02018R0389 — DE — 12.09.2023 — 002.001
Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich
DELEGIERTE VERORDNUNG (EU) 2018/389 DER KOMMISSION vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (Text von Bedeutung für den EWR) (ABl. L 069 vom 13.3.2018, S. 23) |
Geändert durch:
|
|
Amtsblatt |
||
Nr. |
Seite |
Datum |
||
DELEGIERTE VERORDNUNG (EU) 2022/2360 DER KOMMISSION vom 3. August 2022 |
L 312 |
1 |
5.12.2022 |
|
DELEGIERTE VERORDNUNG (EU) 2023/1650 DER KOMMISSION vom 15. Mai 2023 |
L 208 |
1 |
23.8.2023 |
Berichtigt durch:
DELEGIERTE VERORDNUNG (EU) 2018/389 DER KOMMISSION
vom 27. November 2017
zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation
(Text von Bedeutung für den EWR)
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand
In dieser Verordnung werden die Anforderungen festgelegt, die Zahlungsdienstleister für die Umsetzung von Sicherheitsmaßnahmen erfüllen müssen, die es ihnen ermöglichen,
das Verfahren zur starken Kundenauthentifizierung nach Artikel 97 der Richtlinie (EU) 2015/2366 anzuwenden;
unter genau festgelegten, eingeschränkten Voraussetzungen, die auf die Höhe des Risikos, den Betrag und die Häufigkeit des Zahlungsvorgangs sowie auf den für dessen Ausführung genutzten Zahlungsweg abstellen, von der Durchführung der aus Sicherheitsgründen vorgeschriebenen starken Kundenauthentifizierung abzusehen;
die Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen;
gemeinsame und sichere offene Standards für die Kommunikation zwischen kontoführenden Zahlungsdienstleistern, Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern, Zahlern, Zahlungsempfängern und anderen Zahlungsdienstleistern im Zusammenhang mit der Erbringung und der Nutzung von Zahlungsdiensten gemäß Titel IV der Richtlinie (EU) 2015/2366 festzulegen.
Artikel 2
Allgemeine Anforderungen an die Authentifizierung
Diese Mechanismen basieren auf der Analyse von Zahlungsvorgängen unter Berücksichtigung der Elemente, die für den Zahlungsdienstnutzer im Rahmen einer normalen Verwendung der personalisierten Sicherheitsmerkmale typisch sind.
Die Zahlungsdienstleister stellen sicher, dass die Transaktionsüberwachungsmechanismen zumindest alle nachstehend genannten risikobasierten Faktoren einbeziehen:
Liste der missbräuchlich verwendeten oder gestohlenen Authentifizierungselemente;
Betrag eines jeden Zahlungsvorgangs;
bekannte Betrugsszenarien bei der Erbringung von Zahlungsdienstleistungen;
Anzeichen für eine Malware-Infektion in einer Phase des Authentifizierungsverfahrens;
falls das Zugangsgerät oder die Zugangssoftware vom Zahlungsdienstleister bereitgestellt wird, ein Protokoll über die Nutzung des Zugangsgeräts oder der Zugangssoftware, die dem Zahlungsdienstnutzer zur Verfügung gestellt werden, sowie über die ungewöhnliche Nutzung dieses Geräts oder der Software.
Artikel 3
Überprüfung der Sicherheitsmaßnahmen
Für Zahlungsdienstleister, die die Ausnahme nach Artikel 18 in Anspruch nehmen, wird mindestens einmal jährlich eine Prüfung der Methodik, des Modells und der gemeldeten Betrugsraten durchgeführt. Der diese Prüfung vornehmende Prüfer verfügt über Fachwissen auf dem Gebiet der IT-Sicherheit und des Zahlungsverkehrs und ist innerhalb des Zahlungsdienstleisters oder von diesem operativ unabhängig. Diese Prüfung wird im ersten Jahr der Inanspruchnahme der Ausnahme nach Artikel 18 sowie im Anschluss daran mindestens alle drei Jahre — oder auf Verlangen der zuständigen Behörde häufiger — von einem unabhängigen, qualifizierten externen Prüfer durchgeführt.
Der Gesamtbericht wird den zuständigen Behörden auf Verlangen zur Verfügung gestellt.
KAPITEL II
SICHERHEITSMAẞNAHMEN FÜR DIE DURCHFÜHRUNG EINER STARKEN KUNDENAUTHENTIFIZIERUNG
Artikel 4
Authentifizierungscode
Der Authentifizierungscode wird vom Zahlungsdienstleister nur einmalig akzeptiert, wenn der Zahler diesen Code für den Online-Zugriff auf sein Zahlungskonto, für die Auslösung eines elektronischen Zahlungsvorgangs oder für die Ausführung einer Handlung über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs in sich birgt, verwendet.
Für die Zwecke des Absatzes 1 ergreifen Zahlungsdienstleister Sicherheitsmaßnahmen, die gewährleisten, dass alle folgenden Anforderungen erfüllt sind:
Aus der Offenlegung des Authentifizierungscodes können keine Informationen über eines der in Absatz 1 genannten Elemente abgeleitet werden.
Aufgrund der Kenntnis eines zuvor generierten anderen Authentifizierungscodes kann kein neuer Authentifizierungscode generiert werden.
Der Authentifizierungscode kann nicht gefälscht werden.
Die Zahlungsdienstleister stellen sicher, dass die Authentifizierung durch Generierung eines Authentifizierungscodes alle folgenden Sicherheitsmaßnahmen umfasst:
Wenn bei der Authentifizierung für den Fernzugriff, für elektronische Fernzahlungsvorgänge und für Handlungen über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs in sich bergen, die Generierung eines Authentifizierungscodes für die Zwecke des Absatzes 1 fehlgeschlagen ist, darf nicht ermittelt werden können, welches der in jenem Absatz genannten Elemente falsch war.
Die Anzahl der möglichen aufeinanderfolgenden fehlgeschlagenen Authentifizierungsversuche, nach der die in Artikel 97 Absatz 1 der Richtlinie (EU) 2015/2366 aufgeführten Handlungen vorübergehend oder permanent gesperrt werden, darf innerhalb einer bestimmten Zeitspanne nicht mehr als fünf betragen.
Die Kommunikationssitzungen sind gegen den Zugriff auf die während der Authentifizierung übertragenen Authentifizierungsdaten und gegen die Manipulation durch Unbefugte entsprechend den Anforderungen in Kapitel V geschützt.
Die maximale Zeitspanne ohne Aktivität, nachdem der Zahler für den Online-Zugriff auf sein Zahlungskonto authentifiziert wurde, darf nicht mehr als fünf Minuten betragen.
Der Zahler erhält eine Warnung, bevor die Sperrung dauerhaft wird.
Bei einer dauerhaften Sperrung wird ein sicheres Verfahren eingerichtet, das es dem Zahler ermöglicht, die Nutzung der gesperrten elektronischen Zahlungsinstrumente wiederzuerlangen.
Artikel 5
Dynamische Verknüpfung
Wenn Zahlungsdienstleister gemäß Artikel 97 Absatz 2 der Richtlinie (EU) 2015/2366 eine starke Kundenauthentifizierung verlangen, müssen sie zusätzlich zu den in Artikel 4 der vorliegenden Verordnung genannten Auflagen Sicherheitsmaßnahmen ergreifen, die alle folgenden Anforderungen erfüllen:
Zahlungsbetrag und Zahlungsempfänger werden dem Zahler angezeigt.
Der generierte Authentifizierungscode gilt speziell für den Zahlungsbetrag und den Zahlungsempfänger, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat.
Der vom Zahlungsdienstleister akzeptierte Authentifizierungscode entspricht dem ursprünglichen spezifischen Zahlungsbetrag und der Identität des Zahlungsempfängers, denen der Zahler zugestimmt hat.
Jede Änderung beim Betrag oder Zahlungsempfänger zieht die Ungültigkeit des generierten Authentifizierungscodes nach sich.
Für die Zwecke des Absatzes 1 sehen die Zahlungsdienstleister Sicherheitsmaßnahmen vor, die die Vertraulichkeit, die Authentizität und die Integrität aller folgenden Angaben gewährleisten:
Zahlungsbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung;
Angaben, die dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes, angezeigt werden.
Für die Zwecke des Absatzes 1 Buchstabe b sowie wenn Zahlungsdienstleister gemäß Artikel 97 Absatz 2 der Richtlinie (EU) 2015/2366 eine starke Kundenauthentifizierung verlangen, muss der Authentifizierungscode folgende Anforderungen erfüllen:
Bei einem kartengebundenen Zahlungsvorgang, für den der Zahler nach Artikel 75 Absatz 1 der oben genannten Richtlinie seine Zustimmung zu der genauen Höhe des zu blockierenden Geldbetrags erteilt hat, gilt der Authentifizierungscode speziell für den Betrag, für dessen Blockierung der Zahler seine Zustimmung erteilt hat und dem er beim Auslösen des Zahlungsvorgangs zugestimmt hat.
Bei Zahlungsvorgängen, für die der Zahler der Ausführung eines Satzes elektronischer Fernzahlungsvorgänge zugunsten eines oder mehrerer Zahlungsempfänger zugestimmt hat, gilt der Authentifizierungscode speziell für den Gesamtbetrag des Satzes und für die angegebenen Zahlungsempfänger.
Artikel 6
Anforderungen an die Elemente der Kategorie Wissen
Artikel 7
Anforderungen an die Elemente der Kategorie Besitz
Artikel 8
Anforderungen an Geräte und Software in Verbindung mit Elementen der Kategorie Inhärenz
Artikel 9
Unabhängigkeit der Elemente
Für die Zwecke des Absatzes 2 beinhalten die Risikominderungsmaßnahmen alle folgenden Komponenten:
Nutzung getrennter sicherer Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software;
Mechanismen, mit denen sichergestellt wird, dass die Software oder das Gerät vom Zahler oder einem Dritten nicht verändert wurde;
sofern Veränderungen stattgefunden haben, Mechanismen zur Eindämmung von deren Folgen.
KAPITEL III
AUSNAHMEN VON DER STARKEN KUNDENAUTHENTIFIZIERUNG
Artikel 10
Zugriff auf Zahlungskontoinformationen direkt beim kontoführenden Zahlungsdienstleister
Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 festgelegten Anforderungen davon absehen, eine starke Kundenauthentifizierung zu verlangen, wenn ein Zahlungsdienstnutzer direkt auf seine Zahlungskontoinformationen online zugreift und sich dieser Zugriff auf eine der folgenden Online-Abfragen beschränkt, ohne dass sensible Zahlungsdaten offengelegt werden:
Kontostand eines oder mehrerer bezeichneter Zahlungskonten;
Zahlungsvorgänge, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt wurden.
Abweichend von Absatz 1 dürfen Zahlungsdienstleister nicht von der Durchführung einer starken Kundenauthentifizierung befreit werden, wenn eine der folgenden Bedingungen erfüllt ist:
Der Zahlungsdienstnutzer greift zum ersten Mal online auf die in Absatz 1 genannten Informationen zu.
Mehr als 180 Tage sind verstrichen, seitdem der Zahlungsdienstnutzer letztmals auf die in Absatz 1 Buchstabe b genannten Informationen online zugegriffen hat und eine starke Kundenauthentifizierung verlangt wurde.
Artikel 10a
Zugriff auf Zahlungskontoinformationen über einen Kontoinformationsdienstleister
Zahlungsdienstleister dürfen keine starke Kundenauthentifizierung verlangen, wenn ein Zahlungsdienstnutzer über einen Kontoinformationsdienstleister online auf sein Zahlungskonto zugreift und sich dieser Zugriff auf eine der folgenden Online-Abfragen beschränkt, ohne dass sensible Zahlungsdaten offengelegt werden:
Kontostand eines oder mehrerer bezeichneter Zahlungskonten;
Zahlungsvorgänge, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt wurden.
Abweichend von Absatz 1 verlangen Zahlungsdienstleister eine starke Kundenauthentifizierung, wenn eine der folgenden Bedingungen erfüllt ist:
Der Zahlungsdienstnutzer greift zum ersten Mal über den Kontoinformationsdienstleister online auf die in Absatz 1 genannten Informationen zu.
Mehr als 180 Tage sind verstrichen, seitdem der Zahlungsdienstnutzer letztmals über den Kontoinformationsdienstleister auf die in Absatz 1 Buchstabe b genannten Informationen online zugegriffen hat und eine starke Kundenauthentifizierung verlangt wurde.
Artikel 11
Kontaktlose Zahlungen an der Verkaufsstelle
Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 festgelegten Anforderungen bei Auslösen eines kontaktlosen elektronischen Zahlungsvorgangs durch den Zahler davon absehen, eine starke Kundenauthentifizierung zu verlangen, wenn dabei die folgenden Bedingungen erfüllt sind:
Der Einzelbetrag des kontaktlosen elektronischen Zahlungsvorgangs geht nicht über 50 EUR hinaus, und
die früheren kontaktlosen elektronischen Zahlungsvorgänge, die über ein mit einer kontaktlosen Funktion ausgestattetes Zahlungsinstrument ausgelöst wurden, gehen seit der letzten Durchführung einer starken Kundenauthentifizierung zusammengenommen nicht über 150 EUR hinaus, oder
die Anzahl der aufeinanderfolgenden kontaktlosen elektronischen Zahlungsvorgänge, die über das mit einer kontaktlosen Funktion ausgestattete Zahlungsinstrument ausgelöst wurden, geht seit der letzten Durchführung einer starken Kundenauthentifizierung nicht über fünf hinaus.
Artikel 12
Unbeaufsichtigte Terminals für Nutzungsentgelte und Parkgebühren
Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 festgelegten Anforderungen von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn der Zahler an einem unbeaufsichtigten Terminal einen elektronischen Zahlungsvorgang auslöst, um ein Verkehrsnutzungsentgelt oder eine Parkgebühr zu zahlen.
Artikel 13
Vertrauenswürdige Empfänger
Artikel 14
Wiederkehrende Zahlungsvorgänge
Artikel 15
Überweisungen zwischen Konten, die von derselben natürlichen oder juristischen Person gehalten werden
Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 festgelegten Anforderungen von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn der Zahler eine Überweisung auslöst und es sich bei dem Zahler und dem Zahlungsempfänger um dieselbe natürliche oder juristische Person handelt und beide Zahlungskonten von demselben kontoführenden Zahlungsdienstleister unterhalten werden.
Artikel 16
Kleinbetragszahlungen
Bei Auslösen eines elektronischen Fernzahlungsvorgangs durch den Zahler dürfen Zahlungsdienstleister von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn folgende Bedingungen erfüllt sind:
Der Betrag des elektronischen Fernzahlungsvorgangs geht nicht über 30 EUR hinaus, und
die früheren elektronischen Fernzahlungsvorgänge, die vom Zahler seit der letzten Durchführung einer starken Kundenauthentifizierung ausgelöst wurden, gehen zusammengenommen nicht über 100 EUR hinaus, oder
seit der letzten Durchführung einer starken Kundenauthentifizierung hat der Zahler nacheinander nicht mehr als fünf einzelne elektronische Fernzahlungsvorgänge ausgelöst.
Artikel 17
Von Unternehmen genutzte sichere Zahlungsprozesse und -protokolle
Bei juristischen Personen, die elektronische Zahlungsvorgänge über dedizierte Zahlungsprozesse oder -protokolle auslösen, die nur Zahlern zur Verfügung stehen, bei denen es sich nicht um Verbraucher handelt, können Zahlungsdienstleister von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn die zuständigen Behörden der Auffassung sind, dass diese Prozesse oder Protokolle mindestens ein vergleichbares Sicherheitsniveau wie das in der Richtlinie (EU) 2015/2366 vorgesehene gewährleisten.
Artikel 18
Transaktionsrisikoanalyse
Ein elektronischer Zahlungsvorgang nach Absatz 1 gilt als Vorgang mit niedrigem Risiko, wenn alle nachstehenden Bedingungen erfüllt sind:
Die vom Zahlungsdienstleister gemeldete und nach Artikel 19 berechnete Betrugsrate für diese Art von Zahlungsvorgängen ist maximal so hoch wie die Referenzbetrugsrate, die in der Tabelle im Anhang für „kartengebundene elektronische Fernzahlungsvorgänge“ bzw. für „elektronische Überweisungen über einen Fernzugang“ angegeben ist.
Der Zahlungsbetrag geht nicht über den in der Tabelle im Anhang angegebenen jeweiligen Ausnahmeschwellenwert hinaus.
Die Zahlungsdienstleister haben bei der Echtzeitrisikoanalyse keines der folgenden Szenarien festgestellt:
ungewöhnliches Ausgabe- oder Verhaltensmuster des Zahlers;
ungewöhnliche Informationen über den Zugriff auf das Zugangsgerät oder die Zugangssoftware des Zahlers;
eine Malware-Infektion in einer Phase des Authentifizierungsverfahrens;
bekanntes Betrugsszenario bei der Erbringung von Zahlungsdienstleistungen;
ungewöhnlicher Ort des Zahlers;
Ort des Zahlers mit hohem Risiko.
Zahlungsdienstleister, die elektronische Fernzahlungsvorgänge aufgrund ihres niedrigen Risikos von der starken Kundenauthentifizierung ausnehmen wollen, müssen mindestens die folgenden risikobasierten Faktoren berücksichtigen:
die früheren Ausgabemuster des betreffenden Zahlungsdienstnutzers;
Zahlungsvorgangshistorie eines jeden Zahlungsdienstnutzers des Zahlungsdienstleisters;
Ort des Zahlers und des Zahlungsempfängers zum Zeitpunkt des Zahlungsvorgangs, falls das Zugangsgerät oder die Software vom Zahlungsdienstleister bereitgestellt wird;
Erkennung ungewöhnlicher Zahlungsmuster des Zahlungsdienstnutzers im Vergleich zu seiner Zahlungsvorgangshistorie.
Bei seiner Bewertung erfasst der Zahlungsdienstleister alle genannten risikobasierten Faktoren für jeden einzelnen Zahlungsvorgang in einem Risikopunktesystem, um zu entscheiden, ob bei einem bestimmten Zahlungsvorgang auf eine starke Kundenauthentifizierung verzichtet werden darf.
Artikel 19
Berechnung der Betrugsraten
Die Gesamtbetrugsrate für jede Zahlungsvorgangsart errechnet sich als Gesamtwert der nicht autorisierten oder betrügerischen Fernzahlungsvorgänge, unabhängig davon, ob der Betrag wiedererlangt wurde, dividiert durch den Gesamtwert aller Fernzahlungsvorgänge für dieselbe Zahlungsvorgangsart, die sowohl mit einer starken Kundenauthentifizierung als auch im Rahmen einer der in den Artikeln 13 bis 18 genannten Ausnahmen ausgeführt wurden, wobei diese Aufstellung fortlaufend quartalsweise (90 Tage) erfolgt.
Artikel 20
Aufhebung von Ausnahmen aufgrund der Transaktionsrisikoanalyse
Artikel 21
Überwachung
Damit die Zahlungsdienstleister die in den Artikeln 10 bis 18 dargelegten Ausnahmen nutzen können, erfassen und überwachen sie für jede Zahlungsart die folgenden Daten mindestens quartalsweise, wobei eine Aufschlüsselung nach Fernzahlungsvorgängen und Nicht-Fernzahlungsvorgängen vorzunehmen ist:
Gesamtwert der nicht autorisierten oder betrügerischen Zahlungsvorgänge nach Artikel 64 Absatz 2 der Richtlinie (EU) 2015/2366, Gesamtwert aller Zahlungsvorgänge und die entsprechende Betrugsrate, einschließlich einer Aufschlüsselung der unter Durchführung einer starken Kundenauthentifizierung ausgelösten und der im Rahmen der einzelnen Ausnahmen ausgeführten Zahlungsvorgänge;
durchschnittlicher Betrag der einzelnen Zahlungen, einschließlich einer Aufschlüsselung der unter Durchführung einer starken Kundenauthentifizierung ausgelösten und der im Rahmen der einzelnen Ausnahmen ausgeführten Zahlungsvorgänge;
Anzahl der Zahlungsvorgänge, für die die einzelnen Ausnahmen genutzt wurden, und deren prozentualer Anteil im Verhältnis zur Gesamtzahl der Zahlungsvorgänge.
KAPITEL IV
VERTRAULICHKEIT UND INTEGRITÄT DER PERSONALISIERTEN SICHERHEITSMERKMALE DER ZAHLUNGSDIENSTNUTZER
Artikel 22
Allgemeine Anforderungen
Für die Zwecke des Absatzes 1 gewährleisten die Zahlungsdienstleister, dass alle folgenden Anforderungen erfüllt sind:
Die personalisierten Sicherheitsmerkmale werden bei ihrer Anzeige verschleiert und sind nicht in ihrem gesamten Umfang lesbar, wenn sie vom Zahlungsdienstnutzer während der Authentifizierung eingegeben werden.
Die personalisierten Sicherheitsmerkmale im Datenformat sowie das kryptografische Material im Zusammenhang mit der Verschlüsselung der personalisierten Sicherheitsmerkmale werden nicht im Klartext gespeichert.
Das geheime kryptografische Material ist vor unbefugter Offenlegung geschützt.
Artikel 23
Erstellung und Übertragung von Sicherheitsmerkmalen
Die Zahlungsdienstleister gewährleisten die Erstellung der personalisierten Sicherheitsmerkmale in einer sicheren Umgebung.
Sie sorgen dafür, dass die Risiken einer unbefugten Nutzung der personalisierten Sicherheitsmerkmale sowie der Authentifizierungsgeräte und der Software gemindert werden, sollten die personalisierten Sicherheitsmerkmale vor ihrer Bereitstellung verloren gehen oder gestohlen oder kopiert werden.
Artikel 24
Verknüpfung des Zahlungsdienstnutzers
Für die Zwecke des Absatzes 1 stellen die Zahlungsdienstleister sicher, dass alle folgenden Anforderungen erfüllt sind:
►C1 Die Verknüpfung der Identität des Zahlungsdienstnutzers mit den personalisierten Sicherheitsmerkmalen, Authentifizierungsgeräten und Software ◄ findet in sicheren Umgebungen statt, die in den Verantwortungsbereich des Zahlungsdienstleisters fallen und zumindest die Geschäftsräume des Zahlungsdienstleisters, die von diesem bereitgestellte Internetumgebung oder ähnliche sichere Websites, die vom Zahlungsdienstleister und seinen Geldautomatendiensten verwendet werden, umfassen, und trägt den Risiken Rechnung, die mit den bei diesem Prozess verwendeten Geräten und zugrunde liegenden Komponenten, die sich der Verantwortung des Zahlungsdienstleisters entziehen, verbunden sind.
Bei der Verknüpfung der Identität des Zahlungsdienstnutzers mit den personalisierten Sicherheitsmerkmalen sowie Authentifizierungsgeräten oder Software über einen Fernzugang erfolgt eine starke Kundenauthentifizierung.
Artikel 25
Bereitstellung von Sicherheitsmerkmalen, Authentifizierungsgeräten und Software
Für die Zwecke des Absatzes 1 wenden die Zahlungsdienstleister zumindest alle folgenden Maßnahmen an:
wirksame und sichere Bereitstellungsmechanismen, durch die sichergestellt ist, dass die personalisierten Sicherheitsmerkmale, die Authentifizierungsgeräte und die Software für den rechtmäßigen Zahlungsdienstnutzer bereitgestellt werden;
Mechanismen, mit denen der Zahlungsdienstleister die Authentizität der über das Internet für den Zahlungsdienstnutzer bereitgestellten Authentifizierungssoftware verifizieren kann;
Vorkehrungen, die bei Bereitstellung der personalisierten Sicherheitsmerkmale außerhalb der Geschäftsräume des Zahlungsdienstleisters oder über einen Fernzugang Folgendes gewährleisten:
ein Unbefugter kann nicht mehr als ein Merkmal der personalisierten Sicherheitsmerkmale, der Authentifizierungsgeräte oder der Software erlangen, wenn diese auf demselben Weg bereitgestellt werden;
die personalisierten Sicherheitsmerkmale, die Authentifizierungsgeräte oder die Software müssen vor der Nutzung aktiviert werden;
Vorkehrungen, die gewährleisten, dass im Falle einer Aktivierung der personalisierten Sicherheitsmerkmale, der Authentifizierungsgeräte oder der Software vor der erstmaligen Verwendung die Aktivierung in einer sicheren Umgebung ►C1 gemäß den in Artikel 24 beschriebenen Verknüpfungsverfahren stattfindet. ◄
Artikel 26
Verlängerung der personalisierten Sicherheitsmerkmale
Die Zahlungsdienstleister gewährleisten, dass die Verlängerung oder die erneute Aktivierung der personalisierten Sicherheitsmerkmale gemäß den Verfahren für die in den Artikeln 23, 24 und 25 beschriebene Erstellung, Verknüpfung und Bereitstellung der Sicherheitsmerkmale und der Authentifizierungsgeräte vorgenommen wird.
Artikel 27
Vernichtung, Deaktivierung und Widerruf
Die Zahlungsdienstleister gewährleisten, dass sie über wirksame Prozesse zur Anwendung aller folgenden Sicherheitsmaßnahmen verfügen:
sichere Vernichtung, sichere Deaktivierung und sicherer Widerruf der personalisierten Sicherheitsmerkmale, der Authentifizierungsgeräte und der Software;
wenn der Zahlungsdienstleister wiederverwendbare Authentifizierungsgeräte und Software ausgibt, wird die sichere Wiederverwendung eines Geräts oder der Software festgelegt, dokumentiert und implementiert, bevor das Gerät oder die Software einem anderen Zahlungsdienstnutzer bereitgestellt wird;
Deaktivierung oder Widerruf von Informationen in Bezug auf die personalisierten Sicherheitsmerkmale, die in den Systemen und Datenbanken des Zahlungsdienstleisters oder gegebenenfalls in öffentlichen Datenarchiven gespeichert sind.
KAPITEL V
GEMEINSAME UND SICHERE OFFENE KOMMUNIKATIONSSTANDARDS
Artikel 28
Anforderungen an die Identifizierung
Artikel 29
Rückverfolgbarkeit
Für die Zwecke des Absatzes 1 gewährleisten die Zahlungsdienstleister, dass jede mit dem Zahlungsdienstnutzer, mit anderen Zahlungsdienstleistern und mit anderen Einrichtungen, einschließlich Händlern, aufgebaute Kommunikationssitzung auf jedem der folgenden Faktoren beruht:
eindeutige Kennung der Sitzung;
Sicherheitsmechanismen für die ausführliche Protokollierung der Transaktion, einschließlich Transaktionsnummer, Zeitstempel und aller maßgeblichen Transaktionsdaten;
Zeitstempel, die auf einem einheitlichen Zeitreferenzsystem basieren und die entsprechend einem offiziellen Zeitsignal synchronisiert werden.
Artikel 30
Allgemeine Anforderungen an Zugangsschnittstellen
Kontoführende Zahlungsdienstleister, die einem Zahler ein online zugängliches Zahlungskonto bereitstellen, haben mindestens eine Schnittstelle eingerichtet, die alle folgenden Anforderungen erfüllt:
Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, können sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren.
Kontoinformationsdienstleister können auf sichere Weise kommunizieren, um Informationen über ein oder mehrere bezeichnete Zahlungskonten und damit in Zusammenhang stehende Zahlungsvorgänge anzufordern und zu empfangen.
Zahlungsauslösedienstleister können auf sichere Weise kommunizieren, um einen Zahlungsauftrag für das Zahlungskonto des Zahlers auszulösen und alle Informationen über die Auslösung des Zahlungsvorgangs sowie alle den kontoführenden Zahlungsdienstleistern zugänglichen Informationen in Bezug auf die Ausführung des Zahlungsvorgangs zu empfangen.
Die Schnittstelle muss zumindest alle folgenden Anforderungen erfüllen:
Ein Zahlungsauslösedienstleister oder ein Kontoinformationsdienstleister kann den kontoführenden Zahlungsdienstleister ausgehend von der Zustimmung des Zahlungsdienstnutzers anweisen, mit der Authentifizierung zu beginnen.
Während der Authentifizierung werden Kommunikationssitzungen zwischen dem kontoführenden Zahlungsdienstleister, dem Kontoinformationsdienstleister, dem Zahlungsauslösedienstleister und dem betreffenden Zahlungsdienstnutzer aufgebaut und aufrechterhalten.
Integrität und Vertraulichkeit der personalisierten Sicherheitsmerkmale und der Authentifizierungscodes, die durch oder über den Zahlungsauslösedienstleister oder den Kontoinformationsdienstleister übertragen werden, sind gewährleistet.
Die kontoführenden Zahlungsdienstleister gewährleisten zudem, dass die technische Spezifikation einer jeden Schnittstelle dokumentiert ist und die Routinen, Protokolle und Tools angibt, die von Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern und Zahlungsdienstleistern, die kartengebundene Zahlungsinstrumente ausstellen, benötigt werden, damit die Interoperabilität ihrer Software und ihrer Anwendungen mit den Systemen der kontoführenden Zahlungsdienstleister gegeben ist.
Die kontoführenden Zahlungsdienstleister machen zumindest die auf die Zugangsschnittstelle bezogene Dokumentation spätestens sechs Monate vor dem in Artikel 38 Absatz 2 genannten Geltungsbeginn oder vor dem anvisierten Termin der Markteinführung der Zugangsschnittstelle, wenn die Einführung nach dem in Artikel 38 Absatz 2 angegebenen Datum erfolgt, auf Verlangen der zugelassenen Zahlungsauslösedienstleister, Kontoinformationsdienstleister und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, oder der Zahlungsdienstleister, die ihre entsprechende Zulassung bei den zuständigen Behörden beantragt haben, kostenfrei zugänglich und veröffentlichen eine Zusammenfassung der Dokumentation auf ihrer Website.
Die Zahlungsdienstleister dokumentieren Notfallsituationen, in denen Änderungen implementiert wurden, und machen die Dokumentation den zuständigen Behörden auf Verlangen zugänglich.
Jedoch dürfen über die Testumgebung keine sensiblen Informationen ausgetauscht werden.
Artikel 31
Zugangsschnittstellenoptionen
Die kontoführenden Zahlungsdienstleister richten die in Artikel 30 genannte(n) Schnittstelle(n) ein, indem sie eine dedizierte Schnittstelle bereitstellen oder den in Artikel 30 Absatz 1 genannten Zahlungsdienstleistern die Nutzung der für die Authentifizierung und die Kommunikation mit den Zahlungsdienstnutzern des kontoführenden Zahlungsdienstleisters verwendeten Schnittstellen erlauben.
Artikel 32
Anforderungen an eine dedizierte Schnittstelle
Artikel 33
Notfallmaßnahmen für eine dedizierte Schnittstelle
Zu diesem Zweck gewährleisten die kontoführenden Zahlungsdienstleister, dass die in Artikel 30 Absatz 1 genannten Zahlungsdienstleister identifiziert werden und sich auf die Authentifizierungsverfahren verlassen können, die der kontoführende Zahlungsdienstleister dem Zahlungsdienstnutzer bereitstellt. Wenn die in Artikel 30 Absatz 1 genannten Zahlungsdienstleister die Schnittstelle gemäß Absatz 4 nutzen,
ergreifen sie die notwendigen Maßnahmen, um sicherzustellen, dass sie nur für den Zweck der Bereitstellung des vom Zahlungsdienstnutzer angeforderten Dienstes Daten abrufen, speichern oder verarbeiten;
kommen sie weiterhin den Verpflichtungen gemäß Artikel 66 Absatz 3 bzw. Artikel 67 Absatz 2 der Richtlinie (EU) 2015/2366 nach;
protokollieren sie die Daten, die über die vom kontoführenden Zahlungsdienstleister für seine Zahlungsdienstnutzer betriebene Schnittstelle abgerufen werden, und stellen ihrer zuständigen nationalen Behörde auf Verlangen die Protokolldateien unverzüglich zur Verfügung;
legen sie gegenüber ihrer zuständigen nationalen Behörde auf Verlangen unverzüglich die Gründe für die Nutzung der Schnittstelle dar, die den Zahlungsdienstnutzern für den direkten Online-Zugriff auf ihr Zahlungskonto bereitgestellt wird;
informieren sie den kontoführenden Zahlungsdienstleister diesbezüglich.
Die zuständigen Behörden nehmen — nach Konsultation der EBA zur Gewährleistung der einheitlichen Anwendung der nachstehend genannten Bedingungen — die kontoführenden Zahlungsdienstleister, die sich für eine dedizierte Schnittstelle entschieden haben, von der Verpflichtung zur Einrichtung des Notfallmechanismus nach Absatz 4 aus, wenn die dedizierte Schnittstelle alle folgenden Bedingungen erfüllt:
Sie erfüllt alle für dedizierte Schnittstellen in Artikel 32 dargelegten Anforderungen.
Sie wurde gemäß Artikel 30 Absatz 5 zur Zufriedenheit der darin genannten Zahlungsdienstleister gestaltet und getestet.
Sie wurde mindestens drei Monate lang von Zahlungsdienstleistern in breitem Umfang für die Erbringung von Kontoinformationsdiensten, Zahlungsauslösediensten und zur Bestätigung der Verfügbarkeit eines Geldbetrags bei kartenbasierten Zahlungsvorgängen genutzt.
Alle Probleme im Zusammenhang mit der dedizierten Schnittstelle wurden unverzüglich behoben.
Artikel 34
Zertifikate
Für die Zwecke der vorliegenden Verordnung enthalten die in Absatz 1 genannten qualifizierten Zertifikate für elektronische Siegel oder für die Website-Authentifizierung zusätzliche spezifische Attribute bezüglich einer jeden der folgenden Angaben in einer im Finanzsektor gebräuchlichen Sprache:
die Rolle des Zahlungsdienstleisters, die eine oder mehrere der folgenden Funktionen umfassen kann:
Kontoführung;
Zahlungsauslösung;
Kontoinformation;
Ausstellung kartenbasierter Zahlungsinstrumente;
den Namen der zuständigen Behörden, bei denen der Zahlungsdienstleister eingetragen ist.
Artikel 35
Sicherheit von Kommunikationssitzungen
Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, liefern bei der Kommunikation mit dem kontoführenden Zahlungsdienstleister unmissverständliche Verweise auf jedes der folgenden Elemente:
den oder die Zahlungsdienstnutzer und die entsprechende Kommunikationssitzung, damit mehrere Anforderungen von demselben oder denselben Zahlungsdienstnutzer(n) unterschieden werden können;
für Zahlungsauslösedienste den eindeutig identifizierten ausgelösten Zahlungsvorgang;
zur Bestätigung der Verfügbarkeit eines Geldbetrags die eindeutig identifizierte Anforderung bezüglich des für die Ausführung des kartenbasierten Zahlungsvorgangs erforderlichen Betrags.
Falls die Vertraulichkeit der in ihren Verantwortungsbereich fallenden personalisierten Sicherheitsmerkmale nicht mehr gegeben ist, unterrichten die betreffenden Dienstleister den betroffenen Zahlungsdienstnutzer sowie den Aussteller der personalisierten Sicherheitsmerkmale unverzüglich.
Artikel 36
Datenaustausch
Die kontoführenden Zahlungsdienstleister halten jede der folgenden Anforderungen ein:
Sie stellen den Kontoinformationsdienstleistern dieselben Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen bereit, die auch dem Zahlungsdienstnutzer bereitgestellt werden, wenn er den Zugang zu Kontoinformationen direkt anfordert, sofern diese Informationen keine sensiblen Zahlungsdaten enthalten.
Sie stellen den Zahlungsauslösedienstleistern sofort nach Eingang des Zahlungsauftrags dieselben Informationen über die Auslösung und die Ausführung des Zahlungsvorgangs bereit, die auch dem Zahlungsdienstnutzer bereitgestellt oder zugänglich gemacht werden, wenn dieser den Zahlungsvorgang direkt auslöst.
Sie übermitteln den Zahlungsdienstleistern auf Verlangen eine sofortige Bestätigung in Form eines einfachen „Ja“ oder „Nein“, ob der für die Ausführung eines Zahlungsvorgangs erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist.
Wenn der kontoführende Zahlungsdienstleister eine dedizierte Schnittstelle nach Artikel 32 bereitstellt, muss die Schnittstelle so gestaltet sein, dass jeder Zahlungsdienstleister, der ein unvorhergesehenes Ereignis oder einen unvorhergesehenen Fehler erkennt, entsprechende Benachrichtigungen an die anderen an der Kommunikationssitzung beteiligten Zahlungsdienstleister senden kann.
Kontoinformationsdienstleister müssen auf Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen, die von kontoführenden Zahlungsdienstleistern zur Bereitstellung des Kontoinformationsdienstes gehalten werden, jeweils unter folgenden Umständen zugreifen können:
wann immer der Zahlungsdienstnutzer diese Informationen aktiv anfordert;
sofern der Zahlungsdienstnutzer diese Informationen nicht aktiv anfordert, maximal viermal innerhalb von 24 Stunden, wenn keine höhere Häufigkeit zwischen dem Kontoinformationsdienstleister und dem kontoführenden Zahlungsdienstleister vereinbart wird, mit Zustimmung des Zahlungsdienstnutzers.
KAPITEL VI
SCHLUSSBESTIMMUNGEN
Artikel 37
Überprüfung
Unbeschadet des Artikels 98 Absatz 5 der Richtlinie (EU) 2015/2366 überprüft die EBA am 14. März 2021 die im Anhang der vorliegenden Verordnung angegebenen Betrugsraten sowie die nach Artikel 33 Absatz 6 in Bezug auf dedizierte Schnittstellen erteilten Ausnahmen und übermittelt der Kommission gemäß Artikel 10 der Verordnung (EU) Nr. 1093/2010 gegebenenfalls Entwürfe der Aktualisierung dieser technischen Regulierungsstandards.
Artikel 38
Inkrafttreten
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
ANHANG
|
Referenzbetrugsrate (%) für: |
|
Ausnahmeschwellenwert |
Kartengebundene elektronische Fernzahlungsvorgänge |
Elektronische Überweisungen über einen Fernzugang |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338).