Rekomendacje konferencji "IT w instytucjach finasowych"
Transkrypt
Rekomendacje konferencji "IT w instytucjach finasowych"
Propozycje rekomendacji seminarium „IT w instytucjach finansowych” w ramach projektu Europejski Kongres Finansowy Tytuł rekomendacji: Efektywne wdrożenie FATCA Rekomendujemy: 1) przyjęcie modelu centralnego gromadzenia informacji na potrzeby FATCA, w szczególności z wykorzystaniem istniejących już systemów i kanałów komunikacji 2) podjęcie przez kraje członkowskie dyskusji nad efektywnym modelem wdrożenia FATCA, w szczególności dyskusji nad dalszą centralizacją przepływu informacji FATCA na poziomie ponadnarodowym w Europie. Uzasadnienie: Co to jest FATCA. Amerykańska ustawa FATCA (Foreign Account Tax Compliance Act) wymaga od zagranicznych instytucji finansowych (tzw. FFI) dostarczania amerykańskim służbom podatkowym (IRS) informacji o obsługiwanych przez te instytucje obywatelach lub podmiotach pochodzących z USA oraz nakłada na te instytucje rolę poborcy podatkowego pod rygorem nałożenia na nie wysokich sanacyjnych opłat. FATCA a zmiany prawa w UE. Wykonanie FATCA od strony prawnej na terenie Unii Europejskiej wymaga zawarcia przez USA porozumień międzynarodowych z krajami członkowskimi oraz wprowadzenia lokalnych rozwiązań prawnych pozwalających na ich realizację. Prawo obowiązujące w Polsce i w innych krajach UE (tajemnica bankowa, ochrona danych osobowych) nie zezwala bowiem w tej chwili na zbieranie czy przekazywanie takich informacji. Wyzwania organizacyjne. Wdrożenie FATCA wymaga znaczących zmian organizacyjnych i zmian w systemach informatycznych instytucji finansowych w Polsce. Istniejące systemy będą musiały zostać wyposażone w dodatkowe funkcjonalności związane z identyfikacją i pozyskiwaniem dodatkowych informacji nt klientów lub transakcji z udziałem podmiotów mających status tzw. „US Person”, konieczna będzie integracja systemów celem zbiorczego przekazywania wymaganych informacji, konieczne też będą zmiany w regulaminach i wewnętrznych przepisach poszczególnych instytucji finansowych. Do wybranego modelu systemu przekazywania informacji będzie trzeba dostosować infrastrukturę informatyczną. Podejście dużych krajów UE. Model współpracy przy przekazywaniu informacji na potrzeby FATCA wypracowany pomiędzy USA a Francją, Hiszpanią, Niemcami, Wielką Brytanią i Włochami zakłada zbieranie wymaganych informacji przez krajowe urzędy podatkowe a następnie wymianę informacji pomiędzy władzami podatkowymi USA i danego kraju członkowskiego. Polska. Wdrożenie FATCA z punktu widzenia systemu bankowego generuje koszty, nie tworząc bezpośrednio wartości dla klientów banków i innych instytucji finansowych. Dlatego wskazane jest, aby wdrożenie FATCA nastąpiło w sposób jak najbardziej efektywny, minimalizujący obciążenia finansowe i organizacyjne dla obciążonych nim podmiotów (instytucji finansowych, państwowych, klientów banków). Tytuł rekomendacji: Rozwój nowych technologii a ryzyko utraty zaufania do sektora bankowego Rekomendujemy wprowadzenie „szybkiej ścieżki” do odwracania skutków zdarzeń systemowych, takich jak np. masowe nieautoryzowane (np. zmultiplikowane) uznanie rachunków wielu odbiorców. Uzasadnienie Rozwój usług płatniczych. Usługi płatnicze rozwijają się z coraz większą dynamiką. Następuje rozwój systemów płatności natychmiastowych, płatności mobilnych, elektronicznych płatności bezpośrednich. Wszystkie te usługi opierają się na coraz większym wykorzystaniu technologii i przepływie informacji w czasie rzeczywistym. Nowe ryzyka. Coraz krótszy czas pomiędzy zleceniem a rozliczeniem transakcji, coraz większa ilość informacji finansowych przepływających w sieci, coraz większe zastosowanie technologii mobilnych generuje nowe ryzyka systemowe, których trudne w chwili obecnej do oszacowania, jednak możliwe do przewidzenia. Już przy dotychczasowym modelu sesyjnym rozliczeń elektronicznych w systemie bankowym powracał problem „odwracania” omyłkowych, na przykład powtórzonych transakcji. Do tego przy transakcjach natychmiastowych pojawia się ryzyko nadużycia systemu i szybkiego wyprowadzenia z niego istotnych kwot, np. poprzez zwielokrotnianie transakcji, przekierowywanie transakcji, no i oczywiście przechwytywanie danych i środków uwierzytelniających. Natychmiastowość rozliczenia utrudnia przeciwdziałanie takim zdarzeniom. Regulacje płatnicze. Zagadnienia płatności regulowane są w UE przede wszystkim tzw. Dyrektywą PSD (Payment Services Directive 2007/64/WE) i aktami ją wprowadzającymi do porządków prawnych poszczególnych Państw Członkowskich, w Polsce ustawą z dnia 19 sierpnia 2011 o usługach płatniczych. Są to skomplikowane i techniczne akty prawne. Analiza adekwatności istniejących narzędzi prawnych do nowych ryzyk. Konieczne jest szczegółowe przeanalizowanie obecnego systemu prawnego w celu weryfikacji, czy dysponujemy narzędziami prawnymi mogącymi zaadresować te nowe ryzyka i czy ewentualne wprowadzenie takich narzędzi wymaga ingerencji tylko w porządek krajowy, czy też uaktualnieniu powinna ulec Dyrektywa PSD. W szczególności analizie poddać trzeba możliwość wprowadzenia „szybkiej ścieżki” do odwracania skutków zdarzeń systemowych, takich jak np. masowe nieautoryzowane (np. zmultiplikowane) uznanie rachunków wielu odbiorców. Do zdarzeń takich może dojść wskutek pomyłki człowieka, błędu systemu lub wskutek celowego działania osób trzecich. Rekomendacja D. Nowa Rekomendacja D KNF w punkcie 18.9 zawiera zalecenie do współpracy i wymiany informacji pomiędzy bankami co do zidentyfikowanych naruszeń bezpieczeństwa środowiska teleinformatycznego. W naszej ocenie współpraca sektora bankowego powinna pójść dalej, tak aby proaktywnie dbać o bezpieczeństwo systemu bankowego z poziomu teleinformatycznego, w miarę możności wykorzystując wiedzę o zagrożeniach i sposobach radzenia sobie z nimi pochodzącą z innych rynków.