This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2022/2360 της Επιτροπής της 3ης Αυγούστου 2022 για την τροποποίηση των ρυθμιστικών τεχνικών προτύπων που προβλέπονται στον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) 2018/389 όσον αφορά την εξαίρεση των 90 ημερών για την πρόσβαση σε λογαριασμό (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2022/2360 της Επιτροπής της 3ης Αυγούστου 2022 για την τροποποίηση των ρυθμιστικών τεχνικών προτύπων που προβλέπονται στον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) 2018/389 όσον αφορά την εξαίρεση των 90 ημερών για την πρόσβαση σε λογαριασμό (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
C/2022/5517
ΕΕ L 312 της 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 312/1 |
ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2022/2360 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 3ης Αυγούστου 2022
για την τροποποίηση των ρυθμιστικών τεχνικών προτύπων που προβλέπονται στον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) 2018/389 όσον αφορά την εξαίρεση των 90 ημερών για την πρόσβαση σε λογαριασμό
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη την οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ (1), και ιδίως το άρθρο 98 παράγραφος 4 δεύτερο εδάφιο,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Το άρθρο 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389 (2) της Επιτροπής προβλέπει εξαίρεση από την απαίτηση του άρθρου 97 της οδηγίας (ΕΕ) 2015/2366 για την εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν πρόσβαση στο υπόλοιπο και στις πρόσφατες συναλλαγές λογαριασμού πληρωμών χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών. Στην περίπτωση αυτή, οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη για την πρόσβαση στις πληροφορίες λογαριασμού, υπό την προϋπόθεση ότι εφαρμόστηκε αυστηρή εξακρίβωση της ταυτότητας του πελάτη κατά την πρώτη πρόσβαση στις πληροφορίες λογαριασμού, και στη συνέχεια τουλάχιστον κάθε 90 ημέρες. |
|
(2) |
Η χρήση της εν λόγω εξαίρεσης έχει οδηγήσει σε πολύ αποκλίνουσες πρακτικές κατά την εφαρμογή του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389, καθώς ορισμένοι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού απαιτούν αυστηρή εξακρίβωση της ταυτότητας του πελάτη κάθε 90 ημέρες, άλλοι σε μικρότερα χρονικά διαστήματα και ορισμένοι δεν έχουν εφαρμόσει την εξαίρεση και απαιτούν αυστηρή εξακρίβωση της ταυτότητας του πελάτη για κάθε πρόσβαση σε δεδομένο λογαριασμό. Η απόκλιση αυτή έχει ως αποτέλεσμα ανεπιθύμητες τριβές στην εμπειρία των πελατών κατά τη χρήση υπηρεσιών πληροφοριών λογαριασμού και αρνητικές επιπτώσεις στις υπηρεσίες των παρόχων υπηρεσιών πληροφοριών λογαριασμού. |
|
(3) |
Προκειμένου να διασφαλιστεί η κατάλληλη ισορροπία μεταξύ των στόχων της οδηγίας (ΕΕ) 2015/2366 για την ενίσχυση της ασφάλειας, τη διευκόλυνση της καινοτομίας και την ενίσχυση του ανταγωνισμού στην εσωτερική αγορά, είναι αναγκαίο να διευκρινιστεί περαιτέρω η εφαρμογή της εξαίρεσης που προβλέπεται στο άρθρο 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389, για περιπτώσεις στις οποίες η πρόσβαση στις πληροφορίες λογαριασμού αποκτάται μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού. Αντίστοιχα, σε τέτοια περίπτωση, οι πάροχοι υπηρεσιών πληρωμών δεν θα πρέπει να έχουν τη δυνατότητα να επιλέγουν αν θα εφαρμόσουν ή όχι αυστηρή εξακρίβωση της ταυτότητας του πελάτη, και η εξαίρεση θα πρέπει να καταστεί υποχρεωτική, υπό προϋποθέσεις που αποσκοπούν στην εγγύηση της ασφάλειας και της προστασίας των δεδομένων των χρηστών υπηρεσιών πληρωμών. |
|
(4) |
Η εξαίρεση θα πρέπει να περιορίζεται στην πρόσβαση στο υπόλοιπο και στις πρόσφατες συναλλαγές ενός λογαριασμού πληρωμών χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών. Η εξαίρεση θα πρέπει να εφαρμόζεται μόνο όταν έχει ήδη εφαρμοστεί αυστηρή εξακρίβωση της ταυτότητας του πελάτη από τους παρόχους υπηρεσιών πληρωμών για την πρώτη πρόσβαση μέσω του αντίστοιχου παρόχου υπηρεσιών πληροφοριών λογαριασμού, και η αυστηρή εξακρίβωση θα πρέπει να ανανεώνεται περιοδικά. |
|
(5) |
Για να τηρείται η ασφάλεια και η προστασία των δεδομένων των χρηστών υπηρεσιών πληρωμών, οι πάροχοι υπηρεσιών πληρωμών θα πρέπει, ανά πάσα στιγμή, να έχουν τη δυνατότητα να εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, εφόσον διαθέτουν αντικειμενικά αιτιολογημένες και δεόντως τεκμηριωμένες ενδείξεις μη εγκεκριμένης ή δόλιας πρόσβασης. Μια τέτοια περίπτωση είναι όταν οι μηχανισμοί παρακολούθησης συναλλαγών του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού εντοπίζουν αυξημένο κίνδυνο μη εγκεκριμένης ή δόλιας πρόσβασης. Προκειμένου να διασφαλιστεί η συνεπής εφαρμογή της εξαίρεσης, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει, στις περιπτώσεις αυτές, να τεκμηριώνουν και να εξηγούν δεόντως στην εθνική αρμόδια αρχή τους, κατόπιν αιτήματός της, τους λόγους για τους οποίους εφαρμόζει αυστηρή εξακρίβωση της ταυτότητας του πελάτη. |
|
(6) |
Στις περιπτώσεις στις οποίες ο χρήστης υπηρεσιών πληρωμών έχει άμεση πρόσβαση στις πληροφορίες λογαριασμού, οι πάροχοι υπηρεσιών πληρωμών θα πρέπει να εξακολουθούν να έχουν τη δυνατότητα να επιλέγουν εάν θα εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη. Ο λόγος είναι ότι, σε τέτοιες περιπτώσεις, δεν έχουν παρατηρηθεί συγκεκριμένα ζητήματα που απαιτούν τροποποίηση της εξαίρεσης που προβλέπεται στο άρθρο 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389, σε αντίθεση με την περίπτωση της πρόσβασης μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού. |
|
(7) |
Προκειμένου να εξασφαλιστούν ίσοι όροι ανταγωνισμού μεταξύ όλων των παρόχων υπηρεσιών πληρωμών, και σύμφωνα με τους στόχους της οδηγίας (ΕΕ) 2015/2366 να καταστεί δυνατή η ανάπτυξη φιλικών προς τον χρήστη και καινοτόμων υπηρεσιών, είναι αναλογικό να καθοριστεί το ίδιο χρονοδιάγραμμα 180 ημερών για την ανανέωση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη για την πρόσβαση στις πληροφορίες λογαριασμού τόσο απευθείας μέσω του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού όσο και μέσω ενός παρόχου υπηρεσιών πληροφοριών λογαριασμού. Η ανανέωση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη με την τρέχουσα συχνότητα θα μπορούσε να προκαλεί ανεπιθύμητες τριβές στην εμπειρία του πελάτη και να εμποδίζει τους παρόχους υπηρεσιών πληροφοριών λογαριασμού να προσφέρουν τις υπηρεσίες τους και τους χρήστες να λαμβάνουν τις εν λόγω υπηρεσίες. |
|
(8) |
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που προσφέρουν ειδική διεπαφή και έχουν εφαρμόσει μηχανισμό έκτακτης ανάγκης όπως ορίζεται στο άρθρο 33 παράγραφος 4 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389 δεν θα πρέπει να υποχρεούνται να εφαρμόζουν τη νέα υποχρεωτική εξαίρεση στις άμεσες διεπαφές τους με τον πελάτη για τους σκοπούς του μηχανισμού έκτακτης ανάγκης, εφόσον δεν εφαρμόζουν την εξαίρεση που προβλέπεται στο άρθρο 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389 στις άμεσες διεπαφές τους με τον πελάτη. Θα ήταν δυσανάλογο να απαιτηθεί από τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που προσφέρουν ειδική διεπαφή στην οποία πρέπει να εφαρμόζουν τη νέα υποχρεωτική εξαίρεση, να εφαρμόζουν επίσης την εξαίρεση στις άμεσες διεπαφές τους με τον πελάτη για τους σκοπούς του μηχανισμού έκτακτης ανάγκης. |
|
(9) |
Προκειμένου να διασφαλιστεί ότι οι πάροχοι υπηρεσιών πληρωμών διαθέτουν επαρκή χρόνο για να προβούν στις αναγκαίες αλλαγές στα συστήματά τους, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να θέτουν στη διάθεση των παρόχων υπηρεσιών πληρωμών τις αλλαγές που πραγματοποιούνται στις τεχνικές προδιαγραφές των διεπαφών τους προκειμένου να συμμορφώνονται με τον παρόντα κανονισμό τουλάχιστον 2 μήνες πριν από την εφαρμογή των εν λόγω αλλαγών. |
|
(10) |
Ως εκ τούτου, ο κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2018/389 θα πρέπει να τροποποιηθεί αναλόγως. |
|
(11) |
Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλε στην Επιτροπή η Ευρωπαϊκή Αρχή Τραπεζών. |
|
(12) |
Η Ευρωπαϊκή Αρχή Τραπεζών διεξήγαγε ανοικτές δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσε τα ενδεχόμενα συναφή κόστη και τις ωφέλειες και ζήτησε τις συμβουλές της ομάδας τραπεζικών συμφεροντούχων που συγκροτήθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3). |
|
(13) |
Σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος υπέβαλε επίσημες παρατηρήσεις στις 7 Ιουνίου 2022. |
|
(14) |
Για να καταστεί δυνατή η ομαλή μετάβαση στις νέες απαιτήσεις που ορίζονται στον παρόντα κανονισμό, θα πρέπει να επιτραπεί στους παρόχους υπηρεσιών πληρωμών που έχουν εφαρμόσει την εξαίρεση που προβλέπεται στο άρθρο 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389 πριν από την ημερομηνία εφαρμογής του παρόντος κανονισμού να συνεχίσουν να εφαρμόζουν την εν λόγω εξαίρεση έως 90 ημέρες από την τελευταία φορά που εφαρμόστηκε αυστηρή εξακρίβωση της ταυτότητας του πελάτη, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Τροποποιήσεις του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389
Ο κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2018/389 τροποποιείται ως εξής:
|
1) |
Το άρθρο 10 αντικαθίσταται από το ακόλουθο κείμενο: «Άρθρο 10 Πρόσβαση στις πληροφορίες λογαριασμού πληρωμών απευθείας με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού 1. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, με την επιφύλαξη της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν απευθείας διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους, υπό την προϋπόθεση ότι η διαδικτυακή πρόσβαση περιορίζεται σε ένα από τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών:
2. Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών δεν εξαιρούνται από την εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη όταν πληρούται μία από τις ακόλουθες προϋποθέσεις:
|
|
2) |
παρεμβάλλεται το ακόλουθο άρθρο 10α: «Άρθρο 10α Πρόσβαση στις πληροφορίες λογαριασμού πληρωμών μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού 1. Οι πάροχοι υπηρεσιών πληρωμών δεν εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού, υπό την προϋπόθεση ότι η διαδικτυακή πρόσβαση περιορίζεται σε ένα από τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών:
2. Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν πληρούται μία από τις ακόλουθες προϋποθέσεις:
3. Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού και ο πάροχος υπηρεσιών πληρωμών διαθέτει αντικειμενικά αιτιολογημένες και δεόντως τεκμηριωμένες ενδείξεις μη εγκεκριμένης ή δόλιας πρόσβαση στον λογαριασμό πληρωμών. Σε τέτοια περίπτωση, ο πάροχος υπηρεσιών πληρωμών τεκμηριώνει και εξηγεί δεόντως στην αρμόδια εθνική αρχή του, κατόπιν αιτήματός της, τους λόγους για τους οποίους εφαρμόζει αυστηρή εξακρίβωση της ταυτότητας του πελάτη. 4. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που προσφέρουν ειδική διεπαφή όπως αναφέρεται στο άρθρο 31 δεν υποχρεούνται να εφαρμόζουν την εξαίρεση που προβλέπεται στην παράγραφο 1 του παρόντος άρθρου για τους σκοπούς του μηχανισμού έκτακτης ανάγκης που αναφέρεται στο άρθρο 33 παράγραφος 4, εφόσον δεν εφαρμόζουν την εξαίρεση που προβλέπεται στο άρθρο 10 στην άμεση διεπαφή που χρησιμοποιείται για την εξακρίβωση της ταυτότητας και την επικοινωνία με τους χρήστες υπηρεσιών πληρωμών τους.» |
|
3) |
στο άρθρο 30 προστίθεται η ακόλουθη παράγραφος 4α: «4α. Κατά παρέκκλιση από την παράγραφο 4, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτουν στη διάθεση των παρόχων υπηρεσιών πληρωμών που αναφέρονται στο παρόν άρθρο τις αλλαγές που πραγματοποιούνται στις τεχνικές προδιαγραφές των διεπαφών τους προκειμένου να συμμορφώνονται με το άρθρο 10α τουλάχιστον 2 μήνες πριν από την εφαρμογή των εν λόγω αλλαγών.» |
Άρθρο 2
Μεταβατικές διατάξεις
1. Οι πάροχοι υπηρεσιών πληρωμών που εφάρμοσαν την εξαίρεση του άρθρου 10 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/389 πριν από τις 25 Ιουλίου 2023 επιτρέπεται να συνεχίσουν να εφαρμόζουν την εν λόγω εξαίρεση για αιτήματα πρόσβασης που λαμβάνονται μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού έως τη λήξη της περιόδου που καλύπτεται από την εν λόγω εξαίρεση.
2. Κατά παρέκκλιση από την παράγραφο 1, όταν εφαρμόζεται νέα αυστηρή εξακρίβωση της ταυτότητας του πελάτη για αίτημα πρόσβασης μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού πριν από τη λήξη της περιόδου που καλύπτεται από την εξαίρεση που αναφέρεται στην παράγραφο 1, εφαρμόζεται το άρθρο 10α, όπως θεσπίζεται με τον παρόντα κανονισμό.
Άρθρο 3
Έναρξη ισχύος και εφαρμογή
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εφαρμόζεται από τις 25 Ιουλίου 2023.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 3 Αυγούστου 2022.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 337 της 23.12.2015, σ. 35.
(2) Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2018/389 της Επιτροπής, της 27ης Νοεμβρίου 2017, για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας (ΕΕ L 69 της 13.3.2018, σ. 23).
(3) Κανονισμός (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 12).