Regulatorní technické standardy k silnému ověření klienta („RTS k SCA“), které vstoupily v účinnost dne 14. září 2019, přinesly poskytovatelům platebních služeb, včetně bank a platebních institucí, řadu nových povinností. Ačkoliv média zmiňují především nové povinnosti související s přísnějšími požadavky na ověření klienta zejména při iniciování elektronických plateb (ať už jde o karetní platby v obchodě, koupi zboží v e-shopu, zadávání příkazu v online bankovnictví či jiné úkony), které musí být nově dvoufaktorové (tedy sestávat z kombinace dvou či více prvků z kategorie „znalost“, „držení“ a „inherence“), výše uvedená regulace přináší i nové povinnosti čistě interní povahy. Konkrétně povinnost provádění vnitřních auditů, a to auditu bezpečnostních opatření („audit bezpečnostních opatření“), jakož i auditu způsobu provádění tzv. analýzy transakčních rizik („TRA audit“). Čeho se tyto dva typy auditů týkají a v čem spočívají?
Problematika povinných auditů je v RTS k SCA upravena pouze ve dvou článcích, konkrétně v čl. 3 a čl. 19 odst. 2, přičemž tato ustanovení jsou natolik obecná, že ve vtahu k nim bylo Evropskému orgánu pro bankovnictví („EBA“) položeno již několik otázek ohledně upřesnění jejich výkladu. Jelikož mají být auditní zprávy k oběma typům auditů předkládány až na vyžádání národního regulátora (v případě České republiky tedy České národní banky), bylo by v zájmu právní jistoty žádoucí, aby regulátor některé otázky ještě blíže specifikoval. Některé z těchto nejasností, na které doposud neznáme odpověď, uvádíme níže, zejména pokud jde o formu výstupu a očekávaný časový rámec auditů.
Koho se povinnost provádět audity týká?
Povinnost provádění auditu bezpečnostních opatření vychází z článku 3 RTS k SCA, který poskytovatelům platebních služeb ukládá povinnost přezkumu svých bezpečnostních opatření vyplývajících z čl. 1 RTS. Konkrétně pak jde o povinnosti spojené s prováděním silného ověření a výjimek z něj (pokud se je poskytovatel platebních služeb rozhodl dobrovolně implementovat), povinnosti související s integritou a důvěrností bezpečnostních údajů uživatelů platebních služeb, jakož i společných a bezpečných otevřených standardů komunikace mezi poskytovateli platebních služeb. Oproti auditu bezpečnostních opatření se TRA audit povinně týká pouze těch poskytovatelů platebních služeb, kteří se dobrovolně rozhodli pro implementaci výjimky ze silného ověření v podobě analýzy transakčních rizik. TRA audit pak má konkrétně zkoumat stanovenou metodiku, model a oznámenou míru podvodů. Zjednodušeně řečeno, má jít především o kontrolu toho, jaké transakce jsou či naopak nejsou zahrnovány do vzorce pro výpočet míry podvodů, která je hraniční pro určitou maximální částku finanční transakce za tím účelem, aby byla v daném případě výjimka ze silného ověření uplatněna.
Osoba auditora
Pokud jde o požadavky na osobu provádějící audit, tato musí jak v případě auditu bezpečnostních metod, tak v případě TRA auditu disponovat odbornými znalostmi v oblasti bezpečnosti informačních technologií a plateb a současně být funkčně nezávislá na daném poskytovateli platebních služeb. Nemělo by se tedy jednat o osobu, která napomáhala se samotnou implementací auditovaných opatření. Osobou provádějící audit každopádně může být interní auditor samotného poskytovatele. V tomto ohledu tak vnímáme označení auditor v čl. 3 RTS jako pouhou legislativní zkratku, tedy že auditorem může být v daném případě kdokoliv, kdo disponuje výše uvedenými odbornými znalostmi a je na poskytovateli funkčně nezávislý. Výjimku z tohoto pravidla pak představuje první a následně pak v pořadí každý třetí TRA audit, který musí být naopak proveden nezávislým a kvalifikovaným externím auditorem. Tento auditor pak samozřejmě musí rovněž disponovat výše uvedenými znalostmi.
Auditní zpráva: kdy má být vyhotovena a v jaké formě
RTS k SCA pak ve vztahu k žádnému z auditů neukládá specifickou formu auditní zprávy. Domníváme se však, že z auditní zprávy by mělo být minimálně patrné, jaké případné nedostatky byly u povinné osoby identifikovány, tedy forma tzv. rozdílové analýzy by měla být pro stanovený účel dostatečná. Pokud jde o TRA audit prováděný externím auditorem, měl by příslušný formát vycházet ze standardů kladených na výstupy auditorů v ČR.
Zřejmě největší nejasností ohledně nových auditních povinností pak zůstává jejich načasování, resp. okamžik, kdy nejpozději musí být auditní zpráva vyhotovena. Oba typy auditů mají být prováděny každoročně. Pokud jde o TRA audit, musí být auditní zpráva vyhotovena nejpozději rok od implementace dané výjimky ze silného ověření. Pokud tedy poskytovatel implementoval danou výjimku ze silného ověření k účinnosti RTS k SCA, musí auditní zprávu vyhotovit nejpozději k 14. září 2020. Poněkud složitější je však otázka povinnosti vyhotovení auditní zprávy k auditu bezpečnostních opatření, kdy má být auditní období stanoveno s přihlédnutím k příslušnému rámci pro účetnictví a povinný audit pro daného poskytovatele platebních služeb. S ohledem na skutečnost, že předmětem auditu bezpečnostních opatření bude pro všechny poskytovatele platebních služeb compliance s povinnostmi dle RTS k SCA k 14. září 2019, kdy RTS k SCA nabyly účinnosti, a obecně aplikovatelné účetní období má délku 12 kalendářních měsíců, není zcela jasné, kdy má být historicky první audit bezpečnostních opatření vyhotoven a za jaké období. Jednou z možností je auditovat období od 14. září 2019 do 31. prosince 2019 s tím, že historicky první auditní zpráva k bezpečnostním opatřením bude vyhotovena v první polovině roku 2020. Další možností je celý úsek cca 3 měsíců účinnosti RTS k SCA v roce 2019 spojit s obdobím kalendářního roku 2020 s tím, že auditní zpráva bude vyhotovena až v první polovině roku 2021.
Výklad ustanovení RTS k SCA týkajících se auditních povinností poskytovatelů platebních služeb je pouze střípkem v řadě nejasností, které tato regulace přináší. Nezbývá než doufat, že EBA či národní regulátoři vnesou v dohledné době do výše uvedených nejasností více světla.