Słowem wstępu
Każdy dostawca usług płatniczych jest zobowiązany zapewnić bezpieczeństwo swoim użytkownikom. Korzystający z usług powierzają dostawcom swoje środki pieniężne i wrażliwe dane, tym samym są narażeni na oszustwa. Z tego względu dostawcy usług płatniczych zostali zobowiązani do spełnienia szeregu wymogów, m.in. do opracowania i przestrzegania systemu zarządzania ryzykiem. Uniwersalne wymogi zarządzania ryzykiem możemy znaleźć w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego. Rekomendacje w tej materii sformułowała również Komisja Nadzoru Finansowego.
W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem dla dostawców usług płatniczych oraz wskażemy, na co zwrócić szczególną uwagę. Tworząc system zarządzania ryzykiem i niezbędną dokumentację, warto zwrócić się o pomoc do profesjonalistów. Niedochowanie wymogów wynikających z ustawy o usługach płatniczych może skutkować nałożeniem na obowiązanego kary grzywny, a nawet kary pozbawienia wolności. Co bardzo istotne, każda procedura musi być dostosowana do indywidualnego podmiotu, dla którego jest tworzona. Do posiadania procedury zarządzania ryzykiem są zobowiązane m.in. małe instytucje płatnicze.
O sporządzaniu procedury zarządzania ryzykiem w Małych Instytucjach Płatniczych przeczytacie TUTAJ.
Czym jest zarządzanie ryzykiem i kogo dotyczy?
System zarządzania ryzykiem to całokształt działań podejmowanych w celu ograniczenia ryzyk operacyjnych i ryzyk bezpieczeństwa. Będą to więc procedury, praktyki i strategie oraz rozwiązania bazowe, infrastrukturalne, składające się na ramowy system, do którego opracowania, stosowania i aktualizowania zobowiązany jest dostawca.
Według Ustawy o usługach płatniczych (dalej: UUP), wdrażającej postanowienia Dyrektywy Parlamentu Europejskiego i Rady, usługi płatnicze mogą być wykonywane tylko przez dostawców usług płatniczych, których wyczerpująco wymienia UUP. Oprócz banków są to więc również m.in.:
- instytucje płatnicze,
- małe instytucje płatnicze,
- instytucje pieniądza elektronicznego,
- biura usług płatniczych
Usługą płatniczą wg UUP może być m.in. działalność polegająca na:
- przyjmowaniu wpłat gotówki i dokonywanie wypłat gotówki z rachunku płatniczego i wszelkie działania niezbędne do prowadzenia rachunku
- wykonywaniu transakcji płatniczych
- świadczeniu usługi przekazu pieniężnego
- świadczeniu usługi inicjowania transakcji płatniczej
- świadczeniu usługi dostępu do informacji o rachunku
Jak zarządzać ryzykiem? – wytyczne
Co powinno się znaleźć w procedurze zarządzania ryzykiem?
System zarządzania ryzykiem powinien być kompleksowym dokumentem obejmującym plan dot. bezpieczeństwa podmiotu. W dokumencie dostawca powinien opisać, jak będzie monitorował i rozwiązywał incydenty związane z bezpieczeństwem oraz skargi klientów. W systemie powinien również znaleźć się podział ról i obowiązków u danego dostawcy usług płatniczych. Ze względu na złożoność całego systemu zarządzania ryzykiem, warto prowadzić rejestr dokumentów, które się na niego składają wraz z ich aktualizacjami.
Na co jeszcze warto zwrócić uwagę przygotowując procedury zarządzania ryzykiem?
Do niektórych czynności związanych z usługami płatniczymi, ustawodawca wymaga od dostawcy silnego uwierzytelnianie użytkownika. Przykładem takiej czynności jest np. uzyskanie dostępu do swojego rachunku w trybie on-line. Silne weryfikowanie tożsamości użytkownika musi być oparte o co najmniej dwa elementy z kategorii wymienionych:
- wiedza, którą ma tylko Użytkownik np. hasło
- posiadanie czegoś, co tylko Użytkownik posiada np. karta płatnicza
- charakterystyczne dla Użytkownika cechy np. odcisk palca
Bardzo istotne jest, aby pamiętać, iż informację roczną dot. oceny i aktualizacji procedur składających się na zarządzanie ryzykiem dostawca jest obowiązany corocznie, w terminie do dnia 31 stycznia roku następnego, przekazać Komisji Nadzoru Finansowego lub innemu właściwemu organowi nadzoru.
Podsumowanie
Prawidłowe sporządzenie kompletnej i efektywnej dokumentacji dot. zarządzania ryzykiem u dostawców usług płatniczych jest niezwykle istotną kwestią. Tworząc procedurę, dostawca powinien przede wszystkim określić sposoby radzenia sobie z nim ryzykiem oraz kwestię monitorowania go. Na dostawcy ciąży również obowiązek dokumentowania i monitorowania czynności związanych z zarządzaniem ryzykiem. Pamiętajmy, że każda procedura zarządzania ryzykiem musi być odpowiednio dostosowana do danego dostawcy usług płatniczych. Szczegółowość poszczególnych rozwiązań zależy bowiem od wielkości dostawcy, charakteru oraz zakresu usług, które oferuje. Zupełnie inny będzie więc system dot. zarządzania ryzykiem w banku krajowym, inny – w małej instytucji płatniczej.
Zaufali nam:
aniaa87 says:
Co to znaczy „wykonywanie transakcji płatniczych”? Piszę akurat o tym tekst, będę wdzięczna za podanie art.
Hanna Czupajło says:
Według art. 3 Ustawy o usługach płatniczych, przez usługi płatnicze rozumie się działalność polegającą na wykonywanie transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy: a) przez wykonywanie usług polecenia zapłaty, w tym jednorazowych poleceń zapłaty, b) przy użyciu karty płatniczej lub podobnego instrumentu płatniczego, c) przez wykonywanie usług polecenia przelewu, w tym stałych zleceń.
antoni says:
Gdzie znajdę rekomendacje Komisji Nadzoru Finansowego?
Hanna Czupajło says:
Rekomendacje KNF możemy znaleźć na stronie urzędu. W przypadku wątpliwości zapraszamy do kontaktu.