02018R0389-20230912

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 02018R0389-20230912 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 02018R0389-20230912

Help

Consolidated text: Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden (Voor de EER relevante tekst)Voor de EER relevante tekst

Access initial legal act

(

Legal status of the document In force

)

12/09/2023

ELI: http://data.europa.eu/eli/reg_del/2018/389/2023-09-12

HTML

PDF

02018R0389 — NL — 12.09.2023 — 002.001

Onderstaande tekst dient louter ter informatie en is juridisch niet bindend. De EU-instellingen zijn niet aansprakelijk voor de inhoud. Alleen de besluiten die zijn gepubliceerd in het Publicatieblad van de Europese Unie (te raadplegen in EUR-Lex) zijn authentiek. Deze officiële versies zijn rechtstreeks toegankelijk via de links in dit document

►B

GEDELEGEERDE VERORDENING (EU) 2018/389 VAN DE COMMISSIE

van 27 november 2017

tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden

(Voor de EER relevante tekst)

(PB L 069 van 13.3.2018, blz. 23)

Gewijzigd bij:

		Publicatieblad
		nr.	blz.	datum
►M1	GEDELEGEERDE VERORDENING (EU) 2022/2360 VAN DE COMMISSIE van 3 augustus 2022	L 312	1	5.12.2022
M2	GEDELEGEERDE VERORDENING (EU) 2023/1650 VAN DE COMMISSIE van 15 mei 2023	L 208	1	23.8.2023

▼B

GEDELEGEERDE VERORDENING (EU) 2018/389 VAN DE COMMISSIE

van 27 november 2017

(Voor de EER relevante tekst)

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Door deze verordening worden de vereisten vastgesteld die betaaldienstverleners in acht moeten nemen ten behoeve van de uitvoering van beveiligingsmaatregelen die hen in staat stellen het volgende te doen:

toepassen van de procedure voor sterke cliëntauthenticatie in overeenstemming met artikel 97 van Richtlijn (EU) 2015/2366;

vrijstellen van de toepassing van de beveiligingsvereisten voor sterke cliëntauthenticatie, afhankelijk van nader omschreven en beperkte voorwaarden op basis van de omvang van het risico, het bedrag en de recurrentie van de betalingstransactie en het voor de uitvoering van de betalingstransactie gebruikte betalingskanaal;

beschermen van de vertrouwelijkheid en de integriteit van de persoonlijke beveiligingsgegevens (credentials) van de betaaldienstgebruiker;

vaststellen van gemeenschappelijke en veilige open standaarden voor de communicatie tussen rekeninghoudende betaaldienstverleners, betaalinitiatiedienstverleners, rekeninginformatiedienstverleners, betalers, betalingsbegunstigden en andere betaaldienstverleners met betrekking tot het verlenen en het gebruik van betaaldiensten uit hoofde van titel IV van Richtlijn (EU) 2015/2366.

Artikel 2

Algemene authenticatievereisten

Betaaldienstverleners beschikken over mechanismen voor het monitoren van transacties waarmee zij ongeoorloofde of frauduleuze betalingstransacties voor de toepassing van de onder a) en b) van artikel 1 genoemde veiligheidsmaatregelen kunnen implementeren.

Die mechanismen zijn gebaseerd op de analyse van betalingstransacties, waarbij rekening wordt gehouden met elementen die typisch zijn voor de betaaldienstgebruiker in omstandigheden van normaal gebruik van de persoonlijke beveiligingsgegevens.

Betaaldienstverleners zorgen ervoor dat de mechanismen voor het monitoren van transacties ten minste met elk van de volgende risicofactoren rekening houden:

lijsten van gecompromitteerde of gestolen authenticatie-elementen;

het bedrag van elke betalingstransactie;

bekende fraudescenario's bij het verlenen van betaaldiensten;

tekenen van malwarebesmetting tijdens sessies van de authenticatieprocedure;

ingeval de toegangsapparatuur of -software door de betaaldienstverlener wordt verstrekt, een gebruikslog van de aan de betalingsgebruiker verstrekte toegangsapparatuur of -software en het abnormale gebruik van de toegangsapparatuur of -software.

Artikel 3

Evaluatie van de beveiligingsmaatregelen

De implementatie van de in artikel 1 bedoelde beveiligingsmaatregelen wordt in overeenstemming met het toepasselijke juridische kader van de betaaldienstverlener gedocumenteerd, op gezette tijden getest, geëvalueerd en gecontroleerd door auditors met deskundigheid op het gebied van IT-beveiliging en betalingen, en die operationeel onafhankelijk zijn binnen of ten opzichte van de betaaldienstverlener.

De tijdsspanne tussen de in lid 1 bedoelde audits wordt vastgesteld rekening houdende met het desbetreffende boekhoudkundige en wettelijke auditkader dat op de betaaldienstverlener van toepassing is.

Betaaldienstverleners kunnen evenwel gebruikmaken van de in artikel 18 bedoelde afwijking op voorwaarde dat ten minste eenmaal per jaar een audit van de methodologie, het model en de gemelde fraudepercentages plaatsvindt. De auditor die deze audit uitvoert, beschikt over deskundigheid op het gebied van IT-beveiliging en betalingen, en is operationeel onafhankelijk binnen of ten opzichte van de betaaldienstverlener. In het eerste jaar dat van de afwijking op grond van artikel 18 wordt gebruikgemaakt en vervolgens ten minste om de drie jaar, of vaker op verzoek van de bevoegde autoriteit, wordt deze audit uitgevoerd door een onafhankelijke en gekwalificeerde externe auditor.

Deze audit maakt een evaluatie van en doet verslag over de inachtneming van de in deze verordening vastgestelde vereisten door de beveiligingsmaatregelen van de betaaldienstverlener.

Het volledige verslag wordt aan bevoegde autoriteiten op hun verzoek ter beschikking gesteld.

HOOFDSTUK II

BEVEILIGINGSMAATREGELEN VOOR DE TOEPASSING VAN STERKE CLIËNTAUTHENTICATIE

Artikel 4

Authenticatiecode

Wanneer betaaldienstverleners in overeenstemming met artikel 97, lid 1, van Richtlijn (EU) 2015/2366 sterke cliëntauthenticatie toepassen, is deze authenticatie gebaseerd op twee of meer elementen die als kennis, bezit en inherentie worden gekwalificeerd en die resulteren in het genereren van een authenticatiecode.

De authenticatie wordt pas door de betaaldienstverlener geaccepteerd wanneer de betaler de authenticatiecode gebruikt om online toegang te krijgen tot zijn betaalrekening, om een elektronische betalingstransactie te initiëren of om via een communicatiemiddel op afstand een handeling uit te voeren die een risico op betalingsfraude of andere vormen van misbruik kan meebrengen.

Voor de toepassing van lid 1 nemen betaaldienstverleners beveiligingsmaatregelen waarmee aan elk van de volgende voorwaarden kan worden voldaan:

informatie over een van de in lid 1 bedoelde elementen kan niet worden afgeleid uit de openbaarmaking van de authenticatiecode;

het is niet mogelijk een nieuwe authenticatiecode te genereren op basis van de kennis van andere, voordien gegenereerde authenticatiecodes;

de authenticatiecode kan niet worden vervalst.

Betaaldienstverleners zorgen ervoor dat de authenticatie door middel van het genereren van een authenticatiecode elk van de volgende elementen omvat:

wanneer de authenticatie voor toegang op afstand, elektronische betalingen op afstand of andere handelingen via een communicatiemiddel op afstand die een risico op betalingsfraude of andere vormen van misbruik kunnen meebrengen, geen authenticatiecode voor de toepassing van lid 1 heeft gegenereerd, is het niet mogelijk om te identificeren welke van de in dat lid bedoelde elementen niet correct was;

het aantal mislukte authenticatiepogingen dat opeenvolgend kan plaatsvinden voordat de in artikel 97, lid 1, van Richtlijn (EU) 2015/2366 genoemde handelingen tijdelijk of permanent worden geblokkeerd, bedraagt binnen een bepaalde tijdsspanne maximaal vijf;

de communicatiesessies zijn overeenkomstig de vereisten van hoofdstuk V beschermd tegen onderschepping van authenticatiegegevens die tijdens de authenticatie worden doorgegeven, en tegen manipulatie door onbevoegde partijen;

de maximumtijd zonder activiteit van de betaler nadat deze zich heeft geauthenticeerd om online toegang te krijgen tot zijn betaalrekening, bedraagt niet meer dan vijf minuten.

Wanneer de in lid 3, onder b), bedoelde blokkering tijdelijk is, wordt de duur van die blokkering en het aantal nieuwe pogingen bepaald op basis van de kenmerken van de aan de betaler geleverde dienst en alle daaraan verbonden betrokken risico's, rekening houdende met ten minste de in artikel 2, lid 2, bedoelde factoren.

De betaler wordt gewaarschuwd voordat de blokkering permanent wordt.

Wanneer de blokkering permanent is geworden, wordt een veilige procedure ingesteld waardoor de betaler opnieuw kan gebruikmaken van de geblokkeerde elektronische betaalinstrumenten.

Artikel 5

Dynamische koppeling

Wanneer betaaldienstverleners sterke cliëntauthenticatie toepassen in overeenstemming met artikel 97, lid 2, van Richtlijn (EU) 2015/2366, stellen zij, afgezien van de vereisten van artikel 4 van deze verordening, ook beveiligingsmaatregelen vast die aan elk van de volgende voorwaarden voldoen:

de betaler wordt in kennis gesteld van het bedrag van de betalingstransactie en van de betalingsbegunstigde;

de gegenereerde authenticatiecode is specifiek voor het bedrag van de betalingstransactie en de betalingsbegunstigde waarmee de betaler bij het initiëren van de transactie akkoord is gegaan;

de door de betaaldienstverlener geaccepteerde authenticatiecode stemt overeen met het oorspronkelijke specifieke bedrag van de betalingstransactie en de identiteit van de betalingsbegunstigde waarmee de betaler akkoord is gegaan;

wijzigingen van het bedrag of de betalingsbegunstigde maken de gegenereerde authenticatiecode ongeldig.

Voor de toepassing van lid 1 nemen betaaldienstverleners beveiligingsmaatregelen die de vertrouwelijkheid, authenticiteit en integriteit van elk van de volgende elementen garanderen:

het transactiebedrag en de betalingsbegunstigde tijdens alle fasen van de authenticatie;

de informatie die de betaler te zien krijgt tijdens alle fasen van de authenticatie, daaronder begrepen het genereren, doorzenden en gebruiken van de authenticatiecode.

Voor de toepassing van lid 1, onder b), en wanneer betaaldienstverleners in overeenstemming met artikel 97, lid 2, van Richtlijn (EU) 2015/2366 sterke cliëntauthenticatie toepassen, gelden voor de authenticatiecode de volgende vereisten:

wat betreft een op kaarten gebaseerde betalingstransactie waarvoor de betaler heeft ingestemd met het exacte bedrag dat mag worden geblokkeerd overeenkomstig artikel 75, lid 1, van die richtlijn, is de authenticatiecode specifiek voor het bedrag dat met instemming van de betaler is geblokkeerd en waarmee deze akkoord is gegaan bij het initiëren van de transactie;

wat betreft betalingstransacties waarvoor de betaler heeft ingestemd met de uitvoering van een batch van elektronische betalingstransacties op afstand aan een of meerdere betalingsbegunstigden, is de authenticatiecode specifiek voor het volledige bedrag van de batch betalingstransacties en de vermelde betalingsbegunstigden.

Artikel 6

Vereisten voor de als kennis gekwalificeerde elementen

Betaaldienstverleners nemen maatregelen om het risico te mitigeren dat de als kennis gekwalificeerde elementen van sterke cliëntauthenticatie worden ontdekt door of onthuld aan onbevoegde partijen.

Het gebruik van die elementen door de betaler is onderworpen aan risicobeperkende maatregelen die de onthulling ervan aan onbevoegde partijen moeten voorkomen.

Artikel 7

Vereisten voor de als bezit gekwalificeerde elementen

Betaaldienstverleners nemen maatregelen om het risico te mitigeren dat de als bezit gekwalificeerde elementen van sterke cliëntauthenticatie worden gebruikt door onbevoegde partijen.

Het gebruik van die elementen door de betaler is onderworpen aan maatregelen die replicatie van die elementen moeten voorkomen.

Artikel 8

Vereisten voor aan als inherentie gekwalificeerde elementen gekoppelde apparatuur en software

Betaaldienstverleners nemen maatregelen om het risico te mitigeren dat de elementen van sterke cliëntauthenticatie die als inherentie worden gekwalificeerd en worden gelezen door aan de betaler verstrekte toegangsapparatuur en -software, worden ontdekt door onbevoegde partijen. De betaaldienstverleners zorgen er ten minste voor dat bij die toegangsapparatuur en -software de kans zeer klein is dat een onbevoegde partij als de betaler wordt geauthenticeerd.

Het gebruik van die elementen door de betaler is onderworpen aan maatregelen die ervoor moeten zorgen dat gegarandeerd is dat die apparatuur en de software bestand zijn tegen ongeoorloofd gebruik van de elementen door toegang tot de apparatuur en de software.

Artikel 9

Onafhankelijkheid van de elementen

Betaaldienstverleners zorgen ervoor dat het gebruik van de in de artikelen 6, 7 en 8 bedoelde elementen van sterke cliëntauthenticatie onderworpen is aan maatregelen die ervoor zorgen dat, in termen van technologie, algoritmen en parameters, het kraken van een van die elementen de betrouwbaarheid van de overige elementen niet in gevaar brengt.

Betaaldienstverleners nemen beveiligingsmaatregelen wanneer een of meer van de elementen van sterke cliëntauthenticatie of de authenticatiecode zelf worden gebruikt op een multipurposeapparaat, om het risico te mitigeren dat zou voortvloeien uit het feit dat het multipurposeapparaat is gecompromitteerd.

Voor de toepassing van lid 2 omvatten de risicobeperkende maatregelen elk van de volgende elementen:

het gebruik van gescheiden, beveiligde uitvoeringsomgevingen via de software die op het multipurposeapparaat is geïnstalleerd;

mechanismen om ervoor te zorgen dat de software of het apparaat niet wordt gewijzigd door de betaler of door een derde partij;

wanneer wijzigingen hebben plaatsgevonden, mechanismen om de gevolgen daarvan te dempen.

HOOFDSTUK III

VRIJSTELLINGEN VAN STERKE CLIËNTAUTHENTICATIE

▼M1

Artikel 10

Toegang tot de betaalrekeninginformatie via een rekeninghoudende betaaldienstverlener

Betaaldienstaanbieders hoeven geen sterke cliëntauthenticatie toe te passen, mits de vereisten van artikel 2 in acht worden genomen, wanneer een betaaldienstgebruiker rechtstreeks online toegang heeft tot zijn betaalrekening, op voorwaarde dat die toegang beperkt is tot een van de volgende online elementen zonder dat gevoelige betalingsgegevens worden vrijgegeven:

het saldo van een of meer aangewezen betaalrekeningen;

de betalingstransacties die de laatste negentig dagen zijn uitgevoerd via een of meer aangewezen betaalrekeningen.

In afwijking van lid 1 zijn betaaldienstverleners niet vrijgesteld van het toepassen van sterke cliëntauthenticatie wanneer een van de volgende voorwaarden is vervuld:

de betaaldienstgebruiker krijgt voor het eerst online toegang tot de in lid 1 genoemde informatie;

sinds de betaaldienstgebruiker voor het laatst toegang heeft gehad tot de in lid 1 genoemde informatie en sterke cliëntauthenticatie is toegepast zijn meer dan 180 dagen verstreken.

▼M1

Artikel 10 bis

Toegang tot de betaalrekeninginformatie via een rekeninginformatiedienstverlener

Betaaldienstverleners passen geen sterke cliëntauthenticatie toe wanneer een betaaldienstgebruiker online toegang krijgt tot zijn betaalrekening via een rekeninginformatiedienstverlener, op voorwaarde dat die toegang beperkt is tot een van de volgende online elementen zonder dat gevoelige betalingsgegevens worden vrijgegeven:

het saldo van een of meer aangewezen betaalrekeningen;

de betalingstransacties die de laatste negentig dagen zijn uitgevoerd via een of meer aangewezen betaalrekeningen.

In afwijking van lid 1 passen betaaldienstverleners sterke cliëntauthenticatie toe wanneer een van de volgende voorwaarden is vervuld:

de betaaldienstgebruiker krijgt voor het eerst online toegang tot de in lid 1 genoemde informatie via de rekeninginformatiedienstverlener;

sinds de betaaldienstgebruiker voor het laatst via de rekeninginformatiedienstverlener toegang heeft gehad tot de in lid 1 genoemde informatie en een sterke cliëntauthenticatie werd toegepast zijn meer dan 180 dagen verstreken.

In afwijking van lid 1 mogen betaaldienstverleners sterke cliëntauthenticatie toepassen wanneer een betaaldienstgebruiker via een rekeninginformatiedienstverlener online toegang krijgt tot zijn betaalrekening en de betaaldienstaanbieder objectieve en naar behoren aangetoonde redenen heeft in verband met ongeoorloofde of frauduleuze toegang tot de betaalrekening. In dat geval worden de redenen voor het toepassen van sterke cliëntauthenticatie door de betaaldienstaanbieder gedocumenteerd en op verzoek van zijn bevoegde nationale autoriteit tegenover haar verantwoord.

Rekeninghoudende betaaldienstverleners die een speciale interface als bedoeld in artikel 31 aanbieden, zijn niet verplicht de in lid 1 van dit artikel vastgestelde vrijstelling toe te passen met het oog op de in artikel 33, lid 4, bedoelde uitwijkvoorziening, indien zij de vrijstelling van artikel 10 niet toepassen in de directe interface die wordt gebruikt voor authenticatie en communicatie met hun betaaldienstgebruikers.

▼B

Artikel 11

Contactloze betalingen in verkooppunten

Het is betaaldienstverleners toegestaan om, mits de voorwaarden van artikel 2 in acht worden genomen, sterke cliëntauthenticatie niet toe passen wanneer de betaler een contactloze elektronische betalingstransactie initieert indien de volgende voorwaarden zijn vervuld:

het individuele bedrag van de contactloze elektronische betalingstransactie bedraagt niet meer dan 50 EUR, en

het totale bedrag van voorafgaande contactloze elektronische betalingstransacties die zijn geïnitieerd door middel van een betaalinstrument met een contactloze functionaliteit, beloopt sinds de datum van de laatste toepassing van sterke cliëntauthenticatie niet meer dan 150 EUR, of

het aantal opeenvolgende contactloze elektronische betalingstransacties die zijn geïnitieerd via het betaalinstrument dat een contactloze functionaliteit biedt, bedraagt sinds de datum van de laatste toepassing van sterke cliëntauthenticatie niet meer dan vijf.

Artikel 12

Onbemande betaalautomaten voor vervoerbewijzen en parkeergelden

Het is betaaldienstverleners toegestaan om, mits de voorwaarden van artikel 2 in acht worden genomen, sterke cliëntauthenticatie niet toe passen wanneer de betaler een elektronische betalingstransactie initieert op een onbemande betaalautomaat met het oog op de betaling van vervoerbewijzen of parkeergelden.

Artikel 13

Betrouwbare betalingsbegunstigden

Betaaldienstverleners passen sterke cliëntauthenticatie toe wanneer een betaler een lijst van betrouwbare betalingsbegunstigden aanmaakt of aanpast via de rekeninghoudende betaaldienstverlener van de betaler.

Het is betaaldienstverleners toegestaan om, mits de algemene authenticatievereisten in acht worden genomen, sterke cliëntauthenticatie niet toe te passen wanneer de betaler een betalingstransactie initieert en de betalingsbegunstigde is opgenomen in een voordien door de betaler aangemaakte lijst van betrouwbare betalingsbegunstigden.

Artikel 14

Recurrente transacties

Betaaldienstverleners passen sterke cliëntauthenticatie toe wanneer een betaler een reeks recurrente transacties met hetzelfde bedrag en dezelfde betalingsbegunstigde aanmaakt, aanpast of voor het eerst initieert.

Het is betaaldienstverleners toegestaan om, mits de algemene authenticatievereisten in acht worden genomen, sterke cliëntauthenticatie niet toe te passen voor het initiëren van alle volgende betalingstransacties uit de in lid 1 bedoelde reeks transacties.

Artikel 15

Overmakingen tussen door dezelfde natuurlijke persoon of rechtspersoon aangehouden rekeningen

Het is betaaldienstverleners toegestaan om, mits de voorwaarden van artikel 2 in acht worden genomen, sterke cliëntauthenticatie niet toe passen wanneer de betaler een overmaking initieert wanneer de betaler en de betalingsbegunstigde dezelfde natuurlijke persoon of rechtspersoon zijn en beide betaalrekeningen worden aangehouden bij dezelfde rekeninghoudende betaaldienstverlener.

Artikel 16

Transacties voor kleine bedragen

Het is betaaldienstverleners toegestaan om sterke cliëntauthenticatie niet toe passen wanneer de betaler een elektronische betalingstransactie op afstand initieert, mits de volgende voorwaarden zijn vervuld:

het bedrag van de elektronische betalingstransactie op afstand bedraagt niet meer dan 30 EUR, en

het totale bedrag van voorafgaande elektronische betalingstransacties op afstand die zijn geïnitieerd sinds de laatste toepassing van sterke cliëntauthenticatie, beloopt niet meer dan 100 EUR, of

het aantal voorafgaande elektronische betalingstransacties op afstand die zijn geïnitieerd sinds de laatste toepassing van sterke cliëntauthenticatie, beloopt niet meer dan vijf opeenvolgende individuele elektronische betalingstransacties op afstand.

Artikel 17

Veilige zakelijke betalingsprocedures en -protocollen

Het is betaaldienstverleners toegestaan om sterke cliëntauthenticatie niet toe te passen ten aanzien van rechtspersonen die elektronische betalingstransacties initiëren via het gebruik van speciale betalingsprocedures of -protocollen die alleen beschikbaar worden gesteld aan betalers niet zijnde consumenten wanneer de bevoegde autoriteiten zich ervan hebben vergewist dat die processen of protocollen beveiligingsniveaus garanderen die ten minste gelijkwaardig zijn aan die waarin door Richtlijn (EU) 2015/2366 wordt voorzien.

Artikel 18

Analyse van transactierisico's

Het is betaaldienstverleners toegestaan om sterke cliëntauthenticatie niet toe te passen wanneer de betaler een elektronische betalingstransactie op afstand initieert die door de betaaldienstverleners volgens de in artikel 2 en in lid 2, onder c), van dit artikel bedoelde mechanismen voor transactiemonitoring is geïdentificeerd als een transactie die weinig risico oplevert.

Een in lid 1 bedoelde elektronische betalingstransactie wordt beschouwd als een transactie die weinig risico oplevert, wanneer elk van de volgende voorwaarden is vervuld:

het fraudepercentage voor dat type transactie, zoals gemeld door de betaaldienstverlener en berekend in overeenstemming met artikel 19, is gelijkwaardig aan of ligt lager dan de referentiefraudepercentages die in de tabel in de bijlage worden genoemd voor, onderscheidenlijk, „elektronische op kaarten gebaseerde betalingen op afstand” en „elektronische overmakingen op afstand”;

het transactiebedrag ligt niet hoger dan de betrokken drempelwaarde voor vrijstelling die in de tabel in de bijlage wordt genoemd;

betaaldienstverleners hebben als gevolg van het uitvoeren van een realtimerisicoanalyse niet een van de volgende elementen geïdentificeerd:

een abnormaal uitgave- of gedragspatroon van de betaler;

ii)

ongewone informatie over de toegangsapparatuur of -software van de betaler;

iii)

een malwarebesmetting tijdens sessies van de authenticatieprocedure;

iv)

bekende fraudescenario's bij het verlenen van betaaldiensten;

een ongebruikelijke locatie van de betaler;

vi)

een hoogrisicolocatie van de betalingsbegunstigde.

Betaaldienstverleners die voornemens zijn elektronische betalingstransacties op afstand vrij te stellen van sterke cliëntauthenticatie op grond van het feit dat deze een laag risico inhouden, nemen ten minste de volgende risicofactoren in aanmerking:

de vroegere uitgavepatronen van de individuele betaaldienstgebruiker;

de betalingstransactiegeschiedenis van elk van de betaaldienstgebruikers van de betaaldienstverlener;

de locatie van de betaler en de betalingsbegunstigde op het tijdstip van de betalingstransactie in gevallen dat de toegangsapparatuur of -software door de betaaldienstverleners wordt verstrekt;

de identificatie van ongebruikelijke betalingspatronen van de betaaldienstgebruiker ten opzichte van de betalingstransactiegeschiedenis van de gebruiker.

In de beoordeling die een betaaldienstverlener maakt, worden al die risicofactoren gecombineerd tot een risicoscore voor elke individuele transactie om te bepalen of een specifieke betaling kan worden toegestaan zonder sterke cliëntauthenticatie.

Artikel 19

Berekening van fraudepercentages

Voor elk in de tabel in de bijlage genoemd type transactie zorgt de betaaldienstverlener ervoor dat de totale fraudepercentages voor zowel via sterke cliëntauthenticatie geauthenticeerde betalingstransacties als voor transacties die worden uitgevoerd op grond van een van de in de artikelen 13 tot en met 18 bedoelde vrijstellingen, gelijkwaardig zijn aan of lager dan het referentiefraudepercentage voor hetzelfde type betalingstransactie dat in de tabel in de bijlage is vermeld.

Het totale fraudepercentage voor elk type transactie wordt berekend als de totale waarde van ongeoorloofde of frauduleuze transacties op afstand, ongeacht of de middelen zijn teruggevorderd of niet, gedeeld door de totale waarde van alle transacties op afstand voor hetzelfde type transactie, ongeacht of deze zijn geauthenticeerd met sterke cliëntauthenticatie dan wel zijn uitgevoerd op grond van een van de in de artikelen 13 tot en met 18 bedoelde vrijstellingen, op voortschrijdende kwartaalbasis (negentig dagen).

De berekening van de fraudepercentages en de daaruit resulterende cijfers worden beoordeeld tijdens de in artikel 3, lid 2, bedoelde audit, hetgeen ervoor zorgt dat deze volledig en nauwkeurig zijn.

De methodologie en eventuele modellen die de betaaldienstverlener gebruikt om de fraudepercentages te berekenen, alsmede de fraudepercentages zelf worden adequaat gedocumenteerd en worden, op hun verzoek, volledig ter beschikking gesteld aan bevoegde autoriteiten en, na voorafgaande kennisgeving aan de betrokken bevoegde autoriteit of autoriteiten, aan de EBA.

Artikel 20

Stopzetting van vrijstellingen op basis van analyse van transactierisico's

Betaaldienstverleners die van de in artikel 18 bedoelde vrijstelling gebruikmaken, doen onverwijld melding aan de bevoegde autoriteiten wanneer een van hun gemonitorde fraudepercentages, voor een van de types betalingstransacties uit de tabel in de bijlage, het toepasselijke referentiefraudepercentage overschrijdt en verschaffen de bevoegde autoriteiten een beschrijving van de maatregelen die zij voornemens zijn te nemen zodat hun gemonitorde fraudepercentage opnieuw aan de toepasselijke referentiefraudepercentages voldoet.

Betaaldienstverleners zetten onverwijld het gebruik stop van de in artikel 18 bedoelde vrijstelling voor een van de types betalingstransacties die is vermeld in de tabel in de bijlage met de specifieke vrijstellingsbandbreedte, wanneer hun gemonitorde fraudepercentage voor twee opeenvolgende kwartalen het toepasselijke referentiefraudepercentage voor dat betaalinstrument of dat type betalingstransactie overschrijdt binnen die vrijstellingsbandbreedte.

Na de stopzetting van de in artikel 18 bedoelde vrijstelling overeenkomstig lid 2 van dit artikel maken betaaldienstverleners pas opnieuw gebruik van die vrijstelling wanneer hun berekende fraudepercentage gelijk is aan of lager ligt dan de referentiefraudepercentages over één kwartaal voor dat type betalingstransactie binnen die vrijstellingsbandbreedte.

Wanneer betaaldienstverleners opnieuw willen gebruikmaken van de in artikel 18 bedoelde vrijstelling, stellen zij de bevoegde autoriteiten binnen een redelijk tijdsbestek daarvan in kennis en verschaffen zij, voordat zij opnieuw van die vrijstelling gebruikmaken, bewijsmateriaal voor het feit dat hun gemonitorde fraudepercentage, in overeenstemming met lid 3 van dit artikel, opnieuw binnen het toepasselijke fraudepercentage is gebracht voor die vrijstellingsbandbreedte.

Artikel 21

Monitoring

Om gebruik te kunnen maken van de in de artikelen 10 tot en met 18 bepaalde vrijstellingen, leggen betaaldienstverleners voor elk type betalingstransactie de volgende gegevens vast en monitoren ze deze, met een uitsplitsing in betalingstransacties op afstand en betalingstransacties niet op afstand, ten minste op kwartaalbasis:

de totale waarde van ongeoorloofde of frauduleuze betalingstransacties overeenkomstig artikel 64, lid 2, van Richtlijn (EU) 2015/2366, de totale waarde van alle betalingstransacties en het daaruit resulterende fraudepercentage, met inbegrip van een uitsplitsing van via sterke cliëntauthenticatie geïnitieerde betalingstransacties en volgens elk van de vrijstellingen;

de gemiddelde transactiewaarde, met inbegrip van een uitsplitsing van via sterke cliëntauthenticatie geïnitieerde betalingstransacties en volgens elk van de vrijstellingen;

het aantal betalingstransacties waar elk van de vrijstellingen is toegepast en hun aandeel in het totale aantal betalingstransacties.

Betaaldienstverleners stellen de uitkomsten van de monitoring overeenkomstig lid 1 ter beschikking van bevoegde autoriteiten en, na voorafgaande kennisgeving aan de betrokken bevoegde autoriteit of autoriteiten, van de EBA.

HOOFDSTUK IV

VERTROUWELIJKHEID EN INTEGRITEIT VAN PERSOONLIJKE BEVEILIGINGSGEGEVENS VAN BETAALDIENSTGEBRUIKERS

Artikel 22

Algemene vereisten

Betaaldienstverleners verzekeren de vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker, daaronder begrepen authenticatiecodes, tijdens alle fasen van de authenticatie.

Voor de toepassing van lid 1 zorgen betaaldienstverleners ervoor dat aan elk van de volgende voorwaarden wordt voldaan:

persoonlijke beveiligingsgegevens worden afgeschermd wanneer ze verschijnen en zijn niet volledig leesbaar wanneer ze door de betaaldienstgebruiker tijdens de authenticatie worden ingegeven;

persoonlijke beveiligingsgegevens in gegevensformaat, alsmede cryptografisch materiaal met betrekking tot de versleuteling van de persoonlijke beveiligingsgegevens worden niet opgeslagen als niet-gecodeerde tekst;

geheim cryptografisch materiaal wordt beschermd tegen ongeoorloofde bekendmaking.

Betaaldienstverleners documenteren het proces met betrekking tot het beheer van cryptografisch materiaal dat wordt gebruikt voor het versleutelen of anderszins onleesbaar maken van de persoonlijke beveiligingsgegevens, volledig.

Betaaldienstverleners zorgen ervoor dat de verwerking en het routeren van persoonlijke beveiligingsgegevens en van de in overeenstemming met hoofdstuk II gegenereerde authenticatiecodes plaatsvinden in een beveiligde omgeving volgens sterke en algemeen erkende sectorale standaarden.

Artikel 23

Aanmaken en doorgeven van beveiligingsgegevens

Betaaldienstverleners zorgen ervoor dat het aanmaken van persoonlijke beveiligingsgegevens in een veilige omgeving plaatsvindt.

Zij beperken het risico van ongeoorloofd gebruik van de persoonlijke beveiligingsgegevens en van de authenticatieapparatuur en -software als gevolg van verlies, diefstal of kopiëren vóór de levering ervan aan de betaler.

Artikel 24

Koppeling aan de betaaldienstgebruiker

Betaaldienstverleners zorgen ervoor dat alleen de betaaldienstgebruiker veilig wordt gekoppeld aan de persoonlijke beveiligingsgegevens en de authenticatieapparatuur en -software.

Voor de toepassing van lid 1 zorgen betaaldienstverleners ervoor dat aan elk van de volgende voorwaarden wordt voldaan:

de koppeling van de identiteit van de betaaldienstgebruiker aan persoonlijke beveiligingsgegevens en authenticatieapparatuur en -software vindt plaats in veilige omgevingen onder de verantwoordelijkheid van de betaaldienstverlener. Die omgevingen omvatten ten minste de bedrijfsgebouwen van de betaaldienstverlener, de door de betaaldienstverlener verschafte internetomgeving of andere vergelijkbare veilige websites die door de betaaldienstverlener worden gebruikt, en zijn geldautomaatdiensten, rekening houdende met risico's die verbonden zijn aan apparaten en onderliggende onderdelen die worden gebruikt tijdens de koppelingsprocedure maar die niet onder de verantwoordelijkheid van de betaaldienstverlener vallen;

de koppeling via een communicatiemiddel op afstand van de identiteit van de betaaldienstgebruiker aan de persoonlijke beveiligingsgegevens en aan authenticatieapparatuur of -software vindt plaats door middel van sterke cliëntauthenticatie.

Artikel 25

Levering van beveiligingsgegevens en authenticatieapparatuur en -software

Betaaldienstverleners zorgen ervoor dat de levering van persoonlijke beveiligingsgegevens en authenticatieapparatuur en -software aan de betaaldienstgebruiker op een veilige manier verloopt die de risico's helpt te voorkomen die zijn verbonden aan het ongeoorloofde gebruik ervan als gevolg van verlies, diefstal of kopiëren.

Voor de toepassing van lid 1 passen betaaldienstverleners ten minste elk van de volgende maatregelen toe:

doeltreffende en veilige leveringsmechanismen die garanderen dat de persoonlijke beveiligingsgegevens en authenticatieapparatuur en -software aan de rechtmatige betaaldienstgebruiker worden geleverd;

mechanismen waarmee de betaaldienstverlener de authenticiteit kan nagaan van de authenticatiesoftware die aan de betaaldienstgebruiker via het internet wordt geleverd;

regelingen die ervoor zorgen dat, wanneer de levering van persoonlijke beveiligingsgegevens plaatsvindt buiten de bedrijfsruimten van de betaaldienstverlener of via een communicatiemiddel op afstand:

geen onbevoegde partij meer dan één element van de persoonlijke beveiligingsgegevens en de authenticatieapparatuur of -software kan krijgen wanneer die via hetzelfde kanaal worden geleverd;

ii)

de geleverde persoonlijke beveiligingsgegevens en authenticatieapparatuur of -software moeten worden geactiveerd voordat ze kunnen worden gebruikt;

regelingen die ervoor zorgen dat, in gevallen waarin de persoonlijke beveiligingsgegevens en de authenticatieapparatuur of -software moeten worden geactiveerd vóór het eerste gebruik ervan, de authenticatie in een veilige omgeving plaatsvindt in overeenstemming met de in artikel 24 bedoelde koppelingsprocedures.

Artikel 26

Vernieuwing van persoonlijke beveiligingsgegevens

Betaaldienstverleners zorgen ervoor dat de vernieuwing of het opnieuw activeren van persoonlijke beveiligingsgegevens verloopt volgens de procedures voor het aanmaken, koppelen en leveren van de beveiligingsgegevens en de authenticatieapparatuur in overeenstemming met de artikelen 23, 24 en 25.

Artikel 27

Vernietiging, deactivering en herroeping

Betaaldienstverleners zorgen ervoor dat zij beschikken over effectieve procedures om elk van de volgende beveiligingsmaatregelen toe te passen:

de veilige vernietiging, deactivering of herroeping van de persoonlijke beveiligingsgegevens en authenticatieapparatuur en -software;

wanneer de betaaldienstverlener herbruikbare authenticatieapparatuur en -software distribueert, wordt het veilige hergebruik van een apparaat of van software vastgelegd, gedocumenteerd en geïmplementeerd voordat deze aan een andere betaaldienstgebruiker beschikbaar worden gesteld;

het deactiveren of herroepen van informatie met betrekking tot persoonlijke beveiligingsgegevens die zijn opgeslagen in de systemen en databases van de betaaldienstverlener, en, in voorkomend geval, in publieke registers.

HOOFDSTUK V

GEMEENSCHAPPELIJKE EN VEILIGE OPEN COMMUNICATIESTANDAARDEN

Afdeling 1

Algemene vereisten voor communicatie

Artikel 28

Identificatievereisten

Betaaldienstverleners zorgen voor veilige identificatie bij de communicatie tussen de apparatuur van de betaler en de apparatuur van de betalingsbegunstigde voor het accepteren van elektronische betalingen, met inbegrip van, maar niet beperkt tot betaalterminals.

Betaaldienstverleners zorgen ervoor dat de risico's dat communicatie wordt afgeleid naar onbevoegde partijen in mobiele applicaties en andere interfaces voor betaaldienstgebruikers die elektronische betaaldiensten verlenen, daadwerkelijk worden beperkt.

Artikel 29

Traceerbaarheid

Betaaldienstverleners beschikken over procedures die borgen dat alle betalingstransacties en andere interacties met de betaaldienstgebruiker, met andere betaaldienstverleners en met andere entiteiten, daaronder begrepen handelaren, in het kader van het verrichten van de betaaldienst traceerbaar zijn, zodat achteraf alle gebeurtenissen die relevant zijn voor de elektronische transactie in alle verschillende fasen, bekend zijn.

Voor de toepassing van lid 1 zorgen betaaldienstverleners ervoor dat communicatiesessies die tot stand komen met de betaaldienstgebruiker, andere betaaldienstverleners en andere entiteiten, daaronder begrepen handelaren, gebruikmaken van elk van de volgende elementen:

een unieke identificator van de sessie;

beveiligingsmechanismen voor een gedetailleerde logging van de transactie, met onder meer een transactienummer, tijdstempel en alle relevante transactiegegevens;

tijdstempels die zijn gebaseerd op een eengemaakt tijdsreferentiesysteem en die zijn gesynchroniseerd met een officieel tijdsignaal.

Afdeling 2

Specifieke vereisten voor de gemeenschappelijke en veilige open standaarden voor communicatie

Artikel 30

Algemene verplichtingen voor toegangsinterfaces

Rekeninghoudende betaaldienstverleners die een betaler een betaalrekening aanbieden die online toegankelijk is, beschikken over ten minste één interface die voldoet aan elk van de volgende vereisten:

rekeninginformatiedienstverleners, betaalinitiatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven, zijn in staat om zichzelf te identificeren bij de rekeninghoudende betaaldienstverlener;

rekeninginformatiedienstverleners zijn in staat om veilig te communiceren bij het verzoeken om en ontvangen van informatie over een of meer aangewezen betaalrekeningen en daarmee samenhangende betalingstransacties;

betaalinitiatiedienstverleners zijn in staat om veilig te communiceren bij het initiëren van een betalingsopdracht van de betaalrekening van de betaler en om alle informatie te ontvangen over de initiëring van de betalingstransactie en alle informatie die toegankelijk is voor de rekeninghoudende betaaldienstverleners met betrekking tot de uitvoering van de betalingstransactie.

Voor de authenticatie van de betaaldienstgebruiker kunnen rekeninginformatiedienstverleners en betaalinitiatiedienstverleners dankzij de in lid 1 bedoelde interface een beroep doen op alle authenticatieprocedures die de rekeninghoudende betaaldienstverlener aan de betaaldienstgebruiker heeft aangeboden.

De interface voldoet ten minste aan elk van de volgende vereisten:

een betaalinitiatiedienstverlener of een rekeninginformatiedienstverlener is in staat de rekeninghoudende betaaldienstverlener te instrueren om de authenticatie te starten op basis van de instemming van de betaaldienstgebruiker;

communicatiesessies tussen de rekeninghoudende betaaldienstverlener, de rekeninginformatiedienstverlener, de betaalinitiatiedienstverlener en betaaldienstgebruikers komt tot stand en wordt aangehouden via de authenticatie;

de integriteit en de vertrouwelijkheid van de persoonlijke beveiligingsgegevens en van door of via de betaalinitiatiedienstverlener of de rekeninginformatiedienstverlener doorgezonden authenticatiecodes worden gewaarborgd.

Rekeninghoudende betaaldienstverleners zorgen ervoor dat hun interfaces communicatiestandaarden volgen die zijn uitgevaardigd door internationale of Europese standaardisatieorganisaties.

Rekeninghoudende betaaldienstverleners zorgen er ook voor dat de technische specificaties van de interfaces worden gedocumenteerd, waarbij een stel routines, protocollen en tools wordt aangegeven die betaalinitiatiedienstverleners, rekeninginformatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven, nodig hebben om hun software en toepassingen interoperabel te maken met de systemen van de rekeninghoudende betaaldienstverleners.

Rekeninghoudende betaaldienstverleners stellen ten minste, en zeker zes maanden vóór de in artikel 38, lid 2, genoemde toepassingsdatum, of vóór de beoogde datum voor de marktlancering van de toegangsinterface wanneer de lancering plaatsvindt na de in artikel 38, lid 2, genoemde datum, de documentatie kosteloos beschikbaar op verzoek van vergunninghoudende betaalinitiatiedienstverleners, rekeninginformatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven of betaaldienstverleners die bij hun bevoegde autoriteiten de desbetreffende vergunning hebben aangevraagd, en stellen een overzicht van de documentatie publiek beschikbaar op hun website.

Naast het bepaalde in lid 3 zorgen rekeninghoudende betaaldienstverleners ervoor dat, afgezien van noodsituaties, aanpassingen aan de technische specificaties van hun interface aan vergunninghoudende betaalinitiatiedienstverleners, rekeninginformatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven of betaaldienstverleners die bij hun bevoegde autoriteiten de desbetreffende vergunning hebben aangevraagd, zo snel mogelijk vooraf en ten minste drie maanden voordat de aanpassing wordt geïmplementeerd, beschikbaar worden gesteld.

Betaaldienstverleners documenteren noodsituaties waarin aanpassingen zijn geïmplementeerd en stellen de documentatie op verzoek aan bevoegde autoriteiten beschikbaar.

▼M1

4 bis.

In afwijking van lid 4 stellen rekeninghoudende betaaldienstverleners de wijzigingen die in de technische specificaties van hun interfaces zijn aangebracht om aan artikel 10 bis te voldoen, ten minste twee maanden voordat die wijzigingen worden doorgevoerd, ter beschikking van de in dit artikel bedoelde betaaldienstaanbieders.

▼B

Betaaldienstverleners stellen een testvoorziening beschikbaar, met inbegrip van ondersteuning, voor het testen van verbindingen en functionaliteiten zodat vergunninghoudende betaalinitiatiedienstverleners, rekeninginformatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven of betaaldienstverleners die bij hun bevoegde autoriteiten de desbetreffende vergunning hebben aangevraagd, de software en toepassingen kunnen testen die zij gebruiken om een betaaldienst aan gebruikers aan te bieden. Deze testvoorziening dient beschikbaar te worden gesteld uiterlijk zes maanden vóór de in artikel 38, lid 2, genoemde toepassingsdatum of vóór de beoogde datum voor de marktlancering van de toegangsinterface, wanneer de lancering plaatsvindt na de in artikel 38, lid 2, genoemde datum,

Via de testvoorziening mag evenwel geen gevoelige informatie worden gedeeld.

Bevoegde autoriteiten zien erop toe dat rekeninghoudende betaaldienstverleners te allen tijde aan de in deze normen opgenomen verplichtingen voldoen wat betreft de interface of interfaces die zij beschikbaar stellen. Ingeval een rekeninghoudende betaaldienstverlener niet aan de in deze normen voor interfaces vastgestelde vereisten voldoet, zorgen bevoegde autoriteiten ervoor dat het verlenen van betaalinitiatiediensten en rekeninginformatiediensten niet wordt belet of verstoord, voor zover de betrokken verleners van die diensten aan de in artikel 33, lid 5, bepaalde voorwaarden voldoen.

Artikel 31

Opties voor toegangsinterfaces

Rekeninghoudende betaaldienstverleners zetten de in artikel 30 bedoelde interface of interfaces op via een speciale interface of door toe te staan dat de in artikel 30, lid 1, genoemde betaaldienstverleners gebruikmaken van de interfaces die worden gebruikt voor authenticatie van en communicatie met de betaaldienstgebruikers van de rekeninghoudende betaaldienstverlener.

Artikel 32

Voor een speciale interface geldende verplichtingen

Op voorwaarde dat het bepaalde in de artikelen 30 en 31 in acht wordt genomen, zorgen rekeninghoudende betaaldienstverleners die een speciale interface hebben opgezet, ervoor dat die speciale interface te allen tijde hetzelfde niveau van beschikbaarheid en prestaties, met inbegrip van ondersteuning, aanbiedt als de interfaces die aan de betaaldienstgebruiker beschikbaar worden gesteld om direct onlinetoegang te krijgen tot zijn betaalrekening.

Rekeninghoudende betaaldienstverleners die een speciale interface hebben opgezet, leggen transparante kritische prestatie-indicatoren (KPI's) en serviceniveaudoelstellingen vast, die ten minste even streng zijn als die voor de interface die voor hun betaaldienstgebruikers wordt gebruikt, zowel in termen van beschikbaarheid als in termen van gegevens die zijn verschaft in overeenstemming met artikel 36. Die interfaces, indicatoren en doelstellingen worden door de bevoegde autoriteiten gemonitord en aan stresstests onderworpen.

Rekeninghoudende betaaldienstverleners die een speciale interface hebben opgezet, zorgen ervoor dat deze interface geen obstakels opwerpt voor het verlenen van betaalinitiatiediensten en rekeninginformatiediensten. Bij dergelijke obstakels kan het onder meer gaan om het beletten van het gebruik door de in artikel 30, lid 1, genoemde betaaldienstverleners van de door rekeninghoudende betaaldienstverleners aan hun cliënten afgegeven beveiligingsgegevens, het opleggen van omleiding naar de authenticatie of andere functies van de rekeninghoudende betaaldienstverlener, het eisen van bijkomende vergunningen en registraties boven op die welke zijn bepaald in de artikelen 11, 14 en 15 van Richtlijn (EU) 2015/2366, of het eisen van extra controles op de door betaaldienstgebruikers aan betaalinitiatiedienstverleners en rekeninginformatiedienstverleners verleende toestemming.

Voor de toepassing van de leden 1 en 2 monitoren rekeninghoudende betaaldienstverleners de beschikbaarheid en prestaties van de speciale interface. Rekeninghoudende betaaldienstverleners maken op hun website per kwartaal statistische gegevens bekend over de beschikbaarheid en prestaties van de speciale interface en van de door hun betaaldienstgebruikers gebruikte interface.

Artikel 33

Uitwijkvoorzieningen voor een speciale interface

Rekeninghoudende betaaldienstverleners nemen, bij het vormgeven van de speciale interface, een strategie en plannen voor uitwijkvoorzieningen op voor het geval de interface niet presteert in overeenstemming met artikel 32, de interface ongepland onbeschikbaar is en het systeem uitvalt. Ongeplande onbeschikbaarheid of een systeemuitval kan worden geacht te hebben plaatsgevonden wanneer op vijf opeenvolgende verzoeken om toegang tot informatie voor het verlenen van betaalinitiatiediensten of rekeninginformatiediensten niet binnen dertig seconden een antwoord is gekomen.

Uitwijkvoorzieningen omvatten communicatieplannen om betaaldienstverleners die van de speciale interface gebruikmaken, te informeren over maatregelen om het systeem te herstellen en een beschrijving van de meteen beschikbare alternatieve opties waarover betaaldienstverleners in de tussentijd kunnen beschikken.

Zowel de rekeninghoudende betaaldienstverlener als de betaaldienstverleners genoemd in artikel 30, lid 1, melden problemen met in lid 1 beschreven speciale interfaces onverwijld bij hun respectieve bevoegde nationale autoriteiten.

Als onderdeel van een uitwijkvoorziening mogen in artikel 30, lid 1, genoemde betaaldienstverleners gebruikmaken van de interfaces die aan de betaaldienstgebruiker beschikbaar worden gesteld voor de authenticatie door en communicatie met hun rekeninghoudende betaaldienstverlener, totdat de speciale interface is hersteld tot het in artikel 32 bepaalde niveau van betrouwbaarheid en prestaties.

Met het oog daarop zorgen rekeninghoudende betaaldienstverleners ervoor dat de in artikel 30, lid 1, genoemde betaaldienstverleners kunnen worden geïdentificeerd en een beroep kunnen doen op de door de rekeninghoudende betaaldienstverlener voor de betaaldienstgebruiker vastgestelde authenticatieprocedures. Wanneer de in artikel 30, lid 1, bedoelde betaaldienstverleners gebruikmaken van de in lid 4 bedoelde interface, doen zij het volgende:

zij nemen de nodige maatregelen om ervoor te zorgen dat zij zich geen toegang verschaffen tot gegevens of deze opslaan of verwerken voor andere doelstellingen dan het verlenen van de door de betaaldienstgebruiker gevraagde dienst;

zij blijven voldoen aan de verplichtingen uit hoofde van, onderscheidenlijk, artikel 66, lid 3, en artikel 67, lid 2, van Richtlijn (EU) 2015/2366;

zij loggen de gegevens waartoe zij toegang hadden via de interface die door de rekeninghoudende betaaldienstverlener wordt geëxploiteerd ten behoeve van zijn betaaldienstgebruikers, en verschaffen, op verzoek en onverwijld, de logboekbestanden aan hun bevoegde nationale autoriteit;

zij verantwoorden tegenover hun bevoegde nationale autoriteit, op verzoek en onverwijld, deugdelijk het gebruik van de interface die aan de betaaldienstgebruiker beschikbaar is gesteld met het oog op rechtstreekse onlinetoegang tot zijn betaalrekening;

zij informeren de rekeninghoudende betaaldienstverlener in die zin.

Bevoegde autoriteiten verlenen, na overleg met de EBA met het oog op een coherente toepassing van de onderstaande voorwaarden, aan de rekeninghoudende betaaldienstverleners die voor een speciale interface hebben geopteerd, ontheffing van de verplichting om de in lid 4 beschreven uitwijkvoorziening op te zetten wanneer de speciale interface aan elk van de volgende voorwaarden voldoet:

hij voldoet aan alle in artikel 32 uiteengezette verplichtingen voor speciale interfaces;

hij is ontworpen en getest in overeenstemming met artikel 30, lid 5, tot tevredenheid van de daarin genoemde betaaldienstverleners;

hij is ten minste drie maanden door betaaldienstverleners breed gebruikt voor het verlenen van rekeninginformatiediensten en betaalinitiatiediensten en voor het bevestigen van de beschikbaarheid van middelen voor op kaarten gebaseerde betalingen;

problemen met betrekking tot de speciale interface zijn onverwijld opgelost.

Bevoegde autoriteiten herroepen de in lid 6 bedoelde ontheffing wanneer de rekeninghoudende betaaldienstverleners voor meer dan twee opeenvolgende kalenderweken niet aan de voorwaarden van de punten a) en d) voldoen. Bevoegde autoriteiten stellen de EBA van deze herroeping in kennis en zorgen ervoor dat de rekeninghoudende betaaldienstverlener, binnen de kortst mogelijke tijd en uiterlijk binnen twee maanden, de in lid 4 bedoelde uitwijkvoorziening opzet.

Artikel 34

Certificaten

Met het oog op identificatie als bedoeld in artikel 30, lid 1, onder a), doen betaaldienstverleners een beroep op gekwalificeerde certificaten voor elektronische zegels als bedoeld in artikel 3, punt 30, van Verordening (EU) nr. 910/2014 voor websiteauthenticatie als bedoeld in artikel 3, punt 39, van die verordening.

Voor de toepassing van deze verordening is het registratienummer als vermeld in de officiële registers, in overeenstemming met bijlage III, onder c), of bijlage IV, onder c), bij Verordening (EU) nr. 910/2014, het vergunningnummer van de betaaldienstverlener die op kaarten gebaseerde betaalinstrumenten uitgeeft, en het vergunningnummer van de rekeninginformatiedienstverleners en betaalinitiatiedienstverleners, met inbegrip van rekeninghoudende betaaldienstverleners die dergelijke diensten verlenen, dat beschikbaar is in het openbare register van de lidstaat van herkomst overeenkomstig artikel 14 van Richtlijn (EU) 2015/2366, of dat voortvloeit uit de kennisgevingen overeenkomstig artikel 20 van Richtlijn 2013/36/EU van het Europees Parlement en de Raad ( 1 ) van elke op grond van artikel 8 van die richtlijn afgegeven vergunning.

Voor de toepassing van deze verordening bevatten gekwalificeerde certificaten voor elektronische zegels of voor websiteauthenticatie als bedoeld in lid 1, in een in internationale financiële kringen gangbare taal, bijkomende specifieke attributen voor elk van de volgende elementen:

de rol van de betaaldienstverlener, die een of meer van de volgende kan zijn:

dienstverlening op het gebied van het beheer van bankrekeningen;

ii)

betaalinitiatie;

iii)

rekeninginformatie;

iv)

uitgifte van op kaarten gebaseerde betaalinstrumenten;

de naam van de bevoegde autoriteiten waar de betaaldienstverlener is geregistreerd.

De in lid 3 genoemde attributen zijn niet van invloed op de interoperabiliteit en erkenning van gekwalificeerde certificaten voor elektronische zegels of websiteauthenticatie.

Artikel 35

Beveiliging van communicatiesessies

Rekeninghoudende betaaldienstverleners, betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven, rekeninginformatiedienstverleners en betaalinitiatiedienstverleners zorgen ervoor dat bij gegevensuitwisseling via het internet tussen de communicerende partijen gedurende de hele betrokken communicatiesessie veilige versleuteling wordt toegepast om de vertrouwelijkheid en de integriteit van gegevens te garanderen, door gebruik te maken van sterke en algemeen erkende versleutelingstechnieken.

Betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven, rekeninginformatiedienstverleners en betaalinitiatiedienstverleners houden de door rekeninghoudende betaaldienstverleners aangeboden toegangssessies zo kort mogelijk en beëindigen actief dergelijke sessies zodra de gevraagde actie is uitgevoerd.

Wanneer zij parallelle netwerksessies met de rekeninghoudende betaaldienstverlener in stand houden, zorgen rekeninginformatiedienstverleners en betaalinitiatiedienstverleners ervoor dat die sessies veilig worden gekoppeld aan de betrokken sessies die tot stand worden gebracht met de betaaldienstgebruiker of betaaldienstgebruikers, om het risico te voorkomen dat onderling tussen hen gecommuniceerde berichten of informatie wordt afgeleid.

Rekeninginformatiedienstverleners, betaalinitiatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten bij de rekeninghoudende betaaldienstverlener uitgeven, vermelden ondubbelzinnige referenties naar elk van de volgende items:

de betaaldienstgebruiker of betaaldienstgebruikers en de overeenkomstige communicatiesessie zodat verschillende verzoeken van dezelfde betaaldienstgebruiker of betaaldienstgebruikers kunnen worden onderscheiden;

voor betaalinitiatiediensten: de uniek geïdentificeerde geïnitieerde betalingstransactie:

voor de bevestiging van de beschikbaarheid van middelen: het uniek geïdentificeerde verzoek met betrekking tot het voor de uitvoering van de op kaarten gebaseerde betalingstransactie.

Rekeninghoudende betaaldienstverleners, rekeninginformatiedienstverleners, betaalinitiatiedienstverleners en betaaldienstverleners die op kaarten gebaseerde betaalinstrumenten uitgeven, zorgen ervoor dat, wanneer zij persoonlijke beveiligingsgegevens en authenticatiecodes communiceren, deze niet — rechtstreeks of indirect — op enig tijdstip leesbaar zijn voor personeelsleden.

In geval van verlies van vertrouwelijkheid van persoonlijke beveiligingsgegevens binnen hun bevoegdheid stellen die dienstverleners de daaraan gekoppelde betaaldienstgebruiker en de uitgever van de persoonlijke beveiligingsgegevens daarvan onverwijld in kennis.

Artikel 36

Gegevensuitwisseling

Rekeninghoudende betaaldienstverleners voldoen aan elk van de volgende voorwaarden:

zij verstrekken rekeninginformatiedienstverleners dezelfde informatie van aangewezen betaalrekeningen en daarmee samenhangende transacties die aan de betaaldienstgebruiker beschikbaar worden gesteld, wanneer rechtstreeks om toegang tot de rekeninginformatie wordt gevraagd, op voorwaarde dat deze informatie geen gevoelige betalingsgegevens bevat;

zij verstrekken onmiddellijk na ontvangst van de betalingsopdracht aan betaalinitiatiedienstverleners dezelfde informatie over de initiëring en uitvoering van de betalingstransactie die is verschaft of beschikbaar is gesteld aan de betaaldienstgebruiker, wanneer deze laatste de transactie rechtstreeks heeft geïnitieerd;

zij verschaffen, op verzoek, aan betaaldienstverleners een bevestiging, in de vorm van een eenvoudig „ja” of „neen”, op de vraag of het voor de uitvoering van een betaaltransactie vereiste bedrag op de betaalrekening van de betaler beschikbaar is.

In geval van een onverwachte gebeurtenis of een fout tijdens de identificatie- of authenticatieprocedure of bij de uitwisseling van de gegevensbestanddelen zendt de rekeninghoudende betaaldienstverlener een kennisgevingsbericht aan de betaalinitiatiedienstverlener of de rekeninginformatiedienstverlener en aan de betaaldienstverlener die op kaarten gebaseerde betaalinstrumenten uitgeeft, waarin de reden voor die onverwachte gebeurtenis of die fout wordt toegelicht.

Wanneer de rekeninghoudende betaaldienstverlener overeenkomstig artikel 32 een speciale interface aanbiedt, wordt bij die interface voorzien in kennisgevingsberichten betreffende onverwachte gebeurtenissen of fouten, die door betaaldienstverleners die de gebeurtenis of fout ontdekken, moeten worden meegedeeld aan de overige aan de communicatiesessie deelnemende betaaldienstverleners.

Rekeninginformatiedienstverleners beschikken over geschikte en doeltreffende mechanismen om ervoor te zorgen dat alleen toegang tot informatie wordt gegeven vanaf aangewezen betaalrekeningen en daarmee samenhangende betalingstransacties, in overeenstemming met de uitdrukkelijke toestemming van de gebruiker.

Betaalinitiatiedienstverleners verschaffen rekeninghoudende betaaldienstverleners dezelfde informatie als die welke van de betaaldienstgebruiker wordt gevraagd bij het rechtstreeks initiëren van de betalingstransactie.

Rekeninginformatiedienstverleners zijn in staat toegang te krijgen tot informatie van aangewezen betaalrekeningen en daarmee samenhangende betalingstransacties waarover rekeninghoudende betaaldienstverleners beschikken, om de rekeninginformatiedienst in een van de beide volgende omstandigheden te kunnen uitvoeren:

telkens als de betaaldienstgebruiker actief om die informatie verzoekt;

telkens als de betaaldienstgebruiker niet actief om die informatie verzoekt, niet minder dan viermaal over een periode van 24 uur, tenzij een hogere frequentie is overeengekomen tussen de betaalinitiatiedienstverlener en de rekeninghoudende betaaldienstverlener, met de toestemming van de betaaldienstgebruiker.

HOOFDSTUK VI

SLOTBEPALINGEN

Artikel 37

Evaluatie

Onverminderd het bepaalde in artikel 98, lid 5, van Richtlijn (EU) 2015/2366 evalueert de EBA tegen 14 maart 2021 de in de bijlage bij deze verordening genoemde fraudepercentages, alsmede de op grond van artikel 33, lid 6, verleende vrijstellingen met betrekking tot speciale interfaces, en legt zij ontwerpactualiseringen hiervan, overeenkomstig artikel 10 van Verordening (EU) nr. 1093/2010, aan de Commissie voor.

Artikel 38

Inwerkingtreding

Deze verordening treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is van toepassing met ingang van 14 september 2019.

De leden 3 en 5 van artikel 30 zijn evenwel van toepassing met ingang van 14 maart 2019.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

BIJLAGE

	Referentiefraudepercentage (%) voor:
Drempelwaarde voor vrijstelling	Elektronische op kaarten gebaseerde betalingen op afstand	Elektronische overmakingen op afstand
500 EUR	0,01	0,005
250 EUR	0,06	0,01
100 EUR	0,13	0,015

( 1 ) Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).

Top

Choose the experimental features you want to try