PATVIRTINTA

Lietuvos banko valdybos

2019 m. sausio 21 d. nutarimu Nr. 03-10

PRANEŠIMŲ APIE operacinės AR saugumo rIZIKOS įvykius teikimo Lietuvos bankui tAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Pranešimų apie operacinės ar saugumo rizikos įvykius teikimo Lietuvos bankui taisyklėse (toliau – Taisyklės) nustatyti pagrindiniai didelių su mokėjimo paslaugomis susijusių ir nesusijusių operacinės ar saugumo rizikos įvykių klasifikavimo kriterijai ir pranešimų apie tokius įvykius teikimo Lietuvos bankui tvarka bei tokių pranešimų turiniui keliami reikalavimai. Taisyklės taip pat nustato pranešimų apie priimtus sprendimus atsisakyti atidaryti mokėjimo sąskaitą elektroninių pinigų įstaigai ar mokėjimo įstaigai, apriboti naudojimąsi tokia mokėjimo sąskaita arba ją uždaryti, pranešimų apie įtariamą mokėtojo sukčiavimą bei mokėjimo paslaugų teikėjo prieigos prie mokėjimo paslaugų vartotojo mokėjimo sąskaitos ribojimą teikimo Lietuvos bankui tvarką.

2. Taisyklės (išskyrus 6 punktą ir IV skyrių) taikomos mokėjimo paslaugų teikėjams (MPT), kurie teikia mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą (MĮ). Taisyklių 6 punkto ir IV skyriaus nuostatos papildomai taikomos bankams, veikiantiems pagal Lietuvos Respublikos bankų įstatymą, ir centrinėms kredito unijoms (toliau – kredito įstaiga).

3. Taisyklės parengtos atsižvelgiant į 2017 m. gruodžio 19 d. Europos bankininkystės institucijos 2017 m. gruodžio 19 d. gaires EBA/GL/2017/10 dėl pranešimų apie didelius incidentus pagal Direktyvą (ES) 2015/2366 (MPD2) ir MĮ.

4. Pagrindinės sąvokos:

4.1. su mokėjimo paslaugų teikimu nesusijęs operacinis ar saugumo rizikos įvykis (OSRĮ) – su mokėjimo paslaugų teikimu nesusijęs pavienis įvykis arba tarpusavyje susijusių įvykių, kurių kredito įstaiga neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį kredito įstaigos veiklos rezultatams dėl netinkamų ir nevykusių vidaus procesų, žmonių ir sistemų, arba dėl išorės faktų ar aplinkybių, grupė;

4.2. su mokėjimo paslaugų teikimu susijęs operacinis ar saugumo rizikos įvykis (MOSRĮ) – pavienis įvykis arba tarpusavyje susijusių įvykių, kurių MPT neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį MPT su mokėjimais susijusių paslaugų vientisumui, prieinamumui, konfidencialumui, autentiškumui ir (arba) tęstinumui, grupė;

4.3. su mokėjimu susijusios paslaugos – MĮ 5 straipsnyje nurodytos mokėjimo paslaugos ir visos reikiamos pagalbinės techninės funkcijos, kad mokėjimo paslaugos būtų tinkamai teikiamos;

4.4. kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos MĮ.

II SKYRIUS

TEIKIAMOS INFORMACIJOS TURINYS

5. MPT Lietuvos bankui turi teikti:

5.1. informaciją apie didelius MOSRĮ. Informacija apie MOSRĮ yra teikiama, kai 1 (vieno) ar daugiau kriterijų rodiklis pasiekia didesnio poveikio lygio ribą arba 3 (trijų) ar daugiau kriterijų rodikliai pasiekia mažesnio poveikio lygio ribą, kaip nurodyta Taisyklių 1 priede;

5.2. informaciją apie įtariamą mokėjimo paslaugų vartotojo sukčiavimą;

5.3. informaciją apie sąskaitos informacijos paslaugos (SIP) teikėjo arba mokėjimo inicijavimo paslaugos (MIP) teikėjo prieigos prie mokėjimo sąskaitos ribojimą.

6. Kredito įstaigos Lietuvos bankui papildomai turi teikti:

6.1. informaciją apie įvykusius didelius OSRĮ, kurie nėra susiję su mokėjimo paslaugų teikimo sutrikimais. Informacija apie OSRĮ teikiama, kai 1 (vieno) ar daugiau kriterijų rodiklis pasiekia didesnio poveikio lygio ribą arba 2 (dviejų) ar daugiau kriterijų rodikliai pasiekia mažesnio poveikio lygio ribą, kaip nurodyta Taisyklių 2 priede;

6.2. pranešimą apie sprendimą atsisakyti atidaryti Lietuvos Respublikos mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte nurodytas ir kitas elektroninių pinigų įstaigų ar mokėjimo įstaigų mokėjimo sąskaitas, kurios skirtos elektroninių pinigų turėtojų ar mokėjimo paslaugų vartotojų mokėjimo operacijoms atlikti, taip pat apie sprendimą apriboti naudojimąsi tokiomis sąskaitomis ar jas uždaryti. Ši informacija Lietuvos bankui pateikiama ne vėliau kaip per 5 darbo dienas nuo atitinkamo sprendimo priėmimo dienos, užpildant REJECT formą, kartu pridedant visą papildomą informaciją, jeigu ji yra aktuali ir svarbi.

III SKYRIUS

SU MOKĖJIMO PASLAUGŲ TEIKIMU SUSIJUSIŲ DIDELIŲ OPERACINIŲ AR SAUGUMO ĮVYKIŲ (MOSRĮ) NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA

7. MPT, vertindamas, kaip įvykis paveikė su mokėjimu susijusių paslaugų MOSRĮ vientisumą, prieinamumą, konfidencialumą, autentiškumą ir (arba) tęstinumą, ir tai, ar apie jį turi būti pranešta Lietuvos bankui, turi įvertinti šiuos kriterijus:

7.1. paveiktos operacijos. Turi būti nustatyta bendra paveiktų mokėjimo operacijų vertė ir sutrikdytų mokėjimų procentinė dalis nuo mokėjimų, atliekamų teikiant tokias mokėjimo paslaugas, įprasto skaičiaus. Įprastu mokėjimo operacijų skaičiumi laikomas MPT vietinių ir tarptautinių tokių mokėjimo operacijų, kaip įvykio paveiktos mokėjimo paslaugos, kasdienis metinis vidurkis, o apskaičiavimų atskaitos laikotarpiu laikomi praėję metai. Jeigu šis skaičius nelaikomas reprezentatyviu (pvz., dėl sezoniškumo), turi būti naudojamas kitas, reprezentatyvesnis rodiklis, o teikiant pranešimus Lietuvos bankui turi būti pagrindžiamas šio metodo naudojimas;

7.2. paveikti mokėjimo paslaugų vartotojai. Turi būti nustatytas absoliutus paveiktų mokėjimo paslaugų vartotojų skaičius ir jų procentinė dalis, palyginti su bendru tų mokėjimo paslaugų vartotojų skaičiumi. Bendru mokėjimo paslaugų vartotojų skaičiumi laikomas visų vietinių ir tarptautinių mokėjimo paslaugų vartotojų, kurie operacinės ar saugumo rizikos įvykio metu (arba naujausiais turimais duomenimis) turi sutartis su MPT ir turi teisę naudotis paveikta mokėjimo paslauga, skaičius, neatsižvelgiant į tai, ar jie laikomi aktyviais ar pasyviais mokėjimo paslaugų vartotojais. Kiekvienas MPT turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus. MPT, teikiantis veiklos paslaugas kitiems mokėjimo paslaugų teikėjams, turi atsižvelgti tik į savo mokėjimo paslaugų vartotojus (jeigu jų yra), o veiklos paslaugas gaunantys MPT turi įvertinti MOSRĮ atsižvelgdami į savo pačių mokėjimo paslaugų vartotojus;

7.3. paslaugos neveikimo laikas. Turi būti nustatytas laikotarpis, kai neveikia arba, tikėtina, neveiks bet kuri su mokėjimo paslaugų teikimu susijusi funkcija, procesas arba kanalas ir dėl to neįmanoma arba nebus įmanoma inicijuoti ir (arba) įvykdyti mokėjimo paslaugos, ir (arba) prisijungti prie mokėjimo sąskaitos. Paslaugos neveikimo laiką MPT turi skaičiuoti nuo mokėjimo paslaugos neveikimo pradžios ir, kai tai aktualu ir taikytina, turi atsižvelgti į savo darbo laiko intervalus, reikalingus mokėjimo paslaugoms įvykdyti, taip pat į nedarbo laiką ir techninės priežiūros laikotarpius. MPT, negalintis nustatyti paslaugos neveikimo pradžios momento, paslaugos neveikimo laiką turi pradėti skaičiuoti nuo neveikimo aptikimo momento;

7.4. kiti galimai paveikti MPT arba susiję infrastruktūros objektai. Turi būti nustatyti sisteminiai operacinės ar saugumo rizikos įvykio padariniai, t. y. tikimybė, kad šie padariniai bus jaučiami už pradinio paveikto MPT ribų kitiems MPT, finansų rinkos infrastruktūros objektams ir (arba) mokėjimo kortelių sistemoms. MPT turi įvertinti, ar operacinės ar saugumo rizikos įvykis pasikartojo arba, tikėtina, pasikartos kitų MPT veikloje, ar jis turėjo arba, tikėtina, turės poveikį sklandžiam finansų rinkos infrastruktūros objektų veikimui ir ar jis pakenkė arba, tikėtina, pakenks patikimam visos finansų sistemos veikimui;

7.5. poveikis reputacijai. Turi būti įvertinta, kaip MOSRĮ gali sumenkinti vartotojų pasitikėjimą pačiu MPT ir atitinkama paslauga arba visa mokėjimo paslaugų rinka. MPT turi atsižvelgti į esamą arba, tikėtina, būsimą MOSRĮ pastebimumą rinkoje ar sukeltą atgarsį visuomenėje ir todėl tikėtina, kad apie jį praneš arba jau pranešė žiniasklaida. Taip pat turi būti įvertinta, ar nebuvo arba, tikėtina, nebus įvykdyti įstatymų ir kitų teisės aktų reikalavimai;

7.6. ekonominis poveikis. Turi būti įvertintos visos su MOSRĮ susijusios sąnaudos ir nuostoliai, kuriuos galima tiesiogiai susieti su incidentu, ir sąnaudos bei nuostoliai, kurie su incidentu susiję netiesiogiai. MPT, be kita ko, turi atsižvelgti į nusavintas lėšas ar turtą, techninės ar programinės įrangos pakeitimo išlaidas, kitas teismo ar žalos atitaisymo išlaidas, mokesčius, mokėtinus dėl sutartinių prievolių nesilaikymo, sankcijas, išorės įsipareigojimus ir prarastas pajamas. MPT turi atsižvelgti tik į tas netiesiogines sąnaudas ir nuostolius, kurie jau yra žinomi arba, tikėtina, atsiras;

7.7. aukšto lygio vidinė sklaida. Turi būti įvertinta, ar apie MOSRĮ buvo arba, tikėtina, bus pranešta MPT vadovui arba kitam už operacinės ar saugumo rizikos įvykius atsakingam vadovaujančias pareigas einančiam darbuotojui ir ar dėl įvykio poveikio yra arba bus pradėta veikti veiklos tęstinumo plane numatytu krizės režimu.

8. Atlikęs MOSRĮ vertinimą ir vadovaudamasis Taisyklių 1 priedo lentelėje pateiktomis kriterijų vertinimo lygių ribomis, MPT turi nustatyti įvykio poveikio lygį.

9. Jeigu nėra faktinių duomenų, kuriais galima pagrįsti savo vertinimą, arba konkretus poveikio lygis yra arba, tikėtina, bus pasiektas iki didelio MOSRĮ išsprendimo dienos, MPT turi vadovautis apytikriais vertinimais.

10. MPT MOSRĮ aktualumo laikotarpiu Taisyklių 7 punkte aprašytą vertinimą turi atlikti nuolat, kad nustatytų galimą būklės pokytį blogėjimo (nuo nedidelio iki didelio incidento) arba gerėjimo (nuo didelio iki nedidelio incidento) linkme.

11. Nustatęs didelį MOSRĮ, MPT teikia Lietuvos bankui OPRISK formoje nustatytą informaciją.

12. MPT turi teikti informaciją Lietuvos bankui visą didelio MOSRĮ trukmės laikotarpį, pateikdamas OPRISK formos pirminio (A), tarpinio (B1) ir galutinio pranešimo (C) dalis. MPT OPRISK formą turi pildyti ir teikti Lietuvos bankui laipsniškai, iš karto, kai atlikus vidinius tyrimus paaiškėja papildoma informacija.

13. MPT turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK formos pridėdamas vieną ar keletą priedų su papildomais dokumentais.

14. Pirminio pranešimo apie didelį MOSRĮ teikimas:

14.1. pirminis pranešimas turi būti pateiktas ne vėliau kaip per 4 valandas nuo didelio MOSRĮ aptikimo momento Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRĮ terminas pasibaigia ne Lietuvos banko darbo valandomis;

14.2. pirminiame pranešime turi būti nurodyta būsimo informacijos atnaujinimo data, kuri turi būti kuo ankstesnė, bet ne vėlesnė kaip po 3 darbo dienų;

14.3. pirminis pranešimas turi būti teikiamas ir tada, kai anksčiau aptiktas nedidelis MOSRĮ tampa dideliu. Šiuo atveju MPT, nustatęs pakitusią būklę, turi Lietuvos bankui pateikti pirminį pranešimą per 4 valandas Lietuvos banko darbo valandomis arba artimiausios darbo dienos pirmąją Lietuvos banko darbo valandą, kai pirminio pranešimo apie didelį MOSRĮ terminas pasibaigia ne Lietuvos banko darbo valandomis;

14.4. į pirminį pranešimą turi būti įtraukta preliminari informacija, apibūdinanti pagrindines MOSRĮ savybes ir tikėtinus jo padarinius, grindžiamus informacija, kuri tapo prieinama iš karto po to, kai įvykis buvo aptiktas arba perklasifikuotas. Kai faktinių duomenų nėra, MPT turi remtis apytikriais vertinimais.

15. Tarpinio pranešimo teikimas:

15.1. pirmasis tarpinis pranešimas turi būti pateiktas iki pirminiame pranešime nurodytos datos, pateikiant išsamesnę informaciją apie MOSRĮ ir jo padarinius;

15.2. tarpinis pranešimas turi būti teikiamas kiekvieną kartą, kai pasikeičia esama aktuali įvykio būklė, iki pirminiame arba paskutiniame tarpiniame pranešime nurodytos informacijos atnaujinimo datos;

15.3. kiekviename tarpiniame pranešime turi būti nurodyta kita artimiausia informacijos atnaujinimo data, kuri turi būti kuo ankstesnė, bet ne vėlesnė kaip po 3 darbo dienų;

15.4. kaip ir pirminio pranešimo atveju, kai faktinių duomenų nėra, MPT turi atlikti apytikrius vertinimus;

15.5. jeigu nuo MOSRĮ aptikimo nepraėjus 4 valandoms sugrįžtama prie įprastos verslo eigos, MPT turi per 4 valandas vienu metu pateikti ir pirminį, ir tarpinį pranešimą.

16. Galutinio pranešimo teikimas:

16.1. galutinis pranešimas turi būti pateiktas, kai atliekama pagrindinių MOSRĮ priežasčių analizė (neatsižvelgiant į tai, ar poveikio mažinimo priemonės jau įgyvendintos ir ar nustatyta galutinė pagrindinė priežastis) ir turima faktinių duomenų, kuriais būtų galima pakeisti visus apytikrius vertinimus;

16.2. galutinis pranešimas turi būti pateiktas ne vėliau kaip per 14 dienų nuo grįžimo prie įprastos verslo eigos dienos. MPT, kuriam reikia, kad šis terminas būtų pratęstas (pvz., jeigu dar nėra faktinių duomenų apie poveikį), iki termino pabaigos turi Lietuvos bankui pateikti vėlavimo pagrindimą ir nurodyti naują planuojamą galutinio pranešimo datą;

16.3. MPT, galintis visą galutiniam pranešimui reikalingą informaciją pateikti per 4 valandas nuo įvykio aptikimo momento, turi pirminiame pranešime pateikti informaciją, susijusią su pirminiu, tarpiniu ir galutiniu pranešimais;

16.4. į galutinį pranešimą turi būti įtraukta visa turima informacija, t. y. faktiniai duomenys, o ne apytikriai poveikio vertinimai, atnaujinta pirminio ir tarpinio pranešimų informacija ir galutinis pranešimas, kuriame nurodoma įvykio pagrindinė priežastis, jeigu jau žinoma, ir apibendrinamos priemonės, kurių buvo imtasi arba bus imtasi problemai pašalinti ir užtikrinti, kad ji nepasikartotų ateityje;

16.5. galutinis pranešimas turi būti teikiamas ir tada, kai nustatoma, kad MOSRĮ, apie kurį jau pranešta, nebeatitinka kriterijų, pagal kuriuos jis būtų laikomas dideliu MOSRĮ, ir tikimasi, kad tų kriterijų nebeatitiks. Kai tik nustatoma ši aplinkybė, MPT turi pateikti OPRISK formos A dalį, kurioje pažymėtas įvykio statuso pakeitimas ir paaiškinta šio statuso sumažinimo priežastis.

IV SKYRIUS

SU MOKĖJIMO PASLAUGŲ TEIKIMU NESUSIJUSIŲ DIDELIŲ OPERACINIŲ AR SAUGUMO ĮVYKIŲ (OSRĮ) NUSTATYMAS IR INFORMACIJOS APIE JUOS TEIKIMO TVARKA

17. Kredito įstaiga, vertindama, kaip OSRĮ paveikė veiklos rezultatus dėl netinkamų ir nevykusių vidaus procesų, sistemų ir žmonių veiksmų arba dėl išorės faktų ar aplinkybių, turi įvertinti šiuos kriterijus:

17.1. poveikis reputacijai. Turi būti įvertinta, kaip OSRĮ gali sumenkinti klientų pasitikėjimą pačia kredito įstaiga ir atitinkama paslauga. Kredito įstaiga turi atsižvelgti į esamą arba, tikėtina, būsimą OSRĮ pastebimumą rinkoje, atgarsį visuomenėje ir tikimybę, kad apie jį praneš arba jau pranešė žiniasklaida. Taip pat turi būti įvertinta, ar nebuvo arba, tikėtina, nebus įvykdyti įstatymų ir kitų teisės aktų reikalavimai;

17.2. ekonominis poveikis. Turi būti įvertintos visos su OSRĮ susijusios sąnaudos ir nuostoliai, kuriuos galima tiesiogiai susieti su incidentu, ir sąnaudos bei nuostoliai, kurie su incidentu susiję netiesiogiai. Kredito įstaiga, be kita ko, turi atsižvelgti į nusavintas lėšas ar turtą, techninės ar programinės įrangos pakeitimo išlaidas, kitas teismo ar žalos atitaisymo išlaidas, mokesčius, mokėtinus dėl sutartinių prievolių nesilaikymo, sankcijas, išorės įsipareigojimus ir prarastas pajamas. Kredito įstaiga turi atsižvelgti tik į tas netiesiogines sąnaudas ir nuostolius, kurie jau yra žinomi arba labai tikėtina, kad atsiras;

17.3. aukšto lygio vidinė sklaida. Turi būti įvertinta, ar apie OSRĮ buvo arba, tikėtina, bus pranešta kredito įstaigos vadovui arba kitam už operacinės ar saugumo rizikos įvykius atsakingam vadovaujančias pareigas einančiam darbuotojui ir ar dėl įvykio poveikio yra arba bus pradėta veikti veiklos tęstinumo plane numatytu krizės režimu;

17.4. paveikti klientai. Turi būti nustatytas absoliutus paveiktų klientų skaičius ir jų procentinė dalis, palyginti su bendru klientų skaičiumi. Bendru klientų skaičiumi laikomi visi kredito įstaigos klientai, kurie įvykio metu (arba naujausiais turimais duomenimis) turi bet kokio tipo sutartis su kredito įstaiga. Kredito įstaiga turi įvertinti tik savo pačios paveiktų klientų skaičių;

17.5. paveiktos kritinės arba svarbios kredito įstaigos funkcijos. Turi būti įvertintas poveikis vykdomoms kritinėms arba svarbioms kredito įstaigos funkcijoms. Vertinant, ar kredito įstaigos funkcija yra kritinė arba svarbi, be kita ko, turi būti atsižvelgiama į tokius kriterijus:

17.5.1. ar ši funkcija yra susijusi su pagrindinėmis kredito įstaigos verslo informacinėmis sistemomis, rizikos valdymo sistemomis, vidaus kontrolės funkcijomis;

17.5.2. ar šios funkcijos sutrikimas reikšmingai paveiktų kredito įstaigos veiklos stabilumą, likvidumą arba veiklos tęstinumą;

17.5.3. ar šios funkcijos sutrikimas paveiktų kredito įstaigos veiklos finansinius rodiklius;

17.5.4. ar šios funkcijos sutrikimas paveiktų kredito įstaigos sugebėjimą veiksmingai valdyti rizikas ir (arba) vykdyti teisės aktų reikalavimus;

17.5.5. ar šios funkcijos sutrikimas paveiktų duomenų konfidencialumo ar duomenų apsaugos reikalavimus.

18. Atlikusi OSRĮ vertinimą ir vadovaudamasi Taisyklių 2 priedo lentelėje pateiktomis kriterijų įvertinimo lygių ribomis, kredito įstaiga turi nustatyti įvykio poveikio lygį.

19. Jeigu nėra faktinių duomenų, kuriais galima pagrįsti savo vertinimą, arba konkretus poveikio lygis yra arba, tikėtina, bus pasiektas iki didelio OSRĮ išsprendimo dienos, kredito įstaiga turi vadovautis apytikriais vertinimais.

20. Kredito įstaiga OSRĮ aktualumo laikotarpiu Taisyklių 17 punkte aprašytą vertinimą turi atlikti nuolat, kad nustatytų galimą būklės pokytį blogėjimo (nuo nedidelio iki didelio incidento) arba gerėjimo (nuo didelio iki nedidelio incidento) linkme.

21. Nustačiusi didelį OSRĮ, kredito įstaiga teikia Lietuvos bankui OPRISK formoje nustatytą informaciją.

22. Kredito įstaiga turi teikti informaciją Lietuvos bankui visą OSRĮ trukmės laikotarpį, pateikdama OPRISK formos pirminio (A), tarpinio (B2) ir galutinio pranešimo (C) dalis. Kredito įstaiga OPRISK formą turi pildyti ir teikti Lietuvos bankui laipsniškai, iš karto, kai atlikus vidinius tyrimus paaiškėja daugiau informacijos.

23. Kredito įstaiga turi Lietuvos bankui pateikti visą papildomą informaciją, jeigu ji yra svarbi ir aktuali, prie OPRISK formos pridėdama vieną ar keletą priedų su papildomais dokumentais.

24. Kredito įstaiga 22 punkte nurodytą informaciją teikia Taisyklių 14–16 punktuose nustatyta tvarka.

V SKYRIUS

DELEGUOTŲJŲ IR KONSOLIDUOTŲJŲ PRANEŠIMŲ TEIKIMAS

25. MPT, pageidaujantis deleguoti įpareigojimus teikti pranešimus apie MOSRĮ trečiajai šaliai, turi užtikrinti, kad būtų įvykdytos šios sąlygos:

25.1. MPT ir trečiosios šalies oficialia sutartimi arba MPT ir įmonės, priklausančios tai pačiai grupei kaip ir MPT, susitarimu grupės viduje turi būti apibrėžtas visų sutarties šalių pareigų pasiskirstymas, aiškiai nurodant, kad, nepaisant to, kad įpareigojimai teikti pranešimus deleguoti, paveiktas MPT lieka visiškai atsakingas už pranešimų apie įvykį turinį;

25.2. įpareigojimų teikti pranešimus delegavimas laikomas svarbių veiklos funkcijų perdavimu trečiajai šaliai, todėl turi būti laikomasi teisės aktų reikalavimų, taikomų perduodant tokią veiklą;

25.3. tinkamai užtikrinamas neskelbtinų duomenų konfidencialumas ir Lietuvos bankui teikiamos informacijos kokybė, nuoseklumas, vientisumas ir patikimumas.

26. MPT, pageidaujantys leisti trečiajai šaliai konsoliduotai vykdyti įpareigojimus teikti pranešimus ( teikti vieną pranešimą, kuriame nurodomi keli to paties didelio rizikos įvykio paveikti MPT), privalo informuoti Lietuvos banką, užpildyti OPRISK formos „Paveikti mokėjimo paslaugų teikėjai“ dalį ir užtikrinti, kad būtų patenkintos šios sąlygos:

26.1. įtraukti nuostatą dėl konsoliduoto pranešimų teikimo vykdymo į sutartį dėl deleguotųjų pranešimų teikimo;

26.2. teikti konsoliduotuosius pranešimus tik tada, jeigu įvykis kilo dėl trečiosios šalies teikiamų paslaugų sutrikimo;

26.3. įpareigojimus teikti konsoliduotuosius pranešimus taikyti tik Lietuvos Respublikoje įsteigtiems MPT;

26.4. užtikrinti, kad trečioji šalis įvertintų incidento svarbumą kiekvienam paveiktam MPT ir kad į konsoliduotąjį pranešimą būtų įtraukti tik tie MPT, kurių MOSRĮ klasifikuojamas kaip didelis, o esant abejonių, MPT būtų įtrauktas į konsoliduotąjį pranešimą, kol nėra įrodymų, kad jis ten neturi būti įtrauktas;

26.5. užtikrinti, kad esant situacijai, kai OPRISK formos laukeliuose negalima pateikti bendro atsakymo, trečioji šalis arba užpildys formą kiekvieno paveikto MPT vardu, arba naudos intervalus, rodančius mažiausias ir aukščiausias vertes, nustatytas ar apytikriai įvertintas skirtingų MPT atžvilgiu;

26.6. MPT turi užtikrinti, kad trečioji šalis visą įvykio aktualumo laiką jam teiks informaciją apie visus aktualius įvykio aspektus ir apie visą galimą trečiosios šalies bendravimą su Lietuvos banku, šio bendravimo turinį tiek, kiek tai nepažeidžia su kitais MPT susijusios informacijos konfidencialumo.

27. MPT, pageidaujantys atšaukti įpareigojimus teikti savo pranešimus, apie šį sprendimą turi pranešti Lietuvos bankui ne vėliau kaip prieš 5 darbo dienas. MPT turi informuoti Lietuvos banką apie visus svarbius įvykius, turinčius poveikį paskirtajai trečiajai šaliai ir jos gebėjimui vykdyti įpareigojimus teikti pranešimus.

28. MPT turi įvykdyti įpareigojimus teikti savo pranešimus nesinaudodami trečiosios šalies pagalba, jeigu paskirtoji trečioji šalis neinformuotų Lietuvos banko apie įvykį taip, kaip reikalaujama Taisyklėse. MPT turi užtikrinti, kad apie įvykį nebūtų pranešama du kartus – paties MPT ir trečiosios šalies.

VI SKYRIUS

KITA MPT TEIKIAMA INFORMACIJA

29. MPT, turėdamas pagrįstų priežasčių įtarti mokėtojo sukčiavimą, nedelsdamas, bet ne vėliau kaip per MĮ 38 straipsnio 1 dalyje nustatytą terminą, per kurį mokėtojui turi sugrąžinti neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as) ir, kai taikytina, atkurti mokėjimo sąskaitos, iš kurios ta (-os) suma (-os) nurašyta (-os), likutį, apie tokį atsisakymą grąžinti mokėjimo operacijos (-ų) sumą (-as) praneša mokėtojui sutartu būdu ir Lietuvos bankui, pildydamas FRAUD formą.

30. Kaip nustatyta Taisyklių 29 punkte, MPT gali pateikti Lietuvos bankui vieną bendrą pranešimą apie negrąžinamas kelių neautorizuotų mokėjimo operacijų sumas, jeigu tenkinamos visos šios sąlygos:

30.1. mokėtojas ir šių mokėjimo operacijų sumų gavėjas sutampa;

30.2. apie neautorizuotas mokėjimo operacijas MPT sužino arba jam pranešama tą pačią dieną arba padieniui;

30.3. pranešus apie šias operacijas bendru pranešimu, nebus pažeistas Taisyklių 29 punkte nurodytas terminas (vertinant atskirai pagal kiekvieną mokėjimo operaciją, apie kurią pranešama).

31. MPT, nesuteikęs prieigos prie mokėjimo sąskaitos (-ų) MIP teikėjui arba SIP teikėjui, vadovaudamasis MĮ 33 straipsnio 5 ir 7 dalyse nustatyta tvarka ir sąlygomis, informaciją apie atsisakymą suteikti prieigą prie mokėtojo sąskaitos (-ų) atitinkamai pateikia mokėtojui jų sutartu būdu ir Lietuvos bankui, užpildydamas BLOCK formą.

32. MPT panaikina MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimą, kai nebelieka priežasčių nesuteikti tokios prieigos, ir apie tai nedelsdamas praneša Lietuvos bankui. Jei MIP teikėjo arba SIP teikėjo prieigos prie mokėjimo sąskaitos ribojimas nepanaikinamas per 10 darbo dienų nuo jo pritaikymo dienos, MPT ne vėliau kaip kitą darbo dieną papildomai informuoja Lietuvos banką apie detalesnes prieigos ribojimo aplinkybes (pvz., naujai paaiškėjusias aplinkybes, tolesnio prieigos ribojimo priežastis, veiksmus, kuriuos turi atlikti MIP teikėjas, SIP teikėjas arba mokėtojas, kad prieigos ribojimas būtų panaikintas, pradėtus ikiteisminio tyrimo procesus ir pan.).

33. Taisyklių 29 ir 31 punktuose nurodytų pranešimų pateikimas Lietuvos bankui nepanaikina MPT pareigos, esant pagrįstų įtarimų dėl nusikalstamų ir (arba) kitų neteisėtų mokėjimo paslaugų vartotojo, MIP teikėjo ar SIP teikėjo veiksmų, apie tokius įtarimus teisės aktų nustatyta tvarka pranešti kompetentingoms teisėsaugos institucijoms.

34. MPT, siekdamas visapusiškai ištirti Taisyklių 29 punkte nurodytas aplinkybes, dėl kurių MPT atsisakė grąžinti neautorizuotos mokėjimo operacijos (-ų) sumą (-as), ir kitą su tokiomis aplinkybėmis susijusią informaciją, atlieka vidinį tyrimą. Vidinis tyrimas turi būti pradėtas ir užbaigtas ne vėliau kaip per 15 darbo dienų nuo Taisyklių 29 punkte nurodytų aplinkybių paaiškėjimo dienos. Apie vidinio tyrimo rezultatus ir MPT veiksmus atlikus tyrimą MPT nedelsdamas informuoja mokėtoją ir Lietuvos banką.

35. Kai dėl priežasčių, kurių MPT negali kontroliuoti, vidinio tyrimo užbaigti per Taisyklių 34 punkte nurodytą terminą neįmanoma, MPT informuoja mokėtoją, nurodydamas terminą, per kurį tyrimas bus užbaigtas, ir tyrimo termino pratęsimo priežastis, išskyrus atvejus, kai tokių priežasčių atskleidimas susilpnintų saugumo priemones arba pagal teisės aktus būtų draudžiamas. Apie vidinio tyrimo termino pratęsimą MPT taip pat praneša Lietuvos bankui. Vidinio tyrimo užbaigimo terminas niekada neturi viršyti 35 darbo dienų, o kai mokėjimo operacijos, dėl kurių atliekamas vidinis tyrimas, buvo atliktos naudojant mokėjimo kortelę, – 120 dienų, skaičiuojant nuo Taisyklių 29 punkte nurodytų aplinkybių paaiškėjimo dienos, tačiau tik tada, jeigu vidiniam tyrimui atlikti būtinas tarptautinės mokėjimo kortelių asociacijos dalyvavimas ir dėl nuo tokios asociacijos priklausančių aplinkybių vidinio tyrimo neįmanoma užbaigti anksčiau.

36. Jeigu MPT, vadovaudamasis Taisyklių 33 punktu, kreipiasi į teisėsaugos institucijas, kurios teisės aktų nustatyta tvarka pradeda ikiteisminį tyrimą, Taisyklių 34 ir 35 punktuose nurodyti vidinio tyrimo terminai sustabdomi.

37. Vidinio tyrimo metu paaiškėjus, kad MPT įtarimai dėl mokėtojo sukčiavimo nepasitvirtino arba pagrindas stabdyti mokėjimo operacijos (-ų) sumos (-ų) grąžinimą išnyksta dėl kitų priežasčių (pvz., teisėsaugos institucijos nustato, kad mokėtojo veiksmai neturi sukčiavimo požymių), MPT nedelsdamas grąžina mokėtojui neautorizuotos (-ų) mokėjimo operacijos (-ų) sumą (-as), kurios (-ių) grąžinimas buvo sustabdytas MĮ 38 straipsnio 1 dalyje nurodytais pagrindais.

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

38. Už informacijos pateikimą Lietuvos bankui Taisyklėse nustatytu laiku ir tvarka atsakingas MPT arba kredito įstaigos administracijos vadovas.

39. MPT arba kredito įstaigos administracijos vadovas turi užtikrinti, kad MPT arba kredito įstaigos vidaus taisyklėse būtų aiškiai apibrėžtos visos pareigos pranešti apie MOSRĮ ir OSRĮ ir būtų įgyvendinti procesai Taisyklėse nustatytiems informacijos teikimo reikalavimams vykdyti.

______________________

^{^[1]} 1 lygio kapitalas, kaip apibrėžta 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 575/2013 dėl prudencinių reikalavimų kredito įstaigoms ir investicinėms įmonėms ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012, 25 straipsnyje.

^{^[2]} 1 lygio kapitalas, kaip apibrėžta 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 575/2013 dėl prudencinių reikalavimų kredito įstaigoms ir investicinėms įmonėms ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012, 25 straipsnyje.

	Su mokėjimo paslaugų teikimu susijęs didelis operacinis ar saugumo įvykis (MOSRĮ)
Poveikio lygis	Mažesnis poveikio lygis	Didesnis poveikio lygis
Kriterijų skaičius	3 ir >	1 ir >
Kriterijai
1. Paveiktos operacijos	> 10 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių) ir > 100 000 Eur	> 25 % mokėjimo paslaugų teikėjo įprasto operacijų lygio (pagal operacijų skaičių) arba > 5 mln. Eur
2. Paveikti mokėjimo paslaugų vartotojai	> 5 000 ir > 10 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų	> 50 000 arba > 25 % mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojų
3. Paslaugos neveikimo laikas	> 2 valandos	Netaikoma
4. Kiti galbūt paveikti mokėjimo paslaugų teikėjai arba susiję infrastruktūros objektai	Taip	Netaikoma
5. Poveikis reputacijai	Taip	Netaikoma
6. Ekonominis poveikis	Netaikoma	> Maks. (0,1 % 1 lygio kapitalo^{^[1]}, 200 000 Eur) arba > 5 mln. Eur
7. Aukšto lygio vidinė sklaida	Taip	Taip, ir tikriausiai bus pradėta dirbti kriziniu (arba lygiaverčiu) režimu

	Su mokėjimo paslaugų teikimu nesusijęs didelis operacinės ar saugumo rizikos įvykis (OSRĮ)
Poveikio lygis	Mažesnis poveikio lygis	Didesnis poveikio lygis
Kriterijų skaičius	2 ir >	1 ir >
Kriterijai
1. Paveikti klientai	> 5 000 ir > 10 % klientų	> 50 000 arba > 25 % klientų
2. Paveiktos kritinės informacinės sistemos (IS) ar susiję infrastruktūros objektai, kritiniai procesai	Taip (kritinių IS neveikimo laikas > 2 val., bet < 4 val.)	Taip (kritinių IS neveikimo laikas > 4 val.)
3. Poveikis reputacijai	Taip	Netaikoma
4. Ekonominis poveikis	Netaikoma	> Maks. (0,1 % 1 lygio kapitalo^{^[2]}, 200 000 Eur) arba > 5 mln. Eur
5. Aukšto lygio vidinė sklaida	Taip	Taip, ir tikriausiai bus pradėta dirbti kriziniu (arba lygiaverčiu) režimu

1.	Mokėjimo arba elektroninių pinigų įstaigos (MPT) pavadinimas
2.	Valstybės kodas
3.	Sprendimo priėmimo data
4.	Sąskaitos tipas
4.1.	Atskiroji (klientų lėšų) sąskaita	TAIP / NE
4.2.	Mokėjimo sąskaita, skirta mokėjimo operacijoms atlikti elektroninių pinigų ir (arba) mokėjimo paslaugų vartotojų vardu	TAIP / NE
5.	Jei sąskaita uždaroma ar apribojamas naudojimasis ja
5.1.	Kada buvo pranešta MPT apie priimtą sprendimą	YYYY.MM.DD
5.2.	Koks įspėjimo laikotarpis buvo suteiktas prieš priimant sprendimą
6.	Jei atsisakoma atidaryti sąskaitą, suteikti prieigą prie sąskaitos
6.1.	Ar sprendimas atsisakyti atidaryti sąskaitą ar suteikti prieigą prie sąskaitos buvo perduotas MPT	TAIP / NE
6.2.	Jei taip, nurodykite, kada buvo pranešta apie sprendimą	YYYY.MM.DD
6.3.	Jei ne, nurodykite, kodėl nebuvo pranešta
7.	Trumpas sprendimo (uždaryti sąskaitą / apriboti naudojimąsi ja arba atsisakymo atidaryti sąskaitą / suteikti prieigą) priežasčių aprašymas
8.	Trumpas proceso (pvz.: asmuo (-enys), atsakingas (-i) už sprendimų priėmimą, visi taikomi terminai ir procedūros, kurių buvo imtasi svarstant sprendimą) aprašymas
9.	Ar sprendimo motyvai buvo pranešti MPT	TAIP / NE
10.	Ar MPT buvo suteikta galimybė reaguoti į kredito įstaigos sprendimą, pašalinti veiklos trūkumus, prieš kredito įstaigai priimant sprendimą	TAIP / NE
11.	Jei ne, nurodykite, kodėl tokia galimybė nebuvo suteikta

1. Pavadinimas		4. Kontaktinio asmens el. paštas
2. Adresas		5. Kontaktinio asmens telefonas
3. Kontaktinis asmuo

6. Informacija apie mokėtoją	Fizinis asmuo	Juridinis asmuo
	Vardas	Pavadinimas
	Pavardė	Juridinio asmens kodas
7. Informacija apie mokėjimo operaciją	Mokėjimo sąskaitos numeris
	Mokėjimo operacijos data
	Mokėjimo operacijos suma
	Mokėjimo operacijos valiuta
	Pranešimo apie neautorizuotą mokėjimo operaciją gavimo data
	Mokėtojo informavimo apie atsisakymą grąžinti neautorizuotos mokėjimo operacijos sumą data
	Gavėjo sąskaitos numeris
8. Trumpas įtariamo sukčiavimo ir aplinkybių, leidžiančių įtarti mokėtojo sukčiavimą, apibūdinimas	(Trumpai aprašykite įtariamą mokėtojo sukčiavimą ir nurodykite aplinkybes, kurios leidžia įtarti mokėjimo paslaugų vartotojo sukčiavimą)
9. Papildoma informacija	(Nurodykite kitą, Jūsų vertinimu, reikšmingą informaciją)

6. Informacija apie mokėjimo paslaugų teikėją, kuriam ribojama prieiga prie mokėjimo sąskaitos (-ų)	Sąskaitos informacijos paslaugos (SIP) teikėjas	Mokėjimo inicijavimo paslaugos (MIP) teikėjas
	Mokėjimo paslaugos teikėjo pavadinimas
	Juridinio asmens kodas
7. Informacija apie mokėjimo paslaugos vartotoją	Fizinis asmuo	Juridinis asmuo
	Vardas	Pavadinimas
	Pavardė	Juridinio asmens kodas
8. Informacija apie apribotą prieigą prie mokėjimo sąskaitos (-ų)	Mokėjimo paslaugos vartotojo sąskaitos numeris (-ai)
	Apribotos prieigos data
	Mokėjimo operacijos (-ų), kuri (-ios) buvo neįvykdyta (-os) dėl apribotos prieigos, suma ir valiuta (nepildoma, jei buvo inicijuota sąskaitos informacijos paslauga)
9. Mokėjimo paslaugų teikėjo prieigos prie mokėjimo sąskaitos (-ų) ribojimo priežastis	Neautorizuota mokėjimo paslaugos teikėjo prieiga	Nesąžininga mokėjimo paslaugos teikėjo prieiga
	Neautorizuotas mokėjimo operacijos inicijavimas	Nesąžiningas mokėjimo operacijos inicijavimas
	Kita (trumpai aprašykite)
10. Aplinkybių, leidžiančių įtarti mokėjimo paslaugų teikėjo neautorizuotą ar nesąžiningą prieigą prie mokėjimo sąskaitos (-ų), įskaitant neautorizuotą ar nesąžiningą mokėjimo operacijos (-ų) inicijavimą, sukčiavimą, apibūdinimas.