Suvestinė redakcija nuo 2022-04-01

 

Nutarimas paskelbtas: TAR 2019-01-22, i. k. 2019-00901

 

Nauja redakcija nuo 2022-04-01:

Nr. 03-215, 2021-12-21, paskelbta TAR 2021-12-27, i. k. 2021-27171

 

LIETUVOS BANKO VALDYBA

 

NUTARIMAS

DĖL PRANEŠIMŲ APIE OPERACINĖS AR SAUGUMO RIZIKOS INCIDENTUS TEIKIMO LIETUVOS BANKUI TAISYKLIŲ IR INFORMACIJOS TEIKIMO FORMŲ PATVIRTINIMO

 

2019 m. sausio 21 d. Nr. 03-10

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 4 dalies 1 punktu, Lietuvos Respublikos mokėjimų įstatymo 10 straipsnio 4 dalimi, 33 straipsnio 8 dalimi, 38 straipsnio 5 dalimi, 57 straipsnio 5 dalimi, Lietuvos banko valdyba n u t a r i a:

Patvirtinti pridedamus:

1. Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisykles;

2. Pranešimo apie su mokėjimo paslaugų teikimu susijusį didelį operacinės ar saugumo rizikos incidentą OPRISK-MOSRI formą;

3. Pranešimo apie su mokėjimo paslaugų teikimu nesusijusį didelį operacinės ar saugumo rizikos incidentą OPRISK-OSRI formą

4. Pranešimo apie sprendimą atsisakyti atidaryti mokėjimo sąskaitą, apriboti naudojimąsi ja ar ją uždaryti REJECT formą;

5. Pranešimo apie įtariamą mokėtojo sukčiavimą FRAUD formą;

6. Pranešimo apie sąskaitos informacijos paslaugos teikėjo arba mokėjimo inicijavimo paslaugos teikėjo prieigos prie mokėjimo sąskaitos ribojimą BLOCK formą.

 

 

 

Valdybos pirmininkas                                                                                                Vitas Vasiliauskas

 

 


PATVIRTINTA

Lietuvos banko valdybos

2019 m. sausio 21 d. nutarimu Nr. 03-10

(Lietuvos banko valdybos

2021 m. gruodžio 21 d.

nutarimo Nr. 03-215 redakcija)

 

 

PRANEŠIMŲ APIE operacinės AR saugumo rIZIKOS INCIDENTUS teikimo Lietuvos bankui tAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklėse (toliau – Taisyklės) nustatyti pagrindiniai didelių su mokėjimo paslaugomis susijusių ir nesusijusių operacinės ar saugumo rizikos incidentų klasifikavimo kriterijai ir pranešimų apie tokius incidentus teikimo Lietuvos bankui tvarka bei tokių pranešimų turiniui keliami reikalavimai. Taisyklės taip pat nustato pranešimų apie priimtus sprendimus atsisakyti atidaryti mokėjimo sąskaitą elektroninių pinigų įstaigai ar mokėjimo įstaigai, apriboti naudojimąsi tokia mokėjimo sąskaita arba ją uždaryti, pranešimų apie įtariamą mokėtojo sukčiavimą bei mokėjimo paslaugų teikėjo prieigos prie mokėjimo paslaugų vartotojo mokėjimo sąskaitos ribojimą teikimo Lietuvos bankui tvarką.

2.  Taisyklės (išskyrus 6 punktą ir IV skyrių) taikomos mokėjimo paslaugų teikėjams (MPT), kurie teikia mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą (MĮ). Taisyklių 6 punkto ir IV skyriaus nuostatos papildomai taikomos Lietuvos Respublikoje įsteigtiems bankams, užsienio valstybių, įskaitant Europos Sąjungos valstybių narių, bankų filialams ir centrinėms kredito unijoms (toliau – kredito įstaiga).

3.  Taisyklės parengtos atsižvelgiant į 2021 m. birželio 10 d. Europos bankininkystės institucijos peržiūrėtas gaires EBA/GL/2021/03 dėl pranešimų apie didelius incidentus pagal MPD2 ir MĮ.

4.  Pagrindinės sąvokos:

4.1su mokėjimo paslaugų teikimu nesusijęs operacinis ar saugumo rizikos incidentas (OSRI) – su mokėjimo paslaugų teikimu nesusijęs pavienis incidentas arba tarpusavyje susijusių incidentų, kurių kredito įstaiga neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį kredito įstaigos veiklos rezultatams dėl netinkamų ir nevykusių vidaus procesų, žmonių ir sistemų, arba dėl išorės faktų ar aplinkybių, grupė;

4.2su mokėjimo paslaugų teikimu susijęs operacinis ar saugumo rizikos incidentas (MOSRI) – pavienis incidentas arba tarpusavyje susijusių incidentų, kurių MPT neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį MPT su mokėjimais susijusių paslaugų vientisumui, prieinamumui, konfidencialumui ir (arba) autentiškumui, grupė;

4.3su mokėjimu susijusios paslaugos – MĮ 5 straipsnyje nurodytos mokėjimo paslaugos ir visos reikiamos pagalbinės techninės funkcijos, kad mokėjimo paslaugos būtų tinkamai teikiamos;

4.4kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos MĮ.

 

II SKYRIUS

TEIKIAMOS INFORMACIJOS TURINYS

 

5MPT Lietuvos bankui turi teikti:

5.1informaciją apie didelius MOSRI. Informacija apie MOSRI yra teikiama, kai 1 (vieno) ar daugiau kriterijų rodiklis pasiekia didesnio poveikio lygio ribą arba 3 (trijų) ar daugiau kriterijų rodikliai pasiekia mažesnio poveikio lygio ribą, kaip nurodyta Taisyklių priede. Centrinės kredito unijos MOSRI vertinimą atlieka ir informaciją Lietuvos bankui teikia visos konsoliduotos grupės mastu, nepriklausomai nuo to, ar MOSRI įvyko centrinėje kredito unijoje ar individualioje centrinei kredito unijai priklausančioje kredito unijoje;

5.2informaciją apie įtariamą mokėjimo paslaugų vartotojo sukčiavimą;

5.3informaciją apie sąskaitos informacijos paslaugos (SIP) teikėjo arba mokėjimo inicijavimo paslaugos (MIP) teikėjo prieigos prie mokėjimo sąskaitos ribojimą.

6Kredito įstaigos Lietuvos bankui papildomai turi teikti:

6.1informaciją apie įvykusius didelius OSRI, kurie nėra susiję su mokėjimo paslaugų teikimo sutrikimais. Informacija apie OSRI teikiama, kai pradedama veikti pagal veiklos tęstinumo krizės atveju planą arba nustatomas aukštas OSRI vidinės sklaidos lygis;

6.2pranešimą apie sprendimą atsisakyti atidaryti Lietuvos Respublikos mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte nurodytas ir kitas elektroninių pinigų įstaigų ar mokėjimo įstaigų mokėjimo sąskaitas, kurios skirtos elektroninių pinigų turėtojų ar mokėjimo paslaugų vartotojų mokėjimo operacijoms atlikti, taip pat apie sprendimą apriboti naudojimąsi tokiomis sąskaitomis ar jas uždaryti. Ši informacija Lietuvos bankui pateikiama ne vėliau kaip per 5 darbo dienas nuo atitinkamo sprendimo priėmimo dienos, užpildant REJECT formą, kartu pridedant visą papildomą informaciją, jeigu ji yra aktuali ir svarbi.

 

III SKYRIUS

DIDELIŲ MOSRI NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA

 

7MPT, vertindamas, kaip MOSRI paveikė su mokėjimu susijusių paslaugų vientisumą, prieinamumą, konfidencialumą ir (arba) autentiškumą, ir tai, ar apie jį turi būti pranešta Lietuvos bankui, turi įvertinti šiuos kriterijus:

7.1paveiktos operacijos. MPT paveiktomis operacijomis turi laikyti visas operacijas, kurioms MOSRI turėjo arba tikriausiai turės tiesioginį arba netiesioginį poveikį (operacijas, kurių nebuvo įmanoma inicijuoti, apdoroti, kurių mokėjimo paskirties turinys buvo pakeistas, kurias buvo pavesta atlikti apgaule, arba atvejus, kai dėl MOSRI užkertamas kelias ar kokiu nors kitu būdu trukdoma tinkamai vykdyti operacijas). Turi būti nustatyta bendra paveiktų mokėjimo operacijų vertė ir sutrikdytų mokėjimų procentinė dalis nuo mokėjimų, atliekamų teikiant tokias mokėjimo paslaugas, įprasto skaičiaus. Įprastu mokėjimo operacijų skaičiumi laikomas MPT vietinių ir tarptautinių tokių mokėjimo operacijų, kaip MOSRI paveiktos mokėjimo paslaugos, kasdienis metinis vidurkis, o apskaičiavimų atskaitos laikotarpiu laikomi praėję metai. Jeigu šis skaičius nelaikomas reprezentatyviu (pvz., dėl sezoniškumo), turi būti naudojamas kitas, reprezentatyvesnis rodiklis, o teikiant pranešimus Lietuvos bankui turi būti pagrindžiamas šio metodo naudojimas;

7.2paveikti mokėjimo paslaugų vartotojai. Turi būti nustatytas absoliutus paveiktų mokėjimo paslaugų vartotojų, t. y. vartotojų, kurie patyrė arba, tikėtina, patirs MOSRI padarinių, skaičius ir jų procentinė dalis, palyginti su bendru tų mokėjimo paslaugų vartotojų skaičiumi. Bendru mokėjimo paslaugų vartotojų skaičiumi laikomas visų vietinių ir tarptautinių mokėjimo paslaugų vartotojų, kurie MOSRI metu (arba naujausiais turimais duomenimis) turi sutartis su MPT ir turi teisę naudotis paveikta mokėjimo paslauga, skaičius, neatsižvelgiant į tai, ar jie laikomi aktyviais ar pasyviais mokėjimo paslaugų vartotojais. Kiekvienas MPT turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus. MPT, teikiantis veiklos paslaugas kitiems mokėjimo paslaugų teikėjams, turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus (jeigu jų yra), o veiklos paslaugas gaunantys MPT turi įvertinti MOSRI atsižvelgdami į savo pačių mokėjimo paslaugų vartotojus;

7.3paslaugos neveikimo laikas. Turi būti nustatytas laikotarpis, kai neveikia arba, tikėtina, neveiks bet kuri su mokėjimo paslaugų teikimu susijusi funkcija, procesas arba kanalas ir dėl to neįmanoma arba nebus įmanoma inicijuoti ir (arba) įvykdyti mokėjimo paslaugos, ir (arba) prisijungti prie mokėjimo sąskaitos. Paslaugos neveikimo laiką MPT turi skaičiuoti nuo mokėjimo paslaugos neveikimo pradžios ir, kai tai aktualu ir taikytina, turi atsižvelgti į savo darbo laiko intervalus, reikalingus mokėjimo paslaugoms įvykdyti, taip pat į nedarbo laiką ir techninės priežiūros laikotarpius. MPT, negalintis nustatyti paslaugos neveikimo pradžios momento, paslaugos neveikimo laiką turi pradėti skaičiuoti nuo neveikimo aptikimo momento;

7.4kiti galimai paveikti MPT arba susiję infrastruktūros objektai. Turi būti nustatyti sisteminiai MOSRI padariniai, t. y. tikimybė, kad šie padariniai bus jaučiami už pradinio paveikto MPT ribų kitiems MPT, finansų rinkos infrastruktūros objektams ir (arba) mokėjimo kortelių sistemoms. MPT turi įvertinti, ar MOSRI pasikartojo arba, tikėtina, pasikartos kitų MPT veikloje, ar jis turėjo arba, tikėtina, turės poveikį sklandžiam finansų rinkos infrastruktūros objektų veikimui ir ar jis pakenkė arba, tikėtina, pakenks patikimam visos finansų sistemos veikimui;

7.5poveikis reputacijai. Turi būti įvertinta, kaip MOSRI gali sumenkinti vartotojų pasitikėjimą pačiu MPT ir atitinkama paslauga arba visa mokėjimo paslaugų rinka. MPT turi atsižvelgti į esamą arba, tikėtina, būsimą MOSRI pastebimumą rinkoje ar sukeltą atgarsį visuomenėje ir todėl tikėtina, kad apie jį praneš arba jau pranešė žiniasklaida. Taip pat turi būti įvertinta, ar nebuvo arba, tikėtina, nebus įvykdyti įstatymų ir kitų teisės aktų reikalavimai, ar nebus vykdomi sutartiniai įsipareigojimai, dėl kurių gali būti pareikšti ieškiniai, ar panašių MOSRI jau yra buvę anksčiau;

7.6ekonominis poveikis. Turi būti įvertintos visos su MOSRI susijusios sąnaudos ir nuostoliai, kuriuos galima tiesiogiai susieti su incidentu, ir sąnaudos bei nuostoliai, kurie su incidentu susiję netiesiogiai. MPT, be kita ko, turi atsižvelgti į nusavintas lėšas ar turtą, techninės ar programinės įrangos pakeitimo išlaidas, kitas teismo ar žalos atitaisymo išlaidas, mokesčius, mokėtinus dėl sutartinių prievolių nesilaikymo, sankcijas, išorės įsipareigojimus ir prarastas pajamas. MPT turi atsižvelgti tik į tas netiesiogines sąnaudas ir nuostolius, kurie jau yra žinomi arba, tikėtina, atsiras;

7.7aukšto lygio vidinė sklaida. Turi būti įvertinta, ar apie MOSRI buvo arba, tikėtina, bus pranešta MPT vadovui arba kitam už operacinės ar saugumo rizikos incidentus atsakingam vadovaujančias pareigas einančiam darbuotojui ir ar dėl MOSRI poveikio yra arba bus pradėta veikti veiklos tęstinumo plane numatytu krizės režimu;

7.8tinklų ar informacinių sistemų saugumo pažeidimas. Turi būti įvertinta, ar dėl kokių nors kenkėjiškų veiksmų sumažėjo su mokėjimo paslaugų teikimu susijusio tinklo ar informacinių sistemų (įskaitant duomenis) prieinamumas, autentiškumas, vientisumas arba konfidencialumas.

8MPT per 24 valandas nuo MOSRI aptikimo momento turi įvertinti MOSRI ir, vadovaudamasis Taisyklių priedo lentelėje pateiktomis kriterijų vertinimo lygių ribomis, nustatyti jo poveikio lygį.

9.  Jeigu nėra faktinių duomenų, kuriais galima pagrįsti savo vertinimą, arba konkretus poveikio lygis yra arba, tikėtina, bus pasiektas iki didelio MOSRI išsprendimo dienos, MPT turi vadovautis apytikriais vertinimais.

10.   MPT MOSRI aktualumo laikotarpiu Taisyklių 7 punkte aprašytą vertinimą turi atlikti nuolat, kad nustatytų galimą būklės pokytį blogėjimo (nuo nedidelio iki didelio MOSRI) arba gerėjimo (nuo didelio iki nedidelio MOSRI) linkme.

11.   Nustatęs didelį MOSRI, MPT teikia Lietuvos bankui OPRISK-MOSRI formoje nustatytą informaciją, užpildydamas visus formoje esančius laukus.

12.   MPT turi teikti informaciją Lietuvos bankui visą didelio MOSRI trukmės laikotarpį, pateikdamas OPRISK-MOSRI formos bendrąją dalį ir pirminio (A), tarpinio (B) ir galutinio pranešimo (C) dalis.

13.   MPT turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK-MOSRI formos pridėdamas vieną ar keletą priedų su papildomais dokumentais.

14.   Pirminio pranešimo apie didelį MOSRI teikimas:

14.1pirminis pranešimas turi būti pateiktas ne vėliau kaip per 4 valandas nuo MOSRI  pripažinimo dideliu momento Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRI terminas pasibaigia ne Lietuvos banko darbo valandomis;

14.2Lietuvos bankas pirminiam pranešimui suteikia unikalų kodą, kuris skirtas MOSRI identifikuoti, jį MPT turės nurodyti teikdamas visus paskesnius su tuo pačiu MOSRI susijusius pranešimus;

14.3pirminis pranešimas turi būti teikiamas ir tada, kai anksčiau aptiktas nedidelis MOSRI tampa dideliu. Šiuo atveju MPT, nustatęs pakitusią būklę, turi Lietuvos bankui pateikti pirminį pranešimą per 4 valandas Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRI terminas pasibaigia ne Lietuvos banko darbo valandomis;

14.4į pirminį pranešimą turi būti įtraukta preliminari informacija, apibūdinanti pagrindines MOSRI savybes ir tikėtinus jo padarinius, grindžiamus informacija, kuri tapo prieinama iš karto po to, kai MOSRI buvo aptiktas arba perklasifikuotas. Kai faktinių duomenų nėra, MPT turi remtis apytikriais vertinimais. Taip pat pirminiame pranešime MPT turi paaiškinti priežastis, jeigu MOSRI poveikio lygiui nustatyti prireikė daugiau nei 24 valandų.

15.   Tarpinio pranešimo teikimas:

15.1pirmasis tarpinis pranešimas turi būti pateiktas, kai yra atnaujinta įprasta veikla ir sugrįžtama prie įprastos verslo eigos, pateikiant išsamesnę informaciją apie MOSRI ir jo padarinius. MPT grįžimu prie įprastos verslo eigos turi laikyti momentą, kai veikla ir (arba) operacijos atkuriamos iki tokio paties paslaugų ir (arba) sąlygų lygio, kokį MPT yra apibrėžęs arba koks yra nustatytas sutartiniuose įsipareigojimuose, t. y. iki atitinkamo apdorojimo laiko, pajėgumo, saugumo reikalavimų ir kt., o nenumatytų atvejų priemonės nebetaikomos;

15.2jeigu įprastos veiklos nepavyksta atnaujinti, MPT tarpinį pranešimą turi pateikti per tris darbo dienas nuo pradinio pranešimo pateikimo Lietuvos bankui dienos ir trijų darbo dienų periodiškumu teikti tarpinius pranešimus tol, kol bus sugrįžta prie įprastos veiklos;

15.3papildomas tarpinis pranešimas turi būti teikiamas Lietuvos banko prašymu;

15.4kaip ir pirminio pranešimo atveju, kai faktinių duomenų nėra, MPT turi atlikti apytikrius vertinimus;

15.5jeigu nuo MOSRI pripažinimo dideliu momento nepraėjus 4 valandoms sugrįžtama prie įprastos verslo eigos, MPT turi per 4 valandas vienu metu pateikti ir pirminį, ir tarpinį pranešimą.

16.   Galutinio pranešimo teikimas:

16.1galutinis pranešimas turi būti pateiktas, kai atliekama pagrindinių MOSRI priežasčių analizė (neatsižvelgiant į tai, ar poveikio mažinimo priemonės jau įgyvendintos ir ar nustatyta galutinė pagrindinė priežastis) ir turima faktinių duomenų, kuriais būtų galima pakeisti visus apytikrius vertinimus;

16.2galutinis pranešimas turi būti pateiktas ne vėliau kaip per 20 darbo dienų nuo grįžimo prie įprastos verslo eigos dienos. MPT, kuriam reikia, kad šis terminas būtų pratęstas (pvz., jeigu dar nėra faktinių duomenų apie poveikį), iki termino pabaigos turi Lietuvos bankui pateikti vėlavimo pagrindimą ir nurodyti naują planuojamą galutinio pranešimo datą;

16.3MPT, galintis visą galutiniam pranešimui reikalingą informaciją pateikti per 4 valandas nuo MOSRI pripažinimo dideliu momento, turi pirminiame pranešime pateikti informaciją, susijusią su pirminiu, tarpiniu ir galutiniu pranešimais;

16.4į galutinį pranešimą turi būti įtraukta visa turima informacija, t. y. faktiniai duomenys, o ne apytikriai poveikio vertinimai, atnaujinta pirminio ir tarpinio pranešimų informacija ir galutinis pranešimas, kuriame nurodoma MOSRI pagrindinė priežastis, jeigu jau žinoma, ir apibendrinamos priemonės, kurių buvo imtasi arba bus imtasi problemai pašalinti ir užtikrinti, kad ji nepasikartotų ateityje;

16.5galutinis pranešimas turi būti teikiamas ir tada, kai nustatoma, kad MOSRI, apie kurį jau pranešta, nebeatitinka kriterijų, pagal kuriuos jis būtų laikomas dideliu MOSRI, ir tikimasi, kad tų kriterijų nebeatitiks. Kai tik nustatoma ši aplinkybė, MPT turi pateikti OPRISK-MOSRI formos bendrąją dalį, kurioje pažymėtas incidento statuso pakeitimas ir C dalį, kurioje paaiškinta šio statuso sumažinimo priežastis.

 

IV SKYRIUS

DIDELIŲ OSRI NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA

 

17.   Kredito įstaiga vertinamąjį OSRI turi laikyti dideliu šiais atvejais:

17.1kai dėl OSRI poveikio yra arba bus pradėta veikti pagal veiklos tęstinumo krizės atveju planą;

17.2nustačiusi aukštą OSRI vidinės sklaidos lygį, t. y. kai apie OSRI buvo arba, tikėtina, bus pranešta kredito įstaigos vadovui.

18.   Nustačiusi didelį OSRI, kredito įstaiga teikia Lietuvos bankui OPRISK-OSRI formoje nustatytą informaciją.

19.   Kredito įstaiga turi teikti informaciją Lietuvos bankui visą OSRI trukmės laikotarpį, pateikdama OPRISK-OSRI formos bendrąją dalį ir pirminio (A), tarpinio (B) ir galutinio pranešimo (C) dalis.

20.   Kredito įstaiga turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK-OSRI formos pridėdama vieną ar keletą priedų su papildomais dokumentais.

21.   Kredito įstaiga 19 punkte nurodytą informaciją teikia Taisyklių 14–16 punktuose nustatyta tvarka.

 

V SKYRIUS

DELEGUOTŲJŲ IR KONSOLIDUOTŲJŲ PRANEŠIMŲ TEIKIMAS

 

22.     MPT, pageidaujantis deleguoti įpareigojimus teikti pranešimus apie MOSRI trečiajai šaliai, turi užtikrinti, kad būtų įvykdytos šios sąlygos:

22.1.  MPT ir trečiosios šalies oficialia sutartimi arba MPT ir įmonės, priklausančios tai pačiai grupei kaip ir MPT, susitarimu grupės viduje turi būti apibrėžtas visų sutarties šalių pareigų pasiskirstymas, aiškiai nurodant, kad, nepaisant to, kad įpareigojimai teikti pranešimus deleguoti, paveiktas MPT lieka visiškai atsakingas už pranešimų apie incidentą turinį;

22.2.  įpareigojimų teikti pranešimus delegavimas laikomas svarbių veiklos funkcijų perdavimu trečiajai šaliai, todėl turi būti laikomasi teisės aktų reikalavimų, taikomų perduodant tokią veiklą;

22.3.  tinkamai užtikrinamas neskelbtinų duomenų konfidencialumas ir Lietuvos bankui teikiamos informacijos kokybė, nuoseklumas, vientisumas ir patikimumas.

23.     MPT, pageidaujantys leisti trečiajai šaliai konsoliduotai vykdyti įpareigojimus teikti pranešimus ( teikti vieną pranešimą, kuriame nurodomi keli to paties didelio incidento paveikti MPT), privalo informuoti Lietuvos banką, užpildyti OPRISK-MOSRI formos „Paveikti mokėjimo paslaugų teikėjai“ dalį ir užtikrinti, kad būtų patenkintos šios sąlygos:

23.1.  įtraukti nuostatą dėl konsoliduoto pranešimų teikimo vykdymo į sutartį dėl deleguotųjų pranešimų teikimo;

23.2.  teikti konsoliduotuosius pranešimus tik tada, jeigu incidentas kilo dėl trečiosios šalies teikiamų paslaugų sutrikimo;

23.3.  įpareigojimus teikti konsoliduotuosius pranešimus taikyti tik Lietuvos Respublikoje įsteigtiems MPT;

23.4.  užtikrinti, kad trečioji šalis įvertintų incidento svarbumą kiekvienam paveiktam MPT ir kad į konsoliduotąjį pranešimą būtų įtraukti tik tie MPT, kurių MOSRI klasifikuojamas kaip didelis, o esant abejonių, MPT būtų įtrauktas į konsoliduotąjį pranešimą, kol nėra įrodymų, kad jis ten neturi būti įtrauktas;

23.5.  užtikrinti, kad esant situacijai, kai OPRISK-MOSRI formos laukeliuose negalima pateikti bendro atsakymo, trečioji šalis arba užpildys formą kiekvieno paveikto MPT vardu, arba naudos intervalus, rodančius mažiausias ir aukščiausias vertes, nustatytas ar apytikriai įvertintas skirtingų MPT atžvilgiu;

23.6.  MPT turi užtikrinti, kad trečioji šalis visą incidento aktualumo laiką jam teiks informaciją apie visus aktualius incidento aspektus ir apie visą galimą trečiosios šalies bendravimą su Lietuvos banku, šio bendravimo turinį tiek, kiek tai nepažeidžia su kitais MPT susijusios informacijos konfidencialumo;

23.7.  Užtikrinti, kad Lietuvos bankui bus pateiktas visų mokėjimo paslaugų teikėjų, kuriuos paveikė MOSRI, sąrašas.

24.     MPT, pageidaujantys atšaukti įpareigojimus teikti savo pranešimus, apie šį sprendimą turi pranešti Lietuvos bankui ne vėliau kaip prieš 5 darbo dienas. MPT turi informuoti Lietuvos banką apie visus svarbius įvykius, turinčius poveikį paskirtajai trečiajai šaliai ir jos gebėjimui vykdyti įpareigojimus teikti pranešimus.

25.     MPT turi įvykdyti įpareigojimus teikti savo pranešimus nesinaudodami trečiosios šalies pagalba, jeigu paskirtoji trečioji šalis neinformuotų Lietuvos banko apie incidentą taip, kaip reikalaujama Taisyklėse. MPT turi užtikrinti, kad apie incidentą nebūtų pranešama du kartus – paties MPT ir trečiosios šalies.

26.     MPT turi užtikrinti, kad tuo atveju, kai incidentą sukėlė techninių paslaugų teikėjo teikiamų paslaugų (ar infrastruktūros) sutrikimas, darantis poveikį daugeliui MPT, deleguojamas pranešimų teikimas būtų susijęs su individualiais MPT duomenimis (išskyrus konsoliduotuosius pranešimus).

 

VI SKYRIUS

KITA MPT TEIKIAMA INFORMACIJA

 

27.   MPT, turėdamas pagrįstų priežasčių įtarti mokėtojo sukčiavimą, nedelsdamas, bet ne vėliau kaip per MĮ 38 straipsnio 1 dalyje nustatytą terminą, per kurį mokėtojui turi sugrąžinti neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as) ir, kai taikytina, atkurti mokėjimo sąskaitos, iš kurios ta (-os) suma (-os) nurašyta (-os), likutį, apie tokį atsisakymą grąžinti mokėjimo operacijos (-ų) sumą (-as) praneša mokėtojui sutartu būdu ir Lietuvos bankui, pildydamas FRAUD formą.

28.   Kaip nustatyta Taisyklių 27 punkte, MPT gali pateikti Lietuvos bankui vieną bendrą pranešimą apie negrąžinamas kelių neautorizuotų mokėjimo operacijų sumas, jeigu tenkinamos visos šios sąlygos:

28.1. mokėtojas ir šių mokėjimo operacijų sumų gavėjas sutampa;

28.2. apie neautorizuotas mokėjimo operacijas MPT sužino arba jam pranešama tą pačią dieną arba padieniui;

28.3. pranešus apie šias operacijas bendru pranešimu, nebus pažeistas Taisyklių 27 punkte nurodytas terminas (vertinant atskirai pagal kiekvieną mokėjimo operaciją, apie kurią pranešama).

29.   MPT, nesuteikęs prieigos prie mokėjimo sąskaitos (-ų) MIP teikėjui arba SIP teikėjui, vadovaudamasis MĮ 33 straipsnio 5 ir 7 dalyse nustatyta tvarka ir sąlygomis, informaciją apie atsisakymą suteikti prieigą prie mokėtojo sąskaitos (-ų) atitinkamai pateikia mokėtojui jų sutartu būdu ir Lietuvos bankui, užpildydamas BLOCK formą.

30.   MPT panaikina MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimą, kai nebelieka priežasčių nesuteikti tokios prieigos, ir apie tai nedelsdamas praneša Lietuvos bankui. Jei MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimas nepanaikinamas per 10 darbo dienų nuo jo pritaikymo dienos, MPT ne vėliau kaip kitą darbo dieną papildomai informuoja Lietuvos banką apie detalesnes prieigos ribojimo aplinkybes (pvz., naujai paaiškėjusias aplinkybes, tolesnio prieigos ribojimo priežastis, veiksmus, kuriuos turi atlikti MIP teikėjas, SIP teikėjas arba mokėtojas, kad prieigos ribojimas būtų panaikintas, pradėtus ikiteisminio tyrimo procesus ir pan.).

31.     Taisyklių 27 ir 29 punktuose nurodytų pranešimų pateikimas Lietuvos bankui nepanaikina MPT pareigos, esant pagrįstų įtarimų dėl nusikalstamų ir (arba) kitų neteisėtų mokėjimo paslaugų vartotojo, MIP teikėjo ar SIP teikėjo veiksmų, apie tokius įtarimus teisės aktų nustatyta tvarka pranešti kompetentingoms teisėsaugos institucijoms.

32.     MPT, siekdamas visapusiškai ištirti Taisyklių 27 punkte nurodytas aplinkybes, dėl kurių MPT atsisakė grąžinti neautorizuotos mokėjimo operacijos (-ų) sumą (-as), ir kitą su tokiomis aplinkybėmis susijusią informaciją, atlieka vidinį tyrimą. Vidinis tyrimas turi būti pradėtas ir užbaigtas ne vėliau kaip per 15 darbo dienų nuo Taisyklių 27 punkte nurodytų aplinkybių paaiškėjimo dienos. Apie vidinio tyrimo rezultatus ir MPT veiksmus atlikus tyrimą MPT nedelsdamas informuoja mokėtoją ir Lietuvos banką.

33.     Kai dėl priežasčių, kurių MPT negali kontroliuoti, vidinio tyrimo užbaigti per Taisyklių 32 punkte nurodytą terminą neįmanoma, MPT informuoja mokėtoją, nurodydamas terminą, per kurį tyrimas bus užbaigtas, ir tyrimo termino pratęsimo priežastis, išskyrus atvejus, kai tokių priežasčių atskleidimas susilpnintų saugumo priemones arba pagal teisės aktus būtų draudžiamas. Apie vidinio tyrimo termino pratęsimą MPT taip pat praneša Lietuvos bankui. Vidinio tyrimo užbaigimo terminas niekada neturi viršyti 35 darbo dienų, o kai mokėjimo operacijos, dėl kurių atliekamas vidinis tyrimas, buvo atliktos naudojant mokėjimo kortelę, – 120 dienų, skaičiuojant nuo Taisyklių 27 punkte nurodytų aplinkybių paaiškėjimo dienos, tačiau tik tada, jeigu vidiniam tyrimui atlikti būtinas tarptautinės mokėjimo kortelių asociacijos dalyvavimas ir dėl nuo tokios asociacijos priklausančių aplinkybių vidinio tyrimo neįmanoma užbaigti anksčiau.

34.     Jeigu MPT, vadovaudamasis Taisyklių 31 punktu, kreipiasi į teisėsaugos institucijas, kurios teisės aktų nustatyta tvarka pradeda ikiteisminį tyrimą, Taisyklių 32 ir 33 punktuose nurodyti vidinio tyrimo terminai sustabdomi.

35.     Vidinio tyrimo metu paaiškėjus, kad MPT įtarimai dėl mokėtojo sukčiavimo nepasitvirtino arba pagrindas stabdyti mokėjimo operacijos (-ų) sumos (-ų) grąžinimą išnyksta dėl kitų priežasčių (pvz., teisėsaugos institucijos nustato, kad mokėtojo veiksmai neturi sukčiavimo požymių), MPT nedelsdamas grąžina mokėtojui neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as), kurios (-ių) grąžinimas buvo sustabdytas MĮ 38 straipsnio 1 dalyje nurodytais pagrindais.

 

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

36.     Už informacijos pateikimą Lietuvos bankui Taisyklėse nustatytu laiku ir tvarka atsakingas MPT arba kredito įstaigos administracijos vadovas.

37.     MPT arba kredito įstaigos administracijos vadovas turi užtikrinti, kad MPT arba kredito įstaigos vidaus taisyklėse būtų aiškiai apibrėžtos visos pareigos pranešti apie MOSRI ir OSRI ir būtų įgyvendinti procesai Taisyklėse nustatytiems informacijos teikimo reikalavimams vykdyti.

38.     MPT arba kredito įstaiga Taisyklėse nurodytus dokumentus Lietuvos bankui teikia per Lietuvos banko internetinę sistemą (Pranešimų teikimo modulį).

______________________

 

part_3e78b6328d494137981882be97e66c1a_end


Pranešimų apie operacinės ar saugumo rizikos

incidentus teikimo Lietuvos bankui taisyklių

priedas

 

 

 

Didelis MOSRI

Poveikio lygis

Mažesnis poveikio lygis

Didesnis poveikio lygis

Kriterijų skaičius

3 ir >

1 ir >

Kriterijai

 

 

1. Paveiktos operacijos

> 10 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių)

ir

MOSRI trukmė > 1 valanda[1]

arba

> 500 000 Eur

ir

MOSRI trukmė > 1 valanda

> 25 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių)

 

 

 

arba

> 15 mln. Eur

2. Paveikti mokėjimo paslaugų vartotojai

> 5 000

ir

MOSRI trukmė > 1 valanda

arba

> 10 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų

ir

MOSRI trukmė > 1 valanda

> 50 000

 

 

 

arba

> 25 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų

3. Paslaugos neveikimo laikas

> 2 valandos

Netaikoma

4. Kiti galbūt paveikti mokėjimo paslaugų teikėjai arba susiję infrastruktūros objektai

Taip

Netaikoma

5. Poveikis reputacijai

Taip

Netaikoma

6. Ekonominis poveikis

Netaikoma

> Maks. (0,1 % 1 lygio kapitalo[2], 200 000 Eur)

arba

> 5 mln. Eur

7. Aukšto lygio vidinė sklaida

Taip

Taip, ir tikriausiai bus pradėta dirbti kriziniu (arba lygiaverčiu) režimu

8. Tinklų ir informacinių sistemų saugumo pažeidimas

Taip

Netaikoma

 

part_a3b3ec5a322d431da179d5bbe93e3361_end


REJECT forma patvirtinta

Lietuvos banko valdybos

2019 m. sausio 21 d.

nutarimu Nr. 03-10

(Lietuvos banko valdybos

2021 m. gruodžio 21 d.

nutarimo Nr. 03-215 redakcija)

______________________________________________________

(kredito įstaigos pavadinimas)

 

______________________________________________________

(kodas, adresas, tel., el. paštas)

 

PRANEŠIMAS APIE SPRENDIMĄ ATSISAKYTI ATIDARYTI MOKĖJIMO SĄSKAITĄ, APRIBOTI NADOJIMĄSI JA AR JĄ UŽDARYTI

 

__________________

(data)

 

1.

Mokėjimo arba elektroninių pinigų įstaigos (MPT) pavadinimas

 

2.

Valstybės kodas

3.

Sprendimo priėmimo data

 

4.

Sąskaitos tipas

4.1.

Atskiroji (klientų lėšų) sąskaita

TAIP / NE

4.2.

Mokėjimo sąskaita, skirta mokėjimo operacijoms atlikti elektroninių pinigų ir (arba) mokėjimo paslaugų vartotojų vardu

TAIP / NE

5.

Jei sąskaita uždaroma ar apribojamas naudojimasis ja

5.1.

Kada buvo pranešta MPT apie priimtą sprendimą

YYYY.MM.DD

5.2.

Koks įspėjimo laikotarpis buvo suteiktas prieš priimant sprendimą

 

6.

Jei atsisakoma atidaryti sąskaitą, suteikti prieigą prie sąskaitos

6.1.

Ar sprendimas atsisakyti atidaryti sąskaitą ar suteikti prieigą prie sąskaitos buvo perduotas MPT

TAIP / NE

6.2.

Jei taip, nurodykite, kada buvo pranešta apie sprendimą

YYYY.MM.DD

6.3.

Jei ne, nurodykite, kodėl nebuvo pranešta

 

7.

Trumpas sprendimo (uždaryti sąskaitą / apriboti naudojimąsi ja arba atsisakymo atidaryti sąskaitą / suteikti prieigą) priežasčių aprašymas

 

8.

Trumpas proceso (pvz.: asmuo (-enys), atsakingas (-i) už sprendimų priėmimą, visi taikomi terminai ir procedūros, kurių buvo imtasi svarstant sprendimą) aprašymas

 

9.

Ar sprendimo motyvai buvo pranešti MPT

TAIP / NE

10.

Ar MPT buvo suteikta galimybė reaguoti į kredito įstaigos sprendimą, pašalinti veiklos trūkumus, prieš kredito įstaigai priimant sprendimą

TAIP / NE

11.

Jei ne, nurodykite, kodėl tokia galimybė nebuvo suteikta

 

 

part_ded40642fca2485987b76ab176ce3cf5_end


FRAUD forma patvirtinta

Lietuvos banko valdybos

2019 m. sausio 21 d.

nutarimu Nr. 03-10

(Lietuvos banko valdybos

2021 m. gruodžio 21 d.

nutarimo Nr. 03-215 redakcija)

 

 

PRANEŠIMAS APIE ĮTARIAMĄ MOKĖTOJO SUKČIAVIMĄ

 

Įtaręs sukčiavimą mokėjimo paslaugų teikėjas

 

1.  Pavadinimas

 

4. Kontaktinio asmens el. paštas

 

2.  Adresas

 

5. Kontaktinio asmens telefonas

 

3.  Kontaktinis asmuo

 

 

 

Įtariamo sukčiavimo aprašymas

 

6. Informacija apie mokėtoją

Fizinis asmuo

Juridinis asmuo

Vardas

 

Pavadinimas

 

Pavardė

 

Juridinio asmens kodas

 

7. Informacija apie mokėjimo operaciją

Mokėjimo sąskaitos numeris

 

Mokėjimo operacijos data

 

Mokėjimo operacijos suma

 

Mokėjimo operacijos valiuta

 

Pranešimo apie neautorizuotą mokėjimo operaciją gavimo data

 

Mokėtojo informavimo apie atsisakymą grąžinti neautorizuotos mokėjimo operacijos sumą data

 

Gavėjo sąskaitos numeris

 

8. Trumpas įtariamo sukčiavimo ir aplinkybių, leidžiančių įtarti mokėtojo sukčiavimą, apibūdinimas

(Trumpai aprašykite įtariamą mokėtojo sukčiavimą ir nurodykite aplinkybes, kurios leidžia įtarti mokėjimo paslaugų vartotojo sukčiavimą)

9. Papildoma informacija

(Nurodykite kitą, Jūsų vertinimu, reikšmingą informaciją)

 

 

part_6d559e5813474187bfc9782705659c61_end


BLOCK forma patvirtinta

Lietuvos banko valdybos

2019 m. sausio 21 d.

nutarimu Nr. 03-10

(Lietuvos banko valdybos

2021 m. gruodžio 21 d.

nutarimo Nr. 03-215 redakcija)

 

PRANEŠIMAS APIE SĄSKAITOS INFORMACIJOS PASLAUGOS (SIP) TEIKĖJO ARBA MOKĖJIMO INICIJAVIMO PASLAUGOS (MIP) TEIKĖJO PRIEIGOS PRIE MOKĖJIMO SĄSKAITOS RIBOJIMĄ

 

Sąskaitą tvarkančio mokėjimo paslaugų teikėjo informacija

 

1.  Pavadinimas

 

4.   Kontaktinio asmens el. paštas

 

2.  Adresas

 

5.   Kontaktinio asmens telefonas

 

3.  Kontaktinis asmuo

 

 

 

Mokėjimo paslaugų teikėjo prieigos prie mokėjimo sąskaitos ribojimo aprašymas

 

6.  Informacija apie mokėjimo paslaugų teikėją, kuriam ribojama prieiga prie mokėjimo sąskaitos (-ų)

Sąskaitos informacijos paslaugos (SIP) teikėjas

Mokėjimo inicijavimo paslaugos (MIP) teikėjas

 

 

Mokėjimo paslaugos teikėjo pavadinimas

 

 

 

Juridinio asmens kodas

 

 

7.  Informacija apie mokėjimo paslaugos vartotoją

Fizinis asmuo

Juridinis asmuo

 

Vardas

 

Pavadinimas

 

Pavardė

 

Juridinio asmens kodas

 

8.  Informacija apie apribotą prieigą prie mokėjimo sąskaitos (-ų)

Mokėjimo paslaugos vartotojo sąskaitos numeris (-ai)

 

 

Apribotos prieigos data

 

 

Mokėjimo operacijos (-ų), kuri (-ios) buvo neįvykdyta (-os) dėl apribotos prieigos, suma ir valiuta (nepildoma, jei buvo inicijuota sąskaitos informacijos paslauga)

 

 

9.    Mokėjimo paslaugų teikėjo prieigos prie mokėjimo sąskaitos (-ų) ribojimo priežastis

Neautorizuota mokėjimo paslaugos teikėjo prieiga

Nesąžininga mokėjimo paslaugos teikėjo prieiga

 

 

Neautorizuotas mokėjimo operacijos inicijavimas

Nesąžiningas mokėjimo operacijos inicijavimas

 

 

Kita (trumpai aprašykite)

 

 

 

10. Aplinkybių, leidžiančių įtarti mokėjimo paslaugų teikėjo neautorizuotą ar nesąžiningą prieigą prie mokėjimo sąskaitos (-ų), įskaitant neautorizuotą ar nesąžiningą mokėjimo operacijos (-ų) inicijavimą, sukčiavimą, apibūdinimas.

 

 

 

 

 

 

Priedų pakeitimai:

 

Forma OPRISK-MOSRI

 

Forma OPRISK-OSRI

 

 

 

Pakeitimai:

 

1.

Lietuvos bankas, Nutarimas

Nr. 03-215, 2021-12-21, paskelbta TAR 2021-12-27, i. k. 2021-27171

Dėl Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimo Nr. 03-10 „Dėl Pranešimų apie operacinės ar saugumo rizikos įvykius teikimo Lietuvos bankui taisyklių ir informacijos teikimo formų patvirtinimo“ pakeitimo

 

 

part_e623b1fd7ceb478daf2bdc9c164fcd26_end



[1] Taisyklių priede ribinė vertė, susijusi su incidento trukme, viršijančia vieną valandą, taikoma tik operaciniams incidentams, darantiems poveikį MPT gebėjimui inicijuoti ir (arba) apdoroti sandorius.

[2] 1 lygio kapitalas, kaip apibrėžta 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 575/2013 dėl prudencinių reikalavimų kredito įstaigoms ir investicinėms įmonėms ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012, 25 straipsnyje.