Horváth Katalin: Mind az EU-ban, mind Magyarországon jogszabály cunami van az elmúlt egy-két évben a pénzügyi szektorra vonatkozóan.
Egyes jogszabályokat már elfogadtak, míg mások még tervezet/javaslat szakaszban vannak, de 1-2 éven belül azok is elfogadásra kerülnek. Íme egy válogatás a legfontosabb jogszabályokból:
Magyarország:
- DÁP: Magyarországon most leginkább a digitális állampolgárságról (DÁP) szóló törvény foglalja le a pénzügyi szektort, ugyanis az alapján a pénzügyi szervezetek többségének (mint digitális szolgáltatás biztosítására kötelezett szervezet) biztosítania kell a DÁP eAzonosítás és eAláírás megoldásának alkalmazását az ügyfeleiknek és ezekre a 42/2015 Korm. rend. szerinti zártsági auditot is el kell végezniük.
- AFR 2.0: 2024. szeptember 1-től már kötelezően alkalmazandó lesz az egységes adatbeviteli megoldáson (EAM), azaz szabványosított QR kódon alapuló, az NFC-s érintéses és a deeplinkes azonnali átutalás, április 1. óta pedig kötelező a fizetési kérelem fogadása is. Ez a pénzforgalmi piaci szereplőitől jogi és informatikai felkészülést is igényelt és tovább szélesíti az elektronikus fizetési lehetőségek körét.
Erópai Unió:
- eIDAS 2.0 rendelet: létrehozta 2024. május 20-i hatállyal az Európai Digitális Személyiadat Tárcát (EDIW), amelyet a pénzügyi szervezetek használhatnak majd azonosításra, az abban tárolt egyes igazolásokhoz, igazolványokhoz való hozzáférést kaphatnak (így nem kell az ügyfélnek papíron benyújtania a dokumentumokat), és a hozzá tartozó minősített elektronikus aláírást az ügyfeleik használhatják majd a banki, biztosítási szerződések, jognyilatkozatok elektronikus aláírására. A pénzügyi szervezeteknek majd regisztrálniuk kell, ha használni kívánják az EDIW-et ezekre a célokra.
- AI Rendelet: A 2024. július 12-én kihirdetett EU AI Act 2024. augusztus 1. napjától hatályos és innen indulnak a határidők is. A mesterséges intelligencia rendszereket alkalmazó pénzügyi szervezeteknek 6 hónapon belül meg kell vizsgálniuk, hogy tiltott AI-t alkalmaznak-e, további 2 éven belül pedig meg kell felelniük a magas kockázatú AI-al szemben támasztott műszaki, adminisztratív, kiberbiztonsági és egyéb dokumentációs előírásoknak.
- DSA rendelet: a digitális szolgáltatásokról szóló rendelet alapján a pénzügyi szervezeteknek meg kell vizsgálniuk, hogy nyújtanak-e olyan digitális szolgáltatást, amely online platformnak, online piactérnek minősülhet és eleget kell tenniük a DSA-ban ezekre előírt átláthatósági, szerződéses, dokumentációs és egyéb technikai előírásoknak és módosítaniuk kell a tárhelyszolgáltatókkal, felhőszolgáltatókkal kötött szerződéseiket. A DSA már 2024. január óta alkalmazandó. A DSA főleg a BNPL szolgáltatásokat, banki online piactereket érinti.
- DORA rendelet: a pénzügyi szektor szinte egészét lefedő kiberbiztonsági rendelet 2025. január 17-ig ad határidőt a megfelelésre, amely alapján a pénzügyi szervezeteknek kockázatkezelési keretrendszert kell kialakítaniuk, kiberbiztonsági, műszaki, dokumentációs, incidenskezelési, tesztelési és egyéb előírásoknak kell megfelelniük, új munkaköröket kell létrehozniuk és módosítaniuk kell minden harmadik személy IKT szolgáltatóval megkötött szerződésüket. A DORA rendelet az IT biztonsági csapatokat dolgoztatja meg a leginkább a pénzügyi szektorban.
- NIS2 irányelv: a NIS2 irányelv részben átültetésre került a magyar Kibertantv-be és annak végrehajtási rendeleteibe, és az első, SZTFH-nál történő regisztrációra vonatkozó határidő 2024. június 30-án telt le. A következő határidő 2024. október 18. lesz, ameddigre a hálózat-, adat- és kiberbiztonsági előírásoknak, dokumentációs, műszaki és egyéb kötelezettségeknek kell megfelelni. Ezt követően 2024. december 31-ig kell megfelelő NIS2 auditorral szerződést kötni. A DORA rendelettel való kölcsönhatás eredményeként a DORA hatálya alá tartozó pénzügyi szervezetek az incidenseket és kiberfenyegetéseket kötelesek lesznek a NIS2 szerinti hatóságokhoz is bejelenteni, egyebekben rájuk a speciálisabb DORA rendelet fog vonatkozni. Azokra a pénzügyi szervezetekre azonban, akikre esetleg a DORA rendelet nem vonatkozik, a NIS2 és a Kibertantv. alkalmazható lehet.
- MiCA rendelet: a kriptoeszközökről szóló EU rendelet alapján az eszközalapú token kibocsátása, e-pénz token kibocsátása, egyéb kriptoeszköz kibocsátása és a kriptoeszköz szolgáltatások nyújtása főszabály szerint (néhány kivétellel) engedélyhez kötött, meghatározott prudenciális, dokumentációs, tőke és eszköztartalék előírásoknak kell megfelelni. Az alkalmazási határidő 2024. június 30. volt.
- PSD3, PSR: a PSD2 irányelvet a PSD3 irányelv és a PSR rendelet váltja majd fel, amely újraszabályozza a pénzforgalmi szolgáltatók engedélyezését, működését, felügyeletét, valamint az ügyfeleikkel fennálló szerződéses jogviszonyt, a fizetési megbízások megadásának, teljesítésének szabályait, integrálja kicsit módosítva a korábbi erős ügyfélhitelesítésről szóló külön rendeletet, új csalásmegelőzési előírásokat tartalmaz, részletesebben szabályozza az open banking API-kat és az elektronikus pénz irányelvet is hatályon kívül helyezi. A pénzforgalmi szolgáltatóknak majd a tervezet szerint 2 év áll rendelkezésükre a szükséges új dokumentumok benyújtására a felügyeleti szervhez, ennek elmulasztása felfüggesztést vagy a meglévő engedély visszavonását vonja maga után. A PSR a jogi megfelelés mellett komolyabb informatikai és üzletfejlesztési feladatokat is fog generálni a pénzforgalmi szolgáltatók oldalán.
- FIDA: a rendelet tervezet a PSD2 szerinti open banking szabályokat emeli open finance szintjére azáltal, hogy a PSD2-höz képest sokkal szélesebb körben enged hozzáférést ügyfél adatokhoz, amelyekhez való hozzáférést, azok megosztását és használatát szabályozza a rendelet és létrehoz egy új intézménytípust is, a Financial Information Service Provider-t (FISP), amely engedélyhez kötött tevékenység lesz. A pénzügyi szervezetek számára a FIDA-nak való megfelelés dokumentációs, adatvédelmi, szerződéses kötelezettségekkel jár majd és ezek mellett komolyabb informatikai fejlesztést is igényel.
A teljes interjú elolvasható a fintechzone.hu-n.
