REGULAMENTO (UE) 2025/1355 DO BANCO CENTRAL EUROPEU

de 2 de julho de 2025

relativo aos requisitos de superintendência de sistemas de pagamentos sistemicamente importantes (BCE/2025/22)

(reformulação)

O CONSELHO DO BANCO CENTRAL EUROPEU,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 127.o, n.o 2,

Tendo em conta os Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu, nomeadamente os artigos 3.o-1, 22.o, e 34.o-1, primeiro travessão,

Considerando o seguinte:

(1)

O Regulamento (UE) n.o 795/2014 do Banco Central Europeu (BCE/2014/28) (1) já foi alterado de modo substancial diversas vezes (2). Na sequência da revisão, pelo Conselho do BCE, da aplicação do regulamento, previsto no seu artigo 24.o, devem ser introduzidas novas alterações. Por conseguinte, por razões de clareza, deve proceder-se à reformulação do regulamento.

(2)

O artigo 127.o, n.o 2, quarto travessão, do Tratado e o artigo 3.o-1, quarto travessão, dos Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu (a seguir, «Estatutos do SEBC») conferem ao Eurosistema os poderes necessários para promover o bom funcionamento dos sistemas de pagamento.

(3)	O Eurosistema promove o bom funcionamento dos sistemas de pagamento, nomeadamente, através da superintendência que exerce.

(4)

O Comité de Pagamentos e Infraestruturas de Mercado (Committee on Payments and Market Infrastructures — CPMI), anteriormente conhecido por CPSS, e o Comité Técnico da Organização Internacional das Comissões de Valores Mobiliários (International Organization of Securities Commissions — IOSCO) emitiram princípios para as infraestruturas dos mercados financeiros. O CPMI-IOSCO recomenda a implementação destes princípios de forma tão ampla quanto a permitida pelos quadros jurídicos e regulamentares nacionais. A fim de assegurar uma superintendência eficiente dos sistemas de pagamentos, o Banco Central Europeu (BCE) implementou estes princípios através do Regulamento (UE) n.o 795/2014 (BCE/2014/28), que se aplica tanto aos sistemas de pagamentos de grandes montantes como aos sistemas de pagamentos de retalho de importância sistémica.

(5)

O presente regulamento é aplicável aos sistemas de pagamentos operados por bancos centrais e por operadores privados. Não obstante, os princípios CPMI-IOSCO reconhecem que existem casos excecionais em que se aplicam de forma diferente aos sistemas de pagamentos operados pelos bancos centrais por força de requisitos impostos pelas pertinentes leis, regulamentos ou políticas. Dados os objetivos de política pública, as responsabilidades e a estrutura institucional do Eurosistema definidos no Tratado e nos Estatutos do SEBC, os sistemas de pagamentos sistemicamente importantes (systemically important payment systems — SIPS) do Eurosistema podem ser isentos de determinados requisitos impostos pelo presente regulamento. De modo particular, os SIPS do Eurosistema devem ser isentos de requisitos específicos sobre governação, planos de liquidação, capital próprio e ativos líquidos, garantias e riscos de investimento, que abrangem as mesmas áreas que os correspondentes requisitos formalmente adotados pelo Conselho do BCE. Estas isenções estão especificadas em diversas disposições do regulamento.

(6)

Em consonância com o princípio da proporcionalidade, o Conselho do BCE identifica um sistema de pagamentos como SIPS, se estiverem reunidos os critérios específicos estabelecidos no presente regulamento. Além disso, um sistema de pagamentos pode ser identificado como SIPS com base numa metodologia flexível que tenha em conta aspetos qualitativos como sejam a dimensão, complexidade e substituibilidade de um sistema de pagamentos.

(7)

O Conselho do BCE identifica um operador de SIPS para cada SIPS. O operador de SIPS identificado é responsável perante a autoridade competente pela conformidade do SIPS com os requisitos de superintendência previstos no presente regulamento. Um operador de SIPS deverá ser uma entidade jurídica da área do euro responsável pelo funcionamento de um SIPS. Excecionalmente, o Conselho do BCE pode também identificar como operador de SIPS, numa base casuística, uma sucursal estabelecida na área do euro que seja uma parte juridicamente dependente de uma entidade jurídica estabelecida fora da área do euro. Assim sendo, a definição de «operador de SIPS» deve ser alargada em conformidade.

(8)

Em resultado da designação excecional de uma sucursal como operador de SIPS, os requisitos do presente regulamento aplicáveis à composição, funções, competências e responsabilidades da gestão de uma entidade jurídica identificada como operador de SIPS deverão igualmente aplicar-se à gestão de uma sucursal identificada como operador de SIPS, e os diretores executivos que constituem a direção da sucursal deverão ser também membros da direção, tal como definida pelo artigo 9.o, n.o 11, alínea b). Além disso, se uma sucursal for identificada como operador de SIPS, a autoridade competente relevante, ao avaliar o cumprimento pelo SIPS dos requisitos do presente regulamento, pode ter em conta, se necessário, quaisquer medidas e quadros adotados ao nível da entidade jurídica e relacionadas com o SIPS e/ou o operador de SIPS.

(9)

Se necessário aos fins de uma supervisão eficiente, incluindo a minimização da duplicação de esforços e a redução dos encargos para o SIPS e para as autoridades relevantes, a autoridade competente deverá cooperar com outras autoridades. Sempre que uma sucursal seja identificada como operador de SIPS, a autoridade competente em causa deverá também cooperar com a autoridade responsável pela superintendência ou pela supervisão da entidade jurídica de que a sucursal é uma parte juridicamente dependente.

(10)

A atividade empresarial de um SIPS pode variar ao longo do tempo. A fim de garantir a integridade do quadro de identificação do SIPS, tanto quanto possível mantendo a continuidade e evitando reclassificações frequentes dos sistemas de pagamentos, um sistema de pagamentos deveria deixar de ser identificado como SIPS se, em duas revisões de verificação consecutivas, não cumprir os critérios de identificação como SIPS. No entanto, a manutenção do estatuto de SIPS durante esse período pode não ser adequada, se for improvável que o sistema cumpra os critérios que o classificam como SIPS no exercício de verificação seguinte. Por conseguinte, é igualmente possível uma reclassificação mais precoce, baseada numa apreciação casuística.

(11)	O presente regulamento estabelece procedimentos claramente definidos, destinados a assegurar que as garantias processuais sejam respeitadas tanto antes como depois de o Conselho do BCE adotar uma decisão que identifique um sistema de pagamentos como SIPS.

(12)

O BCE recorre, na medida do possível e adequado, aos bancos centrais nacionais para o desempenho das atribuições do SEBC. No caso de cada SIPS, o banco central relevante do Eurosistema é designado como autoridade competente para avaliar a cumprimento por esse SIPS dos requisitos de superintendência previstos no presente regulamento. No caso de um SIPS de importância pan-europeia, a superintendência é exercida pelo BCE, na sua qualidade de autoridade competente designada. No entanto, no caso desse SIPS, sempre que exista uma relação de superintendência comprovada e de longa data entre o SIPS e um banco central nacional ao longo dos últimos cinco anos, são designados como autoridades competentes dois bancos centrais do Eurosistema, ou seja, o banco central nacional com o qual foi estabelecida a relação de superintendência de longa data, e o BCE.

(13)

Os requisitos estabelecidos no presente regulamento são proporcionais aos riscos específicos e às exposições do SIPS. As disposições do presente regulamento têm igualmente em conta a experiência e as conclusões das avaliações de superintendência realizadas nos últimos anos com base no Regulamento (UE) n.o 795/2014 (BCE/2014/28), bem como a recente evolução tecnológica e regulamentar na União Europeia, incluindo a adoção do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (3).

(14)

A eficiência e solidez de um SIPS exige a observância das leis nacionais aplicáveis e clareza quanto às regras, procedimentos e contratos ao abrigo dos quais opera. A observância da lei engloba os sistemas jurídicos de todos os países em que o operador de SIPS está estabelecido e/ou opera e em que os seus participantes estão estabelecidos e/ou operam.

(15)

A eficiência e solidez de um SIPS também depende da clareza e adequação dos seus mecanismos de governação, que devem estar claramente documentados. Os mecanismos de governação de um SIPS devem assegurar que o Conselho de Administração beneficia de aconselhamento de um comité de risco objetivo e independente no que respeita às suas responsabilidades relacionadas com os riscos. Além disso, a fim de assegurar a integridade dos membros do Conselho de Administração e da Direção e, se for caso disso, da Direção da Sucursal, um operador de SIPS deve ter em consideração qualquer registo de sanções ou condenações impostas aos seus membros por infrações à legislação de direito comercial, legislação de insolvência, legislação relativa aos serviços financeiros, e legislação em matéria de combate ao branqueamento de capitais e ao financiamento do terrorismo aplicáveis, e pela violação de deveres profissionais, bem como por fraude.

(16)

Além disso, um enquadramento sólido e evolutivo de gestão abrangente dos riscos jurídico, de crédito, de liquidez, operacionais, comerciais de caráter geral, de custódia, de investimento ou de outro tipo é indispensável para identificar, medir, monitorizar e gerir toda a gama de riscos que ocorre no funcionamento de um SIPS ou é suportada por um operador de SIPS. O mesmo se aplica à solidez e resiliência do regime de garantias, das regras e procedimentos relativos ao incumprimento dos participantes e dos planos de continuidade das atividades do operador de SIPS.

(17)

Para efeitos da gestão abrangente dos riscos operacionais e tendo em conta a crescente implantação e utilização de meios tecnológicos no funcionamento de um SIPS, bem como a ameaça crescente de ciberataques e os danos que um ciberataque que tenha êxito pode causar ao funcionamento de um SIPS, o operador de SIPS deve dispor de uma estratégia e de um quadro de ciber-resiliência dotado dos procedimentos, processos e controlos adequados a gerir eficazmente os riscos cibernéticos e a assegurar um nível elevado de ciber-resiliência. Os requisitos relativos a essa estratégia e a esse quadro em matéria de ciber-resiliência devem basear-se nas Expectativas sobre a superintendência da ciber-resiliência dirigidas às infraestruturas dos mercados financeiros (Cyber resilience oversight expectations for financial market infraestructures) (4), com o objetivo de tornar algumas das principais expectativas juridicamente vinculativas para os operadores de SIPS. Além disso, é essencial que um operador de SIPS teste periodicamente a eficácia dos controlos e sistemas do SIPS através da realização de testes de penetração baseados em ameaças, em conformidade com o Quadro europeu para a comunicação de informação baseada nas ameaças digitais (European Framework for Threat Intelligence based Ethical RedTeaming — TIBER-EU) (5) (a seguir, «quadro TIBER-EU»). Se o operador de SIPS for uma sucursal, a autoridade competente pode aceitar os testes realizados pela entidade jurídica da qual a sucursal é uma parte juridicamente dependente, se tal puder ser considerado um exercício comparável ao de um teste TIBER-EU, e se tiver igualmente em conta a eficácia dos controlos e sistemas relevantes da sucursal.

(18)

Acresce que, tendo em conta o recurso acrescido à externalização e os riscos que tais práticas podem gerar para a eficiência e a segurança de um SIPS, o operador de SIPS deve manter em permanência a responsabilidade pelas funções, operações e/ou serviços externalizados. Esse operador deve ainda dispor de acordos e quadros contratuais que assegurem que os eventuais riscos decorrentes da externalização sejam adequadamente avaliados e mitigados pelo operador de SIPS antes da celebração de tais acordos e durante o período de vigência da externalização. Além disso, no caso de externalização de funções, operações e/ou serviços críticos devem existir planos de saída que assegurem a continuidade do bom funcionamento do SIPS em caso de cessação de um acordo de externalização. Os acordos intragrupo não são intrinsecamente menos arriscados que a externalização a terceiros. Por conseguinte, embora se reconheçam os potenciais benefícios resultantes de acordos intragrupo, os requisitos em matéria de externalização devem também aplicar-se aos acordos intragrupo que constituam uma externalização.

(19)

A redução do risco sistémico exige, nomeadamente, o caráter definitivo da liquidação e, por conseguinte, um operador de SIPS deverá envidar todos os esforços para assegurar a designação de SIPS ao abrigo da Diretiva 98/26/CE do Parlamento Europeu e do Conselho (6). A liquidação intradiária ou em tempo real é também recomendável se for compatível com o modelo geral de atividade do SIPS e necessária para permitir ao operador de SIPS e aos seus participantes gerirem os respetivos riscos de crédito e de liquidez.

(20)

Critérios de participação no SIPS que sejam objetivos, baseados no risco e de conhecimento público, permitindo um acesso justo e aberto (sem prejuízo de normas de controlo de riscos aceitáveis), promovem a segurança e a eficiência do SIPS e dos mercados que o SIPS serve, sem restringirem de forma desproporcionada a livre prestação de serviços.

(21)	As disposições do presente regulamento que exigem que um operador de SIPS recolha, processe e transmita dados aplicam-se sem prejuízo de quaisquer regras aplicáveis aos participantes ou aos clientes em matéria de proteção de dados.

(22)	Um SIPS globalmente eficiente e eficaz, com objetivos e metas claramente definidos, mensuráveis e exequíveis está mais preparado para dar resposta às necessidades dos participantes no SIPS e dos mercados que este serve.

(23)

A possibilidade de as autoridades competentes solicitarem medidas corretivas para sanar uma situação de incumprimento do presente regulamento ou evitar que a mesma se repita, bem como a possibilidade de o BCE aplicar sanções eficazes, proporcionais e dissuasoras em casos de infração ao presente regulamento, constituem elementos essenciais para a aplicação dos princípios CPMI-IOSCO na máxima medida possível permitida pelo Tratado e pelos Estatutos do SEBC. Embora as medidas corretivas só possam ser impostas por infrações ao presente regulamento, podem ocorrer situações que exijam a instauração do procedimento de imposição de tais medidas com fundamento na suspeita de incumprimento, concedendo-se ao operador de SIPS a oportunidade de ser ouvido e prestar esclarecimentos antes de se declarar verificada a infração. Nos casos em que o operador de SIPS seja uma sucursal, as medidas corretivas ou sanções devem ser impostas à sucursal.

(24)

Um operador de SIPS que tenha sido recentemente identificado como tal por uma decisão tomada nos termos do presente regulamento não deverá ser obrigado a cumprir os requisitos de superintendência estabelecidos no presente regulamento durante o período de um ano a contar da data em que tenha sido notificado dessa decisão. Este prazo destina-se a conceder ao operador de SIPS recém-identificado o tempo suficiente para se familiarizar com os referidos requisitos de superintendência e para os aplicar,

ADOTOU O PRESENTE REGULAMENTO:

PARTE I

OBJETO, ÂMBITO DE APLICAÇÃO E DEFINIÇÕES

Artigo 1.o

Objeto e âmbito de aplicação

1. O presente regulamento estabelece o processo e os critérios para a identificação de sistemas de pagamento como SIPS e impõe requisitos de superintendência aos operadores de SIPS.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

«Sistema de pagamentos», o acordo formal entre três ou mais participantes, sem contar com eventuais bancos de liquidação, contrapartes centrais, câmaras de compensação ou participantes indiretos, com regras comuns e procedimentos normalizados para a execução de ordens de transferência entre os participantes;

2)	«Infraestrutura do mercado financeiro» (IMF), o sistema multilateral entre entidades financeiras participantes, incluindo o operador do sistema, que se utiliza para compensar, liquidar ou registar pagamentos, valores mobiliários, derivados ou outras operações financeiras;

3)	«SIPS do Eurosistema», o SIPS detido e operado por um banco central do Eurosistema;

4)	«Garantia», um ativo ou compromisso de terceiro utilizado pelo prestador da garantia para garantir uma obrigação face ao beneficiário da garantia. Inclui garantias nacionais e transfronteiriças;

5)	«Risco de investimento», o risco de perda para um operador de SIPS ou participante quando o operador de SIPS investe os seus próprios recursos ou os dos seus participantes (por exemplo, garantias);

«Operador de SIPS»,

a)	Uma entidade jurídica estabelecida na área do euro responsável pelo funcionamento de um SIPS; ou

b)	Excecionalmente, uma sucursal estabelecida na área do euro que é responsável pelo funcionamento de um SIPS e que constitui uma parte, juridicamente dependente de uma entidade jurídica estabelecida fora da área do euro;

«Autoridade competente»,

a)	O banco central nacional do Eurosistema que é o responsável principal pela superintendência e identificado como tal nos termos do artigo 3.o, n.o 3; ou

No que respeita a um sistema de pagamentos que seja um SIPS que preencha os critérios estabelecidos no artigo 3.o, n.o 1, subalínea iii), por «autoridade competente» entende-se quer:

i)	O BCE; quer,

ii)	Nos casos em que tenha sido atribuída a um banco central nacional do Eurosistema a responsabilidade principal pela superintendência por um período de cinco ou mais anos imediatamente antes de ser tomada a decisão a que o artigo 3.o, n.o 3, se refere, tanto o BCE como esse banco central nacional;

8)	«Sucursal», uma empresa, que não tem personalidade jurírica e constitui uma parte juridicamente dependente de outra entidade existente;

«Conselho de Administração», a) num sistema de estrutura monista, o conselho único de um operador de SIPS; b) num sistema de estrutura dualista, o órgão de supervisão ou equivalente de um operador de SIPS, nomeado em conformidade com o direito nacional; e c) nos casos em que uma sucursal é designada como operador de SIPS, o conselho de administração de uma entidade jurídica de que a sucursal é uma parte juridicamente dependente.

10)

«Direção», os diretores executivos, por exemplo, no âmbito de um sistema de estrutura monista, os membros do Conselho de Administração do operador de SIPS que participam na gestão corrente do SIPS e quaisquer outros quadros executivos nomeados pelo Conselho de Administração, que participam na gestão corrente do SIPS ou, num sistema de estrutura dualista, os membros da comissão executiva do operador de SIPS e quaisquer outros quadros executivos nomeados pelo Conselho de Administração ou pela comissão executiva que participam na gestão corrente do SIPS;

11)	«Direção da Sucursal», nos casos em que uma sucursal é identificada como operador de SIPS, os diretores executivos formalmente nomeados para serem responsáveis por essa sucursal e nos quais é devidamente delegada a gestão corrente do SIPS;

12)	«Autoridades relevantes» autoridades que possuem um interesse legítimo em aceder a informação de um SIPS para cumprirem as respetivas obrigações legais, por exemplo, autoridades de resolução e de supervisão de participantes importantes;

13)	«Risco jurídico», o risco resultante da aplicação de uma lei ou regulamento, que acarreta geralmente uma perda;

14)	«Risco de crédito», o risco de uma contraparte, seja um participante ou uma outra entidade, ser incapaz de cumprir integralmente as suas obrigações financeiras na data de vencimento ou em qualquer data futura;

15)	«Risco de liquidez», o risco de uma contraparte, sejaum participante ou uma outra entidade, não dispor de fundos suficientes para cumprir as suas obrigações financeiras na data de vencimento, embora possa dispor de fundos suficientes para fazê-lo no futuro;

16)

«Risco operacional», o risco de que as deficiências em sistemas informáticos ou processos internos, os erros humanos, os erros de gestão, ou as perturbações causadas por acontecimentos externos ou funções externalizadas provoquem a redução, deterioração ou interrupção dos serviços prestados por um SIPS;

17)	«Risco comercial de caráter geral», a possível deterioração do valor da posição financeira do SIPS, como empresa em funcionamento, como consequência da diminuição das suas receitas ou do aumento das suas despesas, de modo a que estas excedam as receitas e produzam uma perda imputável ao capital;

18)	«Risco de custódia», o risco de perdas nos ativos detidos em custódia em caso de insolvência, negligência, fraude, má administração ou conservação inadequada de registos por parte de uma entidade de custódia ou de sub-custódia;

19)	«Risco cibernético», a combinação da probabilidade de ocorrência de ciberincidentes e do impacto dos mesmos;

20)

«Externalização», um acordo celebrado, sob qualquer forma, entre o operador de SIPS e um terceiro ou uma entidade intragrupo ao abrigo do qual esse terceiro ou essa entidade intragrupo desempenha funções, realiza operações e/ou presta serviços que, de outro modo, teriam sido assegurados pelo operador de SIPS;

21)

«Risco sistémico», o risco de que a incapacidade de um participante ou de o operador de SIPS para cumprirem as suas obrigações num SIPS impeça outros participantes e/ou operadores de SIPS de cumprirem as suas obrigações na data prevista, com potenciais efeitos de repercussão suscetíveis de ameaçar a estabilidade do sistema financeiro ou a confiança no mesmo;

22)	«Medida corretiva», a medida ou ação específica, independentemente da forma, duração ou gravidade que assuma, imposta a um operador de SIPS por uma autoridade competente para sanar o incumprimento dos requisitos previstos nos artigos 8.o a 27.o e no artigo 29.o ou evitar que este se repita;

23)	«Banco de liquidação», o banco no qual são abertas as contas relativas aos pagamentos, nas quais tem lugar o cumprimento das obrigações originadas num sistema de pagamento;

24)

«Participante indireto», a entidade jurídica que não tem acesso direto aos serviços de um SIPS e que, em princípio, não está diretamente vinculada contratualmente pelas regras do SIPS em causa, e cujas ordens de transferência são compensadas, liquidadas e registadas pelo SIPS por intermédio de um participante direto. O participante indireto tem uma relação contratual com um participante direto. As entidades jurídicas em causa estão limitadas às:

a)	Instituições de crédito, tal como definidas no artigo 4.o, n.o 1, ponto 1, do Regulamento (UE) n.o 575/2013 do Parlamento Europeu e do Conselho (7),

b)	Empresas de investimento, tal como definidas no artigo 4.o, n.o 1, ponto 1, da Diretiva 2014/65/UE do Parlamento Europeu e do Conselho (8);

c)	Qualquer empresa com sede fora da União e cujas funções correspondam às das instituições de crédito ou das empresas de investimento da União, na aceção das subalíneas i) e ii);

d)	Autoridades públicas ou empresas que beneficiem de garantia estatal, bem como contrapartes centrais, agentes de liquidação, câmaras de compensação e operadores de sistema, tal como definidos no artigo 2.o, alíneas c), d), e) e p), da Diretiva 98/26/CE;

e)	Instituições de pagamento e instituições de moeda eletrónica, tal como definidas no artigo 4.o, ponto 4), da Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho (9) e no artigo 2.o, ponto 1), da Diretiva 2009/110/CE do Parlamento Europeu e do Conselho (10);

25)	«Ordem de transferência», o mesmo que ordem de transferência na aceção do artigo 2.o, alínea i), primeiro travessão, da Diretiva 98/26/CE (11);

26)

«Garantia transfronteiriça», a garantia a respeito da qual, do ponto de vista do país onde os ativos são aceites como garantia, pelo menos um dos seguintes atributos é estrangeiro: a) a moeda em que é denominada; b) o país onde os ativos estão localizados; ou c) o país onde o emitente está estabelecido;

27)	«Obrigações financeiras», as obrigações jurídicas constituídas, no âmbito do SIPS, entre os participantes, ou entre os participantes e o operador do SIPS, como consequência das ordens de transferência introduzidas nesse SIPS;

28)

«Ciberincidente», qualquer ocorrência observável num sistema de informação, incluindo as redes que permitem a transferência de informação e comunicação, que a) comprometa ou afete negativamente a cibersegurança; ou b) infrinja as políticas de segurança, os procedimentos de segurança ou as políticas de utilização aceitáveis, quer resulte ou não de atividades maliciosas;

29)

«Participante direto», uma entidade jurídica que tem acesso direto aos serviços do SIPS com base numa relação contratual, nos termos da qual está vinculada pelas regras do SIPS em causa, está autorizada a enviar ordens de transferência para esse sistema e tem capacidade para receber ordens de transferência do mesmo;

30)	«Cibersegurança», a preservação da confidencialidade, da integridade e da disponibilidade de informações e/ou dos sistemas de informação, incluindo redes que permitem a transferência de informação e comunicação;

31)	«Dia útil», o mesmo que dia útil, na aceção do artigo 2.o, alínea n), da Diretiva 98/26/CE;

32)	«Ciberameaça», qualquer circunstância com potencial para explorar uma ou mais vulnerabilidades e passível de ter um impacto negativo na cibersegurança;

33)	«Prestador de serviços externalizados», um terceiro ou uma entidade intragrupo que exerce funções, operações e/ou presta serviços no contexto de um acordo de externalização;

34)	«Pagamento transfronteiriço», pagamento efetuado entre participantes estabelecidos em países diferentes;

35)

«Administrador independente», num sistema de estrutura monista, o membro não executivo do conselho de administração ou, num sistema de estrutura dualista, o membro do conselho de supervisão ou órgão equivalente, que não mantenha relações comerciais, familiares ou outras que suscitem um conflito de interesses com o SIPS ou com o operador de SIPS, os acionistas que os controlam, os seus administradores ou os seus participantes, e não tenha mantido tais relações nos dois anos anteriores à sua participação como membro no Conselho de Administração;

36)	«Plano de recuperação», o plano desenvolvido por um operador de SIPS para restabelecer o bom funcionamento de um SIPS;

37)	«Plano de liquidação ordenada», o plano desenvolvido por um operador de SIPS para o encerramento ordenado de um SIPS;

38)	«Partes interessadas relevantes», os participantes, as IMF com impacto no risco de um SIPS e, de forma casuística, outros operadores do mercado afetados;

39)	«Situação de emergência», o acontecimento, a ocorrência ou a circunstância suscetível de conduzir a prejuízos ou perturbações nas funções, operações, e/ou serviços de um SIPS, incluindo os que dificultem ou impeçam a liquidação definitiva;

40)	«Significativo», o atributo que qualifica um risco, uma dependência e/ou uma alteração suscetíveis de afetar a capacidade de uma entidade para executar ou prestar os serviços previstos;

41)	«Fornecedor de liquidez», um fornecedor de numerário nos termos dos artigos10.o, n.o 3, 11.o, n.o 5, 13.o, n.o 1, 13.o, n.o 9, e 13.o, n.o 11, ou de ativos nos termos do artigo 13.o, n.o 4, incluindo um participante no SIPS ou uma entidade externa;

42)	«Exposição de crédito», o montante ou o valor em risco de não ser integralmente liquidado por um participante na data do vencimento, ou em qualquer data posterior;

43)	«Sistema de liquidação diferida pelo valor líquido» (deferred net settlement system, sistema DNS), um sistema em relação ao qual a liquidação em moeda de banco central é efetuada, pelo valor líquido, no final de um ciclo pré-definido de liquidação, por exemplo no final ou no decurso de um dia útil;

44)

«Afiliada», uma sociedade que controla o participante ou é controlada por este ou se encontra sob o mesmo controlo que este. Entende-se por controlo de uma sociedade a) a propriedade, o controlo ou a detenção de 20 % ou mais de uma categoria de valores mobiliários da sociedade aos quais esteja associado o direito de voto; ou b) a consolidação da sociedade para fins de relato financeiro;

45)	«Risco de mercado», o risco de perdas, tanto nas posições patrimoniais como extrapatrimoniais, decorrentes de oscilações nos preços de mercado;

46)	«Risco de correlação desfavorável», o risco resultante da exposição a um participante ou a um emitente quando as garantias prestadas pelo primeiro ou emitidas pelo segundo apresentam uma estreita correlação com o seu risco de crédito;

47)	«Agente nostro», o banco utilizado pelos participantes num SIPS para liquidação;

48)	«Banco de custódia», o banco que detém e conserva os ativos financeiros de terceiros;

49)	«Condições de mercado extremas mas realistas», o conjunto abrangente de condições históricas e hipotéticas, incluindo os períodos de maior volatilidade registados nos mercados servidos pelo SIPS;

50)	«Pagamento unilateral», o pagamento que tem por objeto apenas uma transferência de fundos numa única moeda;

51)	«Pagamento bilateral», o pagamento que tem por objeto duas transferências de fundos em diferentes moedas num sistema de troca contra valor;

52)	«Data de liquidação prevista», a data introduzida no SIPS pelo emissor da ordem de transferência como data de liquidação;

53)

«Risco de capital», o risco de uma contraparte perder o valor total relativo a una operação, ou seja, o risco de que o vendedor de um ativo financeiro entregue de forma irrevogável o ativo mas não receba o pagamento, ou de que o comprador de um ativo financeiro pague de forma irrevogável o ativo mas não o receba;

54)	«Prestador de serviços e empresa prestadora de serviços públicos essenciais», uma entidade terceira ou intragrupo que disponibiliza um processo, presta um serviço, incluindo um serviço público essencial, ou realiza uma atividade, no seu todo ou em parte, a um operador de SIPS;

55)	«Informações sobre ameaças», quaisquer informações que tenham sido agregadas, transformadas, analisadas, interpretadas ou enriquecidas de modo a proporcionar o contexto necessário à tomada de decisões destinadas a atenuar o impacto de um ciberincidente ou de uma ciberameaça;

56)	«Sub-externalização», a transferência por um prestador de serviços externalizados para outra entidade terceira ou intragrupo da obrigação de exercer funções, realizar operações e/ou prestar serviços;

57)

«Risco de concentração», o risco decorrente da exposição a um ou mais prestadores de serviços externalizados que cria um nível de dependência desses prestadores, de tal modo que a indisponibilidade, uma avaria ou outra insuficiência no serviço desse prestador possa afetar negativamente o SIPS e/ou o operador de SIPS, nomeadamente pondo em risco a sua capacidade de operar e prestar os seus serviços, e/ou pondo em risco a estabilidade financeira da União no seu conjunto.

PARTE II

CRITÉRIOS E PROCESSO DE IDENTIFICAÇÃO

Artigo 3.o

Critérios de identificação e decisão

1. Um sistema de pagamento deve ser identificado como um SIPS se:

a)	For eligível para ser notificado como sistema, nos termos da Diretiva 98/26/CE, por um Estado-Membro cuja moeda seja o euro, ou se o seu operador estiver estabelecido na área do euro, incluindo por via de uma sucursal através da qual o sistema seja operado; e

Ocorrerem pelo menos dois dos seguintes factos num ano civil:

i)	O valor médio diário total dos pagamentos processados denominados em euros ser superior a 10 mil milhões de EUR;

ii)

O volume total dos pagamentos denominados em euros representar pelo menos um dos seguintes:

—	15 % do volume total dos pagamentos denominados em euros na União,

—	5 % do volume total dos pagamentos transfronteiriços denominados em euros na União,

—	uma quota de mercado de 75 % do volume total dos pagamentos denominados em euros ao nível de um Estado-Membro cuja moeda é o euro;

iii)

A sua atividade transfronteiriça (ou seja, os participantes estabelecidos num país diferente do país do operador de SIPS e/ou de ligações transfronteiriças com outros sistemas de pagamentos) abranger cinco ou mais países e gerar um mínimo de 33 % do volume total dos pagamentos denominados em euros processados por esse SIPS;

iv)	Ser utilizado para a liquidação de outras IMF.

É realizado anualmente um exercício de identificação.

2. Não obstante o disposto no n.o 1, o Conselho do BCE, com base numa apreciação sólida e fundamentada, pode também decidir, ao abrigo do n.o 3, que um sistema de pagamentos deve ser identificado como SIPS em qualquer dos seguintes casos:

Se tal decisão for adequada, tendo em conta a natureza, a dimensão e a complexidade do sistema de pagamentos; a natureza e a importância dos seus participantes; a substituibilidade do sistema de pagamentos e a disponibilidade de alternativas ao mesmo; e a relação, interdependências e outras interações que o sistema tem com o sistema financeiro em geral;

Se um sistema de pagamentos não cumprir os critérios estabelecidos no n.o 1 unicamente devido ao facto de os critérios estabelecidos no n.o 1, alínea b), ocorrerem durante um período inferior a um ano civil, e for plausível que o sistema de pagamentos continuará a cumprir os critérios quando avaliado na revisão de verificação seguinte.

3. O Conselho do BCE deve adotar uma decisão fundamentada identificando os sistemas de pagamentos abrangidos pelo presente regulamento, os respetivos operadores e as autoridades competentes. Esta lista será mantida no sítio Web do BCE e atualizada após cada alteração.

4. A decisão adotada ao abrigo do n.o 3 mantém-se em vigor até ser revogada. As verificações dos sistemas de pagamentos identificados como SIPS devem ser efetuadas anualmente, a fim de se confirmar que os referidos sistemas continuam a cumprir os critérios exigidos para serem identificados como SIPS. Uma decisão adotada nos termos do n.o 3, deve ser revogada se:

a)	Se verificar, em duas revisões de verificação consecutivas, que um SIPS não cumpriu os critérios estabelecidos no n.o 1 e/ou no n.o 2; ou

b)	Se verificar, numa revisão de verificação, que um SIPS não cumpriu os critérios estabelecidos no n.o 1 e/ou no n.o 2, e o operador de SIPS demonstrar, a contento do Conselho do BCE, ser pouco provável que o SIPS cumpra esses critérios antes da revisão de verificação seguinte.

5. O operador do sistema de pagamentos tem o direito de solicitar ao Conselho do BCE a revisão da decisão que identifique o sistema de pagamentos em causa como SIPS no prazo de 30 dias a contar da receção dessa decisão. O pedido deve incluir todas as informações complementares necessárias e ser endereçado, por escrito, ao Conselho do BCE. A decisão fundamentada do Conselho do BCE em resposta ao pedido deve ser notificada por escrito ao operador do sistema de pagamentos. A referida notificação deve informar o operador do seu direito de recurso judicial de acordo com o Tratado. Se o Conselho do BCE não tomar qualquer decisão no prazo de dois meses a contar da data do pedido, o pedido de reexame considera-se indeferido.

Artigo 4.o

Aviso escrito do início do processo de identificação de um sistema de pagamentos como SIPS

O BCE deve notificar o operador do sistema de pagamentos da sua intenção de iniciar um processo ao abrigo do artigo 3.o, tendo em vista a identificação desse sistema de pagamentos como SIPS. A notificação escrita deve mencionar todos os factos relevantes e fundamentos jurídicos relativos à eventual identificação do sistema de pagamentos em causa como SIPS.

Artigo 5.o

Direito de acesso aos processos durante o processo de identificação de um sistema de pagamentos como SIPS

Após a receção da notificação escrita a que o artigo 4.o se refere, o operador do sistema de pagamentos tem o direito de aceder aos processos, documentos ou outro material do BCE que sirva de base à identificação desse sistema de pagamentos como SIPS. Este direito não abrange as informações consideradas confidenciais relacionadas como o BCE, um banco central nacional ou terceiros, incluindo outras instituições ou órgãos da União.

Artigo 6.o

Direito a ser ouvido durante o processo de identificação de um sistema de pagamentos como SIPS

1. Na notificação escrita enviada pelo BCE nos termos do artigo 4.o, deve ser fixado um prazo ao operador do sistema de pagamentos para apresentar por escrito eventuais objeções, observações e comentários sobre os factos e fundamentos jurídicos apresentados na notificação escrita. O referido prazo não pode ser inferior a 30 dias úteis a contar da data de receção da notificação escrita pelo operador do sistema de pagamentos.

2. O BCE pode conceder ao operador do sistema de pagamentos, a pedido deste, a oportunidade de apresentar verbalmente os seus pontos de vista numa reunião. Da referida reunião será elaborada acta, assinada por todos os participantes, com cópias entregues a todos eles.

3. Não obstante o disposto no n.o 2, o BCE pode emitir uma decisão que identifique um sistema de pagamentos como SIPS sem dar ao operador do sistema de pagamentos a oportunidade de apresentar os seus pontos de vista, objeções ou comentários sobre os factos e fundamentos jurídicos enunciados na notificação escrita enviada pelo BCE, desde que tal seja considerado necessário para evitar prejuízos significativos para o sistema financeiro.

Artigo 7.o

Fundamentação da decisão que identifica um sistema de pagamentos como SIPS

1. A decisão do BCE que identificar um sistema de pagamentos como SIPS deve ser acompanhada de uma exposição de motivos, que deve enunciar os factos relevantes e os fundamentos jurídicos nos quais o BCE baseou a sua decisão.

2. Sem prejuízo do disposto no artigo 6.o, n.o 3, o BCE deve basear a decisão a que o n.o 1 do presente artigo se refere apenas em factos e fundamentos jurídicos sobre os quais o operador do sistema de pagamentos tenha podido apresentar as suas observações.

PARTE III

REQUISITOS IMPOSTOS AOS OPERADORES DE SIPS

Artigo 8.o

Solidez jurídica

1. O operador de SIPS deve avaliar se a legislação aplicável em todos os ordenamentos jurídicos pertinentes proporciona um elevado nível de certeza e apoia todos os aspetos significativos das atividades do respetivo SIPS.

2. O operador de SIPS deve estabelecer regras e procedimentos relativos ao SIPS e celebrar contratos que sejam claros e compatíveis com a legislação aplicável em todos os ordenamentos jurídicos pertinentes.

3. O operador de SIPS deve poder indicar, de forma clara e compreensível, à autoridade competente, aos participantes, e, se for caso disso, aos clientes dos participantes, a legislação aplicável, as regras, os procedimentos e os contratos relativos ao funcionamento do SIPS.

4. O operador de SIPS deve tomar medidas para assegurar que as suas regras, procedimentos e contratos sejam aplicáveis em todos os ordenamentos jurídicos pertinentes, e que os atos que praticar ao abrigo dessas regras, procedimentos e contratos não serão anulados, revogados ou suspensos.

5. O operador de SIPS que exercer a sua atividade em diferentes ordenamentos jurídicos deve detetar e atenuar os riscos decorrentes de potenciais conflitos de leis.

6. O operador de SIPS deve envidar todos os esforços para assegurar a designação do SIPS ao abrigo da Diretiva 98/26/CE.

Artigo 9.o

Governação

1. O operador de SIPS deve ter objetivos documentados que coloquem em primeiro lugar a segurança e a eficiência do SIPS. Os objetivos devem apoiar expressamente a estabilidade financeira e outras considerações de interesse público relevantes, nomeadamente a abertura e eficiência dos mercados financeiros.

2. O operador de SIPS deve dispor de mecanismos de governação eficazes e documentados que proporcionem linhas claras e diretas de responsabilidade e responsabilização. Estes mecanismos devem ser levados ao conhecimento da autoridade competente, dos proprietários e dos participantes. O operador de SIPS disponibiliza ao público versões resumidas dos mesmos.

3. As funções e responsabilidades do Conselho de Administração devem ser claramente definidas. Entre as funções e responsabilidades do Conselho de Administração devem estar incluídas todas as seguintes:

a)	Estabelecer fins e objetivos estratégicos claros para o SIPS;

b)	Estabelecer procedimentos documentados relativos ao funcionamento do SIPS, incluindo os procedimentos para identificar, solucionar e gerir conflitos de interesses dos seus membros;

c)	Com exceção dos SIPS do Eurosistema, assegurar a seleção e monitorização eficazes dos membros da Direção e, se for caso disso, a sua destituição;

d)	Com exceção dos SIPS do Eurosistema, estabelecer políticas adequadas de remuneração, compatíveis com as melhores práticas e baseadas na prossecução de objetivos de longo prazo.

4. Com exceção dos SIPS do Eurosistema, o Conselho de Administração deve reexaminar o seu desempenho global e o desempenho de cada membro do Conselho de Administração pelo menos anualmente.

5. A composição do Conselho de Administração deve assegurar a integridade e, com exceção do caso de um SIPS do Eurosistema, uma combinação adequada de qualificações, conhecimentos e experiência, tanto do SIPS como do mercado financeiro em geral, que permitam ao Conselho de Administração desempenhar as suas funções e responsabilidades. A composição deve ter ainda em conta a atribuição das competências segundo o direito nacional. Com exceção dos SIPS do Eurosistema, e desde que tal seja permitido pelo direito nacional, o Conselho de Administração inclui membros não executivos, dos quais pelo menos um administrador independente.

6. O Conselho de Administração deve estabelecer e superintender num quadro documentado de gestão dos riscos, que deve:

a)	Incluir a política de tolerância ao risco e de apetência pelo risco do operador de SIPS;

b)	Atribuir responsabilidades e a responsabilização pelas decisões de risco;

c)	Regular a tomada de decisão em situações de crise e de emergência;

d)	Regular as funções de controlo interno.

O Conselho de Administração deve criar um comité de riscos para lhe prestar assistência no desempenho das suas responsabilidades relacionadas com os riscos. O comité de riscos aconselha o Conselho de Administração em matéria de gestão dos riscos do SIPS.

O Conselho de Administração deve assegurar a existência de três linhas de defesa claras e eficazes (operações, gestão dos riscos e auditoria interna), separadas entre si, e que disponham de suficientes autoridade, independência, recursos e acesso ao Conselho de Administração.

7. Estão sujeitos à aprovação do Conselho de Administração as decisões que tenham um impacto significativo no perfil de risco do SIPS e os principais documentos em matéria de risco que regem as operações do SIPS. No mínimo, o Conselho de Administração aprova e revê anualmente o quadro de gestão abrangente dos riscos a que se refere o artigo 10.o, n.o 1, o plano de recuperação e liquidação ordenada e o plano de recapitalização a que se referem os artigos 10.o, n.o 4, e 18.o, n.o 6, respetivamente, os quadros relativos ao risco de crédito e ao risco de liquidez a que se referem os artigos 11.o, n.o 1, e 13.o, n.o 1, respetivamente, o quadro de garantias que rege a gestão dos riscos a que se refere o artigo 12.o, a estratégia de investimento do SIPS a que se refere o artigo 19.o, n.o 4, o quadro de risco operacional e o plano de continuidade das atividades conexo a que se refere o artigo 20.o, n.os 1 e 6, respetivamente, o quadro e a estratégia de ciber-resiliência a que se refere o artigo 21.o, n.o 1, e o quadro de externalização a que se refere o artigo 22.o, n.o 4.

8. O Conselho de Administração deve garantir que as decisões mais importantes que afetam a constituição técnica e funcional, as regras e a estratégia global do SIPS, (em especial, a escolha de um mecanismo de compensação e liquidação, a estrutura de funcionamento, a gama dos produtos compensados ou liquidados e a utilização de tecnologia e procedimentos do SIPS), refletem de forma adequada os interesses legítimos das partes interessadas relevantes do SIPS. As partes interessadas relevantes e, se for caso disso, o público, devem ser consultados com uma antecedência razoável em relação à tomada dessas decisões.

9. As funções e responsabilidades da Direção e, se for caso disso, da Direção da Sucursal, bem como das linhas hierárquicas no âmbito da Direção e, se for caso disso, no âmbito da Direção da Sucursal, e das linhas hierárquicas entre a Direção e o Conselho de Administração e, se for caso disso, entre a Direção da Sucursal e o conselho de administração da entidade jurídica de que a sucursal é uma parte juridicamente dependente, devem ser claramente definidas. A composição da Direção e, se for caso disso, da Direção da Sucursal, deve assegurar a integridade pessoal e uma combinação adequada de qualificações técnicas, conhecimentos e experiência, tanto do SIPS como do mercado financeiro em geral, que lhes permitam cumprir as respetivas responsabilidades relativas ao funcionamento e à gestão de riscos do operador de SIPS.

10. A Direção, sob a orientação do Conselho de Administração e, se for caso disso, a Direção da Sucursal, sob a orientação do conselho de administração e a direção da entidade jurídica de que a sucursal é uma parte juridicamente dependente, são responsáveis por assegurar todos os seguintes aspetos:

a)	Que as atividades do operador de SIPS sejam coerentes com os seus objetivos, estratégia e tolerância ao risco;

b)	Que os controlos internos e procedimentos conexos foram concebidos, executados e fiscalizados de forma adequada de modo a promover os objetivos do operador de SIPS;

c)	Que os controlos internos e procedimentos conexos são regularmente revistos e testados por funções de gestão dos riscos e de auditoria interna dotadas de recursos humanos suficientes e qualificados;

d)	A respetiva participação ativa no processo de controlo dos riscos;

e)	Que são afetados recursos suficientes ao quadro de gestão dos riscos do SIPS.

11. Se uma sucursal for identificada como operador de SIPS:

a)	O exercício das funções necessárias a assegurar o cumprimento do presente regulamento deve ser devidamente delegado na Direção da Sucursal;

b)	Todos os diretores executivos que constituam a Direção da Sucursal são igualmente membros da direção da entidade jurídica de que a sucursal é uma parte juridicamente dependente.

Para efeitos da alínea b) entende-se por «membros da direção», no âmbito de um sistema monista, os membros do Conselho de Administração que participam na gestão corrente da entidade jurídica e qualquer outros quadros executivos nomeado pelo Conselho de Administração que participam na gestão corrente da entidade jurídica ou, num sistema dualista, os membros da comissão executiva e qualquer outros quadros executivos nomeado pelo conselho de administração ou pela comissão executiva que participam na gestão corrente da entidade jurídica.

12. Ao assegurar o cumprimento dos requisitos em matéria de integridade previstos nos n.os 5 e 9, o operador de SIPS deve ter em consideração se os membros do Conselho de Administração, da Direção e, se for caso disso, da Direção da Sucursal, têm um registo no que diz respeito a condenações ou sanções impostas, por infrações à legislação de direito comercial, legislação de insolvência, legislação relativa aos serviços financeiros aplicáveis, legislação em matéria de combate ao branqueamento de capitais e/ou ao financiamento do terrorismo, e pela violação de deveres profissionais, bem como por fraude.

Artigo 10.o

Quadro de gestão abrangente dos riscos

1. O operador de SIPS deve estabelecer e manter um sólido enquadramento da gestão dos riscos destinado a identificar, medir, monitorizar e gerir de forma abrangente o conjunto dos riscos que surgem ou são suportados pelo SIPS. Deve rever o quadro de gestão dos riscos pelo menos anualmente. Este quadro de gestão dos riscos deve:

a)	Incluir a política de tolerância ao risco e os instrumentos de gestão do risco adequados do operador de SIPS;

b)	Atribuir a responsabilidade e a responsabilização pelas decisões de risco;

Regular a tomada de decisão em situações de emergência relativas a um SIPS, incluindo os desenvolvimentos nos mercados financeiros com potenciais efeitos negativos na liquidez do mercado e na estabilidade do sistema financeiro em qualquer Estado-Membro cuja moeda seja o euro onde o operador de SIPS ou um dos participantes estejam estabelecidos.

2. O operador de SIPS deve proporcionar incentivos aos participantes e, se for caso disso, aos seus clientes para gerirem e limitarem os riscos que colocam ao SIPS e que são por este suportados. No que diz respeito aos participantes, tais incentivos devem incluir um regime de sanções pecuniárias eficaz, proporcionado e dissuasor ou acordos de partilha de prejuízos, ou ambos.

3. O operador de SIPS deve reexaminar, pelo menos anualmente, os riscos significativos que, por força de relações de interdependência, suporta de outras entidades e os riscos que representa para outras entidades, nomeadamente IMF, bancos de liquidação, fornecedores de liquidez e prestadores de serviços. O operador de SIPS deve desenvolver instrumentos de gestão dos riscos sólidos e proporcionais ao nível de risco identificado.

4. O operador de SIPS deve definir as funções, as operações e os serviços críticos do SIPS. O operador de SIPS deve identificar cenários concretos que possam impedi-lo de assegurar a continuidade destas operações e serviços críticos e avalia a eficácia de todas as opções de recuperação e, com exceção dos SIPS do Eurosistema, de uma liquidação ordenada. Reexamina, pelo menos anualmente, as operações e serviços críticos do SIPS. Com base nesta avaliação, o operador de SIPS deve elaborar um plano viável de recuperação do SIPS e, com exceção dos SIPS do Eurosistema, um plano de liquidação ordenada. O plano de recuperação e de liquidação ordenada deve conter, designadamente, um resumo substantivo das principais estratégias de recuperação e liquidação ordenada, a enumeração das operações e serviços críticos do SIPS, bem como uma descrição das medidas necessárias para implementar as principais estratégias. O operador de SIPS deve proporcionar, se for caso disso, às autoridades relevantes a informação necessária para efeitos de planeamento da resolução.

Artigo 11.o

Risco de crédito

1. O operador de SIPS deve estabelecer um quadro sólido para medir, monitorizar e gerir as suas exposições de crédito aos participantes do SIPS e as exposições de crédito entre participantes resultantes dos processos de pagamento, compensação e liquidação do SIPS.

2. O operador de SIPS deve identificar todas as fontes de risco de crédito. A medição e monitorização das exposições de crédito devem ser efetuadas ao longo do dia, utilizando informações atuais e instrumentos de gestão do risco adequados.

3. No caso de um sistema DNS, o operador de SIPS deve assegurar que:

a)	As obrigações financeiras sejam constituídas o mais tardar no momento em que a ordem de transferência é incluída no cálculo das posições de liquidação pelos valores líquidos acessíveis a cada participante; e que

b)	Existam recursos suficientes para cobrir as exposições de crédito daí resultantes, de acordo com os n.os 4 e 5, o mais tardar no momento referido na alínea a).

4. O operador de SIPS, incluindo o que opere um sistema DNS com garantia de liquidação que, no âmbito do funcionamento do SIPS, incorra em exposição de crédito face aos participantes do SIPS, deve cobrir a sua exposição de crédito em relação a cada participante utilizando garantias, fundos de garantia, capital próprio (após dedução do montante afetado à cobertura do risco comercial de caráter geral) ou outros recursos financeiros equivalentes.

5. O operador de SIPS, incluindo o que opere um sistema DNS sem garantia de liquidação, mas em que os participantes do SIPS sejam confrontados com exposições de crédito resultantes dos processos de pagamento, compensação e liquidação do SIPS, deve dispor de regras ou acordos contratuais com estes participantes. As regras ou acordos contratuais devem assegurar que os participantes do SIPS forneçam recursos suficientes, conforme previsto no n.o 4, para cobrir as exposições de crédito resultantes dos processos de pagamento, compensação e liquidação do SIPS em relação aos dois participantes que, juntamente com os seus afiliados, tenham a maior exposição global de crédito.

6. O operador de SIPS deve estabelecer regras e procedimentos para fazer face aos prejuízos diretamente resultantes do incumprimento por um ou mais participantes das respetivas obrigações para com o SIPS. Estas regras e procedimentos devem definir a repartição dos prejuízos potencialmente não garantidos, incluindo o reembolso de fundos tomados de empréstimo pelo operador de SIPS junto de fornecedores de liquidez. Devem incluir as regras e procedimentos do operador de SIPS relativos à reconstituição, até ao nível estabelecido nos n.os 4 e 5, de todos os recursos financeiros utilizados pelo SIPS durante uma situação de tensão.

Artigo 12.o

Garantias

1. O operador de SIPS deve aceitar como garantia exclusivamente os seguintes ativos:

a)	Numerário; e

Ativos com riscos de crédito, de liquidez e de mercado reduzidos, ou seja ativos em relação aos quais o operador de SIPS possa demonstrar à autoridade competente, com base numa avaliação interna adequada, que cumprem todas as condições seguintes:

i)	Terem sido emitidos por um emitente com um baixo risco de crédito;

ii)	Serem livremente transferíveis sem quaisquer restrições legais ou direitos de terceiros;

iii)	Estarem denominados numa moeda cujo risco seja gerido pelo operador de SIPS;

iv)	O seu preço ser objeto da publicação regular de dados fiáveis;

v)	Não estarem sujeitos, de outro modo, a riscos significativos de correlação desfavorável;

vi)

Não terem sido emitidos pelo participante que presta a garantia ou por uma entidade integrada no mesmo grupo que o participante, exceto no caso das obrigações com ativos subjacentes, e apenas quando os ativos do conjunto de ativos de garantia estejam devidamente segregados num quadro legal sólido e satisfaçam os requisitos estabelecidos nas subalíneas i) a v).

Ao realizar a avaliação interna nos termos das subalíneas i) a vi), o operador de SIPS deve definir, documentar e aplicar uma metodologia objetiva.

2. O operador de SIPS deve estabelecer e aplicar políticas e procedimentos para monitorizar a qualidade do crédito, a liquidez do mercado e a volatilidade dos preços de cada ativo aceite como garantia. O operador de SIPS deve monitorizar com regularidade e com periodicidade pelo menos anual a adequação das suas políticas e dos seus procedimentos de valorização. Essa análise deve também ser efetuada sempre que ocorra uma alteração relevante que afete a exposição ao risco do SIPS. O operador de SIPS deve avaliar as suas garantias a preços de mercado pelo menos diariamente.

3. O operador de SIPS deve estabelecer margens de avaliação estáveis e prudentes, que submeterá a testes pelo menos anualmente, e tomar em consideração condições de tensão do mercado. Os procedimentos de aplicação de margem de avaliação devem ser validados pelo menos anualmente por funcionários distintos dos que criaram e aplicaram os tais procedimentos.

4. O operador de SIPS deve tomar medidas para evitar a concentração de detenções de determinados ativos sempre que tal possa comprometer significativamente a sua capacidade de liquidar rapidamente tais ativos sem efeitos adversos relevantes nos preços.

5. O operador de SIPS que aceite garantias transfronteiriças deve identificar e atenuar os riscos associados à sua utilização e assegurar-se de que estas podem ser utilizadas de forma tempestiva.

6. O operador de SIPS deve utilizar um sistema de gestão de garantias eficaz e flexível em termos funcionais.

7. O n.o 1 não é aplicável aos SIPS do Eurosistema.

Artigo 13.o

Risco de liquidez

1. O operador de SIPS deve estabelecer um quadro abrangente para a gestão dos riscos de liquidez colocados pelos seus participantes, bem como pelos bancos de liquidação, agentes nostro, bancos de custódia, fornecedores de liquidez e outras entidades relevantes. O operador de SIPS deve proporcionar aos participantes ferramentas adequadas à gestão eficaz da respetiva liquidez e, bem assim, monitorizar e agilizar o fluxo regular de liquidez no sistema.

2. O operador de SIPS deve adotar ferramentas operacionais e analíticas que lhe permitam identificar, medir e monitorizar os fluxos de liquidação e de financiamento, incluindo a utilização de liquidez intradiária, de uma forma contínua e atempada.

3. O operador de SIPS que opere um sistema DNS deve assegurar que:

a)	As obrigações financeiras sejam constituídas o mais tardar no momento em que a ordem de transferência é incluída no cálculo das posições de liquidação pelos valores líquidos acessíveis a cada participante; e que

b)	Existam recursos líquidos suficientes em conformidade com os n.os 4 a 7, o mais tardar no momento referido na alínea a).

4. O operador de SIPS deve manter, ou assegurar-se de que os participantes mantêm, a todo o momento a partir da constituição das obrigações financeiras, recursos líquidos suficientes, em todas as moedas em que opera, para efetuar a liquidação no mesmo dia de obrigações financeiras num vasto leque de potenciais cenários de tensão. Se for caso disso, deve incluir-se a liquidação intradiária ou multidiária. Os cenários de tensão devem incluir:

a)	O incumprimento, em condições de mercado extremas mas realistas, do participante que, juntamente com os seus afiliados, possua a maior obrigação financeira global; e

b)	Outros cenários de acordo com o n.o 12.

5. O operador de SIPS que liquida pagamentos unilaterais em euros mantém, ou assegura-se de que os participantes mantêm, recursos líquidos suficientes, de acordo com o n.o 4, para efetuar a liquidação atempada de obrigações financeiras no caso de incumprimento do participante que, juntamente com os seus afiliados, possua a maior obrigação financeira global, tal como determinado nos termos do n.o 4, alínea a), sob qualquer uma das seguintes formas:

a)	Em numerário depositado no Eurosistema; ou

Em garantias elegíveis, tal como definidas no quadro de ativos de garantia do Eurosistema estabelecido na Orientação (UE) 2015/510 do Banco Central Europeu (BCE/2014/60) (12) e na Orientação BCE/2014/31 do Banco Central Europeu (13), desde que o operador de SIPS possa demonstrar que as garantias em causa estão prontamente disponíveis e são convertíveis em numerário no mesmo dia em virtude de dispositivos de financiamento previamente estabelecidos e altamente fiáveis, mesmo em condições de tensão do mercado.

6. O operador de SIPS que liquide pagamentos unilaterais em euros mantém, ou assegura-se de que os participantes mantêm, recursos líquidos adicionais, de acordo com o n.o 4, alínea b), nas formas previstas no n.o 5 ou num banco comercial solvente em um ou mais dos seguintes instrumentos:

a)	Linhas de crédito autorizadas;

b)	Swaps cambiais autorizados;

c)	Acordos de recompra autorizados;

d)	Ativos que satisfaçam os requisitos previstos no artigo 12.o, n.o 1, detidos por uma entidade de custódia;

e)	Investimentos.

7. Todos estes instrumentos devem permitir a disponibilização de numerário num prazo que permita a conclusão da liquidação no mesmo dia. Em especial, o operador de SIPS deve poder demonstrar que os instrumentos diferentes de numerário estão prontamente disponíveis e são convertíveis em numerário no mesmo dia em virtude de dispositivos de financiamento previamente estabelecidos e altamente fiáveis, mesmo em condições de tensão do mercado.

O operador de SIPS deve poder demonstrar à autoridade competente, com base numa avaliação interna adequada, que o banco comercial é solvente.

O operador de SIPS que liquide pagamentos bilaterais ou pagamentos unilaterais em moedas diferentes do euro deve manter, ou assegura-se de que os participantes mantêm, recursos líquidos suficientes, de acordo com o n.o 4, nas formas previstas no n.o 6.

8. Se o operador de SIPS complementar os recursos referidos no n.o 4 com outros ativos, esses ativos devem ser passíveis de alienação ou aceitação como garantia (por exemplo, as linhas de crédito, os swaps, ou os acordos de recompra) numa base ad hoc, na sequência de um incumprimento, mesmo que esta possibilidade não possa ser previamente acordada ou garantida de modo fiável em condições de mercado extremas mas realistas. Sempre que um participante complemente os recursos referidos no n.o 4 com outros ativos, o operador de SIPS garante que estes outros ativos satisfazem os requisitos estabelecidos na primeira frase do presente número. Presume-se que os ativos são passíveis de alienação ou aceitação como garantia se o operador de SIPS tiver tomado em consideração as regras e práticas do banco central pertinente em matéria de elegibilidade das garantias.

9. O operador de SIPS não deve partir do princípio de que poderá dispor do crédito de emergência do banco central.

10. O operador de SIPS deve exercer a diligência devida para verificar se cada um dos fornecedores de recursos líquidos do SIPS previstos no n.o 4:

a)	Possui informação suficiente e atualizada para compreender e gerir os riscos de liquidez associados ao fornecimento de numerário ou de ativos; e

b)	Dispõe de capacidade para fornecer o numerário ou os ativos exigidos.

O operador de SIPS deve verificar pelo menos uma vez por ano que cumpre a obrigação de exercer a diligência devida. Apenas são aceites como fornecedores de liquidez as entidades que tenham acesso ao crédito do banco central de emissão. O operador de SIPS deve testar regularmente os procedimentos do SIPS para aceder aos seus próprios recursos líquidos.

11. O operador de SIPS com acesso a contas do banco central, serviços de pagamento ou serviços no domínio dos valores mobiliários deve utilizar estes serviços, sempre que exequível.

12. O operador de SIPS deve determinar, através de testes rigorosos de simulação de esforço, a quantidade e testar regularmente a suficiência dos seus recursos líquidos para satisfazer os requisitos previstos nos n.os 4 e 5. Aquando da realização dos testes de esforço, o operador de SIPS deve considerar uma grande diversidade de cenários relevantes, incluindo um ou mais incumprimentos de participantes no mesmo dia e em dois ou mais dias consecutivos.

Ao considerar tais cenários, devem ter-se em conta a conceção e o funcionamento do SIPS e analisadas todas as entidades que possam representar riscos significativos de liquidez para o SIPS, incluindo bancos de liquidação, agentes nostro, bancos de custódia, fornecedores de liquidez e IMF associadas. Se for caso disso, os cenários devem abranger um período multidiário.

13. O operador de SIPS deve documentar os motivos que justifiquem a detenção, pelo SIPS ou pelos respetivos participantes, de numerário e outros ativos, e dispor de mecanismos de governação adequados a tais ativos. Deve estabelecer procedimentos claros de comunicação dos resultados dos seus testes de esforço ao Conselho de Administração e utilizar estes resultados para avaliar a adequação do seu quadro de gestão dos riscos de liquidez e introduzir ajustamentos no mesmo.

14. O operador de SIPS deve estabelecer regras e procedimentos claros que permitam ao SIPS efetuar liquidações de obrigações financeiras no próprio dia e, se for caso disso, liquidações intradiárias e multidiárias atempadas na sequência do incumprimento de um ou mais dos seus participantes. Estas regras e procedimentos devem:

a)	Dar resposta a défices de liquidez imprevistos e potencialmente não cobertos;

b)	Procurar evitar a reversão, revogação ou diferimento da liquidação no próprio dia das obrigações financeiras;

c)	Descrever o processo de reconstituição do numerário e de outros ativos utilizados pelo SIPS numa situação de esforço, na medida em que tal seja necessário nos termos dos n.os 4 a 6.

Artigo 14.o

Liquidação definitiva

O operador de SIPS deve estabelecer regras e procedimentos que permitam que a liquidação definitiva se efetue em data não posterior à data de liquidação prevista.

Artigo 15.o

Liquidações em moeda

1. O operador de SIPS que liquide pagamentos unilaterais em euros deve assegurar que a liquidação definitiva se efetue em moeda de banco central. O operador de SIPS que liquide pagamentos para outros SIPS deve envidar os melhores esforços no sentido de permitir a liquidação definitiva a esses outros SIPS mesmo em situações de emergência.

2. O operador de SIPS que liquide pagamentos bilaterais ou pagamentos unilaterais em moedas diferentes do euro deve assegurar que a liquidação definitiva se efetua em moeda de banco central sempre que possível e viável.

3. Se não for utilizada moeda de banco central, o operador de SIPS deve assegurar que as liquidações em moeda são efetuadas utilizando um ativo de liquidação com poucos ou nenhuns riscos de crédito e de liquidez.

4. Se uma liquidação for efetuada em moeda de banco comercial, o operador de SIPS deve monitorizar, gerir, e limitar os riscos de crédito e de liquidez resultantes dos bancos de liquidação comerciais. Em especial, o operador de SIPS deve promover e monitorizar, em relação aos seus bancos de liquidação, a adesão a critérios rigorosos que incluam, entre outros aspetos, a sua regulamentação e supervisão, idoneidade creditícia, capitalização, acesso à liquidez e fiabilidade operacional. O operador de SIPS deve também monitorizar e gerir a concentração de exposições de crédito e de liquidez aos seus bancos comerciais de liquidação.

5. Se o operador de SIPS realizar liquidações em moeda nos seus próprios registos contabilísticos, deve minimizar e controlar rigorosamente os seus riscos de crédito e liquidez.

6. Se uma liquidação for efetuada em moeda de banco comercial, os acordos jurídicos do operador de SIPS com quaisquer bancos de liquidação comerciais devem estabelecer claramente:

a)	Quando se espera que sejam efetuadas as transferências nos registos contabilísticos de cada um dos bancos de liquidação;

b)	Que as transferências se tornam definitivas no momento da sua efetivação;

c)	Que os fundos recebidos serão transferíveis o mais rapidamente possível, o mais tardar no final do dia.

Artigo 16.o

Pagamento contra pagamento

O operador de SIPS que utilize o mecanismo do pagamento contra pagamento (payment-versus-payment) deve eliminar o risco de capital assegurando que a liquidação definitiva de uma obrigação apenas terá lugar se — e apenas nesse caso — a liquidação definitiva da obrigação associada também se verificar. Esta regra deve ser observada independentemente de a liquidação se efetuar pelo valor bruto ou líquido, e do momento em que se torne definitiva.

Artigo 17.o

Regras e procedimentos relativos a incumprimentos do participante

1. O operador de SIPS deve estabelecer, nas suas regras e procedimentos, uma definição de incumprimento do participante, a qual deverá incluir, no mínimo, o incumprimento pelo participante das suas obrigações financeiras na data do vencimento, em consequência, designadamente, de razões operacionais, do incumprimento de contrato ou da instauração de um processo de insolvência contra esse participante. O operador de SIPS deve distinguir entre incumprimento automático e incumprimento discricionário. No caso de o incumprimento ser discricionário, o operador de SIPS deverá indicar qual a entidade que exerce esse poder discricionário. Essa definição deve ser revista pelo menos anualmente.

2. O operador de SIPS deve ter regras e procedimentos em caso de incumprimento que lhe permitam continuar a cumprir as suas obrigações no caso de se verificar o incumprimento de um participante e que contemplem a reposição dos recursos na sequência de um incumprimento. As regras e procedimentos devem, no mínimo, definir, todos os seguintes aspetos:

a)	As medidas que o operador de SIPS pode adotar quando se verifique um incumprimento;

b)	Se as referidas medidas podem ser automáticas ou discricionárias, assim como os meios através dos quais é exercido aquele poder discricionário;

c)	Eventuais alterações nas práticas habituais de liquidação do operador de SIPS para assegurar a liquidação atempada;

d)	A gestão dos pagamentos nas diferentes fases de processamento;

e)	A sequência provável das medidas;

f)	As funções, obrigações e responsabilidades das partes relevantes, incluindo os participantes que não incorreram em incumprimento;

g)	Outros mecanismos a ativar para limitar o impacto de um incumprimento.

3. O operador de SIPS deve estar preparado para aplicar as suas regras e procedimentos em caso de incumprimento, incluindo os procedimentos discricionários adequados previstos nas suas regras. O operador de SIPS deve assegurar, designadamente, que: a) possui a capacidade operacional, incluindo pessoal suficiente com a formação adequada, para aplicar de forma atempada os procedimentos previstos no n.o 2; e que b) as suas regras e procedimentos regulam a documentação, as necessidades de informação e comunicação e, quando estejam envolvidas várias IMF ou autoridades, a coordenação.

4. O operador de SIPS deve disponibilizar ao público os principais elementos das regras e procedimentos descritos no n.o 2, incluindo, no mínimo, todos os seguintes:

a)	As circunstâncias em que devem ser tomadas medidas;

b)	Quem deve tomar essas medidas;

c)	O alcance das medidas a tomar;

d)	Os mecanismos que lhe permitam cumprir as suas obrigações face aos participantes que não incorreram em incumprimento.

5. O operador de SIPS deve testar e rever as regras e procedimentos do SIPS descritos no n.o 2 pelo menos anualmente, ou após quaisquer alterações significativas no SIPS que afetem essas regras e procedimentos. O operador de SIPS deve envolver os seus participantes e outras partes interessadas relevantes no processo de teste e revisão.

Artigo 18.o

Risco comercial de caráter geral

1. O operador de SIPS deve estabelecer sistemas de gestão e de controlo sólidos para identificar, monitorizar e gerir riscos comerciais de caráter geral, incluindo os prejuízos resultantes de uma execução deficiente da estratégia empresarial, fluxos de caixa negativos ou despesas de funcionamento imprevistas ou excessivamente elevadas.

2. O operador de SIPS deve manter um plano viável de recuperação e, com exceção dos SIPS do Eurosistema, de liquidação ordenada, conforme exigido nos termos do artigo 10.o, n.o 4.

3. O operador de SIPS deve determinar, com base no seu perfil de risco comercial de caráter geral e no tempo necessário para alcançar uma recuperação e/ou uma liquidação ordenada das suas operações e serviços críticos, o montante dos ativos necessários para executar o plano a que o n.o 2 se refere, o qual não pode ser inferior ao correspondente a seis meses de despesas correntes de funcionamento.

4. Para cobrir o montante previsto no n.o 3, o operador de SIPS deve deter ativos líquidos financiados por capital próprio (por exemplo, ações ordinárias, reservas expressas ou outros resultados retidos), de modo a poder assegurar a continuidade das operações e serviços. Estes ativos não incluem os recursos mantidos para cobrir os incumprimentos de participantes ou outros riscos cobertos nos termos dos artigos 11.o e 13.o. Para evitar a duplicação dos requisitos de fundos próprios pode ser incluído o capital próprio detido ao abrigo das normas internacionais em matéria de requisitos de fundos próprios baseados no risco.

5. Os ativos referidos no n.o 4, detidos para cobrir o risco comercial de caráter geral, devem apresentar liquidez e qualidade suficientes para estarem disponíveis atempadamente, e ser segregados dos ativos do operador de SIPS utilizados para operações diárias. O operador do SIPS deve poder liquidar os ativos detidos para cobrir o risco comercial de caráter geral com efeitos adversos reduzidos ou nulos nos preços, de modo a poder assegurar a continuidade das operações e serviços se incorrer em prejuízos comerciais de caráter geral.

6. O operador de SIPS deve estabelecer um plano viável de recapitalização no caso de o seu capital próprio descer para valores próximos ou inferiores ao montante referido no n.o 3.

7. Os n.os 3 a 6 não são aplicáveis aos SIPS do Eurosistema.

Artigo 19.o

Riscos de custódia e de investimento

1. O operador de SIPS deve manter os seus próprios ativos e os dos seus participantes em entidades supervisionadas e reguladas (a seguir, «entidades de custódia»), que disponham de práticas contabilísticas, procedimentos de guarda segura e controlos internos que protejam integralmente estes ativos contra o risco de insolvência, negligência, fraude, má administração ou conservação inadequada de registos por parte de uma entidade de custódia ou de sub-custódia.

2. O operador de SIPS deve ter acesso atempado aos seus ativos e aos ativos fornecidos pelos participantes.

3. O operador de SIPS deve avaliar e ter plena noção das suas exposições aos seus bancos de custódia, tendo em consideração o alcance total das suas relações com cada um deles.

4. O operador de SIPS deve estabelecer a sua estratégia de investimento, que deve ser coerente com a sua estratégia global de gestão dos riscos e integralmente comunicada aos participantes. Deve rever a estratégia de investimento pelo menos anualmente.

5. Os investimentos efetuados pelo operador de SIPS no quadro da sua estratégia de investimento devem estar garantidos por, ou constituir direitos de crédito face a devedores de alta qualidade. O operador de SIPS deve definir os critérios relativos aos devedores de alta qualidade. Os investimentos devem ser efetuados em instrumentos com riscos de crédito, de mercado e de liquidez mínimos.

6. Os n.os 3 a 5 não são aplicáveis aos SIPS do Eurosistema.

Artigo 20.o

Risco operacional

1. O operador de SIPS deve criar um quadro sólido dotado de sistemas, políticas, procedimentos e controlos adequados para a identificação, controlo e gestão do risco operacional.

2. O operador de SIPS deve rever, auditar e testar os sistemas, as políticas, os procedimentos e os controlos operacionais, periodicamente e após a introdução de alterações significativas.

3. O operador de SIPS deve estabelecer objetivos de nível de serviço e fiabilidade operacional e políticas concebidas para alcançar esses objetivos. Deve rever os objetivos e políticas pelo menos anualmente.

4. O operador de SIPS deve assegurar-se de que o SIPS possui, a todo o momento, uma capacidade passível de expansão para dar resposta aos aumentos nos volumes de pagamentos que ocorram devido a situações de tensão, e de que pode alcançar os seus objetivos de nível de serviço.

5. O operador de SIPS deve estabelecer políticas, processos e políticas sistémicas abrangentes em matéria de segurança física e de tecnologias da informação e comunicação (TIC), bem como sistemas de informação resilientes, que identifiquem, avaliem e giram adequadamente todas as potenciais vulnerabilidades, ameaças, incidentes e riscos num ambiente de TIC. Deve rever as políticas pelo menos anualmente.

6. O operador de SIPS deve estabelecer um plano de continuidade das atividades que responda as situações de risco significativo de perturbação das operações do SIPS. O plano deve incluir a utilização de instalações secundárias e estar concebido para assegurar que os principais sistemas informáticos possam retomar o funcionamento nas duas horas seguintes à ocorrência dessas situações. O plano deve estar concebido de modo a permitir que o SIPS esteja sempre em condições de liquidar todos os pagamentos vencidos até o final do dia útil em que ocorreu a perturbação. O operador de SIPS deve testar o plano e revê-lo pelo menos anualmente.

7. O operador de SIPS deve identificar os participantes mais importantes com base, em especial, nos volumes e valores dos pagamentos e no seu eventual impacto sobre outros participantes e sobre o SIPS no seu todo no caso de tais participantes sofrerem um problema operacional significativo.

8. O operador de SIPS deve identificar, monitorizar, e gerir os riscos aos quais os participantes mais importantes, outras IMF e os prestadores e fornecedores de serviços possam expor as operações do SIPS.

9. Para efeitos do presente artigo, as referências ao «risco» incluem os riscos especificados nos artigos 21.o e 22.o.

Artigo 21.o

Risco cibernético

1. O operador de SIPS deve estabelecer um quadro abrangente de ciber-resiliência com medidas de governação adequadas que lhe permitam gerir os riscos cibernéticos de forma eficaz e eficiente, e uma estratégia de ciber-resiliência que tenha em conta a tolerância ao risco e a apetência pelo risco do operador de SIPS.

2. O quadro de ciber-resiliência a que o n.o 1 se refere deve assegurar, no mínimo:

A identificação e classificação das principais funções, incluindo a responsabilização pela tomada de decisões no seio da organização, dos processos, das operações, dos serviços, bem como dos ativos de informação que apoiam as operações e os serviços críticos do SIPS, a fim de assegurar que estão em vigor as medidas adequadas para a sua proteção e recuperação atempada em caso de ciberataque;

b)	A proteção adequada do SIPS contra os riscos cibernéticos através, nomeadamente, da aplicação de controlos de segurança eficazes e da realização de atividades de controlo do funcionamento e da segurança dos principais sistemas TIC, bem como do tratamento ou armazenamento de informações sensíveis;

c)	A deteção atempada e adequada de qualquer ciberincidente ou de indícios da ocorrência do mesmo, nomeadamente através da monitorização de atividades anómalas;

d)	A resposta a, e a recuperação de qualquer ciberincidente ou evento adverso de cibersegurança de forma atempada e adequada, de modo a permitir ao SIPS retomar rapidamente as operações críticas e limitar quaisquer danos ao SIPS.

3. O operador de SIPS deve estabelecer um programa de testes destinado a testar regularmente a eficácia operacional de todos os processos, procedimentos e controlos do quadro de ciber-resiliência a que os n.os 1 e 2 se referem. No âmbito deste programa de testes, o operador de SIPS deve realizar testes de penetração baseados em ameaças (TIBER-EU threat-led penetration tests), com recurso a técnicas de simulação de um ataque às funções críticas e aos sistemas subjacentes ao SIPS, em conformidade com o quadro TIBER-EU.

Quando uma sucursal é identificada como operadora de SIPS, a autoridade competente pode levar em consideração os resultados de um teste de penetração realizado pela entidade jurídica da qual a sucursal é uma parte juridicamente dependente se esse teste de penetração puder ser considerado um exercício comparável a um teste TIBER-EU, e se capturar também a eficácia dos controlos e sistemas relevantes da sucursal.

4. O operador de SIPS deve assegurar que o seu Conselho de Administração e a sua Direção e, se for caso disso, a Direção da Sucursal, bem como o pessoal do operador de SIPS, possuem uma boa compreensão da ciber-resiliência e um bom nível de conhecimento situacional do ambiente de ciberameaças em que opera através de um processo eficaz de informações sobre ameaças e da partilha de informações no âmbito da sua organização e com outras entidades interligadas em todo o sistema financeiro.

5. O operador de SIPS deve dispor de sistemas, políticas, procedimentos e controlos adequados que lhe permitam avaliar e compreender a eficácia da execução da sua estratégia e quadro de ciber-resiliência.

6. O operador de SIPS deve dispor de procedimentos para assegurar que, pelo menos, quaisquer ciberincidentes graves que tenham um impacto negativo no SIPS, incluindo incidentes com origem nos participantes no SIPS e prestadores de serviços terceiros, sejam reportados: a) ao Conselho de Administração, à Direção e, se for caso disso, a Direção da Sucursal; e b) à autoridade competente. O operador de SIPS deve dispor de processos de aprendizagem e melhoria contínuas no domínio da cibersegurança. Estes processos devem incluir, por exemplo, a garantia de que o quadro de ciber-resiliência tem em conta a evolução das ameaças, bem como a análise dos ciberincidentes com recurso à experiência adquirida.

Artigo 22.o

Externalização

1. O operador de SIPS permanece sempre responsável pelo cumprimento deste Regulamento no que respeita aquaisquer funções, operações e/ou serviços externalizados relacionados com o funcionamento do SIPS.

2. O operador de SIPS deve assegurar que a externalização não prejudica a capacidade do operador de SIPS para cumprir os requisitos do presente regulamento e não resulta expressa ou implicitamente na delegação, no prestador de serviços externalizados, da responsabilidade do operador de SIPS pelo cumprimento dos requisitos do presente regulamento.

3. Em caso de externalização a terceiros ou a uma entidade intragrupo, o operador de SIPS deve celebrar acordos contratuais escritos entre si e o prestador de serviços externalizados. As disposições dos acordos contratuais devem, no mínimo:

a)	Assegurar que o operador de SIPS pode cumprir com as suas obrigações decorrentes do presente regulamento, de outra legislação aplicável, dos requisitos regulamentares e dos contratos;

b)	Incluir uma descrição clara e precisa das funções, operações e/ou serviços externalizados, das funções do prestador de serviços externalizados e da atribuição dos direitos e obrigações das partes nos acordos contratuais;

Assegurar o exercício pela autoridade competente dos poderes nos termos do artigo 29.o, n.o 1, alínea a), do presente regulamento e, em caso de externalização relacionada com as funções, operações e/ou serviços críticos do SIPS identificados no artigo 10.o, n.o 4, assegurar também o direito da autoridade competente relevante de exercer os seus poderes nos termos do artigo 29.o, n.o 1, alíneas b) e c), do presente regulamento.

d)	Especificar se a sub-externalização das funções, das operações e/ou dos serviços críticos do SIPS é permitida e as condições que seriam aplicáveis nesses casos, as quais devem assegurar a conformidade do operador de SIPS com os requisitos do presente regulamento;

e)	Assegurar o direito do operador de SIPS de rescindir o acordo contratual em caso de infração significativa das disposições legislativas, regulamentares ou contratuais e no caso de o cumprimento dos requisitos previstos no presente artigo não puder ser assegurado.

4. O operador de SIPS deve dispor de um quadro abrangente de externalização para identificar, acompanhar e gerir eficazmente os riscos decorrentes de qualquer externalização e ao longo de todo o ciclo de vida da operação. O operador de SIPS deve também dispor de uma estratégia de externalização que tenha em conta a tolerância ao risco do operador de SIPS.

5. O quadro de externalização a que o n.o 4 se refere deve permitir, no mínimo, ao operador de SIPS:

a)	A avaliação de quaisquer riscos decorrentes da externalização, incluindo eventuais riscos de concentração e riscos relacionados com a subcontratação, antes da assinatura de qualquer acordo contratual;

b)	A identificação e gestão eficazes dos riscos relacionados com qualquer externalização das funções, operações e/ou serviços críticos do SIPS;

c)	A avaliação de qualquer conflito de interesses relacionado com as funções, operações e/ou serviços externalizados;

O exercício dos direitos de auditoria necessários para avaliar os riscos de externalização conexos e cumprir as suas obrigações regulamentares. Tal deve incluir um plano de auditorias e inspeções ao prestador de serviços externos relacionadas com as funções, operações e/ou serviços críticos do SIPS..

6. O operador de SIPS deve assegurar que a externalização não prejudica a eficácia e a solidez do funcionamento do SIPS, nem a solidez dos seus sistemas, políticas, controlos internos e procedimentos conexos.

7. Em caso de externalização relacionada com as funções, operações e/ou serviços críticos do SIPS enunciados no artigo 10.o, n.o 4., o operador de SIPS deve desenvolver e manter uma estratégia de saída que não provoque perturbações nas operações do SIPS.

8. O Eurosistema deve elaborar orientações não vinculativas dirigidas aos operadores de SIPS sobre os requisitos relacionados com a externalização. Essas orientações devem ser disponibilizadas pelo BCE no seu sítio Web.

Artigo 23.o

Critérios de acesso e participação

1. O operador de SIPS deve estabelecer e disponibilizar ao público critérios não discriminatórios de acesso e participação nos serviços do SIPS pelos seus participantes diretos e, se for caso disso, pelos seus participantes indiretos e por outras IMF. Deve rever esses critérios pelo menos anualmente.

2. Os critérios de acesso e participação referidos no n.o 1 devem ser justificados em termos de segurança e eficiência do SIPS e dos mercados que este serve, e adaptados e proporcionais aos riscos específicos do SIPS. Em conformidade com o princípio da proporcionalidade, o operador de SIPS deve estabelecer requisitos que limitem o acesso na menor medida possível. Se o operador de SIPS recusar o acesso a uma entidade que o solicite, deve fundamentar por escrito essa decisão com base numa análise abrangente do risco.

3. O operador de SIPS deve monitorizar de forma contínua o cumprimento pelos participantes dos critérios de acesso e participação do SIPS. O operador de SIPS deve estabelecer procedimentos não discriminatórios para facilitar a suspensão e extinção ordenada do direito de participação de um participante que não cumpra os critérios e disponibiliza ao público os principais elementos desses procedimentos. Deve rever os procedimentos pelo menos anualmente.

Artigo 24.o

Acordos de participação por níveis

1. Para efeitos da gestão do risco, o operador de SIPS deve assegurar-se de que as respetivas normas, procedimentos e acordos contratuais do SIPS lhe permitem recolher informações sobre a participação indireta a fim de identificar, monitorizar e gerir os eventuais riscos significativos para o SIPS resultantes da participação. Esta informação deve abranger, no mínimo, os seguintes aspetos:

a)	A proporção da atividade desenvolvida pelos participantes diretos em nome próprio e em nome de participantes indiretos em relação à atividade ao nível do sistema;

b)	O número de participantes indiretos que liquida através de participantes diretos individuais;

c)	Os volumes e valores dos pagamentos do SIPS provenientes de cada participante indireto;

d)	A proporção dos volumes e valores dos pagamentos referidos na alínea c) em relação aos provenientes do participante direto através do qual o participante indireto acede ao SIPS.

2. O operador de SIPS deve identificar as dependências significativas entre participantes diretos e indiretos que possam afetar o SIPS, tendo em conta a informação referida no n.o 1.

3. O operador de SIPS deve identificar os participantes indiretos que representam riscos significativos para o SIPS e os participantes diretos através dos quais os primeiros acedem ao SIPS, a fim de gerir esses riscos.

4. O operador de SIPS deve analisar os riscos resultantes dos acordos de participação por níveis pelo menos anualmente. Sempre que necessário, deve tomar medidas de atenuação para assegurar a boa gestão dos riscos.

Artigo 25.o

Eficiência e eficácia

1. O operador de SIPS deve dispor de um processo para identificar e satisfazer as necessidades dos mercados que serve, em especial no que diz respeito:

a)	À escolha de um mecanismo de compensação e liquidação;

b)	À estrutura de funcionamento;

c)	À gama dos produtos compensados ou liquidados;

d)	À utilização de tecnologia e procedimentos.

2. O operador de SIPS deve ter metas e objetivos claramente definidos, mensuráveis e exequíveis, por exemplo nas áreas dos níveis de serviço mínimos, das expectativas relativas à gestão dos riscos e das prioridades de negócio.

3. O operador de SIPS deve adotar mecanismos para a revisão, pelo menos anual, dos requisitos estabelecidos nos n.os 1 e 2.

Artigo 26.o

Procedimentos e normas de comunicação

O operador de SIPS deve utilizar ou adaptar-se a procedimentos e normas de comunicação internacionalmente aceites a fim de assegurar a eficiência das operações de pagamento, compensação, liquidação e registo.

Artigo 27.o

Comunicação de regras, procedimentos essenciais e dados de mercado

1. O operador de SIPS deve adotar regras e procedimentos claros e exaustivos, que devem ser integralmente comunicados aos participantes. As regras e procedimentos essenciais aplicáveis também devem ser disponibilizados ao público.

2. O operador de SIPS deve comunicar descrições claras da configuração e do funcionamento do sistema, bem como dos direitos e obrigações do operador de SIPS e dos participantes, para que os participantes possam avaliar os riscos em que podem incorrer ao participarem no SIPS.

3. O operador de SIPS deve proporcionar toda a documentação e formação necessárias e adequadas para facilitar a compreensão pelos participantes das regras e procedimentos do SIPS e dos riscos a que se expõem ao participarem no SIPS.

4. O operador de SIPS deve disponibilizar ao público as comissões cobradas pelo SIPS por cada serviço que presta, bem como a sua política de descontos. O operador de SIPS deve proporcionar descrições claras dos serviços faturados para efeitos de comparação.

5. O operador de SIPS deve completar e disponibilizar ao público as respostas ao Quadro de informação para as infraestruturas do mercado financeiro do CPMI-IOSCO. Deve atualizar as suas respostas sempre que se produzam alterações significativas no sistema ou no seu ambiente e, no mínimo, de dois em dois anos. O operador de SIPS deve também comunicar, no mínimo, dados básicos sobre volumes e valores das operações.

Artigo 28.o

Obrigação geral de cumprimento

1. Os operadores de SIPS devem cumprir os requisitos estabelecidos no presente regulamento no prazo de um ano a contar da data em que lhes tenha sido notificada a decisão do Conselho do BCE prevista no artigo 3.o, n.o 3.

2. Os operadores de SIPS devem cooperar, de forma contínua, com a autoridade competente, e assegurar a conformidade dos SIPS que operam com os requisitos estabelecidos nos artigos 8.o a 27.o e no artigo 29.o, incluindo em termos de eficácia global das suas regras, procedimentos, processos e regimes. Os operadores de SIPS devem também cooperar com a autoridade competente no sentido de facilitar a consecução do objetivo mais amplo da promoção do bom funcionamento dos sistemas de pagamento a nível sistémico.

3. Sempre que uma sucursal seja identificada como operador de SIPS e o cumprimento de uma obrigação prevista no presente regulamento exija ou dependa da participação da entidade jurídica da qual a sucursal é uma parte juridicamente dependente, a obrigação deve ser entendida como uma obrigação imposta à sucursal de demonstrar o cumprimento à autoridade competente através de medidas e processos adotados ao nível da entidade jurídica em causa.

PARTE IV

AUTORIDADES COMPETENTES

Artigo 29.o

Poderes da autoridade competente

1. A autoridade competente está habilitada a:

Obter, em qualquer momento, do operador de SIPS, toda a informação e todos os documentos necessários para avaliar o cumprimento dos requisitos previstos no presente regulamento ou para promover o bom funcionamento dos sistemas de pagamento a nível sistémico. O operador do SIPS deve comunicar a informação relevante à autoridade competente sem atrasos injustificados;

Exigir ao operador de SIPS que nomeie um perito independente para realizar uma investigação ou uma análise independente ao funcionamento do SIPS. A autoridade competente pode impor requisitos quanto ao tipo de perito a nomear, ao teor e alcance do relatório a apresentar, à utilização do relatório, incluindo a divulgação e publicação de determinados elementos, e ao calendário para a apresentação do relatório. O operador de SIPS deve informar a autoridade competente sobre o cumprimento dos requisitos;

c)	Realizar inspeções no local ou delegar a sua realização. A autoridade competente pode proceder a um inspeção sem aviso prévio sempre que a adequada realização e a eficácia da mesma o exijam.

2. A Decisão (UE) 2019/1349 do Banco Central Europeu (BCE/2019/25) (14) especifica o procedimento e as condições para o exercício, por uma autoridade competente, dos poderes previstos neste artigo.

Artigo 30.o

Organização das atividades de superintendência

1. A autoridade competente pode realizar atividades de superintendência de forma contínua ou ocasional para avaliar o cumprimento pelo operador de SIPS dos requisitos estabelecidos nos artigos 8.o a 27.o e no artigo 29.o ou para promover o bom funcionamento dos sistemas de pagamento a nível sistémico.

2. A autoridade competente deve, se necessário, procurar celebrar acordos de cooperação com outras autoridades relevantes. No caso excecional de uma sucursal ser identificada como operador de SIPS, a autoridade competente deve solicitar um acordo de cooperação com a autoridade responsável pela superintendência ou pela supervisão da entidade jurídica da qual a sucursal é uma parte desprovida de personalidade jurídica.

Artigo 31.o

Confidencialidade

A informação partilhada pelo operador de SIPS com a autoridade competente a título confidencial pode ser partilhada por esta autoridade competente no âmbito do Sistema Europeu de Bancos Centrais (SEBC). Tal informação deve ser tratada como confidencial pelos membros do SEBC, de acordo com o dever de segredo profissional consagrado no artigo 37.o-1, dos Estatutos do SEBC.

PARTE V

MEDIDAS CORRETIVAS E SANÇÕES

Artigo 32.o

Medidas corretivas

1. Se o operador de SIPS não tiver cumprido o disposto no presente regulamento ou existirem motivos razoáveis para suspeitar que o operador de SIPS não cumpriu o disposto no presente regulamento, a autoridade competente pode instaurar um procedimento para impor uma medida corretiva, caso em que deve:

a)	Comunicar por escrito ao operador de SIPS a natureza do incumprimento ou a suspeita de incumprimento;

b)	Conceder ao operador de SIPS a oportunidade de ser ouvido e prestar esclarecimentos.

2. Tendo em conta as informações prestadas pelo operador de SIPS, a autoridade competente pode impor ao operador de SIPS medidas corretivas para sanar o incumprimento e/ou evitar que este se repita. Nos casos em que o operador de SIPS seja uma sucursal, as medidas corretivas devem ser impostas à sucursal.

3. A autoridade competente pode impor imediatamente medidas corretivas se considerar que o incumprimento é suficientemente grave para exigir uma intervenção imediata. A autoridade competente deve fundamentar a sua decisão.

4. As autoridades competentes que não o BCE devem informar o BCE sem demora injustificada da sua intenção de impor medidas corretivas ao operador de SIPS.

5. As medidas corretivas podem ser impostas de forma autónoma ou em conjunto com a aplicação de sanções ao abrigo do Regulamento (CE) n.o 2532/98 do Conselho (15).

6. As regras e o procedimento previstos na Decisão (UE) 2017/2098 do Banco Central Europeu (BCE/2017/33) (16) são aplicáveis à imposição das medidas corretivas previstas no presente artigo.

Artigo 33.o

Sanções

1. Em caso de incumprimento do presente regulamento, o BCE pode impor sanções ao operador de SIPS. Nos casos em que o operador de SIPS seja uma sucursal, as sanções devem ser impostas à sucursal.

2. As sanções impostas no termos do n.o 1 devem estar em conformidade com o Regulamento (CE) n.o 2532/98 e o Regulamento (CE) n.o 2157/1999 do Banco Central Europeu (BCE/1999/4) (17). O montante das sanções deve ser calculado em conformidade com a Decisão (UE) 2017/2097 do Banco Central Europeu (BCE/2017/35) (18).

PARTE VI

REVISÃO DA APLICAÇÃO DO PRESENTE REGULAMENTO

Artigo 34.o

Revisão

O Conselho do BCE deve proceder à revisão das condições gerais de aplicação do presente regulamento o mais tardar no prazo de dois anos a contar da data da sua entrada em vigor e, depois disso, de três em três anos, e avaliar a eventual necessidade de alterações.

PARTE VII

REVOGAÇÃO E DISPOSIÇÕES FINAIS

Artigo 35.o

Revogação

1. É revogado o Regulamento (UE) n.o 795/2014 (BCE/2014/28).

2. As referências ao regulamento revogado devem ser interpretadas como referências ao presente regulamento e lidas de acordo com o quadro de correspondência constante do anexo II.

Artigo 36.o

Disposições finais

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável nos Estados-Membros em conformidade com os Tratados.

Feito em Frankfurt am Main, em 2 de julho de 2025.

Pelo Conselho do BCE

A Presidente do BCE

Christine LAGARDE

(1) Regulamento (UE) n.o 795/2014 do Banco Central Europeu, de 3 de julho de 2014, relativo aos requisitos de superintendência de sistemas de pagamentos sistemicamente importantes (BCE/2014/28) (JO L 217 de 23.7.2014, p. 16, ELI: http://data.europa.eu/eli/reg/2014/795/oj).

(2) Ver o anexo I.

(3) Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(4) Disponível no sítio Web do BCE em www.ecb.europa.eu.

(5) Disponível no sítio Web do BCE em www.ecb.europa.eu.

(6) Diretiva 98/26/CE do Parlamento Europeu e do Conselho, de 19 de maio de 1998, relativa ao carácter definitivo da liquidação nos sistemas de pagamentos e de liquidação de valores mobiliários (JO L 166 de 11.6.1998, p. 45, ELI: http://data.europa.eu/eli/dir/1998/26/oj).

(7) Regulamento (UE) N.o 575/2013 do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativo aos requisitos prudenciais das instituições de crédito e que altera o Regulamento (UE) n.o 648/2012 (JO L 176 de 27.6.2013, p. 1, ELI:: http://data.europa.eu/eli/reg/2013/575/oj).

(8) Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera as Diretivas 2002/92/CE e 2011/61/UE (JO L 173 de 12.6.2014, p. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).

(9) Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.o 1093/2010, e que revoga a Diretiva 2007/64/CE (JO L 337 de 23.12.2015, p. 35, http://data.europa.eu/eli/dir/2015/2366/oj).

(10) Diretiva 2009/110/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativa ao acesso à atividade das instituições de moeda eletrónica, ao seu exercício e à sua supervisão prudencial, que altera as Diretivas 2005/60/CE e 2006/48/CE e revoga a Diretiva 2000/46/CE (JO L 267 de 10.10.2009, p. 7, ELI: http://data.europa.eu/eli/dir/2009/110/oj).

(11) Diretiva 98/26/CE do Parlamento Europeu e do Conselho, de 19 de maio de 1998, relativa ao carácter definitivo da liquidação nos sistemas de pagamentos e de liquidação de valores mobiliários (JO L 166 de 11.6.1998, p. 45, ELI: http://data.europa.eu/eli/dir/1998/26/ojj).

(12) Orientação (UE) 2015/510 do Banco Central Europeu, de 19 de dezembro de 2014, relativa ao enquadramento para a implementação da política monetária do Eurosistema (BCE/2014/60) (JO L 91 de 2.4.2015, p. 3, ELI: http://data.europa.eu/eli/guideline/2015/510/oj).

(13) Orientação BCE/2014/31 do Banco Central Europeu, de 9 de julho de 2014, relativa a medidas adicionais temporárias respeitantes às operações de refinanciamento do Eurosistema e à elegibilidade dos ativos de garantia e que altera a Orientação BCE/2007/9 (JO L 240 de 13.8.2014, p. 28, ELI: http://data.europa.eu/eli/guideline/2014/528/oj).

(14) Decisão (UE) 2019/1349 do Banco Central Europeu, de 26 de julho de 2019, relativa ao procedimento e condições para o exercício de determinados poderes por uma autoridade competente no que toca à fiscalização de sistemas de pagamentos sistemicamente importantes (BCE/2019/25) (JO L 214 de 16.8.2019, p. 16, ELI: http://data.europa.eu/eli/dec/2019/1349/oj).

(15) Regulamento (CE) n.o 2532/98 do Conselho, de 23 de novembro de 1998, relativo ao poder do Banco Central Europeu de impor sanções (JO L 318 de 27.11.1998, p. 4, ELI: http://data.europa.eu/eli/reg/1998/2532/oj).

(16) Decisão (UE) 2017/2098 do Banco Central Europeu, de 3 de novembro de 2017, relativa aos aspetos processuais da imposição de medidas corretivas por incumprimento do Regulamento (UE) n.o 795/2014 (BCE/2017/33) (JO L 299 de 16.11.2017, p. 34, ELI: http://data.europa.eu/eli/dec/2017/2098/oj).

(17) Regulamento (CE) n.o 2157/1999 do Banco Central Europeu, de 23 de setembro de 1999, relativo aos poderes no Banco Central Europeu para impor sanções (BCE/1999/4) (JO L 264 de 12.10.1999, p. 21, ELI: http://data.europa.eu/eli/reg/1999/2157/oj).

(18) Decisão (UE) 2017/2097 do Banco Central Europeu, de 3 de novembro de 2017, relativa à metodologia de cálculo do montante das sanções aplicáveis em caso de infração aos requisitos de superintendência de sistemas de pagamentos sistemicamente importantes (BCE/2017/35) (JO L 299 de 16.11.2017, p. 31, ELI: http://data.europa.eu/eli/dec/2017/2097/oj).