Rynek od dawna sygnalizuje, że przepisy prawa bankowego nie są dostosowane do dynamicznie rozwijającej się branży FinTech. Odpowiedzią ma być projekt ustawy z dnia 15 lipca 2021 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony interesów inwestorów na tym rynku. Projekt już od dłuższego czasu jest na etapie konsultacji i opiniowania.

Dlaczego zmiany w prawie bankowym są konieczne?

Problem niedostosowania przepisów ustawy Prawo bankowe najlepiej widać w obszarze rozwiązań chmurowych. W polskim sektorze bankowym niewiele jest wdrożeń usług w modelu SaaS. Przyczyna leży w anachronicznych przepisach prawa, które stawiają dostawcom blokujące wymogi. Usługa w modelu SaaS po dostosowaniu do tych wymogów często staje się nieopłacalna bądź w ogóle niemożliwa w realizacji. Mowa w tym wypadku przede wszystkim o zakazie tzw. “łańcuszka powierzeń” i nieograniczonej odpowiedzialności za szkody wyrządzone klientom banku. Czy projektowane zmiany przepisów odpowiedzą na oczekiwania branży dotyczące tych dwóch kluczowych obszarów?

Zakres projektowanych zmian

Zgodnie z treścią uzasadnienia, w obszarze dotyczącym outsourcingu bankowego projekt wprowadza regulacje, które mają na celu uproszczenie procedury i dostosowanie do wymogów Wytycznych Europejskiego Urzędu Nadzoru Bankowego w sprawie outsourcingu (sygn. EBA/GL/2019/02), w tym przewidują:

umożliwienie powierzenia czynności pośrednictwa w zakresie umów o instrumenty płatnicze, inne niż karty płatnicze;
odejście od wymogu zawierania umowy agencyjnej w stosunku do niektórych czynności outsourcingowych;
rozszerzenie dopuszczalnego zakresu powierzanych czynności w ramach outsourcingu;
umożliwienie dalszego podzlecania czynności w ramach outsourcingu – odejście od zakazu związanego z tzw. „łańcuszkiem powierzeń”;
liberalizację procedury powierzenia czynności przedsiębiorcom zagranicznym.

Projekt zawiera ponadto szereg innych zmian dotyczących rynku finansowego a nie związanych bezpośrednio z outsourcingiem bankowym.

Łańcuszki powierzeń – długo wyczekiwana zmiana

Kluczową zmianą, na którą od lat oczekuje rynek FinTech jest odejście od tzw. zakazu „łańcuszka powierzeń”.

Zgodnie z art. 6a ust. 7 ustawy Prawo bankowe jeżeli umowa outsourcingowa to przewiduje, przedsiębiorca lub przedsiębiorca zagraniczny może powierzyć innemu przedsiębiorcy lub przedsiębiorcy zagranicznemu – w drodze odrębnej umowy – wykonywanie określonych w umowie zawartej z bankiem czynności, służących realizacji głównego świadczenia wynikającego z tej umowy, po uzyskaniu pisemnej zgody banku.

Z tej ogólnej regulacji Komisja Nadzoru Finansowego wywiodła zakaz podpowierzania usług dalszym poddostawcom. Oznacza to, że przy obecnym stanie prawnym w reżimie outsourcingu bankowego podwykonawca dostawcy świadczącego usługi dla banku nie może mieć już dalszych podwykonawców.

W przypadku usług chmurowych jest to spory problem praktyczny, ponieważ immanentną cechą świadczenia usług w modelu SaaS jest to, że na finalną usługę składa się zwykle wiele elementów dostarczanych przez wielu różnych dostawców. Standardowo np. podmiot dostarczający chmurę nie dostarcza jednocześnie oprogramowania na tej chmurze posadowionego. Oprócz dostawcy oprogramowania i usługi chmurowej do tej „układanki” dochodzić mogą również dostawcy poszczególnych komponentów oprogramowania lub usług towarzyszących, podmioty odsprzedające usługi chmurowe czy zapewniające odpowiednią konfigurację i utrzymanie środowisk chmurowych. Dostawcy tych usług cząstkowych mają natomiast swoich podwykonawców i dostawców. Nie można pominąć także rozpowszechnionej praktyki współpracy z personelem w oparciu o umowę B2B, gdyż kontraktorzy także są uważani za podwykonawców. W praktyce często więc okazuje się, że świadczenie dla banku określonej usługi w modelu SaaS, w zgodzie z art. 6a ust. 7 ustawy Prawo bankowe, jest niemożliwe z uwagi na ilość poziomów podwykonawstwa.

Dotychczasowe sposoby rozwiązania problemu

Rozwiązaniem problemu – sugerowanym także przez KNF – jest obecnie tworzenie umów wielostronnych, których stroną są wszystkie te podmioty, których udział w projekcie powoduje przekroczenie limitu podwykonawców. Wypracowanie konsensusu w tak złożonym układzie podmiotowym jest jednak czasochłonne. Model ten nie sprawdzi się także wtedy, gdy problematyczny z punktu widzenia „łańcuszka powierzeń” dostawca nie zgodzi się na przyjęcie nieograniczonej odpowiedzialności wobec klientów banku, co jest wymogiem ustawowym wobec wykonawców zawierających umowę outsourcingu bankowego.

Z powyższych przyczyn sektor bankowy z niecierpliwością oczekuje zmiany podejścia do łańcuszka outsourcingowego.

Projektowane rozwiązanie

W projektowanej nowelizacji została zawarta propozycja odejścia od zakazu „łańcuszka powierzeń”. Projektodawca zaproponował dodanie po ust. 6a ust. 7 ustawy Prawo bankowe, dodatkowego ust. 7a zgodnie z którym: „Przedsiębiorca lub przedsiębiorca zagraniczny, któremu powierzono wykonywanie określonych czynności zgodnie z ust. 7 pkt 1, po uzyskaniu pisemnej zgody banku może powierzyć innemu (dalszemu) przedsiębiorcy lub przedsiębiorcy zagranicznemu, w drodze odrębnej umowy, wykonywanie tych czynności, z zachowaniem tajemnicy prawnie chronionej.”.

Choć kierunek zmian wśród komentatorów jest oceniany pozytywnie, pojawiają się także głosy krytyki wobec tej propozycji. Wątpliwości interpretacyjne dotyczą m. in. tego czy ust. 7a ustawy Prawo bankowe nie ogranicza dalszego powierzenia do wyłącznie jednego „dalszego przedsiębiorcy”, ponieważ tak wynika z dosłownego brzmienia proponowanego postanowienia. Uzasadnienie do projektu wskazuje jednak, że intencją było dopuszczenie podpowierzenia w pełnym zakresie. Tak też, zgodnie z zasadami techniki prawodawczej, należałoby rozumieć komentowane postanowienie.

Z całą pewnością, jeżeli proponowana zmiana wejdzie w życie, znacznie zwiększy się liczba dostępnych na rynku rozwiązań chmurowych zdolnych do sprostania regulacjom outsourcingu bankowego. Zmiana otworzy drogę wielu dostawcom IT do oferowania swoich produktów bankom w Polsce.

Nieograniczona odpowiedzialność – praktyczny problem dostawców

W projekcie nowelizacji ustawy Prawo bankowe nie została natomiast zaadresowana istotna dla praktyki kwestia wymogu przyjęcia przez dostawcę nieograniczonej odpowiedzialności za szkody wyrządzone klientom banku z tytułu niewykonania lub nienależytego wykonania umowy outsourcingu bankowego. Wymóg ten wynika z art. 6b ustawy Prawo bankowe, który zakazuje nie tylko całkowitego wyłączenia tego rodzaju odpowiedzialności w umowie outsourcingowej, ale także jakiegokolwiek jej ograniczenia.

Wymóg ten przysparza sporo problemów w praktyce. Dostawcy zagraniczni lub należący do zagranicznej grupy kapitałowej, z uwagi m. in. na wewnętrzne wymogi korporacyjne, na ogół nie mogą zgodzić się na nielimitowaną odpowiedzialność. Jest to o tyle problematyczne, że w Polsce usługi chmurowe świadczy wiele podmiotów będących częścią zagranicznych grup kapitałowych. Jako że treść art. 6b ustawy Prawo bankowe jest adresowana do podmiotów zawierających umowę outsourcingową – dostawcy usług chmurowych najczęściej nie decydują się na bycie stroną takiej umowy w modelu wielostronnym, który pozwala na uniknięcie „łańcuszka powierzeń”.

Dostawca oprogramowania, jeżeli chce je dostarczać do banku z wykorzystaniem chmury, staje więc przed wyzwaniem wzięcia na siebie odpowiedzialności za szkody klientów banku – nie tylko wyrządzone przez własną organizację, ale także przez dostawcę chmury jako podwykonawcę. Dostawca chmury – nie będąc stroną umowy outsourcingowej a jedynie podwykonawcą – swoją odpowiedzialność, w tym tą wobec klientów banku, standardowo zlimituje.

Zwiększone ryzyko dostawcy oprogramowania polega zatem na tym, że korzystając z usług takiego podmiotu jako podwykonawcy, dostawca oprogramowania – w przypadku szkód poniesionych przez klientów banku – nie będzie mógł domagać się od dostawcy chmury rekompensaty powyżej limitu ustalonego w łączącej ich umowie, jednocześnie za te same szkody odpowiadając wobec banku w sposób nielimitowany.

Chociaż w praktyce ryzyko wystąpienia takiego zdarzenia, którego dotyczy art. 6b ustawy Prawo bankowe nie jest duże, nie zmienia to jednak faktu, że regulacja ta zmusza dostawców oprogramowania do przyjmowania na siebie ryzyka nieuzasadnionego gospodarczo.

Cel regulacji a potrzeby biznesowe – jak je pogodzić?

Potrzebę dodania do projektu również zmiany w obszarze odpowiedzialności za szkody klientów banku postuluje m. in. Polska Izba Informatyki i Telekomunikacji[1]. PIIT słusznie zwraca uwagę, że takie podejście nie jest stosowane w żadnym innym państwie Unii Europejskiej. Restrykcyjne regulacje nie mają również uzasadnienia w żadnych przepisach unijnych czy wytycznych EBA. Takie ukształtowanie przepisów powoduje natomiast, że wdrażanie rozwiązań chmurowych w polskich bankach przebiega dużo mniej dynamicznie niż w innych krajach członkowskich.

Przepis art. 6b ustawy Prawo bankowe ma na celu zapewnienie klientom banku pełnego zaspokojenia roszczeń powstałych w wyniku wykonywania usług outsourcingowych, co jest oczywiście słuszne. Warto jednak zauważyć, że w takiej sytuacji w pierwszej kolejności klient banku będzie dochodził swoich roszczeń wobec samego banku, który co do zasady takie roszczenie będzie w stanie w całości zaspokoić. Interes klienta nie będzie zatem w żaden sposób zagrożony przez limitację odpowiedzialności dostawców outsourcingowych w umowie z bankiem.

Z kolei, z punktu widzenia relacji dostawca – bank, odpowiedzialność wobec osób trzecich związana z wykonywaniem umowy wiąże się przede wszystkim z podziałem ryzyka związanego z danym projektem. W zależności od rodzaju przedsięwzięcia zasadne może być aby ten punkt ciężkości przeważał w jedną lub drugą stronę.

Ani zatem z biznesowego punktu widzenia ani z punktu widzenia bezpieczeństwa interesów klienta banku całkowity zakaz limitacji odpowiedzialności dostawcy nie jest uzasadniony.

Z racji krzyżowania się regulacji z ustawy Prawo bankowe z innymi reżimami outsourcingu regulowanego, zasadne byłoby natomiast ukształtowanie regulacji w sposób analogiczny do rozwiązań zastosowanych np. w ustawie o obrocie instrumentami finansowymi, gdzie ograniczenie odpowiedzialności dostawców reżimie outsourcingu regulowanego jest dopuszczalne.

[1] Stanowisko ws. projektu ustawy o o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku, 09.08.2021 r., PIIT/933/21

Projekt zmian w prawie bankowym – czy rozwiąże praktyczne problemy dostawców IT?

Dlaczego zmiany w prawie bankowym są konieczne?

Zakres projektowanych zmian

Łańcuszki powierzeń – długo wyczekiwana zmiana

Dotychczasowe sposoby rozwiązania problemu

Projektowane rozwiązanie

Nieograniczona odpowiedzialność – praktyczny problem dostawców

Cel regulacji a potrzeby biznesowe – jak je pogodzić?

Zawody przyszłości w IT: W które technologie warto inwestować swoją karierę?

Cały kraj odcięty od Instagrama

Krytyczna luka w Docker Engine: obejście wtyczek autoryzacyjnych

Nowe narzędzie YouTube do usuwania utworów chronionych prawami autorskimi

Proacta uruchomiła platformę do analizy badań laboratoryjnych

Magazyn Time uznał Schneider Electric za najbardziej zrównoważoną firmę na świecie

Schneider Electric udowadnia, że oprogramowanie, automatyzacja i elektryfikacja są kluczowe dla zwiększenia konkurencyjności przemysłu

1,35 mld złotych dla Atman na rozbudowę centrów danych