ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 24.08.2022 № 187 |
Про затвердження Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні
( Із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 82 Закону України "Про платіжні послуги" (далі - Закон) та з метою визначення порядку здійснення оверсайту платіжної інфраструктури в Україні Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні (далі - Положення), що додається.
2. Об’єктам оверсайту-резидентам привести свою діяльність та документи у відповідність до вимог Положення, а саме:
1) платіжним організаціям платіжних систем, учасникам платіжних систем, зареєстрованим у Національному банку України станом на день введення в дію Закону, які мають намір продовжувати роботу платіжної системи/діяльність у платіжній системі, - протягом одного року з дня введення в дію Закону;
2) оператору послуг платіжної інфраструктури, зареєстрованому в Національному банку України станом на день введення в дію Закону, який має намір продовжувати діяльність, - протягом шести місяців із дня введення в дію Закону;
3) розрахунковому банку платіжної системи, зареєстрованої в Національному банку України станом на день введення в дію Закону, який має намір продовжувати надавати послуги розрахункового банку в цій платіжній системі, - протягом одного року з дня введення в дію Закону;
4) емітенту електронних грошей, який на день введення в дію Закону має узгоджені правила використання електронних грошей в Україні та який має намір продовжувати діяльність з випуску та використання електронних грошей, - протягом одного року з дня введення в дію Закону.
3. Визнати такими, що втратили чинність:
1) постанову Правління Національного банку України від 28 листопада 2014 року № 755 "Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні";
2) пункт 5 постанови Правління Національного банку України від 24 липня 2015 року № 480 "Про внесення змін до деяких нормативно-правових актів Національного банку України";
3) постанову Правління Національного банку України від 28 жовтня 2015 року № 747 "Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні";
4) підпункт 3 пункту 1 постанови Правління Національного банку України від 13 лютого 2017 року № 11 "Про затвердження Змін до деяких нормативно-правових актів Національного банку України";
5) пункт 3 постанови Правління Національного банку України від 07 червня 2018 року № 61 "Про затвердження Змін до деяких нормативно-правових актів Національного банку України";
6) пункт 2 постанови Правління Національного банку України від 22 листопада 2019 року № 139 "Про внесення змін до деяких нормативно-правових актів Національного банку України";
7) постанову Правління Національного банку України від 21 січня 2020 року № 11 "Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні".
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | К. Шевченко |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
24.08.2022 № 187
ПОЛОЖЕННЯ
про порядок здійснення оверсайту платіжної інфраструктури в Україні
( У тексті Положення слова "оператор значущої платіжної системи", "надзвичайна ситуація" у всіх числах та відмінках замінено відповідно словами "оператор системно важливої/важливої платіжної системи", "надзвичайна подія" у відповідних числах та відмінках згідно з Постановою Національного банку № 16 від 11.02.2025 )
I. Загальні положення
1. Це Положення розроблено відповідно до статей 7, 15 Закону України "Про Національний банк України", статей 71, 82 Закону України "Про платіжні послуги" і визначає основні організаційні засади та порядок здійснення оверсайту платіжної інфраструктури (далі - оверсайт), критерії та порядок визначення важливих об’єктів оверсайту, а також вимоги до об’єктів оверсайту, що здійснюють діяльність на території України.
2. Терміни в цьому Положенні вживаються в такому значенні:
1) багаторівнева структура участі - структура участі, що передбачає можливість участі в платіжній системі прямим та непрямим учасникам платіжної системи;
2) безперервність діяльності - спроможність об’єкта оверсайту своєчасно та ефективно здійснювати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної події;
3) важливий об’єкт оверсайту - учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор платіжних послуг (далі - технологічний оператор), яких віднесено Національним банком України (далі - Національний банк) до категорії важливих відповідно до визначених цим Положенням критеріїв важливості;
3-1) важлива платіжна система - платіжна система, яку Національний банк визначив важливою платіжною системою відповідно до встановлених цим Положенням вимог та критеріїв важливості;
( Пункт 2 розділу I доповнено новим підпунктом 3-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
4) валові розрахунки в режимі реального часу - режим розрахунків, що передбачає безперервне виконання зобов’язань учасників платіжної системи окремо за кожним переказом у платіжній системі без відстрочення в часі;
5) відкладені нетто-розрахунки - режим розрахунків, що передбачає виконання зобов’язань учасників платіжної системи за результатами клірингу з визначеною періодичністю;
6) взаємозалежність - взаємозв’язок, що виникає в процесі діяльності між об’єктами оверсайту;
7) гарантування - функція схеми виконання платіжних операцій (далі - платіжна схема), що полягає у забезпеченні збереження коштів користувачів платіжних послуг та/або надавачів платіжних послуг, які використовують платіжну схему в порядку, установленому в платіжній схемі, відповідно до вимог законодавства України;
8) депозитарний ризик - ризик втрати фінансових активів об’єкта оверсайту;
9) загальний комерційний ризик - ризик погіршення фінансового стану об’єкта оверсайту в результаті зниження його доходів або збільшення видатків, унаслідок якого витрати перевищують доходи та призводять до втрат, покриття яких здійснюється за рахунок капіталу. До загального комерційного ризику не належать ризики, пов’язані з невиконанням зобов’язань учасником платіжної системи, надавачем платіжних послуг, емітентом електронних грошей або іншою особою, яка має фінансові зобов’язання перед об’єктом оверсайту;
10) заінтересовані особи - власники оператора платіжної системи, учасники платіжної системи, органи державної влади, розрахункові банки, технологічні оператори;
( Підпункт 11 пункту 2 розділу I виключено на підставі Постанови Національного банку № 16 від 11.02.2025 )
12) інвестиційний ризик - ризик втрати або недоступності фінансових активів об’єкта оверсайту, що виникає внаслідок їх інвестування;
13) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для здійснення платіжних операцій;
14) істотний інцидент порушення безперервності діяльності - неспроможність об’єкта оверсайту, включаючи нерезидента, своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної події протягом двох годин або більш тривалого часу;
( Підпункт 14 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
15) кіберзагроза - наявні та потенційно можливі явища і чинники, що створюють небезпеку в кіберпросторі, спричиняють негативний вплив на кібербезпеку та кіберзахист об’єктів оверсайту та платіжних систем;
( Підпункт 15 пункту 2 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
16) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;
17) кіберризик - поєднання ймовірності виникнення кіберінцидентів та їх наслідків, включаючи виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз. Кіберризик є складовою операційного ризику;
( Підпункт 15 пункту 2 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
18) кіберстійкість - спроможність об’єкта оверсайту запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак;
( Підпункт 18 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
19) кредитний ризик - ризик того, що об’єкт оверсайту не зможе виконати свої фінансові зобов’язання в повному обсязі в установлений момент часу або в будь-який момент у подальшому. В об’єкта оверсайту може виникати поточний кредитний ризик та/або потенційний майбутній кредитний ризик;
20) критерії важливості - установлені Національним банком обсяги операцій та види послуг, у разі надання яких платіжна система, учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор можуть бути віднесені Національним банком до відповідної категорії важливості, визначеної цим Положенням;
21) критична залежність - залежність діяльності платіжної системи/постачальника електронних комунікаційних послуг/схеми від учасника платіжної системи/суб’єкта платіжної схеми, невиконання зобов’язань якими може призвести до неможливості забезпечення безперервності діяльності платіжної системи/схеми;
( Підпункт 21 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
22) критичні операції/послуги - платіжні операції та/або послуги, а також послуги, що є допоміжними до платіжних послуг, та інші послуги, невиконання/ненадання яких призведе до порушення надання платіжних послуг об’єктами оверсайту та/або роботи об’єкта оверсайту в цілому;
( Підпункт 22 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
23) міжнародні стандарти оверсайту - документи, прийняті Комітетом з платіжних систем та ринкової інфраструктури Банку міжнародних розрахунків та Технічним комітетом Міжнародної організації комісій з цінних паперів, що визначають стандарти оверсайту об’єктів інфраструктури фінансового ринку;
24) надзвичайна подія - порушення штатного режиму та/або нормальних умов функціонування об’єкта оверсайту, платіжної системи, що призводить до порушення та/або становлять загрозу для безперервності діяльності об’єкта оверсайту, платіжної системи;
( Підпункт 24 пункту 2 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
25) об’єкт оверсайту, який здійснює управління платіжною схемою - оператор платіжної системи, надавач платіжних послуг, емітент електронних грошей, які встановлюють правила, стандарти та/або процедури роботи платіжної схеми та відповідають за її управління (далі - оператор платіжної схеми);
25-1) оператор системно важливої/важливої платіжної системи - оператор платіжної системи, яку Національний банк визначив системно важливою платіжною системою, оператор платіжної системи, яку Національний банк визначив важливою платіжною системою;
( Пункт 2 розділу I доповнено новим підпунктом 25-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
26) операційний ризик - ризик того, що недоліки інформаційних систем або внутрішніх процесів, людські помилки, операційні збої (помилки чи затримки під час оброблення, перебої в роботі систем, кіберінциденти, недостатня пропускна спроможність), втрата або витік інформації, шахрайство або порушення в управлінні внаслідок зовнішніх подій призведуть до скорочення, погіршення або зупинення надання послуг об’єктом оверсайту;
27) основна робоча зона - приміщення та розташоване в ньому обладнання, за допомогою якого забезпечується штатний режим діяльності об’єкта оверсайту;
28) остаточність розрахунків - обумовлений документами об’єкта оверсайту момент часу, в який розрахунок у платіжній системі/схемі стає безвідкличним та безумовним та після якого операція не може бути скасована учасником платіжної системи та/або заінтересованою особою;
( Підпункт 28 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
29) оцінювання - комплекс заходів, що здійснюються Національним банком з метою вдосконалення діяльності платіжних систем/схем в Україні відповідно до міжнародних стандартів оверсайту, а також попередження, виявлення та усунення порушень у діяльності окремої платіжної системи/схеми шляхом систематичного контролю за відповідністю їх діяльності вимогам, установленим законодавством України;
30) правовий ризик - ризик відсутності правового регулювання, зміни або непередбачуваного застосування положень законодавства України, що можуть призвести до виникнення збитків об’єкта оверсайту або визнання недійсними умов договору;
( Підпункт 30 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
30-1) регламентні роботи - заплановані не пізніше ніж за один робочий день заходи з технічної експлуатації інформаційної інфраструктури, що можуть включати в себе планове оновлення програмного забезпечення, обслуговування та/або модернізацію серверів та комп’ютерного обладнання, перевірку безпеки мережі та захисту даних, перенесення основної робочої зони;
( Пункт 2 розділу I доповнено новим підпунктом 30-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
31) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для здійснення/надання критичних операцій/послуг об’єкта оверсайту, платіжної системи в разі виникнення надзвичайної події до відновлення штатного режиму діяльності, що має інформаційну інфраструктуру та забезпечене матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
( Підпункт 31 пункту 2 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
32) ризик ліквідності - ризик того, що об’єкт оверсайту не матиме достатньо коштів для виконання своїх фінансових зобов’язань належним чином у повному обсязі в установлений момент часу, але він зможе їх виконати в інший момент часу в подальшому;
33) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів як за балансовими, так і позабалансовими позиціями внаслідок зміни ринкових цін;
34) розрахунковий ризик - ризик того, що розрахунки в платіжній системі/схемі не здійснюватимуться належним чином;
35) системний ризик - ризик того, що неспроможність одного з учасників платіжної системи та/або технологічного оператора виконати свої зобов’язання або порушення безперервності діяльності самої платіжної системи призведе до порушення діяльності учасників платіжної системи, інших установ або функціонування фінансової системи в цілому;
35-1) системно важлива платіжна система - платіжна система, яку Національний банк визначив системно важливою платіжною системою відповідно до встановлених цим Положенням критеріїв важливості;
( Пункт 2 розділу I доповнено новим підпунктом 35-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
36) спільний оверсайт - діяльність, що здійснює Національний банк разом із центральними банками інших держав щодо оверсайту об’єктів, створених нерезидентами;
37) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди безперервності діяльності об’єкта оверсайту та/або фінансовому стану, та/або ліквідності суб’єктів платіжних систем;
38) управління операційним ризиком - постійна діяльність об’єкта оверсайту щодо оцінки операційного ризику, визначення його допустимого рівня та застосування заходів контролю з метою забезпечення безперервності діяльності;
39) управління платіжною схемою - функція оператора платіжної схеми, що полягає в забезпеченні її функціонування шляхом установлення відповідних правил, стандартів та/або процедур, а також шляхом забезпечення їх реалізації;
40) штатний режим діяльності об’єкта оверсайту - функціонування за стандартними для цього об’єкта оверсайту регламентом і технологією виконання операцій.
Інші терміни в цьому Положенні вживаються в значеннях, визначених законодавством України.
3. Вимоги цього Положення поширюються на об’єкти оверсайту-резидентів, якщо інше не встановлено цим Положенням, а саме:
( Абзац перший пункту 3 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
1) операторів платіжних систем, розрахункові банки, технологічних операторів, учасників платіжних систем (далі - суб’єкти платіжних систем) у частині дотримання ними вимог законодавства України, що регулює діяльність платіжних систем, надання послуг технологічними операторами;
2) надавачів платіжних послуг у частині використання ними платіжних інструментів, платіжних схем, електронних грошей, взаємодії з іншими учасниками платіжного ринку;
3) емітентів електронних грошей у частині випуску та використання електронних грошей.
4. Вимоги цього Положення поширюються на Національний банк як оператора платіжних систем, надавача платіжних послуг та емітента електронних грошей (якщо інше не встановлено цим Положенням).
5. Вимоги, встановлені у пунктах 14, 15, 16 розділу I, пунктах 23, 25, 28 розділу II, пунктах 44, 45- 1 розділу III, пунктах 57, 57- 2 розділу IV, пунктах 70, 72 розділу V, пункті 75 розділу VI, пункті 84 розділу VIII, пункті 92 розділу Х та пунктах 96, 98, 98- 2, 98- 3, 99, 100 розділу XI цього Положення, поширюються на оператора платіжної системи-нерезидента в частині діяльності платіжної системи на території України.
Вимоги, встановлені цим Положенням до об’єкта оверсайту (крім оператора платіжної системи-нерезидента), поширюються на нього в частині його діяльності на території України.
( Пункт 5 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
6. Це Положення ґрунтується на міжнародних стандартах оверсайту.
7. Національний банк здійснює оверсайт з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури, що включає:
1) моніторинг платіжної інфраструктури;
2) оцінювання платіжної інфраструктури на відповідність вимогам законодавства України та міжнародним стандартам оверсайту;
3) встановлення вимог та обмежень щодо діяльності платіжної інфраструктури;
4) надання рекомендацій щодо вдосконалення діяльності платіжної інфраструктури та/або застосування заходів впливу.
8. Національний банк за потреби обмінюється інформацією щодо діяльності об’єктів оверсайту-нерезидентів у межах спільного оверсайту з центральними банками інших держав, резидентами яких вони є, а також з іншими міжнародними організаціями та органами влади.
9. Національний банк здійснює виїзний та безвиїзний моніторинг об’єктів оверсайту відповідно до нормативно-правових актів, які визначають порядок здійснення такого моніторингу.
10. Національний банк має право застосовувати до об’єкта оверсайту заходи впливу за невиконання вимог цього Положення, визначені законодавством України, відповідно до порядку та критеріїв, установлених нормативно-правовими актами Національного банку.
11. Національний банк має право вимагати від об’єктів оверсайту надання інформації та документів, що підтверджують виконання вимог цього Положення, шляхом направлення відповідного запиту.
12. Об’єкт оверсайту зобов’язаний надавати на запит Національного банку:
1) інформацію та документи в строк до 30 календарних днів, якщо інший строк не встановлено в запиті;
2) повну, актуальну та достовірну інформацію, документи належної якості, що дає змогу прочитати всі зазначені в них відомості.
13. Об’єкт оверсайту зобов’язаний протягом трьох місяців із дати прийняття Національним банком рішення про включення його до Реєстру платіжної інфраструктури (далі - Реєстр) або з дати початку надання ним платіжних послуг (для об’єктів оверсайту, щодо яких не передбачено внесення Національним банком відомостей до Реєстру) визначити в своїх документах положення, зазначені в підпункті 4 пункту 25, підпункті 1 пункту 36, пункті 41 розділу II та пункті 55 розділу IV цього Положення.
Об’єкт оверсайту періодично переглядає (не рідше одного разу на рік) та оновлює (актуалізує) у разі потреби внутрішні документи з урахуванням змін у законодавстві України, дія яких поширюється на об’єкта оверсайту, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.
( Пункт 13 розділу I доповнено новим абзацом згідно з Постановою Національного банку № 16 від 11.02.2025 )( Пункт 13 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
14. Об’єкт оверсайту зобов’язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення), на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, що використовуються Національним банком для електронного документообігу, із використанням кваліфікованого електронного підпису (далі - КЕП), крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення.
( Пункт 14 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
15. Об’єкт оверсайту зобов’язаний подавати документи на виконання вимог цього Положення, які засвідчені підписом керівника об’єкта оверсайту або уповноваженого представника оператора платіжної системи-нерезидента (якщо законодавством України не встановлено інше) та оформлені з урахуванням вимог, зазначених у пункті 16 розділу I цього Положення.
( Пункт 15 розділу I із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
16. Об’єкт оверсайту, який надсилає до Національного банку документи, зобов’язаний дотримуватися таких вимог:
1) документи повинні бути викладені українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними в цих документах та/або отриманими з офіційних джерел;
2) сторінки документів повинні бути пронумеровані;
3) документи, складені іноземною мовою, для подання до Національного банку повинні бути перекладені на українську мову (вірність перекладу або справжність підпису перекладача засвідчується нотаріально). Не перекладаються на українську мову документи, складені іноземною мовою, у разі одночасного наведення їх тексту українською мовою. Копії документів, складених іноземною мовою, та/або переклад документа, складеного іноземною мовою, повинні бути засвідчені нотаріально;
4) документи подаються до Національного банку у формі електронного документа або електронної копії документа, підписаного (засвідченої) шляхом накладання КЕП, - разом з електронним повідомленням на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу, крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення;
5) електронні документи, електронні копії оригіналів документів у паперовій формі, скановані копії документів повинні мати коротку назву латинськими літерами, що відображає зміст і реквізити документа;
6) електронна копія оригіналу документа в паперовій формі (з накладеним КЕП та без накладення КЕП) створюється шляхом сканування документа в паперовій формі з урахуванням таких вимог:
документ сканується у файл формату pdf;
документи, що містять більше однієї сторінки, скануються в один файл;
сканована копія кожного окремого документа зберігається як окремий файл;
роздільна здатність сканування має бути не нижче ніж 300 dpi.
Об’єкт оверсайту несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.
( Пункт 16 розділу I в редакції Постанови Національного банку № 16 від 11.02.2025 )
17. Національний банк забезпечує нерозголошення інформації, отриманої ним під час оверсайту, третім особам, крім випадків, визначених законодавством України.
18. Національний банк з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури має право надавати рекомендації об’єктам оверсайту щодо вдосконалення їх діяльності.
19. Національний банк надає рекомендації щодо вдосконалення діяльності об’єктів оверсайту шляхом:
1) надсилання відповідного листа;
2) оприлюднення їх на сторінках офіційного Інтернет-представництва Національного банку;
3) видання методичних рекомендацій щодо окремих питань діяльності об’єктів оверсайту.
20. Національний банк має право організовувати робочі зустрічі з представниками об’єкта оверсайту з метою обговорення питань щодо вдосконалення діяльності цього об’єкта оверсайту.
21. Національний банк готує звіт з оверсайту один раз на рік. Звіт з оверсайту повинен містити:
1) загальну інформацію щодо діяльності Національного банку з оверсайту в звітному періоді;
2) результати діяльності об’єктів оверсайту;
3) інформацію про важливість об’єктів оверсайту;
4) інформацію про результати проведеного оцінювання об’єктів оверсайту та їх самооцінювання;
5) загальну інформацію щодо моніторингу об’єктів оверсайту та застосованих до них заходів впливу;
6) іншу інформацію щодо діяльності Національного банку з оверсайту.
22. Національний банк має право оприлюднювати інформацію зі звіту з оверсайту на сторінках офіційного Інтернет-представництва Національного банку.
II. Загальні вимоги до діяльності та документів об’єктів оверсайту
23. Суб’єкти платіжної системи діють відповідно до правил цієї платіжної системи, інших документів платіжної системи та вимог законодавства України про платіжні послуги.
Правила та/або процедури діяльності платіжної системи на території України встановлюються оператором платіжної системи з урахуванням вимог законодавства України.
( Пункт 23 розділу II доповнено новим абазцом згідно з Постановою Національного банку № 16 від 11.02.2025 )
24. Надавач платіжних послуг, емітент електронних грошей та технологічний оператор діють відповідно до документів, на підставі яких інформацію про них було внесено до Реєстру, платіжної схеми, інших документів цих об’єктів оверсайту та вимог законодавства України про платіжні послуги.
25. Оператор платіжної системи зобов’язаний:
1) доводити інформацію, отриману від Національного банку, що стосується надання послуг учасниками платіжної системи, технологічними операторами, розрахунковими банками, до їх відома для використання в роботі;
2) забезпечувати збереження та нерозголошення інформації, що може загрожувати безпеці та безперервності діяльності платіжної системи, та інформації, що містить комерційну таємницю та/або конфіденційну інформацію про учасників платіжної системи та її користувачів;
3) здійснювати постійний контроль за відповідністю правил та/або процедур діяльності платіжної системи, інших документів платіжної системи та договорів законодавству України;
( Підпункт 3 пункту 25 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
4) визначити в правилах та/або процедурах діяльності або внутрішніх/установчих документах оператора платіжної системи (далі - документи платіжної системи):
( Абзац перший підпункту 4 пункту 25 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
порядок здійснення контролю за діяльністю учасників платіжної системи, розрахункових банків, технологічних операторів відповідно до правил платіжної системи та вимог до них, установлених іншими документами платіжної системи, що розроблені оператором платіжної системи на виконання цього Положення;
( Абзац другий підпункту 4 пункту 25 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
момент остаточності розрахунків;
порядок проведення регламентних робіт у платіжній системі та діяльності її суб’єктів під час проведення таких регламентних робіт.
( Підпункт 4 пункту 25 розділу II доповнено новим абзацом згідно з Постановою Національного банку № 16 від 11.02.2025 )
26. Оператор платіжної системи зобов’язаний надавати роз’яснення учасникам платіжної системи стосовно їх участі в платіжній системі, пов’язаних із цим ризиків та проводити консультації:
1) з новими учасниками платіжної системи - перед початком надання ними послуг у платіжній системі;
2) з діючими учасниками платіжної системи - не менше одного разу на рік з урахуванням змін у законодавстві України та/або змін у внутрішніх документах платіжної системи.
( Підпункт 2 пункту 26 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
27. Оператор платіжної системи зобов’язаний реєструвати звернення учасників платіжної системи з питань надання роз’яснень щодо правил і процедур діяльності платіжної системи, умов участі, надання пропозицій, запитань і зауважень від учасників платіжної системи, іншої інформації щодо діяльності платіжної системи.
( Абзац перший пункту 27 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
Оператор платіжної системи реєструє звернення учасників платіжної системи шляхом унесення відомостей до журналу реєстрації звернень учасників платіжної системи, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
28. Оператор платіжної системи зобов’язаний контролювати діяльність учасників платіжної системи, розрахункових банків і технологічних операторів, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, та несе відповідальність за діяльність платіжної системи відповідно до правил платіжної системи та вимог законодавства України.
Оператор платіжної системи зобов’язаний контролювати наявність інцидентів порушення безперервності діяльності в платіжній системі та застосування заходів, вжитих для їх запобігання, учасниками платіжної системи, розрахунковими банками та технологічними операторами, а також у роботі постачальників електронних комунікаційних послуг, з якими він уклав договори про надання відповідних послуг у цій платіжній системі.
( Пункт 28 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
29. Оператор платіжної системи зобов’язаний не менше одного разу на квартал фіксувати результати здійсненого контролю за учасниками платіжної системи, розрахунковими банками та технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
( Пункт 29 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025з )
30. Учасник платіжної системи зобов’язаний здійснювати контроль та несе відповідальність за дотримання правил платіжної системи технологічними операторами, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, відповідно до умов таких договорів.
31. Надавач платіжних послуг та емітент електронних грошей зобов’язані здійснювати контроль та несуть відповідальність за дотримання технологічним оператором умов та порядку надання відповідних послуг цим об’єктам оверсайту згідно з укладеними між ними договорами та відповідно до вимог законодавства України.
32. Учасник платіжної системи зобов’язаний не менше одного разу на шість місяців фіксувати результати здійсненого контролю за технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
( Пункт 32 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
33. Прямий учасник платіжної системи зобов’язаний здійснювати постійний контроль за діяльністю непрямого учасника платіжної системи щодо дотримання ним умов договору про непряму участь та правил платіжної системи та не менше одного разу на шість місяців фіксувати результати здійсненого контролю шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
( Пункт 33 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
34. Оператор платіжної системи, учасник платіжної системи, надавач платіжних послуг зобов’язані за наявності вести реєстр місць (пунктів) надання фінансових послуг, банківських автоматів, програмно-технічних комплексів самообслуговування, що використовуються для надання платіжних послуг, та забезпечувати актуальність даних у цьому реєстрі.
35. Об’єкт оверсайту зобов’язаний:
1) забезпечувати належний рівень захисту інформації відповідно до вимог законодавства України;
2) реєструвати звернення користувачів із питань надання платіжних послуг, помилкових платіжних операцій шляхом унесення відомостей до електронного журналу реєстрації звернень користувачів, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
36. Технологічний оператор зобов’язаний:
1) виявляти та управляти операційними ризиками, що притаманні послугам, які ним надаються об’єктам оверсайту, а також визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу операційних ризиків;
( Підпункт 1 пункту 36 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) забезпечувати доступність та надійність критичних послуг, які він надає іншим об’єктам оверсайту;
3) забезпечувати своєчасне відновлення надання критичних послуг у разі виникнення надзвичайної події;
( Підпункт 3 пункту 36 розділу II із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
4) повідомляти об’єкт оверсайту, якому він надає послуги, про порушення своєї діяльності, що можуть вплинути на безперервність діяльності цього об’єкта оверсайту;
5) забезпечувати ефективний обмін інформацією з об’єктом оверсайту, якому він надає послуги;
6) погоджувати з об’єктом оверсайту, якому він надає послуги, передавання виконання функцій іншому технологічному оператору, відомості щодо якого внесені до Реєстру, та забезпечити отримання потрібної інформації об’єктом оверсайту щодо наданих послуг;
7) повідомляти об’єкт оверсайту, якому він надає послуги, про внесення змін до програмно-технічних засобів, які технологічний оператор використовує для надання послуг;
8) забезпечувати зберігання інформації про кожну платіжну операцію в розрізі об’єктів оверсайту, яким він надає послуги, у встановленому ним порядку з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту платіжної операції;
9) зберігати інформацію про кожну платіжну операцію в міжнародній платіжній системі, створеній нерезидентом, відповідно до документів такої платіжної системи;
10) надавати свої послуги згідно з узгодженими з Національним банком умовами та порядком його діяльності.
37. Розрахунковий банк зобов’язаний:
1) виявляти та управляти розрахунковим і кредитним ризиками, які виникають унаслідок здійснення розрахунків у платіжній системі;
2) узгоджувати строк здійснення остаточного розрахунку в платіжній системі з оператором платіжної системи та забезпечувати своєчасний остаточний розрахунок відповідно до укладених договорів з оператором платіжної системи та документів платіжної системи (крім випадків, коли оператор платіжної системи виконує функції розрахункового банку відповідно до вимог законодавства України);
3) забезпечувати зберігання інформації про здійснені розрахунки в платіжній системі відповідно до вимог законодавства України та документів платіжної системи.
38. Об’єкт оверсайту зобов’язаний забезпечити зберігання всіх документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, протягом строків, визначених законодавством України.
( Абзац перший пункту 38 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
Об’єкт оверсайту повинен зберігати електронні документи на носіях інформації у формі, що дає змогу перевірити цілісність, достовірність та авторство електронних документів на цих носіях.
39. Об’єкт оверсайту під час створення архівів електронних документів зобов’язаний вжити заходів для забезпечення:
1) можливості перевірки цілісності та достовірності електронного документа в архіві;
2) виключення можливості внесення змін до архівної копії документа після її створення та знищення електронного документа після його створення;
3) можливості відновлення з архіву та використання електронного документа в будь-який час.
40. Об’єкт оверсайту в разі неможливості зберігання електронних документів протягом установленого часу повинен ужити заходів щодо дублювання цих електронних документів на кількох носіях інформації та здійснювати їх періодичне копіювання. Під час копіювання електронного документа з носія інформації обов’язково перевіряється цілісність даних на цьому носії.
41. Об’єкт оверсайту зобов’язаний визначити у своїх документах порядок зберігання документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, а також порядок створення архівів електронних документів відповідно до вимог законодавства України.
( Пункт 41 розділу II в редакції Постанови Національного банку № 16 від 11.02.2025 )
42. Оператор платіжної системи зобов’язаний забезпечити зберігання інформації про кожну платіжну операцію, здійснену в платіжній системі, у своїй системі обліку, а учасник платіжної системи - у своїй системі обліку та системі обліку оператора платіжної системи в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).
Надавач платіжних послуг та емітент електронних грошей зобов’язані забезпечити зберігання інформації про кожну платіжну операцію у своїй системі обліку в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).
43. Вимоги абзацу другого пункту 27 та пунктів 29, 32 розділу II цього Положення не застосовуються до Національного банку.
III. Оприлюднення інформації об’єктами оверсайту
44. Об’єкт оверсайту зобов’язаний мати власний офіційний вебсайт та корпоративну електронну поштову скриньку.
Оператор міжнародної платіжної системи-нерезидент зобов’язаний забезпечити наявність окремого офіційного вебсайту або окремої сторінки на офіційному вебсайті міжнародної платіжної системи для оприлюднення інформації щодо діяльності платіжної системи на території України.
( Пункт 44 розділу III доповнено новим абзацом згідно з Постановою Національного банку № 16 від 11.02.2025 )
45. Оператор платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань (далі - Єдиний державний реєстр) та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) юридичної адреси та фактичного місцезнаходження;
3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
4) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знаку для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);
5) опису організаційної структури платіжної системи;
6) складу керівних органів оператора платіжної системи;
7) умов та критеріїв участі в платіжній системі;
8) переліку учасників платіжної системи;
9) порядку припинення участі та виключення учасника платіжної системи, який порушує вимоги щодо участі в платіжній системі або більше не відповідає цим вимогам та встановленим критеріям;
10) видів платіжних послуг, що надаються платіжною системою, уключаючи:
( Абзац перший підпункту 10 пункту 45 розділу III із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
порядок та умови здійснення платіжних операцій;
види платіжних інструментів, які використовуються для ініціювання платіжних операцій;
строки виконання платіжних операцій;
11) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг (крім системи міжбанківських розрахунків, оператором якої є Національний банк);
( Підпункт 11 пункту 45 розділу III в редакції Постанови Національного банку № 16 від 11.02.2025 )
12) переліку прав і обов’язків оператора платіжної системи та її учасників;
13) порядку вирішення спорів між учасниками платіжної системи;
( Підпункт 13 пункту 45 розділу III із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
14) відомостей, що підтверджують унесення платіжної системи до Реєстру (крім платіжних систем, створених Національним банком) із гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
Інформація на офіційному вебсайті розміщується державною мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).
( Пункт 45 розділу III доповнено новим абзацом згідно з Постановою Національного банку № 16 від 11.02.2025 )
45-1. Оператор платіжної системи-нерезидент зобов’язаний оприлюднювати на окремому офіційному вебсайті або окремій сторінці на офіційному вебсайті міжнародної платіжної системи інформацію стосовно діяльності платіжної системи на території України щодо:
1) свого повного найменування відповідно до відомостей з Реєстру;
2) юридичної адреси та фактичного місцезнаходження, адреси представництва в Україні (за наявності);
3) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знака для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);
4) переліку учасників платіжної системи в Україні;
5) видів платіжних послуг, що надаються за допомогою платіжної системи на території України;
6) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг;
7) відомостей, що підтверджують унесення платіжної системи до Реєстру, з гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
Інформація на офіційному вебсайті або окремій сторінці офіційного вебсайту розміщується українською мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).
( Розділ III доповнено новим пунктом 45-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
46. Учасник платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) інформацію про торговельні марки/знаки для товарів і послуг, що використовуються для надання платіжних послуг (за наявності);
3) юридичної адреси та фактичного місцезнаходження;
4) контактного номера телефону та адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
5) переліку платіжних послуг, що надаються об’єктом оверсайту, включаючи:
порядок та умови здійснення платіжних операцій;
строки виконання платіжних операцій;
види платіжних інструментів, які використовуються для ініціювання платіжних операцій;
6) місць розташування банківських автоматів та програмно-технічних комплексів самообслуговування, місць (пунктів) надання фінансових послуг, а також їх режим роботи;
7) відомостей про участь у платіжних системах (для учасників платіжних систем) шляхом розміщення їх переліку із зазначенням назви, дати включення до Реєстру, найменування, гіперпосилання, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
Учасник платіжної системи, який, крім власного офіційного вебсайту, використовує для надання платіжних послуг інші вебсайти, зобов’язаний розміщувати на таких вебсайтах інформацію про наявність власного офіційного вебсайту та посилання на нього.