goAML Circular dated April 16, 2026 regarding obligating exchange companies to implement a system

Cairo: April 16, 2026 القاهرة في: 16 ابريل 2026 Cairo on: April 16, 2026 Mr. Chairman of the Board of Directors السيد األستاذ / رئيس مجلس اإلدارة Mr. Chairman of the Board of Directors Company شركة Company Greetings, تحية طيبة وبعد ،،،، Greetings, and thereafter, With reference to the regulatory controls for exchange companies regarding anti-money laundering, terrorist financing, and proliferation financing issued on September 1, 2025, and specifically item (3-6) of the controls concerning the requirements for notifying the Anti-Money Laundering and Terrorist Financing Unit of all suspicious operations through the systems applied by the unit and what is developed in the future in this regard. باإلشارة إلى الضوابط الرقابية لشركات الصرافة بشأن مكافحة غسل األموال وتمويل اإلرهاب وتمويل انتشار التسلح الصادرة في 1 سبتمبر ،2025 وعلى األخص البند رقم )3-6( من الضوابط الخاص بمتطلبات إخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب عن كافة العمليات المشتبه فيها، وذلك من خالل النظم المطبقة بالوحدة وما يتم استحداثه مستقبالً في هذا الخصوص. With reference to the regulatory controls for exchange companies regarding combating money laundering, terrorist financing, and the financing of arms proliferation issued on September 1, 2025, and specifically clause number (3-6) of the controls regarding the requirements for notifying the Anti-Money Laundering and Terrorist Financing Unit of all suspicious transactions, through the systems applied by the unit and what will be introduced in the future in this regard. Please be informed that within the framework of the Anti-Money Laundering and Terrorist Financing Unit's activation of the "goAML" system in exchange companies, your company is required to adopt and apply the goAML system as the official electronic channel approved for notifying the Anti-Money Laundering and Terrorist Financing Unit of suspicious operations through it. برجاء التفضل بالعلم أنه في إطار قيام وحدة مكافحة غسل األموال وتمويل اإلرهاب في تفعيل نظام "goAML "بشركات الصرافة، لذا فإنه يتعين على شركتكم االلتزام باعتماد وتطبيق نظام goAML باعتباره القناة اإللكترونية الرسمية المعتمدة إلخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بالعمليات المشتبه فيها من خالله، Please be informed that in the framework of the Anti-Money Laundering and Terrorist Financing Unit activating the "goAML" system in exchange companies, your company must commit to adopting and implementing the goAML system as the official electronic channel approved for notifying the Anti-Money Laundering and Terrorist Financing Unit of suspicious transactions through it. To maintain the confidentiality of data and information exchanged, and to ensure the safety and security of electronic notification channels, you must adhere to the following general controls and security measures at a minimum when using the "goAML" system: وحفا على سرية البيانات والمعلومات المتداولة، وضمانًا لسالمة وأمن قنوات اإلخطار اإللكتروني، يتعين االلتزام ًظا بالضوابط العامة والتدابير األمنية التالية كحد أدنى لدى استخدام النظام "goAML" : And in order to maintain the confidentiality of the data and information being exchanged, and to guarantee the safety and security of the electronic notification channels, it is required to adhere to the following general controls and security measures as a minimum when using the "goAML" system:

1. Access to the goAML system is done through a device connected to the Central Bank's network for the Anti-Money Laundering and Terrorist Financing Unit via a secure connection line, provided that this device is separate from the company's internal network and the Internet. .1 يتم الدخول على نظام goAML من خالل جهاز متصل بشبكة البنك المركزي الخاص بوحدة مكافحة غسل األموال وتمويل اإلرهاب عن طريق خط ربط مؤ َّمن، على أن يكون هذا الجهاز منفصًال عن شبكة الشركة الداخلية وشبكة اإلنترنت.
2. Access to the goAML system is done through a device connected to the Central Bank network for the Anti-Money Laundering and Terrorist Financing Unit via a secure link, provided that this device is separate from the company's internal network and the internet.
3. Equip the devices used with the necessary protection programs against viruses, spyware, and malicious software, ensuring software settings are configured to automatically update databases and definitions upon their release. .2 تزويد األجهزة المستخدمة ببرامج الحماية الالزمة ضد الفيروسات وملفات التجسس والبرمجيات الخبيثة، على أن يتم ضبط إعدادات البرمجيات لضمان تحديث قواعد البيانات والتعريفات آليا عند صدورها.
4. Provide the devices used with the necessary protection software against viruses, spyware, and malicious software, provided that the software settings are adjusted to ensure the updating of databases and definitions automatically when they are released.
5. Establish the necessary controls to prevent the use of external storage media on devices used to access the system, as part of infrastructure, software, and application security controls. .3 وضع الضوابط الالزمة التي تكفل منع استخدام وسائط التخزين الخارجية على األجهزة المستخدمة للدخول على النظام، وذلك ضمن ضوابط تأمين البنية التحتية والبرامج والتطبيقات.
6. Putting in place the necessary controls that ensure the prevention of the use of external storage media on the devices used to access the system, as part of the infrastructure, software, and application security controls.
7. Ensure the use of licensed and updated operating systems according to the risk levels of each update. .4 التأكد من استخدام أنظمة تشغيل مرخصة ومحَّدثة بشكل وفقا لمستويات الخطورة الخاصة بكل تحديث.
8. Ensuring the use of licensed and updated operating systems according to the risk levels of each update.
9. Availability of Audit Logs showing all activities performed on the system, to be reviewed regularly by the manager responsible for anti-money laundering and terrorist financing. .5 توافر سجالت مراجعة (Logs Audit (توضح كافة األنشطة التي تتم على النظام، على أن يتم مراجعتها بصفة منتظمة من قبل المدير المسئول عن مكافحة غسل األموال وتمويل اإلرهاب.
10. Availability of audit logs that clarify all activities carried out on the system, provided that they are reviewed regularly by the manager responsible for Anti-Money Laundering and Terrorist Financing.
11. Establish a system permission matrix and continuous review of permissions for persons authorized to use the system, to ensure the prevention of unauthorized persons, provided that the manager responsible for anti-money laundering and terrorist financing at the company is the main person responsible for defining those permissions. .6 وضع مصفوفة صالحيات للنظام والمراجعة المستمرة لصالحيات األشخاص الم نوط لهم استخدام النظام، بما يضمن منع دخول أي أشخاص غير مصرح لهم، شريطة أن يكون المدير المسئول عن مكافحة غسل األموال وتمويل اإلرهاب بالشركة هو المسئول الرئيسي عن تحديد تلك الصالحيات.
12. Developing a permission matrix for the system and continuous review of the permissions of the people assigned to use the system, ensuring the prevention of access by any unauthorized persons, provided that the manager responsible for Anti-Money Laundering and Terrorist Financing at the company is the main person responsible for determining those permissions.
13. It is not permitted to grant any permissions to external parties tasked with maintaining the devices or relevant operating systems to access the system. .7 ال يجوز منح أي صالحيات لألطراف الخارجية المنوط بها صيانة األجهزة أو أنظمة التشغيل ذات الصلة للولوج إلى النظام .
14. It is not allowed to grant any permissions to external parties tasked with maintaining the devices or related operating systems to access the system.
15. Availability of business continuity procedures and mechanisms for devices used in case of emergencies. .8 توافر إجراءات وآليات لضمان استمرارية األعمال لألجهزة المستخدمة في حالة الطوارئ.
16. Availability of procedures and mechanisms to ensure business continuity for the devices used in case of emergency.
17. Establish procedures and mechanisms to identify authorized applications and systems on the devices used from the authorized list. .9 وضع إجراءات واليات لتحديد التطبيقات واألنظمة المصرح لها على األجهزة المستخدمة من القائمة المصرح بها.
18. Developing procedures and mechanisms to identify the applications and systems authorized on the devices used from the authorized list. In light of the above, companies are granted a compliance grace period of 6 months from the date of this letter to adhere to all that is stated herein. وفي ضوء ما تقدم، يتم منح الشركات فترة توفيق أوضاع مدتها 6 أشهر من تاريخ صدور هذا الخطاب، لاللتزام بكافة ما ورد به. In light of the above, companies are granted a grace period of 6 months from the date of this letter to comply with everything contained in it. Sincerely, وتفضلوا بقبول فائق االحترام والتقدير ،،،، And please accept the utmost respect and appreciation, Tarek El Kholy طارق الخولي Tarek El Kholy