Având în vedere prevederile art. 2 alin. (2) lit. b) și ale art. 22 alin. (1) și (2) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, ale art. 404, 407 și art. 408 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 13 alin. (4) din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăți și în sistemele de decontare a operațiunilor cu instrumente financiare, cu modificările și completările ulterioare, ale art. 187 alin. (2) din Legea nr. 126/2018 privind piețele de instrumente financiare, cu modificările și completările ulterioare, ale art. 223 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, precum și ale art. 66 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, în temeiul art. 48 alin. (2) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, al art. 405 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, al art. 243 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, precum și al art. 116 alin. (1) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică,Banca Națională a României emite prezentul regulament. +
Articolul IRegulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La articolul 1 alineatul (1), litera b) se modifică și va avea următorul cuprins:b)monitorizarea participanților la aceste infrastructuri și a prestatorilor de servicii de plată care emit, pun în circulație și/sau acceptă instrumente de plată pe teritoriul României; … … 2.La articolul 1 alineatul (1), litera c) se modifică și va avea următorul cuprins:c)punerea în circulație, emiterea, acceptarea și monitorizarea instrumentelor de plată. … … 3.La articolul 1 alineatul (2), litera c) se modifică și va avea următorul cuprins:c)prestatorilor de servicii de plată care emit, pun în circulație și/sau acceptă instrumente de plată pe teritoriul României. … … 4.La articolul 2, punctul 40 se modifică și va avea următorul cuprins:40.instrument de plată – un dispozitiv fizic sau virtual sau un set de proceduri care permite transferul de fonduri de la plătitor la beneficiar. Acestea includ instrumentele de plată electronică, pe suport hârtie și virtuale; … … 5.La articolul 2, punctul 47 se modifică și va avea următorul cuprins:47.monedă electronică – are semnificația prevăzută la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică; … … 6.La articolul 2, punctul 48 se modifică și va avea următorul cuprins:48.monitorizare – funcție a băncii centrale prin care se urmărește promovarea funcționării sigure și eficiente a infrastructurilor pieței financiare și a instrumentelor de plată, pentru evitarea riscului sistemic, constând în: (i) obținerea de informații cu privire la arhitectura și funcționarea infrastructurilor pieței financiare prezente sau planificate, emiterea, acceptarea și utilizarea instrumentelor de plată, (ii) evaluarea informațiilor obținute și (iii) inducerea de schimbări ori dispunerea unor măsuri și/sau sancțiuni; … … 7.La articolul 2, punctul 75 se modifică și va avea următorul cuprins:75.risc semnificativ – califică un risc, o dependență și/sau o modificare ce poate afecta capacitatea unei entități de a funcționa sau de a furniza servicii conform așteptărilor; … … 8.La articolul 119, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins:(3)Liniile de comunicație de la sediul secundar trebuie să nu depindă de aceiași furnizori de servicii sau de puncte comune cu liniile de comunicație de la sediul principal, cum ar fi noduri de comunicație sau centre de date regionale. … 9.Articolul 121 se modifică și va avea următorul cuprins: +
Articolul 121Prestatorii de servicii de plată care emit, pun în circulație și/sau acceptă instrumente de plată au următoarele obligații: a)să adopte proceduri care să asigure efectuarea, în mod eficient și conform unui program stabilit, a operațiunilor de plată care derivă din utilizarea instrumentelor de plată; … b)să asigure, în orice moment, siguranța în funcționare și continuitatea serviciului în condiții de securitate, în scopul asigurării integrității, confidențialității, autenticității și a posibilității de urmărire a operațiunilor de plată și prevenirii utilizării neautorizate a instrumentelor de plată; … c)să documenteze și să implementeze măsuri privind identificarea, clasificarea, evaluarea, prevenirea și limitarea riscurilor asociate activității de emitere, punere în circulație și/sau acceptare la plată a instrumentelor de plată, inclusiv prin analizarea posibilităților de producere a unor acțiuni de natură frauduloasă, în scopul evitării și limitării pierderilor financiare ale utilizatorilor; … d)în cazul nefuncționării unui serviciu de plată, prestatorii de servicii de plată vor informa, prin orice mijloace, în cel mult o oră, clienții utilizatori ai respectivului serviciu de plată cu privire la indisponibilitatea acestuia și termenul preconizat pentru remediere și vor relua activitatea de plăți în cel mult opt ore de la producerea unui eveniment perturbator. … … 10.La titlul III „Autorizarea infrastructurilor pieței financiare și notificarea punerii în circulație a instrumentelor de plată“, titlul capitolului II se modifică și va avea următorul cuprins: +
Capitolul IINotificarea emiterii și punerii în circulație a instrumentelor de plată electronică … 11.La articolul 128, alineatul (1) se modifică și va avea următorul cuprins: +
Articolul 128(1)Prestatorul de servicii de plată poate pune în circulație instrumente de plată electronică, în termen de 40 de zile lucrătoare de la notificarea Băncii Naționale a României – Direcția monitorizare a infrastructurii pieței financiare și a plăților și transmiterea tuturor documentelor și informațiilor prevăzute la art. 129. … 12.La articolul 128, după alineatul (1) se introduce un nou alineat, alineatul (1^1), cu următorul cuprins:(1^1)Termenul prevăzut la alin. (1) curge de la momentul la care notificarea este considerată completă, din perspectiva informațiilor transmise și a documentelor depuse de către prestatorul de servicii de plată, inclusiv a clarificărilor aferente acestora, solicitate de către Banca Națională a României, dacă este cazul. … 13.La articolul 129 alineatul (1) punctul 2, litera c) se modifică și va avea următorul cuprins:c)raportul testelor de penetrare a aplicațiilor software și sistemelor informatice ale prestatorilor de servicii de plată utilizate pentru asigurarea funcționării instrumentului de plată electronică cu acces la distanță. Testarea se va efectua corespunzător nivelului de risc asociat resurselor testate și având în vedere clasificarea lor, așa cum este prevăzută la art. 18 din Regulamentul Băncii Naționale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaționale și de securitate și cerințele de raportare aferente serviciilor de plată, cu modificările ulterioare. Testarea se va efectua atât pentru aplicațiile software și sistemele informatice utilizate pentru funcționarea acestor instrumente, cât și pentru cele utilizate în cadrul mecanismelor de autentificare a utilizatorului de servicii de plată; … … 14.La articolul 129 alineatul (1) punctul 2, după litera c) se introduc cinci noi litere, literele d)-h), cu următorul cuprins:d)dovezi cu privire la efectuarea testelor de penetrare menționate la lit. c) de către evaluatori ce fac parte din structuri organizatorice interne sau entități externe independente, care dețin cunoștințe, competențe și expertiză în testarea măsurilor de securitate a informațiilor aferente serviciilor de plată, certificări profesionale în acest scop, precum și declarația din care să rezulte faptul că nu au fost implicați în dezvoltarea măsurilor de securitate a informațiilor aferente serviciilor de plată sau a sistemelor testate; … e)raportul de audit aprobat de către organul de conducere al prestatorului de servicii de plată, care să îndeplinească cumulativ condițiile prevăzute la alin. (1^1); … f)dovezi cu privire la independența auditorului care întocmește raportul menționat la lit. e), precum și cu privire la faptul că acesta deține cunoștințe, competențe și experiență în riscurile TIC și de securitate și în plăți, precum și certificări profesionale relevante, în conformitate cu cerințele de la lit. d); … g)lista sistemelor și serviciilor externalizate, care să cuprindă cel puțin denumirea componentei externalizate, o descriere a funcționalităților acesteia și numele furnizorului către care este externalizată componenta respectivă; … h)ordinul de acreditare ca administrator de arhivă electronică, emis potrivit prevederilor Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, sau contractul încheiat cu un administrator de arhivă electronică acreditat. … … 15.La articolul 129, după alineatul (1) se introduce un nou alineat, alineatul (1^1), cu următorul cuprins:(1^1)Condițiile la care se referă alin. (1) pct. 2 lit. e) sunt: a)să conțină concluziile cu privire la măsurile de diminuare a riscurilor operaționale și de securitate, precum și mecanismele de control adecvate pentru a gestiona riscurile TIC și de securitate legate de serviciile de plată oferite prin intermediul instrumentului de plată electronică cu acces la distanță notificat; … b)concluziile formulate potrivit lit. a) trebuie să se bazeze pe examinarea măsurilor implementate de prestatorul de servicii de plată pentru conformarea la cerințele titlului II din Regulamentul Băncii Naționale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaționale și de securitate și cerințele de raportare aferente serviciilor de plată, cu modificările ulterioare; … c)să ia în considerare analiza riscurilor aferente activității, raportul de testare menționat la alin. (1) pct. 2 lit. c), posibilele deficiențe ale sistemului informatic auditat și măsurile de reducere a riscurilor asociate; … d)să includă metodologia de evaluare; … e)data de întocmire a raportului nu trebuie să fie mai veche de 180 de zile față de data depunerii documentației aferente notificării. … … 16.La articolul 129^1 alineatul (1), litera a) se modifică și va avea următorul cuprins:a)perioada de testare să nu depășească 180 de zile, cu posibilitatea de prelungire până la maximum 365 de zile, cu justificarea necesității prelungirii; … … 17.La articolul 130, litera a) se modifică și va avea următorul cuprins:a)descrierea, caracteristicile funcționale, limitele de tranzacționare și modalitatea de modificare a acestora, după caz, precum și aria de utilizare; … … 18.La articolul 130, după litera c) se adaugă două noi litere, literele c^1) și c^2), cu următorul cuprins:c^1)modalitatea în care realizează autentificarea strictă a clienților (SCA), cu prezentarea elementelor de SCA și încadrarea acestora pe categorii (cunoștințe, posesie și inerență); … c^2)fluxul de înrolare a instrumentelor de plată electronică de tip card în portofele electronice (wallet-uri). … … 19.La articolul 131, alineatul (1) se modifică și va avea următorul cuprins: +
Articolul 131(1)Modificările intervenite cu privire la documentația prevăzută la art. 129 se vor transmite Băncii Naționale a României – Direcția monitorizare a infrastructurilor pieței financiare și a plăților, în termen de 10 zile de la luarea deciziei de modificare. … 20.La articolul 131, după alineatul (2) se introduc două noi alineate, alineatele (3) și (4), cu următorul cuprins:(3)Nu fac obiectul notificării la Banca Națională a României modificările intervenite cu privire la documentația prevăzută la art. 129 care vizează aspecte de natură comercială.(4)În sensul prezentului regulament, prin aspecte de natură comercială se înțeleg acele modificări care țin de politica comercială a prestatorului de servicii de plată, respectiv: categorii noi de clienți acceptați, listă de garanții asupra soldurilor creditoare, asigurări, aspecte privind dobânda sau comisioanele. … 21.La articolul 135, alineatul (1) se modifică și va avea următorul cuprins: +
Articolul 135(1)Administratorii IPF, participanții și prestatorii de servicii de plată care emit, pun în circulație și/sau acceptă instrumente de plată vor furniza Băncii Naționale a României, oricând, la solicitarea acesteia, toate informațiile și documentele solicitate, pentru a evalua conformitatea cu cerințele stabilite de prezentul regulament. … 22.La articolul 136, alineatul (2) se abrogă. … 23.La articolul 138, după alineatul (1) se introduc două noi alineate, alineatele (1^1) și (1^2), cu următorul cuprins:(1^1)Testele prevăzute la alin. (1) sunt efectuate de către structuri organizatorice interne sau entități externe independente. Atunci când testele sunt efectuate de o structură organizatorică internă, administratorii IPF și participanții se asigură că sunt evitate conflictele de interese între structura care execută testul și structurile care sunt supuse testării, pe parcursul fazelor de proiectare și execuție ale testelor.(1^2)Testele prevăzute la alin. (1) trebuie să aibă în vedere cel puțin scenarii care vizează aspecte legate de indisponibilitatea personalului operațional de la sediul principal, a sediului operațional principal, a centrului de date principal, a infrastructurilor și sistemelor principale care asigură comunicarea cu IPF și SWIFT, inclusiv combinații ale acestora. … 24.La articolul 141, litera b) se modifică și va avea următorul cuprins:b)prestatorilor de servicii de plată care emit, pun în circulație și/sau acceptă instrumente de plată, în conformitate cu prevederile art. 57 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României. … … 25.Articolul 142 se modifică și va avea următorul cuprins: +
Articolul 142Sancțiunile stabilite de către Banca Națională a României conform art. 141 sunt eficace, proporționale și cu efect de descurajare. … 26.Articolul 144 se abrogă. … +
Articolul II(1)Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I, cu excepția:a)art. I pct. 8, care intră în vigoare în termen de 12 luni de la data publicării prezentului regulament; … b)art. I pct. 13-15, care intră în vigoare în termen de 6 luni de la data publicării prezentului regulament. … (2)Instrumentele de plată electronică aflate în circulație și notificate Băncii Naționale a României la data intrării în vigoare a prevederilor prezentului regulament, la expirarea avizului care a stat la baza notificării potrivit cerințelor art. 129 alin. (1) pct. 2 din Regulamentul Băncii Naționale a României nr. 3/2018, cu modificările și completările ulterioare, nu fac obiectul reavizării în baza cerințelor nou-instituite potrivit art. 129 alin. (1) pct. 2 lit. c)-h) din același regulament.(3)Pentru instrumentele de plată electronică puse în circulație între data publicării și data intrării în vigoare a prevederilor art. I pct. 13-15, prestatorii de servicii de plată au obligația să transmită Băncii Naționale a României avizul emis de către Autoritatea pentru Digitalizarea României. Aceste instrumente de plată nu fac obiectul reavizării la Banca Națională a României în conformitate cu dispozițiile art. I pct. 13-15. +
Articolul IIIPrezentul regulament se publică în Monitorul Oficial al României, Partea I.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 9 februarie 2024.Nr. 1.
