Question ID:
2019_5008
Legal Act:
Directive 2015/2366/EU (PSD2)
Topic:
Fraud reporting
Article:
96
Paragraph:
3
Subparagraph:
COM Delegated or Implementing Acts/RTS/ITS/GLs/Recommendations:
EBA/GL/2018/05 - EBA Guidelines on fraud reporting under PSD2 (amended by EBA/GL/2020/01)
Article/Paragraph:
Guideline 1/1.6b
Disclose name of institution / entity:
No
Type of submitter:
Individual
Subject Matter:
Losses due to fraud per liability bearer / Perdite dovute a frode per portatore di responsabilità
Question:

Please clarify the requirement in guideline 1.6 (b) of the EBA Guidelines on fraud reporting under PSD2 with regard to recognising losses due to fraud per liability bearer.

***

IT:

Si chiede cortesemente di chiarire il requisito espresso all'interno dell'orientamento 1.6(b) in materie di obblighi di segnalazione delle perdite dovute a frode per portatore di responsabilità

Background on the question:

The objective is to consider the correct type of loss to be included in the report.

Below are two different ways of recognising losses due to fraud per liability bearer.

Please clarify whether either of the two cases (1 or 2) are compliant with the requirement expressed in guideline 1.6 (b) of the EBA Guidelines on fraud reporting under PSD2, and please indicate whether the examples given are correct (examples, a, b, c and d).

1) Bank losses must only be reported at the moment when they are entered in the accounting records. Establishing the ‘liability bearer’ means understanding who ‘is at fault’ for the fraud, i.e. who was targeted by the fraudster’s attack (for instance, the bank’s internet banking site, third party PSD2 APIs).

Example a) if the fraud is the client’s fault and the bank reimburses the client, the transaction is recorded as fraudulent and the loss is reported as a bank loss, in the line item relating to bearing user liability.

Example b) if the fraud is the client’s fault and the bank does NOT reimburse the client, the transaction is recorded as fraudulent and the loss is NOT recorded in the report as there was no loss for the bank.

2) Losses due to fraud in general must be reported, with the ‘liability bearer’ meaning the party who has actually sustained the [fraudulent] charge.

Example c) if the fraud is the client’s fault and the bank reimburses the client, the transaction is recorded as fraudulent and the loss is reported as a bank loss in the line item relating to bearing bank liability.

Example d) if the fraud is the client’s fault and the bank does NOT reimburse the client, the transaction is recorded as fraudulent and the loss is reported in the line item relating to bearing user liability as it is the user who has sustained the charge.

***

IT:

L'obiettivo è considerare la corretta tipologia di perdita da inserire all'interno del report di segnalazione.

Di seguito si riportano due esempi di conteggio differenti delle perdite dovute a frode per portatore di responsabilità.

Si chiede cortesemente di chiarire delle due casistiche (1 o 2) rispetta correttamente il requisito espresso all'interno dell'orientamento, indicando altresì la correttezza degli esempi riportati (esempi a, b, c, d).

1) vanno segnalate solamente le perdite banca nel momento in cui sono state registrate contabilmente. il "portatore di responsabilità" si traduce con capire la frode di chi "è colpa", ovvero chi ha subito l'attacco del frodatore (ad esempio sito di home banking della banca, app di terza parte PSD2)

Esempio a): se la frode è per colpa del cliente e la banca rimborsa il cliente, il movimento va segnalato come fraudolento e la perdite censita nel report in quanto perdita banca nella riga dedicata al portare di responsabilità utente.

Esempio b): se la frode è per colpa del cliente e la banca NON rimborsa il cliente, il movimento va segnalato come fraudolento e la perdite NON censita nel report in quanto non vi è stata perdita per la banca.

2) vanno segnalate le perdite dovute a frodi in generale, intendendo come il "portatore di responsabilità" come chi effettivamente ha subito l'addebito.

Esempio c): se la frode è per colpa del cliente e la banca rimborsa il cliente, il movimento va segnalato come fraudolento e la perdita censita nel report in quanto perdita banca nella riga dedicata al portare di responsabilità banca.

Esempio d): se la frode è per colpa del cliente e la banca NON rimborsa il cliente, il movimento va segnalato come fraudolento e la perdite censita nel report nella riga dedicata al portare di responsabilità utente in quanto è l'utente che ha subito l'addebito.

Date of submission:
19/11/2019
Published as Final Q&A:
25/09/2020
EBA Answer:

According to Guideline 7.13 of the EBA Guidelines on fraud reporting under PSD2 (EBA/GL/2018/05) as amended by the EBA Guidelines EBA/GL/2020/01, “The payment service provider providing data in accordance with Data Breakdowns A to F in Annex 2 should report all losses due to fraud per liability bearer during the reporting period”.

Further, under these Guidelines, Guideline 1.6(b) provides that “’Losses due to fraud per liability bearer‘ refers to the losses by the reporting payment service provider, its payment service user or others, reflecting the actual impact of  fraud on a cash flow basis [...]”.

In this context the “liability bearer” refers to the party that has sustained the loss due to a fraudulent transaction. For example, if the reporting payment service provider (PSP) reimburses the payment service user (PSU) for a fraudulent transaction itself and bears a loss due to that fraudulent payment, the loss should be reported under the breakdown “Losses due to fraud per liability bearer”, the line relating to the “Reporting payment service provider”.

If, on the other hand, the PSP does not reimburse the PSU and the loss is borne instead by the PSU, the loss should be reported under the breakdown “Losses due to fraud per liability bearer”, in the line relating to the “Payment service user”.

In accordance with Guideline 1.6 (b), “the final fraud losses should be reported in the period when they are recorded in the PSP’s books. The final fraud loss figures should not take into account refunds by insurance agencies because they are not related to fraud prevention for the purposes of PSD2”.

***

IT:

Conformemente al punto 7.13 degli orientamenti dell’ABE sulla segnalazione delle frodi ai sensi della PSD2 (ABE/GL/2018/05) come modificati dagli orientamenti ABE/GL/2020/01, «il prestatore di servizi di pagamento che fornisce dati in conformità alle disaggregazioni da A a F di cui all’allegato 2 dovrebbe comunicare tutte le perdite dovute a frode per portatore di responsabilità durante il periodo di segnalazione».

Inoltre, ai sensi dei suddetti orientamenti, il punto1.6, lettera b), stabilisce che «le “perdite dovute a frode per portatore di responsabilità” si riferiscono alle perdite subite dal prestatore di servizi di pagamento segnalante, dall’utente dei suoi servizi di pagamento o da altri, rispecchiando l’impatto effettivo della frode sulla base dei flussi di cassa [...]».

In tale contesto, il «portatore di responsabilità» si riferisce alla parte che ha subito la perdita a causa di un’operazione fraudolenta. Ad esempio, se il prestatore di servizi di pagamento (PSP) segnalante rimborsa direttamente l’utente dei servizi di pagamento (USP) per un’operazione fraudolenta e subisce una perdita a causa di tale operazione, la suddetta perdita dovrebbe essere riportata nella disaggregazione «Perdite dovute a frode per portatore di responsabilità», alla voce relativa a «Prestatore di servizi di pagamento segnalante».

D’altro canto, se il PSP non rimborsa l’USP e pertanto quest’ultimo subisce la perdita, la suddetta dovrebbe essere riportata nella disaggregazione «Perdite dovute a frode per portatore di responsabilità», alla voce relativa a «Utente dei servizi di pagamento».

Conformemente al punto 1.6, lettera b), «le perdite dovute a frode finali dovrebbero essere segnalate nel periodo in cui sono registrate nei libri contabili del prestatore di servizi di pagamento. Le cifre definitive delle perdite dovute a frode non dovrebbero tenere conto dei rimborsi effettuati dagli enti di assicurazione, in quanto non correlati alla prevenzione delle frodi ai fini della PSD2».

Status:
Final Q&A
Answer prepared by:
Answer prepared by the EBA.
Image CAPTCHA