(1)

Europa-Parlamentets og Rådets forordning (EU) 2015/847 (4) er blevet ændret væsentligt (5). Da der skal foretages yderligere ændringer, bør nævnte forordning af klarhedshensyn omarbejdes.

(2)

Forordning (EU) 2015/847 blev vedtaget for at sikre, at kravene fra Den Finansielle Aktionsgruppe (FATF) vedrørende formidlere af elektroniske overførsler, og navnlig forpligtelsen for betalingstjenesteudbydere til ved pengeoverførsler at medsende oplysninger om betaleren og betalingsmodtageren, anvendes konsekvent i hele Unionen. De seneste ændringer, som blev indført i juni 2019 i FATF-standarderne vedrørende nye teknologier, og som har til formål at regulere virtuelle aktiver og udbydere af tjenester for virtuelle aktiver, har medført nye og lignende forpligtelser for udbydere af tjenester for virtuelle aktiver med det formål at gøre det lettere at spore overførsler af virtuelle aktiver. Som følge af disse ændringer skal udbydere af tjenester for virtuelle aktiver ved overførsler af virtuelle aktiver medsende oplysninger om ordregiveren og ordremodtageren af disse overførsler. Det er et også krav, at udbydere af tjenester for virtuelle aktiver skal indhente, opbevare og dele disse oplysninger med deres modparter i den anden ende af overførslen af virtuelle aktiver og efter anmodning stille dem til rådighed for de kompetente myndigheder.

(3)

Idet forordning (EU) 2015/847 på nuværende tidspunkt kun finder anvendelse på pengeoverførsler, dvs. sedler og mønter, kontopenge og elektroniske penge som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/110/EF (6), bør anvendelsesområdet for forordning (EU) 2015/847 udvides til også at omfatte overførsler af virtuelle aktiver.

(4)

Strømme af sorte penge via pengeoverførsler og overførsler af virtuelle aktiver kan skade finanssektorens integritet, stabilitet og omdømme og true Unionens indre marked og den internationale udvikling. Hvidvask af penge, finansiering af terrorisme og organiseret kriminalitet er fortsat væsentlige problemer, som bør håndteres på EU-plan. Pengeoverførselssystemets soliditet, integritet og stabilitet og soliditeten, integriteten og stabiliteten af systemet til overførsler af virtuelle aktiver og tilliden til det finansielle system som helhed kan blive bragt alvorligt i fare ved kriminelles og medvirkende personers bestræbelser på enten at sløre oprindelsen af udbytte af kriminelle handlinger eller at overføre midler eller virtuelle aktiver til kriminelle aktiviteter eller terrorformål.

(5)

For at lette deres kriminelle aktiviteter vil de, der hvidvasker penge eller finansierer terrorisme, højst sandsynligt drage fordel af den frie bevægelighed for kapital, som det integrerede finansielle område inden for Unionen indebærer, medmindre der på EU-plan vedtages visse koordinerende foranstaltninger. Det internationale samarbejde inden for rammerne af FATF samt den globale gennemførelse af FATF's anbefalinger sigter mod at forhindre hvidvask af penge og finansiering af terrorisme i forbindelse med pengeoverførsler eller overførsler af virtuelle aktiver.

(6)

Grundet omfanget af de fornødne initiativer bør Unionen sikre, at de internationale standarder om forebyggelse af hvidvask af penge samt finansiering af terrorisme og masseødelæggelsesvåben, der blev vedtaget af FATF den 16. februar 2012 og derefter revideret den 21. juni 2019 (de »reviderede FATF-anbefalinger«), og særligt FATF's anbefaling 15 om nye teknologier, FATF's anbefaling 16 om elektroniske overførsler og de reviderede fortolkningsnoter om disse anbefalinger, anvendes ensartet i hele Unionen, og navnlig, at der ikke finder nogen forskelsbehandling eller uoverensstemmelser sted mellem nationale betalinger eller overførsler af virtuelle aktiver inden for en medlemsstat på den ene side og grænseoverskridende betalinger eller overførsler af virtuelle aktiver mellem medlemsstater på den anden side. Ukoordinerede tiltag fra de enkelte medlemsstaters side med hensyn til grænseoverskridende pengeoverførsler og overførsler af virtuelle aktiver vil, hvis de handler alene, kunne gribe ind i betalingssystemernes funktion og funktionen af tjenester for virtuelle aktiver på EU-plan og vil derfor kunne skade det indre marked for finansielle tjenesteydelser.

(7)

For at fremme en sammenhængende tilgang i international sammenhæng og øge effektiviteten af kampen mod hvidvask af penge og finansiering af terrorisme bør der i nye initiativer på EU-plan tages højde for udviklingen på internationalt niveau, navnlig de reviderede FATF-anbefalinger.

(8)

Deres globale rækkevidde, den hastighed, hvormed transaktioner kan gennemføres, og den mulige anonymitet, som overførslen af dem giver, gør virtuelle aktiver særligt udsatte for kriminelt misbrug, herunder i grænseoverskridende situationer. For effektivt at imødegå de risici, der er forbundet med misbrug af virtuelle aktiver til hvidvask af penge og finansiering af terrorisme, bør Unionen fremme anvendelse på globalt plan af de standarder, der gennemføres ved denne forordning, og udvikling af den internationale og tværjurisdiktionelle dimension af den regulerings- og tilsynsmæssige ramme for overførsler af virtuelle aktiver i relation til hvidvask af penge og finansiering af terrorisme.

(9)

Europa-Parlamentets og Rådets direktiv (EU) om ændring af direktiv (EU) 2015/849 (7), som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2018/843 (8), indførte en definition af virtuelle valutaer, og udbydere af valutaveksling mellem virtuelle valutaer og fiatvalutaer samt udbydere af virtuelle tegnebøger blev anerkendt som enheder, der er omfattet af krav vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme i henhold til EU-retten. Den seneste internationale udvikling, navnlig inden for rammerne af FATF, indebærer nu et behov for at regulere yderligere kategorier af udbydere af tjenester for virtuelle aktiver, som endnu ikke er omfattet heraf, og at udvide den nuværende definition af virtuel valuta.

(10)

Definitionen af kryptoaktiver i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 (9) svarer til definitionen af virtuelle aktiver som fastsat i de reviderede FATF-anbefalinger, og listen over kryptoaktivtjenester og udbydere af kryptoaktivtjenester, som er omfattet af nævnte forordning, omfatter ligeledes de udbydere af tjenester for virtuelle aktiver, der er identificeret som sådanne af FAFT, og som anses for med sandsynlighed at give anledning til betænkeligheder med hensyn til hvidvask af penge og finansiering af terrorisme. For at sikre sammenhæng i EU-retten på dette område bør nærværende forordning anvende de samme definitioner af kryptoaktiver, kryptoaktivtjenester og udbydere af kryptoaktivtjenester som dem, der anvendes i forordning (EU) 2023/1114.

(11)

Gennemførelsen og håndhævelsen af denne forordning udgør relevante og effektive midler til at forebygge og bekæmpe hvidvask af penge og finansiering af terrorisme.

(12)

Hensigten med denne forordning er ikke at indføre unødvendige byrder og omkostninger for betalingstjenesteudbydere, udbydere af kryptoaktivtjenester eller personer, der gør brug af deres tjenester. I denne henseende bør den forebyggende tilgang være målrettet og stå i rimeligt forhold til målet og bør være i fuld overensstemmelse med den frie bevægelighed for kapital, som sikres i hele Unionen.

(13)

I Unionens reviderede strategi vedrørende terrorismefinansiering af 17. juli 2008 (»den reviderede strategi«) anføres det, at der fortsat udfoldes bestræbelser på at forhindre terrorismefinansiering og kontrollere mistænkte terroristers anvendelse af deres egne finansielle midler. Det anerkendes, at FATF løbende søger at forbedre sine anbefalinger og arbejder på en fælles forståelse af, hvordan de skal gennemføres. Det bemærkes i den reviderede strategi, at alle FATF-medlemmers og FATF-tilknyttede regionale organers gennemførelse af de reviderede FATF-anbefalinger vurderes regelmæssigt, og at en fælles tilgang til medlemsstaternes gennemførelse ud fra dette synspunkt derfor er vigtig.

(14)

Dertil kommer, at der i Kommissionens meddelelse af 7. maj 2020 om en handlingsplan for en samlet EU-politik for forebyggelse af hvidvask af penge og finansiering af terrorisme blev udpeget seks prioriterede områder, hvor der skal træffes hasteforanstaltninger, for at forbedre Unionens ordning for bekæmpelse af hvidvask af penge og finansiering af terrorisme, herunder indførelse af en sammenhængende EU-lovramme for nævnte ordning med henblik på at opnå mere udførlige og harmoniserede regler, navnlig for at tage højde for konsekvenserne af teknologisk innovation og udviklingen i nationale standarder og undgå divergerende gennemførelse af eksisterende regler. Arbejde på internationalt plan tyder på, at der er behov for at udvide omfanget af sektorer eller enheder, som er omfattet af denne ordning, og for at vurdere, hvordan den bør finde anvendelse på udbydere af kryptoaktivtjenester, som indtil videre ikke er omfattet heraf.

(15)

For at forebygge finansiering af terrorisme er der truffet foranstaltninger med det formål at indefryse visse personers, gruppers og enheders aktiver og økonomiske ressourcer, herunder Rådets forordning (EF) nr. 2580/2001 (10), (EF) nr. 881/2002 (11) og (EU) nr. 356/2010 (12). Med dette formål for øje er der ligeledes truffet foranstaltninger med henblik på at beskytte det finansielle system mod, at aktiver og økonomiske ressourcer kanaliseres til terrorformål. Direktiv (EU) 2015/849 indeholder en række af foranstaltninger af denne art. Disse foranstaltninger kan imidlertid ikke helt forhindre terrorister eller andre kriminelle i at skaffe sig adgang til betalingssystemer, så de kan overføre deres midler.

(16)

Et særlig vigtigt og værdifuldt redskab i forbindelse med forebyggelse, afsløring og efterforskning af hvidvask af penge og finansiering af terrorisme og i forbindelse med gennemførelsen af restriktive foranstaltninger, særlig dem, der er indført ved forordning (EF) nr. 2580/2001, (EF) nr. 881/2002 og (EU) nr. 356/2010, kan være, at pengeoverførsler og overførsler af kryptoaktiver kan spores. For at sikre, at oplysninger videresendes gennem hele betalingskæden eller overførselskæden i forbindelse med kryptoaktiver, er det derfor hensigtsmæssigt at pålægge betalingstjenesteudbydere at sørge for, at der ved pengeoverførsler medsendes oplysninger om betaleren og betalingsmodtageren, og pålægge udbyderne af kryptoaktivtjenester at sørge for, at der i forbindelse med overførsler af kryptoaktiver, medsendes oplysninger om ordregiveren og ordremodtageren.

(17)

Visse overførsler af kryptoaktiver indebærer særlige højrisikofaktorer for hvidvask af penge, finansiering af terrorisme og andre kriminelle aktiviteter, navnlig overførsler i forbindelse med produkter, transaktioner eller teknologier, der har til formål at øge anonymiteten, herunder anonyme tegnebøger og mikser- og tumblertjenester. For at sikre sporbarheden af sådanne overførsler bør Den Europæiske Tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (13) (EBA), navnlig præcisere, hvordan udbydere af kryptoaktivtjenester skal tage højde for de risikofaktorer, der er opført i bilag III til direktiv (EU) 2015/849, herunder når de udfører transaktioner med ikke-EU-enheder, der ikke er reguleret, registreret eller godkendt i et tredjeland, eller med selvhostede adresser. Hvis der konstateres situationer med højere risiko, bør EBA udstede retningslinjer, der præciserer, hvilke skærpede kendskabsprocedurer de forpligtede enheder bør overveje at anvende for at begrænse sådanne risici, herunder vedtagelse af passende procedurer, såsom anvendelse af analyseværktøjer til distributed ledger-teknologi (DLT), til at fastslå kryptoaktivers oprindelse eller bestemmelsessted.

(18)

Denne forordning bør finde anvendelse uden at det berører nationale restriktive foranstaltninger og Unionens restriktive foranstaltninger, som er indført ved forordninger med hjemmel i artikel 215 i traktaten om Den Europæiske Unions funktionsmåde, f.eks. forordning (EF) nr. 2580/2001, (EF) nr. 881/2002 og (EU) nr. 356/2010 og Rådets forordning (EU) nr. 267/2012 (14), (EU) 2016/1686 (15) og (EU) 2017/1509 (16), og som kan kræve, at betalernes og betalingsmodtagernes betalingstjenesteudbydere, ordregivernes og ordremodtagernes udbydere af kryptoaktivtjenester, mellembetalingsformidlerne samt mellemudbydere af kryptoaktivtjenester, træffer de nødvendige foranstaltninger for at indefryse visse pengemidler og kryptoaktiver, eller at de overholder specifikke restriktioner vedrørende visse pengeoverførsler eller overførsler af kryptoaktiver. Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester bør have indført interne politikker, procedurer og kontroller for at sikre gennemførelsen af disse restriktive foranstaltninger, herunder screeningforanstaltninger i forhold til EU-lister og nationale lister over udpegede personer. EBA bør udstede retningslinjer, der præciserer disse interne politikker, procedurer og kontroller. Det er hensigten, at kravene i nærværende forordning om interne politikker, procedurer og kontroller vedrørende restriktive foranstaltninger vil blive ophævet i den nærmeste fremtid ved Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

(19)

Behandling af personoplysninger i henhold til denne forordning bør finde sted i fuld overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (17). Yderligere behandling af personoplysninger til kommercielle formål bør være strengt forbudt. Bekæmpelse af hvidvask af penge og finansiering af terrorisme er anerkendt som en vigtig samfundsinteresse af alle medlemsstater. Ved anvendelsen af nærværende forordning skal videregivelse af personoplysninger til et tredjeland ske i overensstemmelse med kapitel V i forordning (EU) 2016/679. Det er vigtigt, at betalingstjenesteudbydere og udbydere af kryptoaktivtjenester, som opererer i flere jurisdiktioner med filialer eller datterselskaber uden for Unionen, ikke forhindres i at overføre oplysninger om mistænkelige transaktioner inden for den samme organisation, forudsat at de anvender passende sikkerhedsforanstaltninger. Ordregiverens og ordremodtagerens udbydere af kryptoaktivtjenester, betalerens og betalingsmodtagerens betalingstjenesteudbydere og mellembetalingsformidlerne og mellemudbyderne af kryptoaktivtjenester bør desuden råde over de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændeligt tab, ændring eller uautoriseret videregivelse eller adgang.

(20)

Personer, som blot omarbejder papirdokumenter til elektroniske data på basis af en kontrakt med en betalingstjenesteudbyder, og personer, som blot forsyner betalingstjenesteudbydere med et meddelelsessystem eller andre støttesystemer til pengeoverførsler eller med clearing- og afviklingssystemer bør ikke henhøre under denne forordnings anvendelsesområde.

(21)

Personer, der kun leverer supplerende infrastruktur, f.eks. udbydere af internetnetværk og -infrastruktur, cloud-udbydere eller softwareudviklere, der gør det muligt for en anden enhed at levere tjenester til overførsel af kryptoaktiver, bør ikke være omfattet af denne forordnings anvendelsesområde, medmindre de foretager overførsler af kryptoaktiver.

(22)

Denne forordning bør ikke finde anvendelse på person-til-person-overførsler af kryptoaktiver, der foretages uden involvering af en udbyder af kryptoaktivtjenester, eller i tilfælde hvor både ordregiveren og ordremodtageren er udbydere af tjenester til overførsel af kryptoaktiver, der handler på egne vegne.

(23)

Pengeoverførsler, som svarer til tjenesteydelserne omhandlet i artikel 3, litra a)-m) og litra o), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (18), henhører ikke under denne forordnings anvendelsesområde. Fra denne forordnings anvendelsesområde bør også undtages pengeoverførsler og elektroniske pengetokens, som defineret i artikel 3, stk. 1, nr. 7), i forordning (EU) 2023/1114, hvor der er en mindre risiko for hvidvask af penge eller finansiering af terrorisme. Sådanne undtagelser bør omfatte betalingskort, elektroniske pengeinstrumenter, mobiltelefoner eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, når de eller det udelukkende anvendes til køb af varer eller tjenesteydelser og når alle overførsler ledsages af nummeret på kortet, instrumentet eller udstyret. Anvendelse af et betalingskort, et elektronisk pengeinstrument, en mobiltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbetaling og har tilsvarende karakteristika, til pengeoverførsler eller overførsler af elektroniske pengetokens mellem fysiske personer, der som forbrugere optræder med et andet formål end handel, forretning eller en professionel aktivitet, henhører dog under nærværende forordnings anvendelsesområde. Endvidere bør hævning fra pengeautomater, betaling af skatter, bøder eller andre afgifter, pengeoverførsler ved hjælp af udveksling af billeder af checks, herunder elektronisk clearede checks eller veksler og pengeoverførsler, hvor både betaleren og betalingsmodtageren er betalingstjenesteudbydere, der handler i eget navn, udelukkes fra denne forordnings anvendelsesområde.

(24)

Kryptoaktiver, der er unikke og ikkefungible, er ikke omfattet af kravene i denne forordning, medmindre de er klassificeret som kryptoaktiver eller midler i henhold til forordning (EU) 2023/1114.

(25)

Hæveautomater for kryptoaktiver (»krypto-ATM'er«) giver brugerne mulighed for at foretage overførsler af kryptoaktiver til en kryptoaktivadresse ved at deponere kontanter, ofte uden nogen form for identifikation og kontrol af kunder. Krypto-ATM'er er særligt udsatte for risiko for hvidvask af penge og finansiering af terrorisme, fordi den anonymitet, de giver, og muligheden for at operere med kontanter af ukendt oprindelse gør dem til et ideelt middel til ulovlige aktiviteter. I betragtning af krypto-ATM'ers rolle med hensyn til at tilvejebringe eller aktivt lette overførsler af kryptoaktiver bør overførsler af kryptoaktiver, der er knyttet til krypto-ATM'er, være omfattet af denne forordnings anvendelsesområde.

(26)

For at tage hensyn til deres nationale betalingssystemers særlige karakteristika og forudsat at det altid er muligt at spore pengeoverførslen tilbage til betaleren, bør medlemsstaterne kunne undtage visse indenlandske pengeoverførsler af lav værdi, herunder elektroniske girobetalinger, der anvendes til køb af varer eller tjenesteydelser, fra denne forordnings anvendelsesområde.

(27)

På grund af den iboende grænseløse karakter og den globale rækkevidde af overførsler af kryptoaktiver og af levering af kryptoaktivtjenester er der ingen objektive begrundelser for at skelne mellem behandlingen af risiciene for hvidvask af penge og finansiering af terrorisme ved nationale overførsler og grænseoverskridende overførsler. For at afspejle disse særlige karakteristika bør der ikke indrømmes indenlandske overførsler af kryptoaktiver af lav værdi undtagelser fra denne forordnings anvendelsesområde i overensstemmelse med FATF-kravet om, at alle overførsler af kryptoaktiver behandles som grænseoverskridende.

(28)

Betalingstjenesteudbydere og udbydere af kryptoaktivtjenester bør sikre, at der forefindes oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren, og at oplysningerne ikke mangler eller er fuldstændige.

(29)

For ikke at hindre betalingssystemernes effektivitet og for at skabe balance mellem risikoen for, at transaktionerne sker uden om de officielle kanaler som følge af for strenge identifikationskrav, og den potentielle terrortrussel ved små overførsler bør pligten til at kontrollere oplysningerne om betalerens eller betalingsmodtagerens identitet, hvis der endnu ikke har fundet kontrol sted, kun gælde over for individuelle overførsler, som overstiger 1 000 EUR, medmindre overførslen synes at hænge sammen med andre pengeoverførsler, som tilsammen overstiger 1 000 EUR, midlerne er modtaget eller udbetalt i kontanter eller i anonyme elektroniske penge, eller der er en rimeligt begrundet mistanke om hvidvask af penge eller finansiering af terrorisme.

(30)

Sammenlignet med pengeoverførsler kan overførsler af kryptoaktiver foretages på tværs af flere jurisdiktioner i større skala og hurtigere på grund af deres globale rækkevidde og teknologiske karakteristika. Sammen med kryptoaktivers pseudoanonymitet giver disse karakteristika ved overførsler af kryptoaktiver kriminelle mulighed for meget hurtigt at foretage store ulovlige overførsler og samtidig omgå sporbarhedsforpligtelserne og undgå afsløring ved at strukturere en stor transaktion i mindre beløb ved hjælp af flere tilsyneladende ikkerelaterede DLT-adresser, herunder engangsanvendelse af DLT-adresser, og ved hjælp af automatiserede processer. De fleste kryptoaktiver er også særdeles volatile, og deres værdi kan svinge betydeligt inden for en meget kort tidsramme, hvilket gør beregningen af indbyrdes forbundne transaktioner mere usikker. For at afspejle disse særlige karakteristika bør overførsler af kryptoaktiver være omfattet af de samme krav uanset deres værdi, og uanset om de er indenlandske eller grænseoverskridende overførsler.

(31)

Ved pengeoverførsler eller overførsler af kryptoaktiver i tilfælde hvor kontrol anses for at have fundet sted, bør betalingstjenesteudbydere og udbydere af kryptoaktivtjenester ikke være forpligtet til at kontrollere nøjagtigheden af de oplysninger om betaleren eller betalingsmodtageren, der medsendes ved hver enkelt pengeoverførsel, eller om ordregiveren og ordremodtageren, der medsendes ved hver enkelt overførsel af kryptoaktiver, forudsat at forpligtelserne fastsat i direktiv (EU) 2015/849 er overholdt.

(32)

På baggrund af lovgivningsmæssige EU-retsakter vedrørende betalingstjenester, dvs. Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 (19), Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 og Europa-Parlamentets og Rådets forordning (EU) 2021/1230 (20), bør det være tilstrækkeligt at indføre bestemmelser om, at der ved pengeoverførsler inden for Unionen blot medsendes forenklede oplysninger som f.eks. betalingskontonummer eller en entydig transaktionsidentifikator.

(33)

For at gøre det muligt for de myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i tredjelande, at spore kilden til de midler eller kryptoaktiver, der anvendes til disse formål, bør pengeoverførsler eller overførsler af kryptoaktiver fra Unionen til lande uden for Unionen indeholde fuldstændige oplysninger om betaleren og betalingsmodtageren for så vidt angår pengeoverførsler og om ordregiveren og ordremodtageren for så vidt angår overførsler af kryptoaktiver. Fuldstændige oplysninger om betaleren og betalingsmodtageren bør indeholde identifikatoren for juridiske enheder (Legal Entity Identifier (LEI)) eller en tilsvarende officiel identifikator, når betaleren forelægger denne identifikator for sin betalingstjenesteudbyder, da dette vil muliggøre en bedre identifikation af de parter, der er involveret i en pengeoverførsel, og nemt kan indlæses i eksisterende betalingsmeddelelsesformater, f.eks. det format, der er udviklet af Den Internationale Standardiseringsorganisation til elektronisk dataudveksling mellem finansieringsinstitutter. De myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i tredjelande, bør kun have adgang til de fuldstændige oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren, alt efter hvad der er relevant, med henblik på forebyggelse, afsløring og efterforskning af hvidvask af penge og finansiering af terrorisme.

(34)

Kryptoaktiver eksisterer i en grænseløs virtuel virkelighed og kan overføres til enhver udbyder af kryptoaktivtjenester, uanset om den pågældende udbyder er registreret i en jurisdiktion eller ej. Mange jurisdiktioner uden for Unionen har indført regler for databeskyttelse og -håndhævelse, som afviger fra dem, der gælder i Unionen. Ved overførsel af kryptoaktiver på vegne af en kunde til en udbyder af kryptoaktivtjenester, der ikke er registreret i Unionen, bør ordregiverens udbyder af kryptoaktivtjenester vurdere, om ordremodtagerens udbyder af kryptoaktivtjenester er i stand til at modtage og opbevare de oplysninger, der kræves i henhold til denne forordning i overensstemmelse med forordning (EU) 2016/679, ved brug af, hvor det er relevant, mulighederne i kapitel V i forordning (EU) 2016/679. Det Europæiske Databeskyttelsesråd bør efter høring af EBA udstede retningslinjer for den praktiske gennemførelse af databeskyttelseskravene til overførsel af personoplysninger til tredjelande i forbindelse med overførsler af kryptoaktiver. Der kan opstå situationer, hvor der ikke kan sendes personoplysninger, fordi kravene i forordning (EU) 2016/679 ikke kan opfyldes. EBA bør udstede retningslinjer for passende procedurer for at bestemme, om overførslen af kryptoaktiver bør gennemføres, afvises eller suspenderes i disse tilfælde.

(35)

Medlemsstaternes myndigheder, der har ansvar for bekæmpelse af hvidvask af penge og finansiering af terrorisme og relevante retslige og retshåndhævende myndigheder i medlemsstaterne og på EU-plan, bør intensivere samarbejdet med hinanden og med de relevante tredjelandsmyndigheder, herunder myndigheder i udviklingslandene, med henblik på yderligere at styrke gennemsigtigheden, udvekslingen af oplysninger og bedste praksis yderligere.

(36)

Ordregiverens udbyder af kryptoaktivtjenester bør sikre, at der ved overførsel af kryptoaktiver medsendes ordregivers navn, ordregivers distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, ordregivers kryptoaktivkontonummer i tilfælde, hvor en sådan konto findes og anvendes til at behandle transaktionen, ordregivers adresse, herunder landets navn, officielle personlige dokumentnummer og kunde-ID-nummer eller alternativt ordregivers fødselsdato og -sted og med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst det til sin udbyder af kryptoaktiver, den aktuelle LEI eller i mangel heraf enhver anden tilgængelig tilsvarende officiel identifikator på ordregiver. Oplysningerne bør fremsendes på en sikker måde og forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver.

(37)

Ordregiverens udbyder af kryptoaktivtjenester bør også sikre, at der ved overførsel af kryptoaktiver medsendes ordremodtagers navn, ordremodtagers distributed ledger-adresse i tilfælde, hvor en overførsel af kryptoaktiver registreres på et netværk, der anvender DLT eller lignende teknologi, ordremodtagers kontonummer i tilfælde, hvor en sådan konto findes og anvendes til at behandle transaktionen, og ordremodtagers aktuelle LEI eller i mangel heraf enhver anden tilgængelig tilsvarende officiel identifikator på ordremodtager med forbehold af, at det nødvendige felt i det relevante meddelelsesformat findes, og at ordregiver har oplyst den til sin udbyder af kryptoaktiver. Oplysningerne bør fremsendes på en sikker måde og forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver.

(38)

Med hensyn til overførsel af kryptoaktiver bør kravene i denne forordning finde anvendelse på alle overførsler, herunder overførsler af kryptoaktiver til eller fra en selvhostet adresse, forudsat at en udbyder af kryptoaktivtjenester er involveret.

(39)

I tilfælde af overførsel til eller fra en selvhostet adresse bør udbyderen af kryptoaktivtjenester indsamle oplysninger om både ordregiveren og ordremodtageren, sædvanligvis fra sin kunde. En udbyder af kryptoaktivtjenester bør i princippet ikke være forpligtet til at kontrollere oplysningerne om brugeren af den selvhostede adresse. I tilfælde af en overførsel af et beløbet, der overstiger 1 000 EUR, som sendes eller modtages på vegne af en kunde hos en udbyder af kryptoaktivtjenester til eller fra en selvhostet adresse, bør den pågældende udbyder af kryptoaktivtjenester ikke desto mindre kontrollere, om denne selvhostede adresse reelt ejes eller kontrolleres af den pågældende kunde.

(40)

Med hensyn til pengeoverførsler fra en enkelt betaler til flere betalingsmodtagere, der skal sendes i en batchfiloverførsel, som indeholder individuelle overførsler fra Unionen til uden for Unionen, bør det fastsættes, at disse individuelle overførsler kun indeholder betalerens betalingskontonummer eller den entydige transaktionsidentifikator og betalingsmodtagerens fuldstændige oplysninger, såfremt batchfilen indeholder fuldstændige oplysninger om betaleren, som er kontrolleret med henblik på korrekthed, og fuldstændige oplysninger om betalingsmodtageren, som kan spores fuldt ud.

(41)

Med hensyn til batchfiloverførsler af kryptoaktiver bør det accepteres, at oplysninger om ordregiver og ordremodtager fremsendes i batches, så længe denne fremsendelse sker øjeblikkeligt og på sikker vis. Det bør ikke være tilladt at fremsende de påkrævede oplysninger efter overførslen, da fremsendelsen skal ske før eller på det tidspunkt, hvor transaktionen gennemføres, og udbydere af kryptoaktivtjenester eller andre forpligtede enheder bør fremsende de påkrævede oplysninger samtidig med batchfiloverførslen af kryptoaktiver.

(42)

For at kunne kontrollere, om de krævede oplysninger om betaleren og betalingsmodtageren er medsendt ved pengeoverførsler, og for at kunne bidrage til at identificere mistænkelige transaktioner bør betalingsmodtagerens betalingstjenesteudbyder og mellembetalingsformidleren have etableret effektive procedurer til at konstatere, om oplysninger om betaleren eller betalingsmodtageren mangler eller er ufuldstændige. Disse procedurer bør omfatte overvågning efter eller under overførslen, hvor det er relevant. De kompetente myndigheder bør sikre, at betalingstjenesteudbyderne inkluderer de fornødne transaktionsoplysninger ved elektroniske overførsler eller tilsvarende oplysninger gennem hele betalingskæden.

(43)

Med hensyn til overførsler af kryptoaktiver bør ordremodtagerens udbyder af kryptoaktivtjenester gennemføre virkningsfulde procedurer til at konstatere, om oplysningerne om ordregiveren eller ordremodtageren mangler eller er ufuldstændige. Disse procedurer bør, hvor det er relevant omfatte overvågning efter eller under overførslen. Det bør ikke være et krav, at oplysningerne knyttes direkte til selve overførslen af kryptoaktiver, så længe de fremsendes forud for eller samtidigt eller parallelt med overførslen af kryptoaktiver og gøres tilgængelige efter anmodning fra relevante myndigheder.

(44)

I betragtning af den potentielle risiko for, at anonyme pengeoverførsler kan anvendes til hvidvask af penge og finansiering af terrorisme, er det hensigtsmæssigt at pålægge betalingstjenesteudbydere at kræve oplysninger om betaleren og betalingsmodtageren og stille krav om, at udbydere af kryptoaktivtjenester kræver oplysninger om ordregiver og ordremodtager. I overensstemmelse med den risikobaserede tilgang, som FATF har udviklet, er det hensigtsmæssigt at identificere høj- og lavrisikoområder med henblik på mere målrettet at imødegå risikoen for hvidvask af penge og finansiering af terrorisme. Ordremodtagerens udbyder af kryptoaktivtjenester, betalingsmodtagerens betalingstjenesteudbyder, mellembetalingsformidleren og mellemudbyderen af kryptoaktivtjenester bør derfor have effektive risikobaserede procedurer, der anvendes, hvor der ved en pengeoverførsel ikke er medsendt de krævede oplysninger om betaler eller betalingsmodtager, eller hvor der ved en overførsel af kryptoaktiver ikke er medsendt de krævede oplysninger om ordregiver eller ordremodtager, for at de pågældende formidlere og udbydere kan afgøre, om denne overførelse skal gennemføres, afvises eller suspenderes, og afgøre, hvilke opfølgningsforanstaltninger det vil være hensigtsmæssigt at træffe.

(45)

Udbydere af kryptoaktivtjenester bør som alle forpligtede enheder vurdere og overvåge den risiko, der er forbundet med deres kunder, produkter og leveringskanaler. Udbydere af kryptoaktivtjenester bør også vurdere den risiko, der er forbundet med deres transaktioner, herunder når de foretager overførsler til eller fra selvhostede adresser. Hvis udbyderen af kryptoaktivtjenester er eller får kendskab til, at oplysningerne om den ordregiver eller ordremodtager, der bruger en selvhostet adresse, er urigtige, eller hvis udbyderen af kryptoaktivtjenester støder på usædvanlige eller mistænkelige transaktionsmønstre eller situationer med højere risiko for hvidvask af penge og finansiering af terrorisme i forbindelse med overførsler, der involverer selvhostede adresser, bør denne udbyder af kryptoaktivtjenester, hvor det er relevant, indføre skærpede kendskabsprocedurer for at styre og begrænse risiciene på passende vis. Udbyderen af kryptoaktivtjenester bør tage disse omstændigheder i betragtning, når det vurderes, om en overførsel af kryptoaktiver eller enhver relateret transaktion er usædvanlig, og om den skal indberettes til den finansielle efterretningsenhed (FIU) i overensstemmelse med direktiv (EU) 2015/849.

(46)

Denne forordning bør revideres i forbindelse med vedtagelsen af Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, Europa-Parlamentets og Rådets direktiv om de mekanismer, medlemsstaterne skal indføre for at forebygge, at det finansielle system anvendes til hvidvask af penge eller finansiering af terrorisme, og om ophævelse af direktiv (EU) 2015/849 og Europa-Parlamentets og Rådets forordning om oprettelse af Myndigheden for Bekæmpelse af Hvidvask af Penge og Finansiering af Terrorisme og om ændring af forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010, for at sikre overensstemmelse med de relevante bestemmelser.

(47)

Ved vurderingen af risiciene bør betalingsmodtagerens betalingstjenesteudbyder, mellembetalingsformidleren, ordremodtagerens udbyder af kryptoaktivtjenester eller mellemudbyderen af kryptoaktivtjenester udvise særlig årvågenhed, når disse får kendskab til, at oplysninger om betaleren eller betalingsmodtageren eller om ordregiveren eller ordremodtageren, alt efter hvad der er relevant, mangler eller er ufuldstændige, eller når en overførsel af kryptoaktiver skal betragtes som mistænkelig på grundlag af de pågældende kryptoaktivers oprindelse eller bestemmelsessted, og de bør indberette mistænkelige transaktioner til de kompetente myndigheder i overensstemmelse med indberetningsforpligtelsen i henhold til direktiv (EU) 2015/849.

(48)

På samme måde som med pengeoverførsler mellem betalingstjenesteudbydere kan overførsler af kryptoaktiver, der involverer mellemudbydere af kryptoaktivtjenester, eventuelt lette overførsler som et mellemled i en kæde af overførsler af kryptoaktiver. I overensstemmelse med internationale standarder bør sådanne mellemudbydere også være omfattet af denne forordnings krav på samme måde som eksisterende forpligtelser for mellembetalingsformidlere.

(49)

Bestemmelserne om pengeoverførsler og overførsler af kryptoaktiver, hvor oplysninger om betaleren eller betalingsmodtageren eller om ordregiveren eller ordremodtageren mangler eller er ufuldstændige, og hvor overførsler af kryptoaktiver skal betragtes som mistænkelige på grundlag af de pågældende kryptoaktivers oprindelse eller bestemmelsessted, finder anvendelse, uden at det berører forpligtelser for betalingstjenesteudbydere, mellembetalingsformidlere, udbydere af kryptoaktivtjenester og mellemudbydere af kryptoaktivtjenester til at afvise eller suspendere pengeoverførsler og overførsler af kryptoaktiver, der strider mod civil-, forvaltnings- eller strafferetten.

(50)

For at sikre teknologineutralitet bør denne forordning ikke pålægge udbydere af kryptoaktivtjenester at anvende en bestemt teknologi til overførsel af transaktionsoplysninger. For at sikre en effektiv gennemførelse af de krav, der gælder for udbydere af kryptoaktivtjenester i henhold til denne forordning, er det afgørende, at kryptoaktivbranchen er med til eller fører an i standardiseringsinitiativer. De deraf resulterende løsninger bør være interoperable gennem anvendelsen af internationale eller EU-dækkende standarder for at muliggøre hurtig udveksling af oplysninger.

(51)

Med henblik på at hjælpe betalingstjenesteudbydere og udbydere af kryptoaktivtjenester med at indføre effektive procedurer for at konstatere tilfælde, hvor de modtager pengeoverførsler eller overførsler af kryptoaktiver med manglende eller ufuldstændige oplysninger om betaleren, betalingsmodtageren, ordregiveren eller ordremodtageren og med at træffe effektive opfølgende foranstaltninger bør EBA udstede retningslinjer.

(52)

For at muliggøre hurtig indgriben i bekæmpelsen af hvidvask af penge og finansiering af terrorisme bør betalingstjenesteudbydere og udbydere af kryptoaktivtjenester reagere hurtigt på forespørgsler om oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren fra de myndigheder, der har ansvar for bekæmpelse af hvidvask af penge eller finansiering af terrorisme i den medlemsstat, hvor disse betalingstjenesteudbydere er etableret, eller hvor disse udbydere af kryptoaktivtjenester har deres vedtægtsmæssige hjemsted.

(53)

Antallet af arbejdsdage, der forløber i den medlemsstat, hvor betalers betalingstjenesteudbyder er etableret, bestemmer, inden for hvor mange dage der skal reageres på forespørgsler om oplysninger om betaleren.

(54)

Da det kan forekomme, at det i forbindelse med efterforskning i straffesager ikke er muligt at identificere de krævede data eller de personer, der er involveret i en transaktion, før der er gået adskillige måneder eller måske endda år siden den oprindelige pengeoverførsel eller overførsel af kryptoaktiver, og for at have adgang til vigtigt bevismateriale som led i efterforskning bør betalingstjenesteudbyderne eller udbyderne af kryptoaktivtjenester opbevare registre med oplysninger om betaleren og betalingsmodtageren eller om ordregiveren og ordremodtageren i en periode med henblik på at forebygge, afsløre og efterforske hvidvask af penge og finansiering af terrorisme. Denne periode bør være begrænset til fem år, hvorefter alle personlige data bør slettes, medmindre andet er fastsat i national ret. Hvis det er nødvendigt med henblik på forebyggelse, afsløring eller efterforskning af hvidvask af penge eller finansiering af terrorisme, bør medlemsstaterne efter at have foretaget en vurdering af nødvendigheden og forholdsmæssigheden af foranstaltningen kunne tillade eller kræve opbevaring af registre i en yderligere periode på højst fem år, uden at det berører de nationale strafferetlige bevisregler, der gælder for verserende strafferetlige efterforskninger og retslige procedurer, og i fuld overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (21). Disse foranstaltninger kan revideres i lyset af vedtagelsen af Europa-Parlamentets og Rådets forordning om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

(55)

For at fremme overholdelsen af denne forordning og i overensstemmelse med Kommissionens meddelelse af 9. december 2010»Udvidelse af sanktionsordningerne i sektoren for finansielle tjenesteydelser« bør de kompetente myndigheders beføjelser til at træffe tilsynsforanstaltninger og anvende sanktionsbeføjelser styrkes. Der bør indføres bestemmelser om administrative sanktioner og foranstaltninger, og på grund af betydningen af bekæmpelsen af hvidvask af penge og finansiering af terrorisme bør medlemsstaterne indføre sanktioner og foranstaltninger, der er effektive, forholdsmæssige og har afskrækkende virkning. Medlemsstaterne bør underrette Kommissionen og det permanente interne udvalg for bekæmpelse af hvidvask af penge og finansiering af terrorisme, der er omhandlet i artikel 9a, stk. 7, i forordning (EU) nr. 1093/2010 herom.

(56)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (22).

(57)

En række lande og territorier, der ikke indgår i Unionens område, er i en monetær union med en medlemsstat, indgår i en medlemsstats valutaområde eller har undertegnet en monetær aftale med Unionen repræsenteret af en medlemsstat og har betalingstjenesteudbydere, der direkte eller indirekte deltager i den pågældende medlemsstats betalings- og afviklingssystem. For at undgå anvendelsen af denne forordning ved pengeoverførsler mellem de pågældende medlemsstater og disse lande eller territorier, hvilket ville have væsentlige negative konsekvenser for økonomien i de pågældende lande eller territorier, bør der gives mulighed for, at sådanne pengeoverførsler behandles som pengeoverførsler inden for de pågældende medlemsstater.

(58)

I betragtning af de potentielle høje risici og den reguleringsmæssige kompleksitet, der er forbundet med selvhostede adresser, herunder i forbindelse med kontrol af ejerskabsoplysningerne, bør Kommissionen senest den 1. juli 2026 vurdere behovet for yderligere specifikke foranstaltninger til at begrænse de risici, der er forbundet med overførsler til eller fra selvhostede adresser eller til eller fra enheder, der ikke er etableret i Unionen, herunder indførelse af eventuelle begrænsninger, og bør vurdere effektiviteten og forholdsmæssigheden af de mekanismer, der anvendes til at kontrollere nøjagtigheden af oplysningerne om ejerskabet af selvhostede adresser.

(59)

For nuværende finder direktiv (EU) 2015/849 kun anvendelse på to kategorier af udbydere af kryptoaktivtjenester, nemlig udbydere af virtuelle tegnebøger og udbydere af veksling mellem virtuelle valutaer og fiatvalutaer. For at lukke eksisterende smuthuller i de lovgivningsmæssige rammer for bekæmpelse af hvidvask af penge og finansiering af terrorisme og for at tilpasse EU-retten til internationale henstillinger bør direktiv (EU) 2015/849 ændres til at omfatte alle kategorier af udbydere af kryptoaktivtjenester som defineret i forordning (EU) 2023/1114, der dækker et bredere spektrum af udbydere af kryptoaktivtjenester. For at sikre, at udbydere af kryptoaktivtjenester er underlagt de samme krav og det samme tilsynsniveau, som kredit- og finansieringsinstitutter, er det navnlig hensigtsmæssigt at ajourføre listen over forpligtede enheder ved at medtage udbydere af kryptoaktivtjenester i kategorien finansieringsinstitutter med henblik på direktiv (EU) 2015/849. I betragtning af at traditionelle finansieringsinstitutter også falder ind under definitionen af udbydere af kryptoaktivtjenester, når de tilbyder sådanne tjenester, giver kategoriseringen af udbydere af kryptoaktivtjenester som finansieringsinstitutter desuden mulighed for et enkelt sammenhængende regelsæt, der finder anvendelse på enheder, der leverer både traditionelle finansielle tjenesteydelser og kryptoaktivtjenester. Direktiv (EU) 2015/849 bør også ændres for at sikre, at udbydere af kryptoaktivtjenester på passende vis kan begrænse de risici for hvidvask af penge og finansiering af terrorisme, som de er udsat for.

(60)

De forbindelser, der etableres mellem udbydere af kryptoaktivtjenester og enheder, der er etableret i tredjelande, med henblik på at gennemføre overførsler af kryptoaktiver eller levering af lignende kryptoaktivtjenester, minder om korrespondentbankforbindelser, der etableres med et tredjelands respondentinstitut. Da disse forbindelser er kendetegnet ved en vedvarende og gentagen karakter, bør de betragtes som en form for korrespondentforbindelse og være omfattet af specifikke skærpede kendskabsprocedurer, der i princippet svarer til dem, der anvendes i forbindelse med bankydelser og finansielle tjenesteydelser. Udbydere af kryptoaktivtjenester bør navnlig, når de etablerer en ny korrespondentforbindelse med en respondentenhed, anvende specifikke skærpede kendskabsprocedurer med henblik på at identificere og vurdere den pågældende respondents risikoeksponering på grundlag af dens omdømme, kvaliteten af tilsynet og dens kontrol af bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT). På grundlag af de indsamlede oplysninger bør korrespondentudbyderne af kryptoaktivtjenester gennemføre passende risikobegrænsende foranstaltninger, som navnlig bør tage hensyn til ikkeregistrerede og ikkegodkendte enheders potentielle højere risiko for hvidvask af penge og finansiering af terrorisme. Dette er især relevant, så længe gennemførelsen af FATF's standarder vedrørende kryptoaktiver på globalt plan fortsat er uensartet, hvilket medfører yderligere risici og udfordringer. EBA bør vejlede om, hvordan udbydere af kryptoaktivtjenester bør gennemføre de skærpede kendskabskrav, og præcisere de passende risikobegrænsende foranstaltninger, herunder de minimumsforanstaltninger, der skal træffes ved interaktion med ikkeregistrerede og ikkegodkendte enheder, der udbyder kryptoaktivtjenester.

(61)

Forordning (EU) 2023/1114 fastsætter en omfattende lovgivningsmæssig ramme for udbydere af kryptoaktivtjenester, der harmoniserer reglerne vedrørende tilladelsen til og driften af udbydere af kryptoaktivtjenester i hele Unionen. For at undgå overlapning af krav bør direktiv (EU) 2015/849 ændres for at fjerne registreringskrav i forbindelse med de kategorier af udbydere af kryptoaktivtjenester, som vil blive omfattet af en fælles godkendelsesordning i henhold til forordning (EU) 2023/1114.

(62)

Målene for denne forordning, nemlig at bekæmpe hvidvask af penge og finansiering af terrorisme, herunder ved at gennemføre internationale standarder, og idet der sikres adgang til grundlæggende oplysninger om betalere og betalingsmodtagere ved pengeoverførsler og om ordregivere og ordremodtagere ved overførsler af kryptoaktiver, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af initiativets omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(63)

Denne forordning er underlagt Europa-Parlamentets og Rådets forordning (EU) 2016/679 og forordning (EU) 2018/1725 (23). Heri overholdes de grundlæggende rettigheder og de principper, som anerkendes ved Den Europæiske Unions charter om grundlæggende rettigheder, navnlig retten til respekt for privatliv og familieliv (artikel 7), retten til beskyttelse af personoplysninger (artikel 8), retten til adgang til effektive retsmidler og til en upartisk domstol (artikel 47) samt ne bis in idem-princippet.

(64)

For at sikre overensstemmelse med forordning (EU) 2023/1114 bør nærværende forordning finde anvendelse fra anvendelsesdatoen for nævnte forordning. Senest denne dato bør medlemsstaterne også gennemføre ændringerne af direktiv (EU) 2015/849.

(65)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den 22. september 2021 (24) —