Având în vedere prevederile art. 218, 219, precum şi ale art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative,
în temeiul dispoziţiilor art. 243 alin. (1) şi art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 48 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentul regulament.
TITLUL IDomeniul de aplicare, obiectul şi definiţii
Art. 1. -
(1) Prezentul regulament stabileşte:
a) cerinţele şi documentaţia ce trebuie prezentată Băncii Naţionale a României cu privire la măsurile de diminuare a riscurilor operaţionale şi de securitate, precum şi mecanismele de control adecvate pentru a gestiona riscurile operaţionale şi de securitate, legate de serviciile de plată oferite de către entităţile menţionate la alin. (2);
b) raportarea incidentelor operaţionale sau de securitate majore specifice serviciilor aferente plăţilor;
c) obligaţiile de raportare la Banca Naţională a României a datelor şi informaţiilor statistice privind fraudele legate de diferite mijloace de plată.
(2) Prezentul regulament se aplică după cum urmează:
a) dispoziţiile titlurilor I, II şi V se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) -e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
b) dispoziţiile titlului III se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
c) dispoziţiile titlului IV se aplică prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a), c) -e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(3) Documentele şi informaţiile menţionate la alin. (1) sunt prezentate Băncii Naţionale a României în limba română.
(4) Pentru documentele şi informaţiile într-o limbă străină se prezintă şi traducerea legalizată a acestora. Pentru documentele redactate într-o limbă de circulaţie internaţională, Banca Naţională a României poate excepta, de la caz la caz, aplicarea cerinţei privind traducerea legalizată.
Art. 2. -
(1) Termenii şi expresiile utilizaţi/utilizate în prezentul regulament au semnificaţiile prevăzute de Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, Regulamentul (UE) 2015/751 al Parlamentului European şi al Consiliului din 29 aprilie 2015 privind comisioanele interbancare pentru tranzacţiile de plată cu cardul, Regulamentul (UE) nr. 260/2012 al Parlamentului European şi al Consiliului de stabilire a cerinţelor tehnice şi comerciale aplicabile operaţiunilor de transfer de credit şi de debitare directă în euro.
(2) În sensul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:16/06/2021 - alineatul a fost modificat prin Regulament 2/2021
a) active informaţionale - date sau alte informaţii, corporale sau necorporale, care trebuie protejate;
b) activ TIC - un activ de natură software sau hardware care se găseşte în mediul de afaceri, inclusiv sisteme TIC;
c) apărare în adâncime - ansamblu de mai multe tipuri de controale care acoperă acelaşi risc, precum principiul celor patru ochi, autentificarea pe baza a doi factori, segmentarea reţelei şi mecanisme multiple de tip firewall;
d) apetit la risc - nivelul şi tipurile cumulate de risc pe care o instituţie este dispusă să şi le asume în limita capacităţii sale de risc, conform modelului său de afaceri, în vederea realizării obiectivelor sale strategice;
e) autenticitate - proprietatea unei surse de a fi ceea ce se pretinde a fi;
f) conducere superioară:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 3 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii emitente de monedă electronică, acest termen se referă la persoanele prevăzute la art. 10 alin. (2) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică;
(iv) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) sau art. 98 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, după caz;
(v) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
g) confidenţialitate - proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate;15/03/2022 - litera a fost modificată prin Regulament 4/2022
h) disponibilitate - proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată;15/03/2022 - litera a fost modificată prin Regulament 4/2022
i) «Emiterea unui ordin de plată de către autorul fraudei» - un tip de operaţiune de plată neautorizată şi se referă la situaţia în care un ordin de plată fals este emis de autorul fraudei după ce a obţinut datele sensibile privind plăţile ale plătitorului sau ale beneficiarului plăţii prin mijloace frauduloase;
j) funcţia de audit:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, funcţia de audit are înţelesul prevăzut la art. 54-60 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată, alţii decât cei prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, funcţia de audit trebuie să fie independentă de prestatorul de servicii de plată sau independentă în cadrul acestuia şi poate fi o funcţie de audit intern şi/sau extern;
k) incident TIC operaţional sau de securitate - un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau ar putea avea un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii şi/sau autenticităţii serviciilor aferente plăţilor;15/03/2022 - litera a fost modificată prin Regulament 4/2022
l) integritate - proprietatea de a asigura acurateţea şi caracterul complet al activelor, inclusiv în ceea ce priveşte datele;15/03/2022 - litera a fost modificată prin Regulament 4/2022
m) manipularea plătitorului - acţiune a unei persoane care are ca scop determinarea plătitorului să emită un ordin de plată sau să dea instrucţiuni prestatorului său de servicii de plată să îl emită, cu bună-credinţă, către un cont de plată despre care crede că aparţine beneficiarului legitim al plăţii;
n) mediu informatic - un subset al infrastructurii IT care este folosit pentru un scop bine determinat - de exemplu, mediu de dezvoltare, mediu de asamblare, mediu de test, mediu de producţie;
o) «Modificarea unui ordin de plată de către autorul fraudei»- un tip de operaţiune neautorizată şi se referă la situaţia în care autorul fraudei interceptează şi modifică un ordin de plată autorizat la un moment dat, în timpul comunicării electronice între dispozitivul plătitorului şi prestatorul de servicii de plată [precum programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod autorizat (atacuri de tip «omul din mijloc»)] sau modifică instrucţiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea şi decontarea ordinului de plată;
p) operaţiune de plată neautorizată - operaţiune de plată executată fără exprimarea consimţământului plătitorului în conformitate cu prevederile art. 147-149 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, inclusiv ca urmare a pierderii, furtului, deturnării datelor sensibile privind plăţile sau a instrumentului de plată, indiferent dacă a putut fi detectată de către plătitor înaintea efectuării plăţii şi indiferent dacă a fost cauzată de neglijenţa gravă a plătitorului;
q) organ de conducere:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 1 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) şi b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată, instituţii emitente de monedă electronică sau furnizori specializaţi în servicii de informare cu privire la conturi, acest termen se referă la persoanele prevăzute la lit. f) pct. (ii) - (iv), după caz;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
r) principiul «privilegiilor minime» - prevede că personalul care are nevoie de acces la sistemele informatice şi de comunicaţii trebuie să aibă accesul minim necesar pentru a-şi îndeplini funcţia. Acest principiu se aplică atât accesului fizic, cât şi accesului logic la date şi resurse TIC, precum şi sistemelor şi aplicaţiilor care prelucrează date. Abilitatea de a citi, a crea, a actualiza şi a şterge datele constituie controale de acces supuse principiului privilegiilor minime;
s) proiect TIC - orice proiect sau parte a acestuia în care sunt modificate, înlocuite, respinse sau implementate sisteme şi servicii TIC. Proiectele TIC pot face parte din programe de transformare mai ample în sectorul TIC sau în cel de afaceri;
t) risc TIC şi de securitate - se referă la riscurile operaţionale şi de securitate prevăzute la art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative. Acesta reprezintă înregistrări de pierderi din cauza încălcării confidenţialităţii, pierderii integrităţii sistemelor şi a datelor, caracterului necorespunzător sau indisponibilităţii sistemelor şi datelor sau incapacităţii de a schimba tehnologia informaţiei (TI) într-o perioadă de timp rezonabilă şi la costuri rezonabile, atunci când cerinţele de mediu sau de afaceri se schimbă. Riscul TIC şi de securitate include riscuri de securitate care rezultă fie din procese interne inadecvate sau care nu şi-au îndeplinit funcţia în mod corespunzător, fie din evenimente externe, inclusiv din atacuri cibernetice sau din securitatea fizică inadecvată;
u) serviciu aferent plăţilor - orice activitate din categoria serviciilor de plată prevăzute la art. 7 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi toate sarcinile tehnice de asistenţă necesare pentru prestarea serviciilor de plată;
v) servicii TIC - serviciile furnizate de sisteme TIC unuia sau mai multor utilizatori interni sau externi, precum: serviciile de introducere a datelor, de stocare a datelor, de prelucrare şi de raportare a datelor, însă şi serviciile de monitorizare şi serviciilesuport ale afacerii şi deciziilor;
w) sisteme TIC - tehnologia informaţiei şi comunicaţiilor configurată în cadrul unui mecanism sau al unei reţele de interconectare care susţine operaţiunile unui prestator de servicii de plată;
x) terţ - o organizaţie care a încheiat contracte în vederea desfăşurării unor relaţii comerciale sau a altui tip de raport juridic, pentru a furniza unei entităţi un produs sau un serviciu;
y) TIC - tehnologia informaţiei şi comunicaţiilor;
z) RTO - obiectivul perioadei de recuperare reprezintă intervalul maxim admis în care un sistem sau un serviciu TIC trebuie să fie restabilit după o întrerupere, înainte de a avea un impact negativ asupra proceselor aferente activităţii unei instituţii;
aa) RPO - obiectivul momentului de recuperare reprezintă perioada maximă anterioară momentului în care un serviciu este restaurat după o întrerupere, în care se acceptă pierderea datelor;
bb) exerciţiu de testare a securităţii de tip «red team» - înseamnă un exerciţiu care imită tactica, tehnicile şi procedurile actorilor de ameninţări din viaţa reală percepute ca reprezentând o ameninţare cibernetică autentică, care oferă un test controlat, personalizat, desfăşurat ca o simulare a unei tentative de atac în vederea compromiterii sistemelor critice aferente activităţii unei instituţii, pentru a oferi o evaluare cuprinzătoare a capacităţii securităţii sistemelor TIC şi a instituţiei.
TITLUL IIGestionarea riscurilor TIC şi de securitate
16/06/2021 - TITLUL II a fost modificat prin Regulament 2/2021
CAPITOLUL IDispoziţii generale
Art. 3. -
(1) Prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor TIC şi de securitate, legate de serviciile de plată pe care le oferă, cu respectarea dispoziţiilor prevăzute în prezentul titlu.
(2) Nivelul de detaliu al descrierii măsurilor de securitate prevăzute la alin. (1) trebuie să fie proporţional cu dimensiunea, organizarea internă a prestatorului de servicii de plată, precum şi cu natura, scopul, extinderea, complexitatea şi gradul de risc asociat serviciilor de plată şi produselor pe care prestatorul de servicii de plată le oferă sau intenţionează să le ofere.
(3) Prestatorii de servicii de plată trebuie să fundamenteze în mod adecvat măsurile de securitate prevăzute la alin. (1) şi să comunice documentaţia de fundamentare Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, prin intermediul Reţelei de comunicaţii interbancare, anual, până cel târziu la data de 31 martie sau mai des la solicitarea acesteia.
(4) Modificările intervenite cu privire la documentaţia prevăzută la alin. (1) se transmit Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, în termen de 10 zile de la adoptarea deciziei cu privire la modificări.
(5) Banca Naţională a României (BNR) poate solicita prestatorilor de servicii de plată să pună la dispoziţia acesteia orice alte date şi informaţii pe care le consideră necesare în vederea evaluării adecvării la risc a măsurilor de securitate implementate de către prestatorii de servicii de plată. Prestatorii de servicii de plată au obligaţia de a pune la dispoziţia BNR informaţiile şi documentele solicitate în termen de 10 zile de la primirea solicitării.
(6) Banca Naţională a României poate prelungi, cu maximum 90 de zile, termenul de comunicare a documentaţiei prevăzut la alin. (3), în situaţii fundamentate de către prestatorii de servicii de plată, care necesită alocarea cât mai eficientă a resurselor umane şi materiale existente la nivelul acestora, pentru punerea în aplicare a planurilor lor generale de asigurare a continuităţii activităţii în condiţiile unor stări de urgenţă decretate de către autorităţi, sau alte situaţii speciale.
(7) Prelungirea termenului prevăzut la alin. (6) se poate realiza în situaţia în care documentaţia pusă la dispoziţia BNR, precum şi istoricul acţiunilor întreprinse de prestatorii de servicii de plată probează faţă de BNR că îndeplinesc obligaţia de a deţine, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscurilor TIC şi de securitate.
(8) Prelungirea termenului prevăzut la alin. (3), conform alin. (6), nu scuteşte prestatorii de servicii de plată de la îndeplinirea obligaţiei de a deţine, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscului TIC şi de securitate.
CAPITOLUL IIGuvernanţa şi strategia
SECŢIUNEA 1Guvernanţa
Art. 4. -
(1) Organul de conducere trebuie să se asigure că prestatorul de servicii de plată dispune de un cadru adecvat de administrare a activităţii sale de prestare de servicii aferente plăţilor şi de un cadru de control intern corespunzător riscurilor sale TIC şi de securitate.
(2) Organul de conducere trebuie să stabilească roluri şi responsabilităţi clare privind funcţiile TIC, administrarea riscurilor de securitate a informaţiilor şi continuitatea activităţii de prestare de servicii aferente plăţilor, inclusiv pentru organul de conducere şi comitetele specializate ale prestatorului de servicii de plată, dacă este cazul.
Art. 5. -
(1) Organul de conducere trebuie să se asigure că numărul şi competenţele membrilor personalului prestatorului de servicii de plată sunt corespunzătoare pentru a sprijini permanent nevoile acestuia operaţionale TIC şi proceselor sale de administrare a riscurilor TIC şi de securitate, precum şi pentru a asigura punerea în aplicare a strategiei sale TIC.
(2) Organul de conducere trebuie să se asigure că bugetul alocat este corespunzător pentru a îndeplini strategia TIC a prestatorului de servicii de plată.
Art. 6. -
Organul de conducere este pe deplin răspunzător de stabilirea, aprobarea şi supravegherea punerii în aplicare a strategiei TIC a prestatorului de servicii de plată în cadrul strategiei sale generale de afaceri, precum şi de stabilirea unui cadru eficace de administrare a riscurilor TIC şi de securitate.
SECŢIUNEA a 2-aStrategia
Art. 7. -
(1) Strategia TIC trebuie aliniată la strategia generală de afaceri a prestatorului de servicii de plată şi trebuie să definească:
a) modul în care trebuie să evolueze TIC a prestatorului de servicii de plată pentru a sprijini şi a participa în mod eficient la strategia sa de afaceri, inclusiv la evoluţia structurii organizatorice, a modificărilor din sistemul TIC şi a dependenţelor-cheie de terţi;
b) strategia planificată şi evoluţia arhitecturii TIC, inclusiv a dependenţelor de terţi;
c) obiective clare de securitate a informaţiilor, punând accent pe sisteme şi servicii TIC, pe personal şi procese.
(2) Prestatorii de servicii de plată trebuie să instituie procese de monitorizare şi măsurare a eficacităţii punerii în aplicare a strategiei lor TIC.
Art. 8. -
(1) Prestatorii de servicii de plată trebuie să stabilească seturi de planuri de acţiune care să conţină măsurile ce trebuie luate în vederea atingerii obiectivului strategiei TIC.
(2) Planurile de acţiune menţionate la alin. (1) trebuie să fie:
a) comunicate tuturor membrilor relevanţi ai personalului (inclusiv contractanţilor şi furnizorilor terţi, dacă este cazul şi dacă este relevant);
b) revizuite periodic, pentru a se asigura relevanţa şi adecvarea acestora.
SECŢIUNEA a 3-aExternalizarea unor funcţii operaţionale aferente serviciilor de plată
Art. 9. -
(1) În cazul în care au fost externalizate funcţii operaţionale aferente serviciilor de plată şi/sau servicii TIC şi sisteme TIC ale oricărei activităţi de prestare de servicii aferente plăţilor, inclusiv către entităţile din grup, sau atunci când se folosesc furnizori terţi, prestatorii de servicii de plată trebuie să asigure eficacitatea măsurilor de securitate prevăzute în prezentul titlu.
(2) Pentru îndeplinirea obligaţiilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie să se asigure că în contractele şi acordurile privind nivelul de calitate al serviciilor, atât în circumstanţe normale, cât şi în caz de întrerupere a serviciului potrivit art. 511, cu furnizori de servicii de externalizare, entităţi din grup sau furnizori terţi către care au externalizat funcţiile respective sunt incluse următoarele:
a) obiective şi măsuri corespunzătoare şi proporţionale de securitate a informaţiilor, inclusiv cerinţe precum cerinţe minime de securitate cibernetică, specificaţii ale ciclului de viaţă al datelor instituţiilor financiare, orice cerinţe privind criptarea datelor, securitatea reţelei şi procesele de monitorizare a securităţii şi amplasarea centrelor de date;
b) proceduri de gestionare a incidentelor operaţionale şi de securitate, inclusiv escaladarea şi raportarea.
(3) Prestatorii de servicii de plată trebuie să monitorizeze şi să se asigure că furnizorii către care au externalizat funcţii operaţionale îndeplinesc obiectivele de securitate, măsurile de securitate şi obiectivele de performanţă stabilite în acord cu alin. (2).
(4) Prestatorii de servicii de plată rămân pe deplin responsabili pentru evaluarea eficacităţii măsurilor de securitate ale funcţiilor operaţionale externalizate aferente serviciilor de plată şi/sau serviciilor TIC şi sistemelor TIC ale oricărei activităţi de prestare de servicii aferente plăţilor.
CAPITOLUL IIICadrul de gestionare a riscurilor TIC şi de securitate
SECŢIUNEA 1Organizarea şi obiectivele
Art. 10. -
(1) Prestatorii de servicii de plată trebuie să îşi identifice şi să îşi administreze adecvat riscurile TIC şi de securitate.
(2) Funcţia (funcţiile) TIC responsabilă (responsabile) de sistemele TIC, procesele şi operaţiunile de securitate trebuie să dispună de procese şi controale corespunzătoare pentru a se asigura că toate riscurile sunt identificate, analizate, măsurate, monitorizate, administrate, raportate şi menţinute în limitele apetitului la risc al prestatorului de servicii de plată şi că proiectele şi sistemele pe care le livrează şi activităţile pe care le prestează sunt în conformitate cu cerinţele externe şi interne.
Art. 11. -
(1) Prestatorii de servicii de plată trebuie să atribuie responsabilitatea administrării şi supravegherii riscurilor TIC şi de securitate unei funcţii de control, prin aplicarea în mod corespunzător a prevederilor secţiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
(2) Prestatorii de servicii de plată trebuie să asigure independenţa şi obiectivitatea acestei funcţii de control, separând-o în mod corespunzător de procesele operaţiunilor TIC.
(3) Prestatorii de servicii de plată trebuie să se asigure că funcţia de control menţionată la alin. (1):
a) este direct răspunzătoare în faţa organului de conducere şi este responsabilă de monitorizarea şi controlul respectării cadrului de administrare a riscurilor TIC şi de securitate;
b) trebuie să asigure că riscurile TIC şi de securitate sunt identificate, măsurate, evaluate, administrate, monitorizate şi raportate;
c) nu este responsabilă de niciun audit intern.
Art. 12. -
Funcţia de audit intern stabilită prin aplicarea în mod corespunzător a prevederilor relevante din cadrul secţiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, trebuie să aibă capacitatea, urmând o abordare bazată pe riscuri, de a revizui independent şi de a oferi asigurări obiective cu privire la conformarea tuturor unităţilor şi activităţilor TIC şi de securitate ale prestatorului de servicii de plată cu politicile şi procedurile acestuia şi cu cerinţele externe.
Art. 13. -
(1) Prestatorii de servicii de plată trebuie să stabilească un cadru de gestionare a riscurilor TIC şi de securitate potrivit prevederilor art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, denumit în continuare cadru de gestionare a riscurilor.
(2) Cadrul de gestionare a riscurilor prevăzut la alin. (1) trebuie integrat în întregime în procesele generale de gestionare a riscurilor ale prestatorilor de servicii de plată şi în concordanţă cu aceste procese.
Art. 14. -
Prestatorii de servicii de plată trebuie să definească şi să desemneze rolurile şi responsabilităţile-cheie, precum şi liniile de raportare relevante, necesare pentru punerea în aplicare a măsurilor de securitate şi pentru gestionarea riscurilor TIC şi de securitate.
Art. 15. -
(1) Cadrul de gestionare al riscurilor TIC elaborat de către prestatorii de servicii de plată potrivit art. 13 trebuie să includă stabilirea de procese pentru:
a) determinarea apetitului la risc, în cazul riscurilor TIC şi de securitate, în conformitate cu apetitul la risc al prestatorului de servicii de plată;
b) identificarea, măsurarea, monitorizarea şi gestionarea gamei de riscuri TIC şi de securitate, care decurg din activitatea de prestare de servicii aferente plăţilor desfăşurată de prestatorul de servicii de plată şi la care acesta este expus, inclusiv măsurile de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzute în cap. VII al prezentului titlu;
c) definirea măsurilor de diminuare a riscurilor TIC şi de securitate, inclusiv a controalelor aferente acestora;
d) monitorizarea eficacităţii măsurilor stabilite potrivit lit. c), precum şi a numărului de incidente TIC operaţionale sau de securitate raportate la nivel intern, inclusiv a celor majore raportate în conformitate cu titlul III, care afectează activităţile legate de TIC, precum şi acţionarea în sensul corectării acestor măsuri, dacă este cazul;
e) raportarea către organul de conducere cu privire la riscurile TIC şi de securitate şi cu privire la controalele aferente acestora;
f) identificarea şi evaluarea posibilităţii de apariţie a riscurilor TIC şi de securitate în urma modificărilor majore ale sistemelor sau serviciilor TIC, ale proceselor sau procedurilor TIC şi/sau după orice incident major operaţional sau de securitate.
(2) Cadrul de gestionare a riscurilor TIC şi de securitate trebuie să fie documentat în mod corespunzător şi îmbunătăţit pe bază continuă cu experienţa dobândită şi documentată pe parcursul punerii în aplicare şi monitorizării acestuia.
(3) Cadrul de administrare a riscurilor TIC şi de securitate trebuie aprobat şi revizuit, cel puţin o dată pe an, de către organul de conducere.
SECŢIUNEA a 2-aIdentificarea funcţiilor, a proceselor şi a activelor
Art. 16. -
Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să menţină o diagramă funcţională actualizată a funcţiilor activităţii lor de prestare de servicii aferente plăţilor, a rolurilor şi a proceselor-suport, pentru a identifica importanţa fiecăreia dintre ele, interdependenţele acestora, raportat la riscurile TIC şi de securitate.
Art. 17. -
Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să menţină o diagramă funcţională actualizată a activelor informaţionale care susţin funcţiile activităţii lor de prestare de servicii aferente plăţilor şi procesele-suport, cum ar fi sistemele TIC cu personalul, contractanţii, terţii şi dependenţele de alte sisteme şi procese interne şi externe, în vederea gestionării, cel puţin, a activelor informaţionale care sprijină procesele şi funcţiile critice ale activităţii lor de prestare a serviciilor aferente plăţilor.
SECŢIUNEA a 3-aClasificarea şi evaluarea riscurilor
Art. 18. -
(1) Prestatorii de servicii de plată trebuie să clasifice funcţiile activităţii lor de prestare de servicii aferente plăţilor, procesele-suport şi activele informaţionale identificate potrivit art. 16 şi 17, în funcţie de nivelul critic al acestora.
(2) Prestatorii de servicii de plată trebuie să realizeze clasificarea potrivit alin. (1) prin definirea nivelului critic cu luarea în considerare, cel puţin, a cerinţelor de confidenţialitate, integritate şi disponibilitate.
(3) Prestatorii de servicii de plată trebuie să atribuie răspunderi şi responsabilităţi clare pentru activele informaţionale.
(4) Prestatorii de servicii de plată trebuie să revizuiască caracterul adecvat al clasificării activelor informaţionale şi al documentaţiei relevante, atunci când efectuează o evaluare a riscurilor.
Art. 19. -
(1) Prestatorii de servicii de plată trebuie să efectueze o evaluare a riscurilor TIC şi de securitate prin identificarea acestor riscuri cu impact asupra funcţiilor activităţii lor de prestare de servicii aferente plăţilor, proceselor-suport şi activelor informaţionale, identificate şi clasificate în funcţie de nivelul critic al acestora potrivit art. 18.
(2) Prestatorii de servicii de plată trebuie să efectueze şi să documenteze evaluările riscurilor cel puţin anual.
(3) Evaluarea riscurilor prevăzută la alin. (1) şi (2) trebuie să fie efectuată şi din perspectiva gestionării oricăror modificări majore ale infrastructurii, proceselor sau procedurilor care afectează funcţiile activităţii lor de prestare de servicii aferente plăţilor, procesele-suport sau activele informaţionale.
(4) Prestatorii de servicii de plată trebuie să se asigure că monitorizează permanent ameninţările şi vulnerabilităţile relevante pentru procesele activităţii lor de prestare de servicii aferente plăţilor, funcţiile-suport şi activele informaţionale şi să revizuiască în mod regulat scenariile de risc cu impact asupra lor.
SECŢIUNEA a 4-aDiminuarea riscului
Art. 20. -
(1) Pe baza evaluării riscurilor efectuată potrivit art. 19, prestatorii de servicii de plată trebuie să stabilească ce măsuri sunt necesare şi dacă sunt necesare modificări ale proceselor activităţii lor de prestare de servicii aferente plăţilor, ale măsurilor de control, ale sistemelor şi serviciilor TIC existente pentru diminuarea la un nivel acceptabil a riscurilor TIC şi de securitate identificate.
(2) Prestatorii de servicii de plată trebuie să ia în considerare durata necesară pentru punerea în aplicare a modificărilor prevăzute la alin. (1) şi pentru luarea măsurilor provizorii adecvate în vederea diminuării riscurilor TIC şi de securitate, astfel încât acestea să nu depăşească apetitul la riscurile TIC şi de securitate al prestatorului de servicii de plată.
Art. 21. -
Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare măsuri pentru diminuarea riscurilor TIC şi de securitate identificate şi pentru a proteja activele informaţionale, în funcţie de clasificarea lor.
SECŢIUNEA a 5-aRaportarea
Art. 22. -
(1) Prestatorii de servicii de plată trebuie să raporteze în mod clar şi la timp organului de conducere rezultatele evaluării riscurilor TIC şi de securitate.
(2) Raportarea realizată potrivit alin. (1) nu aduce atingere obligaţiei prestatorilor de servicii de plată de a furniza Băncii Naţionale a României o evaluare actualizată şi detaliată a riscurilor, astfel cum se prevede la art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Art. 221. -
Prestatorii de servicii de plată vor remite anual, până la data de 31 martie, pentru anul anterior, prin intermediul Reţelei de comunicaţii interbancare, următoarele informaţii:
a) scenariile de test avute în vedere potrivit art. 43 şi rezultatele testărilor prevăzute la art. 46;
b) extrase din rapoartele auditorilor, care să conţină concluziile acestora cu privire la rezilienţa cadrului de administrare a activităţii de prestare de servicii aferente plăţilor, sistemelor şi proceselor aferente riscurilor TIC şi de securitate;
c) modificările semnificative aduse cadrului de administrare a activităţii de prestare de servicii aferente plăţilor, sistemelor şi proceselor aferente riscurilor TIC şi de securitate, inclusiv a locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată.
SECŢIUNEA a 6-aAuditul
Art. 23. -
(1) Prestatorii de servicii de plată trebuie să se asigure că cadrul de administrare a activităţii de prestare de servicii aferente plăţilor, sistemele şi procesele aferente riscurilor TIC şi de securitate sunt auditate periodic de către auditori cu suficiente cunoştinţe, competenţe şi experienţă în riscurile TIC şi de securitate şi în plăţi, pentru a oferi organului de conducere asigurări independente cu privire la eficacitatea acestora.
(2) Prestatorii de servicii de plată trebuie să se asigure că auditarea efectuată potrivit alin. (1) este realizată de auditori independenţi din punct de vedere operaţional de prestatorul de servicii de plată, indiferent dacă îşi desfăşoară activitatea în cadrul sau separat de acesta.
(3) Frecvenţa şi obiectul auditurilor realizate potrivit alin. (1) trebuie să fie proporţionale cu riscurile TIC şi de securitate relevante.
(4) Organul de conducere al unui prestator de servicii de plată trebuie să aprobe planul de audit care stă la baza auditurilor realizate potrivit alin. (1), inclusiv orice audituri TIC şi orice modificări semnificative ale acestuia.
(5) Planul de audit şi execuţia sa, inclusiv frecvenţa auditului, trebuie să reflecte şi să fie proporţionale cu riscurile TIC şi de securitate asociate activităţii de prestare de servicii aferente plăţilor a prestatorului de servicii de plată şi trebuie actualizat cel puţin anual.
Art. 24. -
Prestatorii de servicii de plată trebuie să instituie un proces formal de monitorizare la nivel intern care să includă dispoziţii pentru verificarea şi remedierea la timp a constatărilor critice rezultate din auditul TIC.
CAPITOLUL IVMăsurile de securitate preventive
SECŢIUNEA 1Dispoziţii generale
Art. 25. -
Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare măsuri de securitate preventive împotriva riscurilor TIC şi de securitate identificate.
Art. 26. -
Prestatorii de servicii de plată trebuie să elaboreze şi să implementeze măsurile de securitate preventive potrivit art. 25, prin utilizarea unei abordări de tipul «apărare în adâncime», instituind controale pe mai multe niveluri, care vizează persoane, procese şi tehnologia, fiecare nivel servind drept mecanism de siguranţă pentru nivelurile anterioare.
SECŢIUNEA a 2-aPolitica în domeniul securităţii informaţiilor
Art. 27. -
(1) Prestatorii de servicii de plată trebuie să dezvolte şi să documenteze o politică în domeniul securităţii informaţiilor care trebuie să definească principiile generale şi normele de protejare a confidenţialităţii, integrităţii şi disponibilităţii datelor şi informaţiilor prestatorilor de servicii de plată şi ale clienţilor lor.
(2) Politica prevăzută la alin. (1) trebuie să fie inclusă în documentul privind politica de securitate în materia prestării serviciilor de plată, care este adoptat în conformitate cu art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi.
(3) Politica în domeniul securităţii informaţiilor trebuie să fie în concordanţă cu obiectivele de securitate a informaţiilor ale prestatorilor de servicii de plată stabilite potrivit art. 7 alin. (1) lit. c) şi trebuie să se bazeze pe rezultatele relevante ale procesului de evaluare a riscurilor TIC şi de securitate ale activităţii lor de prestare de servicii aferente plăţilor.
(4) Politica în domeniul securităţii informaţiilor realizată potrivit alin. (1) trebuie aprobată de organul de conducere.
(5) Politica în domeniul securităţii informaţiilor trebuie:
a) să conţină o descriere a rolurilor şi responsabilităţilor principale de gestionare a securităţii informaţiilor;
b) să stabilească cerinţele referitoare la securitatea informaţiilor pentru personal şi contractanţi, procese şi tehnologie, inclusiv cu privire la faptul că personalul şi contractanţii de la toate nivelurile trebuie să fie responsabili în asigurarea securităţii informaţiilor prestatorilor de servicii de plată;
c) să asigure confidenţialitatea, integritatea şi disponibilitatea activelor fizice şi logice critice, ale resurselor şi ale datelor sensibile privind plăţile, aferente prestatorilor de servicii de plată, fie că sunt în stare de repaus, în tranzit sau în folosinţă;
d) să fie comunicată tuturor membrilor personalului şi contractanţilor prestatorilor de servicii de plată.
(6) Dacă datele sensibile privind plăţile includ date cu caracter personal, astfel de măsuri trebuie puse în aplicare în conformitate cu prevederile art. 217 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Art. 28. -
(1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare măsuri de securitate pentru diminuarea riscurilor TIC şi de securitate la care sunt expuşi, pe baza politicii în domeniul securităţii informaţiilor.
(2) Măsurile de securitate prevăzute la alin. (1) trebuie să includă:
a) organizarea şi administrarea activităţii;
b) securitatea logică;
c) securitatea fizică;
d) securitatea operaţiunilor TIC;
e) monitorizarea securităţii;
f) revizuirea, evaluarea şi testarea securităţii informaţiilor;
g) formarea profesională şi conştientizarea cu privire la securitatea informaţiilor.
SECŢIUNEA a 3-aSecuritatea logică
Art. 29. -
(1) Prestatorii de servicii de plată trebuie să definească, să documenteze, să pună în aplicare şi să impună proceduri de control al accesului logic pentru gestionarea identităţii şi a accesului.
(2) Procedurile prevăzute la alin. (1) trebuie să fie monitorizate permanent, să includă controale pentru monitorizarea anomaliilor şi să fie revizuite cel puţin anual.
Art. 30. -
(1) Procedurile prevăzute la art. 29 trebuie să pună în aplicare cel puţin următoarele elemente:
a) necesitatea de a cunoaşte, potrivit căreia prestatorii de servicii de plată trebuie să gestioneze drepturile de acces la activele informaţionale şi la sistemele lor suport pe baza principiului «necesităţii de a cunoaşte», inclusiv în ceea ce priveşte accesul de la distanţă;
b) privilegiile minime şi separarea sarcinilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde utilizatorilor drepturile minime de acces strict necesare pentru executarea sarcinilor lor (principiul «privilegiilor minime»), şi anume pentru a proteja împotriva accesului nejustificat al utilizatorilor la un set mare de date sau pentru a împiedica alocarea unor combinaţii de drepturi de acces care pot fi utilizate pentru a eluda controalele (principiul «separării sarcinilor»);
c) cerinţa operaţională legitimă, potrivit căreia prestatorii de servicii de plată trebuie să instituie controale eficiente care să asigure că accesul la sistemele TIC este permis doar persoanelor cu o cerinţă operaţională legitimă;
d) răspunderea utilizatorului: potrivit căreia prestatorii de servicii de plată trebuie să limiteze pe cât posibil utilizarea de conturi de utilizator generice şi partajate şi trebuie să se asigure că utilizatorii pot fi identificaţi pentru acţiunile întreprinse în sistemele TIC;
e) drepturile de acces privilegiat, potrivit cărora prestatorii de servicii de plată trebuie să instituie controale stricte privind accesul privilegiat la sisteme TIC, prin limitarea strictă şi prin supravegherea îndeaproape a conturilor utilizatorilor cu drepturi sporite de acces la sistem, inclusiv a conturilor de administrator;
f) comunicarea în condiţii de siguranţă şi reducerea riscurilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde accesul administrativ de la distanţă la sistemele TIC critice numai pe baza principiului necesităţii de a cunoaşte şi atunci când se utilizează soluţii de autentificare puternice, din categoria celor specificate la lit. j);
g) înregistrarea activităţilor utilizatorilor, potrivit căreia prestatorii de servicii de plată trebuie să se asigure că toate activităţile utilizatorilor cu drepturi sporite de acces la sistem trebuie cel puţin înregistrate şi monitorizate şi că jurnalele de acces sunt securizate pentru a împiedica modificarea sau ştergerea neautorizată a acestora. Prestatorii de servicii de plată trebuie să utilizeze aceste informaţii pentru facilitarea identificării şi investigării activităţilor atipice, detectate în cadrul activităţii de prestare de servicii aferente plăţilor;
h) gestionarea accesului, potrivit căreia prestatorii de servicii de plată trebuie să acorde, să retragă sau să modifice drepturile de acces în conformitate cu termenele prevăzute în cadrul procedurilor interne, fără întârzieri nejustificate, şi cu fluxurile de lucru de aprobare care îl implică pe proprietarul informaţiilor accesate (proprietarul activelor informaţionale). În caz de încetare a contractului de muncă al utilizatorilor, drepturile de acces trebuie retrase cel mai târziu până la încetarea raporturilor de muncă;
i) recertificarea accesului, potrivit căreia drepturile de acces prevăzute la lit. a) trebuie revizuite periodic, însă cel puţin anual pentru a se asigura că utilizatorii nu deţin privilegii excesive şi că drepturile de acces sunt retrase atunci când nu mai sunt necesare;
j) metodele de autentificare, potrivit cărora prestatorii de servicii de plată trebuie să aplice metode de autentificare suficient de solide care să asigure respectarea adecvată şi eficientă a politicilor şi procedurilor de control al accesului. Metodele de autentificare trebuie să fie proporţionale cu nivelul critic al sistemelor TIC, al informaţiilor sau al procesului care sunt accesate. Acestea trebuie să conţină cel puţin parole complexe sau metode de autentificare mai sigure (cum ar fi autentificarea cu doi factori), în funcţie de riscul relevant.
(2) Prestatorii de servicii de plată trebuie să păstreze jurnalele prevăzute la alin. (1) lit. g) pe o perioadă de timp proporţională cu nivelul critic al funcţiilor activităţii lor de prestare de servicii aferente plăţilor, proceselor de asistenţă şi activelor informaţionale, identificate în conformitate cu prevederile secţiunii a 3-a din capitolul III, fără a aduce atingere legislaţiei naţionale aplicabile referitoare la cerinţele de păstrare a datelor.
(3) În înţelesul prezentului articol, termenul utilizator include şi utilizatori tehnici.
Art. 31. -
Prestatorii de servicii de plată trebuie să se asigure că autorizarea accesului electronic la date şi sisteme TIC, prin intermediul unor aplicaţii, este limitată la minimul necesar pentru prestarea serviciului de plată relevant.
Art. 32. -
(1) Prestatorii de servicii de plată trebuie să se asigure că funcţionarea produselor, a instrumentelor şi a procedurilor referitoare la procesele de control al accesului sunt eficiente din perspectiva protejării respectivelor procese împotriva compromiterii sau eludării acestora.
(2) Obligaţia prestatorilor de servicii de plată prevăzută la alin. (1) include înregistrarea, transmiterea, revocarea şi retragerea produselor, instrumentelor şi procedurilor corespunzătoare.
SECŢIUNEA a 4-aSecuritatea fizică
Art. 33. -
Prestatorii de servicii de plată trebuie să definească, să documenteze şi să pună în aplicare măsuri de securitate fizică corespunzătoare pentru a-şi proteja sediile, centrele de date şi zonele sensibile, în special a celor destinate pentru gestionarea datelor sensibile privind plăţile ale utilizatorilor de servicii de plată, precum şi a sistemelor TIC utilizate pentru prestarea serviciilor de plată, împotriva accesului neautorizat şi al pericolelor de mediu.
Art. 34. -
(1) Accesul fizic la sistemele TIC trebuie să fie permis numai persoanelor care sunt autorizate.
(2) Autorizarea prevăzută la alin. (1) trebuie atribuită în conformitate cu sarcinile şi responsabilităţile personalului, limitată la persoanele care sunt instruite şi monitorizate în mod corespunzător.
(3) Accesul fizic trebuie revizuit periodic pentru a se asigura că drepturile de acces sunt revocate imediat ce nu mai sunt necesare.
Art. 35. -
Prestatorii de servicii de plată trebuie să instituie măsuri adecvate de protecţie împotriva pericolelor de mediu, care trebuie să fie proporţionale cu importanţa clădirilor şi nivelul critic al operaţiunilor sau al sistemelor TIC din aceste clădiri, utilizate pentru prestarea serviciilor de plată.
SECŢIUNEA a 5-aSecuritatea operaţiunilor TIC
Art. 351. -
(1) Prestatorii de servicii de plată trebuie să pună în aplicare proceduri care să împiedice apariţia de probleme de securitate în sistemele şi prestarea serviciilor TIC şi trebuie să minimizeze impactul acestora asupra prestării de servicii TIC.
(2) Procedurile stabilite potrivit alin. (1) trebuie să cuprindă următoarele măsuri:
a) identificarea posibilelor vulnerabilităţi, care trebuie evaluate şi remediate prin asigurarea actualizării programelor software şi firmware, inclusiv a programelor software furnizate de prestatorii de servicii de plată utilizatorilor lor interni şi externi, prin instalarea de patch-uri de securitate critice sau prin punerea în aplicare de controale compensatoare;
b) implementarea de configuraţii securizate de referinţă pentru toate componentele reţelei;
c) implementarea segmentării reţelei, a unor sisteme de prevenire a pierderii datelor şi criptarea traficului din reţea, în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plăţile;
d) implementarea protecţiei punctelor finale de acces, inclusiv a serverelor, a staţiilor de lucru şi a dispozitivelor mobile;
e) evaluarea dacă punctele finale de acces respectă standardele de securitate definite de prestatorii de servicii de plată, înainte de a li se acorda accesul la reţeaua prestatorului de servicii de plată sau a entităţilor către care au fost externalizate servicii operaţionale;
f) asigurarea existenţei şi funcţionării corespunzătoare a unor mecanisme de verificare a integrităţii programelor şi aplicaţiilor software, a firmware-ului şi a datelor;
g) asigurarea că direcţionarea, colectarea, prelucrarea, stocarea şi/sau arhivarea şi vizualizarea datelor sensibile privind plăţile ale utilizatorului de servicii de plată sunt adecvate, relevante şi limitate la ceea ce este necesar pentru prestarea serviciilor de plată;
h) criptarea datelor în stare de repaus, precum şi a celor transmise prin intermediul unui canal de comunicare se realizează în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plăţile.
Art. 352. -
(1) Prestatorii de servicii de plată trebuie să stabilească pe bază continuă dacă modificările la nivelul mediului operaţional existent influenţează măsurile de securitate existente sau dacă impun adoptarea de măsuri suplimentare pentru diminuarea în mod corespunzător a riscurilor asociate.
(2) Modificările prevăzute la alin. (1) trebuie să facă parte din procesul formal de gestionare a modificărilor al prestatorilor de servicii de plată, proces care trebuie să asigure planificarea, testarea, documentarea, autorizarea şi aplicarea corespunzătoare a modificărilor.
SECŢIUNEA a 6-aMonitorizarea securităţii
SUBSECŢIUNEA 1Monitorizarea continuă şi detecţia
Art. 36. -
(1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare politici şi proceduri pentru monitorizarea continuă a funcţiilor activităţii de prestare de servicii aferente plăţilor, proceselor de asistenţă, precum şi a activelor informaţionale şi TIC, activităţii lor de prestare de servicii aferente plăţilor, pentru a detecta activităţile anormale care pot afecta securitatea informaţiilor prestatorilor de servicii de plată şi pentru a răspunde în mod corespunzător acestor evenimente.
(2) În cadrul monitorizării continue prevăzute la alin. (1), prestatorii de servicii de plată trebuie să implementeze mecanisme corespunzătoare şi eficiente de detectare şi raportare a intruziunilor logice sau fizice, precum şi a încălcărilor confidenţialităţii, integrităţii şi disponibilităţii activelor informaţionale utilizate în prestarea serviciilor de plată.
(3) Prestatorii de servicii de plată trebuie să aloce şi să deţină resurse corespunzătoare pentru îndeplinirea obligaţiilor prevăzute la alin. (1) şi (2).
Art. 37. -
Politicile şi procedurile de monitorizare continuă şi detectare prevăzute la art. 36 trebuie să acopere:
a) factorii interni şi externi relevanţi, inclusiv funcţiile administrative privind TIC şi cele ale activităţii lor de prestare de servicii aferente plăţilor;
b) operaţiunile pentru detectarea utilizării abuzive a accesului de către terţi sau de către alte entităţi şi a utilizării abuzive a accesului intern;
c) ameninţările interne şi externe potenţiale.
SUBSECŢIUNEA a 2-aCadrul ameninţărilor şi cunoaşterea situaţiei
Art. 38. -
(1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare procese şi structuri organizatorice, pentru a identifica şi monitoriza constant ameninţările de securitate care ar putea afecta semnificativ capacitatea acestora de a presta servicii de plată.
(2) Prestatorii de servicii de plată trebuie să monitorizeze activ evoluţiile tehnologice, pentru a se asigura că au în vedere riscurile TIC şi de securitate.
(3) Prestatorii de servicii de plată trebuie să pună în aplicare măsuri de detecţie pentru a identifica eventualele scurgeri de informaţii, coduri dăunătoare şi alte ameninţări la adresa securităţii şi vulnerabilităţile cunoscute în mod public ale echipamentelor, aplicaţiilor şi sistemelor TIC şi să verifice existenţa unor noi actualizări de securitate corespunzătoare.
(4) Presatorul de servicii de plată trebuie să utilizeze procesul de monitorizare a securităţii prevăzut la alin. (1) în scopul susţinerii înţelegerii naturii incidentelor operaţionale sau de securitate, al identificării tendinţelor în materie de securitate şi al sprijinirii investigaţiilor organizaţiei.
Art. 39. -
(1) Prestatorii de servicii de plată trebuie să analizeze incidentele operaţionale sau de securitate care au fost identificate sau care au avut loc în cadrul şi/sau în afara prestatorului de servicii de plată.
(2) Prestatorii de servicii de plată trebuie să ia în considerare experienţa dobândită ca urmare a analizei realizate potrivit alin. (1) şi să actualizeze în consecinţă măsurile de securitate prevăzute potrivit dispoziţiilor prezentului titlu.
SECŢIUNEA a 7-aRevizuirea, evaluarea şi testarea măsurilor de securitate a informaţiilor
Art. 40. -
(1) Prestatorii de servicii de plată trebuie să realizeze o varietate de revizuiri, evaluări şi testări ale securităţii informaţiilor pentru a asigura identificarea eficientă a vulnerabilităţilor din sistemele şi serviciile lor TIC.
(2) În desfăşurarea activităţilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie:
a) să realizeze cel puţin analiza deficienţelor pe baza standardelor de securitate a informaţiilor, revizuiri ale conformităţii, audituri interne şi externe ale sistemelor informatice sau revizuiri ale securităţii fizice;
b) să ţină seama de bunele practici, cum ar fi: revizuiri ale codului-sursă, evaluări ale vulnerabilităţilor, teste de penetrare şi exerciţii de testare a securităţii de tip «red team».
Art. 41. -
Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un cadru de testare al măsurilor de securitate a informaţiilor stabilite de aceştia în aplicarea prezentului titlu, care să valideze robusteţea şi eficienţa măsurilor de securitate a informaţiilor şi să se asigure că acest cadru de testare este adaptat pentru a lua în considerare noile ameninţări şi vulnerabilităţi, identificate prin intermediul procesului de monitorizare a ameninţărilor şi de evaluare a riscurilor TIC şi de securitate.
Art. 42. -
(1) Cadrul de testare prevăzut la art. 41 trebuie să asigure că testele:
a) sunt efectuate ca parte a procesului formal de gestionare a modificărilor, care trebuie prevăzut de către prestatorii de servicii de plată, pentru a asigura robusteţea şi eficienţa măsurilor de securitate a informaţiilor;
b) sunt efectuate de verificatori independenţi, care au cunoştinţe, competenţe şi expertize suficiente în testarea măsurilor de securitate a informaţiilor aferente serviciilor de plată şi care nu sunt implicaţi în dezvoltarea măsurilor de securitate a informaţiilor aferente serviciilor de plată sau a sistemelor care urmează să fie testate;
c) includ scanări ale vulnerabilităţilor şi teste de penetrare (inclusiv teste de penetrare bazate pe ameninţări) corespunzătoare nivelului de risc identificat în cadrul sistemelor şi proceselor aferente activităţii de prestare de servicii de plată;
d) cuprind examinarea măsurilor de securitate relevante.
(2) Măsurile de securitate relevante prevăzute la alin. (1) lit. d) se referă la:
a) terminalele de plată şi dispozitivele utilizate pentru prestarea serviciilor de plată;
b) terminalele de plată şi dispozitivele utilizate pentru autentificarea utilizatorului de servicii de plată;
c) dispozitivele, programele şi aplicaţiile software furnizate de prestatorul de servicii de plată utilizatorului de servicii de plată pentru a genera/primi un cod de autentificare.
Art. 43. -
Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate prevăzute la art. 42 includ scenariile atacurilor potenţiale cunoscute şi relevante, pe baza ameninţărilor la adresa securităţii constatate şi a modificărilor efectuate.
Art. 44. -
(1) Prestatorii de servicii de plată trebuie să efectueze testele prevăzute la art. 42 pe bază continuă şi în mod repetat, cu privire la măsurile de securitate aferente serviciilor de plată oferite de aceştia.
(2) Prestatorii de servicii de plată trebuie să efectueze, cel puţin anual, testarea sistemelor TIC, care au fost identificate drept critice pentru prestarea serviciilor de plată potrivit art. 18 alin. (1).
(3) Testele realizate potrivit alin. (2) trebuie să facă parte din evaluarea detaliată a riscurilor de securitate asociate serviciilor de plată pe care aceştia le prestează, în conformitate cu art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(4) Sistemele care nu sunt critice trebuie testate regulat de către prestatorii de servicii de plată printr-o abordare bazată pe riscuri, dar cel puţin la fiecare trei ani.
Art. 45. -
Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate se efectuează în următoarele situaţii:
a) în eventualitatea unor modificări ale infrastructurii, proceselor şi procedurilor;
b) în situaţia în care aceste modificări sunt efectuate ca urmare a unor incidente operaţionale sau de securitate majore;
c) în cazul lansării de aplicaţii critice cu acces la internet, noi sau modificate substanţial.
Art. 46. -
Prestatorii de servicii de plată trebuie să monitorizeze şi să evalueze rezultatele testelor de securitate efectuate şi să îşi actualizeze măsurile de securitate în mod corespunzător şi fără întârzieri nejustificate în ceea ce priveşte sistemele TIC critice, identificate conform dispoziţiilor art. 18 alin. (1).
SECŢIUNEA a 8-aPrograme de formare şi de cunoaştere în materie de securitate
Art. 47. -
(1) Prestatorii de servicii de plată trebuie să stabilească un program de formare profesională care trebuie:
a) să includă programe periodice de conştientizare cu privire la securitate pentru toţi membrii personalului şi contractanţi, pentru a se asigura că aceştia sunt instruiţi pentru a-şi îndeplini sarcinile şi responsabilităţile, în conformitate cu procedurile şi politicile de securitate relevante, în vederea prevenirii şi diminuării factorilor de risc precum eroarea umană, furtul, frauda, utilizarea abuzivă sau pierderea şi pentru a aborda adecvat riscurile TIC şi de securitate asociate securităţii informaţiilor;
b) să asigure instruirea tuturor membrilor personalului şi contractanţilor cel puţin anual şi, dacă este necesar, mai frecvent, la iniţiativa prestatorului de servicii de plată ori la solicitarea Băncii Naţionale a României.
(2) Prestatorii de servicii de plată trebuie să se asigure că toţi membrii personalului, inclusiv persoanele care îndeplinesc rolurile-cheie şi responsabilităţile-cheie asociate acestora, identificate conform dispoziţiilor art. 16, sunt instruiţi anual sau mai frecvent, dacă este necesar, prin programe de formare profesională adecvată cu privire la riscurile TIC şi de securitate, inclusiv cu privire la securitatea informaţiilor.
(3) Tematica programelor prevăzute la alin. (1) trebuie să conţină inclusiv dispoziţii cu privire la modalitatea în care membrii personalului prestatorului de servicii de plată sunt obligaţi să raporteze toate incidentele sau activităţile neobişnuite.
CAPITOLUL VGestionarea operaţiunilor TIC
SECŢIUNEA 1Dispoziţii generale
Art. 471. -
(1) Prestatorii de servicii de plată trebuie să îşi gestioneze, în ceea ce priveşte prestarea de servicii de plată, operaţiunile TIC pe bază de procese şi proceduri documentate, care să fie incluse în politica de securitate prin aplicarea în mod corespunzător a prevederilor art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi.
(2) Setul de documente prevăzut la alin. (1) trebuie:
a) să fie aprobat de organul de conducere şi să fie pus în aplicare de către prestatorii de servicii de plată în mod corespunzător;
b) să definească modul în care prestatorii de servicii de plată operează, monitorizează şi îşi verifică sistemele şi serviciile TIC, inclusiv documentarea operaţiunilor TIC critice;
c) să permită prestatorilor de servicii de plată să îşi actualizeze inventarul activelor TIC.
Art. 472. -
(1) Prestatorii de servicii de plată trebuie să se asigure că performanţa operaţiunilor TIC este în concordanţă cu cerinţele lor de afaceri.
(2) Prestatorii de servicii de plată trebuie să menţină şi să îşi îmbunătăţească, atunci când este posibil, eficienţa operaţiunilor TIC, cel puţin cu privire la necesitatea de a analiza modul în care pot fi minimizate eventualele erori ce decurg din executarea sarcinilor manuale.
Art. 473. -
Prestatorii de servicii de plată trebuie să pună în aplicare proceduri privind înregistrarea şi monitorizarea în cazul operaţiunilor TIC critice, pentru a permite detectarea, analiza şi corectarea erorilor.
Art. 474. -
(1) Prestatorii de servicii de plată trebuie să menţină un inventar actualizat al activelor, inclusiv al sistemelor TIC, dispozitivelor de reţea şi al bazelor de date.
(2) Inventarul activelor TIC realizat potrivit prevederilor alin. (1) trebuie să conţină configuraţia activelor TIC, legăturile şi interdependenţele dintre diferitele active TIC, pentru a permite un proces adecvat de gestionare a configuraţiilor şi modificărilor.
(3) Inventarul activelor TIC trebuie să fie suficient de detaliat pentru a permite identificarea imediată a unui activ TIC, a amplasamentului acestuia, a nivelului de securitate şi a proprietarului.
(4) Interdependenţele dintre active trebuie documentate, pentru a ajuta prestatorii de servicii de plată să intervină în caz de incidente de securitate sau operaţionale, inclusiv în caz de atacuri cibernetice.
Art. 475. -
(1) Prestatorii de servicii de plată trebuie să monitorizeze şi să gestioneze ciclurile de viaţă ale activelor TIC, inclusiv cele dedicate utilizatorilor de servicii de plată, pentru a se asigura că acestea îndeplinesc şi susţin în continuare cerinţele de afaceri şi de administrare a riscurilor TIC şi de securitate.
(2) Prestatorii de servicii de plată trebuie să monitorizeze dacă furnizorii lor interni sau externi şi dezvoltatorii oferă asistenţă pentru activele lor TIC şi dacă sunt instalate toate patch-urile şi actualizările relevante pe bază de procese documentate.
(3) Riscurile care decurg din activele TIC învechite sau pentru care nu se mai oferă suport trebuie evaluate şi diminuate.
Art. 476. -
Prestatorii de servicii de plată trebuie să pună în aplicare procese de planificare şi monitorizare a performanţei şi capacităţii, pentru a împiedica, a detecta şi a răspunde prompt problemelor importante legate de performanţa sistemelor TIC şi de deficienţe ale capacităţii TIC.
Art. 477. -
(1) Prestatorii de servicii de plată trebuie să definească şi să implementeze proceduri pentru realizarea de copii de rezervă şi de restaurare a datelor şi a sistemelor TIC, pentru a se asigura că acestea pot fi recuperate, conform cerinţelor.
(2) Domeniul de aplicare şi frecvenţa operaţiunilor de realizare a copiilor de rezervă prevăzute la alin. (1) trebuie stabilite în conformitate cu cerinţele de redresare a activităţii de prestare de servicii aferente plăţilor şi cu nivelul critic al datelor şi al sistemelor TIC şi trebuie analizate în funcţie de evaluarea riscurilor.
(3) Testarea procedurilor de realizare a copiilor de rezervă şi de restaurare trebuie efectuată periodic.
(4) Prestatorii de servicii de plată trebuie să asigure că este efectuată stocarea în siguranţă a copiilor de rezervă ale datelor şi ale sistemelor TIC realizate potrivit alin. (1), la o distanţă suficient de mare faţă de amplasamentul principal, pentru a nu fi expuse aceloraşi riscuri.
SECŢIUNEA a 2-aGestionarea şi raportarea problemelor şi incidentelor TIC operaţionale sau de securitate
Art. 478. -
(1) Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un proces de gestionare a problemelor şi incidentelor, pentru a monitoriza şi înregistra incidentele TIC operaţionale sau de securitate şi pentru a permite prestatorilor de servicii de plată să continue sau să reia rapid procesele şi funcţiile critice activităţii lor de prestare de servicii aferente plăţilor, atunci când se produc întreruperi.
(2) Prestatorii de servicii de plată trebuie să stabilească praguri şi criterii corespunzătoare pentru clasificarea unui eveniment drept incident TIC operaţional sau de securitate, precum şi indicatori de alertă timpurie pentru a permite detectarea anticipată a incidentelor TIC operaţionale sau de securitate.
(3) Criteriile şi pragurile stabilite potrivit alin. (2) nu trebuie să aducă atingere clasificării incidentelor majore, în conformitate cu cerinţele titlului III.
Art. 479. -
(1) Prestatorii de servicii de plată trebuie să stabilească proceduri şi procese corespunzătoare şi structuri organizatorice pentru a asigura monitorizarea, gestionarea şi urmărirea în mod integrat şi consecvent a incidentelor TIC operaţionale sau de securitate, în vederea identificării şi eliminării principalelor cauze care au condus la apariţia acestora şi pentru a evita reapariţia unor astfel de incidente, în scopul diminuării impactului evenimentelor defavorabile şi pentru a permite redresarea la timp.
(2) Procesul de gestionare a problemelor şi incidentelor prevăzut la alin. (1) trebuie să stabilească:
a) proceduri de identificare, urmărire, înregistrare, categorisire şi clasificare a incidentelor, potrivit unei reguli de prioritate, în funcţie de nivelul critic al activităţii de prestare de servicii aferente plăţilor;
b) rolurile şi responsabilităţile pentru diferite scenarii de incidente (de exemplu, erori, defecţiuni, atacuri cibernetice);
c) proceduri de gestionare a problemelor pentru a identifica, analiza şi soluţiona principala cauză a unuia sau a mai multor incidente - un prestator de servicii de plată trebuie să analizeze incidentele TIC operaţionale sau de securitate care ar putea afecta prestatorul de servicii de plată, care au fost identificate sau care au avut loc în cadrul şi/sau în afara organizaţiei şi trebuie să ia în considerare lecţiile-cheie învăţate din aceste analize şi să actualizeze în consecinţă măsurile de securitate;
d) planuri eficiente de comunicare internă, inclusiv proceduri de notificare şi escaladare a incidentelor - care să acopere şi reclamaţiile clienţilor legate de securitate, care trebuie să asigure următoarele cerinţe:
(i) incidentele şi plângerile clienţilor legate de securitate cu un posibil impact negativ ridicat asupra sistemelor şi serviciilor TIC se raportează conducerii superioare şi conducerii care coordonează domeniul TIC;
(ii) organul de conducere trebuie informat ad-hoc în caz de incidente semnificative, identificate în baza unor criterii stabilite intern la nivelul prestatorului de servicii de plată, cel puţin cu privire la impactul, măsurile luate şi controalele suplimentare care urmează să fie definite ca urmare a incidentelor;
e) proceduri de intervenţie în caz de incidente, pentru reducerea impactului acestora şi pentru a asigura că serviciul devine, în timp util, operaţional şi sigur;
f) planuri specifice de comunicare externă pentru procese şi funcţii critice asociate activităţii de prestare a serviciilor aferente plăţilor pentru a asigura îndeplinirea următoarelor cerinţe:
(i) asigurarea colaborării cu părţile interesate relevante, pentru a interveni în mod eficient în caz de incidente şi a se redresa în urma acestora;
(ii) furnizarea către părţile externe, inclusiv clienţilor, altor participanţi în piaţă şi Băncii Naţionale a României de informaţii în timp util, în mod corespunzător şi în conformitate cu titlul III.
Art. 4710. -
Prestatorii de servicii de plată trebuie să se asigure de faptul că măsurile prevăzute în acord cu art. 479 definesc în mod clar toate responsabilităţile pentru raportarea incidentelor operaţionale sau de securitate majore şi aferente proceselor puse în aplicare pentru îndeplinirea cerinţelor prevăzute de titlul III.
CAPITOLUL VIGestionarea proiectelor şi modificărilor TIC
SECŢIUNEA 1Gestionarea proiectelor TIC
Art. 4711. -
Prestatorii de servicii de plată trebuie să pună în aplicare un program şi/sau un proces de guvernanţă a proiectelor care să definească rolurile, responsabilităţile şi răspunderile, pentru a susţine în mod eficient punerea în aplicare a strategiei TIC.
Art. 4712. -
Prestatorii de servicii de plată trebuie să monitorizeze şi să diminueze în mod corespunzător riscurile ce decurg din portofoliul lor de proiecte TIC (gestionarea programului), ţinând seama şi de riscurile care pot rezulta din interdependenţele dintre diferite proiecte şi din dependenţele mai multor proiecte de aceleaşi resurse şi/sau competenţe.
Art. 4713. -
Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare o politică de gestionare a proiectelor TIC, care să includă cel puţin:
a) obiectivele proiectului;
b) rolurile şi responsabilităţile;
c) evaluarea riscurilor asociate proiectului;
d) planul, calendarul şi etapele proiectului;
e) principalele obiective intermediare;
f) cerinţele de gestionare a modificărilor.
Art. 4714. -
Politica de gestionare a proiectelor TIC realizată potrivit art. 4713 trebuie să asigure că cerinţele de securitate a informaţiilor sunt analizate şi aprobate de către o funcţie independentă de funcţia care le-a elaborat.
Art. 4715. -
Prestatorii de servicii de plată trebuie să se asigure că toate domeniile afectate de un proiect TIC sunt reprezentate în echipa de proiect şi că echipa de proiect deţine cunoştinţele necesare pentru a asigura implementarea sigură şi cu succes a proiectului.
Art. 4716. -
(1) Elaborarea şi evoluţia proiectelor TIC şi riscurile lor asociate trebuie raportate organului de conducere, individual sau agregat, în funcţie de importanţa şi de dimensiunea proiectelor TIC, în mod regulat şi ad-hoc, după caz.
(2) Prestatorii de servicii de plată trebuie să includă riscul asociat proiectului în cadrul lor de administrare a riscurilor.
SECŢIUNEA a 2-aAchiziţia şi dezvoltarea de sisteme TIC
Art. 4717. -
(1) Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un proces care să reglementeze achiziţia, dezvoltarea şi întreţinerea sistemelor TIC.
(2) Procesul prevăzut la alin. (1) trebuie conceput folosind o abordare bazată pe riscuri.
Art. 4718. -
Prestatorii de servicii de plată trebuie să se asigure că, înainte de orice achiziţie sau dezvoltare a sistemelor TIC, cerinţele funcţionale şi nefuncţionale, inclusiv cerinţele de securitate a informaţiilor, sunt clar definite şi aprobate de către conducerea relevantă.
Art. 4719. -
Prestatorii de servicii de plată trebuie să instituite măsuri pentru diminuarea riscurilor de modificare neintenţionată sau de manipulare intenţionată a sistemelor TIC pe durata dezvoltării şi implementării în mediul de producţie.
Art. 4720. -
(1) Prestatorii de servicii de plată trebuie să deţină o metodologie pentru testarea şi aprobarea sistemelor TIC înainte de prima lor utilizare.
(2) Metodologia prevăzută la alin. (1) trebuie să ţină seama de nivelul critic al activelor şi proceselor activităţii de prestare a serviciilor aferente plăţilor.
(3) Testarea prevăzută la alin. (1) trebuie să asigure faptul că noile sisteme TIC funcţionează aşa cum au fost proiectate.
(4) Prestatorii de servicii de plată trebuie să utilizeze medii de testare care să reflecte în mod corespunzător mediul de producţie.
Art. 4721. -
Prestatorii de servicii de plată trebuie să testeze sistemele TIC, serviciile TIC şi măsurile de securitate a informaţiilor, pentru a identifica eventualele puncte slabe, încălcări şi incidente TIC operaţionale sau de securitate.
Art. 4722. -
(1) Prestatorii de servicii de plată trebuie să implementeze medii TIC separate pentru a asigura separarea adecvată a sarcinilor şi pentru a atenua impactul modificărilor neverificate asupra sistemelor de producţie.
(2) Atunci când realizează separarea mediilor conform alin. (1) prestatorii de servicii de plată trebuie asigure inclusiv separarea mediilor de producţie de alte medii care nu au legătură cu producţia, inclusiv cele de dezvoltare şi testare.
(3) Prestatorii de servicii de plată trebuie să asigure integritatea şi confidenţialitatea datelor de producţie în mediile care nu au legătură cu producţia. Accesul la datele din mediul de producţie este limitat la utilizatorii autorizaţi.
Art. 4723. -
(1) Prestatorii de servicii de plată trebuie să pună în aplicare măsuri pentru protejarea integrităţii codurilor-sursă ale sistemelor TIC dezvoltate intern.
(2) Prestatorii de servicii de plată trebuie să documenteze în mod amănunţit dezvoltarea, implementarea, operarea şi/sau configurarea sistemelor TIC, pentru a reduce orice dependenţă inutilă de experţii în domeniu.
(3) Documentaţia prevăzută la alin. (2) aferentă sistemului TIC trebuie să conţină cel puţin documentaţia de utilizare, documentaţia tehnică a sistemului şi procedurile de operare, dacă este cazul, inclusiv când nu sunt procese automate.
Art. 4724. -
(1) Procesele de achiziţie şi dezvoltare a sistemelor TIC ale unui prestator de servicii de plată trebuie să se aplice şi sistemelor TIC dezvoltate sau gestionate de către utilizatorii finali ai liniilor de afaceri din afara organizaţiei TIC (de exemplu, în aplicaţiile informatice ale utilizatorilor finali), folosind o abordare bazată pe riscuri.
(2) Prestatorul de servicii de plată trebuie să ţină o evidenţă a aplicaţiilor prevăzute la alin. (1) care sprijină procesele şi funcţiile critice ale activităţii de prestare a serviciilor aferente plăţilor.
SECŢIUNEA a 3-aGestionarea modificărilor TIC
Art. 48. -
(1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare un proces de gestionare a modificărilor TIC pentru a se asigura că toate modificările aduse sistemelor TIC sunt planificate, înregistrate, testate, evaluate, aprobate, implementate şi verificate în mod controlat.
(2) Prestatorii de servicii de plată trebuie să gestioneze modificările prevăzute la alin. (1) care sunt necesare şi trebuie introduse cât mai curând posibil în timpul situaţiilor de urgenţă, urmând proceduri care să asigure o protecţie adecvată.
(3) Prestatorii de servicii de plată trebuie să stabilească dacă modificările la nivelul mediului operaţional existent influenţează măsurile de securitate prevăzute la art. 25 sau dacă impun adoptarea de măsuri suplimentare pentru atenuarea riscurilor implicate.
(4) Modificările prevăzute la alin. (1) trebuie să fie în conformitate cu procesul formal de gestionare a modificărilor pentru prestatorii de servicii de plată.
CAPITOLUL VIIGestionarea continuităţii activităţii de prestare a serviciilor aferente plăţilor
SECŢIUNEA 1Dispoziţii generale
Art. 49. -
Prestatorii de servicii de plată trebuie să instituie un proces solid de gestionare a continuităţii activităţii de prestare a serviciilor aferente plăţilor pentru a-şi maximiza capacitatea de a presta servicii de plată în mod continuu şi pentru a limita pierderile în caz de întrerupere gravă a activităţii de prestare a serviciilor aferente plăţilor, prin aplicarea în mod corespunzător a prevederilor art. 61-64 din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
SECŢIUNEA a 2-aAnaliza impactului asupra activităţii de prestare a serviciilor aferente plăţilor
Art. 50. -
(1) Prestatorii de servicii de plată trebuie să realizeze o analiză de impact cu privire la expunerea activităţii de prestare a serviciilor aferente plăţilor la întreruperea gravă a acesteia, ca parte a bunei gestionări a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
(2) În cadrul analizei prevăzute la alin. (1) prestatorii de servicii de plată trebuie să evalueze, cantitativ şi calitativ, impactul potenţial al întreruperii grave a activităţii de prestare a serviciilor aferente plăţilor, inclusiv asupra confidenţialităţii, integrităţii şi disponibilităţii, folosind date interne şi/sau externe, inclusiv date de la furnizorii terţi, relevante pentru un proces aferent activităţii de prestare a serviciilor aferente plăţilor, sau date disponibile public care pot fi relevante pentru analiza de impact asupra activităţii de prestare a serviciilor aferente plăţilor şi analize pe bază de scenariu.
(3) Analiza de impact asupra activităţii de prestare a serviciilor aferente plăţilor realizată conform alin. (1) trebuie să ţină seama şi de nivelul critic al funcţiilor activităţii de prestare a serviciilor aferente plăţilor, al proceselor-suport, al terţilor şi al activelor informaţionale identificate şi clasificate, precum şi de interdependenţele acestora, în conformitate cu prevederile art. 16-18.
Art. 501. -
Prestatorii de servicii de plată trebuie să se asigure că sistemele şi serviciile lor TIC sunt concepute şi în concordanţă cu analiza lor de impact asupra activităţii de prestare a serviciilor aferente plăţilor, inclusiv din perspectiva redundanţei anumitor componente critice, pentru a preveni întreruperile cauzate de evenimente cu impact asupra componentelor respective.
SECŢIUNEA a 3-aPlanificarea continuităţii activităţii de prestare a serviciilor aferente plăţilor pe bază de scenariu
Art. 51. -
(1) În baza analizei de impact efectuate potrivit prevederilor art. 50, prestatorii de servicii de plată trebuie să implementeze:
a) planuri de continuitate a activităţii de prestare a serviciilor aferente plăţilor pentru a se asigura că pot răspunde în mod corespunzător la urgenţe şi că pot menţine activităţile lor operaţionale critice;
b) măsuri de atenuare care trebuie adoptate în cazul încetării prestării serviciilor de plată şi în cazul rezilierii contractelor existente, pentru evitarea efectelor negative asupra sistemelor de plăţi şi asupra utilizatorilor de servicii de plată şi pentru a asigura executarea operaţiunilor de plată în aşteptare.
(2) Prestatorii de servicii de plată trebuie să se asigure că planul de continuitate prevăzut la alin. (1) este documentat şi aprobat de organele lor de conducere.
(3) Planurile trebuie să ţină seama în mod special de riscurile care ar putea afecta în mod negativ sistemele şi serviciile TIC.
(4) Prestatorii de servicii de plată trebuie să se asigure că planurile de continuitate a activităţii de prestare a serviciilor aferente plăţilor sprijină obiectivele de a proteja şi, dacă este cazul, de a restabili confidenţialitatea, integritatea şi disponibilitatea funcţiilor activităţii de prestare a serviciilor aferente plăţilor, a proceselor-suport şi a activelor informaţionale.
(5) Prestatorii de servicii de plată trebuie să se coordoneze şi să coopereze cu părţile relevante de la nivel intern şi extern care sunt interesate, după caz, pe parcursul elaborării planurilor de continuitate a activităţii de prestare a serviciilor aferente plăţilor.
Art. 511. -
(1) Prestatorii de servicii de plată trebuie să pună în aplicare planuri de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor pentru a se asigura că acestea pot reacţiona în mod corespunzător la eventuale scenarii de intrare în dificultate şi că sunt capabile să îşi redreseze operaţiunile critice ale activităţii lor de prestare a serviciilor aferente plăţilor în urma unor întreruperi, conform obiectivului timp de recuperare (RTO) şi obiectivului punct de recuperare (RPO).
(2) Prestatorii de servicii de plată trebuie să stabilească ordinea de prioritate pentru acţiunile specifice din cadrul planului de continuitate a activităţii de prestare a serviciilor aferente plăţilor, declanşate ca urmare a unei întreruperi grave a activităţii de prestare a serviciilor aferente plăţilor, folosind o abordare bazată pe riscuri, care se poate fundamenta pe evaluările riscurilor efectuate potrivit cap. III al prezentului titlu.
(3) Planurile de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor prevăzute la alin. (1) trebuie să faciliteze cel puţin prelucrarea operaţiunilor critice, în timp ce continuă eforturile de remediere.
Art. 52. -
(1) Prestatorii de servicii de plată trebuie să ia în considerare o serie de scenarii diferite în planul lor de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor, inclusiv cele extreme, dar plauzibile, la care ar putea fi expuşi, inclusiv un scenariu de atac cibernetic, şi trebuie să evalueze impactul potenţial al unor astfel de scenarii.
(2) Pe baza scenariilor prevăzute la alin. (1), prestatorii de servicii de plată trebuie să descrie modul în care sunt asigurate continuitatea sistemelor şi serviciilor TIC şi securitatea informaţiilor acestora.
SECŢIUNEA a 4-aPlanurile de intervenţie şi de redresare
Art. 53. -
(1) În baza analizei de impact asupra activităţii de prestare a serviciilor aferente plăţilor efectuate potrivit prevederilor art. 50 şi a scenariilor plauzibile identificate potrivit prevederilor art. 52, prestatorii de servicii de plată trebuie să elaboreze planuri de intervenţie şi de redresare.
(2) Planurile de intervenţie şi redresare prevăzute la alin. (1) trebuie:
a) să precizeze condiţiile în care poate fi declanşată activarea planurilor şi măsurile care trebuie luate pentru a asigura disponibilitatea, continuitatea şi redresarea cel puţin a sistemelor şi serviciilor TIC critice ale prestatorilor de servicii de plată;
b) să vizeze atingerea obiectivelor de redresare a operaţiunilor prestatorilor de servicii de plată;
c) să ţină seama atât de opţiunile de redresare pe termen scurt, cât şi de cele pe termen lung;
d) să se concentreze pe redresarea operaţiunilor funcţiilor critice aferente activităţii de prestare a serviciilor aferente plăţilor, proceselor-suport, sistemelor şi activelor informaţionale, precum şi ale interdependenţelor dintre acestea pentru a evita efectele negative asupra funcţionării prestatorilor de servicii de plată şi asupra sistemului financiar, inclusiv asupra sistemelor de plată şi asupra utilizatorilor serviciilor de plată, şi pentru a asigura executarea operaţiunilor de plată în aşteptare;
e) să fie documentate şi puse la dispoziţia unităţilor operaţionale şi funcţiilor-suport şi uşor accesibile în caz de urgenţă;
f) să fie actualizate în conformitate cu experienţa dobândită din incidente şi teste, cu noile riscuri şi ameninţări identificate, precum şi cu priorităţile şi obiectivele de redresare modificate;
g) să aibă în vedere şi opţiuni alternative, în cazul în care este posibil ca redresarea să nu fie fezabilă pe termen scurt, din cauza costurilor, riscurilor, logisticii sau a situaţiilor neprevăzute.
(3) În cadrul planurilor de intervenţie şi de redresare, prestatorul de servicii de plată trebuie să aibă în vedere şi punerea în aplicare a măsurilor de asigurare a continuităţii pentru a atenua incapacităţile furnizorilor terţi, măsuri extrem de importante pentru asigurarea continuităţii serviciilor TIC ale prestatorului de servicii de plată în concordanţă cu dispoziţiile Ghidului ABE privind externalizarea EBA/GL/2019/02 referitoare la planurile de continuitate a activităţii.
SECŢIUNEA a 5-aTestarea planurilor
Art. 54. -
(1) Prestatorii de servicii de plată trebuie să testeze planurile de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
(2) Prestatorii de servicii de plată trebuie să se asigure că planurile de asigurare a continuităţii funcţiilor critice ale activităţii lor de prestare a serviciilor aferente plăţilor, ale proceselorsuport, ale activelor informaţionale şi ale interdependenţelor dintre acestea, inclusiv cele furnizate de terţi, unde este cazul, sunt testate cel puţin anual potrivit art. 56.
Art. 55. -
(1) Prestatorii de servicii de plată trebuie să actualizeze planurile de continuitate a activităţii de prestare a serviciilor aferente plăţilor cel puţin anual, pe baza rezultatelor testelor prevăzute la art. 54 alin. (2), a informaţiilor privind ameninţările curente, a schimbului de informaţii şi a experienţei dobândite din evenimentele anterioare.
(2) Orice modificări ale obiectivelor de redresare a activităţii de prestare a serviciilor aferente plăţilor (inclusiv ale RTO şi RPO) şi/sau modificări ale funcţiilor activităţii lor de prestare a serviciilor aferente plăţilor, ale proceselor-suport şi ale activelor informaţionale, dacă este cazul, trebuie să fie luate în considerare, inclusiv ca o bază pentru actualizarea planurilor de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
Art. 56. -
(1) Testarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzută la art. 54 trebuie să demonstreze capacitatea acestora de a susţine viabilitatea activităţii de prestare de servicii aferente plăţilor a prestatorilor de servicii de plată până la restabilirea operaţiunilor lor critice.
(2) Testarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzută la alin. (1) trebuie:
a) să includă un set adecvat de scenarii, extreme, dar plauzibile, inclusiv cele avute în vedere la elaborarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzute la art. 52, precum şi testarea serviciilor prestate de terţi, unde este cazul;
b) să includă transferarea funcţiilor critice ale activităţii de prestare de servicii aferente plăţilor, ale proceselor-suport şi ale activelor informaţionale în mediul de redresare în caz de dezastru şi demonstrarea faptului că pot fi gestionate astfel o perioadă suficient de reprezentativă şi că funcţionarea normală poate fi restabilită ulterior;
c) să fie concepute pentru a verifica ipotezele pe care se bazează planurile de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor, inclusiv mecanismele de guvernanţă şi planurile de comunicare în situaţii de criză; şi
d) să includă proceduri pentru verificarea capacităţii personalului şi a contractanţilor, a sistemelor şi serviciilor TIC de a răspunde în mod corespunzător la scenariile prevăzute la art. 52.
Art. 57. -
Prestatorii de servicii de plată trebuie să documenteze rezultatele testelor şi să analizeze, abordeze şi să raporteze organului de conducere toate deficienţele identificate în urma testelor.
SECŢIUNEA a 6-aComunicările în situaţii de criză
Art. 58. -
Prestatorii de servicii de plată trebuie să se asigure că atât în cazul unei întreruperi a activităţii lor de prestare de servicii aferente plăţilor sau al unei situaţii de urgenţă, cât şi pe parcursul punerii în aplicare a planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor au prevăzut măsuri eficiente de comunicare în situaţii de criză, astfel încât toate părţile interesate interne şi externe relevante, inclusiv furnizori de servicii de externalizare, entităţi din grup sau furnizori terţi, precum şi Banca Naţională a României, sunt informate în timp util şi în mod corespunzător.
CAPITOLUL VIIIGestionarea relaţiei cu utilizatorul serviciilor de plată
Art. 59. -
Prestatorii de servicii de plată trebuie să stabilească şi să pună în aplicare procese de creştere a gradului de conştientizare al utilizatorilor de servicii de plată cu privire la riscurile de securitate aferente serviciilor de plată prestate acestora, acordând asistenţă şi îndrumare utilizatorilor de servicii de plată.
Art. 60. -
Asistenţa şi îndrumarea acordate utilizatorilor de servicii de plată potrivit art. 59 trebuie să fie actualizate în funcţie de noile ameninţări şi vulnerabilităţi, iar prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată cu privire la aceste modificări.
Art. 61. -
În cazul în care funcţionalitatea produsului o permite, prestatorii de servicii de plată trebuie să le permită utilizatorilor de servicii de plată să dezactiveze anumite funcţionalităţi de plată aferente serviciilor de plată furnizate de către prestatorul de servicii de plată către utilizatorul de servicii de plată.
Art. 62. -
În cazul în care, în conformitate cu art. 163 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, un prestator de servicii de plată a acceptat limitele de cheltuieli ale plătitorului în ceea ce priveşte operaţiunile de plată efectuate prin intermediul anumitor instrumente de plată, prestatorul de servicii de plată trebuie să ofere plătitorului opţiunea de a ajusta aceste limite până la limita maximă admisă.
Art. 63. -
Prestatorii de servicii de plată trebuie să acorde utilizatorilor de servicii de plată opţiunea de a primi alerte referitoare la încercările iniţiate şi/sau eşuate de iniţiere a operaţiunilor de plată, permiţându-le să detecteze utilizarea frauduloasă sau premeditată a conturilor lor de plăţi.
Art. 64. -
Prestatorii de servicii de plată trebuie să îşi informeze utilizatorii de servicii de plată despre actualizările procedurilor de securitate care afectează utilizatorii de servicii de plată în ceea ce priveşte prestarea serviciilor de plată.
Art. 65. -
(1) Prestatorii de servicii de plată trebuie să acorde asistenţă utilizatorilor de servicii de plată în orice solicitări, cereri de sprijin şi notificări de anomalii sau aspecte referitoare la probleme de securitate legate de serviciile de plată.
(2) Prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată în mod corespunzător cu privire la modalitatea în care se poate obţine asistenţa prevăzută la alin. (1).
TITLUL IIIRaportarea incidentelor operaţionale şi/sau de securitate majore15/03/2022 - TITLUL III a fost modificat prin Regulament 4/2022
CAPITOLUL IÎncadrarea incidentelor operaţionale şi/sau de securitate în categoria incidentelor majore
Art. 66. -
Prestatorii de servicii de plată trebuie să evalueze dacă un incident operaţional sau de securitate aferent serviciilor de plată prestate se încadrează în categoria incidentelor majore, în baza analizei asupra criteriilor şi potrivit metodologiei menţionate în anexa nr. 1.
Art. 67. -
Prestatorii de servicii de plată trebuie să evalueze un incident prin a stabili, pentru fiecare criteriu în parte, dacă pragurile relevante din anexa nr. 2 sunt sau este probabil să fie atinse înainte de soluţionarea incidentului.
Art. 68. -
(1) Prestatorii de servicii de plată trebuie să încadreze în categoria incidentelor majore acele incidente operaţionale sau de securitate pentru care:
a) unul sau mai multe criterii se încadrează în categoria «Nivel de impact ridicat»; sau
b) trei sau mai multe criterii se încadrează în categoria «Nivel de impact redus».
(2) Criteriile prevăzute la alin. (1) se încadrează în categoria «Nivel de impact redus», respectiv «Nivel de impact ridicat», prin atingerea pragurilor prevăzute în anexa nr. 2.
Art. 69. -
Prestatorii de servicii de plată trebuie să recurgă la estimări, de exemplu, în etapa investigaţiei iniţiale a incidentului, dacă nu deţin date efective pentru a-şi fundamenta evaluarea realizată potrivit art. 66-68, cum ar fi un prag stabilit sau pentru care este o probabilitate foarte mare de a fi atins înainte ca incidentul să fie soluţionat.
Art. 70. - 16/06/2021 - Art. 70. - a fost modificat anterior prin Regulament 2/2021
(1) Prestatorii de servicii de plată trebuie să efectueze evaluarea menţionată la art. 66-68 pe bază continuă, pe întreaga durată a existenţei incidentului, pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin încadrarea incidentului din incident minor în major sau prin încadrarea incidentului din major în minor.
(2) Orice schimbare a încadrării incidentului din categoria incident major în categoria incident minor trebuie transmisă Băncii Naţionale a României fără întârzieri nejustificate, conform art. 91.
CAPITOLUL IINotificarea incidentelor operaţionale şi/sau de securitate majore
SECŢIUNEA 1Dispoziţii generale
Art. 71. -
(1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, trebuie să completeze şi să transmită Băncii Naţionale a României raportul privind incidentul major, potrivit formularelor şi instrucţiunilor de completare prevăzute în anexa nr. 3.
(2) Prin excepţie de la aplicarea prevederilor art. 1 alin. (2) lit. b), prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) şi d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României, trebuie să transmită Băncii Naţionale a României o copie a notificării prevăzute la art. 219 alin. (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prin intermediul reţelei de comunicaţii interbancare.
Art. 72. -
(1) Prestatorii de servicii de plată trebuie să utilizeze formularele de raport prevăzute în anexa nr. 3 atunci când transmit rapoartele iniţiale, intermediare şi finale privind acelaşi incident, astfel cum sunt menţionate în secţiunile a 2-a-a 4-a.
(2) Prestatorii de servicii de plată trebuie să completeze integral şi progresiv rubricile din formularele de raport prevăzute la alin. (1), pe măsură ce sunt disponibile mai multe informaţii în cursul investigaţiilor, şi să indice informaţiile modificate din rapoartele precedente, dacă este cazul.
Art. 73. -
Prestatorii de servicii de plată trebuie să prezinte Băncii Naţionale a României o copie a informării clienţilor săi, utilizatori ai serviciilor de plată, cu privire la incidentul operaţional sau de securitate major şi la toate măsurile pe care utilizatorii de servicii de plată le pot lua pentru a atenua efectele negative ale acestuia, conform prevederilor art. 219 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, de îndată ce această informare este disponibilă, dacă este cazul.
Art. 74. -
(1) Prestatorii de servicii de plată trebuie să pună la dispoziţia Băncii Naţionale a României, la cererea acesteia, orice informaţii, date şi documente suplimentare rapoartelor transmise.
(2) Orice informaţie adiţională conţinută în documentele furnizate Băncii Naţionale a României, din propria iniţiativă sau la cererea acesteia, trebuie să fie inclusă în rapoarte.
Art. 75. -
Prestatorii de servicii de plată trebuie să răspundă oricăror solicitări de furnizare de informaţii suplimentare sau clarificări din partea Băncii Naţionale a României cu privire la documentaţia care a fost deja transmisă.
Art. 76. -
Prestatorii de servicii de plată trebuie să păstreze în permanenţă confidenţialitatea şi integritatea informaţiilor schimbate cu Banca Naţională a României şi să se autentifice în mod corespunzător în raporturile cu aceasta.
SECŢIUNEA a 2-aRaportul iniţial
Art. 77. -
Prestatorii de servicii de plată trebuie să transmită un raport iniţial Băncii Naţionale a României după ce un incident operaţional şi/sau de securitate a fost clasificat ca fiind major.
Art. 78. -
Prestatorii de servicii de plată trebuie să indice codul unic de referinţă de identificare a incidentului comunicat de către Banca Naţională a României, atunci când transmit o actualizare a raportului iniţial şi rapoartele intermediar şi final, exceptând situaţia în care rapoartele intermediar şi final sunt transmise împreună cu raportul iniţial.
Art. 79. -
Prestatorii de servicii de plată trebuie să transmită raportul iniţial prevăzut la art. 77 în termen de 4 ore de la clasificarea incidentului ca incident operaţional şi/sau de securitate major, prin canalele de raportare comunicate de către Banca Naţională a României sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare.
Art. 80. -
(1) Prestatorii de servicii de plată trebuie să clasifice incidentul ca incident operaţional şi/sau de securitate major conform prevederilor art. 68 şi anexei nr. 2, în timp util de la detectarea incidentului, dar nu mai târziu de 24 de ore de la detectarea incidentului şi fără întârzieri nejustificate din momentul în care prestatorul de servicii de plată are disponibile informaţiile necesare procesului de clasificare a incidentului.16/06/2021 - alineatul a fost modificat anterior prin Regulament 2/2021
(2) Dacă este necesară extinderea termenului precizat la alin. (1) pentru clasificarea incidentului, prestatorii de servicii de plată trebuie să explice această necesitate în raportul iniţial care va fi transmis Băncii Naţionale a României.
Art. 81. -
(1) Prestatorii de servicii de plată trebuie să transmită, de asemenea, un raport iniţial Băncii Naţionale a României atunci când un incident cunoscut anterior ca fiind minor este reclasificat ca unul major, ca urmare a evaluării efectuate potrivit art. 70.
(2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, prin canalele de raportare comunicate de către aceasta, raportul iniţial, de îndată ce se identifică o schimbare de stare sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare.
Art. 82. -
(1) În rapoartele lor iniţiale, prestatorii de servicii de plată trebuie să includă informaţiile prevăzute în formularul «A - Raport iniţial», cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului şi consecinţele preconizate ale acestuia pe baza informaţiilor disponibile imediat după încadrarea acestuia ca major, potrivit art. 70.
(2) Prestatorii de servicii de plată trebuie să recurgă la estimări atunci când nu sunt disponibile date efective, în acord cu dispoziţiile art. 69.
SECŢIUNEA a 3-aRaportul intermediar
Art. 83. -
(1) Prestatorii de servicii de plată trebuie să transmită raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, când activităţile desfăşurate în mod uzual au revenit la normal, cu informarea corespunzătoare a Băncii Naţionale a României cu privire la această situaţie.
(2) Prestatorii de servicii de plată trebuie să considere că activităţile/operaţiunile au revenit la normal atunci când acestea se desfăşoară la nivelurile acceptabile predefinite anterior sau la nivelurile incluse în contractele încheiate cu furnizorii terţi privind nivelul serviciilor cu referire cel puţin la timpii de prelucrare, capacitatea şi cerinţele de securitate şi când măsurile de urgenţă nu mai sunt aplicabile.
Art. 84. -
(1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, care să conţină o descriere mai detaliată a incidentului şi a consecinţelor acestuia.
(2) Dacă activităţile desfăşurate în mod uzual nu au fost restabilite, prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României un raport intermediar în termen de 3 zile lucrătoare de la data transmiterii raportului iniţial.
(3) Prestatorii de servicii de plată trebuie să actualizeze informaţiile deja furnizate în formularele «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, atunci când au cunoştinţă despre schimbări semnificative de la data transmiterii raportului anterior, cum ar fi, de exemplu, faptul că incidentul a crescut sau a scăzut în intensitate, sunt identificate cauze noi sau sunt luate măsuri pentru soluţionarea incidentului.
(4) În situaţia în care incidentul nu a fost soluţionat în termen de 3 zile lucrătoare, prestatorii de servicii de plată vor actualiza informaţiile potrivit alin. (3) şi vor transmite Băncii Naţionale a României un raport intermediar suplimentar.
(5) Prestatorii de servicii de plată trebuie să transmită un raport intermediar suplimentar la solicitarea Băncii Naţionale a României.
Art. 85. -
Când datele efective nu sunt disponibile, prestatorii de servicii de plată trebuie să recurgă la estimări, prin aplicarea în mod corespunzător a prevederilor art. 69.
Art. 86. -
În cazul în care activitatea prestatorului de servicii de plată a revenit la normal în termenul de 4 ore de la momentul clasificării incidentului operaţional şi/sau de securitate ca major, prestatorii de servicii de plată trebuie să aibă în vedere transmiterea în mod simultan a raportului iniţial şi a raportului intermediar, prin completarea şi transmiterea formularelor «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, înainte de termenul de 4 ore.
SECŢIUNEA a 4-aRaportul final
Art. 87. -
Prestatorii de servicii de plată trebuie să trimită un raport final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, atunci când a fost efectuată analiza cauzelor principale, indiferent dacă au fost deja implementate măsurile de atenuare a incidentului sau dacă a fost identificată cauza principală finală, şi atunci când există date disponibile pentru a înlocui orice estimări.
Art. 88. -
(1) Prestatorii de servicii de plată trebuie să transmită raportul final Băncii Naţionale a României în termen de maximum 20 de zile lucrătoare de la data la care aceştia pot demonstra că activitatea a revenit la normal.
(2) Prestatorii de servicii de plată care au nevoie de o prelungire a termenului prevăzut la alin. (1), inclusiv dacă nu sunt încă disponibile date efective cu privire la impact sau dacă nu a fost identificată cauza principală finală, trebuie să contacteze Banca Naţională a României înainte de împlinirea termenului prevăzut la alin. (1) şi să comunice o justificare adecvată a întârzierii, precum şi o nouă dată estimată pentru transmiterea raportului final.
Art. 89. -
În cazul în care prestatorii de servicii de plată pot să comunice toate informaţiile necesare în raportul final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, în decurs de 4 ore de la momentul clasificării incidentului ca major, aceştia trebuie să aibă în vedere furnizarea agregată a informaţiilor referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea împreună/simultan a formularelor «A - Raport iniţial», «B - Raport intermediar» şi «C - Raport final», cuprinse în anexa nr. 3.
Art. 90. -
Prestatorii de servicii de plată trebuie să includă în rapoartele finale informaţii complete cu privire la:
a) datele efective privind impactul în locul estimărilor utilizate şi orice alte actualizări necesare ale informaţiilor referitoare la raportul iniţial şi raportul intermediar, cuprinse în formularele «A - Raport iniţial» şi «B - Raport intermediar», prevăzute în anexa nr. 3; şi
b) formularul «C - Raport final», cuprins în anexa nr. 3, care să includă cauza principală, dacă aceasta este deja cunoscută, precum şi o prezentare succintă a măsurilor adoptate sau planificate a fi adoptate pentru a elimina problema şi a preveni reapariţia acesteia în viitor.
Art. 91. -
(1) Prestatorii de servicii de plată trebuie să transmită rapoartele finale şi atunci când, ca urmare a evaluării pe bază continuă a incidentului, aceştia constată faptul că un incident major deja raportat nu mai îndeplineşte criteriile pentru a fi considerat major şi nu se preconizează că acesta le va îndeplini înainte de soluţionarea incidentului.
(2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să trimită rapoartele finale de îndată ce se constată această situaţie şi, în orice caz, până la termenul transmiterii următorului raport.
(3) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reîncadrarea incidentului drept minor, să transmită formularul «C - Raport final», cuprins în anexa nr. 3, şi să explice motivele acestei încadrări.16/06/2021 - alineatul a fost modificat anterior prin Regulament 2/2021
CAPITOLUL IIIRaportarea delegată şi consolidată
Art. 92. -
(1) În cazul prestatorilor de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege îndeplinirea obligaţiilor de raportare a incidentelor majore unei terţe părţi, aceştia trebuie să informeze în prealabil Banca Naţională a României şi să asigure îndeplinirea următoarelor condiţii:
a) contractul sau acordurile interne existente în cadrul unui grup, după caz, care stă/stau la baza raportării delegate dintre prestatorul de servicii de plată şi terţa parte defineşte/definesc în mod clar alocarea responsabilităţilor tuturor părţilor;
b) delegarea respectă cerinţele privind externalizarea funcţiilor operaţionale importante prevăzute la:
(i) art. 54 şi 55 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi art. 46-50 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică în legătură cu instituţiile de plată şi, respectiv, pentru instituţiile emitente de monedă electronică; sau
(ii) cap. V al titlului II din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, pentru instituţiile de credit;
c) asigură în mod corespunzător confidenţialitatea datelor sensibile, precum şi calitatea, consecvenţa, integritatea şi fiabilitatea informaţiilor care vor fi transmise Băncii Naţionale a României;
d) transmiterea, în prealabil, către Banca Naţională a României a tuturor informaţiilor în acord cu prevederile art. 97 şi obţinerea aprobării prevăzute la art. 98.
(2) În situaţia prevăzută la alin. (1) lit. a), contractul sau acordurile interne existente în cadrul unui grup, după caz, trebuie să prevadă în mod clar faptul că prestatorul de servicii de plată afectat rămâne pe deplin responsabil şi răspunzător pentru îndeplinirea cerinţelor prevăzute la art. 219 alin. (1), (2) şi (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi pentru conţinutul informaţiilor prezentate Băncii Naţionale a României.
(3) În situaţia prevăzută la alin. (1) lit. b) pct. (i), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca funcţie operaţională importantă.
(4) În situaţia prevăzută la alin. (1) lit. b) pct. (ii), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca activitate semnificativă, în înţelesul Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
Art. 93. -
(1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege unei terţe părţi îndeplinirea obligaţiilor de raportare în mod consolidat, prin transmiterea unui singur raport care face referire la mai mulţi prestatori de servicii de plată afectaţi de acelaşi incident operaţional sau de securitate major, trebuie să informeze Banca Naţională a României, să includă informaţiile de contact cu privire la prestatorii de servicii de plată afectaţi, cuprinse în formularul «A - Raport iniţial» din anexa nr. 3, şi să se asigure de îndeplinirea următoarelor condiţii:
a) includerea dispoziţiilor referitoare la raportarea consolidată în contractul care stă la baza raportării delegate;
b) raportarea consolidată condiţionată de faptul că incidentul este cauzat de o întrerupere a serviciilor prestate de către terţa parte;
c) limitarea raportării consolidate la prestatorii de servicii de plată stabiliţi în acelaşi stat membru;
d) transmiterea listei tuturor prestatorilor de servicii de plată afectaţi de incident şi asigurarea faptului că terţa parte evaluează semnificaţia incidentului pentru fiecare prestator de servicii de plată afectat şi include în raportul consolidat doar prestatorii de servicii de plată pentru care incidentul a fost clasificat drept unul major. În cazul incertitudinii, asigură includerea unui prestator de servicii de plată în raportul consolidat atât timp cât nu există dovezi în sens contrar;
e) asigurarea faptului că, atunci când nu este posibil să se furnizeze un singur răspuns în unele câmpuri cuprinse în formularele prevăzute în anexa nr. 3, terţa parte fie completează date individuale pentru fiecare prestator de servicii de plată afectat, specificând în plus identitatea fiecărui prestator de servicii de plată la care se referă informaţiile, fie utilizează valori agregate, astfel cum au fost observate sau estimate pentru acei prestatori de servicii de plată;
f) trebuie să se asigure că terţa parte informează în permanenţă prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu privire la toate informaţiile relevante legate de incident şi la toate interacţiunile pe care terţa parte le-ar putea avea cu Banca Naţională a României, precum şi cu privire la conţinutul acestora, însă doar în măsura în care acest lucru este compatibil cu evitarea oricărei încălcări a confidenţialităţii în ceea ce priveşte informaţiile referitoare la alţi prestatori de servicii de plată.
(2) Dispoziţiile art. 92 alin. (1) lit. b) sunt aplicabile în mod corespunzător în ceea ce priveşte delegarea unei terţe părţi pentru a îndeplini obligaţiile de raportare în mod consolidat, în acord cu alin. (1).
Art. 94. -
Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, nu trebuie să îşi delege îndeplinirea obligaţiilor de raportare potrivit art. 92 sau 93, după caz, înainte de a obţine aprobarea Băncii Naţionale a României potrivit prevederilor art. 98 sau după ce au fost informaţi de către Banca Naţională a României cu privire la faptul că acordul de externalizare nu îndeplineşte cerinţele prevăzute la art. 94 alin. (1) lit. b).
Art. 95. -
(1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să retragă delegarea îndeplinirii obligaţiilor lor de raportare trebuie să informeze Banca Naţională a României în termen de maximum 5 zile lucrătoare de la data luării acestei decizii.
(2) Prestatorii de servicii de plată prevăzuţi la alin. (1) trebuie să informeze Banca Naţională a României cu privire la orice evoluţie semnificativă care afectează terţa parte desemnată şi capacitatea acesteia de a-şi îndeplini obligaţiile de raportare.
Art. 96. -
(1) Prestatorii de servicii de plată trebuie să îşi îndeplinească obligaţiile de raportare prevăzute în prezentul titlu, fără a recurge la asistenţa externă, ori de câte ori terţa parte desemnată nu a informat Banca Naţională a României cu privire la un incident operaţional sau de securitate major în conformitate cu prevederile art. 219 alin. (1) şi/sau (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi cu cele ale prezentului titlu.
(2) Prestatorii de servicii de plată trebuie să se asigure că un incident operaţional sau de securitate major nu este raportat de două ori, individual, de către prestatorul de servicii de plată în cauză şi încă o dată de către terţa parte către care prestatorul de servicii de plată a delegat îndeplinirea obligaţiilor de raportare.
(3) Prestatorii de servicii de plată trebuie să se asigure că în cazul în care un incident este cauzat de o întrerupere a serviciilor prestate de un furnizor terţ de servicii tehnice sau de infrastructură, care afectează mai mulţi prestatori de servicii de plată, raportarea delegată se referă la datele individuale aferente prestatorului de servicii de plată afectat, cu excepţia cazului în care se raportează consolidat.
Art. 97. -
(1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează, în acord cu prevederile art. 92 şi 93, să îşi delege unei terţe părţi obligaţiile de raportare a incidentelor operaţionale sau de securitate majore specifice propriilor servicii de plată prestate, la nivel individual sau consolidat, trebuie să transmită Băncii Naţionale a României, fără întârzieri nejustificate, o cerere însoţită de următoarele documente şi informaţii:
a) decizia internă cu privire la raportarea delegată sau consolidată a incidentelor majore specifice propriilor servicii de plată prestate, după caz, semnată la nivelul organului de conducere al prestatorilor de servicii de plată;
b) extrasul din contractul/acordul intern care stă la baza delegării îndeplinirii obligaţiilor de raportare, care să probeze îndeplinirea condiţiilor prevăzute la art. 92 alin. (1) lit. a) şi c) şi, respectiv, art. 93 alin. (1) lit. a) -f), după caz.
(2) În situaţia în care documentaţia transmisă de către prestatorii de servicii de plată nu îndeplineşte cerinţele menţionate la alin. (1), Banca Naţională a României comunică acestora, în termen de 30 de zile lucrătoare, documentele şi informaţiile necesare pentru conformarea la dispoziţiile alin. (1).
(3) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii relevante în scopul evaluării cu privire la delegarea obligaţiilor de raportare, în acord cu prevederile art. 92 şi 93.
(4) Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate potrivit alin. (2) şi/sau (3) în termen de maximum 45 de zile lucrătoare de la data comunicării solicitării.
(5) Pentru situaţii bine fundamentate de prestatorul de servicii de plată, la cererea acestuia, Banca Naţională a României poate prelungi termenul de transmitere a documentelor şi informaţiilor prevăzut la alin. (4).
(6) Documentaţia este completă numai după ce prestatorii de servicii de plată au transmis toate documentele şi informaţiile potrivit alin. (1) - (3), în termenul prevăzut la alin. (4), respectiv alin. (5), dacă este cazul.
(7) Informaţiile şi documentele prezentate după expirarea termenelor prevăzute în prezentul articol nu sunt luate în considerare la evaluarea cererii prestatorului de servicii de plată de delegare a unei terţe părţi a obligaţiilor de raportare a incidentelor operaţionale sau de securitate majore.
Art. 98. -
Banca Naţională a României evaluează şi comunică prestatorului de servicii de plată decizia sa cu privire la posibilitatea prestatorului de servicii de plată de a delega către o terţă parte obligaţiile sale de raportare a incidentelor majore potrivit prezentului titlu, în termen de 30 de zile lucrătoare de la data la care documentaţia este considerată completă potrivit art. 97 alin. (6).
TITLUL IVRaportarea datelor statistice privind fraudele legate de diferite mijloace de plată
CAPITOLUL IObiectul raportării
Art. 99. -
(1) În conformitate cu prevederile prezentului titlu, prestatorii de servicii de plată trebuie să raporteze către Banca Naţională a României, pentru fiecare perioadă de raportare, datele statistice privind:
a) totalul operaţiunilor de plată; şi
b) totalul operaţiunilor de plată frauduloase.
(2) În sensul alin. (1) operaţiunile de plată frauduloase reprezintă:
a) operaţiunile de plată neautorizate; şi
b) operaţiunile de plată efectuate în urma manipulării plătitorului de către autorul fraudei.
Art. 100. -
(1) În sensul prevederilor art. 99 alin. (1) lit. b), prestatorii de servicii de plată, inclusiv emitentul instrumentului de plată, trebuie să raporteze numai operaţiunile de plată frauduloase care au fost iniţiate şi executate, inclusiv acceptate, dacă este cazul.
(2) Prestatorii de servicii de plată nu trebuie să raporteze datele privind operaţiunile de plată care, deşi se referă la operaţiunile menţionate la art. 99 alin. (1) lit. b), nu au fost executate şi nu au generat un transfer de fonduri în conformitate cu dispoziţiile art. 5 alin. (1) pct. 36 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
CAPITOLUL IICerinţe generale privind datele raportate
Art. 101. -
(1) Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, conform alin. (2) sau (3).
(2) Prestatorul de servicii de plată al plătitorului trebuie să raporteze datele statistice, conform anexei nr. 5 secţiunile A, C, E, F, G şi H, după caz.
(3) Prestatorul de servicii de plată al beneficiarului plăţii trebuie să raporteze datele statistice, conform anexei nr. 5 secţiunile B şi D, după caz.
Art. 102. -
Prestatorii de servicii de plată trebuie să raporteze Băncii Naţionale a României toate operaţiunile de plată şi operaţiunile de plată frauduloase cu privire la următoarele:
a) totalul operaţiunilor de plată frauduloase prevăzute la art. 99, indiferent dacă valoarea operaţiunii de plată frauduloasă a fost recuperată;
b) pierderi cauzate de fraudă în funcţie de purtătorul răspunderii;
c) modificarea unui ordin de plată de către autorul fraudei;
d) emiterea unui ordin de plată de către autorul fraudei.
Art. 103. - 16/06/2021 - Art. 103. - a fost modificat prin Regulament 2/2021
(1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, prin intermediul Sistemului Informatic de Raportare către Banca Naţională a României (SIRBNR), datele statistice prevăzute la art. 99, potrivit dispoziţiilor cuprinse în cadrul cap. VI din prezentul titlu.
(2) Transmiterea datelor se realizează în format XML, în conformitate cu dispoziţiile art. 101 alin. (2) şi (3) şi cu regulile de sistem stabilite şi puse la dispoziţia entităţilor raportoare - prin intermediul SIRBNR - de Banca Naţională a României.
Art. 104. -
(1) Prestatorii de servicii de plată trebuie să raporteze către Banca Naţională a României datele statistice prevăzute la art. 99, atât din punctul de vedere al volumului, şi anume numărul de operaţiuni de plată sau de operaţiuni de plată frauduloase, cât şi al valorii, şi anume valoarea operaţiunilor de plată sau a operaţiunilor de plată frauduloase.
(2) Numărul de operaţiuni de plată sau de operaţiuni de plată frauduloase trebuie să fie exprimat în unităţi reale (existente) şi valoarea operaţiunilor de plată sau a operaţiunilor de plată frauduloase trebuie să fie exprimată în valori efective, cu două zecimale.
Art. 105. - 16/06/2021 - Art. 105. - a fost modificat prin Regulament 2/2021
(1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României datele statistice prevăzute la art. 99, prin exprimarea acestora în lei.
(2) Prestatorii de servicii de plată trebuie să raporteze Băncii Naţionale a României datele statistice la nivel agregat, incluzând datele aferente activităţii de prestare de servicii de plată în mod direct în alte state membre şi activităţii desfăşurate prin intermediul agenţilor.
(3) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c), cu excepţia furnizorilor specializaţi în servicii de informare cu privire la conturi, şi lit. d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, din alte state membre, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul sucursalelor, raportează Băncii Naţionale a României datele statistice prevăzute la art. 99, aferente activităţii desfăşurate de acestea în România, separat de raportarea datelor efectuată de către prestatorul de servicii de plată în statul membru de origine.
(4) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c), cu excepţia agenţilor şi a furnizorilor specializaţi în servicii de informare cu privire la conturi, din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul agenţilor, nu raportează informaţiile şi datele statistice către Banca Naţională a României.
(5) Fără a aduce atingere alin. (1), în cazul operaţiunilor de plată şi al operaţiunilor de plată frauduloase denominate în monedă străină, prestatorii de servicii de plată determină valorile, iniţial, prin aplicarea cursului de schimb pentru moneda respectivă raportat la euro, iar rezultatul în euro este convertit în lei, utilizându-se cursurile de schimb publicate pe website-ul Băncii Centrale Europene. Pentru operaţiunile de plată, inclusiv frauduloase, denominate în alte monede decât cele pentru care sunt disponibile cursuri de schimb pe website-ul Băncii Centrale Europene, prestatorii de servicii de plată trebuie să utilizeze cursul de schimb publicat pe website-ul Băncii Naţionale a României.
(6) Valorile cursurilor de schimb utilizate pentru conversiile prevăzute la alin. (5) sunt cele aplicate acestor operaţiuni sau rata de schimb medie de referinţă a Băncii Centrale Europene sau a Băncii Naţionale a României, după caz, pentru perioada de raportare respectivă.
Art. 106. - Abrogat(ă) 16/06/2021 - Art. 106. - a fost abrogat prin Regulament 2/2021.
CAPITOLUL IIIFrecvenţă şi termen de raportare
Art. 107. -
(1) Prestatorii de servicii de plată trebuie să transmită datele statistice prevăzute la art. 99 în termen de cel mult 5 luni de la sfârşitul semestrului pentru care se raportează.
(2) Când ultima zi a termenului de raportare prevăzut la alin. (1) este o zi nelucrătoare, termenul se prelungeşte până în prima zi lucrătoare.
CAPITOLUL IVDefalcarea geografică
Art. 108. -
(1) Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, defalcat pentru operaţiunile de plată/plată frauduloase naţionale, operaţiunile de plată/plată frauduloase transfrontaliere din alte state membre şi operaţiunile de plată/plată frauduloase transfrontaliere din state terţe, în conformitate cu metodologia şi instrucţiunile prevăzute în anexa nr. 4.
(2) Prestatorii de servicii de plată trebuie să aloce fiecare operaţiune unei singure subcategorii pentru fiecare rând în cadrul fiecărei defalcări de date prevăzute în anexa nr. 5.
CAPITOLUL VData înregistrării şi data de referinţă
Art. 109. -
(1) Data care trebuie avută în vedere de prestatorii de servicii de plată pentru înregistrarea operaţiunilor de plată şi a operaţiunilor de plată frauduloase în scopul raportării datelor statistice prevăzute la art. 99 este data la care a fost executată operaţiunea în conformitate cu prevederile Legii nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(2) În cazul unei serii de operaţiuni, data înregistrării va fi data la care a fost executată fiecare operaţiune de plată în parte.
Art. 110. -
Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată frauduloase de la momentul la care frauda a fost detectată, inclusiv ca urmare a unei reclamaţii a clientului sau prin alte mijloace, indiferent dacă dosarul referitor la operaţiunea de plată frauduloasă a fost sau nu soluţionat până la momentul raportării datelor.
Art. 111. -
(1) Prestatorii de servicii de plată trebuie să raporteze separat toate rectificările datelor referitoare la orice perioadă de raportare din trecut, cu o vechime de cel mult un an, în următoarea perioadă de raportare, ce survine după descoperirea informaţiilor care trebuie rectificate.
(2) În situaţia prevăzută la alin. (1) prestatorii de servicii de plată trebuie să precizeze că datele raportate reprezintă date rectificate aferente raportărilor din trecut şi să indice perioada de raportare care face obiectul corecţiilor.
CAPITOLUL VIDefalcarea datelor
Art. 112. -
Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip transfer-credit, inclusiv ordine de plată programată, care au fost iniţiate şi executate, în conformitate cu formularul "A - Defalcarea datelor pentru operaţiunile de transfer credit" din anexa nr. 5.
Art. 113. - 16/06/2021 - Art. 113. - a fost modificat prin Regulament 2/2021
Prestatorul de servicii de plată care oferă servicii de emitere de carduri de plată utilizatorilor de servicii de plată în calitate de plătitori trebuie să raporteze, în calitate de emitent, toate operaţiunile de plată şi operaţiunile de plată frauduloase în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii emitent» din anexa nr. 5. Datele aferente categoriilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 01.07.2020.
Art. 114. - 16/06/2021 - Art. 114. - a fost modificat prin Regulament 2/2021
Prestatorii de servicii de plată care oferă servicii de acceptare de operaţiuni de plată utilizatorilor de servicii de plată în calitate de beneficiari trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip acceptare de operaţiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul «D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operaţiuni de plată (cu o relaţie contractuală cu utilizatorul serviciului de plată)» din anexa nr. 5. Datele aferente indicatorilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 1.07.2020.
Art. 115. -
(1) Datele cuprinse în raportările prevăzute la art. 112-114 trebuie să includă:
a) perspectiva geografică;
b) canalul de plată;
c) metoda de autentificare;
d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prevăzute la cap. 3 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare, sau una din categoriile «Tranzacţii iniţiate de comerciant» sau «Altele», după caz;16/06/2021 - litera a fost modificată prin Regulament 2/2021
e) tipurile de fraudă;
f) funcţia cardului pentru operaţiunile de plată raportate în conformitate cu secţiunile «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» şi «D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operaţiuni de plată (cu o relaţie contractuală cu utilizatorul serviciului de plată)» şi16/06/2021 - litera a fost modificată prin Regulament 2/2021
g) operaţiunile de plată iniţiate prin intermediul unui prestator de servicii de iniţiere a plăţii.
(2) Prestatorii de servicii de plată prevăzuţi la art. 113 şi 114 trebuie să excludă din cadrul raportărilor retragerile şi depunerile de numerar dintr-un/într-un cont de plăţi.
Art. 116. -
(1) Prestatorii de servicii de plată trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip debitări directe, inclusiv debitări directe singulare, care au fost executate, în conformitate cu formularul "B - Defalcarea datelor pentru operaţiunile executate prin debitări directe" din anexa nr. 5.
(2) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică prevăzută la art. 108;
b) canalul folosit pentru acordarea consimţământului; şi
c) tipurile de fraudă.
Art. 117. - 16/06/2021 - Art. 117. - a fost modificat prin Regulament 2/2021
Prestatorii de servicii de plată, care emit instrumente de plată de tipul cardurilor, trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip retragere de numerar efectuate la bancomate (inclusiv prin intermediul aplicaţiilor), la ghişeele bancare şi la comercianţi, utilizând cardurile emise de către aceştia, în conformitate cu formularul «E - Defalcarea datelor pentru retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului» din anexa nr. 5.
Art. 118. -
(1) Prestatorii de servicii de plată care nu administrează contul de plăţi al utilizatorului de servicii de plată, dar care emit instrumente de plată de tipul cardurilor şi execută operaţiuni de plăţi pe baza acestor carduri trebuie să raporteze datele referitoare la volumul şi valoarea aferente acestor operaţiuni şi ale operaţiunilor de plată frauduloase efectuate cu aceste carduri, potrivit formularului «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» din anexa nr. 5.16/06/2021 - alineatul a fost modificat prin Regulament 2/2021
(2) Prestatorii de servicii de plată prevăzuţi la alin. (1) care oferă servicii de emitere de carduri cu funcţie de numerar trebuie să raporteze datele referitoare la operaţiunile de retragere de numerar şi operaţiunile de plată frauduloase iniţiate şi executate cu aceste carduri în conformitate cu formularul "E - Defalcarea datelor privind retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului" din anexa nr. 5.
(3) Prestatorii de servicii de plată care oferă servicii de administrare cont trebuie să se asigure că nu raportează către Banca Naţională a României datele prevăzute la alin. (1) şi (2).
Art. 119. -
(1) Prestatorii de servicii de plată care oferă servicii de plată cu monedă electronică trebuie să raporteze operaţiunile de plată şi operaţiunile de plată frauduloasă cu monedă electronică, astfel cum aceasta este definită la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, în conformitate cu formularul «F - Defalcarea datelor pentru operaţiunile efectuate cu monedă electronică» din anexa nr. 5. Datele aferente categoriilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 1.07.2020.16/06/2021 - alineatul a fost modificat prin Regulament 2/2021
(2) Prestatorii de servicii de plată trebuie să includă în raportarea menţionată la alin. (1) doar operaţiunile de plată cu monedă electronică în care:
a) prestatorul de servicii de plată al plătitorului este identic cu cel al beneficiarului plăţii; sau
b) este folosit un card cu funcţia de monedă electronică.
(3) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică, determinată potrivit art. 108;
b) canalul de plată;
c) metoda de autentificare;
d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prezentate în capitolul III din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare sau una din categoriile «Tranzacţii iniţiate de comerciant» sau «Altele», după caz; şi16/06/2021 - litera a fost modificată prin Regulament 2/2021
e) tipurile de fraudă.
Art. 120. -
Prestatorii de servicii de plată care furnizează date în conformitate cu formularele de la "A - Defalcarea datelor pentru operaţiunile de transfer credit" la "F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică" din anexa nr. 5 trebuie să raporteze toate pierderile cauzate de fraudă suportate în perioada pentru care se efectuează raportarea, în funcţie de purtătorul răspunderii, în termenul de transmitere prevăzut la art. 107.
Art. 121. -
(1) Prestatorii de servicii de plată care oferă servicii de remitere de bani trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase referitoare la aceste operaţiuni potrivit formularului "G - Defalcarea datelor pentru operaţiunile de remitere de bani" din anexa nr. 5.
(2) Prestatorii de servicii de plată care raportează date statistice potrivit alin. (1) trebuie să transmită datele privind volumele şi valorile tuturor operaţiunilor de plată şi operaţiunilor de plată frauduloasă prevăzute la art. 99, defalcat din perspectiva geografică, astfel cum este prevăzut laart. 108.
Art. 122. -
(1) Prestatorii de servicii de plată care oferă servicii de iniţiere a plăţii trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase referitoare la aceste operaţiuni potrivit formularului "H - Defalcarea datelor pentru operaţiunile iniţiate de prestatorii de servicii de iniţiere a plăţii" din anexa nr. 5.
(2) Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:
a) perspectiva geografică;
b) instrumentul de plată;
c) canalul de plată; şi
d) metoda de autentificare.
Art. 123. -
Prestatorii de servicii de plată trebuie să se asigure că toate datele statistice transmise Băncii Naţionale a României au corespondent în anexa nr. 5.
TITLUL VMăsuri administrative şi sancţiuni
Art. 124. -
Nerespectarea prevederilor prezentului regulament atrage, după caz, luarea măsurilor prevăzute la art. 223 alin. (2) lit. c) şi/sau aplicarea sancţiunilor prevăzute la art. 227 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
TITLUL VIDispoziţii finale
Art. 125. -
Anexele nr. 1-6 fac parte integrantă din prezentul regulament.
Art. 126. -
Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018, se modifică şi se completează după cum urmează:
1. La articolul 122, alineatul (2) se modifică şi va avea următorul cuprins:
"
(2) Cererea de autorizare este însoţită de o autoevaluare, inclusiv documentaţia justificativă aferentă, privind îndeplinirea permanentă a cerinţelor aplicabile administratorilor IPF, stabilite la cap. I al titlului II din prezentul regulament."
2. La articolul 128, alineatul (1) se modifică şi va avea următorul cuprins:
"
Art. 128. -
(1) Prestatorul de servicii de plată poate pune în circulaţie instrumente de plată electronică, în termen de 30 de zile lucrătoare de la notificarea Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor şi transmiterea tuturor documentelor şi informaţiilor prevăzute la art. 129."
3. La articolul 129, alineatul (2) se modifică şi va avea următorul cuprins:
"
(2) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii necesare în vederea evaluării cu privire la punerea în circulaţie a instrumentului de plată electronică. Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate în termen de maximum 30 de zile lucrătoare de la data comunicării solicitării."
4. După articolul 129 se introduce un nou articol, articolul 1291, cu următorul cuprins:
"
Art. 1291. -
(1) Prin excepţie de la prevederile art. 128 alin. (1) prestatorii de servicii de plată pot desfăşura proiecte- pilot de testare a instrumentelor de plată electronică, cu informarea în prealabil a Băncii Naţionale a României şi în următoarele condiţii:
a) perioada de testare să nu depăşească 120 de zile calendaristice;
b) prestatorii de servicii de plată trebuie să se asigure că sunt testate toate funcţionalităţile instrumentului de plată cu o masă critică de utilizatori, astfel încât să fie realizată verificarea tuturor funcţionalităţilor şi facilităţilor aferente noilor produse sau servicii care urmează să fie notificate către Banca Naţională a României, în acord cu prevederile art. 128.
(2) Informarea transmisă conform prevederilor alin. (1) se va efectua potrivit formularului prevăzut în anexa nr. 8.
(3) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, după finalizarea proiectului-pilot, concluziile aferente testării, inclusiv decizia de a pune sau nu în circulaţie instrumentul respectiv, în termen de 30 de zile lucrătoare de la finalizarea proiectului.
(4) În situaţia în care prestatorul de servicii de plată decide să pună în circulaţie instrumentul de plată electronică care a făcut obiectul proiectului-pilot, acesta trebuie să notifice instrumentul de plată Băncii Naţionale a României conform prevederilor art. 128."
5. La articolul 130 alineatul (1), litera d) se abrogă.
6. La articolul 135, alineatul (1) se modifică şi va avea următorul cuprins:
"
Art. 135. -
(1) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor furniza Băncii Naţionale a României, oricând la solicitarea acesteia, toate informaţiile şi documentele necesare pentru a evalua conformitatea cu cerinţele stabilite de prezentul regulament."
7. Articolul 136 se modifică şi va avea următorul cuprins:
"
Art. 136. -
(1) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie trebuie să informeze de îndată Banca Naţională a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, prin intermediul Reţelei de comunicaţii interbancare, cu privire la apariţia oricăror incidente în funcţionarea normală a IPF, a participantului sau a instrumentelor de plată pe suport hârtie, conform formularului din anexa nr. 7 - Raport incidente operaţionale şi/sau de securitate.
(2) Prestatorii de servicii de plată trebuie să raporteze incidentele operaţionale şi/sau de securitate majore aferente serviciilor de plată potrivit reglementărilor Băncii Naţionale a României.
(3) Administratorii IPF, participanţii şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie trebuie să transmită Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor un raport scris cu explicarea cauzelor incidentelor raportate conform alin. (1), precum şi a măsurilor de remediere întreprinse sau avute în vedere, în termen de cel mult 30 de zile calendaristice de la data incidentului.
(4) Banca Naţională a României poate solicita în orice moment administratorilor IPF, participanţilor şi prestatorilor de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe suport hârtie date, informaţii şi rapoarte suplimentare referitoare la incidentele şi fraudele apărute."
8. Articolul 138 se modifică şi va avea următorul cuprins:
"
Art. 138. -
(1) Administratorii IPF şi participanţii trebuie să efectueze cel puţin anual testări ale rezilienţei, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru procesarea plăţilor, decontărilor şi a instrumentelor de plată.
(2) Entităţile prevăzute la alin. (1) trebuie să remită anual, până la data de 31 martie, pentru anul anterior, prin intermediul Reţelei de comunicaţii interbancare, următoarele informaţii:
a) scenariile de test avute în vedere şi rezultatele testărilor prevăzute la alin. (1);
b) extrase din rapoartele auditorilor şi/sau experţilor, care să conţină concluziile acestora cu privire la rezilienţa infrastructurii informatice;
c) modificările semnificative aduse infrastructurii informatice şi locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată."
9. Anexa nr. 7 se modifică şi va avea următorul cuprins:
"
ANEXA Nr. 7
Model raport incident operaţional sau de securitate
1. Administrator IPF/Participant/Prestator de servicii de plată
2. Numele, funcţia şi datele de contact ale persoanei care raportează incidentul
3. Data şi momentul apariţiei incidentului
4. Data şi momentul constatării incidentului
5. Data şi momentul finalizării incidentului
6. Tip incident operaţional/de securitate (echipament, soft, uman, social, procedură, cauză naturală, altele)
7. Cauza incidentului
8. Descrierea detaliată a incidentului
9. Măsurile luate pentru limitarea consecinţelor incidentului
10. Măsurile luate pentru prevenirea unor incidente similare
11. Numele, funcţia şi datele de contact ale persoanei/persoanelor care pot furniza informaţii suplimentare legate de incidentul raportat"
10. După anexa nr. 7 se introduce o nouă anexă, anexa nr. 8, cu următorul cuprins:
"
ANEXA Nr. 8
Informare referitoare la desfăşurarea proiectului-pilot de testare a instrumentelor de plată electronică
. . . . . . . . . . (numele instituţiei), înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul social în . . . . . . . . . . (ţara/judeţul), localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . ., prin . . . . . . . . . . (numele şi prenumele), în calitate de reprezentant legal notifică lansarea unui proiect-pilot pentru instrumentul(ele) de plată electronică de tip . . . . . . . . . .
Informaţii suplimentare
1. Denumirea produsului: . . . . . . . . . .
2. Perioada de testare: . . . . . . . . . . salariaţi ai prestatorului de servicii de plată număr . . . . . . . . . . alţi utilizatori (detaliaţi) număr . . . . . . . . . .
3. Masa critică de utilizatori:
□
salariaţi ai prestatorului de servicii de plată
număr . . . . . . . . . .
□
alţi utilizatori (detaliaţi)
număr . . . . . . . . . .
4. Tipuri de operaţiuni permise:
a) . . . . . . . . . .
b) . . . . . . . . . .
c) . . . . . . . . . .
d) . . . . . . . . . .
e) . . . . . . . . . .
f) . . . . . . . . . .
g) . . . . . . . . . .
h) . . . . . . . . . .
5. Limite de tranzacţionare
a) limita pe tranzacţie pentru plăţi intrabancare: . . . . . . . . . .
b) limita pe tranzacţie pentru plăţi interbancare: . . . . . . . . . .
c) limita zilnică pentru transferuri: . . . . . . . . . .
d) limita zilnică pentru schimburi valutare: . . . . . . . . . .
e) limită pe tranzacţie pentru schimburi valutare: . . . . . . . . . .
etc. . . .
6. Fondurile tranzacţionate: . . . . . . . . . .
7. Ulterior perioadei de testare accesul la funcţionalităţile testate va fi restricţionat?
□ da
□ nu
8. Tehnologiile utilizate în dezvoltarea proiectului:
| □ API |
□ Chatbot |
□ Distributed Ledger Technology (DLT) |
| □ Recunoaştere optică a caracterelor (OCR) |
□ Inteligenţă artificială (AI) |
□ Cloud Computing |
| □ Sistem de informare geografic (GIS) |
□ Contracte inteligente |
□ Big Data |
| □ Managementul datelor |
□ Învăţare automată |
□ Web-scraping |
| □ Biometrie |
□ Vizualizarea datelor |
□ Procesarea limbajului natural |
| □ Altele (indicaţi) |
|
|
9. Tipuri de inovaţie implicate:
□ Produs/serviciu/activitate nou(ă)
□ Utilizarea evolutivă sau inovatoare a produsului/serviciului/activităţii
□ Proces/procedură intern(ă) nou(ă)
□ Utilizarea evolutivă sau inovatoare a procesului/procedurii intern(e)
□ Altele (indicaţi)
Anexat solicitării se află următoarele documente:
1. . . . . . . . . . .
2. . . . . . . . . . .
3. . . . . . . . . . .
4. . . . . . . . . . .
5. . . . . . . . . . .
Persoanele de contact care pot oferi clarificări cu privire la această solicitare sunt:
1. Numele şi prenumele . . . . . . . . . .
Telefon: . . . . . . . . . ., e-mail: . . . . . . . . . .
2. Numele şi prenumele . . . . . . . . . .
Telefon: . . . . . . . . . ., e-mail: . . . . . . . . . .
Datele şi informaţiile furnizate sunt adevărate, corecte şi reflectă situaţia existentă (până) la data de . . . . . . . . . ./ . . . . . . . . . ./ . . . . . . . . . .
Semnătura reprezentatului legal al prestatorului de servicii de plată solicitant,
S.S./L.S. |
NOTĂ:
Cererea se va completa de către reprezentantul legal al prestatorului de servicii de plată, desemnat în conformitate cu prevederile Legii societăţilor nr. 31/1990, republicată, cu modificările şi completările ulterioare."
Art. 127. -
Prezentul regulament intră în vigoare în termen de 30 de zile de la data publicării în Monitorul Oficial al României, Partea I.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu |
|
Bucureşti, 30 ianuarie 2020.
Nr. 2.
ANEXA Nr. 1 15/03/2022 - ANEXA Nr. 1 a fost modificată prin Regulament 4/2022
Criterii relevante pentru calificarea incidentelor şi indicatorii pe baza cărora acestea se cuantifică
A. Operaţiuni de plată afectate
Prestatorii serviciilor de plată trebuie să stabilească valoarea totală a operaţiunilor afectate şi numărul operaţiunilor de plată compromise, inclusiv numărul operaţiunilor de plată compromise exprimate ca procent din nivelul obişnuit al operaţiunilor de plată executate cu serviciile de plată afectate.
Operaţiuni afectate reprezintă toate operaţiunile de plată naţionale şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în special, acele operaţiuni de plată care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost dispuse în mod fraudulos, indiferent dacă fondurile aferente au fost recuperate sau nu sau executarea adecvată este prevenită sau împiedicată în orice fel de incident.
Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului.
Prestatorii de servicii de plată trebuie să determine nivelul obişnuit al operaţiunilor de plată ca media zilnică calculată la nivelul anului precedent a operaţiunilor de plată naţionale şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident. Dacă prestatorii de servicii de plată nu consideră că această cifră este reprezentativă, de exemplu, din cauza caracterului sezonier, aceştia trebuie să utilizeze un alt indicator mai reprezentativ şi să prezinte Băncii Naţionale a României justificarea aferentă pentru această abordare şi să indice această abordare în câmpul "Operaţiuni de plată afectate/Comentarii" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
Dacă nu este posibil a se stabili numărul şi valoarea operaţiunii afectate, prestatorii de servicii de plată trebuie să utilizeze estimări şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
B. Utilizatori ai serviciilor de plată afectaţi
Prestatorii de servicii de plată trebuie să stabilească numărul utilizatorilor serviciilor de plată afectaţi, exprimat în termeni absoluţi şi ca procent din numărul total al utilizatorilor serviciilor de plată.
Utilizatori ai serviciilor de plată afectaţi reprezintă toţi clienţii de la nivel naţional sau din străinătate, consumatori sau persoane juridice, care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, şi care au suportat sau vor suporta probabil consecinţele incidentului. Dacă nu este posibil a se stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului, prestatorii de servicii de plată trebuie să utilizeze estimări bazate pe activitatea anterioară şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
În cazul grupurilor, fiecare prestator de servicii de plată trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui prestator de servicii de plată care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar prestatorii de servicii de plată care beneficiază de respectivele servicii operaţionale trebuie să evalueze incidentul în legătură cu utilizatorii serviciilor de plată proprii.
Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată, prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale care afectează utilizatorii serviciilor de plată cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului.
Prestatorii de servicii de plată trebuie să considere numărul total al utilizatorilor serviciilor de plată ca fiind valoarea cumulată a utilizatorilor serviciilor de plată de la nivel naţional sau din străinătate cu care au raporturi contractuale la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată.
C. Încălcarea securităţii reţelelor sau a sistemelor informatice
Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis securitatea reţelelor sau a sistemelor informatice legate de furnizarea de servicii de plată.
Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice, inclusiv a datelor, legate de furnizarea de servicii de plată.
D. Perioadă de nefuncţionare a serviciului
Prestatorii de servicii de plată trebuie să stabilească perioada de timp în care serviciul va fi probabil nefuncţional pentru utilizatorul serviciilor de plată sau în care ordinul de plată nu poate fi executat de către prestatorul de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibilă/indisponibil şi, astfel, împiedică (i) iniţierea şi/sau executarea unui serviciu de plată şi/sau (ii) accesul la un cont de plăţi.
Prestatorii de servicii de plată trebuie să calculeze perioada de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp cuprinse într-o zi lucrătoare în care aceştia desfăşoară activitate ce le permite executarea unui serviciu de plată, cât şi orele din afara programului de activitate şi perioadele de întreţinere, dacă este cazul şi dacă sunt aplicabile. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al nefuncţionării serviciilor, aceştia trebuie să calculeze în mod excepţional perioada de nefuncţionare a serviciului de la momentul în care s-a detectat nefuncţionarea.
E. Impact economic
Prestatorii de servicii de plată trebuie să stabilească la nivel global costurile financiare asociate incidentului şi să ia în calcul atât valoarea absolută, cât şi, dacă este cazul, importanţa relativă a acestor costuri în raport cu dimensiunea prestatorului de servicii de plată, respectiv cu fondurile proprii de nivelul 1 ale prestatorului de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi pe cele care sunt legate în mod indirect de incident. Printre altele, prestatorii de servicii de plată trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, prestatorii de servicii de plată trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza.
F. Nivel ridicat de escaladare internă
Prestatorii serviciilor de plată trebuie să stabilească dacă acest incident a fost sau va fi probabil raportat conducerii superioare.
Prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. Suplimentar, prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză.
G. Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate
Prestatorii de servicii de plată trebuie să stabilească implicaţiile sistemice pe care le va avea probabil incidentul, cum ar fi potenţialul acestuia de a se propaga asupra altor prestatori de servicii de plată, infrastructuri ale pieţei financiare şi/sau scheme de plată.
Prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieţei financiare, care trebuie înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care susţin serviciile lor de plată şi alţi prestatori de servicii de plată. În mod specific, prestatorii de servicii de plată trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi prestatori de servicii de plată, dacă acesta a afectat sau va afecta probabil funcţionarea infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil funcţionarea robustă a sistemului financiar în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă prestatorul de servicii de plată a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare.
H. Impact reputaţional
Prestatorii de servicii de plată trebuie să stabilească modul în care incidentul poate submina încrederea utilizatorilor de servicii de plată în prestatorul de servicii de plată însuşi şi, în general, în serviciul aferent sau piaţa în ansamblu.
Prestatorii de servicii de plată trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa lor, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, prestatorii de servicii de plată trebuie să considere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor.
Prestatorii de servicii de plată trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc.); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut.
ANEXA Nr. 2 15/03/2022 - ANEXA Nr. 2 a fost modificată prin Regulament 4/2022
Praguri ale criteriilor luate în considerare la calificarea unui incident în categoria incidentelor majore
| Criterii |
Nivel de impact redus |
Nivel de impact ridicat |
| Operaţiuni de plată afectate |
> 10% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)
şi
durata incidentului > o oră*)
sau
> 500.000 EUR
şi
durata incidentului > o oră*) |
> 25% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)
sau
> 15.000.000 EUR |
| Utilizatori ai serviciilor de plată afectaţi |
> 5.000
şi
durata incidentului > o oră*)
sau
> 10% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată
şi
durata incidentului > o oră*) |
> 50.000
sau
> 25% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată |
| Perioadă de nefuncţionare a serviciului |
> 2 ore |
Nu este cazul. |
| Încălcare a securităţii reţelelor sau a sistemelor informatice |
Da |
Nu este cazul. |
| Impact economic |
Nu este cazul. |
> Max. (0,1% fonduri proprii de nivelul 1**), 200.000 EUR)
sau
> 5.000.000 EUR |
| Nivel ridicat de escaladare internă |
Da |
Da, şi declanşarea modulului de gestionare a situaţiei de criză (sau echivalent) este cea mai probabilă. |
| Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate |
Da |
Nu este cazul. |
| Impact reputaţional |
Da |
Nu este cazul. |
*) Pragul privind durata incidentului pe o perioadă mai mare de o oră se aplică numai la incidente operaţionale care afectează capacitatea prestatorului de servicii de plată de a iniţia şi/sau procesa operaţiuni de plată.
**) Fondurile proprii de nivelul 1, astfel cum sunt definite la art. 25 din Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului din 26 iunie 2013 privind cerinţele prudenţiale pentru instituţiile şi societăţile de investiţii şi de modificare a Regulamentului (UE) nr. 648/2012.
ANEXA Nr. 3 15/03/2022 - ANEXA Nr. 3 a fost modificată prin Regulament 4/2022
Formularele de raportare a incidentelor majore
Metodologie şi instrucţiuni de completare a formularelor de raportare a incidentelor majore
Prestatorii de servicii de plată trebuie să completeze secţiunea relevantă din formularele de raport cuprinse în prezenta anexă în funcţie de etapa de raportare în care se află: secţiunea A - pentru raportul iniţial, secţiunea B - pentru rapoarte intermediare şi secţiunea C - pentru raportul final. Prestatorii de servicii de plată trebuie să utilizeze acelaşi formular atunci când transmit informaţiile referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea formularelor "A - Raport iniţial", "B - Raport intermediar" şi "C - Raport final". Toate câmpurile sunt obligatorii, exceptând cazurile în care se specifică altfel în mod clar.
Titlu
Raport iniţial: aceasta este prima notificare pe care prestatorul de servicii de plată (PSP) o transmite Băncii Naţionale a României (BNR).
Raport intermediar: acesta conţine o descriere detaliată a incidentului şi a efectelor acestuia şi reprezintă o actualizare a raportului iniţial şi intermediar, dacă este cazul, cu privire la acelaşi incident.
Raport final: acesta este ultimul raport pe care PSP îl va trimite BNR cu privire la incident, întrucât: (i) a fost deja efectuată o analiză a cauzelor principale şi estimările pot fi înlocuite cu cifre reale sau; (ii) incidentul nu mai este considerat unul major şi trebuie reclasificat drept unul minor.
Reîncadrarea incidentului drept unul minor: incidentul nu mai îndeplineşte criteriile pentru a fi considerat major şi nu este de aşteptat să le îndeplinească înainte ca acesta să fie soluţionat. PSP trebuie să explice motivele acestei reîncadrări.
Data şi ora raportului: data şi ora exactă a transmiterii raportului către BNR
Codul de identificare a incidentului (aplicabil pentru raportul intermediar şi cel final, precum şi pentru actualizări ale raportului iniţial): cod de referinţă emis de BNR la primirea raportului iniţial pentru a identifica în mod unic incidentul
A - Raport iniţial
A 1 - Detalii generale
Tip de raport:
Individual: trebuie indicat dacă raportul se referă la un singur prestator de servicii de plată afectat (PSP), după caz.
Consolidat: trebuie indicat dacă raportul se referă la mai mulţi PSP afectaţi de acelaşi incident major operaţional şi/sau de securitate, care utilizează opţiunea de raportare consolidată, după caz. Câmpurile de la secţiunea "Prestatorul de servicii de plată afectat" trebuie lăsate necompletate (cu excepţia câmpului "Ţara/Ţările afectată/afectate de incident") şi trebuie furnizată o listă a PSP incluşi în raport prin completarea tabelului aferent (Raport consolidat - lista PSP).
Prestatorul de servicii de plată afectat (PSP): se referă la PSP căruia i se întâmplă incidentul.
Denumirea prestatorului de servicii de plată: trebuie indicat numele complet al PSP care face obiectul procedurii de raportare, aşa cum apare în registrul naţional oficial al PSP aplicabil, administrat de BNR.
Numărul unic de identificare al prestatorului de servicii de plată la nivel naţional: trebuie indicat numărul de identificare unic relevant, utilizat pentru identificarea PSP, astfel:
a) numărul din registrul administrat de BNR pentru instituţiile de plată prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
b) numărul din registrul administrat de BNR pentru instituţiile emitente de monedă electronică prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
c) numărul din registrul administrat de BNR pentru furnizorii specializaţi în servicii de informare cu privire la conturi, persoane juridice române şi persoane fizice cu sediul profesional în România, prevăzute la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
d) numărul de înmatriculare din registrul instituţiilor de credit, administrat de BNR pentru entităţile care sunt instituţii de credit, persoane juridice române sau sucursale ale instituţiilor de credit din state terţe autorizate de Banca Naţională a României, prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
e) codul unic de identificare fiscală sau un element echivalent pentru entităţile care sunt furnizori de servicii poştale giro care prestează servicii de plată potrivit cadrului legislativ naţional aplicabil, prevăzute la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Conducerea/Entitatea-mamă la nivelul grupului: în cazul grupurilor de entităţi definite la art. 5 alin. (1) pct. 29 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative trebuie indicat numele entităţii conducătoare.
Ţara/Ţările afectată/afectate de incident: trebuie indicată ţara sau indicate ţările, după caz, în care s-a materializat impactul incidentului (de exemplu, sunt afectate mai multe sucursale ale unui PSP aflate în diferite ţări), indiferent de severitatea incidentului în altă ţară/alte ţări. Este posibil ca aceasta să fie sau să nu fie aceeaşi cu statul membru de origine.
Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului sau, dacă o persoană terţă raportează în numele PSP afectat, prenumele şi numele de familie ale persoanei care conduce departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat.
E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative care ar putea fi contactată de către BNR pentru a solicita informaţii despre un incident, atunci când persoana de contact principală nu este disponibilă. Dacă o parte terţă raportează în numele PSP afectat, numele şi prenumele unei persoane alternative din departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat.
E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Entitatea raportoare: această secţiune trebuie completată dacă o terţă parte îndeplineşte obligaţiile de raportare în numele PSP afectat, dacă este cazul.
Denumirea entităţii raportoare: trebuie indicată denumirea completă a entităţii care raportează incidentul, aşa cum apare în registrul naţional oficial al companiilor aplicabil.
Numărul unic de identificare al entităţii raportoare la nivel naţional: trebuie indicat numărul de identificare unic relevant utilizat în ţara în care se află partea terţă pentru a identifica entitatea care raportează incidentul.
Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului.
E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative din cadrul entităţii care raportează incidentul, care ar putea fi contactată de către Banca Naţională României atunci când persoana de contact principală nu este disponibilă.
E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare care pot fi abordate, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
A 2 - Detectarea şi încadrarea incidentului
Data şi ora detectării incidentului: trebuie indicate data şi ora la care incidentul a fost identificat pentru prima dată.
Data şi ora încadrării incidentului: trebuie indicate data şi ora la care incidentul operaţional sau de securitate a fost clasificat ca major.
Incidentul a fost detectat de către: trebuie indicat dacă incidentul a fost detectat de către un utilizator al unui serviciu de plată, o structură organizatorică din cadrul PSP (de exemplu, o funcţie de audit internă) sau o parte externă (de exemplu, un furnizor extern de servicii). În alte cazuri vă rugăm să oferiţi o explicaţie în câmpul aferent.
Tipul incidentului: trebuie indicat dacă, din informaţiile şi datele deţinute, este un incident operaţional şi/sau de securitate.
Operaţional: reprezintă un incident apărut ca urmare a unor procese inadecvate sau defectuoase, din cauza unor persoane şi sisteme ori cazuri de forţă majoră care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor.
Securitate: reprezintă un incident cauzat de accesul, utilizarea, divulgarea, perturbarea, modificarea sau distrugerea neautorizată a activelor PSP care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor. Acest lucru se poate întâmpla atunci când, printre altele, PSP se confruntă o încălcare a securităţii reţelelor sau a sistemelor informatice.
Criterii care declanşează elaborarea raportului privind incidentul major: trebuie indicat criteriul sau indicate criteriile care au generat raportarea incidentului ca major. Se pot selecta una sau mai multe opţiuni din următoarele criterii: operaţiuni de plată afectate, utilizatori ai serviciilor de plată afectaţi, perioadă de nefuncţionare a serviciului, încălcare a securităţii reţelelor sau a sistemelor informatice, impact economic, nivel ridicat de escaladare internă, alţi prestatori de servicii de plată sau alte infrastructuri relevante potenţial afectaţi/afectate şi impact reputaţional.
O descriere scurtă şi generală a incidentului: trebuie explicate pe scurt cele mai relevante aspecte ale incidentului, cu indicarea posibilelor cauze, a impactului imediat etc.
Impactul asupra altor state ale UE, dacă este cazul: trebuie indicat în cazul în care se consideră că incidentul are impact în alt stat membru sau în alte state membre şi se încadrează în termenele-limită de raportare aplicabile. Trebuie furnizată şi traducerea în limba engleză.
Raportarea incidentului către alte autorităţi: trebuie indicat dacă incidentul a fost/va fi raportat către alte autorităţi în baza altor cerinţe legale de raportare, dacă acestea sunt cunoscute la momentul raportării. Trebuie indicată fiecare autoritate naţională către care s-a efectuat/va fi efectuată raportarea.
Motivul trimiterii întârziate a raportului iniţial: trebuie indicată motivaţia pentru care prestatorul de servicii de plată necesită extinderea termenului de raportare de 24 de ore de la momentul clasificării incidentului ca major.
B - Raport intermediar
B 1 - Detalii generale
Descrierea mai detaliată a incidentului: trebuie furnizată o descriere detaliată a principalelor caracteristici ale incidentului, care să includă cel puţin următoarele: aspectele specifice şi contextul aferent, apariţia şi evoluţia incidentului, impactul, în special asupra utilizatorilor serviciilor de plată (USP), şi, după caz, comunicarea avută cu USP.
A fost considerat incidentul în legătură cu unul sau mai multe incidente anterioare?: trebuie indicat dacă incidentul este sau nu corelat cu incidente anterioare, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a fost corelat cu incidente anterioare, trebuie indicat/indicate care dintre acestea.
Au fost afectaţi sau implicaţi alţi furnizori de servicii sau terţi?: trebuie indicat dacă incidentul a afectat sau nu alţi furnizori de servicii/terţe părţi, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a afectat sau a implicat alţi furnizori de servicii/terţe părţi, trebuie indicate părţile afectate, prin enumerare, şi trebuie furnizate mai multe informaţii.
S-au aplicat măsuri de gestionare a crizei (intern şi/sau extern)?: trebuie indicat dacă a început sau nu gestionarea crizei la nivel intern şi/sau extern. Dacă gestionarea crizei a început, trebuie furnizate mai multe informaţii.
Data şi ora începerii incidentului: trebuie indicate data şi ora la care a apărut incidentul, dacă sunt cunoscute.
Data şi ora la care incidentul a fost restabilit (soluţionat) sau este de aşteptat să fie restabilit (soluţionat): trebuie indicate data şi ora când incidentul a fost sau se aşteaptă să fie restabilit şi activităţile au revenit sau se aşteaptă să revină la normal.
Arii funcţionale afectate: trebuie indicată fiecare etapă din cadrul procesului de plată care a fost afectată de incident. Se pot selecta una sau mai multe opţiuni din următoarele: autentificare/autorizare, comunicare, compensare, decontare directă, decontare indirectă, altele.
Autentificare/Autorizare: reprezintă procedurile care permit PSP să verifice identitatea unui utilizator al serviciului de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv a utilizării elementelor de securitate personalizate ale utilizatorului, şi a exprimării acordului utilizatorului serviciului de plată (sau al unui terţ care acţionează în numele utilizatorului respectiv) faţă de transferarea fondurilor.
Comunicare: reprezintă fluxul de informaţii în scopul identificării, autentificării, notificării şi comunicării dintre PSP care oferă servicii de administrare cont şi prestatorii de servicii de iniţiere a plăţii, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plăţii şi alţi PSP.
Compensare: reprezintă un proces de transmitere, reconciliere şi, în unele cazuri, confirmare a ordinelor de transfer înainte de decontare, eventual cu includerea compensării ordinelor şi cu stabilirea poziţiilor finale pentru decontare.
Decontare directă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către însuşi PSP afectat.
Decontare indirectă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către un alt PSP în numele PSP afectat.
Altele: reprezintă altă arie funcţională afectată, diferită cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Modificări aduse rapoartelor anterioare: trebuie indicate modificările faţă de informaţiile furnizate în rapoartele precedente cu privire la acelaşi incident (de exemplu, raportul iniţial şi, dacă este cazul, raportul intermediar).
B 2 - Clasificarea incidentului şi informaţii privind incidentul
Operaţiuni de plată afectate: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, precum şi valorile aferente: numărul operaţiunilor de plată afectate, procentul operaţiunilor de plată afectate în raport cu numărul operaţiunilor de plată executate cu aceleaşi servicii de plată care au fost afectate de incident, precum şi valoarea totală a operaţiunilor. PSP trebuie să prezinte valori specifice pentru aceste variabile, care pot fi valori efective sau estimări. Ca regulă generală, PSP trebuie să înţeleagă ca fiind "operaţiuni de plată afectate" toate operaţiunile interne şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în mod specific, acele operaţiuni care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost iniţiate în mod fraudulos (indiferent dacă fondurile au fost recuperate sau nu). Mai mult, PSP trebuie să înţeleagă faptul că nivelul obişnuit al operaţiunilor de plată este media anuală zilnică a operaţiunilor interne şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident, considerând anul anterior ca fiind perioada de referinţă pentru calcule. Dacă PSP nu consideră că această valoare este reprezentativă (de exemplu, din cauza caracterului sezonier), aceştia trebuie să utilizeze în schimb un alt indicator mai reprezentativ şi să prezinte autorităţii naţionale justificarea aferentă acestei abordări în câmpul "Comentarii". În cazurile în care operaţiunile de plată, denominate în alte monede decât euro, sunt afectate de incident, la calcularea pragurilor şi raportarea valorii operaţiunilor de plată, PSP trebuie să convertească valoarea acestor operaţiuni în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului.
Utilizatori ai serviciilor de plată afectaţi: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, şi valorile aferente: numărul total al utilizatorilor serviciilor de plată care au fost afectaţi şi procentul utilizatorilor serviciilor de plată afectaţi din numărul total al utilizatorilor serviciilor de plată. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să înţeleagă ca fiind "utilizatori ai serviciilor de plată afectate" toţi clienţii (de la nivel intern sau din străinătate, consumatori sau întreprinderi) care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat şi care au suportat sau vor suporta probabil consecinţele incidentului. PSP trebuie să recurgă la estimări bazate pe activitatea anterioară pentru a stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului. În cazul grupurilor, fiecare PSP trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui PSP care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar PSP care beneficiază de respectivele servicii operaţionale trebuie să evalueze, de asemenea, incidentul în legătură cu utilizatorii serviciilor de plată proprii. Mai mult, PSP trebuie să considere ca fiind numărul total al utilizatorilor serviciilor de plată valoarea agregată a utilizatorilor serviciilor de plată interni şi din străinătate faţă de care este obligat prin contract la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată.
Încălcare a securităţii reţelelor sau a sistemelor informatice: trebuie stabilit dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice (inclusiv a datelor) legate de furnizarea de servicii de plată.
Perioadă de nefuncţionare a serviciului: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valoarea aferentă: timpul total de indisponibilitate a serviciului. PSP trebuie să prezinte valori concrete pentru această variabilă, care pot fi exprimate în valori efective sau estimări. PSP trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibil şi, astfel, împiedică: (i) iniţierea şi/sau executarea unui serviciu de plată; şi/sau (ii) accesul la un cont de plăţi. PSP trebuie să calculeze durata de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp în care aceştia funcţionează conform cerinţelor de executare a serviciilor de plată, cât şi orele în care nu funcţionează, precum şi perioadele de întreţinere, dacă este cazul şi dacă există. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al indisponibilităţii serviciului, aceştia trebuie să calculeze în mod excepţional durata de nefuncţionare a serviciului de la momentul în care s-a detectat indisponibilitatea.
Impact economic: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valorile aferente: costurile directe şi indirecte exprimate în euro. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi cele care sunt legate în mod indirect de incident. Printre altele, PSP trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri specifice expertizei criminalistice sau costuri de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, PSP trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. În cazurile în care costurile sunt exprimate în alte monede decât euro, atunci când se calculează pragul şi se raportează valoarea impactului economic, PSP trebuie să convertească valoarea costurilor în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului.
Costuri directe: suma de bani (în euro) asociată costului direct al incidentului, inclusiv fonduri necesare pentru remedierea incidentului (de exemplu, fonduri sau active expropriate, costuri de înlocuire a echipamentelor hardware şi software, tarife datorate nerespectării obligaţiilor contractuale).
Costuri indirecte: suma de bani (în euro) asociată costului indirect al incidentului (de exemplu, costuri asociate reparaţiilor/compensaţiilor pentru clienţi, venituri pierdute ca urmare a oportunităţilor de afaceri ratate, posibile cheltuieli judiciare).
Nivel ridicat de escaladare internă: trebuie să se aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. În plus, PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză.
Alţi PSP sau infrastructuri relevante potenţial afectaţi/afectate: trebuie evaluat impactul incidentului asupra pieţei financiare, care este înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care o susţin, precum şi restul PSP. În mod specific, PSP trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi PSP, dacă acesta a afectat sau va afecta probabil funcţionarea fără probleme a infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil soliditatea sistemului financiar în ansamblu. PSP trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă PSP a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare.
Impact reputaţional: trebuie să se aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa PSP, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, PSP trebuie să aibă în vedere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. PSP trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc. Acoperirea mediatică în acest context nu înseamnă doar câteva comentarii negative din partea urmăritorilor, ci ar trebui să existe o raportare valabilă sau un număr semnificativ de comentarii/alerte negative); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut.
B 3 - Descrierea incidentului
Tipul incidentului: trebuie precizată natura operaţională sau de securitate a incidentului. Explicaţii suplimentare trebuie furnizate în câmpul corespunzător din raportul iniţial.
Cauza incidentului: trebuie precizată cauza incidentului sau, dacă aceasta nu se cunoaşte încă, cea mai probabilă cauză. Se pot selecta una sau mai multe opţiuni.
În curs de investigare: cauza nu a fost încă stabilită.
Acţiune răuvoitoare: acţiuni care vizează în mod intenţionat PSP. Acestea includ utilizarea de software rău intenţionat, colectarea de informaţii, intruziunile, atacurile distribuite/refuzarea serviciului (D/DoS), acţiunile interne deliberate, daunele fizice cauzate de acţiuni externe deliberate, securitatea conţinutului informaţiilor, acţiunile frauduloase şi altele. Pentru mai multe detalii, vă rugăm să consultaţi secţiunea C 2.
Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare).
Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată.
Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, puterea este întreruptă în mod accidental, iar activitatea de plată este suspendată).
Evenimente externe: cauza este asociată cu evenimente aflate în general în afara controlului direct al organizaţiei (de exemplu, dezastre naturale, o defecţiune la un furnizor de servicii tehnice).
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Incidentul v-a afectat direct sau indirect prin intermediul unui furnizor de servicii?: trebuie indicat dacă incidentul a vizat în mod direct PSP sau dacă acesta îl afectează indirect prin intermediul unei terţe părţi, dacă aceste informaţii sunt disponibile. În cazul unui impact indirect trebuie precizată denumirea furnizorului/furnizorilor de servicii.
B 4 - Impactul incidentului
Impact general: trebuie indicate dimensiunile care au fost afectate de incidentul operaţional sau de securitate. Se pot selecta una sau mai multe opţiuni.
Integritate: proprietatea de a asigura acurateţea şi caracterul complet al activelor (inclusiv al datelor).
Disponibilitate: proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată.
Confidenţialitate: proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate.
Autenticitate: reprezintă proprietatea unei surse de a fi ceea ce se pretinde a fi.
Canale comerciale afectate: trebuie precizate canalul sau canalele de interacţiune cu utilizatorii serviciilor de plată, care au fost afectate de incident. Se pot selecta una sau mai multe opţiuni.
Sucursale: sediul comercial (altul decât sediul social) care nu are personalitate juridică, prin intermediul căruia PSP execută în mod direct unele sau toate operaţiunile inerente activităţii unui PSP. Toate sediile comerciale înfiinţate în acelaşi stat membru de către un PSP al cărui sediu social se află într-un alt stat membru trebuie considerate ca fiind o singură sucursală.
Servicii bancare electronice (E-banking): utilizarea de computere pentru desfăşurarea operaţiunilor financiare prin internet.
Servicii bancare prin telefon (Telephone banking): utilizarea de telefoane pentru desfăşurarea operaţiunilor financiare.
Servicii bancare prin telefon mobil (Mobile banking): utilizarea unei anumite aplicaţii bancare pe un telefon inteligent sau un dispozitiv similar pentru desfăşurarea operaţiunilor financiare.
ATM-uri: dispozitive electromecanice care permit utilizatorilor serviciilor de plată să retragă numerar din conturile lor şi/sau să acceseze alte servicii.
Punct de vânzare: spaţiu fizic al comerciantului în care este iniţiată operaţiunea de plată.
Comerţ electronic: operaţiunea de plată este iniţiată la un punct virtual de vânzare (de exemplu, pentru operaţiunile de plată iniţiate prin internet utilizând transferuri de credit, carduri de plată, transfer de monedă electronică între conturi de monedă electronică).
Altele: canalul comercial afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Servicii de plată afectate: trebuie precizate serviciile de plată care nu funcţionează în parametri normali ca urmare a incidentului. Se pot selecta una sau mai multe opţiuni.
Depunere de numerar într-un cont de plăţi: depunerea de numerar la un PSP pentru a credita un cont de plăţi.
Retragere de numerar dintr-un cont de plăţi: solicitarea primită de către un PSP din partea utilizatorului serviciului său de plăţi pentru a furniza numerar şi a-şi debita contul de plăţi cu suma aferentă.
Operaţiuni necesare funcţionării unui cont de plăţi: acele acţiuni care trebuie să fie realizate într-un cont de plăţi pentru a activa, a dezactiva şi/sau a menţine contul respectiv (de exemplu, deschidere, blocare).
Acceptare de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte în baza unui contract cu un beneficiar al plăţii să accepte şi să proceseze operaţiuni de plată, rezultând într-un transfer al fondurilor către beneficiarul plăţii.
Operaţiuni de transfer-credit: un serviciu de plată pentru creditarea unui cont de plăţi al unui beneficiar al plăţii cu o operaţiune de plată sau o serie de operaţiuni de plată din contul de plăţi al unui plătitor de către PSP care deţine contul de plăţi al plătitorului pe baza unei instrucţiuni date de către plătitor.
Debitări directe: un serviciu de plată pentru debitarea contului de plăţi al unui plătitor, în cazul în care o operaţiune de plată este iniţiată de beneficiarul plăţii pe baza consimţământului dat de către plătitor beneficiarului plăţii, prestatorului de servicii de plată al plătitorului sau propriului prestator de servicii de plată al beneficiarului plăţii.
Operaţiuni de plată iniţiate cu card de plată: un serviciu de plată bazat pe infrastructura şi regulile schemei de plată cu cardul pentru a iniţia o operaţiune de plată prin intermediul oricărui card, oricăror mijloace de telecomunicaţii, dispozitive digitale sau informatice ori software, dacă rezultatul acestuia este o operaţiune cu cardul de debit sau cu cardul de credit. Operaţiunile de plată bazate pe card exclud operaţiunile bazate pe alte tipuri de servicii de plată.
Emitere de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte cu un plătitor în baza unui contract ca acesta să îi furnizeze un instrument de plată pentru a iniţia şi a procesa operaţiunile de plată ale plătitorului.
Remitere de bani: un serviciu de plată prin care fondurile sunt primite de la plătitor, fără crearea unui cont de plăţi pe numele plătitorului sau al beneficiarului plăţii pentru realizarea respectivei operaţiuni de plată, cu scopul unic de a transfera o sumă echivalentă beneficiarului plăţii sau unui alt prestator de servicii de plată care acţionează în numele şi pe seama beneficiarului plăţii, inclusiv în situaţia în care fondurile sunt primite în numele şi pe seama beneficiarului plăţii şi sunt puse la dispoziţia acestuia.
Servicii de iniţiere a plăţii: servicii de plată pentru iniţierea unui ordin de plată la cererea utilizatorului serviciilor de plată cu privire la un cont de plăţi deţinut la un alt prestator de servicii de plată.
Servicii de informare cu privire la conturi: servicii de plată online prin care se furnizează informaţii consolidate în legătură cu unul sau mai multe conturi de plăţi deţinute de utilizatorul serviciilor de plată la alt prestator de servicii de plată sau la mai mulţi prestatori de servicii de plată.
B 5 - Diminuarea incidentului
Ce acţiuni/măsuri au fost luate până în prezent sau sunt planificate pentru a restabili situaţia după incident?: trebuie furnizate detalii privind acţiunile care au fost luate sau prevăzute a fi luate pentru gestionarea temporară a incidentului.
Planurile de asigurare a continuităţii activităţii şi/sau de recuperare în caz de dezastre au fost activate?: trebuie precizate dacă acestea au fost activate şi, în acest caz, trebuie furnizate cele mai relevante detalii despre ceea ce s-a întâmplat, cum ar fi, când au fost activate şi în ce au constat aceste planuri.
C - Raportul final
C 1 - Detalii generale
Actualizarea informaţiilor din raportul iniţial şi raportul intermediar sau rapoartele intermediare (rezumat): trebuie precizate informaţii suplimentare cu privire la incident, inclusiv modificările specifice aduse informaţiilor furnizate în raportul intermediar. Trebuie indicate, de asemenea, orice alte informaţii relevante.
Măsurile de control iniţiale sunt în vigoare?: trebuie indicat dacă a trebuit sau nu să fie anulate sau reduse unele măsuri de control în orice moment pe durata manifestării incidentului. În caz afirmativ, trebuie indicate toate măsurile de control care au fost reinstituite şi, în caz contrar, trebuie indicate în câmpul aferent textului liber care din măsurile de control nu sunt reinstituite şi perioada suplimentară necesară pentru reinstituirea lor.
C 2 - Analiza cauzei principale şi acţiuni de urmărire
Care a fost cauza principală (dacă este deja cunoscută)?: trebuie indicată care este cauza principală a incidentului sau, dacă aceasta nu este cunoscută încă, care este cea mai probabilă cauză a incidentului. Pot fi selectate mai multe opţiuni, dar trebuie să se facă distincţie între cauza principală şi impactul incidentului:
Acţiune răuvoitoare: orice acţiune externă sau internă care vizează în mod intenţionat PSP. Trebuie să selecteze una sau mai multe opţiuni din următoarele categorii:
Software rău intenţionat: de exemplu, un virus informatic, un vierme informatic, Trojan, spyware
Colectare de informaţii: de exemplu, scanare, sniffing, inginerie socială
Intruziuni: de exemplu, compromiterea unui cont privilegiat, compromiterea unui cont neprivilegiat, compromiterea aplicaţiei, bot
Atac distribuit de indisponibilizare a serviciului (D/DoS): o încercare de a indisponibiliza un serviciu online prin încărcarea acestuia cu trafic (număr mare de solicitări) din mai multe surse
Acţiuni interne deliberate: de exemplu, sabotaj, furt
Daunele fizice cauzate de acţiuni externe deliberate: de exemplu, sabotaj, atac fizic al sediilor/centrelor de date
Securitatea conţinutului informaţiilor: acces neautorizat la informaţii, modificarea neautorizată a informaţiilor
Acţiuni frauduloase: utilizare neautorizată a resurselor, drepturilor de autor, masquerada, phishing
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Monitorizare şi control deficitare: de exemplu, în ceea ce priveşte operaţiunile în curs de desfăşurare, datele de expirare a unui certificat, datele de expirare a unei licenţe, datele de expirare a unor patch-uri, valorile maxime definite ale contorului, nivelurile de completare a bazei de date, gestionarea drepturilor utilizatorilor, principiul controlului dual.
Aspecte de comunicare: de exemplu, între participanţii la piaţă sau în cadrul organizaţiei.
Operaţiuni necorespunzătoare: de exemplu, nu există niciun schimb de certificate, memoria cache este complet utilizată.
Gestionarea inadecvată a schimbării: de exemplu, erori de configurare neidentificate, instalare, inclusiv actualizări, probleme de întreţinere, erori neaşteptate.
Neadecvare a procedurilor şi a documentaţiei interne: de exemplu, lipsa de transparenţă în ceea ce priveşte funcţionalităţile, procesele şi apariţia unei funcţionări defectuoase, absenţa documentaţiei.
Aspecte legate de recuperare: de exemplu, gestionare a situaţiilor de urgenţă, redundanţă inadecvată.
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată. Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Eşecul echipamentului: defectarea echipamentelor tehnologice fizice implicate în desfăşurarea proceselor şi/sau stocarea datelor necesare PSP pentru a-şi desfăşura serviciile aferente plăţilor (de exemplu, defectarea unităţilor de hard-disk, a centrelor de date, a altor infrastructuri)
Eşecul reţelei: funcţionarea necorespunzătoare a reţelelor de telecomunicaţii, publice sau private, care permit schimbul de date şi informaţii (de exemplu, prin internet) în timpul desfăşurării proceselor aferente plăţilor
Deficienţe ale bazei de date: structura datelor care stochează informaţiile cu caracter personal şi informaţiile legate de plăţi necesare pentru executarea operaţiunilor de plată
Eşecul aplicaţiei/software: defecţiuni ale programelor, ale sistemelor de operare etc. care sprijină furnizarea de servicii de plată de către PSP (de exemplu, defecţiuni, funcţii necunoscute)
Daună fizică: de exemplu, daune neintenţionate cauzate de condiţii inadecvate, lucrări de construcţii.
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, energia electrică este întreruptă în mod accidental, iar activitatea de plată este suspendată). Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Neintenţionată: de exemplu, greşeli, erori, omisiuni, lipsa de experienţă şi de cunoştinţe
Lipsă de acţiune: de exemplu, din cauza lipsei de abilităţi, competenţe, cunoştinţe, experienţă, conştientizare
Resurse insuficiente: de exemplu, lipsa resurselor umane, disponibilitatea personalului
Altele: cauza incidentului nu este niciuna dintre toate cele indicate mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eveniment extern: cauza este asociată cu evenimente aflate în general în afara controlului direct al PSP. Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Eşec la nivelul unui furnizor/prestator de servicii tehnice: de exemplu, întreruperi ale alimentării cu energie electrică, întreruperi ale internetului, aspecte juridice, aspecte legate de afaceri, dependenţe ale serviciului
Forţă majoră: de exemplu, întreruperea alimentării cu energie electrică, incendii, cauze naturale precum cutremure, inundaţii, precipitaţii abundente, vânturi puternice
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Alte informaţii relevante privind cauza principală: trebuie furnizate orice detalii suplimentare privind cauza principală, inclusiv concluziile preliminare rezultate din analiza cauzelor principale.
Acţiuni/măsuri corective principale luate sau planificate pentru prevenirea reapariţiei incidentului în viitor, dacă se cunosc deja: trebuie descrise acţiunile principale care au fost luate sau sunt prevăzute a fi luate pentru a preveni reapariţia incidentului în viitor.
C 3 - Informaţii suplimentare
Incidentul a fost comunicat altor prestatori de servicii de plată în scopul informării?: trebuie furnizate informaţii cu privire la comunicarea incidentului altor PSP contactaţi, pe cale oficială sau neoficială, prezentând detalii despre PSP care au fost informaţi, informaţiile care au fost comunicate şi motivele care au stat la baza comunicării acestor informaţii.
A fost luată vreo măsură cu caracter legal împotriva prestatorului de servicii de plată?: trebuie precizat dacă la data completării raportului final PSP a făcut obiectul vreunei acţiuni în justiţie (de exemplu, a fost adus în instanţă sau şi-a pierdut licenţa) ca urmare a manifestării incidentului.
Evaluarea eficacităţii măsurilor aplicate: trebuie indicată, dacă este cazul, o autoevaluare a eficacităţii măsurilor întreprinse pe durata incidentului, inclusiv a lecţiilor învăţate în urma incidentului.
ANEXA Nr. 4
Metodologia şi instrucţiunile aferente raportării de date privind fraudele
1. Operaţiuni de plată şi operaţiuni de plată frauduloase
1.1. Clarificarea unor termeni:
a) "Pierderi cauzate de fraudă în funcţie de purtătorul răspunderii" se referă la pierderile înregistrate de către prestatorul de servicii de plată care a emis raportul, de utilizatorul serviciului său de plată sau de alţii, reflectând impactul real al fraudei pe baza fluxului de numerar. Având în vedere că înregistrarea pierderilor financiare poate fi disociată din punct de vedere temporal de operaţiunile frauduloase concrete şi pentru a evita revizuirea datelor raportate strict din cauza acestui decalaj temporal imanent, pierderile finale cauzate de fraudă vor fi raportate în perioada în care sunt înregistrate în evidenţele contabile ale prestatorului de servicii de plată. Cifrele finale corespunzând pierderilor cauzate de fraudă nu trebuie să ia în calcul despăgubirile acordate de agenţiile de asigurare, dat fiind că nu au legătură cu prevenirea fraudelor în sensul Legii privind serviciile de plată şi pentru modificarea unor acte normative;
b) "Modificarea unui ordin de plată de către autorul fraudei" este un tip de operaţiune neautorizată şi se referă la situaţia în care autorul fraudei interceptează şi modifică un ordin de plată legitim la un moment dat în timpul comunicării electronice între dispozitivul plătitorului şi prestatorul de servicii de plată [de exemplu, prin programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod legitim (atacuri de tip "omul din mijloc")] sau modifică instrucţiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea şi decontarea ordinului de plată;
c) "Emiterea unui ordin de plată de către autorul fraudei" este un tip de operaţiune neautorizată şi se referă la situaţia în care un ordin de plată fals este emis de autorul fraudei după ce a obţinut datele sensibile privind plăţile plătitorului sau ale beneficiarului plăţii prin mijloace frauduloase.
1.2. Raportarea operaţiunilor de transfer credit
Datele raportate în legătură cu operaţiunile de plată de tip transfer credit includ informaţii cu privire la operaţiunile de plată iniţiate prin intermediul ATM-urilor cu funcţie de transfer credit, precum şi informaţii cu privire la operaţiunile de plată de acest tip prin care se decontează soldul operaţiunilor efectuate prin intermediul cardurilor cu funcţie de credit sau de debit amânat.
1.3. Raportarea operaţiunilor de debitare directă
Datele raportate în legătură cu operaţiunile de plată de tip debitare directă includ informaţii cu privire la operaţiunile de plată de acest tip prin care se decontează soldul operaţiunilor efectuate prin intermediul cardurilor cu funcţie de credit sau de debit amânat.
1.4. Raportarea operaţiunilor de plăţi cu cardul
Operaţiunile de plată cu cardul vor include date despre toate operaţiunile de plată efectuate cu un card de plăţi, electronice sau nu. Plăţile efectuate cu carduri care au doar funcţie de monedă electronică (de exemplu, carduri preplătite) nu se raportează în cadrul categoriei de plăţi cu cardul, ci se raportează ca plăţi cu monedă electronică.
1.5. Raportarea operaţiunilor de remitere de bani
a) În cazul operaţiunilor de remitere de bani când fondurile au fost transferate de la prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remitere de bani al plătitorului (în cadrul operaţiunii de remitere de bani), cel care trebuie să raporteze operaţiunile de plată efectuate de către prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remiteri de bani este prestatorul de servicii de plată al plătitorului şi nu prestatorul de servicii de remitere de bani. Aceste operaţiuni nu trebuie raportate de prestatorul de servicii de plată al beneficiarului operaţiunii de remitere de bani.
b) Operaţiunile şi operaţiunile frauduloase prevăzute la art. 99, în care fondurile au fost transferate de către prestatorul de servicii de remiteri de bani din conturile sale în contul unui beneficiar al plăţii, inclusiv prin acorduri prin care se compensează valoarea mai multor operaţiuni de plată (acorduri de compensare), vor fi raportate de prestatorul de servicii de remitere de bani conform formularului "G - Defalcarea datelor pentru operaţiunile de remitere de bani" din anexa nr. 5 la regulament.
1.6. Operaţiunile de plată şi operaţiunile frauduloase de plată în care moneda electronică este transferată de un prestator de servicii de emitere de monedă electronică în contul unui beneficiar al plăţii, inclusiv în cazurile în care prestatorul de servicii de plată al plătitorului este acelaşi cu prestatorul de servicii de plată al beneficiarului, vor fi raportate de prestatorul de servicii de emitere de monedă electronică utilizând formularul «F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică» din anexa nr. 5 la regulament. În cazurile în care prestatorii de servicii de plată sunt diferiţi, plata va fi raportată numai de prestatorul de servicii de plată al plătitorului, pentru a evita dubla raportare.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
2. Cerinţe generale privind datele raportate
2.1. Prestatorul de servicii de plată va raporta numai operaţiunile de plată care au fost executate, inclusiv acele operaţiuni care au fost iniţiate de un prestator de servicii de iniţiere a plăţii. Nu trebuie incluse operaţiunile frauduloase preîntâmpinate care au fost blocate înainte de a fi executate din cauza suspiciunii de fraudă.
2.2. Prestatorii de servicii de plată trebuie să identifice defalcarea sau defalcările de date aplicabile, în funcţie de serviciul sau serviciile şi instrumentul sau instrumentele de plată oferite, şi să comunice datele relevante autorităţii competente.
2.3. În cazul unei serii de operaţiuni de plată executate sau operaţiuni de plată frauduloase executate, prestatorii de servicii de plată vor considera fiecare operaţiune de plată sau operaţiune de plată frauduloasă din seria respectivă ca fiind una singură.
2.4. Prestatorul de servicii de plată poate raporta zero ("0") atunci când nu există operaţiuni sau operaţiuni frauduloase pentru un anumit indicator în perioada de raportare stabilită. Atunci când un prestator de servicii de plată nu poate raporta date pentru o anumită defalcare fiindcă respectiva defalcare de date nu este aplicabilă acelui PSP, datele vor fi raportate ca "NA".
2.5 În scopul de a evita raportarea dublă, prestatorul de servicii de plată al plătitorului va transmite datele în calitatea sa de emitent (sau iniţiator). Prin excepţie, datele referitoare la plăţile cu cardul vor fi raportate atât de prestatorul de servicii de plată emitent, cât şi de prestatorul de servicii de plată care acceptă operaţiunea de plată. Cele două perspective trebuie raportate separat, cu defalcări diferite, conform formularelor corespunzătoare prevăzute în anexa nr. 5 la regulament.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
2.6. În cazul în care în operaţiunea de plată sunt implicaţi mai mulţi prestatori de servicii de plată care acceptă plata, cel care va raporta este prestatorul care are relaţia contractuală cu beneficiarul plăţii.
2.7. În ceea ce priveşte operaţiunile de debitare directă, acestea trebuie raportate numai de către prestatorul de servicii de plată al beneficiarului plăţii, având în vedere că aceste operaţiuni sunt iniţiate de beneficiarul plăţii.
2.8. Pentru a evita raportarea dublă la calculul totalului operaţiunilor de plată şi operaţiunilor frauduloase de plată efectuate cu toate instrumentele de plată, prestatorul de servicii de plată care execută operaţiunile de transfer de credit iniţiate de un prestator de servicii de iniţiere a plăţii trebuie să precizeze defalcarea corespunzătoare volumului şi valorii totalului operaţiunilor de plată şi operaţiunilor de plată frauduloase care au fost iniţiate prin intermediul unui prestator de servicii de iniţiere a plăţii, pentru datele raportate în cadrul formularului "A - Defalcarea datelor pentru operaţiunile de transfer credit" din anexa nr. 5 la regulament.
3. Defalcarea geografică
3.1. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată la distanţă pe bază de card, «operaţiunile de plată naţionale» se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului/emitent şi prestatorul de servicii de plată al beneficiarului/acceptant se află în România.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
3.2. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, «operaţiunile de plată naţionale» se referă la operaţiunile de plată în care prestatorul de servicii de plată emitent, prestatorul de servicii de plată acceptant şi punctul de vânzare sau bancomatul folosit se află în România.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
3.3. Pentru sucursalele din România ale prestatorilor de servicii de plată operaţiunile de plată naţionale se referă la operaţiunile de plată în care atât prestatorii de servicii de plată ai plătitorilor, cât şi cei ai beneficiarilor plăţilor se află în România.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
3.4. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată cu cardul la distanţă, «operaţiunea de plată transfrontalieră în cadrul SEE» se referă la o operaţiune de plată iniţiată de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului/emitent şi prestatorul de servicii de plată al beneficiarului plăţii/acceptant se află în state membre diferite, dintre care unul este situat în România.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
3.5. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, «operaţiunile de plată transfrontaliere în cadrul SEE» se referă la operaţiunile de plată în care:16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
a) prestatorul de servicii de plată emitent şi prestatorul de servicii de plată acceptant se află în state membre diferite, dintre care unul este situat în România; sau
b) prestatorul de servicii de plată emitent se află într-un alt stat membru decât punctul de vânzare sau bancomatul, dintre care unul este situat în România.
3.6. «Operaţiunile de plată transfrontaliere în afara SEE» se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care fie prestatorul de servicii de plată al plătitorului, fie cel al beneficiarului plăţii se află într-un stat terţ, iar celălalt se află în România.16/06/2021 - subpunctul a fost modificat prin Regulament 2/2021
3.7. Un prestator de servicii de plată care oferă servicii de iniţiere a plăţii va raporta operaţiunile de plată şi operaţiunile de plată frauduloase executate pe care le-a iniţiat, în conformitate cu următoarele:
a) "Operaţiunile de plată naţionale" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii şi prestatorul de servicii de plată care oferă servicii de administrare cont se află în România;
b) "Operaţiunile de plată transfrontaliere în cadrul SEE" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii şi prestatorul de servicii de plată care oferă servicii de administrare cont se află în state membre diferite, dintre care unul este situat în România;
c) "Operaţiunile de plată transfrontaliere în state terţe" se referă la operaţiunile de plată în care prestatorul de servicii de iniţiere a plăţii se află în România, iar prestatorul de servicii de plată care oferă servicii de administrare cont se află într-un stat terţ.
ANEXA Nr. 5 16/06/2021 - ANEXA Nr. 5 a fost modificată prin Regulament 2/2021
Formulare de raportare a datelor privind fraudele
A - Defalcarea datelor pentru operaţiunile de transfer credit
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 1. |
Operaţiuni de transfer credit, din care: |
|
|
| 1.1 |
- Iniţiate de prestatorii de servicii de iniţiere a plăţii |
|
|
| 1.2 |
- Iniţiate prin mijloace neelectronice |
|
|
| 1.3 |
- Iniţiate prin mijloace electronice, din care: |
|
|
| 1.3.1 |
- Iniţiate print-un canal de plată la distanţă, din care: |
|
|
| 1.3.1.1 |
Pentru care se aplică autentificarea strictă a clienţilor |
|
|
|
Din care operaţiuni frauduloase de transfer credit în funcţie de tipul fraudei |
|
|
| 1.3.1.1.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.1.1.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.1.1.3 |
- Manipularea plătitorului de către autorul fraudei pentru a emite un ordin de plată |
|
|
| 1.3.1.2 |
Pentru care nu se aplică autentificarea strictă a clienţilor |
|
|
|
Din care operaţiuni frauduloase de transfer credit în funcţie de tipul fraudei |
|
|
| 1.3.1.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.1.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.1.2.3 |
- Manipularea plătitorului de către autorul fraudei pentru a emite un ordin de plată |
|
|
|
Din care defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 1.3.1.2.4 |
- Valoare scăzută* |
|
|
| 1.3.1.2.5 |
- Plată către sine însuşi** |
|
|
| 1.3.1.2.6 |
- Beneficiar agreat*** |
|
|
| 1.3.1.2.7 |
- Operaţiune recurenta**** |
|
|
| 1.3.1.2.8 |
- Utilizarea de procese şi protocoale de plată sigure în mediul întreprinderilor***** |
|
|
| 1.3.1.2.9 |
- Analiza de risc a operaţiunilor****** |
|
|
| 1.3.2 |
- Iniţiate printr-un canal de plată neefectuată la distanţă, din care: |
|
|
| 1.3.2.1 |
Pentru care se aplică autentificarea strictă a clienţilor |
|
|
|
Din care operaţiuni frauduloase de transfer credit în funcţie de tipul fraudei |
|
|
| 1.3.2.1.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.2.1.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.2.1.3 |
- Manipularea plătitorului de către autorul fraudei pentru a emite un ordin de plată |
|
|
| 1.3.2.2 |
Pentru care nu se aplică autentificarea strictă a clienţilor |
|
|
|
Din care operaţiuni frauduloase de transfer credit în funcţie de tipul fraudei |
|
|
| 1.3.2.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.2.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 1.3.2.2.3 |
- Manipularea plătitorului de către autorul fraudei pentru a emite un ordin de plată |
|
|
|
Din care defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 1.3.2.2.4 |
- Plată către sine însuşi** |
|
|
| 1.3.2.2.5 |
- Beneficiar agreat*** |
|
|
| 1.3.2.2.6 |
- Operaţiune recurentă**** |
|
|
| 1.3.2.2.7 |
- Plată contactless cu valoare scăzută******* |
|
|
| 1.3.2.2.8 |
- Terminal neasistat pentru bilete de transport şi taxe de parcare******** |
|
|
* Art. 16 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
** Art. 15 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
*** Art. 13 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
**** Art. 14 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
***** Art. 17 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
****** Art. 18 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******* Art. 11 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******** Art. 12 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
| Utilizatorul serviciului de plată (plătitor) |
| Altele |
Reguli de validare
1 = 1.2 + 1.3; 1.1 nu echivalează cu 1, dar este o submulţime a lui 1
1.3 = 1.3.1 + 1.3.2
1.3.1 = 1.3.1.1 + 1.3.1.2
1.3.2 = 1.3.2.1 + 1.3.2.2
valoarea operaţiunii de plată frauduloase pentru 1.3.1.1 = 1.3.1.1.1 + 1.3.1.1.2 + 1.3.1.1.3
valoarea operaţiunii de plată frauduloase pentru 1.3.1.2 = 1.3.1.2.1 + 1.3.1.2.2 + 1.3.1.2.3
valoarea operaţiunii de plată frauduloase pentru 1.3.2.1 = 1.3.2.1.1 + 1.3.2.1.2 + 1.3.2.1.3
valoarea operaţiunii de plată frauduloase pentru 1.3.2.2 = 1.3.2.2.1 + 1.3.2.2.2 + 1.3.2.2.3
1.3.1.2 = 1.3.1.2.4 + 1.3.1.2.5 + 1.3.1.2.6 + 1.3.1.2.7 + 1.3.1.2.8 + 1.3.1.2.9
1.3.2.2 = 1.3.2.2.4 + 1.3.2.2.5 + 1.3.2.2.6 + 1.3.2.2.7 + 1.3.2.2.8
B - Defalcarea datelor pentru operaţiunile executate prin debitare directă
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 2. |
Debitare directă, din care: |
|
|
| 2.1 |
- Pentru care consimţământul a fost acordat prin mandat electronic, din care: |
|
|
|
Debite directe frauduloase în funcţie de tipul fraudei: |
|
|
| 2.1.1.1 |
- Operaţiuni de plată neautorizate |
|
|
| 2.1.1.2 |
- Manipularea plătitorului de către autorul fraudei pentru a-şi da consimţământul pentru debitul direct |
|
|
| 2.2 |
Pentru care consimţământul a fost acordat altfel decât prin mandat electronic, din care: |
|
|
|
Debite directe frauduloase în funcţie de tipul fraudei: |
|
|
| 2.2.1.1 |
- Operaţiuni de plată neautorizate |
|
|
| 2.2.1.2 |
- Manipularea plătitorului de către autorul fraudei pentru a-şi da consimţământul pentru debitul direct |
|
|
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
|
| Utilizatorul serviciului de plată (beneficiar) |
|
| Altele |
|
Reguli de validare
2 = 2.1 + 2.2
valoarea operaţiunii de plată frauduloase pentru 2.1 = 2.1.1.1 + 2.1.1.2
valoarea operaţiunii de plată frauduloase pentru 2.2 = 2.2.1.1 + 2.2.1.2
C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată-emitent
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 3 |
Plăţi cu cardul (cu excepţia cardurilor care au numai funcţia de monedă electronică), din care: |
|
|
| 3.1 |
- Iniţiate prin mijloace neelectronice |
|
|
| 3.2 |
- Iniţiate prin mijloace electronice, din care: |
|
|
| 3.2.1 |
- Iniţiate print-un canal de plată la distanţă, din care: |
|
|
| 3.2.1.1 |
Defalcate după funcţia cardului: |
|
|
| 3.2.1.1.1 |
- Plăţi efectuate cu carduri cu funcţie de debit |
|
|
| 3.2.1.1.2 |
- Plăţi efectuate cu carduri cu funcţie de credit sau debit amânat |
|
|
| 3.2.1.2 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 3.2.1.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.1.2.1.1 |
- Card pierdut sau furat |
|
|
| 3.2.1.2.1.2 |
- Card neprimit |
|
|
| 3.2.1.2.1.3 |
- Card contrafăcut |
|
|
| 3.2.1.2.1.4 |
- Furtul datelor de pe card |
|
|
| 3.2.1.2.1.5 |
- Altele |
|
|
| 3.2.1.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.1.2.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
| 3.2.1.3 |
Pentru care nu se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 3.2.1.3.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.1.3.1.1 |
- Card pierdut sau furat |
|
|
| 3.2.1.3.1.2 |
- Card neprimit |
|
|
| 3.2.1.3.1.3 |
- Card contrafăcut |
|
|
| 3.2.1.3.1.4 |
- Furtul datelor de pe card |
|
|
| 3.2.1.3.1.5 |
- Altele |
|
|
| 3.2.1.3.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.1.3.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 3.2.1.3.4 |
- Valoare scăzută* |
|
|
| 3.2.1.3.5 |
- Beneficiar agreat*** |
|
|
| 3.2.1.3.6 |
- Operaţiune recurentă**** |
|
|
| 3.2.1.3.7 |
- Utilizarea de procese şi protocoale de plată sigure în mediul întreprinderilor***** |
|
|
| 3.2.1.3.8 |
- Analiza de risc a operaţiunilor****** |
|
|
| 3.2.1.3.9 |
- Tranzacţii iniţiate de comerciant********* |
|
|
| 3.2.1.3.10 |
- Altele |
|
|
| 3.2.2 |
- Iniţiate printr-un canal de plată neefectuată la distanţă, din care: |
|
|
|
Defalcate după funcţia cardului |
|
|
| 3.2.2.1.1 |
- Plăţi efectuate cu carduri cu funcţie de debit |
|
|
| 3.2.2.1.2 |
- Plăţi efectuate cu carduri cu funcţie de credit sau debit amânat |
|
|
| 3.2.2.2 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 3.2.2.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.2.2.1.1 |
- Card pierdut sau furat |
|
|
| 3.2.2.2.1.2 |
- Card neprimit |
|
|
| 3.2.2.2.1.3 |
- Card contrafăcut |
|
|
| 3.2.2.2.1.4 |
- Altele |
|
|
| 3.2.2.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.2.2.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
| 3.2.2.3 |
Pentru care nu se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 3.2.2.3.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.2.3.1.1 |
- Card pierdut sau furat |
|
|
| 3.2.2.3.1.2 |
- Card neprimit |
|
|
| 3.2.2.3.1.3 |
- Card contrafăcut |
|
|
| 3.2.2.3.1.4 |
- Altele |
|
|
| 3.2.2.3.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 3.2.2.3.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 3.2.2.3.4 |
- Beneficiar agreat*** |
|
|
| 3.2.2.3.5 |
- Operaţiune recurentă**** |
|
|
| 3.2.2.3.6 |
- Plată contactless cu valoare scăzută******* |
|
|
| 3.2.2.3.7 |
- Terminal neasistat pentru bilete de transport şi taxe de parcare******** |
|
|
| 3.2.2.3.8 |
- Altele |
|
|
* Art. 16 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului
cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
*** Art. 13 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
**** Art. 14 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
***** Art. 17 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
***** Art. 18 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******* Art. 11 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******** Art. 12 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
********* Tranzacţii de plată pe bază de card care îndeplinesc condiţiile specificate de către Comisia Europeană în Q&A 2018 4131 şi Q&A 2018 4031 sunt considerate ca fiind iniţiate de către beneficiar şi ca urmare nu se supun prevederilor referitoare la aplicarea autentificării stricte a clienţilor în conformitate cu art. 97 din Directiva (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare, transpus prin prevederile art. 220 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
|
| Utilizatorul serviciului de plată (plătitor) |
|
| Altele |
|
Reguli de validare
3 = 3.1 + 3.2
3.2 = 3.2.1 + 3.2.2
3.2.1 = 3.2.1.1.1 + 3.2.1.1.2
3.2.1 = 3.2.1.2 + 3.2.1.3 3.2.2 = 3.2.2.1.1 + 3.2.2.1.2
3.2.2 = 3.2.2.2 + 3.2.2.3
valoarea operaţiunii de plată frauduloase pentru 3.2.1.2 = 3.2.1.2.1 + 3.2.1.2.2 + 3.2.1.2.3
valoarea operaţiunii de plată frauduloase pentru 3.2.1.3 = 3.2.1.3.1 + 3.2.1.3.2 + 3.2.1.3.3
valoarea operaţiunii de plată frauduloase pentru 3.2.2.2 = 3.2.2.2.1 + 3.2.2.2.2 + 3.2.2.2.3
valoarea operaţiunii de plată frauduloase pentru 3.2.2.3 = 3.2.2.3.1 + 3.2.2.3.2 + 3.2.2.3.3
valoarea operaţiunii de plată frauduloase pentru 3.2.1.2.1 = 3.2.1.2.1.1 + 3.2.1.2.1.2 + 3.2.1.2.1.3 + 3.2.1.2.1.4 + 3.2.1.2.1.5
valoarea operaţiunii de plată frauduloase pentru 3.2.1.3.1 = 3.2.1.3.1.1 + 3.2.1.3.1.2 + 3.2.1.3.1.3 + 3.2.1.3.1.4 + 3.2.1.3.1.5
valoarea operaţiunii de plată frauduloase pentru 3.2.2.2.1 = 3.2.2.2.1.1 + 3.2.2.2.1.2 + 3.2.2.2.1.3 + 3.2.2.2.1.4
valoarea operaţiunii de plată frauduloase pentru 3.2.2.3.1 = 3.2.2.3.1.1 + 3.2.2.3.1.2 + 3.2.2.3.1.3 + 3.2.2.3.1.4
3.2.1.3 = 3.2.1.3.4 + 3.2.1.3.5 + 3.2.1.3.6 + 3.2.1.3.7 + 3.2.1.3.8 + 3.2.1.3.9 + 3.2.1.3.10
3.2.2.3 = 3.2.2.3.4 + 3.2.2.3.5 + 3.2.2.3.6 + 3.2.2.3.7 + 3.2.2.3.8
D - Defalcarea datelor privitoare la operaţiunile de plată cu cardul care vor fi raportate de către prestatorul de servicii de plată acceptant (cu o relaţie contractuală cu utilizatorul serviciului de plată)
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 4 |
Plăţi cu cardul acceptate (cu excepţia cardurilor care au numai funcţia de monedă electronică), din care: |
|
|
| 4.1 |
- Iniţiate prin mijloace neelectronice |
|
|
| 4.2 |
- Iniţiate prin mijloace electronice, din care: |
|
|
| 4.2.1 |
- Acceptate print-un canal la distanţă, din care: |
|
|
| 4.2.1.1 |
Defalcate după funcţia cardului: |
|
|
| 4.2.1.1.1 |
- Plăţi efectuate cu carduri cu funcţie de debit |
|
|
| 4.2.1.1.2 |
- Plăţi efectuate cu carduri cu funcţie de credit sau debit amânat |
|
|
| 4.2.1.2 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 4.2.1.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.1.2.1.1 |
- Card pierdut sau furat |
|
|
| 4.2.1.2.1.2 |
- Card neprimit |
|
|
| 4.2.1.2.1.3 |
- Card contrafăcut |
|
|
| 4.2.1.2.1.4 |
- Furtul datelor de pe card |
|
|
| 4.2.1.2.1.5 |
- Altele |
|
|
| 4.2.1.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.1.2.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
| 4.2.1.3 |
Pentru care nu se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 4.2.1.3.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.1.3.1.1 |
- Card pierdut sau furat |
|
|
| 4.2.1.3.1.2 |
- Card neprimit |
|
|
| 4.2.1.3.1.3 |
- Card contrafăcut |
|
|
| 4.2.1.3.1.4 |
- Furtul datelor de pe card |
|
|
| 4.2.1.3.1.5 |
- Altele |
|
|
| 4.2.1.3.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.1.3.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 4.2.1.3.4 |
- Valoare scăzută* |
|
|
| 4.2.1.3.5 |
- Operaţiune recurentă**** |
|
|
| 4.2.1.3.6 |
- Analiza de risc a operaţiunilor****** |
|
|
| 4.2.1.3.7 |
- Tranzacţii iniţiate de comerciant********* |
|
|
| 4.2.1.3.8 |
- Altele |
|
|
| 4.2.2 |
- Acceptate printr-un canal de plată neefectuată la distanţă, din care: |
|
|
| 4.2.2.1 |
Defalcate după funcţia cardului |
|
|
| 4.2.2.1.1 |
- Plăţi efectuate cu carduri cu funcţie de debit |
|
|
| 4.2.2.1.2 |
- Plăţi efectuate cu carduri cu funcţie de credit sau debit amânat |
|
|
| 4.2.2.2 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 4.2.2.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.2.2.1.1 |
- Card pierdut sau furat |
|
|
| 4.2.2.2.1.2 |
- Card neprimit |
|
|
| 4.2.2.2.1.3 |
- Card contrafăcut |
|
|
| 4.2.2.2.1.4 |
- Altele |
|
|
| 4.2.2.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.2.2.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
| 4.2.2.3 |
Pentru care nu se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Plăţi cu cardul frauduloase în funcţie de tipul fraudei: |
|
|
| 4.2.2.3.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.2.3.1.1 |
- Card pierdut sau furat |
|
|
| 4.2.2.3.1.2 |
- Card neprimit |
|
|
| 4.2.2.3.1.3 |
- Card contrafăcut |
|
|
| 4.2.2.3.1.4 |
- Altele |
|
|
| 4.2.2.3.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 4.2.2.3.3 |
- Manipularea plătitorului să facă o plată cu cardul |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 4.2.2.3.4 |
- Operaţiune recurentă**** |
|
|
| 4.2.2.3.5 |
- Plata contactless cu valoare scăzută******* |
|
|
| 4.2.2.3.6 |
- Terminal neasistat pentru bilete de transport şi taxe de parcare******** |
|
|
| 4.2.2.3.7 |
- Altele |
|
|
* Art. 16 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
**** Art. 14 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
****** Art. 18 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******* Art. 11 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******** Art. 12 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
********* Tranzacţii de plată pe bază de card care îndeplinesc condiţiile specificate de către Comisia Europeană în Q&A 2018 4131 şi Q&A 2018 4031 sunt considerate ca fiind iniţiate de către beneficiar şi ca urmare nu se supun prevederilor referitoare la aplicarea autentificării stricte a clienţilor în conformitate cu art. 97 din Directiva (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare, transpus prin prevederile art. 220 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
| Utilizatorul serviciului de plată (beneficiar) |
| Altele |
Reguli de validare
4 = 4.1 + 4.2
4.2 = 4.2.1 + 4.2.2
4.2.1 = 4.2.1.1.1 + 4.2.1.1.2
4.2.1 = 4.2.1.2 + 4.2.1.3
4.2.2 = 4.2.2.1.1 + 4.2.2.1.2
4.2.2 = 4.2.2.2 + 4.2.2.3
valoarea operaţiunii de plată frauduloase pentru 4.2.1.2 = 4.2.1.2.1 + 4.2.1.2.2 + 4.2.1.2.3
valoarea operaţiunii de plată frauduloase pentru 4.2.1.3 = 4.2.1.3.1 + 4.2.1.3.2 + 4.2.1.3.3
valoarea operaţiunii de plată frauduloase pentru 4.2.2.2 = 4.2.2.2.1 + 4.2.2.2.2 + 4.2.2.2.3
valoarea operaţiunii de plată frauduloase pentru 4.2.2.3 = 4.2.2.3.1 + 4.2.2.3.2 + 4.2.2.3.3
valoarea operaţiunii de plată frauduloase pentru 4.2.1.2.1 = 4.2.1.2.1.1 + 4.2.1.2.1.2 + 4.2.1.2.1.3 + 4.2.1.2.1.4 + 4.2.1.2.1.5
valoarea operaţiunii de plată frauduloase pentru 4.2.1.3.1 = 4.2.1.3.1.1 + 4.2.1.3.1.2 + 4.2.1.3.1.3 + 4.2.1.3.1.4 + 4.2.1.3.1.5
valoarea operaţiunii de plată frauduloase pentru 4.2.2.2.1 = 4.2.2.2.1.1 + 4.2.2.2.1.2 + 4.2.2.2.1.3 + 4.2.2.2.1.4
valoarea operaţiunii de plată frauduloase pentru 4.2.2.3.1 = 4.2.2.3.1.1 + 4.2.2.3.1.2 + 4.2.2.3.1.3 + 4.2.2.3.1.4
4.2.1.3 = 4.2.1.3.4 + 4.2.1.3.5 + 4.2.1.3.6 + 4.2.13.7 + 4.2.1.3.8
4.2.2.3 = 4.2.2.3.4 + 4.2.2.3.5 + 4.2.2.3.6 + 4.2.2.3.7
E - Defalcarea datelor privind retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 5. |
Retrageri de numerar, din care: |
|
|
|
Defalcate după funcţia cardului, din care: |
|
|
| 5.1 |
- Retrageri de numerar efectuate cu carduri cu funcţie de debit |
|
|
| 5.2 |
- Retrageri de numerar efectuate cu carduri cu funcţie de credit sau debit amânat |
|
|
|
Retrageri de numerar frauduloase efectuate cu cardul în funcţie de tipul fraudei, din care: |
|
|
| 5.3.1 |
- Emiterea unui ordin de plată (retragere de numerar) de către autorul fraudei |
|
|
| 5.3.1.1 |
Card pierdut sau furat |
|
|
| 5.3.1.2 |
Card neprimit |
|
|
| 5.3.1.3 |
Card contrafăcut |
|
|
| 5.3.1.4 |
Altele |
|
|
| 5.3.2 |
- Manipularea plătitorului să facă o retragere de numerar |
|
|
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
|
| Utilizatorul serviciului de plată (titularul contului) |
|
| Altele |
|
Reguli de validare
5 = 5.1 + 5.2
5 = 5.3.1 + 5.3.2
5.3.1 = 5.3.1.1 + 5.3.1.2 + 5.3.1.3 + 5.3.1.4
F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică
| Cod poziţie |
Denumirea indicatorului |
Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 6. |
Operaţiuni de plată în monedă electronică, din care: |
|
|
| 6.1 |
- Printr-un canal de iniţiere a plăţii la distanţă |
|
|
| 6.1.1 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Operaţiuni frauduloase de plată în monedă electronică în funcţie de tipul fraudei: |
|
|
| 6.1.1.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 6.1.1.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 6.1.1.3 |
- Manipularea plătitorului de către autorul fraudei să emită un ordin de plată |
|
|
| 6.1.2 |
Pentru care nu se aplică autentificarea strictă a ciienţiior, din care: |
|
|
|
Operaţiuni frauduloase de plată în monedă electronică în funcţie de tipul fraudei |
|
|
| 6.1.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 6.1.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 6.1.2.3 |
- Manipularea plătitorului de către autorul fraudei să emită un ordin de plată |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 6.1.2.4 |
- Valoare scăzută* |
|
|
| 6.1.2.5 |
- Beneficiar agreat*** |
|
|
| 6.1.2.6 |
- Operaţiune recurentă**** |
|
|
| 6.1.2.7 |
- Plată către sine însuşi** |
|
|
| 6.1.2.8 |
- Utilizarea de procese şi protocoale de plată sigure în mediul întreprinderilor***** |
|
|
| 6.1.2.9 |
- Analiza de risc a operaţiunii****** |
|
|
| 6.1.2.10 |
- Tranzacţii iniţiate de comerciant******** |
|
|
| 6.1.2.11 |
- Altele |
|
|
| 6.2 |
- Iniţiate printr-un canal de plată neefectuată la distanţă, din care: |
|
|
| 6.2.1 |
Pentru care se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Operaţiuni frauduloase de plată în monedă electronică în funcţie de tipul fraudei: |
|
|
| 6.2.1.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 6.2.1.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 6.2.1.3 |
- Manipularea plătitorului de către autorul fraudei să emită un ordin de plată |
|
|
| 6.2.2 |
Pentru care nu se aplică autentificarea strictă a clienţilor, din care: |
|
|
|
Operaţiuni frauduloase de plată în monedă electronică în funcţie de tipul fraudei: |
|
|
| 6.2.2.1 |
- Emiterea unui ordin de plată de către autorul fraudei |
|
|
| 6.2.2.2 |
- Modificarea unui ordin de plată de către autorul fraudei |
|
|
| 6.2.2.3 |
- Manipularea plătitorului de către autorul fraudei să emită un ordin de plată |
|
|
|
Defalcate în funcţie de motivul neaplicării autentificării stricte a clienţilor |
|
|
| 6.2.2.4 |
- Beneficiar agreat*** |
|
|
| 6.2.2.5 |
- Operaţiune recurentă**** |
|
|
| 6.2.2.6 |
- Plata contactless cu valoare scăzută******* |
|
|
| 6.2.2.7 |
- Terminal neasistat pentru bilete de transport şi taxe de parcare******** |
|
|
| 6.2.2.8 |
- Altele |
|
|
* Art. 16 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la
standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
** Art. 15 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
*** Art. 13 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
**** Art. 14 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
***** Art. 17 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
****** Art. 18 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******* Art. 11 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
******** Art. 12 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare
********* Tranzacţii de plată pe bază de card care îndeplinesc condiţiile specificate de către Comisia Europeană în Q&A 2018 4131 şi Q&A 2018 4031 sunt considerate ca fiind iniţiate de către beneficiar şi ca urmare nu se supun prevederilor referitoare la aplicarea autentificării stricte a clienţilor în conformitate cu art. 97 din Directiva (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare, transpus prin prevederile art. 220 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
| Pierderi cauzate de fraudă în funcţie de purtătorul responsabilităţii: |
Total pierderi |
| Prestatorul de servicii de plată care emite raportul |
| Utilizatorul serviciilor de plată |
| Altele |
Reguli de validare
6 = 6.2 + 6.2
6.1 = 6.1.1 + 6.1.2
6.2 = 6.2.1 + 6.2.2
valoarea operaţiunii de plată frauduloase pentru 6.1.1 = 6.1.1.1 + 6.1.1.2 + 6.1.1.3
valoarea operaţiunii de plată frauduloase pentru 6.1.2 = 6.1.2.1 + 6.1.2.2 + 6.1.2.3
valoarea operaţiunii de plată frauduloase pentru 6.2.1 = 6.2.1.1 + 6.2.1.2 + 6.2.1.3
valoarea operaţiunii de plată frauduloase pentru 6.2.2 = 6.2.2.1 + 6.2.2.2 + 6.2.2.3
6.1.2 = 6.1.2.4 + 6.1.2.5 + 6.1.2.6 + 6.1.2.7 + 6.1.2.8 + 6.1.2.9 + 6.1.2.10 + 6.1.2.11
6.2.2 = 6.2.2.4 + 6.2.2.5 + 6.2.2.6 + 6.2.2.7 + 6.2.2.8
G - Defalcarea datelor pentru operaţiunile de remitere de bani
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 7. |
Remiteri de bani |
|
|
|
|
|
|
|
|
|
|
H - Defalcarea datelor pentru operaţiunile iniţiate de prestatorii de servicii de iniţiere a plăţii
| Cod poziţie |
Denumirea indicatorului |
|
| Operaţiuni de plată |
Operaţiuni de plată frauduloase |
| 0 |
A |
B |
C |
| 8. |
Operaţiuni de plată iniţiate de prestatori de servicii de iniţiere a plăţii, din care: |
|
|
| 8.1 |
- Iniţiate printr-un canal de plată la distanţă: |
|
|
| 8.1.1 |
- Pentru care se aplică autentificarea strictă a clienţilor |
|
|
| 8.1.2 |
- Pentru care nu se aplică autentificarea strictă a clienţilor |
|
|
| 8.2 |
- Iniţiate printr-un canal de plată neefectuată la distanţă |
|
|
| 8.2.1 |
- Pentru care se aplică autentificarea strictă a clienţilor |
|
|
| 8.2.2 |
- Pentru care nu se aplică autentificarea strictă a clienţilor |
|
|
| 8.3 |
- Defalcate după instrumentul de plată |
|
|
| 8.3.1 |
- Transferuri de credit |
|
|
| 8.3.2 |
- Altele |
|
|
Reguli de validare
8 = 8.1 + 8.2
8 = 8.3.1 + 8.3.2
8.1 = 8.1.1 + 8.1.2
8.2 = 8.2.1 + 8.2.2
ANEXA Nr. 6
Date cu caracter general care trebuie furnizate de toţi prestatorii de servicii de plată care emit rapoarte/Date generale de identificare privind prestatorul de servicii de plată care emite raportul
Nume: denumirea prestatorului de servicii de plată căruia i se aplică procedura de raportare a datelor, astfel cum apare în registrul naţional relevant al instituţiilor de credit, instituţiilor de plată sau instituţiilor emitente de monedă electronică
Cod unic de identificare: codul unic de identificare relevant folosit în fiecare stat membru pentru identificarea prestatorului de servicii de plată, dacă este cazul
Numărul autorizaţiei: numărul autorizaţiei din statul membru de origine, dacă este cazul
Ţara de origine a autorizaţiei: statul membru de origine în care a fost emisă autorizaţia
Persoana de contact: prenumele şi numele de familie al persoanei responsabile de raportarea datelor sau, dacă o persoană terţă raportează în numele prestatorului de servicii de plată, prenumele şi numele de familie al persoanei care conduce departamentul de gestionare a datelor sau o structură similară, la nivelul prestatorului de servicii de plată
Adresă e-mail de contact: adresa de e-mail la care pot fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau profesională.
Număr de telefon de contact: număr de telefon la care pot fi adresate orice cereri de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau profesional.