Hanna Czupajło
|
4 czerwca 2021

Spis treści

Słowem wstępu

Każdy dostawca usług płatniczych jest zobowiązany zapewnić bezpieczeństwo swoim użytkownikom. Korzystający z usług powierzają dostawcom swoje środki pieniężne i wrażliwe dane, tym samym są narażeni na oszustwa. Z tego względu dostawcy usług płatniczych zostali zobowiązani do spełnienia szeregu wymogów, m.in. do opracowania i przestrzegania systemu zarządzania ryzykiem. Uniwersalne wymogi zarządzania ryzykiem możemy znaleźć w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego. Rekomendacje w tej materii sformułowała również Komisja Nadzoru Finansowego.

W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem dla dostawców usług płatniczych oraz wskażemy, na co zwrócić szczególną uwagę. Tworząc system zarządzania ryzykiem i niezbędną dokumentację, warto zwrócić się o pomoc do profesjonalistów. Niedochowanie wymogów wynikających z ustawy o usługach płatniczych może skutkować nałożeniem na obowiązanego kary grzywny, a nawet kary pozbawienia wolności.  Co bardzo istotne, każda procedura musi być dostosowana do indywidualnego podmiotu, dla którego jest tworzona. Do posiadania procedury zarządzania ryzykiem są zobowiązane m.in. małe instytucje płatnicze.

O sporządzaniu procedury zarządzania ryzykiem w Małych Instytucjach Płatniczych przeczytacie TUTAJ. 

 Czym jest zarządzanie ryzykiem i kogo dotyczy?

System zarządzania ryzykiem to całokształt działań podejmowanych w celu ograniczenia ryzyk operacyjnych i ryzyk bezpieczeństwa. Będą to więc procedury, praktyki i strategie oraz rozwiązania bazowe, infrastrukturalne, składające się na ramowy system, do którego opracowania, stosowania i aktualizowania zobowiązany jest dostawca. 

Według Ustawy o usługach płatniczych (dalej: UUP), wdrażającej postanowienia Dyrektywy Parlamentu Europejskiego i Rady, usługi płatnicze mogą być wykonywane tylko przez dostawców usług płatniczych, których wyczerpująco wymienia UUP. Oprócz banków są to więc również m.in.:


Usługą płatniczą wg UUP może być m.in. działalność polegająca na:

  • przyjmowaniu wpłat gotówki i dokonywanie wypłat gotówki z rachunku płatniczego i wszelkie działania niezbędne do prowadzenia rachunku
  • wykonywaniu transakcji płatniczych
  • świadczeniu usługi przekazu pieniężnego
  • świadczeniu usługi inicjowania transakcji płatniczej  
  • świadczeniu usługi dostępu do informacji o rachunku

Jak zarządzać ryzykiem? – wytyczne 

Wytyczne dot. zarządzania ryzykiem u dostawców usług płatniczych znajdują się w aktach wykonawczych i interpretacjach, w tym w Dyrektywie PSD1 oraz Dyrektywie PSD2 (Payment Services Directive), której transpozycję stanowi Dział IIA UUP, wytycznych EBA, a także w Rekomendacjach KNF.

Obowiązek formułowania procedury zarządzania ryzykiem u dostawców usług  płatniczych wynika z działu II A i IV Ustawy o usługach płatniczych. Dostawca jest obowiązany podejmować środki ograniczające ryzyko i wprowadzać mechanizmy kontrolne, które będą pozwalały na efektowne zarządzanie ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa. Jak czytamy w UUP, aby dostawca spełniał powyższe obowiązki, musi on przede wszystkim:

  • zawrzeć w procedurze zarządzania ryzkiem zapisy dotyczące procedury zarządzania incydentami: ich klasyfikacji i wykrywania 
  • dokonywać bieżącej oceny i aktualizacji procedur zarządzania ryzykami oraz bieżącej oceny mechanizmów kontroli i środków ograniczających ryzyko 

Jakie rodzaje ryzyk wyróżniamy?

Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy. Takim ryzykiem jest np. cyberatak.  Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego


Czym są incydenty? 

Ustawodawca podzielił incydenty na poważne incydenty operacyjne i incydenty związane z bezpieczeństwem. Poważnym incydentem operacyjnym lub incydentem związanym z bezpieczeństwem jest jakieś pojedyncze zdarzenie, lub seria zdarzeń ze sobą powiązanych i nieplanowanych przez dostawcę, które mają lub mogą mieć niekorzystny wpływ na usługi związane z płatnościami. Incydenty powinny podlegać odpowiedniej klasyfikacji. Dostawca ma obowiązek zgłaszać KNF informacje o incydentach poważnych.

Co powinno się znaleźć w procedurze zarządzania ryzykiem? 

System zarządzania ryzykiem powinien być kompleksowym dokumentem obejmującym plan dot. bezpieczeństwa podmiotu. W dokumencie dostawca powinien opisać, jak będzie monitorował i rozwiązywał  incydenty związane z bezpieczeństwem oraz skargi klientów.  W systemie powinien również znaleźć się podział ról i obowiązków u danego dostawcy usług płatniczych. Ze względu na złożoność całego systemu zarządzania ryzykiem, warto prowadzić rejestr dokumentów, które się na niego składają wraz z ich aktualizacjami. 

Na co jeszcze warto zwrócić uwagę przygotowując procedury zarządzania ryzykiem?

Do niektórych czynności związanych z usługami płatniczymi, ustawodawca wymaga od dostawcy silnego uwierzytelnianie użytkownika. Przykładem takiej czynności jest np. uzyskanie dostępu do swojego rachunku w trybie on-line. Silne weryfikowanie tożsamości użytkownika  musi być oparte o co najmniej dwa elementy z kategorii wymienionych:

  • wiedza, którą ma tylko Użytkownik np. hasło
  • posiadanie czegoś, co tylko Użytkownik posiada np. karta płatnicza
  • charakterystyczne dla Użytkownika cechy np. odcisk palca 

Bardzo istotne jest, aby pamiętać, iż informację roczną dot. oceny i aktualizacji procedur składających się na  zarządzanie ryzykiem dostawca jest obowiązany corocznie, w terminie do dnia 31 stycznia roku następnego, przekazać Komisji Nadzoru Finansowego lub innemu właściwemu organowi nadzoru. 

Podsumowanie 

Prawidłowe sporządzenie kompletnej i efektywnej dokumentacji dot. zarządzania ryzykiem u dostawców usług płatniczych jest niezwykle istotną kwestią. Tworząc procedurę, dostawca powinien przede wszystkim określić sposoby radzenia sobie z nim ryzykiem oraz kwestię monitorowania go. Na dostawcy ciąży również obowiązek dokumentowania i monitorowania czynności związanych z zarządzaniem ryzykiem. Pamiętajmy, że każda procedura zarządzania ryzykiem musi być odpowiednio dostosowana do danego dostawcy usług płatniczych. Szczegółowość poszczególnych rozwiązań zależy bowiem od wielkości dostawcy, charakteru oraz zakresu usług, które oferuje. Zupełnie inny będzie więc system dot. zarządzania ryzykiem w banku krajowym, inny – w  małej instytucji płatniczej. 




Zaufali nam: