Kaip nurodoma centrinio banko pranešime, „Finansinės paslaugos „Contis“, vykdydama veiklą per elektroninių pinigų platintojus, delegavo jiems funkcijas, susijusias su pinigų plovimo ir teroristų finansavimo prevencijos priemonių įgyvendinimu, tačiau nekontroliavo, kad platintojai šias funkcijas tinkamai įgyvendintų.
Platintojų veiklos tikrinimo, rizikos vertinimo ir audito procedūros turėjo reikšmingų trūkumų. Jos buvo nepakankamos, kad pinigų plovimo ir teroristų finansavimo rizika būtų tinkamai valdoma. „Finansinės paslaugos „Contis“ neužtikrino efektyvių platintojų rizikos vertinimo procesų, tinkamai nesiaiškino klientų portfelio, bendro platintojų veiklos modelio rizikingumo, lėšų šaltinių, nenustatė rizikų, įskaitant susijusių su kriptoturtu. Trūkumų turėjo ir įstaigos taikytos klientų pinigų plovimo ir teroristų finansavimo rizikos vertinimo procedūros. Jos neužtikrino, kad klientų keliama rizika būtų tinkamai nustatyta, įvertinta ir klientai būtų tinkamai suskirstyti į rizikos grupes, taip pat, kad būtų imamasi priemonių minėtai rizikai valdyti.
„Finansinės paslaugos „Contis“ neužtikrino, kad būtų tinkamai nustatomi klientų dalykinių santykių tikslas ir pobūdis. Šią funkciją ji delegavo platintojams, tačiau Lietuvos bankas nustatė, kad tikrinamu laikotarpiu didžiosios klientų dalies atveju platintojai arba apskritai nepildė kliento pažinimo anketų, arba klientams neužduodavo klausimų apie dalykinių santykių tikslą ir pobūdį. Net ir nustačiusi trūkumų, įstaiga laiku nesiėmė priemonių, kad įsitikintų, jog platintojas tinkamai juos pašalino.
Tikrinamu laikotarpiu įstaiga taip pat nebuvo tinkamai reglamentavusi klientų dalykinių santykių stebėsenos proceso, o įdiegtų scenarijų nepakako, kad būtų laiku nustatyta neįprasta (įtartina) kliento veikla, nebuvo skiriama pakankamai žmogiškųjų išteklių stebėsenai atlikti.
Be to, įstaiga neužtikrino, kad būtų tinkamai laikomasi informacinių ir ryšių technologijų bei saugumo rizikos valdymo reikalavimų – netaikė antrosios (kontrolės) ir neužtikrino trečiosios (vidaus audito) gynybos linijų. Ji nesiėmė priemonių, kad susitarimuose su grupės įmonėmis dėl paslaugų teikimo būtų nustatyti su informacijos saugumu susiję tikslai, priemonės ir saugumo procesų specifikacijos. Įstaiga neatliko ir kasmetinio informacinių ir ryšių technologijų bei saugumo rizikos vertinimo, nepateikė operacinės ir saugumo rizikos vertinimo ataskaitos, kurią reikia kasmet atnaujinti.
Įstaiga ėmėsi veiksmų siekdama pašalinti aptariamus pažeidimus – pateikė nustatytų trūkumų šalinimo planą, nurodė, kokių veiksmų jau ėmėsi ir planuoja imtis ateityje.
Už pirmiau nurodytus pažeidimus „Finansinės paslaugos „Contis“ skirta piniginė bauda. Lietuvos bankas taip pat nustatė, kad įstaiga nebuvo išbandžiusi, kaip veiklos tęstinumo planai būtų įgyvendinami praktiškai. Už tai skirtas įspėjimas. Be to, ji nebuvo patvirtinusi informacijos saugumo politikos. Už šį pažeidimą skirta poveikio priemonė – viešas paskelbimas.
Be minėtų poveikio priemonių, Lietuvos bankas įpareigojo „Finansinės paslaugos „Contis“ iki 2024 m. kovo 31 d. pašalinti visus nustatytus teisės aktų pažeidimus ir kitus veiklos trūkumus, o iki 2024 m. birželio 30 d. pateikti tai patvirtinančią audito įmonės išvadą. Laikinai, iki atskiro centrinio banko sprendimo, įstaiga taip pat įpareigota neužmegzti dalykinių santykių su naujais platintojais ir tarpininkais.
Lietuvos bankas poveikio priemones skiria atsižvelgdamas į pažeidimų sunkumą, priemones, kurių imamasi, kad ateityje jie nesikartotų, kitas reikšmingas aplinkybes.
