|
5.12.2022 |
BG |
Официален вестник на Европейския съюз |
L 312/1 |
ДЕЛЕГИРАН РЕГЛАМЕНТ (ЕС) 2022/2360 НА КОМИСИЯТА
от 3 август 2022 година
за изменение на регулаторните технически стандарти, определени в Делегиран регламент (ЕС) 2018/389, по отношение на 90-дневното освобождаване за достъп до сметка
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета от 25 ноември 2015 г. за платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 и за отмяна на Директива 2007/64/ЕО (1), и по-специално член 98, параграф 4, втора алинея от нея,
като има предвид, че:
|
(1) |
В член 10 от Делегиран регламент (ЕС) 2018/389 на Комисията (2) се предвижда освобождаване от изискването по член 97 от Директива (ЕС) 2015/2366 за прилагане на задълбочено установяване на идентичността на клиента, когато даден ползвател на платежни услуги има достъп до салдото и до последните операции по платежна сметка без оповестяване на чувствителни данни за плащанията. В такъв случай на доставчиците на платежни услуги е разрешено да не прилагат задълбочено установяване на идентичността на клиента за достъп до информацията за сметката, при условие че задълбоченото установяване на идентичността на клиента е било приложено при първия достъп до информацията за сметката и поне веднъж на всеки 90 дни след това. |
|
(2) |
Използването на това освобождаване доведе до много различни практики при прилагането на Делегиран регламент (ЕС) 2018/389, при които някои доставчици на платежни услуги, обслужващи сметка, изискват задълбочено установяване на идентичността на клиента на всеки 90 дни, други — на по-кратки интервали от време, а трети не са приложили освобождаването и изискват задълбочено установяване на идентичността на клиента за всеки достъп до сметка. Тези различия доведоха до нежелано напрежение при взаимодействието с клиентите, свързано с използването на услуги по предоставяне на информация за сметка, и до отрицателно въздействие върху услугите на доставчиците на услуги по предоставяне на информация за сметка. |
|
(3) |
За да се осигури подходящ баланс между целите на Директива (ЕС) 2015/2366, насочени към повишаване на сигурността, улесняване на иновациите и засилване на конкуренцията на вътрешния пазар, е необходимо допълнително да се уточни прилагането на освобождаването, предвидено в член 10 от Делегиран регламент (ЕС) 2018/389, в случаите, когато достъпът до информация за сметка се осъществява чрез доставчик на услуги по предоставяне на информация за сметка. В тези случаи на доставчиците на платежни услуги съответно не следва да бъде разрешено да избират дали да прилагат задълбочено установяване на идентичността на клиента, или не, а освобождаването следва да стане задължително при условия, гарантиращи спазването на изискванията за безопасност и сигурност на данните на ползвателите на платежни услуги. |
|
(4) |
Освобождаването следва да бъде ограничено до достъпа до салдото и до последните операции по дадена платежна сметка без оповестяване на чувствителни данни за плащанията. Освобождаването следва да се прилага само когато доставчиците на платежни услуги вече са приложили задълбочено установяване на идентичността на клиента при първия достъп чрез съответния доставчик на услуги по предоставяне на информация за сметка и следва да се подновява периодично. |
|
(5) |
За да се гарантира безопасността и сигурността на данните на ползвателите на платежни услуги, на доставчиците на платежни услуги следва да се разреши да прилагат по всяко време задълбочено установяване на идентичността на клиента, когато имат обективни основания и надлежно доказани причини във връзка с неразрешен достъп или достъп с цел измама. Такъв може да бъде случаят, когато посредством механизмите на доставчика на платежни услуги, обслужващ сметката, за наблюдение на операциите бъде установен повишен риск от неразрешен достъп или достъп с цел измама. За да се гарантира последователното прилагане на освобождаването, доставчиците на платежни услуги, обслужващи сметка, следва в такива случаи да документират и надлежно да обосноват пред своя национален компетентен орган, по негово искане, причините за прилагане на задълбочено установяване на идентичността на клиента. |
|
(6) |
Когато ползвателят на платежни услуги има директен достъп до информацията за сметката, на доставчиците на платежни услуги следва да продължи да бъде разрешено да избират дали да прилагат задълбочено установяване на идентичността на клиента. Причината е, че в такива случаи не са наблюдавани конкретни проблеми, изискващи изменение на освобождаването, предвидено в член 10 от Делегиран регламент (ЕС) 2018/389, за разлика от случая, когато достъпът се получава чрез доставчик на услуги по предоставяне на информация за сметка. |
|
(7) |
За да се гарантират еднакви условия на конкуренция между всички доставчици на платежни услуги и в съответствие с целите на Директива (ЕС) 2015/2366 за създаване на условия за разработване на лесни за ползване и иновативни услуги, е пропорционално да се установи един и същ 180-дневен срок за подновяване на задълбоченото установяване на идентичността на клиента както за получаване на директен достъп до информацията за сметката при доставчика на платежни услуги, обслужващ сметката, така и за достъп чрез доставчик на услуги по предоставяне на информация за сметка. Подновяването на задълбоченото установяване на идентичността на клиента с настоящата честота би могло да доведе до нежелано напрежение при взаимодействието с клиентите и да попречи на доставчиците на услуги по предоставяне на информация за сметка да предлагат своите услуги, а на ползвателите — да получават тези услуги. |
|
(8) |
От доставчиците на платежни услуги, обслужващи сметка, които предлагат специален интерфейс и които са въвели резервен механизъм, както е посочено в член 33, параграф 4 от Делегиран регламент (ЕС) 2018/389, не следва да се изисква да прилагат новото задължително освобождаване в своите директни потребителски интерфейси за целите на резервния механизъм, при условие че не прилагат освобождаването, предвидено в член 10 от Делегиран регламент (ЕС) 2018/389, по отношение на своите директни потребителски интерфейси. Би било непропорционално да се изисква от доставчиците на платежни услуги, обслужващи сметка, които предлагат специален интерфейс, по отношение на който те трябва да прилагат новото задължително освобождаване, да прилагат освобождаването и по отношение на своите директни потребителски интерфейси за целите на резервния механизъм. |
|
(9) |
Доставчиците на платежни услуги, обслужващи сметка, следва да предоставят на доставчиците на платежни услуги информация за промените, направени в техническите спецификации на техните интерфейси с цел спазване на настоящия регламент, не по-късно от 2 месеца преди въвеждането на тези промени, така че доставчиците на платежни услуги да имат достатъчно време, за да направят необходимите промени в своите системи. |
|
(10) |
Поради това Делегиран регламент (ЕС) 2018/389 следва да бъде съответно изменен. |
|
(11) |
Настоящият регламент е изготвен въз основа на проектите на регулаторни технически стандарти, представени на Комисията от Европейския банков орган. |
|
(12) |
Европейският банков орган проведе открити обществени консултации по проектите на регулаторни технически стандарти, въз основа на които е изготвен настоящият регламент, като анализира потенциалните разходи и ползи и поиска становището на създадената с член 37 от Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета Група на участниците от банковия сектор (3). |
|
(13) |
В съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 беше проведена консултация с Европейския надзорен орган по защита на данните, който публикува официални коментари на 7 юни 2022 г. |
|
(14) |
За да се даде възможност за плавен преход към новите изисквания, определени в настоящия регламент, на доставчиците на платежни услуги, които са приложили освобождаването, предвидено в член 10 от Делегиран регламент (ЕС) 2018/389 преди датата на прилагане на настоящия регламент, следва да бъде разрешено да продължат да прилагат това освобождаване до 90 дни от последното прилагане на задълбочено установяване на идентичността на клиента, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Изменения на Делегиран регламент (ЕС) 2018/389
Делегиран регламент (ЕС) 2018/389 се изменя, както следва:
|
1) |
Член 10 се заменя със следното: „Член 10 Достъп до информация за платежната сметка, предоставян директно от доставчика на платежни услуги, обслужващ сметката 1. На доставчиците на платежни услуги се разрешава да не прилагат задълбочено установяване на идентичността на клиента при спазване на изискванията по член 2, когато ползвател на платежни услуги получава директен онлайн достъп до платежната си сметка, при условие че достъпът е ограничен до един от следните елементи онлайн без оповестяване на чувствителни данни за плащанията:
2. Чрез дерогация от параграф 1 доставчиците на платежни услуги не се освобождават от прилагането на задълбоченото установяване на идентичността на клиента, когато е изпълнено едно от следните условия:
|
|
2) |
Вмъква се следният член 10а: „Член 10а Достъп до информация за платежната сметка чрез доставчик на услуги по предоставяне на информация за сметка 1. Доставчиците на платежни услуги не прилагат задълбочено установяване на идентичността на клиента, когато ползвател на платежни услуги получава онлайн достъп до своята платежна сметка чрез доставчик на услуги по предоставяне на информация за сметка, при условие че достъпът е ограничен до един от следните елементи онлайн без оповестяване на чувствителни данни за плащанията:
2. Чрез дерогация от параграф 1 доставчиците на платежни услуги прилагат задълбочено установяване на идентичността на клиента, когато е изпълнено едно от следните условия:
3. Чрез дерогация от параграф 1 на доставчиците на платежни услуги се разрешава да прилагат задълбочено установяване на идентичността на клиента, когато ползвател на платежни услуги получава онлайн достъп до своята платежна сметка чрез доставчик на услуги по предоставяне на информация за сметка и доставчикът на платежни услуги има обективни основания и надлежно доказани причини във връзка с неразрешен достъп или достъп до платежната сметка с цел измама. В такъв случай при поискване доставчикът на платежни услуги документира и надлежно обосновава пред своя компетентен национален орган причините за прилагането на задълбочено установяване на идентичността на клиента. 4. От доставчиците на платежни услуги, обслужващи сметка, които предлагат специален интерфейс, както е посочено в член 31, не се изисква да прилагат освобождаването, предвидено в параграф 1 от настоящия член, за целите на резервния механизъм, посочен в член 33, параграф 4, когато те не прилагат освобождаването, предвидено в член 10, при директния интерфейс, използван за установяване на идентичността и за комуникация с техните ползватели на платежни услуги.“ |
|
3) |
В член 30 се вмъква следният параграф 4a: „4а. Чрез дерогация от параграф 4 доставчиците на платежни услуги, обслужващи сметка, предоставят на доставчиците на платежни услуги, посочени в настоящия член, информация за промените, направени в техническите спецификации на техните интерфейси с цел спазване на член 10а, не по-късно от 2 месеца преди въвеждането на тези промени.“ |
Член 2
Преходни разпоредби
1. На доставчиците на платежни услуги, които са приложили освобождаването по член 10 от Делегиран регламент (ЕС) 2018/389 преди 25 юли 2023 г. се разрешава да продължат да прилагат това освобождаване за искания за достъп, получени чрез доставчик на услуги по предоставяне на информация за сметка, до изтичането на периода, обхванат от това освобождаване.
2. Чрез дерогация от параграф 1, когато се прилага ново задълбочено установяване на идентичността на клиента за искане на достъп чрез доставчик на услуги по предоставяне на информация за сметка преди изтичането на срока, обхванат от освобождаването по параграф 1, се прилага член 10а, въведен с настоящия регламент.
Член 3
Влизане в сила и прилагане
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Той се прилага от 25 юли 2023 г.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 3 август 2022 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 337, 23.12.2015 г., стр. 35.
(2) Делегиран регламент (ЕС) 2018/389 на Комисията от 27 ноември 2017 г. за допълнение на Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета по отношение на регулаторните технически стандарти за задълбоченото установяване на идентичността на клиента и общите и сигурни отворени стандарти на комуникация (ОВ L 69, 13.3.2018 г., стр. 23).
(3) Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета от 24 ноември 2010 г. за създаване на Европейски надзорен орган (Европейски банков орган), за изменение на Решение № 716/2009/ЕО и за отмяна на Решение 2009/78/ЕО на Комисията (ОВ L 331, 15.12.2010 г., стр. 12).