Kapitel 3 des VFA-Regelwerks gilt für VFA Service Provider, die ihre Lizenz im VFA-Bereich nach den maltesischen Gesetzen und Vorschriften erwerben wollen.
Die MFSA veröffentlichte ein Rundschreiben an die VFA Service Provider, um die Innovation der Branche zu unterstützen und einen stärker prinzipienbasierten Ansatz zu verfolgen. Die neuen Änderungen treten am 1. Februar 2020 in Kraft.
1. System-Auditoren
Die Behörde verlangt die Beauftragung eines System-Auditors, wenn es ein Innovative Technology Arrangement (ITA) gibt oder wenn die Vorgänge in irgendeiner Weise mit einem ITA zusammenwirken. Vor der Beauftragung oder Ersetzung des Auditors des Systems muss die Zustimmung der MFSA eingeholt werden.
Der System-Auditor muss bei der MDIA registriert sein.
Verantwortung des System-Auditors: Überprüfung und Auditierung des ITA.
ANFORDERUNGEN FÜR IT-Auditoren
Wenn es kein ITA gibt, hat die MFSA eine Anforderung an den IT-Auditor eingeführt.
Der IT-Auditor ist für die Überprüfung und Auditierung der Systeme des Antragstellers verantwortlich. Auf Antrag legt der Antragsteller der Behörde einen IT-Auditbericht vor. In diesem Bericht wird bestätigt, dass es kein ITA gibt, und er wird in der Antragsphase und dann jährlich vorgelegt.
RICHTLINIEN FÜR FORENSISCHE NOTIZEN
Der Antragsteller muss über ein Live-Audit-Log verfügen und es muss eine ernannte Person vorhanden sein, die für die Einhaltung der Gesetze und das Betriebsverhalten des Systems (ähnlich der Rolle eines technischen Administrators) gemäß den Forensic Node Guidelines verantwortlich ist (https://mdia.gov.mt/wp-content/uploads/2019/09/Forensic-Node-Guidelines.pdf). Dies wird der MFSA mitgeteilt, da die Behörde Einwände gegen die vorgeschlagene Ernennung oder Ersetzung erheben kann.
AUFHEBUNG DES VORBEHALTS
Die folgende Bestimmung von R3 3.5.2.1.6 wurde gestrichen: „Sofern sich die IT-Infrastruktur des Lizenznehmers nicht in Malta oder in einer Cloud-Umgebung befindet, stellt der Lizenznehmer sicher, dass die Daten in Echtzeit mithilfe eines Live-Replikationsservers in Malta repliziert werden.“
ZUSÄTZLICHE INFORMATIONEN
Vorübergehend tätige Service Provider, die ihre Services nach Ablauf der Übergangsfristen fortsetzen wollen, oder Antragsteller, die vor dem 1. Februar 2020 mit ihrem Antrag beginnen, haben den ersten Systemauditbericht oder IT-Auditbericht innerhalb von 6 Monaten nach Erteilung der Genehmigung oder Aufnahme der Geschäftstätigkeit vorzulegen.
2. Live-Replikationsserver
Der Live Replication Server ist als die Maschine zu verstehen, die mit dem Rest des Systems des Service Providers verbunden ist, und um Verwirrung zu vermeiden, wird dies nun als „Live Audit Log“ bezeichnet.
Die Live-Audit-Verpflichtung gilt für alle Service Provider, unabhängig davon, ob es ein ITA gibt oder nicht.
3. Eignung und Angemessenheit
Die Eignung und Angemessenheit gilt für jede/jeden/jedes:
- Person mit qualifizierter Beteiligung;
- Wirtschaftlichen Eigentümer;
- Mitglied des Verwaltungsrates;
- Leitenden Angestellten;
- MLRO;
- Compliance Officer;
- Jede andere Person, die die Behörde für erforderlich hält.
Dies gilt weiterhin von Fall zu Fall.
Da es begrenzte genehmigte Kurse für Compliance Officers und/oder MLRO gibt, sind diese auch nicht mehr verpflichtet, einen genehmigten Kurs vor der Lizenz zu absolvieren. Diese Personen werden weiterhin einer obligatorischen Befragung unterzogen.
Um die Kompetenzanforderungen zu erfüllen, müssen sowohl der Compliance Officer als auch die MLRO an der Schulung teilnehmen, die für ihre Rolle relevant ist.
Die Behörde ändert ihre FAQs, um akzeptierte Kurse anzugeben.
4. Ausübung eines europäischen Rechts
Das Regelwerk bezieht sich nun auf die Erbringung von Services in anderen Rechtsordnungen. Der Service Provider ist verpflichtet, die Länder aufzulisten, in denen er seine VFA Services erbringt. Die Anforderung, ein Rechtsgutachten von anderen Rechtsordnungen einzuholen, besteht nicht mehr, jedoch ist der Service Provider weiterhin für die Einhaltung der Regeln und Vorschriften dieser Rechtsordnungen verantwortlich.
5. Genehmigung
Die Beauftragung von Verwaltern, Führungskräften und/oder anderen Mitarbeitern, die in der Vermögensverwaltung oder Anlageberatung tätig sind, ist der MFSA unverzüglich mitzuteilen und die schriftliche Zustimmung ist nicht mehr erforderlich.
6. Cyber-Security
Die Cyber-Security-Architektur muss den Cyber-Security-Leitlinien (von der Behörde veröffentlicht) entsprechen. Aus diesem Grund wurde folgende Regelung entfernt: „Gemäß R3‑3.1.2.1.8, hat der Lizenznehmer sicherzustellen, dass sein Rahmenwerk für Cyber-Security den international anerkannten Cyber-Security-Normen und den von der Behörde herausgegebenen Leitlinien entspricht und auch mit den Bestimmungen der DSGVO übereinstimmt.”
7. Verwaltungsrat (Board of Administration – BOA)
Der Verwaltungsrat ist nicht mehr verpflichtet, Richtlinien über die VFAs und VFA Services in Bezug auf die Risikotoleranz und die Eigenschaften/Bedürfnisse jener Kunden zu überwachen, denen sie angeboten oder zur Verfügung gestellt werden.
8. Compliance-Zertifikat
Das Compliance-Zertifikat basiert auf dem Compliance-Monitoring-Plan, der vom Compliance Officer durchzuführen ist.
Das Zertifikat muss nun das Ergebnis des Compliance-Monitoring-Plans enthalten, der auch die festgestellten Verstöße auflistet. Das Zertifikat bestätigt, dass alle lokalen AML/CFT-Anforderungen gemäß der Bestätigung des MLRO erfüllt sind, und es listet auch die Disziplinarmaßnahmen gegen Kunden auf und beschreibt die Verstöße und ergriffenen Maßnahmen.
9. Financial Instrument Test (FIT)
Der FIT obliegt nicht mehr dem Compliance Officer, sondern der Person, die für die Durchführung des FIT im Einklang mit dem Geschäftsmodell verantwortlich ist und von mindestens einem Administrator bestätigt wird.
10. Versicherungspflicht
Der Service Provider stellt sicher, dass er über eine marktübliche und marktgerechte Berufshaftpflichtversicherung verfügt, die geschäftsbezogene Risiken abdeckt.
11. Ergänzende Bestimmungen
- Präsenz von System-Auditoren: Der System-Auditor musst nicht jederzeit zur Verfügung stehen, wird aber mit der Durchführung des System Audits im Zusammenhang mit dem ITA
- Listungskriterien: Die Listungskriterien wurden auf zwei (2) Kriterien reduziert:
- (i) Die technologische Erfahrung, der Erfolgsnachweis und der Ruf des Emittenten und seines Entwicklungsteams;
- (iv) Die Bestimmung im Rahmen der FIT und ihre Billigung.
- Custody: Die Custody-Pflichten gelten nun für alle Service Provider.
- Aussetzung/Entfernung von VFAs aus dem Handel: Eine Mitteilung über die Aussetzung/Entfernen eines VFA aus dem Handel ist nur erforderlich, wenn die Aussetzung/Entfernung regulatorische Auswirkungen hat.
- Resilienz der Systeme: Es besteht keine Meldepflicht mehr für die Parameter zur Einstellung des Handels und deren wesentliche Änderungen. Außerdem gibt es keine Anforderung mehr, durch algorithmischen Handel getätigte Order als solche zu kennzeichnen.
- Bye-Laws: Es muss Richtlinien für die Bye-Laws
- Unfähigkeit, Aufgaben zu erfüllen: Kann ein Lizenznehmer seine Aufgaben nicht erfüllen, so unterrichtet er die Behörde unverzüglich und nicht erst am Tag des Auftretens (da dies nicht immer möglich ist)
Disziplinarmaßnahmen: Die Liste der Disziplinarmaßnahmen wird nun in das Compliance-Zertifikat aufgenommen und nicht jedes Mal, wenn eine Maßnahme ergriffen wird, mitgeteilt.
12. Kapitalanforderungen
Zusätzliche Kapitalanforderungen wurden als zu verbindlich eingestuft und damit aufgehoben.
13. Veranlassungsregeln
Die Veranlassungsregeln gelten in allen Bereichen, da bei der Durchführung von Tätigkeiten weitere Auswirkungen auftreten können. (Diese galten nur für die Anlageberatung und das Portfoliomanagement.).
14. Verkaufsprozesse und Verkaufspraktiken
Die Anforderungen des Lizenzinhabers an eine Person, die aufgrund einer Vollmacht handelt, wurden gestrichen und stattdessen gelten die Ausführungsverfahren (Implementing Procedures) der FIAU.
Die Regelung für den Empfang von Kundengeldern wurde wie folgt überarbeitet: ‘Der Lizenznehmer bestätigt dem Kunden den Erhalt aller im Zusammenhang mit einem virtuellen finanziellen Vermögenswert (Virtual Financial Asset) oder VFA Service erhaltenen Gelder und dass alle erhobenen Gebühren oder Abgaben separat ausgewiesen werden.’
In Bezug auf die Beurteilung der Angemessenheit warnt der Lizenznehmer bei der Erbringung eines VFA Services, das keine Anlageberatung oder Vermögensverwaltung ist, die Kunden durch eine Risikoerklärung, das sich mit den Risiken bei Investitionen in VFAs befasst.
15. Offenlegungspflichten und Übergangsfristen
Die im Regelwerk festgelegten Offenlegungspflichten werden anstelle der Öffentlichkeit an die Behörde weitergegeben.
Artikel 62 des VFA Acts, der die Übergangsbestimmungen abdeckt, wurde nach Ablauf der Übergangsfrist gestrichen.
16. Glossar
Das Glossar wird von der Behörde aktualisiert, um neue Definitionen zu berücksichtigen.
