Komunikat w sprawie obowiązku raportowania przez dostawców usług płatniczych informacji o incydentach na podstawie PSD2
Pismo z dnia 31 października 2018 r. Urząd Komisji Nadzoru Finansowego Komunikat w sprawie obowiązku raportowania przez dostawców usług płatniczych informacji o incydentach na podstawie PSD2
31 października 2018 r.
Komunikat UKNF w sprawie obowiązku raportowania przez dostawców usług płatniczych informacji o incydentach na podstawie PSD2
Przepisy ustawy z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, które weszły w życie w dniu 20 czerwca 2018 r. (Dz. U. z 2018 r. poz. 1075) wprowadziły obowiązek raportowania do organu nadzoru przez dostawców usług płatniczych informacji o poważnych incydentach operacyjnych lub poważnych incydentach związanych z bezpieczeństwem, w tym w charakterze informacyjnym (dalej: "Incydenty").
W rozumieniu art. 4 ust. 2 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (dalej: "UUP") dostawcami usług płatniczych (dalej: "Dostawcy") mogą być wyłącznie:
bank krajowy w rozumieniu art. 4 ust. 1 pkt 1 ustawy - Prawo bankowe;
oddział banku zagranicznego w rozumieniu art. 4 ust. 1 pkt 20 ustawy - Prawo bankowe;
instytucja kredytowa w rozumieniu art. 4 ust. 1 pkt 17 ustawy - Prawo bankowe i odpowiednio oddział instytucji kredytowej w rozumieniu art. 4 ust. 1 pkt 18 ustawy - Prawo bankowe;
instytucja pieniądza elektronicznego i oddział instytucji pieniądza elektronicznego - w przypadku gdy oddział znajduje się w państwie członkowskim, a siedziba takiej instytucji pieniądza elektronicznego znajduje się poza państwem członkowskim, o ile usługi płatnicze świadczone przez oddział są związane z wydawaniem pieniądza elektronicznego;
oddział podmiotu świadczącego w innym niż Rzeczpospolita Polska państwie członkowskim, zgodnie z prawem tego państwa, pocztowe usługi płatnicze, uprawnionego zgodnie z prawem tego państwa do świadczenia usług płatniczych oraz Poczta Polska Spółka Akcyjna w zakresie, w jakim odrębne przepisy upoważniają ją do świadczenia usług płatniczych;
instytucja płatnicza;
7) Europejski Bank Centralny, Narodowy Bank Polski oraz bank centralny państwa członkowskiego innego niż Rzeczpospolita Polska - w przypadku gdy nie działają w charakterze władz monetarnych lub organów administracji publicznej;
organ administracji publicznej;
spółdzielcza kasa oszczędnościowo-kredytowa lub Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa w rozumieniu ustawy o spółdzielczych kasach oszczędnościowo-kredytowych - w zakresie, w jakim odrębne przepisy uprawniają je do świadczenia usług płatniczych;
biuro usług płatniczych;
mała instytucja płatnicza;
dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku.
Zgodnie z art. 32g UUP dostawca przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym. Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu.
Szczegółowe instrukcje dla dostawców w zakresie zgłaszania incydentów zostały uregulowane w Wytycznych Europejskiego Urzędu Nadzoru Bankowego dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2) opublikowanych pod adresem:
Formularze sprawozdawcze wraz z instrukcją ich wypełniania i przesyłania do organu nadzoru w zależności od rodzaju Dostawcy znajdują się w zakładkach:
Podmioty sektora bankowego: DLA RYNKU -> Informacje dla podmiotów nadzorowanych -> Sektor bankowy -> Raportowanie incydentów na podstawie PSD2; link:
Podmioty sektora kas spółdzielczych: DLA RYNKU -> Informacje dla podmiotów nadzorowanych -> Sektor kas spółdzielczych -> Raportowanie incydentów na podstawie PSD2 link:
Podmioty rynku usług płatniczych: DLA RYNKU -> Informacje dla podmiotów nadzorowanych -> Rynek usług płatniczych -> Raportowanie incydentów na podstawie PSD2 link: