COMISIA EUROPEANĂ
Bruxelles, 24.7.2019
COM(2019) 372 final
RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU
privind interconectarea mecanismelor centralizate automatizate naționale (registre centrale sau sisteme centrale electronice de extragere a datelor) ale statelor membre în materie de conturi bancare
RAPORT AL COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU
privind interconectarea mecanismelor centralizate automatizate naționale (registre centrale sau sisteme centrale electronice de extragere a datelor) ale statelor membre în materie de conturi bancare
1.Introducere
Articolul 32a din Directiva (UE) 2015/849 1 privind combaterea spălării banilor impune statelor membre să instituie, până la 10 septembrie 2020, mecanisme centralizate automatizate naționale, precum registre centrale sau sisteme centrale electronice de extragere a datelor, care permit identificarea oricărei persoane fizice sau juridice care deține sau controlează conturi de plăți, conturi bancare și casete de valori. Directiva privind combaterea spălării banilor definește un set minim de informații care ar trebui să fie incluse în astfel de mecanisme centralizate. De asemenea, directiva prevede că unitățile de informații financiare ar trebui să aibă acces imediat și nefiltrat la acestea, în timp ce și celelalte autorități competente ar trebui să aibă acces la ele pentru a-și îndeplini obligațiile în temeiul Directivei privind combaterea spălării banilor. Directiva (UE) 2019/1153 privind facilitarea accesului la informațiile financiare și de alt tip 2 obligă statele membre să desemneze autoritățile naționale competente pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor, care ar trebui să aibă acces direct, imediat și nefiltrat la setul minim de informații al unor astfel de mecanisme centralizate. Printre respectivele autorități competente se numără cel puțin birourile de recuperare a activelor.
Accesul autorităților competente la registrele centrale de conturi bancare sau la sistemele centrale de extragere a datelor va fi o componentă importantă în combaterea spălării banilor, a infracțiunilor premisă asociate și a finanțării terorismului, precum și în combaterea infracțiunilor grave în general. Ținând seama de obiectivele Directivei privind combaterea spălării banilor și ale Directivei privind facilitarea accesului la informațiile financiare și de alt tip, o viitoare interconectare la nivelul UE a registrelor de conturi bancare și a sistemelor de extragere a datelor ar facilita cooperarea transfrontalieră a autorităților competente implicate în combaterea spălării banilor, a finanțării terorismului și a altor infracțiuni grave.
Articolul 32a alineatul (5) din Directiva privind combaterea spălării banilor impune Comisiei să evalueze condițiile, precum și specificațiile tehnice și procedurile pentru asigurarea unei interconectări securizate și eficiente a mecanismelor centralizate automatizate. Prin urmare, prezentul raport evaluează diversele soluții informatice de la nivelul UE care sunt deja operaționale sau care sunt în prezent în curs de dezvoltare și care pot servi drept modele pentru o posibilă interconectare a mecanismelor centralizate. Pentru a realiza o interconectare, ar fi necesar un instrument legislativ.
Prezentul raport ar trebui să fie luat în considerare împreună cu raportul Comisiei privind evaluarea la nivel supranațional a riscurilor 3 , cu raportul Comisiei privind unitățile de informații financiare 4 și cu raportul Comisiei privind evaluarea cazurilor recente de presupuse activități de spălare a banilor în care sunt implicate instituții de credit din UE 5 , care sunt prezentate în paralel.
2.Situația actuală
2.1.Registrele centralizate de conturi bancare sau sistemele electronice centralizate de extragere a datelor cu privire la conturile bancare din statele membre
Momentan 6 , mecanisme centralizate care conțin informații cu privire la conturile bancare sunt operaționale în 15 state membre 7 . Potrivit răspunsurilor primite de la statele membre, există o ușoară preferință pentru soluția tehnică de tip registru central: în timp ce 17 state membre dețin sau urmează să dețină registre centrale, 9 state membre au declarat că au sau intenționează să aibă sisteme centrale de extragere a datelor 8 . De asemenea, există o preferință pentru sistemele care conțin date suplimentare față de setul minim de informații referitoare la profilul contului, prevăzute la articolul 32a alineatul (5) din a cincea directivă privind combaterea spălării banilor (11 răspunsuri în acest sens, față de 6 în favoarea altei soluții) 9 .
2.2.Sistemele UE de interconectare a bazelor de date electronice descentralizate naționale
Există mai multe proiecte ale UE care asigură interconectarea descentralizată a bazelor de date electronice naționale la nivelul UE 10 . Sistemele informatice care sunt considerate relevante pentru prezentul raport sunt următoarele:
Sistemul european de informații cu privire la cazierele judiciare (ECRIS) a devenit operațional în aprilie 2012 pentru a îmbunătăți schimbul de informații cu privire la cazierele judiciare la nivelul UE 11 . În prezent, toate statele membre sunt conectate la ECRIS. ECRIS asigură faptul că statele membre fac schimb de informații cu privire la condamnări într-un mod uniform, rapid și compatibil și le oferă judecătorilor și procurorilor acces ușor la informații cuprinzătoare cu privire la antecedentele penale ale persoanelor vizate 12 .
Sistemul de informații european privind vehiculele și permisele de conducere (EUCARIS) conectează țările astfel încât acestea să poată face schimb de informații privind vehiculele și permisele de conducere, precum și de alte date legate de transport. EUCARIS este un mecanism care conectează autoritățile de înmatriculare a vehiculelor și de înregistrare a permiselor de conducere din Uniune, prin care punctele de contact naționale din statele membre pot face schimb de informații cu privire la proprietarul vehiculului și la asigurarea acestuia 13 .
Interconectarea registrelor de insolvență (IRI) la nivelul UE, care include două proiecte diferite. Prima versiune a sistemului (IRI 1.0) este disponibilă pe portalul european e-justiție 14 din iulie 2014. Sistemul a fost dezvoltat ca proiect-pilot 15 , cu participarea voluntară a anumitor state membre 16 . A doua versiune (IRI 2.0) se bazează pe Regulamentul (UE) 2015/848 privind procedurile de insolvență și va interconecta registrele de insolvență naționale ale tuturor statelor membre (cu excepția celor din Danemarca). Până în iulie 2021, toate statele membre ar trebui să asigure conformitatea cu această interconectare. Versiunea IRI 1.0 se bazează pe mesaje standardizate securizate ale serviciilor web (SOAP prin HTTPS), în timp ce versiunea IRI 2.0 este compatibilă, în plus, cu schimburile de date care valorifică modulul eDelivery al Mecanismului pentru interconectarea Europei (MIE) 17 .
Sistemul de interconectare a registrelor comerțului (BRIS) interconectează registrele comerțului, permițându-le acestora din urmă să facă schimb de mesaje transfrontaliere cu privire la fuziuni și sucursale, iar utilizatorilor portalului e-justiție să obțină informații multilingve cu privire la societățile din UE. Sistemul este operațional din iunie 2017, în conformitate cu Directiva 2012/17/UE în ceea ce privește interconectarea registrelor centrale, ale comerțului și ale societăților 18 . BRIS utilizează modulul eDelivery al Mecanismului pentru interconectarea Europei pentru schimburile de mesaje standardizate. Sistemul este descentralizat, având o componentă centrală (platforma centrală europeană) care stochează și indexează denumirile societăților și numerele de înregistrare.
Interconectarea cadastrelor (LRI) este un proiect voluntar în curs de desfășurare 19 , care vizează să asigure un singur punct de acces la cadastrele din țările UE participante, în cadrul portalului european e-justiție. Este planificat să devină operațional în al doilea trimestru al anului 2020.
Platforma europeană de acces la date privind proprietatea asupra întreprinderilor și structurile de control ale acestora (EBOCS) este un proiect desfășurat de Asociația europeană a registrelor comerțului cu sprijinul financiar al Fondului pentru securitate internă - componenta de cooperare polițienească (programele anuale de lucru 2016 și 2018). Platforma EBOCS asigură accesul simplificat și unificat la datele din registrele comerțului cu privire la proprietatea asupra întreprinderilor și la structurile de control ale acestora pentru analize și investigații financiare. De asemenea, permite agregarea rezultatelor interogărilor, într-o reprezentare vizuală. Este de remarcat faptul că UE nu deține drepturile de proprietate intelectuală asupra acestui sistem.
Sistemul e-CODEX (e-Justice Communication via Online Data Exchange) facilitează comunicația securizată în procedurile civile și penale, asigurând un sistem descentralizat pentru schimbul transfrontalier de mesaje electronice în domeniul justiției 20 . În prezent, e-CODEX facilitează comunicarea electronică dintre cetățeni și instanțele judecătorești și dintre administrațiile statelor membre în desfășurarea procedurii europene de somație de plată și a procedurii europene cu privire la cererile cu valoare redusă. În domeniul justiției penale, tehnologia e-CODEX este și soluția preferată pentru sistemul de schimb digital de probe electronice 21 , pentru schimburi electronice în contextul ordinului european de anchetă și al tratatelor privind asistența judiciară reciprocă.
3.Parametri principali
3.1.Condiția pentru accesul utilizatorilor
Analizând sistemele existente, este vizibil faptul că accesibilitatea sistemului cu care interacționează utilizatorul, care interacționează cu sistemul informatic interconectat este determinată de scopul pentru care este conceput respectivul sistem. În cazul în care interconectarea a fost concepută cu scopul de a crește transparența informațiilor pentru întreprinderile de pe piața internă (BRIS, IRI), sistemul este accesibil în mod public. În cazul în care obiectivul interconectării este acela de a îmbunătăți cooperarea transfrontalieră dintre autoritățile competente pentru asigurarea respectării legii sau în scopuri administrative publice, precum în cazul ECRIS sau al serviciului Prüm din cadrul EUCARIS 22 , accesul este restricționat.
Funcționalitatea de „găsire a unei societăți” din cadrul BRIS este disponibilă pe portalul e-justiție pentru oricine, în timp ce accesul la infrastructura de mesagerie este în prezent limitat prin lege la registrele naționale ale comerțului. În ceea ce privește IRI, informațiile disponibile prin intermediul interfeței de căutare sunt accesibile în mod public, iar posibilitatea ca statele membre să restricționeze accesul solicitanților care au un interes legitim este acordată numai în contextul unor „proceduri de insolvență a consumatorilor”. ECRIS poate fi accesat numai de autoritățile centrale desemnate ale statelor membre. În mod similar, accesul la serviciile EUCARIS este deschis autorităților publice prin intermediul punctelor de contact naționale desemnate. În cazul EBOCS, accesul este restricționat la agențiile participante de combatere a infracțiunilor.
|
Sistem |
Acces public |
Acces restricționat |
Observații |
|
BRIS |
Da |
Funcționalitatea de „găsire a unei societăți” din cadrul BRIS este disponibilă pe portalul e-justiție pentru oricine, în timp ce accesul la infrastructura de mesagerie este în prezent limitat prin lege la registrele naționale ale comerțului. |
|
|
IRI |
Da |
||
|
ECRIS |
Da |
Pentru autoritățile centrale ale statelor membre, în special cele numite pentru această funcție. |
|
|
EUCARIS |
Da |
Pentru punctele de contact naționale din cadrul EUCARIS, prin intermediul cărora autoritățile publice pot obține acces, în funcție de temeiul juridic al cooperării. |
|
|
EBOCS |
Da |
Pentru agențiile de combatere a infracțiunilor care participă la proiect. |
|
|
LRI |
Da 23* |
Caracteristicile avansate vor fi disponibile numai pentru practicienii autorizați în domeniul dreptului. |
Tabelul 1: Accesibilitatea sistemului cu care interacționează utilizatorul, care interacționează cu sistemul informatic interconectat
În temeiul Directivei privind combaterea spălării banilor, scopul mecanismelor centralizate în materie de conturi bancare este de a îmbunătăți combaterea spălării banilor și a finanțării terorismului, iar accesul este limitat la anumite autorități publice. Directiva privind facilitarea accesului la informațiile financiare și de alt tip extinde scopul utilizării informațiilor din mecanismele centrale la infracțiunile grave, iar drepturile de acces sunt extinse la autoritățile competente desemnate. În cele din urmă, stabilirea sferei de cuprindere a autorităților naționale care au acces direct la registrele naționale revine statelor membre care gestionează registrele. Acest lucru ar putea conduce la o discrepanță, întrucât anumite tipuri de autorități ar putea obține acces într-un stat membru, dar nu în altul. Într-un schimb transfrontalier prin sistemul de interconectare de la nivelul UE acest lucru ar putea conduce la o situație în care o autoritate solicită informații de la registrul altui stat membru, în care căutarea este refuzată unei autorități similare.
O opțiune ar putea fi aceea ca autorităților similare, cărora li se va acorda acces direct la mecanismele centralizate în conformitate cu Directiva privind combaterea spălării banilor și cu Directiva privind facilitarea accesului la informațiile financiare și de alt tip, să li se acorde acces la platforma de interconectare. O altă opțiune ar fi aceea ca drepturile de acces la sistemul de interconectare să fie acordate autorităților de același tip din toate statele membre, lucru care ar putea să fie realizat printr-o listă armonizată și închisă la nivelul UE a tipurilor de autorități specificate în conformitate cu scopul accesului la informații.
În cazul în care interconectarea este extinsă la toate autoritățile cărora li se acordă acces în prezent în temeiul legilor naționale, ar fi necesare dispoziții detaliate privind condițiile pentru accesul autorităților naționale competente și căutările efectuate de acestea. În această privință, este important de subliniat că Directiva privind utilizarea informațiilor financiare și de alt tip prevede condiții stricte pentru accesul autorităților competente desemnate la nivel național la informații privind conturile bancare, care sunt conținute în mecanismele centralizate automatizate, și pentru căutările unor astfel de informații realizate de aceste autorități. Printre astfel de condiții se numără, de exemplu, acordarea accesului la registre și la sistemele de extragere a datelor numai unor persoane desemnate și autorizate în mod specific din partea fiecărei autorități competente. O altă măsură de atenuare a riscurilor prezentate de lărgirea drepturilor de acces ale autorităților naționale desemnate ar putea fi limitarea sferei de cuprindere a informațiilor disponibile în sistemul de interconectare la un set minim de informații cu privire la profilul contului, astfel cum este prevăzut la articolul 32a alineatul (3) din Directiva privind combaterea spălării banilor.
În ceea ce privește sfera de cuprindere, articolul 32a alineatul (3) din Directiva privind combaterea spălării banilor definește informațiile pe care trebuie să le conțină toate sistemele centralizate, precum titularul contului, conturile bancare identificate prin IBAN și casetele de valori deținute de o instituție de credit pe teritoriul național. Cu toate acestea, articolul 32a alineatul (4) din directivă prevede posibilitatea ca statele membre să includă în registre alte informații pe care le consideră esențiale pentru ca unitățile de informații financiare și autoritățile competente să își îndeplinească obligațiile în temeiul directivei. Din perspectiva protecției datelor cu caracter personal, pare să fie necesară restricționarea sferei de cuprindere a informațiilor accesibile prin platforma de interconectare la un set minim obligatoriu definit la articolul 32a alineatul (3) din Directiva privind combaterea spălării banilor. În conformitate cu normele de protecție a datelor, accesul la datele cu caracter personal ar trebui să fie proporțional cu nivelul necesar pentru realizarea obiectivelor definite în Directiva privind combaterea spălării banilor. O abordare similară este adoptată de Directiva privind utilizarea informațiilor financiare și de alt tip. Articolul 4 alineatul (2) din această directivă clarifică faptul că informațiile suplimentare pe care statele membre le includ în mecanismele centralizate nu sunt accesibile autorităților competente și nu pot fi căutate de acestea.
3.2.Funcționalitatea de căutare
Criteriile de căutare aplicabile au o importanță esențială pentru asigurarea faptului că interconectarea mecanismelor centralizate automatizate are valoare adăugată pentru utilizatori. Criteriile de căutare ar trebui să fie concepute într-un mod care să consolideze capacitatea autorităților relevante de a-și îndeplini sarcinile și de a efectua investigații într-un mod mai eficace, asigurând în același timp proporționalitatea și respectarea cerințelor aplicabile de protecție a datelor.
Ar trebui să se analizeze cine va avea dreptul să efectueze căutarea (persoane publice sau private) și datele cu privire la care se poate preconiza că vor fi cunoscute sau nu de persoana respectivă. Impunerea unei cerințe potrivit căreia căutarea ar trebui să conțină date care este puțin probabil să fie cunoscute de persoana care efectuează interogarea poate face dificile sau imposibile căutările eficiente. Se observă, de asemenea, faptul că există cazuri în care o unitate de informații financiare sau o autoritate de aplicare a legii dintr-un stat membru nu va cunoaște data nașterii sau numărul de identificare național al unui cetățean din alt stat membru. Dacă interconectarea este pusă la dispoziție pentru astfel de informații suplimentare din sistemele centralizate, va fi important să se stabilească dacă va fi posibil să se efectueze căutări și pe baza unor astfel de informații suplimentare.
Tipurile de informații care constituie setul minim armonizat de informații prevăzut la articolul 32a alineatul (3) din Directiva privind combaterea spălării banilor ar putea fi considerate drept criterii de căutare. Acest lucru ar face ca sistemul de interconectare să fie adecvat pentru scopurile inițiale ale mecanismelor centralizate. Ar fi necesare garanții suplimentare privind permisiunea de a verifica rezultatele pozitive (în special în cazul în care căutarea are ca rezultat mai multe răspunsuri).
Condițiile privind modalitățile de căutare aplicabile sunt decisive pentru eficacitatea utilizării bazelor de date interconectate. Opțiunea de a efectua „căutări neclare”, mai exact căutări care vor returna rezultate mai extinse chiar dacă un cuvânt este incomplet sau ortografiat greșit, va extinde rezultatele pozitive, crescând astfel probabilitatea ca informațiile solicitate să fie accesate prin intermediul căutării, dar ar putea implica probleme ce țin de protecția datelor, întrucât ar putea expune date cu caracter personal care nu sunt vizate efectiv de căutare. Dimpotrivă, o cerință de tip „căutare exactă” atenuează riscurile unei expuneri inutile a datelor cu caracter personal, dar va crește probabilitatea ca informațiile solicitate să fie omise de motorul de căutare (în cazul în care ortografierea unei înregistrări este diferită sau atunci când se utilizează reguli de transliterație diferite).
Posibilitatea de a efectua „căutări neclare” ar reduce utilizarea procedurilor de validare automate și, prin urmare, ar evita sau ar reduce volumul de rezultate pozitive eronate, dar ar reduce și valoarea operațională a sistemului. În cazul utilizării „căutărilor neclare”, ar trebui să fie luate în considerare alte instrumente pentru atenuarea riscului unei „căutări de informații nespecifice”, astfel cum este cazul, de exemplu, în IRI, unde există un număr maxim de rezultate afișate.
3.3.Structura de guvernanță și responsabilitatea pentru întreținere
În cazul BRIS, IRI, LRI și ECRIS, diversele servicii ale Comisiei Europene sunt responsabile pentru întreținerea sistemului informatic, adică acestea trebuie să asigure disponibilitatea componentei de interconectare și suportă costurile instalării și întreținerii ei. Momentan, e-CODEX este întreținut de un consorțiu de state membre (componenta eDelivery din cadrul MIE face parte din misiunea Comisiei Europene). În ceea ce privește EUCARIS, responsabilitatea le revine celor 28 de state membre și țărilor terțe participante, în timp ce, în cazul EBOCS, sistemul este deținut de Asociația europeană a registrelor comerțului (EBRA). Din moment ce aceste sisteme informatice interconectează baze de date naționale, responsabilitatea pentru întreținerea bazelor de date naționale și pentru asigurarea disponibilității lor le revine statelor membre.
În ceea ce privește structura de guvernanță a unui sistem de interconectare a bazelor de date, competențele de luare a deciziilor în materie de politici sau în cazul problemelor operaționale ar trebui să fie stabilite într-un mod care să servească interesele componentelor naționale.
În cadrul BRIS, comitetul director al BRIS acționează ca for intern al Comisiei pentru deciziile în materie de politici, precum și pentru supravegherea și gestionarea BRIS, în timp ce grupul de experți în dreptul societăților – registrele comerțului (CLEG-BRIS) acționează ca for pentru colaborarea dintre actorii implicați, la nivel de politici. O distincție similară între procesul decizional și structurile operative poate fi observată în cazul EUCARIS, unde adunarea generală alcătuită din înalți reprezentanți ai agențiilor guvernamentale stabilește politica de urmat, aprobă bugetul și contribuțiile anuale și realizează aranjamente pentru gestionarea sistemului.
3.4.Controlul asupra datelor
Responsabilitatea pentru întreținerea sistemului informatic este diferită de responsabilitatea din perspectiva protecției datelor. În conformitate cu Regulamentul general privind protecția datelor 24 , operatorul de date este persoana fizică sau juridică ce, în mod individual sau în comun cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal și care poartă responsabilitatea pentru prelucrarea datelor cu caracter personal. Aspectul controlului este complex și există mulți factori relevanți pentru evaluarea operatorului de date, inclusiv, dar fără a se limita la chestiunea privind entitatea care stochează datele și locul în care sunt stocate acestea.
În ceea ce privește IRI, platforma UE interconectează numai baze de date naționale descentralizate și toate datele afișate în platforma centrală sunt doar „date temporare”, acestea nefiind stocate în componenta UE, iar jurnalele interogărilor efectuate de utilizatori prin intermediul serviciului web nefiind înregistrate sau păstrate în componenta centrală. Situația este oarecum diferită în ceea ce privește BRIS, care a introdus o caracteristică particulară, prin care datele principale privind profilul întreprinderilor sunt stocate într-o componentă centrală la nivelul Comisiei, pe care registrele naționale continuă să o actualizeze la intervale periodice. Inițial se interoghează această bază de date centrală, rezultând o listă de rezultate pozitive cu denumirile entităților. Solicitantul poate obține date detaliate cu privire la o anumită entitate alegând denumirea acelei entități din lista de rezultate pozitive, acțiune care generează o interconectare directă la informațiile din baza de date națională.
În ceea ce privește o posibilă interconectare a mecanismelor centralizate, ar trebui să se ia în considerare dezvoltarea unui sistem informatic în care componenta de rutare centrală nu stochează date cu caracter personal și în care toate deciziile privind mijloacele de prelucrare a datelor și scopurile unei astfel de prelucrări sunt luate la nivel național. Obiectivul serviciului de interconectare ar fi doar de a facilita prelucrarea datelor în numele mecanismelor centralizate, care ar rămâne operatorii propriilor seturi de date.
3.5.Costurile de instalare și întreținere
Instituirea unui sistem care interconectează mecanismele centrale naționale va genera costuri în ceea ce privește atât instalarea, cât și întreținerea lui, costuri care ar trebui să fie împărțite între UE și statele sale membre. Analizând împărțirea costurilor în exemplele furnizate drept model, ca regulă, costurile asociate cu componenta UE (componenta de rutare centrală, platforma UE) au fost finanțate din bugetul general al UE, în timp ce statele membre au suportat costurile necesare adaptării sistemelor lor naționale pentru a le face să fie interoperabile cu sistemul UE de interconectare. În cazul BRIS, dezvoltarea primei versiuni, care a devenit operațională în iunie 2017 și care a inclus platforma centrală europeană, a necesitat aproximativ 1,7 milioane EUR. În ceea ce privește IRI, care are o arhitectură mai simplă, costurile pentru dezvoltarea sistemului-pilot central de căutare (IRI 1.0) s-au ridicat la aproximativ 280 000 EUR, în timp ce adaptarea aplicației centrale de căutare pentru instalarea IRI 2.0 va costa aproximativ 170 000 EUR. În cazul ECRIS, costul total al introducerii „aplicației de referință”, care este software-ul pentru schimbul de date cu privire la cazierele judiciare dintre statele membre, s-a ridicat la 2 050 000 EUR. Costul anual al întreținerii sistemului s-a ridicat la 150 000 EUR. În ceea ce privește EUCARIS, fiecărei țări participante i se solicită o taxă generală de aproximativ 20 000 EUR în scopuri de întreținere.
Pe baza cifrelor de mai sus, se pare că costurile instalării și ale întreținerii unui sistem de interconectare la nivelul UE sunt relativ scăzute în comparație cu beneficiile pe care le are un astfel de proiect pentru UE. Eficiența din punctul de vedere al costurilor ar putea fi îmbunătățită prin reutilizarea capacităților existente (precum puncte de acces eDelivery, module ale Mecanismului pentru interconectarea Europei, vocabulare de bază ale Direcției Generale Informatică a Comisiei Europene etc.).
4.Specificațiile tehnice ale sistemelor, inclusiv securitatea datelor
4.1.Rețeaua utilizată și securitatea datelor
Serviciul Prüm din cadrul EUCARIS și ECRIS utilizează serviciile transeuropene securizate de telematică între administrații (TESTA), care reprezintă o rețea privată complet separată de internetul public. Punctele de contact naționale desemnate au acces la această rețea privată. Serviciul rețelei TESTA este gestionat de Comisie și asigură performanță garantată, precum și un nivel înalt de securitate. În ceea ce privește EUCARIS, utilizarea sa prin internet public este posibilă, dar în prezent nu este pusă în aplicare. Acesta dispune de conexiuni cu toate instituțiile UE și cu rețelele naționale și este preferat în contextul cooperării în materie de asigurare a respectării legii, care implică informații sensibile. Alte rețele securizate au fost dezvoltate, de asemenea, de instituțiile UE, de exemplu rețeaua comună de comunicații și interfața comună a sistemelor (CCN/CSI), care se află în uz în domeniul politicii vamale și al impozitării.
BRIS, IRI, LRI și EBOCS utilizează internetul public (cu tehnologie de criptare adecvată pentru datele care circulă pe web). În ceea ce privește schimbul securizat de informații prin internetul public, modulul eDelivery permite întreprinderilor și administrațiilor publice să facă schimb de date și documente electronice în format digital, cu alte organizații, într-un mod interoperabil, securizat, fiabil și de încredere. Acest aspect este conform cu definiția serviciilor de distribuție electronică înregistrată (cunoscute ca „ERDS”) de la articolul 3 punctul (36) din Regulamentul e-IDAS 25 .
Pentru posibila interconectare a sistemelor centralizate care pot include informații sensibile, ar putea fi luată în considerare utilizarea TESTA. Cu toate acestea, soluțiile bazate pe internet public ar putea fi luate în considerare, de asemenea. Aproape toate sistemele centralizate naționale utilizează internetul public. Din perspectiva securității și a integrității datelor, faptul că sistemul va fi alcătuit din baze de date descentralizate va atenua riscurile posibile, întrucât descentralizarea și tehnologiile distribuite sunt în sine mai reziliente la atacurile cibernetice deoarece coruperea de date la scară generală este mai dificilă, iar recuperarea datelor după incidente este mult mai ușoară.
4.2.Componenta de rutare centrală
Există două tipuri principale de arhitecturi ale sistemelor informatice: sistemele complet descentralizate și cele care au o platformă centrală sau o componentă de rutare introdusă la nivelul UE, care servește drept „conector” între bazele de date naționale descentralizate.
În „sistemele complet descentralizate”, nu există o platformă sau o componentă la nivelul UE, ci toate țările comunică direct una cu alta, cu ajutorul unor standarde convenite în comun care permit schimburile peer-to-peer directe dintre punctele conectate ale statelor membre. Prin urmare, atunci când se lansează o interogare, aceasta este expediată în mod individual de la un sistem național la altul, iar răspunsurile primite sunt colectate și afișate prin intermediul interfeței clientului web al solicitantului. EUCARIS, ECRIS și e-CODEX pun în aplicare această tehnologie (bazându-se pe o aplicație dezvoltată în comun).
În „sistemele distribuite cu o componentă de rutare centrală”, există o platformă centralizată la nivelul UE: un singur serviciu web central întreținut și operat la nivelul UE, care este conectat la toate sistemele naționale. Utilizatorii efectuează interogări prin intermediul serviciului web central, care colectează informațiile de la bazele de date naționale. BRIS, EBOCS și IRI utilizează această tehnologie 26 .
O soluție cu o componentă de rutare centrală ar putea fi mai ușor de pus în aplicare din punctul de vedere al conectivității. Acolo unde există o singură platformă, fiecare stat membru trebuie să stabilească și să mențină o singură conexiune între sistemul național și această platformă centralizată. Totuși, în absența unei platforme centralizate „reale”, fiecare stat membru va trebui să stabilească, să testeze și să mențină conexiuni cu toate celelalte sisteme naționale ale statelor membre (de exemplu, serviciul Prüm din cadrul EUCARIS numără în prezent aproape 756 de conexiuni). Un sistem complet distribuit trebuie să abordeze provocarea numărului multiplicat de conexiuni, care poate spori problemele în ceea ce privește gestionarea, controlul și auditarea. Totuși, există soluții tehnologice pentru provocarea reprezentată de gestionarea unui număr mare de conexiuni posibile. În același timp, merită să fie luat în considerare faptul că, într-un sistem central de rutare, componenta centrală poate deveni un punct unic de vulnerabilitate pentru întregul sistem.
4.3.Protocolul de schimb de date
BRIS și e-CODEX utilizează soluția eDelivery din cadrul MIE, în timp ce IRI 2.0 va utiliza atât eDelivery din cadrul MIE, cât și protocolul de comunicații SOAP 27 . Serviciul Prüm din cadrul EUCARIS și EBOCS utilizează interfețe bazate pe SOAP. LRI aplică servicii web RESTful 28 .
Modulul eDelivery din cadrul MIE ajută utilizatorii să facă schimb de date electronice într-un mod securizat, fiabil și de încredere. Soluția eDelivery din cadrul MIE se bazează pe un model distribuit numit „modelul cu patru colțuri”, în care sistemele proceselor de fundal ale utilizatorilor nu fac schimb de date unul cu altul în mod direct, ci prin puncte de acces. Aceste puncte de acces respectă aceleași specificații tehnice și, prin urmare, sunt capabile să comunice unul cu altul. Un alt beneficiu al eDelivery este acela că asigură securitatea datelor schimbate între diferitele puncte de acces, fără necesitatea unei dezvoltări adaptate. Drept rezultat, utilizatorii care adoptă eDelivery din cadrul MIE pot face schimb de date într-un mod ușor și securizat, chiar dacă sistemele lor informatice au fost dezvoltate independent unul de altul. În modelul eDelivery – foarte util pentru crearea de interfețe cu multiple sisteme ale proceselor de fundal – pot fi centralizate, în schimb, diverse funcționalități. Atunci când se utilizează această soluție tehnologică, statele membre (și, opțional, Comisia, în cazul unei componente de rutare centrale) ar trebui să introducă la nivelul lor un dispozitiv poartă (gateway) eDelivery. Ele pot reutiliza dispozitivele poartă existente dezvoltate pentru alte servicii (ceea ce contribuie la eficiența soluției din punct de vedere al costurilor). Există o soluție software compatibilă dezvoltată de Direcția Generală Informatică a Comisiei Europene și furnizată în mod gratuit cu Licență publică a Uniunii Europene (EUPL). Totuși, de obicei, este necesar un anumit nivel de personalizare și de dezvoltare. În modelul eDelivery, comunicația este asincronă, aceasta determinând în mod implicit o anumită latență a performanței (în mod obișnuit, aceasta este de 3-10 secunde). Există o politică generală a UE cu privire la modulele MIE care vizează convergența diverselor sisteme dezvoltate în diferitele domenii de politică ale UE.
Acolo unde se utilizează comunicația sincronă cu protocol SOAP, care permite comunicația prin intermediul unui nivel securizat, se optează cel mai frecvent pentru o arhitectură mai simplă, vizând cea mai bună performanță. Stilul arhitectural RESTful reprezintă o soluție mai nouă în comparație cu SOAP și există o tendință emergentă de a înlocui SOAP cu tehnologia REST. Atât în abordarea bazată pe eDelivery, cât și în cea bazată pe SOAP sau REST, încrederea se bazează, de obicei, pe certificate electronice și se realizează diverse verificări.
În ceea ce privește interconectarea viitoare a mecanismelor centralizate, se observă faptul că eDelivery din cadrul MIE este utilizat acolo unde au loc schimburi bilaterale între bazele de date naționale descentralizate, în timp ce în sistemele în care comunicația se desfășoară numai între o bază de date națională și platforma centrală, interfața bazată de SOAP (sau RESTful) este suficientă.
4.4.Funcționarea într-un mediu multilingv și interoperabilitatea semantică
Toate sistemele evaluate funcționează într-un mediu multilingv, cu excepția EBOCS, care în prezent funcționează în trei limbi, fiind planificat ca pe termen lung să funcționeze în toate limbile. În BRIS, transliterația este realizată la nivelul UE, în timp ce, în IRI, LRI și EUCARIS, aceasta are loc la nivel național. În ceea ce privește interoperabilitatea semantică (glosare), o interconectare viitoare a mecanismelor centralizate nu necesită un vocabular specific, pentru că setul minim de informații nu este alcătuit din concepte naționale, ci din date cu caracter personal, precum numele, identificatorul unic (de exemplu, numerele de identificare naționale) și numărul IBAN. Este esențial să existe o înțelegere comună în toate sistemele naționale, în special pentru că mecanismele centralizate naționale nu conțin informații cu privire la entitățile din UE și din țările terțe. Regulile de transliterație ale Sistemului Informatic Schengen (SIS) ar putea servi drept exemplu util în acest context.
În conformitate cu Cadrul european de interoperabilitate (EIF), aspectul semantic se referă la semnificația elementelor de date și la relația dintre acestea. El include dezvoltarea de vocabulare și de scheme pentru a descrie schimburile de date și asigură faptul că elementele de date sunt înțelese în același fel de toate părțile care comunică.
Sistemul de interconectare a registrelor bancare va trebui să facă schimb de date între baze de date diferite, fiecare având propriile sale modele și standarde semantice. Va fi necesar să fie instituite standarde semantice comune, fie în mod nativ în sisteme, fie sub forma unui nivel de cartografiere între diferitele standarde din statele membre. Totuși, înainte de a crea orice standard semantic nou, trebuie să se ia în considerare reutilizarea standardelor deja existente.
Vocabularele de bază (Business, Location, Person, precum și altele) create de programul ISA 2, sunt modele de date simplificate, reutilizabile și extensibile care pot fi folosite în acest scop. Diferitele soluții pentru interconectarea registrelor de bază, precum BRIS, reutilizează deja unele dintre standarde (de exemplu, Core Business Vocabulary).
5.Etapele următoare
Prezentul raport stabilește o serie de elemente de luat în considerare pentru o posibilă interconectare a registrelor de conturi bancare și a sistemelor de extragere a datelor și ilustrează faptul că interconectarea acestor mecanisme centralizate este fezabilă din punct de vedere tehnic. Un astfel de sistem ar putea fi un sistem descentralizat cu o platformă comună la nivelul UE. Ar putea fi utilizată tehnologia dezvoltată deja de Comisia Europeană în contextul diverselor modele analizate.
În ultimii ani, diferite sisteme s-au bazat pe reutilizarea modulelor comune. Aceste module sunt, în esență, un set de standarde și de specificații tehnice bine cunoscute, care pot fi aplicate provocărilor recurente, precum schimbul securizat de informații. Recurgerea constantă la aceste module este o abordare sprijinită de politica digitală actuală a Comisiei, față de care statele membre și-au exprimat angajamentul prin Declarația de la Tallinn privind guvernarea electronică 29 . O interconectare viitoare a mecanismelor centralizate automatizate naționale ar putea valorifica utilizarea acelorași module pentru a accelera crearea și alinierea sa la regulamentele UE relevante, precum Regulamentul e-IDAS.
Având în vedere faptul că o interconectare viitoare la nivelul UE a mecanismelor centralizate ar accelera accesul la informațiile financiare și ar facilita cooperarea transfrontalieră a autorităților competente, Comisia intenționează să se consulte în continuare cu părțile interesate relevante, cu guvernele, precum și cu unitățile de informații financiare, cu autoritățile de aplicare a legii și cu birourile de recuperare a activelor, în calitate de „utilizatori finali” potențiali ai unui posibil sistem de interconectare.
Directiva (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei (JO L 141, 5.6.2015, p. 73).
Directiva (UE) 2019/1153 a Parlamentului European și a Consiliului din 20 iunie 2019 de stabilire a normelor de facilitare a utilizării informațiilor financiare și de alt tip în scopul prevenirii, depistării, investigării sau urmăririi penale a anumitor infracțiuni și de abrogare a Deciziei 2000/642/JAI a Consiliului, JO L186, 11.7.2019, p. 122-137.
Raport al Comisiei către Parlamentul European și Consiliu privind evaluarea riscurilor privind spălarea banilor și finanțarea terorismului care afectează piața internă și sunt legate de activități transfrontaliere, COM(2019) 370 final.
Raport al Comisiei către Parlamentul European și Consiliu de evaluare a cadrului pentru cooperarea dintre unitățile de informații financiare, COM(2019) 371.
Raport al Comisiei către Parlamentul European și Consiliu privind evaluarea cazurilor recente de presupuse activități de spălare a banilor în care sunt implicate instituții de credit din UE, COM(2019) 373.
Informațiile din această secțiune se bazează pe răspunsurile primite de la statele membre la un chestionar dedicat care le-a fost trimis în martie 2019, privind informațiile primite în cadrul atelierului cu privire la transpunere, organizat de Comisie la 1 aprilie 2019, precum și privind anexa 7 la evaluarea impactului care însoțește propunerea de directivă a Parlamentului European și a Consiliului de stabilire a normelor de facilitare a utilizării informațiilor financiare și de alt tip în scopul prevenirii, depistării, investigării sau urmăririi penale a anumitor infracțiuni și de abrogare a Deciziei 2000/642/JAI a Consiliului [SWD(2018) 114 final].
Belgia, Bulgaria, Cehia, Germania, Grecia, Spania, Franța, Croația, Italia, Letonia, Lituania, Austria, Portugalia, România, Slovenia. Slovacia a instituit un sistem electronic centralizat de extragere a datelor, dar care momentan este disponibil numai executorilor judecătorești.
Finlanda se încadrează în ambele categorii, întrucât este pe punctul de a introduce un sistem care utilizează ambele soluții. Un registru central colectează și conține informațiile relevante într-o singură bază de date centrală, în timp ce un sistem electronic central de extragere a datelor constă într-un portal informatic central care extrage informații din diferite baze de date subiacente (menținute, de exemplu, de instituțiile financiare).
Din răspunsurile primite de la statele membre, astfel de informații suplimentare ar putea include informații cu privire la contractele financiare încheiate de titularul contului sau la tranzacțiile efectuate în legătură cu contul respectiv.
Sistemele informatice centralizate cu o singură bază de date la nivelul UE, precum Sistemul Informatic Schengen sau Sistemul de informații privind vizele, sunt excluse din evaluare, întrucât astfel de sisteme sunt incompatibile cu bazele de date centralizate la nivel național preexistente.
Decizia-cadru 2009/315/JAI a Consiliului din 26 februarie 2009 privind organizarea și conținutul schimbului de informații extrase din cazierele judiciare între statele membre și Decizia 2009/316/JAI a Consiliului din 6 aprilie 2009 de instituire a Sistemului european de informații cu privire la cazierele judiciare (ECRIS) în aplicarea articolului 11 din Decizia-cadru 2009/315/JAI – modificată în prezent de Directiva (UE) 2019/884 a Parlamentului European și a Consiliului din 17 aprilie 2019 în ceea ce privește schimbul de informații privind resortisanții țărilor terțe și în ceea ce privește sistemul european de informații cu privire la cazierele judiciare (ECRIS).
În aprilie 2019, a fost adoptat un cadru legislativ nou pentru a completa ECRIS cu un mecanism care permite un schimb eficient de informații cu privire la cazierele judiciare ale resortisanților țărilor terțe care sunt condamnați pe teritoriul UE. Sistemul european de informații cu privire la cazierele judiciare pentru resortisanții țărilor terțe (ECRIS-TCN) va fi un sistem centralizat de tip „rezultat pozitiv/negativ”, care va conține numai informații cu privire la identitatea resortisanților țărilor terțe și indicarea statului membru în care aceștia au fost condamnați anterior. În momentul obținerii unui rezultat pozitiv, statul membru solicitant va trebui să solicite informațiile cu privire la condamnări prin intermediul sistemului ECRIS existent din statul membru/statele membre indicat(e) de ECRIS-TCN.
Temeiurile juridice pentru serviciul Prüm sunt: Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului și a criminalității transfrontaliere și Decizia 2008/616/JAI a Consiliului privind punerea în aplicare a Deciziei 2008/615/JAI.
Proiectul-pilot a fost pus în aplicare pe baza Planului de acțiune multianual 2009-2013 privind e-justiția europeană (JO C 75, 31.3.2009, p. 1-12) și a Planului de acțiune multianual 2014-2018 privind e-justiția europeană (JO C 182, 14.6.2014, p. 2-13) și a fost executat în conformitate cu acestea.
În prezent participă Cehia, Germania, Estonia, Italia, Letonia, Țările de Jos, Austria, România și Slovenia.
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery
Directiva 2012/17/UE a Parlamentului European și a Consiliului din 13 iunie 2012 de modificare a Directivei 89/666/CEE a Consiliului și a Directivelor 2005/56/CE și 2009/101/CE ale Parlamentului European și ale Consiliului în ceea ce privește interconectarea registrelor centrale, ale comerțului și ale societăților, JO L 156, 16.6.2012.
Nu există niciun temei juridic pentru interconectare, dar aceasta funcționează ca sistem voluntar în care statele membre pot opta să participe.
Sistemul e-CODEX este alcătuit dintr-un pachet de produse software (modulul eDelivery din cadrul MIE și conectorul e-CODEX), care pot fi utilizate pentru a configura un punct de acces la nivel național pentru o astfel de comunicare securizată. Nu este un sistem care interconectează baze de date sau registre naționale, ci o infrastructură de comunicare care asigură comunicarea securizată și schimbul de informații dintre sistemele informatice naționale și, ca atare, este considerat relevant pentru evaluarea din prezentul raport. e-CODEX a fost dezvoltat între 2010 și 2016 de 21 de state membre cu participarea altor țări/teritorii și organizații.
Instituit ca urmare a concluziilor Consiliului din 9 iunie 2016 privind îmbunătățirea justiției penale în spațiul cibernetic.
Deși mai multe autorități pot accesa EUCARIS, serviciul Prüm din cadrul EUCARIS reglementează accesul autorităților de aplicare a legii.
* Momentan nu este operațional.
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016.
Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, JO L 257, 28.8.2014, p. 73-114.
Există alternative la o componentă centrală. De exemplu, protocolul de publicare a metadatelor serviciilor (Service Metadata Publisher, SMP) al modulului eDelivery din cadrul MIE le permite participanților la o infrastructură de mesagerie să-și descopere reciproc capabilitățile (juridice, organizaționale și tehnice) în mod dinamic. Dată fiind arhitectura sa distribuită, fiecare participant trebuie să aibă un identificator unic. O componentă centrală, numită localizator de metadate ale serviciilor (Service Metadata Locator, SML), folosește acești identificatori pentru a crea adrese URL care, atunci când sunt rezolvate, direcționează punctele de acces eDelivery către informațiile specifice cu privire la participant.
Protocol simplu de acces la obiecte.
Transferul bazat pe reprezentarea stării (Representational State Transfer) este un stil arhitectural software care definește un set de constrângeri de utilizat pentru crearea serviciilor web.
Toate statele membre ale Uniunii Europene și statele AELS au semnat Declarația privind guvernarea electronică, la Tallinn, la 6 octombrie 2017. Textul declarației este disponibil la http://ec.europa.eu/newsroom/document.cfm?doc_id=47559