This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Regolamento delegato (UE) 2022/2360 della Commissione del 3 agosto 2022 che modifica le norme tecniche di regolamentazione di cui al regolamento delegato (UE) 2018/389 per quanto riguarda l’esenzione di 90 giorni per l’accesso ai conti (Testo rilevante ai fini del SEE)
Regolamento delegato (UE) 2022/2360 della Commissione del 3 agosto 2022 che modifica le norme tecniche di regolamentazione di cui al regolamento delegato (UE) 2018/389 per quanto riguarda l’esenzione di 90 giorni per l’accesso ai conti (Testo rilevante ai fini del SEE)
C/2022/5517
GU L 312 del 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 312/1 |
REGOLAMENTO DELEGATO (UE) 2022/2360 DELLA COMMISSIONE
del 3 agosto 2022
che modifica le norme tecniche di regolamentazione di cui al regolamento delegato (UE) 2018/389 per quanto riguarda l’esenzione di 90 giorni per l’accesso ai conti
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
vista la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (1), in particolare l’articolo 98, paragrafo 4, secondo comma,
considerando quanto segue:
|
(1) |
A norma dell’articolo 10 del regolamento delegato (UE) 2018/389 della Commissione (2) è prevista un’esenzione dall’obbligo di cui all’articolo 97 della direttiva (UE) 2015/2366 di applicare l’autenticazione forte del cliente se un utente dei servizi di pagamento accede al saldo e alle operazioni recenti di un conto di pagamento senza che siano divulgati dati sensibili relativi ai pagamenti. In tal caso, i prestatori di servizi di pagamento sono autorizzati a non applicare l’autenticazione forte del cliente per accedere alle informazioni sui conti, a condizione che detta autenticazione sia stata applicata al momento del primo accesso alle informazioni sui conti e successivamente almeno ogni 90 giorni. |
|
(2) |
Il ricorso a tale esenzione ha comportato prassi alquanto divergenti nell’applicazione del regolamento delegato (UE) 2018/389, per cui alcuni prestatori di servizi di pagamento di radicamento del conto chiedono l’autenticazione forte del cliente ogni 90 giorni, altri a intervalli più ravvicinati e altri ancora non hanno applicato l’esenzione e chiedono l’autenticazione forte del cliente per ciascun accesso ai conti. Tali divergenze hanno causato attriti indesiderati nell’esperienza di utilizzo dei servizi di informazione sui conti da parte del cliente e hanno inciso negativamente sui servizi di informazione sui conti forniti dai prestatori. |
|
(3) |
Al fine di mantenere il giusto equilibrio tra gli obiettivi della direttiva (UE) 2015/2366 di potenziare la sicurezza, favorire l’innovazione e rafforzare la concorrenza nel mercato interno, è necessario specificare ulteriormente l’applicazione dell’esenzione di cui all’articolo 10 del regolamento delegato (UE) 2018/389 nei casi in cui l’accesso alle informazioni sui conti avviene mediante un prestatore di servizi di informazione sui conti. Di conseguenza, in tal caso, i prestatori di servizi di pagamento non dovrebbero essere autorizzati a scegliere se applicare o meno l’autenticazione forte del cliente e l’esenzione dovrebbe essere resa obbligatoria purché siano soddisfatte condizioni volte a garantire la sicurezza e la protezione dei dati degli utenti dei servizi di pagamento. |
|
(4) |
L’esenzione dovrebbe essere limitata all’accesso al saldo e alle operazioni recenti di un conto di pagamento senza che siano divulgati dati sensibili relativi ai pagamenti. L’esenzione dovrebbe inoltre applicarsi solo se l’autenticazione forte del cliente è già stata applicata dai prestatori di servizi di pagamento per il primo accesso mediante il rispettivo prestatore di servizi di informazione sui conti e dovrebbe essere rinnovata periodicamente. |
|
(5) |
Per garantire la sicurezza e la protezione dei dati degli utenti dei servizi di pagamento, i prestatori di servizi di pagamento dovrebbero essere autorizzati, in qualsiasi momento, ad applicare l’autenticazione forte del cliente qualora abbiano motivi obiettivamente giustificati e debitamente comprovati connessi all’accesso non autorizzato o fraudolento. Ciò potrebbe verificarsi nel caso in cui i meccanismi di monitoraggio delle operazioni del prestatore dei servizi di pagamento di radicamento del conto rilevino un rischio elevato di accesso non autorizzato o fraudolento. In tali casi, al fine di assicurare un’applicazione coerente dell’esenzione, i prestatori di servizi di pagamento di radicamento del conto dovrebbero documentare e giustificare debitamente presso la rispettiva autorità nazionale competente, su richiesta della stessa, i motivi dell’applicazione dell’autenticazione forte del cliente. |
|
(6) |
Se l’utente dei servizi di pagamento accede direttamente alle informazioni sui conti, i prestatori di servizi di pagamento dovrebbero continuare a poter scegliere se applicare o meno l’autenticazione forte del cliente. In effetti, in tali casi non sono stati osservati problemi particolari che richiedano una modifica dell’esenzione di cui all’articolo 10 del regolamento delegato (UE) 2018/389, contrariamente al caso dell’accesso mediante un prestatore di servizi di informazione sui conti. |
|
(7) |
Al fine di assicurare condizioni di parità tra tutti i prestatori di servizi di pagamento e in linea con gli obiettivi della direttiva (UE) 2015/2366 di permettere lo sviluppo di servizi innovativi e di facile utilizzo, è proporzionato stabilire lo stesso termine di 180 giorni per il rinnovo dell’autenticazione forte del cliente, sia per accedere alle informazioni sui conti direttamente con il prestatore di servizi di pagamento di radicamento del conto che per accedere mediante un prestatore di servizi di informazione sui conti. Il rinnovo dell’autenticazione forte del cliente alla frequenza attuale potrebbe causare attriti indesiderati nell’esperienza del cliente e impedire ai prestatori di servizi di informazione sui conti di offrire i propri servizi e agli utenti di riceverli. |
|
(8) |
I prestatori di servizi di pagamento di radicamento del conto che offrono un’interfaccia dedicata e che hanno attuato un meccanismo di emergenza come previsto dall’articolo 33, paragrafo 4, del regolamento delegato (UE) 2018/389 non dovrebbero essere tenuti ad attuare la nuova esenzione obbligatoria nelle loro interfacce dirette con i clienti ai fini del meccanismo di emergenza, a condizione che non applichino l’esenzione di cui all’articolo 10 del regolamento delegato (UE) 2018/389 nelle loro interfacce dirette con i clienti. Sarebbe sproporzionato imporre ai prestatori di servizi di pagamento di radicamento del conto che offrono un’interfaccia dedicata in cui devono attuare la nuova esenzione obbligatoria di applicare l’esenzione anche nelle loro interfacce dirette con i clienti ai fini del meccanismo di emergenza. |
|
(9) |
Per far sì che i prestatori di servizi di pagamento dispongano del tempo necessario per apportare le dovute modifiche ai propri sistemi, i prestatori di servizi di pagamento di radicamento del conto dovrebbero mettere a disposizione dei prestatori di servizi di pagamento le modifiche apportate alle specifiche tecniche delle loro interfacce al fine di conformarsi al presente regolamento almeno 2 mesi prima dell’attuazione di tali modifiche. |
|
(10) |
È pertanto opportuno modificare di conseguenza il regolamento delegato (UE) 2018/389. |
|
(11) |
Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l’Autorità bancaria europea ha presentato alla Commissione. |
|
(12) |
L’Autorità bancaria europea ha condotto consultazioni pubbliche aperte sui progetti di norme tecniche di regolamentazione sui quali è basato il presente regolamento, ha analizzato i potenziali costi e benefici collegati e ha chiesto la consulenza del gruppo delle parti interessate nel settore bancario istituito a norma dell’articolo 37 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (3). |
|
(13) |
Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato osservazioni formali il 7 giugno 2022. |
|
(14) |
Per agevolare la transizione alle nuove prescrizioni stabilite nel presente regolamento, i prestatori di servizi di pagamento che hanno applicato l’esenzione di cui all’articolo 10 del regolamento delegato (UE) 2018/389 prima della data di applicazione del presente regolamento dovrebbero poter continuare ad applicare tale esenzione fino a 90 giorni dall’ultima volta in cui è stata applicata l’autenticazione forte del cliente, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Modifiche del regolamento delegato (UE) 2018/389
Il regolamento delegato (UE) 2018/389 è così modificato:
|
1) |
l’articolo 10 è sostituito dal seguente: «Articolo 10 Accesso alle informazioni sui conti di pagamento direttamente con il prestatore di servizi di pagamento di radicamento del conto 1. I prestatori di servizi di pagamento sono autorizzati a non applicare l’autenticazione forte del cliente, fatto salvo il rispetto dei requisiti di cui all’articolo 2, se l’utente dei servizi di pagamento accede direttamente al suo conto di pagamento online, a condizione che l’accesso sia limitato a uno dei seguenti elementi online senza che siano divulgati dati sensibili relativi ai pagamenti:
2. In deroga al paragrafo 1, i prestatori di servizi di pagamento non sono esenti dall’applicazione dell’autenticazione forte del cliente se una delle seguenti condizioni è soddisfatta:
|
|
2) |
è inserito il seguente articolo 10 bis: «Articolo 10 bis Accesso alle informazioni sui conti di pagamento mediante un prestatore di servizi di informazione sui conti 1. I prestatori di servizi di pagamento non applicano l’autenticazione forte del cliente se l’utente dei servizi di pagamento accede al suo conto di pagamento online mediante un prestatore di servizi di informazione sui conti, a condizione che l’accesso sia limitato a uno dei seguenti elementi online senza che siano divulgati dati sensibili relativi ai pagamenti:
2. In deroga al paragrafo 1, i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente se una delle seguenti condizioni è soddisfatta:
3. In deroga al paragrafo 1, i prestatori di servizi di pagamento sono autorizzati ad applicare l’autenticazione forte del cliente se l’utente dei servizi di pagamento accede al suo conto di pagamento online mediante un prestatore di servizi di informazione sui conti e il prestatore di servizi di pagamento ha motivi obiettivamente giustificati e debitamente comprovati connessi all’accesso non autorizzato o fraudolento al conto di pagamento. In tal caso, il prestatore di servizi di pagamento documenta e giustifica debitamente presso l’autorità nazionale competente, su richiesta, i motivi dell’applicazione dell’autenticazione forte del cliente. 4. I prestatori di servizi di pagamento di radicamento del conto che offrono un’interfaccia dedicata di cui all’articolo 31 non sono tenuti ad attuare l’esenzione di cui al paragrafo 1 del presente articolo ai fini del meccanismo di emergenza di cui all’articolo 33, paragrafo 4, se non applicano l’esenzione di cui all’articolo 10 nell’interfaccia diretta utilizzata per l’autenticazione e la comunicazione con i loro utenti dei servizi di pagamento.» |
|
(3) |
all’articolo 30 è inserito il seguente paragrafo 4 bis: «4bis. In deroga al paragrafo 4, i prestatori di servizi di pagamento di radicamento del conto mettono a disposizione dei prestatori di servizi di pagamento di cui al presente articolo le modifiche apportate alle specifiche tecniche delle loro interfacce al fine di conformarsi all’articolo 10 bis almeno 2 mesi prima dell’attuazione di tali modifiche.» |
Articolo 2
Disposizioni transitorie
1. I prestatori di servizi di pagamento che hanno applicato l’esenzione di cui all’articolo 10 del regolamento delegato (UE) 2018/389 prima del 25 luglio 2023 sono autorizzati a continuare ad applicare tale esenzione per le richieste di accesso ricevute mediante un prestatore di servizi di informazione sui conti fino alla scadenza del periodo oggetto di detta esenzione.
2. In deroga al paragrafo 1, ogniqualvolta è applicata una nuova autenticazione forte del cliente per una richiesta di accesso mediante un prestatore di servizi di informazione sui conti prima della scadenza del periodo oggetto dell’esenzione di cui al paragrafo 1, si applica l’articolo 10 bis introdotto dal presente regolamento.
Articolo 3
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Esso si applica a decorrere dal 25 luglio 2023.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 3 agosto 2022
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 337 del 23.12.2015, pag. 35.
(2) Regolamento delegato (UE) 2018/389 della Commissione, del 27 novembre 2017, che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri (GU L 69 del 13.3.2018, pag. 23).
(3) Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, pag. 12).