Legale
Estonian Legal Acts 2
Requisiti tecnici e procedure per l'identificazione e la verifica dei dati mediante strumenti informatici
Adottato il 23.05.2018 n. 25
RT I, 25.05.2018, 17
entrata in vigore 28.05.2018
Il Regolamento è stabilito sulla base del § 14 (8) e del § 31 (6) della Legge per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.
Capitolo 1
Disposizioni generali
§ 1. Ambito di applicazione del Regolamento
Il Regolamento stabilisce i requisiti tecnici e la procedura per l'identificazione dell'identità e la verifica dei dati utilizzando gli strumenti informatici, specificando anche i requisiti per la divulgazione delle informazioni da parte degli istituti di credito e degli istituti finanziari (di seguito il fornitore di servizi), le regole procedurali applicate quando si instaura un rapporto commerciale utilizzando gli strumenti informatici e si effettua una transazione su base occasionale, i requisiti per le attività relative alle dichiarazioni di intenti delle parti della transazione, l'indagine tramite questionario e l'intervista in tempo reale condotta come procedura obbligatoria per l'instaurazione di un rapporto commerciale, le condizioni per l'elaborazione della foto di una persona, nonché la qualità del flusso di informazioni che riflette le procedure con suono e immagine sincronizzati, e i requisiti per la registrazione e la riproduzione della registrazione.
§ 2. Prerequisiti per l'identificazione e la verifica dei dati
(1) Per l'identificazione e la verifica dell'identità personale con mezzi informatici, il fornitore di servizi deve utilizzare mezzi tecnici con un elevato livello di affidabilità, che garantiscano un'identificazione affidabile dell'identità della persona e consentano di impedire l'alterazione o l'uso improprio dei dati trasmessi.
(2) Per l'identificazione e la verifica dell'identità con mezzi informatici, una persona fisica o un rappresentante legale di una persona giuridica che desideri stabilire un rapporto d'affari ed effettuare una transazione occasionale, come specificato nelle sottosezioni 1 e 2 del § 31 della Legge per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, deve utilizzare un documento destinato alla verifica dell'identità digitale emesso sulla base della Legge sui documenti d'identità o altri sistemi di identificazione elettronica con un elevato livello di affidabilità, inclusi nel Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio. 910/2014 del Parlamento europeo e del Consiglio relativo ai servizi fiduciari necessari per l'identificazione elettronica e le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.08.2014, pag. 73-114) sulla base dell'articolo 9 dell'elenco pubblicato nella Gazzetta ufficiale dell'Unione europea, e un dispositivo informatico dotato di fotocamera e microfono funzionanti e dell'hardware e del software necessari per l'identificazione digitale e di una connessione a Internet di qualità sufficiente.
(3) Per l'identificazione e la verifica dell'identità, il fornitore di servizi può utilizzare uno strumento informatico che consenta il confronto dei dati biometrici.
(4) Una persona fisica o un rappresentante legale di una persona giuridica si identifica accedendo al sistema informativo designato dal fornitore di servizi e, al momento dell'instaurazione di un rapporto commerciale e di una transazione occasionale, conferma di aver preso conoscenza delle informazioni sull'uso degli strumenti informatici presenti sul sito web del fornitore di servizi o nel sistema informativo designato e accetta le condizioni per l'identificazione e la verifica dell'identità tramite strumenti informatici.
(5) Una persona fisica o un rappresentante legale di una persona giuridica conferma, al momento di instaurare un rapporto commerciale e di effettuare una transazione occasionale, che:
1) esegue personalmente le procedure specificate nel Regolamento, tranne nei casi previsti dal § 3 del p. 10 e dal § 3 del p. 11;
2) i dati da lui forniti nel sondaggio di cui al § 10 e durante l'intervista di cui al § 11 sono corretti e completi, ed è consapevole delle conseguenze derivanti dalla fornitura di informazioni errate, fuorvianti o incomplete nell'instaurazione di un rapporto d'affari;
3) soddisfa le condizioni necessarie per instaurare un rapporto d'affari stabilito dal fornitore di servizi e condurre una transazione su base occasionale.
(6) Oltre a quanto indicato nel p. 5, una persona fisica o un rappresentante legale di una persona giuridica che utilizza una carta d'identità digitale del residente elettronico o un altro sistema di identificazione elettronica con un elevato livello di affidabilità specificato nel p. 2 è tenuta a:
1) accettare l'applicazione delle norme giuridiche dell'Estonia;
2) mostrare al fornitore di servizi, davanti alla telecamera, la pagina dei dati personali di un documento di viaggio valido rilasciato da un Paese straniero.
§ 3. Identificazione e verifica dei dati non riuscita
(1) L'identificazione e la verifica dell'identità nell'ambito dell'instaurazione di un rapporto commerciale con mezzi informatici si considerano infruttuose se:
1) una persona fisica o un rappresentante legale di una persona giuridica ha intenzionalmente fornito dati che non corrispondono ai dati di identificazione inseriti nel database dei documenti di identità o non coincidono con le informazioni o i dati ottenuti con altre procedure;
2) durante l'identificazione, il sondaggio o l'intervista, la sessione scade o viene interrotta, oppure il flusso di informazioni che trasmette suoni e immagini sincronizzate non soddisfa i requisiti di cui al § 5;
3) la persona fisica o il rappresentante legale della persona giuridica non ha confermato le disposizioni di cui ai punti 4-6 del § 2;
4) una persona fisica o un rappresentante legale di una persona giuridica si rifiuta di rispettare le istruzioni del fornitore di servizi di cui ai punti 2 e 3 del § 7;
5) una persona fisica o un rappresentante legale di una persona giuridica si avvale dell'aiuto di un'altra persona senza l'autorizzazione del fornitore di servizi;
6) le circostanze fanno sorgere il sospetto di riciclaggio di denaro o di finanziamento del terrorismo.
(2) La sessione di cui al punto 2 comma 1 scade se la persona fisica o il rappresentante legale della persona giuridica non ha completato alcuna attività nel sistema informativo del fornitore di servizi entro 15 minuti.
(3) Nelle circostanze specificate nel § 1, il fornitore di servizi non soddisfa la richiesta di una persona fisica o di un rappresentante legale di una persona giuridica di aprire un conto o di effettuare una transazione.
(4) Nel caso delle circostanze specificate nelle p. 1 e 6 del § 1, il fornitore di servizi trasmette la notifica all'Unità di Informazione Finanziaria.
[RT I, 04.12.2020, 6 - in vigore dal 01.01.2021].
§ 4. Pubblicazione di informazioni sull'uso degli strumenti informatici
Il fornitore di servizi deve pubblicare sul proprio sito web o nel sistema informativo designato informazioni sulle possibilità tecniche di identificazione e verifica dell'identità tramite strumenti informatici. Le informazioni pubblicate devono includere almeno i seguenti elementi:
1) riferimento alle disposizioni di legge applicabili
2) l'informazione che l'identificazione e la verifica dell'identità con mezzi informatici sono effettuate in conformità alla procedura prevista dal § 31 della Legge per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo;
3) l'avvertenza che l'identificazione e la verifica dell'identità non obbliga il fornitore di servizi a stabilire un rapporto commerciale o a garantire la disponibilità di servizi;
4) le condizioni in cui l'identificazione e la verifica dell'identità personale tramite mezzi informatici sono considerate infruttuose.
Capitolo 2
Requisiti tecnici del sistema informativo del fornitore di servizi
§ 5. Requisiti minimi per la qualità del flusso di informazioni che riflette suoni e immagini sincronizzate
(1) Il sistema informativo del fornitore di servizi deve consentire l'identificazione e la firma digitale.
(2) Il fornitore di servizi deve controllare la qualità del flusso di informazioni del fornitore di servizi e, per quanto possibile, del cliente e garantire una trasmissione chiara, registrabile e riproducibile di suoni e immagini sincronizzati in modo da consentire una comprensione univoca e affidabile di ciò che viene trasmesso.
§ 6. Requisiti di registrazione e riproducibilità della registrazione
(1) Il flusso di informazioni contenente immagini e suoni è registrato in modo da consentirne la riproduzione con la stessa qualità della trasmissione di suoni e immagini sincronizzati che ha avuto luogo in origine.
(2) Il flusso di informazioni contenente l'immagine e il suono deve essere salvato con una marca temporale, l'indirizzo IP del cliente, la persona identificabile, il codice personale della persona identificabile, in mancanza di un codice personale, la data e il luogo di nascita e il paese di residenza, mentre la marca temporale deve essere correlata ai dati che la riguardano in modo tale che qualsiasi modifica successiva dei dati, la persona, l'ora, il modo e il motivo di tale modifica siano identificabili.
(3) Il fornitore di servizi ha l'obbligo di registrare i dati raccolti tramite il questionario e le seguenti procedure nel modo specificato al punto 2:
1) identificazione;
2) mancata identificazione e verifica dei dati di cui al paragrafo 3;
3) svolgimento di un'intervista obbligatoria in tempo reale.
(4) La registrazione inizia con l'identificazione e termina quando i dati specificati nella sezione 3 sono stati raccolti e le procedure sono state eseguite.
(5) Le registrazioni contenenti i dati e le procedure di cui al p. 3 devono essere riproducibili entro cinque anni dalla fine del rapporto commerciale.
(6) Il fornitore di servizi ha il diritto di registrare il questionario di cui al § 10 come flusso di informazioni contenente immagini e suoni.
§ 7. Requisiti per l'inquadratura del volto e del documento di una persona
(1) Durante l'identificazione e la verifica dell'identità con mezzi informatici, la testa e le spalle della persona devono essere visibili e inquadrate. Il volto deve essere privo di ombre e scoperto e chiaramente distinguibile e riconoscibile dallo sfondo e da altri oggetti.
(2) Il fornitore di servizi può dare istruzioni per cambiare la posizione del corpo della persona e per collocare la persona e il documento nell'inquadratura, in modo che la persona possa essere identificata e l'identificazione verificata, compresa la visualizzazione dei dati o delle immagini inseriti nel documento.
(3) Il fornitore di servizi ha il diritto di richiedere la rimozione del capo o del viso e degli occhiali, o l'adempimento delle istruzioni relative all'identificazione e alla verifica dell'identità da lui fornite.
Capitolo 3
Norme procedurali applicate all'instaurazione di un rapporto commerciale e alla conduzione di una transazione occasionale
§ 8. Regole procedurali applicabili quando si instaura un rapporto commerciale e si effettua una transazione occasionale
(1) Sulla base dei rischi del servizio e guidati dalle regole procedurali stabilite sulla base del § 14 della Legge per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, il prestatore di servizi elabora e attua istruzioni operative per l'applicazione delle misure di due diligence nell'instaurazione di un rapporto commerciale e nell'esecuzione di una transazione occasionale.
(2) Un dipendente del fornitore di servizi, un partner di cooperazione del fornitore di servizi o un sistema automatizzato eseguirà l'adempimento dei prerequisiti per l'identificazione e la verifica dell'identità come specificato nei § 2 e 10, nonché il sondaggio del questionario.
(3) Il fornitore di servizi è tenuto a introdurre misure per evitare i rischi di manipolazione del sistema automatizzato.
§ 9. Determinazione del cliente e del profilo di rischio
(1) Il fornitore di servizi prepara un profilo del cliente e, come parte di esso, un profilo di rischio sulla base delle istruzioni operative e delle regole procedurali specificate nella p. 1 del § 8 e sulla base di questionari, interviste e altre informazioni disponibili, nonché della raccolta sistematica, dell'analisi e delle procedure eseguite per verificare i dati.
(2) Il fornitore di servizi prepara il profilo del cliente e del rischio in una forma che ne consenta la riproduzione scritta.
§ 10. Questionario
(1) Nel questionario vengono rivelati l'indirizzo di residenza della persona fisica, il profilo di attività, il campo di attività, lo scopo e la natura dell'instaurazione di un rapporto d'affari, il collegamento degli interessi economici o familiari della persona con l'Estonia, il volume stimato dei servizi utilizzati dalla persona, il titolare effettivo, nonché se si tratta di una persona politicamente esposta, e altre informazioni importanti.
(2) Con il questionario il fornitore di servizi determinerà la ragione sociale, il codice di registro, l'ubicazione e le sedi di attività della persona giuridica, comprese le filiali situate in un Paese straniero, la forma giuridica della persona, la capacità giuridica, i rappresentanti legali e contrattuali, il/i titolare/i effettivo/i e, nei casi rilevanti, se il titolare effettivo è una persona politicamente esposta, le relazioni economiche con l'Estonia, gli Stati contraenti dello Spazio economico europeo e i Paesi terzi, i partner commerciali più importanti, il profilo di attività della persona giuridica, le attività principali e secondarie, lo scopo e la natura del rapporto commerciale e altre informazioni importanti.
(3) Con l'autorizzazione del fornitore di servizi, una persona fisica o un rappresentante legale di una persona giuridica può avvalersi dell'assistenza di un'altra persona per eliminare i problemi tecnici incontrati durante l'indagine del questionario.
(4) Il dipendente del fornitore di servizi ha l'obbligo di valutare le risposte al questionario e di riflettere sia la valutazione che le circostanze sottostanti nel profilo del cliente e del rischio di cui al § 9.
(5) Il fornitore di servizi può rinunciare a un questionario separato se durante l'intervista vengono raccolte le informazioni di cui ai p. 1 e 2 e vengono soddisfatti i requisiti di cui al paragrafo 4. Il fornitore di servizi deve stabilire le condizioni per la compilazione del questionario. Il fornitore di servizi deve stabilire le condizioni per la rinuncia a un'indagine con questionario separato nelle regole procedurali del fornitore di servizi redatte in conformità al § 12.
§ 11. Intervista
(1) Al fine di raccogliere e verificare le informazioni e i dati necessari per determinare il profilo del cliente, il dipendente del fornitore di servizi conduce un'intervista durante la quale pone domande parzialmente strutturate sulla base dei risultati dell'indagine del questionario.
(2) Il dipendente del fornitore di servizi deve condurre un'intervista obbligatoria in tempo reale quando instaura un rapporto commerciale.
(3) Con il permesso del fornitore di servizi, una persona fisica o un rappresentante legale di una persona giuridica può avvalersi dell'assistenza di un'altra persona per eliminare i problemi tecnici che si verificano durante l'intervista.
(4) Il dipendente del fornitore di servizi è tenuto a valutare la reazione del cliente durante il colloquio, l'affidabilità delle informazioni e dei dati ottenuti e la coerenza con le informazioni o i dati ottenuti con altre procedure, e a riflettere sia la valutazione che le circostanze sottostanti nel profilo del cliente e del rischio di cui al § 9.
§ 12. Regole procedurali per l'identificazione e la verifica dei dati tramite strumenti informatici
(1) Il fornitore di servizi deve stabilire regole procedurali per l'identificazione e la verifica dei dati mediante l'uso di strumenti informatici, che comprendano almeno:
1) un manuale operativo per l'esecuzione della procedura di identificazione mediante strumenti informatici, compresi i requisiti per l'identificazione dell'identità e la verifica dei dati inviati;
2) istruzioni operative per la preparazione di un questionario di indagine;
3) un manuale operativo per il fornitore di servizi per preparare e condurre in tempo reale le domande dell'intervista obbligatoria;
4) requisiti tecnici per la qualità del flusso di informazioni che riflette il suono e l'immagine sincronizzati e il suo controllo;
5) requisiti per la raccolta e l'aggiornamento dei dati inviati e per l'archiviazione dei dati e delle registrazioni;
6) le misure di controllo dell'osservanza delle istruzioni operative di cui ai punti 1-5.
(2) Il dipendente del fornitore di servizi deve valutare i risultati delle procedure di cui ai & 2, 10 e 11 e formulare una proposta relativa al regime di monitoraggio del rapporto commerciale applicato al cliente. La valutazione del dipendente del fornitore di servizi costituisce la base per la decisione di instaurare un rapporto commerciale.
Read and download the full act here - (https://www.riigiteataja.ee/en/eli/509012019003/consolide)
Zonda is now zondacrypto!
As the exchange continues to evolve and grow, we're thrilled to announce that we're rebranding and changing our name to better reflect our vision and values. We're still the same team you know and trust, but with a fresh new name that captures our spirit of innovation and customer-centric approach.
Some things may look a bit different but don’t worry - all operations remain the same and your login details work as usual.
Stay tuned for more updates and exciting changes as we embark on this new chapter together. Thank you for your continued support and loyalty!