4/894/2020
Εξ αποστάσεως ηλεκτρονική ταυτοποίηση φυσικών προσώπων από τα εποπτευόμενα από την Επιτροπή Κεφαλαιαγοράς υπόχρεα πρόσωπα κατά τη σύναψη επιχειρηματικών σχέσεων ή τη διενέργεια περιστασιακών συναλλαγών

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΕΠΙΤΡΟΠΗ ΚΕΦΑΛΑΙΑΓΟΡΑΣ
Ν.Π.Δ.Δ.

ΑΠΟΦΑΣΗ 4/894/ 23.10.2020 του Διοικητικού Συμβουλίου

Θέμα: Εξ αποστάσεως ηλεκτρονική ταυτοποίηση φυσικών προσώπων από τα εποπτευόμενα από την Επιτροπή Κεφαλαιαγοράς υπόχρεα πρόσωπα κατά τη σύναψη επιχειρηματικών σχέσεων ή τη διενέργεια περιστασιακών συναλλαγών

ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΚΕΦΑΛΑΙΑΓΟΡΑΣ

Λαμβάνοντας υπόψη:

1. Το άρθρο 13 του ν. 4557/2018 «Πρόληψη και καταστολή της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας (ενσωμάτωση της Οδηγίας 2015/849/ΕΕ) και άλλες διατάξεις» (ΦΕΚ Α/139/30.7.2018),

2. Το άρθρο 39 της από 13.4.2020 Πράξης Νομοθετικού Περιεχομένου «Μέτρα για την αντιμετώπιση των συνεχιζόμενων συνεπειών της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις» (ΦΕΚ Α/84/13.4.2020), όπως κυρώθηκε με το άρθρο 1 του ν. 4690/2020 (ΦΕΚ Α/104/30.5.2020),

3. Τα άρθρα 24-30 της από 20.3.2020 Πράξης Νομοθετικού Περιεχομένου «Κατεπείγοντα μέτρα για την αντιμετώπιση των συνεπειών του κινδύνου διασποράς του κορωνοϊού COVID- 19, τη στήριξη της κοινωνίας και της επιχειρηματικότητας και τη διασφάλιση της ομαλής λειτουργίας της αγοράς και της δημόσιας διοίκησης» (ΦΕΚ Α/68/20.3.2020), όπως κυρώθηκε με το άρθρο 1 του ν. 4683/2020 (ΦΕΚ Α/83/10.4.2020),

4. Tις Κατευθυντήριες Γραμμές της FATF για την ψηφιακή ταυτότητα (Μάρτιος 2020),

5. Την από 23.1.2018 Γνώμη της Μικτής Επιτροπής των Ευρωπαϊκών Εποπτικών Αρχών σχετικά με τη χρήση καινοτόμων λύσεων από πιστωτικά ιδρύματα και χρηματοπιστωτικούς οργανισμούς στη διαδικασία δέουσας επιμέλειας πελάτη (JC/2017/81),

6. Tο υπό διαβούλευση Σχέδιο Κοινών Κατευθυντήριων Οδηγιών των Ευρωπαϊκών Εποπτικών Αρχών σύμφωνα με τα άρθρα 17 και 18 παράγραφος 4 της Οδηγίας (ΕΕ) 2015/849 για τα μέτρα δέουσας επιμέλειας και τους παράγοντες τους οποίους θα πρέπει να εξετάζουν τα πιστωτικά ιδρύματα και οι χρηματοπιστωτικοί οργανισμοί κατά την εκτίμηση του κινδύνου νομιμοποίησης εσόδων από παράνομες δραστηριότητες και χρηματοδότησης της τρομοκρατίας που συνδέεται με τις επιμέρους επιχειρηματικές σχέσεις και τις περιστασιακές συναλλαγές (Κατευθυντήριες Οδηγίες Παραγόντων Κινδύνου), που τροποποιούν τις από 4.1.2018 Κατευθυντήριες Οδηγίες JC/2017/37,

7. Tις Κατευθυντήριες Γραμμές της FATF για την εποπτεία με βάση τον κίνδυνο των εικονικών περιουσιακών στοιχείων (virtual assets) και των παρόχων υπηρεσιών εικονικών περιουσιακών στοιχείων (virtual asset service providers) (Ιούνιος 2019),

8. Το άρθρο 90 του π.δ. 63/2005 «Κωδικοποίηση της νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα» (ΦΕΚ Α/98/2005),

9. Το γεγονός ότι από τις διατάξεις της παρούσας δεν προκαλείται δαπάνη σε βάρος του Κρατικού Προϋπολογισμού,

ΑΠΟΦΑΣΙΖΕΙ ΟΜΟΦΩΝΑ

Άρθρο 1
Πεδίο εφαρμογής – αντικείμενο

1. Η παρούσα απόφαση εφαρμόζεται:
α) στους χρηματοπιστωτικούς οργανισμούς της περ. β΄ της παρ. 1 του άρθρου 5 του ν. 4557/2018,
β) στους παρόχους υπηρεσιών ανταλλαγής   μεταξύ εικονικών νομισμάτων και παραστατικών νομισμάτων της περ. ιβ΄ της παρ. 1 του άρθρου 5 του ν. 4557/2018 και
γ) στους παρόχους υπηρεσιών θεματοφυλακής ψηφιακών πορτοφολιών της περ. ιγ΄ της παρ. 1 του άρθρου 5 του ν. 4557/2018,
οι οποίοι εποπτεύονται από την Επιτροπή Κεφαλαιαγοράς σύμφωνα με την περ. β΄της παρ. 1 του άρθρου 6 του ν. 4557/2018 (εφεξής, σωρευτικά, οι «Εταιρείες»).

2. Η παρούσα απόφαση καθορίζει τους όρους και τις προϋποθέσεις για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση φυσικών προσώπων κατά τη σύναψη επιχειρηματικής σχέσης με τις Εταιρείες ή τη διενέργεια περιστασιακής συναλλαγής. Οι εν λόγω όροι και προϋποθέσεις αφορούν στην αξιόπιστη επαλήθευση των παρακάτω στοιχείων πιστοποίησης της ταυτότητας:
α) Ονοματεπώνυμο και πατρώνυμο,
β) Αριθμός δελτίου ταυτότητας ή διαβατηρίου και εκδούσα αρχή και
γ) Ημερομηνία και τόπος γέννησης
βάσει των εγγράφων ταυτοποίησης που ορίζονται στο Παράρτημα Ι της απόφασης 1/506/8.4.2009 του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς.

3. Οι διατάξεις της παρούσας απόφασης εφαρμόζονται επίσης σε περίπτωση εξ αποστάσεως ηλεκτρονικής ταυτοποίησης πραγματικού δικαιούχου νομικού προσώπου, κατά την έννοια της παρ. 17 του άρθρου 3 του ν. 4557/2018, ή νομίμου εκπροσώπου νομικού προσώπου ή άλλου φυσικού προσώπου του οποίου απαιτείται η εξακρίβωση και επαλήθευση της ταυτότητάς του λόγω της σχέσης του με νομικό πρόσωπο βάσει του Παραρτήματος Ι της απόφασης 1/506/8.4.2009 του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς.

4. Οι προβλεπόμενοι στην παρούσα απόφαση όροι και προϋποθέσεις έχουν σκοπό τον μετριασμό του κινδύνου που απορρέει από τη σύναψη επιχειρηματικής σχέσης ή τη διενέργεια περιστασιακής συναλλαγής χωρίς τη φυσική παρουσία του πελάτη. Η πιστοποίηση της ταυτοπροσωπίας του πελάτη από Αστυνομία, Κέντρο Εξυπηρέτησης Πολιτών, Προξενική ή άλλη δημόσια Αρχή, ισοδυναμεί με την πιστοποίηση που γίνεται από τις Εταιρείες σε πελάτες με φυσική παρουσία.

Άρθρο 2
Αξιολόγηση και αντιμετώπιση των κινδύνων της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης

1. Οι Εταιρείες διασφαλίζουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και η τεχνολογική λύση που υιοθετούν είναι επαρκείς και κατάλληλες για την εξακρίβωση και επαλήθευση της ταυτότητας φυσικών προσώπων βάσει εγγράφων, δεδομένων ή πληροφοριών από αξιόπιστη και ανεξάρτητη πηγή, όπως προβλέπουν οι περ. α΄ και β΄ της παρ. 1 του άρθρου 13 του ν. 4557/2018.

2. Στην περίπτωση της σύναψης επιχειρηματικής σχέσης ή διενέργειας περιστασιακής συναλλαγής χωρίς φυσική παρουσία οι Εταιρείες προβαίνουν σε ενδελεχή αξιολόγηση των κινδύνων που απορρέουν από την εξ αποστάσεως ταυτοποίηση φυσικών προσώπων και σχετίζονται με τα ίδια τα φυσικά πρόσωπα, την αξιοπιστία και ανεξαρτησία των πηγών επαλήθευσης της ταυτότητάς τους, τα προϊόντα ή τις υπηρεσίες που θα λαμβάνουν, καθώς και με γεωγραφικούς και λοιπούς παράγοντες. Οι Εταιρείες υιοθετούν, βάσει της ανωτέρω αξιολόγησης κινδύνων, την κατάλληλη διαδικασία και τεχνολογική λύση για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση των φυσικών προσώπων, σύμφωνα με τις προβλέψεις της παρούσας απόφασης, και μεριμνούν για την αποτελεσματική εφαρμογή της. Κατά την αξιολόγηση των κινδύνων και τον καθορισμό της εφαρμοστέας διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων, οι Εταιρείες λαμβάνουν υπόψη την από 23.01.2018 Γνώμη της Μικτής Επιτροπής των Ευρωπαϊκών Εποπτικών Αρχών σχετικά με τη χρήση καινοτόμων λύσεων στη διαδικασία δέουσας επιμέλειας πελάτη από πιστωτικά ιδρύματα και χρηματοπιστωτικούς οργανισμούς (JC/2017/81).
Οι Εταιρείες λαμβάνουν επίσης υπόψη τις σχετικές Κατευθυντήριες Γραμμές της FATF για την Ψηφιακή Ταυτότητα. Σημειώνεται ότι σύμφωνα με τις εν λόγω Κατευθυντήριες Γραμμές, η έναρξη επιχειρηματικής σχέσης ή η διενέργεια περιστασιακής συναλλαγής, χωρίς τη φυσική παρουσία του πελάτη, μέσω της χρήσης αξιόπιστου ψηφιακού συστήματος ταυτοποίησης, δεν επιφέρει αυτομάτως το χαρακτηρισμό της επιχειρηματικής σχέσης ή περιστασιακής συναλλαγής ως υψηλού κινδύνου καθώς μπορεί να αποτελεί σχέση συνήθους ή/και χαμηλότερου κινδύνου ΞΧ/ΧΤ. Η εφαρμογή εναλλακτικών μεθόδων επαλήθευσης της ταυτότητας του πελάτη λαμβάνεται υπόψη από τις Εταιρείες στην Έκθεση Εκτίμησης Κινδύνων που διενεργούν σύμφωνα με τις παρ. 1 και 2 του άρθρου 35 του ν. 4557/2018, την περ. δ΄ της παρ. 2 του άρθρου 8 της απόφασης 1/506/8.4.2009 του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς και την παρ. 10 των Κοινών Κατευθυντήριων Γραμμών των Ευρωπαϊκών Εποπτικών Αρχών για τους Παράγοντες Κινδύνου (JC/2017/37).

3. Οι Εταιρείες εξετάζουν με προσοχή την εγκυρότητα και την αυθεντικότητα των εγγράφων, δεδομένων και πληροφοριών που αποκτούν κατά τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης των φυσικών προσώπων και χρησιμοποιούν επαρκή δεδομένα από διαφορετικές, αξιόπιστες και ανεξάρτητες πηγές, λαμβάνοντας υπόψη ότι τα στοιχεία που συλλέγονται ηλεκτρονικά μέσω των εγγράφων πιστοποίησης ταυτότητας του φυσικού προσώπου, χωρίς τη φυσική του παρουσία, δεν είναι επαρκή για την επαλήθευση της ταυτότητάς του, αν δεν συνοδεύονται από τα απαραίτητα μέτρα και μηχανισμούς ελέγχου που προβλέπονται στην παρούσα απόφαση.

4. Οι Εταιρείες, πριν από την υιοθέτηση της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και της τεχνολογικής λύσης, αξιολογούν τεκμηριωμένα:
α) τη δυνατότητα πλήρους ενσωμάτωσης της υιοθετούμενης τεχνολογικής λύσης στα υπάρχοντα συστήματα και διαδικασίες τους και τους συναφείς τεχνολογικούς και λειτουργικούς κινδύνους, και ιδιαίτερα τον κίνδυνο η τεχνολογική λύση να μην είναι αξιόπιστη ή να μπορεί να παραβιαστεί ή να υποστεί ανεπανόρθωτη ζημιά,
β) τους ποιοτικούς κινδύνους, ιδιαίτερα τον κίνδυνο οι πηγές πληροφοριών που χρησιμοποιούνται για σκοπούς επαλήθευσης ταυτότητας να μην είναι επαρκώς ανεξάρτητες και αξιόπιστες, καθώς και τον κίνδυνο ο βαθμός αξιοπιστίας της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης μέσω της τεχνολογικής λύσης να μην είναι ανάλογος προς το επίπεδο του κινδύνου ΞΧ/ΧΤ που σχετίζεται με το φυσικό πρόσωπο,
γ) τον κίνδυνο απάτης λόγω πλαστοπροσωπίας, δηλαδή τον κίνδυνο το φυσικό πρόσωπο να μην είναι αυτό που ισχυρίζεται ότι είναι ή να μην είναι υπαρκτό και
δ) τον κίνδυνο η υιοθετούμενη τεχνολογική λύση να μην πληροί τις προβλέψεις του νομικού πλαισίου για την προστασία προσωπικών δεδομένων.

5. Όσον αφορά στους τεχνικούς και λειτουργικούς κινδύνους, οι Εταιρείες, ανεξαρτήτως των εξωτερικών συμβουλευτικών υπηρεσιών που τυχόν λαμβάνουν, διαθέτουν οι ίδιες εσωτερικά επαρκή τεχνογνωσία, ώστε να είναι σε θέση να εξασφαλίσουν την ορθή εφαρμογή και χρήση της τεχνολογικής λύσης, καθώς και τη συνέχιση των παρεχόμενων υπηρεσιών σε περίπτωση που η τεχνολογική λύση υποστεί ανεπανόρθωτη συστημική βλάβη ή σε περίπτωση που για οποιοδήποτε λόγο η σχέση μεταξύ της Εταιρείας και του εξωτερικού παρόχου της τεχνολογικής λύσης διακοπεί. Για τον σκοπό αυτό, οι Εταιρείες αναπτύσσουν κατάλληλα σχέδια συνέχισης εργασιών.

6. Οι Εταιρείες διενεργούν κατάλληλες δοκιμές ώστε να διαπιστώσουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης και η τεχνολογική λύση που θα υιοθετήσουν είναι επαρκείς και αξιόπιστες και επιτρέπουν την εφαρμογή των προβλεπόμενων στην παρούσα απόφαση μέτρων δέουσας επιμέλειας σύμφωνα με την πολιτική και τις διαδικασίες της Εταιρείας και το θεσμικό πλαίσιο πρόληψης ΞΧ/ΧΤ. Για τον σκοπό αυτό, το Αρμόδιο Διευθυντικό Στέλεχος του άρθρου 38 του ν. 4557/2018 κατανοεί πλήρως τον τρόπο λειτουργίας της τεχνολογικής λύσης και συμμετέχει ενεργά στην αξιολόγησή της.

7. Η ως άνω αξιολόγηση κινδύνων και η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων εγκρίνονται από το Διοικητικό Συμβούλιο της Εταιρείας, βάσει εμπεριστατωμένης εισήγησης του Αρμόδιου Διευθυντικού Στελέχους του άρθρου 38 του ν. 4557/2018. Πέραν της έγκρισης από το Διοικητικό Συμβούλιο, η διοίκηση της Εταιρείας κατανοεί πλήρως τους εν λόγω κινδύνους, τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και τον τρόπο λειτουργίας της τεχνολογικής λύσης.

8. Η εγκεκριμένη ως άνω διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων περιλαμβάνει τουλάχιστον τα εξής:
α) αναλυτική καταγραφή των διαφόρων σταδίων της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης ανά εφαρμοζόμενη μέθοδο του άρθρου 3 και των οργανωτικών, τεχνικών και διαδικαστικών μέτρων που διασφαλίζουν την αξιόπιστη εξακρίβωση και επαλήθευση της ταυτότητας φυσικών προσώπων και την αντιμετώπιση των ανωτέρω συναφών κινδύνων, καθώς και τη συμμόρφωση με τις διατάξεις της παρούσας πράξης,
β) διαδικασία ενεργοποίησης πρόσθετων μέτρων  και  δικλείδων  ασφαλείας  σε περιπτώσεις μη ικανοποιητικού βαθμού βεβαιότητας σχετικά με την εγκυρότητα του εγγράφου ταυτοποίησης ή την ταυτότητα του φυσικού προσώπου,
γ) διαδικασία καταγραφής και παρακολούθησης των αποκλίσεων της διενεργούμενης σε σχέση με την εγκεκριμένη διαδικασία εξ αποστάσεως ηλεκτρονικής ταυτοποίησης και
δ) προσδιορισμό κριτηρίων μη αποδεκτού κινδύνου και διαδικασία τερματισμού της διαδικασίας για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση σε περίπτωση που τα κριτήρια αυτά πληρούνται.

9. Οι Εταιρείες επαναξιολογούν σε ετήσια βάση τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και την τεχνολογική λύση που εφαρμόζουν, λαμβάνοντας υπόψη τις τεχνολογικές εξελίξεις, τους αναδυόμενους κινδύνους και τυχόν αλλαγές του θεσμικού πλαισίου πρόληψης ΞΧ/ΧΤ, προκειμένου να διασφαλίζεται η λήψη τεκμηριωμένων αποφάσεων ως προς την καταλληλότητά τους και την ανάγκη εφαρμογής πρόσθετων μέτρων και μηχανισμών ελέγχου, κατά περίπτωση.

10. Οι Εταιρείες διορθώνουν αμελλητί τα σφάλματα και τις αδυναμίες της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και της τεχνολογικής λύσης που εντοπίζουν, σε οποιαδήποτε χρονική στιγμή ή κατά την τακτική ετήσια κατ’ ελάχιστον επαναξιολόγηση, προβαίνοντας επιπρόσθετα στις ακόλουθες επιμέρους ενέργειες:
α) επισκόπηση των επηρεαζόμενων επιχειρηματικών σχέσεων, προκειμένου να εκτιμηθεί εάν έχουν εφαρμοστεί επαρκώς τα μέτρα δέουσας επιμέλειας ως προς αυτές, σύμφωνα με τις πολιτικές και τις διαδικασίες της Εταιρείας,
β) αξιολόγηση, μετά τον έλεγχο επαρκούς εφαρμογής των μέτρων δέουσας επιμέλειας και την αντιμετώπιση σχετικών ελλείψεων, εάν οι επηρεαζόμενες επιχειρηματικές σχέσεις μπορούν να διατηρηθούν ή πρέπει να τερματιστούν ή/και αν η διενέργεια συναλλαγών που σχετίζονται με αυτές πρέπει να σταματήσει και
γ) εκτίμηση εάν, σε συνέχεια των ανωτέρω ενεργειών, πρέπει να υποβληθεί αναφορά στην Αρχή του άρθρου 47 του ν. 4557/2018.
Σε περίπτωση που οι αδυναμίες της τεχνολογικής λύσης είναι σοβαρές ή τα σφάλματα από τη χρήση της είναι συστηματικά, οι Εταιρείες επανεξετάζουν συνολικά το επίπεδο αξιοπιστίας της σε σχέση με τους ενεχόμενους κινδύνους ΞΧ/ΧΤ, τη δυνατότητα βελτιώσεων και τη συνέχιση ή μη της χρήσης της, με βάση το πλάνο συνέχισης εργασιών τους.

11. Οι Εταιρείες διασφαλίζουν ότι ο Εσωτερικός τους Ελεγκτής προβαίνει σε εξειδικευμένους ελέγχους για τη διαπίστωση της καταλληλότητας, επάρκειας και αξιοπιστίας της εφαρμοζόμενης διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης και της τεχνολογικής λύσης. Τα αποτελέσματα των ελέγχων τίθενται υπόψη του Αρμόδιου Διευθυντικού Στελέχους του άρθρου 38 του ν. 4557/2018, στο πλαίσιο της παρακολούθησης και αξιολόγησης της αποτελεσματικής εφαρμογής της πολιτικής και των διαδικασιών πρόληψης ΞΧ/ΧΤ και περιλαμβάνονται στην Ετήσια Έκθεσή του προς το Διοικητικό Συμβούλιο. Η αξιολόγηση της καταλληλότητας, επάρκειας και αξιοπιστίας της εφαρμοζόμενης διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης και της τεχνολογικής λύσης αποτελεί αντικείμενο ελέγχου και των εξωτερικών ελεγκτών και περιλαμβάνεται στην έκθεσή τους, που συντάσσεται σύμφωνα με τις διατάξεις του άρθρου 9 της απόφασης 1/506/8.4.2009 του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς.

12. Οι Εταιρείες είναι σε κάθε περίπτωση σε θέση να τεκμηριώσουν στην Επιτροπή Κεφαλαιαγοράς την επάρκεια, καταλληλότητα και αξιοπιστία της εφαρμοζόμενης διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης και της τεχνολογικής λύσης που έχουν υιοθετήσει για τον σκοπό αυτό, ανεξαρτήτως τυχόν ανάθεσης μέρους ή του συνόλου της σε εξωτερικό πάροχο υπηρεσιών.

Άρθρο 3
Επιτρεπόμενες μέθοδοι εξ αποστάσεως ηλεκτρονικής ταυτοποίησης

1. Οι επιτρεπόμενες μέθοδοι εξ αποστάσεως ηλεκτρονικής ταυτοποίησης, τις οποίες δύνανται να εφαρμόζουν διαζευκτικά οι Εταιρείες, είναι οι εξής:
α) τηλεδιάσκεψη με εκπαιδευμένο υπάλληλο, χρησιμοποιώντας λογισμικές εφαρμογές, όπως ενδεικτικά Microsoft Teams, Skype, WebEx, Zoom ή άλλη εφαρμογή, προκειμένου να επαληθευθεί η «φυσική υπόσταση» του πελάτη με αυτήν που εμφανίζεται στα έγγραφα που λαμβάνονται με ηλεκτρονικό μήνυμα κατά τη διάρκεια της τηλεδιάσκεψης. Η συγκεκριμένη μέθοδος συνιστά αμφίδρομη οπτική και ηχητική επικοινωνία σε πραγματικό χρόνο μεταξύ του φυσικού προσώπου και του εκπαιδευμένου υπαλλήλου που βρίσκονται σε διαφορετικές τοποθεσίες και η οποία υποστηρίζει παράλληλα την ανταλλαγή αρχείων και μηνυμάτων,
β) αυτοματοποιημένη διαδικασία χωρίς παρουσία υπαλλήλου, μέσω λήψης δυναμικού αυτοπορτρέτου (dynamic-selfie) σε πραγματικό χρόνο με τη χρήση εξειδικευμένης λογισμικής εφαρμογής, η οποία βασίζεται στη δυναμική και όχι στατική λήψη φωτογραφιών του φυσικού προσώπου, ώστε να διασφαλίζεται ότι αυτό μετέχει ζωντανά στη διαδικασία (liveness).

2. Για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση γίνονται αποδεκτά πρωτότυπα έγγραφα ταυτοποίησης που αναφέρονται στο Παράρτημα Ι της απόφασης 1/506/8.4.2009 του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς, εφόσον περιλαμβάνονται στο Επιγραμμικό Δημόσιο Μητρώο Γνήσιων Εγγράφων Ταυτότητας και Ταξιδίου (PRADO) του Ευρωπαϊκού Συμβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης και φέρουν:
α) φωτογραφία και υπογραφή του κατόχου τους και
β) μηχανικώς αναγνώσιμη ζώνη (Machine Readable Zone-MRZ), καθώς και
γ) δύο ακόμα προηγμένα οπτικά χαρακτηριστικά ασφαλείας από αυτά που περιγράφονται λεπτομερώς στο ως άνω μητρώο.

3. Κατ’ εξαίρεση των οριζόμενων στην παρ. 2, οι Εταιρείες δύνανται, κατόπιν αξιολόγησης του ενεχόμενου κατά περίπτωση κινδύνου, να αποδέχονται ως έγγραφο ταυτοποίησης Ελλήνων πολιτών το Δελτίο Αστυνομικής Ταυτότητας, στο οποίο το ονοματεπώνυμο αναγράφεται και με λατινικούς χαρακτήρες, υπό τις εξής προϋποθέσεις:
α) εφαρμογή αποκλειστικά της μεθόδου τηλεδιάσκεψης με εκπαιδευμένο υπάλληλο και
β) επιβεβαίωση της αυθεντικότητας του Δελτίου Αστυνομικής Ταυτότητας του φυσικού προσώπου, μέσω διασύνδεσης με την Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης, κατά τα προβλεπόμενα στο άρθρο 39 της από 13.4.2020 Πράξης Νομοθετικού Περιεχομένου «Μέτρα για την αντιμετώπιση των συνεχιζόμενων συνεπειών της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις» (ΦΕΚ Α/84/13.4.2020), όπως κυρώθηκε με το άρθρο 1 του ν. 4690/2020 (ΦΕΚ Α/104/30.5.2020).
Επίσης, με την προϋπόθεση της ανωτέρω περ. α΄, οι Εταιρείες δύνανται να αποδέχονται ως έγγραφα ταυτοποίησης Ελλήνων πολιτών Διαβατήριο σε ισχύ και Ταυτότητα υπηρετούντων στα Σώματα Ασφαλείας και στις Ένοπλες Δυνάμεις εφόσον τα έγγραφα αυτά περιληφθούν στην Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης.

4. Στην περίπτωση που οι Εταιρείες εφαρμόζουν τη μέθοδο της αυτοματοποιημένης εξ αποστάσεως ηλεκτρονικής ταυτοποίησης χωρίς παρουσία υπαλλήλου, μέσω λήψης δυναμικού αυτοπορτρέτου (dynamic-selfie) με τη χρήση εξειδικευμένης λογισμικής εφαρμογής, λαμβάνουν επιπρόσθετα ένα από τα ακόλουθα μέτρα μετριασμού του κινδύνου ΞΧ/ΧΤ:
α) Διασφαλίζουν ότι η πρώτη πίστωση στον λογαριασμό του φυσικού προσώπου πραγματοποιείται από λογαριασμό που τηρείται επ’ ονόματί του σε πιστωτικό ίδρυμα ή χρηματοπιστωτικό οργανισμό εγκατεστημένο σε χώρα μέλος της Ευρωπαϊκής Ένωσης ή σε τρίτη χώρα μέλος της FATF. Οι Εταιρείες δύνανται, εναλλακτικά, να επιβεβαιώνουν την ύπαρξη του ως άνω λογαριασμού μέσω πληροφόρησης που προέρχεται διακριβωμένα από το πιστωτικό ίδρυμα ή χρηματοπιστωτικό οργανισμό στον οποίο αυτός τηρείται, καθώς και με άλλο αξιόπιστο και ανεξάρτητο τρόπο.
β) Επιβάλλουν όριο δεκαπέντε χιλιάδων ευρώ (€ 15.000) στο σύνολο των πιστώσεων (καταθέσεις κεφαλαίων ή/και χρηματοπιστωτικών μέσων) που διενεργούνται ανά έτος για λογαριασμό του φυσικού προσώπου.

Άρθρο 4
Μέτρα και μηχανισμοί ελέγχου της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης

1. Οι Εταιρείες υιοθετούν τα κάτωθι μέτρα και μηχανισμούς ελέγχου για τη διασφάλιση της αξιοπιστίας της εφαρμοζόμενης διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων, ανεξαρτήτως της εφαρμοζόμενης μεθόδου:
α) Υιοθετούν προηγμένες τεχνικές προδιαγραφές για την επαλήθευση της γνησιότητας, της εγκυρότητας και της ακεραιότητας των εγγράφων ταυτοποίησης, ελέγχοντας ότι αυτά δεν φέρουν ενδείξεις παραποίησης ή πλαστογράφησης οποιασδήποτε μορφής (όπως με αλλαγή στοιχείων αυθεντικού εγγράφου, με αναπαραγωγή του αυθεντικού εγγράφου ή με δημιουργία απατηλού εγγράφου με χρήση στοιχείων/υλικών νόμιμου εγγράφου). Για τον σκοπό αυτό, οι Εταιρείες συγκρίνουν τα υποβαλλόμενα έγγραφα ταυτοποίησης με τις προδιαγραφές έκαστου εγγράφου που περιλαμβάνονται στο Επιγραμμικό Δημόσιο Μητρώο Γνήσιων Εγγράφων Ταυτότητας και Ταξιδίου (PRADO) του Ευρωπαϊκού Συμβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης και ιδίως ως προς τα χαρακτηριστικά ασφαλείας, τον τύπο, το μέγεθος των χαρακτήρων και τη δομή του εγγράφου. Επιπλέον, οι Εταιρείες επιβεβαιώνουν τη γνησιότητα του εγγράφου ταυτοποίησης, αφενός, διαβάζοντας και αποκρυπτογραφώντας τις πληροφορίες που περιέχονται στη μηχανικώς αναγνώσιμη ζώνη (MRZ) και αφετέρου, ελέγχοντας τουλάχιστον δύο ακόμα οπτικά χαρακτηριστικά σύμφωνα με την παρ. 2 του άρθρου 3 της παρούσας.
β) Μεριμνούν για την αξιοπιστία της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης, βασιζόμενα κατά το δυνατόν σε πολλαπλές και εναλλακτικές πηγές πληροφοριών. Η αξιοπιστία της διαδικασίας ηλεκτρονικής ταυτοποίησης ενισχύεται όταν η Εταιρεία αντλεί δεδομένα μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης ή από άλλες αξιόπιστες και ανεξάρτητες πηγές και βάσεις δεδομένων για την επαλήθευση πληροφοριών ή στοιχείων που έχουν ληφθεί κατά τη διαδικασία ηλεκτρονικής ταυτοποίησης.
γ) Διενεργούν ελέγχους λογικής συνέπειας σε σχέση με τα χαρακτηριστικά του φυσικού προσώπου, το έγγραφο ταυτοποίησης και με τυχόν άλλες πληροφορίες για το φυσικό πρόσωπο, χρησιμοποιώντας επαρκές εύρος δεδομένων από αξιόπιστες και ανεξάρτητες πηγές.
δ) Διαμορφώνουν δυναμικά τη δομή της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης, αναπτύσσοντας ικανό αριθμό διαφορετικών τυποποιημένων σεναρίων ταυτοποίησης, με τυχαία επιλογή ενός εξ’ αυτών.

2. Οι Εταιρείες υιοθετούν τα κάτωθι μέτρα τεχνικής φύσεως και δικλείδες ασφαλείας κατά τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων, ανεξαρτήτως της εφαρμοζόμενης μεθόδου:
α) Εφαρμόζουν τεχνικές ασφαλούς επικοινωνίας μεταξύ της Εταιρείας και του φυσικού προσώπου, διασφαλίζοντας την ακεραιότητα και εμπιστευτικότητα της διακινούμενης πληροφορίας.
β) Διασφαλίζουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής  ταυτοποίησης λαμβάνει χώρα σε πραγματικό χρόνο και χωρίς διακοπή και ότι δεν γίνονται δεκτά αρχεία τα οποία έχουν δημιουργηθεί από το φυσικό πρόσωπο με οποιονδήποτε τρόπο πριν από την έναρξη της διαδικασίας.
γ) Διασφαλίζουν ότι οι φωτογραφίες και τα βίντεο που λαμβάνονται κατά τη διάρκεια της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης είναι τέτοιας ποιότητας ώστε, τόσο το φυσικό πρόσωπο όσο και τα στοιχεία που περιέχονται στο έγγραφο ταυτοποίησής του, να είναι πλήρως αναγνωρίσιμα και αδιαμφισβήτητα. Επιπλέον διασφαλίζουν ότι κατά τη διάρκεια της διαδικασίας ηλεκτρονικής ταυτοποίησης υφίστανται κατάλληλες συνθήκες φωτισμού, το φυσικό πρόσωπο διατηρεί κατάλληλη απόσταση από την κάμερα, δεν καλύπτεται το πρόσωπό του και ότι επιτυγχάνεται εν γένει η πέραν αμφιβολίας αποτύπωση των ζητούμενων χαρακτηριστικών του.
δ) Διασφαλίζουν ότι πραγματοποιείται ψηφιακή καταγραφή όλων των δεδομένων που λαμβάνονται, καθώς και των αποτελεσμάτων των ελέγχων που διενεργούνται στα επιμέρους στάδια της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης, η οποία προστατεύεται κατάλληλα από οποιαδήποτε απόπειρα αλλοίωσης του περιεχομένου της. Στα εν λόγω δεδομένα περιλαμβάνεται οποιαδήποτε φωτογραφία ή βίντεο λαμβάνεται κατά τη διάρκεια της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης.
ε) Διασφαλίζουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης πραγματοποιείται με τη χρήση μιας και μόνο συσκευής καθ’ όλη τη διάρκειά της.

3. Οι Εταιρείες κατά τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων και ανεξαρτήτως της διενεργούμενης μεθόδου, εφαρμόζουν τα εξής ειδικά μέτρα και ελέγχους, με την υποστήριξη εξειδικευμένων τεχνολογικών μέσων:
α) Λαμβάνουν υπό κατάλληλες συνθήκες φωτισμού φωτογραφίες / στιγμιότυπα που απεικονίζουν με σαφήνεια:
αα) το πρόσωπο του φυσικού προσώπου από διαφορετικές οπτικές γωνίες, όπως για παράδειγμα από τα πλάγια (profile) και από μπροστά (en face), χρησιμοποιώντας παράλληλα τεχνικές που υποδηλώνουν ότι το υποκείμενο μετέχει ζωντανά στη διαδικασία (liveness, όπως μάτια ανοιχτά / μάτια κλειστά),
αβ) τις όψεις του εγγράφου ταυτοποίησης που εμπεριέχουν τη φωτογραφία, την υπογραφή και τα στοιχεία ταυτότητάς του, ώστε να διενεργείται ο έλεγχος σε σχέση με τις προδιαγραφές και τα χαρακτηριστικά ασφαλείας του εγγράφου.
β) Διενεργούν ελέγχους των βιομετρικών χαρακτηριστικών του φυσικού προσώπου, σε σχέση με τη φωτογραφία του εγγράφου ταυτοποίησης, με χρήση ειδικού λογισμικού.
γ) Ζητούν από το φυσικό πρόσωπο να καταχωρήσει μοναδικό αριθμό, που λαμβάνει με μήνυμα ηλεκτρονικής αλληλογραφίας ή/και με γραπτό μήνυμα (SMS) στο κινητό του τηλέφωνο.
δ) Λαμβάνουν πρόσθετα στοιχεία, όπως γεωγραφικό στίγμα (geolocation), IP διεύθυνση του υπολογιστή του πελάτη ή/και επαληθεύσιμους τηλεφωνικούς αριθμούς, προκειμένου να επαληθευθούν τα στοιχεία που παρέχονται από τον πελάτη.

4. Εφόσον κατά τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικού προσώπου εφαρμόζουν τη μέθοδο της τηλεδιάσκεψης με εκπαιδευμένο υπάλληλο, οι Εταιρείες, επιπλέον των ανωτέρω:
α) ζητούν από το φυσικό πρόσωπο να τοποθετήσει το δάχτυλό του μπροστά από τα χαρακτηριστικά ασφαλείας του εγγράφου ταυτοποίησης ή να μετακινήσει το χέρι μπροστά από το πρόσωπό του,
β) ελέγχουν, συμπληρωματικά, στην περίπτωση του Ελληνικού Δελτίου Αστυνομικής Ταυτότητας, κατά πόσον η πλαστικοποίηση που χρησιμοποιείται για τη σφράγιση του εγγράφου έχει καταστραφεί ή αλλοιωθεί ή υπάρχουν ενδείξεις για απόπειρα παραχάραξης του εγγράφου, καθώς επίσης και κατά πόσον η φωτογραφία έχει ενσωματωθεί στο έγγραφο μετά την έκδοσή του και
γ) διενεργούν ελέγχους για τον εντοπισμό τυχόν ύποπτης συμπεριφοράς του φυσικού προσώπου που μπορεί να υποδηλώνει ότι βρίσκεται υπό την επήρεια ουσιών ή ότι τελεί υπό εξαναγκασμό ή ενδεχόμενη ψυχική ή διανοητική διαταραχή.

Άρθρο 5
Τερματισμός της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης

1. Οι Εταιρείες διασφαλίζουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης τερματίζεται χωρίς να ολοκληρωθεί εάν συντρέχει τουλάχιστον μια από τις ακόλουθες περιστάσεις:
α) δεν είναι εφικτή η οπτική επιβεβαίωση του φυσικού προσώπου  ή  του  επίσημου εγγράφου ταυτοποίησης ή και των δύο, κατά τα ανωτέρω οριζόμενα, ή υφίσταται οποιαδήποτε ασυμφωνία ή αβεβαιότητα μεταξύ αυτών ή
β) υφίσταται οποιαδήποτε ασυμφωνία των στοιχείων, πληροφοριών και δεδομένων που υποβάλλονται κατά τη διάρκεια της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης με ανεξάρτητη και αξιόπιστη πηγή ή
γ) πληρούνται τα κριτήρια μη αποδεκτού κινδύνου ΞΧ/ΧΤ που έχει προσδιορίσει η Εταιρεία, κατά τα προβλεπόμενα στην περ. δ΄ της παρ. 8 του άρθρου 2 της παρούσας.

2. Ο λόγος τερματισμού της εξ αποστάσεως διαδικασίας ηλεκτρονικής ταυτοποίησης καταγράφεται και τηρείται σε επαρκώς προστατευόμενο αρχείο για χρονικό διάστημα τουλάχιστον πέντε (5) ετών, σύμφωνα με το άρθρο 30 του ν. 4557/2018 και τα προβλεπόμενα στο άρθρο 8 της παρούσας απόφασης.

Άρθρο 6
Οργανωτικές ρυθμίσεις και εκπαίδευση προσωπικού

1. Οι Εταιρείες διασφαλίζουν ότι η διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης διενεργείται από κατάλληλο και ειδικά εκπαιδευμένο προσωπικό, στο οποίο διαθέτουν τους απαραίτητους πόρους και εξειδικευμένα τεχνικά μέσα για την απρόσκοπτη και ασφαλή εφαρμογή της διαδικασίας. Η εκπαίδευση περιλαμβάνει την πρακτική εφαρμογή της τεχνολογικής λύσης και τις λειτουργικές της δυνατότητες, τα χαρακτηριστικά ασφαλείας των εγγράφων ταυτοποίησης που γίνονται αποδεκτά, καθώς και τις συνήθεις μεθόδους παραποίησης ή πλαστογράφησης αυτών, τις απαιτήσεις της παρούσας απόφασης, καθώς και τον εντοπισμό ασυνήθων ή ύποπτων συναλλαγών και τη διαβίβαση σχετικών αναφορών, σύμφωνα με τις εσωτερικές διαδικασίες της Εταιρείας. Η εκπαίδευση λαμβάνει χώρα πριν από την ανάληψη των καθηκόντων του προσωπικού, επαναλαμβάνεται ανά τακτά χρονικά διαστήματα και παρέχεται επιπλέον της γενικής κατάρτισης για την καταπολέμηση του ΞΧ/ΧΤ σύμφωνα με το οικείο θεσμικό πλαίσιο.

2. Οι Εταιρείες διασφαλίζουν μέσω κατάλληλων διαδικασιών ότι το προσωπικό που διεξάγει την εξακρίβωση και επαλήθευση ταυτότητας των πελατών μέσω της τεχνολογικής λύσης δεν συνεργάζεται με πρόσωπα τα οποία εμπλέκονται σε παράνομες δραστηριότητες. Στις διαδικασίες αυτές περιλαμβάνονται ο έλεγχος καταλληλότητας του προσωπικού πριν από την πρόσληψη και η τακτική αξιολόγησή του μεταγενέστερα, η τυχαία ανάθεση στο προσωπικό των αιτημάτων ηλεκτρονικής ταυτοποίησης φυσικών προσώπων, ώστε να ελαχιστοποιείται η πιθανότητα χειραγώγησης της διαδικασίας, και ο δειγματοληπτικός έλεγχος των επικοινωνιών του προσωπικού με τα φυσικά πρόσωπα κατά την εκτέλεση της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης ή μετά το πέρας αυτής.

3. Εφόσον οι Εταιρείες εφαρμόζουν τη μέθοδο της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικού προσώπου με τηλεδιάσκεψη, μεριμνούν ώστε το προσωπικό που τη διενεργεί να είναι εγκατεστημένο σε ειδικά διαμορφωμένο χώρο περιορισμένης και ελεγχόμενης πρόσβασης.

Άρθρο 7
Ανάθεση διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης σε εξωτερικό πάροχο υπηρεσιών

1. Σε περίπτωση που οι Εταιρείες αναθέτουν σε εξωτερικό πάροχο υπηρεσιών τη διεξαγωγή μέρους ή όλης της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων, διασφαλίζουν, μέσω κατάλληλων διαδικασιών αξιολόγησης και ελέγχου, ότι ο εξωτερικός πάροχος υπηρεσιών έχει υιοθετήσει κατάλληλες τεχνικές προδιαγραφές και δικλείδες ασφαλείας που διασφαλίζουν την αξιόπιστη εξακρίβωση και επαλήθευση της ταυτότητας φυσικών προσώπων, σύμφωνα με τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων της Εταιρείας. Σε κάθε περίπτωση, η τελική ευθύνη για την τήρηση των προβλέψεων της παρούσας πράξης και των απαιτήσεων του θεσμικού πλαισίου πρόληψης ΞΧ/ΧΤ βαρύνει την Εταιρεία. Αυτή η ευθύνη περιλαμβάνει τη διαρκή παρακολούθηση της αποτελεσματικότητας και τον έλεγχο της αξιοπιστίας της διαδικασίας της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης από την Εταιρεία και τη ρητή έγκριση της Εταιρείας πριν από κάθε τροποποίηση της εφαρμοζόμενης από τον εξωτερικό πάροχο διαδικασίας.

2. Οι Εταιρείες διασφαλίζουν ότι ο εξωτερικός πάροχος υπηρεσιών δεσμεύεται συμβατικά να εκτελεί τα απαιτούμενα καθήκοντα που απορρέουν από τη μεταξύ τους σύμβαση συνεργασίας, συμμορφούμενος με τις διατάξεις της παρούσας απόφασης και του εκάστοτε ισχύοντος θεσμικού πλαισίου. Η σύμβαση συνεργασίας περιγράφει με σαφήνεια και λεπτομέρεια τους ρόλους, τις ευθύνες, τα δικαιώματα και τις υποχρεώσεις κάθε μέρους, περιλαμβανομένων αυτών που προκύπτουν από την καταγγελία ή τη λύση της σύμβασης, είτε λόγω παρέλευσης του χρόνου ισχύος της, είτε εκτάκτως σε προγενέστερο χρόνο, οπότε και ενεργοποιείται το σχέδιο εξόδου (exit plan) που περιλαμβάνει και τη μεταφορά των όποιων δεδομένων και στοιχείων έχουν αποκτηθεί από τον εξωτερικό πάροχο κατά την εκτέλεση της σύμβασης. Στη σύμβαση συνεργασίας προβλέπεται ρητά ότι δεν επέρχεται καμία αλλαγή στη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης χωρίς την προηγούμενη έγκριση της Εταιρείας.

3. Οι Εταιρείες διασφαλίζουν επίσης ότι ο εξωτερικός πάροχος υπηρεσιών:
α) παρέχει επαρκείς και ακριβείς πληροφορίες για τις πηγές πληροφόρησης που χρησιμοποιήθηκαν, τους ελέγχους που διενεργήθηκαν και τα αποτελέσματα της εξ αποστάσεως διαδικασίας ηλεκτρονικής ταυτοποίησης για κάθε φυσικό πρόσωπο, έτσι ώστε η Εταιρεία να είναι σε θέση να αξιολογεί την ποιότητα της διαδικασίας και να τεκμηριώνεται η αξιοπιστία της εξακρίβωσης και επαλήθευσης της ταυτότητας του φυσικού προσώπου,
β) συμμορφώνεται με το νομικό πλαίσιο  προστασίας  προσωπικών  δεδομένων  και υιοθετεί επαρκείς προδιαγραφές ασφάλειας πληροφοριών και
γ) χρησιμοποιεί κατάλληλο και ειδικά εκπαιδευμένο προσωπικό για τη διαδικασία εξ αποστάσεως ηλεκτρονικής ταυτοποίησης. Η εκπαίδευση περιλαμβάνει την πρακτική εφαρμογή της τεχνολογικής λύσης και τις λειτουργικές της δυνατότητες, τα χαρακτηριστικά ασφαλείας των εγγράφων ταυτοποίησης που γίνονται αποδεκτά, καθώς και τις συνήθεις μεθόδους παραποίησης ή πλαστογράφησης αυτών, τις απαιτήσεις της παρούσας πράξης και τον εντοπισμό ασυνήθων ή ύποπτων συναλλαγών.

4. Σε περίπτωση που ο εξωτερικός πάροχος υπηρεσιών είναι εγκατεστημένος σε τρίτη χώρα, οι Εταιρείες κατανοούν τους νομικούς και λειτουργικούς κινδύνους και τις απαιτήσεις προστασίας δεδομένων που συνδέονται με αυτούς και τους αντιμετωπίζουν αποτελεσματικά. Οι Εταιρείες απαγορεύεται να συμβάλλονται με εξωτερικό πάροχο υπηρεσιών εγκατεστημένο σε τρίτη χώρα, που έχει επισημανθεί από την Ευρωπαϊκή Επιτροπή ως χώρα υψηλού κινδύνου ΞΧ/ΧΤ καθώς και σε τρίτη χώρα στην οποία υφίστανται νομικοί περιορισμοί, που δεν επιτρέπουν την απρόσκοπτη ανταλλαγή πληροφοριών μεταξύ, αφενός του παρόχου και αφετέρου της Εταιρείας ή της Επιτροπής Κεφαλαιαγοράς, ή τη συμμόρφωση της Εταιρείας με το θεσμικό πλαίσιο πρόληψης ΞΧ/ΧΤ.

5. Η εκτέλεση μέρους ή ολόκληρης της διαδικασίας εξ αποστάσεως ηλεκτρονικής ταυτοποίησης από εξωτερικό πάροχο και η σχέση αυτού με την Εταιρεία απαγορεύεται να θέτει με οποιονδήποτε τρόπο σε κίνδυνο τη λειτουργία και την ποιότητα του μηχανισμού εσωτερικού ελέγχου της Εταιρείας και τη δυνατότητα της Επιτροπής Κεφαλαιαγοράς να ελέγξει, ανά πάσα στιγμή και με κάθε τρόπο – τον οποίο αυτή θεωρεί πρόσφορο και κατάλληλο κατά περίπτωση – τη συμμόρφωση της Εταιρείας με τις υποχρεώσεις που απορρέουν από τις διατάξεις της παρούσας απόφασης.

Άρθρο 8
Τήρηση Αρχείου και Προστασία Προσωπικών Δεδομένων

1. Οι Εταιρείες συμμορφώνονται με τις υποχρεώσεις των άρθρων 30 και 31 του ν. 4557/2018 και της παρούσας απόφασης, καθώς και με το νομικό πλαίσιο για την προστασία προσωπικών δεδομένων, ανεξαρτήτως του είδους και του παρόχου της τεχνολογικής λύσης που χρησιμοποιούν για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση φυσικών προσώπων.

2. Οι Εταιρείες τηρούν αυτούσια όλα τα απαραίτητα αρχεία που τους επιτρέπουν να προσδιορίζουν την ακριβή ημερομηνία υποβολής των εγγράφων, των πληροφοριών και των δεδομένων που λαμβάνονται κατά τη διαδικασία της εξ αποστάσεως ηλεκτρονικής ταυτοποίησης φυσικών προσώπων.

3. Οι Εταιρείες διασφαλίζουν ότι τα φυσικά πρόσωπα ενημερώνονται για την επεξεργασία των προσωπικών τους δεδομένων. Ειδικά για τον έλεγχο των βιομετρικών χαρακτηριστικών τους και την εξ αποστάσεως ηλεκτρονική τους ταυτοποίηση, τα φυσικά πρόσωπα παρέχουν ρητή και ειδική συγκατάθεση.

Άρθρο 9
Μεταβατικές διατάξεις

1. Κατά το χρονικό διάστημα που δεν έχει παρασχεθεί σε Εταιρείες η δυνατότητα διασύνδεσης με την Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης, δεν εφαρμόζονται τα προβλεπόμενα στην περ. β΄ της παρ. 3 του άρθρου 3 σχετικά με την επιβεβαίωση της αυθεντικότητας του Δελτίου Αστυνομικής Ταυτότητας του φυσικού προσώπου μέσω της εν λόγω διασύνδεσης.

2. Η Ειδική Υπηρεσιακή Μονάδα Αντιμετώπισης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες της Επιτροπής Κεφαλαιαγοράς εξουσιοδοτείται να παρέχει διευκρινίσεις και οδηγίες για την εφαρμογή της παρούσας απόφασης.

Άρθρο 10
Έναρξη ισχύος

Η παρούσα απόφαση ισχύει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως.

Η παρούσα απόφαση να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.

Η Γραμματέας
Αλεξάνδρα Νινάσιου

Η Πρόεδρος
Βασιλική Λαζαράκου

Ο Α’ Αντιπρόεδρος
Νικόλαος Κονταρούδης

Η Β’ Αντιπρόεδρος
Αναστασία Στάμου

Τα μέλη
Αναστάσιος Βιρβιλιός
Παναγιώτης Γιαννόπουλος
Χριστίνα Παπακωνσταντίνου
Σπυρίδων Σπύρου