Rekomendacje konferencji "IT w instytucjach finasowych"

Propozycje rekomendacji seminarium „IT w instytucjach finansowych” w ramach projektu
Europejski Kongres Finansowy
Tytuł rekomendacji: Efektywne wdrożenie FATCA
Rekomendujemy:
1) przyjęcie modelu centralnego gromadzenia informacji na potrzeby FATCA, w
szczególności z wykorzystaniem istniejących już systemów i kanałów komunikacji
2) podjęcie przez kraje członkowskie dyskusji nad efektywnym modelem wdrożenia
FATCA, w szczególności dyskusji nad dalszą centralizacją przepływu informacji
FATCA na poziomie ponadnarodowym w Europie.
Uzasadnienie:
Co to jest FATCA. Amerykańska ustawa FATCA (Foreign Account Tax Compliance Act)
wymaga od zagranicznych instytucji finansowych (tzw. FFI) dostarczania amerykańskim
służbom podatkowym (IRS) informacji o obsługiwanych przez te instytucje obywatelach
lub podmiotach pochodzących z USA oraz nakłada na te instytucje rolę poborcy
podatkowego pod rygorem nałożenia na nie wysokich sanacyjnych opłat.
FATCA a zmiany prawa w UE. Wykonanie FATCA od strony prawnej na terenie Unii
Europejskiej wymaga zawarcia przez USA porozumień międzynarodowych z krajami
członkowskimi oraz wprowadzenia lokalnych rozwiązań prawnych pozwalających na ich
realizację. Prawo obowiązujące w Polsce i w innych krajach UE (tajemnica bankowa,
ochrona danych osobowych) nie zezwala bowiem w tej chwili na zbieranie czy
przekazywanie takich informacji.
Wyzwania organizacyjne. Wdrożenie FATCA wymaga znaczących zmian organizacyjnych
i zmian w systemach informatycznych instytucji finansowych w Polsce. Istniejące
systemy będą musiały zostać wyposażone w dodatkowe funkcjonalności związane z
identyfikacją i pozyskiwaniem dodatkowych informacji nt klientów lub transakcji z
udziałem podmiotów mających status tzw. „US Person”, konieczna będzie integracja
systemów celem zbiorczego przekazywania wymaganych informacji, konieczne też będą
zmiany w regulaminach i wewnętrznych przepisach poszczególnych instytucji
finansowych. Do wybranego modelu systemu przekazywania informacji będzie trzeba
dostosować infrastrukturę informatyczną.
Podejście dużych krajów UE. Model współpracy przy przekazywaniu informacji na
potrzeby FATCA wypracowany pomiędzy USA a Francją, Hiszpanią, Niemcami, Wielką
Brytanią i Włochami zakłada zbieranie wymaganych informacji przez krajowe urzędy
podatkowe a następnie wymianę informacji pomiędzy władzami podatkowymi USA i
danego kraju członkowskiego.
Polska. Wdrożenie FATCA z punktu widzenia systemu bankowego generuje koszty, nie
tworząc bezpośrednio wartości dla klientów banków i innych instytucji finansowych.
Dlatego wskazane jest, aby wdrożenie FATCA nastąpiło w sposób jak najbardziej
efektywny, minimalizujący obciążenia finansowe i organizacyjne dla obciążonych nim
podmiotów (instytucji finansowych, państwowych, klientów banków).
Tytuł rekomendacji: Rozwój nowych technologii a ryzyko utraty zaufania do sektora
bankowego
Rekomendujemy wprowadzenie „szybkiej ścieżki” do odwracania skutków zdarzeń
systemowych, takich jak np. masowe nieautoryzowane (np. zmultiplikowane) uznanie
rachunków wielu odbiorców.
Uzasadnienie
Rozwój usług płatniczych. Usługi płatnicze rozwijają się z coraz większą dynamiką.
Następuje rozwój systemów płatności natychmiastowych, płatności mobilnych,
elektronicznych płatności bezpośrednich. Wszystkie te usługi opierają się na coraz
większym wykorzystaniu technologii i przepływie informacji w czasie rzeczywistym.
Nowe ryzyka. Coraz krótszy czas pomiędzy zleceniem a rozliczeniem transakcji, coraz
większa ilość informacji finansowych przepływających w sieci, coraz większe
zastosowanie technologii mobilnych generuje nowe ryzyka systemowe, których trudne
w chwili obecnej do oszacowania, jednak możliwe do przewidzenia.
Już przy dotychczasowym modelu sesyjnym rozliczeń elektronicznych w systemie
bankowym powracał problem „odwracania” omyłkowych, na przykład powtórzonych
transakcji. Do tego przy transakcjach natychmiastowych pojawia się ryzyko nadużycia
systemu i szybkiego wyprowadzenia z niego istotnych kwot, np. poprzez
zwielokrotnianie transakcji, przekierowywanie transakcji, no i oczywiście
przechwytywanie danych i środków uwierzytelniających. Natychmiastowość rozliczenia
utrudnia przeciwdziałanie takim zdarzeniom.
Regulacje płatnicze. Zagadnienia płatności regulowane są w UE przede wszystkim tzw.
Dyrektywą PSD (Payment Services Directive 2007/64/WE) i aktami ją wprowadzającymi
do porządków prawnych poszczególnych Państw Członkowskich, w Polsce ustawą z dnia
19 sierpnia 2011 o usługach płatniczych. Są to skomplikowane i techniczne akty
prawne.
Analiza adekwatności istniejących narzędzi prawnych do nowych ryzyk. Konieczne jest
szczegółowe przeanalizowanie obecnego systemu prawnego w celu weryfikacji, czy
dysponujemy narzędziami prawnymi mogącymi zaadresować te nowe ryzyka i czy
ewentualne wprowadzenie takich narzędzi wymaga ingerencji tylko w porządek
krajowy, czy też uaktualnieniu powinna ulec Dyrektywa PSD. W szczególności analizie
poddać trzeba możliwość wprowadzenia „szybkiej ścieżki” do odwracania skutków
zdarzeń systemowych, takich jak np. masowe nieautoryzowane (np. zmultiplikowane)
uznanie rachunków wielu odbiorców. Do zdarzeń takich może dojść wskutek pomyłki
człowieka, błędu systemu lub wskutek celowego działania osób trzecich.
Rekomendacja D. Nowa Rekomendacja D KNF w punkcie 18.9 zawiera zalecenie do
współpracy i wymiany informacji pomiędzy bankami co do zidentyfikowanych naruszeń
bezpieczeństwa środowiska teleinformatycznego. W naszej ocenie współpraca sektora
bankowego powinna pójść dalej, tak aby proaktywnie dbać o bezpieczeństwo systemu
bankowego z poziomu teleinformatycznego, w miarę możności wykorzystując wiedzę o
zagrożeniach i sposobach radzenia sobie z nimi pochodzącą z innych rynków.