A pénzforgalmi szabályozás alapvető szabályai – Pft.-nagykommentár – 5. rész
Alábbi cikksorozatunk betekintést ad a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről átfogó képet nyújtó nagykommentár egyes részleteibe.
A Wolters Kluwer gondozásában megjelenő, a pénzforgalmi szabályozás alapvető szabályait bemutató nagykommentár szerzői – támaszkodva egyrészt a jogalkotásban való közreműködés tapasztalataira, másrészt a jogalkalmazási gyakorlatra – egy eddig fel nem dolgozott terület, a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről nyújtanak átfogó, részletes képet. A szerzők egyike, dr. Pellényi Katalin gyakorló bankjogász, másikuk, dr. Bokodi Melinda egyetemi oktatást végző jegybanki jogász, így munkájuk, szakmai tapasztalatuk lehetővé teszi, hogy a pénzforgalmi szabályozás alapvető előírásai mellett a gyakorlatot is bemutathassák e hiánypótló kötetben. Főként a pénzügyi szolgáltatások közül a pénzforgalmi szolgáltatás iránt érdeklődő jogászoknak, joghallgatóknak, így különösen pénzügyi joggal foglalkozó ügyvédeknek, kamarai jogtanácsosoknak, ügyészeknek, bíráknak, egyetemi oktatóknak, sokrétűsége okán gyakorlati és elméleti szakembereknek egyaránt ajánlott ez a kommentár.
Az alábbiakban a kockázatmérséklési intézkedésekről és ellenőrzési mechanizmusokról szóló 55./A § magyarázatát olvashatják. A részlet szerzője: dr. Bokodi Melinda. A sorozat első része itt, a második itt, a harmadik itt , a negyedik pedig itt olvasható el.
Pft. 55/A. §-ához:
1. Kockázatmérséklési intézkedések és ellenőrzési mechanizmusok
A PSD2 egyik legjelentősebb újítása, hogy előírja a pénzforgalmi szolgáltató számára, hogy hatékony működési és biztonsági kockázatkezelési keretrendszert hozzon létre.
Az MNB-nek a pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről szóló 26/2018. (VIII. 16.) számú ajánlása részletesen meghatározza az ezen keretrendszer működtetésével kapcsolatban a pénzügyi közvetítőrendszer felügyelete körében eljáró MNB elvárásait. Ennek a kockázatkezelési keretrendszernek a működési és biztonsági kockázatok mérséklését kell elsődlegesen céloznia, beépítve a pénzforgalmi szolgáltató általános kockázatkezelési folyamataiba. A keretrendszernek összhangban kell lennie a pénzforgalmi szolgáltató kockázatvállalási hajlandóságával, és ki kell terjednie a pénzforgalmi szolgáltató fizetéshez kapcsolódó tevékenységeiből származó valamennyi kockázatra, amelyeknek a pénzforgalmi szolgáltató ki van téve. A kockázatkezelési keretrendszerben nemcsak ezen kockázatokat kell azonosítani, felmérni, hanem ki kell dolgozni a kockázatok nyomon követéséhez és kezeléséhez szükséges eljárásokat és rendszereket, ideértve az üzletmenet-folytonossági intézkedéseket. A kockázatkezelési keretrendszert legalább évente egy alkalommal felül kell vizsgálni.
Emellett a pénzforgalmi szolgáltató a saját működése során azonosított működési és biztonsági kockázatokkal szembeni megelőző biztonsági intézkedések kidolgozására és fenntartására, valamint a működési vagy biztonsági incidensek korai észlelésére, kezelésére és nyomon követésére köteles. Továbbá a pénzforgalmi szolgáltató köteles olyan tesztelési keretrendszert kialakítani, amely igazolja a biztonsági intézkedések megalapozottságát és hatékonyságát, és biztosítja, hogy a tesztelési keretrendszer igazodik a kockázatfelügyelő tevékenységek révén felismert új veszélyekhez és sérülékenységekhez.
E biztonsági intézkedések végrehajtása keretében az SCAr. 2. cikke szerint a pénzforgalmi szolgáltatóknak olyan műveletmegfigyelő mechanizmusokkal kell rendelkezniük, amelyek lehetővé teszik a nem engedélyezett vagy csalárd fizetési műveletek észlelését. Ennek keretében a fizetési műveleteket kell elemezniük arra tekintettel, hogy a pénzforgalmi szolgáltatást igénybe vevőre rendes használat mellett milyen személyes hitelesítési adatok jellemzőek. Annak érdekében, hogy ezeket a műveletmegfigyelő mechanizmusokat működtetni tudják, a pénzforgalmi szolgáltatókat terheli az a kötelezettség az SCAr. 28. cikke szerint, hogy az ügyfelekkel való kommunikáció során azonosítsák a fizető fél eszközét, valamint a kedvezményezett elektronikus fizetést fogadó eszközét, a fizetési terminálokat, és azt is biztosítani kell, hogy a fizetési művelet és az elektronikus fizetési művelet, valamint minden egyéb interakció visszakövethető legyen (mind a munkamenet egyedi azonosítója, mind az időbélyegek, mind a részletes naplózás egyéb biztonsági adatai vonatkozásában). A pénzforgalmi szolgáltatóknak legalább a következő kockázatalapú tényezőket kell figyelembe venniük:
a) a már nem biztonságos vagy ellopott hitelesítési elemek jegyzéke,
b) az egyes fizetési műveletek összege,
c) a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvek,
d) a hitelesítési eljárás bármely munkamenete során a rosszindulatú szoftverrel való fertőzöttség jelei,
e) amennyiben a hozzáférést biztosító eszközt vagy szoftvert a pénzforgalmi szolgáltató bocsátja rendelkezésre, használatának naplója és annak a normálistól eltérő használata.
Ha a pénzforgalmi szolgáltató műveletmegfigyelő mechanizmusa révén az SCAr. 18. cikke alapján elvégzett műveleti kockázatelemzés alapján egy távoli elektronikus fizetési művelet alacsony kockázatúnak minősül, a pénzforgalmi szolgáltató eltekinthet az erős ügyfél-hitelesítés alkalmazásától. E kivételszabály alkalmazásához három feltételnek kell fennállnia:
a) a pénzforgalmi szolgáltató által számított csalási arány nem haladja meg az SCAr. Mellékletében meghatározott referencia csalási arányt,
b) a fizetési művelet összege nem haladja meg a SCAr. Mellékletében meghatározott értéket,
c) a valós idejű kockázatelemzés alapján a fizető fél költési vagy viselkedési mintája, fizikai helyzete nem tér el a normálistól, a fizető fél eszköz-/szoftverhozzáférése nem szokatlan, a hitelesítési eljárás munkamenete során rosszindulatú szoftverre való fertőzöttségre utaló jel nincs, a fizetési művelet adatai, körülményei nem hasonlóak a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvhöz, és a kedvezményezett nem magas kockázatú. E körülmények mindegyikének fenn kell állnia.
Az ügyfelek biztonságtudatosságának növelése érdekében továbbá a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB elvárja, hogy a pénzforgalmi szolgáltató rendelkezzen ügyféledukációs stratégiával, és az ügyféledukációs stratégiában határozza meg azokat az intézkedéseket, ideértve a rendszeresen ismétlődő intézkedéseket is, amelyek elősegítik az ügyfelei – adott pénzforgalmi szolgáltató által nyújtott pénzügyi és kiegészítő pénzügyi szolgáltatásokhoz kapcsolódó – biztonságtudatosságának növelését, annak érdekében, hogy az ügyfeleket érintő visszaélések a lehető legnagyobb mértékben megelőzhetők legyenek.
2. Évenkénti beszámoló a kockázatmérséklési intézkedések és ellenőrzési mechanizmusok megfelelőségéről
A kockázatmérséklési intézkedések – az SCAr. 3. cikke szerinti fogalomhasználattal: a biztonsági intézkedések – végrehajtását rendszeresen időközönként kell tesztelni, értékelni, ellenőrizni, a pénzforgalmi szolgáltatóra alkalmazandó számviteli és beszámoláskészítési határidőben, évenként. Az értékelést, auditot vagy az informatikai biztonság és a fizetések terén szakértelemmel rendelkező személynek vagy a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő könyvvizsgálónak kell elvégeznie.
Amennyiben a pénzforgalmi szolgáltató az erős ügyfél-hitelesítés alóli kivételt a műveletmegfigyelő mechanizmusok alapján alacsony kockázatúnak való azonosítás miatt alkalmaz, az SCAr. 3. cikke szerint legalább évente kell a módszertant, a modellt és a jelentett csalási arányokat a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgálónak értékelnie. A pénzforgalmi szolgáltatónak nincs választása az audit módjának megválasztásában, a kivétel alkalmazásának első évében és azt követően legalább háromévente, hiszen ekkor ezt az értékelést csak külső, független, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgáló végezheti el.
A pénzforgalmi szolgáltató évenként a jegybanki információs rendszerhez elsődlegesen a Magyar Nemzeti Bank alapvető feladatai ellátása érdekében teljesítendő adatszolgáltatási kötelezettségekről szóló MNB-rendelet szerinti, a P69 MNB-azonosító kódú adatszolgáltatás útján átfogó értékelést küld a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB részére az általa nyújtott pénzforgalmi szolgáltatáshoz kapcsolódóan a működési és biztonsági kockázatokról, a rendszeres tesztelésekről, értékelésekről, ellenőrzésekről.