Zahlungssystemaufsicht
Der Transfer von elektronischen Geldwerten über Zahlungssysteme kann sehr unterschiedlichen Zwecken dienen, die vom unbaren Bezahlen von Kleinstbeträgen an der Supermarktkassa über die Abwicklung von großen Geldbeträgen im Interbankzahlungsverkehr bis zum Clearing von Wertpapiergeschäften der Wiener Börse reichen. Da das reibungslose Funktionieren der dafür erforderlichen Zahlungssysteme eine Grundvoraussetzung für die Finanzmarktstabilität darstellt, ist die Oesterreichische Nationalbank (OeNB) mit der Ausübung der Zahlungssystemaufsicht (ZSA) betraut.
In der Folge werden ein Überblick über die verschiedenen Arten von Zahlungssystemen geliefert und die Gründe für deren Beaufsichtigung durch Zentralbanken sowie die konkrete Aufsichtspraxis der OeNB dargelegt.
Beweggründe für die Zahlungssystemaufsicht (ZSA)
Zahlungssysteme erfüllen eine bedeutende Rolle für die Stabilität des Finanzsektors. Störungen des durch sie fließenden Geldkreislaufes könnten massive Auswirkungen haben, die von der Gefährdung einzelner Marktteilnehmer bis zur Destabilisierung des gesamten Finanzsystems – und damit des Vertrauens in die Währung – reichen. Typische Risiken im Zusammenhang mit Zahlungssystemen sind
- das Kreditrisiko (ein Teilnehmer erfüllt seine Verpflichtungen nicht),
- das Liquiditätsrisiko (ein Teilnehmer erfüllt seine Verpflichtungen nicht fristgerecht),
- das Rechtsrisiko (Verträge erweisen sich als nicht durchsetzbar),
- das technisch-operationelle Risiko (menschliches Versagen, IT-Probleme, terroristische Attacken, etc. verursachen einen technischen Systemzusammenbruch) sowie
- das systemische Risiko (die Probleme eines Teilnehmers bzw. eines Zahlungssystems verursachen im Zuge einer Kettenreaktion Folgeprobleme bei anderen Zahlungssystemen bzw. im gesamten Finanzsystem).
Die Aufsicht über die Sicherheit von Zahlungssystemen ist somit von grundlegender gesamtwirtschaftlicher Bedeutung und zählt daher auch zu den Kernaufgaben der Zentralbanken.
Rechtsgrundlage und Aufsichtsadressaten
Die Aufsichtstätigkeit der OeNB erfolgt im Rahmen der vom EZB-Rat definierten Aufsichtspolitik. Diese gründet sich auf Artikel 127 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sowie Artikel 3 und 22 der ESZB-Satzung und zielt v. a. darauf ab, möglichem Systemversagen vorzubeugen und die Effizienz und Sicherheit der Marktinfrastrukturen zu gewährleisten. Die rechtlichen Rahmenbedingungen auf europäischer Ebene sind auf der Website der EZB abrufbar.
Die OeNB ist aufgrund des Nationalbankgesetzes (§ 44a NBG) zur Aufsicht über Zahlungssysteme verpflichtet. In der Funktion als Zahlungssystemaufsichtsbehörde ist sie verfassungsrechtlich weisungsfrei gestellt. Die mit 1. August 2023 in Kraft getretene Verordnung der Oesterreichischen Nationalbank zur Systemsicherheit von Zahlungssystemen konkretisiert die diesbezügliche Aufsichtspraxis der Zahlungssystemaufsicht.
Die Aufsichtsadressaten sind primär die Betreiber der Zahlungssysteme (siehe § 44a Abs. 5 NBG), da sie die zentrale Verantwortung für das Systemkonzept, die Aufbau- und Ablauforganisation, die Ordnungsmäßigkeit des laufenden Betriebes und die technische Sicherheit tragen. Dies betrifft im Wesentlichen die wichtigsten österreichischen Finanzmarktinfrastrukturen zur Abwicklung von Interbankzahlungen und von Wertpapiertransaktionen (Clearingsysteme, Zentrale Gegenparteien und Wertpapierzentralverwahrer). Daneben unterliegen im Bereich des Massenzahlungsverkehrs v. a. Kartenzahlungssysteme, Terminalbetreiber oder E-Geldsysteme der ZSA.
Systemprüfungen
Die OeNB führt Systemprüfungen in routinemäßigen Abständen bzw. anlassbezogen durch. Die wichtigste Aufsichtsgrundlage bilden die „CPMI-IOSCO Prinzipien für Finanzmarktinfrastrukturen“ (PFMI), welche vom Basler Ausschuss für Zahlungsverkehrs- und Abwicklungssysteme (Committee on Payments and Market Infrastructures, CPMI) und der Internationalen Vereinigung der Wertpapieraufsichtsbehörden (International Organization of Securities Commissions, IOSCO) erarbeitet wurden. Die oben angeführte Verordnung der Oesterreichischen Nationalbank zur Systemsicherheit von Zahlungssystemen basiert auf den PFMI; die wesentlichen Regelungsbereiche betreffen folgende Aspekte
- Rechtliche Systemsicherheit: die Rechtsgrundlagen des Systems sollen klar definiert und gegenüber allen Beteiligten durchsetzbar sein;
- Finanzielle Systemsicherheit: alle am System Beteiligten sollen die sich aus dem Systembetrieb bzw. aus der Systemteilnahme ergebenden finanziellen Risiken kennen und beherrschen;
- Organisatorische Systemsicherheit: die internen Abläufe und Kontrollstrukturen sollen einen verlässlichen Betrieb ermöglichen und auch in Ausnahme- und Krisenfällen anwendbar sein;
- Technische Systemsicherheit: die Systeme sollen ein hohes Maß an Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten und diesbezüglich dem jeweiligen Stand der Technik entsprechen. In Bezug auf Bedrohungen aus dem Internet müssen zumindest Informationen zu aktuellen Bedrohungen ausgetauscht werden und das System in der Lage sein, Angriffe abzuwehren bzw. diesen standzuhalten (Cyber Resilience).
Im Falle festgestellter Defizite werden gemeinsam mit den Aufsichtsadressaten geeignete Lösungsmaßnahmen vereinbart, deren Umsetzung im Zuge von Follow-up-Prüfungen überprüft wird.
Cyber Resilience
Die EZB hat am 03.12.2018 die sogen. Cyber Resilience Oversight Expectations for Financial Market Infrastructures (CROEs) verabschiedet. Diese basieren auf der globalen CPMI-IOSCO Guidance on Cyber Resilience for Financial Market Infrastructures und bilden nunmehr die Aufsichtsgrundlage für die Aktivitäten der Zahlungssystemaufsicht im Bereich Cyber Resilience. Adressaten der CROEs sind sämtliche Zahlungssysteme, T2S sowie Zentrale Gegenparteien (CCPs) und Wertpapierzentralverwahrer (CSDs).
Zahlungssystemstatistik
Die OeNB beobachtet die laufende operative Tätigkeit der Systembetreiber und deren Teilnehmer. Im Rahmen der Zahlungssystemstatistik werden in regelmäßigen Abständen quantitative bzw. qualitative Informationen an die OeNB gemeldet, was im Falle von Auffälligkeiten anlassbezogene Systemprüfungen zur Folge haben kann.
Meldepflichten für Betreiber von Zahlungssystemen
Für die Tätigkeit der Zahlungssystemaufsicht ist es erforderlich, möglichst zeitnahe über Änderungen bei den beaufsichtigten Zahlungssystemen informiert zu werden. Vor diesem Hintergrund sind Betreiber von Zahlungssystemen gemäß § 44a Abs. 7a NBG dazu verpflichtet, der OeNB die Aufnahme bzw. die Einstellung des Betriebs eines Zahlungssystems innerhalb von zwei Wochen schriftlich zu melden. Des Weiteren haben Betreiber von Zahlungssystemen der OeNB die Teilnehmer an ihren Zahlungssystemen zu melden sowie diesbezügliche Änderungen innerhalb von zwei Wochen schriftlich mitzuteilen.
- Den o. a. Meldungen sind folgende Angaben anzuschließen:
- Bei Aufnahme oder Einstellung des Betriebs eines Zahlungssystems: Name des Zahlungssystems, Name und Geschäftssitz des Betreibers des Zahlungssystems, Name, Geschäftssitz sowie Art der Teilnahme (z. B. direkt oder indirekt) der Teilnehmer am Zahlungssystem.
- Bei Teilnehmeränderungen: Name, Geschäftssitz sowie Art der Teilnahme (z. B. direkt oder indirekt) des neuen bzw. des wegfallenden Teilnehmers.
- Die diesbezüglichen Meldungen haben schriftlich per E-Mail an die Zahlungssystemaufsicht (ZSA) zu erfolgen.
Bei schweren Sicherheits- und Betriebsvorfällen ist das „Major Incident Reporting Framework for Payment Schemes and Retail Payment Systems“ anzuwenden. Die Zahlungssystemaufsicht ist mittels standardisierter Templates an zsa@oenb.at über den Vorfall zu informieren. Die Unterlagen (Framework und Template) können von der ZSA angefordert werden.
Internationale Zusammenarbeit
Aufgrund der zunehmenden grenzüberschreitenden Tätigkeit und Vernetzung von Zahlungssystemen wird es immer wichtiger, ein regulatorisches level playing field zu gewährleisten. In den diversen Gremien der wichtigsten europäischen Aufsichtsinstitutionen (EZB, EBA, ESMA) werden daher gemeinsam Aufsichtsgrundlagen erarbeitet und deren einheitliche Anwendung in der Aufsichtspraxis abgestimmt.
Anerkennung von Systemen nach dem Finalitätsgesetz
Die Endgültigkeit der Zahlungen (Finalität) ist von entscheidender Bedeutung für jeden Zahlungsempfangenden. Die diesbezügliche Rechtssicherheit wird durch das „Bundesgesetz über die Wirksamkeit von Abrechnungen in Zahlungs- sowie Wertpapierliefer- und -abrechnungssystemen“ (Finalitätsgesetz) geschaffen, das die Verringerung von rechtlichen Risiken für die Teilnehmer an nach diesem Gesetz „anerkannten“ Systemen bewirkt. Über anerkannte Systeme durchgeführte Transaktionen sind rechtlich wirksam und für Dritte verbindlich („final“). Die OeNB ist die zuständige Behörde für die Anerkennung von „Zahlungs- sowie Wertpapierliefer- und -abrechnungssystemen“ gemäß Finalitätsgesetz. Sämtliche EU-weit anerkannten Systeme werden auf einer im Internet abrufbaren Liste der ESMA geführt.
Veröffentlichung des PISA-Rahmenwerks
Das Eurosystem hat im November 2021 neue Aufsichtsstandards für Zahlungsinstrumente veröffentlicht: Oversight Framework for Electronic Payment Instruments, Schemes and Arrangements (PISA). Damit werden die bestehenden Aufsichtsgrundlagen für Kartenschemes (VISA, MC), Überweisungsformate (SEPA) u. ä. konsolidiert und je nach Ausgestaltung auf innovative Instrumente wie beispielsweise Stablecoins bzw. davon abgeleitete Instrumente erweitert.
Das Rahmenwerk wurde auf der EZB-Website veröffentlicht (Eurosystem publishes new framework for overseeing electronic payments (europa.eu), nur in englischer Sprache verfügbar) und besteht aus drei Dokumenten:
- Framework: Definition der Aufsichtsadressaten und der wesentlichen Begriffe (bspw. Payment Instrument, Scheme, Arrangement auf S. 3-5), Organisation der Aufsicht.
- Assessment Methodology: Relevante Aufsichtsstandards auf Basis der CPMI-IOSCO Prinzipien für Finanzmarktinfrastrukturen (PFMI).
- Exemption Policy: Proportionalitätsansatz, Definition diverser Schwellenwerte (Nutzer, Umsätze etc.).
Das Rahmenwerk tritt per 15. November 2022 in Kraft.
Die offizielle Stellungnahme der EZB zur Ende 2020 durchgeführten öffentlichen Konsultation des Rahmenwerks ist hier zu finden:
Response to the public consultation on the Eurosystem oversight framework package for electronic payment instruments, schemes and arrangements (europa.eu)
Alle im Rahmen der öffentlichen Konsultation erhaltenen Kommentare wurde in einem Excel-File zusammengefasst, das unter folgendem Link abrufbar ist: https://www.ecb.europa.eu/paym/pdf/consultations/ecb.PISApublicconsultation202111_5.en.xlsx
Fragen zu PISA können Sie auch an die Zahlungssystemaufsicht unter zsa@oenb.at richten.