1. Τα ιδρύματα πληρωμών ιδρύονται και λειτουργούν με τη μορφή της ανώνυμης εταιρείας ή της Ευρωπαϊκής Εταιρείας (SE) του Κανονισμού (ΕΚ) αριθ. 2157/2001 (EE L 294) κατόπιν άδειας λειτουργίας, η οποία χορηγείται από την Τράπεζα της Ελλάδος. Για να αποκτήσει άδεια λειτουργίας ως ίδρυμα πληρωμών με έδρα στην Ελλάδα, ο ενδιαφερόμενος υποβάλλει στην Τράπεζα της Ελλάδος αίτηση, συνοδευόμενη από τα ακόλουθα στοιχεία:
α) πρόγραμμα δραστηριοτήτων, στο οποίο αναφέρεται ειδικότερα το είδος των προβλεπόμενων υπηρεσιών πληρωμών,
β) επιχειρηματικό σχέδιο που περιλαμβάνει πρόβλεψη προϋπολογισμού για τα τρία πρώτα οικονομικά έτη, όπου καταδεικνύεται η ικανότητα του αιτούντος ιδρύματος πληρωμών να χρησιμοποιεί τα κατάλληλα και ανάλογα συστήματα, πόρους και διαδικασίες που εξασφαλίζουν την εύρυθμη λειτουργία του,
γ) στοιχεία που τεκμηριώνουν ότι το ίδρυμα πληρωμών διαθέτει το αρχικό κεφάλαιο όπως προβλέπεται στο άρθρο 7 παρόντος νόμου και έχει καταβληθεί το αργότερο κατά τη στιγμή της αδειοδότησης,
δ) για τα ιδρύματα πληρωμών τα οποία παρέχουν τις υπηρεσίες πληρωμών των περ. α) έως στ) του σημείου 3 του άρθρου 4 του παρόντος νόμου περιγραφή των μέτρων που λαμβάνονται για να διασφαλίζονται τα κεφάλαια των χρηστών υπηρεσιών πληρωμών σύμφωνα με το άρθρο 10,
ε) περιγραφή του οργανωτικού πλαισίου διακυβέρνησης και των μηχανισμών εσωτερικού ελέγχου του αιτούντος, περιλαμβανομένης της διοικητικής και λογιστικής οργάνωσης και της διαχείρισης κινδύνου, η οποία καταδεικνύει ότι το εν λόγω οργανωτικό πλαίσιο και οι μηχανισμοί είναι αναλογικοί, κατάλληλοι, άρτιοι και επαρκείς,
στ) περιγραφή της υφιστάμενης διαδικασίας ελέγχου, διαχείρισης και παρακολούθησης ενός περιστατικού ασφαλείας, καθώς και των παραπόνων των πελατών για ζητήματα σχετικά με την ασφάλεια, περιλαμβανομένου του μηχανισμού αναφοράς περιστατικών, ο οποίος λαμβάνει υπόψη τις υποχρεώσεις κοινοποίησης του ιδρύματος πληρωμών σύμφωνα με το άρθρο 95,
ζ) περιγραφή της υφιστάμενης διαδικασίας αρχειοθέτησης, παρακολούθησης, εντοπισμού και περιορισμού της πρόσβασης σε ευαίσθητα δεδομένα πληρωμών,
η) περιγραφή των ρυθμίσεων επιχειρησιακής συνέχειας, με σαφή προσδιορισμό των κρίσιμων λειτουργιών, αποτελεσματικών σχεδίων έκτακτης ανάγκης και της διαδικασίας για τη δοκιμή και επανεξέταση της επάρκειας και της αποτελεσματικότητας των εν λόγω σχεδίων σε τακτά χρονικά διαστήματα,
θ) περιγραφή των αρχών και των ορισμών που εφαρμόζονται για τη συλλογή στατιστικών στοιχείων απόδοσης, συναλλαγών και απάτης,
ι) καταγεγραμμένη περιγραφή αναφορικά με την πολιτική ασφάλειας, περιλαμβανομένης της λεπτομερούς αξιολόγησης των κινδύνων που σχετίζονται με τις παρεχόμενες υπηρεσίες πληρωμών και περιγραφής του ελέγχου της ασφάλειας και των μέτρων μείωσης κινδύνων που θα ληφθούν για την επαρκή προστασία των χρηστών των υπηρεσιών πληρωμών έναντι των κινδύνων που έχουν εντοπιστεί, περιλαμβανομένης της απάτης και της παράνομης χρήσης ευαίσθητων και προσωπικών δεδομένων,
ια) για ιδρύματα πληρωμών που υπόκεινται στις υποχρεώσεις σχετικά με τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες και τη χρηματοδότηση της τρομοκρατίας που προβλέπει η Οδηγία 2015/849/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (EE L 141) όπως αυτή έχει ενσωματωθεί στην ελληνική νομοθεσία και ο Κανονισμός (ΕΕ) 2015/847 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (EE L 141), περιγραφή των μηχανισμών εσωτερικού ελέγχου που έχει θεσπίσει ο αιτών ώστε να τηρεί τις εν λόγω υποχρεώσεις,
ιβ) περιγραφή της οργανωτικής δομής του αιτούντος και, όπου ενδείκνυται, της σχεδιαζόμενης χρήσης αντιπροσώπων και υποκαταστημάτων καθώς και των επιτόπιων και μη επιτόπιων ελέγχων αυτών, τους οποίους δεσμεύεται να πραγματοποιεί ο αιτών τουλάχιστον ετησίως, καθώς και περιγραφή των ρυθμίσεων εξωτερικής ανάθεσης δραστηριοτήτων και της συμμετοχής του σε εθνικό ή διεθνές σύστημα πληρωμών,
ιγ) ταυτότητα των προσώπων που κατέχουν, άμεσα ή έμμεσα, ειδικές συμμετοχές στο αιτούν ίδρυμα πληρωμών, κατά την έννοια του σημείου 36) της παραγράφου 1 του άρθρου 4 του Κανονισμού (ΕΕ) αριθ. 575/2013, το μέγεθος της συμμετοχής, καθώς και στοιχεία για την καταλληλότητά τους ενόψει της ανάγκης να εξασφαλισθεί η ορθή και συνετή διαχείριση του ιδρύματος πληρωμών,
ιδ) ταυτότητα των μελών του Διοικητικού Συμβουλίου, διευθυντικών στελεχών και των υπευθύνων για τη διαχείριση του ιδρύματος πληρωμών και, ενδεχομένως, των υπευθύνων διαχείρισης των δραστηριοτήτων υπηρεσιών πληρωμών του ιδρύματος, καθώς και στοιχεία που αποδεικνύουν ότι έχουν καλή φήμη και διαθέτουν κατάλληλες γνώσεις και εμπειρία εν αναφορά προς την παροχή υπηρεσιών πληρωμών όπως προβλέπεται στην ημεδαπή,
ιε) ταυτότητα των ορκωτών ελεγκτών λογιστών ή των ελεγκτικών εταιρειών όπως ορίζονται στον ν. 4449/2017 (Α’ 7) (Οδηγία 2006/43/ΕΚ), όπου απαιτείται,
ιστ) νομική μορφή και καταστατικό του αιτούντος,
ιζ) διεύθυνση των κεντρικών γραφείων του αιτούντος.
2. Για τους σκοπούς των περ. δ), ε), στ) και ιβ) της παραγράφου 1, ο αιτών περιγράφει τις ελεγκτικές και οργανωτικές ρυθμίσεις που έχει θεσπίσει ώστε να λαμβάνονται όλα τα εύλογα μέτρα για την προστασία των συμφερόντων των χρηστών του και να διασφαλίζεται η αδιάλειπτη και αξιόπιστη παροχή των υπηρεσιών πληρωμών.
3. Ο έλεγχος ασφάλειας και τα μέτρα μείωσης κινδύνων που αναφέρονται στην περ. ι) της παραγράφου 1 καταδεικνύουν τον τρόπο διασφάλισης υψηλού επιπέδου τεχνικής ασφάλειας και προστασίας των δεδομένων, περιλαμβανομένου του λογισμικού και του υλικού των συστημάτων πληροφορικής που χρησιμοποιούνται από τον αιτούντα ή τις επιχειρήσεις στις οποίες αναθέτει το σύνολο ή μέρος των δραστηριοτήτων του. Τα εν λόγω μέτρα περιλαμβάνουν επίσης τα μέτρα ασφαλείας που προβλέπονται στην παράγραφο 1 του άρθρου 94. Τα εν λόγω μέτρα λαμβάνουν υπόψη τις ισχύουσες κατευθυντήριες γραμμές για τα μέτρα ασφαλείας της Ευρωπαϊκής Αρχής Τραπεζών (εφεξής ΕΑΤ).
4. Με την επιφύλαξη των άρθρων 7 έως 9, επιχειρήσεις που υποβάλλουν αίτηση για την απόκτηση άδειας λειτουργίας για την παροχή υπηρεσιών πληρωμών της περ. ζ) του σημείου 3 του άρθρου 4 αποδεικνύουν κατά την υποβολή της εν λόγω αίτησης ότι διαθέτουν ασφάλιση επαγγελματικής ευθύνης, η οποία καλύπτει την ελληνική επικράτεια και τα κράτη μέλη όπου παρέχουν υπηρεσίες πληρωμών ή άλλη συγκρίσιμη εγγύηση κατά της ευθύνης ώστε να είναι σε θέση να καλύψουν τις υποχρεώσεις τους, όπως ορίζεται στα άρθρα 73, 88, 89 και 91.
5. Επιχειρήσεις που υποβάλλουν αίτηση για παροχή υπηρεσιών πληρωμών της περ. η) του σημείου 3 του άρθρου 4 του παρόντος νόμου, αποδεικνύουν κατά την υποβολή της εν λόγω αίτησης ότι διαθέτουν ασφάλιση επαγγελματικής ευθύνης, η οποία καλύπτει την ελληνική επικράτεια και τα κράτη μέλη όπου παρέχουν υπηρεσίες πληρωμών ή άλλη συγκρίσιμη εγγύηση κατά της ευθύνης τους έναντι του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού ή του χρήστη υπηρεσιών πληρωμών που προκύπτει από μη εγκεκριμένη ή παράνομη πρόσβαση σε πληροφορίες λογαριασμού πληρωμών ή τη μη εγκεκριμένη ή την παράνομη χρήση των πληροφοριών αυτών.
6. Η Τράπεζα της Ελλάδος εξουσιοδοτείται να καθορίζει τις λοιπές λεπτομέρειες εφαρμογής του παρόντος άρθρου και ιδίως το περιεχόμενο της αίτησης χορήγησης άδειας λειτουργίας, τα συνυποβαλλόμενα προς τούτο αναγκαία δικαιολογητικά και στοιχεία, τις ειδικότερες προϋποθέσεις και τη διαδικασία για τη χορήγηση της άδειας λειτουργίας.