Europejski Urząd Nadzoru Bankowego (EUNB) zainicjował konsultacje społeczne w celu dokonania kompleksowego przeglądu wytycznych związanych ze zgłaszaniem najważniejszych incydentów dotyczących realizacji Dyrektywy w sprawie usług płatniczych (PSD2).
Przypomnieć należy, że celem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, popularnie zwanej dyrektywą PSD2, było zapewnienie konsumentom lepszej ochrony w trakcie dokonywania transakcji internetowych. Ponadto, zamierzeniem unijnego ustawodawcy było tworzenie bezpieczniejszych usług transgranicznych w ramach Unii Europejskiej w sferze płatności oraz dążenie do stosowania nowocześniejszych płatności mobilnych oraz on-line. Wspomniana dyrektywa ostatecznie obowiązuje w państwach członkowskich UE od 13 stycznia 2018 roku. Instytucje finansowe
i banki zobowiązane były do wprowadzenia nowych przepisów do 14 września 2019 roku. Wyrazem zmian wprowadzonych dyrektywą PSD2 są między innymi poważne zmiany zarówno dla klientów, jak i instytucji finansowych. Przykładowo, wymienić należy ustanowienie procedury silnego uwierzytelnienia w oparciu o zasadę podwójnej weryfikacji czy też podczas dokonywania transakcji zbliżeniowych, konieczność podawania kodu PIN przy dokonywaniu co piątej transakcji.
W lipcu 2017 r. Europejski Urząd Nadzoru Bankowego przyjął wytyczne regulujące tryb zgłaszania poważnych incydentów zgodnie z dyrektywą PSD2. Jednocześnie przypomnieć należy, że art. art. 96 ust. 4 dyrektywy PSD2 nakłada na Europejski Urząd Nadzoru Bankowego, w ramach współpracy z Europejskim Bankiem Centralnym, obowiązek dokonywania regularnych przeglądów tzw. wytycznych, przynajmniej raz na każde dwa lata. Obecny przegląd trwać będzie do 14 grudnia 2020 roku.
W dokumencie konsultacyjnym Europejski Urząd Nadzoru Bankowego proponuje się ustanowienie nowego kryterium klasyfikacji incydentów, tj. naruszenia środków bezpieczeństwa, które ma umożliwić identyfikację tzw. incydentów bezpieczeństwa,
w przypadku których naruszenie środków bezpieczeństwa dostawcy usług płatniczych oddziaływać będzie na dostępność, integralność, poufność lub autentyczność usług płatniczych.
W oparciu o raporty zawierające dane dotyczące incydentów otrzymane w latach 2018 i 2019 r. oraz analizę praktyk sprawozdawczych wprowadzonych w tym czasie przez dostawców usług płatniczych i właściwe organy, Europejski Urząd Nadzoru Bankowego zaznaczył, że dokonać należy uproszczenia i optymalizacji w zakresie zgłaszania istotnych incydentów w ramach dyrektywy PSD2 jak i obecnie funkcjonujących szablonów raportowania. Dzięki powyższemu możliwe będzie zarejestrowanie dodatkowych incydentów bezpieczeństwa i jednoczesne zmniejszenie liczby incydentów operacyjnych, które nie mają znaczącego wpływu na działalność dostawców usług płatniczych. Według EUNB znaczna część zgłaszanych incydentów operacyjnych ma nieznaczny wpływ na daną instytucję finansową. Ponadto, wielu dostawców usług płatniczych nie stosowało dotychczas wytycznych EUNB zgodnie z wymaganiami, w szczególności nie przestrzegali oni terminów składania raportów zawierających dane dotyczące incydentów.
Według danych Europejskiego Urzędu Nadzoru Bankowego, do dnia 31 grudnia 2019 r. EUNB i EBC otrzymały łącznie 5763 zgłoszenia za lata 2018 i 2019, dotyczące poważnych incydentów.
