Având în vedere prevederile art. 23 alin. 2 din Legea nr. 58/1998 privind activitatea bancară, cu modificările şi completările ulterioare, precum şi ale art. 284 alin. 2 din Ordonanţa de urgenţă a Guvernului nr. 97/2000 privind organizaţiile cooperatiste de credit, aprobată, modificată şi completată de Legea nr. 200/2002, modificată prin Legea nr. 122/2004, şi ale art. 4 alin. (2) din Legea nr. 541/2002 privind economisirea şi creditarea în sistem colectiv pentru domeniul locativ, cu modificările şi completările ulterioare,
în temeiul art. 48 alin. (2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentele norme.
Art. 1. -(1) Prezentele norme stabilesc:
a) criteriile pe baza cărora Banca Naţională a României analizează tehnicile echivalente pentru garantarea autenticităţii semnăturii asimilate semnăturilor olografe prevăzute de art. 23 alin. 1 din Legea nr. 58/1998 privind activitatea bancară, cu modificările şi completările ulterioare, în scopul aprobării utilizării acestora;
b) procedura de obţinere a aprobării Băncii Naţionale a României pentru utilizarea tehnicilor menţionate la lit. a) de către instituţiile de credit.
(2) Tehnicile echivalente pentru garantarea autenticităţii semnăturii, aprobate în baza prezentelor norme, pot fi utilizate de instituţiile de credit, persoane juridice române, şi de sucursalele din România ale instituţiilor de credit, persoane juridice străine, precum şi de Banca Naţională a României.
Art. 2. - Tehnicile echivalente de garantare a autenticităţii semnăturii au la bază o procedură de securitate utilizată de instituţiile de credit la transmiterea electronică a documentelor către alte instituţii, în scopul:
a) verificării identităţii persoanei abilitate să angajeze instituţia de credit care a transmis documentul şi, în consecinţă, a autenticităţii conţinutului documentului transmis electronic între instituţiile menţionate;
b) detectării erorilor în transmisia sau în conţinutul unor documente transmise electronic între instituţiile menţionate.
Art. 3. - O tehnică echivalentă de garantare a autenticităţii semnăturii va fi aprobată spre a fi utilizată, după caz, fie de o instituţie de credit, la solicitarea acesteia, fie de un grup de instituţii de credit, la solicitarea unei organizaţii care prestează servicii de compensare şi/sau decontare pentru respectivul grup, având ca scop identificarea persoanelor care angajează instituţia de credit în ceea ce priveşte documentele transmise de aceasta pe cale electronică, în conformitate cu art. 23 alin. 2 din Legea nr. 58/1998, cu modificările şi completările ulterioare.
Art. 4. -(1) Banca Naţională a României poate aproba o tehnică echivalentă de garantare a autenticităţii semnăturii în condiţiile în care procedura de securitate care stă la baza respectivei tehnici asigură din punct de vedere tehnic un grad de siguranţă adecvat.
(2) În vederea aprobării unei tehnici echivalente de garantare a autenticităţii semnăturii, Banca Naţională a României va lua în considerare situaţiile în care se va utiliza respectiva tehnică de către instituţia/instituţiile de credit, mărimea, tipul şi frecvenţa documentelor transmise electronic utilizând respectiva tehnică, precum şi procedurile de securitate alternative prevăzute pentru alte tehnici echivalente şi tehnicile echivalente utilizate în general de către instituţii de credit sau de către comercianţi pe plan naţional ori internaţional.
(3) De la caz la caz, în vederea aprobării unei tehnici echivalente de garantare a autenticităţii semnăturii, Banca Naţională a României poate avea în vedere şi alte criterii şi aspecte relevante.
Art. 5. -(1) Pentru a evalua dacă procedura de securitate menţionată la art. 4 alin. (1) asigură un grad de siguranţă adecvat, Banca Naţională a României va avea în vedere îndeplinirea unor condiţii precum:
a) existenţa unei politici de securitate la nivelul sistemului informatic;
b) existenţa protecţiei fizice împotriva accesului neautorizat la echipamentele centrale de procesare, stocare şi de comunicaţii ale sistemului informatic;
c) existenţa unor proceduri sigure de autentificare a persoanelor autorizate din cadrul instituţiei de credit, înainte de accesarea de către acestea a sistemului informatic;
d) sistemul informatic trebuie să fie configurat astfel încât să impună utilizatorilor schimbarea periodică a parolelor de acces, precum şi folosirea unor parole cu un grad de complexitate adecvat;
e) sistemul informatic trebuie să beneficieze de protecţie antivirus;
f) transferul datelor confidenţiale prin reţeaua de comunicaţii de date se va realiza criptat;
g) sistemul informatic trebuie să asigure înregistrarea evenimentelor legate de securitate, precum şi a datelor transmise, în scopul asigurării existenţei unor probe adecvate cu privire la acţiunile persoanelor autorizate;
h) informaţiile legate de securitate trebuie păstrate cel puţin 3 ani de la data stocării, în conformitate cu prevederile Codului de procedură civilă, dintre care cel puţin 12 luni de la data stocării într-o formă uşor accesibilă;
i) procedura trebuie să asigure confidenţialitatea, autenticitatea, integritatea, non-repudierea şi disponibilitatea ulterioară a datelor transmise;
j) eventuala semnare electronică a datelor trebuie să fie precedată de un avertisment generat de sistemul informatic, care să precizeze că urmează a fi aplicată o semnătură electronică.
(2) În plus faţă de condiţiile menţionate la alin. (1), Banca Naţională a României poate avea în vedere şi alte condiţii de siguranţă considerate relevante.
Art. 6. -(1) Solicitarea de aprobare a unei tehnici echivalente de garantare a autenticităţii semnăturii, care cade sub incidenţa prezentelor norme, se va înainta spre analiză Băncii Naţionale a României - Direcţia servicii informatice de către instituţia de credit care urmează să utilizeze respectiva tehnică sau de către organizaţia prestatoare de servicii de compensare şi/sau decontare care urmează să primească documente transmise electronic de la instituţiile de credit cărora le prestează respectivele servicii, după caz. Solicitarea de aprobare va fi însoţită de o documentaţie tehnică detaliată care să răspundă cerinţelor prevăzute la art. 4 şi 5.
(2) În cazul în care consideră necesar, Banca Naţională a României poate solicita informaţii suplimentare.
(3) Banca Naţională a României decide cu privire la aprobarea unei tehnici echivalente de garantare a autenticităţii semnăturii în termen de cel mult 60 de zile de la data primirii solicitării.
Art. 7. -(1) Aprobarea utilizării unei tehnici echivalente de garantare a autenticităţii semnăturii se dă, după caz:
a) pe bază individuală, instituţiei de credit solicitante;
b) global, tuturor instituţiilor de credit care beneficiază de serviciile de compensare şi/sau decontare prestate de organizaţia specializată care a solicitat această aprobare.
(2) Aprobarea utilizării unei tehnici echivalente de garantare a autenticităţii semnăturii se dă prin ordin al guvernatorului Băncii Naţionale a României, emis la propunerea Direcţiei servicii informatice, cu avizul Direcţiei reglementare şi autorizare, Direcţiei supraveghere şi Direcţiei juridice.
Art. 8. - În situaţia în care se constată că utilizarea unei astfel de tehnici echivalente de garantare a autenticităţii semnăturii nu răspunde scopului pentru care aceasta a fost aprobată, Banca Naţională a României poate suspenda sau retrage aprobarea.
Preşedintele Consiliului de administraţie al
Băncii Naţionale a României,
Mugur Isărescu
Bucureşti, 20 decembrie 2004.
Nr. 16.