În atenția clienților băncilor din România: legislația se va schimba din 2025. Ce presupune noul proiect

Legislația bancară se va schimba din ianuarie 2025. Ministerul Finanțelor anunță că pregătește o regulă prin care platformele informatice ale băncilor și instituțiilor de creditare vor fi criteriu de avizare pentru funcționare. Banca Națională a României va avea acces, la cerere, la orice informație legată de platformele de tehnologie a informației folosite de bănci, potrivit profit.ro.

În baza noului proiect, băncile vor avea obligația să ofere informații detaliate clienților despre sistemele informatice pe care le folosesc și despre măsurile de securitate aplicate pentru protecția acestor date.

Te-ar putea interesa și: ROBOR 29 iulie. BNR dă vestea cea proastă pentru românii cu rate la bancă

foto: Anunț pentru clienții băncilor din România

În atenția clienților băncilor din România: Ce presupune proiectul

Proiectul de lege ar urma să fie aplicabil de pe 17 ianuarie 2025 și pune în aplicare o directivă europeană. Proiectul de lege a fost avizat de Banca Națională a României (BNR) și Autoritatea de Supraveghere Financiară (ASF) și va merge în Parlament pentru adoptare. O parte din noile prevederi se aplică și instituțiilor de plată și emitenților de monedă electronică.

Modificările practice Regulamentul 2022/2554 prevede explicit că entitățile financiare trebuie să informeze clienții fără întârzieri nejustificate în cazul unor incidente majore legate de sistemele informatice și în privința măsurilor pe care le iau pentru atenuarea efectelor. Aceste prevederi se aplică inclusiv incidentelor operaționale sau de securitate legate de plăți. Noul proiect va impune băncilor:

• Conceperea cadrului de administrare a activității instituțiilor de credit pentru a răspunde inclusiv cerințelor privind sistemele informatice. Aceste sisteme informatice trebuie să fie instituite și gestionate în conformitate cu Regulamentul (UE) nr. 2022/2554;
• Includerea, în mod explicit, a riscurilor evidențiate de testarea rezilienței operaționale digitale în procesul de supraveghere și evaluare realizat de BNR, în calitate de autoritate competentă cu supravegherea prudențială a instituțiilor de credit;
• Furnizarea de informații, la solicitarea BNR, de către furnizorii terți de servicii privind TIC, către care instituțiile de credit au externalizat anumite activități

În cazul în care băncile vor fi sancționate administrativ pentru incidente sau lacune în sistemele informatice, BNR va publica aceste sancțiuni pe site-ul său. Potrivit noului Regulament, băncile și alte instituții financiare, inclusiv de plată, trebuie să administreze riscurile informatice și să aibă un plan și o structură clară în acest sens. Sănătatea sistemelor informatice și a procedurilor de gestionare a riscurilor trebuie testată periodic, inclusiv cu teste de penetrare.

Schimbările legislative

„Rețelele și sistemele informatice să fie incluse în cadrul operațional general de funcționare al instituțiilor de credit”

, se precizează în proiectul legislativ. Până acum, potrivit expunerii de motive, riscurile informatice erau abordate implicit în riscul operațional, dar acum sunt menționate explicit. Banca Națională a României va fi instituția competentă pentru verificarea cadrului de administrare a riscurilor informatice.

BNR va putea solicita informații și terților către care băncile au externalizat unele activități IT&C. Această gestionare a rețelelor și sistemelor informatice ar urma să se facă conform noului Regulament (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar (DORA – Digital Operational Resilience Act), care intră în vigoare din 17 ianuarie 2025.

Breșele de securitate sunt necunoscute publicului Până în acest moment, băncile nu sunt obligate să anunțe eventuale incidente de securitate sau erori informatice care vizează datele bancare. Astfel de evenimente sunt cunoscute de clienți doar după investigații ale unor autorități publice. Ultimul caz a avut loc în 2020. Atunci, BNR a impus o sancțiune legată de sistemele informatice pentru Libra Bank.

Și Autoritatea Națională pentru Protecția Consumatorului a amendat, în 2018, ING Bank pentru că a dublat tranzacțiile a peste 225.000 de clienți ca urmare a unei „erori operaționale”. Prima sancțiune impusă de BNR a fost în 2016. Banca Carpatica a fost amendată pentru incidente de securitate IT (Carpatica, 2016).

„Prezentul proiect de lege va conduce la creșterea gradului de reziliență a instituțiilor de credit, instituțiilor de plată și instituțiilor emitente de monedă electronică.

Acestea vor fi obligate să se asigure că pot rezista, răspunde și se pot redresa în urma tuturor tipurilor de perturbări și amenințări legate de TIC.

Prin crearea cadrului necesar pentru o mai bună administrare a riscului TIC, atât în condiții de continuitate a activității, cât și în eventualitatea unor situații de criză se asigură furnizarea serviciilor financiare și de plată de către instituțiile de credit, instituțiile de plată și instituțiile emitente de monedă electronică în orice circumstanțe sporind astfel încrederea pieței, a deponenților și a utilizatorilor de servicii de plată, respectiv contribuind la asigurarea stabilității financiare și a integrității sistemului financiar”, potrivit reprezentanților Ministerului de Finanțe.

Te-ar putea interesa și: BNR a verificat băncile din țară. S-au găsit multe nereguli în București