PPC / ppc

<?xml version='1.0' encoding='UTF-8'?>
<teiCorpus xmlns:xi="http://www.w3.org/2001/XInclude" xmlns="http://www.tei-c.org/ns/1.0">
  <xi:include href="PPC_header.xml"/>
  <TEI>
    <xi:include href="header.xml"/>
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#PrzewodniczacyposelWincentyElsner">Dzień dobry. Witam wszystkich państwa – i posłów, i zaproszonych gości. Otwieram 106. posiedzenie Komisji Innowacyjności i Nowoczesnych Technologii. Stwierdzam kworum.</u>
          <u xml:id="u-1.1" who="#PrzewodniczacyposelWincentyElsner">Porządek dzisiejszego posiedzenia obejmuje rozpatrzenie informacji o ciągłości świadczenia usług przez banki w kontekście ostatnich awarii systemów internetowych. Powyższy porządek i materiał członkowie Komisji otrzymali. Czy są uwagi do porządku dziennego posiedzenia? Nie słyszę. Stwierdzam, że Komisja przyjęła porządek dzienny posiedzenia bez zmian.</u>
          <u xml:id="u-1.2" who="#PrzewodniczacyposelWincentyElsner">Zanim przystąpimy do realizacji porządku dziennego, uprzejmie informuję członków Komisji, że w dniu 24 stycznia wpłynęły odpowiedzi od Ministra Skarbu Państwa i Ministra Gospodarki na wniosek przyjęty na wspólnym posiedzeniu Komisji Edukacji, Nauki i Młodzieży oraz Komisji Innowacyjności i Nowoczesnych Technologii w sprawie nakładów na badania i rozwój (B+R) w spółkach Skarbu Państwa. Na podstawie art. 157 regulaminu Sejmu odpowiedź ta została członkom Komisji doręczona drogą elektroniczną.</u>
          <u xml:id="u-1.3" who="#PrzewodniczacyposelWincentyElsner">Przystępujemy do realizacji porządku dziennego. Na wstępie proszę zastępcę przewodniczącego Komisji Nadzoru Finansowego pana Wojciecha Kwaśniaka o zreferowanie tematu będącego przedmiotem dzisiejszego posiedzenia Komisji. Bardzo proszę.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Dziękuję bardzo. Panie przewodniczący, szanowni państwo, dziękując za zaproszenie, które do nas zostało skierowane, zanim przejdę do syntetycznego scharakteryzowania materiału, który wcześniej przesłaliśmy do państwa, chcę zwrócić uwagę na to, iż elementy dotyczące systemu płatniczego, których w głównej mierze dotyczy kwestia awaryjności systemów bankowych, w tym systemów internetowych, składają się w wymiarze makroekonomicznym na całość systemu płatniczego z wiodącą rolą Narodowego Banku Polskiego i z funkcjonującą przy NBP Radą do spraw Systemu Płatniczego. Na poziomie banku centralnego i owej rady jest sprawowany nadzór makro nad systemem płatniczym jako całością. Urząd Komisji Nadzoru Finansowego sprawuje nadzór mikro, czyli nad poszczególnymi instytucjami działającymi w ramach całego systemu płatniczego w Polsce. To, co my wykonujemy, składa się na praktyczne działania wynikające z wymiaru europejskich standardów nadzorczych.</u>
          <u xml:id="u-2.1" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">W obszarze sprawności systemów informatycznych przykładamy dużą wagę do utrzymania przez instytucje bankowe czy instytucje płatnicze przede wszystkim ciągłości działania i świadczenia usług. Po drugie, dużą uwagę poświęcamy incydentom występującym w systemie płatniczym, które wpływają nie tylko na sprawność obsługi klientów i ich bezpieczeństwo, ale również na obraz i reputację systemu bankowego jako całości. Stąd też, przedstawiając tę informację, skoncentrowaliśmy się na trzech aspektach związanych ze skalą incydentów w systemie bankowości internetowej w ubiegłym roku, z działaniami, które w praktyce były podejmowane przez KNF, jak i z charakterystyką wybranych przypadków awarii, bo one oddają – jak bym powiedział – skalę problemów, które występowały.</u>
          <u xml:id="u-2.2" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">W 2013 r. wystąpiło kilkanaście przypadków znacznych awarii systemów bankowych, które uniemożliwiały klientom korzystanie z elektronicznych kanałów dostępu do usług bankowości internetowej oraz płatności kartami płatniczymi przez stosunkowo długi czas. Co rozumiemy przez stosunkowo długi czas? Odbieramy to w ten sposób, jeżeli to jest więcej niż kilka godzin, a tak naprawdę powyżej 1 dnia. Takich przypadków było 8, z tym że trzeba tutaj też wyraźnie powiedzieć, że tylko 2 awarie wiązały się z długotrwałym, więcej niż 2-dniowym brakiem dostępu do świadczonej usługi.</u>
          <u xml:id="u-2.3" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Trzeba również powiedzieć, że w każdym przypadku klienci mieli dostęp do usługi za pośrednictwem fizycznego kontaktu z oddziałem. Oczywiście, jest to pewna niedogodność. Ewentualne problemy natury finansowej, związane z brakiem dostępu do kanału usługi oferowanej przez bank, były z zasady w ramach trybu reklamacyjnego uwzględniane przez banki na korzyść klientów. Jednak warunkiem było, oczywiście, wystąpienie przez klienta z reklamacją.</u>
          <u xml:id="u-2.4" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Chcę powiedzieć, iż 3 awarie wiązały się z wystąpieniem nieautoryzowanych transakcji powodujących zmniejszenie środków klientów, np. poprzez korzystanie z sieci bankomatowych wypłat gotówki czy też podwójnego księgowania operacji, bądź pobierania opłat za prowadzenie rachunku, czyli prowizji. Jak zastrzegłem wcześniej, w każdym przypadku w trybie reklamacyjnym sprawa była wyjaśniana.</u>
          <u xml:id="u-2.5" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Mieliśmy do czynienia z poważną awarią związaną z atakiem hakerskim na jeden z banków. W materiale bliżej opisaliśmy, na czym problem polega. Przede wszystkim na blokowaniu dostępu do stron internetowych. Chcę tutaj powiedzieć, iż generalnie skala błędów czy zaniechań popełnianych przez banki, które tak naprawdę były źródłem występujących problemów, wynikała przede wszystkim ze zmian w systemach informatycznych. Nie przetestowano czegoś bądź w trakcie przenoszenia na nową platformę informatyczną przeniesiono coś czasowo na platformę zapasową, która nie miała odpowiedniej wydolności i to powodowało określone zaburzenia.</u>
          <u xml:id="u-2.6" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Chcę też wyraźnie powiedzieć, że w tym obszarze banki w różnej skali, ale można powiedzieć, że w znaczącej, wykorzystują zlecanie owych czynności na zewnątrz. Mamy do czynienia z dużą skalą outsourcingu. Przepisy dotyczące outsourcingu nie zwalniają w żadnym przypadku banku z odpowiedzialności za cały proces wobec klientów. Nie zwalniają z odpowiedzialności za zapewnienie sprawności systemu. Stąd też zarówno w wymiarze odpowiedzialności władz banku, jak i w wymiarze materialnym to bank ponosi odpowiedzialność na zewnątrz za wszelkie incydenty z tym związane.</u>
          <u xml:id="u-2.7" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Urząd komisji w każdym przypadku podejmuje działania wobec banków, gdzie takie incydenty występują i są zidentyfikowane. One są przez nas bardzo poważnie traktowane. Żądamy wyjaśnień od banków, a przede wszystkim wyciągania wniosków na przyszłość. Jest to ważne nie tylko ze względu na związek z relacjami klientowskimi i z elementami zaufania, ale również z potencjalnymi pozwami zbiorowymi kierowanymi przeciwko bankom. Jest to tylko kwestia czasu, w którym sądownictwo w Polsce stanie się znacznie bardziej dolegliwe dla instytucji finansowych niż to się dzieje obecnie, jeśli chodzi o relacje klientowskie. To również jest kwestia związana z poziomem ryzyka operacyjnego i standardami bankowymi w zakresie szacowania owego ryzyka operacyjnego i zabezpieczania odpowiednim kapitałem.</u>
          <u xml:id="u-2.8" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Nie ukrywamy w relacjach z bankami, że obszar związany z informatyką i skalą outsourcingu – a banki dążą do tego, przede wszystkim argumentując, iż mogą usługę otrzymać taniej i na wyższym poziomie od podmiotów zewnętrznych – w przypadku niezabezpieczenia w sposób właściwy pozycji banku i ciągłości działania będzie skutkować rosnącymi wymogami kapitałowymi. Krótko mówiąc, obciążającymi właścicieli. Ergo, może być tak, że w wybranych przypadkach owo outsourcowanie nie będzie dla banku opłacalne.</u>
          <u xml:id="u-2.9" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Chcę również tutaj powiedzieć, że istotna skala outsourcingu wiąże się również z elementami rosnącej zależności banków od podmiotów zewnętrznych. Kwestię zależności banków mierzy się nie tylko tym, co w sposób standardowy wynika z relacji kapitałowych wynikających z umów czy z powiązań osobowych, czy z definicji ustawy o rachunkowości, czy innych właściwych przepisów, które definiują kwestie dominacji bądź zależności. W coraz większym stopniu również międzynarodowa praktyka nadzorcza wiąże te elementy z naturą organizacyjną i z technologią. W związku z tym może poprzez technologię następować silne uzależnienie całości działania banku od podmiotów zewnętrznych. Pamiętajmy o kwestiach zależności i znaczącego wpływu na działalność banku, jako że są to instytucje licencjonowane, nadzorowane i regulowane przez państwa członkowskie, co wiąże się z obowiązkiem uzyskania stosownych zezwoleń ze strony regulatorów. Przykładamy więc do tego bardzo dużą wagę.</u>
          <u xml:id="u-2.10" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Mając świadomość rozwoju usług finansowych opartych na nowych technologiach, KNF z początkiem zeszłego roku przygotowała dwie znowelizowane rekomendacje dotyczące dobrych praktyk działania. Jedna, która się nazywa rekomendacją M, związana jest z szeroko rozumianym ryzykiem operacyjnym. Zaś z uwagi na specyfikę i szczególne ryzyka związane z systemami informatycznymi i z nową technologią specjalnie przygotowano poświęconą tym ryzykom rekomendację, która ma w nazwie literkę D. Te rekomendacje są dostępne na naszej stronie internetowej. To są bardzo obszerne dokumenty. Z uwagi na złożoność problematyki, która dotyczy działalności bankowej, banki otrzymały 2 lata na dostosowanie się do standardów określonych tą rekomendacją. Ten proces trwa i jest przez nas monitorowany. Powinien zakończyć się pełnym dostosowaniem z końcem bieżącego roku. Nie jest to proces łatwy. On jest również kosztowny dla banków.</u>
          <u xml:id="u-2.11" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Z analizy luki pomiędzy obecnym stanem przygotowania banków a stanem wynikającym z zaleceń określonych rekomendacją wynika, że podstawowym problemem są obszary związane z zarządzaniem elektronicznymi kanałami dostępu oraz rozwojem systemów IT, jeśli chodzi o przyszłość.</u>
          <u xml:id="u-2.12" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Chcę również powiedzieć, że ten dokument, przygotowany przez nas, został bardzo pozytywnie oceniony przez Polską Izbę Informatyki i Telekomunikacji. Również Ministerstwo Administracji i Cyfryzacji zwróciło się z prośbą do nas o udostępnienie tego dokumentu, aby móc wykorzystywać ten dokument w ramach administracji publicznej. Materiały zostały rozesłane do jednostek administracji publicznej do odpowiedniego stosowania. To dlatego, że chociaż dokument generalnie jest dedykowany bankom, szereg – powiedziałbym – aspektów związanych z technologiczną i operacyjną częścią zarządzania procesami, oczywiście, może dotyczyć każdej z instytucji.</u>
          <u xml:id="u-2.13" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Chcę tutaj również powiedzieć, iż podstawowymi problemami identyfikowanymi przez nas w bankach – przy incydentach, w których wystąpiły – są błędy ludzkie. Błędy ludzkie po stronie banków, ale też często po stronie klientów, stąd bardzo ważna jest rola edukacyjna banków w odniesieniu do klientów. W przypadku klientów przede wszystkim chodzi o zabezpieczanie – powiedziałbym – szczególnych danych, które związane są z dostępem do bankowych systemów informatycznych i do konta, czyli są to wszelkiego rodzaju hasła i wszystko to, co wiąże się z owym dostępem, aby nie dawać tego w sposób niekontrolowany.</u>
          <u xml:id="u-2.14" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Na tle błędów i przypadków, które diagnozowaliśmy w bankach, wystosowaliśmy do wszystkich banków pisma dotyczące oczekiwanego przez nas minimalnego poziomu zabezpieczenia przed atakami hakerskimi, gdzie wskazaliśmy, iż konieczne jest zapewnienie adekwatnej do skali działalności wydajności platform sprzętowych. Krótko mówiąc, chodzi o pewną nadmiarowość, tzn. żeby nie projektować systemów takich, w których – powiedziałbym – niestandardowe zachowania powodują natychmiast, iż system staje się niewydolny, więc banki muszą projektować z odpowiednimi zapasami. Oczywiście, jest to pewien koszt. No, ale z drugiej strony na nich ciąży obowiązek utrzymania owej ciągłości obsługi klientów.</u>
          <u xml:id="u-2.15" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Wskazywaliśmy również na konieczność uwzględnienia w stosowanych zabezpieczeniach teleinformatycznych rozwiązań technicznych, które pozwalają na identyfikację i rejestrację źródła potencjalnych zagrożeń. Chodzi w tym przypadku o adresy IP dla potrzeb postępowania dowodowego. Po to, żeby właściwe organy państwa, które zwalczają przestępczość, mogły dysponować materiałem dowodowym.</u>
          <u xml:id="u-2.16" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Po trzecie, wskazywaliśmy jeszcze, iż banki powinny posiadać skuteczne i kompleksowe, w tym również udokumentowane i systematycznie testowane, plany ciągłości działania, uwzględniające właśnie ataki hakerskie, które mogłyby zakłócić ową ciągłość działania instytucji.</u>
          <u xml:id="u-2.17" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">No, i po czwarte, chodzi o to, aby banki wprowadzały adekwatne zasady zarządzania incydentami naruszania bezpieczeństwa środowiska teleinformatycznego. W każdym przypadku, w którym taki incydent występuje, już indywidualnie, z konkretnym bankiem staramy się wyjaśniać sprawę. W przypadku jednego z banków, gdzie mieliśmy do czynienia – w naszej ocenie – z poważniejszym problemem i to powtarzającym się, dodatkowo bezpośrednio prowadziliśmy postępowania wyjaśniające na miejscu, w banku, weryfikując procedury, które bank posiadał oraz sposób zachowania się banku w momencie wystąpienia Problemów.</u>
          <u xml:id="u-2.18" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Ważną kwestią były również ćwiczenia, zorganizowane po raz pierwszy przez Fundację Bezpieczna Cyberprzestrzeń, z udziałem Rządowego Centrum Bezpieczeństwa, z naszym udziałem i z udziałem NBP, jak również banków. Celem ćwiczeń było zbadanie zdolności i przygotowania banków do identyfikacji zagrożeń w obszarze bezpieczeństwa teleinformatycznego, w tym również w odniesieniu do tych zaleceń, którym dedykowana jest właśnie owa rekomendacja D. To ćwiczenie, które się odbyło, generalnie przebiegło dobrze w obszarach, które zidentyfikowano jako potencjalnie wymagające poprawy. Przygotowano rekomendacje z zamiarem, iż takie ćwiczenia mogą być powtórzone w kolejnych okresach. Generalnie tym, co istotne, w wyniku tego ćwiczenia stała się poprawa standardów komunikacyjnych w relacji bank a klient. Chodzi o czytelną informację o problemie i o tym, kiedy ten problem może być przezwyciężony, gdyż brak czytelności w owej komunikacji powoduje niepokój wśród klientów i spekulacje co do rzeczywistej skali problemu, którym bank został dotknięty.</u>
          <u xml:id="u-2.19" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Trzeba też wyraźnie powiedzieć, że rozwój nowych kanałów dystrybucji usług finansowych powoduje, iż banki poniekąd, aby utrzymać swoją pozycję rynkową, skazane są w konkurencji z innymi uczestnikami rynku – mam na myśli instytucje płatnicze – do konkurowania poprzez wchodzenie w owe nowe technologie. To jest problem wymiaru nie tylko europejskiego, ale i globalnego. Szczególnym wyzwaniem staje się tutaj bankowość mobilna z uwagi i na ryzyka operacyjne, ale również i na stopień uzależnienia od operatora zewnętrznego. Sprawa nie jest prosta i niewątpliwie będzie wymagała znacznej uwagi regulatorów międzynarodowych.</u>
          <u xml:id="u-2.20" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Jeśli zaś chodzi o Polskę, to my przygotowujemy w urzędzie specjalną grupę ekspertów w zakresie obszaru IT. Dotyczy to potencjalnych działań nadzorczych nie tylko w odniesieniu do banków w obszarze IT, ale również innych instytucji finansowych nadzorowanych przez KNF czy to w obszarze rynku kapitałowego, czy to w obszarze ubezpieczeń. Sprawy są ważne. Liczba ekspertów o odpowiednim poziomie wiedzy na rynku nie jest zbyt duża. No, i oczywiście, urząd publiczny, jakim jesteśmy, też ma swoje ograniczenia w konkurowaniu o pozyskanie takich osób. Niemniej generalnie staramy się wyszukiwać osoby młode, które mają nie tylko wiedzę, ale i potencjał rozwojowy do tego, żeby w tym obszarze wykonywać czynności nadzorcze.</u>
          <u xml:id="u-2.21" who="#ZastepcaprzewodniczacegoKomisjiNadzoruFinansowegoWojciechKwasniak">Z tego też powodu, jak państwo zauważyli, towarzyszy mi dwóch pracowników. Pan dyrektor Hajduk pracuje w Departamencie Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych. Pan Mateusz Górnisiewicz jest ekspertem w zakresie nowych technologii bankowych i jednym z głównych współautorów owej rekomendacji D, o której mówiłem, a która jest generalnie ewenementem na rynku polskim, jeśli chodzi o całościowy dokument dotyczący owych ryzyk. Może na tym bym skończył. Jeśli byłyby jakieś pytania, to albo ja, albo moi koledzy postaramy się odpowiedzieć. Dziękuję bardzo.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Otwieram dyskusję. Kto z państwa posłów chciałby zabrać głos? Bardzo proszę.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#WiceprezesZwiazkuBankowPolskichMieczyslawGroszek">Panie przewodniczący, nie jestem posłem.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#PrzewodniczacyposelWincentyElsner">Absolutnie, zgadzam się.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#WiceprezesZBPMieczyslawGroszek">Jeżeli mogę, to bardzo dziękuję. Mieczysław Groszek, Związek Banków Polskich. Proszę państwa, oczywiście, nie tylko ze względu na uprzejmość i relacje między bankami a KNF muszę się zgodzić, przyznając dużą wszechstronność i obiektywność tak krótkookresowej analizie, jak i przedstawionym wnioskom. Oczywiście, muszę powiedzieć, że gdyby po naszej stronie nie było gotowości do naprawiania tej sytuacji, to traktowalibyśmy to jako swoistego rodzaju – powiedziałbym – listę tego, czego się bać. Tu jest odwrotnie. Powiedziałbym, że raport tutaj przedstawiony – i nie tylko ten raport – jest bardzo aktywnie analizowany przez banki. Na ten temat chciałem parę słów powiedzieć.</u>
          <u xml:id="u-6.1" who="#WiceprezesZBPMieczyslawGroszek">Jednak chciałem zacząć od faktu, o którym pan przewodniczący Kwaśniak nie powiedział – zresztą ma prawo – czyli od pewnego tła. Jaka jest skala tych zjawisk? To 8 awarii, w tym 2 poważniejsze. Można powiedzieć, że każda awaria to już jest za dużo. Natomiast gdy się popatrzy – że tak powiem – na to, że mamy do czynienia z 22 mln rachunków internetowych, gdzie mamy 38 mln kart, to daje nam to tło. Gdyby teraz przemnożyć to przez liczbę operacji, które idą w miliardy, oczywiście, oznaczałoby to, że ta skala jest… No, nie chcę powiedzieć, że jest minimalna, ale ona jest nieduża. Absolutnie nie jest żadnym wytłumaczeniem powiedzenie, że po prostu – jak to powiedział nawet niefortunnie jeden z moich kolegów z sektora – awarie były i będą się zdarzały. Uważam, że to nie jest dobre hasło. Można powiedzieć, że awarie się zdarzają, ale nie powinny się zdarzać i będziemy robili w tym kierunku wszystko, co jest możliwe.</u>
          <u xml:id="u-6.2" who="#WiceprezesZBPMieczyslawGroszek">Bardzo się cieszę, że KNF zauważyła sytuację taką, że w zasadzie klienci nie ponoszą strat. Mówię „w zasadzie”, dlatego że bardzo często nie ma automatycznego wyrównania. Trzeba dopiero – powiedziałbym – z jakąś tam jednak stratą czasu czy też może nawet i kosztów telekomunikacyjnych w tym banku sprawę wyjaśniać. Natomiast w takich przypadkach zdecydowanie banki uwzględniają te ewentualne straty, a jeśli są pewne zakłócenia, wynikające np. z podwójnego księgowania, jest to usuwane.</u>
          <u xml:id="u-6.3" who="#WiceprezesZBPMieczyslawGroszek">I teraz, jeżeli chodzi o naturę tych awarii, chcę powiedzieć, że z naszego punktu widzenia też to bardzo podobnie wygląda. Po pierwsze, według przyczyn, tu jest – powiedziałbym – coś takiego, że pierwsza przyczyna została wymieniona. Mianowicie jest to przechodzenie na inną platformę. Nasze systemy, proszę państwa, nawet ze względu na tę skalę, o której powiedziałem, są bardzo nowoczesne. One są jakby wyposażone i technicznie, i softwareowo bardzo solidnie. No, wynika to chociażby ze skali operacji, ale równocześnie ta innowacyjność sektora powoduje, że dokonuje się… Banki przygotowują się w tej chwili do uruchomienia nowego kanału dostępu, jakim jest bankowość mobilna. Rozbudowuje się moce zarówno softwareowe, jak i te operacyjne, więc trzeba od czasu do czasu przejść z jednej platformy na drugą. Oczywiście, to jest sytuacja, w której – moim zdaniem – przy odpowiednim nakładzie kosztów też można minimalizować to ryzyko poprzez różnego rodzaju centra zapasowe, backupowanie i inne rzeczy. Natomiast w obu przypadkach największych w ubiegłym roku to była ta przyczyna w ogóle. Bank PKO BP przechodził z platformy, której wcześniej używał, na platformę Interligo. Przechodził na lepszą platformę, natomiast po prostu – nazwijmy to tak – to przejście spowodowało te komplikacje.</u>
          <u xml:id="u-6.4" who="#WiceprezesZBPMieczyslawGroszek">Natomiast druga przyczyna to są mianowicie te ataki zewnętrzne, hakerskie i to głównie przez blokowanie stron, które w zasadzie – powiedziałbym – rzadko doprowadzają do strat klientów. Częściej doprowadzają do zakłócenia dostępności. Tu chcę powiedzieć właśnie, że ćwiczenie Cyber-EXE, które się odbyło, zdecydowanie potwierdziło odporność bankowego systemu. Chcę powiedzieć, że podobne ćwiczenie rok wcześniej, tj. w 2012 r., dotyczyło takich branż strategicznych, jak przesył energii, gazów i elektryczności. Ono dało jakościowo, na jakiejś skali mierzalnej, troszkę – że tak powiem – gorsze rezultaty niż bankowe. Nie jestem w stanie podać tej skali. Oba ćwiczenia zresztą pokazały w ogóle dobrą odporność tych systemów. Natomiast, oczywiście, inny był typ rekomendacji. My te rekomendacje bardzo szczegółowo analizujemy.</u>
          <u xml:id="u-6.5" who="#WiceprezesZBPMieczyslawGroszek">Teraz powiedziałbym o tym, że każda awaria jest o jedną za dużo w tym systemie, tu absolutnie podzielam opinię KNF o tym, że to nie są kwestie tylko – nazwijmy to tak – mierzalne, że można pieniędzmi odkupić jakąś tam awarię typu, że klient się podenerwował, ale nie stracił. Rzeczywiście, budując taką nowoczesną bankowość, jaką my budujemy, musimy budować również jej reputację i niezawodność. Powiedziałbym, że to jest kwestia czasem dużo ważniejsza niż pieniądze, które są wypłacane jako odszkodowania i my to czujemy.</u>
          <u xml:id="u-6.6" who="#WiceprezesZBPMieczyslawGroszek">I teraz, jeżeli chodzi właśnie o to, jaka jest po prostu lekcja z tego. Czy to jest kwestia tego: „No, usuńmy tę konkretną przyczynę i powiedzmy innym”? My się zresztą wymieniamy informacjami na ten temat. „Niech oni na to uważają.” Nie. Uważamy po prostu, że w ogóle ta cała filozofia, którą zaproponował UKNF, teraz już w postaci rekomendacji D, jest filozofią, która wychodzi dużo dalej niż usuwanie jakby konkretnej przyczyny. Ona po prostu konstruuje bezpieczny system. Chcę powiedzieć, że oczywiście, podzielam to zdanie. Reprezentuję ZBP w Europejskiej Federacji Bankowej w Brukseli i jak przedstawiam cechy tej rekomendacji, to rzeczywiście jest to traktowane jako coś innowacyjnego i nawet słyszę komentarze: „A niedługo może stanie się to nawet czymś na kształt dyrektywy z poziomu Komisji Europejskiej jako swoistego rodzaju wzór”.</u>
          <u xml:id="u-6.7" who="#WiceprezesZBPMieczyslawGroszek">Proszę państwa, oprócz tego, że byliśmy bardzo aktywnym konsultantem przy konstruowaniu tego, to powiedziałbym, że filozofia tej rekomendacji to jest dużo więcej niż zrzucenie odpowiedzialności na komórkę organizacyjną, która się nazywa IT. To jest po prostu odpowiedzialność samej instytucji. To, co KNF zaproponowała w ogóle w tej swojej konstrukcji, sięga aż po radę nadzorczą. Jak mówię, to po prostu czyni ten problem bardzo kompleksowym. Wyrazem tego dzisiaj jest to, że myśmy po prostu na wysokim szczeblu – wiceprezesów do spraw operacyjnych banków – powołali forum do spraw IT, które de facto zajmuje się właśnie implementacją rekomendacji D. Powiedziałbym, że to jest pierwsze, bardzo konkretne działanie. Rekomendacja jest tak skonstruowana, że jej się nie da wypełnić tak – powiedziałbym – lewą ręką, prawda? Tych zadań się tak wypełnić nie da. To zmienia po prostu całą organizację w bankach. Jakkolwiek mówię, patrząc na te liczby, że z tego punktu widzenia nie było po prostu nadmiernego zagrożenia.</u>
          <u xml:id="u-6.8" who="#WiceprezesZBPMieczyslawGroszek">Drugim elementem jest wymiana informacji o zagrożeniach i defaultach, czyli nie tylko awariach, prawda? Pan przewodniczący powiedział, że oczywiście, komunikowanie awarii otoczeniu jest bardzo ważne, ale są bardzo ważne – że tak powiem – fazy zanim się coś pojawia. Powiedziałbym, że tu wyszliśmy już nawet poza poziom Polski. Konsultujemy się z asocjacjami bankowymi z krajów ościennych, bo zaobserwowaliśmy takie zjawisko – szczególnie, jeśli chodzi o ataki hakerskie – że one po prostu jakby migrują pomiędzy różnymi krajami. Często to się dzieje tak, że jak w jednym kraju to opanują i zaczynają się przed tym bronić, to oni wtedy wędrują np. z Czech do Polski albo z Polski na Węgry. Tak szeroka po prostu jest ta wymiana informacji.</u>
          <u xml:id="u-6.9" who="#WiceprezesZBPMieczyslawGroszek">Natomiast jesteśmy dumni z tego i mogę dostarczyć dowodów, że jeśli chodzi o bezpieczeństwo – zarówno profilaktykę, czyli w zakresie konstruowania różnych firewallów dla ataków DDoS (Distributed Denial of Service), jak również informacje o zagrożeniach – banki z sobą nie konkurują. Rzeczywiście, generalnie po prostu jest to rynek konkurencyjny, prawda? Widać to nawet po reklamach. Jeżeli natomiast chodzi o przyznawanie się, to często nie jest traktowane tak, że jak miałem awarię, to może ktoś powiedzieć, że po prostu odsłaniam swoją słabość. Pewnie tak jest w jakimś tam prestiżowym ujęciu, natomiast to nie jest przeszkodą w wymianie informacji. Mamy platformę wymiany danych o zagrożeniach. Mamy platformę wymiany informacji o incydentach.</u>
          <u xml:id="u-6.10" who="#WiceprezesZBPMieczyslawGroszek">Chciałem państwu na zakończenie powiedzieć, że właśnie uznajemy, po pierwsze, że choć skala jest nieduża, jest to poważny problem. Po drugie, dobro klienta musi być tutaj jakby naczelne z punktu widzenia właśnie budowy zaufania. No, i po trzecie, jeśli chodzi o bezpieczeństwo, jest to wysoki priorytet w sektorze bankowym. Dziękuję bardzo, panie przewodniczący.</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo, panie prezesie. Wobec tego jeszcze pozostańmy przy gościach. Pytanie do gości. Kto z państwa jeszcze chciałby zabrać głos?</u>
          <u xml:id="u-7.1" who="#PrzewodniczacyposelWincentyElsner">To wobec tego przechodzimy do dyskusji. W tym momencie otwieram dyskusję. Pytanie do państwa posłów skierowane. Kto z państwa posłów chciałby zabrać głos w dyskusji? Ponieważ nie słyszę, to pozwolę sobie zacząć. Wynotowałem sobie kilka spraw, o które chciałbym zapytać.</u>
          <u xml:id="u-7.2" who="#PrzewodniczacyposelWincentyElsner">Pierwsza sprawa. Jak zrozumieliśmy, niedostępności systemów mogą być spowodowane czynnikami zewnętrznymi, nazywanymi w skrócie siłą wyższą, bo atak DDoS w ten sposób można ocenić. Jednak istotna część tych niedostępności związana jest też – jak państwo mówili – z różnego rodzaju ingerencją w system, zmianą platformy, upgradami systemów itd. Tu już banki, teoretycznie przynajmniej, mają na to wpływ i w jakimś stopniu są to niedostępności zawinione. Jak państwo przekazali, znaczna część usług informatycznych związanych z bankowością w tej chwili outsourcowana jest na zewnątrz, poza banki.</u>
          <u xml:id="u-7.3" who="#PrzewodniczacyposelWincentyElsner">Pytanie w związku z tym. W jakim stopniu odpowiedzialność za tak długi czas, bo mamy wykaz tych incydentów… Kilka tych incydentów liczonych jest nie w godzinach czy w minutach, tylko w dniach. Jaką odpowiedzialność za tak długą niedostępność tego systemu ponoszą źle skonstruowane czy źle podpisane umowy pomiędzy firmami informatycznymi realizującymi te zadania a bankami? Jak wiemy, jednym z podstawowych czynników jest określenie czasu reakcji na wydarzenie SLA (Service Level Agreement), a to jest jeden z najkosztowniejszych elementów, więc można się spodziewać, że banki, starając się obniżyć koszty tego outsourcingu, dopuszczają stosunkowo długi czas reakcji na usunięcie potencjalnych awarii. Jest więc pytanie. Na ile sprawa jakości tych umów outsourcingowych jest pod kontrolą KNF? Czy tak długi czas reakcji na te incydenty – zdaniem KNF – spowodowany był czynnikami obiektywnymi, czy po prostu umowami z firmami outsourcingowymi, które pozwalały na tak opieszały, mówiąc z punktu widzenia klienta, czas reakcji? To pierwsze pytanie.</u>
          <u xml:id="u-7.4" who="#PrzewodniczacyposelWincentyElsner">Drugie pytanie dotyczy systemu zgłaszania incydentów, bo jest tu mowa o nielicznych incydentach. Czy państwo jako KNF dysponują pewnym systemem zgłaszania incydentów? Również tych incydentów drobnych, bo oprócz tych awarii, o których z jednej strony państwo piszą, a z drugiej strony dowiadujemy się z prasy czy z długiej niedostępności, dotyczącej wielu tysięcy osób, na pewno jest szereg incydentów drobnych, trwających pojedyncze minuty czy pojedyncze godziny. Czy istnieje jakiś obowiązek zgłaszania każdej, najdrobniejszej awarii, aby to było monitorowane?</u>
          <u xml:id="u-7.5" who="#PrzewodniczacyposelWincentyElsner">Trzecie pytanie o niedostępność. Jak mówiliśmy, to są niedostępności związane z zaistnieniem jakiejś sytuacji awaryjnej, np. przy upgradowaniu systemu czy przy zmianie platformy. Jaka jest skala niedostępności – że tak powiem –planowanej w jakimś stopniu? Jaka jest w skali banków polskich ta niedostępność zaplanowana, związana z tzw. oknami serwisowymi czy właśnie z przenoszeniem, dokonywaniem jakichś działań na poziomie informatycznym?</u>
          <u xml:id="u-7.6" who="#PrzewodniczacyposelWincentyElsner">No, i ostatnia sprawa, dotycząca też jeszcze tego outsourcingu. Mianowicie sprawa bezpieczeństwa danych. Na ile państwo tę sprawę monitorują i mają pod kontrolą jako KNF? Sprawa bezpieczeństwa danych, jak tu już było wspomniane przez pana przewodniczącego Kwaśniaka. Bezpieczeństwo dostępu do kont, do operacji na kontach. Firmy outsourcingowe w jakimś stopniu nie podlegają tak, jak banki, tajemnicy bankowej. Jak więc wygląda ta sprawa bezpieczeństwa dostępu do konta, bezpieczeństwa naszych danych w firmach outsourcingowych? To może tyle w tym momencie. Dziękuję.</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Panie przewodniczący, powiem tak. Generalnie, jeśli chodzi o kwestię czasu reakcji, wynikającą też ze skali outsourcingu, z umów outsourcingowych, w zdecydowanej większości tych incydentów, z którymi mieliśmy do czynienia, problemy były związane z zachowaniami banku a nie partnerów zewnętrznych. Aczkolwiek pan dotknął bardzo ważnej sprawy, tzn. tego, jak te kwestie są regulowane w umowach. Można powiedzieć generalnie tak. Im słabszy bank, tym ma gorsze umowy. Z punktu widzenia siły negocjacyjnej jednak ci partnerzy, którzy działają w obszarze technologii, to są generalnie bardzo silne, globalne firmy o wymiarze europejskim, albo i ponadeuropejskim. Nie ma co ukrywać, że są przywiązani do własnych, wygodnych dla siebie standardów. Stąd też ten problem, który pan wskazał, jest bardziej istotny z punktu widzenia umów, które zdecydowały się podpisać mniejsze instytucje. To rzeczywiście w wybranych przypadkach występuje.</u>
          <u xml:id="u-8.1" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Wskazujemy, iż to wymaga zmiany. Musimy pamiętać jednakowoż o tym ograniczeniu, że nie możemy ingerować w stosunki umowne. Możemy tylko dokonać naszej oceny szacunku ryzyka z tym związanego i zalecić instytucji weryfikację owych umów.</u>
          <u xml:id="u-8.2" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Jeśli mówimy o kwestii tych drobnych incydentów, to banki są obowiązane posiadać wewnętrzne bazy danych, w których się wszystkie takie incydenty zbiera, analizuje i one się przekładają na sprawny system zarządzania ryzykami operacyjnymi. To jest to, o czym mówiłem przy tej drugiej rekomendacji odnośnie do dobrych praktyk, która się nazywa rekomendacją M. W zależności od tego, jaki to daje obraz, z tego wynikają wymogi kapitałowe, które de facto obciążają właścicieli albo ograniczają skalę działania instytucji.</u>
          <u xml:id="u-8.3" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Po trzecie, pan pytał o to, jaka jest skala dostępności planowanej. Generalnie rzecz biorąc, banki są obowiązane w ramach planów ciągłości działania tak je projektować, aby utrzymać ciągłość działania w układzie 24 godzin, dlatego że na mocy wszystkich przepisów, w tym przepisów rachunkowych, wszystkie operacje są do zaksięgowania na koniec dnia. Wszystko to, co zaprojektują ponad ten limit, ma charakter nadzwyczajny. Skutkiem ergo może być ich odpowiedzialność odszkodowawcza wobec klientów. Z punktu widzenia czysto nadzorczego, ocennego powiedziałbym, że to wpływa na element ocenny owej odpowiedniości, sprawności władz banku w zarządzaniu instytucją.</u>
          <u xml:id="u-8.4" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Jeśli chodzi o aspekt związany z bezpieczeństwem danych firm outsourcingowych i skali naszej kontroli, to z punktu widzenia prawnego – tak, jak jest to w Polsce uregulowane – powiedziałbym, że Polska jest szczególnym krajem w Unii Europejskiej. Polska przygotowała przed wejściem do UE przepisy w obszarze outsourcingu działalności bankowej. Poddaje dość ścisłym limitom zakres outsourcingu, jak i kontrolę procesu. Ważne jest też to, o czym mówiłem, że bank, decydując się na outsourcing, z punktu widzenia relacji zewnętrznych nie zwalnia się z jakiejkolwiek odpowiedzialności za całość procesu, w tym w wymiarze majątkowym, wobec klientów. Po drugie, jest obowiązany tak zaprojektować owe umowy, aby audyt wewnętrzny i kontrola wewnętrzna banku były w stanie bezpośrednio w tej instytucji w razie czego weryfikować sprawność procesów. Po trzecie, na gruncie formalnoprawnym w przypadku banków mamy możliwość – w sytuacjach skrajnych – bezpośredniego wejścia nawet do takiej instytucji.</u>
          <u xml:id="u-8.5" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">I teraz, żeby pokazać też pewną złożoność procesu, mamy banki, które w obszarze przetwarzania danych czy outsourcingu przetwarzają informacje nie tylko na terenie Polski. Biorąc pod uwagę jednolity paszport europejski w całym obszarze unijnym, to jest na takich samych zasadach, jak w Polsce. Nie wymaga to żadnych dodatkowych zezwoleń, zaś poza obszarem unijnym takich zezwoleń wymaga. Mamy instytucje globalne, w których przetwarzanie takich danych się odbywa np. albo w Stanach Zjednoczonych, albo w Azji. Jednak to podlega specjalnej procedurze, którą taka globalna instytucja musi nam przedstawić. W takim przypadku musimy również uzyskać zapewnienie, że po pierwsze, to się odbywa w instytucji, która jest nadzorowana przez właściwego, macierzystego nadzorcę, a po drugie, że w sytuacjach szczególnych, gdybyśmy mieli taką potrzebę, to mamy zapewniony bezpośredni dostęp również do tej instytucji. Takie są zasady, jeśli chodzi o rynek polski, ale muszę powiedzieć, że one są pewnym ewenementem w UE, jeśli chodzi o regulacje w odniesieniu do outsourcingu. W innych państwach jest zdecydowanie bardziej liberalnie niż w Polsce.</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Ktoś z państwa jeszcze? Bardzo proszę.</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#WiceprezesZBPMieczyslawGroszek">Dwa pytania. Jedno, na które pan przewodniczący odpowiedział jakby ze swojego punktu widzenia. Oczywiście, ta 100-procentowa dostępność wynika z różnych przepisów prawa. Mam wykres faktycznej dostępności. To jest ta niebieska linia, a podziałka to jest 0,1%. Tym, co jest empirycznie stwierdzone, są te przerwy techniczne, zawsze anonsowane – 8 godzin rocznie, czyli to jest ta niebieska linia. Natomiast zygzaki to są po prostu awarie. Zresztą pamiętam, że byłem na posiedzeniu Komisji chyba 2 lata temu i to był ten pierwszy zygzak. Pamiętam, że Komisja też się zebrała wtedy, kiedy były awarie. Na tej czerwonej linii mocniej to widać. No, i to jest ta ubiegłoroczna. To jest 0,1%. Jeśli państwo są użytkownikami bankowości elektronicznej, wiedzą, że to jest najczęściej o północy – gdzieś tam godzina albo krócej.</u>
          <u xml:id="u-10.1" who="#WiceprezesZBPMieczyslawGroszek">Natomiast jeśli chodzi o system zgłaszania incydentów, to one są dwa. Jeden ma KNF i to jest bardzo ważny system, natomiast KNF z natury swojej zachowuje to dla siebie. Jak informowałem, mamy taką intencję i jesteśmy zobowiązani, właśnie w ramach rekomendacji D, do skonstruowania lepszego niż do tej pory systemu zgłaszania incydentów. Mamy po prostu własną platformę, w której banki będą ludziom zgłaszały incydenty. Intencją jest nie tylko dostarczanie informacji do KNF, ale przede wszystkim wymiana między bankami, czyli po prostu kwestia bardziej przyczyn niż – powiedziałbym – skali tego zjawiska jest swoistego rodzaju profilaktyką. Ona nie jest bardzo wyprzedzająca dla tego banku, w którym to się stało, bo to się stało. Natomiast dla innych jest to po prostu – powiedziałbym – niemalże w czasie rzeczywistym informacja o tym, co się u innych zdarzyło w zakresie awarii czy incydentów.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Kto z państwa posłów jeszcze ma jakieś pytanie?</u>
          <u xml:id="u-11.1" who="#PrzewodniczacyposelWincentyElsner">Jeśli można, to dopytałbym się w dwóch sprawach. Pierwsza sprawa jest bezpośrednio związana z tematem dzisiejszym. Jak wyglądamy wobec tego na tle Europy, na tle świata? O samej rekomendacji D już pan prezes Groszek mówił, że ta rekomendacja może być nawet jakąś taką bazą, wzorcem do tworzenia w przyszłości dyrektywy. To bardzo dobrze, bo to jakiś wkład nasz w prawodawstwo unijne. Na razie się spotykamy z odwrotnym procesem, tzn. z implementacją dyrektyw unijnych w ostatniej możliwej chwili, czyli wtedy, kiedy już wiszą nad nami jakieś kary albo procesy. Jak wyglądamy, jeżeli chodzi o dostępność systemu i o liczbę tych incydentów, na tle Europy i na tle systemów bankowych w innych krajach? To pierwsze pytanie.</u>
          <u xml:id="u-11.2" who="#PrzewodniczacyposelWincentyElsner">Natomiast drugie pytanie odbiega może od dzisiejszego tematu, ale jest dość istotne w świetle ostatnich doniesień. Co jakiś czas informowani jesteśmy o masowym wypływie danych dotyczących kart offlinowych. Ostatnio jednym z ważniejszych incydentów była chyba sprawa firmy Adobe. One gdzieś później funkcjonują. Jaka jest skala? Jak mówię, to nie dotyczy stricte dzisiejszego tematu, ale na pewno jest sprawą interesującą. Jaka jest skala nielegalnego wykorzystania tych kart offlinowych w późniejszych transakcjach, identyfikowana w systemie bankowym w Polsce? Bardzo proszę.</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Może odpowiem w ten sposób. My jako urząd tych danych, których dotyczyło pytanie, jakie zadał pan przewodniczący, nie posiadamy. Być może w posiadaniu tych danych jest instytucja, o której mówiłem na początku, a która w sposób systemowy nadzoruje całość systemu płatniczego, czyli NBP, bo on zbiera dane o wszystkich incydentach. Mając na uwadze współpracę w ramach europejskiego systemu banków centralnych, NBP może ewentualnie dysponować danymi porównawczymi między polskim systemem a innymi systemami.</u>
          <u xml:id="u-12.1" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Generalnie można powiedzieć, że jeśli chodzi o system płatniczy, to Polska należy do wąskiej grupy państw europejskich, w których ten system z punktu widzenia sprawności i użytkownika jest najbardziej zaawansowany. Rozliczenia w Polsce w praktyce odbywają się w czasie rzeczywistym, podczas gdy są w Europie systemy, gdzie rozliczenie się odbywa na przestrzeni co najmniej 2 dni. To pokazuje, jaki skok technologiczny uczyniono w Polsce w zakresie przejścia na zaawansowane systemy technologiczne, które dają ową sprawność z punktu widzenia dostępu klienta i rozliczenia transakcji. Jednak, jak powiedziałem, w tym zakresie, jak i w zakresie ewentualnych incydentów czy to z wypływem danych, czy innych incydentów, bazę informacyjną może mieć bank centralny. Dziękuję.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Bardzo proszę o przedstawienie się.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#DyrektorZespoluSystemowPlatniczychiBankowosciElektronicznejZBPPawelWidawski">Paweł Widawski, ZBP. Oczywiście, także w kontekście skali przestępstw kartowych w Polsce, z naszych informacji oraz z informacji, które publicznie są publikowane przez EBC i z tych informacji, które przekazuje NBP, wynika, że jesteśmy tym rynkiem, gdzie liczba przestępstw kartowych jest najniższa w Europie. Można powiedzieć, że w kontekście średniej unijnej liczba przestępstw kartowych jest 10-krotnie niższa niż ta średnia unijna. Tutaj mamy powód do dumy, aby powiedzieć, że nasze systemy z punktu widzenia ich nowoczesności, skali i możliwości wczesnej detekcji różnego rodzaju zagrożeń należą do najnowocześniejszych i najbardziej skutecznych.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Czy ktoś z państwa posłów się zgłasza? Wobec tego zamykam dyskusję. A, jeszcze pan. Bardzo proszę o przedstawienie się.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiAleksanderFrydrych">Aleksander Frydrych, Polska Izba Informatyki i Telekomunikacji. Jestem współautorem opinii, o której wspominał pan prezes KNF. Opinii o rekomendacji D. Nigdy się wcześniej nie spotkaliśmy. Mamy teraz okazję. Mam nadzieję na handshake. Rzeczywiście, pisaliśmy tę opinię w absolutnym przekonaniu o zasadności rozwiązań wprowadzanych rekomendacją D. Wydaje się, że problem – nie demonizując tego problemu – jest w trochę innym miejscu niż to mogłoby wynikać z naszej dotychczasowej dyskusji.</u>
          <u xml:id="u-16.1" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiAleksanderFrydrych">Słusznie pan przewodniczący zwrócił uwagę na to, że być może część tego problemu przynajmniej to problem generowany przez nową formę świadczenia usług, czyli przez outsourcing. Rzeczywiście, w naszym przekonaniu odejście tych usług w outsourcing spowodowało jednocześnie odejście zasobów eksperckich z banków. Firma outsourcingowa nie ma dzisiaj partnera wewnątrz banku, który z absolutną wiedzą o zagrożeniach byłby w stanie wyegzekwować usługę na takim poziomie, jaki gwarantowała ta umowa. To jest jedna z przyczyn.</u>
          <u xml:id="u-16.2" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiAleksanderFrydrych">Wszystkie te drobniejsze rzeczy typu brak systemów zapasowych bardzo nas niepokoją, ale na bieżąco, we współpracy ze ZBP, staramy się zmieniać ten obraz rzeczywistości. To jest never-ending story, mówiąc żargonem, ponieważ – tak trochę jak zabawa w złodzieja i policjanta – ciągle postęp technologiczny niesie nowe rozwiązania, ale też nowe zagrożenia. Uczestniczymy jako izba w Koalicji na Rzecz Rozwoju Obrotu Bezgotówkowego i Mikropłatności, która to koalicja zmobilizowała praktycznie wszystkie zasoby państwa dla przeniesienia maksymalnej ilości transakcji do obrotu bezgotówkowego. W naszej opinii te przypadki, o których rozmawiamy i które mają miejsce wyłącznie albo głównie w sferze obrotu bezgotówkowego, są zagrożeniem dla efektów pracy tej koalicji. Dlatego wydaje się, że trzeba więcej uwagi samych banków – powtarzam, samych banków – poświęcić na bezpieczeństwo tego obrotu bezgotówkowego na każdym poziomie, zarówno be to be, jak i be to see. Szczególnie po wejściu rozwiązań mobilnych widzimy rosnące zagrożenie zarówno dla użytkownika, jak i dla samego systemu bankowego, bo z takiego poziomu użytkownika da się już dzisiaj – możemy to udowodnić – narozrabiać, mówiąc kolokwialnie, w całym systemie bankowym.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Kto z państwa jeszcze? Bardzo proszę.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Tylko dodam, że cały czas mówimy tu o bankach, a proszę pamiętać, że jeśli chodzi o system płatniczy, to mamy również instytucje płatnicze, które są od niedawna w Europie regulowane dyrektywą, w tym również w prawie polskim. Nadzór nad mniejszymi instytucjami płatniczymi w postaci biur usług płatniczych – powiedziałbym – jest bardziej iluzoryczny, bo one się same rejestrują i składają tylko pewne sprawozdania. W najbliższym czasie zresztą rząd zamierza przygotować nowelizację, po zidentyfikowaniu przez nas problemów związanych z funkcjonowaniem tego rodzaju instytucji. Krajowe instytucje płatnicze podlegają pełnemu licencjonowaniu i nadzorowi z uwagi na skalę działalności.</u>
          <u xml:id="u-18.1" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Proszę również pamiętać, iż – ostatnio wydawaliśmy specjalny komunikat w tej sprawie – to jest istotna różnica z punktu widzenia gwarancji czy oprocentowania, dotycząca środków klientów składanych na rachunkach w instytucjach płatniczych. W instytucjach płatniczych te środki nie są gwarantowane w Bankowym Funduszu Gwarancyjnym i nie mogą być oprocentowane.</u>
          <u xml:id="u-18.2" who="#ZastepcaprzewodniczacegoKNFWojciechKwasniak">Powiedziałbym, że trzecia grupa instytucji kredytowych, która od niedawna przez nas jest nadzorowana, gdzie są prowadzone rachunki, to są spółdzielcze kasy oszczędnościowo-pożyczkowe. One również obsługują dość szeroką rzeszę członków indywidualnych, którzy korzystają z tych usług w wymiarze prowadzenia rachunków, rozliczeń, wydawania kart. Dziękuję.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#PrzewodniczacyposelWincentyElsner">Dziękuję bardzo. Dwa słowa. Komentując jako członek Komisji Finansów Publicznych, powiedziałbym, że czekamy na przedłożenie rządowe dotyczące regulacji instytucji kartowych. Pierwsza taka przymiarka ze strony ministerstwa była podczas regulacji dotyczącej interchange’u w formie autopoprawki rządowej. Natomiast w tej chwili, jak wiemy, czekamy na pełne uregulowanie instytucji kartowych. Zresztą pewnie też w najbliższych miesiącach będziemy organizować spotkanie oceniające skuteczność – tak, jak pan przewodniczący wspominał – regulacji dotyczących wysokości interchange’u, które weszły w życie od 1 stycznia br., tak?</u>
          <u xml:id="u-19.1" who="#PrzewodniczacyposelWincentyElsner">Kto z państwa jeszcze chciałby zabrać głos? Nie słyszę. Wobec tego tym razem już definitywnie zamykam dyskusję. Serdecznie dziękuję państwu posłom i wszystkim zaproszonym gościom.</u>
          <u xml:id="u-19.2" who="#PrzewodniczacyposelWincentyElsner">Zamykam posiedzenie Komisji. Protokół posiedzenia z załączonym zapisem jego przebiegu jest do wglądu w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję bardzo.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>