I. Dispozitat hyrëse

a) Rubicon sh.a. (“Kompania” ose “Rubicon”), e cila zotëron me të drejta të plota platformën digjitale “Pago”, është e licencuar nga Banka e Shqipërisë me licencën nr. 52, datë 21.01.2022, si Institucion i Parasë Elektronike (Institucion Financiar Jo-Bankë). Kompania siguron përputhshmërinë statutore dhe rregullatore me kërkesat e legjislacionit në fuqi për shërbimet e pagesave dhe parasë elektronike, si dhe identifikimin dhe menaxhimin e risqeve të përputhshmërisë në përputhje me kërkesat rregullatore vendase dhe standardet ndërkombëtare.

b) Risku i përputhshmërisë është risku i mundshëm ligjor, risku i sanksioneve mbikëqyrëse ose sanksioneve të tjera zyrtare, i humbjeve të konsiderueshme financiare ose i dëmtimit të reputacionit për shkak të mosrespektimit të legjislacionit ose standardeve të tjera jo-legjislative dhe rregullave të brendshme të zbatueshme për Kompaninë në lidhje me veprimtarinë e saj në fushën e shërbimeve të pagesave dhe parasë elektronike.

c) Politika e Përputhshmërisë harmonizohet me kornizën ligjore përkatëse, përfshirë por jo kufizuar në:

• Ligjin nr. 55/2020 “Për shërbimet e pagesave”;
• Ligjin nr. 9917/2008 “Për parandalimin e pastrimit të parave dhe financimit të terrorizmit”, i ndryshuar;
• Udhëzimin nr. 1, datë 21.01.2025 të Ministrit të Financave “Për mënyrat dhe procedurat për zbatim nga subjektet e përfshira në veprimtari financiare”;
• Ligjin nr. 124/2024 “Për Mbrojtjen e të Dhënave Personale” dhe Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave (GDPR);
• Ligjin për identifikimin elektronik dhe shërbimet e besuara;
• Ligjin nr. 9258/2004 “Për masat kundër financimit të terrorizmit”;
• Rregulloret dhe udhëzimet e Bankës së Shqipërisë për institucionet e parasë elektronike;
• Listat e sanksioneve të OKB-së, BE-së, OFAC-it (SHBA) dhe HM Treasury (Mbretëria e Bashkuar).

II. Dispozitat e përgjithshme

II.1. Qëllimi i Politikës

Veprimtaria e funksionit të përputhshmërisë mbulon Rubicon sh.a. në tërësi, duke përfshirë të gjitha njësitë organizative dhe aktivitetet e saj në fushën e emetimit të parasë elektronike, ekzekutimit të transaksioneve të pagesave, hapjes dhe administrimit të llogarive të parasë elektronike, emetimit të kartave të debitit, shërbimeve POS dhe e-commerce, si dhe çdo shërbimi tjetër ndihmës të ofruar nëpërmjet platformës “Pago”. Personat që kryejnë veprimtari të jashtme ose janë të angazhuar si ekspertë, këshilltarë, agjentë ose ofrues shërbimi në emër të Kompanisë, qofshin persona fizikë apo juridikë, duhet të përmbushin gjithashtu kërkesat dhe standardet e përputhshmërisë.

II.2. Pozicioni i funksionit të përputhshmërisë

a) Në përputhje me udhëzimet e Bankës së Shqipërisë (BSH) dhe rekomandimet e rregullatorëve financiarë ndërkombëtarë, Rubicon ngre dhe mban linjat e brendshme të mbrojtjes dhe sigurisë për të promovuar:

• operacione të kujdesshme, të besueshme dhe efikase në përputhje me kërkesat ligjore dhe rregullatore;
• mbrojtjen e aseteve, fondeve të klientëve dhe interesave të aksionerëve, klientëve dhe partnerëve të biznesit;
• funksionimin e qëndrueshëm të biznesit dhe ruajtjen e besimit në shërbimet e pagesave elektronike të ofruara nëpërmjet “Pago”.

b) Linjat e brendshme të mbrojtjes përfshijnë qeverisjen e brendshme të përgjegjshme dhe funksionet e kontrollit të brendshëm të linjës së dytë dhe të tretë të mbrojtjes, të cilat plotësojnë kontrollet e integruara në proceset e biznesit (linja e parë e mbrojtjes).

c) Funksionet e kontrollit të brendshëm përfshijnë funksionin e menaxhimit të rrezikut, funksionin e përputhshmërisë dhe funksionin e auditimit të brendshëm. Funksioni i Përputhshmërisë në Rubicon kryhet nga Zyrtari i Përputhshmërisë (Compliance Officer), i cili raporton drejtpërdrejt te organet drejtuese të Kompanisë.

II.3. Parimet që udhëheqin funksionin e përputhshmërisë

a. Funksioni i përputhshmërisë në Rubicon kryhet me qëllim që të krijojë një kulturë korporate të ligjshme dhe etike, që garanton funksionimin e kujdesshëm dhe etik të Kompanisë në periudhë afatgjatë.

b. Në kuadër të kryerjes së funksionit të përputhshmërisë, Rubicon operon në përputhje me parimet e mëposhtme:

• pavarësia;
• integriteti;
• të vepruarit pa ndërhyrje;
• objektiviteti;
• qasja proaktive dhe parandaluese;
• qasja e orientuar drejt riskut (kërkesë për të garantuar përputhshmëri bazuar në risk);
• proporcionaliteti;
• nivel i lartë i kujdesit dhe kompetencës profesionale;
• mbulim i plotë i veprimtarisë;
• efikasitet dhe racionalizim i kostove të përputhshmërisë.

III. Dispozita të detajuara

III.1. Aktivitetet kryesore të përputhshmërisë

III.1.1. Përpunimi dhe mbrojtja e të dhënave personale (GDPR)

a) Rubicon është e angazhuar për mbrojtjen e duhur të të dhënave personale të përpunuara prej saj, në përputhje me dispozitat e Ligjit nr. 124/2024 “Për Mbrojtjen e të Dhënave Personale”, Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) dhe akteve nënligjore në fuqi.

b)Si Institucion i Parasë Elektronike që përpunon të dhëna të ndjeshme financiare dhe identifikuese të klientëve nëpërmjet platformës “Pago”, Kompania ka krijuar, operon dhe zbaton një sistem për rregullimin, zbatimin dhe auditimin që parashikon:

• mbrojtjen e të dhënave personale të klientëve, përfshirë të dhënat e identifikimit, kontaktit, transaksioneve dhe sjelljes së pagesave, regjistrimet biometrike (zë, figurë), si dhe të dhënat nga procesi i Njih Klientin Tënd (KYC) në distancë;
• zbatimin e parimit “privacy by design and by default” në zhvillimin e produkteve dhe shërbimeve;
• informimin transparent të klientëve mbi përpunimin e të dhënave të tyre dhe të drejtat që u njihen me ligj;
• bashkëpunimin me Komisionerin për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale.

c) Të dhënat e klientëve mund të transferohen drejt vendeve të treta që plotësojnë nivelin e mjaftueshëm të mbrojtjes (përfshirë SHBA-në, Mbretërinë e Bashkuar dhe Belgjikën) për qëllime të ofrimit të kartave të debitit Mastercard/Visa dhe raportimeve të detyrueshme FATCA pranë IRS (autoritet tatimor i SHBA-së).

III.1.2. Integriteti

a) Rubicon zhvillon dhe vendos rregulla mbi konfliktin e interesit dhe etikës, me kërkesën që të gjithë drejtuesit, punonjësit dhe organet e kontrollit të ndërmarrin veprime të vendosura kundër çdo shkeljeje të këtyre rregullave.

b) Rubicon ka interes biznesi dhe detyrim ligjor për të garantuar që interesat personale të punonjësve të saj dhe të anëtarëve të organeve të saj drejtuese të mos jenë në kundërshtim me interesat dhe angazhimet e biznesit të Kompanisë dhe klientëve të “Pago”. Rubicon identifikon, parandalon dhe menaxhon konfliktet e interesit në lidhje me aktivitetet e saj, si dhe rregullon dhe siguron vlerësimin e përputhshmërisë së ofruesve dhe partnerëve të biznesit (kontroll paraprak).

c) Rubicon harton një Politikë të Konfliktit të Interesit për të specifikuar rrethanat që lidhen me veprimtarinë e saj në fushën e shërbimeve të pagesave dhe që çojnë ose mund të çojnë në konflikt interesi me pasoja negative për klientët apo partnerët e biznesit. Politika përcakton gjithashtu rregullat dhe masat e detajuara procedurale për parandalimin, identifikimin dhe menaxhimin e situatave të konfliktit të interesit.

d) Me synimin për të mbrojtur vlerat dhe klientët e saj, Rubicon formulon kërkesat për operacionet etike të biznesit dhe zhvillon standarde etike dhe profesionale të brendshme, të cilat përmblidhen dhe publikohen në Kodin e Etikës dhe në Kodin e Sjelljes së Partnerit.

e)Rubicon është e angazhuar për të luftuar korrupsionin dhe ka deklaruar zero tolerancë ndaj të gjitha formave të ryshfetit, dhuratave të papërshtatshme dhe përfitimeve të padrejta. Qëllimi i Politikës Kundër Korrupsionit është të përcaktojë parimet e veprimtarisë së Kompanisë kundër korrupsionit, të identifikojë fushat veçanërisht të ekspozuara ndaj riskut të korrupsionit dhe të shërbejë si dokument bazë për veprimtarinë e stafit përkatës.

f) Rubicon ofron një kanal të dedikuar të raportimit (linjë sinjalizimi / whistleblowing) për raportimin konfidencial të shkeljeve të standardeve etike, dispozitave ligjore dhe rregullave të përputhshmërisë.

III.1.3. Trajtimi i drejtë i klientëve dhe mbrojtja e konsumatorit

a) Rubicon është e angazhuar për mbrojtjen dhe respektimin e interesave të konsumatorëve, në përputhje me Ligjin nr. 9902/2008 “Për mbrojtjen e konsumatorëve” dhe Ligjin nr. 55/2020 “Për shërbimet e pagesave”.

b)Në këtë kontekst, Rubicon ndjek parimet e mëposhtme:

• informim transparent dhe i kuptueshëm para kontraktimit (tarifat, kushtet, afatet e ekzekutimit, të drejtat e konsumatorit), të pasqyruara në Kushtet e Punës dhe rubrikën Tarifa dhe Komisione;
• ofrim i shërbimeve të përshtatshme me nevojat dhe profilin e klientit;
• trajtim i drejtë, i barabartë dhe pa diskriminim;
• trajtim efikas i ankesave nëpërmjet Shërbimit ndaj Klientit në numrin +355 4 562 0560 dhe adresën e dedikuar të postës elektronike, brenda afateve të përcaktuara nga BSH;
• informim mbi të drejtën e klientit për t’iu drejtuar Bankës së Shqipërisë ose mekanizmave alternativë të zgjidhjes së mosmarrëveshjeve.

III.1.4. Siguria e transaksioneve dhe mbrojtja e fondeve të klientëve

Si Institucion i Parasë Elektronike, Rubicon siguron mbrojtjen e fondeve të klientëve të “Pago” nëpërmjet:

• segregimit të fondeve të klientëve nga fondet vetjake të Kompanisë në llogari të dedikuara në bankat e nivelit të dytë të licencuara në Republikën e Shqipërisë;
• zbatimit të masave të Vërtetimit të Sigurt të Klientit (Strong Customer Authentication – SCA) për transaksionet elektronike, përfshirë elementet e sigurisë: Kodi PIN, SMS OTP, Mobile Token dhe identifikim biometrik;
• monitorimit në kohë reale të transaksioneve për të identifikuar mashtrimet dhe veprimtarinë e dyshimtë;
• zbatimit të limiteve ditore, mujore dhe vjetore të transaksioneve për llogaritë individuale dhe të biznesit, sipas Kushteve të Punës;
• bllokimit të menjëhershëm të llogarisë në rast dyshimi për kompromentim të kredencialeve ose elementeve të sigurisë;
• zbatimit të standardeve të sigurisë kibernetike në përputhje me udhëzimet e BSH-së dhe praktikat më të mira ndërkombëtare (PCI DSS, ISO 27001).

III.1.5. Parandalimi i pastrimit të parave dhe financimit të terrorizmit (PPP/FT)

a) Aktivitetet e Rubicon kundër pastrimit të parave dhe financimit të terrorizmit synojnë të parandalojnë në mënyrë efektive përdorimin e shërbimeve të platformës “Pago” për pastrimin e aseteve me origjinë kriminale dhe financimin e terrorizmit.

b) Rubicon zhvillon politika të brendshme, krijon dhe mirëmban procese dhe procedura efektive në përputhje me Ligjin nr. 9917/2008 “Për parandalimin e pastrimit të parave dhe financimit të terrorizmit” (i ndryshuar), Udhëzimin nr. 1, datë 21.01.2025 të Ministrit të Financave, kërkesat e Agjencisë së Inteligjencës Financiare (AIF), si dhe standardet ndërkombëtare të FATF-së dhe Komitetit MONEYVAL të Këshillit të Evropës.

c)Identifikimi i klientit kryhet nëpërmjet identifikimit elektronik të sigurt, në përputhje me kërkesat e ligjit “Për identifikimin elektronik dhe shërbimet e besuara”, duke përdorur procedurën “Njih Klientin Tënd” (KYC) në distancë, e cila përfshin verifikimin e dokumentit të identifikimit dhe verifikimin biometrik me kamerë dhe mikrofon.

d) Për të identifikuar, analizuar, vlerësuar dhe menaxhuar risqet e PPP/FT, Rubicon përgatit një Vlerësim të Riskut në nivel institucioni, i cili rishikohet të paktën një herë në vit ose sa herë ndodhin ndryshime materiale në veprimtari, klientelë, produkte apo kornizë rregullatore.

e) Rubicon klasifikon klientët në kategori risku (i ulët, i mesëm, i lartë) dhe zbaton masat e duhura të vigjilencës ndaj klientit (Customer Due Diligence – CDD) sipas kategorisë së riskut, përfshirë vigjilencën e thelluar (EDD) për klientët me risk të lartë, Personat e Ekspozuar Politikisht (PEP) dhe juridiksionet me risk të lartë.

f) Për klientët biznes, vigjilenca përfshin identifikimin e Pronarëve Përfitues (Beneficial Owners) sipas përcaktimeve të ligjit, përfshirë çdo person që zotëron drejtpërdrejt ose tërthorazi të paktën 25% të aksioneve ose votave të personit juridik, ose që ushtron kontroll efektiv.

g) Gjatë procesit të vigjilencës ndaj klientit, zbatohet parimi “Njih klientin tënd” (KYC) për të zhvilluar një profil për klientin, monitoruar veprimtarinë e transaksioneve dhe identifikuar veprimet e dyshimta që nuk përputhen me profilin e tij. Çdo transaksion i dyshimtë raportohet pranë Agjencisë së Inteligjencës Financiare (AIF) në përputhje me ligjin.

h) Rubicon zbaton limitet e transaksioneve dhe pragjet e identifikimit në përputhje me Kushtet e Punës, rregulloret e BSH-së dhe legjislacionin për PPP/FT. Çdo veprim që tejkalon limitet kërkon dokumentacion shtesë për justifikimin e fondeve ose qëllimin e përdorimit, përpara se të autorizohet.

i) Të gjithë punonjësit e Rubicon, sidomos ata që kryejnë vigjilencë ndaj klientit, monitorim transaksionesh dhe raportim, marrin trajnim periodik dhe të dokumentuar mbi detyrimet e PPP/FT.

III.1.6. Përputhshmëria me sanksionet ndërkombëtare

a) Me krijimin dhe ruajtjen e marrëdhënieve të saj dhe marrjen e vendimeve të biznesit, Rubicon merr parasysh sanksionet ekonomike, financiare dhe tregtare dhe kërkesat e embargove të miratuara nga organizatat ndërkombëtare dhe shtetet, në veçanti nga:

• Këshilli i Sigurimit i Kombeve të Bashkuara (OKB);
• Bashkimi Evropian;
• Office of Foreign Assets Control (OFAC) i Departamentit të Thesarit të SHBA-së;
• HM Treasury / Office of Financial Sanctions Implementation (OFSI) i Mbretërisë së Bashkuar.

b) Rubicon zbaton një Politikë të Sanksioneve Ndërkombëtare me parimet e përgjithshme të zbatimit të sanksioneve, e cila përfshin verifikimin (screening) e klientëve, përfituesve të vërtetë, partnerëve dhe transaksioneve kundrejt listave të sanksioneve, si para hyrjes në marrëdhënie ashtu edhe në mënyrë të vazhdueshme.

c) Duke ndjekur synimet e politikës së saj të biznesit, Rubicon shmang transaksionet dhe marrëdhëniet me persona fizikë ose juridikë të sanksionuar, si dhe transaksionet me destinacion ose origjinë nga juridiksione të sanksionuara në mënyrë gjithëpërfshirëse.

III.1.7. Qeverisja e përgjegjshme dhe qëndrueshmëria (ESG)

a) Në përputhje me kriteret e qëndrueshmërisë (Environmental, Social and Governance – ESG), Rubicon vlerëson veprimtarinë e saj nga aspekti i ndikimit mjedisor, drejtësisë sociale dhe çështjeve të lidhura me qeverisjen e korporatës, duke siguruar përputhshmërinë me kërkesat legjislative në fuqi.

b) Në frymën e qeverisjes së përgjegjshme korporative, Rubicon ndjek standarde të njohura ndërkombëtarisht dhe zbulon në mënyrë transparente informacionin për qeverisjen dhe operacionet e saj.

c) Në zhvillimin e produkteve të saj nëpërmjet platformës “Pago” dhe dhënien e aksesit në shërbimet e pagesave elektronike, Rubicon zbaton parimet e etikës dhe mbrojtjes së konsumatorit, duke siguruar që shërbimet e ofruara të jenë moderne, të sigurta, gjithëpërfshirëse dhe të drejta për klientët.

III.1.8. Përputhshmëria me marrëveshjet ndërkombëtare të taksave

a) Rubicon ka interes themelor dhe detyrim ligjor për të siguruar respektimin e kërkesave për identifikimin dhe raportimin e klientit sipas marrëveshjeve ndërkombëtare të taksave, përfshirë FATCA (Foreign Account Tax Compliance Act) për shtetasit dhe rezidentët tatimorë të SHBA-së dhe CRS (Common Reporting Standard) të OECD-së, në përputhje me detyrimet e Republikës së Shqipërisë.

b) Klientët individë që janë shtetas të SHBA-së, si dhe bizneset që kanë selinë në SHBA, gjatë procedurës KYC duhet të plotësojnë formularët përkatës që u vihen në dispozicion nga Rubicon. Të dhënat raportohen një herë në vit pranë Shërbimit të Brendshëm të të Ardhurave të SHBA-së (IRS).

III.2. Parimet dhe kërkesat e përgjithshme

III.2.1. Përgjegjësia për përputhshmërinë

Siç përcaktohet në rregulloret ligjore në fuqi dhe në dispozitat e brendshme, të gjithë punonjësit e Rubicon marrin përsipër përgjegjësinë e përgjithshme për zbatimin e kërkesave dhe rregullave të përputhshmërisë. Të gjithë punonjësit janë të detyruar:

• të zbatojnë kërkesat e përputhshmërisë në veprimtarinë e tyre të përditshme;
• të raportojnë çdo rrethanë që përbën kërcënim për zbatimin e tyre;
• të marrin pjesë në eliminimin e rrethanave të tilla;
• të ndjekin trajnimet e detyrueshme të përputhshmërisë.

III.2.2. Përdorimi i agjentëve, këshilluesve dhe ekspertëve të jashtëm

Për të siguruar zbatueshmërinë e standardeve të parashikuara në këtë Politikë, të gjithë personat që veprojnë si agjentë, partnerë “Paga me Pago”, ekspertë ose këshillues të jashtëm në emër ose për llogari të Rubicon kërkohet të deklarojnë se kanë lexuar dhe kuptuar Politikën e Përputhshmërisë dhe pranojnë të zbatojnë kërkesat e saj. Rubicon kryen vigjilencë të duhur ndaj këtyre personave para hyrjes në marrëdhënie dhe monitoron veprimtarinë e tyre në mënyrë të vazhdueshme.

III.2.3. Bashkëpunimi me autoritetet

Rubicon bashkëpunon plotësisht dhe në mirëbesim me Bankën e Shqipërisë në cilësinë e autoritetit mbikëqyrës, me Agjencinë e Inteligjencës Financiare (AIF), me Komisionerin për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, me autoritetet tatimore qendrore dhe vendore, me autoritetet e ngarkuara me hetimet dhe proceset gjyqësore, me përmbaruesit gjyqësorë për ekzekutimin e vendimeve gjyqësore, si dhe me autoritetet e tjera kompetente, duke siguruar akses në informacion, dokumentacion dhe asistencë sipas kërkesave ligjore.

IV. Miratimi dhe rishikimi

• Kjo Politikë e Përputhshmërisë miratohet nga organet drejtuese të Rubicon sh.a. dhe rishikohet të paktën një herë në vit, ose sa herë ndodhin ndryshime materiale në kornizën ligjore, strukturën organizative, produktet dhe shërbimet e ofruara nëpërmjet platformës “Pago”, ose në profilin e riskut të Kompanisë.
• Çdo punonjës, agjent ose partner i Rubicon ka të drejtë të kontaktojë Zyrtarin e Përputhshmërisë për sqarime, raportime apo pyetje në lidhje me zbatimin e kësaj Politike.
• Klientët dhe palët e treta mund të kontaktojnë Rubicon nëpërmjet kanaleve të Shërbimit ndaj Klientit në numrin +355 4 562 0560 (e hënë – e premte, 09:00 – 17:00) ose në adresën zyrtare: Rr. “Donika Kastrioti”, Pall. Teknoprojekt, Kati 6, Tiranë 1005, Shqipëri.