Банкеръ Weekly

Финансов дневник

ЕБО въвежда нови стандарти за сигурност на платежните услуги

Красимир Кръстев, главен експерт в дирекция "Платежен надзор" на управление "Банково" на БНБ

Предизвикателствата, свързани със защитата на комуникационните канали и техническите средства, които се използват при предоставянето на платежни услуги в една среда, която става все по-сложна за разбиране от ползвателите на тези услуги, доведоха до необходимостта от създаването на европейски регулации за тази дейност. Законодателните инициативи по отношение на законността на плащанията в ЕС са в няколко аспекта. Най-важните от тях са част от втората директива за платежните услуги (PSD 2).

Новите изисквания, които въвежда втората директива за платежните услуги, са свързани с предоставянето на информация по сметка и по иницииране на плащания от страна на доставчиците на платежни услуги. Става дума за изисквания в областта на управлението на рискове, на докладването на инциденти и на т. нар. задълбочено установяване на идентичността на клиента. Според ЕБО всички тези изисквания трябва да влязат в сила от 14 септември 2019-а. Именно във връзка с това задълбочено установяване на идентичността на клиента предстои да бъдат прилагани специални регулаторни Технически стандарти и Отворените стандарти за комуникация между доставчиците на платежни услуги.

Например регулаторните Технически стандарти ще засегнат всички онлайн операции  както за иницииране на операции, така и за достъп до платежна сметка 9 - това  засяга небанковите институции, които с PSD 2 получават достъп до пазара на платежни услуги. Тези изисквания са приложими за всички операции от разстояние, при които може да възникне някакъв риск за плащането или за злоупотреба по отношение на транзакцията по време на нейното извършване. Документът има  два раздела. В първия са самите мерки за сигурност  и за задълбочено установяване на идентичността на клиента  и съответно на персонализираните средства за защита. Основният  акцент тук е кодът, който се генерира за установяване на идентичността. Той трябва да бъде изграден върху два или повече елемента, които да установят различни характеристики от идентичността на клиента. Включва се и изискване за динамично свързване на размера на средствата и техния получател. Целта е, ако някъде по пътя на транзакцията настъпи промяна в някой от тези елементи, тази промяна да бъде отразена в самия код за установяване на идентичността. Целта на всички тези нововъведения е достатъчно сигурно и подробно да се идентифицира лицето, което нарежда плащането, така че доставчикът  да е убеден, че това е легитимният държател на платежния инструмент или съответно титулярът на сметката, от която се нарежда плащането.

Втората част от документа е  свързана  със стандартите за комуникация,  свързани с достъпа до платежни сметки. Те засягат най-вече новите доставчици на платежни услуги  по иницииране на плащания и по предоставяне на информация по сметка. В тези стандарти има изисквания за идентификация и за проследимост на операциите и за удостоверяване на идентичност на уеб-сайтовете, и за сигурност на обмена на данни между доставчиците на платежни услуги. Разбира се, има и правила за изключване на операции от изискванията за задълбочено установяване на идентичността. Такива например са плащанията на ПОС-терминал.

Във връзка с PSD 2 са издадени  Насоки на ЕБО за докладване на значими инциденти. Те са свързани с необходимостта да се изгради система за наблюдение и контрол на дейността на доставчиците на платежни услуги. Значимите инциденти се квалифицират като такива спрямо набор от количествени и качествени критерии. Те включват седем показателя, като например обем на засегнатите операции, брой на засегнатите ползватели на платежни услуги, икономическо въздействие или щетите, които би понесъл доставчикът вследствие на възникването на даден инцидент.  В насоката е установен редът, по който се докладват тези инциденти към компетентния органи - в случая БНБ. Това трябва да става в рамките на четири часа след установяването им. Ако инцидентът  засяга интереса на ползвателите на платежни услуги, доставчикът следва да ги информира за този инцидент, както и за мерките, които възнамерява да предприеме за неутрализиране на въздействието му. Ако някой доставчик използва подизпълнител за важни оперативни функции, самият доставчик, а не подизпълнителят  трябва да докладва за инцидента. Когато за да докладва за инцидента е дошъл в БНБ, тя го изпраща до Европейския банков орган. Има и предвидена възможност той да се докладва и на ЕЦБ. БНБ може да докладва инцидента и до други национални органи - като полицията  или прокуратурата.

Друг аспект са Насоките на ЕБО за мерките за сигурност за операционните рискове и за рисковете, свързани със сигурността на платежните услуги. Там е дефиницията за риск за сигурността. Тя е доста широка, но най-общо включва всеки риск, който произтича от неподходящи вътрешни процеси или външни събития, които могат по някакъв начин да повлияят на доставката на платежни услуги. В документа  са посочени девет вида насоки, които са доста обширни и засягат оценката на риска, вътрешното управление на доставчиците на платежни услуги, различни дейности, свързани с непрекъсваемостта на работата на доставчиците и връзката им с клиентите. Което засяга необходимостта потребителите да бъдат обучавани как да използват средствата за плащания, които банките им предоставят. От доставчиците се изисква  да създадат механизми за управление на рисковете и да  предвидят мерки за преодоляването на тези рискове, съобразени с естеството и обхвата на услугите, които предлагат, и да разполагат с процедури, които да следят и анализират инцидентите.

Facebook logo
Бъдете с нас и във