Având în vedere prevederile art. 218, 219, precum şi ale art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative,
în temeiul dispoziţiilor art. 243 alin. (1) şi art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 48 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentul regulament.
TITLUL I
Domeniul de aplicare, obiectul şi definiţii
Art. 1. - (1) Prezentul regulament stabileşte:
a) cerinţele şi documentaţia ce trebuie prezentată Băncii Naţionale a României cu privire la măsurile de diminuare a riscurilor operaţionale şi de securitate, precum şi mecanismele de control adecvate pentru a gestiona riscurile operaţionale şi de securitate, legate de serviciile de plată oferite de către entităţile menţionate la alin. (2);
b) raportarea incidentelor operaţionale sau de securitate majore specifice serviciilor aferente plăţilor;
c) obligaţiile de raportare la Banca Naţională a României a datelor şi informaţiilor statistice privind fraudele legate de diferite mijloace de plată.
(2) Prezentul regulament se aplică după cum urmează:
a) dispoziţiile titlurilor I, II şi V se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) -e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
b) dispoziţiile titlului III se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
c) dispoziţiile titlului IV se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a), c) -e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(3) Documentele şi informaţiile menţionate la alin. (1) sunt prezentate Băncii Naţionale a României în limba română.
(4) Pentru documentele şi informaţiile într-o limbă străină se prezintă şi traducerea legalizată a acestora. Pentru documentele redactate într-o limbă de circulaţie internaţională, Banca Naţională a României poate excepta, de la caz la caz, aplicarea cerinţei privind traducerea legalizată.
Art. 2. - (1) Termenii şi expresiile utilizaţi/utilizate în prezentul regulament au semnificaţiile prevăzute de Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, Regulamentul (UE) 2015/751 al Parlamentului European şi al Consiliului din 29 aprilie 2015 privind comisioanele interbancare pentru tranzacţiile de plată cu cardul, Regulamentul (UE) nr. 260/2012 al Parlamentului European şi al Consiliului de stabilire a cerinţelor tehnice şi comerciale aplicabile operaţiunilor de transfer de credit şi de debitare directă în euro.
(2) În sensul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) active informaţionale - date sau alte cunoştinţe care au valoare pentru instituţie, inclusiv sisteme ale tehnologiei informaţiei şi comunicaţiilor, configuraţiile acestora, alte infrastructuri, precum şi conexiunile cu alte sisteme externe şi interne;
b) apărare în adâncime - ansamblu de mai multe tipuri de controale care acoperă acelaşi risc, precum principiul celor patru ochi, autentificarea pe baza a doi factori, segmentarea reţelei şi mecanisme multiple de tip firewall;
c) apetit la risc - nivelul şi tipurile cumulate de risc pe care o instituţie este dispusă să şi le asume în limita capacităţii sale de risc, conform modelului său de afaceri, în vederea realizării obiectivelor sale strategice;
d) autenticitate - proprietatea unei surse de a fi ceea ce se pretinde a fi;
e) conducere superioară:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 3 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată acest termen se referă la persoanele prevăzute la art. 13 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii emitente de monedă electronică, acest termen se referă la persoanele prevăzute la art. 10 alin. (2) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică;
(iv) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) sau art. 98 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, după caz;
(v) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
f) continuitate - proprietatea proceselor, sarcinilor şi activelor unei organizaţii, care sunt necesare pentru prestarea serviciilor aferente plăţilor, de a fi pe deplin accesibile şi de a se desfăşura, respectiv de a funcţiona, la niveluri prestabilite acceptabile;
g) disponibilitate - proprietatea serviciilor aferente plăţilor de a fi accesibile şi utilizabile de către utilizatorii serviciilor de plată;
h) incident operaţional sau de securitate - un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau va/vor avea probabil un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii, autenticităţii şi/sau continuităţii serviciilor aferente plăţilor;
i) integritate - proprietatea de a proteja funcţionarea precisă şi caracterul complet al activelor (inclusiv în ceea ce priveşte datele);
j) organ de conducere:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 1 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) şi b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată, instituţii emitente de monedă electronică sau furnizori specializaţi în servicii de informare cu privire la conturi, acest termen se referă la persoanele prevăzute la alin. (2) lit. e) pct. (ii) - (iv), după caz;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
k) principiul "privilegiilor minime" - prevede că personalul care are nevoie de acces la sistemele informatice şi de comunicaţii trebuie să aibă accesul minim necesar pentru a-şi îndeplini funcţia. Acest principiu se aplică atât accesului fizic, cât şi accesului logic la date, precum şi sistemelor şi aplicaţiilor care prelucrează date. Abilitatea de a citi, a crea, a actualiza şi a şterge datele constituie controale de acces supuse principiului privilegiilor minime;
l) risc de securitate - riscul care rezultă din procesele interne sau evenimentele externe eşuate sau necorespunzătoare, care au sau ar putea avea un impact negativ asupra disponibilităţii, integrităţii, confidenţialităţii şi asupra sistemelor de tehnologie a informaţiei şi a comunicaţiilor şi/sau asupra informaţiilor utilizate pentru furnizarea serviciilor de plată. Sunt incluse riscurile aferente atacurilor cibernetice sau cele aferente securităţii fizice necorespunzătoare;
m) serviciu aferent plăţilor - orice activitate din categoria serviciilor de plată prevăzute la art. 7 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi toate sarcinile tehnice de asistenţă necesare pentru prestarea serviciilor de plată;
n) operaţiune de plată neautorizată - operaţiune de plată executată fără exprimarea consimţământului plătitorului în conformitate cu prevederile art. 147-149 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, inclusiv ca urmare a pierderii, furtului, deturnării datelor sensibile privind plăţile sau a instrumentului de plată, indiferent dacă a putut fi detectată de către plătitor înaintea efectuării plăţii şi indiferent dacă a fost cauzată de neglijenţa gravă a plătitorului;
o) manipularea plătitorului - acţiune a unei persoane care are ca scop determinarea plătitorului să emită un ordin de plată sau să dea instrucţiuni prestatorului său de servicii de plată să îl emită, cu bună-credinţă, către un cont de plată despre care crede că aparţine beneficiarului legitim al plăţii;
p) mediu informatic - un subset al infrastructurii IT care este folosit pentru un scop bine determinat - de exemplu, mediu de dezvoltare, mediu de asamblare, mediu de test, mediu de producţie;
q) "Modificarea unui ordin de plată de către autorul fraudei" - un tip de operaţiune neautorizată şi se referă la situaţia în care autorul fraudei interceptează şi modifică un ordin de plată autorizat la un moment dat, în timpul comunicării electronice între dispozitivul plătitorului şi prestatorul de servicii de plată [precum programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod autorizat (atacuri de tip "omul din mijloc")] sau modifică instrucţiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea şi decontarea ordinului de plată;
r) "Emiterea unui ordin de plată de către autorul fraudei" - un tip de operaţiune de plată neautorizată şi se referă la situaţia în care un ordin de plată fals este emis de autorul fraudei după ce a obţinut datele sensibile privind plăţile ale plătitorului sau ale beneficiarului plăţii prin mijloace frauduloase;
s) clasificarea incidentului - transformarea din incident minor în incident major a unui incident operaţional sau de securitate;
t) declasificarea incidentului - transformarea din incident major în incident minor a unui incident operaţional sau de securitate.
TITLUL II
Măsurile de securitate privind gestionarea riscurilor operaţionale şi de securitate legate de serviciile de plată pe care le oferă
CAPITOLUL I
Dispoziţii generale
Art. 3. - (1) Prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor operaţionale şi de securitate, legate de serviciile de plată pe care le oferă, cu respectarea dispoziţiilor prevăzute în prezentul titlu.
(2) Nivelul de detaliu al descrierii măsurilor prevăzute la alin. (1) trebuie să fie proporţional cu dimensiunea prestatorului de servicii de plată, precum şi cu natura, scopul, complexitatea şi caracterul riscant al serviciilor de plată pe care prestatorul de servicii de plată le oferă sau intenţionează să le ofere.
(3) Prestatorii de servicii de plată trebuie să fundamenteze în mod adecvat măsurile de securitate prevăzute la alin. (1) şi să comunice documentaţia de fundamentare Băncii Naţionale a României - Direcţia monitorizare a infrastrastructurilor pieţei financiare şi a plăţilor, prin intermediul Reţelei de comunicaţii interbancare, anual, până cel târziu la data de 31 martie sau mai des la solicitarea acesteia.
(4) Modificările intervenite cu privire la documentaţia prevăzută la alin. (1) se transmit Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, în termen de 10 zile de la adoptarea deciziei cu privire la modificări.
(5) Banca Naţională a României (BNR) poate solicita prestatorilor de servicii de plată să pună la dispoziţia acesteia orice alte date şi informaţii pe care le consideră necesare în vederea evaluării adecvării la risc a măsurilor de securitate implementate de către prestatorii de servicii de plată. Prestatorii de servicii de plată au obligaţia de a pune la dispoziţia BNR informaţiile şi documentele solicitate în termen de 10 zile de la primirea solicitării.
CAPITOLUL II
Cadrul de gestionare a riscurilor operaţionale şi de securitate şi condiţiile de externalizare a unor funcţii operaţionale aferente serviciilor de plată
SECŢIUNEA 1
Cadrul de gestionare al riscurilor operaţionale şi de securitate
Art. 4. - (1) Prestatorii de servicii de plată trebuie să stabilească un cadru de măsuri de diminuare şi mecanisme de control adecvate pentru a gestiona riscurile operaţionale şi de securitate potrivit prevederilor art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, denumit în continuare "cadru de gestionare a riscurilor", care trebuie aprobat şi revizuit, cel puţin o dată pe an, de către organul de conducere şi, dacă este cazul, de către conducerea superioară.
(2) Cadrul de gestionare a riscurilor prevăzut la alin. (1) trebuie să pună accentul pe măsurile de securitate de diminuare a riscurilor operaţionale şi de securitate şi trebuie integrat în întregime în procesele generale de gestionare a riscurilor ale prestatorilor de servicii de plată.
Art. 5. - (1) Cadrul de gestionare al riscurilor elaborat de către prestatorii de servicii de plată potrivit art. 4 alin. (1) trebuie:
a) să includă un document de politică de securitate cuprinzător, astfel cum prevede art. 38 din Regulamentul nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi;
b) să fie în concordanţă cu apetitul pentru risc al prestatorului de servicii de plată;
c) să definească şi să desemneze rolurile şi responsabilităţile-cheie, precum şi liniile de raportare relevante, necesare pentru punerea în aplicare a măsurilor de securitate şi pentru gestionarea riscurilor operaţionale şi de securitate;
d) să stabilească sistemele şi procedurile necesare pentru identificarea, măsurarea, monitorizarea şi gestionarea gamei de riscuri, care decurg din activitatea de prestare de servicii de plată desfăşurată de prestatorul de servicii de plată şi la care acesta este expus, inclusiv măsurile de asigurare a continuităţii activităţii prevăzute în cap. VI al prezentului titlu.
(2) Cadrul de gestionare a riscurilor trebuie să fie documentat în mod corespunzător şi actualizat cu experienţa dobândită şi documentată pe parcursul punerii în aplicare şi monitorizării acestuia.
Art. 6. - Prestatorii de servicii de plată trebuie să se asigure că, înainte de o modificare majoră a infrastructurii, proceselor sau procedurilor şi după fiecare incident operaţional sau de securitate major care afectează securitatea serviciilor aferente plăţilor prestate, aceştia analizează necesitatea de a modifica sau de a îmbunătăţi cadrul de gestionare a riscurilor operaţionale şi de securitate, fără întârzieri nejustificate.
Art. 7. - (1) Prestatorii de servicii de plată trebuie să stabilească trei modalităţi de apărare eficiente sau un model de control intern echivalent de gestionare a riscurilor, pentru a identifica şi gestiona riscurile operaţionale şi de securitate.
(2) Prestatorii de servicii de plată trebuie să se asigure că modelul de control intern menţionat la alin. (1) are suficientă autoritate, independenţă, resurse şi modalităţi de raportare directă către organul de conducere şi, dacă este cazul, către conducerea superioară.
Art. 8. - (1) Măsurile de securitate prevăzute de prestatorii de servicii de plată potrivit prezentului titlu trebuie să fie auditate de auditori cu experienţă în securitatea informaţiei şi a plăţilor şi să fie independenţi din punct de vedere operaţional de prestatorul de servicii de plată, indiferent dacă îşi desfăşoară activitatea în cadrul sau separat de acesta.
(2) Frecvenţa şi punctul central al auditurilor prevăzute la alin. (1) trebuie să ia în considerare riscurile de securitate corespunzătoare.
SECŢIUNEA a 2-a
Externalizarea unor funcţii operaţionale aferente serviciilor de plată
Art. 9. - (1) În cazul în care au fost externalizate funcţii operaţionale ale serviciilor de plată, inclusiv ale sistemelor informatice, prestatorii de servicii de plată trebuie să asigure eficacitatea măsurilor de securitate prevăzute în prezentul titlu.
(2) Pentru îndeplinirea obligaţiilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie:
a) să se asigure că obiectivele de securitate, măsurile de securitate şi obiectivele de performanţă corespunzătoare şi proporţionale sunt incluse în contractele şi acordurile privind nivelul de calitate al serviciilor încheiate cu furnizorii către care au externalizat funcţiile respective;
b) să monitorizeze şi să se asigure că furnizorii către care au externalizat funcţii operaţionale îndeplinesc obiectivele de securitate, măsurile de securitate şi obiectivele de performanţă stabilite în acord cu lit. a).
(3) Prestatorii de servicii de plată rămân pe deplin responsabili pentru evaluarea eficacităţii măsurilor de securitate aferente funcţiilor operaţionale externalizate, inclusiv ale sistemelor informatice.
CAPITOLUL III
Gestionarea riscurilor operaţionale şi de securitate
SECŢIUNEA 1
Identificarea şi clasificarea funcţiilor, a proceselor şi a activelor
Art. 10. - Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să actualizeze regulat evidenţa funcţiilor aferente activităţii lor, rolurilor-cheie şi a responsabilităţilor-cheie asociate acestora, precum şi a proceselor-suport, pentru a determina importanţa fiecărei funcţii, a fiecărui rol şi a fiecărui proces-suport, precum şi interdependenţele acestora raportat la riscurile operaţionale şi de securitate.
Art. 11. - Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să actualizeze regulat evidenţa activelor informaţionale în vederea gestionării activelor care sprijină procesele şi funcţiile critice aferente activităţii acestora.
Art. 12. - Prestatorii de servicii de plată trebuie să clasifice funcţiile aferente activităţii, procesele-suport şi activele informaţionale identificate potrivit art. 11, în funcţie de nivelul critic al acestora.
SECŢIUNEA a 2-a
Evaluarea riscurilor funcţiilor, a proceselor şi a activelor informaţionale
Art. 13. - Prestatorii de servicii de plată trebuie să se asigure că monitorizează permanent ameninţările şi vulnerabilităţile şi că revizuiesc regulat scenariile de risc, cu impact asupra funcţiilor aferente activităţii, asupra proceselor critice şi asupra activelor informaţionale.
Art. 14. - (1) Prestatorii de servicii de plată trebuie să furnizeze Băncii Naţionale a României o evaluare actualizată şi cuprinzătoare a riscurilor operaţionale şi de securitate aferente serviciilor de plată pe care le oferă împreună cu măsurile de diminuare şi a mecanismelor de control implementate ca răspuns la riscurile respective.
(2) Prestatorii de servicii de plată trebuie să furnizeze informaţiile prevăzute la alin. (1) ca parte integrantă a evaluării prevăzute la art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(3) În scopul alin. (1), prestatorii de servicii de plată trebuie să efectueze şi să documenteze cel puţin anual evaluările riscurilor privind funcţiile, procesele şi activele informaţionale pe care le-au identificat şi clasificat, în vederea identificării şi evaluării riscurilor operaţionale şi de securitate cheie.
(4) Evaluarea riscurilor prevăzută la alin. (1) trebuie să fie efectuată şi înaintea oricărei modificări majore a infrastructurii, proceselor şi procedurilor care afectează securitatea serviciilor de plată.
Art. 15. - (1) Pe baza evaluării riscurilor efectuată potrivit art. 14, prestatorii de servicii de plată trebuie să stabilească dacă şi în ce măsură sunt necesare modificări ale măsurilor de securitate existente, ale tehnologiilor utilizate şi ale procedurilor sau serviciilor de plată oferite.
(2) Prestatorii de servicii de plată trebuie să ia în considerare durata necesară pentru punerea în aplicare a modificărilor prevăzute la alin. (1) şi durata necesară pentru luarea măsurilor de securitate provizorii adecvate în vederea minimizării incidentelor operaţionale sau de securitate, a fraudei şi a efectelor potenţial perturbatoare în ceea ce priveşte prestarea serviciilor de plată.
CAPITOLUL IV
Măsurile de securitate preventive
SECŢIUNEA 1
Dispoziţii generale
Art. 16. - Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare măsuri de securitate preventive împotriva riscurilor operaţionale şi de securitate identificate.
Art. 17. - Prestatorii de servicii de plată trebuie să elaboreze şi să implementeze o abordare de tipul "apărare în adâncime", instituind controale pe mai multe niveluri, care vizează persoane, procese şi tehnologia, fiecare nivel servind drept mecanism de siguranţă pentru nivelurile anterioare.
Art. 18. - (1) Prestatorii de servicii de plată trebuie să asigure confidenţialitatea, integritatea şi disponibilitatea activelor fizice şi logice critice, ale resurselor şi ale datelor sensibile privind plăţile ale utilizatorilor de servicii de plată, fie că sunt în stare de repaus, în tranzit sau în folosinţă.
(2) Dacă datele sensibile privind plăţile includ date cu caracter personal, astfel de măsuri trebuie puse în aplicare în conformitate cu prevederile art. 217 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Art. 19. - (1) Prestatorii de servicii de plată trebuie să stabilească pe bază continuă dacă modificările la nivelul mediului operaţional existent influenţează măsurile de securitate prevăzute la art. 16 sau dacă impun adoptarea altor măsuri pentru atenuarea riscurilor implicate.
(2) Modificările prevăzute la alin. (1) trebuie să facă parte din procesul formal de gestionare a modificărilor al prestatorilor de servicii de plată. Acest proces trebuie să garanteze că modificările sunt planificate, testate, documentate şi autorizate în mod corespunzător.
(3) Pe baza ameninţărilor constatate la adresa securităţii şi a modificărilor efectuate, prestatorii de servicii de plată trebuie să includă scenariile atacurilor potenţiale cunoscute şi relevante în cadrul testării prevăzute la alin. (2).
Art. 20. - (1) În conceperea, dezvoltarea şi prestarea de servicii de plată, prestatorii de servicii de plată trebuie să se asigure că se aplică separarea sarcinilor şi principiile "privilegiilor minime".
(2) Prestatorii de servicii de plată trebuie să acorde o atenţie deosebită separării mediilor informatice, în special în ceea ce priveşte mediile de dezvoltare, testare şi de producţie.
SECŢIUNEA a 2-a
Integritatea şi confidenţialitatea datelor şi sistemelor
Art. 21. - În conceperea, dezvoltarea şi prestarea de servicii de plată, prestatorii de servicii de plată trebuie să se asigure că direcţionarea, colectarea, prelucrarea, stocarea şi/sau arhivarea şi vizualizarea datelor sensibile privind plăţile ale utilizatorului de servicii de plată sunt adecvate, relevante şi limitate la ceea ce este necesar pentru prestarea serviciilor de plată.
Art. 22. - (1) Prestatorii de servicii de plată trebuie să verifice în mod regulat dacă programele şi aplicaţiile software utilizate pentru prestarea serviciilor de plată, inclusiv cele dedicate utilizatorilor de servicii de plată sunt actualizate şi dacă patch-urile de securitate sunt instalate.
(2) Prestatorii de servicii de plată trebuie să se asigure că există şi funcţionează corespunzător mecanisme de verificare a integrităţii programelor şi aplicaţiilor software, a firmware-ului şi a informaţiilor privind propriile servicii de plată prestate.
SECŢIUNEA a 3-a
Securitatea fizică şi controlul accesului
Art. 23. - Prestatorii de servicii de plată trebuie să asigure măsuri de securitate fizică corespunzătoare, în special pentru protejarea datelor sensibile privind plăţile ale utilizatorilor de servicii de plată, precum şi a sistemelor tehnologiei informaţiei şi comunicaţiilor utilizate pentru prestarea serviciilor de plată.
Art. 24. - (1) Accesul fizic şi logic la sistemele tehnologiei informaţiei şi comunicaţiilor trebuie să fie permis numai persoanelor care sunt autorizate.
(2) Autorizarea prevăzută la alin. (1) trebuie atribuită în conformitate cu sarcinile şi responsabilităţile personalului, limitată la persoanele care sunt instruite şi monitorizate în mod corespunzător.
Art. 25. - (1) Prestatorii de servicii de plată trebuie să instituie controale eficiente care să asigure că accesul la sistemele tehnologiei informaţiei şi comunicaţiilor este permis doar persoanelor cu o cerinţă operaţională legitimă, în acord cu prevederile art. 24.
(2) Autorizarea accesului electronic la date şi sisteme, prin intermediul unor aplicaţii trebuie să fie limitată la minimul necesar pentru prestarea serviciului relevant.
Art. 26. - (1) Prestatorii de servicii de plată trebuie să instituie controale stricte privind accesul privilegiat la sisteme, prin limitarea strictă şi prin supravegherea îndeaproape a personalului cu drepturi de acces de nivel superior la sisteme.
(2) Controalele prevăzute la alin. (1) trebuie să instituie cel puţin: accesul în funcţie de roluri, jurnalizarea şi analizarea activităţilor utilizatorilor privilegiaţi în sisteme, autentificarea strictă şi monitorizarea în scopul identificării anomaliilor.
(3) Prestatorii de servicii de plată trebuie să gestioneze drepturile de acces la activele informaţionale şi sistemele lor de asistenţă pe baza "necesităţii de a cunoaşte".
(4) Drepturile de acces prevăzute la alin. (3) trebuie revizuite periodic, în funcţie de necesitatea determinată de prestatorul de servicii de plată, însă cel puţin anual.
Art. 27. - (1) Prestatorii de servicii de plată trebuie să păstreze jurnalele de acces o perioadă de timp de minimum 5 ani, care să fie proporţională cu nivelul critic al funcţiilor aferente activităţii, proceselor de asistenţă şi activelor informaţionale identificate, în conformitate cu prevederile art. 11 şi 12.
(2) Prestatorii de servicii de plată trebuie să utilizeze aceste informaţii pentru facilitarea identificării şi investigării activităţilor atipice, detectate în cadrul prestării serviciilor de plată.
Art. 28. - Prestatorii de servicii de plată trebuie să acorde accesul de la distanţă la componentele critice ale tehnologiei informaţiei şi comunicaţiilor numai pe baza principiului "necesităţii de a cunoaşte" şi atunci când se utilizează soluţii de autentificare strictă, pentru a se asigura comunicarea în condiţii de siguranţă şi reducerea riscurilor.
Art. 29. - (1) Prestatorii de servicii de plată trebuie să se asigure că funcţionarea produselor, a instrumentelor şi a procedurilor referitoare la procesele de control al accesului sunt eficiente din perspectiva protejării respectivelor procese împotriva compromiterii sau eludării acestora.
(2) Obligaţia prestatorilor de servicii de plată prevăzută la alin. (1) include înregistrarea, transmiterea, revocarea şi retragerea produselor, instrumentelor şi procedurilor corespunzătoare.
CAPITOLUL V
Măsurile de detecţie
SECŢIUNEA 1
Monitorizarea continuă şi detecţia
Art. 30. - (1) Prestatorii de servicii de plată trebuie să aloce resurse şi să stabilească şi să implementeze procese pentru monitorizarea continuă a funcţiilor activităţii, proceselor de asistenţă şi activelor informaţionale, pentru a detecta activităţile atipice în ceea ce priveşte prestarea serviciilor de plată.
(2) În cadrul monitorizării continue, prestatorii de servicii de plată trebuie să deţină resurse corespunzătoare şi eficiente de detectare a intruziunilor logice şi fizice, precum şi a încălcărilor confidenţialităţii, a integrităţii şi a disponibilităţii activelor informaţionale utilizate în prestarea serviciilor de plată.
Art. 31. - Procesele de monitorizare continuă şi detectare prevăzute la art. 30 trebuie să acopere:
a) factorii interni şi externi relevanţi, inclusiv funcţiile administrative ale activităţii şi cele privind tehnologia informaţiei şi comunicaţiilor;
b) operaţiunile pentru detectarea utilizării abuzive a accesului de către prestatorii de servicii sau de către alte entităţi; şi
c) ameninţările interne şi externe potenţiale.
Art. 32. - Prestatorii de servicii de plată trebuie să pună în aplicare măsuri de detecţie pentru a identifica eventualele scurgeri de informaţii, coduri dăunătoare şi alte ameninţări la adresa securităţii şi vulnerabilităţile cunoscute în mod public ale echipamentelor, aplicaţiilor şi sistemelor informatice şi de comunicaţii, pentru a verifica existenţa unor noi actualizări de securitate corespunzătoare.
SECŢIUNEA a 2-a
Monitorizarea şi raportarea incidentelor operaţionale sau de securitate
Art. 33. - Prestatorii de servicii de plată trebuie să stabilească praguri şi criterii corespunzătoare pentru clasificarea unui eveniment drept incident operaţional sau de securitate, precum şi indicatori de alertă timpurie pentru prestatorii de servicii de plată, pentru a permite detectarea timpurie a incidentelor operaţionale sau de securitate.
Art. 34. - (1) Prestatorii de servicii de plată trebuie să stabilească proceduri şi procese corespunzătoare şi structuri organizatorice pentru a asigura monitorizarea, gestionarea şi urmărirea integrată şi consecventă a incidentelor operaţionale sau de securitate.
(2) Prestatorii de servicii de plată trebuie să stabilească o procedură privind raportarea către conducerea superioară a incidentelor operaţionale sau de securitate, precum şi a plângerilor clienţilor legate de securitate.
Art. 35. - Prestatorii de servicii de plată trebuie să se asigure de faptul că măsurile prevăzute în acord cu art. 34 alin. (1) definesc în mod clar toate responsabilităţile pentru raportarea incidentelor operaţionale sau de securitate majore şi aferente proceselor puse în aplicare pentru îndeplinirea cerinţelor prevăzute de titlul III.
CAPITOLUL VI
Continuitatea activităţii
SECŢIUNEA 1
Dispoziţii generale
Art. 36. - Prestatorii de servicii de plată trebuie să stabilească un sistem solid de management al continuităţii pentru a spori la maxim, în mod continuu, capacitatea de prestare de servicii de plată şi pentru a limita pierderile în caz de perturbare gravă a activităţii.
Art. 37. - Pentru a stabili un sistem solid de management al continuităţii, prestatorii de servicii de plată trebuie să analizeze cu grijă expunerea la perturbarea gravă a activităţii şi să evalueze, cantitativ şi calitativ, impactul potenţial al acestora, folosind date interne şi/sau externe şi analize pe bază de scenariu.
Art. 38. - (1) După identificarea funcţiilor, proceselor, sistemelor şi operaţiunilor critice, precum şi a interdependenţelor identificate şi clasificate în conformitate cu prevederile art. 10-12, prestatorii de servicii de plată trebuie să stabilească ordinea de prioritate pentru acţiunile specifice continuităţii activităţii, folosind o abordare bazată pe riscuri, care se poate fundamenta pe evaluările riscurilor efectuate potrivit cap. III al prezentului titlu.
(2) În funcţie de modelul de afaceri al prestatorului de servicii de plată, acesta trebuie să faciliteze cel puţin prelucrarea operaţiunilor critice, în timp ce continuă eforturile de remediere.
Art. 39. - În baza analizei efectuate potrivit prevederilor art. 37 şi 38, prestatorii de servicii de plată trebuie să implementeze:
a) planuri de continuitate a activităţii pentru a se asigura că pot răspunde în mod corespunzător la urgenţe şi că pot menţine activităţile lor operaţionale critice;
b) măsuri de atenuare care trebuie adoptate în cazul încetării prestării serviciilor de plată şi în cazul rezilierii contractelor existente, pentru evitarea efectelor negative asupra sistemelor de plăţi şi asupra utilizatorilor de servicii de plată şi pentru a asigura executarea operaţiunilor de plată în aşteptare.
SECŢIUNEA a 2-a
Planificarea continuităţii activităţii pe bază de scenariu
Art. 40. - Prestatorii de servicii de plată trebuie să ia în considerare o serie de scenarii diferite, inclusiv cele extreme, dar plauzibile, la care ar putea fi expuşi şi să evalueze impactul potenţial al unor astfel de scenarii.
Art. 41. - În baza analizei efectuate potrivit prevederilor art. 37 şi 38 şi a scenariilor plauzibile identificate potrivit prevederilor art. 40, prestatorii de servicii de plată trebuie să elaboreze planuri de răspuns şi de redresare, care trebuie:
a) să se concentreze pe impactul asupra funcţionării proceselor, funcţiilor, sistemelor şi operaţiunilor critice, precum şi a interdependenţelor dintre acestea;
b) să fie documentate şi puse la dispoziţia unităţilor operaţionale şi funcţiilor-suport şi uşor accesibile în caz de urgenţă; şi
c) să fie actualizate în conformitate cu experienţa dobândită din teste, cu noile riscuri şi ameninţări identificate şi cu priorităţile şi obiectivele de redresare modificate.
SECŢIUNEA a 3-a
Testarea planurilor de continuitate a activităţii şi comunicarea în situaţii de criză
Art. 42. - (1) Prestatorii de servicii de plată trebuie să testeze planurile de continuitate a activităţii şi să se asigure că funcţionalitatea proceselor, funcţiilor şi sistemelor critice, precum şi a interdependenţelor dintre acestea sunt testate cel puţin anual.
(2) Prestatorii de servicii de plată trebuie să se asigure că planurile de continuitate a activităţii sprijină obiectivele de a proteja şi, dacă este cazul, de a restabili integritatea şi disponibilitatea operaţiunilor lor şi confidenţialitatea activelor lor informaţionale.
Art. 43. - (1) Prestatorii de servicii de plată trebuie să actualizeze planurile de continuitate a activităţii cel puţin anual, pe baza rezultatelor testelor prevăzute la art. 42 alin. (1), a informaţiilor privind ameninţările curente, a schimbului de informaţii şi a experienţei dobândite din evenimentele anterioare şi a modificării obiectivelor de redresare a activităţii, precum şi pe baza analizei scenariilor plauzibile din punct de vedere tehnic şi operaţional şi, dacă este cazul, după modificările la nivelul sistemelor şi proceselor.
(2) Prestatorii de servicii de plată trebuie să se consulte şi să coopereze cu părţile relevante de la nivel intern şi extern care sunt interesate, pe parcursul elaborării planurilor de continuitate a activităţii.
Art. 44. - Testarea planurilor de continuitate a activităţii prevăzută la art. 42 alin. (1) trebuie:
a) să includă un set adecvat de scenarii, astfel cum sunt prevăzute la art. 40;
b) să fie concepute pentru a verifica presupunerile pe care se bazează planurile de continuitate a activităţii, inclusiv mecanismele de guvernanţă şi planurile de comunicare în situaţii de criză; şi
c) să includă proceduri pentru probarea capacităţii personalului şi a proceselor de a reacţiona în mod corespunzător la scenariile prevăzute la art. 40.
Art. 45. - Prestatorii de servicii de plată trebuie să supravegheze regulat eficienţa planurilor de continuitate a activităţii, să documenteze şi să analizeze orice provocări sau deficienţe rezultate în urma testelor.
Art. 46. - Prestatorii de servicii de plată trebuie să se asigure că, atât în cazul unei perturbări a activităţii sau a unei situaţii de urgenţă, cât şi pe parcursul punerii în aplicare a planurilor de continuitate a activităţii, au prevăzut măsuri eficiente de comunicare în situaţii de criză, astfel încât toate părţile interesate interne şi externe relevante, inclusiv prestatorii de servicii externi, sunt informate în timp util şi în mod corespunzător.
CAPITOLUL VII
Testarea măsurilor de securitate
Art. 47. - Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un cadru de testare a măsurilor de securitate stabilite de aceştia în aplicarea prezentului titlu, care să valideze robusteţea şi eficienţa măsurilor de securitate şi să se asigure că respectivul cadru de testare este adaptat pentru a lua în considerare noile ameninţări şi vulnerabilităţi, identificate prin intermediul activităţilor de monitorizare a riscurilor.
Art. 48. - Prestatorii de servicii de plată trebuie să se asigure că testele se efectuează în următoarele situaţii:
a) în eventualitatea unor modificări ale infrastructurii, proceselor şi procedurilor;
b) în situaţia în care aceste modificări sunt efectuate ca urmare a unor incidente operaţionale sau de securitate majore.
Art. 49. - În elaborarea şi aplicarea cadrului de testare prevăzut la art. 47, prestatorii de servicii de plată trebuie să se asigure că testele cuprind, de asemenea, măsurile de securitate relevante cu privire la:
a) terminalele de plată şi dispozitivele utilizate pentru prestarea serviciilor de plată;
b) terminalele de plată şi dispozitivele utilizate pentru autentificarea utilizatorului de servicii de plată;
c) dispozitivele, programele şi aplicaţiile software furnizate de prestatorul de servicii de plată utilizatorului de servicii de plată pentru a genera/primi un cod de autentificare.
Art. 50. - Cadrul de testare prevăzut la art. 47 trebuie să asigure că testele:
a) sunt efectuate ca parte a procesului formal de gestionare a modificărilor care trebuie prevăzut de către prestatorii de servicii de plată, pentru a asigura robusteţea şi eficienţa măsurilor de securitate;
b) sunt efectuate de verificatori independenţi, care au cunoştinţe, competenţe şi expertize suficiente în testarea măsurilor de securitate aferente serviciilor de plată şi care nu sunt implicaţi în dezvoltarea măsurilor de securitate aferente serviciilor de plată sau sistemelor care urmează să fie testate, cel puţin pentru testele finale înainte de a pune în aplicare măsurile de securitate;
c) includ analize de vulnerabilitate şi teste de penetrare corespunzătoare nivelului de risc identificat în cadrul serviciilor de plată.
Art. 51. - (1) Prestatorii de servicii de plată trebuie să efectueze teste în permanenţă şi în mod repetat cu privire la măsurile de securitate aferente serviciilor de plată oferite de aceştia.
(2) Prestatorii de servicii de plată trebuie să efectueze, cel puţin anual, testarea sistemelor care, ca urmare a derulării acţiunilor prevăzute la art. 12, au fost identificate drept critice pentru prestarea serviciilor de plată.
(3) Sistemele care nu sunt critice trebuie testate regulat de către prestatorii de servicii de plată printr-o abordare bazată pe riscuri, dar cel puţin la fiecare trei ani.
(4) Prestatorii de servicii de plată trebuie să efectueze, cel puţin anual, testări ale rezilienţei, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru oferirea serviciilor de plată.
(5) Prestatorii de servicii de plată vor remite anual, până la data de 31 martie, pentru anul anterior, prin intermediul Reţelei de comunicaţii interbancare, următoarele informaţii:
a) scenariile de test avute în vedere şi rezultatele testărilor prevăzute la alin. (4);
b) extrase din rapoartele auditorilor şi/sau experţilor, care să conţină concluziile acestora cu privire la rezilienţa infrastructurii informatice;
c) modificările semnificative aduse infrastructurii informatice şi locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată.
Art. 52. - Prestatorii de servicii de plată trebuie să monitorizeze şi să evalueze rezultatele testelor efectuate şi să îşi actualizeze măsurile de securitate în mod corespunzător şi fără întârzieri nejustificate în ceea ce priveşte sistemele critice, identificate conform dispoziţiilor art. 12.
CAPITOLUL VIII
Cunoaşterea situaţiei şi învăţarea continuă
SECŢIUNEA 1
Cadrul ameninţărilor şi cunoaşterea situaţiei
Art. 53. - Prestatorii de servicii de plată trebuie să stabilească şi să pună în aplicare procese şi structuri organizatorice, pentru a identifica şi supraveghea constant ameninţările de securitate şi operaţionale, care ar putea afecta semnificativ capacitatea acestora de a presta servicii de plată.
Art. 54. - (1) Prestatorii de servicii de plată trebuie să analizeze incidentele operaţionale sau de securitate care au fost identificate sau care au avut loc în cadrul şi/sau în afara prestatorului de servicii de plată.
(2) Prestatorii de servicii de plată trebuie să ia în considerare experienţa dobândită ca urmare a analizei realizate potrivit alin. (1) şi să actualizeze în consecinţă măsurile de securitate prevăzute potrivit dispoziţiilor prezentului titlu.
Art. 55. - Prestatorii de servicii de plată trebuie să supravegheze activ dezvoltările în tehnologie, pentru a se asigura că au în vedere riscurile de securitate.
SECŢIUNEA a 2-a
Programe de formare şi de cunoaştere în materie de securitate
Art. 56. - (1) Prestatorii de servicii de plată trebuie să stabilească un program de formare profesională pentru toţi membrii personalului, pentru a se asigura că aceştia sunt instruiţi pentru a-şi îndeplini sarcinile şi responsabilităţile, în conformitate cu procedurile şi politicile de securitate relevante, în vederea prevenirii şi diminuării factorilor de risc precum: eroarea umană, furtul, frauda, utilizarea necorespunzătoare sau pierderea.
(2) Prestatorii de servicii de plată trebuie să se asigure că programul de formare profesională menţionat la alin. (1) prevede instruirea personalului cel puţin anual şi, dacă este necesar, mai frecvent, la iniţiativa prestatorului de servicii de plată ori la solicitarea Băncii Naţionale a României.
Art. 57. - Prestatorii de servicii de plată trebuie să se asigure că membrii personalului care îndeplinesc rolurile-cheie şi responsabilităţile-cheie asociate acestora, identificate conform dispoziţiilor art. 10, sunt instruiţi anual sau mai frecvent, dacă este necesar, prin programe de perfecţionare dedicate securităţii informaţiei.
Art. 58. - (1) Prestatorii de servicii de plată trebuie să stabilească şi să pună în aplicare programe periodice de cunoaştere în domeniul securităţii informaţiei, pentru a-şi educa personalul şi pentru a aborda riscurile aferente securităţii informaţiei.
(2) Tematica programelor prevăzute la alin. (1) trebuie să conţină inclusiv dispoziţii cu privire la modalitatea în care personalul prestatorului de servicii de plată este obligat să raporteze toate incidentele sau activităţile neobişnuite.
CAPITOLUL IX
Gestionarea relaţiei cu utilizatorul serviciilor de plată
Art. 59. - Prestatorii de servicii de plată trebuie să stabilească şi să pună în aplicare procese de creştere a gradului de conştientizare al utilizatorilor de servicii de plată cu privire la riscurile de securitate aferente serviciilor de plată prestate acestora, acordând asistenţă şi îndrumare utilizatorilor de servicii de plată.
Art. 60. - Asistenţa şi îndrumarea acordate utilizatorilor de servicii de plată trebuie să fie actualizate în funcţie de noile ameninţări şi vulnerabilităţi, iar utilizatorul de servicii de plată trebuie să fie informat cu privire la aceste modificări.
Art. 61. - În cazul în care funcţionalitatea produsului o permite, prestatorii de servicii de plată trebuie să le permită utilizatorilor de servicii de plată să dezactiveze funcţionalităţile de plată specifice, aferente serviciilor de plată oferite utilizatorului de servicii de plată de către prestatorul de servicii de plată.
Art. 62. - În cazul în care, în conformitate cu art. 163 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, un prestator de servicii de plată a acceptat limitele de cheltuieli ale plătitorului în ceea ce priveşte operaţiunile de plată efectuate prin intermediul instrumentelor de plată specifice, prestatorul de servicii de plată trebuie să ofere plătitorului opţiunea de a ajusta aceste limite până la limita maximă admisă.
Art. 63. - Prestatorii de servicii de plată trebuie să acorde utilizatorilor de servicii de plată opţiunea de a primi alerte referitoare la încercările iniţiate şi/sau eşuate de iniţiere a operaţiunilor de plată, permiţându-le să detecteze utilizarea frauduloasă sau premeditată a conturilor lor de plăţi.
Art. 64. - Prestatorii de servicii de plată trebuie să îşi informeze utilizatorii de servicii de plată despre actualizările procedurilor de securitate care afectează utilizatorii de servicii de plată în ceea ce priveşte prestarea serviciilor de plată.
Art. 65. - (1) Prestatorii de servicii de plată trebuie să acorde asistenţă utilizatorilor de servicii de plată în orice aspecte, cereri de sprijin şi notificări de anomalii sau aspecte referitoare la probleme de securitate legate de serviciile de plată.
(2) Prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată în mod corespunzător cu privire la modalitatea în care se poate obţine asistenţa prevăzută la alin. (1).
TITLUL III
Raportarea incidentelor operaţionale şi de securitate majore
CAPITOLUL I
Încadrarea incidentelor operaţionale şi/sau de securitate în categoria incidentelor majore
Art. 66. - Prestatorii de servicii de plată trebuie să evalueze dacă un incident operaţional sau de securitate aferent serviciilor de plată prestate se încadrează în categoria incidentelor majore, în baza analizei asupra criteriilor şi potrivit metodologiei menţionate în anexa nr. 1.
Art. 67. - Prestatorii de servicii de plată trebuie să evalueze un incident prin a stabili, pentru fiecare criteriu în parte, dacă pragurile relevante din anexa nr. 2 sunt sau vor fi probabil atinse înainte de soluţionarea incidentului.
Art. 68. - (1) Prestatorii de servicii de plată trebuie să încadreze în categoria incidentelor majore acele incidente operaţionale sau de securitate pentru care:
a) unul sau mai multe criterii se încadrează în categoria "Nivel de impact ridicat"; sau
b) trei sau mai multe criterii se încadrează în categoria "Nivel de impact redus".
(2) Criteriile prevăzute la alin. (1) se încadrează în categoria "Nivel de impact redus", respectiv "Nivel de impact ridicat", prin atingerea pragurilor prevăzute în anexa nr. 2.
Art. 69. - Prestatorii de servicii de plată trebuie să recurgă la estimări, în special în etapa investigaţiei iniţiale a incidentului, dacă nu deţin date efective pentru a-şi fundamenta evaluarea realizată potrivit art. 66-68, inclusiv cu privire la atingerea unui anumit prag înainte ca incidentul să fie soluţionat.
Art. 70. - Prestatorii de servicii de plată trebuie să efectueze evaluarea menţionată la art. 66-68 pe bază continuă, pe întreaga durată a existenţei incidentului pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin clasificarea sau declasificarea incidentului.
CAPITOLUL II
Notificarea incidentelor operaţionale sau de securitate majore
SECŢIUNEA 1
Dispoziţii generale
Art. 71. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, trebuie să completeze şi să transmită Băncii Naţionale a României raportul privind incidentul major potrivit formularelor şi instrucţiunilor de completare prevăzute în anexa nr. 3.
(2) Prin excepţie de la aplicarea prevederilor art. 1 alin. (2) lit. b) prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) şi d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României, trebuie să transmită Băncii Naţionale a României o copie a notificării prevăzute la art. 219 alin. (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prin intermediul Reţelei de comunicaţii interbancare.
Art. 72. - (1) Prestatorii de servicii de plată trebuie să utilizeze formularele de raport prevăzute în anexa nr. 3 pentru a informa Banca Naţională a României pe întreaga durată de existenţă a incidentului, respectiv rapoartele iniţiale, intermediare şi finale, astfel cum sunt menţionate în secţiunile 2-4 ale prezentului capitol.
(2) Prestatorii de servicii de plată trebuie să completeze progresiv formularele de raport prevăzute la alin. (1), pe măsură ce sunt disponibile mai multe informaţii în cursul investigaţiilor lor interne.
Art. 73. - Prestatorii de servicii de plată trebuie să prezinte Băncii Naţionale a României o copie a informării clienţilor săi, utilizatori ai serviciilor de plată, cu privire la incidentul operaţional sau de securitate major şi la toate măsurile pe care utilizatorii de servicii de plată le pot lua pentru a atenua efectele negative ale acestuia, conform prevederilor art. 219 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, de îndată ce această informare este disponibilă.
Art. 74. - Prestatorii de servicii de plată trebuie să pună la dispoziţia Băncii Naţionale a României, dacă sunt disponibile şi dacă se consideră că acest lucru este relevant, orice informaţii suplimentare prin anexarea unor documente suplimentare la raportul transmis pentru raportarea incidentelor operaţionale sau de securitate majore, ca anexă unică sau anexe distincte.
Art. 75. - Prestatorii de servicii de plată trebuie să răspundă oricăror solicitări de furnizare de informaţii suplimentare sau clarificări din partea Băncii Naţionale a României cu privire la documentaţia care a fost deja transmisă.
Art. 76. - Prestatorii de servicii de plată trebuie să păstreze în permanenţă confidenţialitatea şi integritatea informaţiilor schimbate cu Banca Naţională a României şi să se autentifice în mod corespunzător în raporturile cu aceasta.
SECŢIUNEA a 2-a
Raportul iniţial
Art. 77. - Prestatorii de servicii de plată trebuie să transmită un raport iniţial Băncii Naţionale a României atunci când este detectat pentru prima dată un incident operaţional sau de securitate major.
Art. 78. - Prestatorii de servicii de plată trebuie să transmită raportul iniţial prevăzut la art. 77 în termen de 4 ore de la detectarea incidentului clasificat ca incident operaţional sau de securitate major sau, în cazul în care se cunoaşte că la momentul respectiv canalele de raportare către Banca Naţională a României nu sunt disponibile sau operaţionale, de îndată ce acestea devin din nou disponibile/operaţionale.
Art. 79. - (1) Prestatorii de servicii de plată trebuie să transmită, de asemenea, un raport iniţial Băncii Naţionale a României atunci când un incident cunoscut anterior ca fiind minor este clasificat ca unul major, ca urmare a evaluării efectuate potrivit art. 70.
(2) În situaţia prevăzută la alin. (1) prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României raportul iniţial de îndată ce se identifică o schimbare de stare sau, în cazul în care se cunoaşte că la momentul respectiv canalele de raportare către Banca Naţională a României nu sunt disponibile sau operaţionale, de îndată ce acestea devin disponibile/operaţionale din nou.
Art. 80. - (1) În rapoartele lor iniţiale, prestatorii de servicii de plată trebuie să includă informaţiile prevăzute în formularul "A - Raport iniţial" cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului şi consecinţele estimate ale acestuia pe baza informaţiilor disponibile imediat după detectarea sau reclasificarea acestuia.
(2) Prestatorii de servicii de plată trebuie să recurgă la estimări atunci când nu sunt disponibile date efective, în acord cu dispoziţiile art. 69.
(3) Prestatorii de servicii de plată trebuie să includă în raportul lor iniţial data următoarei actualizări, care ar trebui să aibă loc în cel mai scurt timp posibil şi să nu depăşească, în niciun caz, 3 zile lucrătoare.
SECŢIUNEA a 3-a
Raportul intermediar
Art. 81. - Prestatorii de servicii de plată trebuie să transmită rapoarte intermediare potrivit formularului "B - Raport intermediar" cuprins în anexa nr. 3, în următoarele situaţii:
a) de fiecare dată când consideră că există o actualizare relevantă a stării incidentului;
b) până la data următoarei actualizări indicată în raportul anterior, fie în raportul iniţial, fie în raportul intermediar anterior.
Art. 82. - (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României un prim raport intermediar potrivit formularului "B - Raport intermediar" cuprins în anexa nr. 3, cu o descriere mai detaliată a incidentului şi a consecinţelor acestuia.
(2) Prestatorii de servicii de plată trebuie să elaboreze rapoarte intermediare suplimentare prin actualizarea informaţiilor furnizate deja potrivit formularelor "A - Raport iniţial" şi "B - Raport intermediar" cuprinse în anexa nr. 3, cel puţin atunci când au cunoştinţă despre informaţii relevante noi sau schimbări semnificative de la data notificării anterioare.
(3) Prestatorii de servicii de plată vor actualiza informaţiile potrivit alin. (2) şi în situaţia în care incidentul a crescut sau a scăzut în intensitate, sunt identificate cauze noi sau sunt luate măsuri pentru soluţionarea incidentului.
(4) Prestatorii de servicii de plată trebuie să elaboreze un raport intermediar la solicitarea Băncii Naţionale a României.
Art. 83. - Când datele efective nu sunt disponibile, prestatorii de servicii de plată trebuie să recurgă la estimări, prin aplicarea în mod corespunzător a prevederilor art. 69.
Art. 84. - (1) Prestatorii de servicii de plată trebuie să precizeze în fiecare raport intermediar data următoarei actualizări, care ar trebui să aibă loc în cel mai scurt timp posibil şi să nu depăşească, în niciun caz, 3 zile lucrătoare.
(2) În cazul în care prestatorii de servicii de plată nu pot să respecte data estimată a următoarei actualizări indicată conform alin. (1), aceştia trebuie să contacteze Banca Naţională a României pentru a explica motivele întârzierii, să propună un nou termen plauzibil de transmitere, care să nu depăşească 3 zile lucrătoare, şi să trimită un nou raport intermediar exclusiv cu actualizarea informaţiilor privind data estimată a următoarei actualizări.
Art. 85. - (1) Prestatorii de servicii de plată trebuie să transmită ultimul raport intermediar atunci când au fost reluate activităţile curente şi activitatea a revenit la normal, informând Banca Naţională a României cu privire la această situaţie.
(2) Prestatorii de servicii de plată trebuie să considere că activitatea a revenit la normal atunci când activitatea/operaţiunile este/sunt reluată/reluate la acelaşi nivel de executare/în aceleaşi condiţii prevăzut/prevăzute de prestatorul de servicii de plată sau prevăzut/prevăzute la nivel extern într-un acord privind nivelul de calitate al serviciilor în ceea ce priveşte timpii de prelucrare, capacitatea, cerinţele de securitate etc. şi când nu se mai aplică măsurile în situaţie de urgenţă pentru continuarea activităţii prevăzute în cap. VI al titlului II.
Art. 86. - În cazul în care activitatea prestatorului de servicii de plată a revenit la normal în decurs de cel mult 4 ore de la momentul detectării incidentului operaţional sau de securitate major, prestatorii de servicii de plată trebuie să aibă în vedere prezentarea în mod simultan a raportului iniţial şi a ultimului raport intermediar, prin completarea şi transmiterea formularelor "A - Raport iniţial" şi "B - Raport intermediar" cuprinse în anexa nr. 3, înainte de termenul de 4 ore.
SECŢIUNEA a 4-a
Raportul final
Art. 87. - Prestatorii de servicii de plată trebuie să trimită un raport final potrivit formularului "C - Raport final" cuprins în anexa nr. 3, atunci când a fost efectuată analiza cauzelor fundamentale, indiferent dacă au fost deja implementate măsurile de atenuare a incidentului sau dacă a fost identificată cauza fundamentală finală şi când există date disponibile pentru a înlocui orice estimări.
Art. 88. - (1) Prestatorii de servicii de plată trebuie să transmită raportul final Băncii Naţionale a României în decurs de maximum 10 zile lucrătoare de la data la care poate demonstra că activitatea a revenit la normal.
(2) Prestatorii de servicii de plată care au nevoie de o prelungire a termenului prevăzut la alin. (1), inclusiv în situaţia în care nu sunt încă disponibile date efective cu privire la impact, trebuie să contacteze Banca Naţională a României înainte de încheierea termenului prevăzut la alin. (1) şi să ofere o justificare adecvată a întârzierii, precum şi o nouă dată estimată pentru transmiterea raportului final.
Art. 89. - În cazul în care prestatorii de servicii de plată pot să ofere toate informaţiile necesare în raportul final potrivit formularului "C - Raport final" cuprins în anexa nr. 3, în decurs de 4 ore de la momentul depistării incidentului, aceştia trebuie să aibă în vedere prezentarea în raportul lor iniţial a informaţiilor legate de raportul iniţial, ultimul raport intermediar şi raportul final prin completarea şi transmiterea formularelor "A - Raport iniţial", "B - Raport intermediar" şi "C - Raport final" cuprinse în anexa nr. 3.
Art. 90. - Prestatorii de servicii de plată trebuie să includă în rapoartele lor finale informaţii complete cu privire la:
a) datele efective privind impactul în locul estimărilor utilizate şi orice alte actualizări necesare ale informaţiilor legate de raportul iniţial şi ultimul raport intermediar, cuprinse în formularele "A - Raport iniţial" şi "B - Raport intermediar" prevăzute în anexa nr. 3; şi
b) formularul "C - Raport final" cuprins în anexa nr. 3, care să includă cauza fundamentală, dacă aceasta este deja cunoscută, precum şi o prezentare succintă a măsurilor adoptate sau prevăzute a fi adoptate pentru a elimina problema şi a preveni reapariţia acesteia în viitor.
Art. 91. - (1) Prestatorii de servicii de plată trebuie să transmită un raport final şi atunci când, ca urmare a evaluării pe bază continuă a incidentului, aceştia identifică faptul că un incident major deja raportat nu mai îndeplineşte criteriile pentru a fi considerat major şi nu se preconizează că acesta le va îndeplini înainte de soluţionarea incidentului.
(2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să trimită raportul final de îndată ce se detectează această situaţie şi, în orice caz, până la data estimată a următorului raport.
(3) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reclasificarea incidentului drept minor, să transmită formularul "C - Raport final" cuprins în anexa nr. 3 şi să explice motivele acestei declasări.
CAPITOLUL III
Raportarea delegată şi consolidată
Art. 92. - (1) În cazul prestatorilor de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege îndeplinirea obligaţiilor de raportare a incidentelor majore unei terţe părţi, aceştia trebuie să informeze Banca Naţională a României şi să asigure îndeplinirea următoarelor condiţii:
a) contractul sau acordurile interne existente în cadrul unui grup, după caz, care stă/stau la baza raportării delegate dintre prestatorul de servicii de plată şi terţa parte defineşte/definesc în mod clar alocarea responsabilităţilor tuturor părţilor;
b) delegarea respectă cerinţele privind externalizarea funcţiilor operaţionale importante prevăzute la:
(i) art. 54 şi 55 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi art. 46-50 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică în legătură cu instituţiile de plată şi, respectiv, pentru instituţiile emitente de monedă electronică; sau
(ii) cap. V al titlului II din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, pentru instituţiile de credit;
c) asigură în mod corespunzător confidenţialitatea datelor sensibile privind plăţile utilizatorilor de servicii de plată, precum şi calitatea, consecvenţa, integritatea şi fiabilitatea informaţiilor care vor fi prezentate autorităţii competente;
d) transmiterea, în prealabil, către Banca Naţională a României a tuturor informaţiilor în acord cu prevederile art. 97 şi obţinerea aprobării prevăzute la art. 98.
(2) În situaţia prevăzută la alin. (1) lit. a), contractul sau acordurile interne existente în cadrul unui grup, după caz, trebuie să prevadă în mod clar faptul că prestatorul de servicii de plată afectat rămâne pe deplin responsabil şi răspunzător pentru îndeplinirea cerinţelor prevăzute la art. 219 alin. (1), (2) şi (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi pentru conţinutul informaţiilor prezentate Băncii Naţionale a României.
(3) În situaţia prevăzută la alin. (1) lit. b) pct. (i) prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca funcţie operaţională importantă.
(4) În situaţia prevăzută la alin. (1) lit. b) pct. (ii) prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca activitate semnificativă, în înţelesul Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
Art. 93. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege unei terţe părţi îndeplinirea obligaţiilor de raportare în mod consolidat, prin transmiterea unui singur raport care face referire la mai mulţi prestatori de servicii de plată afectaţi de acelaşi incident operaţional sau de securitate major, trebuie să informeze Banca Naţională a României să includă informaţiile de contact cu privire la prestatorii de servicii de plată afectaţi cuprinse în formularul "A - Raport iniţial" din anexa nr. 3 şi să se asigure de îndeplinirea următoarelor condiţii:
a) includerea dispoziţiilor referitoare la raportarea consolidată în contractul care stă la baza raportării delegate;
b) raportarea consolidată condiţionată de faptul că incidentul este cauzat de o întrerupere a serviciilor prestate de către terţa parte;
c) limitarea raportării consolidate la prestatorii de servicii de plată stabiliţi în acelaşi stat membru;
d) asigurarea faptului că terţa parte evaluează semnificaţia incidentului pentru fiecare prestator de servicii de plată afectat şi include în raportul consolidat doar prestatorii de servicii de plată pentru care incidentul a fost clasificat drept unul major. În cazul incertitudinii, asigură includerea unui prestator de servicii de plată în raportul consolidat atât timp cât nu există dovezi în sens contrar;
e) asigurarea faptului că, atunci când nu este posibil să se treacă un singur răspuns în unele câmpuri cuprinse în formularele prevăzute în anexa nr. 3, terţa parte fie completează individual pentru fiecare prestator de servicii de plată, specificând în plus identitatea fiecărui prestator de servicii de plată la care se referă informaţiile, fie foloseşte intervale, în acele câmpuri din formularele cuprinse în anexa nr. 3 în care există o astfel de opţiune, reprezentând valorile minime şi maxime, astfel cum au fost observate sau estimate pentru diferiţi prestatori de servicii de plată;
f) prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, trebuie să se asigure că terţa parte îi informează în permanenţă cu privire la toate informaţiile relevante legate de incident şi la toate interacţiunile pe care terţa parte le-ar putea avea cu Banca Naţională a României, precum şi cu privire la conţinutul acestora, însă doar în măsura în care acest lucru este compatibil cu evitarea oricărei încălcări a confidenţialităţii în ceea ce priveşte informaţiile referitoare la alţi prestatori de servicii de plată.
(2) Dispoziţiile art. 92 alin. (1) lit. b) sunt aplicabile în mod corespunzător în ceea ce priveşte delegarea unei terţe părţi pentru a îndeplini obligaţiile de raportare în mod consolidat, în acord cu alin. (1).
Art. 94. - Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, nu trebuie să îşi delege îndeplinirea obligaţiilor de raportare potrivit art. 92 sau 93, după caz, înainte de a obţine aprobarea Băncii Naţionale a României potrivit prevederilor art. 98 sau după ce au fost informaţi de către Banca Naţională a României cu privire la faptul că acordul de externalizare nu îndeplineşte cerinţele prevăzute la art. 92 alin. (1) lit. b).
Art. 95. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să retragă delegarea îndeplinirii obligaţiilor lor de raportare trebuie să informeze Banca Naţională a României în termen de maximum 5 zile lucrătoare de la data luării acestei decizii.
(2) Prestatorii de servicii de plată prevăzuţi la alin. (1) trebuie să informeze Banca Naţională a României cu privire la orice evoluţie semnificativă care afectează terţa parte desemnată şi capacitatea acesteia de a-şi îndeplini obligaţiile de raportare.
Art. 96. - (1) Prestatorii de servicii de plată trebuie să îşi îndeplinească obligaţiile de raportare prevăzute în prezentul titlu, fără a recurge la asistenţa externă, ori de câte ori terţa parte desemnată nu a informat Banca Naţională a României cu privire la un incident operaţional sau de securitate major în conformitate cu prevederile art. 219 alin. (1) şi/sau (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi cele ale prezentului titlu.
(2) Prestatorii de servicii de plată trebuie să se asigure că un incident operaţional sau de securitate major nu este raportat de două ori, individual, de către prestatorul de servicii de plată în cauză şi, încă o dată, de către terţa parte către care prestatorul de servicii de plată a delegat îndeplinirea obligaţiilor de raportare.
Art. 97. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează, în acord cu prevederile art. 92 şi 93, să îşi delege unei terţe părţi obligaţiile de raportare a incidentelor operaţionale sau de securitate majore specifice propriilor servicii de plată prestate, la nivel individual sau consolidat, trebuie să transmită Băncii Naţionale a României, fără întârzieri nejustificate, o cerere însoţită de următoarele documente şi informaţii:
a) decizia internă cu privire la raportarea delegată sau consolidată a incidentelor majore specifice propriilor servicii de plată prestate, după caz, semnată la nivelul organului de conducere al prestatorilor de servicii de plată;
b) extrasul din contractul/acordul intern care stă la baza delegării îndeplinirii obligaţiilor de raportare, care să probeze îndeplinirea condiţiilor prevăzute la art. 92 alin. (1) lit. a) şi c) şi, respectiv, art. 93 alin. (1) lit. a) -f), după caz.
(2) În situaţia în care documentaţia transmisă de către prestatorii de servicii de plată nu îndeplineşte cerinţele menţionate la alin. (1), Banca Naţională a României comunică acestora, în termen de 30 zile lucrătoare, documentele şi informaţiile necesare pentru conformarea la dispoziţiile alin. (1).
(3) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii relevante în scopul evaluării cu privire la delegarea obligaţiilor de raportare în acord cu prevederile art. 92 şi 93.
(4) Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate potrivit alin. (2) şi/sau (3) în termen de maximum 45 de zile lucrătoare de la data comunicării solicitării.
(5) Pentru situaţii bine fundamentate de prestatorul de servicii de plată, la cererea acestuia, Banca Naţională a României poate prelungi termenul de transmitere a documentelor şi informaţiilor prevăzut la alin. (4).
(6) Documentaţia este completă numai după ce prestatorii de servicii de plată au transmis toate documentele şi informaţiile potrivit alin. (1) - (3), în termenul prevăzut la alin. (4), respectiv alin. (5), dacă este cazul.
(7) Informaţiile şi documentele prezentate după expirarea termenelor prevăzute în prezentul articol nu sunt luate în considerare la evaluarea cererii prestatorului de servicii de plată de delegare a unei terţe părţi a obligaţiilor de raportare a incidentelor operaţionale sau de securitate majore.
Art. 98. - Banca Naţională a României evaluează şi comunică prestatorului de servicii de plată decizia sa cu privire la posibilitatea prestatorului de servicii de plată de a delega către o terţă parte obligaţiile sale de raportare a incidentelor majore potrivit titlului III, în termen de 30 de zile lucrătoare de la data la care documentaţia este considerată completă potrivit art. 97 alin. (6).
TITLUL IV
Raportarea datelor statistice privind fraudele legate de diferite mijloace de plată
CAPITOLUL I
Obiectul raportării
Art. 99. - (1) În conformitate cu prevederile prezentului titlu, prestatorii de servicii de plată trebuie să raporteze către Banca Naţională a României, pentru fiecare perioadă de raportare, datele statistice privind:
a) totalul operaţiunilor de plată; şi
b) totalul operaţiunilor de plată frauduloase.
(2) În sensul alin. (1) operaţiunile de plată frauduloase reprezintă:
a) operaţiunile de plată neautorizate; şi
b) operaţiunile de plată efectuate în urma manipulării plătitorului de către autorul fraudei.
Art. 100. - (1) În sensul prevederilor art. 99 alin. (1) lit. b), prestatorii de servicii de plată, inclusiv emitentul instrumentului de plată, trebuie să raporteze numai operaţiunile de plată frauduloase care au fost iniţiate şi executate, inclusiv acceptate, dacă este cazul.
(2) Prestatorii de servicii de plată nu trebuie să raporteze datele privind operaţiunile de plată care, deşi se referă la operaţiunile menţionate la art. 99 alin. (1) lit. b), nu au fost executate şi nu au generat un transfer de fonduri în conformitate cu dispoziţiile art. 5 alin. (1) pct. 36 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
CAPITOLUL II
Cerinţe generale privind datele raportate
Art. 101. - (1) Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, conform alin. (2) sau (3).
(2) Prestatorul de servicii de plată al plătitorului trebuie să raporteze datele statistice, conform anexei nr. 5 secţiunile A, C, E, F, G şi H, după caz.
(3) Prestatorul de servicii de plată al beneficiarului plăţii trebuie să raporteze datele statistice, conform anexei nr. 5 secţiunile B şi D, după caz.
Art. 102. - Prestatorii de servicii de plată trebuie să raporteze Băncii Naţionale a României toate operaţiunile de plată şi operaţiunile de plată frauduloase cu privire la următoarele:
a) totalul operaţiunilor de plată frauduloase prevăzute la art. 99, indiferent dacă valoarea operaţiunii de plată frauduloasă a fost recuperată;
b) pierderi cauzate de fraudă în funcţie de purtătorul răspunderii;
c) modificarea unui ordin de plată de către autorul fraudei;
d) emiterea unui ordin de plată de către autorul fraudei.
Art. 103. - Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României datele statistice prevăzute la art. 99, potrivit dispoziţiilor cuprinse în cadrul cap. VI din prezentul titlu.
Art. 104. - (1) Prestatorii de servicii de plată trebuie să raporteze către Banca Naţională a României datele statistice prevăzute la art. 99, atât din punctul de vedere al volumului, şi anume numărul de operaţiuni de plată sau de operaţiuni de plată frauduloase, cât şi al valorii, şi anume valoarea operaţiunilor de plată sau a operaţiunilor de plată frauduloase.
(2) Numărul de operaţiuni de plată sau de operaţiuni de plată frauduloase trebuie să fie exprimat în unităţi reale (existente) şi valoarea operaţiunilor de plată sau a operaţiunilor de plată frauduloase trebuie să fie exprimată în valori efective, cu două zecimale.
Art. 105. - (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României datele statistice prevăzute la art. 99, prin exprimarea acestora în lei.
(2) Prestatorii de servicii de plată trebuie să raporteze datele statistice Băncii Naţionale a României la nivel agregat, inclusiv cu activitatea de prestare de servicii de plată în mod direct în alte state membre şi cea desfăşurată prin intermediul agenţilor.
(3) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) şi d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, din alte state membre, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul sucursalelor, raportează Băncii Naţionale a României datele statistice prevăzute la art. 99, aferente activităţii desfăşurate de acestea în România, separat de raportarea datelor efectuată de către prestatorul de servicii de plată în statul membru de origine, prin exprimarea valorilor în lei.
(4) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul agenţilor, nu raportează informaţiile şi datele statistice către Banca Naţională a României.
(5) Fără a aduce atingere alin. (1), în cazul operaţiunilor de plată şi al operaţiunilor de plată frauduloase denominate în monedă străină, prestatorii de plată determină valorile, iniţial, prin aplicarea cursului de schimb pentru moneda respectivă raportat la euro, iar rezultatul în euro este convertit în lei, utilizându-se cursurile de schimb publicate pe website-ul Băncii Centrale Europene. Pentru operaţiunile de plată frauduloase denominate în alte monede decât cele pentru care sunt disponibile cursuri de schimb pe website-ul Băncii Centrale Europene, prestatorii de servicii de plată trebuie să utilizeze cursul de schimb publicat pe website-ul Băncii Naţionale a României.
Art. 106. - Prestatorii de servicii de plată trebuie să includă în raportarea datelor statistice prevăzute la art. 99 detaliile de identificare cuprinse în anexa nr. 6.
CAPITOLUL III
Frecvenţă şi termen de raportare
Art. 107. - (1) Prestatorii de servicii de plată trebuie să transmită datele statistice prevăzute la art. 99 în termen de cel mult 5 luni de la sfârşitul semestrului pentru care se raportează.
(2) Când ultima zi a termenului de raportare prevăzut la alin. (1) este o zi nelucrătoare, termenul se prelungeşte până în prima zi lucrătoare.
CAPITOLUL IV
Defalcarea geografică
Art. 108. - (1) Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, defalcat pentru operaţiunile de plată/plată frauduloase naţionale, operaţiunile de plată/plată frauduloase transfrontaliere din alte state membre şi operaţiunile de plată/plată frauduloase transfrontaliere din state terţe, în conformitate cu metodologia şi instrucţiunile prevăzute în anexa nr. 4.
(2) Prestatorii de servicii de plată trebuie să aloce fiecare operaţiune unei singure subcategorii pentru fiecare rând în cadrul fiecărei defalcări de date prevăzute în anexa nr. 5.
CAPITOLUL V
Data înregistrării şi data de referinţă
Art. 109. - (1) Data care trebuie avută în vedere de prestatorii de servicii de plată pentru înregistrarea operaţiunilor de plată şi a operaţiunilor de plată frauduloase în scopul raportării datelor statistice prevăzute la art. 99 este data la care a fost executată operaţiunea în conformitate cu prevederile Legii nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(2) În cazul unei serii de operaţiuni, data înregistrării va fi data la care a fost executată fiecare operaţiune de plată în parte.
Art. 110. - Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată frauduloase de la momentul la care frauda a fost detectată, inclusiv ca urmare a unei reclamaţii a clientului sau prin alte mijloace, indiferent dacă dosarul referitor la operaţiunea de plată frauduloasă a fost sau nu soluţionat până la momentul raportării datelor.
Art. 111. - (1) Prestatorii de servicii de plată trebuie să raporteze separat toate rectificările datelor referitoare la orice perioadă de raportare din trecut, cu o vechime de cel mult un an, în următoarea perioadă de raportare, ce survine după descoperirea informaţiilor care trebuie rectificate.
(2) În situaţia prevăzută la alin. (1) prestatorii de servicii de plată trebuie să precizeze că datele raportate reprezintă date rectificate aferente raportărilor din trecut şi să indice perioada de raportare care face obiectul corecţiilor.
CAPITOLUL VI
Defalcarea datelor
Art. 112. - Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip transfer-credit, inclusiv ordine de plată programată, care au fost iniţiate şi executate, în conformitate cu formularul "A - Defalcarea datelor pentru operaţiunile de transfer credit" din anexa nr. 5.
Art. 113. - Prestatorul de servicii de plată care oferă servicii de emitere de carduri de plată utilizatorilor de servicii de plată în calitate de plătitori trebuie să raporteze, în calitate de emitent, toate operaţiunile de plată şi operaţiunile de plată frauduloase în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul "C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată al plătitorului" din anexa nr. 5.
Art. 114. - Prestatorii de servicii de plată care oferă servicii de acceptare de operaţiuni de plată utilizatorilor de servicii de plată în calitate de beneficiari trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip acceptare de operaţiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul "D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată operaţiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar (cu o relaţie contractuală cu utilizatorul serviciului de plată)" din anexa nr. 5.
Art. 115. - (1) Datele cuprinse în raportările prevăzute la art. 112-114 trebuie să includă:
a) perspectiva geografică;
b) canalul de plată;
c) metoda de autentificare;
d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prevăzute la cap. 3 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare;
e) tipurile de fraudă;
f) funcţia cardului pentru operaţiunile de plată raportate în conformitate cu secţiunile "C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată al plătitorului" şi "D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată operaţiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar (cu o relaţie contractuală cu utilizatorul serviciului de plată)" şi
g) operaţiunile de plată iniţiate prin intermediul unui prestator de servicii de iniţiere a plăţii.
(2) Prestatorii de servicii de plată prevăzuţi la art. 113 şi 114 trebuie să excludă din cadrul raportărilor retragerile şi depunerile de numerar dintr-un/într-un cont de plăţi.
Art. 116. - (1) Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip debitări directe, inclusiv debitări directe singulare, care au fost executate, în conformitate cu formularul "B - Defalcarea datelor pentru operaţiunile executate prin debitări directe" din anexa nr. 5.
(2) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică prevăzută la art. 108;
b) canalul folosit pentru acordarea consimţământului; şi
c) tipurile de fraudă.
Art. 117. - Prestatorii de servicii de plată, care emit instrumente de plată de tipul cardurilor, trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip retrageri de numerar efectuate prin intermediul aplicaţiilor, la bancomate, la ghişeele bancare şi la comercianţi, utilizând cardurile emise de către aceştia, în conformitate cu formularul "E - Defalcarea datelor pentru retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului" din anexa nr. 5.
Art. 118. - (1) Prestatorii de servicii de plată care nu administrează contul de plăţi al utilizatorului de servicii de plată, dar care emit instrumente de plată de tipul cardurilor şi execută operaţiuni de plăţi pe baza acestor carduri trebuie să raporteze datele referitoare la volumul şi valoarea aferente acestor operaţiuni şi ale operaţiunilor de plată frauduloase efectuate cu aceste carduri, potrivit formularului "C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată al plătitorului" din anexa nr. 5.
(2) Prestatorii de servicii de plată prevăzuţi la alin. (1) care oferă servicii de emitere de carduri cu funcţie de numerar trebuie să raporteze datele referitoare la operaţiunile de retragere de numerar şi operaţiunile de plată frauduloase iniţiate şi executate cu aceste carduri în conformitate cu formularul "E - Defalcarea datelor privind retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului" din anexa nr. 5.
(3) Prestatorii de servicii de plată care oferă servicii de administrare cont trebuie să se asigure că nu raportează către Banca Naţională a României datele prevăzute la alin. (1) şi (2).
Art. 119. - (1) Prestatorii de servicii de plată care oferă servicii de plată cu monedă electronică trebuie să raporteze operaţiunile de plată şi operaţiunile de plată frauduloasă cu monedă electronică, astfel cum aceasta este definită la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, în conformitate cu formularul "F - Defalcarea datelor pentru operaţiunile efectuate cu monedă electronică" din anexa nr. 5.
(2) Prestatorii de servicii de plată trebuie să includă în raportarea menţionată la alin. (1) doar operaţiunile de plată cu monedă electronică în care:
a) prestatorul de servicii de plată al plătitorului este identic cu cel al beneficiarului plăţii; sau
b) este folosit un card cu funcţia de monedă electronică.
(3) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică, determinată potrivit art. 108;
b) canalul de plată;
c) metoda de autentificare;
d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prezentate în cap. 3 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare; şi
e) tipurile de fraudă.
Art. 120. - Prestatorii de servicii de plată care furnizează date în conformitate cu formularele de la "A - Defalcarea datelor pentru operaţiunile de transfer credit" la "F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică" din anexa nr. 5 trebuie să raporteze toate pierderile cauzate de fraudă suportate în perioada pentru care se efectuează raportarea, în funcţie de purtătorul răspunderii, în termenul de transmitere prevăzut la art. 107.
Art. 121. - (1) Prestatorii de servicii de plată care oferă servicii de remitere de bani trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase referitoare la aceste operaţiuni potrivit formularului "G - Defalcarea datelor pentru operaţiunile de remitere de bani" din anexa nr. 5.
(2) Prestatorii de servicii de plată care raportează date statistice potrivit alin. (1) trebuie să transmită datele privind volumele şi valorile tuturor operaţiunilor de plată şi operaţiunilor de plată frauduloasă prevăzute la art. 99, defalcat din perspectiva geografică, astfel cum este prevăzut laart. 108.
Art. 122. - (1) Prestatorii de servicii de plată care oferă servicii de iniţiere a plăţii trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase referitoare la aceste operaţiuni potrivit formularului "H - Defalcarea datelor pentru operaţiunile iniţiate de prestatorii de servicii de iniţiere a plăţii" din anexa nr. 5.
(2) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică;
b) instrumentul de plată;
c) canalul de plată; şi
d) metoda de autentificare.
Art. 123. - Prestatorii de servicii de plată trebuie să se asigure că toate datele statistice transmise Băncii Naţionale a României au corespondent în anexa nr. 5.
TITLUL V
Măsuri administrative şi sancţiuni
Art. 124. - Nerespectarea prevederilor prezentului regulament atrage, după caz, luarea măsurilor prevăzute la art. 223 alin. (2) lit. c) şi/sau aplicarea sancţiunilor prevăzute la art. 227 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
TITLUL VI
Dispoziţii finale
Art. 125. - Anexele nr. 1-6 fac parte integrantă din prezentul regulament.
Art. 126. - Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018, se modifică şi se completează după cum urmează:
1. La articolul 122, alineatul (2) se modifică şi va avea următorul cuprins:
"(2) Cererea de autorizare este însoţită de o autoevaluare, inclusiv documentaţia justificativă aferentă, privind îndeplinirea permanentă a cerinţelor aplicabile administratorilor IPF, stabilite la cap. I al titlului II din prezentul regulament."
2. La articolul 128, alineatul (1) se modifică şi va avea următorul cuprins:
"Art. 128. - (1) Prestatorul de servicii de plată poate pune în circulaţie instrumente de plată electronică, în termen de 30 de zile lucrătoare de la notificarea Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor şi transmiterea tuturor documentelor şi informaţiilor prevăzute la art. 129."
3. La articolul 129, alineatul (2) se modifică şi va avea următorul cuprins:
"(2) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii necesare în vederea evaluării cu privire la punerea în circulaţie a instrumentului de plată electronică. Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate în termen de maximum 30 de zile lucrătoare de la data comunicării solicitării."
4. După articolul 129 se introduce un nou articol, articolul 1291, cu următorul cuprins:
"Art. 1291. - (1) Prin excepţie de la prevederile art. 128 alin. (1) prestatorii de servicii de plată pot desfăşura proiecte- pilot de testare a instrumentelor de plată electronică, cu informarea în prealabil a Băncii Naţionale a României şi în următoarele condiţii:
a) perioada de testare să nu depăşească 120 de zile calendaristice;
b) prestatorii de servicii de plată trebuie să se asigure că sunt testate toate funcţionalităţile instrumentului de plată cu o masă critică de utilizatori, astfel încât să fie realizată verificarea tuturor funcţionalităţilor şi facilităţilor aferente noilor produse sau servicii care urmează să fie notificate către Banca Naţională a României, în acord cu prevederile art. 128.
(2) Informarea transmisă conform prevederilor alin. (1) se va efectua potrivit formularului prevăzut în anexa nr. 8.
(3) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, după finalizarea proiectului-pilot, concluziile aferente testării, inclusiv decizia de a pune sau nu în circulaţie instrumentul respectiv, în termen de 30 de zile lucrătoare de la finalizarea proiectului.
(4) În situaţia în care prestatorul de servicii de plată decide să pună în circulaţie instrumentul de plată electronică care a făcut obiectul proiectului-pilot, acesta trebuie să notifice instrumentul de plată Băncii Naţionale a României conform prevederilor art. 128."
5. La articolul 130 alineatul (1), litera d) se abrogă.
6. La articolul 135, alineatul (1) se modifică şi va avea următorul cuprins:
"Art. 135. - (1) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor furniza Băncii Naţionale a României, oricând la solicitarea acesteia, toate informaţiile şi documentele necesare pentru a evalua conformitatea cu cerinţele stabilite de prezentul regulament."
"Art. 136. - (1) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie trebuie să informeze de îndată Banca Naţională a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, prin intermediul Reţelei de comunicaţii interbancare, cu privire la apariţia oricăror incidente în funcţionarea normală a IPF, a participantului sau a instrumentelor de plată pe suport hârtie, conform formularului din anexa nr. 7 - Raport incidente operaţionale şi/sau de securitate.
(2) Prestatorii de servicii de plată trebuie să raporteze incidentele operaţionale şi/sau de securitate majore aferente serviciilor de plată potrivit reglementărilor Băncii Naţionale a României.
(3) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie trebuie să transmită Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor un raport scris cu explicarea cauzelor incidentelor raportate conform alin. (1), precum şi a măsurilor de remediere întreprinse sau avute în vedere, în termen de cel mult 30 de zile calendaristice de la data incidentului.
(4) Banca Naţională a României poate solicita în orice moment administratorilor IPF, participanţilor şi prestatorilor de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie date, informaţii şi rapoarte suplimentare referitoare la incidentele şi fraudele apărute."
"Art. 138. - (1) Administratorii IPF şi participanţii trebuie să efectueze cel puţin anual testări ale rezilienţei, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru procesarea plăţilor, decontărilor şi a instrumentelor de plată.
(2) Entităţile prevăzute la alin. (1) trebuie să remită anual, până la data de 31 martie, pentru anul anterior, prin intermediul Reţelei de comunicaţii interbancare, următoarele informaţii:
a) scenariile de test avute în vedere şi rezultatele testărilor prevăzute la alin. (1);
b) extrase din rapoartele auditorilor şi/sau experţilor, care să conţină concluziile acestora cu privire la rezilienţa infrastructurii informatice;
c) modificările semnificative aduse infrastructurii informatice şi locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată."
9. Anexa nr. 7 se modifică şi va avea următorul cuprins:
"ANEXA Nr. 7
Model raport incident operaţional sau de securitate
1. Administrator IPF/Participant/Prestator de servicii de plată
2. Numele, funcţia şi datele de contact ale persoanei care raportează incidentul
3. Data şi momentul apariţiei incidentului
4. Data şi momentul constatării incidentului
5. Data şi momentul finalizării incidentului
6. Tip incident operaţional/de securitate (echipament, soft, uman, social, procedură, cauză naturală, altele)
7. Cauza incidentului
8. Descrierea detaliată a incidentului
9. Măsurile luate pentru limitarea consecinţelor incidentului
10. Măsurile luate pentru prevenirea unor incidente similare
11. Numele, funcţia şi datele de contact ale persoanei/persoanelor care pot furniza informaţii suplimentare legate de incidentul raportat"
10. După anexa nr. 7 se introduce o nouă anexă, anexa nr. 8, cu următorul cuprins:
"ANEXA Nr. 8
Informare referitoare la desfăşurarea proiectului-pilot de testare a instrumentelor de plată electronică
. . . . . . . . . . (numele instituţiei), înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul social în . . . . . . . . . . (ţara/judeţul), localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . ., prin . . . . . . . . . . (numele şi prenumele), în calitate de reprezentant legal notifică lansarea unui proiect-pilot pentru instrumentul(ele) de plată electronică de tip . . . . . . . . . .
Informaţii suplimentare
1. Denumirea produsului: . . . . . . . . . .
2. Perioada de testare: . . . . . . . . . . salariaţi ai prestatorului de servicii de plată număr . . . . . . . . . . alţi utilizatori (detaliaţi) număr . . . . . . . . . .
3. Masa critică de utilizatori:
□
salariaţi ai prestatorului de servicii de plată
număr . . . . . . . . . .
□
alţi utilizatori (detaliaţi)
număr . . . . . . . . . .
4. Tipuri de operaţiuni permise:
a) . . . . . . . . . .
b) . . . . . . . . . .
c) . . . . . . . . . .
d) . . . . . . . . . .
e) . . . . . . . . . .
f) . . . . . . . . . .
g) . . . . . . . . . .
h) . . . . . . . . . .
5. Limite de tranzacţionare
a) limita pe tranzacţie pentru plăţi intrabancare: . . . . . . . . . .
b) limita pe tranzacţie pentru plăţi interbancare: . . . . . . . . . .
c) limita zilnică pentru transferuri: . . . . . . . . . .
d) limita zilnică pentru schimburi valutare: . . . . . . . . . .
e) limită pe tranzacţie pentru schimburi valutare: . . . . . . . . . .
etc. . . .
6. Fondurile tranzacţionate: . . . . . . . . . .
7. Ulterior perioadei de testare accesul la funcţionalităţile testate va fi restricţionat?
□ da
□ nu
8. Tehnologiile utilizate în dezvoltarea proiectului:
| □ API |
□ Chatbot |
□ Distributed Ledger Technology (DLT) |
| □ Recunoaştere optică a caracterelor (OCR) |
□ Inteligenţă artificială (AI) |
□ Cloud Computing |
| □ Sistem de informare geografic (GIS) |
□ Contracte inteligente |
□ Big Data |
| □ Managementul datelor |
□ Învăţare automată |
□ Web-scraping |
| □ Biometrie |
□ Vizualizarea datelor |
□ Procesarea limbajului natural |
| □ Altele (indicaţi) |
|
|
9. Tipuri de inovaţie implicate:
□ Produs/serviciu/activitate nou(ă)
□ Utilizarea evolutivă sau inovatoare a produsului/serviciului/activităţii
□ Proces/procedură intern(ă) nou(ă)
□ Utilizarea evolutivă sau inovatoare a procesului/procedurii intern(e)
□ Altele (indicaţi)
Anexat solicitării se află următoarele documente:
1. . . . . . . . . . .
2. . . . . . . . . . .
3. . . . . . . . . . .
4. . . . . . . . . . .
5. . . . . . . . . . .
Persoanele de contact care pot oferi clarificări cu privire la această solicitare sunt:
1. Numele şi prenumele . . . . . . . . . .
Telefon: . . . . . . . . . ., e-mail: . . . . . . . . . .
2. Numele şi prenumele . . . . . . . . . .
Telefon: . . . . . . . . . ., e-mail: . . . . . . . . . .
Datele şi informaţiile furnizate sunt adevărate, corecte şi reflectă situaţia existentă (până) la data de . . . . . . . . . ./ . . . . . . . . . ./ . . . . . . . . . .
Semnătura reprezentatului legal al prestatorului de servicii de plată solicitant,
S.S./L.S. |
NOTĂ: Cererea se va completa de către reprezentantul legal al prestatorului de servicii de plată, desemnat în conformitate cu prevederile Legii societăţilor nr. 31/1990, republicată, cu modificările şi completările ulterioare."
Art. 127. - Prezentul regulament intră în vigoare în termen de 30 de zile de la data publicării în Monitorul Oficial al României, Partea I.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu |
|
Bucureşti, 30 ianuarie 2020.
Nr. 2.
ANEXA Nr. 1
Criterii relevante pentru calificarea incidentelor şi indicatorii pe baza cărora acestea se cuantifică
A. Operaţiuni de plată afectate
Prestatorii serviciilor de plată trebuie să stabilească valoarea totală a operaţiunilor afectate şi numărul operaţiunilor de plată compromise, inclusiv numărul operaţiunilor de plată compromise exprimate ca procent din nivelul obişnuit al operaţiunilor de plată executate cu serviciile de plată afectate.
Operaţiuni afectate reprezintă toate operaţiunile de plată naţionale şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în special, acele operaţiuni de plată care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost dispuse în mod fraudulos, indiferent dacă fondurile aferente au fost recuperate sau nu.
Prestatorii de servicii de plată trebuie să determine nivelul obişnuit al operaţiunilor de plată ca media zilnică calculată la nivelul anului precedent a operaţiunilor de plată naţionale şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident. Dacă prestatorii de servicii de plată nu consideră că această cifră este reprezentativă, de exemplu, din cauza caracterului sezonier, aceştia trebuie să utilizeze un alt indicator mai reprezentativ şi să prezinte Băncii Naţionale a României justificarea aferentă pentru această abordare şi să indice această abordare în câmpul "Operaţiuni de plată afectate/Comentarii" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
Dacă nu este posibil a se stabili numărul şi valoarea operaţiunii afectate, prestatorii de servicii de plată trebuie să utilizeze estimări şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
B. Utilizatori ai serviciilor de plată afectaţi
Prestatorii de servicii de plată trebuie să stabilească numărul utilizatorilor serviciilor de plată afectaţi, exprimat în termeni absoluţi şi ca procent din numărul total al utilizatorilor serviciilor de plată.
Utilizatori ai serviciilor de plată afectaţi reprezintă toţi clienţii de la nivel naţional sau din străinătate, consumatori sau persoane juridice, care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, şi care au suportat sau vor suporta probabil consecinţele incidentului. Dacă nu este posibil a se stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului, prestatorii de servicii de plată trebuie să utilizeze estimări bazate pe activitatea anterioară şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
În cazul grupurilor, fiecare prestator de servicii de plată trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui prestator de servicii de plată care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar prestatorii de servicii de plată care beneficiază de respectivele servicii operaţionale trebuie să evalueze incidentul în legătură cu utilizatorii serviciilor de plată proprii.
Prestatorii de servicii de plată trebuie să considere numărul total al utilizatorilor serviciilor de plată ca fiind valoarea cumulată a utilizatorilor serviciilor de plată de la nivel naţional sau din străinătate cu care au raporturi contractuale la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată.
C. Perioadă de nefuncţionare a serviciilor
Prestatorii de servicii de plată trebuie să stabilească perioada de timp în care serviciul va fi probabil indisponibil pentru utilizatorul serviciilor de plată sau în care ordinul de plată nu poate fi executat de către prestatorul de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibilă/indisponibil şi, astfel, împiedică (i) iniţierea şi/sau executarea unui serviciu de plată şi/sau (ii) accesul la un cont de plăţi.
Prestatorii de servicii de plată trebuie să calculeze perioada de nefuncţionare a serviciilor de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp cuprinse într-o zi lucrătoare în care aceştia desfăşoară activitate ce le permite executarea unui serviciu de plată, cât şi orele din afara programului de activitate şi perioadele de întreţinere, dacă este cazul şi dacă sunt aplicabile. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al nefuncţionării serviciilor, aceştia trebuie să calculeze în mod excepţional perioada de nefuncţionare a serviciilor de la momentul în care s-a depistat nefuncţionarea.
D. Impact economic
Prestatorii de servicii de plată trebuie să stabilească la nivel global costurile financiare asociate incidentului şi să ia în calcul atât valoarea absolută, cât şi, dacă este cazul, importanţa relativă a acestor costuri în raport cu dimensiunea prestatorului de servicii de plată, respectiv cu fondurile proprii de nivelul 1 ale prestatorului de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi cele care sunt legate în mod indirect de incident. Printre altele, prestatorii de servicii de plată trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, prestatorii de servicii de plată trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza.
E. Nivel ridicat de escaladare internă
Prestatorii serviciilor de plată trebuie să stabilească dacă acest incident a fost sau va fi probabil raportat conducerii superioare.
Prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, responsabilul pentru sistemele informatice (sau o persoană cu o funcţie similară) a fost sau va fi probabil informat cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. Suplimentar, prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibilă de a fi declanşată o stare de criză.
F. Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate
Prestatorii de servicii de plată trebuie să stabilească implicaţiile sistemice pe care le va avea probabil incidentul, cum ar fi potenţialul acestuia de a se propaga asupra altor prestatori de servicii de plată, infrastructuri ale pieţei financiare şi/sau scheme de plată cu cardul.
Prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieţei financiare, care trebuie înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată cu cardul care susţin serviciile lor de plată şi alţi prestatori de servicii de plată. În mod specific, prestatorii de servicii de plată trebuie să evalueze dacă incidentul a apărut sau va apărea probabil în mod similar la alţi prestatori de servicii de plată, dacă acesta a afectat sau va afecta probabil funcţionarea infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil funcţionarea robustă a sistemului financiar în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă prestatorul de servicii de plată a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare.
G. Impact reputaţional
Prestatorii de servicii de plată trebuie să stabilească modul în care incidentul poate submina încrederea utilizatorilor de servicii de plată în prestatorul de servicii de plată însuşi şi, în general, în serviciul aferent sau piaţa în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa lor, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, prestatorii de servicii de plată trebuie să considere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. Prestatorii de servicii de plată trebuie să ţină cont dacă (i) incidentul a afectat un proces vizibil şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi blog-uri, reţele de socializare etc.), (ii) au fost sau vor fi probabil nerespectate obligaţiile prevăzute în cadrul de reglementare, (iii) au fost sau vor fi probabil încălcate sancţiuni sau (iv) a apărut acelaşi tip de incident în trecut.
ANEXA Nr. 2
Praguri ale criteriilor luate în considerare la calificarea unui incident în categoria incidentelor majore
| Criterii |
Nivel de impact redus |
Nivel de impact ridicat |
| Operaţiuni de plată afectate |
> 10% din nivelul obişnuit al operaţiunilor prestatorului de servicii de plată (sub aspectul numărului de operaţiuni)
şi
> 100000 EUR |
> 25% din nivelul obişnuit al operaţiunilor prestatorului de servicii de plată (sub aspectul numărului de operaţiuni)
sau
> 5 milioane EUR |
| Utilizatori ai serviciilor de plată afectaţi |
> 5000
şi
> 10% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată |
> 50000
sau
> 25% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată |
| Perioada de nefuncţionare a serviciilor |
> 2 ore |
Nu este cazul. |
| Impact economic |
Nu este cazul. |
> Max. (0,1% fonduri proprii de nivelul 1*), 200 000 EUR)
sau
> 5 milioane EUR |
| Nivel ridicat de escaladare internă |
Da |
Da, şi este probabil să se impună o stare de criză (sau o stare echivalentă) |
| Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate |
Da |
Nu este cazul. |
| Impact reputaţional |
Da |
Nu este cazul. |
*) Fondurile proprii de nivelul 1, astfel cum sunt definite la articolul 25 din Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului din 26 iunie 2013 privind cerinţele prudenţiale pentru instituţiile şi societăţile de investiţii şi de modificare a Regulamentului (UE) nr. 648/2012.
ANEXA Nr. 3
Metodologie şi instrucţiuni de completare a formularelor de raportare a incidentelor majore
| Prestatorii de servicii de plată trebuie să completeze secţiunea relevantă din formularele de raport cuprinse în prezenta anexă în funcţie de etapa de raportare în care se află: secţiunea A - pentru raportul iniţial, secţiunea B - pentru rapoarte intermediare şi secţiunea C - pentru raportul final. Toate câmpurile sunt obligatorii, exceptând cazurile în care se specifică altfel în mod clar. |
| Titlu |
| Raport iniţial: aceasta este prima notificare pe care prestatorul de servicii de plată (PSP) o transmite Băncii Naţionale a României. |
| Raport intermediar: acesta reprezintă o actualizare a raportului anterior (iniţial sau intermediar) cu privire la acelaşi incident. |
| Ultimul raport intermediar: acesta informează Banca Naţională a României cu privire la faptul că activităţile obişnuite au fost restabilite şi că activitatea a revenit la normal, astfel că nu vor mai fi transmise rapoarte intermediare. |
| Raport final: acesta este ultimul raport pe care PSP îl va trimite cu privire la incident, întrucât (i) a fost deja efectuată o analiză a cauzei fundamentale şi estimările pot fi înlocuite cu cifre reale sau (ii) incidentul nu mai este considerat unul major. |
| Reclasificarea incidentului drept unul minor: incidentul nu mai îndeplineşte criteriile pentru a fi considerat major şi nu este de aşteptat să le îndeplinească înainte ca acesta să fie soluţionat. PSP trebuie să explice motivele acestei declasificări. |
| Data şi ora raportului: data şi ora exactă a transmiterii raportului autorităţii competente. |
| Numărul de identificare a incidentului, dacă este cazul (pentru raportul intermediar şi cel final): numărul de referinţă emis de autoritatea competentă la momentul raportului iniţial pentru a identifica în mod unic incidentul, dacă este cazul (mai exact, dacă o astfel de referinţă este oferită de autoritatea competentă). |
|
| A - Raport iniţial |
| A 1 - Detalii generale |
| Tip de raport: |
| Individual: raportul se referă la un singur PSP. |
| Consolidat: raportul se referă la mai mulţi PSP care utilizează opţiunea de raportare consolidată. Câmpurile de la secţiunea "PSP afectat" trebuie lăsate necompletate (cu excepţia câmpului "Ţara/Ţările afectată/afectate de incident") şi trebuie furnizată o listă a PSP incluşi în raport prin completarea tabelului aferent (Raport consolidat - lista PSP). |
| PSP afectat: se referă la PSP căruia i se întâmplă incidentul. |
| Numele PSP: reprezintă numele complet al PSP supus procedurii de raportare, aşa cum apare în registrul naţional oficial al PSP aplicabil. |
| Numărul de identificare unic al PSP, dacă este relevant: reprezintă numărul de identificare unic relevant utilizat în fiecare stat membru pentru identificarea PSP, care este oferit de PSP dacă nu se completează câmpul denumit "Numărul autorizaţiei PSP". |
| Numărul de autorizare al PSP: reprezintă codul de identificare fiscală sau element echivalent din Registrele ţinute de Banca Naţională a României (BNR) pentru entităţile care sunt instituţii de plată şi instituţii emitente de monedă electronică prevăzute la art. 223 alin. (1) lit. a) şi b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, numărul de înmatriculare în registrul instituţiilor de credit ţinut de BNR pentru entităţile care sunt instituţii de credit sau sucursale ale instituţiilor de credit din state terţe şi codul de identificare fiscală pentru entităţile prevăzute la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative. |
| Întreprinderea-mamă la nivelul grupului: în cazul grupurilor de entităţi definite la art. 5 alin. (1) pct. 29 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, reprezintă numele entităţii conducătoare. |
| Ţara de origine: reprezintă statul membru în care se află sediul social al PSP; sau, în cazul în care PSP nu are, în temeiul legislaţiei naţionale, niciun sediu social, statul membru în care se află sediul acestuia. |
| Ţara/Ţările afectată/afectate de incident: reprezintă ţara sau ţările în care s-a materializat impactul incidentului (de exemplu, sunt afectate mai multe sucursale ale unui PSP aflate în diferite ţări). Este posibil ca aceasta să fie sau să nu fie aceeaşi cu statul membru de origine. |
| Prima persoană de contact: reprezintă prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului sau, dacă o persoană terţă raportează în numele PSP afectat, prenumele şi numele de familie ale persoanei care conduce departamentul de gestionare a incidentelor/de risc sau o secţie similară din cadrul PSP afectat. |
| E-mail: reprezintă adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii. |
| Telefon: reprezintă numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. |
| A doua persoană de contact: reprezintă prenumele şi numele de familie ale unei persoane alternative care ar putea fi contactată de către autoritatea competentă pentru a solicita informaţii despre un incident atunci când persoana de contact principală nu este disponibilă. Dacă o parte terţă raportează în numele PSP afectat, prenumele şi numele de familie ale unei persoane alternative din departamentul de gestionare a incidentelor/de risc sau dintr-o secţie similară din cadrul PSP afectat. |
| E-mail: reprezintă adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii. |
| Telefon: reprezintă numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. |
| Entitatea de raportare: această secţiune trebuie completată dacă o parte terţă îndeplineşte obligaţiile de raportare în numele PSP afectat. |
| Denumirea entităţii de raportare: reprezintă denumirea completă a entităţii care raportează incidentul, aşa cum apare în registrul naţional oficial al companiilor aplicabil. |
| Numărul de identificare unic al entităţii de raportare, dacă este relevant: reprezintă numărul de identificare unic relevant utilizat în ţara în care se află partea terţă pentru a identifica entitatea care raportează incidentul, care se introduce de către entitatea de raportare în cazul în care câmpul "Numărul autorizaţiei" nu este completat. |
| Numărul autorizaţiei entităţii de raportare, dacă este relevant: reprezintă numărul de autorizare al părţii terţe în ţara în care se află aceasta, dacă este cazul. |
| Prima persoană de contact: reprezintă prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului. |
| E-mail: reprezintă adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii. |
| Telefon: reprezintă numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. |
| A doua persoană de contact: reprezintă prenumele şi numele de familie ale unei persoane alternative din cadrul entităţii care raportează incidentul, care ar putea fi contactată de către Banca Naţională României atunci când persoana de contact principală nu este disponibilă. |
| E-mail: reprezintă adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii. |
| Telefon: reprezintă numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare care pot fi abordate, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. |
| A 2 - Detectarea incidentului şi clasificarea iniţială |
| Data şi ora detectării incidentului: reprezintă data şi ora la care incidentul a fost identificat pentru prima dată. |
| Incidentul a fost detectat de către: indică dacă incidentul a fost detectat de către un utilizator al unui serviciu de plată, o altă parte din cadrul PSP (de exemplu, o funcţie de audit internă) sau o parte externă (de exemplu, un furnizor extern de servicii). În alte cazuri vă rugăm să oferiţi o explicaţie în câmpul aferent. |
| Descrierea generală a incidentului: explicaţi pe scurt cele mai relevante aspecte ale incidentului, cu acoperirea posibilelor cauze, a impactului imediat etc.; în cazul în care consideraţi că incidentul poate avea impact în alt/e stat/e membru/e şi se încadrează în termenele-limită de raportare aplicabile, vă rugăm să furnizaţi şi traducerea în limba engleză. |
| Când estimaţi următoarea actualizare?: indică data şi ora estimate pentru transmiterea următoarei actualizări (raportul intermediar sau cel final). |
| B - Raport intermediar |
| B 1 - Detalii generale |
| Descrierea detaliată a incidentului: furnizaţi o descriere detaliată a caracteristicilor incidentului, care să includă cel puţin următoarele: cu ce problemă specifică se confruntă PSP, cum s-a declanşat şi a evoluat incidentul, o posibilă legătură cu un alt incident anterior, consecinţe, mai ales pentru utilizatorii serviciilor de plată, detalii privind detectarea incidentului, arii afectate, măsuri aplicate, furnizori de servicii sau terţe părţi afectate ori implicate, declanşarea procedurii de gestionare a situaţiei de criză, clasificarea internă a incidentului realizată de PSP etc. |
| Data şi ora începerii incidentului: reprezintă data şi ora la care a apărut incidentul, dacă sunt cunoscute. |
| Starea curentă a incidentului: |
| Diagnosticare: reprezintă caracteristicile incidentului care tocmai au fost identificate. |
| Reparare: reprezintă elementele atacate care se află în curs de reconfigurare. |
| Recuperare: reprezintă elementele defectate care se află în curs de stabilizare către ultimul lor stadiu de recuperate posibil. |
| Restaurare: reprezintă situaţia în care se prestează din nou serviciul aferent plăţilor. |
| Data şi ora la care incidentul a fost soluţionat sau la care se aşteaptă soluţionarea: reprezintă data şi ora la care incidentul a fost sau este de aşteptat a fi sub control şi la care activitatea a fost sau este prevăzută a reveni la normal. |
|
| B 2 - Clasificarea incidentului şi informaţii privind incidentul |
| Impact general: indicaţi aspectele care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Integritate: reprezintă proprietatea de a asigura precizia şi caracterul complet al activelor (inclusiv al datelor). |
| Disponibilitate: reprezintă proprietatea serviciilor aferente plăţilor de a fi accesibile şi utilizabile de către utilizatorii serviciilor de plată. |
| Confidenţialitate: reprezintă proprietatea de a nu pune la dispoziţie sau de a nu prezenta informaţii persoanelor, entităţilor sau proceselor neautorizate. |
| Autenticitate: reprezintă proprietatea unei surse de a fi ceea ce se pretinde a fi. |
| Continuitate: reprezintă proprietatea proceselor, sarcinilor şi activelor unei organizaţii care sunt necesare pentru prestarea serviciilor aferente plăţilor, de a fi pe deplin accesibile şi de a se desfăşura, respectiv de a funcţiona, la niveluri prestabilite acceptabile. |
| Operaţiuni de plată afectate: PSP trebuie să precizeze pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, precum şi cifrele aferente: numărul operaţiunilor afectate, procentul operaţiunilor afectate în raport cu numărul operaţiunilor de plată executate cu aceleaşi servicii de plată care au fost afectate de incident, precum şi valoarea totală a operaţiunilor. PSP trebuie să prezinte valori specifice pentru aceste variabile, care pot fi cifre efective sau estimări. Entităţile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb intervale de valori reprezentând valori minime şi maxime observate sau estimate în cadrul grupului de PSP incluşi în raport, separate printr-o cratimă. Ca regulă generală, PSP trebuie să înţeleagă ca fiind "operaţiuni afectate" toate operaţiunile interne şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în mod specific, acele operaţiuni care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost dispuse în mod fraudulos (indiferent dacă fondurile au fost recuperate sau nu). Mai mult, PSP trebuie să înţeleagă faptul că nivelul obişnuit al operaţiunilor de plată este media anuală zilnică a operaţiunilor interne şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident, anul anterior fiind perioada de referinţă pentru calcule. Dacă PSP nu consideră că această cifră este reprezentativă (de exemplu, din cauza caracterului sezonier), aceştia trebuie să utilizeze, în schimb, un alt indicator mai reprezentativ şi să prezinte autorităţii naţionale justificarea aferentă acestei abordări în câmpul "Comentarii". |
| Utilizatori ai serviciilor de plată afectaţi: PSP trebuie să precizeze pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, şi cifrele aferente: numărul total al utilizatorilor serviciilor de plată care au fost afectaţi şi procentul utilizatorilor serviciilor de plată afectaţi din numărul total al utilizatorilor serviciilor de plată. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi cifre efective sau estimări. Entităţile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb intervale de valori reprezentând valori minime şi maxime observate sau estimate în cadrul grupului de PSP incluşi în raport, separate printr-o cratimă. PSP trebuie să înţeleagă ca fiind "utilizatori ai serviciilor de plată afectate" toţi clienţii (de la nivel intern sau din străinătate, consumatori sau întreprinderi) care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, şi care au suportat sau vor suporta probabil consecinţele incidentului. PSP trebuie să recurgă la estimări bazate pe activitatea anterioară pentru a stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului. În cazul grupurilor, fiecare PSP trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui PSP care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar PSP care beneficiază de respectivele servicii operaţionale trebuie să evalueze, de asemenea, incidentul în legătură cu utilizatorii serviciilor de plată proprii. Mai mult, PSP trebuie să considere ca fiind numărul total al utilizatorilor serviciilor de plată valoarea agregată a utilizatorilor serviciilor de plată interni şi transfrontalieri care le sunt acestora obligaţi prin contract la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată. |
| Perioadă de nefuncţionare a serviciilor: PSP trebuie să precizeze dacă pragul este sau va fi probabil atins de către incident, precum şi cifra aferentă: timpul total de indisponibilitate a serviciului. PSP trebuie să prezinte valori concrete pentru această variabilă, care pot fi exprimate în cifre efective sau estimări. Entităţile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb un interval de valori reprezentând valori minime şi maxime observate sau estimate în cadrul grupului de PSP incluşi în raport, separate printr-o cratimă. PSP trebuie să aibă în vedere perioada de timp în care orice sarcină, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibil şi, astfel, împiedică (i) iniţierea şi/sau executarea unui serviciu de plată şi/sau (ii) accesul la un cont de plăţi. PSP trebuie să calculeze durata de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp în care aceştia funcţionează conform cerinţelor de executare a serviciilor de plată, cât şi orele în care nu funcţionează, precum şi perioadele de întreţinere, dacă este cazul şi dacă există. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al indisponibilităţii serviciului, aceştia trebuie să calculeze în mod excepţional durata de nefuncţionare a serviciului de la momentul în care s-a detectat indisponibilitatea. |
| Impactul economic: PSP trebuie să precizeze dacă pragul este sau va fi probabil atins de către incident, precum şi cifrele aferente: costurile directe şi indirecte. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi cifre efective sau estimări. Entităţile care raportează în numele mai multor PSP (raportarea consolidată) pot prezenta în schimb un interval de valori reprezentând valori minime şi maxime observate sau estimate în cadrul grupului de PSP incluşi în raport, separate printr-o cratimă. PSP trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi cele care sunt legate în mod indirect de incident. Printre altele, PSP trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau costuri de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, PSP trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. |
| Costuri directe: suma de bani (în euro) asociată costului direct al incidentului, inclusiv fonduri necesare pentru remedierea incidentului (de exemplu, fonduri sau active expropriate, costuri de înlocuire a echipamentelor hardware şi software, tarife datorate nerespectării obligaţiilor contractuale). |
| Costuri indirecte: suma de bani (în euro) asociată costului indirect al incidentului (de exemplu, costuri asociate reparaţiilor/compensaţiilor pentru clienţi, venituri pierdute ca urmare a oportunităţilor de afaceri ratate, posibile cheltuieli judiciare). |
| Nivelul ridicat de escaladare internă: PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, responsabilul pentru sistemele informatice (sau o persoană cu o funcţie similară) a fost sau va fi probabil informat cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. În cazul raportării delegate, escaladarea ar avea loc în cadrul părţii terţe. În plus, PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibilă de a fi declanşată o stare de criză. |
| Alţi PSP sau infrastructuri relevante potenţial afectaţi/afectate: prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieţei financiare, care este înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată cu cardul care îi susţin pe aceştia şi pe ceilalţi PSP. În mod specific, PSP trebuie să evalueze dacă incidentul a apărut sau va apărea probabil în mod similar la alţi PSP, dacă acesta a afectat sau va afecta probabil funcţionarea fără probleme a infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil soliditatea sistemului financiar în ansamblu. PSP trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă PSP a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare. |
| Impact reputaţional: PSP trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa lor, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, PSP trebuie să aibă în vedere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. PSP trebuie să ţină cont dacă (i) incidentul a afectat un proces vizibil şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar mass-media tradiţională, precum ziarele, ci şi blog-uri, reţele de socializare etc.), (ii) au fost sau vor fi probabil nerespectate obligaţiile prevăzute în cadrul de reglementare, (iii) au fost sau vor fi probabil încălcate sancţiuni sau (iv) a apărut acelaşi tip de incident în trecut. |
| B 3 - Descrierea incidentului |
| Tipul incidentului: precizaţi dacă, după informaţiile şi datele deţinute, este un incident operaţional sau de securitate. |
| Operaţional: Incident care apare ca urmare a unor procese inadecvate sau defectuoase, din cauza unor persoane şi sisteme ori cazuri de forţă majoră care afectează integritatea, disponibilitatea, confidenţialitatea, autenticitatea şi/sau continuitatea serviciilor aferente plăţilor. |
| Securitate: accesul, utilizarea, publicarea, întreruperea, modificarea sau distrugerea neautorizată a activelor PSP care afectează integritatea, disponibilitatea, confidenţialitatea, autenticitatea şi/sau continuitatea serviciilor aferente plăţilor. Acest lucru se poate întâmpla atunci când, printre altele, PSP se confruntă cu atacuri cibernetice, o proiectare sau implementare defectuoasă a politicilor de securitate sau o securitate fizică necorespunzătoare. |
| Cauza incidentului: precizaţi cauza incidentului sau, dacă aceasta nu se cunoaşte încă, cea mai probabilă cauză. Pot fi selectate mai multe casete. |
| În curs de investigare: cauza nu a fost încă stabilită. |
| Atac extern: sursa cauzei provine din exterior şi vizează în mod intenţionat PSP (de exemplu, atacuri prin malware). |
| Atac intern: sursa cauzei provine din interior şi vizează în mod intenţionat PSP (de exemplu, fraudă internă). |
| Tip de atac: |
| Atac distribuit/Indisponibilitatea serviciului (D/DoS): o încercare de a indisponibiliza un serviciu online prin încărcarea acestuia cu trafic din mai multe surse. |
| Infectarea sistemelor interne: o activitate dăunătoare care atacă sistemele informatice, încercând să utilizeze neautorizat spaţiu de stocare de pe hard disk sau resurse de procesare (timp de procesare), să acceseze informaţii cu caracter privat, să corupă date, să trimită mesaje nesolicitate la adresele de contact etc. |
| Intruziune ţintită: un act neautorizat de spionare, supraveghere şi furt de informaţii în spaţiul cibernetic. |
| Altele: orice alt tip de atac pe care PSP l-ar fi putut afecta în mod direct sau prin intermediul unui prestator de servicii. În mod specific, dacă a existat un atac care a vizat procesul de autorizare şi autentificare, trebuie selectată această casetă. Trebuie adăugate detalii în câmpul aferent textului liber. |
| Evenimente externe: cauza este asociată unor evenimente care se află, în general, în afara controlului organizaţiei (de exemplu, calamităţi naturale, probleme juridice, probleme economice şi dependenţe de servicii). |
| Eroare umană: incidentul a fost cauzat ca urmare a erorii neintenţionate a unei persoane, fie în cadrul procedurii de plată (de exemplu, încărcarea fişierului lot de plăţi greşit în sistemul de plăţi) sau în legătură cu aceasta (de exemplu, se întrerupe accidental furnizarea energiei electrice şi activitatea de plată este pusă în aşteptare). |
| Eşecul procesului: cauza incidentului a fost o proiectare sau executare deficitară a procesului de plată, a controalelor procesului şi/sau a proceselor-suport (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). |
| Eşecul sistemului: cauza incidentului este asociată caracterului inadecvat al proiectării, executării, componentelor, specificaţiilor, integrării sau complexităţii sistemelor care susţin activitatea de plată. |
| Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Incidentul v-a afectat în mod direct sau indirect prin intermediul unui furnizor de servicii? Un incident poate viza un PSP în mod direct sau în mod indirect, prin intermediul unei terţe părţi. În cazul unui impact indirect, vă rugăm să precizaţi numele furnizorului (furnizorilor) de servicii. |
|
| B 4 - Impactul incidentului |
| Sediul/-iile afectat/-e, dacă este cazul: dacă o clădire este afectată fizic, vă rugăm să precizaţi adresa acesteia. |
| Canale comerciale afectate: precizaţi canalul sau canalele de interacţiune cu utilizatorii serviciilor de plată, care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Sucursale: sediul comercial (altul decât sediul social) care face parte dintr-un PSP, nu are personalitate juridică şi execută în mod direct unele sau toate operaţiunile inerente activităţii unui PSP. Toate sediile comerciale înfiinţate în acelaşi stat membru de către un PSP al cărui sediu social se află într-un alt stat membru trebuie considerate ca fiind o singură sucursală. |
| Servicii bancare electronice (E-banking): utilizarea de calculatoare pentru desfăşurarea tranzacţiilor financiare pe internet. |
| Servicii bancare prin telefon (Phone banking): utilizarea de telefoane pentru desfăşurarea tranzacţiilor financiare. |
| Servicii bancare pe mobil (Mobile banking): utilizarea unei anumite aplicaţii bancare pe un telefon inteligent sau un dispozitiv similar pentru desfăşurarea tranzacţiilor financiare. |
| ATM-uri: dispozitive electromecanice care permit utilizatorilor serviciilor de plată să retragă numerar din conturile lor şi/sau să acceseze alte servicii. |
| Punct de vânzare: spaţiu fizic al comerciantului la care este iniţiată operaţiunea de plată. |
| Altele: canalul comercial afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Servicii de plată afectate: precizaţi serviciile de plată care nu funcţionează corect ca urmare a incidentului. Pot fi selectate mai multe casete. |
| Depunere de numerar într-un cont de plăţi: depunerea de numerar la un PSP pentru a credita un cont de plăţi. |
| Retragere de numerar dintr-un cont de plăţi: solicitarea primită de către un PSP din partea utilizatorului serviciului său de plăţi pentru a furniza numerar şi a-şi debita contul de plăţi cu suma aferentă. |
| Operaţiuni necesare funcţionării unui cont de plăţi: acele acţiuni care trebuie să fie realizate într-un cont de plăţi pentru a activa, a dezactiva şi/sau a menţine contul respectiv (de exemplu, deschidere, blocare). |
| Acceptare de operaţiuni de plată: un serviciu de plată care constă în faptul că un PSP stabileşte în baza unui contract cu un beneficiar al plăţii să accepte şi să proceseze operaţiuni de plată, rezultând într-un transfer al fondurilor către beneficiarul plăţii. |
| Operaţiuni de transfer-credit: un serviciu de plată pentru creditarea unui cont de plăţi al unui beneficiar al plăţii cu o operaţiune de plată sau o serie de operaţiuni de plată din contul de plăţi al unui plătitor de către PSP care deţine contul de plăţi al plătitorului pe baza unei instrucţiuni date de către plătitor. |
| Debitări directe: un serviciu de plată pentru debitarea contului de plăţi al unui plătitor, în cazul în care o operaţiune de plată este iniţiată de beneficiarul plăţii pe baza consimţământului dat de către plătitor beneficiarului plăţii, prestatorului de servicii de plată al plătitorului sau propriului prestator de servicii de plată al beneficiarului plăţii. |
| Operaţiuni de plată printr-un card de plată sau un dispozitiv similar: un serviciu de plată bazat pe infrastructura şi regulile economice ale unei scheme de plată cu cardul pentru a desfăşura o tranzacţie de plată prin intermediul oricărui card, oricăror mijloace de telecomunicaţii, dispozitive digitale sau informatice ori software dacă rezultatul acestuia este o operaţiune cu cardul de debit sau cu cardul de credit. Operaţiunile de plată cu cardul exclud operaţiunile bazate pe alte tipuri de servicii de plată. |
| Emitere de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte cu un plătitor în baza unui contract ca acesta să îi furnizeze un instrument de plată pentru a iniţia şi a procesa operaţiunile de plată ale plătitorului. |
| Remitere de bani: un serviciu de plată prin care se primesc fonduri de la un plătitor fără a se crea conturi de plăţi în numele plătitorului sau al beneficiarului plăţii în scopul unic de a transfera o sumă corespunzătoare unui beneficiar al plăţii sau unui alt PSP care acţionează în numele beneficiarului plăţii şi/sau prin care se primesc astfel de fonduri în numele şi la dispoziţia beneficiarului plăţii. |
| Servicii de iniţiere a plăţii: servicii de plată pentru iniţierea unui ordin de plată la solicitarea utilizatorului serviciului de plăţi în legătură cu un cont de plăţi deţinut la alt PSP. |
| Servicii de informare cu privire la conturi: servicii de plată online pentru a oferi informaţii consolidate cu privire la unul sau mai multe conturi de plăţi deţinute de către utilizatorul serviciului de plăţi la un alt PSP sau la mai mulţi PSP. |
| Altele: serviciul de plată afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Arii funcţionale afectate: precizaţi etapa sau etapele din cadrul procesului de plată care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Autentificare/Autorizare: procedurile care permit PSP să verifice identitatea unui utilizator al serviciului de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv a utilizării elementelor de securitate personalizate ale utilizatorului, şi a exprimării acordului utilizatorului serviciului de plată (sau al unui terţ care acţionează în numele utilizatorului respectiv) faţă de transferarea fondurilor sau a valorilor mobiliare. |
| Comunicare: fluxul de informaţii în scopul identificării, autentificării, notificării şi informării dintre PSP care oferă servicii de administrare cont şi prestatorii de servicii de iniţiere a plăţii, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plăţii şi alţi PSP. |
| Compensare: un proces de transmitere, reconciliere şi, în unele cazuri, confirmare a ordinelor de transfer înainte de decontare, eventual cu includerea compensării ordinelor şi cu stabilirea poziţiilor finale pentru decontare. |
| Decontare directă: încheierea unei tranzacţii sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către însuşi PSP afectat. |
| Decontare indirectă: încheierea unei tranzacţii sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către un alt PSP în numele PSP afectat. |
| Altele: domeniul funcţional afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Sisteme şi componente afectate: precizaţi care parte sau părţi din infrastructura tehnologică a PSP a/au fost afectată/afectate de incident. Pot fi selectate mai multe casete. |
| Aplicaţie/Software: programe, sisteme de operare etc. care susţin furnizarea de servicii de plată de către PSP. |
| Bază de date: structură de date care stochează informaţii cu caracter personal şi despre plăţi necesare pentru executarea operaţiunilor de plată. |
| Hardware: echipament tehnologic fizic care derulează procesele şi/sau stochează datele necesare PSP pentru a-şi desfăşura activitatea legată de plăţi. |
| Reţea/Infrastructură: reţele de telecomunicaţii, publice sau private, care permit schimbul de date şi informaţii în cursul procesului de plată (de exemplu, internetul). |
| Altele: sistemul şi componenta afectate nu sunt dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Personal afectat: precizaţi dacă incidentul a avut efecte asupra personalului PSP şi, în acest caz, oferiţi detalii în câmpul aferent textului liber. |
|
| B 5 - Diminuarea incidentului |
| Ce acţiuni/măsuri au fost luate până acum sau sunt planificate pentru a recupera situaţia după incident? Oferiţi detalii despre acţiuni care au fost luate sau prevăzute a fi luate pentru abordarea temporară a incidentului. |
| Planurile de asigurare a continuităţii activităţii şi/sau de recuperare în caz de dezastre au fost activate? Precizaţi dacă acestea au fost activate şi, în acest caz, oferiţi cele mai relevante detalii despre ceea ce s-a întâmplat; mai exact, când au fost activate şi în ce au constat aceste planuri. |
| PSP a anulat sau a slăbit unele măsuri de control din cauza incidentului? Precizaţi dacă PSP a trebuit să anuleze unele măsuri de control (de exemplu, încetarea aplicării principiului celor patru ochi) pentru abordarea incidentului şi, în acest caz, să ofere detalii despre motivele aferente, cu justificarea slăbirii sau anulării măsurilor de control în cauză. |
| C - Raportul final |
| C 1 - Detalii generale |
| Actualizarea informaţiilor din raportul intermediar (rezumat): precizaţi informaţii suplimentare cu privire la acţiunile/măsurile adiţionale efectuate/luate pentru recuperarea de pe urma incidentului, inclusiv acţiunile de remediere finale efectuate/luate şi evitarea reapariţiei acestuia, analiza cauzei fundamentale, experienţa dobândită, acţiuni suplimentare efectuate, alte informaţii relevante. |
| Data şi ora încheierii incidentului: precizaţi data şi ora la care incidentul a fost considerat încheiat. |
| Măsurile de control iniţiale au fost reluate? Dacă PSP a trebuit să anuleze sau să reducă unele măsuri de control din cauza incidentului, precizaţi dacă astfel de măsuri de control au fost reluate şi oferiţi orice informaţii suplimentare în câmpul aferent textului liber. |
| C 2 - Analiza cauzei fundamentale şi acţiuni de urmărire |
| Care a fost cauza fundamentală, dacă este deja cunoscută?: explicaţi care este cauza fundamentală a incidentului sau, dacă aceasta nu este cunoscută încă, concluziile preliminare trase ca urmare a analizei cauzei fundamentale. PSP pot anexa un fişier cu informaţii detaliate, dacă se consideră necesar. |
| Principale acţiuni/măsuri corective luate sau planificate pentru prevenirea reapariţiei incidentului în viitor, dacă se cunosc deja: descrieţi acţiunile principale care au fost luate sau sunt prevăzute a fi luate pentru a preveni reapariţia incidentului în viitor. |
|
| C 3 - Informaţii suplimentare |
| Incidentul a fost comunicat altor prestatori de servicii de plată în scopul informării?: oferiţi o scurtă prezentare a PSP care au fost contactaţi, pe cale oficială sau neoficială, pentru a-i pune la curent cu privire la incident, prezentând detalii despre PSP care au fost informaţi, informaţiile care au fost comunicate şi motivele care au stat la baza comunicării acestor informaţii. |
| A fost luată vreo măsură cu caracter legal împotriva prestatorului de servicii de plată?: precizaţi dacă la data completării raportului final PSP a făcut obiectul vreunei acţiuni în justiţie (de exemplu, a fost adus în instanţă sau şi-a pierdut licenţa) ca urmare a producerii incidentului. |
ANEXA Nr. 4
Metodologia şi instrucţiunile aferente raportării de date privind fraudele
1. Operaţiuni de plată şi operaţiuni de plată frauduloase
1.1. Clarificarea unor termeni:
a) "Pierderi cauzate de fraudă în funcţie de purtătorul răspunderii" se referă la pierderile înregistrate de către prestatorul de servicii de plată care a emis raportul, de utilizatorul serviciului său de plată sau de alţii, reflectând impactul real al fraudei pe baza fluxului de numerar. Având în vedere că înregistrarea pierderilor financiare poate fi disociată din punct de vedere temporal de operaţiunile frauduloase concrete şi pentru a evita revizuirea datelor raportate strict din cauza acestui decalaj temporal imanent, pierderile finale cauzate de fraudă vor fi raportate în perioada în care sunt înregistrate în evidenţele contabile ale prestatorului de servicii de plată. Cifrele finale corespunzând pierderilor cauzate de fraudă nu trebuie să ia în calcul despăgubirile acordate de agenţiile de asigurare, dat fiind că nu au legătură cu prevenirea fraudelor în sensul Legii privind serviciile de plată şi pentru modificarea unor acte normative;
b) "Modificarea unui ordin de plată de către autorul fraudei" este un tip de operaţiune neautorizată şi se referă la situaţia în care autorul fraudei interceptează şi modifică un ordin de plată legitim la un moment dat în timpul comunicării electronice între dispozitivul plătitorului şi prestatorul de servicii de plată [de exemplu, prin programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod legitim (atacuri de tip "omul din mijloc")] sau modifică instrucţiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea şi decontarea ordinului de plată;
c) "Emiterea unui ordin de plată de către autorul fraudei" este un tip de operaţiune neautorizată şi se referă la situaţia în care un ordin de plată fals este emis de autorul fraudei după ce a obţinut datele sensibile privind plăţile plătitorului sau ale beneficiarului plăţii prin mijloace frauduloase.
1.2. Raportarea operaţiunilor de transfer credit
Datele raportate în legătură cu operaţiunile de plată de tip transfer credit includ informaţii cu privire la operaţiunile de plată iniţiate prin intermediul ATM-urilor cu funcţie de transfer credit, precum şi informaţii cu privire la operaţiunile de plată de acest tip prin care se decontează soldul operaţiunilor efectuate prin intermediul cardurilor cu funcţie de credit sau de debit amânat.
1.3. Raportarea operaţiunilor de debitare directă
Datele raportate în legătură cu operaţiunile de plată de tip debitare directă includ informaţii cu privire la operaţiunile de plată de acest tip prin care se decontează soldul operaţiunilor efectuate prin intermediul cardurilor cu funcţie de credit sau de debit amânat.
1.4. Raportarea operaţiunilor de plăţi cu cardul
Operaţiunile de plată cu cardul vor include date despre toate operaţiunile de plată efectuate cu un card de plăţi, electronice sau nu. Plăţile efectuate cu carduri care au doar funcţie de monedă electronică (de exemplu, carduri preplătite) nu se raportează în cadrul categoriei de plăţi cu cardul, ci se raportează ca plăţi cu monedă electronică.
1.5. Raportarea operaţiunilor de remitere de bani
a) În cazul operaţiunilor de remitere de bani când fondurile au fost transferate de la prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remitere de bani al plătitorului (în cadrul operaţiunii de remitere de bani), cel care trebuie să raporteze operaţiunile de plată efectuate de către prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remiteri de bani este prestatorul de servicii de plată al plătitorului şi nu prestatorul de servicii de remitere de bani. Aceste operaţiuni nu trebuie raportate de prestatorul de servicii de plată al beneficiarului operaţiunii de remitere de bani.
b) Operaţiunile şi operaţiunile frauduloase prevăzute la art. 99, în care fondurile au fost transferate de către prestatorul de servicii de remiteri de bani din conturile sale în contul unui beneficiar al plăţii, inclusiv prin acorduri prin care se compensează valoarea mai multor operaţiuni de plată (acorduri de compensare), vor fi raportate de prestatorul de servicii de remitere de bani conform formularului "G - Defalcarea datelor pentru operaţiunile de remitere de bani" din anexa nr. 5 la regulament.
1.6. Raportarea operaţiunilor de plată cu monedă electronică
Operaţiunile de plată şi operaţiunile frauduloase de plată în care moneda electronică este transferată de un prestator de servicii de emitere de monedă electronică în contul unui beneficiar al plăţii, inclusiv în cazurile în care prestatorul de servicii de plată al plătitorului este acelaşi cu prestatorul de servicii de plată al beneficiarului, vor fi raportate de prestatorul de emitere de monedă electronică utilizând formularul "F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică" din anexa nr. 5 la regulament. În cazurile în care prestatorii de servicii de plată sunt diferiţi, plata va fi raportată numai de prestatorul de servicii de plată al plătitorului, pentru a evita dubla raportare.
2. Cerinţe generale privind datele raportate
2.1. Prestatorul de servicii de plată va raporta numai operaţiunile de plată care au fost executate, inclusiv acele operaţiuni care au fost iniţiate de un prestator de servicii de iniţiere a plăţii. Nu trebuie incluse operaţiunile frauduloase preîntâmpinate care au fost blocate înainte de a fi executate din cauza suspiciunii de fraudă.
2.2. Prestatorii de servicii de plată trebuie să identifice defalcarea sau defalcările de date aplicabile, în funcţie de serviciul sau serviciile şi instrumentul sau instrumentele de plată oferite, şi să comunice datele relevante autorităţii competente.
2.3. În cazul unei serii de operaţiuni de plată executate sau operaţiuni de plată frauduloase executate, prestatorii de servicii de plată vor considera fiecare operaţiune de plată sau operaţiune de plată frauduloasă din seria respectivă ca fiind una singură.
2.4. Prestatorul de servicii de plată poate raporta zero ("0") atunci când nu există operaţiuni sau operaţiuni frauduloase pentru un anumit indicator în perioada de raportare stabilită. Atunci când un prestator de servicii de plată nu poate raporta date pentru o anumită defalcare fiindcă respectiva defalcare de date nu este aplicabilă acelui PSP, datele vor fi raportate ca "NA".
2.5. În scopul de a evita raportarea dublă, prestatorul de servicii de plată al plătitorului va transmite datele în calitatea sa de emitent (sau iniţiator). Ca excepţie, datele referitoare la plăţile cu cardul vor fi raportate atât de prestatorul de servicii de plată al plătitorului, cât şi de prestatorul de servicii de plată al beneficiarului, care acceptă operaţiunea de plată. Cele două perspective trebuie raportate separat, cu defalcări diferite, conform formularelor corespunzătoare prevăzute în anexa nr. 5 la regulament.
2.6. În cazul în care în operaţiunea de plată sunt implicaţi mai mulţi prestatori de servicii de plată care acceptă plata, cel care va raporta este prestatorul care are relaţia contractuală cu beneficiarul plăţii.
2.7. În ceea ce priveşte operaţiunile de debitare directă, acestea trebuie raportate numai de către prestatorul de servicii de plată al beneficiarului plăţii, având în vedere că aceste operaţiuni sunt iniţiate de beneficiarul plăţii.
2.8. Pentru a evita raportarea dublă la calculul totalului operaţiunilor de plată şi operaţiunilor frauduloase de plată efectuate cu toate instrumentele de plată, prestatorul de servicii de plată care execută operaţiunile de transfer de credit iniţiate de un prestator de servicii de iniţiere a plăţii trebuie să precizeze defalcarea corespunzătoare volumului şi valorii totalului operaţiunilor de plată şi operaţiunilor de plată frauduloase care au fost iniţiate prin intermediul unui prestator de servicii de iniţiere a plăţii, pentru datele raportate în cadrul formularului "A - Defalcarea datelor pentru operaţiunile de transfer credit" din anexa nr. 5 la regulament.
3. Defalcarea geografică
3.1. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată la distanţă pe bază de card, "operaţiunile de plată naţionale" se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului şi prestatorul de servicii de plată al beneficiarului se află în România.
3.2. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, "operaţiunile de plată naţionale" se referă la operaţiunile de plată în care prestatorul de servicii de plată al plătitorului (emitentul), prestatorul de servicii de plată al beneficiarului (acceptantul) şi punctul de vânzare sau bancomatul folosit se află în România.
3.3. Pentru sucursalele din România ale prestatorilor de servicii de plată operaţiunile de plată naţionale se referă la operaţiunile de plată în care atât prestatorii de servicii de plată ai plătitorului, cât şi cei ai beneficiarului plăţii se află în România.
3.4. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată cu cardul la distanţă, "operaţiunea de plată transfrontalieră în cadrul SEE" se referă la o operaţiune de plată iniţiată de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului şi prestatorul de servicii de plată al beneficiarului plăţii se află în state membre diferite, dintre care unul este situat în România.
3.5. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, "operaţiunile de plată transfrontaliere în cadrul SEE" se referă la operaţiunile de plată în care:
a) prestatorul de servicii de plată al plătitorului (emitentul) şi prestatorul de servicii de plată al beneficiarului plăţii (acceptantul) se află în state membre diferite, dintre care unul este situat în România; sau
b) prestatorul de servicii de plată al plătitorului (emitentul) se află într-un alt stat membru decât punctul de vânzare sau bancomatul, dintre care unul este situat în România.
3.6. "Operaţiunile de plată transfrontaliere în afara SEE" se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care fie prestatorul de servicii de plată al plătitorului, fie cel al beneficiarului plăţii se află în stat terţ, iar celălalt se află în România.
3.7. Un prestator de servicii de plată care oferă servicii de iniţiere a plăţii va raporta operaţiunile de plată şi operaţiunile de plată frauduloase executate pe care le-a iniţiat, în conformitate cu următoarele:
a) "Operaţiunile de plată naţionale" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii şi prestatorul de servicii de plată care oferă servicii de administrare cont se află în România;
b) "Operaţiunile de plată transfrontaliere în cadrul SEE" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii şi prestatorul de servicii de plată care oferă servicii de administrare cont se află în state membre diferite, dintre care unul este situat în România;
c) "Operaţiunile de plată transfrontaliere în state terţe" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii se află în România, iar prestatorul de servicii de plată care oferă servicii de administrare cont se află într-un stat terţ.
ANEXA Nr. 5