Nařízení TFR je tady. EU zavádí „Travel Rule“ pro převody kryptoaktiv již od 30. 12. 2024

Regulace v oblasti digitálních financí v Evropské unii se blíží zásadnímu milníku. S účinností od 30. prosince 2024 vstoupí v platnost nová pravidla, která výrazně změní postavení kryptopodnikatelů – ti budou licencováni a regulováni obdobně jako finanční instituce, a to na základě nařízení o trzích s kryptoaktivy (MiCA)1. MiCA kromě zavedení licenčních povinností a rozsáhlejších opatření proti praní špinavých peněz (AML) zavádí také zlepšení ochrany spotřebitelů a (snad) přístupu kryptopodnikatelů k bankovním službám.

Další zásadní novinkou je aplikace Travel Rule, která je součástí nařízení o informacích doprovázejících převody finančních prostředků a kryptoaktiv (TFR)2. Toto opatření, vycházející z doporučení č. 16 Financial Action Task Force (FATF), tzv. Travel Rule, které bylo doposud známé především v kontextu úvěrových institucí a poskytovatelů platebních služeb, nově zavádí povinnost, aby každý převod kryptoaktiv byl doprovázen podrobnými informacemi o odesílateli i příjemci. Díky této úpravě získají kryptopodnikatelé detailní přehled o transakcích svých klientů, což přináší nejen vyšší míru transparentnosti, ale i efektivnější možnosti kontroly ze strany regulátora.

Tato opatření jsou klíčovou součástí evropského balíčku pro digitální finance, který harmonizuje pravidla napříč členskými státy a stanovuje nové standardy transparentnosti a bezpečnosti v oblasti kryptoaktiv.

Cíle a právní rámec Travel Rule

Travel Rule vzniklo jako součást širší iniciativy Financial Action Task Force (FATF) o regulaci převodů finančních prostředků. Doporučení č. 16 FATF stanovuje, že informace o původu a příjemci každé transakce musí „cestovat“ společně s převodem. Evropská unie tuto zásadu implementovala prostřednictvím nařízení o převodech finančních prostředků a některých kryptoaktiv (Transfer of Funds Regulation, TFR), které se původně vztahovalo pouze na převody v tzv. fiat měně.

Od 29. června 2023 je TFR závazné pro všechny členské státy EU, přičemž plná účinnost této regulace nastane od 30. prosince 2024. Cílem tohoto nařízení je harmonizace pravidel napříč členskými státy EU a zajištění, že převody kryptoaktiv budou stejně transparentní a dohledatelné jako tradiční bankovní převody. Přenesením zásad platných pro fiat měnu i na převody virtuálních aktiv EU sjednocuje svůj právní rámec v souladu s aktualizovanými standardy FATF.

Kdo podléhá regulaci?

Jde-li o podnikatele v oblasti kryptoaktiv, nařízení TFR se vztahuje na všechny poskytovatele služeb spojených s kryptoaktivy (CASPs) působící v EU v rámci povolení MiCA, případně na ty, kteří mají v úmyslu o něj požádat v rámci tzv. přechodného období MiCA (byť toto v nařízení TFR není explicitně uvedeno, ale lze očekávat, že by ČNB licenci MiCA subjektu, který by nařízení TFR nedodržoval, neudělila). To zahrnuje jak ty, kteří zprostředkovávají převody na základě klientských požadavků, tak i zprostředkovatele transakcí mezi CASPs a tzv. „unhosted“ peněženkami (v českém AML zákoně budou unhosted wallets uvedeny jako nehostované adresy). Výjimku z věcné působnosti nařízení TFR tvoří peer-to-peer transakce, kde není zapojen žádný CASP, a specifické platby na veřejné účely, jako jsou daně či pokuty.

CASPs jsou rovněž povinni zajistit, že jejich zahraniční partneři mimo EU dodržují požadavky stanovené GDPR a zabezpečují ochranu přenášených dat. Tato povinnost je zvláště důležitá při přeshraničních převodech, kde mohou být rizika spojená s ochranou dat výrazně vyšší.

Požadavky na shromažďování a předávání údajů

Jedním z hlavních pilířů Travel Rule je povinnost poskytovatelů služeb spojených s kryptoaktivy (CASPs) zajistit, aby každý převod kryptoaktiv byl doprovázen detailními informacemi o odesílateli (původci) a příjemci. Tyto informace musejí být shromažďovány, ověřovány a bezpečně předávány mezi stranami převodu, a to buď před zahájením transakce, nebo současně s ní.

Informace doprovázející převody kryptoaktiv

Převody kryptoaktiv vyžadují specifický přístup, který odráží technologická specifika této oblasti. Podle čl. 14 nařízení TFR musí poskytovatelé služeb zajistit, že transakce budou doprovázeny následujícími údaji o původci (odesílateli):

• Jméno,

• Adresa distribuovaného registru, pokud je transakce registrována v síti využívající technologii DLT (Distributed Ledger Technology), nebo číslo účtu kryptoaktiv, pokud je takový účet používán,

• Adresa, včetně země,

• Číslo osobního dokladu, identifikační číslo nebo alternativně datum a místo narození,

• LEI nebo jiný dostupný rovnocenný identifikátor, pokud jej původce poskytl.

Informace o příjemci zahrnují jeho jméno, adresu distribuovaného registru nebo číslo účtu kryptoaktiv (podle povahy transakce) a případně LEI nebo jiný dostupný identifikátor. Pokud transakce není registrována v síti DLT a nepoužívá účet kryptoaktiv, musí být převod doprovázen jedinečným identifikátorem transakce.

Bezpečnostní opatření a odpovědnost poskytovatelů

Všechny tyto údaje musí být přenášeny bezpečně, aby byla zajištěna jejich ochrana před neoprávněným přístupem nebo zneužitím. CASPs a poskytovatelé platebních služeb nesmějí provést transakci, pokud nejsou doprovodné informace úplné nebo správné. U transakcí zahrnujících tzv. „unhosted“ peněženky platí dodatečné požadavky – například u převodů přesahujících 1000 EUR musí být ověřeno, že peněženka skutečně patří klientovi.

Technické výzvy a dopady na CASPs

Implementace Travel Rule přináší významné technické i provozní výzvy, které budou muset poskytovatelé služeb spojených s kryptoaktivy (CASPs) překonat. Jedním z klíčových problémů je „sunrise issue“, kdy globální fragmentace pravidel znamená, že partneři mimo EU nemusí splňovat stejně přísné standardy regulace. Tato nesourodost může vést k potížím při výměně požadovaných informací mezi stranami, což komplikuje plnění povinností CASPs.

Další výzvou je technická náročnost implementace. CASPs budou muset investovat do systémů umožňujících bezpečný přenos dat a zavést nové postupy pro ověřování identity. Tyto změny si vyžádají nemalé finanční prostředky, což může představovat zásadní překážku zejména pro menší poskytovatele služeb.

Specifickou oblastí je také soulad s technologiemi distribuované účetní knihy (DLT), jako je blockchain. TFR nezohledňuje specifika blockchainových transakcí, kde jsou data zaznamenávána pomocí neměnného kryptografického podpisu. Tato neměnnost může komplikovat splnění některých požadavků regulace, například oprav nebo aktualizací údajů.

Aby CASPs dokázali těmto výzvám čelit, musí zavést technická a organizační opatření k ochraně osobních údajů. Tato opatření zahrnují zajištění ochrany dat před ztrátou, neoprávněným sdělením či neoprávněným přístupem. Zároveň bude nutné zajistit, že přenosy dat do třetích zemí budou splňovat evropské standardy ochrany údajů.

Ochrana dat a GDPR

Jedním z nejvýznamnějších aspektů implementace Travel Rule je zajištění souladu s evropským nařízením o ochraně osobních údajů (GDPR). Nařízení TFR striktně zakazuje zpracování osobních údajů pro komerční účely mimo rámec stanovený zákonem. Tyto údaje mohou být zpracovávány výhradně za účelem předcházení praní špinavých peněz (AML) a financování terorismu (CFT).

Závěr

Travel Rule představuje klíčový nástroj Evropské unie v boji proti praní špinavých peněz (AML) a financování terorismu (CFT). Zavádí nové standardy transparentnosti a odpovědnosti, které mají za cíl zajistit, aby převody kryptoaktiv byly stejně dohledatelné jako tradiční finanční transakce. Povinnost poskytovatelů služeb spojených s kryptoaktivy (CASPs) shromažďovat a ověřovat informace o odesílatelích a příjemcích transakcí umožňuje lepší sledování finančních toků a odhalování podezřelých aktivit.

Přestože implementace této regulace přináší technické, právní a provozní výzvy, například v oblasti souladu s GDPR nebo harmonizace pravidel na globální úrovni, z dlouhodobého hlediska si klade za cíl posílit důvěru v trh s kryptoaktivy. Zda Travel Rule přispěje ke stabilizaci trhu s kryptoaktivy, k jeho větší bezpečnosti a integritě, anebo bude mít spíše za následek vytěsnění menších hráčů z trhu, ukáže až budoucnost.

1 Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 („nařízení MiCA“).

2 Nařízení Evropského parlamentu a Rady (EU) 2023/1113 ze dne 31. května 2023 o informacích doprovázejících převody peněžních prostředků a některých kryptoaktiv a o změně směrnice (EU) 2015/849 („nařízení TFR“).

Mgr. Matyáš Moska