Hlášení podvodů podle zákona o platebním styku
1. Musí osoba oprávněná poskytovat platební služby sbírat data o podvodech v platebním styku? Jaký rozsah dat je třeba reportovat za roky 2018 - 2021?
Ano, dle § 222 odst. 1 ZPS osoba oprávněná poskytovat platební služby informuje Českou národní banku (dále též „ČNB“) o podvodech, které v oblasti platebního styku zaznamenala[1].
Požadavky na oznamování údajů o podvodech jsou uvedeny v obecných pokynech Evropského orgánu pro bankovnictví k požadavkům na oznamování údajů o podvodech podle čl. 96 odst. 6 směrnice (EU) 2015/2366 (PSD2) (EBA/GL/2018/05) ve znění obecných pokynů EBA/GL/2020/01 (dále též „obecné pokyny“).
Osobou oprávněnou poskytovat platební služby se v souladu s obecnými pokyny 5.1 a 5.3 rozumí poskytovatel platebních služeb se sídlem v České republice a pobočka poskytovatele platebních služeb se sídlem v jiném členském státě EU či EHP než v České republice.
ČNB Evropskému orgánu pro bankovnictví (dále jen „EBA“) potvrdila, v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že bude postupovat při výkonu dohledu v souladu s těmito obecnými pokyny od 1. ledna 2022 a od stejného data očekává, že osoby oprávněné poskytovat platební služby budou statistické údaje o podvodech zasílat ČNB[2]. Prováděcí vyhláška dle § 222 odst. 3 ZPS bude vydána v průběhu roku 2021 s účinností od 1. ledna 2022. Ve vztahu k rokům 2018 - 2021 postačí ČNB reportovat údaje o podvodech pouze ve zjednodušeném rozsahu popsaném dále u otázky č. 2.
2. V jakém rozsahu a jak osoba oprávněná poskytovat platební služby zasílá data o podvodech České národní bance?
Vzhledem k tomu, že ČNB dosud nevydala prováděcí vyhlášku dle § 222 odst. 3 ZPS, zasílání dat o podvodech za jednotlivé kalendářní roky v období let 2018 - 2021 proto po osobách oprávněných poskytovat platební služby vyžaduje pouze ve zjednodušeném rozsahu, aby byly splněny požadavky ustanovení § 222 odst. 1 ZPS i čl. 96 odst. 6 PSD2[3], a aby zároveň nedocházelo k nepřiměřené zátěži povinných osob.
Zasílaná data o podvodech v uvedeném období zahrnují celkový počet provedených platebních transakcí a počet podvodných platebních transakcí, a to v dělení podle jednotlivých druhů transakcí. Těmito jsou úhrady, inkasa, karetní platební transakce a ostatní platební transakce.[4] Celkově tak jde o 10 údajů, viz tabulka:
|
Položka |
Celkový počet platebních transakcí |
Počet podvodných platebních transakcí |
|
Úhrady |
|
|
|
Inkasa |
|
|
|
Karetní platební transakce |
|
|
|
Ostatní platební transakce |
|
|
|
Celkem |
|
|
Tabulka se zasílá ve formátu datového souboru xls/xlsx prostřednictvím internetového rozhraní ČNB pro sběr informačních povinností[5]. Vzor tabulky je zveřejněn na stránkách ČNB věnovaných předpisům k platebnímu styku v části Sdělení, doporučení a seznamy. Vzhledem k automatickému zpracování dat by vzor neměl být nijak měněn ani doplňován. Případné doplňující informace uveďte do průvodního e-mailu, který je možné do internetového rozhraní ČNB pro sběr informačních povinností připojit.
Do doby naplnění zmocnění v § 222 odst. 3 ZPS tedy ČNB nevyžaduje, aby jí osoba oprávněná poskytovat platební služby zasílala všechny údaje o podvodech, které sbírá na základě obecných pokynů.
Osoba oprávněná poskytovat platební služby by však od účinnosti obecných pokynů ve znění platném od 1. ledna 2019[6] měla vynaložit veškeré úsilí, aby zjišťovala a uchovávala statistická data a měla je k dispozici pro případ, že by je ČNB vyžadovala v rámci výkonu dohledu.
3. V jaké lhůtě osoba oprávněná poskytovat platební služby zasílá data o podvodech za roky 2020 a 2021 České národní bance?
Vzhledem k tomu, že platné znění § 222 odst. 1 ZPS nestanoví lhůtu pro zaslání dat o podvodech, lze dovodit, že osoba oprávněná poskytovat platební služby by měla ČNB zaslat data o podvodech bez zbytečného odkladu. Vzhledem k absenci prováděcí úpravy považuje ČNB v tomto konkrétním případě za dostatečné data o podvodech za roky 2020 - 2021 zaslat vždy do 30. dubna za předchozí kalendářní rok.
-----------
[1] Dle EBA/GL/2018/05, konkrétně obecného pokynu 1.1, se jedná o:
- provedené neautorizované platební transakce, včetně transakcí vyplývajících ze ztráty, odcizení nebo zneužití citlivých údajů o platbách nebo platebního prostředku, bez ohledu na to, zda je plátce mohl zjistit před provedením platby či nikoliv a zda byly způsobeny hrubou nedbalostí plátce nebo provedeny bez souhlasu plátce; a
- platební transakce provedené v důsledku toho, že byl plátce zmanipulován podvodníkem k dání platebního příkazu nebo k udělení pokynu k dání platebního příkazu poskytovateli platebních služeb na platební účet, o kterém se v dobré víře domnívá, že patří oprávněnému příjemci.
[2] Sdělení ČNB o obecných pokynech k požadavkům na oznamování údajů o podvodech podle čl. 96 odst. 6 PSD2, dostupné na: https://www.cnb.cz/cs/dohled-financni-trh/legislativni-zakladna/obecne-pokyny-evropskych-organu-dohledu/Sdeleni-CNB-o-obecnych-pokynech-k-pozadavkum-na-oznamovani-udaju-o-podvodech-podle-cl.-96-odst-00001.-6-PSD2/
[3] Dle kterého „Členské státy zajistí, aby poskytovatelé platebních služeb poskytli svým příslušným orgánům alespoň jednou za rok statistické údaje o podvodech souvisejících s různými způsoby platby. Tyto příslušné orgány tyto údaje poskytnou v souhrnné podobě orgánu EBA a ECB.“.
[4] Dle obecných pokynů (konkrétně obecný pokyn 2.11) by pro účely zabránění dvojímu započtení měl poskytovatel platebních služeb plátce předkládat údaje jako vydávající (nebo iniciující) subjekt. Výjimkou jsou údaje za platby kartou, které by měly být vykázány poskytovatelem platebních služeb plátce i poskytovatelem platebních služeb příjemce akceptujícím platební transakci. Tyto dva úhly pohledu by měly být vykázány zvlášť s použitím různých členění, jak je blíže uvedeno v příloze 2. V případě zapojení více než jednoho akceptujícího poskytovatele platebních služeb by měl údaj vykázat poskytovatel, který má smluvní vztah s příjemcem. Kromě toho musí být v případě inkas transakce vykázány pouze poskytovatelem platebních služeb příjemce, a to vzhledem k tomu, že jsou tyto transakce iniciovány příjemcem.
[5] Rozhraní je dostupné na adrese https://oam.cnb.cz/sipresextdad/SIPRESEXT.www_forms.UVOD?p_lan=cs. V případě této informační povinnosti je plánován přechod na systém SDAT, o kterém budou osoby oprávněné poskytovat platební služby Českou národní bankou informovány.
[6] A od 1. července 2020 v příslušně pozměněném rozsahu v návaznosti na účinnost obecných pokynů EBA/GL/2020/01, viz sdělení ČNB o obecných pokynech k požadavkům na oznamování údajů o podvodech podle čl. 96 odst. 6 PSD2, dostupné na: https://www.cnb.cz/cs/dohled-financni-trh/legislativni-zakladna/obecne-pokyny-evropskych-organu-dohledu/Sdeleni-CNB-o-obecnych-pokynech-k-pozadavkum-na-oznamovani-udaju-o-podvodech-podle-cl.-96-odst-00001.-6-PSD2/.