CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

Il presente regolamento stabilisce i requisiti cui devono conformarsi i prestatori di servizi di pagamento ai fini dell'attuazione di misure di sicurezza che consentano loro di:

applicare la procedura dell'autenticazione forte del cliente conformemente all'articolo 97 della direttiva (UE) 2015/2366;

esonerare dall'applicazione dei requisiti di sicurezza dell'autenticazione forte del cliente, a condizioni specifiche e limitate, sulla base del livello di rischio, dell'importo e della frequenza dell'operazione di pagamento e del canale di pagamento utilizzato per l'esecuzione dell'operazione;

proteggere la riservatezza e l'integrità delle credenziali di sicurezza personalizzate dell'utente dei servizi di pagamento;

stabilire standard aperti comuni e sicuri per la comunicazione tra i prestatori di servizi di pagamento di radicamento del conto, i prestatori di servizi di disposizione di ordine di pagamento, i prestatori di servizi di informazione sui conti, i pagatori, i beneficiari e altri prestatori di servizi di pagamento in relazione alla prestazione e all'uso dei servizi di pagamento in applicazione del titolo IV della direttiva (UE) 2015/2366.

Articolo 2

Obblighi generali di autenticazione

I prestatori di servizi di pagamento dispongono di meccanismi di monitoraggio delle operazioni che consentono loro di rilevare le operazioni di pagamento non autorizzate o fraudolente ai fini dell'attuazione delle misure di sicurezza di cui all'articolo 1, lettere a) e b).

Detti meccanismi si basano sull'analisi delle operazioni di pagamento, tenendo conto di elementi che sono tipici dell'utente dei servizi di pagamento in condizioni di normale utilizzo delle credenziali di sicurezza personalizzate.

I prestatori di servizi di pagamento provvedono affinché i meccanismi di monitoraggio delle operazioni tengano conto, come minimo, dei seguenti fattori di rischio:

gli elenchi degli elementi di autenticazione compromessi o rubati;

l'importo di ciascuna operazione di pagamento;

gli scenari di frode noti nella prestazione dei servizi di pagamento;

i segnali della presenza di malware in una qualsiasi delle sessioni della procedura di autenticazione;

se il dispositivo o il software di accesso sono forniti dal prestatore di servizi di pagamento, un registro dell'utilizzo del dispositivo o del software di accesso forniti all'utente del servizio di pagamento e l'utilizzo anomalo degli stessi.

Articolo 3

Riesame delle misure di sicurezza

L'attuazione delle misure di sicurezza di cui all'articolo 1 è documentata, sottoposta a prove periodiche, valutata e controllata in conformità con il quadro giuridico applicabile del prestatore di servizi di pagamento da revisori con competenze in materia di sicurezza informatica e pagamenti e indipendenti dal punto di vista operativo nell'ambito o nei confronti del prestatore di servizi di pagamento.

Il periodo tra i controlli di cui al paragrafo 1 è stabilito tenendo conto del pertinente quadro in materia di contabilità e revisione legale applicabile al prestatore di servizi di pagamento.

Tuttavia, i prestatori di servizi di pagamento che si avvalgono dell'esenzione di cui all'articolo 18 sono soggetti a un controllo della metodologia, del modello e dei tassi di frode riferiti come minimo ogni anno. Il revisore che svolge il controllo dispone di competenze in materia di sicurezza informatica e di pagamenti ed è indipendente dal punto di vista operativo nell'ambito o nei confronti del prestatore di servizi di pagamento. Durante il primo anno di applicazione dell'esenzione di cui all'articolo 18, e in seguito almeno ogni tre anni, o più frequentemente su richiesta dell'autorità competente, detto controllo è effettuato da un revisore esterno indipendente e qualificato.

Detto controllo valuta la conformità delle misure di sicurezza del prestatore di servizi di pagamento ai requisiti di cui al presente regolamento e riferisce in merito.

L'intera relazione è resa disponibile alle autorità competenti su loro richiesta.

CAPO II

MISURE DI SICUREZZA PER L'APPLICAZIONE DELL'AUTENTICAZIONE FORTE DEL CLIENTE

Articolo 4

Codice di autenticazione

Se i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente conformemente all'articolo 97, paragrafo 1, della direttiva (UE) 2015/2366, l'autenticazione si basa su due o più elementi che sono classificati nelle categorie della conoscenza, del possesso e dell'inerenza e comporta la generazione di un codice di autenticazione.

Il codice di autenticazione è accettato solo una volta dal prestatore di servizi di pagamento quando il pagatore lo utilizza per accedere al suo conto di pagamento online, disporre un'operazione di pagamento elettronico o effettuare qualsiasi azione tramite un canale a distanza che possa comportare un rischio di frode nei pagamenti o altri abusi.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento adottano misure di sicurezza al fine di garantire il soddisfacimento di tutti i requisiti elencati di seguito:

nessuna informazione su uno qualsiasi degli elementi di cui al paragrafo 1 può essere ricavata dalla comunicazione del codice di autenticazione;

non è possibile generare un nuovo codice di autenticazione sulla base della conoscenza di un altro codice di autenticazione generato in precedenza;

il codice di autenticazione non può essere contraffatto.

I prestatori di servizi di pagamento provvedono affinché l'autenticazione mediante generazione di un codice di autenticazione comprenda le seguenti misure:

se l'autenticazione per l'accesso a distanza, i pagamenti elettronici a distanza e qualsiasi altra azione effettuata tramite un canale a distanza che possa comportare un rischio di frode nei pagamenti o altri abusi non è riuscita a generare un codice di autenticazione per i fini di cui al paragrafo 1, non è possibile stabilire quali elementi di cui al predetto paragrafo non sono corretti;

il numero di tentativi di autenticazione non riusciti che possono essere effettuati consecutivamente, dopo i quali le azioni di cui all'articolo 97, paragrafo 1, della direttiva (UE) 2015/2366 sono temporaneamente o permanentemente bloccate, non è superiore a cinque entro un determinato intervallo di tempo;

le sessioni di comunicazione sono protette contro l'acquisizione dei dati di autenticazione trasmessi durante l'autenticazione e contro la manipolazione da parte di soggetti non autorizzati in conformità con gli obblighi di cui al capo V;

il tempo massimo di inattività del pagatore in seguito all'autenticazione per l'accesso al conto di pagamento online non è superiore a cinque minuti.

Quando il blocco di cui al paragrafo 3, lettera b), è temporaneo, la durata del blocco e il numero di nuovi tentativi sono stabiliti in base alle caratteristiche del servizio fornito al pagatore e a tutti i rischi connessi, tenendo conto almeno dei fattori di cui all'articolo 2, paragrafo 2.

Il pagatore è avvisato prima che il blocco venga reso permanente.

Una volta che il blocco è stato reso permanente, è definita una procedura protetta che consente al pagatore di ripristinare l'uso degli strumenti di pagamento elettronico bloccati.

Articolo 5

Collegamento dinamico

Se applicano l'autenticazione forte del cliente conformemente all'articolo 97, paragrafo 2, della direttiva (UE) 2015/2366, in aggiunta ai requisiti di cui all'articolo 4 del presente regolamento, i prestatori di servizi di pagamento adottano anche misure di sicurezza che soddisfano ciascuno dei seguenti requisiti:

il pagatore è informato dell'importo dell'operazione di pagamento e del beneficiario;

il codice di autenticazione generato è specifico per l'importo dell'operazione di pagamento e il beneficiario concordato dal pagatore al momento di disporre l'operazione;

il codice di autenticazione accettato dal prestatore di servizi di pagamento corrisponde all'importo specifico originario dell'operazione di pagamento e all'identità del beneficiario approvato dal pagatore;

qualsiasi modifica dell'importo o del beneficiario comporta l'invalidamento del codice di autenticazione generato.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento adottano misure di sicurezza che assicurano la riservatezza, l'autenticità e l'integrità di ognuno dei seguenti elementi:

l'importo dell'operazione e il beneficiario durante tutte le fasi dell'autenticazione;

le informazioni visualizzate al pagatore durante tutte le fasi dell'autenticazione, comprese la generazione, la trasmissione e l'utilizzo del codice di autenticazione.

Ai fini del paragrafo 1, lettera b, e se i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente in conformità dell'articolo 97, paragrafo 2, della direttiva (UE) 2015/2366, si applicano i seguenti requisiti per il codice di autenticazione:

in relazione a un'operazione di pagamento basata su carta per la quale il pagatore abbia approvato l'importo esatto dei fondi da bloccare a norma dell'articolo 75, paragrafo 1, di detta direttiva, il codice di autenticazione è specifico per l'importo che il pagatore ha acconsentito a bloccare e che ha approvato al momento di disporre l'operazione;

in relazione alle operazioni di pagamento per le quali il pagatore ha dato il consenso a eseguire una serie di operazioni di pagamento elettronico a distanza a favore di uno o più beneficiari, il codice di autenticazione è specifico per l'importo totale della serie di operazioni di pagamento e per i beneficiari specifici.

Articolo 6

Requisiti per gli elementi classificati come conoscenza

I prestatori di servizi di pagamento adottano misure volte ad attenuare il rischio che gli elementi dell'autenticazione forte del cliente classificati come conoscenza siano acquisiti da soggetti non autorizzati o divulgati a questi ultimi.

L'uso di detti elementi da parte del pagatore è soggetto a misure di attenuazione allo scopo di impedire che vengano divulgati a soggetti non autorizzati.

Articolo 7

Requisiti per gli elementi classificati come possesso

I prestatori di servizi di pagamento adottano misure volte ad attenuare il rischio che gli elementi dell'autenticazione forte del cliente classificati come possesso siano utilizzati da soggetti non autorizzati.

L'uso di detti elementi da parte del pagatore è soggetto a misure volte a impedirne la duplicazione.

Articolo 8

Requisiti dei dispositivi e del software connessi agli elementi classificati come inerenza

I prestatori di servizi di pagamento adottano misure volte ad attenuare il rischio che gli elementi di autenticazione classificati come inerenza e letti dai dispositivi e dal software di accesso forniti al pagatore siano acquisiti da soggetti non autorizzati. Come minimo, i prestatori di servizi di pagamento garantiscono che la probabilità che soggetti non autorizzati effettuino l'autenticazione a nome del pagatore utilizzando detti dispositivi e software sia molto bassa.

L'utilizzo di detti elementi da parte del pagatore è soggetto a misure volte ad assicurare che detti dispositivi e software garantiscano la resistenza contro l'utilizzo non autorizzato degli elementi mediante l'accesso ai dispositivi e al software.

Articolo 9

Indipendenza degli elementi

I prestatori di servizi di pagamento assicurano che l'utilizzo degli elementi di autenticazione forte del cliente di cui agli articoli 6, 7 e 8 sia soggetto a misure volte a garantire che, in termini di tecnologia, algoritmi e parametri, la violazione di uno degli elementi non comprometta l'affidabilità degli altri elementi.

Se uno qualsiasi degli elementi di autenticazione forte del cliente o lo stesso codice di autenticazione sono utilizzati tramite un dispositivo multifunzione, i prestatori di servizi di pagamento adottano misure di sicurezza al fine di attenuare il rischio che deriverebbe dalla compromissione di tale dispositivo multifunzione.

Ai fini del paragrafo 2, le misure di attenuazione comprendono ognuno dei seguenti elementi:

utilizzo di ambienti di esecuzione protetti separati mediante il software installato nel dispositivo multifunzione;

meccanismi volti a garantire che il software o il dispositivo non siano stati alterati dal pagatore o da una terza parte;

nel caso in cui ci siano state alterazioni, meccanismi volti ad attenuarne le conseguenze.

CAPO III

ESENZIONI DALL'AUTENTICAZIONE FORTE DEL CLIENTE

▼M1

Articolo 10

Accesso alle informazioni sui conti di pagamento direttamente con il prestatore di servizi di pagamento di radicamento del conto

I prestatori di servizi di pagamento sono autorizzati a non applicare l’autenticazione forte del cliente, fatto salvo il rispetto dei requisiti di cui all’articolo 2, se l’utente dei servizi di pagamento accede direttamente al suo conto di pagamento online, a condizione che l’accesso sia limitato a uno dei seguenti elementi online senza che siano divulgati dati sensibili relativi ai pagamenti:

il saldo di uno o più conti di pagamento designati;

le operazioni di pagamento eseguite negli ultimi 90 giorni attraverso uno o più conti di pagamento designati.

In deroga al paragrafo 1, i prestatori di servizi di pagamento non sono esenti dall’applicazione dell’autenticazione forte del cliente se una delle seguenti condizioni è soddisfatta:

l’utente del servizio di pagamento accede online alle informazioni di cui al paragrafo 1 per la prima volta;

sono trascorsi più di 180 giorni dall’ultima volta che l’utente del servizio di pagamento ha avuto accesso online alle informazioni di cui al paragrafo 1 ed è stata applicata l’autenticazione forte del cliente.

▼M1

Articolo 10 bis

Accesso alle informazioni sui conti di pagamento mediante un prestatore di servizi di informazione sui conti

I prestatori di servizi di pagamento non applicano l’autenticazione forte del cliente se l’utente dei servizi di pagamento accede al suo conto di pagamento online mediante un prestatore di servizi di informazione sui conti, a condizione che l’accesso sia limitato a uno dei seguenti elementi online senza che siano divulgati dati sensibili relativi ai pagamenti:

il saldo di uno o più conti di pagamento designati;

le operazioni di pagamento eseguite negli ultimi 90 giorni attraverso uno o più conti di pagamento designati.

In deroga al paragrafo 1, i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente se una delle seguenti condizioni è soddisfatta:

l’utente del servizio di pagamento accede online alle informazioni di cui al paragrafo 1 per la prima volta mediante il prestatore di servizi di informazione sui conti;

sono trascorsi più di 180 giorni dall’ultima volta che l’utente del servizio di pagamento ha avuto accesso online alle informazioni di cui al paragrafo 1 mediante il prestatore di servizi di informazione sui conti ed è stata applicata l’autenticazione forte del cliente.

In deroga al paragrafo 1, i prestatori di servizi di pagamento sono autorizzati ad applicare l’autenticazione forte del cliente se l’utente dei servizi di pagamento accede al suo conto di pagamento online mediante un prestatore di servizi di informazione sui conti e il prestatore di servizi di pagamento ha motivi obiettivamente giustificati e debitamente comprovati connessi all’accesso non autorizzato o fraudolento al conto di pagamento. In tal caso, il prestatore di servizi di pagamento documenta e giustifica debitamente presso l’autorità nazionale competente, su richiesta, i motivi dell’applicazione dell’autenticazione forte del cliente.

I prestatori di servizi di pagamento di radicamento del conto che offrono un’interfaccia dedicata di cui all’articolo 31 non sono tenuti ad attuare l’esenzione di cui al paragrafo 1 del presente articolo ai fini del meccanismo di emergenza di cui all’articolo 33, paragrafo 4, se non applicano l’esenzione di cui all’articolo 10 nell’interfaccia diretta utilizzata per l’autenticazione e la comunicazione con i loro utenti dei servizi di pagamento.

▼B

Articolo 11

Pagamenti senza contatto fisico al punto vendita

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, a condizione di rispettare gli obblighi di cui all'articolo 2, se il pagatore dispone un'operazione di pagamento elettronico senza contatto, purché siano soddisfatte le seguenti condizioni:

l'importo individuale dell'operazione di pagamento elettronico senza contatto non supera i 50 EUR; e

l'importo cumulativo delle precedenti operazioni di pagamento elettronico senza contatto disposte per mezzo di uno strumento di pagamento con una funzionalità senza contatto a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non supera i 150 EUR; oppure

il numero di operazioni consecutive di pagamento elettronico senza contatto disposte per mezzo di uno strumento di pagamento con una funzionalità senza contatto a partire dalla data dell'ultima applicazione dell'autenticazione forte del cliente non è superiore a cinque.

Articolo 12

Terminali incustoditi per le tariffe di trasporto e le tariffe di parcheggio

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, a condizione di rispettare gli obblighi di cui all'articolo 2, se il pagatore dispone un'operazione di pagamento elettronico presso un terminale di pagamento incustodito allo scopo di pagare una tariffa di trasporto o di parcheggio.

Articolo 13

Beneficiari di fiducia

I prestatori di servizi di pagamento applicano l'autenticazione forte del cliente se un pagatore crea o modifica un elenco di beneficiari di fiducia attraverso il prestatore di servizi di pagamento di radicamento del conto.

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, a condizione di rispettare gli obblighi generali di autenticazione, se il pagatore dispone un'operazione di pagamento e il beneficiario è incluso in un elenco di beneficiari di fiducia precedentemente creato dal pagatore.

Articolo 14

Operazioni ricorrenti

I prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando un pagatore crea, modifica o dispone per la prima volta una serie di operazioni ricorrenti dello stesso importo e a favore dello stesso beneficiario.

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, a condizione di rispettare gli obblighi generali di autenticazione, per l'avvio di tutte le operazioni di pagamento successive incluse nella serie di operazioni di pagamento di cui al paragrafo 1.

Articolo 15

Bonifici tra conti detenuti dalla stessa persona fisica o giuridica

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, a condizione di rispettare gli obblighi di cui all'articolo 2, se il pagatore dispone un bonifico in circostanze in cui il pagatore e il beneficiario sono la stessa persona fisica o giuridica ed entrambi i conti di pagamento sono detenuti dallo stesso prestatore di servizi di pagamento di radicamento del conto.

Articolo 16

Operazioni di modesta entità

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente se il pagatore dispone un'operazione di pagamento elettronico a distanza, purché siano soddisfatte le seguenti condizioni:

l'importo dell'operazione di pagamento elettronico a distanza non supera i 30 EUR; e

l'importo cumulativo delle precedenti operazioni di pagamento elettronico a distanza disposte dal pagatore dall'ultima applicazione dell'autenticazione forte del cliente non supera i 100 EUR; oppure

il numero delle precedenti operazioni di pagamento elettronico a distanza disposte dal pagatore dall'ultima applicazione dell'autenticazione forte del cliente non è superiore a cinque operazioni singole consecutive.

Articolo 17

Processi e protocolli di pagamento sicuri per le imprese

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente, per le persone giuridiche che dispongono operazioni di pagamento elettronico ricorrendo a processi o protocolli di pagamento dedicati resi disponibili unicamente ai pagatori che non sono consumatori, nel caso in cui le autorità competenti abbiano accertato che tali processi o protocolli garantiscono livelli di sicurezza almeno equivalenti a quelli previsti dalla direttiva (UE) 2015/2366.

Articolo 18

Analisi dei rischi connessi alle operazioni

I prestatori di servizi di pagamento sono autorizzati a non applicare l'autenticazione forte del cliente qualora abbiano determinato che l'operazione di pagamento elettronico a distanza disposta dal pagatore presenta un basso livello di rischio secondo i meccanismi di monitoraggio delle operazioni di cui all'articolo 2 e al paragrafo 2, lettera c), del presente articolo.

Le operazioni di pagamento elettronico di cui al paragrafo 1 sono considerate come aventi un basso livello di rischio se sono soddisfatte tutte le seguenti condizioni:

il tasso di frode per il tipo di operazione, riferito dal prestatore di servizi di pagamento e calcolato in conformità dell'articolo 19, è pari o inferiore ai tassi di frode di riferimento riportati nella tabella figurante nell'allegato rispettivamente per i «pagamenti elettronici a distanza basati su carta» e i «bonifici elettronici a distanza»;

l'importo dell'operazione non supera il pertinente valore della soglia di esenzione specificato nella tabella che figura nell'allegato;

i prestatori di servizi di pagamento non hanno rilevato uno dei seguenti elementi a seguito di un'analisi dei rischi eseguita in tempo reale:

uno schema di spesa o di comportamento anomalo del pagatore;

ii)

informazioni insolite sull'utilizzo del dispositivo o del software del pagatore a fini di accesso;

iii)

la presenza di malware in una qualsiasi delle sessioni della procedura di autenticazione;

iv)

uno scenario di frode noto nella prestazione dei servizi di pagamento;

localizzazione anomala del pagatore;

vi)

localizzazione ad alto rischio del beneficiario.

I prestatori di servizi di pagamento che intendono esentare le operazioni di pagamento elettronico a distanza dall'autenticazione forte del cliente a motivo del fatto che presentano un basso rischio tengono conto almeno dei seguenti fattori di rischio:

i precedenti schemi di spesa del singolo utente di servizi di pagamento;

la cronologia delle operazioni di pagamento di ciascun utente dei servizi di pagamento del prestatore di servizi di pagamento;

la localizzazione del pagatore e del beneficiario al momento dell'operazione di pagamento nei casi in cui il dispositivo o il software di accesso è fornito dal prestatore di servizi di pagamento;

il rilevamento di schemi di pagamento anormali dell'utente dei servizi di pagamento rispetto alla sua cronologia delle operazioni di pagamento.

La valutazione effettuata dai prestatori di servizi di pagamento combina tutti questi fattori di rischio in una valutazione dei rischi per ogni singola operazione al fine di determinare se un determinato pagamento debba essere consentito senza l'autenticazione forte del cliente.

Articolo 19

Calcolo dei tassi di frode

Per ogni tipo di operazione di cui alla tabella figurante in allegato, il prestatore di servizi di pagamento garantisce che i tassi di frode complessivi concernenti sia le operazioni di pagamento per le quali è stata applicata l'autenticazione forte del cliente sia le operazioni di pagamento eseguite in forza delle esenzioni di cui agli articoli da 13 a 18 sono equivalenti o inferiori al tasso di frode di riferimento per lo stesso tipo di operazione di pagamento riportato nella tabella figurante nell'allegato.

Il tasso di frode complessivo per ciascun tipo di operazione è calcolato come il valore totale delle operazioni a distanza non autorizzate o fraudolente, indipendentemente dal fatto che i fondi siano stati recuperati, diviso per il valore totale di tutte le operazioni a distanza per lo stesso tipo di operazioni, siano esse autenticate mediante l'applicazione dell'autenticazione forte del cliente o eseguite in forza di una delle esenzioni di cui agli articoli da 13 a 18, in un periodo continuativo di tre mesi (90 giorni).

Il calcolo dei tassi di frode e i dati che ne risultano sono valutati nell'ambito del controllo di cui all'articolo 3, paragrafo 2, il quale accerta che siano esatti e completi.

La metodologia e l'eventuale modello utilizzato dal prestatore di servizi di pagamento per calcolare i tassi di frode, come pure gli stessi tassi di frode, sono adeguatamente documentati e resi pienamente disponibili alle autorità competenti e all'ABE, previa notifica alla o alle autorità competenti, su loro richiesta.

Articolo 20

Cessazione delle esenzioni sulla base dell'analisi dei rischi connessi alle operazioni

I prestatori di servizi di pagamento che si avvalgono dell'esenzione di cui all'articolo 18 segnalano immediatamente alle autorità competenti l'eventuale superamento del tasso di frode di riferimento applicabile da parte di uno dei tassi di frode monitorati, per qualsiasi tipo di operazione di pagamento riportato nella tabella figurante nell'allegato, e forniscono alle autorità competenti una descrizione delle misure che intendono adottare per ripristinare la conformità del tasso di frode monitorato con i tassi di frode di riferimento applicabili.

I prestatori di servizi di pagamento cessano immediatamente di avvalersi dell'esenzione di cui all'articolo 18 per qualsiasi tipo di operazione di pagamento riportato nella tabella figurante nell'allegato nello specifico intervallo di soglie di esenzione se il loro tasso di frode monitorato supera per due trimestri consecutivi il tasso di frode di riferimento applicabile per lo strumento di pagamento o il tipo di operazione di pagamento nell'intervallo di soglie di esenzione in questione.

In seguito alla cessazione dell'esenzione di cui all'articolo 18 conformemente al paragrafo 2 del presente articolo, i prestatori di servizi di pagamento utilizzano nuovamente tale esenzione solo quando il loro tasso di frode calcolato è pari o inferiore ai tassi di frode di riferimento applicabili per lo specifico tipo di operazione di pagamento nell'intervallo di soglie di esenzione per un trimestre.

Se intendono avvalersi nuovamente dell'esenzione di cui all'articolo 18, i prestatori di servizi di pagamento lo notificano alle autorità competenti entro un lasso di tempo ragionevole e, prima di riavvalersi dell'esenzione, dimostrano il ripristino della conformità del loro tasso di frode monitorato con il tasso di frode di riferimento applicabile per l'intervallo di soglie di esenzione in questione, conformemente al paragrafo 3 del presente articolo.

Articolo 21

Monitoraggio

Al fine di avvalersi delle esenzioni di cui agli articoli da 10 a 18, i prestatori di servizi di pagamento registrano e monitorano i seguenti dati per ogni tipo di operazione di pagamento, disaggregandoli per le operazioni di pagamento a distanza e per quelle non a distanza, almeno ogni trimestre:

il valore complessivo delle operazioni di pagamento non autorizzate o fraudolente in conformità dell'articolo 64, paragrafo 2, della direttiva (UE) 2015/2366, il valore complessivo di tutte le operazioni di pagamento e il conseguente tasso di frode, compresa la disaggregazione dei dati per le operazioni di pagamento disposte tramite l'autenticazione forte del cliente e nell'ambito di ciascuna esenzione;

il valore medio delle operazioni, compresa la disaggregazione dei dati per le operazioni di pagamento disposte tramite l'autenticazione forte del cliente e nell'ambito di ciascuna esenzione;

il numero di operazioni di pagamento per le quali ciascuna esenzione è stata applicata e la loro percentuale in relazione al numero complessivo di operazioni di pagamento.

I prestatori di servizi di pagamento rendono disponibili i risultati del monitoraggio di cui al paragrafo 1 alle autorità competenti e all'ABE, previa notifica alla o alle autorità competenti, su loro richiesta.

CAPO IV

RISERVATEZZA E INTEGRITÀ DELLE CREDENZIALI DI SICUREZZA PERSONALIZZATE DEGLI UTENTI DEI SERVIZI DI PAGAMENTO

Articolo 22

Obblighi generali

I prestatori di servizi di pagamento assicurano la riservatezza e l'integrità delle credenziali di sicurezza personalizzate dell'utente dei servizi di pagamento, compresi i codici di autenticazione, durante tutte le fasi del processo di autenticazione.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento assicurano il soddisfacimento di tutte le condizioni riportate di seguito:

le credenziali di sicurezza personalizzate sono mascherate quando vengono visualizzate e non sono leggibili nella loro interezza quando sono inserite dall'utente dei servizi di pagamento durante l'autenticazione;

le credenziali di sicurezza personalizzate nel formato dati e il materiale crittografico relativo alla crittografia delle credenziali di sicurezza personalizzate non sono conservati come testo in chiaro;

il materiale crittografico segreto è protetto dalla divulgazione non autorizzata.

I prestatori di servizi di pagamento documentano in maniera esauriente il processo relativo alla gestione del materiale crittografico utilizzato per crittografare o rendere altrimenti illeggibili le credenziali di sicurezza personalizzate.

I prestatori di servizi di pagamento assicurano che il trattamento e l'instradamento delle credenziali di sicurezza personalizzate e dei codici di autenticazione generati conformemente al capo II avvengano in ambienti protetti secondo standard settoriali rigorosi e ampiamente riconosciuti.

Articolo 23

Creazione e trasmissione delle credenziali

I prestatori di servizi di pagamento provvedono affinché la creazione delle credenziali di sicurezza personalizzate avvenga in un ambiente protetto.

Essi attenuano i rischi di utilizzo non autorizzato delle credenziali di sicurezza personalizzate e dei dispositivi e dei software di autenticazione in seguito a perdita, furto o copia degli stessi prima della consegna al pagatore.

Articolo 24

Associazione all'utente dei servizi di pagamento

I prestatori di servizi di pagamento assicurano che solo l'utente dei servizi di pagamento sia associato, in modo sicuro, alle credenziali di sicurezza personalizzate, ai dispositivi e al software di autenticazione.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento assicurano il soddisfacimento di tutte le condizioni riportate di seguito:

l'associazione dell'identità dell'utente dei servizi di pagamento alle credenziali di sicurezza personalizzate, ai dispositivi e al software di autenticazione avviene, sotto la responsabilità del prestatore di servizi di pagamento, in ambienti protetti che comprendono almeno i locali del prestatore di servizi di pagamento, l'ambiente Internet fornito da quest'ultimo o altri siti web protetti analoghi utilizzati dal prestatore di servizi di pagamento e dai suoi servizi di sportello automatico, e tenendo conto dei rischi connessi ai dispositivi e ai componenti sottostanti utilizzati durante il processo di associazione che non sono sotto la responsabilità del prestatore di servizi di pagamento;

l'associazione tramite un canale a distanza dell'identità dell'utente dei servizi di pagamento alle credenziali di sicurezza personalizzate e ai dispositivi o al software di autenticazione è effettuata ricorrendo all'autenticazione forte del cliente.

Articolo 25

Consegna delle credenziali, dei dispositivi e del software di autenticazione

I prestatori di servizi di pagamento provvedono affinché le credenziali di sicurezza personalizzate, i dispositivi e il software di autenticazione siano consegnati all'utente dei servizi di pagamento in un modo sicuro volto a far fronte ai rischi connessi al loro utilizzo non autorizzato conseguente a perdita, furto o copia.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento come minimo applicano tutte le misure elencate di seguito:

meccanismi di consegna efficaci e sicuri volti a garantire che le credenziali di sicurezza personalizzate, i dispositivi e il software di autenticazione siano consegnati al legittimo utente dei servizi di pagamento;

meccanismi che consentano al prestatore di servizi di pagamento di verificare l'autenticità del software di autenticazione fornito all'utente dei servizi di pagamento tramite Internet;

quando la consegna delle credenziali di sicurezza personalizzate avviene al di fuori dei locali del fornitore dei servizi di pagamento o tramite un canale a distanza, misure volte a garantire che:

nessuna parte non autorizzata possa ottenere più di un elemento delle credenziali di sicurezza personalizzate, dei dispositivi o del software di autenticazione quando questi sono forniti attraverso lo stesso canale;

ii)

le credenziali di sicurezza personalizzate, i dispositivi o il software di autenticazione forniti debbano essere attivati prima del loro utilizzo;

nei casi in cui sia necessario attivare le credenziali di sicurezza personalizzate, i dispositivi o il software di autenticazione prima del primo utilizzo, misure volte a garantire che l'attivazione abbia luogo in un ambiente protetto nel rispetto delle procedure di associazione di cui all'articolo 24.

Articolo 26

Rinnovo delle credenziali di sicurezza personalizzate

I prestatori di servizi di pagamento provvedono affinché il rinnovo o la riattivazione delle credenziali di sicurezza personalizzate avvengano nel rispetto delle procedure per la creazione, l'associazione e la consegna delle credenziali e dei dispositivi di autenticazione, in conformità degli articoli 23, 24 e 25.

Articolo 27

Distruzione, disattivazione e revoca

I prestatori di servizi di pagamento provvedono a predisporre procedure efficaci per applicare tutte le misure di sicurezza elencate di seguito:

la distruzione, la disattivazione o la revoca secondo modalità sicure delle credenziali di sicurezza personalizzate, dei dispositivi e del software di autenticazione;

se il prestatore di servizi di pagamento distribuisce dispositivi e software di autenticazione riutilizzabili, prima che il dispositivo o il software siano resi disponibili a un altro utente dei servizi di pagamento, ne viene stabilito, documentato e attuato il loro riutilizzo secondo modalità sicure;

la disattivazione o la revoca delle informazioni relative alle credenziali di sicurezza personalizzate memorizzate nei sistemi e nelle banche dati del prestatore di servizi di pagamento e, se del caso, negli archivi pubblici.

CAPO V

STANDARD APERTI DI COMUNICAZIONE COMUNI E SICURI

Sezione 1

Obblighi generali per la comunicazione

Articolo 28

Obblighi relativi all'identificazione

I prestatori di servizi di pagamento garantiscono l'identificazione protetta nella comunicazione tra il dispositivo del pagatore e i dispositivi di accettazione del beneficiario per i pagamenti elettronici, inclusi tra gli altri i terminali di pagamento.

I prestatori di servizi di pagamento provvedono all'effettiva attenuazione del rischio che la comunicazione sia deviata verso soggetti non autorizzati nelle applicazioni mobili e in altre interfacce per gli utenti dei servizi di pagamento che offrono servizi di pagamento elettronico.

Articolo 29

Tracciabilità

I prestatori di servizi di pagamento predispongono procedure volte a garantire che tutte le operazioni di pagamento e altre interazioni con l'utente dei servizi di pagamento, con altri prestatori di servizi di pagamento e con altri soggetti, compresi i commercianti, nel contesto di una prestazione di servizi di pagamento, siano tracciabili, assicurando la conoscenza a posteriori di tutti gli eventi rilevanti per l'operazione elettronica in tutte le varie fasi.

Ai fini del paragrafo 1, i prestatori di servizi di pagamento provvedono affinché ciascuna sessione di comunicazione stabilita con l'utente dei servizi di pagamento, con gli altri prestatori di servizi di pagamento e con altri soggetti, compresi i commercianti, si basi sui seguenti elementi:

un identificatore univoco della sessione;

meccanismi di sicurezza per la registrazione dettagliata dell'operazione, compresi il numero dell'operazione, le marcature orarie e tutti i dati pertinenti relativi all'operazione;

le marcature orarie che sono basate su un sistema di riferimento orario unificato e sono sincronizzate in base a un segnale orario ufficiale.

Sezione 2

Obblighi specifici per gli standard aperti di comunicazione comuni e sicuri

Articolo 30

Obblighi generali per le interfacce di accesso

I prestatori di servizi di pagamento di radicamento del conto che offrono a un pagatore un conto di pagamento accessibile online dispongono di almeno un'interfaccia che soddisfa tutti i requisiti elencati di seguito:

i prestatori di servizi di informazione sui conti, i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta possono identificarsi presso il prestatore di servizi di pagamento di radicamento del conto;

i prestatori di servizi di informazione sui conti possono comunicare in modo sicuro per chiedere e ricevere informazioni su uno o più conti di pagamento designati e sulle operazioni di pagamento associate;

i prestatori di servizi di disposizione di ordine di pagamento possono comunicare in modo sicuro per disporre un ordine di pagamento a partire dal conto di pagamento del pagatore e ricevere tutte le informazioni sulla disposizione dell'operazione di pagamento e tutte le informazioni accessibili ai prestatori di servizi di pagamento di radicamento del conto in merito all'esecuzione dell'operazione di pagamento.

Ai fini dell'autenticazione dell'utente dei servizi di pagamento, l'interfaccia di cui al paragrafo 1 consente ai prestatori di servizi di informazione sui conti e ai prestatori di servizi di disposizione di ordine di pagamento di avvalersi di tutte le procedure di autenticazione fornite dal prestatore di servizi di pagamento di radicamento del conto all'utente dei servizi di pagamento.

L'interfaccia soddisfa almeno tutti i seguenti requisiti:

i prestatori di servizi di disposizione di ordine di pagamento o i prestatori di servizi di informazione sui conti possono dare istruzioni al prestatore di servizi di pagamento di radicamento del conto affinché avvii l'autenticazione sulla base del consenso dell'utente dei servizi di pagamento;

le sessioni di comunicazione tra il prestatore di servizi di pagamento di radicamento del conto, il prestatore di servizi di informazione sui conti, il prestatore di servizi di disposizione di ordine di pagamento e l'utente dei servizi di pagamento interessati sono stabilite e mantenute durante l'intero processo di autenticazione;

sono assicurate l'integrità e la riservatezza delle credenziali di sicurezza personalizzate e dei codici di autenticazione trasmessi da o attraverso il prestatore di servizi di disposizione di ordine di pagamento o il prestatore di servizi di informazione sui conti.

I prestatori di servizi di pagamento di radicamento del conto provvedono affinché le loro interfacce siano conformi agli standard di comunicazione emessi dagli organismi di normazione internazionali o europei.

I prestatori di servizi di pagamento di radicamento del conto assicurano inoltre che le specifiche tecniche delle interfacce siano documentate specificando una serie di routine, protocolli e strumenti di cui necessitano i prestatori di servizi di disposizione di ordine di pagamento, i prestatori di servizi di informazione sui conti e i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta per consentire l'interoperabilità del loro software e delle loro applicazioni con i sistemi dei prestatori di servizi di pagamento di radicamento del conto.

Almeno sei mesi prima della data di applicazione di cui all'articolo 38, paragrafo 2, o prima della data prevista per il lancio sul mercato dell'interfaccia di accesso, quando il lancio avviene dopo la data di cui all'articolo 38, paragrafo 2, i prestatori di servizi di pagamento di radicamento del conto come minimo rendono disponibile la documentazione, a titolo gratuito, su richiesta dei prestatori autorizzati di servizi di disposizione di ordine di pagamento, di servizi di informazione sui conti e di servizi di pagamento che emettono strumenti di pagamento basati su carta o dei prestatori di servizi di pagamento che hanno chiesto l'autorizzazione alle autorità competenti, e pubblicano una sintesi della documentazione sul loro sito web.

Oltre a quanto disposto al paragrafo 3, i prestatori di servizi di pagamento di radicamento del conto provvedono affinché, fatta eccezione per le situazioni di emergenza, le eventuali modifiche alle specifiche tecniche delle loro interfacce siano rese preventivamente disponibili, il prima possibile e almeno tre mesi prima dell'attuazione della modifica, ai prestatori autorizzati di servizi di disposizione di ordine di pagamento, di servizi di informazione sui conti e di servizi di pagamento che emettono strumenti di pagamento basati su carta o ai prestatori di servizi di pagamento che hanno chiesto l'autorizzazione alle autorità competenti.

I prestatori di servizi di pagamento documentano le situazioni di emergenza in cui sono state apportate modifiche e rendono disponibile la documentazione alle autorità competenti su richiesta.

▼M1

4bis.

In deroga al paragrafo 4, i prestatori di servizi di pagamento di radicamento del conto mettono a disposizione dei prestatori di servizi di pagamento di cui al presente articolo le modifiche apportate alle specifiche tecniche delle loro interfacce al fine di conformarsi all’articolo 10 bis almeno 2 mesi prima dell’attuazione di tali modifiche.

▼B

I prestatori di servizi di pagamento di radicamento del conto rendono disponibile un dispositivo di prova, che comprende l'assistenza, per la prova della connessione e del funzionamento al fine di consentire ai prestatori autorizzati di servizi di disposizione di ordine di pagamento, di servizi di pagamento che emettono strumenti di pagamento basati su carta e di servizi di informazione sui conti o ai prestatori di servizi di pagamento che hanno chiesto l'autorizzazione pertinente, di provare il software e le applicazioni utilizzati per offrire un servizio di pagamento agli utenti. Il dispositivo di prova è reso disponibile al più tardi sei mesi prima della data di applicazione di cui all'articolo 38, paragrafo 2, o prima della data prevista per il lancio sul mercato dell'interfaccia di accesso quando il lancio avviene dopo la data di cui all'articolo 38, paragrafo 2.

Nessuna informazione riservata è tuttavia condivisa attraverso il dispositivo di prova.

Le autorità competenti provvedono affinché i prestatori di servizi di pagamento di radicamento del conto rispettino in ogni momento gli obblighi previsti da detti standard in relazione alla o alle interfacce che hanno predisposto. Nel caso in cui un prestatore di servizi di pagamento di radicamento del conto non rispetti gli obblighi previsti per le interfacce in tali standard, le autorità competenti assicurano che la prestazione di servizi di ordine di pagamento e di servizi di informazione sui conti non sia impedita o ostacolata, nella misura in cui i prestatori dei servizi in questione soddisfano le condizioni di cui all'articolo 33, paragrafo 5.

Articolo 31

Opzioni delle interfacce di accesso

I prestatori di servizi di pagamento di radicamento del conto predispongono la o le interfacce di cui all'articolo 30 attraverso un'interfaccia dedicata o consentendo ai prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1, di servirsi delle interfacce utilizzate per l'autenticazione e la comunicazione con gli utenti dei servizi di pagamento del prestatore di servizi di pagamento di radicamento del conto.

Articolo 32

Obblighi applicabili alle interfacce dedicate

Fatto salvo il rispetto degli articoli 30 e 31, i prestatori di servizi di pagamento di radicamento del conto che hanno predisposto un'interfaccia dedicata provvedono affinché tale interfaccia offra in qualsiasi momento lo stesso livello di disponibilità e di prestazione, anche in relazione all'assistenza, delle interfacce rese disponibili all'utente dei servizi di pagamento per accedere direttamente al suo conto di pagamento online.

I prestatori di servizi di pagamento di radicamento del conto che abbiano predisposto un'interfaccia dedicata definiscono indicatori chiave di prestazione e obiettivi in materia di livello del servizio trasparenti e almeno altrettanto rigorosi di quelli stabiliti per l'interfaccia utilizzata dai loro utenti dei servizi di pagamento, in termini sia di disponibilità che di dati forniti, conformemente all'articolo 36. Le interfacce, gli indicatori e gli obiettivi di cui sopra sono monitorati dalle autorità competenti e sottoposti a prove di stress.

I prestatori di servizi di pagamento di radicamento del conto che abbiano predisposto un'interfaccia dedicata provvedono affinché tale interfaccia non crei ostacoli alla prestazione dei servizi di disposizione di ordine di pagamento e di informazione sui conti. Detti ostacoli possono consistere, tra l'altro, nell'impedire l'utilizzo da parte dei prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1, delle credenziali rilasciate dai prestatori di servizi di pagamento di radicamento del conto ai loro clienti, nell'imporre il reindirizzamento verso l'autenticazione o altre funzioni del prestatore di servizi di pagamento di radicamento del conto, nel richiedere autorizzazioni e registrazioni aggiuntive rispetto a quelle previste dagli articoli 11, 14 e 15 della direttiva (UE) 2015/2366 o nel richiedere ulteriori verifiche del consenso dato dagli utenti dei servizi di pagamento ai prestatori di servizi di disposizione di ordine di pagamento e di servizi di informazione sui conti.

Ai fini dei paragrafi 1 e 2, i prestatori di servizi di pagamento di radicamento del conto monitorano la disponibilità e le prestazioni dell'interfaccia dedicata. I prestatori di servizi di pagamento di radicamento del conto pubblicano sul proprio sito web le statistiche trimestrali sulla disponibilità e sulle prestazioni dell'interfaccia dedicata e dell'interfaccia utilizzata dai propri utenti dei servizi di pagamento.

Articolo 33

Misure di emergenza per le interfacce dedicate

I prestatori di servizi di pagamento di radicamento del conto includono, nella progettazione dell'interfaccia dedicata, una strategia e piani per le misure di emergenza da applicare in caso di prestazioni dell'interfaccia non conformi all'articolo 32, indisponibilità non programmata dell'interfaccia e guasto dei sistemi. Si può presumere un'indisponibilità non programmata o un guasto dei sistemi quando non viene dato seguito entro 30 secondi a cinque richieste consecutive di accesso alle informazioni per la fornitura dei servizi di disposizione di ordine di pagamento o dei servizi di informazione sui conti.

Le misure di emergenza comprendono piani di comunicazione per informare i prestatori di servizi di pagamento che utilizzano l'interfaccia dedicata circa le misure per il ripristino del sistema e una descrizione delle opzioni alternative immediatamente disponibili di cui i prestatori di servizi di pagamento potrebbero avvalersi in questo periodo.

Il prestatore di servizi di pagamento di radicamento del conto e i prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1, segnalano senza indugio alle rispettive autorità nazionali competenti i problemi con le interfacce dedicate di cui al paragrafo 1.

Nell'ambito di un meccanismo di emergenza, i prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1, sono autorizzati a utilizzare le interfacce messe a disposizione degli utenti dei servizi di pagamento per l'autenticazione e la comunicazione con il prestatore di servizi di pagamento di radicamento del conto, finché per l'interfaccia dedicata non viene ripristinato il livello di disponibilità e di prestazioni previsto dall'articolo 32.

A tal fine, i prestatori di servizi di pagamento di radicamento del conto provvedono affinché i prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1, possano essere identificati e possano avvalersi delle procedure di autenticazione fornite dal prestatore di servizi di pagamento di radicamento del conto all'utente dei servizi di pagamento. Se utilizzano l'interfaccia di cui al paragrafo 4, i prestatori di servizi di pagamento di cui all'articolo 30, paragrafo 1:

adottano le misure necessarie per evitare di accedere, memorizzare o trattare i dati per fini diversi dalla prestazione del servizio richiesto dall'utente dei servizi di pagamento;

continuano a rispettare gli obblighi derivanti dall'articolo 66, paragrafo 3, e dall'articolo 67, paragrafo 2, della direttiva (UE) 2015/2366;

registrano i dati accessibili mediante l'interfaccia gestita dal prestatore di servizi di pagamento di radicamento del conto per i suoi utenti dei servizi di pagamento e forniscono, su richiesta e senza indebiti ritardi, i file di registro all'autorità nazionale competente;

giustificano debitamente presso l'autorità nazionale competente, su richiesta e senza indebiti ritardi, l'uso dell'interfaccia resa disponibile agli utenti dei servizi di pagamento per l'accesso diretto al loro conto di pagamento online;

informano di conseguenza il prestatore dei servizi di pagamento di radicamento del conto.

Le autorità competenti, dopo aver consultato l'ABE per assicurare un'applicazione coerente delle condizioni elencate di seguito, esonerano i prestatori di servizi di pagamento di radicamento del conto che hanno optato per un'interfaccia dedicata dall'obbligo di predisporre il meccanismo di emergenza di cui al paragrafo 4 nel caso in cui l'interfaccia dedicata soddisfi tutte le condizioni seguenti:

rispetta gli obblighi applicabili alle interfacce dedicate di cui all'articolo 32;

è stata progettata e testata conformemente all'articolo 30, paragrafo 5, con soddisfazione dei prestatori di servizi di pagamento di cui al medesimo articolo;

è stata ampiamente utilizzata per almeno tre mesi dai prestatori di servizi di pagamento per offrire servizi di informazione sui conti e servizi di disposizione di ordine di pagamento e per confermare la disponibilità di fondi per i pagamenti basati su carta;

gli eventuali problemi relativi all'interfaccia dedicata sono stati risolti senza indebiti ritardi.

Le autorità competenti revocano l'esenzione di cui al paragrafo 6 qualora le condizioni di cui alle lettere a) e d) non siano soddisfatte dai prestatori di servizi di pagamento di radicamento del conto per più di due settimane di calendario consecutive. Le autorità competenti informano l'ABE di detta revoca e provvedono affinché il prestatore di servizi di pagamento di radicamento del conto predisponga, nel più breve tempo possibile e al più tardi entro il termine di due mesi, il meccanismo di emergenza di cui al paragrafo 4.

Articolo 34

Certificati

Ai fini dell'identificazione di cui all'articolo 30, paragrafo 1, lettera a), i prestatori di servizi di pagamento si avvalgono dei certificati qualificati di sigillo elettronico di cui all'articolo 3, punto 30, del regolamento (UE) n. 910/2014 o di autenticazione di sito web di cui all'articolo 3, punto 39, del suddetto regolamento.

Ai fini del presente regolamento, il numero di registrazione quale riportato nei documenti ufficiali in conformità dell'allegato III, lettera c), o dell'allegato IV, lettera c), del regolamento (UE) n. 910/2014 è il numero di autorizzazione del prestatore di servizi di pagamento che emette strumenti di pagamento basati su carta, dei prestatori di servizi di informazione sui conti e dei prestatori di servizi di disposizione di ordine di pagamento, ivi inclusi i prestatori di servizi di pagamento di radicamento del conto che forniscono tali servizi, disponibile nel registro pubblico dello Stato membro di origine a norma dell'articolo 14 della direttiva (UE) 2015/2366 o risultante dalle notifiche di ciascuna autorizzazione concessa a norma dell'articolo 8 della direttiva 2013/36/UE del Parlamento europeo e del Consiglio ( 1 ) in conformità dell'articolo 20 della medesima direttiva.

Ai fini del presente regolamento, i certificati qualificati di sigillo elettronico o di autenticazione di sito web di cui al paragrafo 1 comprendono, in una lingua comunemente utilizzata negli ambienti della finanza internazionale, attributi specifici aggiuntivi in relazione a ciascuno dei seguenti aspetti:

il ruolo del prestatore di servizi di pagamento, che può essere uno o più ruoli tra quelli indicati di seguito:

radicamento del conto;

ii)

disposizione di ordine di pagamento;

iii)

informazione sui conti;

iv)

emissione di strumenti di pagamento basati su carta;

il nome delle autorità competenti presso le quali il prestatore di servizi di pagamento è registrato.

Gli attributi di cui al paragrafo 3 non incidono sull'interoperabilità e sul riconoscimento dei certificati qualificati di sigillo elettronico o di autenticazione di sito web.

Articolo 35

Sicurezza della sessione di comunicazione

I prestatori di servizi di pagamento di radicamento del conto, i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta, i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento provvedono affinché, durante lo scambio di dati via Internet, sia applicata la crittografia sicura tra le parti coinvolte nella comunicazione durante l'intera sessione di comunicazione al fine di preservare la riservatezza e l'integrità dei dati, ricorrendo a tecniche di crittografia avanzate e ampiamente riconosciute.

I prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta, i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento fanno in modo che la durata delle sessioni di accesso offerte dai prestatori di servizi di pagamento di radicamento del conto sia quanto più breve possibile e terminano deliberatamente ognuna di tali sessioni subito dopo il completamento dell'azione richiesta.

Quando mantengono sessioni di rete parallele con il prestatore di servizi di pagamento di radicamento del conto, i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento fanno in modo che tali sessioni siano connesse in modo sicuro alle pertinenti sessioni stabilite con l'utente o gli utenti dei servizi di pagamento per prevenire la possibilità che i messaggi o le informazioni che si scambiano possano essere inviati al destinatario sbagliato.

I prestatori di servizi di informazione sui conti, i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta con il prestatore di servizi di pagamento di radicamento del conto forniscono riferimenti espliciti a ognuno dei seguenti elementi:

l'utente o gli utenti dei servizi di pagamento e la corrispondente sessione di comunicazione al fine di distinguere le diverse richieste presentate dallo stesso utente o dagli stessi utenti dei servizi di pagamento;

per i servizi di disposizione di ordine di pagamento, l'operazione di pagamento disposta identificata in modo univoco;

per la conferma sulla disponibilità dei fondi, la richiesta identificata in modo univoco relativa all'importo necessario per l'esecuzione dell'operazione di pagamento basata su carta.

I prestatori di servizi di pagamento di radicamento del conto, i prestatori di servizi di informazione sui conti, i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta provvedono affinché, quando comunicano credenziali di sicurezza personalizzate e codici di autenticazione, questi non siano in alcun momento leggibili, direttamente o indirettamente, da nessun membro del personale.

Nel caso in cui venga compromessa la riservatezza delle credenziali di sicurezza personalizzate di loro competenza, detti prestatori informano senza indebiti ritardi l'utente dei servizi di pagamento cui sono associate e l'emittente di dette credenziali.

Articolo 36

Scambi di dati

I prestatori di servizi di pagamento di radicamento del conto rispettano tutti gli obblighi riportati di seguito:

forniscono ai prestatori di servizi di informazione sui conti le stesse informazioni relative ai conti di pagamento designati e alle operazioni di pagamento associate rese disponibili all'utente dei servizi di pagamento in caso di richiesta diretta di accesso alle informazioni sui conti, purché tali informazioni non comprendano dati sensibili relativi ai pagamenti;

subito dopo aver ricevuto l'ordine di pagamento, forniscono ai prestatori di servizi di disposizione di ordine di pagamento le stesse informazioni in merito all'avvio e all'esecuzione dell'operazione di pagamento fornite o rese disponibili all'utente dei servizi di pagamento quando l'operazione è disposta direttamente da quest'ultimo;

su richiesta, trasmettono immediatamente ai prestatori di servizi di pagamento la conferma, sotto forma di un semplice «sì» o «no», relativa alla disponibilità sul conto di pagamento del pagatore dell'importo necessario per l'esecuzione dell'operazione di pagamento.

In caso di evento imprevisto o errore durante il processo di identificazione, autenticazione o durante lo scambio di dati, il prestatore di servizi di pagamento di radicamento del conto invia un messaggio di notifica, in cui spiega la causa dell'evento imprevisto o dell'errore, al prestatore di servizi di disposizione di ordine di pagamento o al prestatore di servizi di informazione sui conti e al prestatore di servizi di pagamento che emette strumenti di pagamento basati su carta.

Se il prestatore di servizi di pagamento di radicamento del conto offre un'interfaccia dedicata a norma dell'articolo 32, l'interfaccia prevede messaggi di notifica sugli eventi imprevisti o sugli errori che sono trasmessi dal prestatore di servizi di pagamento che rileva l'evento o l'errore agli altri prestatori di servizi di pagamento che partecipano alla sessione di comunicazione.

I prestatori di servizi di informazione sui conti dispongono di meccanismi idonei ed efficaci che impediscono l'accesso a informazioni diverse da quelle relative ai conti di pagamento designati e alle operazioni di pagamento associate, in base al consenso esplicito espresso dall'utente.

I prestatori di servizi di disposizione di ordine di pagamento forniscono ai prestatori di servizi di pagamento di radicamento del conto le stesse informazioni richieste all'utente dei servizi di pagamento al momento della disposizione diretta dell'operazione di pagamento.

I prestatori di servizi di informazione sui conti possono accedere alle informazioni relative ai conti di pagamento designati e alle operazioni di pagamento associate di cui dispongono i prestatori di servizi di pagamento di radicamento del conto ai fini della prestazione del servizio di informazione in uno dei seguenti casi:

ogni volta in cui l'utente dei servizi di pagamento richiede esplicitamente tali informazioni;

se l'utente dei servizi di pagamento non richiede esplicitamente tali informazioni, al massimo quattro volte nell'arco di 24 ore, a meno che non sia concordata una frequenza più elevata tra il prestatore di servizi di informazione sui conti e il prestatore di servizi di pagamento di radicamento del conto, con il consenso dell'utente dei servizi di pagamento.

CAPO VI

DISPOSIZIONI FINALI

Articolo 37

Riesame

Fatto salvo l'articolo 98, paragrafo 5, della direttiva (UE) 2015/2366, entro il 14 marzo 2021, l'ABE riesamina i tassi di frode di cui all'allegato del presente regolamento, come pure le esenzioni concesse a norma dell'articolo 33, paragrafo 6, in relazione alle interfacce dedicate e, se del caso, presenta un progetto di aggiornamenti alla Commissione, conformemente all'articolo 10 del regolamento (UE) n. 1093/2010.

Articolo 38

Entrata in vigore

Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento si applica a decorrere dal 14 settembre 2019.

Tuttavia, i paragrafi 3 e 5 dell'articolo 30 si applicano a decorrere dal 14 marzo 2019.

		Gazzetta ufficiale
		n.	pag.	data
►M1	REGOLAMENTO DELEGATO (UE) 2022/2360 DELLA COMMISSIONE del 3 agosto 2022	L 312	1	5.12.2022
M2	REGOLAMENTO DELEGATO (UE) 2023/1650 DELLA COMMISSIONE del 15 maggio 2023	L 208	1	23.8.2023

	Tasso di frode di riferimento (%):
Valore della soglia di esenzione	Pagamenti elettronici a distanza basati su carta	Bonifici elettronici a distanza
500 EUR	0,01	0,005
250 EUR	0,06	0,01
100 EUR	0,13	0,015