Regulamentul BNR nr. 4/2022 privind masurile de securitate aferente serviciilor de plata
Autor: Bancherul.ro
2022-03-21 18:45
Regulament nr. 4 din 4.mar.2022
Monitorul Oficial, Partea I 252 15.mar.2022
Intrare în vigoare la 15.mar.2022
Regulamentul nr. 4/2022 pentru modificarea Regulamentului Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată
Având în vedere:
- prevederile art. 218, 219, 223 şi art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
- Ghidul revizuit EBA/GL/2021/03 privind raportarea incidentelor majore în temeiul Directivei (UE) 2015/2.336 (DPS 2),
în temeiul dispoziţiilor art. 243 alin. (1) şi ale art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentul regulament.
Art. I. - Regulamentul Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 115 din 14 februarie 2020, cu modificările ulterioare, se modifică după cum urmează:
1. La articolul 2 alineatul (2), litera g) se modifică şi va avea următorul cuprins:
" g) confidenţialitate - proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate;".
2. La articolul 2 alineatul (2), litera h) se modifică şi va avea următorul cuprins:
" h) disponibilitate - proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată;".
3. La articolul 2 alineatul (2), litera k) se modifică şi va avea următorul cuprins:
" k) incident TIC operaţional sau de securitate - un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau ar putea avea un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii şi/sau autenticităţii serviciilor aferente plăţilor;".
4. La articolul 2 alineatul (2), litera l) se modifică şi va avea următorul cuprins:
" l) integritate - proprietatea de a asigura acurateţea şi caracterul complet al activelor, inclusiv în ceea ce priveşte datele;".
5. Titlul III se modifică şi va avea următorul cuprins:
"
TITLUL III
Raportarea incidentelor operaţionale şi/sau de securitate majore
CAPITOLUL I
Încadrarea incidentelor operaţionale şi/sau de securitate în categoria incidentelor majore
Art. 66. - Prestatorii de servicii de plată trebuie să evalueze dacă un incident operaţional sau de securitate aferent serviciilor de plată prestate se încadrează în categoria incidentelor majore, în baza analizei asupra criteriilor şi potrivit metodologiei menţionate în anexa nr. 1.
Art. 67. - Prestatorii de servicii de plată trebuie să evalueze un incident prin a stabili, pentru fiecare criteriu în parte, dacă pragurile relevante din anexa nr. 2 sunt sau este probabil să fie atinse înainte de soluţionarea incidentului.
Art. 68. - (1) Prestatorii de servicii de plată trebuie să încadreze în categoria incidentelor majore acele incidente operaţionale sau de securitate pentru care:
a) unul sau mai multe criterii se încadrează în categoria «Nivel de impact ridicat»; sau
b) trei sau mai multe criterii se încadrează în categoria «Nivel de impact redus».
(2) Criteriile prevăzute la alin. (1) se încadrează în categoria «Nivel de impact redus», respectiv «Nivel de impact ridicat», prin atingerea pragurilor prevăzute în anexa nr. 2.
Art. 69. - Prestatorii de servicii de plată trebuie să recurgă la estimări, de exemplu, în etapa investigaţiei iniţiale a incidentului, dacă nu deţin date efective pentru a-şi fundamenta evaluarea realizată potrivit art. 66-68, cum ar fi un prag stabilit sau pentru care este o probabilitate foarte mare de a fi atins înainte ca incidentul să fie soluţionat.
Art. 70. - (1) Prestatorii de servicii de plată trebuie să efectueze evaluarea menţionată la art. 66-68 pe bază continuă, pe întreaga durată a existenţei incidentului, pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin încadrarea incidentului din incident minor în major sau prin încadrarea incidentului din major în minor.
(2) Orice schimbare a încadrării incidentului din categoria incident major în categoria incident minor trebuie transmisă Băncii Naţionale a României fără întârzieri nejustificate, conform art. 91.
CAPITOLUL II
Notificarea incidentelor operaţionale şi/sau de securitate majore
SECŢIUNEA 1
Dispoziţii generale
Art. 71. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, trebuie să completeze şi să transmită Băncii Naţionale a României raportul privind incidentul major, potrivit formularelor şi instrucţiunilor de completare prevăzute în anexa nr. 3.
(2) Prin excepţie de la aplicarea prevederilor art. 1 alin. (2) lit. b), prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) şi d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României, trebuie să transmită Băncii Naţionale a României o copie a notificării prevăzute la art. 219 alin. (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prin intermediul reţelei de comunicaţii interbancare.
Art. 72. - (1) Prestatorii de servicii de plată trebuie să utilizeze formularele de raport prevăzute în anexa nr. 3 atunci când transmit rapoartele iniţiale, intermediare şi finale privind acelaşi incident, astfel cum sunt menţionate în secţiunile a 2-a-a 4-a.
(2) Prestatorii de servicii de plată trebuie să completeze integral şi progresiv rubricile din formularele de raport prevăzute la alin. (1), pe măsură ce sunt disponibile mai multe informaţii în cursul investigaţiilor, şi să indice informaţiile modificate din rapoartele precedente, dacă este cazul.
Art. 73. - Prestatorii de servicii de plată trebuie să prezinte Băncii Naţionale a României o copie a informării clienţilor săi, utilizatori ai serviciilor de plată, cu privire la incidentul operaţional sau de securitate major şi la toate măsurile pe care utilizatorii de servicii de plată le pot lua pentru a atenua efectele negative ale acestuia, conform prevederilor art. 219 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, de îndată ce această informare este disponibilă, dacă este cazul.
Art. 74. - (1) Prestatorii de servicii de plată trebuie să pună la dispoziţia Băncii Naţionale a României, la cererea acesteia, orice informaţii, date şi documente suplimentare rapoartelor transmise.
(2) Orice informaţie adiţională conţinută în documentele furnizate Băncii Naţionale a României, din propria iniţiativă sau la cererea acesteia, trebuie să fie inclusă în rapoarte.
Art. 75. - Prestatorii de servicii de plată trebuie să răspundă oricăror solicitări de furnizare de informaţii suplimentare sau clarificări din partea Băncii Naţionale a României cu privire la documentaţia care a fost deja transmisă.
Art. 76. - Prestatorii de servicii de plată trebuie să păstreze în permanenţă confidenţialitatea şi integritatea informaţiilor schimbate cu Banca Naţională a României şi să se autentifice în mod corespunzător în raporturile cu aceasta.
SECŢIUNEA a 2-a
Raportul iniţial
Art. 77. - Prestatorii de servicii de plată trebuie să transmită un raport iniţial Băncii Naţionale a României după ce un incident operaţional şi/sau de securitate a fost clasificat ca fiind major.
Art. 78. - Prestatorii de servicii de plată trebuie să indice codul unic de referinţă de identificare a incidentului comunicat de către Banca Naţională a României, atunci când transmit o actualizare a raportului iniţial şi rapoartele intermediar şi final, exceptând situaţia în care rapoartele intermediar şi final sunt transmise împreună cu raportul iniţial.
Art. 79. - Prestatorii de servicii de plată trebuie să transmită raportul iniţial prevăzut la art. 77 în termen de 4 ore de la clasificarea incidentului ca incident operaţional şi/sau de securitate major, prin canalele de raportare comunicate de către Banca Naţională a României sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare.
Art. 80. - (1) Prestatorii de servicii de plată trebuie să clasifice incidentul ca incident operaţional şi/sau de securitate major conform prevederilor art. 68 şi anexei nr. 2, în timp util de la detectarea incidentului, dar nu mai târziu de 24 de ore de la detectarea incidentului şi fără întârzieri nejustificate din momentul în care prestatorul de servicii de plată are disponibile informaţiile necesare procesului de clasificare a incidentului.
(2) Dacă este necesară extinderea termenului precizat la alin. (1) pentru clasificarea incidentului, prestatorii de servicii de plată trebuie să explice această necesitate în raportul iniţial care va fi transmis Băncii Naţionale a României.
Art. 81. - (1) Prestatorii de servicii de plată trebuie să transmită, de asemenea, un raport iniţial Băncii Naţionale a României atunci când un incident cunoscut anterior ca fiind minor este reclasificat ca unul major, ca urmare a evaluării efectuate potrivit art. 70.
(2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, prin canalele de raportare comunicate de către aceasta, raportul iniţial, de îndată ce se identifică o schimbare de stare sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare.
Art. 82. - (1) În rapoartele lor iniţiale, prestatorii de servicii de plată trebuie să includă informaţiile prevăzute în formularul «A - Raport iniţial», cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului şi consecinţele preconizate ale acestuia pe baza informaţiilor disponibile imediat după încadrarea acestuia ca major, potrivit art. 70.
(2) Prestatorii de servicii de plată trebuie să recurgă la estimări atunci când nu sunt disponibile date efective, în acord cu dispoziţiile art. 69.
SECŢIUNEA a 3-a
Raportul intermediar
Art. 83. - (1) Prestatorii de servicii de plată trebuie să transmită raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, când activităţile desfăşurate în mod uzual au revenit la normal, cu informarea corespunzătoare a Băncii Naţionale a României cu privire la această situaţie.
(2) Prestatorii de servicii de plată trebuie să considere că activităţile/operaţiunile au revenit la normal atunci când acestea se desfăşoară la nivelurile acceptabile predefinite anterior sau la nivelurile incluse în contractele încheiate cu furnizorii terţi privind nivelul serviciilor cu referire cel puţin la timpii de prelucrare, capacitatea şi cerinţele de securitate şi când măsurile de urgenţă nu mai sunt aplicabile.
Art. 84. - (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, care să conţină o descriere mai detaliată a incidentului şi a consecinţelor acestuia.
(2) Dacă activităţile desfăşurate în mod uzual nu au fost restabilite, prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României un raport intermediar în termen de 3 zile lucrătoare de la data transmiterii raportului iniţial.
(3) Prestatorii de servicii de plată trebuie să actualizeze informaţiile deja furnizate în formularele «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, atunci când au cunoştinţă despre schimbări semnificative de la data transmiterii raportului anterior, cum ar fi, de exemplu, faptul că incidentul a crescut sau a scăzut în intensitate, sunt identificate cauze noi sau sunt luate măsuri pentru soluţionarea incidentului.
(4) În situaţia în care incidentul nu a fost soluţionat în termen de 3 zile lucrătoare, prestatorii de servicii de plată vor actualiza informaţiile potrivit alin. (3) şi vor transmite Băncii Naţionale a României un raport intermediar suplimentar.
(5) Prestatorii de servicii de plată trebuie să transmită un raport intermediar suplimentar la solicitarea Băncii Naţionale a României.
Art. 85. - Când datele efective nu sunt disponibile, prestatorii de servicii de plată trebuie să recurgă la estimări, prin aplicarea în mod corespunzător a prevederilor art. 69.
Art. 86. - În cazul în care activitatea prestatorului de servicii de plată a revenit la normal în termenul de 4 ore de la momentul clasificării incidentului operaţional şi/sau de securitate ca major, prestatorii de servicii de plată trebuie să aibă în vedere transmiterea în mod simultan a raportului iniţial şi a raportului intermediar, prin completarea şi transmiterea formularelor «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, înainte de termenul de 4 ore.
SECŢIUNEA a 4-a
Raportul final
Art. 87. - Prestatorii de servicii de plată trebuie să trimită un raport final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, atunci când a fost efectuată analiza cauzelor principale, indiferent dacă au fost deja implementate măsurile de atenuare a incidentului sau dacă a fost identificată cauza principală finală, şi atunci când există date disponibile pentru a înlocui orice estimări.
Art. 88. - (1) Prestatorii de servicii de plată trebuie să transmită raportul final Băncii Naţionale a României în termen de maximum 20 de zile lucrătoare de la data la care aceştia pot demonstra că activitatea a revenit la normal.
(2) Prestatorii de servicii de plată care au nevoie de o prelungire a termenului prevăzut la alin. (1), inclusiv dacă nu sunt încă disponibile date efective cu privire la impact sau dacă nu a fost identificată cauza principală finală, trebuie să contacteze Banca Naţională a României înainte de împlinirea termenului prevăzut la alin. (1) şi să comunice o justificare adecvată a întârzierii, precum şi o nouă dată estimată pentru transmiterea raportului final.
Art. 89. - În cazul în care prestatorii de servicii de plată pot să comunice toate informaţiile necesare în raportul final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, în decurs de 4 ore de la momentul clasificării incidentului ca major, aceştia trebuie să aibă în vedere furnizarea agregată a informaţiilor referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea împreună/simultan a formularelor «A - Raport iniţial», «B - Raport intermediar» şi «C - Raport final», cuprinse în anexa nr. 3.
Art. 90. - Prestatorii de servicii de plată trebuie să includă în rapoartele finale informaţii complete cu privire la:
a) datele efective privind impactul în locul estimărilor utilizate şi orice alte actualizări necesare ale informaţiilor referitoare la raportul iniţial şi raportul intermediar, cuprinse în formularele «A - Raport iniţial» şi «B - Raport intermediar», prevăzute în anexa nr. 3; şi
b) formularul «C - Raport final», cuprins în anexa nr. 3, care să includă cauza principală, dacă aceasta este deja cunoscută, precum şi o prezentare succintă a măsurilor adoptate sau planificate a fi adoptate pentru a elimina problema şi a preveni reapariţia acesteia în viitor.
Art. 91. - (1) Prestatorii de servicii de plată trebuie să transmită rapoartele finale şi atunci când, ca urmare a evaluării pe bază continuă a incidentului, aceştia constată faptul că un incident major deja raportat nu mai îndeplineşte criteriile pentru a fi considerat major şi nu se preconizează că acesta le va îndeplini înainte de soluţionarea incidentului.
(2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să trimită rapoartele finale de îndată ce se constată această situaţie şi, în orice caz, până la termenul transmiterii următorului raport.
(3) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reîncadrarea incidentului drept minor, să transmită formularul «C - Raport final», cuprins în anexa nr. 3, şi să explice motivele acestei încadrări.
CAPITOLUL III
Raportarea delegată şi consolidată
Art. 92. - (1) În cazul prestatorilor de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege îndeplinirea obligaţiilor de raportare a incidentelor majore unei terţe părţi, aceştia trebuie să informeze în prealabil Banca Naţională a României şi să asigure îndeplinirea următoarelor condiţii:
a) contractul sau acordurile interne existente în cadrul unui grup, după caz, care stă/stau la baza raportării delegate dintre prestatorul de servicii de plată şi terţa parte defineşte/definesc în mod clar alocarea responsabilităţilor tuturor părţilor;
b) delegarea respectă cerinţele privind externalizarea funcţiilor operaţionale importante prevăzute la:
(i) art. 54 şi 55 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi art. 46-50 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică în legătură cu instituţiile de plată şi, respectiv, pentru instituţiile emitente de monedă electronică; sau
(ii) cap. V al titlului II din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, pentru instituţiile de credit;
c) asigură în mod corespunzător confidenţialitatea datelor sensibile, precum şi calitatea, consecvenţa, integritatea şi fiabilitatea informaţiilor care vor fi transmise Băncii Naţionale a României;
d) transmiterea, în prealabil, către Banca Naţională a României a tuturor informaţiilor în acord cu prevederile art. 97 şi obţinerea aprobării prevăzute la art. 98.
(2) În situaţia prevăzută la alin. (1) lit. a), contractul sau acordurile interne existente în cadrul unui grup, după caz, trebuie să prevadă în mod clar faptul că prestatorul de servicii de plată afectat rămâne pe deplin responsabil şi răspunzător pentru îndeplinirea cerinţelor prevăzute la art. 219 alin. (1), (2) şi (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi pentru conţinutul informaţiilor prezentate Băncii Naţionale a României.
(3) În situaţia prevăzută la alin. (1) lit. b) pct. (i), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca funcţie operaţională importantă.
(4) În situaţia prevăzută la alin. (1) lit. b) pct. (ii), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca activitate semnificativă, în înţelesul Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
Art. 93. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege unei terţe părţi îndeplinirea obligaţiilor de raportare în mod consolidat, prin transmiterea unui singur raport care face referire la mai mulţi prestatori de servicii de plată afectaţi de acelaşi incident operaţional sau de securitate major, trebuie să informeze Banca Naţională a României, să includă informaţiile de contact cu privire la prestatorii de servicii de plată afectaţi, cuprinse în formularul «A - Raport iniţial» din anexa nr. 3, şi să se asigure de îndeplinirea următoarelor condiţii:
a) includerea dispoziţiilor referitoare la raportarea consolidată în contractul care stă la baza raportării delegate;
b) raportarea consolidată condiţionată de faptul că incidentul este cauzat de o întrerupere a serviciilor prestate de către terţa parte;
c) limitarea raportării consolidate la prestatorii de servicii de plată stabiliţi în acelaşi stat membru;
d) transmiterea listei tuturor prestatorilor de servicii de plată afectaţi de incident şi asigurarea faptului că terţa parte evaluează semnificaţia incidentului pentru fiecare prestator de servicii de plată afectat şi include în raportul consolidat doar prestatorii de servicii de plată pentru care incidentul a fost clasificat drept unul major. În cazul incertitudinii, asigură includerea unui prestator de servicii de plată în raportul consolidat atât timp cât nu există dovezi în sens contrar;
e) asigurarea faptului că, atunci când nu este posibil să se furnizeze un singur răspuns în unele câmpuri cuprinse în formularele prevăzute în anexa nr. 3, terţa parte fie completează date individuale pentru fiecare prestator de servicii de plată afectat, specificând în plus identitatea fiecărui prestator de servicii de plată la care se referă informaţiile, fie utilizează valori agregate, astfel cum au fost observate sau estimate pentru acei prestatori de servicii de plată;
f) trebuie să se asigure că terţa parte informează în permanenţă prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu privire la toate informaţiile relevante legate de incident şi la toate interacţiunile pe care terţa parte le-ar putea avea cu Banca Naţională a României, precum şi cu privire la conţinutul acestora, însă doar în măsura în care acest lucru este compatibil cu evitarea oricărei încălcări a confidenţialităţii în ceea ce priveşte informaţiile referitoare la alţi prestatori de servicii de plată.
(2) Dispoziţiile art. 92 alin. (1) lit. b) sunt aplicabile în mod corespunzător în ceea ce priveşte delegarea unei terţe părţi pentru a îndeplini obligaţiile de raportare în mod consolidat, în acord cu alin. (1).
Art. 94. - Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, nu trebuie să îşi delege îndeplinirea obligaţiilor de raportare potrivit art. 92 sau 93, după caz, înainte de a obţine aprobarea Băncii Naţionale a României potrivit prevederilor art. 98 sau după ce au fost informaţi de către Banca Naţională a României cu privire la faptul că acordul de externalizare nu îndeplineşte cerinţele prevăzute la art. 94 alin. (1) lit. b).
Art. 95. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să retragă delegarea îndeplinirii obligaţiilor lor de raportare trebuie să informeze Banca Naţională a României în termen de maximum 5 zile lucrătoare de la data luării acestei decizii.
(2) Prestatorii de servicii de plată prevăzuţi la alin. (1) trebuie să informeze Banca Naţională a României cu privire la orice evoluţie semnificativă care afectează terţa parte desemnată şi capacitatea acesteia de a-şi îndeplini obligaţiile de raportare.
Art. 96. - (1) Prestatorii de servicii de plată trebuie să îşi îndeplinească obligaţiile de raportare prevăzute în prezentul titlu, fără a recurge la asistenţa externă, ori de câte ori terţa parte desemnată nu a informat Banca Naţională a României cu privire la un incident operaţional sau de securitate major în conformitate cu prevederile art. 219 alin. (1) şi/sau (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi cu cele ale prezentului titlu.
(2) Prestatorii de servicii de plată trebuie să se asigure că un incident operaţional sau de securitate major nu este raportat de două ori, individual, de către prestatorul de servicii de plată în cauză şi încă o dată de către terţa parte către care prestatorul de servicii de plată a delegat îndeplinirea obligaţiilor de raportare.
(3) Prestatorii de servicii de plată trebuie să se asigure că în cazul în care un incident este cauzat de o întrerupere a serviciilor prestate de un furnizor terţ de servicii tehnice sau de infrastructură, care afectează mai mulţi prestatori de servicii de plată, raportarea delegată se referă la datele individuale aferente prestatorului de servicii de plată afectat, cu excepţia cazului în care se raportează consolidat.
Art. 97. - (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează, în acord cu prevederile art. 92 şi 93, să îşi delege unei terţe părţi obligaţiile de raportare a incidentelor operaţionale sau de securitate majore specifice propriilor servicii de plată prestate, la nivel individual sau consolidat, trebuie să transmită Băncii Naţionale a României, fără întârzieri nejustificate, o cerere însoţită de următoarele documente şi informaţii:
a) decizia internă cu privire la raportarea delegată sau consolidată a incidentelor majore specifice propriilor servicii de plată prestate, după caz, semnată la nivelul organului de conducere al prestatorilor de servicii de plată;
b) extrasul din contractul/acordul intern care stă la baza delegării îndeplinirii obligaţiilor de raportare, care să probeze îndeplinirea condiţiilor prevăzute la art. 92 alin. (1) lit. a) şi c) şi, respectiv, art. 93 alin. (1) lit. a)-f), după caz.
(2) În situaţia în care documentaţia transmisă de către prestatorii de servicii de plată nu îndeplineşte cerinţele menţionate la alin. (1), Banca Naţională a României comunică acestora, în termen de 30 de zile lucrătoare, documentele şi informaţiile necesare pentru conformarea la dispoziţiile alin. (1).
(3) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii relevante în scopul evaluării cu privire la delegarea obligaţiilor de raportare, în acord cu prevederile art. 92 şi 93.
(4) Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate potrivit alin. (2) şi/sau (3) în termen de maximum 45 de zile lucrătoare de la data comunicării solicitării.
(5) Pentru situaţii bine fundamentate de prestatorul de servicii de plată, la cererea acestuia, Banca Naţională a României poate prelungi termenul de transmitere a documentelor şi informaţiilor prevăzut la alin. (4).
(6) Documentaţia este completă numai după ce prestatorii de servicii de plată au transmis toate documentele şi informaţiile potrivit alin. (1)-(3), în termenul prevăzut la alin. (4), respectiv alin. (5), dacă este cazul.
(7) Informaţiile şi documentele prezentate după expirarea termenelor prevăzute în prezentul articol nu sunt luate în considerare la evaluarea cererii prestatorului de servicii de plată de delegare a unei terţe părţi a obligaţiilor de raportare a incidentelor operaţionale sau de securitate majore.
Art. 98. - Banca Naţională a României evaluează şi comunică prestatorului de servicii de plată decizia sa cu privire la posibilitatea prestatorului de servicii de plată de a delega către o terţă parte obligaţiile sale de raportare a incidentelor majore potrivit prezentului titlu, în termen de 30 de zile lucrătoare de la data la care documentaţia este considerată completă potrivit art. 97 alin. (6)."
6. Anexa nr. 1 se modifică şi se înlocuieşte cu anexa nr. 1 care face parte integrantă din prezentul regulament.
7. Anexa nr. 2 se modifică şi se înlocuieşte cu anexa nr. 2 care face parte integrantă din prezentul regulament.
8. Anexa nr. 3 se modifică şi se înlocuieşte cu anexa nr. 3 care face parte integrantă din prezentul regulament.
Art. II. - Prezentul regulament se publică în Monitorul Oficial al României, Partea I.
p. Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Florin Georgescu
Bucureşti, 4 martie 2022.
Nr. 4.
ANEXA Nr. 1
(Anexa nr. 1 la Regulamentul nr. 2/2020)
Criterii relevante pentru calificarea incidentelor şi indicatorii pe baza cărora acestea se cuantifică
A. Operaţiuni de plată afectate
Prestatorii serviciilor de plată trebuie să stabilească valoarea totală a operaţiunilor afectate şi numărul operaţiunilor de plată compromise, inclusiv numărul operaţiunilor de plată compromise exprimate ca procent din nivelul obişnuit al operaţiunilor de plată executate cu serviciile de plată afectate.
Operaţiuni afectate reprezintă toate operaţiunile de plată naţionale şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în special, acele operaţiuni de plată care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost dispuse în mod fraudulos, indiferent dacă fondurile aferente au fost recuperate sau nu sau executarea adecvată este prevenită sau împiedicată în orice fel de incident.
Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului.
Prestatorii de servicii de plată trebuie să determine nivelul obişnuit al operaţiunilor de plată ca media zilnică calculată la nivelul anului precedent a operaţiunilor de plată naţionale şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident. Dacă prestatorii de servicii de plată nu consideră că această cifră este reprezentativă, de exemplu, din cauza caracterului sezonier, aceştia trebuie să utilizeze un alt indicator mai reprezentativ şi să prezinte Băncii Naţionale a României justificarea aferentă pentru această abordare şi să indice această abordare în câmpul "Operaţiuni de plată afectate/Comentarii" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
Dacă nu este posibil a se stabili numărul şi valoarea operaţiunii afectate, prestatorii de servicii de plată trebuie să utilizeze estimări şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
B. Utilizatori ai serviciilor de plată afectaţi
Prestatorii de servicii de plată trebuie să stabilească numărul utilizatorilor serviciilor de plată afectaţi, exprimat în termeni absoluţi şi ca procent din numărul total al utilizatorilor serviciilor de plată.
Utilizatori ai serviciilor de plată afectaţi reprezintă toţi clienţii de la nivel naţional sau din străinătate, consumatori sau persoane juridice, care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, şi care au suportat sau vor suporta probabil consecinţele incidentului. Dacă nu este posibil a se stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului, prestatorii de servicii de plată trebuie să utilizeze estimări bazate pe activitatea anterioară şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament.
În cazul grupurilor, fiecare prestator de servicii de plată trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui prestator de servicii de plată care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar prestatorii de servicii de plată care beneficiază de respectivele servicii operaţionale trebuie să evalueze incidentul în legătură cu utilizatorii serviciilor de plată proprii.
Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată, prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale care afectează utilizatorii serviciilor de plată cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului.
Prestatorii de servicii de plată trebuie să considere numărul total al utilizatorilor serviciilor de plată ca fiind valoarea cumulată a utilizatorilor serviciilor de plată de la nivel naţional sau din străinătate cu care au raporturi contractuale la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată.
C. Încălcarea securităţii reţelelor sau a sistemelor informatice
Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis securitatea reţelelor sau a sistemelor informatice legate de furnizarea de servicii de plată.
Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice, inclusiv a datelor, legate de furnizarea de servicii de plată.
D. Perioadă de nefuncţionare a serviciului
Prestatorii de servicii de plată trebuie să stabilească perioada de timp în care serviciul va fi probabil nefuncţional pentru utilizatorul serviciilor de plată sau în care ordinul de plată nu poate fi executat de către prestatorul de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibilă/indisponibil şi, astfel, împiedică (i) iniţierea şi/sau executarea unui serviciu de plată şi/sau (ii) accesul la un cont de plăţi.
Prestatorii de servicii de plată trebuie să calculeze perioada de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp cuprinse într-o zi lucrătoare în care aceştia desfăşoară activitate ce le permite executarea unui serviciu de plată, cât şi orele din afara programului de activitate şi perioadele de întreţinere, dacă este cazul şi dacă sunt aplicabile. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al nefuncţionării serviciilor, aceştia trebuie să calculeze în mod excepţional perioada de nefuncţionare a serviciului de la momentul în care s-a detectat nefuncţionarea.
E. Impact economic
Prestatorii de servicii de plată trebuie să stabilească la nivel global costurile financiare asociate incidentului şi să ia în calcul atât valoarea absolută, cât şi, dacă este cazul, importanţa relativă a acestor costuri în raport cu dimensiunea prestatorului de servicii de plată, respectiv cu fondurile proprii de nivelul 1 ale prestatorului de servicii de plată.
Prestatorii de servicii de plată trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi pe cele care sunt legate în mod indirect de incident. Printre altele, prestatorii de servicii de plată trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, prestatorii de servicii de plată trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza.
F. Nivel ridicat de escaladare internă
Prestatorii serviciilor de plată trebuie să stabilească dacă acest incident a fost sau va fi probabil raportat conducerii superioare.
Prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. Suplimentar, prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză.
G. Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate
Prestatorii de servicii de plată trebuie să stabilească implicaţiile sistemice pe care le va avea probabil incidentul, cum ar fi potenţialul acestuia de a se propaga asupra altor prestatori de servicii de plată, infrastructuri ale pieţei financiare şi/sau scheme de plată.
Prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieţei financiare, care trebuie înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care susţin serviciile lor de plată şi alţi prestatori de servicii de plată. În mod specific, prestatorii de servicii de plată trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi prestatori de servicii de plată, dacă acesta a afectat sau va afecta probabil funcţionarea infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil funcţionarea robustă a sistemului financiar în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă prestatorul de servicii de plată a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare.
H. Impact reputaţional
Prestatorii de servicii de plată trebuie să stabilească modul în care incidentul poate submina încrederea utilizatorilor de servicii de plată în prestatorul de servicii de plată însuşi şi, în general, în serviciul aferent sau piaţa în ansamblu.
Prestatorii de servicii de plată trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa lor, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, prestatorii de servicii de plată trebuie să considere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor.
Prestatorii de servicii de plată trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc.); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut.
ANEXA Nr. 2
(Anexa nr. 2 la Regulamentul nr. 2/2020)
Praguri ale criteriilor luate în considerare la calificarea unui incident în categoria incidentelor majore
Criterii Nivel de impact redus Nivel de impact ridicat
Operaţiuni de plată afectate > 10% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)
şi
durata incidentului > o oră*)
sau
> 500.000 EUR
şi
durata incidentului > o oră*) > 25% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)
sau
> 15.000.000 EUR
Utilizatori ai serviciilor de plată afectaţi > 5.000
şi
durata incidentului > o oră*)
sau
> 10% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată
şi
durata incidentului > o oră*) > 50.000
sau
> 25% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată
Perioadă de nefuncţionare a serviciului > 2 ore Nu este cazul.
Încălcare a securităţii reţelelor sau a sistemelor informatice Da Nu este cazul.
Impact economic Nu este cazul. > Max. (0,1% fonduri proprii de nivelul 1**), 200.000 EUR)
sau
> 5.000.000 EUR
Nivel ridicat de escaladare internă Da Da, şi declanşarea modulului de gestionare a situaţiei de criză (sau echivalent) este cea mai probabilă.
Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate Da Nu este cazul.
Impact reputaţional Da Nu este cazul.
*) Pragul privind durata incidentului pe o perioadă mai mare de o oră se aplică numai la incidente operaţionale care afectează capacitatea prestatorului de servicii de plată de a iniţia şi/sau procesa operaţiuni de plată.
**) Fondurile proprii de nivelul 1, astfel cum sunt definite la art. 25 din Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului din 26 iunie 2013 privind cerinţele prudenţiale pentru instituţiile şi societăţile de investiţii şi de modificare a Regulamentului (UE) nr. 648/2012.
ANEXA Nr. 3
(Anexa nr. 3 la Regulamentul nr. 2/2020)
Formularele de raportare a incidentelor majore
Formular de raportare
Formular de raportare
Formular de raportare
Formular de raportare
Metodologie şi instrucţiuni de completare a formularelor de raportare a incidentelor majore
Prestatorii de servicii de plată trebuie să completeze secţiunea relevantă din formularele de raport cuprinse în prezenta anexă în funcţie de etapa de raportare în care se află: secţiunea A - pentru raportul iniţial, secţiunea B - pentru rapoarte intermediare şi secţiunea C - pentru raportul final. Prestatorii de servicii de plată trebuie să utilizeze acelaşi formular atunci când transmit informaţiile referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea formularelor "A - Raport iniţial", "B - Raport intermediar" şi "C - Raport final". Toate câmpurile sunt obligatorii, exceptând cazurile în care se specifică altfel în mod clar.
Titlu
Raport iniţial: aceasta este prima notificare pe care prestatorul de servicii de plată (PSP) o transmite Băncii Naţionale a României (BNR).
Raport intermediar: acesta conţine o descriere detaliată a incidentului şi a efectelor acestuia şi reprezintă o actualizare a raportului iniţial şi intermediar, dacă este cazul, cu privire la acelaşi incident.
Raport final: acesta este ultimul raport pe care PSP îl va trimite BNR cu privire la incident, întrucât: (i) a fost deja efectuată o analiză a cauzelor principale şi estimările pot fi înlocuite cu cifre reale sau; (ii) incidentul nu mai este considerat unul major şi trebuie reclasificat drept unul minor.
Reîncadrarea incidentului drept unul minor: incidentul nu mai îndeplineşte criteriile pentru a fi considerat major şi nu este de aşteptat să le îndeplinească înainte ca acesta să fie soluţionat. PSP trebuie să explice motivele acestei reîncadrări.
Data şi ora raportului: data şi ora exactă a transmiterii raportului către BNR
Codul de identificare a incidentului (aplicabil pentru raportul intermediar şi cel final, precum şi pentru actualizări ale raportului iniţial): cod de referinţă emis de BNR la primirea raportului iniţial pentru a identifica în mod unic incidentul
A - Raport iniţial
A 1 - Detalii generale
Tip de raport:
Individual: trebuie indicat dacă raportul se referă la un singur prestator de servicii de plată afectat (PSP), după caz.
Consolidat: trebuie indicat dacă raportul se referă la mai mulţi PSP afectaţi de acelaşi incident major operaţional şi/sau de securitate, care utilizează opţiunea de raportare consolidată, după caz. Câmpurile de la secţiunea "Prestatorul de servicii de plată afectat" trebuie lăsate necompletate (cu excepţia câmpului "Ţara/Ţările afectată/afectate de incident") şi trebuie furnizată o listă a PSP incluşi în raport prin completarea tabelului aferent (Raport consolidat - lista PSP).
Prestatorul de servicii de plată afectat (PSP): se referă la PSP căruia i se întâmplă incidentul.
Denumirea prestatorului de servicii de plată: trebuie indicat numele complet al PSP care face obiectul procedurii de raportare, aşa cum apare în registrul naţional oficial al PSP aplicabil, administrat de BNR.
Numărul unic de identificare al prestatorului de servicii de plată la nivel naţional: trebuie indicat numărul de identificare unic relevant, utilizat pentru identificarea PSP, astfel:
a) numărul din registrul administrat de BNR pentru instituţiile de plată prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
b) numărul din registrul administrat de BNR pentru instituţiile emitente de monedă electronică prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
c) numărul din registrul administrat de BNR pentru furnizorii specializaţi în servicii de informare cu privire la conturi, persoane juridice române şi persoane fizice cu sediul profesional în România, prevăzute la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
d) numărul de înmatriculare din registrul instituţiilor de credit, administrat de BNR pentru entităţile care sunt instituţii de credit, persoane juridice române sau sucursale ale instituţiilor de credit din state terţe autorizate de Banca Naţională a României, prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
e) codul unic de identificare fiscală sau un element echivalent pentru entităţile care sunt furnizori de servicii poştale giro care prestează servicii de plată potrivit cadrului legislativ naţional aplicabil, prevăzute la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Conducerea/Entitatea-mamă la nivelul grupului: în cazul grupurilor de entităţi definite la art. 5 alin. (1) pct. 29 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative trebuie indicat numele entităţii conducătoare.
Ţara/Ţările afectată/afectate de incident: trebuie indicată ţara sau indicate ţările, după caz, în care s-a materializat impactul incidentului (de exemplu, sunt afectate mai multe sucursale ale unui PSP aflate în diferite ţări), indiferent de severitatea incidentului în altă ţară/alte ţări. Este posibil ca aceasta să fie sau să nu fie aceeaşi cu statul membru de origine.
Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului sau, dacă o persoană terţă raportează în numele PSP afectat, prenumele şi numele de familie ale persoanei care conduce departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat.
E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative care ar putea fi contactată de către BNR pentru a solicita informaţii despre un incident, atunci când persoana de contact principală nu este disponibilă. Dacă o parte terţă raportează în numele PSP afectat, numele şi prenumele unei persoane alternative din departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat.
E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Entitatea raportoare: această secţiune trebuie completată dacă o terţă parte îndeplineşte obligaţiile de raportare în numele PSP afectat, dacă este cazul.
Denumirea entităţii raportoare: trebuie indicată denumirea completă a entităţii care raportează incidentul, aşa cum apare în registrul naţional oficial al companiilor aplicabil.
Numărul unic de identificare al entităţii raportoare la nivel naţional: trebuie indicat numărul de identificare unic relevant utilizat în ţara în care se află partea terţă pentru a identifica entitatea care raportează incidentul.
Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului.
E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative din cadrul entităţii care raportează incidentul, care ar putea fi contactată de către Banca Naţională României atunci când persoana de contact principală nu este disponibilă.
E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii.
Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare care pot fi abordate, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii.
A 2 - Detectarea şi încadrarea incidentului
Data şi ora detectării incidentului: trebuie indicate data şi ora la care incidentul a fost identificat pentru prima dată.
Data şi ora încadrării incidentului: trebuie indicate data şi ora la care incidentul operaţional sau de securitate a fost clasificat ca major.
Incidentul a fost detectat de către: trebuie indicat dacă incidentul a fost detectat de către un utilizator al unui serviciu de plată, o structură organizatorică din cadrul PSP (de exemplu, o funcţie de audit internă) sau o parte externă (de exemplu, un furnizor extern de servicii). În alte cazuri vă rugăm să oferiţi o explicaţie în câmpul aferent.
Tipul incidentului: trebuie indicat dacă, din informaţiile şi datele deţinute, este un incident operaţional şi/sau de securitate.
Operaţional: reprezintă un incident apărut ca urmare a unor procese inadecvate sau defectuoase, din cauza unor persoane şi sisteme ori cazuri de forţă majoră care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor.
Securitate: reprezintă un incident cauzat de accesul, utilizarea, divulgarea, perturbarea, modificarea sau distrugerea neautorizată a activelor PSP care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor. Acest lucru se poate întâmpla atunci când, printre altele, PSP se confruntă o încălcare a securităţii reţelelor sau a sistemelor informatice.
Criterii care declanşează elaborarea raportului privind incidentul major: trebuie indicat criteriul sau indicate criteriile care au generat raportarea incidentului ca major. Se pot selecta una sau mai multe opţiuni din următoarele criterii: operaţiuni de plată afectate, utilizatori ai serviciilor de plată afectaţi, perioadă de nefuncţionare a serviciului, încălcare a securităţii reţelelor sau a sistemelor informatice, impact economic, nivel ridicat de escaladare internă, alţi prestatori de servicii de plată sau alte infrastructuri relevante potenţial afectaţi/afectate şi impact reputaţional.
O descriere scurtă şi generală a incidentului: trebuie explicate pe scurt cele mai relevante aspecte ale incidentului, cu indicarea posibilelor cauze, a impactului imediat etc.
Impactul asupra altor state ale UE, dacă este cazul: trebuie indicat în cazul în care se consideră că incidentul are impact în alt stat membru sau în alte state membre şi se încadrează în termenele-limită de raportare aplicabile. Trebuie furnizată şi traducerea în limba engleză.
Raportarea incidentului către alte autorităţi: trebuie indicat dacă incidentul a fost/va fi raportat către alte autorităţi în baza altor cerinţe legale de raportare, dacă acestea sunt cunoscute la momentul raportării. Trebuie indicată fiecare autoritate naţională către care s-a efectuat/va fi efectuată raportarea.
Motivul trimiterii întârziate a raportului iniţial: trebuie indicată motivaţia pentru care prestatorul de servicii de plată necesită extinderea termenului de raportare de 24 de ore de la momentul clasificării incidentului ca major.
B - Raport intermediar
B 1 - Detalii generale
Descrierea mai detaliată a incidentului: trebuie furnizată o descriere detaliată a principalelor caracteristici ale incidentului, care să includă cel puţin următoarele: aspectele specifice şi contextul aferent, apariţia şi evoluţia incidentului, impactul, în special asupra utilizatorilor serviciilor de plată (USP), şi, după caz, comunicarea avută cu USP.
A fost considerat incidentul în legătură cu unul sau mai multe incidente anterioare?: trebuie indicat dacă incidentul este sau nu corelat cu incidente anterioare, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a fost corelat cu incidente anterioare, trebuie indicat/indicate care dintre acestea.
Au fost afectaţi sau implicaţi alţi furnizori de servicii sau terţi?: trebuie indicat dacă incidentul a afectat sau nu alţi furnizori de servicii/terţe părţi, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a afectat sau a implicat alţi furnizori de servicii/terţe părţi, trebuie indicate părţile afectate, prin enumerare, şi trebuie furnizate mai multe informaţii.
S-au aplicat măsuri de gestionare a crizei (intern şi/sau extern)?: trebuie indicat dacă a început sau nu gestionarea crizei la nivel intern şi/sau extern. Dacă gestionarea crizei a început, trebuie furnizate mai multe informaţii.
Data şi ora începerii incidentului: trebuie indicate data şi ora la care a apărut incidentul, dacă sunt cunoscute.
Data şi ora la care incidentul a fost restabilit (soluţionat) sau este de aşteptat să fie restabilit (soluţionat): trebuie indicate data şi ora când incidentul a fost sau se aşteaptă să fie restabilit şi activităţile au revenit sau se aşteaptă să revină la normal.
Arii funcţionale afectate: trebuie indicată fiecare etapă din cadrul procesului de plată care a fost afectată de incident. Se pot selecta una sau mai multe opţiuni din următoarele: autentificare/autorizare, comunicare, compensare, decontare directă, decontare indirectă, altele.
Autentificare/Autorizare: reprezintă procedurile care permit PSP să verifice identitatea unui utilizator al serviciului de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv a utilizării elementelor de securitate personalizate ale utilizatorului, şi a exprimării acordului utilizatorului serviciului de plată (sau al unui terţ care acţionează în numele utilizatorului respectiv) faţă de transferarea fondurilor.
Comunicare: reprezintă fluxul de informaţii în scopul identificării, autentificării, notificării şi comunicării dintre PSP care oferă servicii de administrare cont şi prestatorii de servicii de iniţiere a plăţii, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plăţii şi alţi PSP.
Compensare: reprezintă un proces de transmitere, reconciliere şi, în unele cazuri, confirmare a ordinelor de transfer înainte de decontare, eventual cu includerea compensării ordinelor şi cu stabilirea poziţiilor finale pentru decontare.
Decontare directă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către însuşi PSP afectat.
Decontare indirectă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către un alt PSP în numele PSP afectat.
Altele: reprezintă altă arie funcţională afectată, diferită cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Modificări aduse rapoartelor anterioare: trebuie indicate modificările faţă de informaţiile furnizate în rapoartele precedente cu privire la acelaşi incident (de exemplu, raportul iniţial şi, dacă este cazul, raportul intermediar).
B 2 - Clasificarea incidentului şi informaţii privind incidentul
Operaţiuni de plată afectate: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, precum şi valorile aferente: numărul operaţiunilor de plată afectate, procentul operaţiunilor de plată afectate în raport cu numărul operaţiunilor de plată executate cu aceleaşi servicii de plată care au fost afectate de incident, precum şi valoarea totală a operaţiunilor. PSP trebuie să prezinte valori specifice pentru aceste variabile, care pot fi valori efective sau estimări. Ca regulă generală, PSP trebuie să înţeleagă ca fiind "operaţiuni de plată afectate" toate operaţiunile interne şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în mod specific, acele operaţiuni care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost iniţiate în mod fraudulos (indiferent dacă fondurile au fost recuperate sau nu). Mai mult, PSP trebuie să înţeleagă faptul că nivelul obişnuit al operaţiunilor de plată este media anuală zilnică a operaţiunilor interne şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident, considerând anul anterior ca fiind perioada de referinţă pentru calcule. Dacă PSP nu consideră că această valoare este reprezentativă (de exemplu, din cauza caracterului sezonier), aceştia trebuie să utilizeze în schimb un alt indicator mai reprezentativ şi să prezinte autorităţii naţionale justificarea aferentă acestei abordări în câmpul "Comentarii". În cazurile în care operaţiunile de plată, denominate în alte monede decât euro, sunt afectate de incident, la calcularea pragurilor şi raportarea valorii operaţiunilor de plată, PSP trebuie să convertească valoarea acestor operaţiuni în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului.
Utilizatori ai serviciilor de plată afectaţi: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, şi valorile aferente: numărul total al utilizatorilor serviciilor de plată care au fost afectaţi şi procentul utilizatorilor serviciilor de plată afectaţi din numărul total al utilizatorilor serviciilor de plată. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să înţeleagă ca fiind "utilizatori ai serviciilor de plată afectate" toţi clienţii (de la nivel intern sau din străinătate, consumatori sau întreprinderi) care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat şi care au suportat sau vor suporta probabil consecinţele incidentului. PSP trebuie să recurgă la estimări bazate pe activitatea anterioară pentru a stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului. În cazul grupurilor, fiecare PSP trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui PSP care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar PSP care beneficiază de respectivele servicii operaţionale trebuie să evalueze, de asemenea, incidentul în legătură cu utilizatorii serviciilor de plată proprii. Mai mult, PSP trebuie să considere ca fiind numărul total al utilizatorilor serviciilor de plată valoarea agregată a utilizatorilor serviciilor de plată interni şi din străinătate faţă de care este obligat prin contract la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată.
Încălcare a securităţii reţelelor sau a sistemelor informatice: trebuie stabilit dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice (inclusiv a datelor) legate de furnizarea de servicii de plată.
Perioadă de nefuncţionare a serviciului: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valoarea aferentă: timpul total de indisponibilitate a serviciului. PSP trebuie să prezinte valori concrete pentru această variabilă, care pot fi exprimate în valori efective sau estimări. PSP trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibil şi, astfel, împiedică: (i) iniţierea şi/sau executarea unui serviciu de plată; şi/sau (ii) accesul la un cont de plăţi. PSP trebuie să calculeze durata de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp în care aceştia funcţionează conform cerinţelor de executare a serviciilor de plată, cât şi orele în care nu funcţionează, precum şi perioadele de întreţinere, dacă este cazul şi dacă există. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al indisponibilităţii serviciului, aceştia trebuie să calculeze în mod excepţional durata de nefuncţionare a serviciului de la momentul în care s-a detectat indisponibilitatea.
Impact economic: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valorile aferente: costurile directe şi indirecte exprimate în euro. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi cele care sunt legate în mod indirect de incident. Printre altele, PSP trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri specifice expertizei criminalistice sau costuri de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, PSP trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. În cazurile în care costurile sunt exprimate în alte monede decât euro, atunci când se calculează pragul şi se raportează valoarea impactului economic, PSP trebuie să convertească valoarea costurilor în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului.
Costuri directe: suma de bani (în euro) asociată costului direct al incidentului, inclusiv fonduri necesare pentru remedierea incidentului (de exemplu, fonduri sau active expropriate, costuri de înlocuire a echipamentelor hardware şi software, tarife datorate nerespectării obligaţiilor contractuale).
Costuri indirecte: suma de bani (în euro) asociată costului indirect al incidentului (de exemplu, costuri asociate reparaţiilor/compensaţiilor pentru clienţi, venituri pierdute ca urmare a oportunităţilor de afaceri ratate, posibile cheltuieli judiciare).
Nivel ridicat de escaladare internă: trebuie să se aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. În plus, PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză.
Alţi PSP sau infrastructuri relevante potenţial afectaţi/afectate: trebuie evaluat impactul incidentului asupra pieţei financiare, care este înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care o susţin, precum şi restul PSP. În mod specific, PSP trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi PSP, dacă acesta a afectat sau va afecta probabil funcţionarea fără probleme a infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil soliditatea sistemului financiar în ansamblu. PSP trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă PSP a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare.
Impact reputaţional: trebuie să se aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa PSP, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, PSP trebuie să aibă în vedere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. PSP trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc. Acoperirea mediatică în acest context nu înseamnă doar câteva comentarii negative din partea urmăritorilor, ci ar trebui să existe o raportare valabilă sau un număr semnificativ de comentarii/alerte negative); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut.
B 3 - Descrierea incidentului
Tipul incidentului: trebuie precizată natura operaţională sau de securitate a incidentului. Explicaţii suplimentare trebuie furnizate în câmpul corespunzător din raportul iniţial.
Cauza incidentului: trebuie precizată cauza incidentului sau, dacă aceasta nu se cunoaşte încă, cea mai probabilă cauză. Se pot selecta una sau mai multe opţiuni.
În curs de investigare: cauza nu a fost încă stabilită.
Acţiune răuvoitoare: acţiuni care vizează în mod intenţionat PSP. Acestea includ utilizarea de software rău intenţionat, colectarea de informaţii, intruziunile, atacurile distribuite/refuzarea serviciului (D/DoS), acţiunile interne deliberate, daunele fizice cauzate de acţiuni externe deliberate, securitatea conţinutului informaţiilor, acţiunile frauduloase şi altele. Pentru mai multe detalii, vă rugăm să consultaţi secţiunea C 2.
Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare).
Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată.
Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, puterea este întreruptă în mod accidental, iar activitatea de plată este suspendată).
Evenimente externe: cauza este asociată cu evenimente aflate în general în afara controlului direct al organizaţiei (de exemplu, dezastre naturale, o defecţiune la un furnizor de servicii tehnice).
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Incidentul v-a afectat direct sau indirect prin intermediul unui furnizor de servicii?: trebuie indicat dacă incidentul a vizat în mod direct PSP sau dacă acesta îl afectează indirect prin intermediul unei terţe părţi, dacă aceste informaţii sunt disponibile. În cazul unui impact indirect trebuie precizată denumirea furnizorului/furnizorilor de servicii.
B 4 - Impactul incidentului
Impact general: trebuie indicate dimensiunile care au fost afectate de incidentul operaţional sau de securitate. Se pot selecta una sau mai multe opţiuni.
Integritate: proprietatea de a asigura acurateţea şi caracterul complet al activelor (inclusiv al datelor).
Disponibilitate: proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată.
Confidenţialitate: proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate.
Autenticitate: reprezintă proprietatea unei surse de a fi ceea ce se pretinde a fi.
Canale comerciale afectate: trebuie precizate canalul sau canalele de interacţiune cu utilizatorii serviciilor de plată, care au fost afectate de incident. Se pot selecta una sau mai multe opţiuni.
Sucursale: sediul comercial (altul decât sediul social) care nu are personalitate juridică, prin intermediul căruia PSP execută în mod direct unele sau toate operaţiunile inerente activităţii unui PSP. Toate sediile comerciale înfiinţate în acelaşi stat membru de către un PSP al cărui sediu social se află într-un alt stat membru trebuie considerate ca fiind o singură sucursală.
Servicii bancare electronice (E-banking): utilizarea de computere pentru desfăşurarea operaţiunilor financiare prin internet.
Servicii bancare prin telefon (Telephone banking): utilizarea de telefoane pentru desfăşurarea operaţiunilor financiare.
Servicii bancare prin telefon mobil (Mobile banking): utilizarea unei anumite aplicaţii bancare pe un telefon inteligent sau un dispozitiv similar pentru desfăşurarea operaţiunilor financiare.
ATM-uri: dispozitive electromecanice care permit utilizatorilor serviciilor de plată să retragă numerar din conturile lor şi/sau să acceseze alte servicii.
Punct de vânzare: spaţiu fizic al comerciantului în care este iniţiată operaţiunea de plată.
Comerţ electronic: operaţiunea de plată este iniţiată la un punct virtual de vânzare (de exemplu, pentru operaţiunile de plată iniţiate prin internet utilizând transferuri de credit, carduri de plată, transfer de monedă electronică între conturi de monedă electronică).
Altele: canalul comercial afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Servicii de plată afectate: trebuie precizate serviciile de plată care nu funcţionează în parametri normali ca urmare a incidentului. Se pot selecta una sau mai multe opţiuni.
Depunere de numerar într-un cont de plăţi: depunerea de numerar la un PSP pentru a credita un cont de plăţi.
Retragere de numerar dintr-un cont de plăţi: solicitarea primită de către un PSP din partea utilizatorului serviciului său de plăţi pentru a furniza numerar şi a-şi debita contul de plăţi cu suma aferentă.
Operaţiuni necesare funcţionării unui cont de plăţi: acele acţiuni care trebuie să fie realizate într-un cont de plăţi pentru a activa, a dezactiva şi/sau a menţine contul respectiv (de exemplu, deschidere, blocare).
Acceptare de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte în baza unui contract cu un beneficiar al plăţii să accepte şi să proceseze operaţiuni de plată, rezultând într-un transfer al fondurilor către beneficiarul plăţii.
Operaţiuni de transfer-credit: un serviciu de plată pentru creditarea unui cont de plăţi al unui beneficiar al plăţii cu o operaţiune de plată sau o serie de operaţiuni de plată din contul de plăţi al unui plătitor de către PSP care deţine contul de plăţi al plătitorului pe baza unei instrucţiuni date de către plătitor.
Debitări directe: un serviciu de plată pentru debitarea contului de plăţi al unui plătitor, în cazul în care o operaţiune de plată este iniţiată de beneficiarul plăţii pe baza consimţământului dat de către plătitor beneficiarului plăţii, prestatorului de servicii de plată al plătitorului sau propriului prestator de servicii de plată al beneficiarului plăţii.
Operaţiuni de plată iniţiate cu card de plată: un serviciu de plată bazat pe infrastructura şi regulile schemei de plată cu cardul pentru a iniţia o operaţiune de plată prin intermediul oricărui card, oricăror mijloace de telecomunicaţii, dispozitive digitale sau informatice ori software, dacă rezultatul acestuia este o operaţiune cu cardul de debit sau cu cardul de credit. Operaţiunile de plată bazate pe card exclud operaţiunile bazate pe alte tipuri de servicii de plată.
Emitere de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte cu un plătitor în baza unui contract ca acesta să îi furnizeze un instrument de plată pentru a iniţia şi a procesa operaţiunile de plată ale plătitorului.
Remitere de bani: un serviciu de plată prin care fondurile sunt primite de la plătitor, fără crearea unui cont de plăţi pe numele plătitorului sau al beneficiarului plăţii pentru realizarea respectivei operaţiuni de plată, cu scopul unic de a transfera o sumă echivalentă beneficiarului plăţii sau unui alt prestator de servicii de plată care acţionează în numele şi pe seama beneficiarului plăţii, inclusiv în situaţia în care fondurile sunt primite în numele şi pe seama beneficiarului plăţii şi sunt puse la dispoziţia acestuia.
Servicii de iniţiere a plăţii: servicii de plată pentru iniţierea unui ordin de plată la cererea utilizatorului serviciilor de plată cu privire la un cont de plăţi deţinut la un alt prestator de servicii de plată.
Servicii de informare cu privire la conturi: servicii de plată online prin care se furnizează informaţii consolidate în legătură cu unul sau mai multe conturi de plăţi deţinute de utilizatorul serviciilor de plată la alt prestator de servicii de plată sau la mai mulţi prestatori de servicii de plată.
B 5 - Diminuarea incidentului
Ce acţiuni/măsuri au fost luate până în prezent sau sunt planificate pentru a restabili situaţia după incident?: trebuie furnizate detalii privind acţiunile care au fost luate sau prevăzute a fi luate pentru gestionarea temporară a incidentului.
Planurile de asigurare a continuităţii activităţii şi/sau de recuperare în caz de dezastre au fost activate?: trebuie precizate dacă acestea au fost activate şi, în acest caz, trebuie furnizate cele mai relevante detalii despre ceea ce s-a întâmplat, cum ar fi, când au fost activate şi în ce au constat aceste planuri.
C - Raportul final
C 1 - Detalii generale
Actualizarea informaţiilor din raportul iniţial şi raportul intermediar sau rapoartele intermediare (rezumat): trebuie precizate informaţii suplimentare cu privire la incident, inclusiv modificările specifice aduse informaţiilor furnizate în raportul intermediar. Trebuie indicate, de asemenea, orice alte informaţii relevante.
Măsurile de control iniţiale sunt în vigoare?: trebuie indicat dacă a trebuit sau nu să fie anulate sau reduse unele măsuri de control în orice moment pe durata manifestării incidentului. În caz afirmativ, trebuie indicate toate măsurile de control care au fost reinstituite şi, în caz contrar, trebuie indicate în câmpul aferent textului liber care din măsurile de control nu sunt reinstituite şi perioada suplimentară necesară pentru reinstituirea lor.
C 2 - Analiza cauzei principale şi acţiuni de urmărire
Care a fost cauza principală (dacă este deja cunoscută)?: trebuie indicată care este cauza principală a incidentului sau, dacă aceasta nu este cunoscută încă, care este cea mai probabilă cauză a incidentului. Pot fi selectate mai multe opţiuni, dar trebuie să se facă distincţie între cauza principală şi impactul incidentului:
Acţiune răuvoitoare: orice acţiune externă sau internă care vizează în mod intenţionat PSP. Trebuie să selecteze una sau mai multe opţiuni din următoarele categorii:
Software rău intenţionat: de exemplu, un virus informatic, un vierme informatic, Trojan, spyware
Colectare de informaţii: de exemplu, scanare, sniffing, inginerie socială
Intruziuni: de exemplu, compromiterea unui cont privilegiat, compromiterea unui cont neprivilegiat, compromiterea aplicaţiei, bot
Atac distribuit de indisponibilizare a serviciului (D/DoS): o încercare de a indisponibiliza un serviciu online prin încărcarea acestuia cu trafic (număr mare de solicitări) din mai multe surse
Acţiuni interne deliberate: de exemplu, sabotaj, furt
Daunele fizice cauzate de acţiuni externe deliberate: de exemplu, sabotaj, atac fizic al sediilor/centrelor de date
Securitatea conţinutului informaţiilor: acces neautorizat la informaţii, modificarea neautorizată a informaţiilor
Acţiuni frauduloase: utilizare neautorizată a resurselor, drepturilor de autor, masquerada, phishing
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Monitorizare şi control deficitare: de exemplu, în ceea ce priveşte operaţiunile în curs de desfăşurare, datele de expirare a unui certificat, datele de expirare a unei licenţe, datele de expirare a unor patch-uri, valorile maxime definite ale contorului, nivelurile de completare a bazei de date, gestionarea drepturilor utilizatorilor, principiul controlului dual.
Aspecte de comunicare: de exemplu, între participanţii la piaţă sau în cadrul organizaţiei.
Operaţiuni necorespunzătoare: de exemplu, nu există niciun schimb de certificate, memoria cache este complet utilizată.
Gestionarea inadecvată a schimbării: de exemplu, erori de configurare neidentificate, instalare, inclusiv actualizări, probleme de întreţinere, erori neaşteptate.
Neadecvare a procedurilor şi a documentaţiei interne: de exemplu, lipsa de transparenţă în ceea ce priveşte funcţionalităţile, procesele şi apariţia unei funcţionări defectuoase, absenţa documentaţiei.
Aspecte legate de recuperare: de exemplu, gestionare a situaţiilor de urgenţă, redundanţă inadecvată.
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată. Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Eşecul echipamentului: defectarea echipamentelor tehnologice fizice implicate în desfăşurarea proceselor şi/sau stocarea datelor necesare PSP pentru a-şi desfăşura serviciile aferente plăţilor (de exemplu, defectarea unităţilor de hard-disk, a centrelor de date, a altor infrastructuri)
Eşecul reţelei: funcţionarea necorespunzătoare a reţelelor de telecomunicaţii, publice sau private, care permit schimbul de date şi informaţii (de exemplu, prin internet) în timpul desfăşurării proceselor aferente plăţilor
Deficienţe ale bazei de date: structura datelor care stochează informaţiile cu caracter personal şi informaţiile legate de plăţi necesare pentru executarea operaţiunilor de plată
Eşecul aplicaţiei/software: defecţiuni ale programelor, ale sistemelor de operare etc. care sprijină furnizarea de servicii de plată de către PSP (de exemplu, defecţiuni, funcţii necunoscute)
Daună fizică: de exemplu, daune neintenţionate cauzate de condiţii inadecvate, lucrări de construcţii.
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, energia electrică este întreruptă în mod accidental, iar activitatea de plată este suspendată). Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Neintenţionată: de exemplu, greşeli, erori, omisiuni, lipsa de experienţă şi de cunoştinţe
Lipsă de acţiune: de exemplu, din cauza lipsei de abilităţi, competenţe, cunoştinţe, experienţă, conştientizare
Resurse insuficiente: de exemplu, lipsa resurselor umane, disponibilitatea personalului
Altele: cauza incidentului nu este niciuna dintre toate cele indicate mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Eveniment extern: cauza este asociată cu evenimente aflate în general în afara controlului direct al PSP. Se pot selecta una sau mai multe opţiuni din următoarele categorii:
Eşec la nivelul unui furnizor/prestator de servicii tehnice: de exemplu, întreruperi ale alimentării cu energie electrică, întreruperi ale internetului, aspecte juridice, aspecte legate de afaceri, dependenţe ale serviciului
Forţă majoră: de exemplu, întreruperea alimentării cu energie electrică, incendii, cauze naturale precum cutremure, inundaţii, precipitaţii abundente, vânturi puternice
Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber.
Alte informaţii relevante privind cauza principală: trebuie furnizate orice detalii suplimentare privind cauza principală, inclusiv concluziile preliminare rezultate din analiza cauzelor principale.
Acţiuni/măsuri corective principale luate sau planificate pentru prevenirea reapariţiei incidentului în viitor, dacă se cunosc deja: trebuie descrise acţiunile principale care au fost luate sau sunt prevăzute a fi luate pentru a preveni reapariţia incidentului în viitor.
C 3 - Informaţii suplimentare
Incidentul a fost comunicat altor prestatori de servicii de plată în scopul informării?: trebuie furnizate informaţii cu privire la comunicarea incidentului altor PSP contactaţi, pe cale oficială sau neoficială, prezentând detalii despre PSP care au fost informaţi, informaţiile care au fost comunicate şi motivele care au stat la baza comunicării acestor informaţii.
A fost luată vreo măsură cu caracter legal împotriva prestatorului de servicii de plată?: trebuie precizat dacă la data completării raportului final PSP a făcut obiectul vreunei acţiuni în justiţie (de exemplu, a fost adus în instanţă sau şi-a pierdut licenţa) ca urmare a manifestării incidentului.
Evaluarea eficacităţii măsurilor aplicate: trebuie indicată, dacă este cazul, o autoevaluare a eficacităţii măsurilor întreprinse pe durata incidentului, inclusiv a lecţiilor învăţate în urma incidentului.
Sursa: BNR.ro
Comentarii
Adauga un comentariu
Adauga un comentariu folosind contul de Facebook
Alte stiri din categoria: Noutati BNR
Tezaurul de aur al Băncii Naționale a României trimis la Moscova și niciodată returnat
Banca Națională a României, în parteneriat cu Institutul Cultural Român „Mihai Eminescu” Chișinău, organizează, în Republica Moldova, expoziția itinerantă de promovare internațională a problematicii Tezaurului românesc trimis la Moscova în detalii
Dobanda BNR ramane 6,5%
Hotărârile CA al BNR pe probleme de politică monetară 08.11.2024 Consiliul de administraţie al Băncii Naţionale a României, întrunit în ședința de astăzi, 8 noiembrie 2024, a hotărât următoarele: - detalii
Noua conducere a BNR si-a inceput mandatul
Începând de astăzi, 11 octombrie 2024, intră în vigoare, pentru o perioadă de 5 ani, mandatul noului Consiliu de administrație al Băncii Naționale a României, conform Hotărârii nr. 27 din 1 octombrie 2024 a Parlamentului României, publicată detalii
BNR mentine dobanda la 6,5%
Banca Nationala a Romaniei (BNR) a pastrat la nivelul de 6,5% dobanda de politica monetara, conform asteptarilor majoritatii analistilor. Deficitul bugetar ridicat si perioada electorala sunt riscurile care au determinat BNR sa nu mai reduca dobanda, desi inflatia este in scadere, detalii
- Platile instant Blik, autorizate de BNR
- Aurul României păstrat la Banca Angliei este detinut integral de BNR
- Educatie financiara pentru profesori, sustinuta de BNR, ME, ARB, IBR si FGDB
- BNR scade dobanda la 6,5%
- BNR explica de ce a scazut dobanda la 6,75%
- BNR reduce dobanda la 6,75%
- Dobanda BNR ramane 7% pe an
- Inflatia va scadea la 4,8% la finalul lui 2024, anticipeaza BNR
- Tentativă de fraudă financiară tip deepfake care folosește imaginea guvernatorului BNR
- BNR este optimista la inceput de an privind inflatia si cresterea economica
Profil de Bancher
-
Anca Eremia, director private banking
UniCredit Bank
Anca Eremia: "Categoria de private banking are ... vezi profil
Criza COVID-19
- In majoritatea unitatilor BRD se poate intra fara certificat verde
- La BCR se poate intra fara certificat verde
- Firmele, obligate sa dea zile libere parintilor care stau cu copiii in timpul pandemiei de coronavirus
- CEC Bank: accesul in banca se face fara certificat verde
- Cum se amana ratele la creditele Garanti BBVA
Topuri Banci
- Topul bancilor dupa active si cota de piata in perioada 2022-2015
- Topul bancilor cu cele mai mici dobanzi la creditele de nevoi personale
- Topul bancilor la active in 2019
- Topul celor mai mari banci din Romania dupa valoarea activelor in 2018
- Topul bancilor dupa active in 2017
Asociatia Romana a Bancilor (ARB)
- Băncile din România nu au majorat comisioanele aferente operațiunilor în numerar
- Concurs de educatie financiara pentru elevi, cu premii in bani
- Creditele acordate de banci au crescut cu 14% in 2022
- Romanii stiu educatie financiara de nota 7
- Gradul de incluziune financiara in Romania a ajuns la aproape 70%
ROBOR
- ROBOR: ce este, cum se calculeaza, ce il influenteaza, explicat de Asociatia Pietelor Financiare
- ROBOR a scazut la 1,59%, dupa ce BNR a redus dobanda la 1,25%
- Dobanzile variabile la creditele noi in lei nu scad, pentru ca IRCC ramane aproape neschimbat, la 2,4%, desi ROBOR s-a micsorat cu un punct, la 2,2%
- IRCC, indicele de dobanda pentru creditele in lei ale persoanelor fizice, a scazut la 1,75%, dar nu va avea efecte imediate pe piata creditarii
- Istoricul ROBOR la 3 luni, in perioada 01.08.1995 - 31.12.2019
Taxa bancara
- Normele metodologice pentru aplicarea taxei bancare, publicate de Ministerul Finantelor
- Noul ROBOR se va aplica automat la creditele noi si prin refinantare la cele in derulare
- Taxa bancara ar putea fi redusa de la 1,2% la 0,4% la bancile mari si 0,2% la cele mici, insa bancherii avertizeaza ca indiferent de nivelul acesteia, intermedierea financiara va scadea iar dobanzile vor creste
- Raiffeisen anunta ca activitatea bancii a incetinit substantial din cauza taxei bancare; strategia va fi reevaluata, nu vor mai fi acordate credite cu dobanzi mici
- Tariceanu anunta un acord de principiu privind taxa bancara: ROBOR-ul ar putea fi inlocuit cu marja de dobanda a bancilor
Statistici BNR
- Deficitul contului curent, aproape 20 miliarde euro după primele nouă luni
- Deficitul contului curent, aproape 18 miliarde euro după primele opt luni
- Deficitul contului curent, peste 9 miliarde euro pe primele cinci luni
- Deficitul contului curent, 6,6 miliarde euro după prima treime a anului
- Deficitul contului curent pe T1, aproape 4 miliarde euro
Legislatie
- Legea nr. 311/2015 privind schemele de garantare a depozitelor şi Fondul de garantare a depozitelor bancare
- Rambursarea anticipata a unui credit, conform OUG 50/2010
- OUG nr.21 din 1992 privind protectia consumatorului, actualizata
- Legea nr. 190 din 1999 privind creditul ipotecar pentru investiții imobiliare
- Reguli privind stabilirea ratelor de referinţă ROBID şi ROBOR
Lege plafonare dobanzi credite
- BNR propune Parlamentului plafonarea dobanzilor la creditele bancilor intre 1,5 si 4 ori peste DAE medie, in functie de tipul creditului; in cazul IFN-urilor, plafonarea dobanzilor nu se justifica
- Legile privind plafonarea dobanzilor la credite si a datoriilor preluate de firmele de recuperare se discuta in Parlament (actualizat)
- Legea privind plafonarea dobanzilor la credite nu a fost inclusa pe ordinea de zi a comisiilor din Camera Deputatilor
- Senatorul Zamfir, despre plafonarea dobanzilor la credite: numai bou-i consecvent!
- Parlamentul dezbate marti legile de plafonare a dobanzilor la credite si a datoriilor cesionate de banci firmelor de recuperare (actualizat)
Anunturi banci
- Cate reclamatii primeste Intesa Sanpaolo Bank si cum le gestioneaza
- Platile instant, posibile la 13 banci
- Aplicatia CEC app va functiona doar pe telefoane cu Android minim 8 sau iOS minim 12
- Bancile comunica automat cu ANAF situatia popririlor
- BRD bate recordul la credite de consum, in ciuda dobanzilor mari, si obtine un profit ridicat
Analize economice
- România, „lanterna roșie” a cheltuielilor pentru cercetare-dezvoltare în UE
- Deficitul contului curent, peste 24 miliarde euro după primele zece luni
- Deficit comercial record în octombrie 2024
- Productivitatea în comerț, peste cea din industrie
- -6,2% din PIB, deficit bugetar după zece luni
Ministerul Finantelor
- Datoria publică, 51,4% din PIB la mijlocul anului
- Deficit bugetar de 3,6% din PIB după prima jumătate a anului
- Deficit bugetar de 3,4% din PIB după primele cinci luni ale anului
- Deficit bugetar îngrijorător după prima treime a anului
- Deficitul bugetar, -2,06% din PIB pe primul trimestru al anului
Biroul de Credit
- FUNDAMENTAREA LEGALITATII PRELUCRARII DATELOR PERSONALE IN SISTEMUL BIROULUI DE CREDIT
- BCR: prelucrarea datelor personale la Biroul de Credit
- Care banci si IFN-uri raporteaza clientii la Biroul de Credit
- Ce trebuie sa stim despre Biroul de Credit
- Care este procedura BCR de raportare a clientilor la Biroul de Credit
Procese
- ANPC pierde un proces cu Intesa si ARB privind modul de calcul al ratelor la credite
- Un client Credius obtine in justitie anularea creditului, din cauza dobanzii prea mari
- Hotararea judecatoriei prin care Aedificium, fosta Raiffeisen Banca pentru Locuinte, si statul sunt obligati sa achite unui client prima de stat
- Decizia Curtii de Apel Bucuresti in procesul dintre Raiffeisen Banca pentru Locuinte si Curtea de Conturi
- Vodafone, obligata de judecatori sa despagubeasca un abonat caruia a refuzat sa-i repare un telefon stricat sau sa-i dea banii inapoi (decizia instantei)
Stiri economice
- Inflația anuală a crescut la 5,11%, prin efect de bază
- Datoria publică, 54,4% din PIB la finele lunii septembrie 2024
- România, tot prima dar în trendul UE la inflația anuală
- Datoria publică, 52,7% din PIB la finele lunii august 2024
- -5,44% din PIB, deficit bugetar înaintea ultimului trimestru din 2024
Statistici
- România, pe locul trei în UE la creșterea costului muncii în T2 2024
- Cheltuielile cu pensiile - România, pe locul 19 în UE ca pondere în PIB
- Dobanda din Cehia a crescut cu 7 puncte intr-un singur an
- Care este valoarea salariului minim brut si net pe economie in 2024?
- Cat va fi salariul brut si net in Romania in 2024, 2025, 2026 si 2027, conform prognozei oficiale
FNGCIMM
- Programul IMM Invest continua si in 2021
- Garantiile de stat pentru credite acordate de FNGCIMM au crescut cu 185% in 2020
- Programul IMM invest se prelungeste pana in 30 iunie 2021
- Firmele pot obtine credite bancare garantate si subventionate de stat, pe baza facturilor (factoring), prin programul IMM Factor
- Programul IMM Leasing va fi operational in perioada urmatoare, anunta FNGCIMM
Calculator de credite
- ROBOR la 3 luni a scazut cu aproape un punct, dupa masurile luate de BNR; cu cat se reduce rata la credite?
- In ce mall din sectorul 4 pot face o simulare pentru o refinantare?
Noutati BCE
- Acord intre BCE si BNR pentru supravegherea bancilor
- Banca Centrala Europeana (BCE) explica de ce a majorat dobanda la 2%
- BCE creste dobanda la 2%, dupa ce inflatia a ajuns la 10%
- Dobânda pe termen lung a continuat să scadă in septembrie 2022. Ecartul față de Polonia și Cehia, redus semnificativ
- Rata dobanzii pe termen lung pentru Romania, in crestere la 2,96%
Noutati EBA
- Bancile romanesti detin cele mai multe titluri de stat din Europa
- Guidelines on legislative and non-legislative moratoria on loan repayments applied in the light of the COVID-19 crisis
- The EBA reactivates its Guidelines on legislative and non-legislative moratoria
- EBA publishes 2018 EU-wide stress test results
- EBA launches 2018 EU-wide transparency exercise
Noutati FGDB
- Banii din banci sunt garantati, anunta FGDB
- Depozitele bancare garantate de FGDB au crescut cu 13 miliarde lei
- Depozitele bancare garantate de FGDB reprezinta doua treimi din totalul depozitelor din bancile romanesti
- Peste 80% din depozitele bancare sunt garantate
- Depozitele bancare nu intra in campania electorala
CSALB
- Sistemul bancar romanesc este deosebit de bine pregatit pentru orice fel de socuri
- La CSALB poti castiga un litigiu cu banca pe care l-ai pierde in instanta
- Negocierile dintre banci si clienti la CSALB, in crestere cu 30%
- Sondaj: dobanda fixa la credite, considerata mai buna decat cea variabila, desi este mai mare
- CSALB: Romanii cu credite caută soluții pentru reducerea ratelor. Cum raspund bancile
First Bank
- Ce trebuie sa faca cei care au asigurare la credit emisa de Euroins
- First Bank este reprezentanta Eurobank in Romania: ce se intampla cu creditele Bancpost?
- Clientii First Bank pot face plati prin Google Pay
- First Bank anunta rezultatele financiare din prima jumatate a anului 2021
- First Bank are o noua aplicatie de mobile banking
Noutati FMI
- FMI: criza COVID-19 se transforma in criza economica si financiara in 2020, suntem pregatiti cu 1 trilion (o mie de miliarde) de dolari, pentru a ajuta tarile in dificultate; prioritatea sunt ajutoarele financiare pentru familiile si firmele vulnerabile
- FMI cere BNR sa intareasca politica monetara iar Guvernului sa modifice legea pensiilor
- FMI: majorarea salariilor din sectorul public si legea pensiilor ar trebui reevaluate
- IMF statement of the 2018 Article IV Mission to Romania
- Jaewoo Lee, new IMF mission chief for Romania and Bulgaria
Noutati BERD
- Creditele neperformante (npl) - statistici BERD
- BERD este ingrijorata de investigatia autoritatilor din Republica Moldova la Victoria Bank, subsidiara Bancii Transilvania
- BERD dezvaluie cat a platit pe actiunile Piraeus Bank
- ING Bank si BERD finanteaza parcul logistic CTPark Bucharest
- EBRD hails Moldova banking breakthrough
Noutati Federal Reserve
- Federal Reserve anunta noi masuri extinse pentru combaterea crizei COVID-19, care produce pagube "imense" in Statele Unite si in lume
- Federal Reserve urca dobanda la 2,25%
- Federal Reserve decided to maintain the target range for the federal funds rate at 1-1/2 to 1-3/4 percent
- Federal Reserve majoreaza dobanda de referinta pentru dolar la 1,5% - 1,75%
- Federal Reserve issues FOMC statement
Noutati BEI
- BEI a redus cu 31% sprijinul acordat Romaniei in 2018
- Romania implements SME Initiative: EUR 580 m for Romanian businesses
- European Investment Bank (EIB) is lending EUR 20 million to Agricover Credit IFN
Mobile banking
- Comisioanele BRD pentru MyBRD Mobile, MyBRD Net, My BRD SMS
- Termeni si conditii contractuale ale serviciului You BRD
- Recomandari de securitate ale BRD pentru utilizatorii de internet/mobile banking
- CEC Bank - Ghid utilizare token sub forma de card bancar
- Cinci banci permit platile cu telefonul mobil prin Google Pay
Noutati Comisia Europeana
- Avertismentul Comitetului European pentru risc sistemic (CERS) privind vulnerabilitățile din sistemul financiar al Uniunii
- Cele mai mici preturi din Europa sunt in Romania
- State aid: Commission refers Romania to Court for failure to recover illegal aid worth up to €92 million
- Comisia Europeana publica raportul privind progresele inregistrate de Romania in cadrul mecanismului de cooperare si de verificare (MCV)
- Infringements: Commission refers Greece, Ireland and Romania to the Court of Justice for not implementing anti-money laundering rules
Noutati BVB
- BET AeRO, primul indice pentru piata AeRO, la BVB
- Laptaria cu Caimac s-a listat pe piata AeRO a BVB
- Banca Transilvania plateste un dividend brut pe actiune de 0,17 lei din profitul pe 2018
- Obligatiunile Bancii Transilvania se tranzactioneaza la Bursa de Valori Bucuresti
- Obligatiunile Good Pople SA (FRU21) au debutat pe piata AeRO
Institutul National de Statistica
- Comerțul cu amănuntul - în creștere cu 8% pe primele 10 luni
- Deficitul balanței comerciale la 9 luni, cu 15% mai mare față de aceeași perioadă a anului trecut
- Producția industrială, în scădere semnificativă
- Pensia reală, în creștere cu 8,7% pe luna august 2024
- Avansul PIB pe T1 2024, majorat la +0,5%
Informatii utile asigurari
- Data de la care FGA face plati pentru asigurarile RCA Euroins: 17 mai 2023
- Asigurarea împotriva dezastrelor, valabilă și in caz de faliment
- Asiguratii nu au nevoie de documente de confirmare a cutremurului
- Cum functioneaza o asigurare de viata Metropolitan pentru un credit la Banca Transilvania?
- Care sunt documente necesare pentru dosarul de dauna la Cardif?
ING Bank
- La ING se vor putea face plati instant din decembrie 2022
- Cum evitam tentativele de frauda online?
- Clientii ING Bank trebuie sa-si actualizeze aplicatia Home Bank pana in 20 martie
- Obligatiunile Rockcastle, cel mai mare proprietar de centre comerciale din Europa Centrala si de Est, intermediata de ING Bank
- ING Bank transforma departamentul de responsabilitate sociala intr-unul de sustenabilitate
Ultimele Comentarii
-
împrumut
Vreau să apreciez pe Karin Sabine un împrumut de 9000€ pentru mine. Dacă aveți nevoie de un ... detalii
-
împrumut
Vreau să apreciez pe Karin Sabine un împrumut de 9000€ pentru mine. Dacă aveți nevoie de un ... detalii
-
Buna ziua! Am nevoie de ajutor!
Buna ziua! Am trimis activare cont si imi scrie ca au expediat QR Cod pe posta dar nu mia venit ... detalii
-
Înșelătorie
Mare atenție la firma vex group, te pune să investești 250 € în Forex, câștigi ceva și ... detalii
-
interdictie conturi ING
Buna ziua, o situatie ca cele de mai sus am patit si eu, cu diferenta ca Revolut a deblocat contul ... detalii