Nowoczesny Bank Spółdzielczy: Konserwatyzm dla ryzyka mile widziany

BANK 2019/02

Kiedy w 1969 r. Robert Noyce po raz pierwszy prezentował prototyp mikroprocesora, skonstruowanego w Intelu przez zespół Teda Hoffa, entuzjastycznie wypowiedział pamiętne słowa: „to przedmiot, który zmieni świat, zrewolucjonizuje wasze domy, nie będziecie już nawet potrzebować pieniędzy; wszystko będzie odbywać się drogą elektroniczną.”

Kiedy w 1969 r. Robert Noyce po raz pierwszy prezentował prototyp mikroprocesora, skonstruowanego w Intelu przez zespół Teda Hoffa, entuzjastycznie wypowiedział pamiętne słowa: „to przedmiot, który zmieni świat, zrewolucjonizuje wasze domy, nie będziecie już nawet potrzebować pieniędzy; wszystko będzie odbywać się drogą elektroniczną.”

Gdy w tymże 1969 r. udało się stworzyć pierwsze połączenie sieciowe w ramach APAR-Net, jego twórcy już zdawali sobie sprawę, że internet będzie platformą do zawierania partnerstw i budowania wirtualnych społeczności, że będzie dawał fantastyczne możliwości. Rozwinął się chyba jednak ponad przewidywania jego twórców.

Regulacje definiują relacje

Szczególnie w ostatnich latach skokowy rozwój internetu i usług realizowanych w sieci, jak również pojawienie się nowych urządzeń telekomunikacyjnych wraz z perspektywami dalszego rozszerzania się obszarów życia społecznego w rzeczywistości wirtualnej sprawił, że zaistniała potrzeba zmiany dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (Dz.Urz. UE L 319 z 05.12.2007, str. 1). Zmiana ta nastąpiła poprzez uchwalenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/236 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE.

Stefan Cieśla radca prawny w Kancelarii Prawnej Cieśla & Cieśla sp.k., specjalizującej się w pomocy prawnej dla banków spółdzielczych.
Przywołana dyrektywa z 25 listopada 2015 r. stworzyła nową jakość na rynku relacji klienta z bankiem poprzez wprowadzenie instytucji trzecich (tzw. TPP – Third Party Providers) mających uprawnienia – na zlecenie klienta – do wykonywania na rachunku klienta określonych transakcji, polegających zarówno na inicjacji płatności z rachunku – usługami dostępnymi w bankowości eketronicznej (np. przelew Elixir, Express Elixir, przelew zagraniczny, SORBNET), jak i na udostępnieniu wglądu TPP do rachunku bankowego. Uprawnionymi instytucjami stały się: krajowa instytucja płatnicza, biuro usług płatniczych, mała instytucja płatnicza, dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku. Oczywiście instytucje te będą miały różne uprawnienia w zależności od specjalizacji, począwszy od możliwości wykonywania na zlecenie klienta wszelkich usług płatniczych (krajowe instytucje płatnicze) po uprawnienia do wglądu do konta klienta (dostawcy świadczący usługę dostępu do rachunku).

Dostęp kluczowym wyzwaniem

Przedmiotowa dyrektywa postawiła przed bankami nowe wyzwanie. Po raz pierwszy podmiot trzeci będzie mógł mieć wgląd w stan rachunku płatniczego oraz będzie mógł wykonywać na tym rachunku płatności bez okazania stosownego pełnomocnictwa szczególnego. Tym samym doznała znacznego uszczerbku tajemnica bankowa, ponieważ z mocy ustawy podmioty rynku usług płatniczych będą miały samodzielnie pełny wgląd do naszego rachunku. Tak ustawa o usługach płatniczych, jak i PSD2 wraz z szerokim zestawem wyjaśnień i komentarzy, pozostawiają jednak pewien zakres zagadnień wymagających oceny ryzyka bankowego po stronie banku. a w tym celu sporządzenia analizy prawnej zdarzeń, które mogą być związane z określonymi decyzjami banku.

Przedmiotowe analizy prawne powinny dotyczyć zwłaszcza takich zagadnień, jak sposób rozwiązania dostępu. Czy bank będzie korzystał z własnego oprogramowania, czy też zakupi usługę o charakterze cloud computing (CC) typu SAAS (software as service). Rozwiązanie powyższe jest zagadnieniem z jednej strony z zakresu inżynierii finansowej. Kupno lub przygotowanie własnego oprogramowania buduje pozycję majątkową banku – tworzy wartość niematerialną i prawną podlegającą amortyzacji, natomiast skorzystanie z CC zwiększa koszty działania banku. Z drugiej jednak strony wykorzystanie CC jest działaniem mogącym zmniejszyć ryzyko odszkodowawcze, ponieważ w tym wypadku dostawca usług odpowiada za szkody wywołane nieprawidłowym działaniem usługi dostępu. Oczywiście mając na względzie, że tego rodzaju usługa jest usługą informatyczną, zatem przy wyborze jej dostawcy w pełni należy kierować się zaleceniami Rekomendacji D KNF. Ponadto zalicza się ona do usług outsourcingu, więc ma do niej zastosowanie art. 6a ust. 1 pkt. 2 ustawy Prawo bankowe z wszelkimi płynącymi z tego faktu konsekwencjami.

Dostosować wzorcowe umowy do ładu regulacyjnego

Przedmiotowe konsekwencje powinny być ujęte w umowie z dostawcą usługi informatycznej, ale nie należy zapominać, iż podstawą ewentualnych roszczeń będzie niezachowanie postanowień SLA (Service Level Agreement). W konsekwencji w SLA powinno się wpisać wszelkie wymogi dla oprogramowania, które pozwoli bankom (będącym w strukturze transakcji PSD2 tzw. ASPSP (Account Servicing Payment Service Provider) zapewnić dla TPP swobodny dostęp do rachunku bankowego klienta banku.W ramach SLA dostawca usługi internetowej zapewnienia dostępu do konta bankowego musi także przewidzieć właściwy wysoki poziom bezpieczeństwa płatności. Jest to kluczowa kwestia dla wielu użytkowników usług płatniczych, a zwłaszcza konsumentów płacących za pośrednictwem internetu. Wszyscy dostawcy usług płatniczych, w tym banki, instytucje płatnicze lub dostawcy zewnętrzni – dostawcy niezależni (TPP), będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności. Dostawcy usług płatniczych będą musieli przeprowadzać ocenę ryzyka operacyjnego i ryzyka w zakresie zabezpieczeń, jak również podejmowanych działań w tym zakresie, w stosunku rocznym. Właściwe uregulowania muszą znaleźć się w zapisach umownych z dostawcą usługi outsourcingu.Odpowiednie zapisy dotyczące transakcji muszą znaleźć się także w regulaminach poszczególnych produktów bankowych, w szczególności regulaminach rachunków płatniczych, a o tych zmianach regulaminów muszą zostać poinformowani klienci banków. Z kolei bezpieczeństwo banków będzie zależało już od pierwszych decyzji ich zarządów o wyborze sposobu zapewnienia narzędzi informatycznych służących realizacji powinności wynikających z szeroko rozumianych obowiązków PSD2.Zapewniając usługę, banki powinny, poza przepisami dotyczącymi bezpośrednio działalności bankowej, wziąć pod uwagę także i przepisy regulujące funkcjonowanie podmiotów gospodarczych, ponieważ nowe przepisy nakładają na banki konieczność wejścia w relacje biznesowe z podmiotami nie będącymi bankami z mocy prawa, a nie relacji umownych.

Mitygować ryzyko

W mojej ocenie jednym z najważniejszych aktów, które powinny być brane pod uwagę w analizie ryzyk prawnych jest ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2018 r. poz. 419, 1637). Ustawa ta konstytuuje ogólne zasady koegzystencji przedsiębiorców na rynku, wprowadzając podstawy odpowiedzialności cywilnej, a nawet karnej za określone zachowania przedsiębiorców względem innych przedsiębiorców.Wśród zachowań, które ustawodawca określił jako niedopuszczalne jest działanie, które może nie tylko naruszyć, ale nawet zagrozić naruszeniem interesu innego przedsiębiorstwa. Wynika to wprost z art. 3.1 ustawy („Czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta”) i tworzy roszczenie cywilne po stronie poszkodowanego. Jednakże ustawodawca jeszcze dalej poszedł w art. 26 ust. 1, w którym nałożył sankcję karną za działania polegające na rozpowszechnianiu nieprawdziwych lub wprowadzających w błąd informacji o przedsiębiorstwie.W tym miejscu trzeba zwrócić uwagę na toczące się w środowisku bankowym dyskusje o możliwości wprowadzenia „listy negatywnej” lub nawet „listy pozytywnej” dostawców usług płatniczych współpracujących z bankiem. O ile wprowadzanie „listy negatywnej” jest bezspornie zakazane, ponieważ każdy podmiot uprawniony na podstawie obowiązujących przepisów może wykonywać określone czynności, to tworzenie „listy pozytywnej” wydawać się może elementem legalnym.Jednakże w wypadku informowania klienta o dostawcach usług płatniczych, z którymi bank już współpracuje może być uznane za działanie sprzeczne z dobrym obyczajem, a nawet za „rozpowszechnianie wprowadzających w błąd wiadomości o przedsiębiorstwie”, którego nie ma na liście. Wydanie „listy pozytywnej” może bowiem u klienta banku wywołać wrażenie, że inny dostawca posiada jakieś przymioty, które zdyskwalifikowały go we współpracy z bankiem, podczas gdy faktycznie jedynymi kryteriami dopuszczenia TPP do współpracy z bankami są uprawnienia formalne oraz wola właściciela rachunku. Tak więc istnieje ryzyko, że praktyka sądowa uzna publikowanie listy współpracujących dostawców za działanie objęte normami ustawy o zakazie nieuczciwej konkurencji i wówczas konsekwencje dla banku mogą być bardzo daleko idące, zarówno w sferze odszkodowawczej, jak i – co gorsze – w sferze prawnokarnej szczególnie w świetle przygotowywanej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Ustawa ta ma wprowadzić rygorystyczne sankcje za naruszanie prawa przez przedsiębiorców, w szczególności grzywny od 30 tys. do 30 mln zł (art. 17.1 projektu).Wobec tak daleko posuniętego ryzyka należy z ostrożności zaniechać praktyk publikacji „zaufanych TPP” i pozostawić ocenę poszczególnych instytucji KNF.Jednakże nowa usługa tym bardziej zobowiązuje bank do zachowania najwyższej staranności w toku wykonywania usługi. Technologicznie bank musi być przygotowany na wszelkie incydenty, procedury powinny zabezpieczać postępowanie w wypadku zaistnienia jakiegokolwiek incydentu, a relacje zarówno z klientami, jak i z TPP powinny być oparte na wzajemnie znanych jasnych i precyzyjnych zasadach.Jest to szczególnie istotne wobec faktu, iż to bank jest w pierwszej kolejności podmiotem odpowiedzialnym za wszystkie szkody wobec swojego klienta. Dopiero wtórnie może domagać się odszkodowania od TPP czy też dostawcy usług internetowych i wówczas dla określenia zakresu współodpowiedzialności precyzyjne zapisy regulaminów lub SLA będą ułatwiały dochodzenie roszczeń.Omówione zagadnienia są jedynie wierzchołkiem góry lodowej problematyki prawnych konsekwencji relacji pomiędzy bankami, TPP i klientami banków. Nowatorstwo instytucji w skali Unii Europejskiej nakazuje szczególną ostrożność i konserwatyzm w podejściu do ryzyka. Ilekroć należy rozstrzygać problem, należy brać pod uwagę bardziej restrykcyjne rozwiązania, zakładając raczej negatywne scenariusze, a nie korzystniejsze. Tańsze, a więc atrakcyjniejsze, w chwili implementacji dla banku rozwiązania mogą w praktyce okazać się bardziej kosztowne.

Stanowisko Europejskiego Urzędu Nadzoru Bankowego (EUNB)

Tę właśnie tezę o restrykcyjnym podejściu do szacunku ryzyka potwierdza np. ostatnie stanowisko Europejskiego Urzędu Nadzoru Bankowego (EUNB), który opublikował 4 grudnia 2018 r. „Ostateczne wytyczne dotyczące warunków, które muszą spełniać dostawcy usług płatniczych z kontem (ASPSP), aby mogli zostać zwolnieni z obowiązku mechanizmu rezerwowego zgodnie z rozporządzeniem (UE) 2018/389 w uwierzytelnianiu klienta oraz wspólnej i bezpiecznej komunikacji (RTS na SCA i CSC)”. EUNB zmienił projekt wytycznych, zaostrzając reguły działania banków.W szczególności jeśli chodzi o udział dostawców usług płatniczych w procesie zwolnienia EUNB wyjaśnił, że do celów zwolnienia banki będą musiały udokumentować zaangażowanie dostawców usług płatniczych w projektowanie i testowanie ich dedykowanych interfejsów oraz dostarczyć właściwemu organowi informacje zwrotne, które otrzymały od dostawców usług płatniczych, którzy uczestniczyli w testach, wraz z wyjaśnieniem, w jaki sposób bank rozwiązał wszelkie problemy zidentyfikowane podczas testów. EUNB wyjaśnił także, że przy ocenie, czy bank spełnił warunek „szerokiego zastosowania”, krajowy organ nadzoru powinien wziąć pod uwagę nie tylko liczbę dostawców usług, którzy korzystali z interfejsu produkcyjnego banku, ale także dodatkowe czynniki, w tym stopień wykorzystania interfejsu wykorzystywanego przez TPP, kroki, które bank podjął w celu osiągnięcia „szerokiego zastosowania”, informacje zwrotne otrzymane przez bank od dostawców usług płatniczych, którzy uczestniczyli w testach, a także jak rozwiązano zidentyfikowane problemy.Jak widać z powyższego regulator unijny oczekuje bardzo istotnego zaangażowania się banków w proces udostępniania dostępu do rachunków i obowiązkiem banków będzie spełnienie tego oczekiwania.
Udostpnij artyku: