Act legislativ


 


Banca Naţională a României
Regulament nr. 1 din 16.feb.2024
Monitorul Oficial, Partea I 134 16.feb.2024
Intrare în vigoare la 20.feb.2024
Regulamentul nr. 1/2024 pentru modificarea şi completarea Regulamentului Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată

Având în vedere prevederile art. 2 alin. (2) lit. b) şi ale art. 22 alin. (1) şi (2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, ale art. 404, 407 şi art. 408 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, ale art. 13 alin. (4) din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăţi şi în sistemele de decontare a operaţiunilor cu instrumente financiare, cu modificările şi completările ulterioare, ale art. 187 alin. (2) din Legea nr. 126/2018 privind pieţele de instrumente financiare, cu modificările şi completările ulterioare, ale art. 223 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 66 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, 
    în temeiul art. 48 alin. (2) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, al art. 405 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, al art. 243 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi al art. 116 alin. (1) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică,
 
    Banca Naţională a României emite prezentul regulament.
 
   Art. I. -   Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 
   1. La articolul 1 alineatul (1), litera b) se modifică şi va avea următorul cuprins: 
   " b) monitorizarea participanţilor la aceste infrastructuri şi a prestatorilor de servicii de plată care emit, pun în circulaţie şi/sau acceptă instrumente de plată pe teritoriul României;". 
   2. La articolul 1 alineatul (1), litera c) se modifică şi va avea următorul cuprins: 
   " c) punerea în circulaţie, emiterea, acceptarea şi monitorizarea instrumentelor de plată." 
   3. La articolul 1 alineatul (2), litera c) se modifică şi va avea următorul cuprins: 
   " c) prestatorilor de servicii de plată care emit, pun în circulaţie şi/sau acceptă instrumente de plată pe teritoriul României." 
   4. La articolul 2, punctul 40 se modifică şi va avea următorul cuprins: 
   " 40. instrument de plată - un dispozitiv fizic sau virtual sau un set de proceduri care permite transferul de fonduri de la plătitor la beneficiar. Acestea includ instrumentele de plată electronică, pe suport hârtie şi virtuale;". 
   5. La articolul 2, punctul 47 se modifică şi va avea următorul cuprins: 
   " 47. monedă electronică - are semnificaţia prevăzută la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică;". 
   6. La articolul 2, punctul 48 se modifică şi va avea următorul cuprins: 
   " 48. monitorizare - funcţie a băncii centrale prin care se urmăreşte promovarea funcţionării sigure şi eficiente a infrastructurilor pieţei financiare şi a instrumentelor de plată, pentru evitarea riscului sistemic, constând în: (i) obţinerea de informaţii cu privire la arhitectura şi funcţionarea infrastructurilor pieţei financiare prezente sau planificate, emiterea, acceptarea şi utilizarea instrumentelor de plată, (ii) evaluarea informaţiilor obţinute şi (iii) inducerea de schimbări ori dispunerea unor măsuri şi/sau sancţiuni;". 
   7. La articolul 2, punctul 75 se modifică şi va avea următorul cuprins: 
   " 75. risc semnificativ - califică un risc, o dependenţă şi/sau o modificare ce poate afecta capacitatea unei entităţi de a funcţiona sau de a furniza servicii conform aşteptărilor;". 
   8. La articolul 119, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins: 
   " (3) Liniile de comunicaţie de la sediul secundar trebuie să nu depindă de aceiaşi furnizori de servicii sau de puncte comune cu liniile de comunicaţie de la sediul principal, cum ar fi noduri de comunicaţie sau centre de date regionale." 
   9. Articolul 121 se modifică şi va avea următorul cuprins: 
   " Art. 121. -   Prestatorii de servicii de plată care emit, pun în circulaţie şi/sau acceptă instrumente de plată au următoarele obligaţii: 
   a) să adopte proceduri care să asigure efectuarea, în mod eficient şi conform unui program stabilit, a operaţiunilor de plată care derivă din utilizarea instrumentelor de plată; 
   b) să asigure, în orice moment, siguranţa în funcţionare şi continuitatea serviciului în condiţii de securitate, în scopul asigurării integrităţii, confidenţialităţii, autenticităţii şi a posibilităţii de urmărire a operaţiunilor de plată şi prevenirii utilizării neautorizate a instrumentelor de plată; 
   c) să documenteze şi să implementeze măsuri privind identificarea, clasificarea, evaluarea, prevenirea şi limitarea riscurilor asociate activităţii de emitere, punere în circulaţie şi/sau acceptare la plată a instrumentelor de plată, inclusiv prin analizarea posibilităţilor de producere a unor acţiuni de natură frauduloasă, în scopul evitării şi limitării pierderilor financiare ale utilizatorilor; 
   d) în cazul nefuncţionării unui serviciu de plată, prestatorii de servicii de plată vor informa, prin orice mijloace, în cel mult o oră, clienţii utilizatori ai respectivului serviciu de plată cu privire la indisponibilitatea acestuia şi termenul preconizat pentru remediere şi vor relua activitatea de plăţi în cel mult opt ore de la producerea unui eveniment perturbator." 
   10. La titlul III "Autorizarea infrastructurilor pieţei financiare şi notificarea punerii în circulaţie a instrumentelor de plată", titlul capitolului II se modifică şi va avea următorul cuprins: 
   "
CAPITOLUL II
Notificarea emiterii şi punerii în circulaţie a instrumentelor de plată electronică"
 
   11. La articolul 128, alineatul (1) se modifică şi va avea următorul cuprins: 
   " Art. 128. -   (1) Prestatorul de servicii de plată poate pune în circulaţie instrumente de plată electronică, în termen de 40 de zile lucrătoare de la notificarea Băncii Naţionale a României - Direcţia monitorizare a infrastructurii pieţei financiare şi a plăţilor şi transmiterea tuturor documentelor şi informaţiilor prevăzute la art. 129." 
   12. La articolul 128, după alineatul (1) se introduce un nou alineat, alineatul (11), cu următorul cuprins: 
   " (11) Termenul prevăzut la alin. (1) curge de la momentul la care notificarea este considerată completă, din perspectiva informaţiilor transmise şi a documentelor depuse de către prestatorul de servicii de plată, inclusiv a clarificărilor aferente acestora, solicitate de către Banca Naţională a României, dacă este cazul." 
   13. La articolul 129 alineatul (1) punctul 2, litera c) se modifică şi va avea următorul cuprins: 
   " c) raportul testelor de penetrare a aplicaţiilor software şi sistemelor informatice ale prestatorilor de servicii de plată utilizate pentru asigurarea funcţionării instrumentului de plată electronică cu acces la distanţă. Testarea se va efectua corespunzător nivelului de risc asociat resurselor testate şi având în vedere clasificarea lor, aşa cum este prevăzută la art. 18 din Regulamentul Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată, cu modificările ulterioare. Testarea se va efectua atât pentru aplicaţiile software şi sistemele informatice utilizate pentru funcţionarea acestor instrumente, cât şi pentru cele utilizate în cadrul mecanismelor de autentificare a utilizatorului de servicii de plată;". 
   14. La articolul 129 alineatul (1) punctul 2, după litera c) se introduc cinci noi litere, literele d)-h), cu următorul cuprins: 
   " d) dovezi cu privire la efectuarea testelor de penetrare menţionate la lit. c) de către evaluatori ce fac parte din structuri organizatorice interne sau entităţi externe independente, care deţin cunoştinţe, competenţe şi expertiză în testarea măsurilor de securitate a informaţiilor aferente serviciilor de plată, certificări profesionale în acest scop, precum şi declaraţia din care să rezulte faptul că nu au fost implicaţi în dezvoltarea măsurilor de securitate a informaţiilor aferente serviciilor de plată sau a sistemelor testate; 
   e) raportul de audit aprobat de către organul de conducere al prestatorului de servicii de plată, care să îndeplinească cumulativ condiţiile prevăzute la alin. (11); 
   f) dovezi cu privire la independenţa auditorului care întocmeşte raportul menţionat la lit. e), precum şi cu privire la faptul că acesta deţine cunoştinţe, competenţe şi experienţă în riscurile TIC şi de securitate şi în plăţi, precum şi certificări profesionale relevante, în conformitate cu cerinţele de la lit. d); 
   g) lista sistemelor şi serviciilor externalizate, care să cuprindă cel puţin denumirea componentei externalizate, o descriere a funcţionalităţilor acesteia şi numele furnizorului către care este externalizată componenta respectivă; 
   h) ordinul de acreditare ca administrator de arhivă electronică, emis potrivit prevederilor Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, sau contractul încheiat cu un administrator de arhivă electronică acreditat." 
   15. La articolul 129, după alineatul (1) se introduce un nou alineat, alineatul (11), cu următorul cuprins: 
   " (11) Condiţiile la care se referă alin. (1) pct. 2 lit. e) sunt: 
   a) să conţină concluziile cu privire la măsurile de diminuare a riscurilor operaţionale şi de securitate, precum şi mecanismele de control adecvate pentru a gestiona riscurile TIC şi de securitate legate de serviciile de plată oferite prin intermediul instrumentului de plată electronică cu acces la distanţă notificat; 
   b) concluziile formulate potrivit lit. a) trebuie să se bazeze pe examinarea măsurilor implementate de prestatorul de servicii de plată pentru conformarea la cerinţele titlului II din Regulamentul Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată, cu modificările ulterioare; 
   c) să ia în considerare analiza riscurilor aferente activităţii, raportul de testare menţionat la alin. (1) pct. 2 lit. c), posibilele deficienţe ale sistemului informatic auditat şi măsurile de reducere a riscurilor asociate; 
   d) să includă metodologia de evaluare; 
   e) data de întocmire a raportului nu trebuie să fie mai veche de 180 de zile faţă de data depunerii documentaţiei aferente notificării." 
   16. La articolul 1291 alineatul (1), litera a) se modifică şi va avea următorul cuprins: 
   " a) perioada de testare să nu depăşească 180 de zile, cu posibilitatea de prelungire până la maximum 365 de zile, cu justificarea necesităţii prelungirii;". 
   17. La articolul 130, litera a) se modifică şi va avea următorul cuprins: 
   " a) descrierea, caracteristicile funcţionale, limitele de tranzacţionare şi modalitatea de modificare a acestora, după caz, precum şi aria de utilizare;". 
   18. La articolul 130, după litera c) se adaugă două noi litere, literele c1) şi c2), cu următorul cuprins: 
   " c1) modalitatea în care realizează autentificarea strictă a clienţilor (SCA), cu prezentarea elementelor de SCA şi încadrarea acestora pe categorii (cunoştinţe, posesie şi inerenţă); 
   c2) fluxul de înrolare a instrumentelor de plată electronică de tip card în portofele electronice (wallet-uri)." 
   19. La articolul 131, alineatul (1) se modifică şi va avea următorul cuprins: 
   " Art. 131. -   (1) Modificările intervenite cu privire la documentaţia prevăzută la art. 129 se vor transmite Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, în termen de 10 zile de la luarea deciziei de modificare." 
   20. La articolul 131, după alineatul (2) se introduc două noi alineate, alineatele (3) şi (4), cu următorul cuprins: 
   " (3) Nu fac obiectul notificării la Banca Naţională a României modificările intervenite cu privire la documentaţia prevăzută la art. 129 care vizează aspecte de natură comercială. 
   (4) În sensul prezentului regulament, prin aspecte de natură comercială se înţeleg acele modificări care ţin de politica comercială a prestatorului de servicii de plată, respectiv: categorii noi de clienţi acceptaţi, listă de garanţii asupra soldurilor creditoare, asigurări, aspecte privind dobânda sau comisioanele." 
   21. La articolul 135, alineatul (1) se modifică şi va avea următorul cuprins: 
   " Art. 135. -   (1) Administratorii IPF, participanţii şi prestatorii de servicii de plată care emit, pun în circulaţie şi/sau acceptă instrumente de plată vor furniza Băncii Naţionale a României, oricând, la solicitarea acesteia, toate informaţiile şi documentele solicitate, pentru a evalua conformitatea cu cerinţele stabilite de prezentul regulament." 
   22. La articolul 136, alineatul (2) se abrogă. 
   23. La articolul 138, după alineatul (1) se introduc două noi alineate, alineatele (11) şi (12), cu următorul cuprins: 
   " (11) Testele prevăzute la alin. (1) sunt efectuate de către structuri organizatorice interne sau entităţi externe independente. Atunci când testele sunt efectuate de o structură organizatorică internă, administratorii IPF şi participanţii se asigură că sunt evitate conflictele de interese între structura care execută testul şi structurile care sunt supuse testării, pe parcursul fazelor de proiectare şi execuţie ale testelor. 
   (12) Testele prevăzute la alin. (1) trebuie să aibă în vedere cel puţin scenarii care vizează aspecte legate de indisponibilitatea personalului operaţional de la sediul principal, a sediului operaţional principal, a centrului de date principal, a infrastructurilor şi sistemelor principale care asigură comunicarea cu IPF şi SWIFT, inclusiv combinaţii ale acestora." 
   24. La articolul 141, litera b) se modifică şi va avea următorul cuprins: 
   " b) prestatorilor de servicii de plată care emit, pun în circulaţie şi/sau acceptă instrumente de plată, în conformitate cu prevederile art. 57 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României." 
   25. Articolul 142 se modifică şi va avea următorul cuprins: 
   " Art. 142. -   Sancţiunile stabilite de către Banca Naţională a României conform art. 141 sunt eficace, proporţionale şi cu efect de descurajare." 
   26. Articolul 144 se abrogă. 
   Art. II. -   (1) Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I, cu excepţia: 
   a) art. I pct. 8, care intră în vigoare în termen de 12 luni de la data publicării prezentului regulament; 
   b) art. I pct. 13-15, care intră în vigoare în termen de 6 luni de la data publicării prezentului regulament. 
   (2) Instrumentele de plată electronică aflate în circulaţie şi notificate Băncii Naţionale a României la data intrării în vigoare a prevederilor prezentului regulament, la expirarea avizului care a stat la baza notificării potrivit cerinţelor art. 129 alin. (1) pct. 2 din Regulamentul Băncii Naţionale a României nr. 3/2018, cu modificările şi completările ulterioare, nu fac obiectul reavizării în baza cerinţelor nou-instituite potrivit art. 129 alin. (1) pct. 2 lit. c) -h) din acelaşi regulament. 
   (3) Pentru instrumentele de plată electronică puse în circulaţie între data publicării şi data intrării în vigoare a prevederilor art. I pct. 13-15, prestatorii de servicii de plată au obligaţia să transmită Băncii Naţionale a României avizul emis de către Autoritatea pentru Digitalizarea României. Aceste instrumente de plată nu fac obiectul reavizării la Banca Naţională a României în conformitate cu dispoziţiile art. I pct. 13-15. 
   Art. III. -   Prezentul regulament se publică în Monitorul Oficial al României, Partea I.