|
5.12.2022 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 312/1 |
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2022/2360
(2022. gada 3. augusts),
ar ko Deleģētajā regulā (ES) 2018/389 noteiktos regulatīvos tehniskos standartus groza attiecībā uz 90 dienu atbrīvojumu piekļuvei kontam
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 (2015. gada 25. novembris) par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK (1), un jo īpaši tās 98. panta 4. punktu,
tā kā:
|
(1) |
Komisijas Deleģētās regulas (ES) 2018/389 (2) 10. pantā ir paredzēts atbrīvojums no Direktīvas (ES) 2015/2366 97. pantā noteiktās prasības piemērot drošu lietotāju autentificēšanu, ja maksājumu pakalpojumu lietotājs piekļūst maksājumu konta atlikumam un nesenajiem darījumiem, neatklājot sensitīvus maksājumu datus. Šādā gadījumā maksājumu pakalpojumu sniedzējiem ir atļauts drošu lietotāju autentificēšanu nepiemērot attiecībā uz piekļuvi konta informācijai ar noteikumu, ka droša lietotāju autentificēšana ir bijusi piemērota brīdī, kad konta informācijai tika piekļūts pirmo reizi, un pēc tam vismaz reizi 90 dienās. |
|
(2) |
Minētā atbrīvojuma izmantošana ir radījusi ļoti atšķirīgu Deleģētās regulas (ES) 2018/389 piemērošanas praksi, kad daži kontu apkalpojošie maksājumu pakalpojumu sniedzēji pieprasa drošu lietotāju autentificēšanu ik pēc 90 dienām, citi – ar īsākiem laika intervāliem, bet vēl daži atbrīvojumu nepiemēro un drošu lietotāju autentificēšanu pieprasa attiecībā uz katru piekļuvi kontam. Šīs atšķirības klientu pieredzē ar konta informācijas pakalpojumu izmantošanu ir radījušas nevēlamas nesaskaņas un negatīvi ietekmējušas konta informācijas pakalpojumu sniedzēju pakalpojumus. |
|
(3) |
Lai nodrošinātu pienācīgu līdzsvaru starp Direktīvas (ES) 2015/2366 mērķiem uzlabot drošību, veicināt inovāciju un veicināt konkurenci iekšējā tirgū, ir nepieciešams sīkāk precizēt Deleģētās regulas (ES) 2018/389 10. pantā noteiktā atbrīvojuma piemērošanu gadījumos, kad konta informācijai piekļūst ar konta informācijas pakalpojumu sniedzēja starpniecību. Šādā gadījumā nebūtu jāļauj maksājumu pakalpojumu sniedzējiem izvēlēties, vai piemērot drošu lietotāju autentificēšanu, un būtu jānosaka, ka atbrīvojums ir obligāts, ievērojot nosacījumus, kuru mērķis ir nodrošināt maksājumu pakalpojumu lietotāju datu drošumu un drošību. |
|
(4) |
Atbrīvojums būtu jāattiecina tikai uz gadījumiem, kad tiek piekļūts maksājumu konta atlikumam un nesenajiem darījumiem un netiek atklāti sensitīvi maksājumu dati. Atbrīvojums būtu jāpiemēro tikai tad, ja maksājumu pakalpojumu sniedzēji jau ir piemērojuši drošu lietotāju autentificēšanu attiecībā uz pirmo piekļuvi ar attiecīgā konta informācijas pakalpojumu sniedzēja starpniecību, un tā būtu periodiski jāatjauno. |
|
(5) |
Lai nodrošinātu maksājumu pakalpojumu lietotāju datu drošumu un drošību, maksājumu pakalpojumu sniedzējiem būtu jāļauj jebkurā laikā piemērot drošu lietotāju autentificēšanu, ja tiem ir objektīvi pamatoti un atbilstoši pierādīti iemesli, kuri saistīti ar neatļautu vai krāpniecisku piekļuvi. Tas tā varētu būt gadījumā, kad kontu apkalpojošā maksājumu pakalpojumu sniedzēja darījumu uzraudzības mehānismi atklāj paaugstinātu neatļautas vai krāpnieciskas piekļuves risku. Lai nodrošinātu atbrīvojuma konsekventu piemērošanu, kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem šādos gadījumos būtu jādokumentē un pēc pieprasījuma pienācīgi jāpamato savas valsts kompetentajai iestādei iemesli, kāpēc tie piemēro drošu lietotāju autentificēšanu. |
|
(6) |
Ja maksājumu pakalpojumu lietotājs tieši piekļūst konta informācijai, maksājumu pakalpojumu sniedzējiem arī turpmāk būtu jāļauj izvēlēties, vai piemērot drošu lietotāju autentificēšanu. Tas ir tāpēc, ka šādos gadījumos nav novērotas īpašas problēmas, kuru dēļ būtu jāgroza Deleģētās regulas (ES) 2018/389 10. pantā noteiktais atbrīvojums, pretēji gadījumam, kad piekļuve tiek nodrošināta ar konta informācijas pakalpojumu sniedzēja starpniecību. |
|
(7) |
Lai nodrošinātu vienlīdzīgus konkurences apstākļus visiem maksājumu pakalpojumu sniedzējiem un saskaņā ar Direktīvas (ES) 2015/2366 mērķiem, proti, dot iespēju izstrādāt lietotājdraudzīgus un inovatīvus pakalpojumus, ir samērīgi noteikt vienādu 180 dienu termiņu gan attiecībā uz drošu lietotāju autentificēšanu gadījumos, kad konta informācijai piekļūst tieši ar kontu apkalpojošā maksājumu pakalpojumu sniedzēja starpniecību, gan gadījumos, kad piekļuve notiek ar konta informācijas pakalpojumu sniedzēja starpniecību. Drošas lietotāju autentificēšanas atjaunošana ar pašreizējo biežumu varētu klientu pieredzē radīt nevēlamas nesaskaņas un liegt konta informācijas pakalpojumu sniedzējiem piedāvāt savus pakalpojumus un lietotājiem – saņemt šos pakalpojumus. |
|
(8) |
Kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem, kuri piedāvā specializētu saskarni un ir ieviesuši ārkārtas pasākumu mehānismu, kā noteikts Deleģētās regulas (ES) 2018/389 33. panta 4. punktā, nevajadzētu būt pienākumam savās tiešajās klientu saskarnēs ieviest jauno obligāto atbrīvojumu ārkārtas pasākumu mehānisma vajadzībām, ar noteikumu, ka tie nepiemēro Deleģētās regulas (ES) 2018/389 10. pantā noteikto atbrīvojumu savās tiešajās klientu saskarnēs. Būtu nesamērīgi pieprasīt kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem, kuri piedāvā specializētu saskarni, kurā tiem ir jāīsteno jaunais obligātais atbrīvojums, ieviest atbrīvojumu arī savās tiešajās klientu saskarnēs ārkārtas pasākumu mehānisma vajadzībām. |
|
(9) |
Lai nodrošinātu, ka maksājumu pakalpojumu sniedzējiem ir pietiekami daudz laika veikt nepieciešamās izmaiņas savās sistēmās, kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem ne mazāk kā divus mēnešus pirms šādu izmaiņu ieviešanas maksājumu pakalpojumu sniedzējiem būtu jādara pieejamas izmaiņas, kas to saskarņu tehniskajās specifikācijās veiktas, lai nodrošinātu atbilstību šai regulai. |
|
(10) |
Tāpēc būtu attiecīgi jāgroza Deleģētā regula (ES) 2018/389. |
|
(11) |
Šīs regulas pamatā ir regulatīvo tehnisko standartu projekts, ko Komisijai iesniegusi Eiropas Banku iestāde. |
|
(12) |
Eiropas Banku iestāde ir veikusi atklātu sabiedrisko apspriešanu par regulatīvo tehnisko standartu projektu, kas ir šīs regulas pamatā, izvērtējusi potenciālās saistītās izmaksas un ieguvumus un pieprasījusi saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1093/2010 (3) 37. pantu izveidotās Banku nozares ieinteresēto personu grupas atzinumu, |
|
(13) |
Saskaņā ar Regulas (ES) 2018/1725 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kurš 2022. gada 7. jūnijā sniedza oficiālas piezīmes. |
|
(14) |
Lai nodrošinātu vienmērīgu pāreju uz šajā regulā noteiktajām jaunajām prasībām, maksājumu pakalpojumu sniedzējiem, kuri pirms šīs regulas piemērošanas dienas ir piemērojuši Deleģētās regulas (ES) 2018/389 10. pantā noteikto atbrīvojumu, būtu jāļauj turpināt piemērot minēto atbrīvojumu līdz 90 dienām no iepriekšējās reizes, kad piemērota droša lietotāju autentificēšana, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Grozījumi Deleģētajā regulā (ES) 2018/389
Deleģēto regulu (ES) 2018/389 groza šādi:
|
1) |
regulas 10. pantu aizstāj ar šādu: “10. pants Piekļuve maksājumu konta informācijai tieši pie kontu apkalpojošā maksājumu pakalpojumu sniedzēja 1. Ja ir ievērotas 2. pantā noteiktās prasības, maksājumu pakalpojumu sniedzējiem ir ļauts nepiemērot drošu lietotāju autentificēšanu gadījumā, ja maksājumu pakalpojumu lietotājs tieši piekļūst savam maksājumu kontam tiešsaistē, un ar noteikumu, ka piekļuve tiešsaistē attiecas tikai uz vienu no šādiem elementiem un netiek izpausti sensitīvi maksājumu dati:
2. Atkāpjoties no šā panta 1. punkta, pakalpojumu sniedzējiem nedrīkst piemērot atbrīvojumu no drošas lietotāju autentificēšanas, ja ir izpildīts kāds no šādiem nosacījumiem:
|
|
2) |
iekļauj šādu 10.a pantu: “10.a pants Piekļuve maksājumu konta informācijai ar konta informācijas pakalpojumu sniedzēja starpniecību 1. Maksājumu pakalpojumu sniedzēji nepiemēro drošu lietotāju autentificēšanu, ja maksājumu pakalpojumu lietotājs piekļūst savam maksājumu kontam tiešsaistē ar konta informācijas pakalpojumu sniedzēja starpniecību un ar noteikumu, ka, neizpaužot sensitīvus maksājumu datus, piekļuve tiešsaistē attiecas tikai uz vienu no šādiem elementiem:
2. Atkāpjoties no šā panta 1. punkta, pakalpojumu sniedzēji piemēro drošu lietotāju autentificēšanu, ja ir izpildīts kāds no šādiem nosacījumiem:
3. Atkāpjoties no 1. punkta, maksājumu pakalpojumu sniedzējiem ir atļauts piemērot drošu lietotāju autentificēšanu, ja maksājumu pakalpojumu lietotājs savam maksājumu kontam piekļūst tiešsaistē ar konta informācijas pakalpojumu sniedzēja starpniecību un ja maksājumu pakalpojumu sniedzējam ir objektīvi pamatoti un pienācīgi pierādīti iemesli, kas saistīti ar neatļautu vai krāpniecisku piekļuvi maksājumu kontam. Šādā gadījumā maksājumu pakalpojumu sniedzējs pēc savas valsts kompetentās iestādes pieprasījuma dokumentē un pienācīgi pamato drošas lietotāju autentificēšanas piemērošanas iemeslus. 4. Kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem, kas piedāvā specializētu saskarni, kā minēts 31. pantā, nav pienākuma 33. panta 4. punktā minētā ārkārtas pasākumu mehānisma vajadzībām īstenot šā panta 1. punktā noteikto atbrīvojumu, ja tie nepiemēro 10. pantā noteikto atbrīvojumu tiešajā saskarnē, ko izmanto autentifikācijai un saziņai ar saviem maksājumu pakalpojumu lietotājiem.” |
|
3) |
regulas 30. pantā iekļauj šādu 4.a punktu: “4a. Atkāpjoties no 4. punkta, kontu apkalpojošie maksājumu pakalpojumu sniedzēji šajā pantā minētajiem maksājumu pakalpojumu sniedzējiem ne vēlāk kā divus mēnešus pirms šādu izmaiņu ieviešanas dara pieejamu informāciju par izmaiņām, kas to saskarņu tehniskajās specifikācijās izdarītas, lai izpildītu 10.a panta prasības.” |
2. pants
Pārejas noteikumi
1. Maksājumu pakalpojumu sniedzējiem, kas Deleģētās regulas (ES) 2018/389 10. pantā paredzēto atbrīvojumu piemēroja pirms 2023. gada 25. jūlija, ir ļauts minēto atbrīvojumu turpināt piemērot piekļuves pieprasījumiem, kas saņemti ar konta informācijas pakalpojumu sniedzēja starpniecību, līdz tā laikposma beigām, uz kuru attiecas minētais atbrīvojums.
2. Atkāpjoties no 1. punkta, ikreiz, kad piekļuves pieprasījumam, kas veikts ar konta informācijas pakalpojumu sniedzēja starpniecību, tiek piemērota jauna droša lietotāju autentificēšana pirms tā laikposma beigām, uz kuru attiecas 1. punktā minētais atbrīvojums, piemēro ar šo regulu ieviesto 10.a pantu.
3. pants
Stāšanās spēkā un piemērošana
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
To piemēro no 2023. gada 25. jūlija.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2022. gada 3. augustā
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 337, 23.12.2015., 35. lpp.
(2) Komisijas Deleģētā regula (ES) 2018/389 (2017. gada 27. novembris), ar ko Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem par drošu lietotāja autentificēšanu un vienotiem un drošiem atklātiem saziņas standartiem (OV L 69, 13.3.2018., 23. lpp.).
(3) Eiropas Parlamenta un Padomes Regula (ES) Nr. 1093/2010 (2010. gada 24. novembris), ar ko izveido Eiropas Uzraudzības iestādi (Eiropas Banku iestādi), groza Lēmumu Nr. 716/2009/EK un atceļ Komisijas Lēmumu 2009/78/EK (OV L 331, 15.12.2010., 12. lpp.).