Suvestinė redakcija nuo 2022-04-01
Nutarimas paskelbtas: TAR 2019-01-22, i. k. 2019-00901
Nauja redakcija nuo 2022-04-01:
Nr. 03-215, 2021-12-21, paskelbta TAR 2021-12-27, i. k. 2021-27171
LIETUVOS BANKO VALDYBA
NUTARIMAS
DĖL PRANEŠIMŲ APIE OPERACINĖS AR SAUGUMO RIZIKOS INCIDENTUS TEIKIMO LIETUVOS BANKUI TAISYKLIŲ IR INFORMACIJOS TEIKIMO FORMŲ PATVIRTINIMO
2019 m. sausio 21 d. Nr. 03-10
Vilnius
Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 4 dalies 1 punktu, Lietuvos Respublikos mokėjimų įstatymo 10 straipsnio 4 dalimi, 33 straipsnio 8 dalimi, 38 straipsnio 5 dalimi, 57 straipsnio 5 dalimi, Lietuvos banko valdyba n u t a r i a:
2. Pranešimo apie su mokėjimo paslaugų teikimu susijusį didelį operacinės ar saugumo rizikos incidentą OPRISK-MOSRI formą;
3. Pranešimo apie su mokėjimo paslaugų teikimu nesusijusį didelį operacinės ar saugumo rizikos incidentą OPRISK-OSRI formą
4. Pranešimo apie sprendimą atsisakyti atidaryti mokėjimo sąskaitą, apriboti naudojimąsi ja ar ją uždaryti REJECT formą;
6. Pranešimo apie sąskaitos informacijos paslaugos teikėjo arba mokėjimo inicijavimo paslaugos teikėjo prieigos prie mokėjimo sąskaitos ribojimą BLOCK formą.
PATVIRTINTA
Lietuvos banko valdybos
2019 m. sausio 21 d. nutarimu Nr. 03-10
(Lietuvos banko valdybos
2021 m. gruodžio 21 d.
nutarimo Nr. 03-215 redakcija)
PRANEŠIMŲ APIE operacinės AR saugumo rIZIKOS INCIDENTUS teikimo Lietuvos bankui tAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklėse (toliau – Taisyklės) nustatyti pagrindiniai didelių su mokėjimo paslaugomis susijusių ir nesusijusių operacinės ar saugumo rizikos incidentų klasifikavimo kriterijai ir pranešimų apie tokius incidentus teikimo Lietuvos bankui tvarka bei tokių pranešimų turiniui keliami reikalavimai. Taisyklės taip pat nustato pranešimų apie priimtus sprendimus atsisakyti atidaryti mokėjimo sąskaitą elektroninių pinigų įstaigai ar mokėjimo įstaigai, apriboti naudojimąsi tokia mokėjimo sąskaita arba ją uždaryti, pranešimų apie įtariamą mokėtojo sukčiavimą bei mokėjimo paslaugų teikėjo prieigos prie mokėjimo paslaugų vartotojo mokėjimo sąskaitos ribojimą teikimo Lietuvos bankui tvarką.
2. Taisyklės (išskyrus 6 punktą ir IV skyrių) taikomos mokėjimo paslaugų teikėjams (MPT), kurie teikia mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą (MĮ). Taisyklių 6 punkto ir IV skyriaus nuostatos papildomai taikomos Lietuvos Respublikoje įsteigtiems bankams, užsienio valstybių, įskaitant Europos Sąjungos valstybių narių, bankų filialams ir centrinėms kredito unijoms (toliau – kredito įstaiga).
3. Taisyklės parengtos atsižvelgiant į 2021 m. birželio 10 d. Europos bankininkystės institucijos peržiūrėtas gaires EBA/GL/2021/03 dėl pranešimų apie didelius incidentus pagal MPD2 ir MĮ.
4. Pagrindinės sąvokos:
4.1. su mokėjimo paslaugų teikimu nesusijęs operacinis ar saugumo rizikos incidentas (OSRI) – su mokėjimo paslaugų teikimu nesusijęs pavienis incidentas arba tarpusavyje susijusių incidentų, kurių kredito įstaiga neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį kredito įstaigos veiklos rezultatams dėl netinkamų ir nevykusių vidaus procesų, žmonių ir sistemų, arba dėl išorės faktų ar aplinkybių, grupė;
4.2. su mokėjimo paslaugų teikimu susijęs operacinis ar saugumo rizikos incidentas (MOSRI) – pavienis incidentas arba tarpusavyje susijusių incidentų, kurių MPT neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį MPT su mokėjimais susijusių paslaugų vientisumui, prieinamumui, konfidencialumui ir (arba) autentiškumui, grupė;
4.3. su mokėjimu susijusios paslaugos – MĮ 5 straipsnyje nurodytos mokėjimo paslaugos ir visos reikiamos pagalbinės techninės funkcijos, kad mokėjimo paslaugos būtų tinkamai teikiamos;
II SKYRIUS
TEIKIAMOS INFORMACIJOS TURINYS
5. MPT Lietuvos bankui turi teikti:
5.1. informaciją apie didelius MOSRI. Informacija apie MOSRI yra teikiama, kai 1 (vieno) ar daugiau kriterijų rodiklis pasiekia didesnio poveikio lygio ribą arba 3 (trijų) ar daugiau kriterijų rodikliai pasiekia mažesnio poveikio lygio ribą, kaip nurodyta Taisyklių priede. Centrinės kredito unijos MOSRI vertinimą atlieka ir informaciją Lietuvos bankui teikia visos konsoliduotos grupės mastu, nepriklausomai nuo to, ar MOSRI įvyko centrinėje kredito unijoje ar individualioje centrinei kredito unijai priklausančioje kredito unijoje;
6. Kredito įstaigos Lietuvos bankui papildomai turi teikti:
6.1. informaciją apie įvykusius didelius OSRI, kurie nėra susiję su mokėjimo paslaugų teikimo sutrikimais. Informacija apie OSRI teikiama, kai pradedama veikti pagal veiklos tęstinumo krizės atveju planą arba nustatomas aukštas OSRI vidinės sklaidos lygis;
6.2. pranešimą apie sprendimą atsisakyti atidaryti Lietuvos Respublikos mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte nurodytas ir kitas elektroninių pinigų įstaigų ar mokėjimo įstaigų mokėjimo sąskaitas, kurios skirtos elektroninių pinigų turėtojų ar mokėjimo paslaugų vartotojų mokėjimo operacijoms atlikti, taip pat apie sprendimą apriboti naudojimąsi tokiomis sąskaitomis ar jas uždaryti. Ši informacija Lietuvos bankui pateikiama ne vėliau kaip per 5 darbo dienas nuo atitinkamo sprendimo priėmimo dienos, užpildant REJECT formą, kartu pridedant visą papildomą informaciją, jeigu ji yra aktuali ir svarbi.
III SKYRIUS
DIDELIŲ MOSRI NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA
7. MPT, vertindamas, kaip MOSRI paveikė su mokėjimu susijusių paslaugų vientisumą, prieinamumą, konfidencialumą ir (arba) autentiškumą, ir tai, ar apie jį turi būti pranešta Lietuvos bankui, turi įvertinti šiuos kriterijus:
7.1. paveiktos operacijos. MPT paveiktomis operacijomis turi laikyti visas operacijas, kurioms MOSRI turėjo arba tikriausiai turės tiesioginį arba netiesioginį poveikį (operacijas, kurių nebuvo įmanoma inicijuoti, apdoroti, kurių mokėjimo paskirties turinys buvo pakeistas, kurias buvo pavesta atlikti apgaule, arba atvejus, kai dėl MOSRI užkertamas kelias ar kokiu nors kitu būdu trukdoma tinkamai vykdyti operacijas). Turi būti nustatyta bendra paveiktų mokėjimo operacijų vertė ir sutrikdytų mokėjimų procentinė dalis nuo mokėjimų, atliekamų teikiant tokias mokėjimo paslaugas, įprasto skaičiaus. Įprastu mokėjimo operacijų skaičiumi laikomas MPT vietinių ir tarptautinių tokių mokėjimo operacijų, kaip MOSRI paveiktos mokėjimo paslaugos, kasdienis metinis vidurkis, o apskaičiavimų atskaitos laikotarpiu laikomi praėję metai. Jeigu šis skaičius nelaikomas reprezentatyviu (pvz., dėl sezoniškumo), turi būti naudojamas kitas, reprezentatyvesnis rodiklis, o teikiant pranešimus Lietuvos bankui turi būti pagrindžiamas šio metodo naudojimas;
7.2. paveikti mokėjimo paslaugų vartotojai. Turi būti nustatytas absoliutus paveiktų mokėjimo paslaugų vartotojų, t. y. vartotojų, kurie patyrė arba, tikėtina, patirs MOSRI padarinių, skaičius ir jų procentinė dalis, palyginti su bendru tų mokėjimo paslaugų vartotojų skaičiumi. Bendru mokėjimo paslaugų vartotojų skaičiumi laikomas visų vietinių ir tarptautinių mokėjimo paslaugų vartotojų, kurie MOSRI metu (arba naujausiais turimais duomenimis) turi sutartis su MPT ir turi teisę naudotis paveikta mokėjimo paslauga, skaičius, neatsižvelgiant į tai, ar jie laikomi aktyviais ar pasyviais mokėjimo paslaugų vartotojais. Kiekvienas MPT turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus. MPT, teikiantis veiklos paslaugas kitiems mokėjimo paslaugų teikėjams, turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus (jeigu jų yra), o veiklos paslaugas gaunantys MPT turi įvertinti MOSRI atsižvelgdami į savo pačių mokėjimo paslaugų vartotojus;
7.3. paslaugos neveikimo laikas. Turi būti nustatytas laikotarpis, kai neveikia arba, tikėtina, neveiks bet kuri su mokėjimo paslaugų teikimu susijusi funkcija, procesas arba kanalas ir dėl to neįmanoma arba nebus įmanoma inicijuoti ir (arba) įvykdyti mokėjimo paslaugos, ir (arba) prisijungti prie mokėjimo sąskaitos. Paslaugos neveikimo laiką MPT turi skaičiuoti nuo mokėjimo paslaugos neveikimo pradžios ir, kai tai aktualu ir taikytina, turi atsižvelgti į savo darbo laiko intervalus, reikalingus mokėjimo paslaugoms įvykdyti, taip pat į nedarbo laiką ir techninės priežiūros laikotarpius. MPT, negalintis nustatyti paslaugos neveikimo pradžios momento, paslaugos neveikimo laiką turi pradėti skaičiuoti nuo neveikimo aptikimo momento;
7.4. kiti galimai paveikti MPT arba susiję infrastruktūros objektai. Turi būti nustatyti sisteminiai MOSRI padariniai, t. y. tikimybė, kad šie padariniai bus jaučiami už pradinio paveikto MPT ribų kitiems MPT, finansų rinkos infrastruktūros objektams ir (arba) mokėjimo kortelių sistemoms. MPT turi įvertinti, ar MOSRI pasikartojo arba, tikėtina, pasikartos kitų MPT veikloje, ar jis turėjo arba, tikėtina, turės poveikį sklandžiam finansų rinkos infrastruktūros objektų veikimui ir ar jis pakenkė arba, tikėtina, pakenks patikimam visos finansų sistemos veikimui;
7.5. poveikis reputacijai. Turi būti įvertinta, kaip MOSRI gali sumenkinti vartotojų pasitikėjimą pačiu MPT ir atitinkama paslauga arba visa mokėjimo paslaugų rinka. MPT turi atsižvelgti į esamą arba, tikėtina, būsimą MOSRI pastebimumą rinkoje ar sukeltą atgarsį visuomenėje ir todėl tikėtina, kad apie jį praneš arba jau pranešė žiniasklaida. Taip pat turi būti įvertinta, ar nebuvo arba, tikėtina, nebus įvykdyti įstatymų ir kitų teisės aktų reikalavimai, ar nebus vykdomi sutartiniai įsipareigojimai, dėl kurių gali būti pareikšti ieškiniai, ar panašių MOSRI jau yra buvę anksčiau;
7.6. ekonominis poveikis. Turi būti įvertintos visos su MOSRI susijusios sąnaudos ir nuostoliai, kuriuos galima tiesiogiai susieti su incidentu, ir sąnaudos bei nuostoliai, kurie su incidentu susiję netiesiogiai. MPT, be kita ko, turi atsižvelgti į nusavintas lėšas ar turtą, techninės ar programinės įrangos pakeitimo išlaidas, kitas teismo ar žalos atitaisymo išlaidas, mokesčius, mokėtinus dėl sutartinių prievolių nesilaikymo, sankcijas, išorės įsipareigojimus ir prarastas pajamas. MPT turi atsižvelgti tik į tas netiesiogines sąnaudas ir nuostolius, kurie jau yra žinomi arba, tikėtina, atsiras;
7.7. aukšto lygio vidinė sklaida. Turi būti įvertinta, ar apie MOSRI buvo arba, tikėtina, bus pranešta MPT vadovui arba kitam už operacinės ar saugumo rizikos incidentus atsakingam vadovaujančias pareigas einančiam darbuotojui ir ar dėl MOSRI poveikio yra arba bus pradėta veikti veiklos tęstinumo plane numatytu krizės režimu;
8. MPT per 24 valandas nuo MOSRI aptikimo momento turi įvertinti MOSRI ir, vadovaudamasis Taisyklių priedo lentelėje pateiktomis kriterijų vertinimo lygių ribomis, nustatyti jo poveikio lygį.
9. Jeigu nėra faktinių duomenų, kuriais galima pagrįsti savo vertinimą, arba konkretus poveikio lygis yra arba, tikėtina, bus pasiektas iki didelio MOSRI išsprendimo dienos, MPT turi vadovautis apytikriais vertinimais.
10. MPT MOSRI aktualumo laikotarpiu Taisyklių 7 punkte aprašytą vertinimą turi atlikti nuolat, kad nustatytų galimą būklės pokytį blogėjimo (nuo nedidelio iki didelio MOSRI) arba gerėjimo (nuo didelio iki nedidelio MOSRI) linkme.
11. Nustatęs didelį MOSRI, MPT teikia Lietuvos bankui OPRISK-MOSRI formoje nustatytą informaciją, užpildydamas visus formoje esančius laukus.
12. MPT turi teikti informaciją Lietuvos bankui visą didelio MOSRI trukmės laikotarpį, pateikdamas OPRISK-MOSRI formos bendrąją dalį ir pirminio (A), tarpinio (B) ir galutinio pranešimo (C) dalis.
13. MPT turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK-MOSRI formos pridėdamas vieną ar keletą priedų su papildomais dokumentais.
14. Pirminio pranešimo apie didelį MOSRI teikimas:
14.1. pirminis pranešimas turi būti pateiktas ne vėliau kaip per 4 valandas nuo MOSRI pripažinimo dideliu momento Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRI terminas pasibaigia ne Lietuvos banko darbo valandomis;
14.2. Lietuvos bankas pirminiam pranešimui suteikia unikalų kodą, kuris skirtas MOSRI identifikuoti, jį MPT turės nurodyti teikdamas visus paskesnius su tuo pačiu MOSRI susijusius pranešimus;
14.3. pirminis pranešimas turi būti teikiamas ir tada, kai anksčiau aptiktas nedidelis MOSRI tampa dideliu. Šiuo atveju MPT, nustatęs pakitusią būklę, turi Lietuvos bankui pateikti pirminį pranešimą per 4 valandas Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRI terminas pasibaigia ne Lietuvos banko darbo valandomis;
14.4. į pirminį pranešimą turi būti įtraukta preliminari informacija, apibūdinanti pagrindines MOSRI savybes ir tikėtinus jo padarinius, grindžiamus informacija, kuri tapo prieinama iš karto po to, kai MOSRI buvo aptiktas arba perklasifikuotas. Kai faktinių duomenų nėra, MPT turi remtis apytikriais vertinimais. Taip pat pirminiame pranešime MPT turi paaiškinti priežastis, jeigu MOSRI poveikio lygiui nustatyti prireikė daugiau nei 24 valandų.
15. Tarpinio pranešimo teikimas:
15.1. pirmasis tarpinis pranešimas turi būti pateiktas, kai yra atnaujinta įprasta veikla ir sugrįžtama prie įprastos verslo eigos, pateikiant išsamesnę informaciją apie MOSRI ir jo padarinius. MPT grįžimu prie įprastos verslo eigos turi laikyti momentą, kai veikla ir (arba) operacijos atkuriamos iki tokio paties paslaugų ir (arba) sąlygų lygio, kokį MPT yra apibrėžęs arba koks yra nustatytas sutartiniuose įsipareigojimuose, t. y. iki atitinkamo apdorojimo laiko, pajėgumo, saugumo reikalavimų ir kt., o nenumatytų atvejų priemonės nebetaikomos;
15.2. jeigu įprastos veiklos nepavyksta atnaujinti, MPT tarpinį pranešimą turi pateikti per tris darbo dienas nuo pradinio pranešimo pateikimo Lietuvos bankui dienos ir trijų darbo dienų periodiškumu teikti tarpinius pranešimus tol, kol bus sugrįžta prie įprastos veiklos;
15.4. kaip ir pirminio pranešimo atveju, kai faktinių duomenų nėra, MPT turi atlikti apytikrius vertinimus;
16. Galutinio pranešimo teikimas:
16.1. galutinis pranešimas turi būti pateiktas, kai atliekama pagrindinių MOSRI priežasčių analizė (neatsižvelgiant į tai, ar poveikio mažinimo priemonės jau įgyvendintos ir ar nustatyta galutinė pagrindinė priežastis) ir turima faktinių duomenų, kuriais būtų galima pakeisti visus apytikrius vertinimus;
16.2. galutinis pranešimas turi būti pateiktas ne vėliau kaip per 20 darbo dienų nuo grįžimo prie įprastos verslo eigos dienos. MPT, kuriam reikia, kad šis terminas būtų pratęstas (pvz., jeigu dar nėra faktinių duomenų apie poveikį), iki termino pabaigos turi Lietuvos bankui pateikti vėlavimo pagrindimą ir nurodyti naują planuojamą galutinio pranešimo datą;
16.3. MPT, galintis visą galutiniam pranešimui reikalingą informaciją pateikti per 4 valandas nuo MOSRI pripažinimo dideliu momento, turi pirminiame pranešime pateikti informaciją, susijusią su pirminiu, tarpiniu ir galutiniu pranešimais;
16.4. į galutinį pranešimą turi būti įtraukta visa turima informacija, t. y. faktiniai duomenys, o ne apytikriai poveikio vertinimai, atnaujinta pirminio ir tarpinio pranešimų informacija ir galutinis pranešimas, kuriame nurodoma MOSRI pagrindinė priežastis, jeigu jau žinoma, ir apibendrinamos priemonės, kurių buvo imtasi arba bus imtasi problemai pašalinti ir užtikrinti, kad ji nepasikartotų ateityje;
16.5. galutinis pranešimas turi būti teikiamas ir tada, kai nustatoma, kad MOSRI, apie kurį jau pranešta, nebeatitinka kriterijų, pagal kuriuos jis būtų laikomas dideliu MOSRI, ir tikimasi, kad tų kriterijų nebeatitiks. Kai tik nustatoma ši aplinkybė, MPT turi pateikti OPRISK-MOSRI formos bendrąją dalį, kurioje pažymėtas incidento statuso pakeitimas ir C dalį, kurioje paaiškinta šio statuso sumažinimo priežastis.
IV SKYRIUS
DIDELIŲ OSRI NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA
17. Kredito įstaiga vertinamąjį OSRI turi laikyti dideliu šiais atvejais:
17.1. kai dėl OSRI poveikio yra arba bus pradėta veikti pagal veiklos tęstinumo krizės atveju planą;
18. Nustačiusi didelį OSRI, kredito įstaiga teikia Lietuvos bankui OPRISK-OSRI formoje nustatytą informaciją.
19. Kredito įstaiga turi teikti informaciją Lietuvos bankui visą OSRI trukmės laikotarpį, pateikdama OPRISK-OSRI formos bendrąją dalį ir pirminio (A), tarpinio (B) ir galutinio pranešimo (C) dalis.
20. Kredito įstaiga turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK-OSRI formos pridėdama vieną ar keletą priedų su papildomais dokumentais.
V SKYRIUS
DELEGUOTŲJŲ IR KONSOLIDUOTŲJŲ PRANEŠIMŲ TEIKIMAS
22. MPT, pageidaujantis deleguoti įpareigojimus teikti pranešimus apie MOSRI trečiajai šaliai, turi užtikrinti, kad būtų įvykdytos šios sąlygos:
22.1. MPT ir trečiosios šalies oficialia sutartimi arba MPT ir įmonės, priklausančios tai pačiai grupei kaip ir MPT, susitarimu grupės viduje turi būti apibrėžtas visų sutarties šalių pareigų pasiskirstymas, aiškiai nurodant, kad, nepaisant to, kad įpareigojimai teikti pranešimus deleguoti, paveiktas MPT lieka visiškai atsakingas už pranešimų apie incidentą turinį;
22.2. įpareigojimų teikti pranešimus delegavimas laikomas svarbių veiklos funkcijų perdavimu trečiajai šaliai, todėl turi būti laikomasi teisės aktų reikalavimų, taikomų perduodant tokią veiklą;
23. MPT, pageidaujantys leisti trečiajai šaliai konsoliduotai vykdyti įpareigojimus teikti pranešimus ( teikti vieną pranešimą, kuriame nurodomi keli to paties didelio incidento paveikti MPT), privalo informuoti Lietuvos banką, užpildyti OPRISK-MOSRI formos „Paveikti mokėjimo paslaugų teikėjai“ dalį ir užtikrinti, kad būtų patenkintos šios sąlygos:
23.1. įtraukti nuostatą dėl konsoliduoto pranešimų teikimo vykdymo į sutartį dėl deleguotųjų pranešimų teikimo;
23.2. teikti konsoliduotuosius pranešimus tik tada, jeigu incidentas kilo dėl trečiosios šalies teikiamų paslaugų sutrikimo;
23.3. įpareigojimus teikti konsoliduotuosius pranešimus taikyti tik Lietuvos Respublikoje įsteigtiems MPT;
23.4. užtikrinti, kad trečioji šalis įvertintų incidento svarbumą kiekvienam paveiktam MPT ir kad į konsoliduotąjį pranešimą būtų įtraukti tik tie MPT, kurių MOSRI klasifikuojamas kaip didelis, o esant abejonių, MPT būtų įtrauktas į konsoliduotąjį pranešimą, kol nėra įrodymų, kad jis ten neturi būti įtrauktas;
23.5. užtikrinti, kad esant situacijai, kai OPRISK-MOSRI formos laukeliuose negalima pateikti bendro atsakymo, trečioji šalis arba užpildys formą kiekvieno paveikto MPT vardu, arba naudos intervalus, rodančius mažiausias ir aukščiausias vertes, nustatytas ar apytikriai įvertintas skirtingų MPT atžvilgiu;
23.6. MPT turi užtikrinti, kad trečioji šalis visą incidento aktualumo laiką jam teiks informaciją apie visus aktualius incidento aspektus ir apie visą galimą trečiosios šalies bendravimą su Lietuvos banku, šio bendravimo turinį tiek, kiek tai nepažeidžia su kitais MPT susijusios informacijos konfidencialumo;
24. MPT, pageidaujantys atšaukti įpareigojimus teikti savo pranešimus, apie šį sprendimą turi pranešti Lietuvos bankui ne vėliau kaip prieš 5 darbo dienas. MPT turi informuoti Lietuvos banką apie visus svarbius įvykius, turinčius poveikį paskirtajai trečiajai šaliai ir jos gebėjimui vykdyti įpareigojimus teikti pranešimus.
25. MPT turi įvykdyti įpareigojimus teikti savo pranešimus nesinaudodami trečiosios šalies pagalba, jeigu paskirtoji trečioji šalis neinformuotų Lietuvos banko apie incidentą taip, kaip reikalaujama Taisyklėse. MPT turi užtikrinti, kad apie incidentą nebūtų pranešama du kartus – paties MPT ir trečiosios šalies.
VI SKYRIUS
KITA MPT TEIKIAMA INFORMACIJA
27. MPT, turėdamas pagrįstų priežasčių įtarti mokėtojo sukčiavimą, nedelsdamas, bet ne vėliau kaip per MĮ 38 straipsnio 1 dalyje nustatytą terminą, per kurį mokėtojui turi sugrąžinti neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as) ir, kai taikytina, atkurti mokėjimo sąskaitos, iš kurios ta (-os) suma (-os) nurašyta (-os), likutį, apie tokį atsisakymą grąžinti mokėjimo operacijos (-ų) sumą (-as) praneša mokėtojui sutartu būdu ir Lietuvos bankui, pildydamas FRAUD formą.
28. Kaip nustatyta Taisyklių 27 punkte, MPT gali pateikti Lietuvos bankui vieną bendrą pranešimą apie negrąžinamas kelių neautorizuotų mokėjimo operacijų sumas, jeigu tenkinamos visos šios sąlygos:
28.2. apie neautorizuotas mokėjimo operacijas MPT sužino arba jam pranešama tą pačią dieną arba padieniui;
29. MPT, nesuteikęs prieigos prie mokėjimo sąskaitos (-ų) MIP teikėjui arba SIP teikėjui, vadovaudamasis MĮ 33 straipsnio 5 ir 7 dalyse nustatyta tvarka ir sąlygomis, informaciją apie atsisakymą suteikti prieigą prie mokėtojo sąskaitos (-ų) atitinkamai pateikia mokėtojui jų sutartu būdu ir Lietuvos bankui, užpildydamas BLOCK formą.
30. MPT panaikina MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimą, kai nebelieka priežasčių nesuteikti tokios prieigos, ir apie tai nedelsdamas praneša Lietuvos bankui. Jei MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimas nepanaikinamas per 10 darbo dienų nuo jo pritaikymo dienos, MPT ne vėliau kaip kitą darbo dieną papildomai informuoja Lietuvos banką apie detalesnes prieigos ribojimo aplinkybes (pvz., naujai paaiškėjusias aplinkybes, tolesnio prieigos ribojimo priežastis, veiksmus, kuriuos turi atlikti MIP teikėjas, SIP teikėjas arba mokėtojas, kad prieigos ribojimas būtų panaikintas, pradėtus ikiteisminio tyrimo procesus ir pan.).
31. Taisyklių 27 ir 29 punktuose nurodytų pranešimų pateikimas Lietuvos bankui nepanaikina MPT pareigos, esant pagrįstų įtarimų dėl nusikalstamų ir (arba) kitų neteisėtų mokėjimo paslaugų vartotojo, MIP teikėjo ar SIP teikėjo veiksmų, apie tokius įtarimus teisės aktų nustatyta tvarka pranešti kompetentingoms teisėsaugos institucijoms.
32. MPT, siekdamas visapusiškai ištirti Taisyklių 27 punkte nurodytas aplinkybes, dėl kurių MPT atsisakė grąžinti neautorizuotos mokėjimo operacijos (-ų) sumą (-as), ir kitą su tokiomis aplinkybėmis susijusią informaciją, atlieka vidinį tyrimą. Vidinis tyrimas turi būti pradėtas ir užbaigtas ne vėliau kaip per 15 darbo dienų nuo Taisyklių 27 punkte nurodytų aplinkybių paaiškėjimo dienos. Apie vidinio tyrimo rezultatus ir MPT veiksmus atlikus tyrimą MPT nedelsdamas informuoja mokėtoją ir Lietuvos banką.
33. Kai dėl priežasčių, kurių MPT negali kontroliuoti, vidinio tyrimo užbaigti per Taisyklių 32 punkte nurodytą terminą neįmanoma, MPT informuoja mokėtoją, nurodydamas terminą, per kurį tyrimas bus užbaigtas, ir tyrimo termino pratęsimo priežastis, išskyrus atvejus, kai tokių priežasčių atskleidimas susilpnintų saugumo priemones arba pagal teisės aktus būtų draudžiamas. Apie vidinio tyrimo termino pratęsimą MPT taip pat praneša Lietuvos bankui. Vidinio tyrimo užbaigimo terminas niekada neturi viršyti 35 darbo dienų, o kai mokėjimo operacijos, dėl kurių atliekamas vidinis tyrimas, buvo atliktos naudojant mokėjimo kortelę, – 120 dienų, skaičiuojant nuo Taisyklių 27 punkte nurodytų aplinkybių paaiškėjimo dienos, tačiau tik tada, jeigu vidiniam tyrimui atlikti būtinas tarptautinės mokėjimo kortelių asociacijos dalyvavimas ir dėl nuo tokios asociacijos priklausančių aplinkybių vidinio tyrimo neįmanoma užbaigti anksčiau.
34. Jeigu MPT, vadovaudamasis Taisyklių 31 punktu, kreipiasi į teisėsaugos institucijas, kurios teisės aktų nustatyta tvarka pradeda ikiteisminį tyrimą, Taisyklių 32 ir 33 punktuose nurodyti vidinio tyrimo terminai sustabdomi.
35. Vidinio tyrimo metu paaiškėjus, kad MPT įtarimai dėl mokėtojo sukčiavimo nepasitvirtino arba pagrindas stabdyti mokėjimo operacijos (-ų) sumos (-ų) grąžinimą išnyksta dėl kitų priežasčių (pvz., teisėsaugos institucijos nustato, kad mokėtojo veiksmai neturi sukčiavimo požymių), MPT nedelsdamas grąžina mokėtojui neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as), kurios (-ių) grąžinimas buvo sustabdytas MĮ 38 straipsnio 1 dalyje nurodytais pagrindais.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
36. Už informacijos pateikimą Lietuvos bankui Taisyklėse nustatytu laiku ir tvarka atsakingas MPT arba kredito įstaigos administracijos vadovas.
37. MPT arba kredito įstaigos administracijos vadovas turi užtikrinti, kad MPT arba kredito įstaigos vidaus taisyklėse būtų aiškiai apibrėžtos visos pareigos pranešti apie MOSRI ir OSRI ir būtų įgyvendinti procesai Taisyklėse nustatytiems informacijos teikimo reikalavimams vykdyti.
Pranešimų apie operacinės ar saugumo rizikos
incidentus teikimo Lietuvos bankui taisyklių
priedas
|
|
Didelis MOSRI |
|
| Poveikio lygis |
Mažesnis poveikio lygis |
Didesnis poveikio lygis |
| Kriterijų skaičius |
3 ir > |
1 ir > |
| Kriterijai |
|
|
| 1. Paveiktos operacijos |
> 10 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių) ir MOSRI trukmė > 1 valanda[1] arba > 500 000 Eur ir MOSRI trukmė > 1 valanda |
> 25 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių)
arba > 15 mln. Eur |
| 2. Paveikti mokėjimo paslaugų vartotojai |
> 5 000 ir MOSRI trukmė > 1 valanda arba > 10 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų ir MOSRI trukmė > 1 valanda |
> 50 000
arba > 25 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų |
| 3. Paslaugos neveikimo laikas |
> 2 valandos |
Netaikoma |
| 4. Kiti galbūt paveikti mokėjimo paslaugų teikėjai arba susiję infrastruktūros objektai |
Taip |
Netaikoma |
| 5. Poveikis reputacijai |
Taip |
Netaikoma |
| 6. Ekonominis poveikis |
Netaikoma |
> Maks. (0,1 % 1 lygio kapitalo[2], 200 000 Eur) arba > 5 mln. Eur |
| 7. Aukšto lygio vidinė sklaida |
Taip |
Taip, ir tikriausiai bus pradėta dirbti kriziniu (arba lygiaverčiu) režimu |
| 8. Tinklų ir informacinių sistemų saugumo pažeidimas |
Taip |
Netaikoma |
REJECT forma patvirtinta
Lietuvos banko valdybos
2019 m. sausio 21 d.
nutarimu Nr. 03-10
(Lietuvos banko valdybos
2021 m. gruodžio 21 d.
nutarimo Nr. 03-215 redakcija)
______________________________________________________
(kredito įstaigos pavadinimas)
______________________________________________________
(kodas, adresas, tel., el. paštas)
PRANEŠIMAS APIE SPRENDIMĄ ATSISAKYTI ATIDARYTI MOKĖJIMO SĄSKAITĄ, APRIBOTI NADOJIMĄSI JA AR JĄ UŽDARYTI
__________________
(data)
| 1. |
Mokėjimo arba elektroninių pinigų įstaigos (MPT) pavadinimas |
|
| 2. |
Valstybės kodas |
|
| 3. |
Sprendimo priėmimo data |
|
| 4. |
Sąskaitos tipas |
|
| 4.1. |
Atskiroji (klientų lėšų) sąskaita |
TAIP / NE |
| 4.2. |
Mokėjimo sąskaita, skirta mokėjimo operacijoms atlikti elektroninių pinigų ir (arba) mokėjimo paslaugų vartotojų vardu |
TAIP / NE |
| 5. |
Jei sąskaita uždaroma ar apribojamas naudojimasis ja |
|
| 5.1. |
Kada buvo pranešta MPT apie priimtą sprendimą |
YYYY.MM.DD |
| 5.2. |
Koks įspėjimo laikotarpis buvo suteiktas prieš priimant sprendimą |
|
| 6. |
Jei atsisakoma atidaryti sąskaitą, suteikti prieigą prie sąskaitos |
|
| 6.1. |
Ar sprendimas atsisakyti atidaryti sąskaitą ar suteikti prieigą prie sąskaitos buvo perduotas MPT |
TAIP / NE |
| 6.2. |
Jei taip, nurodykite, kada buvo pranešta apie sprendimą |
YYYY.MM.DD |
| 6.3. |
Jei ne, nurodykite, kodėl nebuvo pranešta |
|
| 7. |
Trumpas sprendimo (uždaryti sąskaitą / apriboti naudojimąsi ja arba atsisakymo atidaryti sąskaitą / suteikti prieigą) priežasčių aprašymas |
|
| 8. |
Trumpas proceso (pvz.: asmuo (-enys), atsakingas (-i) už sprendimų priėmimą, visi taikomi terminai ir procedūros, kurių buvo imtasi svarstant sprendimą) aprašymas |
|
| 9. |
Ar sprendimo motyvai buvo pranešti MPT |
TAIP / NE |
| 10. |
Ar MPT buvo suteikta galimybė reaguoti į kredito įstaigos sprendimą, pašalinti veiklos trūkumus, prieš kredito įstaigai priimant sprendimą |
TAIP / NE |
| 11. |
Jei ne, nurodykite, kodėl tokia galimybė nebuvo suteikta |
|
FRAUD forma patvirtinta
Lietuvos banko valdybos
2019 m. sausio 21 d.
nutarimu Nr. 03-10
(Lietuvos banko valdybos
2021 m. gruodžio 21 d.
nutarimo Nr. 03-215 redakcija)
PRANEŠIMAS APIE ĮTARIAMĄ MOKĖTOJO SUKČIAVIMĄ
Įtaręs sukčiavimą mokėjimo paslaugų teikėjas
| 1. Pavadinimas |
|
4. Kontaktinio asmens el. paštas |
|
| 2. Adresas |
|
5. Kontaktinio asmens telefonas |
|
| 3. Kontaktinis asmuo |
|
||
Įtariamo sukčiavimo aprašymas
| 6. Informacija apie mokėtoją |
Fizinis asmuo |
Juridinis asmuo |
||
| Vardas |
|
Pavadinimas |
|
|
| Pavardė |
|
Juridinio asmens kodas |
|
|
| 7. Informacija apie mokėjimo operaciją |
Mokėjimo sąskaitos numeris |
|
||
| Mokėjimo operacijos data |
|
|||
| Mokėjimo operacijos suma |
|
|||
| Mokėjimo operacijos valiuta |
|
|||
| Pranešimo apie neautorizuotą mokėjimo operaciją gavimo data |
|
|||
| Mokėtojo informavimo apie atsisakymą grąžinti neautorizuotos mokėjimo operacijos sumą data |
|
|||
| Gavėjo sąskaitos numeris |
|
|||
| 8. Trumpas įtariamo sukčiavimo ir aplinkybių, leidžiančių įtarti mokėtojo sukčiavimą, apibūdinimas |
(Trumpai aprašykite įtariamą mokėtojo sukčiavimą ir nurodykite aplinkybes, kurios leidžia įtarti mokėjimo paslaugų vartotojo sukčiavimą) |
|||
| 9. Papildoma informacija |
(Nurodykite kitą, Jūsų vertinimu, reikšmingą informaciją) |
|||
BLOCK forma patvirtinta
Lietuvos banko valdybos
2019 m. sausio 21 d.
nutarimu Nr. 03-10
(Lietuvos banko valdybos
2021 m. gruodžio 21 d.
nutarimo Nr. 03-215 redakcija)
PRANEŠIMAS APIE SĄSKAITOS INFORMACIJOS PASLAUGOS (SIP) TEIKĖJO ARBA MOKĖJIMO INICIJAVIMO PASLAUGOS (MIP) TEIKĖJO PRIEIGOS PRIE MOKĖJIMO SĄSKAITOS RIBOJIMĄ
Sąskaitą tvarkančio mokėjimo paslaugų teikėjo informacija
| 1. Pavadinimas |
|
4. Kontaktinio asmens el. paštas |
|
| 2. Adresas |
|
5. Kontaktinio asmens telefonas |
|
| 3. Kontaktinis asmuo |
|
||
Mokėjimo paslaugų teikėjo prieigos prie mokėjimo sąskaitos ribojimo aprašymas
| 6. Informacija apie mokėjimo paslaugų teikėją, kuriam ribojama prieiga prie mokėjimo sąskaitos (-ų) |
Sąskaitos informacijos paslaugos (SIP) teikėjas |
Mokėjimo inicijavimo paslaugos (MIP) teikėjas |
|
|||||
|
|
Mokėjimo paslaugos teikėjo pavadinimas |
|
|
|||||
|
|
Juridinio asmens kodas |
|
|
|||||
| 7. Informacija apie mokėjimo paslaugos vartotoją |
Fizinis asmuo |
Juridinis asmuo |
|
|||||
| Vardas |
|
Pavadinimas |
|
|||||
| Pavardė |
|
Juridinio asmens kodas |
|
|||||
| 8. Informacija apie apribotą prieigą prie mokėjimo sąskaitos (-ų) |
Mokėjimo paslaugos vartotojo sąskaitos numeris (-ai) |
|
|
|||||
| Apribotos prieigos data |
|
|
||||||
| Mokėjimo operacijos (-ų), kuri (-ios) buvo neįvykdyta (-os) dėl apribotos prieigos, suma ir valiuta (nepildoma, jei buvo inicijuota sąskaitos informacijos paslauga) |
|
|
||||||
| 9. Mokėjimo paslaugų teikėjo prieigos prie mokėjimo sąskaitos (-ų) ribojimo priežastis |
Neautorizuota mokėjimo paslaugos teikėjo prieiga |
Nesąžininga mokėjimo paslaugos teikėjo prieiga |
|
|||||
|
|
Neautorizuotas mokėjimo operacijos inicijavimas |
Nesąžiningas mokėjimo operacijos inicijavimas |
|
|||||
|
|
Kita (trumpai aprašykite)
|
|
||||||
| 10. Aplinkybių, leidžiančių įtarti mokėjimo paslaugų teikėjo neautorizuotą ar nesąžiningą prieigą prie mokėjimo sąskaitos (-ų), įskaitant neautorizuotą ar nesąžiningą mokėjimo operacijos (-ų) inicijavimą, sukčiavimą, apibūdinimas. |
|
|
||||||
Priedų pakeitimai:
Forma OPRISK-MOSRI
Forma OPRISK-OSRI
Pakeitimai:
1.
Lietuvos bankas, Nutarimas
Nr. 03-215, 2021-12-21, paskelbta TAR 2021-12-27, i. k. 2021-27171
Dėl Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimo Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos įvykius teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“ pakeitimo
[1] Taisyklių priede ribinė vertė, susijusi su incidento trukme, viršijančia vieną valandą, taikoma tik operaciniams incidentams, darantiems poveikį MPT gebėjimui inicijuoti ir (arba) apdoroti sandorius.
[2] 1 lygio kapitalas, kaip apibrėžta 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 575/2013 dėl prudencinių reikalavimų kredito įstaigoms ir investicinėms įmonėms ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012, 25 straipsnyje.