EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Kommissionens delegerede forordning (EU) 2022/2360 af 3. august 2022 om ændring af de reguleringsmæssige tekniske standarder i delegeret forordning (EU) 2018/389 for så vidt angår undtagelsen på 90 dage for kontoadgang (EØS-relevant tekst)
Kommissionens delegerede forordning (EU) 2022/2360 af 3. august 2022 om ændring af de reguleringsmæssige tekniske standarder i delegeret forordning (EU) 2018/389 for så vidt angår undtagelsen på 90 dage for kontoadgang (EØS-relevant tekst)
C/2022/5517
OJ L 312, 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
DA |
Den Europæiske Unions Tidende |
L 312/1 |
KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2022/2360
af 3. august 2022
om ændring af de reguleringsmæssige tekniske standarder i delegeret forordning (EU) 2018/389 for så vidt angår undtagelsen på 90 dage for kontoadgang
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (1), særlig artikel 98, stk. 4, andet afsnit, og
ud fra følgende betragtninger:
|
(1) |
Artikel 10 i Kommissionens delegerede forordning (EU) 2018/389 (2) indeholder en undtagelse fra kravet i artikel 97 i direktiv (EU) 2015/2366 om at anvende en stærk kundeautentifikation, når en betalingstjenestebruger får adgang til saldoen og de seneste transaktioner på en betalingskonto uden offentliggørelse af følsomme betalingsdata. I så fald kan betalingstjenesteudbydere undlade at anvende en stærk kundeautentifikation for at få adgang til kontooplysningerne, forudsat at der blev anvendt stærk kundeautentifikation, da kontooplysningerne blev tilgået første gang, og mindst hver 90. dag derefter. |
|
(2) |
Anvendelsen af denne undtagelse har ført til meget forskellig praksis i forbindelse med anvendelsen af delegeret forordning (EU) 2018/389, hvor nogle kontoførende betalingstjenesteudbydere anmoder om stærk kundeautentifikation hver 90. dag, andre med kortere intervaller, og nogle har ikke anvendt undtagelsen og anmoder om stærk kundeautentifikation for hver enkelt kontoadgang. Denne forskel har ført til uønskede dårlige kundeerfaringer, når der anvendes kontooplysningstjenester, og til en negativ indvirkning på kontooplysningstjenesteudbyderes tjenester. |
|
(3) |
For at sikre en passende balance mellem målene i direktiv (EU) 2015/2366 om at øge sikkerheden, fremme innovationen og styrke konkurrencen på det indre marked er det nødvendigt yderligere at præcisere anvendelsen af undtagelsen i artikel 10 i delegeret forordning (EU) 2018/389 i tilfælde, hvor kontooplysningerne tilgås via en kontooplysningstjenesteudbyder. I et sådant tilfælde bør betalingstjenesteudbydere derfor ikke have mulighed for at vælge, om de vil anvende stærk kundeautentifikation, og undtagelsen bør gøres obligatorisk og underlægges betingelser, hvis formål er at sikre, at sikkerheden i forbindelse med betalingstjenestebrugernes data er opfyldt. |
|
(4) |
Undtagelsen bør begrænses til adgang til saldoen og de seneste transaktioner på en betalingskonto uden offentliggørelse af følsomme betalingsoplysninger. Undtagelsen bør kun finde anvendelse, hvis betalingstjenesteudbydere allerede har anvendt stærk kundeautentifikation til den første adgang gennem den pågældende kontooplysningstjenesteudbyder, og den bør fornyes regelmæssigt. |
|
(5) |
Af hensyn til sikkerheden i forbindelse med betalingstjenestebrugeres data bør betalingstjenesteudbydere til enhver tid have mulighed for at anvende stærk kundeautentifikation, hvis de har objektivt begrundede og behørigt dokumenterede årsager vedrørende uautoriseret eller svigagtig adgang. Dette kan være tilfældet, hvis der gennem den kontoførende betalingstjenesteudbyders mekanismer til overvågning af transaktioner opdages en forhøjet risiko for uautoriseret eller svigagtig adgang. Med henblik på at sikre en konsekvent anvendelse af undtagelsen bør kontoførende betalingstjenesteudbydere i sådanne tilfælde dokumentere og på behørig vis over for deres nationale kompetente myndighed på dennes anmodning begrunde anvendelsen af stærk kundeautentifikation. |
|
(6) |
I tilfælde, hvor betalingstjenestebrugeren har direkte adgang til kontooplysningerne, bør betalingstjenesteudbyderne fortsat have mulighed for at vælge, om de vil anvende stærk kundeautentifikation. Dette skyldes, at der i sådanne tilfælde ikke er konstateret særlige problemer, der kræver en ændring af den undtagelse, der er fastsat i artikel 10 i delegeret forordning (EU) 2018/389, i modsætning til tilfældet med adgang gennem en kontooplysningstjenesteudbyder. |
|
(7) |
For at sikre lige vilkår for alle betalingstjenesteudbydere og i overensstemmelse med målene i direktiv (EU) 2015/2366 om at muliggøre udviklingen af brugervenlige og innovative tjenester er det rimeligt at fastsætte den samme 180-dages tidsfrist for både fornyelse af stærk kundeautentifikation med henblik på adgang til kontooplysningerne direkte hos den kontoførende betalingstjenesteudbyder og gennem en kontooplysningstjenesteudbyder. Fornyelse af stærk kundeautentifikation med den nuværende hyppighed kan forårsage uønskede dårlige kundeerfaringer og forhindre kontooplysningstjenesteudbydere i at tilbyde deres tjenester og brugerne i at modtage disse tjenester. |
|
(8) |
Kontoførende betalingstjenesteudbydere, der tilbyder en særlig grænseflade, og som har indført en beredskabsmekanisme, jf. artikel 33, stk. 4, i delegeret forordning (EU) 2018/389, bør ikke være forpligtet til at gennemføre den nye obligatoriske undtagelse i deres direkte kundegrænseflader med henblik på beredskabsmekanismen, forudsat at de ikke anvender undtagelsen i artikel 10 i delegeret forordning (EU) 2018/389 på deres direkte kundegrænseflader. Det ville være uforholdsmæssigt at kræve, at kontoførende betalingstjenesteudbydere, der tilbyder en særlig grænseflade, på hvilken de skal gennemføre den nye obligatoriske undtagelse, også skal gennemføre undtagelsen i deres direkte kundegrænseflader med henblik på beredskabsmekanismen. |
|
(9) |
For at sikre, at betalingstjenesteudbydere har tilstrækkelig tid til at foretage de nødvendige ændringer af deres systemer, bør kontoførende betalingstjenesteudbydere stille ændringer af de tekniske specifikationer for deres grænseflader til rådighed for betalingstjenesteudbyderne for at kunne overholde denne forordning, mindst 2 måneder før sådanne ændringer gennemføres. |
|
(10) |
Delegeret forordning (EU) 2018/389 bør derfor ændres. |
|
(11) |
Denne forordning er baseret på de udkast til reguleringsmæssige tekniske standarder, som Den Europæiske Banktilsynsmyndighed har forelagt Kommissionen. |
|
(12) |
EBA har afholdt åbne offentlige høringer om det udkast til reguleringsmæssige tekniske standarder, som ligger til grund for denne forordning, analyseret de potentielle omkostninger og fordele herved samt anmodet interessentgruppen for banker, der er nedsat i henhold artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (3), om rådgivning. |
|
(13) |
Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav formelle bemærkninger den 7. juni 2022. |
|
(14) |
For at muliggøre en gnidningsløs overgang til de nye krav, der er fastsat i denne forordning, bør betalingstjenesteudbydere, der har anvendt den undtagelse, der er fastsat i artikel 10 i delegeret forordning (EU) 2018/389 før datoen for nærværende forordnings anvendelse, have mulighed for fortsat at anvende den pågældende undtagelse i op til 90 dage fra det sidste tidspunkt, hvor der blev anvendt stærk kundeautentifikation — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Ændringer af delegeret forordning (EU) 2018/389
I delegeret forordning (EU) 2018/389 foretages følgende ændringer:
|
1) |
Artikel 10 affattes således: »Artikel 10 Adgang til betalingskontooplysninger direkte hos den kontoførende betalingstjenesteudbyder 1. Betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation, jf. dog de krav, der er fastlagt i artikel 2, hvis en betalingstjenestebruger har direkte adgang online til sin betalingskonto, forudsat at adgangen er begrænset til én af de følgende poster online uden visning af følsomme betalingsdata:
2. Uanset stk. 1 indrømmes betalingstjenesteudbydere ikke undtagelse fra anvendelse af stærk kundeautentifikation, hvis en af følgende betingelser er opfyldt:
|
|
2) |
Følgende indsættes som artikel 10a: »Artikel 10a Adgang til betalingskontooplysninger gennem en kontooplysningstjenesteudbyder 1. Betalingstjenesteudbydere må ikke anvende stærk kundeautentifikation, hvis en betalingstjenestebruger tilgår sin betalingskonto online gennem en kontooplysningstjenesteudbyder, forudsat at adgangen er begrænset til én af de følgende poster online uden visning af følsomme betalingsdata:
2. Uanset stk. 1 indrømmes betalingstjenesteudbydere undtagelse fra anvendelse af stærk kundeautentifikation, hvis én af følgende betingelser er opfyldt:
3. Uanset stk. 1 skal betalingstjenesteudbydere have mulighed for at anvende stærk kundeautentifikation, når en betalingstjenestebruger får adgang til sin betalingskonto online gennem en kontooplysningstjenesteudbyder, og betalingstjenesteudbyderen har objektivt begrundede og behørigt dokumenterede årsager vedrørende uautoriseret eller svigagtig adgang til betalingskontoen. I så fald skal betalingstjenesteudbyder på anmodning dokumentere og behørigt begrunde over for sin kompetente nationale myndighed årsagerne til anvendelsen af stærk kundeautentifikation. 4. Kontoførende betalingstjenesteudbydere, der tilbyder en særlig grænseflade som omhandlet i artikel 31, er ikke forpligtet til at gennemføre den undtagelse, der er fastsat i nærværende artikels stk. 1, med henblik på den beredskabsmekanisme, der er omhandlet i artikel 33, stk. 4, i tilfælde hvor de ikke anvender undtagelsen i artikel 10 i den direkte grænseflade, der anvendes til autentifikation og kommunikation med deres betalingstjenestebrugere.« |
|
3) |
I artikel 30 indsættes som stk. 4a: »4a. Uanset stk. 4 stiller kontoførende betalingstjenesteudbydere de i denne artikel omhandlede ændringer af de tekniske specifikationer for deres grænseflader til rådighed for de betalingstjenesteudbydere, der er omhandlet i denne artikel, med henblik på overholdelsen af artikel 10a senest 2 måneder før sådanne ændringer gennemføres.« |
Artikel 2
Overgangsbestemmelser
1. Betalingstjenesteudbydere, der anvendte undtagelsen i artikel 10 i delegeret forordning (EU) 2018/389 inden den 25. juli 2023, skal fortsat kunne anvende denne undtagelse på anmodninger om adgang, der modtages gennem en kontooplysningstjenesteudbyder, indtil udløbet af den periode, der er omfattet af undtagelsen.
2. Uanset stk. 1 finder artikel 10a som indført ved denne forordning anvendelse, hver gang der anvendes en ny stærk kundeautentifikation til adgang gennem en kontooplysningstjenesteudbyder inden udløbet af den periode, der er omfattet af den pågældende undtagelse, som omhandlet i stk. 1.
Artikel 3
Ikrafttræden og anvendelse
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den anvendes fra den 25. juli 2023.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 3. august 2022.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 337 af 23.12.2015, s. 35.
(2) Kommissionens delegerede forordning (EU) 2018/389 af 27. november 2017 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 for så vidt angår reguleringsmæssige tekniske standarder for stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation (EUT L 69 af 13.3.2018, s. 23).
(3) Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12).