The Directive is issued under Article 59(4) of the Prevention and Suppression of Money Laundering Activities Law of 2007 (Law 188(I)/2007), as subsequently amended. It sets out the requirements for the policies, procedures and controls that must be implemented by all entities supervised by the Central Bank of Cyprus. The Directive aims to strengthen the framework for preventing and detecting money laundering and terrorist financing, in line with European Union legislation.
The Directive entered into force one month after its publication in the Official Gazette, and it facilitates the provision of financial services by introducing more modern and flexible procedures. For example, customers benefit from additional options regarding:
All obliged entities supervised by the Central Bank of Cyprus must apply the Directive. These include credit institutions (banks), payment institutions, electronic money institutions, foreign exchange bureaus, leasing companies, and credit management companies.
There are no exceptions to the obligation to comply with the Directive. However, its measures are applied on a proportional basis. This means each entity tailors its policies and measures to the nature, complexity and size of its activities, as well as to the risk level of its customers and services. For example, when justified by a low risk, an entity may apply simplified procedures in accordance with the law.
Every business relationship and transaction requires due diligence. The first step is to verify the customer's identity. Entities must collect and verify information on each customer. For natural persons, this includes full name, date of birth, residential address and a national ID or passport number. For legal entities, this involves confirming the company’s existence and legal form (e.g. via incorporation certificates) and identifying the individuals acting on behalf of or controlling the company (directors, beneficial owners, etc.). A proof of address must also be obtained (for example, by accepting an electronic utility bill or other official document). Acceptable identification documents include a valid national identity card, an electronic identity card, a passport, or (for foreign nationals) a special remittance license.
If a person acts on behalf of another (e.g. as attorney or legal representative of a company), the entity must verify both the agent’s and the principal’s identities and the validity of the authorization documents. If the entity cannot verify the customer’s identity or documents, it must refuse to start or continue the business relationship.
Obliged entities must continuously monitor all customer relationships and transactions as required by law. The frequency of updating customer information depends on risk level: at least annually for high-risk customers, and less frequently for low-risk customers (as determined by the entity). Monitoring is mandatory to detect any unusual or suspicious activities related to money laundering or terrorist financing. This does not imply suspicion of every customer, but serves as a preventive measure to protect the financial system. Entities may also request financial statements or other information to understand a customer’s business activities and assess risk. Additionally, any cash transfers of €10,000 or more into the Republic must be declared to customs upon entry (pursuant to the law and EU Regulation 2018/1672). The obliged entity must then apply appropriate due diligence measures based on the assessed risk.
Each entity assesses the risk of its customers using criteria set out in the law and the Central Bank’s Directive. Factors to consider include: the customer’s country of origin or activity (e.g. a high-risk third country); the nature of the transactions (e.g. complex or unusual transactions); the customer’s status (e.g. politically exposed persons, PEPs); and the source or movement of funds, among others. The final risk classification is based on the entity’s analysis of these factors. If a customer is classified as high-risk, the entity must apply enhanced due diligence measures. Enhanced due diligence means additional and more thorough checks, applied in addition to the normal due diligence measures. The scope of these checks is determined by the risk assessment, and may include, for example:
Customers with complaints should follow these steps:
La directive est émise en vertu de l’article 59(4) de la loi de 2007 sur la prévention et la répression du blanchiment de capitaux (loi 188(I)/2007), telle que modifiée. Elle fixe les exigences relatives aux politiques, procédures et contrôles que doivent appliquer toutes les entités supervisées par la Banque centrale de Chypre. La directive vise à renforcer le cadre de prévention et de détection du blanchiment d’argent et du financement du terrorisme, conformément à la législation de l’Union européenne.
La directive est entrée en vigueur un mois après sa publication au Journal officiel et facilite la fourniture de services financiers en introduisant des procédures plus modernes et plus souples. Par exemple, les clients bénéficient de possibilités accrues concernant :
Toutes les entités assujetties supervisées par la Banque centrale de Chypre doivent appliquer la directive. Il s’agit notamment des établissements de crédit (banques), des établissements de paiement, des établissements d’argent électronique, des bureaux de change, des sociétés de crédit-bail et des sociétés de gestion de créances.
Aucune exception n’est prévue quant à l’obligation de se conformer à la directive. Toutefois, la mise en œuvre des mesures s’effectue selon le principe de proportionnalité. Chaque entité adapte ses politiques et mesures en tenant compte de la nature, de la complexité et de l’ampleur de ses activités ainsi que du niveau de risque de ses clients et services. Par exemple, en cas de faible risque, l’entité peut appliquer des procédures simplifiées conformément à la loi.
La première étape est l’identification du client et la mise en œuvre de la procédure de diligence. Il est nécessaire de recueillir et de vérifier les informations personnelles suivantes : pour les personnes physiques – nom, prénom, date de naissance, adresse de résidence et numéro de carte d’identité ou de passeport ; pour les personnes morales – confirmation de l’existence et de la forme juridique (par exemple via des certificats de constitution) ainsi que l’identité des personnes agissant au nom de la société (dirigeants, bénéficiaires effectifs, etc.). Un justificatif de domicile doit également être obtenu (par exemple une facture de services publics électronique). Les documents d’identification acceptés incluent une carte nationale d’identité, une carte d’identité électronique, un passeport ou, pour les ressortissants étrangers, une autorisation spéciale de transfert de fonds.
Si une personne agit au nom d’une autre (par exemple en tant que mandataire ou représentant légal d’une société), l’entité doit vérifier l’identité des deux personnes ainsi que la validité du mandat. Si l’entité ne peut pas vérifier l’identité ou les documents du client, elle doit mettre fin à la relation commerciale ou refuser de l’établir.
Les entités sont tenues de surveiller en permanence la relation commerciale et les transactions de chaque client. La fréquence de mise à jour des informations dépend du niveau de risque : au moins une fois par an pour les clients à haut risque, et moins fréquemment pour les clients à faible risque (selon les procédures internes de l’entité). La surveillance des opérations vise à détecter à temps tout mouvement inhabituel ou suspect lié au blanchiment d’argent ou au financement du terrorisme, conformément à la loi. Cela ne signifie pas qu’il y a soupçon à l’égard de chaque client, mais constitue une mesure préventive pour protéger le système financier. Les entités peuvent également demander des relevés financiers ou d’autres documents afin de comprendre l’activité du client et d’évaluer le risque. Par ailleurs, les transferts d’espèces supérieurs ou égaux à 10 000 € doivent être déclarés à la douane à l’entrée en République (conformément à la loi et au règlement (UE) 2018/1672). L’entité doit alors appliquer les mesures de diligence appropriées en fonction du risque.
Chaque entité évalue le risque de ses clients en tenant compte des critères prévus par la loi et la directive de la Banque centrale. Les facteurs pris en compte comprennent notamment : le pays d’origine ou d’activité du client (ex. pays tiers à haut risque) ; la nature des opérations (ex. transactions complexes ou inhabituelles) ; le statut du client (ex. personne politiquement exposée, PPE) ; la source ou l’utilisation des fonds, etc. L’analyse de ces éléments permet de déterminer si un client présente un risque élevé. En cas de risque élevé, l’entité doit appliquer des mesures de vigilance renforcées. Il s’agit de contrôles supplémentaires et plus approfondis, qui s’ajoutent aux contrôles habituels. L’étendue de ces contrôles dépend de l’évaluation du risque et peut comprendre par exemple :
Ces mesures visent à renforcer la sécurité et la conformité.
Die Richtlinie wird gemäß Artikel 59(4) des Gesetzes von 2007 zur Verhinderung und Bekämpfung der Geldwäsche (Gesetz 188(I)/2007 in der jeweils geltenden Fassung) erlassen. Sie legt die Anforderungen an die Richtlinien, Verfahren und Kontrollen fest, die alle unter Aufsicht der Zentralbank von Zypern stehenden Institute umsetzen müssen. Ziel der Richtlinie ist es, den Rahmen zur Verhinderung und Aufdeckung von Geldwäsche und Terrorismusfinanzierung im Einklang mit der EU-Gesetzgebung zu stärken.
Die Richtlinie trat einen Monat nach ihrer Veröffentlichung im Amtsblatt in Kraft. Sie erleichtert die Erbringung von Finanzdienstleistungen durch Einführung modernerer und flexiblerer Verfahren. So profitieren Kunden von erweiterten Möglichkeiten, zum Beispiel:
Die Richtlinie gilt für alle verpflichteten Institute unter Aufsicht der Zentralbank von Zypern. Dazu gehören insbesondere Kreditinstitute (Banken), Zahlungsinstitute, E-Geld-Institute, Devisenhändler, Leasinggesellschaften und Kreditmanagementgesellschaften.
Es gibt keine Ausnahmen von der Pflicht zur Umsetzung der Richtlinie. Die Maßnahmen werden jedoch nach dem Verhältnismäßigkeitsprinzip angewendet. Das bedeutet, dass jedes Institut seine internen Regeln und Maßnahmen an die Natur, Komplexität und Größe seiner Tätigkeiten sowie an das Risikoprofil der Kunden und Dienstleistungen anpasst. Beispielsweise kann bei niedriger Risikoeinschätzung auf vereinfachte Verfahren zurückgegriffen werden.
Zu Beginn einer Geschäftsbeziehung sind der Kunde zu identifizieren und alle erforderlichen Informationen einzuholen. Dazu müssen folgende Daten beschafft und überprüft werden: Bei natürlichen Personen – Vor- und Nachname, Geburtsdatum, Wohnadresse sowie Personalausweis- oder Reisepassnummer. Bei juristischen Personen – Nachweis der Existenz und Rechtsform (z.B. durch Handelsregisterauszüge) sowie Identifikation der handelnden und kontrollierenden Personen (Geschäftsführer, wirtschaftliche Eigentümer etc.). Auch ein Adressnachweis (z.B. durch eine aktuelle Strom-, Gas- oder Wasserrechnung) ist vorzulegen. Als Ausweisdokumente gelten ein gültiger Personalausweis, ein elektronischer Personalausweis, ein Reisepass oder für Drittstaatsangehörige eine besondere Zahlungsüberweisungserlaubnis.
Wenn eine Person im Auftrag eines anderen handelt (z.B. bevollmächtigter Vertreter oder gesetzlicher Vertreter einer Firma), muss das Institut die Identität beider Personen sowie die Legitimation (Vollmacht) überprüfen. Kann die Identität oder die Dokumentation des Kunden nicht festgestellt werden, muss das Institut die Geschäftsbeziehung ablehnen oder beenden.
Jedes Institut ist gesetzlich verpflichtet, die Geschäftsbeziehung und die Transaktionen seiner Kunden fortlaufend zu überwachen. Die Häufigkeit der Aktualisierung der Kundendaten hängt vom Risikograd ab: Bei Hochrisikokunden mindestens einmal jährlich, bei Niedrigrisikokunden nach Ermessen des Instituts. Durch diese Überwachung sollen ungewöhnliche oder verdächtige Transaktionen frühzeitig erkannt werden, um Geldwäsche oder Terrorismusfinanzierung zu verhindern. Diese Kontrolle bedeutet nicht, dass jeder Kunde verdächtig ist, sondern dient der Sicherheit des Finanzsystems und des Schutzes aller Kunden. Institute können zudem Finanzunterlagen oder andere Informationen anfordern, um die Aktivitäten des Kunden besser zu verstehen und das Risiko einzuschätzen. Außerdem müssen Bargeldbeträge ab 10.000 € bei der Einreise in die Republik beim Zoll deklariert werden (siehe Gesetz und EU-Verordnung 2018/1672). Das Institut muss dann geeignete Sorgfaltsmaßnahmen entsprechend dem Risiko anwenden.
Jedes Institut bewertet eigenverantwortlich das Risiko seiner Kunden nach den in Gesetz und Richtlinie vorgegebenen Kriterien. Zu den zu berücksichtigenden Faktoren gehören insbesondere: das Herkunfts- oder Tätigkeitsland des Kunden (z.B. Drittstaat mit hohem Risiko); die Art der Geschäftsbeziehung bzw. Transaktionen (z.B. komplexe oder ungewöhnliche Transaktionen); der Status des Kunden (z.B. politisch exponierte Personen, PEP); sowie die Herkunft und Verwendung der Gelder. Basierend auf der Analyse dieser Elemente wird das Risiko eingestuft. Bei hoher Risikoeinschätzung sind erweiterte Sorgfaltsmaßnahmen anzuwenden. Diese stellen zusätzliche und intensivere Prüfungen dar, die über die üblichen Sorgfaltsmaßnahmen hinausgehen. Der Umfang dieser Maßnahmen richtet sich nach der Risikoeinschätzung und kann zum Beispiel Folgendes umfassen:
Ziel dieser Maßnahmen ist es, die Sicherheit zu erhöhen und die Einhaltung der Vorschriften zu gewährleisten.
Ein Kunde, der eine Beschwerde einreichen möchte, sollte folgende Schritte befolgen:
Директива издана в соответствии со статьёй 59(4) Закона 2007 года о предотвращении и пресечении легализации доходов, полученных преступным путём (Закон 188(I)/2007) с последующими изменениями. Она устанавливает требования к политике, процедурам и контролям, которые должны внедрить все подконтрольные Центральному банку Кипра институты. Директива направлена на укрепление системы предотвращения и выявления отмывания денег и финансирования терроризма в соответствии с законодательством Европейского Союза.
Директива вступает в силу через месяц после её публикации в Официальном вестнике. Она упрощает предоставление финансовых услуг, вводя более современные и гибкие процедуры. Например, клиенты получают дополнительные возможности в отношении:
Все подконтрольные Центральному банку Кипра учреждения обязаны соблюдать требования директивы. К ним относятся, в частности, кредитные учреждения (банки), платёжные институты, учреждения электронных денег, пункты обмена валют, лизинговые компании и компании по управлению кредитами.
От обязанности выполнять директиву не предусмотрено никаких исключений. Вместе с тем при применении мер соблюдается принцип пропорциональности. Это означает, что каждое учреждение адаптирует свои внутренние политики и меры с учётом характера, сложности и масштаба своей деятельности, а также уровня риска клиентов и услуг. Например, при низком уровне риска могут применяться упрощённые процедуры в соответствии с законом.
Первый шаг – идентификация клиента и сбор необходимых сведений. Для физических лиц это включает полное имя, дату рождения, адрес проживания и номер удостоверения личности (или паспорта). Для юридических лиц – подтверждение существования компании и её правовой формы (например, учредительные документы), а также идентификация лиц, действующих от имени компании (руководители, бенефициарные владельцы и т.д.). Также необходимо получить подтверждение адреса проживания (например, по квитанции об оплате коммунальных услуг или другому официальному документу). Допустимые документы: действующее удостоверение личности, электронное удостоверение личности, загранпаспорт или (для иностранцев) специальное разрешение на перевод денежных средств.
Если кто-то действует от имени другого (например, по доверенности или как представитель компании), учреждение обязано проверить личность обеих сторон и подлинность доверенности. Если установить личность клиента или проверить документы невозможно, учреждение должно прекратить или не начинать деловые отношения.
Учреждения обязаны постоянно контролировать отношения с клиентом и совершаемые им операции. Частота обновления данных зависит от уровня риска: для клиентов с высоким риском – не реже одного раза в год, для клиентов с низким риском – реже, по усмотрению учреждения. Мониторинг транзакций обязателен для своевременного выявления необычных или подозрительных операций, связанных с отмыванием денег или финансированием терроризма. Это не означает подозрение ко всем клиентам, а является превентивной мерой в целях безопасности. Учреждения также могут запрашивать финансовую отчётность или другую информацию, чтобы лучше понять деятельность клиента и оценить риски. Кроме того, при ввозе наличных средств на сумму 10 000 евро и более их необходимо декларировать на таможне в соответствии с законом (и Регламентом (ЕС) 2018/1672). В соответствии с оценкой риска учреждение применяет необходимые меры (обычные или усиленные) проверки клиента.
Каждое учреждение самостоятельно оценивает риск своих клиентов, исходя из критериев, предусмотренных законом и директивой Центрального банка. При оценке учитываются такие факторы, как страна происхождения или деятельности клиента (например, третья страна с высоким риском); характер операций (например, сложные или необычные транзакции); статус клиента (например, политически значимые лица); источник или характер движения средств и др. На основании анализа этих факторов определяется, является ли клиент высокорисковым. В случае высокого риска учреждение обязано применять усиленные меры дью-дилижанс (дью-дилидженс). Усиленная проверка означает дополнительные, более тщательные меры поверх обычных процедур. Объем таких мер зависит от оценки риска и может включать, например:
Цель этих мер – повысить безопасность и обеспечить соблюдение требований.