A pénzforgalmi szabályozás alapvető szabályai – Pft.-nagykommentár – 5. rész


Alábbi cikksorozatunk betekintést ad a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről átfogó képet nyújtó nagykommentár egyes részleteibe.

A Wolters Kluwer gondozásában megjelenő, a pénzforgalmi szabályozás alapvető szabályait bemutató nagykommentár szerzői – támaszkodva egyrészt a jogalkotásban való közreműködés tapasztalataira, másrészt a jogalkalmazási gyakorlatra – egy eddig fel nem dolgozott terület, a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről nyújtanak átfogó, részletes képet. A szerzők egyike, dr. Pellényi Katalin gyakorló bankjogász, másikuk, dr. Bokodi Melinda egyetemi oktatást végző jegybanki jogász, így munkájuk, szakmai tapasztalatuk lehetővé teszi, hogy a pénzforgalmi szabályozás alapvető előírásai mellett a gyakorlatot is bemutathassák e hiánypótló kötetben. Főként a pénzügyi szolgáltatások közül a pénzforgalmi szolgáltatás iránt érdeklődő jogászoknak, joghallgatóknak, így különösen pénzügyi joggal foglalkozó ügyvédeknek, kamarai jogtanácsosoknak, ügyészeknek, bíráknak, egyetemi oktatóknak, sokrétűsége okán gyakorlati és elméleti szakembereknek egyaránt ajánlott ez a kommentár.

Az alábbiakban a kockázatmérséklési intézkedésekről és ellenőrzési mechanizmusokról szóló 55./A § magyarázatát olvashatják. A részlet szerzője: dr. Bokodi Melinda. A sorozat első része itt, a második itt, a harmadik itt , a negyedik pedig itt olvasható el.

Pft. 55/A. §-ához:

1. Kockázatmérséklési intézkedések és ellenőrzési mechanizmusok

A PSD2 egyik legjelentősebb újítása, hogy előírja a pénzforgalmi szolgáltató számára, hogy hatékony működési és biztonsági kockázatkezelési keretrendszert hozzon létre.

Az MNB-nek a pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről szóló 26/2018. (VIII. 16.) számú ajánlása részletesen meghatározza az ezen keretrendszer működtetésével kapcsolatban a pénzügyi közvetítőrendszer felügyelete körében eljáró MNB elvárásait. Ennek a kockázatkezelési keretrendszernek a működési és biztonsági kockázatok mérséklését kell elsődlegesen céloznia, beépítve a pénzforgalmi szolgáltató általános kockázatkezelési folyamataiba. A keretrendszernek összhangban kell lennie a pénzforgalmi szolgáltató kockázatvállalási hajlandóságával, és ki kell terjednie a pénzforgalmi szolgáltató fizetéshez kapcsolódó tevékenységeiből származó valamennyi kockázatra, amelyeknek a pénzforgalmi szolgáltató ki van téve. A kockázatkezelési keretrendszerben nemcsak ezen kockázatokat kell azonosítani, felmérni, hanem ki kell dolgozni a kockázatok nyomon követéséhez és kezeléséhez szükséges eljárásokat és rendszereket, ideértve az üzletmenet-folytonossági intézkedéseket. A kockázatkezelési keretrendszert legalább évente egy alkalommal felül kell vizsgálni.

Emellett a pénzforgalmi szolgáltató a saját működése során azonosított működési és biztonsági kockázatokkal szembeni megelőző biztonsági intézkedések kidolgozására és fenntartására, valamint a működési vagy biztonsági incidensek korai észlelésére, kezelésére és nyomon követésére köteles. Továbbá a pénzforgalmi szolgáltató köteles olyan tesztelési keretrendszert kialakítani, amely igazolja a biztonsági intézkedések megalapozottságát és hatékonyságát, és biztosítja, hogy a tesztelési keretrendszer igazodik a kockázatfelügyelő tevékenységek révén felismert új veszélyekhez és sérülékenységekhez.

E biztonsági intézkedések végrehajtása keretében az SCAr. 2. cikke szerint a pénzforgalmi szolgáltatóknak olyan műveletmegfigyelő mechanizmusokkal kell rendelkezniük, amelyek lehetővé teszik a nem engedélyezett vagy csalárd fizetési műveletek észlelését. Ennek keretében a fizetési műveleteket kell elemezniük arra tekintettel, hogy a pénzforgalmi szolgáltatást igénybe vevőre rendes használat mellett milyen személyes hitelesítési adatok jellemzőek. Annak érdekében, hogy ezeket a műveletmegfigyelő mechanizmusokat működtetni tudják, a pénzforgalmi szolgáltatókat terheli az a kötelezettség az SCAr. 28. cikke szerint, hogy az ügyfelekkel való kommunikáció során azonosítsák a fizető fél eszközét, valamint a kedvezményezett elektronikus fizetést fogadó eszközét, a fizetési terminálokat, és azt is biztosítani kell, hogy a fizetési művelet és az elektronikus fizetési művelet, valamint minden egyéb interakció visszakövethető legyen (mind a munkamenet egyedi azonosítója, mind az időbélyegek, mind a részletes naplózás egyéb biztonsági adatai vonatkozásában). A pénzforgalmi szolgáltatóknak legalább a következő kockázatalapú tényezőket kell figyelembe venniük:

a) a már nem biztonságos vagy ellopott hitelesítési elemek jegyzéke,

b) az egyes fizetési műveletek összege,

c) a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvek,

d) a hitelesítési eljárás bármely munkamenete során a rosszindulatú szoftverrel való fertőzöttség jelei,

e) amennyiben a hozzáférést biztosító eszközt vagy szoftvert a pénzforgalmi szolgáltató bocsátja rendelkezésre, használatának naplója és annak a normálistól eltérő használata.

Ha a pénzforgalmi szolgáltató műveletmegfigyelő mechanizmusa révén az SCAr. 18. cikke alapján elvégzett műveleti kockázatelemzés alapján egy távoli elektronikus fizetési művelet alacsony kockázatúnak minősül, a pénzforgalmi szolgáltató eltekinthet az erős ügyfél-hitelesítés alkalmazásától. E kivételszabály alkalmazásához három feltételnek kell fennállnia:

a) a pénzforgalmi szolgáltató által számított csalási arány nem haladja meg az SCAr. Mellékletében meghatározott referencia csalási arányt,

b) a fizetési művelet összege nem haladja meg a SCAr. Mellékletében meghatározott értéket,

c) a valós idejű kockázatelemzés alapján a fizető fél költési vagy viselkedési mintája, fizikai helyzete nem tér el a normálistól, a fizető fél eszköz-/szoftverhozzáférése nem szokatlan, a hitelesítési eljárás munkamenete során rosszindulatú szoftverre való fertőzöttségre utaló jel nincs, a fizetési művelet adatai, körülményei nem hasonlóak a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvhöz, és a kedvezményezett nem magas kockázatú. E körülmények mindegyikének fenn kell állnia.

Az ügyfelek biztonságtudatosságának növelése érdekében továbbá a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB elvárja, hogy a pénzforgalmi szolgáltató rendelkezzen ügyféledukációs stratégiával, és az ügyféledukációs stratégiában határozza meg azokat az intézkedéseket, ideértve a rendszeresen ismétlődő intézkedéseket is, amelyek elősegítik az ügyfelei – adott pénzforgalmi szolgáltató által nyújtott pénzügyi és kiegészítő pénzügyi szolgáltatásokhoz kapcsolódó – biztonságtudatosságának növelését, annak érdekében, hogy az ügyfeleket érintő visszaélések a lehető legnagyobb mértékben megelőzhetők legyenek.

2. Évenkénti beszámoló a kockázatmérséklési intézkedések és ellenőrzési mechanizmusok megfelelőségéről

A kockázatmérséklési intézkedések – az SCAr. 3. cikke szerinti fogalomhasználattal: a biztonsági intézkedések – végrehajtását rendszeresen időközönként kell tesztelni, értékelni, ellenőrizni, a pénzforgalmi szolgáltatóra alkalmazandó számviteli és beszámoláskészítési határidőben, évenként. Az értékelést, auditot vagy az informatikai biztonság és a fizetések terén szakértelemmel rendelkező személynek vagy a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő könyvvizsgálónak kell elvégeznie.

Amennyiben a pénzforgalmi szolgáltató az erős ügyfél-hitelesítés alóli kivételt a műveletmegfigyelő mechanizmusok alapján alacsony kockázatúnak való azonosítás miatt alkalmaz, az SCAr. 3. cikke szerint legalább évente kell a módszertant, a modellt és a jelentett csalási arányokat a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgálónak értékelnie. A pénzforgalmi szolgáltatónak nincs választása az audit módjának megválasztásában, a kivétel alkalmazásának első évében és azt követően legalább háromévente, hiszen ekkor ezt az értékelést csak külső, független, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgáló végezheti el.

A pénzforgalmi szolgáltató évenként a jegybanki információs rendszerhez elsődlegesen a Magyar Nemzeti Bank alapvető feladatai ellátása érdekében teljesítendő adatszolgáltatási kötelezettségekről szóló MNB-rendelet szerinti, a P69 MNB-azonosító kódú adatszolgáltatás útján átfogó értékelést küld a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB részére az általa nyújtott pénzforgalmi szolgáltatáshoz kapcsolódóan a működési és biztonsági kockázatokról, a rendszeres tesztelésekről, értékelésekről, ellenőrzésekről.


Kapcsolódó cikkek

2024. december 6.

Papírból PDF – az új ingatlan-nyilvántartás

A jelenlegi ingatlan-nyilvántartásunk egy 1997-es törvényen alapul, és jogosan vetődik fel bennünk a kérdés, hogy ez a több mint két évtizedes szabályozás releváns rendelkezéseket tartalmaz-e. Az ezzel kapcsolatban felmerülő igény, illetve a COVID által okozott válsághelyzet következtében a szükség is egyre jobban nőtt egy gyors, hatékony, egyszerű és legfontosabbak közt elektronikus rendszerre, hogy hivatalos ügyeinket tudjuk intézni. Az Ars Boni cikkpályázat keretében készült írásban ezt az új és modern, elektronikus világba lépő jogintézményt szabályozó és véglegesnek tűnő 2021.évi C. törvényt fogom összehasonlítani eredeti, kihirdetéskori szövegével, illetve a jelenleg hatályos – de nemsokára „régi”-nek aposztrofált – ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvénnyel.

2024. december 6.

Perújítás az alapügyben távollévő terhelttel szemben folytatott eljárás miatt

Ha a terhelt az elsőfokú bírósági eljárásban valamennyi tárgyaláson részt vett, érdemi vallomást tett és kizárólag az ügydöntő határozat kihirdetésekor nem jelent meg, a bizonyítás megismétlése nem válik szükségessé a terhelt távollétén alapuló perújítási eljárásban. A perújítás célja ebben az esetben a terhelt vallomástételi, észrevételezési és indítványozási jogának biztosítása és az ez alapján szükségessé váló bizonyítás lefolytatása – a Kúria eseti döntése.

2024. december 4.

Kamerás adatkezelés szálláshelyen

A Nemzeti Adatvédelmi és Információszabadság Hatóság egymillió forint adatvédelmi bírságot szabott ki egy szálláshellyel szemben az érintett ingatlanra felszerelt kamerarendszerrel összefüggő adatkezelés jogszerűségének vizsgálata során. A döntést az indokolta, hogy a szálláshely nem nyújtott a hazai és regionális előírások szerint könnyen hozzáférhető és átlátható tájékoztatást az általa működtetett kamerarendszer kapcsán megvalósuló adatkezelésről.