Raportowanie incydentów na podstawie PSD2 - Komisja Nadzoru Finansowego

Raportowanie incydentów na podstawie PSD2

data aktualizacji 12 lipca 2022

Przepisy ustawy z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, które weszły w życie w dniu 20 czerwca 2018 r. (Dz. U. z 2018 r., poz. 1075) wprowadziły obowiązek raportowania do organu nadzoru przez dostawców usług płatniczych informacji o poważnych incydentach operacyjnych lub poważnych incydentach związanych z bezpieczeństwem, w tym w charakterze informacyjnym (dalej: „Incydenty”).  

W rozumieniu art. 4 ust. 2 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (dalej: „UUP”) dostawcami usług płatniczych (dalej: „Dostawcy”) mogą być wyłącznie:
1)    bank krajowy w rozumieniu art. 4 ust. 1 pkt 1 ustawy - Prawo bankowe;
2)    oddział banku zagranicznego w rozumieniu art. 4 ust. 1 pkt 20 ustawy - Prawo bankowe;
3)    instytucja kredytowa w rozumieniu art. 4 ust. 1 pkt 17 ustawy - Prawo bankowe i odpowiednio oddział instytucji kredytowej w rozumieniu art. 4 ust. 1 pkt 18 ustawy - Prawo bankowe;
4)    instytucja pieniądza elektronicznego i oddział instytucji pieniądza elektronicznego – w przypadku gdy oddział znajduje się w państwie członkowskim, a siedziba takiej instytucji pieniądza elektronicznego znajduje się poza państwem członkowskim, o ile usługi płatnicze świadczone przez oddział są związane z wydawaniem pieniądza elektronicznego;
5)    oddział podmiotu świadczącego w innym niż Rzeczpospolita Polska państwie członkowskim, zgodnie z prawem tego państwa, pocztowe usługi płatnicze, uprawnionego zgodnie z prawem tego państwa do świadczenia usług płatniczych oraz Poczta Polska Spółka Akcyjna w zakresie, w jakim odrębne przepisy upoważniają ją do świadczenia usług płatniczych;
6)    instytucja płatnicza;
7)    Europejski Bank Centralny, Narodowy Bank Polski oraz bank centralny państwa członkowskiego innego niż Rzeczpospolita Polska - w przypadku gdy nie działają w charakterze władz monetarnych lub organów administracji publicznej;
8)    organ administracji publicznej;
9)    spółdzielcza kasa oszczędnościowo-kredytowa lub Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa w rozumieniu ustawy o spółdzielczych kasach oszczędnościowo-kredytowych - w zakresie, w jakim odrębne przepisy uprawniają je do świadczenia usług płatniczych;
10)    biuro usług płatniczych;
11)    mała instytucja płatnicza;
12)    dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku.

Zgodnie z art. 32g UUP dostawca przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym. Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu. 

Szczegółowe instrukcje dla dostawców  w zakresie zgłaszania incydentów zostały uregulowane w Wytycznych Europejskiego Urzędu Nadzoru Bankowego dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2) opublikowanych pod adresem: https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/guidelines-on-major-incidents-reporting-under-psd2

Zgłoszenia należy przekazywać za pośrednictwem elektronicznej skrzynki podawczej KNF (dalej: „ESP”), która jest dostępna na platformie ePUAP. 

Etapy postępowania przy zgłaszaniu incydentów za pośrednictwem elektronicznej skrzynki podawczej KNF:

1.    W celu skorzystania z ESP UKNF należy wypełnić formularz na stronie ePUAP pod adresem: https://epuap.gov.pl/wps/portal/strefa-klienta/katalog-spraw/pismo-ogolne-do-podmiotu-publicznego.
2.    Spośród dostępnych kategorii należy wybrać „Pisma do urzędu” z obszaru „Sprawy ogólne”.
3.    Następnie należy wybrać opcję „Pismo ogólne do podmiotu publicznego”, a następnie „Załatw sprawę”.
4.    W dalszej kolejności należy zalogować do platformy ePUAP za pomocą profilu zaufanego i wypełnić dostępny formularz.
5.    Do formularza należy załączyć wypełnione sprawozdanie.
6.    W tytule pisma należy wskazać nazwę podmiotu, którego dotyczy zgłoszenie wraz z dopiskiem zgodnie z formatem: „Nazwa podmiotu_Poważny incydent”.
7.    W polu „Opis sprawy” należy zawrzeć krótki opis sprawy oraz imię i nazwisko oraz nr telefonu osoby odpowiedzialnej za przekazywane zgłoszenie. 
8.    Po podpisaniu dokumentu podpisem elektronicznym należy go wysłać za pomocą przycisku „Wyślij”. 

Nie należy ingerować w strukturę przekazanego szablonu - w szczególności nie należy dodawać ani usuwać wierszy i kolumn, zmieniać komórek arkusza i/albo uzupełniać pliku o dodatkowe arkusze (zakładki) i/albo w jakikolwiek sposób ingerować w zawarte w szablonie makropolecenia i/albo zmieniać treści pól, które nie zostały przeznaczone do wypełnienia przez podmiot.

Formularze sprawozdawcze nie powinny zawierać odwołań do innych arkuszy kalkulacyjnych, baz danych, innych zewnętrznych plików (źródeł danych) oraz odwołań do stron www i albo innych adresów internetowych. W poszczególnych polach powinny znajdować się opisy tekstowe lub oznaczenia odpowiadające udostępnionej strukturze sprawozdania. W polach nie należy umieszczać elementów graficznych/obrazów ani osadzać plików i/albo innych obiektów.