Având în vedere prevederile art. 2 alin. (2)
lit. b) şi ale art. 22
alin. (1) şi
(2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, ale art. 404, 407 şi art. 408 alin. (1) din Ordonanţa de urgenţă a Guvernului
nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea
nr. 227/2007, cu modificările şi completările ulterioare, ale art. 13
alin. (4) din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăţi şi în sistemele de decontare a operaţiunilor cu instrumente financiare, cu modificările şi completările ulterioare, ale art. 187
alin. (2) din Legea nr. 126/2018 privind pieţele de instrumente financiare, ale
art. 62 din Ordonanţa de urgenţă a Guvernului nr. 113/2009 privind serviciile de plată, aprobată cu modificări prin Legea
nr. 197/2010, cu modificările şi completările ulterioare, ale
art. 61 din Legea nr. 127/2011 privind activitatea de emitere de monedă electronică, cu modificările ulterioare,
în temeiul art. 48 alin. (2) din Legea nr. 312/2004, art. 405 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, art. 186 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 113/2009 privind serviciile de plată, aprobată cu modificări prin Legea nr. 197/2010, cu modificările şi completările ulterioare,
Banca Naţională a României emite prezentul regulament.
TITLUL I
Obiect, domeniu de aplicare şi definiţii
Art. 1. - (1) Prezentul regulament stabileşte cerinţele pentru:
a) autorizarea şi monitorizarea infrastructurilor pieţei financiare, denumite în continuare IPF;
b) monitorizarea participanţilor la aceste infrastructuri;
c) punerea în circulaţie, emiterea şi monitorizarea instrumentelor de plată.
(2) Prezentul regulament se aplică:
a) infrastructurilor pieţei financiare, inclusiv administratorilor acestora, care funcţionează pe teritoriul României;
b) participanţilor la infrastructurile pieţei financiare menţionate la lit. a);
c) prestatorilor de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată pe teritoriul României.
(3) IPF operate pe teritoriul României de către Eurosistem, Băncii Centrale Europene şi Băncii Naţionale a României nu li se aplică prevederile următoarelor articolele: art. 6-8 Cerinţele generale privind guvernanţa, art. 16 alin. (3) - (5) Cerinţe privind cadrul pentru gestionarea cuprinzătoare a riscurilor, art. 17-22 Cerinţe pentru gestionarea riscului de credit, art. 23-29 Cerinţe privind aranjamentele de garantare, art. 72-77 Cerinţe privind riscul general de afaceri, art. 78-81 Cerinţe privind riscul de custodie şi de investiţie şi art. 89-91 Cerinţe privind criteriile de acces şi participare.
Art. 2. - În înţelesul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:
1. acceptant - un prestator de servicii de plată care încheie un contract cu beneficiarul plăţii privind acceptarea şi prelucrarea tranzacţiilor de plată cu instrumente de plată electronică, efectuate în scopul executării unui transfer de fonduri către beneficiarul plăţii;
2. administrator al unei infrastructuri a pieţei financiare - persoana juridică care stabileşte regulile de funcţionare a unei infrastructuri a pieţei financiare şi este responsabil legal de operarea infrastructurii;
3. agent de decontare sau bancă de decontare - are semnificaţia prevăzută la art. 2 alin. (1) pct. 4 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăţi şi în sistemele de decontare a operaţiunilor cu instrumente financiare, cu modificările şi completările ulterioare;
4. agent nostro - instituţie de credit utilizată de participanţii la o infrastructură a pieţei financiare pentru decontare;
5. autentificare - o procedură care permite prestatorului de servicii de plată să verifice identitatea unui utilizator al serviciilor de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv utilizarea elementelor de securitate personalizate ale utilizatorului;
6. bancă custode - instituţie de credit ce păstrează şi protejează activele financiare ale terţilor;
7. beneficiar al plăţii - persoana fizică sau juridică care este destinatarul vizat al fondurilor care au făcut obiectul unei operaţiuni de plată;
8. card - dispozitiv fizic sau instrument virtual care poate fi utilizat de către deţinătorul său pentru a efectua operaţiuni de plată. În această categorie sunt incluse, dar fără a se limita la, cardurile de debit, de credit, de debit amânat, preplătit, virtual;
9. card de debit - cardul prin intermediul căruia utilizatorul dispune de fondurile din contul său de plăţi pentru a efectua operaţiuni de plată;
10. card de debit amânat - cardul prin intermediul căruia utilizatorul dispune de fondurile oferite de instituţia emitentă sub forma unei linii de credit pentru a efectua operaţiuni de plată. Întreaga sumă datorată instituţiei emitente trebuie rambursată integral până la sfârşitul perioadei specificate în contract;
11. card de credit - cardul prin intermediul căruia utilizatorul dispune de fondurile oferite de instituţia emitentă sub forma unei linii de credit pentru a efectua operaţiuni de plată. Suma datorată poate fi rambursată total sau parţial, existând obligaţia de rambursare a sumei minime stabilite în contract până la data stabilită în acesta;
12. card preplătit - cardul reîncărcabil sau nereîncărcabil, personalizat sau nepersonalizat, prin intermediul căruia utilizatorul dispune de fondurile depuse în scopul efectuării unor operaţiuni de plată specifice;
13. card virtual - cardul fără suport fizic, utilizat pentru efectuarea plăţilor în mediul on-line;
14. clearing - procesul de transmitere, reconciliere şi, după caz, confirmare a ordinelor de transfer înainte de decontare, cu posibilitatea de includere a compensării pe bază netă a ordinelor de transfer şi de stabilire a poziţiilor finale pentru decontare;
15. compensare - conform prevederilor art. 2 alin. (1) pct. 11 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăţi şi în sistemele de decontare a operaţiunilor cu instrumente financiare, cu modificările şi completările ulterioare;
16. condiţii de piaţă extreme, dar plauzibile - set cuprinzător de condiţii istorice şi ipotetice, incluzând cele mai volatile perioade care au fost suportate de pieţele deservite de infrastructura pieţei financiare;
17. conducere - directori executivi, respectiv membri ai consiliului de administraţie, în cazul sistemului de conducere unitar, care sunt implicaţi în gestionarea zilnică a activităţii administratorului infrastructurii pieţei financiare sau membrii directoratului administratorului infrastructurii pieţei financiare într-un sistem dualist;
18. conexiune - un set de contracte şi acorduri operaţionale între două sau mai multe infrastructuri ale pieţei financiare care conectează aceste infrastructuri direct sau printr-un intermediar;
19. conexiune directă - conexiune stabilită între două infrastructuri ale pieţei financiare, fără a exista intermedierea realizată de un terţ;
20. conexiune indirectă - conexiune stabilită între două infrastructuri ale pieţei financiare prin intermediul unui terţ care nu este o infrastructură a pieţei financiare;
21. conexiune releu - conexiune care implică minimum trei infrastructuri ale pieţei financiare, în care o infrastructură a pieţei financiare realizează intermedierea între alte două infrastructuri ale pieţei financiare. Conexiunea releu poate fi percepută ca un lanţ de două conexiuni directe;
22. continuitatea activităţii - starea de funcţionare neîntreruptă a operaţiunilor, ce presupune măsuri organizaţionale, tehnice şi de personal utilizate pentru a asigura continuitatea serviciilor critice după o întrerupere cauzată de producerea unui eveniment perturbator şi pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major, prelungit sau cu efecte pe scară largă;
23. consiliu - consiliul de administraţie şi/sau consiliul de supraveghere al administratorului infrastructurii pieţei financiare;
24. contraparte centrală (CPC) - conform prevederilor art. 2 pct.1 din Regulamentul (UE) nr. 648/2012 al Parlamentului European şi al Consiliului privind instrumentele financiare derivate extrabursiere, contrapărţile centrale şi registrele centrale de tranzacţii;
25. dată prevăzută pentru decontare - ziua în care fondurile şi/sau instrumentele financiare sunt datorate şi trebuie să fie puse la dispoziţia beneficiarului acestora, în conformitate cu regulile infrastructurii pieţei financiare respective;
26. decontare finală - transferul necondiţionat şi irevocabil al fondurilor şi/sau instrumentelor financiare sau stingerea unei obligaţii de către o infrastructură a pieţei financiare sau de către participanţii la aceasta, în concordanţă cu prevederile contractuale;
27. decontare în banii băncii centrale - serviciul furnizat de o bancă centrală, în calitate de agent de decontare pentru o infrastructură a pieţei financiare, pentru stingerea obligaţiilor de plată prin efectuarea de înregistrări în conturile de decontare deschise şi administrate de banca centrală, ale participanţilor la acea IPF sau ale agenţilor nostro;
28. decontare în banii băncii comerciale - serviciul furnizat de o bancă comercială, în calitate de agent de decontare pentru o infrastructură a pieţei financiare, pentru stingerea obligaţiilor de plată prin efectuarea de înregistrări în conturile de decontare deschise şi administrate de banca comercială, ale participanţilor la acea IPF sau ale agenţilor nostro;
29. depozitar central de instrumente financiare (DC) - are semnificaţia prevăzută la art. 2 alin. (1) pct. 1 din Regulamentul (UE) nr. 909/2014;
30. emitent - prestator de servicii de plată care emite şi pune la dispoziţia deţinătorului un instrument de plată electronică, în baza unui contract încheiat cu deţinătorul;
31. expuneri curente - pierderea financiară pe care administratorul unei infrastructuri a pieţei financiare sau participanţii la aceasta ar suporta-o imediat dacă unul dintre participanţi nu ar putea să îşi îndeplinească obligaţiile rezultate din participarea la respectiva infrastructură a pieţei financiare. Valoarea expunerii este stabilită ca maxim dintre zero şi valoarea de piaţă sau costul de înlocuire a unei tranzacţii sau a unui portofoliu de tranzacţii cu o contrapartidă, care s-ar pierde implicit ca urmare a imposibilităţii contrapartidei de a-şi îndeplini obligaţiile asumate;
32. expunere la riscul de credit - o sumă sau valoare expusă riscului ca un participant să nu o deconteze în întregime, atunci când este scadentă sau la orice moment ulterior;
33. externalizarea - utilizarea de către o entitate a unui furnizor extern, în vederea desfăşurării de către acesta, pe bază contractuală şi în mod continuu, a unor activităţi efectuate în mod obişnuit de către entitatea în cauză;
34. furnizor de lichiditate - o entitate cu care o infrastructură a pieţei financiare a încheiat un acord de furnizare a fondurilor;
35. furnizor de serviciu critic - furnizor al unui serviciu care este indispensabil pentru funcţionarea unei infrastructuri a pieţei financiare, a unui participant, a unui prestator de servicii de plată. În categoria furnizorilor de servicii critice sunt incluse şi entităţile către care au fost externalizate activităţi, servicii sau funcţii critice;
36. garanţie - orice activ care se poate valorifica, inclusiv o sumă de bani, instrumente financiare şi creanţe private, şi care face obiectul oricărei forme de garantare, al unui contract de report ori al unui contract similar şi care este constituit în scopul garantării drepturilor şi obligaţiilor care pot rezulta în legătură cu participarea la un sistem sau care este pus la dispoziţia Băncii Naţionale a României ori a băncilor centrale din statele membre ale Spaţiului Economic European sau a Băncii Centrale Europene;
37. guvernanţă - set de relaţii între proprietarii infrastructurii pieţei financiare, consiliu, conducere şi alte părţi relevante ce includ participanţi, autorităţi, clienţi ai participanţilor, infrastructuri ale pieţei financiare interdependente şi piaţa deservită;
38. infrastructură a pieţei financiare (IPF) - sistem multilateral organizat între instituţiile participante, inclusiv administratorul infrastructurii pieţei financiare, utilizat pentru clearing, decontare sau înregistrare a plăţilor sau a tranzacţiilor cu instrumente financiare, inclusiv a instrumentelor financiare derivate, sau a altor tranzacţii financiare. În sensul prezentului regulament, în categoria infrastructurilor pieţei financiare sunt incluse sistemele de plăţi şi sistemele de decontare a operaţiunilor cu instrumente financiare din cadrul depozitarilor centrali şi contrapărţilor centrale;
39. instrucţiune critică - ordin de transfer care trebuie efectuat cu prioritate, în cazul apariţiei unei perturbări, pentru evitarea manifestării şi propagării riscurilor în cadrul unei infrastructuri a pieţei financiare sau a riscului sistemic;
40. instrument de plată - un dispozitiv sau un set de proceduri care permite transferul de fonduri de la plătitor la beneficiar. Acestea includ instrumentele de plată electronică şi cele pe suport hârtie;
41. instrument de plată electronică - un card sau un instrument de plată electronică cu acces la distanţă;
42. instrument de plată electronică cu acces la distanţă - set de proceduri, care se bazează pe o soluţie informatică, de tipul: internet-banking, home-banking, phone-banking, mobile- banking, care permite utilizatorului iniţierea de operaţiuni de plată, în baza fondurilor de care dispune;
43. marjă - garanţie constituită în favoarea contrapartidei pentru a proteja împotriva expunerilor curente sau potenţiale viitoare cauzate de evoluţia preţului de piaţă sau a eventualei incapacităţi de îndeplinire a obligaţiilor;
44. membru independent al consiliului - un membru neexecutiv al consiliului care nu are nicio relaţie de afaceri, familială sau de altă natură care creează un conflict de interese în legătură cu IPF sau administratorul IPF, acţionarii majoritari ai acestora, conducerea acestora sau participanţii la acestea şi care nu a avut astfel de relaţii în cei 2 ani care precedă numirea sa în consiliu;
45. modificare majoră - schimbarea semnificativă a arhitecturii infrastructurii pieţei financiare, introducerea unor noi funcţionalităţi ori activităţi sau schimbări cu un impact semnificativ asupra profilului de risc al infrastructurii pieţei financiare;
46. modificare minoră - modificare care nu afectează semnificativ profilul de risc al infrastructurii pieţei financiare sau arhitectura acesteia;
47. monedă electronică - are semnificaţia prevăzută la art. 4 lit. f) din Legea nr. 127/2011, cu modificările şi completările ulterioare;
48. monitorizare - funcţie a băncii centrale prin care se urmăreşte promovarea funcţionării sigure şi eficiente a infrastructurilor pieţei financiare, precum şi evitarea riscului sistemic, constând în: (i) obţinerea de informaţii cu privire la arhitectura şi funcţionarea infrastructurilor pieţei financiare prezente sau planificate, emiterea, acceptarea şi utilizarea instrumentelor de plată şi a monedei electronice, (ii) evaluarea informaţiilor obţinute şi (iii) inducerea de schimbări ori dispunerea unor măsuri de remediere şi sancţiuni;
49. operaţiune de plată - acţiune iniţiată de plătitor sau de o altă persoană în numele şi pe seama plătitorului ori de beneficiarul plăţii cu scopul de a depune, de a transfera sau de a retrage fonduri, indiferent de orice obligaţii subsecvente între plătitor şi beneficiarul plăţii;
50. ordin de plată - o dispoziţie a unui plătitor sau a unui beneficiar al plăţii către prestatorul său de servicii de plată prin care se solicită executarea unei operaţiuni de plată;
51. ordin de transfer - aşa cum este definit prin prevederile art. 2 alin. (1) pct. 9 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăţi şi în sistemele de decontare a operaţiunilor cu instrumente financiare, cu modificările şi completările ulterioare;
52. participant - entitate care este identificată sau recunoscută de un administrator al unei infrastructuri a pieţei financiare şi căreia i se permite, direct sau indirect, să trimită ordine de transfer către respectiva infrastructură a pieţei financiare şi care este capabilă să primească ordine de transfer de la aceasta;
53. participant critic - un participant la o infrastructură a pieţei financiare care, datorită volumelor sau valorilor tranzacţiilor sau serviciilor prestate către acea infrastructură a pieţei financiare, în cazul unei probleme operaţionale majore cu care s-ar confrunta acest participant, poate afecta semnificativ ceilalţi participanţi sau infrastructura pieţei financiare;
54. participant direct - o entitate juridică care are o relaţie contractuală cu un administrator al unei IPF, are permisiunea să trimită ordine de transfer către acea IPF şi este capabilă să primească ordine de transfer de la aceasta;
55. participant indirect - o entitate juridică care nu are acces direct la serviciile unei IPF şi ale cărei ordine de transfer sunt compensate, decontate şi înregistrate de IPF printr-un participant direct, în baza unei relaţii contractuale pe care un participant indirect o are cu un participant direct;
56. părţi interesate relevante - participanţi, alte infrastructuri ale pieţei financiare care au impact asupra riscurilor specifice unei infrastructuri a pieţei financiare şi, de la caz la caz, alţi actori afectaţi de pe piaţă;
57. plan de lichidare ordonată - plan elaborat de administratorul infrastructurii pieţei financiare pentru închiderea ordonată a infrastructurii;
58. plan de redresare - plan elaborat de administratorul infrastructurii pieţei financiare pentru restabilirea bunei funcţionări a infrastructurii pieţei financiare;
59. plătitor - persoana fizică sau juridică care este titularul unui cont de plăţi şi care autorizează un ordin de plată din acel cont de plăţi sau, în cazul în care nu există un cont de plăţi, persoana fizică sau juridică care emite un ordin de plată;
60. portabilitate - aspectele operaţionale aferente transferurilor poziţiilor contractuale, de fonduri sau de instrumente financiare de la o infrastructură a pieţei financiare sau de la un participant la o altă infrastructură a pieţei financiare sau participant;
61. prestator de servicii de plată - entitate autorizată să presteze servicii de plată pe teritoriul României, respectiv instituţii de credit, instituţii de plată şi instituţii emitente de monedă electronică;
62. punerea în circulaţie - punerea la dispoziţia clienţilor a unui instrument de plată, în baza unui contract încheiat cu aceştia;
63. rezilienţa cibernetică - capacitatea unei IPF de a: anticipa ameninţările cibernetice, rezista la atacurile cibernetice, limita amploarea consecinţelor şi relua activitatea după atacuri cibernetice;
64. risc de credit - riscul ca o contraparte, indiferent dacă este participant sau altă entitate, să nu îşi poată îndeplini în întregime obligaţiile financiare atunci când acestea devin scadente sau oricând în viitor;
65. risc de custodie - riscul de a suporta o pierdere a activelor deţinute în custodie din cauza insolvenţei, neglijenţei, fraudei, administrării defectuoase sau evidenţei necorespunzătoare ale custodelui;
66. risc de decontare - riscul ca decontarea fondurilor sau a instrumentelor financiare în cadrul unei infrastructuri a pieţei financiare să nu aibă loc integral la data preconizată pentru decontare;
67. risc general de afaceri - orice depreciere potenţială a situaţiei financiare a administratorului unei infrastructuri a pieţei financiare, ca urmare a unui declin al încasărilor sau a unei creşteri a cheltuielilor acestuia, astfel încât cheltuielile depăşesc încasările şi conduc la o pierdere care trebuie acoperită din capitalul propriu;
68. risc de investiţie - riscul de pierdere cu care se confruntă un administrator al unei infrastructuri a pieţei financiare sau un participant atunci când administratorul infrastructurii investeşte resursele proprii sau ale participanţilor;
69. risc juridic - riscul care rezultă din neaplicarea sau aplicarea defectuoasă a cadrului legal sau de reglementare sau a prevederilor contractuale, de obicei determinând o pierdere;
70. risc de lichiditate - riscul ca o contraparte, participant sau altă entitate să nu dispună de suficiente fonduri care să îi permită să îşi îndeplinească integral obligaţiile asumate la scadenţă, deşi, în viitor, ar putea avea fonduri suficiente în acest sens;
71. risc operaţional - riscul ca deficienţele sistemelor de informaţii sau ale proceselor interne, erorile umane, deficienţele în administrare sau perturbările provocate de evenimente externe sau de servicii externalizate să conducă la reducerea, deteriorarea sau întreruperea serviciilor furnizate de administratorul unei infrastructuri a pieţei financiare sau de emitenţii/acceptanţii instrumentelor de plată;
72. risc de piaţă - riscul înregistrării de pierderi, în poziţii bilanţiere şi extrabilanţiere, care rezultă din variaţia preţurilor de pe piaţă;
73. risc principal - riscul ca o contraparte să piardă întreaga valoare implicată într-o tranzacţie, respectiv riscul ca un vânzător al unui activ financiar să livreze activul în mod irevocabil, dar să nu primească contravaloarea acestuia, sau riscul ca un cumpărător al unui activ financiar să plătească pentru un activ în mod irevocabil şi să nu îl primească;
74. risc sistemic - riscul ca neîndeplinirea obligaţiilor ce revin unui participant sau administratorului infrastructurii pieţei financiare din participarea la o infrastructură să determine alţi participanţi şi/sau administratorul infrastructurii să nu îşi poată îndeplini obligaţiile atunci când acestea devin scadente, generând eventuale efecte de contagiune care ar ameninţa stabilitatea sau încrederea în sistemul financiar;
75. semnificativ - califică un risc, o dependenţă şi/sau o modificare ce poate afecta capacitatea unei entităţi de a funcţiona sau de a furniza servicii conform aşteptărilor;
76. serviciu critic - un serviciu esenţial pentru funcţionarea unei infrastructuri a pieţei financiare sau a unui prestator de servicii de plată, a cărui indisponibilitate sau absenţă poate determina apariţia unei perturbări majore în funcţionarea normală şi care nu poate fi reprodus sau a cărui reproducere ar presupune costuri care nu sunt rezonabile;
77. siguranţă în funcţionare - modalitate de gestionare a riscurilor specifice infrastructurii pieţei financiare, respectiv a instrumentului de plată, în scopul asigurării funcţionării conform nivelurilor de calitate a serviciilor şi/sau a orarului de funcţionare asumat, fără a afecta în mod negativ încrederea participanţilor şi a publicului;
78. sistem de decontare a operaţiunilor cu instrumente financiare (SD) - un aranjament formal între trei sau mai mulţi participanţi, fără a include posibile bănci de decontare, contrapărţi centrale, case de compensare sau participanţi indirecţi, cu reguli comune şi aranjamente standardizate, a cărui activitate constă în executarea ordinelor de transfer de instrumente financiare;
79. sistem de plăţi (SP) - un aranjament formal între trei sau mai mulţi participanţi, fără a include posibile bănci de decontare, contrapărţi centrale, case de compensare sau participanţi indirecţi, cu reguli comune şi aranjamente standardizate pentru executarea ordinelor de transfer de fonduri între participanţi;
80. sistem de plăţi de mare valoare - sistem de plăţi care procesează ordine de transfer de mare valoare şi/sau urgenţe;
81. sistem de plăţi de mică valoare - sistem de plăţi care procesează ordine de transfer de mică valoare iniţiate cu instrumente de plată de tipul transferurilor de credit, cecurilor, cambiilor, biletelor la ordin, cardurilor etc.;
82. situaţie de urgenţă - un eveniment, o situaţie sau o împrejurare care are capacitatea de a determina nefuncţionarea sau perturbarea operaţiunilor, serviciilor sau funcţiilor unei IPF, inclusiv perturbarea sau împiedicarea decontării finale;
83. societate afiliată - o societate care îl controlează pe participant sau care este controlată de acesta sau care se află sub acelaşi control ca participantul. Controlul unei societăţi este definit drept: a) deţinerea în proprietate, controlul sau deţinerea a cel puţin 20 % sau mai mult dintr-o clasă de acţiuni care dau drept de vot în cadrul societăţii; sau b) consolidarea societăţii în scopul raportării financiare;
84. teste de stres - cuantificarea expunerilor la riscul de credit şi de lichiditate care ar rezulta din evoluţia şi volatilitatea preţurilor în scenarii extreme, dar plauzibile.
TITLUL II
Dispoziţii generale
CAPITOLUL I
Cerinţe generale aplicabile administratorilor infrastructurilor pieţei financiare
SECŢIUNEA 1
Cerinţele privind siguranţa juridică
Art. 3. - (1) În vederea asigurării unui climat de siguranţă din punct de vedere juridic, administratorul IPF evaluează măsura în care legislaţia aplicabilă în toate sistemele juridice relevante asigură un grad ridicat de certitudine şi sprijină fiecare aspect semnificativ al activităţilor IPF operat de acesta. În acest sens, administratorul IPF stabileşte normele şi procedurile IPF şi încheie contracte care sunt clare şi în conformitate cu legislaţia aplicabilă în toate sistemele juridice relevante.
(2) În aplicarea prevederilor alin. (1) administratorul IPF dispune următoarele măsuri:
a) comunică Băncii Naţionale a României, participanţilor şi, dacă este cazul, clienţilor participanţilor, într-un mod clar şi uşor de înţeles, legislaţia, normele, procedurile şi contractele aplicabile pentru funcţionarea IPF;
b) ia măsurile necesare pentru a se asigura că normele, procedurile şi contractele sale produc efecte juridice în toate sistemele juridice relevante şi depune toate diligenţele pentru ca acţiunile pe care le ia în baza acestor norme, proceduri şi contracte să nu fie anulate, reversibile sau suspendate;
c) identifică şi diminuează riscurile care decurg din orice potenţial conflict de legi, în măsura în care îşi desfăşoară activitatea în mai multe sisteme juridice.
SECŢIUNEA a 2-a
Cerinţele generale privind guvernanţa
Art. 4. - (1) În vederea asigurării unui cadru de administrare responsabil, administratorul IPF stabileşte obiective documentate care acordă prioritate ridicată siguranţei şi eficienţei IPF.
(2) Obiectivele stabilite potrivit alin. (1) susţin în mod explicit stabilitatea financiară şi alte considerente relevante de interes public, în special pieţele financiare eficiente şi deschise.
Art. 5. - (1) Administratorul IPF deţine mecanisme de guvernanţă documentate şi efective, care stabilesc ierarhii clare şi directe de responsabilitate şi răspundere.
(2) La solicitarea Băncii Naţionale a României, a deţinătorilor sau a participanţilor, administratorul IPF pune la dispoziţia acestora orice informaţii cu privire la mecanismele prevăzute la alin. (1).
(3) Administratorul IPF trebuie să facă disponibile public versiuni prescurtate ale informaţiilor prevăzute la alin. (1).
Art. 6. - (1) Administratorul IPF stabileşte şi defineşte în mod clar rolul şi responsabilităţile şi raporturile ierarhice ale consiliului, incluzând în mod cumulativ următoarele elemente:
a) stabilirea unor obiective strategice clare pentru IPF;
b) stabilirea unor proceduri documentate pentru funcţionarea IPF, inclusiv proceduri pentru identificarea, abordarea şi gestionarea conflictelor de interese ale membrilor acestuia;
c) asigurarea eficacităţii selectării, monitorizării şi, dacă este cazul, a îndepărtării din funcţie a membrilor conducerii;
d) stabilirea unor politici de compensare corespunzătoare, în conformitate cu cele mai bune practici şi bazate pe realizările pe termen lung;
e) aprobarea emiterii deciziilor care au un impact semnificativ asupra profilului de risc al IPF, precum şi asupra documentelor- cheie privind riscul care reglementează operaţiunile IPF;
f) aprobarea şi reexaminarea anuală a cadrului cuprinzător de gestionare a riscurilor, cadrului privind riscul operaţional şi planul aferent de continuitate a activităţii, planul de redresare şi lichidare ordonată şi planul privind capitalul, cadrele privind riscul de credit şi riscul de lichiditate, cadrul privind aranjamentele de garantare care reglementează gestionarea riscurilor, strategia de investiţii a IPF, precum şi cadrul de rezilienţă cibernetică.
Art. 7. - Consiliul îşi analizează cel puţin anual atât performanţa de ansamblu, cât şi performanţa individuală a membrilor săi.
Art. 8. - Componenţa consiliului asigură integritatea şi o gamă adecvată de competenţe tehnice, cunoştinţe şi experienţă, atât în privinţa IPF, cât şi a pieţei financiare în general, permiţând consiliului să îşi îndeplinească rolurile şi responsabilităţile. Consiliul include membri neexecutivi şi cel puţin un membru independent.
Art. 9. - (1) Administratorul IPF stabileşte şi defineşte în mod clar rolul, responsabilităţile şi raporturile ierarhice ale conducerii.
(2) Componenţa conducerii asigură integritatea şi o gamă adecvată de competenţe tehnice, cunoştinţe şi experienţă, atât în privinţa IPF, cât şi asupra pieţei financiare în general, permiţând conducerii să îşi îndeplinească responsabilităţile privind funcţionarea şi gestionarea riscurilor administratorului IPF.
(3) Sub coordonarea consiliului, responsabilităţile conducerii implică asigurarea următoarelor:
a) consecvenţa activităţilor administratorului IPF cu obiectivele, strategia şi toleranţa la risc a acestuia;
b) proiectarea, executarea şi monitorizarea corespunzătoare a controalelor interne şi a procedurilor aferente, pentru promovarea obiectivelor administratorului IPF;
c) evaluarea şi testarea periodică a controalelor interne şi a procedurilor aferente de către echipe de gestionare a riscului şi audit intern bine pregătite şi cu personal suficient;
d) implicare activă în procesul de control al riscurilor;
e) alocarea de resurse suficiente cadrului de gestionare a riscurilor IPF.
Art. 10. - (1) Consiliul stabileşte şi monitorizează un cadru documentat de gestionare a riscurilor, care:
a) include politica de toleranţă la risc a administratorului IPF;
b) atribuie responsabilităţi şi răspunderi pentru deciziile privind riscul;
c) tratează procesul decizional în cursul situaţiilor de criză şi de urgenţă;
d) tratează funcţiile de control intern.
(2) Consiliul se asigură că există trei linii de apărare clare şi eficace (operaţiuni, gestionarea riscurilor şi audit intern), care sunt separate una de cealaltă şi care beneficiază de suficientă autoritate, independenţă, resurse şi acces la consiliu.
Art. 11. - (1) Consiliul se asigură că deciziile majore care afectează structura tehnică şi funcţională a IPF, regulile şi strategia de ansamblu, în special în ceea ce priveşte alegerea unui mecanism de compensare şi decontare, structura de operare, gama de produse compensate sau decontate şi utilizarea tehnologiei şi procedurilor, protejează în mod corespunzător interesele legitime ale părţilor interesate relevante ale IPF.
(2) Administratorul IPF consultă părţile interesate relevante şi, după caz, orice persoană interesată, într-un interval de timp rezonabil înainte de luarea deciziilor prevăzute la alin. (1).
SECŢIUNEA a 3-a
Cerinţe privind cadrul pentru gestionarea cuprinzătoare a riscurilor
Art. 12. - În vederea asigurării şi menţinerii unui cadru solid de gestionare a riscurilor, administratorul IPF stabileşte şi menţine proceduri şi mecanisme adecvate pentru a identifica, măsura, monitoriza şi gestiona în mod cuprinzător gama de riscuri care apar în IPF sau sunt suportate de către aceasta.
Art. 13. - Administratorul IPF trebuie să revizuiască cel puţin anual cadrul de gestionare a riscului, care presupune îndeplinirea următoarelor cerinţe:
a) include politica de toleranţă la risc a administratorului IPF şi instrumente corespunzătoare de gestionare a riscurilor;
b) atribuie responsabilităţi şi răspunderi pentru deciziile privind riscul;
c) include descrierea procesului decizional în situaţii de urgenţă legate de o IPF, inclusiv a evoluţiilor de pe pieţele financiare care pot avea un efect advers asupra lichidităţii pieţei şi asupra stabilităţii sistemului financiar naţional.
Art. 14. - (1) Administratorul IPF oferă stimulente participanţilor şi, dacă este cazul, clienţilor acestora, pentru a gestiona şi limita riscurile pe care le induc IPF şi pe care le suportă din partea acestora.
(2) În ceea ce priveşte participanţii, administratorul IPF impune un regim de sancţiuni pecuniare eficace, proporţionale şi descurajante, acorduri de împărţire a pierderilor sau ambele.
Art. 15. - Pentru o gestionare adecvată a riscurilor administratorul IPF revizuieşte, cel puţin anual, riscurile semnificative pe care IPF le suportă din partea altor entităţi şi cele pe care le induce altor entităţi, inclusiv IPF, bănci de decontare, furnizori de lichiditate şi prestatori de servicii, ca urmare a interdependenţelor dintre acestea. Administratorul IPF elaborează instrumente de gestionare a riscurilor care sunt robuste şi proporţionale cu nivelul identificat de risc.
Art. 16. - (1) Administratorul IPF defineşte operaţiunile şi serviciile critice ale IPF şi identifică scenarii specifice care îl pot împiedica să furnizeze aceste operaţiuni şi servicii critice în mod continuu şi evaluează eficacitatea tuturor opţiunilor de redresare sau de lichidare ordonată.
(2) Administratorul IPF reexaminează cel puţin anual operaţiunile şi serviciile critice ale IPF.
(3) În baza evaluării stabilite la alin. (1), administratorul IPF pregăteşte un plan viabil de redresare a IPF şi de lichidare ordonată.
(4) Planul de redresare şi lichidare ordonată cuprinde, fără a se limita la acestea:
a) un rezumat cuprinzător al principalelor strategii de redresare şi lichidare ordonată;
b) operaţiunile şi serviciile critice ale IPF, precum şi o descriere a măsurilor necesare pentru a pune în aplicare strategiile-cheie.
(5) Administratorul IPF transmite Băncii Naţionale a României informaţiile necesare în vederea planificării închiderii ordonate.
SECŢIUNEA a 4-a
Cerinţe pentru gestionarea riscului de credit
Art. 17. - (1) Administratorul IPF trebuie să stabilească un cadru robust de măsurare, monitorizare şi gestionare a expunerilor sale la riscul de credit faţă de participanţii săi şi a expunerilor la riscul de credit între participanţi, care decurg din procesele IPF de plată, compensare şi decontare, şi să identifice toate sursele de risc de credit.
(2) Măsurarea şi monitorizarea expunerilor la riscul de credit se efectuează pe întreaga durată a zilei, utilizând informaţii actualizate şi instrumente corespunzătoare de gestionare a riscurilor.
Art. 18. - (1) Administratorul IPF, în cazul unui sistem de decontare pe bază netă amânată, se asigură că:
a) obligaţiile financiare sunt stabilite cel târziu în momentul în care un ordin de transfer este inclus în calcularea poziţiilor de decontare netă accesibile fiecărui participant; şi
b) sunt deţinute suficiente resurse pentru a acoperi expunerile la riscul de credit rezultate potrivit alin. (2) şi (3), cel târziu în momentul menţionat la lit. a).
(2) Administratorul IPF, inclusiv cel care operează un sistem de decontare pe bază netă amânată cu garantarea decontării, care în cursul operaţiunilor IPF suportă expuneri la riscul de credit faţă de participanţii săi, îşi acoperă expunerea la riscul de credit faţă de fiecare participant utilizând garanţiile, fondurile de garantare, capitalul propriu (după deducerea sumei dedicate acoperirii riscului general de afaceri) sau alte resurse financiare echivalente.
(3) Administratorul IPF, inclusiv cel care operează un sistem de decontare pe bază netă amânată fără garantarea decontării, dar în care participanţii se confruntă cu expuneri la riscul de credit care rezultă din procesele de plată, compensare şi decontare ale IPF, dispune de norme sau de acorduri contractuale cu aceşti participanţi.
(4) Normele sau acordurile contractuale prevăzute la alin. (3) trebuie să asigure că participanţii vor furniza suficiente resurse, astfel cum sunt prevăzute la alin. (2), pentru a acoperi expunerile la riscul de credit care rezultă din procesele IPF de plată, compensare şi decontare în raport cu cei doi participanţi care, împreună cu societăţile afiliate, generează în sistem cea mai mare expunere agregată la riscul de credit.
(5) Suplimentar, administratorul IPF stabileşte reguli şi proceduri:
a) pentru gestionarea pierderilor care rezultă direct din neîndeplinirea obligaţiilor unuia sau mai multor participanţi la IPF;
b) pentru alocarea pierderilor potenţial neacoperite, inclusiv rambursarea oricăror fonduri pe care administratorul IPF le poate împrumuta de la furnizorii de lichiditate;
c) pentru reconstituirea, la nivelul prevăzut la alin. (2) şi (4), a oricăror resurse financiare utilizate de IPF în cursul unui eveniment de criză.
Art. 19. - (1) Administratorul unei CPC trebuie să asigure decontarea obligaţiilor financiare.
(2) În sensul alin. (1), administratorul unei CPC trebuie să acopere complet expunerile curente şi potenţiale viitoare faţă de fiecare participant cu un grad ridicat de încredere, utilizând marje şi alte resurse financiare prefinanţate potrivit secţiunii a 5-a şi a 6-a din prezentul capitol.
(3) În situaţia unei CPC, care este implicată în activităţi cu un profil de risc mai complex sau care este de importanţă sistemică în mai multe jurisdicţii, administratorul trebuie să asigure deţinerea unor resurse financiare suplimentare pentru a acoperi o gamă largă de scenarii potenţiale de stres, care includ, fără a se limita însă la: intrarea în incapacitate de plată a acelor doi participanţi şi a societăţilor afiliate, care ar putea produce cea mai mare expunere agregată la riscul de credit pentru CPC, în condiţii de piaţă extreme, dar plauzibile.
(4) Toate CPC trebuie să asigure deţinerea unor resurse financiare suplimentare pentru a acoperi o gamă largă de scenarii potenţiale de stres, care includ, fără a se limita însă la: intrarea în incapacitate de plată a acelui participant şi a societăţilor afiliate, care ar putea produce cea mai mare expunere agregată la riscul de credit pentru CPC, în condiţii de piaţă extreme, dar plauzibile.
(5) În toate cazurile, administratorul unei CPC documentează justificarea care stă la baza stabilirii valorii resurselor financiare totale pe care le păstrează şi trebuie să dispună de aranjamente de guvernanţă potrivite referitoare la această valoare.
Art. 20. - (1) Administratorul CPC determină valoarea şi testează cu regularitate, prin teste de stres riguroase, suficienţa resurselor financiare totale disponibile în cazul unei intrări sau al unor intrări multiple în incapacitate de plată, în condiţii de piaţă extreme, dar plauzibile.
(2) Administratorul unei CPC dispune de proceduri clare de raportare a rezultatelor testelor sale de stres către organismele de decizie ale CPC, precum şi de utilizare a acestor rezultate pentru a evalua caracterul adecvat al resurselor sale financiare totale şi pentru a le ajusta.
(3) Testele de stres sunt realizate zilnic, folosind parametri şi ipoteze standard şi predeterminate.
(4) Cel puţin o dată pe lună, administratorul unei CPC efectuează o analiză cuprinzătoare şi amănunţită a scenariilor testelor de stres, a modelelor, a parametrilor şi ipotezelor aferente, pentru a se asigura că acestea sunt adecvate pentru a determina nivelul cerut de protecţie al CPC împotriva intrării în incapacitate de plată, având în vedere condiţiile de piaţă curente şi evoluţia lor.
(5) Administratorul unei CPC efectuează analiza testelor de stres mai des atunci când produsele compensate sau pieţele deservite sunt caracterizate de volatilitate ridicată, devin mai puţin lichide sau atunci când dimensiunea sau gradul de concentrare a poziţiilor deţinute de către participanţii la CPC cresc în mod semnificativ.
Art. 21. - Administratorul unei CPC realizează o validare completă a modelului de administrare a riscului cel puţin o dată pe an.
Art. 22. - (1) Pentru efectuarea testelor de stres, administratorul unei CPC ia în considerare efectul unei game largi de scenarii relevante de stres, atât în privinţa poziţiilor participanţilor intraţi în incapacitate de plată, cât şi din perspectiva posibilelor modificări de preţ în perioadele de lichidare a acestor poziţii.
(2) Scenariile de stres includ vârfurile istorice relevante ale volatilităţii preţurilor, schimbările altor factori ai pieţei, precum determinanţii preţului sau curbele de randament, intrările multiple în incapacitate de plată pe diverse orizonturi de timp, presiunile simultane în cadrul pieţelor de finanţare şi de active, precum şi un spectru de scenarii de stres prospective, într-o varietate de condiţii de piaţă extreme, dar plauzibile.
SECŢIUNEA a 5-a
Cerinţe privind aranjamentele de garantare
Art. 23. - În situaţia în care administratorul unei IPF stabileşte aranjamente de garantare pentru a gestiona riscul de credit la care se expune sau la care sunt expuşi participanţii, va accepta numai garanţii cu risc de credit, de lichiditate şi de piaţă scăzut.
Art. 24. - (1) Administratorul unei IPF acceptă cu titlu de garanţie numai următoarele active:
a) fonduri băneşti; şi
b) active cu riscuri scăzute de credit, de lichiditate şi de piaţă, respectiv active pentru care administratorul IPF poate demonstra Băncii Naţionale a României, în baza unei evaluări interne adecvate, că îndeplinesc toate condiţiile următoare:
(i) au fost emise de un emitent cu risc scăzut de credit;
(ii) sunt liber transferabile fără a fi afectate de nicio constrângere juridică sau creanţe ale terţilor;
(iii) sunt exprimate într-o monedă al cărei risc este gestionat de administratorul IPF;
(iv) au date fiabile privind preţurile, publicate în mod periodic;
(v) nu fac altfel obiectul unor riscuri semnificative de corelare nefavorabilă;
(vi) nu sunt emise de participantul care furnizează garanţia sau de o entitate care face parte din acelaşi grup cu respectivul participant, cu excepţia cazului de obligaţiuni garantate şi numai atunci când activele din fondul de acoperire sunt separate în mod corespunzător într-un cadru juridic robust şi îndeplinesc cerinţele prevăzute la pct. (i)-(v).
(2) Administratorul IPF defineşte, documentează şi aplică o metodologie obiectivă cu privire la analiza îndeplinirii condiţiilor aferente evaluării interne asupra activelor, prevăzută la alin. (1) lit. b).
Art. 25. - (1) Administratorul IPF stabileşte şi pune în aplicare politici şi proceduri de monitorizare a calităţii creditului, a lichidităţii pieţei şi a volatilităţii preţurilor pentru fiecare activ acceptat drept garanţie.
(2) Administratorul IPF monitorizează periodic, cel puţin anual, caracterul adecvat al politicilor şi procedurilor prevăzute la alin. (1).
(3) Reexaminarea politicilor şi procedurilor prevăzute la alin. (1) este realizată de fiecare dată când are loc o schimbare semnificativă ce afectează expunerea la risc a IPF.
(4) Administratorul IPF evaluează garanţiile la preţul pieţei, cel puţin zilnic.
Art. 26. - Administratorul IPF stabileşte marje de ajustare a valorii stabile şi conservatoare, le testează cel puţin anual şi ţine seama de condiţiile pieţei în situaţie de criză. Procedurile de ajustare a valorii sunt validate, cel puţin anual, de alt personal decât cel care a conceput şi aplicat procedurile de ajustare a valorii.
Art. 27. - Administratorul IPF ia măsuri de evitare a concentrării deţinerilor de anumite active, atunci când acest lucru ar afecta semnificativ capacitatea de a lichida rapid aceste active, fără efecte adverse semnificative asupra preţului.
Art. 28. - Administratorul IPF care acceptă garanţii transfrontaliere identifică şi diminuează riscurile asociate utilizării acestora şi se asigură că respectiva garanţie transfrontalieră poate fi utilizată în timp util.
Art. 29. - Administratorul IPF utilizează un sistem de gestionare a garanţiilor adecvat şi flexibil din punct de vedere operaţional.
SECŢIUNEA a 6-a
Cerinţe privind marjele
Art. 30. - (1) Administratorul unei CPC trebuie să acopere expunerile sale la riscul de credit faţă de participanţi, pentru toate produsele, prin intermediul unui sistem efectiv de marje, determinat pe baza riscurilor şi revizuit cu regularitate.
(2) Nivelurile marjelor trebuie să fie proporţionale cu riscurile şi caracteristicile particulare ale fiecărui produs, portofoliu şi piaţă pe care o deserveşte.
(3) Administratorul CPC dispune, în timp util, de o sursă sigură de informaţii referitoare la preţ, pentru sistemul său de marje. Administratorul CPC stabileşte proceduri şi modele solide de evaluare pentru a adresa circumstanţele în care informaţiile referitoare la preţ nu sunt disponibile rapid sau nu sunt de încredere.
(4) Administratorul CPC adoptă modele şi parametri pentru marjele iniţiale care să fie bazate pe risc şi care generează cerinţe de marjă suficiente pentru a-şi acoperi expunerile potenţiale viitoare faţă de participanţi, în intervalul dintre ultima colectare a marjelor şi lichidarea poziţiilor ca urmare a intrării în incapacitate de plată a unui participant.
(5) Marja iniţială îndeplineşte un interval stabilit de încredere de cel puţin 99 la sută cu privire la distribuţia estimată a expunerilor viitoare.
(6) Pentru administratorul unei CPC care calculează marja la nivelul portofoliului, această cerinţă se aplică pentru distribuţiile expunerilor viitoare ale fiecărui portofoliu.
(7) Pentru administratorul unei CPC care calculează marja la un nivel mai detaliat, precum un subportofoliu sau pe produs, cerinţa este îndeplinită pentru distribuţiile corespunzătoare ale expunerilor viitoare.
(8) Modelul utilizat pentru determinarea marjelor trebuie:
a) să utilizeze o estimare precaută a orizonturilor de timp necesare pentru hedging sau închiderea poziţiilor pe fiecare tip de produse compensate de către CPC (inclusiv în condiţii de piaţă tensionate);
b) să dispună de o metodă adecvată de evaluare a expunerii la riscul de credit care să acopere factorii de risc relevanţi pentru produse şi efectele de portofoliu între produse; şi
c) în măsura în care este posibil şi prudent, să limiteze necesitatea unor modificări prociclice destabilizatoare.
Art. 31. - Administratorul unei CPC marchează la piaţă poziţiile participanţilor şi colectează marja de variaţie cel puţin zilnic, pentru a limita acumularea de expuneri curente.
Art. 32. - Administratorul unei CPC deţine autoritatea şi capacitatea operaţională de a face, în timpul zilei, apeluri în marjă şi plăţi către participanţi, atât programate, cât şi neprogramate.
Art. 33. - Pentru a calcula cerinţele de marjă, administratorul CPC poate permite compensări sau reduceri ale marjei solicitate cu privire la produsele pe care le compensează sau cu privire la produsele compensate de către aceasta şi o altă CPC, dacă riscul unui produs este corelat în mod semnificativ şi sigur cu riscul celuilalt produs.
Art. 34. - Acolo unde două sau mai multe CPC sunt autorizate să ofere marje între CPC-uri, acestea trebuie să deţină măsuri de siguranţă adecvate şi sisteme armonizate de administrare a riscurilor.
Art. 35. - (1) Administratorul unei CPC analizează şi monitorizează performanţa modelului său şi capacitatea de acoperire a marjelor, prin realizarea de teste zilnice riguroase de tip testare a posteriori şi cel puţin lunar sau mai des atunci când este cazul de analize de senzitivitate.
(2) Administratorul unei CPC efectuează, cu regularitate, o evaluare a proprietăţilor teoretice şi empirice ale modelului său de marjă pentru toate produsele pe care le compensează.
(3) Pentru realizarea analizelor de senzitivitate a puterii de acoperire a modelului, prevăzute la alin. (1), administratorul unei CPC ia în considerare o gamă largă de parametri şi ipoteze, care să reflecte posibilele condiţii de piaţă, inclusiv cele mai volatile perioade înregistrate de către pieţele pe care le deserveşte, precum şi schimbările extreme în corelaţiile dintre preţuri.
Art. 36. - Administratorul CPC revizuieşte şi validează cu regularitate sistemul său de marje.
SECŢIUNEA a 7-a
Cerinţe privind gestionarea riscului de lichiditate
Art. 37. - (1) Administratorul IPF stabileşte un cadru cuprinzător de gestionare a riscurilor de lichiditate generate de participanţii la IPF, băncile de decontare, agenţii nostro, băncile custode, furnizorii de lichiditate şi alte entităţi relevante.
(2) Cadrul de gestionare a riscurilor de lichiditate furnizează participanţilor instrumente adecvate pentru a-şi administra eficient lichiditatea şi asigură monitorizarea şi facilitarea fluxului normal de lichiditate în sistem.
Art. 38. - Administratorul IPF stabileşte instrumente operaţionale şi analitice care îi permit să identifice, să măsoare şi să monitorizeze fluxurile de decontare şi finanţare, inclusiv utilizarea de lichiditate pe parcursul zilei, în mod permanent şi în timp util.
Art. 39. - Administratorul IPF, în cazul unui sistem de decontare pe bază netă amânată, se asigură că:
a) obligaţiile financiare sunt stabilite cel târziu în momentul în care un ordin de transfer este inclus în calcularea poziţiilor de decontare netă accesibile fiecărui participant; şi
b) sunt deţinute suficiente resurse lichide în conformitate cu art. 40 şi 41 cel târziu în momentul menţionat la lit. a).
Art. 40. - (1) Administratorul IPF deţine sau se asigură că participanţii deţin permanent suficiente resurse lichide din momentul stabilirii obligaţiilor financiare, în toate monedele în care operează, pentru a efectua decontarea în aceeaşi zi a obligaţiilor de plată într-o gamă largă de potenţiale scenarii de criză, inclusiv decontarea pe parcursul zilei sau pe durata mai multor zile, dacă este cazul.
(2) Scenariile de criză includ:
a) o neîndeplinire a obligaţiilor, în condiţii de piaţă extreme, dar plauzibile, de către participantul care, împreună cu societăţile afiliate, are cea mai mare obligaţie de plată agregată; şi
b) alte scenarii în conformitate cu art. 44.
Art. 41. - Administratorul IPF care decontează plăţi deţine sau se asigură că participanţii deţin resurse lichide suficiente, în conformitate cu art. 40, pentru efectuarea unei decontări în timp util a obligaţiilor financiare în cazul unei neîndepliniri a obligaţiilor participantului care, împreună cu societăţile afiliate ale acestuia, are cea mai mare obligaţie financiară agregată, astfel cum se determină la art. 40 alin. (2) lit. a), în oricare dintre modalităţile următoare:
a) în numerar la Banca Naţională a României sau la o instituţie de credit; sau
b) în garanţii eligibile pentru operaţiunile de piaţă efectuate de Banca Naţională a României, cu condiţia ca administratorul IPF să poată demonstra că o astfel de garanţie este imediat disponibilă şi convertibilă în numerar în aceeaşi zi, utilizând acorduri de finanţare prestabilite şi foarte sigure, chiar în condiţiile pieţei în situaţie de criză.
Art. 42. - Administratorul IPF nu prezumă că va fi disponibil credit de urgenţă din partea băncii centrale.
Art. 43. - Administratorul IPF cu acces la conturile, serviciile de plăţi sau serviciile aferente instrumentelor financiare ale Băncii Naţionale a României utilizează aceste servicii, acolo unde este practicabil.
Art. 44. - (1) Administratorul IPF, prin simulări riguroase şi testare în scenarii de criză, determină nivelul resurselor lichide şi testează în mod periodic dacă dispune de resurse lichide suficiente pentru a îndeplini cerinţele de la art. 40 şi 41.
(2) La efectuarea simulărilor de testare la stres, administratorul IPF ia în considerare o gamă largă de scenarii relevante, inclusiv una sau mai multe situaţii de neîndeplinire a obligaţiilor de către participanţi în aceeaşi zi şi în două sau mai multe zile ulterioare.
(3) Atunci când sunt avute în vedere astfel de scenarii, sunt luate în considerare proiectarea şi funcţionarea IPF şi sunt examinate toate entităţile care ar putea genera riscuri de lichiditate semnificative la adresa IPF, inclusiv bănci de decontare, agenţi nostro, bănci custode, furnizori de lichiditate, precum şi IPF conectate.
(4) Scenariile acoperă o perioadă de mai multe zile.
Art. 45. - (1) Administratorul IPF documentează motivele păstrării fondurilor şi a altor active menţinute de administratorul IPF sau de participanţi şi are mecanisme de guvernanţă corespunzătoare în acest sens.
(2) Administratorul IPF stabileşte proceduri clare pentru raportarea către consiliu a rezultatelor testărilor obţinute potrivit art. 44.
(3) Administratorul IPF utilizează rezultatele testărilor, obţinute potrivit art. 44, pentru a evalua adecvarea cadrului său de gestionare a riscurilor de lichiditate şi pentru a efectua ajustări ale acestuia.
Art. 46. - (1) Administratorul IPF stabileşte reguli şi proceduri clare care permit IPF să efectueze decontarea în aceeaşi zi şi, dacă este cazul, decontarea în timp util pe parcursul aceleiaşi zile şi pe durata mai multor zile a obligaţiilor financiare în urma neîndeplinirii obligaţiilor unuia sau mai multor participanţi.
(2) Regulile şi procedurile stabilite potrivit alin. (1):
a) vor aborda deficite de lichiditate neprevăzute şi potenţial neacoperite;
b) vor urmări să evite anularea, revocarea sau întârzierea decontării pe parcursul aceleiaşi zile a obligaţiilor financiare;
c) vor indica modul de reconstituire a fondurilor şi a altor active utilizate de IPF în cursul unui eveniment de criză, la nivelul prevăzut la art. 40-41.
Art. 47. - (1) Administratorul unei CPC deţine resurse lichide suficiente, în toate monedele relevante, pentru a deconta plăţi legate de instrumentele financiare, pentru a face plăţi referitoare la marjele de variaţie solicitate şi pentru a îndeplini alte obligaţii de plată la timp, cu un grad ridicat de încredere, pentru o gamă largă de scenarii potenţiale de stres, care ar trebui să includă, fără a se limita la, intrarea în incapacitate de plată a acelui participant şi a societăţilor afiliate care ar genera cea mai mare obligaţie de plată agregată către CPC, în condiţii de piaţă extreme, dar plauzibile.
(2) Administratorul unei CPC care este implicată în activităţi cu un profil de risc mai complex sau care este importantă din punct de vedere sistemic în mai multe jurisdicţii trebuie să ia în considerare păstrarea unor resurse de lichiditate suplimentare, suficiente pentru a acoperi o gamă mai largă de scenarii potenţiale de criză, care ar trebui să includă, fără a se limita la, intrarea în incapacitate de plată a acelor doi participanţi şi a afiliaţilor acestora care ar genera cea mai mare obligaţie de plată agregată pentru CPC, în condiţii de piaţă extreme, dar plauzibile.
SECŢIUNEA a 8-a
Cerinţe privind decontarea finală
Art. 48. - (1) Decontarea finală se realizează de către administratorul IPF cel mai târziu la sfârşitul zilei stabilite pentru decontare şi, de preferat, în timpul zilei sau în timp real, pentru a reduce riscul de decontare.
(2) Un sistem de plăţi de mare valoare sau un sistem de decontare a operaţiunilor cu instrumente financiare trebuie să ia în considerare adoptarea unui sistem de decontare pe bază brută în timp real sau procesarea în sesiuni multiple, în cadrul zilei de decontare.
(3) Administratorul IPF stabileşte în mod clar momentul la care decontarea este finală.
(4) Administratorul IPF defineşte în mod clar momentul de la care plăţile nedecontate, instrucţiunile de transfer sau alte obligaţii nu mai pot fi revocate de către un participant.
SECŢIUNEA a 9-a
Cerinţe privind decontarea fondurilor
Art. 49. - (1) Administratorul IPF care decontează plăţi unilaterale în lei se asigură că decontarea finală se efectuează în banii băncii centrale.
(2) Administratorul IPF care decontează plăţi bilaterale sau plăţi unilaterale în alte monede decât lei se asigură că decontarea finală se efectuează în banii băncii centrale, dacă acest lucru este practic şi disponibil.
Art. 50. - Administratorul IPF care decontează plăţi pentru alte IPF depune eforturi pentru a permite acestora să efectueze decontări chiar în situaţii de urgenţă.
Art. 51. - În cazul în care nu sunt utilizaţi banii băncii centrale, administratorul IPF se asigură că decontările de fonduri au loc utilizând un activ de decontare cu risc de credit şi de lichiditate redus sau care nu presupune risc de credit sau de lichiditate.
Art. 52. - (1) În cazul în care o decontare se efectuează în banii băncii comerciale, administratorul IPF monitorizează, gestionează şi limitează riscurile de credit şi de lichiditate care provin de la băncile comerciale de decontare.
(2) Administratorul IPF stabileşte criterii stricte pentru băncile sale de decontare şi monitorizează respectarea lor, luând în considerare, dar fără a se limita la:
a) reglementarea şi supravegherea acestora;
b) solvabilitatea;
c) capitalizarea;
d) accesul la lichiditate; şi
e) siguranţa operaţională.
(3) Administratorul IPF trebuie să monitorizeze şi să gestioneze concentrarea expunerilor la riscul de credit şi lichiditate faţă de băncile comerciale de decontare ale IPF.
Art. 53. - Acordurile juridice ale unui administrator IPF cu orice bănci comerciale de decontare precizează în mod clar:
a) când se anticipează transferuri în conturile băncilor de decontare individuale;
b) că transferurile sunt finale atunci când sunt efectuate;
c) că fondurile primite sunt transferabile imediat ce este posibil, cel târziu până la sfârşitul zilei.
Art. 54. - În cazul în care un administrator IPF efectuează decontări în bani în propriile registre, acesta îşi minimizează şi controlează strict riscurile de credit şi de lichiditate.
SECŢIUNEA a 10-a
Cerinţe privind livrarea fizică a instrumentelor financiare
Art. 55. - (1) Administratorul IPF stabileşte, în mod clar, în regulile unei IPF obligaţiile sale cu privire la livrarea fizică a instrumentelor financiare sau a mărfurilor.
(2) Administratorul IPF identifică, monitorizează şi administrează riscurile şi costurile asociate depozitării şi livrării fizice a instrumentelor financiare sau a mărfurilor.
SECŢIUNEA a 11-a
Cerinţe aplicabile administratorilor sistemelor de decontare a operaţiunilor cu instrumente financiare din cadrul depozitarilor centrali de instrumente financiare (DC)
Art. 56. - Administratorul unui DC trebuie să stabilească reguli şi proceduri pentru a asigura diminuarea şi gestionarea riscurilor asociate transferului instrumentelor financiare.
Art. 57. - (1) Administratorul unui DC păstrează instrumentele financiare într-o formă imobilizată sau dematerializată, pentru transferul acestora prin înregistrări în conturi.
(2) Administratorul unui DC poate asigura stimulente pentru imobilizarea sau dematerializarea instrumentelor financiare, dacă este cazul.
Art. 58. - Administratorul unui DC identifică, măsoară, monitorizează şi administrează riscurile asociate altor activităţi pe care le-ar putea desfăşura, putând fi necesare instrumente suplimentare pentru a gestiona aceste riscuri.
Art. 59. - (1) Confirmarea tranzacţiilor între participanţii direcţi are loc cât mai curând posibil după încheierea tranzacţiei, dar nu mai târziu de data tranzacţiei.
(2) Atunci când este necesară confirmarea tranzacţiilor de către participanţii indirecţi aceasta are loc cât mai curând posibil după încheierea tranzacţiei, dar nu mai târziu de ziua lucrătoare imediat ulterioară datei tranzacţiei.
(3) Decontarea finală se realizează nu mai târziu de două zile lucrătoare după data tranzacţiei.
Art. 60. - În vederea facilitării decontării tranzacţiilor cu instrumente financiare, administratorul unui DC trebuie să analizeze oportunitatea implementării unui mecanism de împrumut de instrumente financiare, inclusiv aranjamente de tip repo.
SECŢIUNEA a 12-a
Cerinţe aplicabile administratorilor sistemelor de decontare prin schimburi de valoare
Art. 61. - Administratorul unui sistem de decontare prin schimburi de valoare trebuie să elimine riscul de principal prin reguli care să asigure că decontarea finală a unei obligaţii are loc dacă şi numai dacă are loc decontarea finală a obligaţiei conexe, indiferent dacă acea IPF decontează pe bază brută sau netă şi indiferent de momentul realizării finalităţii decontării.
SECŢIUNEA a 13-a
Reguli şi proceduri privind neîndeplinirea obligaţiilor de către un participant
Art. 62. - Administratorul IPF stabileşte reguli şi proceduri prin care defineşte cel puţin situaţia de neîndeplinire a obligaţiilor unui participant, atunci când acestea devin scadente, ca urmare a unor cauze operaţionale, a încălcării acordurilor la care este parte sau deschiderii procedurii de insolvenţă împotriva respectivului participant.
Art. 63. - (1) Administratorul IPF defineşte şi distinge între situaţii automate şi discreţionare de neîndeplinire a obligaţiilor.
(2) În cazul situaţiei discreţionare de neîndeplinire a obligaţiilor, administratorul IPF precizează entitatea care exercită această putere discreţionară.
(3) În situaţia prevăzută la alin. (2) administratorul IPF reexaminează respectiva definiţie cel puţin anual.
Art. 64. - (1) Administratorul IPF stabileşte reguli şi proceduri pentru cazurile de neîndeplinire a obligaţiilor de către participanţi care îi permit să continue să îşi îndeplinească obligaţiile.
(2) Regulile şi procedurile prevăzute la alin. (1) vizează reconstituirea resurselor în urma unei neîndepliniri a obligaţiilor de către unul sau mai mulţi participanţi.
(3) Regulile şi procedurile definesc cel puţin următoarele aspecte:
a) măsurile pe care le poate lua administratorul IPF atunci când are loc o neîndeplinire a obligaţiilor;
b) dacă aceste măsuri se iau automat sau în mod discreţionar şi mijlocul prin care este exercitată această putere discreţionară;
c) modificări potenţiale ale practicilor normale de decontare ale unui administrator IPF, pentru asigurarea unei decontări în timp util;
d) gestionarea plăţilor în diferite etape de prelucrare;
e) secvenţialitatea probabilă a acţiunilor;
f) rolurile, obligaţiile şi responsabilităţile părţilor relevante, inclusiv ale participanţilor care nu sunt într-o situaţie de neîndeplinire a obligaţiilor;
g) alte mecanisme care trebuie activate pentru a limita impactul unei neîndepliniri a obligaţiilor.
Art. 65. - Pentru punerea în aplicare a regulilor şi procedurilor privind neîndeplinirea obligaţiilor, inclusiv orice proceduri discreţionare prevăzute în regulile sale, administratorul IPF se asigură că:
a) are capacitatea operaţională, inclusiv suficient personal bine pregătit, pentru a pune în aplicare în timp util procedurile descrise la art. 64; şi
b) regulile şi procedurile IPF abordează nevoile de documentare, informare şi comunicare, precum şi de coordonare, atunci când sunt implicate mai multe IPF sau autorităţi.
Art. 66. - Administratorul IPF face publice aspectele-cheie ale regulilor şi procedurilor descrise la art. 64, incluzând cel puţin următoarele aspecte:
a) circumstanţele în care se iau măsuri;
b) cine ia respectivele măsuri;
c) sfera măsurilor care urmează a fi luate;
d) mecanismele care vizează obligaţiile unui administrator IPF faţă de participanţii care nu sunt într-o situaţie de neîndeplinire a obligaţiilor.
Art. 67. - Administratorul IPF testează şi reexaminează regulile şi procedurile IPF descrise la art. 64 cel puţin anual sau după orice schimbări semnificative ale IPF care afectează aceste reguli şi proceduri. Administratorul IPF implică participanţii la IPF şi părţile interesate relevante la aceste testări şi reexaminări.
SECŢIUNEA a 14-a
Cerinţe privind segregarea şi portabilitatea poziţiilor şi garanţiilor clienţilor
Art. 68. - (1) Administratorul unei CPC trebuie să dispună de reguli şi proceduri de segregare şi portabilitate care să protejeze, în mod eficace, poziţiile clienţilor unui participant şi garanţiile corespunzătoare în cazul intrării în incapacitate de plată sau de insolvenţă a respectivului participant.
(2) Dacă administratorul unei CPC oferă protecţie suplimentară pentru poziţiile şi garanţiile clientului împotriva intrării simultane în incapacitate de plată a participantului şi a unui alt client al acestuia, acel administrator al CPC ia măsuri pentru a se asigura că o astfel de protecţie este eficace.
Art. 69. - Administratorul unei CPC utilizează o structură a conturilor care să îi permită să identifice cu promptitudine poziţiile clienţilor unui participant şi să segrege garanţiile corespunzătoare. Administratorul unei CPC menţine poziţiile şi garanţiile clientului în conturi de clienţi individuale sau în conturi de clienţi globale.
Art. 70. - Administratorul unei CPC trebuie să deţină aranjamente de portabilitate structurate, astfel încât să fie accesibilă transferarea poziţiilor şi a garanţiilor corespunzătoare ale clienţilor unui participant intrat în incapacitate de plată, către unul sau mai mulţi participanţi.
Art. 71. - (1) Administratorul unei CPC are obligaţia de a face publice regulile, politicile şi procedurile sale referitoare la segregarea şi portabilitatea poziţiilor şi a garanţiilor corespunzătoare ale clienţilor unui participant.
(2) Administratorul unei CPC face cunoscut dacă garanţiile clientului sunt protejate pe bază individuală sau pe bază globală.
(3) În plus, administratorul unei CPC face cunoscute orice constrângeri, precum constrângeri legale sau operaţionale, care ar putea împiedica capacitatea acesteia de a segrega sau de a transfera poziţiile şi garanţiile corespunzătoare ale clienţilor unui participant.
SECŢIUNEA a 15-a
Cerinţe privind riscul general de afaceri
Art. 72. - În vederea evitării unor situaţii care să genereze riscul general de afaceri, administratorul IPF stabileşte sisteme robuste de gestionare şi control pentru a identifica, monitoriza şi gestiona acest risc, inclusiv pierderile care rezultă din executarea defectuoasă a strategiei de afaceri, fluxuri negative de fonduri sau cheltuieli operaţionale neaşteptate sau excesiv de mari.
Art. 73. - În sensul respectării art. 72 administratorul IPF trebuie să dispună de un plan viabil de redresare şi lichidare ordonată, în acord cu art. 16.
Art. 74. - (1) Administratorul IPF determină, pe baza profilului riscului general de afaceri al acestuia şi a intervalului de timp necesar pentru a realiza o redresare şi/sau o lichidare ordonată a operaţiunilor şi serviciilor sale critice, valoarea activelor necesare pentru punerea în aplicare a planului prevăzut la art. 73.
(2) Valoarea activelor determinate potrivit alin. (1) nu este mai mică decât cea reprezentată de cheltuielile de exploatare curente pentru cel puţin şase luni.
Art. 75. - (1) Pentru a acoperi valoarea prevăzută la art. 74, administratorul IPF trebuie să deţină active nete lichide finanţate prin capital propriu, precum acţiuni ordinare, rezerve publicate sau alte rezultate reportate, astfel încât să poată asigura continuitatea operaţiunilor şi a serviciilor.
(2) Aceste active se adaugă resurselor deţinute pentru a acoperi neîndeplinirea obligaţiilor participanţilor sau alte riscuri de credit şi lichiditate.
(3) Capitalul propriu deţinut în baza unor standarde internaţionale de capital în funcţie de gradul de risc poate fi inclus pentru a evita duplicarea cerinţelor de capital.
Art. 76. - (1) Activele menţionate la art. 75 deţinute pentru acoperirea riscului general de afaceri au o lichiditate şi o calitate suficient de ridicate pentru a fi disponibile în timp util şi sunt separate de activele administratorului IPF utilizate pentru operaţiunile zilnice.
(2) Administratorul IPF este capabil să execute activele deţinute pentru acoperirea riscului general de afaceri fără efecte adverse sau cu efecte adverse mici asupra preţurilor, astfel încât să poată asigura continuitatea operaţiunilor şi a serviciilor dacă înregistrează pierderi comerciale generale.
Art. 77. - Administratorul IPF stabileşte un plan viabil privind atragerea de capital suplimentar, în cazul în care capitalul propriu al acestuia se apropie de valoarea prevăzută la art. 74 sau scade sub nivelul acesteia.
SECŢIUNEA a 16-a
Cerinţe privind riscul de custodie şi de investiţie
Art. 78. - (1) Pentru evitarea riscului de custodie, administratorul IPF păstrează activele proprii şi ale participanţilor la entităţi supravegheate şi reglementate, denumite în continuare custozi, care au practici contabile, proceduri de păstrare în siguranţă şi controale interne care protejează pe deplin aceste active împotriva riscului de pierdere în cazul insolvenţei, neglijenţei, fraudei, administrării defectuoase sau evidenţei necorespunzătoare ale unui custode sau subcustode.
(2) În aplicarea alin. (1), administratorul IPF are acces în timp util la activele sale şi la activele furnizate de către participanţi.
Art. 79. - Administratorul IPF evaluează şi înţelege expunerile proprii faţă de băncile custode ale acestuia, ţinând seama de întreaga sferă a relaţiilor sale cu fiecare dintre acestea.
Art. 80. - (1) Administratorul IPF stabileşte o strategie de investiţii care ia în calcul apariţia unor factori care pot să genereze posibile riscuri de investiţie şi care este în conformitate cu strategia generală a acestuia de gestionare a riscului.
(2) Strategia prevăzută la alin. (1) este comunicată în întregime participanţilor şi este revizuită cel puţin anual.
Art. 81. - Investiţiile unui administrator IPF sunt garantate de debitori cu solvabilitate ridicată sau sunt creanţe asupra unor asemenea debitori. Administratorul IPF defineşte criteriile pentru debitorii de calitate înaltă. Investiţiile trebuie să fie în instrumente cu riscuri minime de credit, de piaţă şi de lichiditate.
SECŢIUNEA a 17-a
Cerinţe privind gestionarea riscului operaţional
Art. 82. - Administratorul IPF stabileşte un cadru robust cu sisteme, politici, proceduri şi controale adecvate pentru a identifica, monitoriza şi gestiona riscul operaţional, cu obligaţia de a le reexamina, audita şi testa periodic şi după schimbări semnificative.
Art. 83. - (1) Administratorul IPF stabileşte obiectivele privind nivelurile serviciilor prestate participanţilor şi fiabilitatea operaţională, precum şi politicile destinate să atingă aceste obiective, care vor fi reexaminate cel puţin anual.
(2) Administratorul IPF se asigură că IPF are permanent posibilitatea de a ajusta capacitatea de procesare pentru a face faţă creşterilor volumelor de operaţiuni care apar din cauza evenimentelor de criză şi că îşi poate atinge obiectivele privind nivelurile serviciilor.
Art. 84. - Administratorul IPF stabileşte politici cuprinzătoare de securitate fizică şi a informaţiilor care identifică, evaluează şi gestionează în mod adecvat toate vulnerabilităţile şi ameninţările potenţiale, care vor fi reexaminate cel puţin anual.
Art. 85. - (1) Administratorul IPF stabileşte un plan de continuitate a activităţii care abordează evenimente care determină un risc semnificativ de perturbare a operaţiunilor, care va fi reexaminat şi testat cel puţin anual.
(2) Planul stabilit conform alin. (1) include utilizarea unui sediu secundar pentru desfăşurarea activităţii şi este proiectat să asigure reluarea operaţiunilor critice şi funcţionarea sistemelor informatice critice în termen de două ore de la producerea acestor evenimente.
(3) Planul de continuitate a activităţii este conceput astfel încât IPF este întotdeauna capabilă să deconteze toate tranzacţiile scadente până la sfârşitul zilei lucrătoare în care are loc perturbarea.
Art. 86. - Administratorul IPF identifică participanţii critici în special pe baza volumelor, a valorilor plăţilor şi a impactului potenţial al acestora asupra altor participanţi şi asupra IPF în ansamblu, în cazul unei probleme operaţionale semnificative cu care s-ar confrunta aceşti participanţi.
Art. 87. - Administratorul IPF identifică, monitorizează şi gestionează riscurile pe care participanţii critici, alte IPF, precum şi furnizorii de servicii şi utilităţi le-ar putea genera pentru operaţiunile IPF.
Art. 88. - Administratorii IPF trebuie să desemneze anual, până la data de 31 ianuarie, participanţii critici, în baza activităţii acestora din anul anterior şi să le comunice acestora calitatea de participanţi critici pentru anul curent.
SECŢIUNEA a 18-a
Cerinţe privind criteriile de acces şi participare
Art. 89. - În vederea asigurării unor condiţii echitabile de participare, administratorul IPF stabileşte şi face publice criterii nediscriminatorii de acces şi participare la serviciile IPF pentru participanţii direcţi şi, dacă este cazul, pentru participanţii indirecţi, precum şi pentru alte IPF, care vor fi reexaminate cel puţin anual.
Art. 90. - (1) Criteriile de acces şi participare stabilite potrivit art. 89 sunt justificate în raport cu siguranţa şi eficienţa IPF şi a pieţelor pe care acesta le deserveşte şi sunt adaptate şi proporţionale cu riscurile specifice ale IPF.
(2) Pentru asigurarea conformităţii cu principiul proporţionalităţii, administratorul IPF stabileşte cerinţele prevăzute la art. 89 astfel încât să limiteze accesul în cea mai mică măsură posibilă.
(3) În cazul în care administratorul IPF refuză accesul unei entităţi solicitante, motivează în scris acest lucru, în baza unei analize cuprinzătoare a riscului.
Art. 91. - (1) Administratorul IPF monitorizează în mod permanent conformitatea participanţilor cu criteriile de acces şi participare ale IPF.
(2) Administratorul IPF stabileşte şi face publice procedurile nediscriminatorii de facilitare a suspendării şi încetării ordonate a dreptului de participare al unui participant atunci când participantul nu respectă criteriile de acces şi participare şi face publice aspectele-cheie relevante ale unor astfel de proceduri.
(3) Procedurile stabilite potrivit alin. (2) vor fi reexaminate cel puţin anual.
SECŢIUNEA a 19-a
Cerinţe privind acordurile de participare pe niveluri
Art. 92. - (1) În scopul gestionării adecvate a riscurilor, administratorul IPF se asigură că regulile, procedurile şi acordurile contractuale ale IPF îi permit colectarea de informaţii privind participarea indirectă, pentru a identifica, monitoriza şi gestiona orice riscuri semnificative la adresa IPF care decurg din participare.
(2) Informaţiile pe care le colectează includ cel puţin următoarele aspecte:
a) activitatea pe care participanţii direcţi o desfăşoară în nume propriu şi în numele participanţilor indirecţi ca pondere în activitatea la nivelul sistemului;
b) numărul de participanţi indirecţi care decontează prin intermediul participanţilor direcţi individuali;
c) volumele şi valorile tranzacţiilor din IPF care provin de la fiecare participant indirect;
d) volumele şi valorile tranzacţiilor menţionate la litera c) ca pondere în cele ale participantului direct prin care participantul indirect accesează IPF.
Art. 93. - Administratorul IPF identifică dependenţele semnificative dintre participanţii direcţi şi indirecţi care pot afecta IPF, luând în considerare informaţiile prevăzute la art. 92.
Art. 94. - Administratorul IPF identifică participanţii indirecţi care generează riscuri semnificative pentru IPF şi participanţii direcţi prin care aceştia accesează IPF, în vederea gestionării acestor riscuri.
Art. 95. - Administratorul IPF reexaminează cel puţin anual riscurile care rezultă din acordurile de participare pe niveluri şi ia măsuri de diminuare atunci când este necesar, pentru a se asigura că riscurile sunt gestionate în mod corespunzător.
SECŢIUNEA a 20-a
Cerinţe aplicabile conexiunilor între IPF
Art. 96. - În scopul gestionării adecvate a riscurilor asociate conexiunilor între IPF, administratorul IPF identifică, monitorizează şi gestionează aceste riscuri.
Art. 97. - Înainte de a stabili o conexiune şi în mod permanent odată ce conexiunea a fost stabilită, administratorul IPF identifică, monitorizează şi administrează toate sursele potenţiale de risc care rezultă din aranjamentul de conexiune.
Art. 98. - Administratorul IPF se asigură că o conexiune dispune de o bază legală solidă, în toate jurisdicţiile relevante, care să sprijine arhitectura sistemului şi să ofere o protecţie adecvată a IPF implicate în conexiune.
Art. 99. - (1) Administratorii unor DC conectaţi măsoară, monitorizează şi administrează riscurile de credit şi de lichiditate generate de ambele părţi.
(2) Orice acordare de credit între DC conectaţi este supusă unei anumite limite şi este acoperită integral de garanţii de înaltă calitate.
Art. 100. - Transferurile provizorii de instrumente financiare între DC conectaţi sunt interzise.
Art. 101. - Administratorul unui DC investitor stabileşte o legătură cu un DC emitent doar dacă aranjamentul asigură un nivel ridicat de protecţie a drepturilor participanţilor DC investitor.
Art. 102. - Administratorul unui DC investitor care utilizează un intermediar pentru a opera o legătură cu un DC emitent măsoară, monitorizează şi administrează riscurile suplimentare, inclusiv riscurile de custodie, de credit, juridice şi operaţionale, care decurg din utilizarea intermediarului.
Art. 103. - (1) Înainte de a stabili o conexiune cu o altă CPC, administratorul CPC identifică şi administrează efectele potenţiale de contaminare care decurg din intrarea în incapacitate de plată a CPC conectate.
(2) Dacă o conexiune cuprinde trei sau mai multe CPC, administratorul fiecărei CPC identifică, evaluează şi administrează riscurile aranjamentului de conexiune colectiv.
Art. 104. - Fiecare CPC dintr-un aranjament de conexiune între CPC este în măsură să acopere integral, cel puţin zilnic, expunerile sale curente şi expunerile potenţiale viitoare faţă de acele CPC cu care este conectată şi faţă de participanţii săi, dacă este cazul, cu un grad ridicat de încredere, fără a reduce capacitatea acelei CPC de a-şi îndeplini obligaţiile, în orice moment, faţă de propriii participanţi.
Art. 105. - Aranjamentele de conexiune între sisteme de plăţi sunt concepute astfel încât fiecare sistem de plăţi să fie capabil să respecte cerinţele prevăzute în anexa nr. 2.
SECŢIUNEA a 21-a
Cerinţe privind eficienţa şi eficacitatea
Art. 106. - Administratorul IPF trebuie să dispună de mecanisme de identificare şi îndeplinire a nevoilor pieţelor deservite de IPF, în special cu privire la:
a) alegerea unui mecanism de compensare şi decontare;
b) structura de operare;
c) sfera produselor compensate sau decontate;
d) utilizarea tehnologiei şi a procedurilor.
Art. 107. - Administratorul IPF trebuie să aibă scopuri şi obiective clar definite care sunt măsurabile şi realizabile, cum ar fi cele referitoare la nivelurile minime ale serviciilor, aşteptările în privinţa gestionării riscurilor şi priorităţile de afaceri.
Art. 108. - Administratorul IPF trebuie să dispună de mecanisme pentru reexaminarea periodică, cel puţin anuală, a cerinţelor prevăzute la art. 106 şi 107.
SECŢIUNEA a 22-a
Proceduri şi standarde de comunicare
Art. 109. - (1) În scopul de a facilita plăţi, compensări, decontări şi înregistrări eficiente, administratorul IPF utilizează proceduri şi standarde de comunicare acceptate şi relevante la nivel internaţional.
(2) În situaţia în care administratorul IPF nu utilizează proceduri şi standarde de comunicare acceptate şi relevante la nivel internaţional, acesta trebuie să asigure adaptarea propriilor proceduri şi standarde de comunicare astfel încât să fie posibilă conversia sau traducerea datelor din standardele internaţionale în cele utilizate la nivel intern şi viceversa.
SECŢIUNEA a 23-a
Comunicarea regulilor, procedurilor esenţiale şi a datelor de piaţă
Art. 110. - (1) Administratorul IPF adoptă reguli şi proceduri clare şi cuprinzătoare care sunt comunicate în întregime participanţilor.
(2) Administratorul IPF trebuie să facă disponibile public regulile şi procedurile stabilite potrivit alin. (1), care sunt relevante şi, respectiv, esenţiale.
Art. 111. - Administratorul IPF comunică descrieri clare ale arhitecturii şi operaţiunilor sistemului, precum şi ale drepturilor şi obligaţiilor administratorului IPF şi ale participanţilor, astfel încât participanţii să poată evalua riscurile pe care le-ar suporta prin participarea la IPF.
Art. 112. - Administratorul IPF oferă toată documentaţia şi formarea necesare şi corespunzătoare pentru a facilita înţelegerea de către participanţi a regulilor şi procedurilor IPF şi a riscurilor cu care aceştia se confruntă prin participarea la IPF.
Art. 113. - (1) Administratorul IPF face publice comisioanele IPF la nivelul serviciilor individuale pe care le oferă, precum şi politicile sale de reduceri.
(2) Administratorul IPF furnizează descrieri clare ale serviciilor tarifate, din raţiuni de comparabilitate.
Art. 114. - Administratorul IPF comunică public, anual, cel puţin date de bază privind volumele şi valorile tranzacţiilor.
SECŢIUNEA a 24-a
Cerinţe aplicabile administratorilor IPF pentru asigurarea rezilienţei cibernetice
Art. 115. - Administratorul IPF stabileşte un cadru eficace de rezilienţă cibernetică care cuprinde măsuri corespunzătoare de guvernanţă pentru gestionarea riscului cibernetic, conform anexei nr. 1.
Art. 116. - (1) Administratorul IPF îşi identifică operaţiunile şi activele conexe critice şi ia măsurile corespunzătoare pentru a le proteja de atacuri cibernetice, precum şi pentru a detecta astfel de atacuri, a le răspunde şi a se redresa în urma acestora.
(2) Măsurile prevăzute la alin. (1) sunt testate în mod periodic.
Art. 117. - (1) Administratorul IPF se asigură că dispune de un nivel solid de conştientizare a situaţiei în ceea ce priveşte ameninţările cibernetice.
(2) Administratorul IPF asigură existenţa unui proces de învăţare şi evoluţie continuă care să îi permită să îşi adapteze, în timp util, oricând este necesar, cadrul de rezilienţă cibernetică la natura dinamică a riscurilor cibernetice.
CAPITOLUL II
Cerinţe aplicabile participanţilor la infrastructurile pieţei financiare
Art. 118. - Participanţii la infrastructurile pieţei financiare trebuie, în orice moment, să respecte regulile şi să îndeplinească cerinţele tehnice de funcţionare ale infrastructurii respective.
Art. 119. - (1) Participanţii critici la IPF trebuie să ia măsurile necesare şi să efectueze teste cel puţin anual, pentru a se asigura că au capacitatea operaţională, chiar şi în scenarii extreme, dar plauzibile, de a relua activitatea de plăţi şi/sau decontări în cel mult patru ore de la producerea unui eveniment perturbator.
(2) Participanţii critici trebuie să dispună permanent de un sediu secundar operaţional, suplimentar faţă de sediul principal, disponibil cel puţin din punctul de vedere al liniilor de comunicaţii ce permit conectarea la IPF, care să le permită reluarea activităţilor de plăţi şi/sau decontări cu respectarea cerinţelor de la alin. (1).
Art. 120. - Participanţii la IPF ce nu sunt desemnaţi drept critici trebuie să ia măsurile necesare şi să efectueze teste cel puţin anual, pentru a se asigura că au capacitatea operaţională, chiar şi în scenarii extreme, dar plauzibile, de a relua activitatea de plăţi şi/sau decontări cel târziu a doua zi lucrătoare după producerea unui eveniment perturbator.
CAPITOLUL III
Cerinţe aplicabile prestatorilor de servicii de plată
Art. 121. - Prestatorii de servicii de plată care pun în circulaţie sau acceptă instrumente de plată au următoarele obligaţii:
a) să adopte proceduri care să asigure efectuarea, în mod eficient şi conform unui program stabilit, a operaţiunilor de plată care derivă din utilizarea instrumentelor de plată;
b) să asigure, în orice moment, siguranţa în funcţionare şi continuitatea serviciului în condiţii de securitate, în scopul asigurării integrităţii, confidenţialităţii, autenticităţii şi a posibilităţii de urmărire a operaţiunilor de plată şi prevenirii utilizării neautorizate a instrumentelor de plată;
c) să documenteze şi să implementeze măsuri privind identificarea, clasificarea, evaluarea, prevenirea şi limitarea riscurilor asociate operaţiunilor de plată, punerii în circulaţie şi utilizării instrumentelor de plată, inclusiv prin analizarea posibilităţilor de producere a unor acţiuni de natură frauduloasă, în scopul evitării şi limitării pierderilor financiare ale utilizatorilor;
d) în cazul nefuncţionării unui serviciu de plată, prestatorii de servicii de plată vor informa, prin orice mijloace, în cel mult o oră, clienţii utilizatori ai respectivului serviciu de plată cu privire la indisponibilitatea acestuia şi termenul preconizat pentru remediere şi vor relua activitatea de plăţi în cel mult opt ore de la producerea unui eveniment perturbator.
TITLUL III
Autorizarea infrastructurilor pieţei financiare şi notificarea punerii în circulaţie a instrumentelor de plată
CAPITOLUL I
Autorizarea operării infrastructurilor pieţei financiare
Art. 122. - (1) Persoana juridică care intenţionează să opereze o IPF pe teritoriul României va înainta Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor o cerere de autorizare conform modelului prevăzut în anexa nr. 3, însoţită de documentaţia şi informaţiile prevăzute în prezentul regulament.
(2) Cererea de autorizare va fi însoţită de o autoevaluare, inclusiv documentaţia justificativă aferentă, privind îndeplinirea permanentă a cerinţelor aplicabile administratorilor IPF, stabilite la capitolul I al titlului I din prezentul regulament.
(3) În cazul în care persoana juridică solicitantă consideră că o cerinţă nu i se aplică, aceasta trebuie să precizeze, în mod clar, în autoevaluarea sa, cerinţa în cauză şi motivele pentru care consideră că cerinţa nu i se aplică.
(4) Orice informaţii, date, documente şi declaraţii transmise de către persoana juridică solicitantă în cursul procesului de autorizare a IPF trebuie să fie însoţite de o scrisoare semnată de un reprezentant legal, care să ateste că documentele transmise sunt exacte şi informaţiile sunt complete la data transmiterii lor către Banca Naţională a României.
Art. 123. - (1) În termen de 30 de zile lucrătoare de la primirea cererii, Banca Naţională a României analizează documentaţia prezentată conform art. 122 şi informează persoana juridică solicitantă dacă documentaţia prevăzută la art. 122 este completă.
(2) În cazul în care documentaţia este incompletă, Banca Naţională a României stabileşte un termen maxim până la care persoana juridică solicitantă trebuie să completeze documentaţia, perioadă în care termenul prevăzut la alin. (4) se suspendă.
(3) Persoana juridică solicitantă trebuie să transmită, la solicitarea Băncii Naţionale a României, orice alte informaţii, date, documente şi declaraţii necesare în vederea evaluării respectării cerinţelor prezentului regulament.
(4) În termen de 6 luni de la depunerea documentaţiei complete aferente cererii de autorizare, respectiv după termenul prevăzut la alin. (2), Banca Naţională a României va transmite persoanei juridice solicitante, în scris, o decizie motivată privind acordarea sau refuzul emiterii autorizaţiei de funcţionare a IPF.
Art. 124. - Emiterea autorizaţiei de funcţionare nu limitează posibilitatea Băncii Naţionale a României de a formula recomandări sau dispune măsuri de remediere şi termene de implementare a acestora.
Art. 125. - Prin derogare de la prevederile art. 122, IPF operate pe teritoriul României de către Eurosistem, Banca Centrală Europeană şi Banca Naţională a României sunt autorizate prin hotărârea Consiliului de administraţie al Băncii Naţionale a României privind operaţionalizarea acestora.
Art. 126. - În cazul unei IPF care operează transfrontalier şi care procesează ordine de transfer denominate în lei, autorizarea se va realiza de către Banca Naţională a României, în cooperare cu alte bănci centrale şi autorităţi naţionale competente din statele membre cu atribuţii în autorizarea şi monitorizarea IPF, după caz.
Art. 127. - (1) Orice intenţie de modificare adusă informaţiilor cuprinse în documentaţia în baza căreia s-a acordat autorizaţia de funcţionare a unei IPF sau a documentelor depuse în acest scop trebuie notificată de către administratorul acesteia Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor în cel mult 5 zile lucrătoare de la luarea deciziei de modificare.
(2) În termen de 30 de zile de la depunerea notificării prevăzute la alin. (1), vizând modificări prevăzute la alin. (3), Banca Naţională a României poate stabili un termen până la care administratorul IPF să furnizeze informaţii şi documente suplimentare, urmând ca în termen de 90 de zile de la depunerea documentaţiei complete sau de la data la care expiră termenul stabilit pentru completare, Banca Naţională a României să transmită administratorului IPF, în scris, aprobarea sau refuzul modificării solicitate.
(3) Modificările regulilor de sistem sau externalizarea unor servicii şi funcţii critice vor intra în vigoare numai după primirea aprobării prevăzute la alin. (2).
CAPITOLUL II
Notificarea punerii în circulaţie a instrumentelor de plată electronică
Art. 128. - (1) Prestatorul de servicii de plată poate pune în circulaţie instrumente de plată electronică, în termen de 30 de zile lucrătoare de la notificarea Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor şi transmiterea tuturor documentelor prevăzute la art. 129.
(2) Banca Naţională a României se poate opune, în termenul prevăzut la alin. (1), intenţiei de punere în circulaţie a instrumentelor de plată electronică, comunicând în scris prestatorului de servicii de plată opoziţia şi motivele corespunzătoare.
Art. 129. - (1) În vederea notificării emiterii instrumentelor de plată electronică, prestatorul de servicii de plată va transmite Băncii Naţionale a României următoarele documente:
1. În cazul cardurilor:
a) formularul de notificare conform modelului prevăzut la anexa nr. 4; o imagine a cardului, scala 1 la 1, avers şi revers;
b) fişa de produs.
2. În cazul instrumentelor de plată electronică cu acces la distanţă:
a) formularul de notificare conform modelului prevăzut la anexa nr. 5;
b) fişa de produs;
c) avizul Ministerului Comunicaţiilor şi Societăţii Informaţionale sau al altor entităţi indicate de acesta.
(2) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii necesare în vederea evaluării cu privire la punerea în circulaţie a instrumentului de plată electronică. Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate în termen de maximum 30 de zile lucrătoare de la data comunicării solicitării, perioadă în care termenul de evaluare prevăzut la art. 128 alin. (1) se suspendă.
Art. 130. - Fişa de produs a instrumentului de plată electronică, prevăzută la art. 129, trebuie să conţină cel puţin informaţii referitoare la:
a) descriere, caracteristicile funcţionale şi aria de utilizare;
b) producere şi distribuire;
c) procesarea şi decontarea operaţiunilor de plată efectuate prin intermediul său, inclusiv orarul de funcţionare;
d) descrierea măsurilor de gestionare a riscurilor operaţionale şi de securitate referitoare la utilizarea şi procesarea operaţiunilor de plată.
Art. 131. - (1) Modificările intervenite cu privire la documentaţia prevăzută la art. 129 se vor transmite Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, în termen de 10 zile la luarea deciziei de modificare.
(2) În situaţia prevăzută la alin. (1), Banca Naţională a României se poate opune, în termen de cel mult 30 de zile de la data primirii tuturor documentelor modificate de către Banca Naţională a României, intenţiei de punere în circulaţie a instrumentelor de plată electronică, comunicând în scris prestatorului de servicii de plată opoziţia şi motivele corespunzătoare.
Art. 132. - Prestatorul de servicii de plată care a pus în circulaţie un instrument de plată electronică are obligaţia de a notifica Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor decizia de renunţare la punerea în circulaţie ori de retragere din circulaţie a instrumentului de plată electronică, în termen de cel mult 30 de zile de la această decizie. În cazul retragerii din circulaţie va fi precizată în notificare data estimată la care instrumentul nu va mai circula.
CAPITOLUL III
Notificarea punerii în circulaţie a cecurilor barate
Art. 133. - (1) Instituţiile de credit pot pune în circulaţie tiraje de cecuri barate, în termen de 30 de zile lucrătoare de la notificarea Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor şi transmiterea tuturor documentelor prevăzute la art. 134.
(2) Banca Naţională a României se poate opune, în termenul prevăzut la alin. (1), intenţiei de punere în circulaţie a tirajului de cecuri barate, comunicând în scris instituţiei de credit opoziţia şi motivele corespunzătoare.
Art. 134. - În vederea notificării punerii în circulaţie a unui tiraj de cecuri barate, instituţiile de credit trebuie să prezinte Băncii Naţionale a României următoarele:
a) formularul de notificare conform modelului prevăzut la anexa nr. 6;
b) specificaţia tehnică semnată şi ştampilată de către tipografia care a tipărit cecurile barate respective, care să ateste tipărirea tirajului de cecuri barate cu menţionarea intervalului numerotat, în conformitate cu prevederile reglementărilor legale în vigoare.
TITLUL IV
Activitatea de monitorizare a infrastructurilor pieţei financiare şi a instrumentelor de plată
CAPITOLUL I
Obţinerea de informaţii
Art. 135. - (1) Administratorii IPF şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor furniza Băncii Naţionale a României, oricând la solicitarea acesteia, toate informaţiile şi documentele necesare pentru a evalua conformitatea cu cerinţele stabilite de prezentul regulament.
(2) Banca Naţională a României poate efectua inspecţii la faţa locului pentru obţinerea şi verificarea informaţiilor, poate lua în considerare opinii formulate de experţi, cum ar fi consultanţi şi auditori externi, poate utiliza informaţii furnizate de alte autorităţi de reglementare sau supraveghere şi poate lua în considerare informaţii şi sesizări primite de la utilizatori de instrumente de plată sau participanţi.
(3) Informaţiile obţinute de Banca Naţională a României în desfăşurarea activităţii de monitorizare vor putea fi utilizate de Banca Naţională a României în contextul participării la misiuni în cadrul Sistemului european al băncilor centrale.
Art. 136. - (1) Administratorii IPF şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor informa de îndată Banca Naţională a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, prin mijloace de comunicare stabilite de Banca Naţională a României, cu privire la apariţia oricăror incidente în funcţionarea normală a IPF, a serviciilor de plată sau a instrumentelor de plată, conform formularului din anexa nr. 7 - Raport incidente operaţionale şi/sau de securitate.
(2) Raportarea de către prestatorii de servicii de plată a incidentelor operaţionale şi/sau de securitate majore se va face potrivit reglementărilor Băncii Naţionale a României.
(3) Administratorii IPF şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor transmite Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor un raport scris cu explicarea cauzelor incidentelor raportate conform alin. (1), precum şi a măsurilor de remediere întreprinse sau avute în vedere, în termen de cel mult 30 de zile calendaristice de la data incidentului.
(4) Banca Naţională a României poate solicita în orice moment administratorilor IPF şi prestatorilor de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată, date, informaţii şi rapoarte suplimentare referitoare la incidentele şi fraudele apărute.
Art. 137. - Administratorii IPF trebuie să comunice Băncii Naţionale a României, anual, până la data de 31 martie a anului curent, serviciile, funcţiile, participanţii şi tipurile de instrucţiuni procesate pe care acesta le-a identificat drept critice pentru funcţionarea sigură şi eficace a IPF.
Art. 138. - (1) Administratorii IPF şi prestatorii de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată vor efectua cel puţin anual testări ale rezilienţei, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru procesarea plăţilor, decontărilor şi a instrumentelor de plată.
(2) Entităţile prevăzute la alin. (1) vor remite anual, până la data de 31 martie, pentru anul anterior, prin mijloace de comunicare stabilite de Banca Naţională a României următoarele informaţii:
a) scenariile de test avute în vedere şi rezultatele testărilor prevăzute la alin. (1);
b) extrase din rapoartele auditorilor şi/sau experţilor, care să conţină concluziile acestora cu privire la rezilienţa infrastructurii informatice;
c) modificările semnificative aduse infrastructurii informatice şi locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată.
CAPITOLUL II
Evaluarea
Art. 139. - (1) Banca Naţională a României evaluează complet, cel puţin o dată la 3 ani, IPF prin prisma cerinţelor prezentului regulament.
(2) Banca Naţională a României poate evalua parţial o IPF, ori de câte ori consideră oportun, în scopul gestionării şi prevenirii manifestării riscurilor specifice.
TITLUL V
Măsuri de remediere şi sancţiuni
Art. 140. - În situaţia în care Banca Naţională a României constată că cerinţele prezentului regulament nu sunt respectate, poate dispune măsuri de remediere şi termene de implementare.
Art. 141. - În situaţia în care Banca Naţională a României constată că nu sunt respectate cerinţele prezentului regulament şi/sau măsurile de remediere nu sunt implementate, în termenele dispuse de Banca Naţională a României conform art. 140, Banca Naţională a României poate aplica sancţiuni, astfel:
a) administratorilor şi participanţilor la IPF, în conformitate cu prevederile art. 408 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare;
b) prestatorilor de servicii de plată care pun în circulaţie şi/sau acceptă instrumente de plată, în conformitate cu prevederile art. 57 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României.
Art. 142. - (1) Sancţiunile stabilite de către Banca Naţională a României conform art. 141 lit. a) pot fi contestate în conformitate cu prevederile art. 275 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare.
(2) Sancţiunile stabilite de către Banca Naţională a României conform art. 141 lit. b) pot fi contestate în conformitate cu prevederile art. 57 alin. (2) - (4) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României.
TITLUL VI
Dispoziţii tranzitorii şi finale
Art. 143. - IPF autorizate de către Banca Naţională a României la data intrării în vigoare a prezentului regulament nu necesită o nouă autorizare conform prevederilor art. 122. Acestea se vor conforma cerinţelor stabilite la capitolul I al titlului I, în termen de 12 luni de la data intrării în vigoare a prezentului regulament.
Art. 144. - Instrumentele de plată electronică aflate în circulaţie şi notificate Băncii Naţionale a României în baza Regulamentului nr. 6/2006 privind emiterea şi utilizarea instrumentelor de plată electronică şi relaţiile dintre participanţii la tranzacţiile cu aceste instrumente, cu modificările ulterioare, vor face obiectul procedurii de notificare prevăzute la art. 128, în termen de 6 luni de la data intrării în vigoare a prezentului regulament.
Art. 145. - Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I.
Art. 146. - Anexele nr. 1-7 fac parte integrantă din prezentul regulament.
Art. 147. - De la data intrării în vigoare a prezentului regulament se abrogă:
a) Regulamentul nr. 9/2007 privind monitorizarea sistemelor de plăţi, a sistemelor de decontare a operaţiunilor cu instrumente financiare şi a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 803 din 26 noiembrie 2007;
b) Regulamentul nr. 1/2005 privind sistemele de plăţi care asigură compensarea fondurilor, republicat în Monitorul Oficial al României, Partea I, nr. 596 din 29 august 2007, cu modificările ulterioare;
c) Regulamentul nr. 6/2006 privind emiterea şi utilizarea instrumentelor de plată electronică şi relaţiile dintre participanţii la tranzacţiile cu aceste instrumente, publicat în Monitorul Oficial al României, Partea I, nr. 927 din 15 noiembrie 2006, cu modificările ulterioare;
d) Regulamentul nr. 1/1995 privind principiile şi organizarea avizării tehnice a sistemelor de plăţi şi decontări fără numerar, publicat în Monitorul Oficial al României, Partea I, nr. 75 din 26 aprilie 1995, cu modificările ulterioare.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României, Mugur Constantin Isărescu |
|
Bucureşti, 1 august 2018.
Nr. 3.
ANEXA Nr. 1
Cerinţe pentru asigurarea rezilienţei cibernetice
1. Guvernanţa
Administratorul IPF dispune de aranjamente pentru a defini, implementa şi revizui periodic cadrul de gestionare a rezilienţei cibernetice. Cadrul de gestionare a rezilienţei cibernetice acordă o importanţă ridicată siguranţei şi eficienţei operaţiunilor unei IPF, susţinând stabilitatea financiară. Cadrul de gestionare a rezilienţei cibernetice trebuie să fie aprobat de consiliu şi include:
a) o strategie privind rezilienţa cibernetică, care detaliază modul în care sunt determinate obiectivele de rezilienţă cibernetică, toleranţa la riscurile cibernetice şi modul în care sunt identificate şi administrate riscurile cibernetice, în scopul atingerii obiectivelor stabilite;
b) obiectivele de rezilienţă cibernetică, riscurile identificate şi măsurile de gestionare a acestora;
c) cerinţele în ceea ce priveşte resursele umane, tehnologice şi procesele necesare gestionării riscurilor cibernetice;
d) procedurile de comunicare pentru a asigura colaborarea eficace cu toate părţile relevante (cum ar fi autorităţile, alte IPF, participanţii şi furnizorii de servicii informatice);
e) definirea rolurilor şi responsabilităţilor consiliului şi a managementului în domeniul asigurării rezilienţei cibernetice, inclusiv în cazuri de urgenţă;
f) procesul de evaluare periodică a adecvării şi eficacităţii cadrului de gestionare a rezilienţei cibernetice;
g) revizuirea periodică a cadrului de gestionare a rezilienţei cibernetice, având în vedere noile ameninţări, incidentele anterioare şi scenarii noi potenţiale.
2. Identificarea
Administratorul IPF identifică şi clasifică din punctul de vedere al importanţei: funcţiile şi serviciile furnizate, precum şi activele informaţionale suport aferente, modalităţile de acces la sistem şi dependenţele interne şi externe. Acestea trebuie protejate, în ordinea priorităţii, împotriva compromiterii prin atacuri cibernetice. Administratorul IPF identifică riscurile de natură cibernetică pe care le suportă de la sau pe care le induce altor entităţi.
3. Protecţia
Administratorul IPF proiectează sistemele, procesele şi serviciile, precum şi defineşte şi implementează controale eficiente şi eficace, pentru a proteja confidenţialitatea, integritatea şi disponibilitatea funcţiilor, serviciilor şi activelor- suport. Proiectarea şi controalele vizează mai multe niveluri de protecţie şi detecţie, în cazul în care măsurile de protecţie iniţiale eşuează. Criteriile de participare, contractele cu furnizorii externi şi conexiunile stabilite sprijină obiectivele de rezilienţă cibernetică. Măsurile de protecţie contra ameninţărilor interne includ cel puţin următoarele: înregistrarea şi analiza activităţilor suspecte ale personalului cu acces la sistem, prevenirea pierderii datelor, verificarea personalului la angajare şi periodic, inclusiv în cazul modificării responsabilităţilor, permiterea accesului fizic şi informatic la sistem exclusiv personalului autorizat, monitorizat şi pregătit.
4. Detectarea
Administratorul IPF implementează proceduri şi instrumente de monitorizare în timp real, care permit detectarea unor ameninţări, a manifestării unor anomalii sau evenimente ce pot indica un potenţial incident de natură cibernetică. Este necesar să fie detectate ameninţările cunoscute, precum şi cele încă necunoscute, în baza unor criterii de comportament suspect. Detectarea incidentelor se asigură în timp util, pentru a permite aplicarea măsurilor de protecţie stabilite în vederea prevenirii şi/sau limitării consecinţelor incidentului. Procedurile sprijină procesul de investigare ulterioară a incidentelor, prin păstrarea unor jurnale de operare detaliate o perioadă adecvată de timp.
5. Reluarea activităţilor
Administratorul IPF dispune de planuri de măsuri pentru a investiga în detaliu şi a răspunde eficient şi eficace la o gamă largă de incidente cibernetice, în vederea limitării impactului incidentului, reluării activităţii şi recuperării activelor şi informaţiilor afectate. Administratorul IPF proiectează şi testează sistemele şi procesele pentru a realiza reluarea în siguranţă, cu menţinerea integrităţii datelor, a operaţiunilor şi serviciilor sale critice, în maximum două ore de la momentul apariţiei unei perturbări, şi să asigure decontarea până la sfârşitul zilei în care s-a manifestat perturbarea, inclusiv în situaţii extreme, dar plauzibile. Planurile de măsuri au în vedere şi situaţia în care obiectivul de reluare a activităţii nu este atins, prevăzând sisteme sau proceduri alternative, cum ar fi procesarea manuală, în scopul de a procesa cel puţin instrucţiunile critice. Planurile de măsuri includ păstrarea în siguranţă a unor copii de rezervă a datelor şi aplicaţiilor, reconcilierea periodică şi recuperarea datelor şi aplicaţiilor.
6. Testarea
6.1. Cadrul de administrare a rezilienţei cibernetice este testat riguros, cel puţin anual, pentru a determina eficacitatea acestuia. Testele trebuie:
a) să utilizeze informaţii actualizate privind ameninţările cibernetice, luând în considerare scenarii extreme, dar plauzibile şi capacităţi avansate ale atacatorilor;
b) să identifice şi să evalueze vulnerabilităţi care pot afecta atingerea obiectivelor de rezilienţă cibernetică;
c) să ofere informaţii utile şi credibile pentru gestionarea riscurilor cibernetice.
6.2. Tipurile de teste efectuate includ:
a) exerciţii de identificare şi evaluare de vulnerabilităţi, inclusiv prin operarea periodică pe mediul de producţie de la sediul secundar;
b) testări pe bază de scenarii, inclusiv indisponibilitatea totală a sediului principal în cursul zilei de operare;
c) teste de penetrare a sistemelor şi reţelelor, în special a celor conectate la internet;
d) teste efectuate de echipe independente faţă de funcţia testată (red teams), care să simuleze atacuri reale şi care să vizeze sistemele, reţelele, personalul şi procesele.
6.3. Periodic, IPF trebuie să organizeze exerciţii de testare a rezilienţei cibernetice care să implice cel puţin toţi participanţii critici, furnizorii critici şi IPF conectate. IPF trebuie să participe la exerciţii de continuitate a activităţii organizate de autorităţi.
7. Conştientizarea ameninţărilor
Administratorul IPF monitorizează proactiv ameninţările cibernetice curente, pentru a obţine şi utiliza informaţii pertinente în vederea prevenirii incidentelor cibernetice şi a tratării rapide şi eficiente a acestora.
Administratorul IPF stabileşte un proces de colectare, analiză şi diseminare a informaţiilor referitoare la ameninţările cibernetice. Cadrul de administrare a rezilienţei cibernetice este revizuit continuu în baza acestor informaţii.
8. Învăţarea şi dezvoltarea
Administratorul IPF evaluează incidentele cibernetice care au avut loc, mai ales atacurile reuşite, monitorizează dezvoltările tehnologice şi adoptă măsuri pentru detectarea şi contracararea unor posibile ameninţări viitoare, prin analiza deviaţiilor de la nivelul normal al activităţilor din sistem şi al comportamentelor personalului.
ANEXA Nr. 2
Cerinţe aplicabile conexiunilor între sistemele de plăţi
1. Generale
a) Administratorul sistemului de plăţi identifică şi evaluează toate sursele potenţiale de risc care rezultă din stabilirea unei conexiuni, atât înainte de a încheia acordul aferent conexiunii, cât şi în mod permanent, după stabilirea acesteia.
b) Administratorul sistemului de plăţi implicat într-o conexiune îndeplineşte, întocmai şi la timp, toate obligaţiile faţă de sistemele de plăţi cu care este conectat şi faţă de participanţii săi.
c) Administratorul sistemului de plăţi, care stabileşte conexiuni multiple, asigură că riscurile generate într-o conexiune nu se propagă şi nu afectează siguranţa altor conexiuni şi a altor sisteme de plăţi.
d) O conexiune este concepută astfel încât fiecare administrator de sistem de plăţi să fie capabil să continue să respecte alte cerinţe de monitorizare aplicabile.
2. Siguranţa juridică
a) Cadrul legal aplicabil atât sistemelor de plăţi implicate într-o conexiune, cât şi cel aplicabil conexiunii în cauză oferă un grad ridicat de certitudine pentru fiecare aspect al funcţionării conexiunii, în toate jurisdicţiile relevante.
b) Regulile, procedurile şi contractele care guvernează conexiunea sunt clare, uşor de înţeles şi în conformitate cu legile şi alte reglementări relevante. Acestea sunt uşor accesibile pentru fiecare parte care are un interes legitim.
c) Regulile, procedurile şi contractele care guvernează conexiunea sunt complete, valabile şi aplicabile în toate jurisdicţiile relevante. Există un nivel ridicat de certitudine că măsurile dispuse în conformitate cu aceste reguli şi proceduri nu pot fi suspendate, anulate sau reversibile.
d) Administratorii sistemelor de plăţi implicaţi într-o conexiune identifică şi atenuează riscurile care decurg din orice potenţial conflict de legi între jurisdicţii.
e) Administratorii sistemelor de plăţi implicaţi într-o conexiune respectă cadrele de reglementare aplicabile.
3. Riscul operaţional
a) Obiectivele administratorului sistemului de plăţi privind cerinţele şi politica de securitate a informaţiei acoperă şi aranjamentul aferent conexiunii.
b) Nivelul de calitate a serviciilor furnizate prin intermediul conexiunii este aprobat de administratorii sistemelor de plăţi implicate într-o conexiune şi comunicat tuturor părţilor relevante.
c) Administratorii sistemelor de plăţi asigură că aranjamentele de gestionare a riscurilor şi capacitatea de procesare sunt dimensionate corespunzător şi sunt sigure pentru a opera conexiunea pentru volumele maxime curente şi viitoare proiectate ale activităţii desfăşurate prin intermediul conexiunii.
d) Funcţionarea conexiunii este testată şi monitorizată, în mod corespunzător, şi incidentele sunt înregistrate şi urmărite. Administratorii sistemelor de plăţi conectate şi toate părţile implicate convin asupra aranjamentelor privind continuitatea activităţii desfăşurate prin intermediul conexiunii.
4. Riscul financiar
a) Administratorii sistemelor de plăţi au o înţelegere clară a impactului pe care conexiunea îl are asupra fiecărui risc la care acestea se expun.
b) Regulile şi procedurile sistemului de plăţi permit participanţilor să aibă o înţelegere clară a impactului pe care conexiunea îl are asupra fiecărui risc la care aceştia se expun.
c) Activele utilizate pentru decontare prin intermediul conexiunilor comportă riscuri de credit sau de lichiditate scăzute sau inexistente.
d) Plăţile prin intermediul conexiunii sunt decontate prompt, de preferinţă în cadrul aceleiaşi zile de operare.
e) Acordul privind stabilirea conexiunii asigură măsuri adecvate pentru gestionarea şi minimizarea riscurilor asociate incapacităţii unui participant de a-şi îndeplini prompt obligaţiile sale, în special în cazul în care are loc un proces de compensare.
5. Criteriile de acces
a) Criteriile de acces sunt clare, obiective şi nediscriminatorii. Aceste criterii sunt publice.
b) Criteriile de acces sunt justificate din perspectiva siguranţei şi eficienţei sistemului de plăţi şi a pieţelor financiare pe care le deserveşte.
c) Criteriile de acces sunt adaptate în funcţie de tipul conexiunii, ţinând cont de riscurile la care sunt expuşi administratorii sistemelor interconectate şi participanţii, în cazul fiecărui tip de conexiune.
d) Administratorul sistemului de plăţi care refuză stabilirea unei conexiuni trebuie să motiveze solicitantului refuzul, în scris.
e) Administratorul sistemului de plăţi implicat într-o conexiune se asigură că preţurile se stabilesc nediscriminatoriu şi transparent.
f) Regulile şi procedurile de încetare a accesului sunt definite.
6. Eficienţa
a) Administratorul sistemului de plăţi dispune de scopuri şi obiective clar definite, măsurabile şi realizabile în legătură cu funcţionarea conexiunii, cum ar fi, dar fără a se limita la, nivelul minim de calitate a serviciilor prestate, gestionarea riscurilor şi priorităţile de afaceri. Administratorul sistemului de plăţi deţine mecanisme de revizuire regulată a eficienţei şi eficacităţii fiecărei conexiuni.
b) O conexiune este concepută astfel încât să satisfacă nevoile actuale şi viitoare ale participanţilor şi ale pieţelor pe care le deserveşte.
c) Stabilirea de conexiuni nu afectează echilibrul dintre eficienţă şi gestionarea riscului în cadrul sistemelor de plăţi.
7. Guvernanţa
a) Conducerea administratorului sistemului de plăţi implicat într-o conexiune dispune de o strategie clară privind stabilirea de conexiuni, care este adusă la cunoştinţa proprietarilor sistemului, autorităţilor relevante, utilizatorilor şi, la un nivel mai general, altor sisteme de plăţi.
b) Administratorul sistemului de plăţi are obiective care evidenţiază prioritatea siguranţei şi eficienţei conexiunii şi care sprijină, în mod explicit, interesul public.
c) Aranjamentele de guvernanţă asigură că o decizie de a stabili o conexiune reflectă corespunzător obiectivele şi interesele părţilor implicate şi modul cum se realizează această reflectare.
d) Administratorul sistemului de plăţi implicat într-o conexiune trebuie să implementeze mecanisme formalizate pentru schimbul de informaţii relevante cu părţile implicate relevante şi să le consulte atunci când este nevoie.
8. Conexiunile indirecte şi conexiunile releu
a) Înainte de stabilirea unei conexiuni indirecte sau releu, administratorul sistemului de plăţi analizează toate riscurile aferente intermedierii schimbului de ordine de plată.
b) Administratorul sistemului de plăţi care utilizează un intermediar pentru a opera o conexiune cu un alt sistem de plăţi cuantifică, monitorizează şi gestionează riscul juridic suplimentar, care decurge din utilizarea unui intermediar.
c) Administratorii sistemelor de plăţi identifică şi atenuează adecvat riscul operaţional indus de către intermediar.
d) Administratorul sistemului de plăţi implicat într-o conexiune indirectă sau releu monitorizează adecvat rolul şi soliditatea financiară a oricărui intermediar.
e) Administratorii sistemelor de plăţi implicate într-o conexiune indirectă sau releu se asigură că intermediarul nu restricţionează în mod nejustificat utilizarea conexiunii de către orice participant.
f) Eficienţa şi eficacitatea conexiunilor indirecte şi releu sunt periodic evaluate şi comparate cu canalele alternative de transmitere a ordinelor de transfer, de exemplu, prin conexiuni directe.
ANEXA Nr. 3
Cerere de autorizare a infrastructurii pieţei financiare (IPF)
Informaţii generale
Data cererii |
|
Denumirea persoanei juridice solicitante |
|
Sediul social |
|
Tipul infrastructurii pieţei financiare |
|
Numele persoanei care îşi asumă responsabilitatea pentru cerere |
|
Datele de contact ale persoanei care îşi asumă responsabilitatea pentru cerere |
|
Numele persoanei responsabile pentru conformitatea IPF |
|
Datele de contact ale persoanei responsabile pentru conformitatea IPF |
|
Datele de identificare ale societăţii-mamă (dacă este cazul) |
|
Referinţele documentelor
Cerinţa din titlul III capitolul I Autorizarea operării infrastructurilor pieţei financiare |
Numărul de referinţă unic al documentului |
Titlul documentului |
Capitolul, secţiunea ori pagina documentului unde sunt furnizate informaţiile sau motivul pentru care nu sunt furnizate informaţiile |
Art. xx |
|
| |
Anexa x, pct. y |
|
| |
ANEXA Nr. 4
Formular de notificare carduri
. . . . . . . . . . (numele instituţiei emitente), înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în ţara/judeţul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm emiterea şi punerea în circulaţie a instrumentului de plată electronică de tip card - . . . . . . . . . ., în următoarele condiţii:
a) cont/conturi ataşate (monedă naţională, valute sau monedă electronică) . . . . . . . . . .;
b) funcţionalitate card - . . . . . . . . . .;
c) circulaţie naţională/internaţională . . . . . . . . . .;
d) card cu bandă magnetică/chip/dual . . . . . . . . . .;
e) executarea plasticului se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . .;
f) personalizarea cardurilor se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . . cu sediul în localitatea, str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . .;
g) procesarea tranzacţiilor cu carduri se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . . .
Semnătura autorizată a solicitantului, S.S./L.S. |
|
ANEXA Nr. 5
Formular de notificare instrumente de plată electronică cu acces la distanţă
. . . . . . . . . . (numele instituţiei emitente), înmatriculată la oficiul registrului comerţului sub nr. . . . . . . . . . ./ . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în ţara/judeţul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm emiterea şi punerea în circulaţie a instrumentului de plată electronică cu acces la distanţă de tip . . . . . . . . . ., în următoarele condiţii:
a) denumire produs . . . . . . . . . .;
b) operaţiuni efectuate prin intermediul instrumentului
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .;
c) producătorul programului informatic este societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerţului sub nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . . .
Semnătura autorizată a solicitantului, S.S./L.S. |
|
ANEXA Nr. 6
Formular de notificare tiraj de cecuri barate
. . . . . . . . . . (numele instituţiei de credit), înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în ţara/judeţul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm punerea în circulaţie a tirajului de cecuri barate cu seria de la . . . . . . . . . . până la . . . . . . . . . . .
Tipărirea tirajului de cecuri barate s-a realizat de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerţului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poştal . . . . . . . . . . .
Semnătura autorizată a solicitantului, S.S./L.S. |
|
ANEXA Nr. 7
Model raport incident operaţional sau de securitate
1. Administrator IPF/Prestator de servicii de plată
2. Numele, funcţia şi datele de contact ale persoanei care raportează incidentul
3. Data şi momentul apariţiei incidentului
4. Data şi momentul constatării incidentului
5. Data şi momentul finalizării incidentului
6. Tip incident operaţional/de securitate (echipament, soft, uman, social, procedură, cauză naturală, altele)
7. Cauza incidentului
8. Descrierea detaliată a incidentului
9. Măsurile luate pentru limitarea consecinţelor incidentului
10. Măsurile luate pentru prevenirea unor incidente similare
11. Numele, funcţia şi datele de contact ale persoanei/persoanelor care pot furniza informaţii suplimentare legate de incidentul raportat