START USING HR

Start using
HR
March 24, 2026
NOVI OKVIR EU AMLR-a: ŠTO SE MIJENJA OD SRPNJA 2027.?
by: Identyum

10.  srpnja 2027. nije daleko, ali je fiksno utvrđen datum za usklađivanje s novom AML Uredbom.

Nova Uredba EU-a o sprječavanju pranja novca (Uredba (EU) 2024/1624), skraćeno AMLR, od navedenog datuma primjenjivat će se izravno i ujdenačeno u svim državama članicama EU, čime se zamjenjuje dosadašnji pristup temeljen na nacionalninm provedbama 4. i 5. Direktive o sprječavanju pranja novca. Novi okvir uspostavlja jedinstven skup pravila koji ne ostavlja prostora za nacionalne varijacije, čime se značajno povećava razina harmonizacije na razini EU-a.

Ako je vaša organizacija obveznik AMLR-a, to znači da do tog datuma morate osigurati potpunu usklađenost svojih postupaka identifikacije stranaka, provedbe dubinske analize i vođenja evidencije s novim regulatornim zahtjevima.

Evo što se mijenja.

Od direktive do uredbe

Dosadašnji regulatorni okvir EU-a u području sprječavanja pranja novca bio je utemeljen na direktivama koje je svaka država članica morala prenositi u nacionalna zakonodavstva, što je u praksi rezultiralo značajnom razinom neujednačenosti. Posljedično, financijske institucije koje posluju više država članica EU-a bile su suočene s različitim skupovima pravila, nadzornih očekivanja i interpretacija istih temeljnih obveza.

AMLR to mijenja. Kao Uredba, primjenjuje se izravno i ujednačeno u svim državama članicama EU-a od 10. srpnja 2027., bez sloja nacionalnog prenošenja i bez prostora za divergentna tumačenja temeljnih obveza.

Time je uspostavljen jedinstveni skup AML pravila, što predstavlja dugogodišnji regulatorni cilj, osobito nakon financijske krize. Za funkcije usklađenosti (compliance timove) nova AML Uredba znači da će postojeće interne politike i procedure, koje su dosad bile prilagođene specifičnostima pojedinih nacionalnih okvira, biti potrebno preispitati i uskladiti s novim paneuropskim standardom.

Tko je obveznik?

AMLR značajno proširuje krug obveznika. Uz postojeće kategorije obveznika (banke, osiguravajuća društva, leasing i factoring društva, štedne i kreditne institucije, investicijska društva, institucije za platni promet, revizori, odvjetnici, računovođe, javni bilježnici, kasina i priređivači igara na sreću i posrednici u prometu nekretninama), u novi okvir izričito su uključeni i novi (dodatni) subjekti:

Pružatelji usluga povezanih s kriptoimovinom (CASP-ovi)

Pružatelji usluga povezanih s kriptoimovinom, uključujući burze kriptovaluta i pružatelje skrbničkih wallet-a, u potpunosti su u opsegu primjene, s obvezom dubinske analize stranke prilagođenim prema profilu rizika transakcija kriptoimovinom. Prag za provođenje dubinske analize stranke pri povremenim transakcijama snižen je s 15 000 EUR na 10 000 EUR, a za CASP-ove se dubinska analiza stranke zahtijeva i ispod iznosa od 1 000 EUR kada su prisutni određeni pokazatelji rizika.

Platforme za skupno financiranje i posrednici

Pružatelji usluga skupnog financiranja, koji su već regulirani sektorskim zakonodavstvom EU-a, sada su izričito navedeni kao obveznici u okviru jedinstvenog okvira za AMLR.

Profesionalni nogometni klubovi i agenti

Veliki novčani tokovi, netransparentne vlasničke strukture i prekogranični transferi uvrstili su ovaj sektor u opseg primjene, pri čemu nogometni klubovi i agenti imaju prijelazno razdoblje i ulaze u opseg primjene 10. srpnja 2029., dvije godine nakon glavnog datuma implementacije.

Trgovci visoko vrijednom robom

Trgovci plemenitim metalima, dragim kamenjem, luksuznom robom i ostalim visoko vrijednim sredstvima pridružuju se popisu obveznika, što odražava dokumentiranu upotrebu fizičke robe u shemama pranja novca.

Ako vaša organizacija pripada u novu kategoriju obveznika, nužno je pravodobno poduzeti korake usklađivanja. To uključuje provedbu procjene rizika i procesa,  uspostavu odgovarajućeg operativnog AML i modela, integraciju AML kontrola u svoje poslovne procese, imenovanje odgovorne osobe, edukaciju zaposlenika, te izradu i implementaciju relevantne dokumentacije (politike, pravilnici, procedure…). Pravodobno djelovanje ključno je kako bi organizacija bila operativno spremna za usklađenost prije srpnja 2027. godine.

Dubinska analiza stranke više nije postupak temeljen na dokumentima

Ovo je jedna od najznačajnijih promjena AMLR-a za timove zadužene za tehnologiju i operacije.

Prema dosadašnjim direktivama, dubinska analiza stranke uglavnom se tumačila kao postupak prikupljanja dokumentacije: pribaviti presliku osobne iskaznice, prikupiti dokaz o adresi, pohraniti te podatke i periodično ih pregledavati. AMLR u potpunosti redefinira ovaj pristup. AMLR propisuje dubinsku analizu stranke kao strukturirani, vremenski označen i revizijski provjerljiv skup podataka koji je uređen preciznom logikom uvjeta aktivacije, pravilima upravljanja starošću podataka, te mehanizmima postupanja u slučaju utvrđene neusklađenosti. U tom kontekstu podaci o stranci više se ne tretiraju kao statični zapisi prikupljeni jednokratno, već kao dinamični “živi” zapis koji podliježe unaprijed definiranim pravilima ažuriranja, uključujući i obvezu ponovnog utvrđivanja identiteta u slučaju nastupa relevantnih promjena ili proteka određenog vremena.

Konkretno, to podrazumijeva:

  • svaki podatak o identitetu mora biti povezan  s konkretnim, dokumentiranim događajem provjere koji uključuje vremenski žig,
  • uvjeti aktivacije moraju biti unaprijed utvrđeni, jasno definirani i dokumentirani,
  • obveznici su dužni aktivno upravljati starošću podataka, pri čemu zastarjelost podataka predstavlja okolnost koja automatski pokreće obvezu ponovne identifikacije i verifikacije stranke,
  • primjena pojednostavljenih i pojačanih mjera dubinske analize stranke mora se temeljiti na dokumentiranoj procjeni rizika, a ne na diskrecijskoj procjeni bez odgovarajućeg uporišta.

Za obveznike koji dubinsku analizu stranke provode putem nestrukturiranih repozitorija dokumenata ili pretežito ručnim procesima, navedeno predstavlja značajnu strukturnu promjenu. AML Uredba zahtijeva uspostavu sustava koji osigurava strukturirane, konzistentne i revizijski provjerljive podatke, čime se napušta praksa oslanjanja na nestrukturirane zapise poput skeniranih PDF datoteka pohranjenih u zajedničkim mapama.

Udaljena identifikacija kao regulatorno priznat standard

Jedna od najvažnijih praktičnih promjena za funkcije usklađenosti jest izričito priznavanje elektroničke identifikacije u skladu s eIDAS-om kao valjanog sredstva za provedbu dubinske analize stranke.

AMLR, zajedno s nacrtom regulatornih tehničkih standarda o dubinskoj analizi stranke koji razvija Europsko nadzorno tijelo za bankarstvo (EBA), potvrđuje da:

  • Identifikacija putem EUDI novčanika ispunjava zahtjeve provjere identiteta u postupcima udaljenog uspostavljanja poslovng odnosa.
  • Kvalificirano elektroničko ovjeravanje atributa (QEAA) prepozaje se kao valjan dokaz u okviru dubinske analize stranke. 
  • Obveznici će od 2027. biti dužni prihvaćati identifikaciju temeljenu na EUDI novčaniku kada je stranka korisiti kao sredstvo identifikacije.

Ovo je jasan regulatorni smjer u kojem se dubinska analiza stranke razvija prema digitalnim, udaljenim i standardiziranim modelima koji se temelje na provjerljivim elektroničkim identitetskim vjerodajnicama. Organizacije koje se i dalje oslanjaju na papirnate ili djelomično ručne procese uvođenja stranaka ne napreduju prema usklađenosti, već se suočavaju s potrebom temeljite transformacije postojećih operativnih modela.

Za odabir i implementaciju tehnoloških rješenja za potrebe usklađivanja, ključna pitanja postaju jasno definirana: djeluje li vaš pružatelj usluga identifikacije u skladu s eIDAS-om? Je li implementirana pouzdana biometrijska provjera živosti? Osigurava li sustav da je svaki događaj provjere vremenski označen i evidentiran na razini strukturiranih podataka, a ne isključivo kroz nestrukturiranu dokumentaciju? Možete li u svakom trenutku dokazati koji je standard i razina provjere primijenjena na pojedinu stranku?

Ujednačena definicija stvarnog vlasnika

AMLR uspostavlja jedinstvenu  definiciju stvarnog vlasnika na razini cijele EU. Stvarnim vlasnikom smatra se svaka fizička osoba koja izravno ili neizravno posjeduje ili kontrolira najmanje 25% pravnog subjekta, bilo putem vlasničkih udjela, glasačkih prava ili drugih oblika kontrole.

Time se uklanjaju dosadašnje razlike u pragovima i pristupima među državama članicama. Za sektore visokog rizika Europska komisija zadržava ovlasti snižavanja navedenog praga na 15%, što za obveznike implicira potrebu za detaljnijim i granuliranijim utvrđivanjem vlasničke strukture unutar obuhvaćenih subjekata.

S operativnog aspekta, navedeno znači da vaši postupci uvođenja stranaka u poslovni odnos (onboarding) i periodičnih pregleda moraju biti osmišljeni tako da omogućuju sustavnu identifikaciju, verifikaciju i redovitu ponovnu provjeru stvarnih vlasnika. Više nije dovoljno samo formalno prikupljanje izjava o vlasništvu, već je nužno osigurati provjerljive i ažurne podatke temeljene na pouzdanim izvorima.

Pojačana dubinska analiza: jasnije definirani kriteriji, smanjena diskrecija

AMLR uvodi znatno višu razinu preciznosti u pojačanu dubinsku analizu, koja se više ne tretira kao kategorija prepuštena diskrecijskoj procjeni obveznika, već se aktivira na temelju jasno definiranih kriterija, što između ostalog, obuhvaća:

  • poslovne odnose ili transakcije povezane s visokorizičnim trećim zemljama, 
  • politički izložene osobe (PEP-ove) i njihove bliske suradnike, 
  • korespondentske bankarske odnose, 
  • složene ili neuobičajeno velike transakcije bez očite ekonomske ili zakonite svrhe,
  • poslovne odnose koji ne zadovoljavaju standarde ekvivalentnosti eIDAS-a.

Kada se primjenjuje pojačana dubinska analiza, Uredba zahtijeva provedbu dodatnih i detaljnijih provjera, osobito u pogledu izvora sredstava i izvora bogatstva, uz istodobno uspostavljanje intenzivnijeg i kontinuiranog praćenja poslovnog odnosa.

AMLA: novo središnje nadzorno tijelo

AMLR je sastavni dio šireg zakonodavnog paketa kojeg uspostavlja Tijelo EU-a za sprječavanje pranja novca i borbu protiv financiranja terorizma (AMLA)

AMLA će imati ovlasti izravnog nadzora i nad odabranim financijskim institucijama s najvišim profilom rizika koje posluju prekogranično unutar EU-a, uz istodobnu koordinacijsku ulogu prema nacionalnim nadzornim tijelima za sprječavanje pranja novca i financiranja terorizma u svim državama članicama. Za odabrane obveznike, prvenstveno velike prekogranične financijske institucije, nadzorna nadležnost će se prenositi s nacionalnih regulatora na jedinstveno nadzorno tijelo na razini EU-a, koje raspolaže izravno primjenjivim izvršnim ovlastima.

Standardi koje AMLA primjenjuje bit će ujednačeni, transparentni i dosljedno primjenjivani u svim jurisdikcijama u kojima nadzirani subjekti posluju, što za funkcije usklađenosti znači povećanu razinu predvidljivosti regulatornih očekivanja na prekograničnoj razini, ali i istodobno viši stupanj zahtjevnosti, uz centralizirani nadzor i evaluaciju usklađenosti.

Što to znači za vaš compliance?

AMLR nije samo regulatorna nadogradnja postojećeg okvira, već za većinu obveznika zahtijeva temeljitu reviziju načina na koji su strukturirani procesi identifikacije stranke, upravljanja podacima dubinske analize i kontinuiranog praćenja poslovnog odnosa. Četiri područja zahtijevaju osobitu pažnju prije srpnja 2027.:

  • Metoda identifikacije: omogućuje li postojeći postupak uvođenja stranaka generiranje vremenski označenog i revizijski provjerljivog zapisa o svakom događaju provjere identiteta? Je li implementirana pouzdana biometrijska provjera živosti? Je li postupak daljinske identifikacije usklađen s eIDAS-om? Negativan odgovor na bilo koje od navedenih pitanja upućuje na to da postojeći proces neće zadovoljiti zahtjeve AMLR-a.
  • Arhitektura podataka dubinske analize stranke: jesu li podaci o stranci strukturirani kao koherentan skup podataka s jasno definiranim pravilima ažuriranja i kriterijima za ponovnu provjeru? Ili su pohranjeni kao nestrukturirani dokumenti bez sustavne logike upravljanja životnim ciklusom podatka i bez revizijskog zapisa? AMLR zahtijeva prvi pristup.
  • Mapiranje stvarnih vlasnika: omogućuje li vaš sustav sustavnu identifikaciju, verifikaciju i periodičnu ponovnu provjeru stvarnih vlasnika na pragu od 25%? Postoji li fleksibilnost u logici sustava za slučaj snižavanja praga od strane Europske komisije u određenim sektorima?
  • Postupak pojačane dubinske analize: postoji li formaliziran i revizijski provjerljiv postupak pojačane dubinske analize koji može odgovoriti na zahtjeve financijsko-obavještajne jedinice (FIU) unutar pet radnih dana? Za organizacije koje se i dalje oslanjaju na pretežito ručne procese, navedeni rok sam po sebi predstavlja  snažan indikator potrebe za unapređenjem postojećeg operativnog modela.

Kako Identyum podupire usklađivanje s AMLR-om?

Identyumov servis za udaljenu i automatiziranu provjeru identiteta, Identify, razvijen je s ciljem usklađivanja s regulatornim zahtjevima koje AMLR sada izričito propisuje.

Udaljena automatizirana identifikacija putem servisa Identify rezultira pravno valjanim, vremenski označenim, biometrijski verificiranim zapisom identiteta. Proces obuhvaća provjeru identifikacijskog dokumenta, biometrijsku usporedbu lica uz provjeru živosti i provjere kroz relevantne baze podataka. Rezultat je strukturirani izlaz u obliku podatkovnog zapisa (npr. JSON datoteke ili PDF izvješća), pri čemu je svaki događaj provjere precizno evidentiran vremenskim žigom. Time se izravno adresira zahtjevu AMLR-a za strukturiranim i revizijski provjerljivim skupovima podataka u okviru dubinske analize stranke, umjesto oslanjanja na nestrukturirane arhive dokumenata.

Identyum posluje u skladu s relevantnim regulatornim i tehničkim okvirima, uključujući AML6, GDPR-om, eIDAS-om (ETSI EN 119 461) kao i smjernicama FATF-a i EBA-e. Sustav podržava i načelo selektivnog otkrivanja podataka, omogućujući  obveznicima prikupljanje isključivo onih podataka koji su nužni za ispunjenje konkretnih obveza usklađenosti, u skladu s načelom razmjernog prikupljanja podataka iz AMLR-a.

Za potrebe financijskog aspekta dubinske analize stranke, uključujući i provjeru izvora sredstava, Identyumova usluga FinCheck omogućuje automatizirano dohvaćanje verificiranih podataka o bankovnim računima, transakcijskim tokovima i procjeni financijskog kapaciteta putem PSD2 AIS API-ja, uz izričitu suglasnost korisnika i bez potrebe za dostavom fizičke dokumentacije. Time se podupiru zahtjevi vezani uz financijsko praćenje i analizu izvora sredstava, osobito u kontekstu pojačane dubinske analize.

U svrhu osiguravanja kontinuirane usklađenosti nakon inicijalne provjere identiteta, Identyum omogućuje i funkcionalnost obavijesti o promjenama podataka. Nakon što obveznik ostvari pristup podacima o identitetu stranke putem Identyum platforme, automatski prima obavijesti o svakoj relevantnoj promjeni, primjerice u slučaju kada stranka ažurira identifikacijski dokument u svom Identyum ID Walletu. Obavijesti se dostavljaju isključivo za stranke za koje postoji valjani i aktivni pristupni token, čime se osigurava da obrada podataka ostaje utemeljena na valjanoj pravnoj osonovi i načelu razmjernosti. Na taj način obveznik može pravodobno pokrenuti postupke ponovne provjere ili ažuriranja podataka na svojoj strani, održavajući evidenciju dubinske analize stranke ažurnom bez oslanjanja na periodične ručne preglede, što izravno odgovara zahtjevima AMLR-a za kontinuiranim praćenjem.

Oba servisa integriraju se putem API integracije u postojeću infrastrukturu sustava za usklađenost i dubinsku analizu stranke (KYC), dok je Identify dostupan i kao samostalno web rješenje (portal) za organizacije koje ne zahtijevaju punu integraciju u vlastitu IT infrastrukturu.

Vremena je još malo

10. srpnja 2027. je za 16 mjeseci. Za organizacije koje već raspolažu uspostavljenim, digitalno podržanim i usklađenim procesima uvođenja stranaka u poslovni odnos, AMLR će primarno zahtijevati pregled postojeće dokumentacije i provedbu analize odstupanja u odnosu na nove regulatorne standarde. Nasuprot tome, za organizacije koje se i dalje oslanjaju na papirnate ili djelomično ručne postupke dubinske analize stranke, preostali rok za usklađivanje znatno je kraći nego što se na prvi pogled čini.

Regulatorni okvir je već uspostavljen. Uredba je objavljena, tehnički standardi su u fazi izrade, a datum početka primjene jeasno je definiran.

Ključno pitanje više nije treba li započeti s pripremama, već u kojoj mjeri organizacija učinkovito koristi preostalo vrijeme za postizanje potpune usklađenosti.

Za više informacija o tome kako Identyum provodi  identifikaciju i dubinsku analizu stranke usklađenu s AMLR-om, posjetite https://identyum.com/hr/verifikacija-identiteta/ ili nas kontaktirajte na [email protected].

Back to news