Zusammenfassung des MFSA-Rundschreibens zu Änderungen an Kapitel 3 des Regelwerks

Kapi­tel 3 des VFA-Regel­w­erks gilt für VFA Ser­vice Provider, die ihre Lizenz im VFA-Bere­ich nach den mal­te­sis­chen Geset­zen und Vorschriften erwer­ben wollen.

Die MFSA veröf­fentlichte ein Rund­schreiben an die VFA Ser­vice Provider, um die Inno­va­tion der Branche zu unter­stützen und einen stärk­er prinzip­i­en­basierten Ansatz zu ver­fol­gen. Die neuen Änderun­gen treten am 1. Feb­ru­ar 2020 in Kraft.

1. System-Auditoren 

Die Behörde ver­langt die Beauf­tra­gung eines Sys­tem-Audi­tors, wenn es ein Inno­v­a­tive Tech­nol­o­gy Arrange­ment (ITA) gibt oder wenn die Vorgänge in irgen­dein­er Weise mit einem ITA zusam­men­wirken. Vor der Beauf­tra­gung oder Erset­zung des Audi­tors des Sys­tems muss die Zus­tim­mung der MFSA einge­holt wer­den.

Der Sys­tem-Audi­tor muss bei der MDIA reg­istri­ert sein.

Ver­ant­wor­tung des Sys­tem-Audi­tors: Über­prü­fung und Audi­tierung des ITA.

ANFORDERUNGEN FÜR IT-Auditoren

Wenn es kein ITA gibt, hat die MFSA eine Anforderung an den IT-Audi­tor einge­führt.

Der IT-Audi­tor ist für die Über­prü­fung und Audi­tierung der Sys­teme des Antrag­stellers ver­ant­wortlich. Auf Antrag legt der Antrag­steller der Behörde einen IT-Audit­bericht vor. In diesem Bericht wird bestätigt, dass es kein ITA gibt, und er wird in der Antragsphase und dann jährlich vorgelegt.

RICHTLINIEN FÜR FORENSISCHE NOTIZEN 

Der Antrag­steller muss über ein Live-Audit-Log ver­fü­gen und es muss eine ernan­nte Per­son vorhan­den sein, die für die Ein­hal­tung der Geset­ze und das Betrieb­sver­hal­ten des Sys­tems (ähn­lich der Rolle eines tech­nis­chen Admin­is­tra­tors) gemäß den Foren­sic Node Guide­lines ver­ant­wortlich ist (https://mdia.gov.mt/wp-content/uploads/2019/09/Forensic-Node-Guidelines.pdf). Dies wird der MFSA mit­geteilt, da die Behörde Ein­wände gegen die vorgeschla­gene Ernen­nung oder Erset­zung erheben kann.

AUFHEBUNG DES VORBEHALTS

Die fol­gende Bes­tim­mung von R3 3.5.2.1.6 wurde gestrichen: „Sofern sich die IT-Infra­struk­tur des Lizen­znehmers nicht in Mal­ta oder in ein­er Cloud-Umge­bung befind­et, stellt der Lizen­znehmer sich­er, dass die Dat­en in Echtzeit mith­il­fe eines Live-Rep­lika­tion­sservers in Mal­ta repliziert wer­den.“

ZUSÄTZLICHE INFORMATIONEN

Vorüberge­hend tätige Ser­vice Provider, die ihre Ser­vices nach Ablauf der Über­gangs­fris­ten fort­set­zen wollen, oder Antrag­steller, die vor dem 1. Feb­ru­ar 2020 mit ihrem Antrag begin­nen, haben den ersten Sys­temau­dit­bericht oder IT-Audit­bericht inner­halb von 6 Monat­en nach Erteilung der Genehmi­gung oder Auf­nahme der Geschäft­stätigkeit vorzule­gen.

2. Live-Replikationsserver 

Der Live Repli­ca­tion Serv­er ist als die Mas­chine zu ver­ste­hen, die mit dem Rest des Sys­tems des Ser­vice Providers ver­bun­den ist, und um Ver­wirrung zu ver­mei­den, wird dies nun als „Live Audit Log“ beze­ich­net.

Die Live-Audit-Verpflich­tung gilt für alle Ser­vice Provider, unab­hängig davon, ob es ein ITA gibt oder nicht.

3. Eignung und Angemessenheit 

Die Eig­nung und Angemessen­heit gilt für jede/jeden/jedes:

  • Per­son mit qual­i­fiziert­er Beteili­gung;
  • Wirtschaftlichen Eigen­tümer;
  • Mit­glied des Ver­wal­tungsrates;
  • Lei­t­en­den Angestell­ten;
  • MLRO;
  • Com­pli­ance Offi­cer;
  • Jede andere Per­son, die die Behörde für erforder­lich hält.

Dies gilt weit­er­hin von Fall zu Fall.

Da es begren­zte genehmigte Kurse für Com­pli­ance Offi­cers und/oder MLRO gibt, sind diese auch nicht mehr verpflichtet, einen genehmigten Kurs vor der Lizenz zu absolvieren. Diese Per­so­n­en wer­den weit­er­hin ein­er oblig­a­torischen Befra­gung unter­zo­gen.

Um die Kom­pe­ten­zan­forderun­gen zu erfüllen, müssen sowohl der Com­pli­ance Offi­cer als auch die MLRO an der Schu­lung teil­nehmen, die für ihre Rolle rel­e­vant ist.

Die Behörde ändert ihre FAQs, um akzep­tierte Kurse anzugeben.

4. Ausübung eines europäischen Rechts

Das Regel­w­erk bezieht sich nun auf die Erbringung von Ser­vices in anderen Recht­sor­d­nun­gen. Der Ser­vice Provider ist verpflichtet, die Län­der aufzulis­ten, in denen er seine VFA Ser­vices erbringt. Die Anforderung, ein Rechtsgutacht­en von anderen Recht­sor­d­nun­gen einzu­holen, beste­ht nicht mehr, jedoch ist der Ser­vice Provider weit­er­hin für die Ein­hal­tung der Regeln und Vorschriften dieser Recht­sor­d­nun­gen ver­ant­wortlich.

5. Genehmigung 

Die Beauf­tra­gung von Ver­wal­tern, Führungskräften und/oder anderen Mitar­beit­ern, die in der Ver­mö­gensver­wal­tung oder Anlage­ber­atung tätig sind, ist der MFSA unverzüglich mitzuteilen und die schriftliche Zus­tim­mung ist nicht mehr erforder­lich.

6. Cyber-Security 

Die Cyber-Secu­ri­ty-Architek­tur muss den Cyber-Secu­ri­ty-Leitlin­ien (von der Behörde veröf­fentlicht) entsprechen. Aus diesem Grund wurde fol­gende Regelung ent­fer­nt: „Gemäß R3‑3.1.2.1.8, hat der Lizen­znehmer sicherzustellen, dass sein Rah­men­werk für Cyber-Secu­ri­ty den inter­na­tion­al anerkan­nten Cyber-Secu­ri­ty-Nor­men und den von der Behörde her­aus­gegebe­nen Leitlin­ien entspricht und auch mit den Bes­tim­mungen der DSGVO übere­in­stimmt.”

7. Verwaltungsrat (Board of Administration — BOA)  

Der Ver­wal­tungsrat ist nicht mehr verpflichtet, Richtlin­ien über die VFAs und VFA Ser­vices in Bezug auf die Risiko­tol­er­anz und die Eigenschaften/Bedürfnisse jen­er Kun­den zu überwachen, denen sie ange­boten oder zur Ver­fü­gung gestellt wer­den.

8. Compliance-Zertifikat 

Das Com­pli­ance-Zer­ti­fikat basiert auf dem Com­pli­ance-Mon­i­tor­ing-Plan, der vom Com­pli­ance Offi­cer durchzuführen ist.

Das Zer­ti­fikat muss nun das Ergeb­nis des Com­pli­ance-Mon­i­tor­ing-Plans enthal­ten, der auch die fest­gestell­ten Ver­stöße auflis­tet. Das Zer­ti­fikat bestätigt, dass alle lokalen AML/CFT-Anforderun­gen gemäß der Bestä­ti­gung des MLRO erfüllt sind, und es lis­tet auch die Diszi­pli­n­ar­maß­nah­men gegen Kun­den auf und beschreibt die Ver­stöße und ergrif­f­e­nen Maß­nah­men.

9. Financial Instrument Test (FIT)  

Der FIT obliegt nicht mehr dem Com­pli­ance Offi­cer, son­dern der Per­son, die für die Durch­führung des FIT im Ein­klang mit dem Geschäftsmod­ell ver­ant­wortlich ist und von min­destens einem Admin­is­tra­tor bestätigt wird.

10. Versicherungspflicht

Der Ser­vice Provider stellt sich­er, dass er über eine mark­tübliche und mark­t­gerechte Beruf­shaftpflichtver­sicherung ver­fügt, die geschäfts­be­zo­gene Risiken abdeckt.

11. Ergänzende Bestimmungen

  • Präsenz von Sys­tem-Audi­toren: Der Sys­tem-Audi­tor musst nicht jed­erzeit zur Ver­fü­gung ste­hen, wird aber mit der Durch­führung des Sys­tem Audits im Zusam­men­hang mit dem ITA
  • Lis­tungskri­te­rien: Die Lis­tungskri­te­rien wur­den auf zwei (2) Kri­te­rien reduziert:
  1. (i) Die tech­nol­o­gis­che Erfahrung, der Erfol­gsnach­weis und der Ruf des Emit­ten­ten und seines Entwick­lung­steams;
  2. (iv) Die Bes­tim­mung im Rah­men der FIT und ihre Bil­li­gung.
  • Cus­tody: Die Cus­tody-Pflicht­en gel­ten nun für alle Ser­vice Provider.
  • Aussetzung/Entfernung von VFAs aus dem Han­del: Eine Mit­teilung über die Aussetzung/Entfernen eines VFA aus dem Han­del ist nur erforder­lich, wenn die Aussetzung/Entfernung reg­u­la­torische Auswirkun­gen hat.
  • Resilienz der Sys­teme: Es beste­ht keine Meldepflicht mehr für die Para­me­ter zur Ein­stel­lung des Han­dels und deren wesentliche Änderun­gen. Außer­dem gibt es keine Anforderung mehr, durch algo­rith­mis­chen Han­del getätigte Order als solche zu kennze­ich­nen.
  • Bye-Laws: Es muss Richtlin­ien für die Bye-Laws
  • Unfähigkeit, Auf­gaben zu erfüllen: Kann ein Lizen­znehmer seine Auf­gaben nicht erfüllen, so unter­richtet er die Behörde unverzüglich und nicht erst am Tag des Auftretens (da dies nicht immer möglich ist)

Diszi­pli­n­ar­maß­nah­men: Die Liste der Diszi­pli­n­ar­maß­nah­men wird nun in das Com­pli­ance-Zer­ti­fikat aufgenom­men und nicht jedes Mal, wenn eine Maß­nahme ergrif­f­en wird, mit­geteilt.

12. Kapitalanforderungen

Zusät­zliche Kap­i­ta­lan­forderun­gen wur­den als zu verbindlich eingestuft und damit aufge­hoben.

13. Veranlassungsregeln

Die Ver­an­las­sungsregeln gel­ten in allen Bere­ichen, da bei der Durch­führung von Tätigkeit­en weit­ere Auswirkun­gen auftreten kön­nen. (Diese gal­ten nur für die Anlage­ber­atung und das Port­fo­lioman­age­ment.).

14. Verkaufsprozesse und Verkaufspraktiken

Die Anforderun­gen des Lizen­z­in­hab­ers an eine Per­son, die auf­grund ein­er Voll­macht han­delt, wur­den gestrichen und stattdessen gel­ten die Aus­führungsver­fahren (Imple­ment­ing Pro­ce­dures) der FIAU.

Die Regelung für den Emp­fang von Kun­den­geldern wurde wie fol­gt über­ar­beit­et: ‘Der Lizen­znehmer bestätigt dem Kun­den den Erhalt aller im Zusam­men­hang mit einem virtuellen finanziellen Ver­mö­genswert (Vir­tu­al Finan­cial Asset) oder VFA Ser­vice erhal­te­nen Gelder und dass alle erhobe­nen Gebühren oder Abgaben sep­a­rat aus­gewiesen wer­den.

In Bezug auf die Beurteilung der Angemessen­heit warnt der Lizen­znehmer bei der Erbringung eines VFA Ser­vices, das keine Anlage­ber­atung oder Ver­mö­gensver­wal­tung ist, die Kun­den durch eine Risiko­erk­lärung, das sich mit den Risiken bei Investi­tio­nen in VFAs befasst.

15. Offenlegungspflichten und Übergangsfristen 

Die im Regel­w­erk fest­gelegten Offen­le­gungspflicht­en wer­den anstelle der Öffentlichkeit an die Behörde weit­ergegeben.

Artikel 62 des VFA Acts, der die Über­gangs­bes­tim­mungen abdeckt, wurde nach Ablauf der Über­gangs­frist gestrichen.

16. Glossar

Das Glos­sar wird von der Behörde aktu­al­isiert, um neue Def­i­n­i­tio­nen zu berück­sichti­gen.

About Dr. Rebecca Mifsud

Dr Rebec­ca Mif­sud, born 6th May 1994, attend­ed the Uni­ver­si­ty of Mal­ta and is an LLB Hon­ours grad­u­ate. She also grad­u­at­ed in the Mas­ters in Advo­ca­cy and will be sit­ting for her Mal­ta War­rant Exam in 2019. She suc­cess­ful­ly defend­ed her dis­ser­ta­tion enti­tled: ‘Imput­ing respon­si­bil­i­ty for foot­ball injuries inflict­ed by minors in the Mal­tese sce­nario,’ in 2017.

View All Posts

Kommentar hinterlassen

Ihre E-Mail Adresse wird nicht veröffentlicht.