Az MNB véleménye nem tekinthető kötelező erejű állásfoglalásnak, a benne foglaltaknak más hatóságra, illetve a bíróságra nézve nincs kötelező tartalma. Jelen állásfoglalás kizárólag tájékoztatás céljából készült, a benne foglaltak egyéb célok (pl. marketing) érdekében, továbbá harmadik személyekkel szemben nem használhatók fel, illetve jogvita eldöntésére nem alkalmazhatóak.
Az MNB jelen jogértelmezése az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről szóló 2017. november 27-i (EU) 2018/389 felhatalmazáson alapuló bizottsági rendelet angol nyelvű változatán alapul.
Sorszám | Kérdés | Válasz | Frissítés dátuma |
C/1 | Milyen módon kell teljesítenie a fizető fél fizetési számláját vezető pénzforgalmi szolgáltatónak a Pft. 44. § (1) bekezdésében említett írásbeli tájékoztatást? | A Pft. 44. § (1) bekezdésében említett írásbeli tájékoztatási kötelezettség az EBEAD rendszeren keresztül teljesítendő (P65 MNB azonosító kódú adatszolgáltatás). | 2019.02.28 |
C/2 | Szükséges-e a pénzforgalmi szolgáltatónak bizonyítékot csatolnia a P65 MNB azonosító kódú adatszolgáltatáshoz? | A Pft. 44. § (1) bekezdése alapján jóvá nem hagyott fizetési művelet teljesítése esetén – függetlenül attól, hogy azt a fizetés-kezdeményezési szolgáltatást végző pénzforgalmi szolgáltatón keresztül kezdeményezték vagy sem – a fizető fél fizetési számláját vezető pénzforgalmi szolgáltató köteles azután, hogy tudomást szerzett vagy tájékoztatták a műveletről haladéktalanul, de legkésőbb az ezt követő munkanap végéig megtéríteni a fizető fél részére a jóvá nem hagyott fizetési művelet összegét, és a fizetési számla tekintetében a megterhelés előtti állapotot helyreállítani. A Pft. 44. § (1) bekezdés szerinti bejelentést a fizető fél számláját vezető pénzforgalmi szolgáltató a P65 MNB azonosító kódú adatszolgáltatásával teljesítheti, amelyhez nem szükséges a gyanút alátámasztó bizonyítékokat csatolni. | 2018.02.14 |
C/3 | Eleget tesz-e a pénzforgalmi szolgáltató a Pft. 55/B. § (1) bekezdés szerinti bejelentési kötelezettségénék, amennyiben nem tart fenn folyamatos - biztonsági - ügyeletet, így nem a súlyosabbnak minősülő biztonsági esemény bekövetkezésének naptári napján, hanem a súlyosabbnak minősülő biztonsági eseményt követően a pénzforgalmi szolgáltató általi tényleges észleléskor, illetve tudomásszerzést követően - indokolatlan késedelem nélkül - jelenti az MNB felé az eseményt? | A Pft. 55/B. § (1) bekezdése alapján a pénzforgalmi szolgáltatónak a súlyosabb működési és biztonsági eseményekről haladéktalanul értesítenie kell az MNB-t, amelyet a P64 MNB azonosító kódú adatszolgáltatás keretében tehet meg az MNB által a hiteles adatok fogadásához kialakított és üzemeltetett, biztonságos kézbesítési szolgáltatásnak minősülő elektronikus kézbesítési rendszeren (ERA rendszer) keresztül. A P64 MNB azonosító kódú adatszolgáltatásban említett súlyosabb működési és biztonsági események kapcsán a pénzforgalmi szolgáltató a súlyosabbnak minősülő működési és biztonsági eseményt haladéktalanul, de legkésőbb az észlelést követő 4 órán belül jelenti az MNB felé. Álláspontunk szerint amennyiben a súlyosabbnak minősülő működési és biztonsági esemény tényleges észlelését követő 4 órán belül megtörténik a bejelentés, a pénzforgalmi szolgáltató eleget tesz bejelentési kötelezettségének. |
2018.02.14 |
C/4 | A P58 MNB azonosító kódú adatszolgáltatás az új P64 MNB azonosító kódú adatszolgáltatás bevezetésével megszűntetésre kerül? | Az adatszolgáltatási MNBr. P58 MNB azonosító kódú adatszolgáltatása a P64 MNB azonosító kódú adatszolgáltatás bevezetésével nem kerül megszűntetésre, azonban módosul. A kapcsolódó MNB rendelet módosítása folyamatban van. A módosításig tartó átmeneti időszakban a P58 MNB azonosító kódú adatszolgáltatást a hatályos adatszolgáltatási rendeletnek megfelelően kell benyújtani. | 2018.05.02 |
C/5 | A Pft. 55/A. § (2) bekezdés szerinti éves átfogó értékelést a pénzforgalmi szolgáltatásokhoz kapcsolódó működési és biztonsági kockázatokról, továbbá az e kockázatok mérséklésére alkalmazott intézkedések és a kapcsolódó ellenőrzési mechanizmusok megfelelőségéről milyen időpontig, milyen vonatkozási idővel és hogyan kell a pénzforgalmi szolgáltatónak teljesítenie első alkalommal, illetve a későbbiekben? | A Pft. 55/A. § (2) bekezdése szerint a pénzforgalmi szolgáltató évente egyszer - vagy a Felügyelet által meghatározott rövidebb időközönként - aktualizált és átfogó értékelést küld a Felügyeletnek az általa nyújtott pénzforgalmi szolgáltatáshoz kapcsolódó működési és biztonsági kockázatokról, továbbá az e kockázatok mérséklésére alkalmazott intézkedések és a kapcsolódó ellenőrzési mechanizmusok megfelelőségéről. Véleményünk szerint az első alkalommal 2018. január 13-át követően egy éven belül, azaz 2019. január 13-ig kell az adatszolgáltatásnak eleget tenni, a későbbiekben pedig az előző jelentés beküldésétől számított egy éven belül. Az adatszolgáltatási kötelezettség az MNB által erre a célra kialakított elektronikus űrlaphoz való csatolás útján teljesítendő. Az elektronikus űrlapot elektronikus aláírással ellátva, az MNB által a hiteles adatok fogadásához kialakított és üzemeltetett, biztonságos kézbesítési szolgáltatásnak minősülő elektronikus kézbesítési rendszeren (ERA rendszer) keresztül kell benyújtani. | 2018.11.26 |
C/6 | Milyen szempontrendszer alapján kell elkészíteni a Pft. 55/A. § (2) bekezdésében előírt a pénzforgalmi szolgáltató által nyújtott pénzforgalmi szolgáltatáshoz kapcsolódó működési és biztonsági kockázatokról, továbbá az e kockázatok mérséklésére alkalmazott intézkedések és a kapcsolódó ellenőrzési mechanizmusok megfelelőségéről szóló éves átfogó értékelést? | Az MNB elvárja, hogy a pénzforgalmi szolgáltatók a Pft. 55/A. § (2) bekezdése szerinti átfogó értékelést a pénzforgalmi szolgáltatások működési és biztonsági kockázataival kapcsolatos biztonsági intézkedésekről szóló 26/2018. (VIII.16.) MNB ajánlás figyelembe vételével készítsék el. Az ajánlás az alábbi linken érhető el: https://www.mnb.hu/letoltes/26-2018-penzforgalmi-biztonsagi-intezkedesek.pdf | 2018.11.26 |
C/7 | Mely időponttól szükséges a számlavezető pénzforgalmi szolgáltatóknak a P63 MNB azonosító kódú a „Hitelesítéssel és kivételkezeléssel kapcsolatos adatszolgáltatás”-ról szóló adatszolgáltatást benyújtaniuk, továbbá az adatszolgáltatás kitöltési előírása szerinti referencia csalás arányt milyen rendelet alapján szükséges számolni? |
A Pft. 66/A. § (1) bekezdésének értelmében a Pft. 55/C. §-ában meghatározott biztonsági intézkedéseket az SCAr. hatálybalépését követő egy évet követően, de legkésőbb 2019. szeptember 14-től kell alkalmazni. Vagyis a pénzforgalmi szolgáltatók számára az előbbiekben említett 2019. szeptember 14-ig tartó átmeneti időszak során nem előírás a Pft. 2. § 4a. pontja szerinti erős-ügyfélhitelesítés alkalmazása. Azonban az MNB elvárja a pénzforgalmi szolgáltatóktól, hogy az interneten keresztül nyújtott pénzügyi szolgáltatások biztonságáról szóló 15/2015. számú MNB ajánlás figyelembe vételével végezzék az ügyfél hitelesítési eljárásaikat. A P63 MNB azonosító kódú adatszolgáltatás szerinti adatszolgáltatási kötelezettség attól függetlenül fennáll, hogy az ügyfél-hitelesítés során a számlavezető pénzforgalmi szolgáltató alkalmazza-e a Pft. 55/C. §-ában meghatározott erős ügyfél-hitelesítést, illetve él az SCAr.-ben lehetőségként biztosított erős ügyfél-hitelesítés alóli kivételek alkalmazásával és az SCAr. által megengedett esetekben az erős ügyfél-hitelesítést mellőzi. Azonban, ha az átmeneti időszakban az adatszolgáltatás egyetlen táblájában sincs jelentendő adat, akkor az adatszolgáltatónak adatszolgáltatási kötelezettségét nemleges jelentés beküldésével kell teljesítenie. A hitelesítéssel és kivételkezeléssel kapcsolatos P63 MNB azonosító kódú adatszolgáltatást az adatszolgáltatási MNBr. megfelelően negyedéves gyakorisággal kell benyújtani az MNB részére. Az adatszolgáltatás kitöltési útmutatója szerinti referencia csalás szint számítása és értékelése az SCAr.-ben meghatározott szabályok szerint történik. |
2019.02.28 |
C/8 | Csalási arány számításakor milyen módszer alkalmazása felel meg az SCAr. előírásainak, valamint a 2020. január 01-től alkalmazandó P12 és P14 MNB azonosító kódú adatszolgáltatásoknak? A fizetési műveletenként (távoli elektronikus kártyaalapú fizetések és távoli elektronikus átutalások) meghatározott csalási arányok meghatározhatóak függetlenül az SCAr.-ben meghatározott egyes kivételi küszöbértékektől, vagy a fizetési műveleteken belül a küszöbértékeket valamennyi fizetési művelet esetében külön-külön is meg kell határozni? |
"Az SCAr. 19. cikk (1) bekezdése szerint az egyes művelettípusokra vonatkozó átfogó csalási arányok kiszámításához gördülő negyedévi (90 napos) alapon a nem engedélyezett vagy csalárd távoli műveletek összértékét – függetlenül attól, hogy a pénzösszegeket visszaszerezték vagy sem – el kell osztani az ugyanolyan művelettípusokat érintő összes távoli művelet összértékével, függetlenül attól, hogy a műveleteket erős ügyfél-hitelesítés alkalmazásával hitelesítették vagy a 13–18. cikkekben említett bármely kivétel alapján hajtották végre. Figyelembe véve az EBA álláspontját (ID: 2018_4045) a 90 napos gördülő csalási arány számítás értelmezhető úgy, hogy csak egyszer kell kiszámolni naptári negyedévenként. Mindezek alapján véleményünk szerint mind a két számítási mód megfelelhet a jogszabályban előírtaknak. Megjegyezzük azonban, hogy a csalási arányok számítása során a 2020. január 1-től alkalmazandó P12 és P14 MNB azonosító kódú adatszolgáltatásokban, mely kiváltja a P63 MNB azonosító kódú adatszolgáltatást is, a fizetési kártyás illetve átutalásokhoz kapcsolódóan a kódlisták alapján részletesebb fizetés művelet típus bontásban kell szerepeltetni a csalási arányokat, így a csalási arányok kiszámításához használt módszertant és modelleket javasolt ehhez igazítani. Továbbá felhívjuk a figyelmet arra, hogy az SCAr. 19. cikk (2) bekezdése szerint a csalási arányok kiszámítását és az abból eredő számadatokat a 3. cikk (2) bekezdésében említett könyvvizsgálói ellenőrzés során értékelni kell, aminek biztosítania kell az adatok teljességét és pontosságát. Továbbá az SCAr. 19. cikk (3) bekezdése szerint a pénzforgalmi szolgáltató által a csalási arányok kiszámításához használt módszertant és modelleket, valamint magukat a csalási arányokat megfelelően dokumentálni kell és az MNB rendelkezésére kell bocsátani kérésére. " |
2020.03.24. |
C/9 | A P63 MNB azonosító adatszolgáltatásban korábban használt fizetési műveletek ("Kártya fizikai jelenlétét nem igénylő vásárlás", "Hagyományos kártyás vásárlás", "Érintéses kártyás vásárlás") körében előforduló csalásokat hol kell a 2020. január 1-től alkalmazandó P13 és P14 MNB azonosító kódú adatszolgáltatásokban szerepeltetni? |
A P63-as MNB azonosító kódú adatszolgáltatás 02-es Ügyfélhitelesítés táblában kell bontani a fizetési kártyával kezdeményezett fizetési műveleteket a következők szerint: hagyományos, érintéses, fizikai jelenlétet nem igénylő, amely a 2020. január 1-től alkalmazandó P13 MNB azonosító kódú adatszolgáltatás 01-es táblájában fog megjelenni. A P63 MNB azonosító kódú adatszolgáltatás 01-es Csalásarány táblában csak a kártya fizikai jelenlétét nem igénylő ügyletekből eredő csalásarányokat kötelező jelenteni, amely a 2020. január 1-től alkalmazandó P14 MNB azonosító kódú adatszolgáltatás 02-es táblának fog megfelelni, ahol nem kell bontani a fizetési kártyával kezdeményezett fizetési műveleteket a a korábbi bontás szerint ( "hagyományos", "érintéses", "fizikai jelenlétet nem igénylő"), hanem csak a kártya fizikai jelenlétét nem igénylő ügyletekből eredő csalásarányokat kell szerepeltetni a KARTYA kód alatt |
2020.03.24. |
C/10 | Mikor és milyen adatszolgáltatói körnek kell jelentenie a P70 MNB azonosító kódú, célra rendelt interfész egyes követelményeinek nemteljesítésére vonatkozó eseti adatszolgáltatást? Pontosan milyen feltételek nem teljesülésének bejelentését várja ez az MNB? |
A bejelentési kötelezettség csak azon számlavezető pénzforgalmi szolgáltatók esetében áll fenn, amelyek rendelkeznek az SCAr. 33. cikk (6) bekezdésben meghatározott tartalékmechanizmus létesítése alóli mentesítési (engedélyezési) határozattal. A tartalékmechanizmus létesítése alóli mentesítési beadványában a számlavezető pénzforgalmi szolgáltatónak ki kellett térnie valamennyi rendelkezésre állási és teljesítmény mutatóra, valamint a szolgáltatási célértékek meghatározására. A nemteljesítés az SCAr. 33. cikk (6) bekezdés a) és d) pontjaiban feltüntetett feltételek valamennyi nem teljesítését jelenti, amely tartósan, két egymást követő két naptári héten át fennáll. Amennyiben a tartalékmechanizmus létesítése alóli mentesítési beadványában a számlavezető pénzforgalmi szolgáltató a szolgáltatási szint célértékéhez definiált napi átlagos kiszolgálási mutatókat is, akkor beleértendő ez a mérőszám is, de a bejelentési kötelezettség akkor áll fenn, ha valamennyi SCAr.-ben előírt feltétel nem teljesül. A tartalékmechanizmus létesítése alóli mentesítési beadványban szerepeltett célra rendelt interfészre vonatkozó rendelkezésre állási mutatóra is vonatkozik. A bejelentési kötelezettség az SCAr. 33. cikk (6) bekezdés a) és d) pontjaiban feltüntetett feltételek valamennyi nem teljesítését jelenti, amely tartósan, két egymást követő naptári héten át folyamatosan fennáll. A nemteljesítésbe beletartozik a tartalékmechanizmus létesítése alóli mentesítési beadványban szerepeltett célra rendelt interfészre vonatkozó rendelkezésre állási és teljesítmény mutatók, illetve a szolgáltatási célértékek nemteljesülésének folyamatos és együttes fennállása is. |
2020.03.24. |
C/11 | Mikor és milyen adatszolgáltatói körnek kell jelentenie a P72 MNB azonosító kódú, a célra rendelt interfész nem tervezett elérhetetlensége, vagy összeomlása esetén teljesítendő eseti adatszolgáltatást? | Az SCAr. 33. cikk (3) bekezdése szerint a pénzforgalmi szolgáltatóknak haladéktalanul jelenteniük kell az MNB felé az SCAr. 33. cikk (1) bekezdésben leírt, a célra rendelt interfészekkel kapcsolatos problémákat (nem tervezett elérhetetlenség, összeomlás, harmadik fél szolgáltatók akadályoztatása). Nem tervezett elérhetetlenség vagy összeomlás bekövetkezése akkor feltételezhető, ha a fizetés-kezdeményezési, számlainformációs, vagy a kártyaalapú készpénz-helyettesítő fizetési eszközt – ide nem értve az elektronikuspénzt – kibocsátó pénzforgalmi szolgáltatók szolgáltatásuk nyújtása céljából való információ-hozzáférés iránti öt egymást követő kérésre 30 másodpercen belül nem érkezik válasz. A „haladéktalanul” történő jelentés értelmezésünk szerint, összhangban a P64 MNB azonosító kódú, súlyos incidensekre vonatkozó jelentéssel azt jelenti, hogy észlelést követő 4 órán belül jelenteni kell. +C6 | 2020.03.24. |
C/12 | Amennyiben egy a P64 MNB azonosító kódú adatszolgáltatás keretében jelentendő súlyos biztonsági incidens lezárásra került, de rövidesen (pár órán belül), vagy esetleg aznap újra jelentkezik egy újabb incidens, amely ugyanarra a gyökér okra vezethető vissza, akkor az külön incidensként kezelendő és új P64 MNB azonosító kódú adatszolgáltatás bejelentése szükséges, vagy a korábbi jelentésben lehetséges folytatni és abban kezelni? | Amennyiben az incidens lezárását követő 4 órán belül újra jelentkezik egy újabb incidens, amely ugyanarra a gyökér okra vezethető vissza, akkor a korábban az MNB részére megküldött P64 MNB azonosító kódú adatszolgáltatásba írandó, így nem kell rá külön egy újabb adatszolgáltatást küldeni. Amennyiben az újabb incidens bekövetkezése 4 órát meghaladta, akkor új P64 MNB azonosító kódú adatszolgáltatást szükséges benyújtani. Javasoljuk az utóbbi esetben a záró jelentés C/2. részében jelölni, hogy egy korábbi adatszolgáltatás kiinduló okára visszavezethető az incidens. | 2020.03.24. |