EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Delegirana uredba Komisije (EU) 2022/2360 оd 3. kolovoza 2022. o izmjeni regulatornih tehničkih standarda utvrđenih u Delegiranoj uredbi (EU) 2018/389 u pogledu izuzeća od 90 dana za pristup računu (Tekst značajan za EGP)
Delegirana uredba Komisije (EU) 2022/2360 оd 3. kolovoza 2022. o izmjeni regulatornih tehničkih standarda utvrđenih u Delegiranoj uredbi (EU) 2018/389 u pogledu izuzeća od 90 dana za pristup računu (Tekst značajan za EGP)
C/2022/5517
OJ L 312, 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
HR |
Službeni list Europske unije |
L 312/1 |
DELEGIRANA UREDBA KOMISIJE (EU) 2022/2360
оd 3. kolovoza 2022.
o izmjeni regulatornih tehničkih standarda utvrđenih u Delegiranoj uredbi (EU) 2018/389 u pogledu izuzeća od 90 dana za pristup računu
(Tekst značajan za EGP)
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Direktivu (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (1), a posebno njezin članak 98. stavak 4. drugi podstavak,
budući da:
|
(1) |
Člankom 10. Delegirane uredbe Komisije (EU) 2018/389 (2) predviđeno je izuzeće od zahtjeva iz članka 97. Direktive (EU) 2015/2366 za primjenu pouzdane autentifikacije klijenta ako korisnik platnih usluga pristupa stanju i nedavnim transakcijama po računu za plaćanje bez otkrivanja osjetljivih podataka o plaćanju. U tom je slučaju pružateljima platnih usluga dopušteno da ne primjenjuju pouzdanu autentifikaciju klijenta za pristup informacijama o računu, pod uvjetom da je pouzdana autentifikacija klijenta primijenjena pri prvom pristupu informacijama o računu, a nakon toga najmanje svakih 90 dana. |
|
(2) |
Korištenje tog izuzeća dovelo je do vrlo različitih praksi u primjeni Delegirane uredbe (EU) 2018/389, u kojima neki pružatelji platnih usluga koji vode račune zahtijevaju pouzdanu autentifikaciju klijenta svakih 90 dana, neki pružatelji to zahtijevaju u kraćim vremenskim intervalima, a neki nisu primijenili izuzeće i zahtijevaju pouzdanu autentifikaciju klijenta za svaki pristup računu. Ta razlika uzrok je neželjenih iskustava korisnika pri korištenju usluga pružanja informacija o računu i negativnog utjecaja na usluge pružatelja usluga pružanja informacija o računu. |
|
(3) |
Kako bi se osigurala odgovarajuća ravnoteža između ciljeva Direktive (EU) 2015/2366 koji se odnose na poboljšanje sigurnosti, poticanje inovacija i jačanje tržišnog natjecanja na unutarnjem tržištu, potrebno je dodatno utvrditi primjenu izuzeća iz članka 10. Delegirane uredbe (EU) 2018/389 za slučajeve u kojima se informacijama o računu pristupa preko pružatelja usluga pružanja informacija o računu. Stoga u tom slučaju pružateljima platnih usluga ne bi trebalo biti dopušteno birati hoće li primjenjivati pouzdanu autentifikaciju klijenta, a izuzeće bi trebalo postati obvezno, pod uvjetima kojima se nastoji osigurati poštovanje sigurnosti i zaštite podataka korisnika platnih usluga. |
|
(4) |
Izuzeće bi trebalo ograničiti na pristup stanju i nedavnim transakcijama na računu za plaćanje bez otkrivanja osjetljivih podataka o plaćanju. Izuzeće bi se trebalo primjenjivati samo ako su pružatelji platnih usluga već primijenili pouzdanu autentifikaciju klijenta za prvi pristup preko odgovarajućeg pružatelja usluga pružanja informacija o računu te bi ga trebalo periodično obnavljati. |
|
(5) |
Kako bi se osigurala sigurnost i zaštita podataka korisnika platnih usluga, pružateljima platnih usluga trebalo bi u svakom trenutku dopustiti primjenu pouzdane autentifikacije klijenta ako imaju objektivno utemeljene i valjano utvrđene razloge da je riječ o neovlaštenom ili prijevarnom pristupu. To može biti slučaj kada mehanizmi za praćenje transakcija pružatelja platnih usluga koji vodi račun otkriju povećani rizik od neovlaštenog ili prijevarnog pristupa. Kako bi se osigurala dosljedna primjena izuzeća, pružatelji platnih usluga koji vode račune trebali bi u takvim slučajevima svojem nacionalnom nadležnom tijelu, na njegov zahtjev, dokumentirati i propisno obrazložiti razloge za primjenu pouzdane autentifikacije klijenta. |
|
(6) |
Ako korisnik platnih usluga izravno pristupa informacijama o računu, pružateljima platnih usluga trebalo bi i dalje biti dopušteno da odluče hoće li primijeniti pouzdanu autentifikaciju klijenta. Naime, u takvim slučajevima nisu uočeni posebni problemi koji bi zahtijevali izmjenu izuzeća iz članka 10. Delegirane uredbe (EU) 2018/389, za razliku od pristupa preko pružatelja usluga pružanja informacija o računu. |
|
(7) |
Kako bi se osigurali jednaki uvjeti među svim pružateljima platnih usluga i u skladu s ciljevima Direktive (EU) 2015/2366 da se omogući razvoj inovativnih usluga prilagođenih korisnicima, proporcionalno je utvrditi isti rok od 180 dana za obnovu pouzdane autentifikacije klijenta radi izravnog pristupa informacijama o računu preko pružatelja platnih usluga koji vodi račun i putem pružatelja usluga pružanja informacija o računu. Obnavljanje pouzdane autentifikacije klijenta trenutačnom učestalošću moglo bi dovesti do neželjenih iskustava korisnika i spriječiti pružatelje usluga pružanja informacija o računu da nude svoje usluge, a korisnike da te usluge koriste. |
|
(8) |
Od pružatelja platnih usluga koji vode račune i nude namjensko sučelje i uspostavili su mehanizam za izvanredne situacije iz članka 33. stavka 4. Delegirane uredbe (EU) 2018/389 ne bi trebalo zahtijevati da u svojim izravnim sučeljima za korisnike uvedu novo obvezno izuzeće za potrebe mehanizma za izvanredne situacije, pod uvjetom da na svojim izravnim sučeljima za korisnike ne primjenjuju izuzeće iz članka 10. Delegirane uredbe (EU) 2018/389. Bilo bi nerazmjerno od pružatelja platnih usluga koji vode račune i nude namjensko sučelje na kojem moraju uvesti novo obvezno izuzeće zahtijevati i uvođenje izuzeća na njihovim izravnim sučeljima za korisnike za potrebe mehanizma za izvanredne situacije. |
|
(9) |
Kako bi se osiguralo da pružatelji platnih usluga imaju dovoljno vremena za potrebne promjene u svojim sustavima, pružatelji platnih usluga koji vode račune trebali bi pružateljima platnih usluga staviti na raspolaganje izmjene tehničkih specifikacija svojih sučelja radi usklađivanja s ovom Uredbom najmanje dva mjeseca prije provedbe tih izmjena. |
|
(10) |
Delegiranu uredbu (EU) 2018/389 trebalo bi stoga na odgovarajući način izmijeniti. |
|
(11) |
Ova se Uredba temelji na nacrtu regulatornih tehničkih standarda koji je Komisiji dostavilo Europsko nadzorno tijelo za bankarstvo. |
|
(12) |
EBA je provela otvorena javna savjetovanja o nacrtu regulatornih tehničkih standarda na kojem se temelji ova Uredba, analizirala moguće povezane troškove i koristi te zatražila mišljenje Interesne skupine za bankarstvo osnovane u skladu s člankom 37. Uredbe (EU) br. 1093/2010 Europskog parlamenta i Vijeća (3). |
|
(13) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao službeno očitovanje 7. lipnja 2022. |
|
(14) |
Kako bi se omogućio neometan prijelaz na nove zahtjeve utvrđene u ovoj Uredbi, pružateljima platnih usluga koji su primijenili izuzeće iz članka 10. Delegirane uredbe (EU) 2018/389 prije datuma početka primjene ove Uredbe trebalo bi dopustiti da nastave primjenjivati to izuzeće u razdoblju do 90 dana od posljednje primjene pouzdane autentifikacije klijenta, |
DONIJELA JE OVU UREDBU:
Članak 1.
Izmjene Delegirane uredbe (EU) 2018/389
Delegirana uredba (EU) 2018/389 mijenja se kako slijedi:
|
1. |
Članak 10. zamjenjuje se sljedećim: „Članak 10. Pristup informacijama o računu za plaćanje izravno kod pružatelja platnih usluga koji vodi račun 1. Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta u skladu sa zahtjevima iz članka 2. ako korisnik platnih usluga izravno pristupa svojem računu za plaćanje putem interneta, pod uvjetom da je pristup ograničen na jednu od sljedećih stavki na internetu bez otkrivanja osjetljivih podataka o plaćanju:
2. Odstupajući od stavka 1., pružatelji platnih usluga nisu izuzeti od primjene pouzdane autentifikacije klijenta ako je ispunjen bilo koji od sljedeća dva uvjeta:
|
|
2. |
umeće se sljedeći članak 10.a: „Članak 10.a Pristup informacijama o računu za plaćanje preko pružatelja usluga pružanja informacija o računu 1. Pružatelji platnih usluga ne primjenjuju pouzdanu autentifikaciju klijenta ako korisnik platnih usluga putem interneta pristupa svojem računu za plaćanje preko pružatelja usluga pružanja informacija o računu, pod uvjetom da je pristup ograničen na jednu od sljedećih stavki na internetu bez otkrivanja osjetljivih podataka o plaćanju:
2. Odstupajući od stavka 1., pružatelji platnih usluga primjenjuju pouzdanu autentifikaciju klijenta ako je ispunjen jedan od sljedećih uvjeta:
3. Odstupajući od stavka 1., pružateljima platnih usluga dopušteno je primjenjivati pouzdanu autentifikaciju klijenta ako korisnik platnih usluga putem interneta pristupa svojem računu za plaćanje preko pružatelja usluga pružanja informacija o računu, a pružatelj platnih usluga ima objektivno utemeljene i valjano utvrđene razloge da je riječ o neovlaštenom ili prijevarnom pristupu računu za plaćanje. U tom slučaju pružatelj platnih usluga svojem nadležnom nacionalnom tijelu na zahtjev dokumentira i propisno obrazlaže razloge za primjenu pouzdane autentifikacije klijenta. 4. Pružatelji platnih usluga koji vode račune i nude namjensko sučelje iz članka 31. nisu dužni provesti izuzeće iz stavka 1. ovog članka za potrebe mehanizma za izvanredne situacije iz članka 33. stavka 4. ako ne primjenjuju izuzeće iz članka 10. na izravnom sučelju koje se upotrebljava za autentifikaciju i komunikaciju sa svojim korisnicima platnih usluga.” |
|
(3) |
u članku 30. umeće se sljedeći stavak 4.a: „4.a Odstupajući od stavka 4. pružatelji platnih usluga koji vode račune pružateljima platnih usluga iz ovog članka stavljaju na raspolaganje izmjene tehničkih specifikacija svojih sučelja radi usklađivanja s člankom 10.a najmanje dva mjeseca prije provedbe takvih izmjena.” |
Članak 2.
Prijelazne odredbe
1. Pružateljima platnih usluga koji su primijenili izuzeće iz članka 10. Delegirane uredbe (EU) 2018/389 prije 25. srpnja 2023. dopušta se nastavak primjene tog izuzeća za zahtjeve za pristup zaprimljene preko pružatelja usluga pružanja informacija o računu do isteka razdoblja obuhvaćenog tim izuzećem.
2. Odstupajući od stavka 1., svaki put kad se preko pružatelja usluga pružanja informacija o računu zatraži nova pouzdana autentifikacija klijenta prije isteka razdoblja obuhvaćenog izuzećem iz stavka 1., primjenjuje se članak 10.a uveden ovom Uredbom.
Članak 3.
Stupanje na snagu i primjena
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Primjenjuje se od 25. srpnja 2023.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 3. kolovoza 2022.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
(1) SL L 337, 23.12.2015., str. 35.
(2) Delegirana uredba Komisije (EU) 2018/389 od 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije. (SL L 69, 13.3.2018., str. 23.).
(3) Uredba (EU) br. 1093/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za bankarstvo), kojom se izmjenjuje Odluka br. 716/2009/EZ i stavlja izvan snage Odluka Komisije 2009/78/EZ (SL L 331, 15.12.2010., str. 12.).