עמידה בהוראות הנוגעות לאבטחת מידע והגנת סייבר היא תנאי הכרחי לקבלת רשיונות לשירותי תשלום וייזום תשלומים - כך קובע תזכיר חוק הסדרת העיסוק בשירותי תשלום, התשפ"ב-2022, שפורסם להערות הציבור אתמול (ב').
החוק נועד להסדיר את פעילותם של גופים חוץ-בנקאיים המעוניינים להעניק ללקוחות שירותי תשלום (שירותים לניהול חשבון תשלום, הנפקה של אמצעי תשלום, סליקה, או מתן הוראות תשלום) או שירותי ייזום תשלום (שירותים לכתיבת הוראת תשלום בחשבון התשלום של הלקוח באמצעות ממשק מקוון ייעודי), וקובע כי אלה חייבים ברישיון מטעם הרשות לניירות ערך. תזכיר החוק נכתב על בסיס המלצותיה של הוועדה להגברת התחרותיות בשירותים בנקאיים ופיננסיים נפוצים, שקבעו את הצורך באסדרת תחום שירותי התשלום המתקדמים לשם הבטחת ההגינות והגברת אמון הציבור בהם, באופן שיביא להרחבת השימוש בהם.
תזכיר החוק קובע כי הגופים בעלי הרישיון נדרשים לדאוג לקיומם של מנגנונים נאותים ומתקדמים לאבטחת מידע ולניהול סיכונים, לרבות הגנת סייבר. הסנקציה בגין הפרת חובה זו היא עיצום כספי בשיעור של כפל הסכום הבסיסי (שטרם נקבע בתזכיר). תזכיר החוק אף מסמיך את הרגולטורים הרלוונטיים לקבוע הוראות נוספות בתחום זה, בין השאר, בנוגע לאופן הזדהות הלקוח מול נותן השירות, שמירת המידע של הלקוחות, אופן מתן הגישה לחשבון התשלום, וכל הוראה אחרת לגבי הגנה על פרטיות, אבטחת מידע, מנגנון טכנולוגי מאובטח וחובות תיעוד.