Seletuskiri Eesti Panga presidendi määruse „Makseteenuse ja sularaharingluse kirjeldus ja toimepidevuse nõuded” kohta xx.xx 2024. a
Eesti Pank täiendab määrust „Makseteenuse ja sularaharingluse kirjeldus ja toimepidevuse nõuded” (ETO nõuded) kolmes lõikes:
1) makseteenuste ja sularaharingluse toimepidevuse nõuete täiendamine eesmärgiga parandada nende elutähtsate teenuste kättesaadavust hädaolukorras (§ 1 punktid 5 ja 6);
2) hädaolukorra definitsiooni muutmine (§1 punktid 9 ja 10);
3) redaktsioonilised muudatused, mis tulenevad muudatustest muudes seotud seadustes või olid muul põhjusel otstarbekad teha (§ 1 punktid 1-4, 7, 8 ning 11).
Eesti Pank sätestab neli uut nõuet elutähtsa teenuse tasemele hädaolukorras – kolm makseteenuste ja üks sularaharingluse kohta. Uute nõuete kehtestamise vajaduse on põhjustanud eelkõige muutunud julgeolekuolukord tulenevalt Venemaa sõjalisest agressioonist Ukraina vastu, mis on ajendanud võtma täiendavaid toimepidevuse tagamise meetmeid konkreetsete pangaklientidele mõeldud varulahenduste rakendamise näol:
1) massmaksete algatamine kui tavapärane failimaksete lahendus ei toimi;
2) digitaalne isikutuvastamine ja maksete kinnitamine, kui esineb tõrkeid riigi eID teenusepakkuja töös;
3) võrguühenduseta kaardimaksed kui kaardimakse taristu on mingi suurema tõrke või kriisi tõttu täiesti rivist väljas.
ETO-pangad ja Eesti Pank on nende varulahenduste üle rohkem kui aasta arutlenud ja lahenduste realiseerimisel on tehtud edusamme, kuid ETO-pankade valmisolek varulahenduste rakendamiseks on ebaühtlane. Seetõttu peab Eesti Pank elutähtsa teenuse korraldajana vajalikuks varulahenduste realiseerimist võimaldavad nõuded kehtestada õiguslikult tehnilise valmisoleku nõuetena kõikidele ETO-pankadele. Nõuded on konkreetsed, kuid ETO-pankadele on jäetud piisavalt vabadust nende tehniliseks realiseerimiseks.. Nõuete määrusesse lisamisega on tagatud nõuete ajaliselt ühetaoline rakendamine üle kõikide ETO-pankade.
Määruse § 1 punktis 5 on sätestatud uus hädaolukorra tehniline lahendus kaardimakse toimepidevuse tagamiseks, reguleerides maksekaartide aktsepteerimisega seotud nõude, milleks on võrguühenduseta (offline) kaardimakse lahenduse võimaldamine ETO-kaupmeeste (esimeses etapis kütus, edaspidi ka toit ja ravimid) ostmisel nii füüsilistele kui juriidilistele isikutele.
Võrguühenduseta lahendust kasutatakse ainult juhtudel, kui kaardimakse taristu ei ole tavapärases online režiimis kättesaadav st kui kaardimakse vastuvõtja, kaardiprotsessor, kaardi väljastanud pank ei ole kättesaadav või puudub sideühendus. Kaardimakse taristu puudumisel on teenusepakkuja kohustus võimaldada ETO pankade väljastatud ning kiibiga varustatud pangakaartide tehingud võrguühenduseta lahenduse kaudu.
Võrguühenduseta kaarditehing tähendab, et tehing toimub nö pangakaardi ja terminali tasemel – kaardi väljastanud pangad on seadnud pangakaardi kiibile kliendipõhise limiidi vastavalt pangakaardi omaniku valmidusele täita panga ees oma kohustused ning kaardimakse vastuvõtjad pangad ja/või kaupmehe acquirer teenusepakkujad on taganud makseterminalide valmisoleku viisil, et see võimaldab teha võrguühenduseta kaardimakset kuni 200 euro väärtuses tehingu kohta.
Võrguühenduseta kaarditehingu korral on vastutus (liability) kaardi väljastanud (issuer) pangal. Makseteenuste direktiivi (PSD2) SCA chip+pin paneb vastutuse kaardiväljastaja (issuer) pangale, kaardiskeemide reeglid peavad direktiivi kohast vastutuse üleminekut kaardiväljastajale toetama.
Võrguühenduseta lahenduses on lubatud vaid tugevalt autenditud tehinguid, st et tehing tuleb autentida PIN koodiga. Võrguühenduseta kaardimakse tegemisel tuleb kasutada füüsilist pangakaarti, digitaalse rahakoti tehingud (mobiili, käekella või muude seadmetega) ei ole võrguühenduseta võimalikud.
Offline kaardimakse rakendamise eel on analüüsitud offline lahendusega kaasnevaid riske ning tehtud mõjuanalüüs:
• krediidi- ja pettuse riskid. Offline lahenduses saavad teatud tingimustel tehinguid teha ka pangakliendid, kelle kontol reaalselt vahendid puuduvad. Riski suurendab ka asjaolu, et tehnilise funktsionaalsuse tõttu muutub hädaolukorra lahenduse eesmärgil realiseeritav lahendus aktiivseks ka tavaolukorras, st väiksemate tõrgete korral. Et hoida riskid madalamal, realiseeritakse lahendus vaid valitud sektorite ETKAde määratud kaupmeeste müügikohtades. Lisaks, EP ei sea ETO pankadele ette nõutavat limiidi suurust, vaid offline’is on lubatud kaardimakseid teha vaid ETO panga poolt seatud kliendipõhise limiidi piires. Eeldame, et seatavad limiidid on tüüpiliselt siiski piisavad nädala esmaste tarbekaupade ostmiseks hädaolukorras. Turvalisust tõstab lahenduse funktsionaalsus – et offline tehing eeldab PIN-koodiga tehingu kinnitamist ning limiit väheneb iga ostu järel kuni hetkeni, mil kaarditeenus toimib taas online’is.
Pettuseriski, nt kaupmehe ja kaardiomaniku kuritegeliku käitumise minimeerimiseks ning ka tavaolukorras lahenduse kuritarvitamise vähendamiseks tuleb pankadel koostöös kaardiskeemidega rakendada lahenduse väärkasutuse monitooringut ning vajadusel sanktsioneerimist.
• arestide ja käsutuskeeldudega seotud riskid. Pankade ülesandeks on korraldada vajalike konto haldustoimingute n-ö tehniline realiseerimine selliselt, et välistada vastuollu minek kontode kasutuskeeldude ja areste reguleerivate seadustega. Lahendamist vajab risk, kus aresti seadmise ja kaardimakse infrastruktuuris tõrke realiseerumise vaheline aeg on sedavõrd väike, et issuer panga poolne tehniline kaardi seadistuse uuendamine ei jõustu õigeaegselt ning see võib tuua pangale regulatiivse riski realiseerumise ning paratamatu seadustega vastuollu mineku. Eesti Pank konsulteerib Rahapesu Andmebüroo ning Rahandusministeeriumiga enne offline kaardimaksete rakendamist, et kindlustada offline lahenduse õiguskindlus ja välistada vastuollu minek teiste õigusaktidega.
Mõjuanalüüsist tulenevalt peavad teenusepakkujad pangad koostöös kaardiskeemidega monitoorima võimalikku kaardi väärkasutust ning vajadusel rakendama sanktsioone väärkasutuse ning pettuste minimeerimiseks. Enne lahenduse realiseerimist tuleb maandada arestide ja käsutuskeeldudega seotud regulatiivsed riskid.
Võrguühenduseta lahenduse realiseerimisel on oluline, et ETO pankade tehtavatele arendustele lisaks on offline kaardimakse võimaldatud ka ETO kaupmeeste poolt. Eesti Pangal puudub vajalik delegatsiooninorm, et kaupmeeste kohustusi reguleerida. ETKAde määratud ETO müügikohtade ja/või kriisipoodide reguleerimiseks on vajalik, et vastavate sektorite ETKA-d seavad offline kaardimaksete lahenduse aktsepteerimise nõuded oma kaupmeestele. Offline lahenduse rakendamise eelduseks on see, et ETO müügikohtadele on ETKA poolt offline kaardimakse aktsepteerimise nõuded nii kehtestatud kui ka jõustatud. ETO pangad realiseerivad offline võimekuse kütuse, toidu ja ravimi valdkonna ETKAde määratud kaupmeeste müügikohtade nimekirja alusel.
Offline kaardimakse realiseerimise tulemusel soovime võimaldada ostud kolme sektori (toit, kütus ja ravimid) kauplejate juures, kes on nimetatud elutähtsa teenuse osutajateks vastavalt Eestis kehtivale seadusele või selle alusel antud õigusaktile.
Käesoleva määruse muudatuse loomise hetkel on kolmest valdkonnast ETO staatuses vaid vedelkütusega varustajad (tanklaketid) ning Eesti Pank teeb Kliimaministeeriumiga koostööd, et reguleerida mehitatud ETO tanklakettide ning kriisitanklate müügikohtades offline kaardimakse võimaldamine 2024 aasta jooksul ning realiseerida offline kaardimakse võimalus vedelkütusega varustavate ETO kaupmeeste juures 1. jaanuarist 2025. Nimekirja tanklate müügikohtadest, kus kaupmees peab võimaldama offline kaardimakset, määrab ETKAna Kliimaministeerium.
Ülejäänud sektorite (toit ja ravimid) müügikohtades plaanime offline kaardimakse võimaluse realiseerida vastavate ETKAde poolt kaupmeestele offline kaardimakse võimaldamise nõuete rakendamise järel.
Määruse § 1 punktis 6 on ETO-pankadele sätestatud nõue olla valmis pakkuma elutähtsa elektroonilise isikutuvastamise teenuse toimepidevust tagavaid võrguühenduseta varulahendusi. See võimaldab jätkata makseteenuste pakkumist juhtudel, kus esineb tõrkeid riigi eID teenusepakkuja töös, sest elektroonilise isikutuvastamise ja digitaalse allkirjastamise teenuse toimimine on maksete tegemisel hädavajalik.
Kui esineb tõrkeid riigi eID teenusepakkuja töös, mis toob kaasa selle, et elektroonilise isikutuvastamise ja digitaalse allkirjastamise teenused on katkenud, siis peab ETO-pank tagama oma klientidele võimaluse jätkata makseteenuste kasutamist ID-kaardiga. Praegusel hetkel seisneb riigi eID teenusepakkuja SK ID Solutions (SK) pakutav varulahendus tühistusnimekirjade (CRL) offline kasutamises. Selgituseks, et SK väljastab tühistusnimekirja reaalajas pakutavate teenuste katkemise ennetamiseks. SK tühistusnimekirjad sisaldavad infot tühistatud ja peatatud sertifikaatide kohta. Tühistusnimekirjad on kumulatiivsed, sisaldades infot kõigi sertifikaatide kohta, mis on hetkel peatatud või tühistatud. Tühistusnimekirju väljastab SK kaks korda ööpäevas 12-tunnise intervalliga. Seega peab ETO-pank olema tehniliselt valmis võimaldama pangasiseste ja teenuseosutajate vaheliste maksete kinnitamist viimase tühistusnimekirja andmeid kasutades.
Eesti Panga hinnangul tagab ID-kaardi kasutamine maksete kinnitamiseks nö offline ehk vastu tühistusnimekirja makseteenuse jätkumise vajalikul määral valdavale osale elanikest. ETO-pankadelt eeldab see tehnilist ja protseduurilist valmisolekut lubada tühistusnimekirja alusel digitaalset allkirjastamist (PIN2 kasutamine) ning vajadusel kliendipõhiste limiitide sisse lülitamist.
Määruse § 1 punktis 6 on ka ETO-pankadele sätestatud nõue olla valmis võtma hädaolukorras töötlemiseks vastu kogumina algatatud maksejuhiseid, kui tavapärased maksejuhiste kogumina (failimaksete) panka edastamise lahendused ei toimi (see tähendab, et ETO-pangal on ettevalmistatud vähemalt üks alternatiivne võimalus lisaks tavapäraselt kasutatavale lahendusele). Failimaksete toimimise tagamine on oluline, et ettevõtted ja riik saaksid oma raamatupidamissüsteemist panka saata palga-, pensioni- toetuste jm maksete kogumeid.
Varuplaanid ja lahendused tuleb ETO-pankadel valmis teha vähemalt suuremate klientidega ja see, milliseid meetmeid rakendada, lähtub konkreetsest juhtumist. Juhtudel, kus panga ja suurklientide vahelise liidese (gateway) ja/või internetipanga kaudu ei ole võimalik faile üles laadida, võiks ETO-pank olla valmis rakendama vähemalt ühte järgmistest alternatiivsetest meetmetest:
1) klientidelt maksefailide meilitsi ja krüpteeritult vastuvõtmine;
2) klientidelt maksefailide vastuvõtmine pangakontoris kohapeal kasutades ETO–panga pakutavat wifi ühendust ja kliendi andmekandjat (nt sülearvuti);
3) varasemalt kokkulepitud protseduur USB mälupulgal andmevahetuseks.
Lisaks peab pank olema tehniliselt valmis võtma neid meetmeid:
1. Geopiirangute seadmine (Eesti või Baltikum) ja
2. Klientide valgesse nimekirja lisamine (klientide IP aadresside whitelistimine);
Määruse § 1 punkt 6 reguleerib ka ETO pankade sularahaautomaatide ristkasutuse toimimist hädaolukorras. Määruses täpsustatakse, et ristkasutuse toimimine hädaolukorras sularaha väljavõtmise tehingute teostamiseks peab olema kättesaadav. Ristkasutuse piiramine hädaolukorra ajal kõikidele teise krediidiasutuse klientidele ühetaoliselt on võimalik krediidiasutuse poolt põhjendatud juhtudel. Piirangu rakendamine peab olema kooskõlas hädaolukorra lahendamise eesmärkidega ning sellest tuleb krediidiasutusel viivitamatult teavitada, koos piirangu rakendamise põhjendustega, Eesti Panka ja Finantsinspektsiooni. Antud punkti alusel ei reguleerita seadusest tulenevate piirangute seadmist üksikklientidele. Ristkasutuse all mõeldakse olukorda, kus panga klient saab sularaha tehinguid teha mitte kodupanga opereeritavatest sularahaautomaatidest. Nõue kehtestatakse selleks, et hädaolukorras oleks tagatud sularaha taristu toimine ning sularaha väljavõtmise tehingute tegemine kui ühe või mitme ETO tegevuses on häired. Sellise meetme eesmärgiks on vähendada hädaolukorras teenuse katkestustega kaasnevat mõju ning sularaha väljavõtutehingute eskaleerumist ning kontsentreerumist. Hetkel on Eestis kolm suuremat ATM-ide võrgu omanikku – Swedbank, SEB ja Worldline.
Määruse § 1 punktiga 9 muudetakse hädaolukorra definitsiooni – senised makseteenuste ja sularaharingluse hädaolukorra definitsioonid on ühendatud ja nende sõnastust on muudetud. Varasemad hädaolukorra definitsioonid olid mõlema teenuse osas liialt kitsad: makseteenuste hädaolukord keskendus ainult pankadevahelise arveldussüsteemi toimepidevusele ja sularaharingluse hädaolukord sularahavedudele. Makseteenuste hädaolukorra võib aga põhjustada ka makseteenuse pikaajaline katkestus ühes või mitmes ETO-pangas ja sularahateenuste hädaolukorra sularaha taristu toimimise ulatuslikud häired või töö lakkamine.
Uus hädaolukorra definitsiooni sõnastus kehtib nii elutähtsate makseteenuste kui sularaharingluse kohta. Eesti Pank määrab kaks tingimust, mille puhul on tegemist elutähtsa teenuse ulatuslikust või raskete tagajärgedega katkestusest põhjustatud hädaolukorraga:
1) elutähtsa teenuse katkestus on pikaajaline või mõjutab olulist osa teenuse kasutajatest ja
2) Eesti Panga hinnangul on teenuste ulatusliku või raskete tagajärgedega katkestuse lahendamiseks vaja võtta erakorralisi meetmeid.
Nendeks meetmeteks võivad olla mitme asutuse sh ETO-pankade kiire kooskõlastatud tegevus rakendada tavapärasest erinevat juhtimiskorraldust ning kaasata tavapärasest oluliselt rohkem isikuid ja vahendeid.
Elutähtsa teenuse osutamise pikemaajaline katkestus ühes ETO-pangas võib käivitada kriisijuhtimise või hädaolukorra lahendamise. Ühes ETO-pangas elutähtsa teenuse osutamise pikemaajalisel katkemisel, mis ei mõjuta oluliselt teisi ETO-pankasid ehk kriisijuhtimise käivitamisel jätkab Eesti Pank konkreetse ETO-panga olukorra jälgimist ja vajadusel teiste ETO-dega olukorrateadlikkuse jagamist ning vajadusel kommunikatsiooniga toetamist.
Määruse §-s 2 sätestatakse tähtaeg määruses kehtestatud uute nõuete rakendamiseks. Selleks on 1. jaanuar 2025. Määruse § 6 lõike 1 punkt 6 jõustub 1. jaanuaril 2025.a, kuid mitte varem, kui jõustub vedelkütust müüvate elutähtsa teenuse osutajate kohustus võtta vastu kaardimakseid kui kaardimaksete tavapärane taristu ei ole kättesaadav.