|
5.12.2022 |
FI |
Euroopan unionin virallinen lehti |
L 312/1 |
KOMISSION DELEGOITU ASETUS (EU) 2022/2360,
annettu 3 päivänä elokuuta 2022,
delegoidussa asetuksessa (EU) 2018/389 vahvistettujen teknisten sääntelystandardien muuttamisesta tilin käyttöä koskevan 90 päivän poikkeuksen osalta
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta 25 päivänä marraskuuta 2015 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 (1) ja erityisesti sen 98 artiklan 4 kohdan toisen alakohdan,
sekä katsoo seuraavaa:
|
(1) |
Direktiivin (EU) 2015/2366 97 artiklassa säädettyyn vaatimukseen soveltaa asiakkaan vahvaa tunnistamista säädetään komission delegoidun asetuksen (EU) 2018/389 (2) 10 artiklassa poikkeuksesta, kun maksupalvelunkäyttäjä pyytää pääsyä maksutilin saldoon ja viimeaikaisiin tapahtumiin ilman arkaluonteisten maksutietojen ilmoittamista. Tässä tapauksessa maksupalveluntarjoajat voivat olla soveltamatta asiakkaan vahvaa tunnistamista tilitietoihin pääsyä varten edellyttäen, että asiakkaan vahvaa tunnistamista on sovellettu, kun tilitietoja käytettiin ensimmäisen kerran ja vähintään 90 päivän välein sen jälkeen. |
|
(2) |
Tämän poikkeuksen käyttö on johtanut hyvin erilaisiin käytäntöihin delegoidun asetuksen (EU) 2018/389 soveltamisessa, kun jotkin tiliä ylläpitävät maksupalveluntarjoajat pyytävät asiakkaan vahvaa tunnistamista 90 päivän välein, toiset lyhyemmin väliajoin ja jotkut eivät ole soveltaneet poikkeusta ja pyytävät asiakkaan vahvaa tunnistamista tilin jokaisella käyttökerralla. Nämä poikkeavuudet ovat johtaneet epämiellyttäviin asiakaskokemuksiin tilitietopalvelujen käytössä, ja niillä on ollut kielteinen vaikutus tilitietopalvelujen tarjoajien palveluihin. |
|
(3) |
Jotta voidaan varmistaa asianmukainen tasapaino direktiivin (EU) 2015/2366 turvallisuuden lisäämistä, innovoinnin helpottamista ja kilpailun parantamista sisämarkkinoilla koskevien tavoitteiden välillä, on tarpeen täsmentää delegoidun asetuksen (EU) 2018/389 10 artiklassa säädetyn poikkeuksen soveltamista tapauksissa, joissa pääsy tilitietoihin tapahtuu tilitietopalvelun tarjoajan kautta. Tällaisessa tapauksessa maksupalveluntarjoajien ei tulisi antaa valita, soveltavatko ne asiakkaan vahvaa tunnistamista vai eivät, vaan poikkeuksesta olisi tehtävä pakollinen ja siihen olisi sovellettava ehtoja, joilla varmistetaan maksupalvelunkäyttäjien tietojen turvallisuus. |
|
(4) |
Poikkeus olisi rajattava koskemaan ainoastaan pääsyä maksutilin saldoon ja viimeaikaisiin maksutapahtumiin ilman arkaluonteisten maksutietojen ilmoittamista. Poikkeusta olisi sovellettava vain silloin, kun maksupalveluntarjoajat ovat jo soveltaneet asiakkaan vahvaa tunnistamista ensimmäisellä käyttökerralla kyseisen tilitietopalvelun tarjoajan kautta, ja vahva tunnistaminen olisi uusittava määräajoin. |
|
(5) |
Maksupalvelunkäyttäjien tietojen turvallisuuden varmistamiseksi maksupalveluntarjoajien olisi voitava milloin tahansa soveltaa asiakkaan vahvaa tunnistamista, jos niillä on objektiivisesti perustellut ja asianmukaisesti todennetut syyt epäillä oikeudetonta tai petollista käyttöä. Näin voi olla silloin, kun tiliä ylläpitävän maksupalveluntarjoajan käyttämillä maksutapahtumien valvontamekanismeilla havaitaan kohonnut oikeudettoman tai petollisen käytön riski. Jotta voidaan varmistaa poikkeuksen johdonmukainen soveltaminen, tiliä ylläpitävien maksupalveluntarjoajien olisi näissä tapauksissa dokumentoitava ja perusteltava asianmukaisesti kansalliselle toimivaltaiselle viranomaiselleen tämän pyynnöstä syyt asiakkaan vahvan tunnistamisen soveltamiseen. |
|
(6) |
Jos maksupalvelunkäyttäjällä on suora pääsy tilitietoihin, maksupalveluntarjoajien olisi edelleen saatava valita, soveltavatko ne asiakkaan vahvaa tunnistamista. Syynä tähän on se, että tällaisissa tapauksissa ei ole havaittu erityisiä ongelmia, jotka edellyttäisivät delegoidun asetuksen (EU) 2018/389 10 artiklassa säädetyn poikkeuksen muuttamista, toisin kuin tapauksissa, joissa pääsy saadaan tilitietopalvelun tarjoajan kautta. |
|
(7) |
Jotta voidaan varmistaa tasapuoliset toimintaedellytykset kaikille maksupalveluntarjoajille ja noudattaa direktiivin (EU) 2015/2366 tavoitteita mahdollistaa käyttäjäystävällisten ja innovatiivisten palvelujen kehittäminen, on oikeasuhteista vahvistaa sama 180 päivän määräaika asiakkaan vahvan tunnistamisen uusimiselle tilitietoihin pääsemiseksi sekä suoraan tiliä ylläpitävän maksupalveluntarjoajan kautta että tilitietopalvelun tarjoajan kautta. Asiakkaan vahvan tunnistamisen uusiminen nykyisellä tiheydellä voisi aiheuttaa epämiellyttäviä asiakaskokemuksia ja haitata tilitietopalvelun tarjoajien palvelujen tarjoamista ja käyttäjien kyseisten palvelujen saamista. |
|
(8) |
Tiliä ylläpitäviltä maksupalveluntarjoajilta, jotka tarjoavat erityisrajapinnan ja jotka ovat ottaneet käyttöön delegoidun asetuksen (EU) 2018/389 33 artiklan 4 kohdassa tarkoitetun varomekanismin, ei tulisi edellyttää uuden pakollisen poikkeuksen täytäntöönpanemista suorissa asiakasrajapinnoissaan varomekanismin vuoksi edellyttäen, että ne eivät sovella delegoidun asetuksen (EU) 2018/389 10 artiklassa säädettyä poikkeusta suorissa asiakasrajapinnoissaan. Olisi kohtuutonta vaatia tiliä ylläpitäviä maksupalveluntarjoajia, jotka tarjoavat erityisrajapinnan, jonka osalta niiden on pantava täytäntöön uusi pakollinen poikkeus, soveltamaan poikkeusta myös suorissa asiakasrajapinnoissaan varomekanismin vuoksi. |
|
(9) |
Jotta voidaan varmistaa, että maksupalveluntarjoajilla on riittävästi aikaa tehdä järjestelmiinsä tarvittavat muutokset, tiliä ylläpitävien maksupalveluntarjoajien olisi asetettava maksupalveluntarjoajien saataville rajapintojensa teknisiin eritelmiin tämän asetuksen noudattamiseksi tehdyt muutokset vähintään kaksi kuukautta ennen tällaisten muutosten toteuttamista. |
|
(10) |
Sen vuoksi delegoitua asetusta (EU) 2018/389 olisi muutettava. |
|
(11) |
Tämä asetus perustuu Euroopan pankkiviranomaisen komissiolle toimittamiin teknisten sääntelystandardien luonnoksiin. |
|
(12) |
Euroopan pankkiviranomainen on toteuttanut avoimet julkiset kuulemiset teknisten sääntelystandardien luonnoksista, joihin tämä asetus perustuu, analysoinut niihin mahdollisesti liittyviä kustannuksia ja hyötyjä sekä pyytänyt neuvoja Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1093/2010 (3) 37 artiklan mukaisesti perustetulta pankkialan osallisryhmältä. |
|
(13) |
Euroopan tietosuojavaltuutettua on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 kohdan mukaisesti, ja hän on esittänyt virallisen näkemyksensä 7 päivänä kesäkuuta 2022. |
|
(14) |
Jotta siirtyminen tässä asetuksessa säädettyihin uusiin vaatimuksiin olisi sujuvaa, maksupalveluntarjoajien, jotka ovat soveltaneet delegoidun asetuksen (EU) 2018/389 10 artiklassa säädettyä poikkeusta ennen tämän asetuksen soveltamispäivää, olisi saatava jatkaa kyseisen poikkeuksen soveltamista enintään 90 päivän ajan siitä, kun asiakkaan vahvaa tunnistamista on viimeksi sovellettu, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Delegoidun asetuksen (EU) 2018/389 muuttaminen
Muutetaan delegoitu asetus (EU) 2018/389 seuraavasti:
|
1) |
Korvataan 10 artikla seuraavasti: ”10 artikla Pääsy maksutilitietoihin suoraan tiliä ylläpitävän maksupalveluntarjoajan kautta 1. Edellä 2 artiklassa säädettyjen vaatimusten täytyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjä käyttää maksutiliään suoraan verkossa ja pääsy verkossa rajoittuu yhteen seuraavista tiedoista siten, ettei arkaluonteisia maksutietoja ilmoiteta:
2. Poiketen siitä, mitä 1 kohdassa säädetään, maksupalveluntarjoajia ei saa vapauttaa asiakkaan vahvan tunnistamisen soveltamisesta, jos jokin seuraavista perusteista täyttyy:
|
|
2) |
Lisätään 10 a artikla seuraavasti: ”10 a artikla Pääsy maksutilitietoihin tilitietopalvelun tarjoajan kautta 1. Maksupalveluntarjoajat eivät saa soveltaa asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjä käyttää maksutiliään verkossa tilitietopalvelun tarjoajan kautta ja pääsy verkossa rajoittuu yhteen seuraavista tiedoista siten, ettei arkaluonteisia maksutietoja ilmoiteta:
2. Poiketen siitä, mitä 1 kohdassa säädetään, maksupalveluntarjoajien on sovellettava asiakkaan vahvaa tunnistamista, jos jokin seuraavista perusteista täyttyy:
3. Poiketen siitä, mitä 1 kohdassa säädetään, maksupalveluntarjoajien on sallittava soveltaa asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjä käyttää maksutiliään verkossa tilitietopalvelun tarjoajan kautta ja maksupalveluntarjoajalla on objektiivisesti perustellut ja asianmukaisesti todennetut syyt, jotka liittyvät maksutilin oikeudettomaan tai petolliseen käyttöön. Tällaisessa tapauksessa maksupalveluntarjoajan on pyynnöstä dokumentoitava ja perusteltava asianmukaisesti toimivaltaiselle kansalliselle viranomaiselleen syyt asiakkaan vahvan tunnistamisen soveltamiseen. 4. Tiliä ylläpitävien maksupalveluntarjoajien, jotka tarjoavat 31 artiklassa tarkoitettua erityisrajapintaa, ei tarvitse panna täytäntöön tämän artiklan 1 kohdassa säädettyä poikkeusta 33 artiklan 4 kohdassa tarkoitetun varomekanismin vuoksi, jos ne eivät sovella 10 artiklassa säädettyä poikkeusta suoraan rajapintaan, jota ne käyttävät maksupalvelunkäyttäjien tunnistamiseen ja viestintään maksupalvelunkäyttäjien kanssa.” |
|
3) |
Lisätään 30 artiklaan 4 a kohta seuraavasti: ”4a. Poiketen siitä, mitä 4 kohdassa säädetään, tiliä ylläpitävien maksupalveluntarjoajien on asetettava tässä artiklassa tarkoitettujen maksupalveluntarjoajien saataville niiden rajapintojen teknisiin eritelmiin 10 a artiklan noudattamiseksi tehdyt muutokset vähintään kaksi kuukautta ennen tällaisten muutosten täytäntöönpanoa.” |
2 artikla
Siirtymäsäännökset
1. Maksupalveluntarjoajien, jotka ovat soveltaneet delegoidun asetuksen (EU) 2018/389 10 artiklassa säädettyä poikkeusta ennen 25 päivää heinäkuuta 2023 on sallittava jatkaa kyseisen poikkeuksen soveltamista tilitietopalvelun tarjoajan kautta vastaanotettuihin tietojen käyttöpyyntöihin kyseisen poikkeuksen voimassaolon päättymiseen saakka.
2. Poiketen siitä, mitä 1 kohdassa säädetään, aina kun uutta asiakkaan vahvaa tunnistamista sovelletaan tilitietopalvelun tarjoajan kautta tapahtuvaa tietojen käyttöä koskevaan pyyntöön ennen 1 kohdassa tarkoitetun poikkeuksen kattaman ajanjakson päättymistä, sovelletaan tällä asetuksella käyttöön otettua 10 a artiklaa.
3 artikla
Voimaantulo ja soveltaminen
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Sitä sovelletaan 25 päivästä heinäkuuta 2023.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 3 päivänä elokuuta 2022.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 337, 23.12.2015, s. 35.
(2) Komission delegoitu asetus (EU) 2018/389, annettu 27 päivänä marraskuuta 2017, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla (EUVL L 69, 13.3.2018, s. 23).
(3) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12).