна проверка (CDD) — при установяване на делово взаимоотношение: идентификация на клиента, проверка на самоличността, определяне на действителния собственик (UBO)
Разширена проверка (EDD) — задължителна за видни политически личности (PEPs), клиенти от високорискови юрисдикции, сложни/необичайни транзакции
Проверка на UBO — идентификация и верификация на крайните бенефициери, притежаващи пряко или непряко 25%+ от капитала
Текущ мониторинг — непрекъснато наблюдение на транзакциите и актуализиране на информацията за клиента

Докладване

Доклади за подозрителни операции (SAR) — подават се чрез системата goAML на ФРР-ДАНС при съмнение за изпиране на пари или финансиране на тероризъм
Прагово докладване — транзакции над определени стойности (EUR 15,000 за еднократни, EUR 5,000 за свързани операции)
Докладване на несъответствия в UBO — от юли 2024 г. е задължително докладване при установяване на разминаване между декларираните и действителните UBO

Вътрешна организация

Назначаване на AML Officer — отговорно лице за прилагане на мерките срещу изпиране на пари
Вътрешни правила — актуализирани политики и процедури за CDD, мониторинг и докладване
Обучение на персонала — задължително годишно обучение на всички служители
Съхранение на документи — минимум 5 години след прекратяване на деловото взаимоотношение

Санкции при нарушения

При тежки нарушения на ЗМИП, санкциите могат да достигнат до BGN 10,000,000 или 10% от годишния оборот (прилага се по-високата стойност). За физически лица — до BGN 200,000. БНБ може да наложи и допълнителни принудителни административни мерки, включително отнемане на лиценза.

Капиталова адекватност и защита на средствата

Защитата на клиентските средства (safeguarding) е фундаментално изискване на PSD2 и ЗПУПС, целящо да гарантира, че средствата на потребителите са защитени при неплатежоспособност на институцията.

Методи за защита

Метод на разделяне (segregation): Клиентските средства се депозират в отделна сметка в кредитна институция или се инвестират в сигурни, нисковолатилни активи. Средствата трябва да бъдат обособени до края на работния ден, следващ деня на получаването им.
Метод на застраховане (insurance): Застрахователна полица или банкова гаранция от институция, която не принадлежи към същата група, покриваща пълния размер на задълженията към клиенти.

Специфични изисквания за ДЕП

За дружествата за електронни пари, текущото изискване за собствени средства е минимум 2% от средния размер на издадените и непогасени електронни пари, изчислен за предходните 6 месеца. Ring-fencing на средствата е задължителен при всички случаи.

Собствени средства за платежни институции

Собствените средства на ПИ се изчисляват по един от трите метода (Метод А, Б или В) съгласно Приложение 2 към ЗПУПС и трябва да се поддържат непрекъснато. БНБ може да определи минимално ниво, по-високо от изчисленото по формулата, ако прецени, че рисковият профил на институцията го изисква.

IT сигурност и силна автентикация (SCA)

PSD2 въвежда задължително изискване за силна автентикация на клиента (Strong Customer Authentication — SCA) при иницииране на електронни платежни операции и достъп до платежни сметки онлайн.

Елементи на SCA (двуфакторна автентикация)

SCA изисква използването на поне два от три независими елемента:

Знание (knowledge) — нещо, което само потребителят знае (парола, PIN код)
Притежание (possession) — нещо, което само потребителят притежава (мобилен телефон, хардуерен токен, смарт карта)
Биометрия (inherence) — нещо, което е присъщо на потребителя (пръстов отпечатък, лицево разпознаване, ирис)

3D Secure

За онлайн картови транзакции протоколът 3D Secure (версия 2) е основният механизъм за прилагане на SCA. Институциите трябва да поддържат 3DS2 за всички приемани карти.

Изключения от SCA

Нисковолатилни транзакции: до EUR 30 (с кумулативен праг EUR 100 или 5 транзакции)
Доверени бенефициенти: клиентът може да добави получатели в „бял списък"
Периодични плащания: с еднаква сума и получател — SCA само при първата операция
Корпоративни плащания: при специализирани платежни процеси с допълнителни нива на контрол
Анализ на риска (TRA): при ниск рисков профил на транзакцията, в зависимост от нивото на измами на институцията

DORA — Регламент за цифрова оперативна устойчивост

Регламент (ЕС) 2022/2554 за цифровата оперативна устойчивост на финансовия сектор (DORA) е в сила от 17 януари 2025 г. и се прилага директно във всички държави членки, включително България. DORA засяга платежните институции, ДЕП, кредитните институции и другите участници на финансовия пазар.

Основни стълбове на DORA

1. Управление на ИКТ риска: Институциите трябва да разполагат с рамка за управление на ИКТ риска, включваща идентификация, защита, откриване, реагиране и възстановяване. Управителният орган носи пряка отговорност.
2. Докладване на ИКТ инциденти: Задължително докладване на значими ИКТ инциденти до компетентния орган (БНБ) в определени срокове — първоначално уведомление, междинен доклад и окончателен доклад.
3. Тестване на цифровата устойчивост: Годишно тестване на ИКТ системите — тестове за проникване, сценарийно тестване, тестване на непрекъсваемост. За критични субекти — задълбочено тестване (TLPT) на всеки 3 години.
4. Управление на риска от трети страни: Задължителна due diligence на ИКТ доставчици, включително договорни клаузи за одит, сигурност и прекратяване. Регистър на всички ИКТ договори.
5. Обмен на информация: Доброволен обмен на информация за кибер заплахи между финансовите субекти.

Санкции

При неспазване на DORA, компетентните органи могат да наложат административни глоби в размер от EUR 10,000 до EUR 50,000 за всяко нарушение, а за критични ИКТ доставчици — до 1% от средния дневен световен оборот за предходната финансова година, за всеки ден на нарушението.

Представители (агенти) и аутсорсинг

Представители на платежни институции

Платежните институции и ДЕП могат да предоставят услуги чрез представители (агенти), вписани в регистъра на БНБ
БНБ има право да ограничи или забрани използването на конкретен агент, ако прецени, че той не отговаря на изискванията
За ДЕП — представителите могат да извършват само разпространение и обратно изкупуване на електронни пари, но не и издаване
Институцията носи пълна отговорност за действията на своите агенти

Аутсорсинг на функции

Разрешено е възлагане на оперативни функции на трети лица, включително IT инфраструктура, обработка на транзакции и клиентска поддръжка
Задължително е поддържане на физически офис в България — не може да се аутсорсва изцяло
При аутсорсинг на ИКТ функции — задължителна due diligence на доставчика по реда на DORA
Задължителни клаузи за прекратяване в договорите — институцията трябва да може да прекрати аутсорсинга без прекъсване на дейността
Аутсорсингът на критични функции изисква предварително уведомяване на БНБ

Годишен одит и защита на потребителите

Задължителен годишен одит

Всяка лицензирана платежна институция и ДЕП е длъжна да подлага годишния си финансов отчет на задължителен одит от регистриран одитор. Одиторският доклад се подава до БНБ заедно с годишния финансов отчет.

Защита на потребителите

Безплатна информация: Институцията е длъжна да предоставя безплатно на потребителите информация за условията на услугите, таксите и обменните курсове преди сключване на договор
Право на прекратяване: Потребителят може да прекрати рамков договор с 1-месечно предизвестие
Безтаксово прекратяване: При договори с продължителност над 6 месеца, прекратяването е безплатно
Процедура за жалби: Институцията е длъжна да отговори на жалба в срок до 15 работни дни. При изключителни обстоятелства срокът може да бъде удължен до 35 работни дни
Актове на БНБ: Актовете на БНБ по отношение на защитата на потребителите са непосредствено изпълними — подлежат на принудително изпълнение без съдебна процедура

Често задавани въпроси

Какви санкции грозят при AML нарушение?

При тежки нарушения на Закона за мерките срещу изпирането на пари (ЗМИП), санкциите за юридически лица могат да достигнат до BGN 10,000,000 или 10% от годишния оборот — прилага се по-високата стойност. За физически лица (включително AML Officer и членове на ръководството) — до BGN 200,000. Нарушенията могат да бъдат: неизвършване на комплексна проверка, неподаване на доклад за подозрителна операция, липса на вътрешни правила или неадекватно обучение. БНБ може да наложи и допълнителни мерки — публично порицание, временна забрана за определени дейности или отнемане на лиценза.

Как да изпълним изискванията на DORA?

Изпълнението на DORA изисква системен подход: (1) Създаване на рамка за управление на ИКТ риска с ясно разпределение на отговорностите на управителния орган; (2) Въвеждане на процедура за докладване на ИКТ инциденти до БНБ; (3) Провеждане на годишни тестове за сигурност (penetration testing, scenario testing); (4) Преглед и актуализиране на всички договори с ИКТ доставчици — включване на клаузи за одит, сигурност и прекратяване; (5) Създаване на регистър на всички ИКТ договори; (6) За критични субекти — TLPT (Threat-Led Penetration Testing) на всеки 3 години. Нашият екип може да извърши GAP анализ и да изготви пътна карта за постигане на пълно съответствие.

Можем ли да аутсорсваме IT функции?

Да, аутсорсингът на IT функции е разрешен, но при спазване на строги условия. Съгласно DORA, институцията е длъжна да извърши задълбочена due diligence на ИКТ доставчика, да включи в договора задължителни клаузи (право на одит, изисквания за сигурност, планове за прекратяване) и да поддържа регистър на всички ИКТ договори. При аутсорсинг на критични функции е необходимо предварително уведомяване на БНБ. Институцията остава изцяло отговорна за действията на своите доставчици и трябва да поддържа физически офис в България. Препоръчваме стратегия за изход (exit strategy), която гарантира непрекъсваемост на дейността при смяна на доставчик.

Нуждаете се от регулаторна подкрепа?

Нашият екип от адвокати и регулаторни консултанти осигурява цялостно текущо съответствие — от AML политики и DORA внедряване до периодична отчетност и подготовка за проверки от БНБ.