Komunikat UKNF w sprawie obowiązku raportowania przez dostawców usług płatniczych informacji o incydentach na podstawie PSD2

data aktualizacji 31 października 2018

Przepisy ustawy z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, które weszły w życie w dniu 20 czerwca 2018 r. (Dz. U. z 2018 r., poz. 1075) wprowadziły obowiązek raportowania do organu nadzoru przez dostawców usług płatniczych informacji o poważnych incydentach operacyjnych lub poważnych incydentach związanych z bezpieczeństwem, w tym w charakterze informacyjnym (dalej: „Incydenty”).  

W rozumieniu art. 4 ust. 2 ustawy z 19 sierpnia 2011 r. o usługach płatniczych (dalej: „UUP”) dostawcami usług płatniczych (dalej: „Dostawcy”) mogą być wyłącznie:
1)    bank krajowy w rozumieniu art. 4 ust. 1 pkt 1 ustawy - Prawo bankowe;
2)    oddział banku zagranicznego w rozumieniu art. 4 ust. 1 pkt 20 ustawy - Prawo bankowe;
3)    instytucja kredytowa w rozumieniu art. 4 ust. 1 pkt 17 ustawy - Prawo bankowe i odpowiednio oddział instytucji kredytowej w rozumieniu art. 4 ust. 1 pkt 18 ustawy
- Prawo bankowe;
4)    instytucja pieniądza elektronicznego i oddział instytucji pieniądza elektronicznego
- w przypadku gdy oddział znajduje się w państwie członkowskim, a siedziba takiej instytucji pieniądza elektronicznego znajduje się poza państwem członkowskim, o ile usługi płatnicze świadczone przez oddział są związane z wydawaniem pieniądza elektronicznego;
5)    oddział podmiotu świadczącego w innym niż Rzeczpospolita Polska państwie członkowskim, zgodnie z prawem tego państwa, pocztowe usługi płatnicze, uprawnionego zgodnie z prawem tego państwa do świadczenia usług płatniczych oraz Poczta Polska Spółka Akcyjna w zakresie, w jakim odrębne przepisy upoważniają ją do świadczenia usług płatniczych;
6)    instytucja płatnicza;
7)    Europejski Bank Centralny, Narodowy Bank Polski oraz bank centralny państwa członkowskiego innego niż Rzeczpospolita Polska - w przypadku gdy nie działają w charakterze władz monetarnych lub organów administracji publicznej;
8)    organ administracji publicznej;
9)    spółdzielcza kasa oszczędnościowo-kredytowa lub Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa w rozumieniu ustawy o spółdzielczych kasach oszczędnościowo-kredytowych - w zakresie, w jakim odrębne przepisy uprawniają je do świadczenia usług płatniczych;
10)    biuro usług płatniczych;
11)    mała instytucja płatnicza;
12)    dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku.

Zgodnie z art. 32g UUP dostawca przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym. Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu. 

Szczegółowe instrukcje dla dostawców  w zakresie zgłaszania incydentów zostały uregulowane w Wytycznych Europejskiego Urzędu Nadzoru Bankowego dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2) opublikowanych pod adresem: https://www.eba.europa.eu/documents/10180/2066978/Guidelines+on+incident+reporting+under+PSD2+%28EBA-GL-2017-10%29_PL.zip/5a5de98d-8cbf-4fb4-99ce-67556a129b8b

Formularze sprawozdawcze wraz z instrukcją ich wypełniania i przesyłania do organu nadzoru w zależności od rodzaju Dostawcy znajdują się w zakładkach:

Podmioty sektora bankowego: DLA RYNKU -> Informacje dla podmiotów nadzorowanych
-> Sektor bankowy -> Raportowanie incydentów na podstawie PSD2; link: https://www.knf.gov.pl/dla_rynku/Informacje_dla_podmiotow_nadzorowanych/Sektor_bankowy/raportowanie_incydentow_PSD2

Podmioty sektora kas spółdzielczych: DLA RYNKU -> Informacje dla podmiotów nadzorowanych -> Sektor kas spółdzielczych -> Raportowanie incydentów na podstawie PSD2 link: https://www.knf.gov.pl/dla_rynku/Informacje_dla_podmiotow_nadzorowanych/sektor_kas_spoldzielczych/raportowanie_incydentow_PSD2

Podmioty rynku usług płatniczych: DLA RYNKU -> Informacje dla podmiotów nadzorowanych -> Rynek usług płatniczych -> Raportowanie incydentów na podstawie PSD2 link: https://www.knf.gov.pl/dla_rynku/Informacje_dla_podmiotow_nadzorowanych/Rynek_uslug_platniczych/raportowanie_incydentow_PSD2