This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
A Bizottság (EU) 2022/2360 felhatalmazáson alapuló rendelete (2022. augusztus 3.) az (EU) 2018/389 felhatalmazáson alapuló rendeletben meghatározott szabályozástechnikai standardoknak a számlahozzáférésre vonatkozó 90 napos kivétel tekintetében történő módosításáról (EGT-vonatkozású szöveg)
A Bizottság (EU) 2022/2360 felhatalmazáson alapuló rendelete (2022. augusztus 3.) az (EU) 2018/389 felhatalmazáson alapuló rendeletben meghatározott szabályozástechnikai standardoknak a számlahozzáférésre vonatkozó 90 napos kivétel tekintetében történő módosításáról (EGT-vonatkozású szöveg)
C/2022/5517
HL L 312., 2022.12.5, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2022.12.5. |
HU |
Az Európai Unió Hivatalos Lapja |
L 312/1 |
A BIZOTTSÁG (EU) 2022/2360 FELHATALMAZÁSON ALAPULÓ RENDELETE
(2022. augusztus 3.)
az (EU) 2018/389 felhatalmazáson alapuló rendeletben meghatározott szabályozástechnikai standardoknak a számlahozzáférésre vonatkozó 90 napos kivétel tekintetében történő módosításáról
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és a 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről szóló, 2015. november 25-i (EU) 2015/2366 európai parlamenti és tanácsi irányelvre (1) és különösen annak 98. cikke (4) bekezdésének második albekezdésére,
mivel:
|
(1) |
Az (EU) 2018/389 felhatalmazáson alapuló bizottsági rendelet (2) 10. cikke kivételt biztosít az (EU) 2015/2366 irányelv 97. cikkében meghatározott azon követelmény alól, hogy szigorú ügyfél-hitelesítést kell alkalmazni, ha a pénzforgalmi szolgáltatást igénybe vevő érzékeny fizetési adatok közzététele nélkül fér hozzá a fizetési számla egyenlegéhez és legutóbbi műveleteihez. Ebben az esetben a pénzforgalmi szolgáltatóknak lehetőségük van arra, hogy ne alkalmazzanak szigorú ügyfél-hitelesítést a számlainformációkhoz való hozzáférés tekintetében, feltéve, hogy a számlainformációkhoz való első hozzáféréskor és azt követően legalább 90 naponként szigorú ügyfél-hitelesítést alkalmaznak. |
|
(2) |
E kivétel alkalmazása nagyon eltérő gyakorlatokhoz vezetett az (EU) 2018/389 felhatalmazáson alapuló rendelet alkalmazásában: egyes számlavezető pénzforgalmi szolgáltatók 90 naponta, mások rövidebb időközönként kérnek erős ügyfél-hitelesítést, megint mások pedig nem alkalmazzák a kivételt, és minden egyes számlahozzáférés esetében erős ügyfél-hitelesítést kérnek. Ezek az eltérések nemkívánatos nehézségeket eredményeztek a számlainformációkat összesítő szolgáltatások használata során az ügyfelek számára, és hátrányosan érintik a számlainformációkat összesítő szolgáltatók által kínált szolgáltatásokat. |
|
(3) |
Az (EU) 2015/2366 irányelvnek a biztonság fokozására, az innováció elősegítésére és a belső piaci verseny fokozására irányuló célkitűzései közötti megfelelő egyensúly biztosítása érdekében részletesebben kell szabályozni az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivétel alkalmazását azokban az esetekben, amikor az ügyfelek a számlainformációkhoz számlainformációkat összesítő szolgáltatón keresztül férnek hozzá. Ennek megfelelően ilyen esetekben nem indokolt, hogy a pénzforgalmi szolgáltatók szabadon eldönthessék, hogy alkalmazzák-e az erős ügyfél-hitelesítést, és indokolt a kivétel alkalmazását kötelezővé tenni olyan feltételek mellett, amelyek biztosítani hivatottak a pénzforgalmi szolgáltatást igénybe vevők adatainak biztonságát és védelmét. |
|
(4) |
A kivételt indokolt a fizetési számla egyenlegéhez és a legutóbbi műveletekhez való, érzékeny fizetési adatok közzétételével nem járó hozzáférésre korlátozni. A kivételt csak akkor indokolt alkalmazni, ha a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmaztak a számlainformációkat összesítő adott szolgáltatón keresztül történő első hozzáféréskor, és azt rendszeres időközönként megújítják. |
|
(5) |
A pénzforgalmi szolgáltatást igénybe vevők adatainak biztonsága és védelme érdekében a pénzforgalmi szolgáltatók számára indokolt lehetővé tenni, hogy bármikor szigorú ügyfél-hitelesítést alkalmazzanak, ha ezt nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok megalapozzák. Ez akkor fordulhat elő, ha a számlavezető pénzforgalmi szolgáltató műveletfigyelő mechanizmusai révén a jogosulatlan vagy csalárd hozzáférés fokozott kockázatát tárja fel. A kivétel következetes alkalmazásának biztosítása érdekében indokolt, hogy a számlavezető pénzforgalmi szolgáltatók dokumentálják és az illetékes nemzeti hatóság kérésére megfelelően indokolják az erős ügyfél-hitelesítés alkalmazásának okait. |
|
(6) |
Amennyiben a pénzforgalmi szolgáltatás igénybe vevője közvetlenül fér hozzá a számlainformációkhoz, továbbra is indokolt lehetővé tenni a pénzforgalmi szolgáltatók számára, hogy eldöntsék, erős ügyfél-hitelesítést alkalmaznak-e. Ilyen esetekben ugyanis – a számlainformációkat összesítő szolgáltatón keresztül történő hozzáférés esetével ellentétben – nem merült fel olyan konkrét probléma, amely szükségessé tenné az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében előírt kivétel módosítását. |
|
(7) |
Az összes pénzforgalmi szolgáltató közötti egyenlő versenyfeltételek biztosítása érdekében, valamint az (EU) 2015/2366 irányelvnek a felhasználóbarát és innovatív szolgáltatások fejlesztésének lehetővé tételére irányuló célkitűzéseivel összhangban megalapozott ugyanazt a 180 napos időtartamot meghatározni az erős ügyfél-hitelesítés megújítása tekintetében mind a számlavezető pénzforgalmi szolgáltatónál való közvetlen hozzáférés, mind a számlainformációkat összesítő szolgáltatón keresztül történő hozzáférés esetében. Az erős ügyfél-hitelesítés jelenlegi gyakorisággal történő megújítása nemkívánatos nehézségeket okozhat az ügyfelek szempontjából, és megakadályozhatja a számlainformációkat összesítő szolgáltatókat abban, hogy szolgáltatásaikat kínálják, a felhasználókat pedig abban, hogy igénybe vegyék ezeket a szolgáltatásokat. |
|
(8) |
Azokat a számlavezető pénzforgalmi szolgáltatókat, amelyek külön interfészt kínálnak, és amelyek az (EU) 2018/389 felhatalmazáson alapuló rendelet 33. cikkének (4) bekezdése szerinti tartalékmechanizmust vezettek be, nem indokolt arra kötelezni, hogy a közvetlen ügyfélinterfészeiken alkalmazzák az új kötelező kivételt a tartalékmechanizmus céljaira, feltéve, hogy ezek a szolgáltatók nem alkalmazzák az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivételt a közvetlen ügyfélinterfészeiken. Aránytalan intézkedés lenne megkövetelni azoktól a számlavezető pénzforgalmi szolgáltatóktól, amelyek olyan külön interfészt kínálnak, ahol alkalmazniuk kell az új kötelező kivételt, hogy a tartalékmechanizmus céljaira a közvetlen ügyfélinterfészeiken is alkalmazzák a kivételt. |
|
(9) |
Annak érdekében, hogy a pénzforgalmi szolgáltatóknak elegendő idejük legyen a rendszereik szükséges átalakítására, indokolt, hogy a számlavezető pénzforgalmi szolgáltatók a pénzforgalmi szolgáltatók rendelkezésére bocsássák az interfészeik műszaki előírásaiban e rendeletnek való megfelelés érdekében eszközölt változtatásokat, mégpedig legalább két hónappal a változtatások végrehajtása előtt. |
|
(10) |
Az (EU) 2018/389 felhatalmazáson alapuló rendeletet ezért ennek megfelelően módosítani kell. |
|
(11) |
Ez a rendelet az Európai Bankhatóság által a Bizottsághoz benyújtott szabályozástechnikai standardtervezeten alapul. |
|
(12) |
Az Európai Bankhatóság nyilvános konzultációkat folytatott az e rendelet alapját képező szabályozástechnikai standardtervezetről, elemezte az esetleges kapcsolódó költségeket és hasznot, és kikérte az 1093/2010/EU európai parlamenti és tanácsi rendelet (3) 37. cikke alapján létrehozott banki érdekképviseleti csoport tanácsát. |
|
(13) |
Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2022. június 7-én formális észrevételeket tett. |
|
(14) |
Az e rendeletben meghatározott új követelményekre való zökkenőmentes áttérés érdekében lehetővé kell tenni, hogy azok a pénzforgalmi szolgáltatók, amelyek e rendelet alkalmazásának kezdőnapja előtt alkalmazták az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivételt, továbbra is alkalmazhassák ezt a kivételt az erős ügyfél-hitelesítés alkalmazásának utolsó napjától számított 90 napig, |
ELFOGADTA EZT A RENDELETET:
1. cikk
Az (EU) 2018/389 felhatalmazáson alapuló rendelet módosítása
Az (EU) 2018/389 felhatalmazáson alapuló rendelet a következőképpen módosul:
|
1. |
A 10. cikk helyébe a következő szöveg lép: „10. cikk Hozzáférés a fizetési számlára vonatkozó információkhoz közvetlenül a számlavezető pénzforgalmi szolgáltatónál (1) A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek és ha a pénzforgalmi szolgáltatást igénybe vevő közvetlenül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:
(2) Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók számára nem biztosítható kivétel az erős ügyfél-hitelesítés alkalmazása alól, ha a következő feltételek valamelyike teljesül:
|
|
2. |
A szöveg a következő 10a. cikkel egészül ki: „10a. cikk Hozzáférés a fizetési számlára vonatkozó információkhoz számlainformációkat összesítő szolgáltatón keresztül (1) A pénzforgalmi szolgáltatók nem alkalmazhatnak erős ügyfél-hitelesítést abban az esetben, ha a pénzforgalmi szolgáltatás igénybe vevője számlainformációkat összesítő szolgáltatón keresztül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:
(2) Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmaznak, amennyiben az alábbi feltételek valamelyike teljesül:
(3) Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmazhatnak, ha a pénzforgalmi szolgáltatás igénybe vevője számlainformációkat összesítő szolgáltatón keresztül, online fér hozza a fizetési számlájához, és a pénzforgalmi szolgáltató nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok alapján jár így el. Ilyen esetben a pénzforgalmi szolgáltató dokumentálja és az illetékes nemzeti hatóság számára kérésre megfelelően indokolja az erős ügyfél-hitelesítés alkalmazásának okait. (4) A 31. cikkben említett külön interfészt kínáló számlavezető pénzforgalmi szolgáltatók nem kötelesek alkalmazni az e cikk (1) bekezdésében meghatározott kivételt a 33. cikk (4) bekezdésében említett tartalékmechanizmus céljaira, amennyiben a pénzforgalmi szolgáltatást igénybe vevők hitelesítésére és a velük való kommunikációra használt közvetlen interfészen nem alkalmazzák az 10. cikkben meghatározott kivételt.” |
|
3. |
A 30. cikk a következő (4a) bekezdéssel egészül ki: „4a. A (4) bekezdéstől eltérve a számlavezető pénzforgalmi szolgáltatók az 10a. cikknek való megfelelés érdekében az e cikkben említett pénzforgalmi szolgáltatók rendelkezésére bocsátják az interfészeik műszaki leírásában végrehajtott változtatásokat, legalább két hónappal az ilyen változtatások végrehajtása előtt.” |
2. cikk
Átmeneti rendelkezések
(1) Azok a pénzforgalmi szolgáltatók, amelyek 2023. július 25. előtt alkalmazták az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében foglalt kivételt, a kivétel hatálya alá tartozó időszak lejártáig továbbra is alkalmazhatják ezt a kivételt a számlainformációkat összesítő szolgáltatón keresztül kapott hozzáférési kérelmekre.
(2) Az (1) bekezdéstől eltérve minden olyan esetben, amikor az (1) bekezdésben említett kivétel hatálya alá tartozó időszak lejárta előtt új, erős ügyfél-hitelesítés alkalmazására kerül sor egy számlainformációkat összesítő szolgáltatón keresztül történő hozzáférési kérelemre, az e rendelettel bevezetett 10a. cikk alkalmazandó.
3. cikk
Hatálybalépés és alkalmazás
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.
Ezt a rendeletet 2023. július 25-től kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2022. augusztus 3-án.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 337., 2015.12.23., 35. o.
(2) A Bizottság (EU) 2018/389 felhatalmazáson alapuló rendelete (2017. november 27.) az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről (HL L 69., 2018.3.13., 23. o.).
(3) Az Európai Parlament és a Tanács 1093/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Bankhatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/78/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 12. o.).