2022.12.5.   

HU

Az Európai Unió Hivatalos Lapja

L 312/1

A BIZOTTSÁG (EU) 2022/2360 FELHATALMAZÁSON ALAPULÓ RENDELETE

(2022. augusztus 3.)

az (EU) 2018/389 felhatalmazáson alapuló rendeletben meghatározott szabályozástechnikai standardoknak a számlahozzáférésre vonatkozó 90 napos kivétel tekintetében történő módosításáról

(EGT-vonatkozású szöveg)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és a 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről szóló, 2015. november 25-i (EU) 2015/2366 európai parlamenti és tanácsi irányelvre (1) és különösen annak 98. cikke (4) bekezdésének második albekezdésére,

mivel:

(1)

Az (EU) 2018/389 felhatalmazáson alapuló bizottsági rendelet (2) 10. cikke kivételt biztosít az (EU) 2015/2366 irányelv 97. cikkében meghatározott azon követelmény alól, hogy szigorú ügyfél-hitelesítést kell alkalmazni, ha a pénzforgalmi szolgáltatást igénybe vevő érzékeny fizetési adatok közzététele nélkül fér hozzá a fizetési számla egyenlegéhez és legutóbbi műveleteihez. Ebben az esetben a pénzforgalmi szolgáltatóknak lehetőségük van arra, hogy ne alkalmazzanak szigorú ügyfél-hitelesítést a számlainformációkhoz való hozzáférés tekintetében, feltéve, hogy a számlainformációkhoz való első hozzáféréskor és azt követően legalább 90 naponként szigorú ügyfél-hitelesítést alkalmaznak.

(2)

E kivétel alkalmazása nagyon eltérő gyakorlatokhoz vezetett az (EU) 2018/389 felhatalmazáson alapuló rendelet alkalmazásában: egyes számlavezető pénzforgalmi szolgáltatók 90 naponta, mások rövidebb időközönként kérnek erős ügyfél-hitelesítést, megint mások pedig nem alkalmazzák a kivételt, és minden egyes számlahozzáférés esetében erős ügyfél-hitelesítést kérnek. Ezek az eltérések nemkívánatos nehézségeket eredményeztek a számlainformációkat összesítő szolgáltatások használata során az ügyfelek számára, és hátrányosan érintik a számlainformációkat összesítő szolgáltatók által kínált szolgáltatásokat.

(3)

Az (EU) 2015/2366 irányelvnek a biztonság fokozására, az innováció elősegítésére és a belső piaci verseny fokozására irányuló célkitűzései közötti megfelelő egyensúly biztosítása érdekében részletesebben kell szabályozni az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivétel alkalmazását azokban az esetekben, amikor az ügyfelek a számlainformációkhoz számlainformációkat összesítő szolgáltatón keresztül férnek hozzá. Ennek megfelelően ilyen esetekben nem indokolt, hogy a pénzforgalmi szolgáltatók szabadon eldönthessék, hogy alkalmazzák-e az erős ügyfél-hitelesítést, és indokolt a kivétel alkalmazását kötelezővé tenni olyan feltételek mellett, amelyek biztosítani hivatottak a pénzforgalmi szolgáltatást igénybe vevők adatainak biztonságát és védelmét.

(4)

A kivételt indokolt a fizetési számla egyenlegéhez és a legutóbbi műveletekhez való, érzékeny fizetési adatok közzétételével nem járó hozzáférésre korlátozni. A kivételt csak akkor indokolt alkalmazni, ha a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmaztak a számlainformációkat összesítő adott szolgáltatón keresztül történő első hozzáféréskor, és azt rendszeres időközönként megújítják.

(5)

A pénzforgalmi szolgáltatást igénybe vevők adatainak biztonsága és védelme érdekében a pénzforgalmi szolgáltatók számára indokolt lehetővé tenni, hogy bármikor szigorú ügyfél-hitelesítést alkalmazzanak, ha ezt nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok megalapozzák. Ez akkor fordulhat elő, ha a számlavezető pénzforgalmi szolgáltató műveletfigyelő mechanizmusai révén a jogosulatlan vagy csalárd hozzáférés fokozott kockázatát tárja fel. A kivétel következetes alkalmazásának biztosítása érdekében indokolt, hogy a számlavezető pénzforgalmi szolgáltatók dokumentálják és az illetékes nemzeti hatóság kérésére megfelelően indokolják az erős ügyfél-hitelesítés alkalmazásának okait.

(6)

Amennyiben a pénzforgalmi szolgáltatás igénybe vevője közvetlenül fér hozzá a számlainformációkhoz, továbbra is indokolt lehetővé tenni a pénzforgalmi szolgáltatók számára, hogy eldöntsék, erős ügyfél-hitelesítést alkalmaznak-e. Ilyen esetekben ugyanis – a számlainformációkat összesítő szolgáltatón keresztül történő hozzáférés esetével ellentétben – nem merült fel olyan konkrét probléma, amely szükségessé tenné az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében előírt kivétel módosítását.

(7)

Az összes pénzforgalmi szolgáltató közötti egyenlő versenyfeltételek biztosítása érdekében, valamint az (EU) 2015/2366 irányelvnek a felhasználóbarát és innovatív szolgáltatások fejlesztésének lehetővé tételére irányuló célkitűzéseivel összhangban megalapozott ugyanazt a 180 napos időtartamot meghatározni az erős ügyfél-hitelesítés megújítása tekintetében mind a számlavezető pénzforgalmi szolgáltatónál való közvetlen hozzáférés, mind a számlainformációkat összesítő szolgáltatón keresztül történő hozzáférés esetében. Az erős ügyfél-hitelesítés jelenlegi gyakorisággal történő megújítása nemkívánatos nehézségeket okozhat az ügyfelek szempontjából, és megakadályozhatja a számlainformációkat összesítő szolgáltatókat abban, hogy szolgáltatásaikat kínálják, a felhasználókat pedig abban, hogy igénybe vegyék ezeket a szolgáltatásokat.

(8)

Azokat a számlavezető pénzforgalmi szolgáltatókat, amelyek külön interfészt kínálnak, és amelyek az (EU) 2018/389 felhatalmazáson alapuló rendelet 33. cikkének (4) bekezdése szerinti tartalékmechanizmust vezettek be, nem indokolt arra kötelezni, hogy a közvetlen ügyfélinterfészeiken alkalmazzák az új kötelező kivételt a tartalékmechanizmus céljaira, feltéve, hogy ezek a szolgáltatók nem alkalmazzák az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivételt a közvetlen ügyfélinterfészeiken. Aránytalan intézkedés lenne megkövetelni azoktól a számlavezető pénzforgalmi szolgáltatóktól, amelyek olyan külön interfészt kínálnak, ahol alkalmazniuk kell az új kötelező kivételt, hogy a tartalékmechanizmus céljaira a közvetlen ügyfélinterfészeiken is alkalmazzák a kivételt.

(9)

Annak érdekében, hogy a pénzforgalmi szolgáltatóknak elegendő idejük legyen a rendszereik szükséges átalakítására, indokolt, hogy a számlavezető pénzforgalmi szolgáltatók a pénzforgalmi szolgáltatók rendelkezésére bocsássák az interfészeik műszaki előírásaiban e rendeletnek való megfelelés érdekében eszközölt változtatásokat, mégpedig legalább két hónappal a változtatások végrehajtása előtt.

(10)

Az (EU) 2018/389 felhatalmazáson alapuló rendeletet ezért ennek megfelelően módosítani kell.

(11)

Ez a rendelet az Európai Bankhatóság által a Bizottsághoz benyújtott szabályozástechnikai standardtervezeten alapul.

(12)

Az Európai Bankhatóság nyilvános konzultációkat folytatott az e rendelet alapját képező szabályozástechnikai standardtervezetről, elemezte az esetleges kapcsolódó költségeket és hasznot, és kikérte az 1093/2010/EU európai parlamenti és tanácsi rendelet (3) 37. cikke alapján létrehozott banki érdekképviseleti csoport tanácsát.

(13)

Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2022. június 7-én formális észrevételeket tett.

(14)

Az e rendeletben meghatározott új követelményekre való zökkenőmentes áttérés érdekében lehetővé kell tenni, hogy azok a pénzforgalmi szolgáltatók, amelyek e rendelet alkalmazásának kezdőnapja előtt alkalmazták az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében meghatározott kivételt, továbbra is alkalmazhassák ezt a kivételt az erős ügyfél-hitelesítés alkalmazásának utolsó napjától számított 90 napig,

ELFOGADTA EZT A RENDELETET:

1. cikk

Az (EU) 2018/389 felhatalmazáson alapuló rendelet módosítása

Az (EU) 2018/389 felhatalmazáson alapuló rendelet a következőképpen módosul:

1.

A 10. cikk helyébe a következő szöveg lép:

„10. cikk

Hozzáférés a fizetési számlára vonatkozó információkhoz közvetlenül a számlavezető pénzforgalmi szolgáltatónál

(1)   A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek és ha a pénzforgalmi szolgáltatást igénybe vevő közvetlenül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:

a)

egy vagy több megjelölt fizetési számla egyenlege;

b)

az elmúlt 90 napban egy vagy több megjelölt fizetési számlán keresztül végrehajtott fizetési műveletek.

(2)   Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók számára nem biztosítható kivétel az erős ügyfél-hitelesítés alkalmazása alól, ha a következő feltételek valamelyike teljesül:

a)

a pénzforgalmi szolgáltatást igénybe vevő az (1) bekezdésben meghatározott információhoz első alkalommal fér hozzá online;

b)

több mint 180 nap eltelt azóta, hogy a pénzforgalmi szolgáltatást igénybe vevő utoljára online hozzáfért az (1) bekezdés b) pontjában meghatározott információhoz, és erős ügyfél-hitelesítésre került sor.”

2.

A szöveg a következő 10a. cikkel egészül ki:

„10a. cikk

Hozzáférés a fizetési számlára vonatkozó információkhoz számlainformációkat összesítő szolgáltatón keresztül

(1)   A pénzforgalmi szolgáltatók nem alkalmazhatnak erős ügyfél-hitelesítést abban az esetben, ha a pénzforgalmi szolgáltatás igénybe vevője számlainformációkat összesítő szolgáltatón keresztül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:

a)

egy vagy több megjelölt fizetési számla egyenlege;

b)

az elmúlt 90 napban egy vagy több megjelölt fizetési számlán keresztül végrehajtott fizetési műveletek.

(2)   Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmaznak, amennyiben az alábbi feltételek valamelyike teljesül:

a)

a pénzforgalmi szolgáltatást igénybe vevő az (1) bekezdésben meghatározott információhoz első alkalommal fér hozzá online, a számlainformációkat összesítő szolgáltatón keresztül;

b)

több mint 180 nap eltelt azóta, hogy a pénzforgalmi szolgáltatást igénybe vevő utoljára online, a számlainformációkat összesítő szolgáltatón keresztül hozzáfért az (1) bekezdés b) pontjában meghatározott információhoz, és erős ügyfél-hitelesítésre került sor.

(3)   Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmazhatnak, ha a pénzforgalmi szolgáltatás igénybe vevője számlainformációkat összesítő szolgáltatón keresztül, online fér hozza a fizetési számlájához, és a pénzforgalmi szolgáltató nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok alapján jár így el. Ilyen esetben a pénzforgalmi szolgáltató dokumentálja és az illetékes nemzeti hatóság számára kérésre megfelelően indokolja az erős ügyfél-hitelesítés alkalmazásának okait.

(4)   A 31. cikkben említett külön interfészt kínáló számlavezető pénzforgalmi szolgáltatók nem kötelesek alkalmazni az e cikk (1) bekezdésében meghatározott kivételt a 33. cikk (4) bekezdésében említett tartalékmechanizmus céljaira, amennyiben a pénzforgalmi szolgáltatást igénybe vevők hitelesítésére és a velük való kommunikációra használt közvetlen interfészen nem alkalmazzák az 10. cikkben meghatározott kivételt.”

3.

A 30. cikk a következő (4a) bekezdéssel egészül ki:

„4a.   A (4) bekezdéstől eltérve a számlavezető pénzforgalmi szolgáltatók az 10a. cikknek való megfelelés érdekében az e cikkben említett pénzforgalmi szolgáltatók rendelkezésére bocsátják az interfészeik műszaki leírásában végrehajtott változtatásokat, legalább két hónappal az ilyen változtatások végrehajtása előtt.”

2. cikk

Átmeneti rendelkezések

(1)   Azok a pénzforgalmi szolgáltatók, amelyek 2023. július 25. előtt alkalmazták az (EU) 2018/389 felhatalmazáson alapuló rendelet 10. cikkében foglalt kivételt, a kivétel hatálya alá tartozó időszak lejártáig továbbra is alkalmazhatják ezt a kivételt a számlainformációkat összesítő szolgáltatón keresztül kapott hozzáférési kérelmekre.

(2)   Az (1) bekezdéstől eltérve minden olyan esetben, amikor az (1) bekezdésben említett kivétel hatálya alá tartozó időszak lejárta előtt új, erős ügyfél-hitelesítés alkalmazására kerül sor egy számlainformációkat összesítő szolgáltatón keresztül történő hozzáférési kérelemre, az e rendelettel bevezetett 10a. cikk alkalmazandó.

3. cikk

Hatálybalépés és alkalmazás

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

Ezt a rendeletet 2023. július 25-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2022. augusztus 3-án.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1)  HL L 337., 2015.12.23., 35. o.

(2)  A Bizottság (EU) 2018/389 felhatalmazáson alapuló rendelete (2017. november 27.) az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről (HL L 69., 2018.3.13., 23. o.).

(3)  Az Európai Parlament és a Tanács 1093/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Bankhatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/78/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 12. o.).