www.bancherul.ro
Publicatie online stiri bancare



Noi reguli europene privind platile online, care se aplica si in Romania din 1 august 2015

Autor: Bancherul.ro
2015-08-18 21:15

Inmultirea numarului de fraude online a alarmat autoritatile de supraveghere: Autoritatea Bancara Europeana (EBA) a decis introducerea, din 1 august 2015, a unor noi norme de securitate privind platile online, inclusiv pentru portofelele electronice, ce trebuie respectate de catre furnizorii de servicii de plata, in principal banci, din toate tarile europene.


BNR, autoritatea responsabila in Romania de platile electronice, inclusiv cele online, a notificat EBA ca se conformeaza noilor reguli, care vor fi integrate in practicile sale de supraveghere, prin modificarea cadrului legislativ sau a procedurilor de supraveghere a modului in care se respecta procedurile de procesare a tranzactiilor financiare pe internet.


Noile norme privind platile online, realizate de SecuRe Pay, se refera in principal la intarirea mijloacelor de autentificare a clientilor, prin verificarea identitatii acestora inainte de a efectua o plata, atat prin intermediul serviciilor bancare sau prin alte metode de plata pe internet.


EBA a decis sa emita aceste norme ca urmare a cresterii fraudelor pe internet. Conform statisticilor, fraudele aferente platilor online cu cardul au cauzat pierderi de 794 milioane de euro in 2012, in crestere cu 21,2% fata de anul precedent, iar in ultimii trei ani fraudele au fost in crestere.


Prin urmare, a fost nevoie de o reglementare coerenta, in contextul revizuirii Directivei privind serviciile de plată, care are ca scop crearea unor conditii de plata mai sigure, competitive și care sa protejeze drepturile consumatorilor în UE, precizeaza EBA.


Noile reguli au fost publicate sub forma unui ghid care, dupa cum se precizeaza in acesta, stabilește un set de cerințe minime în domeniul securității plăților pe internet.


Ghidul se bazează pe normele din Directiva 2007/64/CE1 („Directiva privind serviciile de plată”, DSP) referitoare la cerințele de informare pentru serviciile de plată și obligațiile prestatorilor de servicii de plată (PSP) în legătură cu prestarea serviciilor de plată. În plus, articolul 10 alineatul (4) din directivă impune instituțiilor de plată să dispună de sisteme de guvernanță solide și de mecanisme de control intern adecvate.


Ghidul se adresează instituțiilor financiare, astfel cum sunt definite la articolul 4 alineatul (1) din Regulamentul (UE) nr. 1093/2010, și autorităților competente, astfel cum sunt definite la articolul 4 alineatul (2) din Regulamentul (UE) nr. 1093/2010.


Autoritățile competente din cele 28 de state membre ale Uniunii Europene trebuie să asigure aplicarea prezentului ghid de prestatorii de servicii de plată, astfel cum sunt definiți la articolul 1 din DSP, aflați sub supravegherea lor.


În plus, autoritățile competente pot decide să le solicite prestatorilor de servicii de plată să raporteze autorității competente respectarea ghidului.


Scopul ghidului este de a defini cerințele minime comune pentru serviciile de plată pe internet enumerate mai jos, indiferent de dispozitivul de acces utilizat:


- carduri: executarea plăților cu cardul pe internet, inclusiv plata cu carduri virtuale, precum și înregistrarea datelor de plată cu cardul pentru utilizarea în „soluții de tip portofel”;


- transferuri-credit: executarea transferurilor-credit pe internet;


- e-mandat: emiterea și modificarea mandatelor electronice de debitare directă;


- monedă electronică: transferurile de bani electronici între două conturi de monedă electronică prin internet.


Ghidul oferă, de asemenea, exemple de bune practici pe care prestatorii de servicii de plată sunt încurajați, dar nu obligați, să le urmeze.


În cazul în care oferirea de servicii și instrumente de plată este realizată printr-un sistem de plată (de exemplu, sistemele de plăți cu cardul, sistemele transferurilor-credit, sistemele de debitare directă etc.), autoritățile competente și băncile centrale relevante cu funcție de supraveghere a instrumentelor de plată trebuie să colaboreze pentru a asigura o aplicare consecventă a ghidului de părțile responsabile pentru funcționarea sistemului.


Integratorii de plăți care oferă servicii de inițiere de plăți sunt considerați procesatori de servicii de plată pe internet (și, prin urmare, prestatori de servicii de plată), prestatori externi de servicii tehnice pentru sistemele relevante sau prestatori de servicii de plată. În acest din urmă caz, integratorii de plăți trebuie să fie obligați prin contract să respecte ghidul.


Cele 12 reguli pentru platile online


1. Prestatorii de servicii de plată trebuie să pună în aplicare și să revizuiască periodic o politică de securitate formală pentru serviciile de plată pe internet.


2. Prestatorii de servicii de plată trebuie să efectueze și să documenteze evaluări detaliate ale riscurilor în ceea ce privește securitatea plăților pe internet și a serviciilor conexe, atât înainte de inițierea serviciului (serviciilor), cât și ulterior


3. Prestatorii de servicii de plată trebuie să asigure monitorizarea, procesarea și urmărirea coerentă și integrată a incidentelor de securitate, inclusiv a reclamațiilor clienților legate de securitate. Prestatorii de servicii de plată trebuie să stabilească o procedură pentru raportarea unor astfel de incidente către conducere și, în cazul unor incidente majore legate de securitatea plăților, către autoritățile competente.


4. Prestatorii de servicii de plată trebuie să pună în aplicare măsuri de securitate în conformitate cu politicile lor respective de securitate, în scopul de a reduce riscurile identificate. Aceste măsuri trebuie să includă mai multe linii de apărare de securitate, astfel încât căderea unei linii de apărare să fie acoperită de următoarea linie de apărare („apărarea în profunzime”).


5. Prestatorii de servicii de plată trebuie să aibă procese care să asigure faptul că toate operațiunile, precum și fluxul procesului e-mandat, sunt urmărite în mod corespunzător


6. Clienții trebuie să fie identificați în mod corespunzător, în conformitate cu legislația europeană privind combaterea spălării banilor9 , și trebuie să-și confirme disponibilitatea de a efectua plăți pe internet folosind serviciile înainte de a li se fi acordat accesul la astfel de servicii. Prestatorii de servicii de plată trebuie să ofere informații adecvate „înainte”, „în mod periodic” sau, după caz, „ad-hoc” clientului cu privire la cerințele necesare (de exemplu, echipament, proceduri) pentru efectuarea operațiunilor de plată securizată pe internet și riscurile inerente.


7. Inițierea plăților pe internet, precum și accesul la datele sensibile de plată trebuie să fie protejate prin autentificarea strictă a clientului. Prestatorii de servicii de plată trebuie să aibă o procedură strictă de autentificare a clientului, în conformitate cu definiția prevăzută în prezentul ghid.


8. Prestatorii de servicii de plată trebuie să se asigure că înscrierea clientului pentru instrumente de autentificare și furnizarea inițială a acestor instrumente, necesare pentru a utiliza serviciul de plată pe internet și/sau livrarea programelor software pentru plată către clienți se efectuează într-un mod securizat.


9. Prestatorii de servicii de plată trebuie să limiteze numărul de încercări de logare sau de autentificare, să definească reguli pentru expirarea sesiunilor serviciilor de plată pe internet și să stabilească limite de timp pentru validitatea autentificării.


10. Mecanismele de monitorizare a operațiunilor, care au scopul de a preveni, de a detecta și de a bloca operațiunile de plată frauduloase trebuie să fie rulate înainte de autorizația finală a prestatorului de servicii de plată; operațiunile suspecte sau cu risc ridicat trebuie să facă obiectul unei examinări specifice și al unei proceduri de evaluare. Trebuie să existe, de asemenea, mecanisme echivalente de monitorizare a securității și de autorizare pentru emiterea de e-mandate


11. Datele de plată sensibile trebuie să fie protejate atunci când stocate, procesate sau transmise.


12. Prestatorii de servicii de plată trebuie să ofere asistență și îndrumare clienților, după caz, în ceea ce privește utilizarea securizată a serviciilor de plată pe internet. Prestatorii de servicii de plată trebuie să comunice cu clienții lor în așa fel încât să îi reasigure de autenticitatea mesajelor primite.


13. Prestatorii de servicii de plată trebuie să stabilească limite pentru serviciile de plată pe internet și le-ar putea oferi clienților opțiuni de limitare a riscurilor ulterioare în cadrul acestor limite. Ei pot oferi, de asemenea, servicii de alertă și de administrare a profilului clientului.


14. Prestatorii de servicii de plată trebuie să le confirme clienților inițierea plății și să le ofere clienților în timp util informațiile necesare pentru a verifica dacă o operațiune de plată a fost inițiată și/sau executată în mod corect.


Vezi aici Ghidul platilor online publicat de EBA