Hanna Czupajło
|
4 czerwca 2021
Spis treści

Słowem wstępu

Każdy dostawca usług płatniczych jest zobowiązany zapewnić bezpieczeństwo swoim użytkownikom. Korzystający z usług powierzają dostawcom swoje środki pieniężne i wrażliwe dane, tym samym są narażeni na oszustwa. Z tego względu dostawcy usług płatniczych zostali zobowiązani do spełnienia szeregu wymogów, m.in. do opracowania i przestrzegania systemu zarządzania ryzykiem. Uniwersalne wymogi zarządzania ryzykiem możemy znaleźć w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego. Rekomendacje w tej materii sformułowała również Komisja Nadzoru Finansowego.

W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem dla dostawców usług płatniczych oraz wskażemy, na co zwrócić szczególną uwagę. Tworząc system zarządzania ryzykiem i niezbędną dokumentację, warto zwrócić się o pomoc do profesjonalistów. Niedochowanie wymogów wynikających z ustawy o usługach płatniczych może skutkować nałożeniem na obowiązanego kary grzywny, a nawet kary pozbawienia wolności.  Co bardzo istotne, każda procedura musi być dostosowana do indywidualnego podmiotu, dla którego jest tworzona. Do posiadania procedury zarządzania ryzykiem są zobowiązane m.in. małe instytucje płatnicze.

O sporządzaniu procedury zarządzania ryzykiem w Małych Instytucjach Płatniczych przeczytacie TUTAJ. 

 Czym jest zarządzanie ryzykiem i kogo dotyczy?

System zarządzania ryzykiem to całokształt działań podejmowanych w celu ograniczenia ryzyk operacyjnych i ryzyk bezpieczeństwa. Będą to więc procedury, praktyki i strategie oraz rozwiązania bazowe, infrastrukturalne, składające się na ramowy system, do którego opracowania, stosowania i aktualizowania zobowiązany jest dostawca. 

Według Ustawy o usługach płatniczych (dalej: UUP), wdrażającej postanowienia Dyrektywy Parlamentu Europejskiego i Rady, usługi płatnicze mogą być wykonywane tylko przez dostawców usług płatniczych, których wyczerpująco wymienia UUP. Oprócz banków są to więc również m.in.:


Usługą płatniczą wg UUP może być m.in. działalność polegająca na:

  • przyjmowaniu wpłat gotówki i dokonywanie wypłat gotówki z rachunku płatniczego i wszelkie działania niezbędne do prowadzenia rachunku
  • wykonywaniu transakcji płatniczych
  • świadczeniu usługi przekazu pieniężnego
  • świadczeniu usługi inicjowania transakcji płatniczej  
  • świadczeniu usługi dostępu do informacji o rachunku

Jak zarządzać ryzykiem? – wytyczne 

Co powinno się znaleźć w procedurze zarządzania ryzykiem? 

System zarządzania ryzykiem powinien być kompleksowym dokumentem obejmującym plan dot. bezpieczeństwa podmiotu. W dokumencie dostawca powinien opisać, jak będzie monitorował i rozwiązywał  incydenty związane z bezpieczeństwem oraz skargi klientów.  W systemie powinien również znaleźć się podział ról i obowiązków u danego dostawcy usług płatniczych. Ze względu na złożoność całego systemu zarządzania ryzykiem, warto prowadzić rejestr dokumentów, które się na niego składają wraz z ich aktualizacjami. 

Na co jeszcze warto zwrócić uwagę przygotowując procedury zarządzania ryzykiem?

Do niektórych czynności związanych z usługami płatniczymi, ustawodawca wymaga od dostawcy silnego uwierzytelnianie użytkownika. Przykładem takiej czynności jest np. uzyskanie dostępu do swojego rachunku w trybie on-line. Silne weryfikowanie tożsamości użytkownika  musi być oparte o co najmniej dwa elementy z kategorii wymienionych:

  • wiedza, którą ma tylko Użytkownik np. hasło
  • posiadanie czegoś, co tylko Użytkownik posiada np. karta płatnicza
  • charakterystyczne dla Użytkownika cechy np. odcisk palca 

Bardzo istotne jest, aby pamiętać, iż informację roczną dot. oceny i aktualizacji procedur składających się na  zarządzanie ryzykiem dostawca jest obowiązany corocznie, w terminie do dnia 31 stycznia roku następnego, przekazać Komisji Nadzoru Finansowego lub innemu właściwemu organowi nadzoru. 

Podsumowanie 

Prawidłowe sporządzenie kompletnej i efektywnej dokumentacji dot. zarządzania ryzykiem u dostawców usług płatniczych jest niezwykle istotną kwestią. Tworząc procedurę, dostawca powinien przede wszystkim określić sposoby radzenia sobie z nim ryzykiem oraz kwestię monitorowania go. Na dostawcy ciąży również obowiązek dokumentowania i monitorowania czynności związanych z zarządzaniem ryzykiem. Pamiętajmy, że każda procedura zarządzania ryzykiem musi być odpowiednio dostosowana do danego dostawcy usług płatniczych. Szczegółowość poszczególnych rozwiązań zależy bowiem od wielkości dostawcy, charakteru oraz zakresu usług, które oferuje. Zupełnie inny będzie więc system dot. zarządzania ryzykiem w banku krajowym, inny – w  małej instytucji płatniczej.