Kapcsolódó termékek: Jogi kiadványok, Ügyvéd Jogtár demo
Alábbi cikksorozatunk betekintést ad a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről átfogó képet nyújtó nagykommentár egyes részleteibe.
A Wolters Kluwer gondozásában megjelenő, a pénzforgalmi szabályozás alapvető szabályait bemutató nagykommentár szerzői – támaszkodva egyrészt a jogalkotásban való közreműködés tapasztalataira, másrészt a jogalkalmazási gyakorlatra – egy eddig fel nem dolgozott terület, a pénzforgalom alapvető szabályairól és jogalkalmazási kérdéseiről nyújtanak átfogó, részletes képet. A szerzők egyike, dr. Pellényi Katalin gyakorló bankjogász, másikuk, dr. Bokodi Melinda egyetemi oktatást végző jegybanki jogász, így munkájuk, szakmai tapasztalatuk lehetővé teszi, hogy a pénzforgalmi szabályozás alapvető előírásai mellett a gyakorlatot is bemutathassák e hiánypótló kötetben. Főként a pénzügyi szolgáltatások közül a pénzforgalmi szolgáltatás iránt érdeklődő jogászoknak, joghallgatóknak, így különösen pénzügyi joggal foglalkozó ügyvédeknek, kamarai jogtanácsosoknak, ügyészeknek, bíráknak, egyetemi oktatóknak, sokrétűsége okán gyakorlati és elméleti szakembereknek egyaránt ajánlott ez a kommentár.
Az alábbiakban a kockázatmérséklési intézkedésekről és ellenőrzési mechanizmusokról szóló 55./A § magyarázatát olvashatják. A részlet szerzője: dr. Bokodi Melinda. A sorozat első része itt, a második itt, a harmadik itt , a negyedik pedig itt olvasható el.
1. Kockázatmérséklési intézkedések és ellenőrzési mechanizmusok
A PSD2 egyik legjelentősebb újítása, hogy előírja a pénzforgalmi szolgáltató számára, hogy hatékony működési és biztonsági kockázatkezelési keretrendszert hozzon létre.
Az MNB-nek a pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről szóló 26/2018. (VIII. 16.) számú ajánlása részletesen meghatározza az ezen keretrendszer működtetésével kapcsolatban a pénzügyi közvetítőrendszer felügyelete körében eljáró MNB elvárásait. Ennek a kockázatkezelési keretrendszernek a működési és biztonsági kockázatok mérséklését kell elsődlegesen céloznia, beépítve a pénzforgalmi szolgáltató általános kockázatkezelési folyamataiba. A keretrendszernek összhangban kell lennie a pénzforgalmi szolgáltató kockázatvállalási hajlandóságával, és ki kell terjednie a pénzforgalmi szolgáltató fizetéshez kapcsolódó tevékenységeiből származó valamennyi kockázatra, amelyeknek a pénzforgalmi szolgáltató ki van téve. A kockázatkezelési keretrendszerben nemcsak ezen kockázatokat kell azonosítani, felmérni, hanem ki kell dolgozni a kockázatok nyomon követéséhez és kezeléséhez szükséges eljárásokat és rendszereket, ideértve az üzletmenet-folytonossági intézkedéseket. A kockázatkezelési keretrendszert legalább évente egy alkalommal felül kell vizsgálni.
Emellett a pénzforgalmi szolgáltató a saját működése során azonosított működési és biztonsági kockázatokkal szembeni megelőző biztonsági intézkedések kidolgozására és fenntartására, valamint a működési vagy biztonsági incidensek korai észlelésére, kezelésére és nyomon követésére köteles. Továbbá a pénzforgalmi szolgáltató köteles olyan tesztelési keretrendszert kialakítani, amely igazolja a biztonsági intézkedések megalapozottságát és hatékonyságát, és biztosítja, hogy a tesztelési keretrendszer igazodik a kockázatfelügyelő tevékenységek révén felismert új veszélyekhez és sérülékenységekhez.
E biztonsági intézkedések végrehajtása keretében az SCAr. 2. cikke szerint a pénzforgalmi szolgáltatóknak olyan műveletmegfigyelő mechanizmusokkal kell rendelkezniük, amelyek lehetővé teszik a nem engedélyezett vagy csalárd fizetési műveletek észlelését. Ennek keretében a fizetési műveleteket kell elemezniük arra tekintettel, hogy a pénzforgalmi szolgáltatást igénybe vevőre rendes használat mellett milyen személyes hitelesítési adatok jellemzőek. Annak érdekében, hogy ezeket a műveletmegfigyelő mechanizmusokat működtetni tudják, a pénzforgalmi szolgáltatókat terheli az a kötelezettség az SCAr. 28. cikke szerint, hogy az ügyfelekkel való kommunikáció során azonosítsák a fizető fél eszközét, valamint a kedvezményezett elektronikus fizetést fogadó eszközét, a fizetési terminálokat, és azt is biztosítani kell, hogy a fizetési művelet és az elektronikus fizetési művelet, valamint minden egyéb interakció visszakövethető legyen (mind a munkamenet egyedi azonosítója, mind az időbélyegek, mind a részletes naplózás egyéb biztonsági adatai vonatkozásában). A pénzforgalmi szolgáltatóknak legalább a következő kockázatalapú tényezőket kell figyelembe venniük:
a) a már nem biztonságos vagy ellopott hitelesítési elemek jegyzéke,
b) az egyes fizetési műveletek összege,
c) a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvek,
d) a hitelesítési eljárás bármely munkamenete során a rosszindulatú szoftverrel való fertőzöttség jelei,
e) amennyiben a hozzáférést biztosító eszközt vagy szoftvert a pénzforgalmi szolgáltató bocsátja rendelkezésre, használatának naplója és annak a normálistól eltérő használata.
Ha a pénzforgalmi szolgáltató műveletmegfigyelő mechanizmusa révén az SCAr. 18. cikke alapján elvégzett műveleti kockázatelemzés alapján egy távoli elektronikus fizetési művelet alacsony kockázatúnak minősül, a pénzforgalmi szolgáltató eltekinthet az erős ügyfél-hitelesítés alkalmazásától. E kivételszabály alkalmazásához három feltételnek kell fennállnia:
a) a pénzforgalmi szolgáltató által számított csalási arány nem haladja meg az SCAr. Mellékletében meghatározott referencia csalási arányt,
b) a fizetési művelet összege nem haladja meg a SCAr. Mellékletében meghatározott értéket,
c) a valós idejű kockázatelemzés alapján a fizető fél költési vagy viselkedési mintája, fizikai helyzete nem tér el a normálistól, a fizető fél eszköz-/szoftverhozzáférése nem szokatlan, a hitelesítési eljárás munkamenete során rosszindulatú szoftverre való fertőzöttségre utaló jel nincs, a fizetési művelet adatai, körülményei nem hasonlóak a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvhöz, és a kedvezményezett nem magas kockázatú. E körülmények mindegyikének fenn kell állnia.
Az ügyfelek biztonságtudatosságának növelése érdekében továbbá a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB elvárja, hogy a pénzforgalmi szolgáltató rendelkezzen ügyféledukációs stratégiával, és az ügyféledukációs stratégiában határozza meg azokat az intézkedéseket, ideértve a rendszeresen ismétlődő intézkedéseket is, amelyek elősegítik az ügyfelei – adott pénzforgalmi szolgáltató által nyújtott pénzügyi és kiegészítő pénzügyi szolgáltatásokhoz kapcsolódó – biztonságtudatosságának növelését, annak érdekében, hogy az ügyfeleket érintő visszaélések a lehető legnagyobb mértékben megelőzhetők legyenek.
2. Évenkénti beszámoló a kockázatmérséklési intézkedések és ellenőrzési mechanizmusok megfelelőségéről
A kockázatmérséklési intézkedések – az SCAr. 3. cikke szerinti fogalomhasználattal: a biztonsági intézkedések – végrehajtását rendszeresen időközönként kell tesztelni, értékelni, ellenőrizni, a pénzforgalmi szolgáltatóra alkalmazandó számviteli és beszámoláskészítési határidőben, évenként. Az értékelést, auditot vagy az informatikai biztonság és a fizetések terén szakértelemmel rendelkező személynek vagy a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő könyvvizsgálónak kell elvégeznie.
Amennyiben a pénzforgalmi szolgáltató az erős ügyfél-hitelesítés alóli kivételt a műveletmegfigyelő mechanizmusok alapján alacsony kockázatúnak való azonosítás miatt alkalmaz, az SCAr. 3. cikke szerint legalább évente kell a módszertant, a modellt és a jelentett csalási arányokat a pénzforgalmi szolgáltatón belüli vagy akár azon kívüli, függetlenül működő, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgálónak értékelnie. A pénzforgalmi szolgáltatónak nincs választása az audit módjának megválasztásában, a kivétel alkalmazásának első évében és azt követően legalább háromévente, hiszen ekkor ezt az értékelést csak külső, független, az informatikai biztonság és a fizetések terén szakértelemmel rendelkező könyvvizsgáló végezheti el.
A pénzforgalmi szolgáltató évenként a jegybanki információs rendszerhez elsődlegesen a Magyar Nemzeti Bank alapvető feladatai ellátása érdekében teljesítendő adatszolgáltatási kötelezettségekről szóló MNB-rendelet szerinti, a P69 MNB-azonosító kódú adatszolgáltatás útján átfogó értékelést küld a pénzügyi közvetítőrendszer felügyelete jogkörében eljáró MNB részére az általa nyújtott pénzforgalmi szolgáltatáshoz kapcsolódóan a működési és biztonsági kockázatokról, a rendszeres tesztelésekről, értékelésekről, ellenőrzésekről.
A DLA Piper magyarországi csapata 1988 óta nyújt jogi szolgáltatásokat hazai és nemzetközi ügyfelei részére, jelenleg az egyik legnagyobb hazai ügyvédi iroda. Mi alapján választ egy ekkora ügyvédi iroda jogi adatbázist? Milyen szempontokat vesznek figyelembe, milyen funkciókat tartanak fontosnak a napi munkavégzés során? Erről beszélgettünk az ügyvédi iroda munkatársával.
Az önkormányzati rendelet más jogszabályba ütközését állító bírói indítványt indokolni kell, az indokolási kötelezettségnek nem tesz eleget a fél álláspontjának ismertetése – a Kúria eseti döntése.
Alábbi cikksorozatunk betekintést ad a Szolgáltató közigazgatás – A tájékoztatáshoz való jog a magyar szociális ellátórendszerben című Wolters Kluwer-kiadvány egyes részleteibe.
Köszönjük, hogy feliratkozott hírlevelünkre!
Kérem, pipálja be a captchát elküldés előtt
Ha egy másik hírlevélre is fel szeretne iratkozni, vagy nem sikerült a feliratkozás, akkor kérjük frissítse meg a böngészőjében ezt az oldalt (F5)!
Kérem, válasszon egyet hírleveleink közül!
