KOMISJA EUROPEJSKA

Bruksela, dnia 28.6.2023

COM(2023) 367 final

2023/0210(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie usług płatniczych w ramach rynku wewnętrznego i zmieniające rozporządzenie (UE) nr 1093/2010

(Tekst mający znaczenie dla EOG)

{COM(2023) 366 final} - {SEC(2023) 256 final} - {SWD(2023) 231 final} - {SWD(2023) 232 final}

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

Druga dyrektywa w sprawie usług płatniczych w ramach rynku wewnętrznego („druga dyrektywa w sprawie usług płatniczych” 1 ) zapewnia ramy prawne dotyczące wszystkich płatności detalicznych w UE – krajowych i transgranicznych – dokonywanych zarówno w euro, jak i w innych walutach. W pierwszej dyrektywie w sprawie usług płatniczych w ramach rynku wewnętrznego („pierwsza dyrektywa w sprawie usług płatniczych” 2 ), przyjętej w 2007 r., ustanowiono jednolite ramy prawne do celów utworzenia zintegrowanego rynku płatności w UE. Opierając się na pierwszej dyrektywie w sprawie usług płatniczych, w drugiej dyrektywie w sprawie usług płatniczych zajęto się kwestię barier dla nowych rodzajów usług płatniczych oraz podniesiono poziom ochrony i bezpieczeństwa konsumentów. Większość przepisów drugiej dyrektywy w sprawie usług płatniczych obowiązuje od stycznia 2018 r., ale niektóre przepisy, między innymi dotyczące silnego uwierzytelniania klienta zaczęły obowiązywać dopiero od września 2019 r.

Druga dyrektywa w sprawie usług płatniczych zawiera przepisy dotyczące świadczenia usług płatniczych i przepisy dotyczące udzielania zezwoleń dla jednej kategorii dostawców usług płatniczych, mianowicie instytucji płatniczych, oraz nadzoru nad tymi dostawcami. Do innych kategorii dostawców usług płatniczych należą instytucje kredytowe, które podlegają unijnym przepisom w zakresie bankowości 3 , oraz instytucje pieniądza elektronicznego, które podlegają dyrektywie w sprawie pieniądza elektronicznego 4 .

W komunikacie Komisji z 2020 r. w sprawie unijnej strategii w zakresie płatności detalicznych 5 przedstawiono priorytety Komisji dotyczące obszaru płatności detalicznych na czas trwania kadencji obecnego kolegium komisarzy (2019–2024). Towarzyszyła mu strategia w zakresie finansów cyfrowych, w której określono priorytety dotyczące agendy cyfrowej w sektorze finansów wykraczającym poza płatności. W unijnej strategii w zakresie płatności detalicznych ogłoszono, że „pod koniec 2021 r. Komisja przystąpi do kompleksowego przeglądu stosowania i wpływu drugiej dyrektywy w sprawie usług płatniczych”. Wspominany przegląd przeprowadzono należycie, głównie w 2022 r., i na jego podstawie Komisja podjęła decyzję o zaproponowaniu zmian legislacyjnych do drugiej dyrektywy w sprawie usług płatniczych, aby usprawnić jej funkcjonowanie. Zmiany te przedstawiono w dwóch wnioskach, niniejszym wniosku dotyczącym rozporządzenia w sprawie usług płatniczych w UE oraz we wniosku dotyczącym dyrektywy w sprawie usług płatniczych i usług w zakresie pieniądza elektronicznego, w których skupiono się na udzielaniu zezwoleń instytucjom płatniczym i nadzorze nad tymi instytucjami (i zmianie niektórych innych dyrektyw).

Proponowaną rewizję drugiej dyrektywy w sprawie usług płatniczych uwzględniono w programie prac Komisji na 2023 r. wraz z planowaną inicjatywą ustawodawczą w sprawie ram dotyczących dostępu do danych finansowych, rozszerzającą dostęp do danych finansowych i zakres ich stosowania poza rachunkami płatniczymi w odniesieniu do większej liczby usług finansowych.

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

Przepisy istniejące w tej dziedzinie polityki istotne dla niniejszej inicjatywy obejmują inne przepisy w dziedzinie płatności, inne przepisy dotyczące usług finansowych obejmujące również dostawców usług płatniczych oraz przepisy UE stosowane horyzontalnie, które mają wpływ na obszar płatności. W trakcie przygotowania niniejszego wniosku zadbano o zapewnienie spójności z tymi przepisami.

Inne przepisy w dziedzinie płatności detalicznych, poza wspominanymi powyżej, obejmują rozporządzenie w sprawie jednolitego obszaru płatności w euro (SEPA) z 2012 r., w którym ujednolicono wymogi techniczne w odniesieniu do poleceń przelewu i poleceń zapłaty w euro 6 . W dniu 26 października 2022 r. Komisja przedstawiła wniosek dotyczący zmiany rozporządzenia w sprawie SEPA, aby przyspieszyć i ułatwić korzystanie z płatności natychmiastowych w euro w UE 7 ; wniosek ten zawiera wymóg, aby dostawcy usług płatniczych oferujący płatności natychmiastowe w euro oferowali użytkownikom „usługę weryfikacji numeru IBAN/nazwiska”, a niniejszy wniosek rozszerza ten wymóg na dostawców usług płatniczych oferujących jakiekolwiek polecenie przelewu w dowolnej walucie UE. W rozporządzeniu w sprawie płatności transgranicznych zrównano cenę krajowych i transgranicznych przelewów w euro 8 . W rozporządzeniu w sprawie opłat interchange określono maksymalne poziomy takich opłat 9 . Niniejszy wniosek jest spójny z celem dotyczącym usprawnienia dostępu do środków pieniężnych dzięki umożliwieniu akceptantom oferowania usług wypłaty gotówki w fizycznych punktach sprzedaży nawet wówczas, gdy klient nie dokonuje zakupu. Prace nad dostępem do środków pieniężnych należy również rozpatrywać w kontekście unijnej strategii Komisji w zakresie płatności detalicznych, w której jako jeden z celów polityki wskazano zachowanie szerokiego dostępu do gotówki.

Inne istotne przepisy w dziedzinie usług finansowych obejmują dyrektywę o ostateczności rozrachunku 10 , w odniesieniu do której we wniosku dotyczącym dyrektywy towarzyszącym niniejszemu wnioskowi wprowadza się ukierunkowaną zmianę. Inne istotne przepisy obejmują rozporządzenie w sprawie rynków kryptoaktywów (MiCA) 11 , rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego dotyczące cyberbezpieczeństwa (DORA) 12 oraz dyrektywę w sprawie przeciwdziałania praniu pieniędzy, w przypadku której współprawodawcy omawiają obecnie pakiet proponowanych zmian 13 .

•Spójność z innymi politykami unijnymi

Bardziej ogólne istotne przepisy UE obejmują RODO 16 , europejski akt prawny w sprawie dostępności 17 oraz wniosek dotyczący aktu w sprawie danych, które jest istotny dla otwartej bankowości 18 . W szczególności w rozdziale III i IV proponowanego aktu w sprawie danych ustanawia się horyzontalne ramy dotyczące praw i obowiązków w odniesieniu do warunków udostępniania danych w relacjach między przedsiębiorstwami.

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

•Pomocniczość (w przypadku kompetencji niewyłącznych)

Dostawcy usług płatniczych mogą również świadczyć transgraniczne usługi płatnicze w ramach rynku wewnętrznego usług płatniczych. Swoboda świadczenia usług i swoboda przedsiębiorczości są powszechnie stosowane przez dostawców usług płatniczych. W celu zapewnienia harmonijnych warunków i równych warunków działania w ramach rynku wewnętrznego detalicznych usług płatniczych niezbędne są przepisy na poziomie UE. Takie rozumowanie stanowiło podstawę pierwszej i drugiej dyrektywy w sprawie usług płatniczych i ma zastosowanie również do niniejszego wniosku.

•Proporcjonalność

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa

•Konsultacje z zainteresowanymi stronami

W celu uwzględnienia we wniosku Komisji opinii wszystkich zainteresowanych stron, strategia konsultacji dotyczących niniejszej inicjatywy obejmowała:

–otwarte konsultacje publiczne trwające od 10 maja 2022 r. do 2 sierpnia 2022 r. 21 ;

–ukierunkowane (ale jednak publiczne i otwarte) konsultacje obejmujące bardziej szczegółowe pytania niż konsultacje publiczne, trwające od 10 maja 2022 r. do 5 lipca 2022 r. 22 ;

–zaproszenie do zgłaszania uwag trwające od 10 maja 2022 r. do 2 sierpnia 2022 r. 23 ;

–ukierunkowane konsultacje w sprawie dyrektywy o ostateczności rozrachunku trwające od 12 lutego 2021 r. do 7 maja 2021 r.;

–konsultacje z zainteresowanymi stronami w Grupa Ekspertów Komisji ds. Rynku Systemów Płatniczych;

–kontakty ad hoc z różnymi zainteresowanymi stronami, zarówno z ich inicjatywy, jak i z inicjatywy Komisji;

–konsultacje ekspertów z państw członkowskich w Grupie Ekspertów ds. Bankowości, Płatności i Ubezpieczeń.

Wyniki tych konsultacji podsumowano w załączniku 2 do oceny skutków towarzyszącej niniejszemu wnioskowi.

•Gromadzenie i wykorzystanie wiedzy eksperckiej

–dowodów dostarczonych w ramach poszczególnych konsultacji wymienionych powyżej oraz doraźnie przez zainteresowane strony.

–dowodów przedstawionych przez Europejski Urząd Nadzoru Bankowego w jego doradztwie 24 .

–badania przeprowadzonego przez wykonawcę Valdani Vicari & Associati Consulting zrealizowanego we wrześniu 2022 r. pt. „A study on the application and impact of Directive (EU) 2015/2366 on Payment Services (PSD2)”(„Badanie dotyczące stosowania i wpływu dyrektywy (UE) 2015/2366 w sprawie usług płatniczych”) 25 .

–danych otrzymanych od podmiotów sektora prywatnego, na przykład w obszarze otwartej bankowości, oraz od organizacji konsumenckich.

•Ocena skutków

Niniejszym dwóm wnioskom towarzyszy ocena skutków, która została przeanalizowana przez Radę ds. Kontroli Regulacyjnej w dniu 1 marca 2023 r. Następnie 3 marca 2023 r. Rada ds. Kontroli Regulacyjnej wydała pozytywną opinię z zastrzeżeniami.

W trakcie oceny skutków stwierdzono cztery główne problemy występujące na unijnym rynku płatności pomimo sukcesów drugiej dyrektywy w sprawie usług płatniczych:

–konsumenci są narażeni na ryzyko oszustwa i nie mają zaufania do płatności;

–ramy otwartej bankowości działają w sposób niedoskonały;

–unijne organy nadzoru mają niespójne uprawnienia i obowiązki;

–występują nierówne warunki działania między dostawcami usług płatniczych z sektora bankowego i spoza tego sektora.

Problemy te mają między innymi następujące konsekwencje:

–użytkownicy (w szczególności konsumenci, akceptanci i MŚP) nadal są narażeni na ryzyko oszustwa;

–dostawcy usług otwartej bankowości mierzą się z przeszkodami dotyczącymi oferowania podstawowych usług otwartej bankowości i napotykają więcej trudności przy wprowadzaniu innowacji i konkurowaniu z zasiedziałymi podmiotami takimi jak systemy kart płatniczych;

–dostawcy usług płatniczych nie mają pewności co do swoich zobowiązań, a dostawcy usług płatniczych spoza sektora bankowego znajdują się w niekorzystnej sytuacji z punktu widzenia konkurencyjności w stosunku do banków;

–występują nieprawidłowości gospodarcze i wyższe koszty operacji handlowych, co ma negatywny wpływ na konkurencyjność UE;

–rynek wewnętrzny płatności podlega fragmentacji i występuje na nim zjawisko „turystyki sądowej”.

Inicjatywa ma cztery cele szczegółowe odpowiadające stwierdzonym problemom:

1. Zwiększenie ochrony użytkownika i zaufania dopłatności;

2. Poprawa konkurencyjności usług otwartej bankowości;

3. Poprawa egzekwowania i wdrażania w państwach członkowskich;

4. Poprawa (bezpośredniego lub pośredniego) dostępu do systemów płatności i rachunków bankowych dla dostawców usług płatniczych spoza sektora bankowego.

W ocenie skutków przedstawiono pakiet preferowanych wariantów, mających na celu osiągnięcie celów szczegółowych (poniższy wykaz obejmuje zarówno środki uwzględnione w niniejszym rozporządzeniu, jak i w towarzyszącej dyrektywie):

–W odniesieniu do pierwszego celu szczegółowego usprawnienia w stosowaniu silnego uwierzytelniania klienta, podstawa prawna wymiany informacji na temat oszustw i obowiązku dostarczania konsumentom informacji na temat oszustw, rozszerzenia weryfikacji IBAN na wszystkie polecenia przelewu oraz na temat warunkowego odwrócenie odpowiedzialności w przypadku wyłudzenia przelewu; obowiązek dostawców usług płatniczych dotyczący poprawy dostępności silnego uwierzytelniania klienta dla użytkowników z niepełnosprawnością, osób starszych i innych osób zmagających się z wyzwaniami w odniesieniu do stosowania silnego uwierzytelniania klienta;środki mające na celu zwiększenie dostępności środków pieniężnych;ulepszenie praw użytkownika i informacji.

–W odniesieniu do drugiego celu szczegółowego wymóg, zgodnie z którym dostawcy usług płatniczych prowadzący rachunek mają wprowadzić specjalny interfejs dostępu do danych; „panele do zarządzania zezwoleniami” umożliwiające użytkownikom zarządzanie przyznanymi przez nich zezwoleniami dostępu w ramach otwartej bankowości; bardziej szczegółowe specyfikacje minimalnych wymogów dotyczących interfejsów danych w zakresie otwartej bankowości;

–W przypadku trzeciego celu szczegółowego zastąpienie znacznej części drugiej dyrektywy w sprawie usług płatniczych bezpośrednio stosowanym rozporządzeniem, w którym wyjaśnia się niejasne lub niejednoznaczne aspekty drugiej dyrektywy w sprawie usług płatniczych; zaostrzenie przepisów w sprawie sankcji; zintegrowanie systemów udzielania pozwoleń w odniesieniu do instytucji płatniczych i instytucji pieniądza elektronicznego.

–W przypadku czwartego celu szczegółowego wzmocnienie praw instytucji płatniczej/instytucji pieniądza elektronicznego do rachunku bankowego; przyznanie możliwości bezpośredniego udziału instytucji płatniczych i instytucji pieniądza elektronicznego we wszystkich systemach płatności, między innymi wyznaczonych przez państwa członkowskie na podstawie dyrektywy o ostateczności rozrachunku, z dodatkowymi wyjaśnieniami na temat procedur dopuszczenia i oceny ryzyka.

● Sprawność regulacyjna i uproszczenie

● Prawa podstawowe

● Stosowanie zasady „jedno więcej – jedno mniej”

Niniejsza inicjatywa nie wiąże się z żadnymi kosztami administracyjnymi dla przedsiębiorstw lub konsumentów, ponieważ nie doprowadzi ona do zintensyfikowania nadzoru nad dostawcami usług płatniczych ani do szczególnych nowych obowiązków sprawozdawczych, które nie zostały już przewidziane w drugiej dyrektywie w sprawie usług płatniczych. Z niniejszej inicjatywy nie wynikają również żadne opłaty i należności regulacyjne. W związku z tym Komisja uważa, że niniejsza inicjatywa nie powoduje kosztów administracyjnych, które wymagałyby rekompensaty w ramach zasady „jedno więcej – jedno mniej”, chociaż jest istotna dla zasady „jedno więcej – jedno mniej”, jako że powoduje koszty związane z wdrażaniem. Połączenie systemu legislacyjnego dotyczącego instytucji pieniądza elektronicznego oraz systemu dotyczącego instytucji płatniczych ograniczy koszty administracyjne, na przykład w wyniku zniesienia wymogu uzyskania nowego zezwolenia w niektórych okolicznościach.

● Klimat i zrównoważony rozwój

Nie stwierdzono negatywnego wpływu inicjatywy na klimat. Inicjatywa przyczyni się do realizacji zadania 8.2 w ramach celów ONZ w zakresie zrównoważonego rozwoju: „Osiągnąć wyższy poziom wydajności gospodarczej poprzez dywersyfikację, modernizację technologiczną i innowacje, a także poprzez skupienie się na sektorach o wysokiej wartości dodanej oraz o wysokim wskaźniku pracochłonności”.

4.WPŁYW NA BUDŻET

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia oraz przepisy dotyczące monitorowania, oceny i sprawozdawczości

•Szczegółowe objaśnienie poszczególnych przepisów wniosku

Przedmiot, zakres i definicje

W niniejszym wniosku określono zasady związane z płatnościami mające zastosowanie do dostawców usług płatniczych. Nie wprowadza się w nim zmian do wykazu usług płatniczych ustanowionego w drugiej dyrektywie w sprawie usług płatniczych. Wykaz wyłączeń pozostaje w znacznym stopniu niezmieniony. We wniosku zawarto wykaz definicji, który został rozszerzony w porównaniu z wykazem zawartym w drugiej dyrektywie w sprawie usług płatniczych i który zawiera więcej terminów i wyjaśnień niektórych terminów. Wprowadzono definicje transakcji inicjowanych przez akceptanta oraz zamówień pocztowych lub telefonicznych. Udoskonalono definicję „zdalnej transakcji płatniczej” zawartą w drugiej dyrektywie w sprawie usług płatniczych, aby umożliwić bardziej przejrzyste rozgraniczenie między „zainicjowaniem transakcji płatniczej” a „zdalnym zainicjowaniem transakcji płatniczej”.

Systemy płatności i dostęp do rachunków prowadzonych w instytucjach kredytowych

W odniesieniu do operatorów systemu płatności wymóg posiadania zasad i procedur dostępu, które są proporcjonalne, obiektywne i niedyskryminujące, rozszerzono również na systemy płatności wyznaczone przez państwo członkowskie na podstawie dyrektywy 98/26 (dyrektywa o ostateczności rozrachunku 26 ). Podczas rozpatrywania wniosku dostawcy usług płatniczych o udział operatorzy systemu płatności są zobowiązani do przeprowadzenia oceny istotnych zagrożeń. Decyzja w sprawie wniosku musi zostać przedstawiona na piśmie oraz ustanawia się prawo do odwołania. Państwa członkowskie muszą wyznaczyć właściwe organy w przypadkach, gdy nie sprawuje go Europejski System Banków Centralnych; jeżeli ESBC zapewnia nadzór, można założyć, że wykryje on niedociągnięcia w zasadach i procedurach dopuszczania systemów płatności.

Zasady dotyczące dostępu (otwieranie i zamykanie) instytucji płatniczej do rachunku w instytucji kredytowej zostały zaostrzone w porównaniu z drugą dyrektywą w sprawie usług płatniczych. Uwzględniono również wnioskodawców ubiegających się o zezwolenie jako instytucje płatnicze (ze względu na to, że posiadanie rachunku bankowego jest dla ich ważne, aby uzyskać zezwolenie), a także agentów i dystrybutorów instytucji płatniczej. Każda odmowa lub cofnięcie dostępu musi opierać się na poważnych podstawach, na przykład na zasadnym podejrzeniu nielegalnej działalności lub zagrożenia dla instytucji kredytowej. Powody odmowy lub cofnięcia dostępu należy przedstawić na piśmie oraz uzasadnić szczegółowo w odniesieniu do szczególnej sytuacji danej instytucji płatniczej.

Przejrzystość warunków oraz wymogi informacyjne dotyczące usług płatniczych

W odniesieniu do odstępstwa od wymogów informacyjnych w przypadku niskokwotowych instrumentów płatniczych i pieniądza elektronicznego w odniesieniu do krajowych transakcji płatniczych usunięto możliwość dostosowania przez państwa członkowskie kwoty limitu wydatków.

Aby zapewnić wewnętrzną spójność, obowiązek informowania użytkownika usług płatniczych o alternatywnych metodach rozstrzygania sporów w umowach ramowych rozszerzono na pojedyncze transakcje płatnicze.

Uwzględniono uściślenie w celu zapewnienia, by dostawcy usług płatniczych umieszczali w wyciągu z rachunku płatniczego informacje niezbędne, aby jednoznacznie zidentyfikować odbiorcę, w tym odniesienie do nazwy handlowej odbiorcy.

Uwzględniono uściślenie w celu zapewnienia, by w przypadku gdy usługi płatnicze są oferowane wspólnie z usługami technicznymi wspierającym świadczenie usług płatniczych oraz gdy świadczy je dostawca usług płatniczych lub będąca jego partnerem osoba trzecia, takie usługi techniczne podlegały wymogom umów ramowych dotyczącym opłat za rozwiązanie umowy.

Wprowadza się dodatkowe wymogi informacyjne dotyczące wypłacania gotówki z krajowych bankomatów w odniesieniu do różnych scenariuszy.

W odniesieniu do poleceń przelewu i usług przekazu pieniężnego z UE do państwa niebędącego członkiem UE wprowadza się obowiązek informowania użytkownika usług płatniczych przez dostawców usług płatniczych o szacowanym czasie, w jakim dostawca usług płatniczych odbiorcy znajdujący się poza UE otrzyma środki pieniężne. W celu osiągnięcia lepszej porównywalności szacowane opłaty za przeliczenie waluty w odniesieniu do takich transakcji międzynarodowych muszą być wyrażane w taki sam sposób jak w przypadku poleceń przelewu w UE, a mianowicie jako wartość procentową marży w stosunku do najbardziej aktualnego referencyjnego kursu wymiany euro ogłoszonego przez EBC.

Prawa i obowiązki w odniesieniu do świadczenia usług płatniczych i korzystania z nich

Przepisy wspólne

Zgodnie z drugą dyrektywą w sprawie usług płatniczych zakaz pobierania dodatkowych opłat obejmujący usługi płatnicze, w przypadku których zastosowanie ma rozporządzenie w sprawie opłat interchange 27 , jest ograniczony do poleceń przelewu i poleceń zapłaty denominowanych w euro, a nie w innych walutach UE. Wprowadzono zmiany, aby rozszerzyć zakaz pobierania dodatkowych opłat na polecenia przelewu i polecenia zapłaty we wszystkich walutach UE.

Zasady dotyczące transakcji inicjowanych przez akceptanta i poleceń zapłaty zostały dostosowane w drodze zastosowania takich samych środków ochrony konsumentów, między innymi zwrotów, do poleceń zapłaty i transakcji inicjowanych przez akceptanta, ponieważ w obu przypadkach chodzi o transakcje inicjowane przez odbiorcę.

Otwarta bankowość (usługi dostępu do informacji o rachunku i usługa inicjowania płatności)

W porównaniu z drugą dyrektywą w sprawie usług płatniczych przepisy w sprawie otwartej bankowości zawierają szereg zmian i obejmują niektóre przepisy zawarte obecnie w regulacyjnym standardzie technicznym 28 . Najważniejsze zmiany obejmują nałożenie obowiązku – z wyjątkiem okoliczności nadzwyczajnych – posiadania specjalnego interfejsu na potrzeby dostępu do danych otwartej bankowości oraz zniesienie – z wyjątkiem dopuszczonych wyjątkowych okoliczności – nałożonego na dostawców usług płatniczych prowadzących rachunek wymogu ciągłego utrzymywania interfejsu „rezerwowego”. Wprowadzono dodatkowe wymogi dotyczące specjalnych interfejsów w odniesieniu do wyników i funkcji. Aby umożliwić użytkownikom otwartej bankowości zarządzanie zezwoleniami dotyczącymi otwartej bankowości w wygodny sposób, dostawcy usług płatniczych prowadzący rachunek mają obowiązek zaproponować im „panel” umożliwiający cofnięcie dostępu do danych w odniesieniu do każdego dostawcy otwartej bankowości.

Nie występował znaczący popyt na rynku w odniesieniu do szczególnej usługi potwierdzenia dostępności środków pieniężnych, którą w art. 65 drugiej dyrektywy w sprawie usług płatniczych wymieniono jako usługę otwartej bankowości wraz z usługami dostępu do informacji o rachunku i usługami inicjowania płatności. Na podstawie wspomnianej usługi opracowano bardzo niewiele modeli biznesowych – o ile w ogóle jakiekolwiek, ponieważ rynek opiera się na stosowaniu systemu automatycznej identyfikacji jako alternatywy dla sprawdzania dostępności środków pieniężnych. W związku z tym usunięto przepis, w którym wymienia się ją jako niezależną usługę otwartej bankowości.

Autoryzacja transakcji płatniczych

Dostawca usług płatniczych odbiorcy ma obowiązek świadczyć na rzecz użytkownika usług płatniczych, na jego wniosek, usługę sprawdzenia, czy unikatowy identyfikator odbiorcy pasuje do nazwiska lub nazwy odbiorcy podanych przez płatnika, oraz powiadomienia dostawcy usług płatniczych płatnika o wszelkich wykrytych rozbieżnościach. W przypadku gdy dane te nie pasują do siebie dostawca usług płatniczych płatnika ma powiadomić płatnika o wszelkich takich rozbieżnościach oraz wykrytym stopniu tych rozbieżności. We wniosku Komisji dotyczącym płatności natychmiastowych zmieniającym rozporządzenie w sprawie SEPA 29 , który jest obecnie przedmiotem dyskusji współprawodawców, zaproponowano podobny przepis związany z rozbieżnościami między nazwiskiem lub nazwą i unikatowym identyfikatorem odbiorcy w przypadku poleceń przelewu natychmiastowego denominowanych w euro. Aby osiągnąć spójne ramy w odniesieniu do wszystkich poleceń przelewu, przepis w niniejszym wniosku ma zastosowanie do poleceń przelewu, które nie są poleceniami przelewu natychmiastowego we wszystkich walutach Unii, oraz poleceń przelewu natychmiastowego w walutach innych niż euro. Płatnik musi otrzymać powiadomienie przed sfinalizowaniem zlecenia płatniczego oraz przed wykonaniem polecenia przelewu przez dostawcę usług płatniczych. Użytkownik zachowuje swobodę decyzji co do złożenia zlecenia płatniczego dotyczącego polecenia przelewu we wszystkich przypadkach.

W odniesieniu do przepisu dotyczącego limitów przewidzianych dla korzystania z instrumentu płatniczego wyjaśniono, że dostawcy usług płatniczych nie mogą jednostronnie zwiększyć limitów wydatków uzgodnionych z użytkownikami usług płatniczych.

W przepisie dotyczącym odpowiedzialności dostawcy usług płatniczych za nieautoryzowane transakcje płatnicze dodano uściślenie, że odmowa dokonania zwrotu przez dostawcę usług płatniczych może nastąpić wyłącznie w przypadku istnienia uzasadnionych podstaw, aby podejrzewać, że miało miejsce oszustwo. W takim przypadku dostawca usług płatniczych musi przedstawić uzasadnienie odmowy dokonania zwrotu i wskazuje organy, do których płatnik może skierować sprawę.

Dostawca usług płatniczych płatnika powinien ponosić odpowiedzialność za pełną kwotę polecenia przelewu w przypadkach, w których temu dostawcy usług płatniczych nie udało się powiadomić płatnika o wykrytej rozbieżności między unikatowym identyfikatorem i nazwiskiem lub nazwą odbiorcy podanymi przez płatnika. Dostawca usług płatniczych powinien ponosić odpowiedzialność w przypadku gdy konsument zatwierdził transakcję płatniczą w wyniku manipulacji osoby trzeciej podającej się za pracownika dostawcy usług płatniczych konsumenta stosującej kłamstwa lub podstęp. Aby zapobiegać takim oszustwom, wprowadzono obowiązek współpracy między dostawcami usług łączności elektronicznej a dostawcami usług płatniczych.

Jeżeli odpowiedzialność można przypisać dostawcy usług płatniczych odbiorcy, dostawca ten powinien zwrócić szkody finansowe poniesione przez dostawcę usług płatniczych płatnika. Zaktualizowano przepisy dotyczące zgłaszania i korekty nieautoryzowanych lub nieprawidłowo wykonanych transakcji płatniczych, wymogów informacyjnych i prawa do roszczeń zwrotnych, aby odzwierciedlić nowy przepis dotyczący odpowiedzialności za nieprawidłowe wykorzystanie usługi weryfikacji dopasowania.

Uwzględniono nowe przepisy dotyczące odpowiedzialności dostawców usług technicznych i operatorów schematów płatności z tytułu braku wsparcia silnego uwierzytelniania klienta, biorąc pod uwagę, że w ocenie drugiej dyrektywy w sprawie usług płatniczych ustalono, że występowały problemy dotyczące wdrażania silnego uwierzytelniania klienta związane z rolami, jakie wspomniane zainteresowane strony pełniły we wprowadzaniu silnego uwierzytelniania klienta, co przyczyniło się wręcz do przełożenia stosowania silnego uwierzytelniania klienta z 2018 r. na 2020 r.

Dodano uściślenie, że płatnik nie powinien ponosić żadnych strat finansowych, jeżeli dostawca usług płatniczych płatnika albo odbiorcy stosuje zwolnienie ze stosowania silnego uwierzytelniania klienta.

W odniesieniu do transakcji płatniczych, w przypadku których kwota transakcji nie jest znana z wyprzedzeniem i środki pieniężne są zablokowane na instrumencie płatniczym, wprowadzono zobowiązanie prawne, zgodnie z którym odbiorca informuje dostawcę usług płatniczych o dokładnej kwocie transakcji płatniczej niezwłocznie po wykonaniu usługi lub dostarczeniu towarów do płatnika, a także wprowadzono wymóg, by kwota zablokowanych środków pieniężnych była proporcjonalna do kwoty przyszłej transakcji płatniczej, jakiej można zasadnie oczekiwać w chwili blokowania środków pieniężnych.

Wykonanie transakcji płatniczych

W przypadkach gdy dostawca świadczący usługę inicjowania płatności podaje nieprawidłowy unikatowy identyfikator odbiorcy, taki dostawca świadczący usługę inicjowania płatności powinien ponosić odpowiedzialność za kwotę transakcji.

Ochrona danych

Dołączono nowy przepis dotyczący wyraźnego zdefiniowania istotnego interesu publicznego, w przypadku którego przetwarzanie szczególnych kategorii danych osobowych może być konieczne w kontekście rozporządzenia, którego dotyczy niniejszy wniosek.

Ryzyko operacyjne i ryzyka związane z bezpieczeństwem informacji oraz uwierzytelnianie

Dodano nowy przepis, zgodnie z którym dostawcy usług płatniczych muszą wprowadzić mechanizmy monitorowania transakcji, zapewnić stosowanie silnego uwierzytelniania klienta oraz usprawnić zapobieganie nieuczciwym transakcjom i ich wykrywanie. Przepis ten zwiększa zrozumiałość pojęcia „cechy klienta” dzięki szczegółowemu określeniu, że podstawę mechanizmów monitorowania transakcji musi stanowić analiza transakcji płatniczych z uwzględnieniem elementów, które są typowe dla danego użytkownika usług płatniczych w warunkach zwykłego stosowania indywidualnych danych uwierzytelniających, w tym cech środowiskowych i behawioralnych, takich jak cechy związane z lokalizacją użytkownika usług płatniczych, czas wykonania transakcji, wykorzystywane urządzenie, nawyki zakupowe, sklep internetowy, w jakim dokonano zakupu.

Do celów monitorowania transakcji dodano przepisy umożliwiające dostawcom usług płatniczych dobrowolną wymianę danych osobowych, takich jak unikatowe identyfikatory odbiorcy, która podlega ustaleniom dotyczącym wymiany informacji. We wspomnianych ustaleniach dotyczących wymiany informacji należy określić szczegóły dotyczące udziału i elementów operacyjnych, między innymi stosowania specjalnych platform informatycznych. Przed dokonaniem takich ustaleń dostawcy usług płatniczych muszą przeprowadzić ocenę skutków dla ochrony danych i, w stosownych przypadkach, przeprowadzić uprzednią konsultację z organem nadzorczym zgodnie z rozporządzeniem (UE) 2016/679.

Jeżeli chodzi o stosowanie silnego uwierzytelniania klienta w przypadku transakcji płatniczych inicjowanych przez akceptanta, wyjaśniono, że konieczne jest stosowanie silnego uwierzytelniania klienta w chwili ustanowienia upoważnienia, ale nie ma takiej potrzeby w przypadku kolejnych transakcji inicjowanych przez akceptanta.W odniesieniu do stosowania silnego uwierzytelniania klienta w przypadku zamówień pocztowych lub telefonicznych uściślono, że aby transakcja nie podlegała obowiązkom związanym z silnym uwierzytelnianiem klienta, wyłącznie zainicjowanie transakcji płatniczej musi mieć formę inną niż cyfrowa. Transakcje płatnicze dokonywane w oparciu o papierowe zlecenia płatnicze, zamówienia pocztowe lub telefoniczne złożone przez płatnika powinny jednak podlegać normom bezpieczeństwa i kontrolom dostawcy usług płatniczych płatnika, które umożliwiają uwierzytelnianie transakcji płatniczej, aby zapobiec szkodliwemu obchodzeniu wymogów związanych z silnym uwierzytelnianiem. Ponadto ograniczono zakres zwolnienia dotyczącego silnego uwierzytelniania klienta w przypadkach transakcji płatniczych, w odniesieniu do których odbiorca składa zlecenia płatnicze na podstawie upoważnienia udzielonego przez płatnika (polecenia zapłaty), natomiast obowiązek wymagania silnego uwierzytelniania klienta wprowadzono w przypadkach, gdy upoważnienie złożono za pośrednictwem kanału zdalnego z bezpośrednim udziałem dostawcy usług płatniczych.

W przypadku usług dostępu do informacji o rachunku silne uwierzytelnianie klienta jest wymagane jedynie przy pierwszym dostępnie do danych; dostawcy świadczący usługę dostępu do informacji o rachunku muszą jednak wymagać silnego uwierzytelniania klienta w przypadku, gdy ich klienci chcą mieć dostęp do zagregowanych danych dotyczących rachunku w domenie dostawcy świadczącego usługę dostępu do informacji o rachunku co najmniej raz na 180 dni.

Dodano przepisy mające na celu poprawę dostępności silnego uwierzytelniania klienta, w szczególności w celu zapewnienia, by wszyscy klienci, w tym osoby z niepełnosprawnościami, osoby starsze, osoby posiadające niewielkie umiejętności cyfrowe oraz nieposiadające dostępu co kanałów cyfrowych lub smartfona, miały do dyspozycji co najmniej jeden środek umożliwiający im przeprowadzenie silnego uwierzytelniania klienta.

W odniesieniu do wymogu dotyczącego „zdalnych płatności” nałożonego na dostawców usług płatniczych, zgodnie z którym mają oni stosować silne uwierzytelnianie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą, wyjaśniono, że obowiązek ten ma zastosowanie do elektronicznych transakcji płatniczych, w przypadku których zlecenie płatnicze złożono za pomocą urządzenia płatnika wykorzystującego technologię zbliżeniową w celu wymiany informacji z infrastrukturą odbiorcy i w przypadku których przeprowadzenie silnego uwierzytelniania klienta wymaga połączenia z internetem na urządzeniu płatnika.

Wprowadzono przepis nakładający na dostawców usług płatniczych i dostawców usług technicznych obowiązek zawierania umów outsourcingu w przypadkach, gdy dostawcy usług technicznych zapewniają i weryfikują elementy silnego uwierzytelniania klienta.

Uprawnienia Europejskiego Urzędu Nadzoru Bankowego do interwencji produktowych

W niniejszym wniosku przyznaje się EUNB uprawnienia do interwencji produktowych zgodnie z art. 9 ust. 5 rozporządzenia (UE) nr 1093/2010. Umożliwi to EUNB, na podstawie pewnych kryteriów, wprowadzanie czasowego zakazu sprzedaży określonych produktów płatniczych, które wiążą się z określonymi zagrożeniami.

Pozostałe przepisy

Przyznano uprawnienia w odniesieniu do regulacyjnych standardów technicznych przygotowanych przez EUNB, w tym istniejących regulacyjnych standardów technicznych oraz, w niektórych przypadkach, nowych regulacyjnych standardów technicznych. EUNB może zmieniać istniejące regulacyjne standardy techniczne, jednak jeśli tego nie zrobi, standardy te nadal obowiązują.

Rozporządzenie, którego dotyczy wniosek, wejdzie w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej i zacznie być stosowane 18 miesięcy po tej dacie 30 . W załączniku przedstawiono tabelę korelacji między artykułami w odniesieniu do odpowiednich artykułów drugiej dyrektywy w sprawie usług płatniczych i dyrektywy w sprawie pieniądza elektronicznego.

2023/0210 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie usług płatniczych w ramach rynku wewnętrznego i zmieniające rozporządzenie (UE) nr 1093/2010

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 31 ,

uwzględniając opinię Europejskiego Banku Centralnego 32 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Od czasu przyjęcia dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 33 rynek detalicznych usług płatniczych uległ znaczącym zmianom związanym w dużej mierze z częstszym używaniem kart i cyfrowych środków płatniczych, rzadszym korzystaniem z środków pieniężnych i nasilającą się obecnością nowych podmiotów i usług, w tym cyfrowych portfeli i płatności zbliżeniowych. W wyniku pandemii COVID-19 i zmian, jakie spowodowała w obszarze konsumpcji i praktyk płatniczych, wzrosło znaczenie dokonywania bezpiecznych i skutecznych płatności.

(2)W komunikacie Komisji w sprawie unijnej strategii w zakresie płatności detalicznych 34 ogłoszono rozpoczęcie kompleksowego przeglądu stosowania i wpływu dyrektywy (UE) 2015/2366, „który powinien zawierać ogólną ocenę tego, czy jest ona nadal odpowiednia do realizacji wyznaczonych celów, biorąc pod uwagę zmiany rynkowe”.

(3)Dyrektywa (UE) 2015/2366 ma na celu zniesienie barier dla nowych rodzajów usług płatniczych oraz zwiększenie poziomu ochrony i bezpieczeństwa konsumentów. W ocenie wpływu i stosowania dyrektywy (UE) 2015/2366 przeprowadzonej przez Komisję stwierdzono, że dyrektywa (UE) 2015/2366 jest w dużej mierze skuteczna w odniesieniu do wielu jej celów, ale wskazano również pewne obszary, w których nie osiągnięto w pełni celów wspominanej dyrektywy. Przykładowo w trakcie oceny wskazano powstawanie nowych rodzajów oszustw jako kwestię budzącą niepokój w odniesieniu do celów ochrony konsumentów. Wykryto również niedociągnięcia dotyczące celu związanego ze zwiększeniem konkurencji na rynku dzięki tak zwanym „usługom otwartej bankowości” (usługi dostępu do informacji o rachunku i usługi inicjowania płatności) z powodu obniżenia barier rynkowych, z jakimi mierzą się dostawcy będący osobami trzecimi. Postępy w osiąganiu celu dotyczącego usprawnienia świadczenia transgranicznych usług płatniczych również były ograniczone – w dużej mierze z powodu niespójności w praktykach nadzorczych i egzekwowaniu w Unii. W ramach oceny stwierdzono również istnienie czynników ograniczających postęp w realizacji celu związanego z wyrównaniem szans między wszystkimi dostawcami usług płatniczych.

(4)W ramach oceny określono również problemy dotyczące zróżnicowanego wdrażania i egzekwowania dyrektywy (UE) 2015/2366, które bezpośrednio wpływają na konkurencję między dostawcami usług płatniczych, na skutek tworzenia różnych warunków regulacyjnych w różnych państwach członkowskich, co sprzyja arbitrażowi regulacyjnemu. Nie powinno być miejsca dla „turystyki sądowej”, w przypadku której dostawcy usług płatniczych wybierają jako „kraj pochodzenia” te państwa członkowskie, w których stosowanie unijnych przepisów w sprawie usług płatniczych jest dla nich korzystniejsze i świadczą usługi transgraniczne w innych państwach członkowskich, które stosują surowszą interpretację przepisów lub stosują bardziej aktywną politykę egzekwowania wobec dostawców usług płatniczych, których siedziba znajduje się na ich terytorium.Praktyka taka zakłóca konkurencję. Unijne przepisy dotyczące usług płatniczych powinny zatem podlegać dalszej harmonizacji w drodze włączenia do rozporządzenia przepisów regulujących prowadzenie działalności w zakresie usług płatniczych, między innymi prawa i obowiązki zaangażowanych stron. Przepisy takie, z wyłączeniem przepisów w sprawie udzielania zezwoleń instytucjom płatniczym i nadzoru nad nimi, które powinny pozostać w dyrektywie, należy uściślić i uszczegółowić, ograniczając tym samym do minimum margines swobody interpretacji.

(5)Chociaż emisję pieniądza elektronicznego uregulowano dyrektywą Parlamentu Europejskiego i Rady 2009/110/WE 35 , stosowanie pieniądza elektronicznego w celu finansowania transakcji płatniczych jest w bardzo dużym stopniu uregulowane w dyrektywie (UE) 2015/2366. W związku z tym ramy prawne mające zastosowanie do instytucji pieniądza elektronicznego i instytucji płatniczych, w szczególności w odniesieniu do zasad prowadzenia działalności, są już znacznie ujednolicone. Aby rozwiązać kwestie związane ze spójnością zewnętrzną oraz biorąc pod uwagę, że rozróżnienie usług związanych z pieniądzem elektronicznym i usług płatniczych staje się coraz trudniejsze, należy zbliżyć ramy legislacyjne dotyczące instytucji pieniądza elektronicznego i instytucji płatniczych. Wymogi dotyczące licencji, w szczególności dotyczące kapitału założycielskiego i funduszy własnych, oraz pewne najważniejsze podstawowe pojęcia regulujące działalność w zakresie pieniądza elektronicznego, takie jak emisja pieniądza elektronicznego, dystrybucja i możliwość wykupu pieniądza elektronicznego, są jednak odrębne od usług świadczonych przez instytucje płatnicze. W związku z tym podczas łączenia przepisów dyrektywy (UE) 2015/2366 i dyrektywy 2009/110/WE należy zachować tę specyfikę. Biorąc pod uwagę, że dyrektywa 2009/110/WE traci moc na podstawie dyrektywy (UE) XXX [PSD3], jej przepisy, z wyjątkiem przepisów dotyczących udzielania zezwoleń i nadzoru, które włączono do dyrektywy (UE) XXX [PSD3], należy zawrzeć w ujednoliconych ramach w niniejszym rozporządzeniu, z odpowiednimi dostosowaniami.

(6)Aby zapewnić pewność prawa i jasno określony zakres stosowania przepisów mających zastosowanie do prowadzenia działalności w zakresie świadczenia usług płatniczych i usług związanych z pieniądzem elektronicznym, konieczne jest określenie kategorii dostawców usług płatniczych, którzy podlegają obowiązkom dotyczącym prowadzenia działalności w zakresie świadczenia usług płatniczych i usług związanych z pieniądzem elektronicznym w całej Unii.

(7)Istnieje wiele kategorii dostawców usług płatniczych. Instytucje kredytowe pobierają od użytkowników depozyty, które można wykorzystywać do celów przeprowadzenia transakcji płatniczych. Posiadają one zezwolenie na takie działanie zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2013/36/UE 36 . Instytucje płatnicze nie pobierają depozytów. Mogą one posiadać środki pieniężne użytkowników i emitować pieniądz elektroniczny, który może być wykorzystany do celów przeprowadzenia transakcji płatniczych. Posiadają one zezwolenie na takie działanie zgodnie z dyrektywą (UE) XXX [PSD3]. Instytucje świadczące żyro pocztowe, które na podstawie prawa krajowego są uprawnione do prowadzenia takiej działalności, mogą również świadczyć usługi w zakresie pieniądza elektronicznego i usługi płatnicze. Inne kategorie dostawców usług płatniczych obejmują Europejski Bank Centralny (EBC) i krajowe banki centralne, jeżeli nie działają one w charakterze władz monetarnych lub innych organów publicznych, oraz państwa członkowskie lub ich władze regionalne lub lokalne, gdy nie działają w charakterze organów publicznych.

(8)Należy oddzielić usługę umożliwiania wypłaty środków pieniężnych z rachunku płatniczego od działalności w zakresie prowadzenia rachunku płatniczego, ponieważ dostawcy usług wypłaty gotówki mogą nie obsługiwać rachunków płatniczych. Usługi wydawania instrumentów płatniczych lub usługi acquiringu transakcji płatniczych, które wymieniono wspólnie w pkt 5 załącznika do dyrektywy (UE) 2015/2366, jakby oferowanie jednej nie było możliwe bez oferowania drugiej, należy przedstawić jako dwie różne usługi płatnicze. Wymienienie usług wydawania i usług acquiringu osobno powinno – wraz z odrębnymi definicjami każdej usługi – uwzględniać wyjaśnienie, że dostawcy usług płatniczych mogą oferować usługi wydawania i usługi acquiringu osobno.

(9)Wyłączenie z zakresu stosowania dyrektywy (UE) 2015/2366 pewnych kategorii operatorów bankomatów okazało się trudne do stosowania w praktyce. W związku z tym kategorię operatorów bankomatów, która była zwolniona z wymogu otrzymania zezwolenia jako dostawca usług płatniczych zgodnie z dyrektywą (UE) 2015/2366 należy zastąpić nową kategorią operatorów bankomatów, którzy nie prowadzą rachunków płatniczych. Chociaż operatorzy ci nie podlegają wymogowi posiadania zezwolenia zgodnie z dyrektywą (UE) XXX [PSD3], powinni jednak podlegać wymogom dotyczącym przejrzystości opłat w sytuacjach, w których tacy operatorzy bankomatów pobierają opłaty za wypłatę gotówki.

(10)Aby jeszcze bardziej ułatwić dostęp do środków pieniężnych, co stanowi priorytet Komisji, akceptanci powinni mieć możliwość oferowania w fizycznych punktach sprzedaży usług wypłacania gotówki, nawet wówczas, gdy klient nie dokonuje zakupu, bez konieczności uzyskania zezwolenia jako dostawca usług płatniczych lub pełnienia roli agenta instytucji płatniczej. Takie usługi wypłaty środków pieniężnych powinny jednak podlegać obowiązkowi ujawniania opłat pobieranych od klienta, jeśli ma to miejsce. Wspomniane usługi powinni świadczyć sprzedawcy detaliczni dobrowolnie i powinny być uzależnione od dostępnych dla nich środków pieniężnych. 

(11)Wyłączenie transakcji płatniczych od płatnika do odbiorcy realizowanych za pośrednictwem agenta handlowego działającego w imieniu płatnika lub odbiorcy z zakresu stosowania dyrektywy (UE) 2015/2366 stosowane jest w poszczególnych państwach członkowskich w bardzo zróżnicowany sposób.Pojęcie agentów handlowych jest zwykle zdefiniowane w krajowych przepisach cywilnych, które mogą różnić się między państwami członkowskimi, co prowadzi do niespójnego traktowania tych samych usług w różnych jurysdykcjach. Pojęcie agentów handlowych objętych tym wyłączeniem należy zatem ujednolicić i wyjaśnić, odnosząc się do definicji przedstawicieli handlowych zawartej w dyrektywie Rady 86/653/EWG 37 . Należy ponadto zapewnić większą jasność w odniesieniu do warunków, na jakich transakcje płatnicze od płatnika do odbiorcy realizowane za pośrednictwem agentów handlowych mogą być wyłączone z zakresu stosowania niniejszego rozporządzenia. Osiągnięcie tego celu jest możliwe dzięki wprowadzeniu wymogu, aby agenci handlowi byli upoważnieni na podstawie umowy z płatnikiem albo odbiorcą do prowadzenia negocjacji lub zawierania transakcji sprzedaży lub zakupu towarów lub usług w imieniu wyłącznie płatnika lub wyłącznie odbiorcy, lecz nie w imieniu ich obu, niezależnie od tego, czy agent handlowy posiada środki pieniężne klienta. Platformy handlu elektronicznego, które pełnią rolę agentów handlowych w imieniu zarówno indywidualnych kupujących, jak i indywidualnych sprzedających, w przypadku których kupujący lub sprzedający nie mają rzeczywistej swobody lub autonomii negocjowania lub zawarcia transakcji sprzedaży lub kupna towarów lub usług, nie powinny być wyłączone z zakresu stosowania niniejszego rozporządzenia. Europejski Urząd Nadzoru Bankowego (EUNB) powinien opracować wytyczne w sprawie wyłączenia transakcji płatniczych od płatnika do odbiorcy realizowanych za pośrednictwem agenta handlowego, aby zapewnić większą jasność i spójność wśród właściwych organów. Wytyczne te mogą obejmować repozytorium przypadków użycia, które są zwykle objęte wyłączeniem dotyczącym agenta handlowego.

(12)Wyłączenie z zakresu stosowania dyrektywy (UE) 2015/2366 dotyczącej instrumentów o celu szczególnym było stosowane w różny sposób w państwach członkowskich, chociaż dostawcy usług, których instrumenty były objęte tym wyłączeniem, mieli obowiązek powiadomić właściwe organy o swojej działalności. EUNB udzielił dalszych wskazówek w swoich wytycznych dotyczących wyłączenia z tytułu ograniczonej sieci na podstawie drugiej dyrektywie w sprawie usług płatniczych z 24 lutego 2022 r. 38 Pomimo tych prób uściślenia stosowania wyłączenia związanego z instrumentami o celu szczególnym, nadal istnieją dostawcy usług świadczący usługi obejmujące znaczne wolumeny płatności i różnorodne produkty oferowane dużej liczbie klientów, którzy dążą do skorzystania z tego wyłączenia. W takich przypadkach konsumenci nie korzystają z koniecznych środków ochronnych i usługi nie powinny korzystać z wyłączenia dotyczącego instrumentów o celu szczególnym. W związku z tym należy wyjaśnić, że nie powinno być możliwe wykorzystanie tego samego instrumentu o celu szczególnym do dokonywania transakcji płatniczych w celu nabycia towarów i usług w obrębie więcej niż jednej ograniczonej sieci lub w celu nabycia nieograniczonego asortymentu towarów i usług.

(13)Aby ocenić, czy ograniczona sieć powinna być wyłączona z zakresu stosowania, należy wziąć pod uwagę położenie geograficzne punktów akceptacji takiej sieci, a także liczbę punktów akceptacji. Instrumenty o celu szczególnym powinny umożliwiać posiadaczowi nabywanie towarów lub usług wyłącznie w fizycznych pomieszczeniach wydawcy, natomiast stosowanie w środowisku sklepu internetowego nie powinno być objęte pojęciem pomieszczeń wydawcy. Instrumenty o celu szczególnym powinny obejmować, w zależności od odpowiedniego systemu umownego, karty, które mogą być stosowane w konkretnej sieci sklepów lub konkretnym centrum handlowym, karty paliwowe, karty członkowskie, karty transportu publicznego, bilety parkingowe, bony na posiłki lub bony na konkretne usługi, które mogą podlegać szczególnym przepisom prawa podatkowego lub prawa pracy, mającym wspierać korzystanie z tych instrumentów, aby osiągnąć cele określone w ustawodawstwie dotyczącym kwestii społecznych, takie jak bony na opiekę nad dziećmi lub bony ekologiczne. Instrumenty o celu szczególnym powinny również obejmować instrumenty oparte na pieniądzu elektronicznym, o ile tylko spełniają wymogi tego wyłączenia. Nie należy wyłączać instrumentów płatniczych, które można wykorzystywać do zakupów w sklepach określonej grupy akceptantów, ponieważ takie instrumenty są zazwyczaj zaprojektowane z myślą o ciągle powiększających się sieciach dostawców usług.

(14)Wyłączenie dotyczące niektórych transakcji płatniczych realizowanych za pośrednictwem urządzeń telekomunikacyjnych lub informatycznych powinno głównie objąć mikropłatności za treści cyfrowe i usługi głosowe. Należy zachować wyraźne odniesienie do transakcji płatniczych z tytułu zakupu biletów elektronicznych, aby klienci mogli nadal z łatwością zamawiać bilety elektroniczne, płacić za nie oraz otrzymywać je i walidować z dowolnego miejsca i w dowolnym momencie przy użyciu telefonów komórkowych lub innych urządzeń. Bilety elektroniczne umożliwiają i ułatwiają dostarczanie usług, które konsumenci mogliby także nabyć w formie biletu papierowego i które obejmują transport, rozrywkę, usługi parkingowe, wstęp do obiektów, ale nie obejmują towarów fizycznych. Należy wyłączyć również transakcje płatnicze przeprowadzane przez określonego dostawę sieci łączności elektronicznej z urządzenia elektronicznego lub za jego pośrednictwem, które obciążają stosowny rachunek w celu zbierania darowizn na cele charytatywne. Powinno to mieć zastosowanie jedynie wtedy, gdy wartość transakcji płatniczej nie przekracza określonego progu.

(15)Jednolity obszar płatności w euro (SEPA) ułatwił tworzenie ogólnounijnych „centrów przetwarzania płatności” i „centrów przetwarzania należności”, umożliwiając centralizację transakcji płatniczych danej grupy. W tym względzie transakcje płatnicze pomiędzy jednostką dominującą a jej jednostką zależną lub pomiędzy jednostkami zależnymi tej samej jednostki dominującej, które są przeprowadzane przez dostawcę usług płatniczych należącego do tej samej grupy należy wyłączyć z zakresu stosowania niniejszego rozporządzenia. Usługi zbierania zleceń płatniczych w imieniu grupy przez jednostkę dominującą lub jej jednostkę zależną w celu dalszego przekazania innemu dostawcy usług płatniczych nie powinny być uznawane za usługę płatniczą.

(16)Świadczenie usług płatniczych musi być wspierane przez usługi techniczne. Usługi techniczne obejmują przetwarzanie i przechowywanie danych, usługi bramki płatniczej, usługi powiernicze i ochrony prywatności, uwierzytelnianie danych i podmiotów, technologię informacyjną (IT), dostarczanie sieci informatycznych i komunikacyjnych, dostarczanie i konserwację interfejsów ukierunkowanych na konsumenta stosowanych w celu gromadzenia informacji o płatnościach, w tym terminali i urządzeń do wykonywania usług płatniczych. Usługa inicjowania płatności i usługi dostępu do informacji o rachunku nie są usługami technicznymi.

(17)Usługi techniczne nie stanowią usług płatniczych jako takich, ponieważ dostawcy usług technicznych na żadnym etapie nie wchodzą w posiadanie środków pieniężnych, które mają zostać przekazane. W związku z tym usługi te należy wyłączyć z definicji usług płatniczych. Usług te powinny jednak podlegać pewnych wymogom, między innymi dotyczącym odpowiedzialności z tytułu braku wsparcia stosowania silnego uwierzytelniania klienta lub wymogowi zawierania umów outsourcingu z dostawcami usług płatniczych w przypadku, gdy dostawcy usług technicznych mają zapewniać i weryfikować elementy silnego uwierzytelniania klienta. Powinny również istnieć wymogi regulujące opłaty za rozwiązanie umów ramowych, w przypadku gdy usługi płatnicze są oferowane wspólnie z usługami technicznymi.

(18)Biorąc pod uwagę szybki rozwój rynku płatności detalicznych oraz powstawanie nowych usług płatniczych i rozwiązań płatniczych, należy dostosować niektóre definicje zawarte w dyrektywie (UE) 2015/2366 do realiów rynkowych w celu zapewnienia, by przepisy Unii pozostały dostosowane do potrzeb i neutralne pod względem technologicznym.

(19)Wyjaśnienie procesu i poszczególnych etapów, jakie należy przeprowadzić w celu wykonania transakcji płatniczej ma istotne znaczenie w odniesieniu do praw i obowiązków uczestników transakcji płatniczej oraz do stosowania silnego uwierzytelniania klienta. Proces prowadzący do wykonania transakcji płatniczej jest inicjowany przez płatnika lub w jego imieniu albo przez odbiorcę. Płatnik inicjuje transakcję płatniczą, składając zlecenie płatnicze. Po złożeniu zlecenia płatniczego dostawca usług płatniczych sprawdza, czy transakcja została autoryzowana i uwierzytelniona, w tym, w stosownych przypadkach, w wyniku zastosowaniu silnego uwierzytelniania klienta, a następnie dostawca usług płatniczych zatwierdza zlecenie płatnicze. Następnie dostawca usług płatniczych podejmuje odpowiednie kroki, aby wykonać transakcję płatniczą, w tym transfer środków pieniężnych.

(20)Ze względu na rozbieżne opinie, które Komisja zidentyfikowała w swoim przeglądzie wdrażania dyrektywy (UE) 2015/2366 oraz które Europejski Urząd Nadzoru Bankowego (EUNB) podkreślił w swojej opinii z dnia 23 czerwca 2022 r. w sprawie przeglądu dyrektywy (UE) 2015/2366, konieczne jest wyjaśnienie definicji rachunków płatniczych. Decydującym kryterium kategoryzacji rachunku jako rachunku płatniczego jest zdolność przeprowadzania z takiego rachunku codziennych transakcji płatniczych. Możliwość dokonywania z rachunku transakcji płatniczych na rzecz osoby trzeciej lub czerpania korzyści z takich transakcji przeprowadzanych przez osobę trzecią stanowi cechę charakterystyczną koncepcji rachunku płatniczego. W związku z tym rachunek płatniczy należy zdefiniować jako rachunek, który jest wykorzystywany do przesyłania środków pieniężnych do osób trzecich i odbierania takich środków od tych osób. Każdy rachunek, który ma takie cechy, należy uznawać za rachunek płatniczy i uzyskiwać do niego dostęp w celu świadczenia usług inicjowania płatności i dostępu do informacji o rachunku. Sytuacje, w których do przeprowadzenia transakcji płatniczych od lub do osób trzecich konieczny jest rachunek pośredni, nie są objęte zakresem definicji rachunku płatniczego. Rachunki oszczędnościowe nie są wykorzystywane do przesyłania do osób trzecich środków pieniężnych ani odbierania takich funduszy od tych osób, w związku z czym są wyłączone z definicji rachunku płatniczego.

(21)Ze względu na powstawanie nowych rodzajów instrumentów płatniczych oraz przeważającą na rynku niepewność co do ich kwalifikacji prawnej należy doprecyzować definicję „instrumentu płatniczego”, podając pewne przykłady ilustrujące, które narzędzia stanowią instrument płatniczy lub go nie stanowią, mając na uwadze zasadę neutralności pod względem technologicznym.

(22)Mimo że komunikacja zbliżeniowa (NFC) umożliwia zainicjowanie transakcji płatniczej, uznawanie jej za pełnoprawny „instrument płatniczy” spowodowałoby pewne problemy, na przykład w odniesieniu do stosowania silnego uwierzytelniania klienta w przypadku płatności zbliżeniowych w punkcie sprzedaży i systemu odpowiedzialności dostawcy usług płatniczych. W związku z tym komunikację zbliżeniową należy raczej uznać za funkcję instrumentu płatniczego, a nie za instrument płatniczy jako taki.

(23)Definicja „instrumentu płatniczego” przedstawiona w dyrektywie (UE) 2015/2366 zawierała odniesienie do „zindywidualizowanego urządzenia”. Biorąc pod uwagę, że istnieją karty przedpłacone, w przypadku których nazwisko posiadacza instrumentu nie jest umieszczane na karcie, stosowanie tego odniesienia mogłoby spowodować, że ten rodzaj kart zostałby wyłączony z zakresu definicji instrumentu płatniczego. W związku z tym należy zmienić definicję „instrumentu płatniczego”, aby odnosiła się do „prywatnych” urządzeń zamiast „zindywidualizowanych”, co pozwoli uściślić, że karty przedpłacone, w przypadku których nazwisko posiadacza instrumentu nie jest umieszczane na karcie, są objęte zakresem niniejszego rozporządzenia.

(24)Tak zwane portfele „pass through”, obejmujące tokenizację istniejącego instrumentu płatniczego, na przykład karty płatniczej, należy uznawać za usługi techniczne i w związku z tym należy wyłączyć je z definicji instrumentu płatniczego, biorąc pod uwagę, że w opinii Komisji tokenu nie można uznać za samodzielny instrument płatniczy, ale raczej za „aplikację płatniczą” w rozumieniu art. 2 pkt 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/751 39 . Niektóre inne kategorie cyfrowych portfeli, mianowicie przedpłacone portfele cyfrowe, takie jak tzw. staged digital wallet, na których użytkownicy mogą przechowywać pieniądze na potrzeby przyszłych transakcji online, należy jednak uznać za instrument płatniczy, a ich emisję za usługę płatniczą.

(25)Od czasu przyjęcia dyrektywy (UE) 2015/2366 postępy technologiczne doprowadziły do zmiany sposobu świadczenia usług dostępu do informacji o rachunku. Przedsiębiorstwa oferujące te usługi zapewniają użytkownikom usług płatniczych zagregowane informacje online o ich rachunku płatniczym lub rachunkach płatniczych posiadanych u dostawcy lub dostawców usług płatniczych, które to informacje udostępniane są w internecie przez interfejs internetowy dostawcy usług płatniczych prowadzącego rachunek. W ten sposób użytkownicy usług płatniczych mają możliwość uzyskania w danym momencie i natychmiastowo ogólnego i uporządkowanego obrazu swoich rachunków płatniczych.

(26)W przeglądzie Komisji podkreślono fakt, że posiadający zezwolenie dostawcy świadczący usługę dostępu do informacji o rachunku niekiedy nie przekazują danych dotyczących rachunków płatniczych, które zagregowali, konsumentowi, od którego uzyskali pozwolenie na dostęp do danych i ich agregację, ale innej stronie, aby umożliwić jej świadczenie innych usług na rzecz konsumenta przy użyciu wspomnianych danych. Opinie na temat tego, czy działalność ta należy do podlegającej regulacjom usługi dostępu do informacji o rachunku, są jednak rozbieżne. Komisja uważa, że ta zmiana modelu biznesowego „otwartej bankowości” dotycząca „licencji jako usługi” może stanowić źródło innowacyjnych, opartych na danych usług, co w ostatecznym rozrachunku przyniesie korzyść użytkownikom końcowym. Taki model biznesowy faktycznie umożliwia użytkownikom końcowym udzielenie dostępu do ich danych dotyczących rachunków płatniczych w celu otrzymania innych – niezwiązanych w płatnością – usług, między innymi pożyczek, rachunkowości, oceny zdolności kredytowej. Istotne znaczenie ma jednak, by użytkownicy usług płatniczych wiedzieli dokładnie, kto ma dostęp do ich danych dotyczących rachunków płatniczych, na jakiej podstawie i jaki jest jego cel. Użytkownicy usług płatniczych powinni być informowani o przekazywaniu ich danych innemu przedsiębiorstwu oraz zatwierdzić takie przekazanie. Wspominany nowy model biznesowy oparty na otwartej bankowości wymaga zmiany definicji usług dostępu do informacji o rachunku, aby uściślić, że informacje agregowane przez posiadającego zezwolenie dostawcę świadczącego usługę dostępu do informacji o rachunku mogą być przekazywane osobie trzeciej, aby umożliwić jej świadczenie innej usługi na rzecz użytkownika końcowego za zgodą tego użytkownika końcowego. Aby zapewnić konsumentom odpowiednią ochronę w odniesieniu do ich danych dotyczących rachunków płatniczych oraz pewność prawa co do statusu podmiotów mających dostęp do ich danych, usługę agregacji danych z rachunków płatniczych powinien zawsze świadczyć podmiot objęty regulacją na podstawie licencji, nawet jeżeli dane są ostatecznie przekazywane innemu dostawcy usług.

(27)Usługa przekazu pieniężnego jest usługą płatniczą, która zwykle polega na przekazaniu środków pieniężnych przez płatnika bez tworzenia jakichkolwiek rachunków płatniczych w imieniu płatnika lub odbiorcy, dostawcy usług płatniczych, który przesyła odpowiednią kwotę odbiorcy lub innemu dostawcy usług płatniczych działającemu w imieniu odbiorcy. W niektórych państwach członkowskich supermarkety, akceptanci i inni sprzedawcy detaliczni świadczą na rzecz ogółu klientów usługę umożliwiającą im płacenie rachunków za media i regulowanie innych stałych opłat związanych z prowadzeniem gospodarstwa domowego. Te usługi umożliwiające opłacanie rachunków powinny być traktowane jako usługa przekazu pieniężnego.

(28)Definicja środków pieniężnych powinna obejmować wszystkie formy pieniądza banku centralnego emitowanego do użytku detalicznego, między innymi banknoty i monety oraz każdą ewentualną przyszłą cyfrową walutę banku centralnego, pieniądz elektroniczny i pieniądz banku komercyjnego. W jej zakres nie powinien wchodzić pieniądz banku centralnego emitowany do użytku między bankiem centralnym a bankami komercyjnymi, tj. do użytku hurtowego.

(29)W rozporządzeniu (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów określono, że tokeny będące pieniądzem elektronicznym należy uznawać za pieniądz elektroniczny. Tokeny będące pieniądzem elektronicznym wchodzą zatem, jako pieniądz elektroniczny, w skład definicji środków pieniężnych zawartej w niniejszym rozporządzeniu.

(30)W celu utrzymania zaufania posiadacza pieniądza elektronicznego pieniądz elektroniczny powinien podlegać wykupowi. Możliwość wykupu sama w sobie nie oznacza, że środki pieniężne otrzymane w zamian za pieniądz elektroniczny należy traktować jako depozyty lub inne środki podlegające zwrotowi do celów dyrektywy 2013/36/UE 40 . Wykup powinien być zawsze możliwy w dowolnym czasie, według wartości parytetowej, bez możliwości uzgodnienia minimalnego progu wykupu. Wykup powinien na ogół przysługiwać bezpłatnie. Powinna jednak istnieć możliwość wystąpienia o proporcjonalną i opartą na kosztach opłatę, bez uszczerbku dla przepisów krajowych w zakresie podatków lub spraw socjalnych lub dla wszelkich obowiązków emitenta pieniądza elektronicznego wynikających z innych odpowiednich przepisów Unii lub przepisów krajowych, w tym przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, dla wszelkich działań służących zamrożeniu środków pieniężnych lub wszelkich innych środków szczegółowych związanych z zapobieganiem przestępstwom i prowadzeniem dochodzeń w ich sprawie.

(31)Dostawcy usług płatniczych potrzebują dostępu do systemów płatności w celu świadczenia użytkownikom usług płatniczych. Te systemy płatności zwykle obejmują czterostronne systemy kart płatniczych, jak również duże systemy obsługujące polecenia przelewu i polecenia zapłaty. W celu zapewnienia równego traktowania na terytorium całej Unii poszczególnych kategorii dostawców usług płatniczych posiadających zezwolenie konieczne jest doprecyzowanie zasad dotyczących dostępu do systemów płatności. Dostęp taki może być bezpośredni lub pośredni przez innego uczestnika w tym systemie płatności. Dostęp taki powinien podlegać wymogom służącym zapewnieniu integralności i stabilności tych systemów płatności. W tym celu operator systemu płatności powinien przeprowadzić ocenę ryzyka dostawcy usług płatniczych ubiegającego się o bezpośrednie uczestnictwo; w ramach tej oceny ryzyka należy przeanalizować wszystkie istotne rodzaje ryzyka, w tym w stosownych przypadkach ryzyko rozliczenia, ryzyko operacyjne, ryzyko kredytowe, ryzyko utraty płynności i ryzyko biznesowe. Każdy dostawca usług płatniczych ubiegający się o uczestnictwo w systemie płatności powinien wziąć na siebie ryzyko związane z samodzielnym wyborem systemu i przedstawić systemowi płatności dowody na to, że jego rozwiązania wewnętrzne chronią go w wystarczającym stopniu przed tymi rodzajami ryzyka. Operatorzy systemu płatności powinni odrzucić wniosek o bezpośrednie uczestnictwo dostawcy usług płatniczych, wyłącznie w przypadku gdy dostawca usług płatniczych nie jest w stanie przestrzegać zasad systemu lub stwarza ryzyko na niedopuszczalnie wysokim poziomie.

(32)Operatorzy systemu płatności powinni dysponować proporcjonalnymi, obiektywnymi, niedyskryminującymi i przejrzystymi zasadami i procedurami dotyczącymi dostępu. Operatorzy systemu płatności nie powinni dyskryminować instytucji płatniczych w kontekście uczestnictwa, jeżeli możliwe jest przestrzeganie zasad obowiązujących w systemie i nie wiąże się z nim żadne niedopuszczalne ryzyko. Do systemów takich należą między innymi systemy wskazane na podstawie dyrektywy 98/26/WE Parlamentu Europejskiego i Rady 41 . W przypadkach gdy dany system płatności podlega już nadzorowi Europejskiego Systemu Banków Centralnych na podstawie rozporządzenia Europejskiego Banku Centralnego (UE) nr 795/2014 42 , bank centralny lub banki centralne sprawujące ten nadzór powinny w jego ramach monitorować przestrzeganie wspomnianych zasad. Jeżeli chodzi o inne systemy płatności, państwa członkowskie powinny wyznaczyć właściwe organy krajowe w celu zapewnienia przestrzegania takich wymogów przez operatorów infrastruktury systemów płatności.

(33)Aby zapewnić uczciwą konkurencję między dostawcami usług płatniczych, uczestnik systemu płatności, który świadczy posiadającemu zezwolenie lub zarejestrowanemu dostawcy usług płatniczych usługi w odniesieniu do takiego systemu, powinien także, na wniosek, udzielić dostępu do takich usług w sposób obiektywny, proporcjonalny i niedyskryminujący każdemu innemu posiadającemu zezwolenie lub zarejestrowanemu dostawcy usług płatniczych.

(34)Przepisy dotyczące dostępu do systemów płatności nie powinny mieć zastosowania do systemów tworzonych i obsługiwanych przez jednego dostawcę pojedynczej usługi płatniczej. Takie systemy płatności mogą bezpośrednio konkurować z innymi systemami płatności albo, co zazwyczaj ma miejsce, działać w niszy rynkowej niewypełnionej przez systemy płatności. Systemy takie obejmują systemy trójstronne, w tym trójstronne systemy kart płatniczych w zakresie, w jakim systemy te nigdy nie działają jako de facto czterostronne systemy kart płatniczych, w tym za pośrednictwem licencjobiorców, agentów lub partnerów w ramach co-brandingu. Systemy takie obejmują też zwykle usługi płatnicze oferowane przez dostawców telekomunikacyjnych, gdzie operator systemu jest dostawcą usług płatniczych zarówno płatnika, jak i odbiorcy, oraz wewnętrzne systemy grup bankowych. Aby pobudzić konkurencję, którą takie zamknięte systemy płatności mogą stworzyć względem tradycyjnych, powszechnie stosowanych systemów płatności, nie należy przyznawać osobom trzecim dostępu do tych zamkniętych systemów płatności. Takie zamknięte systemy powinny jednak zawsze podlegać unijnym i krajowym regułom konkurencji, które mogą wymagać przyznania dostępu do tych systemów w celu utrzymania efektywnej konkurencji na rynkach płatniczych.

(35)Instytucje płatnicze muszą być w stanie otworzyć i utrzymać rachunek w instytucji kredytowej w celu spełnienia swoich wymogów w zakresie licencjonowania w odniesieniu do ochrony środków pieniężnych klientów. Jak zostało to jednak wykazane, w szczególności przez EBA w opinii z dnia 5 stycznia 2022 r. 43 , mimo przepisów dotyczących rachunków instytucji płatniczych w banku komercyjnym, które to przepisy określono w dyrektywie (UE) 2015/2366, niektóre instytucje płatnicze lub przedsiębiorstwa ubiegające się o udzielenie zezwolenia na prowadzenie działalności jako instytucja płatnicza nadal mierzą się z praktykami pewnych instytucji kredytowych, które odmawiają tym instytucjom płatniczym lub przedsiębiorstwom otworzenia rachunku albo, jeżeli taki istnieje, zamykają go na podstawie przewidywanego wyższego ryzyka prania pieniędzy lub finansowania terroryzmu. Te tzw. praktyki „korygowania o ryzyko” oznaczają dla instytucji płatniczych poważne wyzwania o charakterze konkurencyjnym. 

(36)Instytucje kredytowe powinny zatem udostępnić rachunek płatniczy instytucjom płatniczym i wnioskodawcom ubiegającym się o zezwolenie na prowadzenie działalności jako instytucja płatnicza, jak również ich agentom i dystrybutorom, z wyjątkiem przypadków, w których istnieją ważne powody, aby odmówić dostępu. Konieczne jest uwzględnienie wnioskodawców ubiegających się o zezwolenie na prowadzenie działalności jako instytucja płatnicza w tym przepisie ze względu na fakt, że rachunek bankowy, na którym można chronić środki pieniężne klientów, jest warunkiem wstępnym otrzymania zezwolenia na prowadzenie działalności jako instytucja płatnicza. W powodach odmowy należy zawrzeć poważne przesłanki podejrzenia prowadzenia nielegalnej działalności przez instytucję płatniczą lub za jej pośrednictwem lub podejrzenia dotyczącego modelu biznesowego lub profilu ryzyka, który stwarza istotne zagrożenia lub nadmierne koszty przestrzegania przepisów dla instytucji kredytowej. Modele biznesowe, w ramach których instytucje płatnicze wykorzystują rozległą sieć agentów, mogą na przykład generować znaczne koszty przestrzegania przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Instytucja płatnicza powinna mieć prawo do odwołania się do właściwego organu wyznaczonego przez państwo członkowskie od odmowy wydanej przez instytucję kredytową. W celu ułatwienia wykonywania tego prawa do odwołania instytucje kredytowe powinny w sposób szczegółowy umotywować na piśmie odmowę udostępnienia rachunku lub późniejsze zamknięcie rachunku. Umotywowanie powinno odnosić się do konkretnych elementów związanych z daną instytucją płatniczą, a nie do ogólnych uwarunkowań. Aby ułatwić właściwym organom rozpatrywanie odwołań od odmowy udostępnienia lub wycofania rachunku oraz motywowanie takich działań, EBA powinien opracować wykonawcze standardy techniczne służące harmonizacji przedstawiania takich motywacji.

(37)Aby móc świadomie dokonywać wyboru i łatwo wybierać swoich dostawców usług płatniczych w obrębie Unii, użytkownicy usług płatniczych powinni otrzymywać porównywalne i jasne informacje o usługach płatniczych. W celu zapewnienia podawania użytkownikom usług płatniczych niezbędnych, wystarczających i zrozumiałych informacji dotyczących umowy o usługę płatniczą i transakcji płatniczych konieczne jest określenie i zharmonizowanie obowiązków dostawców usług płatniczych w odniesieniu do przekazywania informacji użytkownikom usług płatniczych.

(38)W zależności od odpowiedniej umowy o usługę płatniczą, przekazując wymagane informacje użytkownikom usług płatniczych, dostawcy usług płatniczych powinni uwzględniać potrzeby użytkowników usług płatniczych oraz praktyczne aspekty i oszczędność kosztową. Dostawcy usług płatniczych powinni albo aktywnie przekazywać informacje w odpowiednim czasie, bez konieczności podejmowania przez użytkownika usług płatniczych jakichkolwiek działań, albo udostępniać te informacje na wniosek użytkowników usług płatniczych. W tej drugiej sytuacji użytkownicy usług płatniczych powinni sami podjąć kroki w celu uzyskania informacji, w tym wyraźnie zwrócić się o te informacje do dostawców usług płatniczych, zalogować się do skrzynki pocztowej w ramach rachunku bankowego lub włożyć kartę bankową do drukarki w celu otrzymania wyciągu z rachunku. Do tych celów dostawcy usług płatniczych powinni zapewnić, aby dostęp do informacji był możliwy i aby informacje były dostępne dla użytkowników usług płatniczych.

(39)Ponieważ konsumenci i przedsiębiorstwa nie są w takiej samej sytuacji, jeżeli chodzi o podatność na zagrożenia, nie potrzebują takiego samego poziomu ochrony. Chociaż istotne jest zagwarantowanie praw konsumentów przepisami, od których stosowania nie można odstąpić na podstawie umowy, rozsądne jest umożliwienie przedsiębiorstwom oraz organizacjom dokonywania innych uzgodnień w sytuacji, gdy nie mają do czynienia z konsumentami. Zgodnie z definicją w zaleceniu Komisji 2003/361/WE 44 mikroprzedsiębiorstwa mogą być traktowane w ten sam sposób co konsumenci. Pewne przepisy powinny mieć zawsze zastosowanie bez względu na status użytkownika.

(40)W celu utrzymania wysokiego poziomu ochrony konsumentów konsumenci powinni mieć prawo do bezpłatnego otrzymania informacji na temat warunków w zakresie usług i ich cen, zanim zostaną związani umową o usługę płatniczą. Aby umożliwić konsumentom zarówno porównanie usług oferowanych przez dostawców usług płatniczych i warunków ich świadczenia, jak również – w przypadku sporów – weryfikację ich praw i obowiązków wynikających z umowy, w każdej chwili w okresie trwania stosunku umownego konsumenci powinni mieć również możliwość zwrócenia się o bezpłatne otrzymanie informacji oraz umowy ramowej w formie papierowej.

(41)W celu podniesienia poziomu przejrzystości dostawcy usług płatniczych powinni przekazywać konsumentom podstawowe informacje o przeprowadzonych transakcjach płatniczych bez dodatkowych opłat. W przypadku pojedynczej transakcji płatniczej dostawca usług płatniczych nie powinien pobierać oddzielnych opłat ze te informacje. Na podobnej zasadzie dostawcy usług płatniczych powinni co miesiąc na podstawie umowy ramowej bezpłatnie podawać kolejne informacje o transakcjach płatniczych. Uwzględniając jednak znaczenie przejrzystości w ustalaniu cen oraz różnorodne potrzeby klientów, strony umowy powinny mieć możliwość uzgodnienia opłat z tytułu informacji przekazywanych z większą częstotliwością lub z tytułu informacji dodatkowych.

(42)Niskokwotowe instrumenty płatnicze powinny stanowić tanie i łatwe w użyciu rozwiązanie w przypadku niedrogich towarów i usług oraz nie powinny być obciążone nadmiernymi wymogami. Stosowne wymogi informacyjne i przepisy dotyczące ich wykonywania powinny być zatem ograniczone do najważniejszych informacji, z uwzględnieniem również możliwości technicznych, których można w uzasadniony sposób oczekiwać w przypadku niskokwotowych instrumentów płatniczych. Mimo uproszczonego systemu użytkownicy usług płatniczych powinni być w wystarczającym stopniu chronieni, mając na uwadze ograniczone ryzyko związane z tymi instrumentami płatniczymi, w szczególności w odniesieniu do przedpłaconych instrumentów płatniczych.

(43)W przypadku pojedynczych transakcji płatniczych najważniejsze informacje powinny być zawsze podawane z inicjatywy dostawców usług płatniczych. Ponieważ płatnicy są zwykle obecni przy wydawaniu zlecenia płatniczego, nie powinno być konieczne, by dane informacje były zawsze dostarczane w formie papierowej lub na innym trwałym nośniku informacji. Dostawcy usług płatniczych powinni mieć możliwość podawania informacji ustnie lub zapewnienia do nich łatwego dostępu w inny sposób, w tym w drodze umieszczenia warunków na tablicy ogłoszeń w swoich obiektach. Należy również udostępniać informację o tym, gdzie można znaleźć inne, bardziej szczegółowe informacje, w tym na stronie internetowej. Na wniosek konsumenta dostawcy usług płatniczych powinni jednak podać najważniejsze informacje również w formie papierowej lub na innym trwałym nośniku informacji.

(44)Wymagane informacje powinny być proporcjonalne do potrzeb użytkowników. Wymogi informacyjne w odniesieniu do pojedynczej transakcji płatniczej powinny być inne niż wymogi informacyjne dla umowy ramowej przewidującej większą liczbę transakcji płatniczych.

(45)Aby móc świadomie dokonywać wyboru, użytkownicy usług płatniczych powinni być w stanie porównać opłaty w pobierane w bankomatach z opłatami innych dostawców. W celu zwiększenia przejrzystości opłat naliczanych użytkownikom usług płatniczych z tytułu korzystania z bankomatu dostawcy usług płatniczych powinni przekazywać użytkownikom usług płatniczych informacje na temat wszelkich obowiązujących opłat z tytułu wypłat z krajowych bankomatów w różnych sytuacjach w zależności od bankomatu, z którego użytkownicy usług płatniczych wypłacają środki pieniężne.

(46)Umowy ramowe i objęte tymi umowami transakcje płatnicze są bardziej powszechne i istotne pod względem gospodarczym niż pojedyncze transakcje płatnicze. W przypadku istnienia rachunku płatniczego lub konkretnego instrumentu płatniczego wymagana jest umowa ramowa. Wymogi dotyczące informacji wstępnych o umowach ramowych powinny być zatem wszechstronne, a informacje powinny być zawsze dostarczane w formie papierowej lub na innym trwałym nośniku informacji. Dostawcy usług płatniczych i użytkownicy tych usług powinni mieć jednak możliwość uzgodnienia w umowie ramowej sposobu, w jaki mają być podawane późniejsze informacje o wykonanych transakcjach płatniczych.

(47)Postanowienia umowne nie powinny być dyskryminujące dla konsumentów przebywających legalnie w Unii ze względu na ich przynależność państwową lub miejsce zamieszkania. Jeżeli umowa ramowa przewiduje prawo zablokowania instrumentu płatniczego z obiektywnie uzasadnionych przyczyn, dostawca usług płatniczych nie powinien mieć możliwości powołania się na to prawo wyłącznie dlatego, że użytkownik usług płatniczych zmienił miejsce zamieszkania w obrębie Unii.

(48)Aby zapewnić wysoki poziom ochrony konsumentów, państwa członkowskie powinny mieć – dla dobra konsumentów – możliwość utrzymania lub wprowadzenia ograniczeń lub zakazów dotyczących jednostronnych zmian w warunkach umowy ramowej, na przykład w przypadkach gdy nie ma powodów uzasadniających taką zmianę.

(49)Aby ułatwić mobilność użytkowników usług płatniczych, użytkownicy powinni mieć możliwość wypowiedzenia umowy ramowej bez ponoszenia opłat. Jednak w przypadku umów wypowiedzianych przez użytkowników usług płatniczych przed upływem sześciu miesięcy po ich wejściu w życie dostawcy usług płatniczych powinien mieć możliwość nałożenia opłat odpowiadających kosztom poniesionym w związku z wypowiedzeniem umowy ramowej przez użytkownika. Jeżeli na podstawie umowy ramowej usługi płatnicze oferuje się w połączeniu z usługami technicznymi wspierającymi świadczenie usług płatniczych, takimi jak wypożyczanie terminali wykorzystywanych na potrzeby usług płatniczych, użytkownicy usług płatniczych nie powinni być uzależnieni od swojego dostawcy usług płatniczych za sprawą dodatkowych uciążliwych warunków określonych w klauzulach umownych regulujących usługi techniczne. W celu zachowania konkurencji takie warunki umowne powinny podlegać wymogom umów ramowych dotyczącym opłat z tytułu rozwiązania umowy. Możliwy do uzgodnienia okres wypowiedzenia dla konsumentów powinien wynosić nie więcej niż jeden miesiąc, a dla dostawców usług płatniczych – nie mniej niż dwa miesiące. Zasady te powinny pozostać bez uszczerbku dla spoczywającego na dostawcy usług płatniczych obowiązku wypowiedzenia umowy o usługę płatniczą w wyjątkowych okolicznościach na podstawie innych odpowiednich przepisów prawa Unii lub prawa krajowego, takich jak przepisy dotyczące prania pieniędzy lub finansowania terroryzmu, dla wszelkich działań służących zamrożeniu środków pieniężnych lub dla wszelkich innych środków szczegółowych związanych z zapobieganiem przestępstwom i prowadzeniem dochodzeń w ich sprawie.

(50)W celu osiągnięcia porównywalności szacowane opłaty za przeliczenie waluty w odniesieniu do poleceń przelewu i przekazów pieniężnych realizowanych w obrębie Unii i z Unii do państwa trzeciego należy wyrażać w taki sam sposób, czyli jako wartość procentową marży w stosunku do najbardziej aktualnego referencyjnego kursu wymiany euro ogłoszonego przez Europejski Bank Centralny (EBC). W przypadku odniesienia do „opłat” w niniejszym rozporządzeniu odniesienie to powinno obejmować także, w stosownych przypadkach, opłaty za „przeliczenie waluty”.

(51)Doświadczenie pokazuje, że podział opłat między płatnikiem a odbiorcą płatności jest najbardziej wydajnym systemem, ponieważ ułatwia on bezpośrednie przetwarzanie płatności. W związku z tym należy ustanowić przepis, zgodnie z którym opłaty będą pobierane bezpośrednio od płatnika i odbiorcy przez ich odnośnych dostawców usług płatniczych. Kwota wszelkich pobieranych opłat może także wynosić zero, ponieważ przepisy nie powinny mieć wpływu na praktykę, zgodnie z którą dostawca usług płatniczych nie obciąża konsumentów opłatą za uznanie ich rachunku. Podobnie, w zależności od warunków umowy, dostawca usług płatniczych może obciążyć opłatą za skorzystanie z usługi płatniczej jedynie odbiorcę, w takim przypadku na płatnika nie są nakładane żadne opłaty. Istnieje możliwość nakładania przez systemy płatności opłat w drodze opłaty abonamentowej. Przepisy dotyczące transferowanej kwoty lub wszelkich pobieranych opłat nie mają bezpośredniego wpływu na ustalanie cen pomiędzy dostawcami usług płatniczych lub ewentualnymi pośrednikami.

(52)Dodatkowa opłata jest opłatą nakładaną przez akceptantów na konsumentów, dodawaną do żądanej ceny za towary i usługi w przypadku skorzystania przez konsumenta z określonej metody płatności. Jednym z powodów pobierania dodatkowych opłat jest kierunkowanie konsumentów, tak aby korzystali z tańszych lub bardziej wydajnych instrumentów płatniczych, a tym samym wspieranie konkurencji między alternatywnymi metodami płatności. W ramach systemu wprowadzonego dyrektywą (UE) 2015/2366 uniemożliwiono odbiorcom żądanie opłat za korzystanie z instrumentów płatniczych, w przypadku których opłaty interchange reguluje się na podstawie rozdziału II rozporządzenia (UE) 2015/751, tj. w odniesieniu do konsumenckich kart debetowych i kredytowych wydanych w ramach czterostronnych systemów kart płatniczych, i za korzystanie z tych usług płatniczych, do których zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 260/2012 45 , czyli transakcji polecenia przelewu i polecenia zapłaty denominowanych w euro w obrębie Unii. Na podstawie dyrektywy (UE) 2015/2366 państwa członkowskie miały możliwość dalszego zakazywania żądania opłat lub ograniczania prawa odbiorcy do żądania opłat, mając na uwadze potrzebę pobudzania konkurencji i promowania korzystania z wydajnych instrumentów płatniczych.

(53)Jak wynika z dowodów zebranych podczas przeglądu dyrektywy (UE) 2015/2366, obecne przepisy dotyczące opłat są odpowiednie i przynoszą pozytywne skutki. Nie istnieje pilna potrzeba dalszego dostosowania praktyk w zakresie pobierania opłat między państwami członkowskimi, ponieważ obecny zakaz pobierania dodatkowych opłat ma już zastosowanie do bardzo dużej części płatności w Unii. Szacuje się, że obecnemu zakazowi pobierania dodatkowych opłat podlega 95 % płatności kartą. Ponadto w przypadku nałożenia dodatkowej opłaty jej kwota ogranicza się do kosztu faktycznie poniesionego przez akceptanta. W przeglądzie dyrektywy (UE) 2015/2366 Komisja wskazała jednak różnie interpretacje dotyczące instrumentów płatniczych objętych zakazem pobierania dodatkowych opłat. Konieczne jest zatem wyraźne rozszerzenie zakazu pobierania dodatkowych opłat, tak aby obejmował on wszystkie polecenia przelewu i polecenia zapłaty, a nie tylko polecenia objęte rozporządzeniem (UE) nr 260/2012, podobnie jak miało to miejsce na podstawie dyrektywy (UE) 2015/2366.

(54)Usługi dostępu do informacji o rachunku i usługi inicjowania płatności, często znane w zbiorczym ujęciu jako „usługi otwartej bankowości”, są usługami płatniczymi związanymi z dostępem do danych użytkownika usług płatniczych dla dostawców usług płatniczych, którzy nie posiadają środków pieniężnych posiadacza rachunku, ani nie prowadzą jego rachunku płatniczego. Usługi dostępu do informacji o rachunku umożliwiają agregację danych użytkownika na wniosek użytkownika usług płatniczych, a przy tym umieszczenie informacji o różnych dostawcach usług płatniczych prowadzących rachunek w jednym miejscu. Usługi inicjowania płatności umożliwiają inicjowanie z rachunku użytkownika płatności, takich jak polecenie przelewu lub polecenie zapłaty, w sposób dogodny dla użytkownika i odbiorcy, bez korzystania z instrumentu w rodzaju karty płatniczej.

(55)Dostawcy usług płatniczych prowadzący rachunek powinni zezwolić dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności na dostęp do danych dotyczących rachunków płatniczych, jeżeli użytkownik usług płatniczych może uzyskać dostęp do rachunku płatniczego online i jeżeli użytkownikowi usług płatniczych udzielono zezwolenia na taki dostęp. Dyrektywa (UE) 2015/2366 opierała się na zasadzie dostępu do danych dotyczących rachunków płatniczych bez konieczności istnienia stosunku umownego między dostawcą usług płatniczych prowadzącym rachunek a dostawcami świadczącymi usługę dostępu do informacji o rachunku i usługę inicjowania płatności, wskutek czego pobieranie opłat za dostęp do danych było praktycznie niemożliwe. Dostęp do danych w ramach otwartej bankowości funkcjonował na takiej pozaumownej podstawie i bez pobierania opłat od momentu rozpoczęcia stosowania dyrektywy (UE) 2015/2366. Gdyby uregulowane usługi dostępu do danych miały zostać objęte opłatą w sytuacji gdy takie płaty dotąd nie istniały, wpływ na dalsze świadczenie tych usług, a w związku z tym na konkurencję i innowacje na rynkach płatności, byłby bardzo znaczący. Należy zatem podtrzymać tę zasadę. Utrzymanie tego podejścia jest zgodne z rozdziałem III i IV wniosku dotyczącego rozporządzenia w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych) 46 , w szczególności z art. 9 ust. 3 tego wniosku odnoszącym się do wynagrodzenia, dla którego to artykułu niniejsze rozporządzenie pozostaje bez uszczerbku. Wniosek Komisji dotyczący rozporządzenia w sprawie dostępu do danych finansowych przewiduje możliwość wynagrodzenia za dostęp o danych, który zostanie objęty rozporządzeniem w sprawie dostępu do danych na temat informacji finansowych. System taki różniłby się zatem od systemu regulowanego niniejszym rozporządzeniem. Tę różnicę w traktowaniu uzasadnia fakt, że w przeciwieństwie do dostępu do danych dotyczących rachunków płatniczych, regulowanego od wejścia w życie dyrektywy (UE) 2015/2366 prawem Unii, dostęp do innych danych finansowych nie podlega jeszcze przepisom unijnym. Nie zachodzi zatem ryzyko zakłóceń, ponieważ w przeciwieństwie do dostępu do danych dotyczących rachunków płatniczych rynek ten jest rynkiem wschodzącym i po raz pierwszy zostanie uregulowany rozporządzeniem w sprawie dostępu do danych na temat informacji finansowych.

(56)Dostawcy usług płatniczych prowadzący rachunek oraz dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności mogą ustanowić stosunek umowny, w tym w kontekście wielostronnego ustalenia umownego (np. schematu), z możliwością wynagrodzenia, w odniesieniu do dostępu do danych dotyczących rachunków płatniczych i świadczenia usług otwartej bankowości innych niż usługi wymagane na podstawie niniejszego rozporządzenia. Przykładem takich usług o wartości dodanej oferowanych za pośrednictwem tzw. interfejsów programowania aplikacji „premium” jest możliwość zaplanowania przyszłych różnego rodzaju powtarzających się płatności. Każde wynagrodzenie za takie usługi musiałoby być zgodne z rozdziałem III i IV proponowanego aktu w sprawie danych od daty rozpoczęcia stosowania tego aktu, w szczególności z jego art. 9 ust. 1 i 2 dotyczącym wynagrodzenia. Dostęp dostawców świadczących usługę dostępu do informacji o rachunku i usługę inicjowania płatności do danych dotyczących rachunków płatniczych regulowany niniejszym rozporządzeniem bez wymogu nawiązania stosunku umownego, a tym samym bez pobierania opłat, powinien być zawsze możliwy, nawet w przypadkach, gdy istnieje wielostronne ustalenie umowne (np. system) i gdy te same dane są również dostępne jako część tego wielostronnego ustalenia umownego.

(57)W celu zagwarantowania wysokiego poziomu bezpieczeństwa w zakresie dostępu do danych i ich wymiany dostęp do rachunków płatniczych i do zawartych na nich danych należy, biorąc pod uwagę szczególne okoliczności, zapewnić dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności za pośrednictwem interfejsu utworzonego i przeznaczonego do celów „otwartej bankowości”, np. za pośrednictwem API. W tym celu dostawca usług płatniczych prowadzący rachunek powinien ustanowić bezpieczną komunikację z dostawcami świadczącymi usługę dostępu do informacji o rachunku i usługę inicjowania płatności. W celu uniknięcia wszelkiej niepewności co do kwestii, kto korzysta z dostępu do danych użytkownika usług płatniczych, specjalny interfejs powinien umożliwiać dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności zidentyfikowanie się wobec dostawcy usług płatniczych prowadzącego rachunek i korzystanie z wszelkich procedur uwierzytelniania zapewnianych użytkownikowi usług płatniczych przez dostawcę usług płatniczych prowadzącego rachunek. Dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni co do zasady wykorzystywać interfejs przeznaczony do ich dostępu, a zatem nie powinni korzystać z interfejsu klienta dostawcy usług płatniczych prowadzącego rachunek, aby uzyskać dostęp do danych, z wyjątkiem przypadków awarii lub niedostępności specjalnego interfejsu w warunkach określonych w niniejszym rozporządzeniu. W takich okolicznościach ciągłość działania tych dostawców byłaby zagrożona wskutek ich niezdolności do uzyskania dostępu do danych, w odniesieniu do których udzielono im zezwolenia. Jest niezbędne, aby dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności mogli w każdym momencie uzyskać dostęp do danych niezbędnych do obsługiwania klientów.

(58)W celu ułatwienia sprawnego wykorzystywania specjalnego interfejsu dostawca usług płatniczych prowadzący rachunek powinien odpowiednio udokumentować specyfikacje techniczne tego interfejsu i podać do wiadomości publicznej streszczenie. Aby dostawcy usług otwartej bankowości mogli odpowiednio przygotować swój przyszły dostęp i rozwiązać wszelkie ewentualne problemy techniczne, dostawca usług płatniczych prowadzący rachunek powinien umożliwić dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności przetestowanie ich interfejsu przed datą jego uruchomienia. Wyłącznie dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności posiadający zezwolenie powinni mieć dostęp do danych dotyczących rachunków płatniczych za pośrednictwem tego interfejsu, chociaż wnioskujący o zezwolenie na prowadzenie działalności jako dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni mieć wgląd w specyfikacje techniczne. Aby zapewnić interoperacyjność różnych technologicznych rozwiązań komunikacyjnych, interfejs musi opierać się na standardach komunikacji opracowanych przez międzynarodowe lub europejskie organizacje normalizacyjne, w tym przez Europejski Komitet Normalizacyjny (CEN) lub Międzynarodową Organizację Normalizacyjną (ISO).

(59)Aby dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności mogli w każdym czasie zapewnić ciągłość działania i świadczyć na rzecz klientów wysokiej jakości usługi, specjalny interfejs, z którego mają korzystać, musi spełniać wymogi w odniesieniu do wydajności i funkcjonalności na wysokim poziomie. Interfejs taki powinien zapewniać co najmniej „parytet danych” w odniesieniu do interfejsu klienta udostępnionego użytkownikom przez dostawcę usług płatniczych prowadzącego rachunek, a zatem również w odniesieniu do danych dotyczących rachunków płatniczych, które są dostępne także dla użytkowników usług płatniczych w interfejsie zapewnianym przez dostawcę usług płatniczych prowadzącego rachunek. W odniesieniu do usług inicjowania płatności specjalny interfejs powinien umożliwiać nie tylko inicjowanie pojedynczych płatności, ale również zleceń stałych i poleceń zapłaty. Bardziej szczegółowe wymogi w zakresie specjalnych interfejsów należy określić w regulacyjnych standardach technicznych, które opracuje EBA.

(60)Zważywszy na ogromny wpływ, jaki przedłużająca się niedostępność specjalnego interfejsu mogłaby wywrzeć na ciągłość działania dostawców świadczących usługę dostępu do informacji o rachunku i usługę inicjowania płatności, dostawcy usług płatniczych prowadzący rachunek powinni niezwłocznie zaradzić takiej niedostępności. Dostawcy usług płatniczych prowadzący rachunek powinni niezwłocznie poinformować dostawców świadczących usługę dostępu do informacji o rachunku i usługę inicjowania płatności o każdej takiej niedostępności swojego specjalnego interfejsu oraz o środkach wdrożonych w celu zaradzenia jej. W razie braku dostępności specjalnego interfejsu oraz braku propozycji skutecznego rozwiązania alternatywnego ze strony dostawcy usług płatniczych prowadzącego rachunek dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni mieć możliwość utrzymania ciągłości działania. Należy zezwolić im na zwrócenie się do właściwego organu krajowego o możliwość skorzystania z interfejsu zapewnianego użytkownikom przez dostawcę usług płatniczych prowadzącego rachunek do czasu przywrócenia dostępności specjalnego interfejsu. Po otrzymaniu wniosku właściwy organ powinien niezwłocznie podjąć decyzję. W oczekiwaniu na decyzję organu należy zezwolić wnioskującym dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności na tymczasowe korzystanie z interfejsu zapewnianego użytkownikom przez dostawcę usług płatniczych prowadzącego rachunek. Odpowiedni właściwy organ powinien określić termin przywrócenia przez dostawcę usług płatniczych prowadzącego rachunek pełnego funkcjonowania specjalnego interfejsu z możliwością nałożenia sankcji w przypadku niewywiązania się z tego obowiązku w terminie. Na dostęp do danych niezbędnych do zapewnienia ciągłości działania należy zezwolić wszystkim dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności, a nie tylko tym, którzy złożyli wniosek.

(61)Taki tymczasowy bezpośredni dostęp nie powinien mieć negatywnego wpływu na konsumentów. Dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni zatem zawsze należycie identyfikować się i wypełniać wszystkie swoje obowiązki, w tym dotyczące ograniczeń w odniesieniu do udzielonego im zezwolenia, i powinni w szczególności mieć dostęp wyłącznie do danych, których potrzebują do wypełnienia zobowiązań umownych i świadczenia usługi uregulowanej. W żadnych okolicznościach nie należy korzystać z dostępu do danych dotyczących rachunków płatniczych bez stosownej identyfikacji (tzw. „screen scraping”).

(62)Zważywszy na fakt, że w odniesieniu do niektórych dostawców usług płatniczych prowadzących rachunek specjalny interfejs mógłby zostać uznany za nieproporcjonalne obciążenie, właściwy organ krajowy powinien mieć możliwość zwolnienia dostawcy sług płatniczych prowadzącego rachunek, na jego wniosek, z obowiązku dysponowania specjalnym interfejsem dostępu do danych i oferowania dostępu do danych dotyczących płatności wyłącznie za pośrednictwem „interfejsu klienta” albo nieoferowania żadnego interfejsu dostępu do danych dotyczących otwartej bankowości. Dostęp do danych za pośrednictwem interfejsu klienta (bez specjalnego interfejsu) może być właściwy w przypadku niewielkiego dostawcy usług płatniczych prowadzącego rachunek, dla którego specjalny interfejs stanowiłby znaczące obciążenie w kontekście finansów i zasobów. Zwolnienie z obowiązku utrzymywania interfejsu dostępu do danych dotyczących „otwartej bankowości” może być uzasadnione, jeżeli dostawca usług płatniczych prowadzący rachunek dysponuje określonym modelem biznesowym, np. w przypadku gdy usługi otwartej bankowości nie byłyby istotne dla jego klientów. Szczegółowe kryteria w zakresie wydawania takich różnego rodzaju decyzji dotyczących zwolnienia należy określić w regulacyjnych standardach technicznych, które opracuje EBA.

(63)Aby w pełni wykorzystywać potencjał otwartej bankowości w Unii, istotne jest zapobieganie wszelkiemu dyskryminującemu traktowaniu dostawców świadczących usługę dostępu do informacji o rachunku i usługę inicjowania płatności przez dostawców usług płatniczych prowadzących rachunek. Jeżeli użytkownik usług płatniczych zdecydował się na skorzystanie z usług dostawcy świadczącego usługę dostępu do informacji o rachunku lub dostawcy świadczącego usługę inicjowania płatności, dostawca usług płatniczych prowadzący rachunek powinien potraktować to zlecenie w taki sam sposób, w jaki potraktowałby takie polecenie, gdyby zostało wydane przez użytkownika usług płatniczych bezpośrednio w „interfejsie klienta”, chyba że dostawca usług płatniczych prowadzący rachunek ma obiektywne powody, aby inaczej traktować żądanie udzielenia dostępu do rachunku, w tym w przypadku poważnego podejrzenia oszustwa.

(64)Na potrzeby świadczenia usług inicjowania płatności dostawca usług płatniczych prowadzący rachunek powinien przekazać dostawcy świadczącemu usługę inicjowania płatności wszystkie dostępne mu informacje w odniesieniu do wykonania transakcji płatniczej niezwłocznie po otrzymaniu zlecenia płatniczego. Niekiedy więcej informacji staje się dostępnych dla dostawcy usług płatniczych prowadzącego rachunek po otrzymaniu zlecenia płatniczego, ale przed wykonaniem transakcji płatniczej. W stosownych przypadkach w odniesieniu do zlecenia płatniczego i wykonania transakcji płatniczej dostawca usług płatniczych prowadzący rachunek powinien przekazać te informacje dostawcy świadczącemu usługę inicjowania płatności. Dostawca świadczący usługę inicjowania płatności powinien skorzystać z informacji niezbędnych do oceny zagrożeń związanych z niewykonaniem zainicjowanej transakcji. Informacje te są konieczne, aby dostawca świadczący usługę inicjowania płatności mógł oferować odbiorcy, w imieniu którego inicjuje transakcję, usługi o jakości potencjalnie konkurencyjnej w stosunku do innych środków płatności elektronicznych dostępnych dla odbiorcy, w tym kart płatniczych. 

(65)W celu zwiększenia zaufania do otwartej bankowości istotne jest, aby użytkownicy usług płatniczych korzystający z informacji na temat rachunku i z usług inicjowania płatności mieli pełną kontrolę nad swoimi danymi i dostęp do jasnych informacji dotyczących zezwoleń na dostęp do danych, których to zezwoleń ci użytkownicy usług płatniczych udzielili dostawcom usług płatniczych, z uwzględnieniem celu zezwolenia i kategorii przedmiotowych danych dotyczących rachunków płatniczych, w tym danych rachunku dotyczących tożsamości, transakcji i salda rachunku. W związku z tym dostawcy usług płatniczych prowadzący rachunek powinni udostępnić użytkownikom usług płatniczych korzystającym z takich usług „panek” do celów monitorowania i wycofywania lub ponownego ustanawiania dostępu do danych udzielonego dostawcom usług „otwartej bankowości”. Na panelu tym nie należy umieszczać zezwoleń na inicjowanie jednorazowych płatności. Panel nie może umożliwiać użytkownikowi usług płatniczych ustanowienia nowych zezwoleń na dostęp do danych dla dostawcy świadczącego usługę dostępu do informacji o rachunku lub usługę inicjowania płatności, któremu nie udzielono wcześniej zezwolenia na dostęp do danych. Dostawcy usług płatniczych prowadzący rachunek powinni niezwłocznie poinformować dostawców świadczących usługę dostępu do informacji o rachunku i usługę inicjowania płatności o każdym wycofaniu zezwolenia na dostęp do danych. Dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni niezwłocznie poinformować dostawców usług płatniczych prowadzących rachunek o nowych i ponownie ustanowionych zezwoleniach na dostęp do danych udzielonych przez użytkowników usług płatniczych, w tym o okresie ważności zezwolenia i jego celu (w szczególności o tym, czy konsolidacji danych dokonano na potrzeby użytkownika czy przekazania osobie trzeciej). Dostawca usług płatniczych prowadzący rachunek nie powinien w żaden sposób zachęcać użytkownika usług płatniczych do wycofania zezwoleń udzielonych dostawcom świadczącym usługę dostępu do informacji o rachunku i usługę inicjowania płatności. Za pośrednictwem panelu należy ostrzec użytkownika usług płatniczych w standardowy sposób o ryzyku potencjalnych umownych konsekwencji wycofania dostępu do danych przyznanego dostawcy usług otwartej bankowości, ponieważ panel nie jest przeznaczony do zarządzania stosunkiem umownym między użytkownikiem a dostawcą usługi „otwartej bankowości”, a do weryfikacji tego ryzyka przez użytkownika usług płatniczych. Za pośrednictwem panelu do zarządzania zezwoleniami klienci powinni być uprawnieni do świadomego i bezstronnego zarządzania swoimi zezwoleniami i do zapewniania klientom skutecznego środka kontroli nad sposobem wykorzystywania ich danych osobowych i nieosobowych. W odniesieniu do panelu do zarządzania zezwoleniami należy w stosownych przypadkach uwzględnić wymogi dostępności określone w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2019/882.

(66)Z przeglądu dyrektywy (UE) 2015/2366 wynika, że dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności są nadal narażeni na wiele nieuzasadnionych przeszkód pomimo osiągniętego poziomu harmonizacji i zakazu stwarzania takich przeszkód nałożonego na podstawie art. 32 ust. 3 rozporządzenia delegowanego Komisji (UE) 2018/389 47 . Przeszkody te nadal znacząco osłabiają pełny potencjał otwartej bankowości w Unii. Dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności regularnie zgłaszają te przeszkody organom nadzoru, organom regulacyjnym i Komisji. EBA przeanalizował te przeszkody w swojej opinii z czerwca 2020 r. dotyczącej „przeszkód dla świadczenia usług przez dostawców usług będących osobami trzecimi na podstawie dyrektywy w sprawie usług płatniczych”. Mimo starań na rzecz uściślenia przepisów na rynku i wśród organów nadzoru wciąż panuje duża niepewność w odniesieniu do kwestii, co stanowi „zakazaną przeszkodę” dla uregulowanych usług otwartej bankowości. Konieczne jest zatem przedstawienie jasnego i niewyczerpującego wykazu takich zakazanych przeszkód związanych z otwartą bankowością, w szczególności na podstawie prac przeprowadzonych przez EBA.

(67)Obowiązek bezpiecznego przechowywania indywidualnych danych uwierzytelniających ma ogromne znaczenie dla ochrony środków pieniężnych użytkownika usług płatniczych i dla ograniczenia zagrożeń związanych z oszustwami i nieuprawnionym dostępem do rachunków płatniczych. Warunki lub inne obowiązki nakładane przez dostawców usług płatniczych na użytkowników usług płatniczych dotyczące bezpiecznego przechowywania indywidualnych danych uwierzytelniających nie powinny jednak być sformułowane w sposób, który uniemożliwia użytkownikom usług płatniczych korzystanie z usług oferowanych przez innych dostawców usług płatniczych, w tym usług inicjowania płatności i usług dostępu do informacji o rachunku. Warunki takie nie powinny zawierać żadnych postanowień, które w dowolny sposób utrudniałyby korzystanie z usług płatniczych świadczonych przez innych dostawców usług płatniczych posiadających zezwolenie lub zarejestrowanych zgodnie z dyrektywą (UE) XXX [PSD3]. Co więcej, należy zaznaczyć, że w odniesieniu do działalności prowadzonej przez dostawców świadczących usługę inicjowania płatności i dostawców świadczących usługę dostępu do informacji o rachunku nazwisko i imię lub nazwa właściciela rachunku i numer rachunku nie stanowią szczególnie chronionych danych dotyczących płatności.

(68)Aby „otwarta bankowość” okazała się pełnym sukcesem, konieczne jest zdecydowane i skuteczne egzekwowanie przepisów regulujących tego rodzaju działalność. Ponieważ na szczeblu Unii nie istnieje jeden organ, który odpowiadałby za egzekwowanie praw i obowiązków w zakresie „otwartej bankowości”, pierwszym szczeblem w odniesieniu do egzekwowania otwartej bankowości są właściwe organy krajowe. Niezbędne jest, aby właściwe organy krajowe zapewniały w sposób aktywny i rygorystyczny poszanowanie uregulowanych unijnych ram „otwartej bankowości”. Operatorzy otwartej bankowości regularnie wskazują niewystarczające egzekwowanie przepisów przez odpowiednie organy jako jeden z powodów wciąż niewielkiego wykorzystania tego rodzaju bankowości w Unii. Właściwe organy krajowe powinny mieć odpowiednie zasoby w celu skutecznego i wydajnego wykonywania swoich zadań związanych z egzekwowaniem przepisów. Właściwe organy krajowe powinny propagować sprawny i regularny dialog między poszczególnymi podmiotami ekosystemu „otwartej bankowości” i pośredniczyć w tym dialogu. Dostawcy usług płatniczych prowadzący rachunek oraz dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności niewypełniający swoich obowiązków powinni podlegać stosownym sankcjom. Regularne monitorowanie rynku „otwartej bankowości” w Unii przez właściwe organy, przy koordynacji ze strony EBA, powinno przyczynić się do ułatwienia egzekwowania przepisów, a gromadzenie danych dotyczących rynku „otwartej bankowości” będzie zapobiegało istniejącej luce w danych, która utrudnia skuteczny pomiar faktycznego wykorzystania „otwartej bankowości” w Unii. Dostawcy usług płatniczych prowadzący rachunek oraz dostawcy świadczący usługę dostępu do informacji o rachunku i usługę inicjowania płatności powinni uzyskać dostęp do organów zajmujących się rozstrzyganiem sporów, zgodnie z art. 10 wniosku dotyczącego aktu w sprawie danych, po wejściu w życie tego rozporządzenia.

(69)Równoległe stosowanie pojęcia „wyraźna zgoda” w dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/2366 oraz w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 48 doprowadziło do błędnych interpretacji. Przedmiotem wyraźnej zgody, o której mowa w art. 94 ust. 2 dyrektywy (UE) 2015/2366, jest zezwolenie na uzyskanie dostępu do tych danych osobowych w celu umożliwienia przetwarzania i przechowywania tych danych osobowych, które są niezbędne w celu świadczenia usługi płatniczej. Należy zatem dokonać uściślenia w celu zwiększenia pewności prawa i dysponowania jasnym rozróżnieniem w stosunku do przepisów o ochronie danych. Tam, gdzie w dyrektywie (UE) 2015/2366 użyto pojęcia „wyraźnej zgody”, w niniejszym rozporządzeniu należy stosować pojęcie „zezwolenia”. W przypadku odniesienia do „zezwolenia” odniesienie to powinno pozostawać bez uszczerbku dla obowiązków dostawców usług płatniczych wynikających art. 6 rozporządzenia (UE) 2016/679. Zezwolenia nie należy zatem traktować wyłącznie jako „zgody” lub „wyraźnej zgody” zgodnie z definicją zawartą w rozporządzeniu (UE) 2016/679.

(70)Bezpieczeństwo poleceń przelewu ma zasadnicze znaczenie dla zwiększenia zaufania użytkowników usług płatniczych do takich usług i zapewnienia korzystania z nich. Płatnicy zamierzający wykonać polecenie przelewu do danego odbiorcy mogą, w wyniku oszustwa lub błędu, podać unikatowy identyfikator, który nie odpowiada rachunkowi prowadzonemu przez tego odbiorcę. Aby przyczynić się do ograniczenia oszustw i błędów, użytkownicy usług płatniczych powinni korzystać z usługi, która umożliwiałaby sprawdzenie, czy istnieje jakakolwiek rozbieżność między unikatowym identyfikatorem odbiorcy a nazwiskiem lub nazwą odbiorcy podanymi przez płatnika, oraz, w przypadku wykrycia rozbieżności, powiadomienie o nich płatnika. W krajach, w których oferuje się takie usługi, odnotowano ich znaczący pozytywny wpływ na poziom występowania oszustw i błędów. Ze względu na znaczenie tych usług w odniesieniu do zapobiegania oszustwom i błędom usługi te powinny być dostępne bezpłatnie dla konsumentów. Aby uniknąć niepotrzebnych problemów lub opóźnień w przetwarzaniu transakcji, dostawca usług płatniczych płatnika powinien przekazać takie powiadomienie w czasie nie dłuższym niż kilka sekund od chwili wprowadzenia przez płatnika informacji o odbiorcy. Aby umożliwić płatnikowi podjęcie decyzji o kontynuacji zamierzonej transakcji, dostawca usług płatniczych płatnika powinien przekazać takie powiadomienie przed autoryzacją transakcji przez płatnika. Niektóre rozwiązania w zakresie inicjowania polecenia przelewu mogą być dostępne dla płatników, tym samym umożliwiając im złożenie zlecenia płatniczego bez wprowadzania unikatowego identyfikatora. Takie elementy danych przekazuje za nich dostawca zapewniający to rozwiązanie w zakresie inicjowania. W takich przypadkach nie jest konieczne oferowanie usługi polegającej na sprawdzaniu dopasowania unikatowego identyfikatora do nazwiska lub nazwy odbiorcy, ponieważ ryzyko występowania oszustw lub błędów jest znacznie ograniczone.

(71)Rozporządzenie (UE) XXX zmieniające rozporządzenie (UE) nr 260/2012 przewiduje usługę polegającą na sprawdzaniu dopasowania unikatowego identyfikatora do nazwiska lub nazwy odbiorcy, która to usługa ma być oferowana użytkownikom poleceń przelewu natychmiastowego w euro. W celu osiągnięcia spójnych ram w odniesieniu do wszystkich poleceń przelewu przy uniknięciu jakiegokolwiek niepożądanego powielania usługa weryfikacji, o której mowa w niniejszym rozporządzeniu, powinna mieć zastosowanie do poleceń przelewu nieobjętych rozporządzeniem (UE) XXX zmieniającym rozporządzenie (UE) nr 260/2012.

(72)Pewne cechy nazwiska lub nazwy odbiorcy, na którego rachunek płatnik chce zrealizować polecenie przelewu, mogą zwiększać prawdopodobieństwo wykrycia rozbieżności przez dostawcę usług płatniczych, w tym obecność znaków diakrytycznych lub różnych możliwych transliteracji nazwisk w różnych alfabetach, różnice między nazwiskami używanymi zwyczajowo a nazwiskami wskazanymi w oficjalnych dokumentach tożsamości w przypadku osób fizycznych, lub różnice między nazwami handlowymi a prawnymi w przypadku osób prawnych. Aby uniknąć niepotrzebnych utrudnień w przetwarzaniu poleceń przelewu i ułatwić płatnikowi podjęcie decyzji o kontynuowaniu zamierzonej transakcji, dostawcy usług płatniczych powinni podać stopień takiej rozbieżności w drodze wskazania w powiadomieniu w przypadku braku dopasowania lub „niepełnego” dopasowania.

(73)Autoryzacja transakcji płatniczej pomimo wykrycia za pośrednictwem usługi weryfikacji dopasowania i powiadomienia o niej użytkownika usług płatniczych, może skutkować przekazaniem środków pieniężnych na rzecz niezamierzonego odbiorcy płatności. Dostawcy usług płatniczych powinni poinformować użytkowników usług płatniczych o możliwych konsekwencjach ich decyzji dotyczących zignorowania powiadomienia o rozbieżności i kontynuowania wykonywania transakcji. Użytkownicy usług płatniczych powinni mieć możliwość rezygnacji z korzystania z takiej usługi w dowolnym momencie trwania ich stosunku umownego z dostawcą usług płatniczych. Po rezygnacji użytkownicy usług płatniczych powinni mieć możliwość ponownego skorzystania z usługi.

(74)Użytkownik usług płatniczych powinien jak najszybciej poinformować dostawcę usług płatniczych o wszelkich reklamacjach dotyczących rzekomo nieautoryzowanych, nieprawidłowo wykonanych transakcji płatniczych lub autoryzowanych poleceń przelewu w przypadku wadliwego działania usługi weryfikacji dopasowania, pod warunkiem że dostawca usług płatniczych wywiązał się ze swoich obowiązków z zakresu informowania. Jeżeli użytkownik usług płatniczych dokonał zgłoszenia w terminie, powinien mieć możliwość dochodzenia tych roszczeń zgodnie z krajowymi terminami przedawnienia. Nie powinno to wpływać na inne roszczenia między użytkownikami usług płatniczych a dostawcami usług płatniczych.

(75)Należy uregulować kwestię podziału strat w przypadku nieautoryzowanych transakcji płatniczych lub określonych autoryzowanych poleceń przelewu. Odmienne przepisy mogą mieć zastosowanie do użytkowników usług płatniczych niebędących konsumentami, ponieważ takim użytkownikom jest zwykle łatwiej dokonać oceny ryzyka oszustwa i przedsięwziąć środki zapobiegawcze. Aby zapewnić wysoki poziom ochrony konsumentów, płatnicy powinni zawsze mieć prawo wystąpienia z roszczeniem o zwrot do dostawcy usług płatniczych prowadzącego ich rachunek, nawet jeżeli w transakcji płatniczej bierze udział dostawca świadczący usługę inicjowania płatności. Powinno to pozostawać bez uszczerbku dla podziału odpowiedzialności między dostawcami usług płatniczych.

(76)W przypadku usług inicjowania płatności podział odpowiedzialności między dostawcą usług płatniczych prowadzącym rachunek a dostawcą świadczącym usługę inicjowania płatności, którzy biorą udział w transakcji, powinien zobowiązywać ich do przyjęcia odpowiedzialności za części transakcji podlegające ich kontroli.

(77)W przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji. Jeżeli jednak zachodzi duże prawdopodobieństwo nieautoryzowanej transakcji wynikającej z działania płatnika w nieuczciwych zamiarach, a podejrzenie to opiera się na obiektywnych podstawach zgłoszonych odpowiedniemu organowi krajowemu przez dostawcę usług płatniczych, przed dokonaniem zwrotu na rzecz płatnika dostawca usług płatniczych powinien być w stanie przeprowadzić dochodzenie. W terminie 10 dni roboczych od daty dostarczenia lub otrzymania powiadomienia o transakcji dostawca usług płatniczych powinien dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo przekazać płatnikowi powody i dowody potwierdzające dotyczące odmowy dokonania zwrotu i wskazać organy, do których płatnik może skierować sprawę, jeżeli płatnik nie zgadza się z przedstawionym uzasadnieniem. Aby zapobiec wszelkim sytuacjom niekorzystnym dla płatnika, data waluty w odniesieniu do uznania rachunku kwotą zwrotu nie powinna być późniejsza niż data obciążenia rachunku tą kwotą. Aby zachęcić użytkownika usług płatniczych do zgłaszania swojemu dostawcy usług płatniczych bez zbędnej zwłoki każdej kradzieży lub utraty instrumentu płatniczego, a tym samym aby zmniejszyć ryzyko nieautoryzowanych transakcji płatniczych, użytkownik powinien ponosić odpowiedzialność wyłącznie do kwoty o bardzo ograniczonej wysokości, chyba że użytkownik usług płatniczych działał w nieuczciwych zamiarach lub dopuścił się rażącego niedbalstwa w tym zakresie. W tym kontekście kwota w wysokości 50 EUR wydaje się być odpowiednia do zapewnienia zharmonizowanego i wysokiego poziomu ochrony użytkowników w obrębie Unii. Płatnik nie powinien ponosić odpowiedzialności, jeżeli nie mógł zdawać sobie sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. Ponadto od momentu zgłoszenia dostawcy usług płatniczych przez użytkownika usług płatniczych, że mogło dojść do nieuprawnionego użycia jego instrumentu płatniczego, użytkownik usług płatniczych nie powinien być zobowiązany do pokrycia żadnych dalszych strat wynikających z nieuprawnionego użycia tego instrumentu. Dostawcy usług płatniczych powinni być odpowiedzialni za bezpieczeństwo techniczne ich produktów.

(78)Przepisy dotyczące odpowiedzialności w przypadku autoryzowanych poleceń przelewu, jeżeli doszło do nieprawidłowego wykorzystania lub wadliwego działania usługi wykrywania rozbieżności między nazwiskiem lub nazwą a unikatowym identyfikatorem odbiorcy, stanowiłyby dla dostawców usług płatniczych właściwą zachętę do świadczenia w pełni funkcjonującej usługi w celu ograniczenia ryzyka autoryzacji płatności opartych na niewystarczających informacjach. Jeżeli płatnik zdecydował się na skorzystanie z takiej usługi, dostawca usług płatniczych płatnika powinien ponieść odpowiedzialność za pełną kwotę polecenia przelewu, w przypadkach gdy ten dostawca usług płatniczych nie powiadomił płatnika, mimo że powinien to uczynić przy prawidłowym funkcjonowaniu, o rozbieżności między unikatowym identyfikatorem a nazwiskiem lub nazwą odbiorcy przedstawionymi przez płatnika i gdy w wyniku takiego niedopełnienia obowiązku płatnik poniósł straty finansowe. Jeżeli odpowiedzialność dostawcy usług płatniczych płatnika spoczywa na dostawcy usług płatniczych odbiorcy, dostawca usług płatniczych odbiorcy powinien zrekompensować dostawcy usług płatniczych płatnika poniesione straty finansowe.

(79)Należy zapewnić konsumentom odpowiedni poziom ochrony w kontekście określonych nieuczciwych transakcji płatniczych, które autoryzowali nie zdając sobie sprawy z nieuczciwego charakteru tych transakcji. W ostatnich latach znacznie wzrosła liczba przypadków „inżynierii społecznej”, w których konsumentów wprowadzano w błąd, w taki sposób że autoryzowali oni transakcje płatnicze na rzecz oszustów. Przypadki „spoofingu”, w których oszuści podają się za pracowników dostawcy usług płatniczych klienta i w nieuczciwych zamiarach posługują się nazwiskiem lub nazwą, adresem mailowym lub numerem telefonu dostawcy usług płatniczych w celu zyskania zaufania klientów i skłonienia ich do przeprowadzenia pewnych działań, stają się niestety coraz bardziej rozpowszechnione w Unii. Te nowe rodzaje oszustw polegających na „spoofingu” prowadzą do zacierania się rozróżnienia między transakcjami autoryzowanymi a nieautoryzowanymi przewidzianego w dyrektywie (UE) 2015/2366. Coraz trudniejsze staje się również identyfikowanie środków umożliwiających stwierdzenie, że udzielono zgody, ponieważ oszuści mogą przejąć kontrolę nad całym procesem udzielania zgody i uwierzytelniania, w tym na przeprowadzaniem silnego uwierzytelniania klienta. W celu zakwalifikowania transakcji jako autoryzowanej lub nieautoryzowanej konieczne jest należyte uwzględnienie, w tym przez sądy, warunków, na jakich klient autoryzował transakcję, udzielając zezwolenia na jej wykonanie. Istotnie mogło dojść do autoryzowania transakcji w okolicznościach, w których autoryzacji takiej udzielono w wyniku manipulacji, co wpłynęło na integralność zezwolenia. Nie jest już zatem możliwe, tak jak w przypadku dyrektywy (UE) 2015/2366, ograniczenie zwrotów wyłącznie do nieautoryzowanych transakcji. Stosowanie do każdej nieuczciwej transakcji, autoryzowanej lub nieautoryzowanej, prawa do systematycznego zwrotu byłoby jednak dla dostawców usług płatniczych nieproporcjonalne i niezwykle kosztowne pod względem finansowym. Mogłoby to również spowodować pokusę nadużycia i osłabienie czujności klienta.

(80)Dostawców usług płatniczych również można uznać za ofiary przypadków „spoofingu”, ponieważ dochodziło do przejęcia ich danych. Dostawcy usług płatniczych dysponują jednak większą liczbą środków niż konsumenci w celu zwalczenia tych oszustw w drodze aktywnego zapobiegania i skutecznych technicznych środków ochronnych opracowanych przez dostawców usług łączności elektronicznej, takich jak operatorzy sieci ruchomej, platformy internetowe itp. Przypadki oszustwa polegającego na posłużeniu się tożsamością pracownika banku wpływają na reputację banku, sektora bankowego jako całości i mogą spowodować znaczące szkody dla konsumentów unijnych, wywierając wpływ na ich zaufanie do płatności elektronicznych i systemu bankowego. Działający w dobrej wierze konsument, który padł ofiarą takiego oszustwa polegającego na „spoofingu”, gdy oszuści podają się za pracowników dostawcy usług płatniczych klienta i w nieuczciwych zamiarach posługują się nazwiskiem lub nazwą, adresem mailowym lub numerem telefonu dostawcy usług płatniczych, powinien być zatem uprawniony do otrzymania od dostawcy usług płatniczych zwrotu pełnej kwoty nieuczciwej transakcji płatniczej, chyba że płatnik dopuścił się nieuczciwego działania lub „rażącego niedbalstwa”. Z chwilą gdy konsument stwierdzi, że padł ofiarą tego rodzaju oszustwa polegającego na spoofingu, powinien bez zbędnej zwłoki zgłosić to zdarzenie policji, najlepiej przy zastosowaniu procedur składania skargi online, jeżeli policja takie zapewnia, i swojemu dostawcy usług płatniczych, przedstawiając wszelkie niezbędne dowody potwierdzające. W przypadku niespełnienia tych warunków proceduralnych nie należy przyznawać żadnego zwrotu.

(81)Uwzględniając obowiązki dostawców usług łączności elektronicznej związane z zagwarantowaniem bezpieczeństwa świadczonych usług zgodnie z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady 49 , dostawcy ci są w stanie przyczynić się do zbiorowego zwalczania oszustw polegających na „spoofingu”. W związku z tym i bez uszczerbku dla obowiązków określonych w przepisach krajowych wdrażających tę dyrektywę dostawcy usług łączności elektronicznej powinni współpracować z dostawcami usług płatniczych z zamiarem zapobiegania dalszemu występowaniu tego rodzaju oszustw, w tym w drodze niezwłocznego reagowania w celu zapewnienia odpowiednich środków organizacyjnych i technicznych na rzecz zagwarantowania bezpieczeństwa i poufności komunikacji zgodnie z dyrektywą 2002/58/WE. Każde roszczenie dostawcy usług płatniczych wobec innych dostawców, takich jak dostawcy usług łączności elektronicznej, dotyczące strat finansowych spowodowanych w wyniku tego rodzaju oszustwa powinno zostać wniesione zgodnie z prawem krajowym. 

(82)Aby ocenić ewentualne zaniedbanie lub rażące niedbalstwo ze strony użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. Fakt i stopień domniemanego zaniedbania powinny być zasadniczo oceniane zgodnie z prawem krajowym. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, rażące niedbalstwo powinno oznaczać więcej niż zwykłe zaniedbanie i odnosić się do postępowania odznaczającego się znaczącym stopniem niedbalstwa; na przykład przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla osób trzecich. Fakt, że konsument otrzymał już od dostawcy usług płatniczych zwrot, po tym jak padł ofiarą oszustwa polegającego na posłużeniu się tożsamością pracownika banku, i wnosi kolejne roszczenie o zwrot wobec tego samego dostawcy usług płatniczych, po tym jak kolejny raz padł ofiarą tego samego rodzaju oszustwa, można uznać za „rażące niedbalstwo”, ponieważ wskazywałby on na wysoki poziom niedbalstwa ze strony użytkownika, który powinien zachować większą czujność, po tym jak padł już ofiarą tego samego nieuczciwego modus operandi.

(83)Warunki umowne dotyczące dostarczenia i używania instrumentu płatniczego, których skutkiem byłoby zwiększenie ciężaru dowodu spoczywającego na konsumencie lub zmniejszenie ciężaru dowodu spoczywającego na wydawcy, powinny zostać uznane za nieważne. Ponadto w szczególnych sytuacjach, a w szczególności w przypadku gdy instrumentu płatniczego nie ma w punkcie sprzedaży, jak ma to miejsce w przypadku płatności online, należy postanowić, że obowiązek przedstawienia dowodów domniemanego zaniedbania spoczywa na dostawcy usług płatniczych, ponieważ płatnik dysponuje w takich przypadkach bardzo ograniczonymi środkami w tym względzie.

(84)Konsumenci są szczególnie podatni na zagrożenia w przypadku transakcji płatniczych realizowanych w oparciu o kartę, w których dokładna kwota transakcji nie jest znana w momencie, kiedy płatnik udziela zezwolenia na wykonanie transakcji płatniczej, np. w przypadku samoobsługowych stacji paliw, umów najmu samochodu lub dokonywania rezerwacji hotelowych. Dostawca usług płatniczych płatnika powinien mieć możliwość zablokowania kwoty środków pieniężnych na rachunku płatniczym płatnika w sposób proporcjonalny do kwoty transakcji płatniczej, której to kwoty płatnik może w rozsądny sposób oczekiwać, i jedynie wówczas, gdy płatnik udzielił zgody na zablokowanie tej konkretnej kwoty. Te środki pieniężne należy uwolnić niezwłocznie po otrzymaniu informacji o dokładnej ostatecznej kwocie transakcji płatniczej, najpóźniej niezwłocznie po otrzymaniu zlecenia płatniczego. W celu zapewnienia natychmiastowego zwolnienia różnicy między zablokowaną kwotą a dokładną kwotą transakcji płatniczej odbiorca powinien poinformować dostawcę usług płatniczych niezwłocznie po wykonaniu usługi na rzecz płatnika lub po dostarczeniu mu towarów.

(85)W państwach członkowskich, których walutą nie jest euro, istnieją nadal dotychczasowe niedenominowane w euro schematy poleceń zapłaty. Schematy te działają wydajnie i zapewniają ten sam wysoki poziom ochrony płatnika za pośrednictwem innych środków ochronnych, nie zawsze opartych na bezwarunkowym prawie zwrotu. W takim przypadku płatnika powinna chronić ogólna zasada, zgodnie z którą zwrot dokonywany jest wtedy, gdy kwota wykonanej transakcji płatniczej przekracza kwotę, której można było w rozsądny sposób oczekiwać. Państwa członkowskie powinny mieć ponadto możliwość ustanowienia zasad dotyczących prawa zwrotu, które są bardziej korzystne dla płatnika niż zasady ustanowione w niniejszym rozporządzeniu. Proporcjonalnym rozwiązaniem byłoby pozwolenie płatnikowi i jego dostawcy usług płatniczych na uzgodnienie w umowie ramowej, że płatnik nie ma prawa do zwrotu, w przypadku gdy jest chroniony. Może to być spowodowane albo faktem, że płatnik udzielił zezwolenia na wykonanie transakcji bezpośrednio swojemu dostawcy usług płatniczych, w tym gdy dostawca usług płatniczych działa w imieniu odbiorcy, albo faktem, że informacja o przyszłej transakcji płatniczej została dostarczona lub udostępniona płatnikowi w uzgodniony sposób przez dostawcę usług płatniczych lub przez odbiorcę co najmniej cztery tygodnie przed terminem wykonania zlecenia.W każdym razie płatnik powinien być chroniony przez ogólną zasadę dotyczącą zwrotów w przypadku nieautoryzowanych lub nieprawidłowo wykonanych transakcji płatniczych lub autoryzowanych poleceń przelewu zagrożonych nieprawidłowym skorzystaniem z usługi weryfikacji dopasowania lub w przypadku oszustwa polegającego na posłużeniu się tożsamością dostawcy usług płatniczych.

(86)Na potrzeby planowania finansowego i w celu terminowego wypełniania zobowiązań płatniczych konsumenci i przedsiębiorstwa muszą mieć pewność co do czasu potrzebnego na wykonanie zlecenia płatniczego. Konieczne jest zatem określenie momentu, w którym prawa i obowiązki nabierają mocy, a mianowicie momentu, w którym dostawca usług płatniczych otrzymuje zlecenie płatnicze, także wtedy, gdy dostawca usług płatniczych miał możliwość otrzymania go za pomocą środków komunikacji uzgodnionych w umowie o usługę płatniczą. Jest to niezależne od wszelkiego wcześniejszego zaangażowania w proces prowadzący do sporządzenia i przekazania zlecenia płatniczego, w tym kontrole bezpieczeństwa i kontrole dostępności środków pieniężnych, informacje o korzystaniu z indywidualnego numeru identyfikacyjnego lub wydanie przyrzeczenia zapłaty. Ponadto otrzymanie zlecenia płatniczego powinno nastąpić w momencie otrzymania przez dostawcę usług płatniczych płatnika zlecenia płatniczego, którego kwotą ma być obciążony rachunek płatnika. Moment, w którym odbiorca przekazuje dostawcy usług płatniczych zlecenia płatnicze dotyczące pobrania, np. kwoty płatności kartą lub kwoty poleceń zapłaty, lub w którym odbiorca otrzymuje zaliczkę na poczet stosownych kwot od swojego dostawcy usług płatniczych poprzez warunkowe uznanie rachunku, nie powinien mieć w tym względzie znaczenia. Użytkownicy powinni móc oczekiwać prawidłowego wykonania kompletnego i ważnego zlecenia płatniczego, jeżeli dostawca usług płatniczych nie ma umownych ani ustawowych podstaw do odmowy jego wykonania. Jeżeli dostawca usług płatniczych odmówi wykonania zlecenia płatniczego, decyzję odmowną i jej uzasadnienie należy jak najszybciej przekazać użytkownikowi usług płatniczych z zastrzeżeniem wymogów prawa Unii i prawa krajowego. W przypadku gdy umowa ramowa przewiduje, że dostawca usług płatniczych może pobrać opłatę w razie odmowy, opłata taka powinna być obiektywnie uzasadniona i pozostawać na jak najniższym poziomie.

(87)Z uwagi na to, że w pełni zautomatyzowane systemy płatności przetwarzają transakcje płatnicze bardzo szybko, co oznacza, że od określonego momentu odwołanie zleceń płatniczych nie jest możliwe bez poniesienia wysokich kosztów ręcznej ingerencji, konieczne jest ustanowienie wyraźnego, nieprzekraczalnego terminu odwołania płatności. W zależności od rodzaju usługi płatniczej i zlecenia płatniczego powinna jednak istnieć możliwość różnicowania terminu odwołania płatności stosownie do uzgodnień między stronami. Odwołanie powinno w tym kontekście mieć zastosowanie jedynie między użytkownikiem usług płatniczych a dostawcą usług płatniczych i powinno pozostać bez uszczerbku dla nieodwołalności i ostateczności transakcji płatniczych w systemach płatności.

(88)Nieodwołalność zlecenia płatniczego nie powinna mieć wpływu na prawa lub obowiązki dostawcy usług płatniczych określone w przepisach prawnych państw członkowskich, wynikające z umowy ramowej płatnika lub z krajowych przepisów ustawowych, wykonawczych i administracyjnych lub wytycznych, dotyczące zwrotu płatnikowi kwoty wykonanej transakcji płatniczej w przypadku sporu między płatnikiem a odbiorcą. Zwrot taki powinien być uważany za nowe zlecenie płatnicze. Z wyjątkiem tych przypadków spory prawne powstałe w ramach stosunku leżącego u podstaw zlecenia płatniczego powinny być rozstrzygane wyłącznie między płatnikiem a odbiorcą.

(89)Podstawowym warunkiem z punktu widzenia w pełni zintegrowanego bezpośredniego przetwarzania płatności oraz z punktu widzenia pewności prawa w odniesieniu do wywiązania się przez użytkowników usług płatniczych z wszelkich obowiązków leżących u podstaw transakcji powinno być uznanie rachunku odbiorcy pełną kwotą dokonanego przez płatnika transferu. Tym samym żaden z pośredników uczestniczących w wykonywaniu transakcji płatniczych nie powinien mieć możliwości dokonywania potrąceń z transferowanej kwoty. Odbiorcy powinni mieć jednak możliwość zawarcia ze swoim dostawcą usług płatniczych umowy umożliwiającej temu ostatniemu potrącanie opłat własnych. Niemniej jednak, aby umożliwić odbiorcy sprawdzenie, czy należna kwota została prawidłowo zapłacona, dalsze informacje dotyczące transakcji płatniczej powinny wskazywać nie tylko pełną kwotę transferowanych środków pieniężnych, ale także kwotę wszelkich opłat, które zostały potrącone.

(90)W celu zwiększenia wydajności płatności w całej Unii wszystkie zlecenia płatnicze inicjowane przez płatnika i denominowane w euro lub w walucie państwa członkowskiego, którego walutą nie jest euro, w tym polecenia przelewu inne niż natychmiastowe i przekazy pieniężne, powinny być wykonywane w maksymalnym terminie jednego dnia. Do wszystkich innych płatności, takich jak płatności inicjowane przez odbiorcę lub za jego pośrednictwem, łącznie z poleceniami zapłaty i płatnościami kartą, powinien mieć zastosowanie ten sam jednodniowy termin wykonania, o ile między dostawcą usług płatniczych a płatnikiem nie istnieje jednoznaczne porozumienie określające dłuższy termin wykonania. Powinna istnieć możliwość wydłużenia powyższych terminów o jeden dodatkowy dzień roboczy, jeżeli zlecenie płatnicze złożono na papierze, aby pozwolić na zachowanie ciągłości świadczenia usług płatniczych konsumentom, którzy przyzwyczajeni są do korzystania tylko z dokumentów papierowych. W przypadku korzystania z systemu polecenia zapłaty dostawca usług płatniczych odbiorcy powinien przekazać dyspozycję pobrania środków w terminie uzgodnionym między odbiorcą a dostawcą usług płatniczych, umożliwiając rozrachunek w uzgodnionym terminie. Należy zapewnić możliwość utrzymania lub ustanowienia przepisów określających termin wykonania krótszy niż jeden dzień roboczy.

(91)Przepisy dotyczące wykonania płatności na pełną kwotę oraz terminu wykonania powinny stanowić dobrą praktykę w przypadku, gdy jeden z dostawców usług płatniczych nie znajduje się w Unii. W przypadku wykonywania polecenia przelewu lub usługi przekazu pieniężnego na rzecz odbiorcy znajdującego się poza Unią dostawca usług płatniczych płatnika powinien przedstawić płatnikowi oszacowanie czasu potrzebnego na uznanie rachunku dostawcy usług płatniczych odbiorcy znajdującego się poza Unią kwotą polecenia przelewu lub przekazu pieniężnego. Nie można oczekiwać od dostawcy usług płatniczych w Unii, że oszacuje on czas potrzebny dostawcy usług płatniczych spoza Unii na uznanie rachunku odbiorcy kwotą środków pieniężnych po ich otrzymaniu.

(92)Aby zwiększyć zaufanie płatników do rynków płatności, użytkownicy usług płatniczych muszą posiadać informacje na temat rzeczywistych opłat związanych z usługami płatniczymi. Tym samym zakazane powinno być stosowanie nieprzejrzystych metod ustalania cen, ponieważ powszechnie przyjmuje się, że metody te niezmiernie utrudniają użytkownikom ustalenie rzeczywistej ceny usługi płatniczej. Zabroniona powinna być szczególnie praktyka polegająca na przyjmowaniu niekorzystnej dla użytkownika daty waluty.

(93)Dostawca usług płatniczych powinien mieć możliwość jednoznacznego określenia informacji wymaganych do prawidłowego wykonania zlecenia płatniczego. Dostawca usług płatniczych płatnika powinien działać z należytą starannością i sprawdzić, o ile jest to możliwe z technicznego punktu widzenia i nie wymaga ręcznej ingerencji, spójność unikatowego identyfikatora, a w przypadku stwierdzenia braku spójności unikatowego identyfikatora – odmówić wykonania zlecenia płatniczego i powiadomić o tym płatnika.

(94)Aby systemy płatności mogły funkcjonować sprawnie i wydajnie, użytkownik musi być w stanie polegać na zdolności dostawcy usług płatniczych do wykonania transakcji płatniczej w sposób prawidłowy i w uzgodnionym terminie. Dostawca usług płatniczych jest zwykle w stanie dokonać oceny zagrożeń związanych z transakcją płatniczą. To dostawca usług płatniczych zapewnia system płatności, podejmuje działania w celu odzyskania niewłaściwie przekazanych lub mylnie przypisanych środków pieniężnych i w większości przypadków podejmuje decyzję o pośrednikach uczestniczących w wykonywaniu transakcji płatniczej. W obliczu powyższych argumentów zasadne jest, z wyjątkiem przypadków wystąpienia nienaturalnych i nieprzewidywalnych okoliczności, obarczenie dostawcy usług płatniczych odpowiedzialnością za wykonanie transakcji płatniczej, którą przyjął on od użytkownika, z wyjątkiem przypadków działania i zaniechania ze strony dostawcy usług płatniczych odbiorcy, którego wyboru dokonał wyłącznie odbiorca. Aby jednak nie pozostawiać płatnika bez ochrony w mało prawdopodobnych okolicznościach, kiedy nie jest jasne, czy kwota płatności została należycie otrzymana przez dostawcę usług płatniczych odbiorcy, stosowny ciężar dowodu powinien spoczywać na dostawcy usług płatniczych płatnika. Co do zasady, można oczekiwać, że instytucja pośrednicząca – zwykle bezstronny organ, taki jak bank centralny lub izba rozliczeniowa – transferująca kwotę płatności od wysyłającego do otrzymującego dostawcy usług płatniczych – zachowa dane dotyczące rachunku i będzie w stanie w razie potrzeby przedstawić te dane. W przypadku gdy rachunek płatniczy otrzymującego dostawcy usług płatniczych został uznany kwotą płatności, odbiorcy powinno niezwłocznie przysługiwać roszczenie wobec dostawcy usług płatniczych o uznanie jego rachunku tą kwotą.

(95)Dostawca usług płatniczych płatnika, a mianowicie dostawca usług płatniczych prowadzący rachunek lub, w stosownych przypadkach, dostawca świadczący usługę inicjowania płatności, powinien przyjąć odpowiedzialność za prawidłowe wykonanie płatności, w tym za pełną kwotę transakcji płatniczej i termin wykonania, oraz pełną odpowiedzialność za wszelkie uchybienia innych stron na kolejnych etapach łańcucha płatności aż do rachunku odbiorcy. W związku z tą odpowiedzialnością, w przypadku gdy rachunek dostawcy usług płatniczych odbiorcy nie zostanie uznany pełną kwotą lub zostanie uznany pełną kwotą z opóźnieniem, dostawca usług płatniczych płatnika powinien skorygować transakcję płatniczą lub bez zbędnej zwłoki zwrócić płatnikowi odpowiednią kwotę tej transakcji, bez uszczerbku dla wszelkich innych roszczeń, które mogą przysługiwać zgodnie z prawem krajowym. Ze względu na odpowiedzialność dostawcy usług płatniczych płatnik lub odbiorca nie powinni być obciążani żadnymi kosztami związanymi z nieprawidłową płatnością. W przypadku niewykonania lub nienależytego lub opóźnionego wykonania transakcji płatniczych data waluty płatności korygujących wykonywanych przez dostawców usług płatniczych powinna być zawsze taka sama jak data waluty obowiązująca w przypadku prawidłowego wykonania transakcji.

(96)Prawidłowe funkcjonowanie poleceń przelewu i innych usług płatniczych wymaga od dostawców usług płatniczych i ich pośredników, w tym od podmiotów przetwarzających transakcje, posiadania umów, w których ustanowione są ich wzajemne prawa i obowiązki. Kwestie związane z odpowiedzialnością stanowią zasadniczą część tych umów. Aby zapewnić wzajemne zaufanie w stosunkach między dostawcami usług płatniczych a pośrednikami biorącymi udział w transakcji płatniczej, niezbędna jest pewność prawa skutkująca tym, że dostawca usług płatniczych nieponoszący odpowiedzialności otrzyma rekompensatę za poniesione straty lub sumy zapłacone na podstawie przepisów dotyczących odpowiedzialności. Dalsze prawa dotyczące roszczeń zwrotnych i szczegóły ich treści oraz sposób dochodzenia roszczeń od dostawcy usług płatniczych lub pośrednika w związku z nienależycie wykonaną transakcją płatniczą powinny być przedmiotem uzgodnień.

(97)Świadczenie usług płatniczych przez dostawców usług płatniczych może wiązać się z przetwarzaniem danych osobowych. Świadczenie usług dostępu do informacji o rachunku może wiązać się z przetwarzaniem danych osobowych odnoszących się do osoby, której dane dotyczą, niebędącej użytkownikiem określonego dostawcy usług płatniczych, ale w przypadku której przetwarzane danych osobowych przez tego konkretnego dostawcę usług płatniczych jest niezbędne w celu wykonania umowy między dostawcą a użytkownikiem usług płatniczych. W przypadku przetwarzania danych osobowych przetwarzanie powinno być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 i z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 50 , w tym z zasadami ograniczenia celu, minimalizacji danych i ograniczenia przechowywania. Uwzględnienie ochrony danych już w fazie projektowania i domyślna ochrona danych powinny być wbudowane we wszystkie systemy przetwarzania danych opracowywane i używane w ramach niniejszego rozporządzenia. W związku z tym organy nadzorcze, o których mowa w rozporządzeniu (UE) 2016/679 i rozporządzeniu (UE) 2018/1725, powinny być odpowiedzialne za nadzór nad przetwarzaniem danych osobowych prowadzonym w kontekście niniejszego rozporządzenia.

(98)Jak przyznano w komunikacie Komisji w sprawie unijnej strategii w zakresie płatności detalicznych, z prawidłowym funkcjonowaniem rynków płatności w UE wiąże się ważny interes publiczny. Z tego względu, jeżeli jest to konieczne w kontekście niniejszego rozporządzenia do celów świadczenia usług płatniczych i zachowania zgodności z niniejszym rozporządzeniem, dostawcy usług płatniczych i operatorzy systemu płatności powinni mieć możliwość przetwarzania szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 rozporządzenia (UE) 2016/679 i art. 10 ust. 1 rozporządzenia (UE) 2018/1725. W przypadku przetwarzania szczególnych kategorii danych osobowych dostawcy usług płatniczych i operatorzy systemu płatności powinni wdrożyć odpowiednie środki techniczne i organizacyjne do celów ochrony podstawowych praw i wolności osób fizycznych. W środkach tych należy uwzględnić techniczne ograniczenia dotyczące ponownego wykorzystania danych oraz stosowania najnowocześniejszych środków bezpieczeństwa i ochrony prywatności, w tym pseudonimizacji, lub szyfrowania w celu zapewnienia zgodności z zasadami ograniczenia celu, minimalizacji danych i ograniczenia przechowywania przewidzianymi w rozporządzeniu (UE) 2016/679. Dostawcy usług płatniczych i systemy płatności powinny również wdrożyć szczególne środki organizacyjne, w tym szkolenie z zakresu przetwarzania takich danych, ograniczenie dostępu do szczególnych kategorii danych i rejestrowanie takiego dostępu.

(99)Do przekazywania osobom fizycznym informacji na temat przetwarzania danych osobowych zastosowanie powinny mieć przepisy rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725.

(100)Celem oszustów często stają się najbardziej podatne na zagrożenia osoby fizyczne w naszym społeczeństwie. Niezbędne jest wczesne wykrywanie nieuczciwych transakcji płatniczych, a ważną rolę w wykrywaniu tym odgrywa monitorowanie transakcji. Właściwe jest zatem zobowiązanie dostawców usług płatniczych do wdrożenia mechanizmów monitorowania transakcji odzwierciedlającego zasadniczy wkład tych mechanizmów w zapobieganie oszustwom, wykraczającego poza ochronę oferowaną za pośrednictwem silnego uwierzytelniania klienta, w odniesieniu do transakcji płatniczych, w tym transakcji związanych z usługami inicjowania płatności.

(101)EBA powinien opracować projekty regulacyjnych standardów technicznych dotyczących mechanizmów monitorowania transakcji. Podstawą takich wymogów powinna być wartość dodana wynikająca z cech środowiskowych i behawioralnych związanych z przyzwyczajeniami użytkownika usług płatniczych w zakresie płatności.

(102)W celu zapewnienia skutecznego funkcjonowania mechanizmów monitorowania transakcji, tak aby umożliwiały one dostawcom usług płatniczych wykrywanie i zwalczanie oszustw, w szczególności w drodze identyfikowania nietypowego sposobu korzystania z usług płatniczych, który może wskazywać na potencjalnie nieuczciwą transakcję, dostawcy usług płatniczych powinni mieć możliwość przetwarzania informacji na temat transakcji swoich klientów i na temat rachunków płatniczych tych klientów. Dostawcy usług płatniczych powinni jednak ustanowić odpowiednie okresy zatrzymywania w odniesieniu do różnych rodzajów danych wykorzystywanych w celu zapobiegania oszustwom. Te okresy zatrzymywania powinny być ściśle ograniczone do okresu niezbędnego do wykrycia nietypowego, potencjalnie nieuczciwego zachowania, a dostawcy usług płatniczych powinni regularnie usuwać dane, które nie są już niezbędne do celów wykrywania i zwalczania oszustw. Danych przetwarzanych na potrzeby monitorowania transakcji nie należy wykorzystywać od momentu, w którym użytkownik usług płatniczych przestał być klientem dostawcy usług płatniczych.

(103)W oszustwo związane z poleceniami przelewu wpisana jest zdolność do adaptacji i obejmuje ono nieograniczoną różnorodność praktyk i technik, w tym kradzież danych uwierzytelniających, manipulację fakturami oraz manipulację społeczną. Aby móc zatem zapobiegać coraz to nowym rodzajom oszustwa, konieczne jest nieustanne udoskonalanie monitorowania transakcji przy pełnym wykorzystaniu technologii, takiej jak sztuczna inteligencja. Jeden dostawca usług płatniczych często nie ma pełnego oglądu wszystkich elementów, które mogą prowadzić do szybkiego wykrycia oszustwa. Skuteczność wykrywania oszustw można jednak zwiększyć dzięki dodatkowym informacjom o potencjalnie nieuczciwych działaniach, pochodzącym od innych dostawców usług płatniczych. Z tego względu należy umożliwić wymianę wszelkich odpowiednich informacji między dostawcami usług płatniczych. W celu skuteczniejszego wykrywania nieuczciwych transakcji płatniczych i ochrony klientów dostawcy usług płatniczych powinni, na potrzeby monitorowania transakcji, wykorzystywać dane dotyczące oszustw płatniczych przekazane przez innych dostawców usług płatniczych na zasadzie wielostronnej, np. z wykorzystaniem specjalnych platform informatycznych opartych na ustaleniach dotyczących wymiany informacji. Aby skuteczniej chronić płatników przed oszustwami związanymi z poleceniami przelewu, dostawcy usług płatniczych powinni móc polegać na możliwie wszechstronnych i aktualnych informacjach, czyli zbiorczo wykorzystywać informacje dotyczące unikatowych identyfikatorów, technik manipulacji i innych okoliczności przypisywanych nieuczciwym poleceniom przelewu zidentyfikowanym indywidualnie przez każdego dostawcę usług płatniczych. Przed dokonaniem ustaleń dotyczących wymiany informacji dostawcy usług płatniczych powinni przeprowadzić ocenę skutków dla ochrony danych zgodnie z art. 35 rozporządzenia (UE) 2016/679. Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku środków ochronnych, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie wiązałoby się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, dostawcy usług płatniczych powinni skonsultować się z odpowiednim organem ochrony danych, zgodnie z art. 36 wspomnianego rozporządzenia (UE) 2016/679. Nie należy wymagać nowej oceny skutków w przypadku gdy dostawca usług płatniczych przystępuje do istniejących ustaleń dotyczących wymiany informacji, w odniesieniu do której przeprowadzono już ocenę skutków dla ochrony danych. W ustaleniach dotyczących wymiany informacji należy określić techniczne i organizacyjne środki na rzecz ochrony danych osobowych. Uzgodnienie takie powinno określać role i zakres odpowiedzialności wszystkich dostawców usług płatniczych na podstawie przepisów dotyczących ochrony danych, w tym w przypadku współadministratorów.

(104)Na potrzeby wymiany danych osobowych z innymi dostawcami usług płatniczych podlegającymi ustaleniom dotyczącym wymiany informacji „unikatowy identyfikator” należy rozumieć jako odniesienie do „IBAN” w rozumieniu art. 2 pkt 15 rozporządzenia (UE) nr 260/2012.

(105)Aby legalna wymiana informacji na temat potencjalnej nieuczciwej działalności nie prowadziła do nieuzasadnionego „korygowania ryzyka” lub wycofywania usług związanych z rachunkiem płatniczym skierowanych do użytkowników usług płatniczych bez wyjaśnienia lub przyznania roszczeń zwrotnych, należy dysponować środkami ochronnymi. Dostawcy usług płatniczych powinni wykorzystywać dane dotyczące oszustw płatniczych rozpowszechniane na podstawie wielostronnych ustaleń dotyczących wymiany informacji mogących skutkować ujawnieniem danych osobowych, w tym unikatowych identyfikatorów odbiorców potencjalnie uczestniczących w oszustwach związanych z poleceniami przelewu, wyłącznie do celów udoskonalenia monitorowania transakcji. Dostawcy usług płatniczych powinni zapewnić dodatkowe środki ochronne, takie jak kontakt z klientem, jeżeli jest on płatnikiem polecenia przelewu, co do którego można zakładać, że jest nieuczciwe, i dalsze monitorowanie rachunku, w przypadku gdy unikatowy identyfikator rozpowszechniony jako potencjalnie oszukańczy wskazuje na klienta tego dostawcy usług płatniczych. Dane dotyczące oszustw płatniczych rozpowszechnione między dostawcami usług płatniczych w kontekście takich ustaleń nie powinny stanowić przesłanek do wycofywania usług bankowych bez przeprowadzenia szczegółowego dochodzenia.

(106)Oszustwa płatnicze stają cię coraz bardziej złożone, a oszuści stosują techniki manipulacji i podawania się za inne osoby, które to techniki są trudne do wykrycia dla użytkowników usług płatniczych, jeżeli nie posiadają oni wystarczającej wiedzy i informacji na temat oszustw. Dostawcy usług płatniczych mogą odegrać istotną rolę we wzmocnieniu zapobiegania oszustwom w drodze regularnego wdrażania każdej niezbędnej inicjatywy w celu zwiększenia zrozumienia i wiedzy użytkowników usług płatniczych w odniesieniu do zagrożeń i tendencji związanych z oszustwami płatniczymi. W szczególności dostawcy usług płatniczych powinni wdrożyć stosowne programy i kampanie na rzecz podnoszenia świadomości na temat tendencji i zagrożeń związanych z oszustwami skierowane do klientów i pracowników dostawców usług płatniczych, aby pomóc klientom zrozumieć, że padli ofiarą próby oszustwa. Dostawcy usług płatniczych powinni za pośrednictwem różnych środków przekazu dostarczyć konsumentom dostosowane informacje na temat oszustw przy zapewnieniu jasnych przekazów i ostrzeżeń, co ułatwi konsumentom właściwą reakcję w przypadku narażenia na sytuacje potencjalnie nieuczciwego działania. EBA powinien opracować wytyczne w zakresie poszczególnych rodzajów programów, które dostawcy usług płatniczych mają stworzyć w odniesieniu do zagrożeń związanych z oszustwami płatniczymi, z uwzględnieniem nieustannie zmieniającego się charakteru zagrożeń związanych z oszustwami.

(107)Bezpieczeństwo płatności elektronicznych ma podstawowe znaczenie dla zapewnienia ochrony użytkowników i stworzenia solidnego otoczenia dla handlu elektronicznego. Wszystkie usługi płatnicze oferowane drogą elektroniczną powinny być wykonywane w sposób bezpieczny, z użyciem technologii będących w stanie zagwarantować bezpieczne uwierzytelnianie użytkownika i w jak największym stopniu ograniczyć ryzyko oszustw. Jeżeli chodzi o oszustwa, główną innowacją w dyrektywie (UE) 2015/2366 było wprowadzenie silnego uwierzytelniania klienta. Jak wynika z przeprowadzonej przez Komisję oceny wdrożenia dyrektywy (UE) 2015/2366, silne uwierzytelnianie klienta już okazało się ogromnym sukcesem w ograniczaniu oszustw.

(108)Nie należy obchodzić silnego uwierzytelniania klienta, w szczególności w drodze nieuzasadnionego polegania na zwolnieniach z silnego uwierzytelnianie klienta. Konieczne jest wprowadzenie jasnych definicji transakcji inicjowanych przez akceptanta oraz zamówień pocztowych lub telefonicznych, ponieważ pojęcia te, na których można oprzeć uzasadnienie niezastosowania silnego uwierzytelniania klienta, są różnie rozumiane i stosowane oraz mogą być nadużywane. Jeżeli chodzi o transakcje inicjowane przez akceptanta, silne uwierzytelnianie klienta należy stosować w momencie ustanowienia pierwotnego upoważnienia bez konieczności wykorzystania silnego uwierzytelniania klienta przy kolejnych transakcjach płatniczych inicjowanych przez akceptanta. W odniesieniu do zamówień pocztowych lub telefonicznych wyłącznie inicjowanie transakcji płatniczych – nie ich wykonywanie – powinno przebiegać w formie innej niż cyfrowa, aby transakcja została uznana za zamówienie pocztowe lub telefoniczne, a tym samym nie została objęta obowiązkiem zastosowania silnego uwierzytelniania klienta. Transakcje płatnicze oparte na papierowych zleceniach płatniczych, zamówieniach pocztowych lub telefonicznych złożonych przez płatnika powinny jednak wiązać się z wymogami bezpieczeństwa i kontrolami dostawcy usług płatniczych płatnika, które umożliwiają uwierzytelnianie transakcji płatniczej. Silnego uwierzytelniania klienta nie należy także obchodzić za pośrednictwem praktyk, takich jak zwrócenie się do nabywcy z siedzibą poza Unią w celu uniknięcia spełnienia wymogów związanych z silnym uwierzytelnianiem klienta.

(109)Ponieważ dostawcą usług płatniczych, który powinien stosować silne uwierzytelnianie klienta, jest dostawca usług płatniczych zapewniający indywidualne dane uwierzytelniające, transakcje płatnicze zainicjowane nie przez płatnika, ale przez odbiorcę, nie powinny podlegać silnemu uwierzytelnianiu klienta wyłącznie w zakresie, w jakim transakcje te zainicjowano bez interakcji lub udziału płatnika. Regulacyjne podejście do transakcji inicjowanych przez punkt usługowo-handlowy i do poleceń zapłaty, w oby przypadkach zainicjowanych przez odbiorcę, powinno zostać dostosowane i korzystać z tych samych środków ochrony konsumentów, w tym ze zwrotów.

(110)W celu zwiększenia włączenia społecznego pod względem finansowym i zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/882 51 w sprawie wymogów dostępności produktów i usług wszyscy użytkownicy usług płatniczych, w tym osoby z niepełnosprawnościami, osoby starsze, osoby posiadające niewielkie umiejętności cyfrowe oraz nieposiadające dostępu co urządzeń cyfrowych, takich jak smartfony, powinny korzystać z ochrony przed oszustwami zapewnianej w drodze silnego uwierzytelniania klienta, w szczególności w przypadku korzystania z cyfrowych transakcji płatniczych wykonywanych zdalnie i z dostępu online do rachunków płatniczych jako podstawowych usług finansowych. Wraz z wprowadzeniem silnego uwierzytelniania klienta w przypadku niektórych konsumentów w Unii niemożliwe stało się przeprowadzanie transakcji online z powodu fizycznej niemożności dokonania silnego uwierzytelniania klienta. Dostawcy usług płatniczych powinni zatem zapewnić swoim klientom możliwość korzystania z różnych metod w celu przeprowadzenia silnego uwierzytelniania klienta, dostosowanych do ich potrzeb i sytuacji. Metody te nie powinny być zależne od jednej technologii, jednego urządzenia lub mechanizmu ani od kwestii posiadania smartfona.

(111)Europejskie portfele tożsamości cyfrowej wprowadzone na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 52 zmienionego rozporządzeniem [XXX] są środkami identyfikacji elektronicznej zapewniającymi narzędzia identyfikacji i uwierzytelniania do celów uzyskania transgranicznego dostępu do usług finansowych, w tym do usług płatniczych. Wprowadzenie europejskiego portfela tożsamości cyfrowej przyczyniłoby się do dalszego ułatwiania transgranicznej identyfikacji cyfrowej i transgranicznego uwierzytelniania cyfrowego na potrzeby bezpiecznych płatności cyfrowych oraz do ułatwiania rozwoju ogólnoeuropejskiego krajobrazu płatności cyfrowych.

(112)Rozwojowi handlu elektronicznego i płatności realizowanych za pośrednictwem urządzeń przenośnych powinno towarzyszyć ogólne wzmocnienie środków bezpieczeństwa. W przypadku zdalnego zainicjowania transakcji płatniczej, tj. jeżeli zlecenie płatnicze jest składane przez internet, uwierzytelnianie transakcji powinno opierać się na kodach dynamicznych, tak by użytkownik zawsze był świadomy kwoty i odbiorcy autoryzowanej transakcji.

(113)Wymóg stosowania silnego uwierzytelniania klienta w przypadku zdalnych transakcji płatniczych za pośrednictwem kodów, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą, powinien odzwierciedlać zwiększoną liczbę płatności realizowanych za pośrednictwem urządzeń przenośnych i pojawienie się różnych modeli służących wykonywaniu płatności realizowanych za pośrednictwem urządzeń przenośnych.

(114)Biorąc pod uwagę fakt, że dynamiczne łączenie zapobiega zagrożeniom związanym z manipulacją nazwiskiem lub nazwą odbiorcy i określoną kwotą transakcji od momentu złożenia zlecenia płatniczego do momentu uwierzytelniania płatności, ale również ryzyku oszustwa w ogólniejszym sensie, w odniesieniu do płatności realizowanych za pośrednictwem urządzeń przenośnych, w przypadku których przeprowadzenie silnego uwierzytelniania klienta wymaga skorzystania z internetu na urządzeniu płatnika, dostawcy usług płatniczych powinni również stosować elementy dynamicznie łączące transakcję z określoną kwotą i określonym odbiorcą lub zharmonizowane środki bezpieczeństwa dające taki sam efekt, które to środki zapewniają poufność, autentyczność i integralność transakcji we wszystkich fazach inicjowania.

(115)W ramach zwolnienia z silnego uwierzytelniania klienta na podstawie art. 18 rozporządzenia delegowanego (UE) 2018/389 dostawcy usług płatniczych mogli nie stosować silnego uwierzytelniania klienta, jeżeli płatnik zainicjował zdalną elektroniczną transakcję płatniczą, którą dostawca usług płatniczych uznał za charakteryzującą się niskim poziomem ryzyka ocenionego zgodnie z mechanizmami monitorowania transakcji. Jak wynika jednak z informacji zwrotnej otrzymanej z rynku, aby więcej dostawców usług płatniczych wdrożyło analizę ryzyka transakcji, niezbędne jest przyjęcie stosownych przepisów dotyczących zakresu analizy ryzyka transakcji, wprowadzających jasne wymogi w zakresie kontroli, zapewniające bardziej szczegółowe i udoskonalone definicje w ramach wymogów monitorowania ryzyka i danych, które mają być rozpowszechniane, oraz ocenienie potencjalnych korzyści wynikających z umożliwienia dostawcom usług płatniczych zgłaszanie nieuczciwych transakcji, za które ponoszą wyłączną odpowiedzialność. EBA powinien opracować projekty regulacyjnych standardów technicznych określające zasady dotyczące analizy ryzyka transakcji.

(116)Środki bezpieczeństwa powinny odpowiadać poziomowi ryzyka, jakim są obarczone usługi płatnicze. Aby umożliwić zatem rozwój przyjaznych dla użytkownika i dostępnych sposobów płatności dla transakcji o niskim ryzyku, takich jak niskokwotowe płatności zbliżeniowe w punkcie sprzedaży, z użyciem lub bez użycia telefonu komórkowego, w regulacyjnych standardach technicznych należy określić wyłączenia ze stosowania wymogów bezpieczeństwa. Bezpieczne korzystanie z indywidualnych danych uwierzytelniających jest niezbędne do ograniczenia zagrożeń związanych ze spoofingiem, z phishingiem i innymi rodzajami nieuczciwego postępowania. Użytkownik powinien mieć możliwość polegania na przyjęciu środków służących ochronie poufności i integralności indywidualnych danych uwierzytelniających.

(117)Dostawcy usług płatniczych powinni stosować silne uwierzytelnianie klienta m.in. wtedy, gdy użytkownik usług płatniczych przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć. Dostawcy usług płatniczych powinni wprowadzić adekwatne środki bezpieczeństwa służące ochronie poufności i integralności indywidualnych danych uwierzytelniających użytkownika usług płatniczych.

(118)Nie istnieje spójne rozumienie wśród zainteresowanych podmiotów rynkowych w państwach członkowskich w odniesieniu do wymogów dotyczących silnego uwierzytelniania klienta mających zastosowanie do włączania instrumentów płatniczych, w szczególności kart płatniczych, do cyfrowych portfeli. Utworzenie tokena lub proces jego wymiany może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć. Utworzenie lub wymiana tokena instrumentu płatniczego, których dokonuje się przy udziale użytkownika usług płatniczych za pośrednictwem zdalnego kanału, powinny zatem wymagać zastosowania przez dostawcę usług płatniczych w momencie wydania lub wymiany tokena silnego uwierzytelniania klienta będącego użytkownikiem usług płatniczych. Stosując silne uwierzytelnianie klienta na etapie tworzenia lub wymiany tokena, dostawca usług płatniczych powinien zdalnie zweryfikować, czy użytkownik usług płatniczych jest prawowitym użytkownikiem instrumentu płatniczego, i powiązać użytkownika oraz cyfrową wersję instrumentu płatniczego z odpowiednim urządzeniem. 

(119)Operatorzy cyfrowych portfeli pass-through, którzy weryfikują elementy silnego uwierzytelniania klienta w przypadku wykorzystywania do płatności tokenizowanych instrumentów przechowywanych w portfelach cyfrowych, powinni być zobowiązani do zawarcia umów outsourcingu z dostawcami usług płatniczych płatników w celu umożliwienia operatorom dalszego przeprowadzania takich weryfikacji; umowy te powinny również zawierać wymóg przestrzegania przez operatorów kluczowych wymogów bezpieczeństwa. Na podstawie takich umów dostawcy usług płatniczych płatnika powinni zachować pełną odpowiedzialność za wszelkie przypadki niestosowania przez operatorów portfeli pass-through silnego uwierzytelniania klienta i mieć prawo do audytu i kontroli przepisów operatora portfela dotyczących bezpieczeństwa.

(120)W przypadku gdy dostawcy usług technicznych lub operatorzy schematów płatności świadczą usługi na rzecz odbiorców lub dostawców usług płatniczych odbiorców lub płatników, powinni oni wspierać stosowanie silnego uwierzytelniania klienta w ramach swojej roli w zakresie inicjowania lub wykonywania transakcji płatniczych. Biorąc pod uwagę rolę, jaką odgrywają w zapewnieniu prawidłowego wdrażania kluczowych wymogów bezpieczeństwa dotyczących płatności detalicznych, w tym w drodze dostarczania odpowiednich rozwiązań informatycznych, dostawcy usług technicznych i operatorzy schematów płatności powinni odpowiadać za szkody finansowe wyrządzone odbiorcom lub dostawcom usług płatniczych odbiorców lub płatników w przypadku niewspierania stosowania silnego uwierzytelniania klienta przez dostawców usług technicznych i operatorów schematów płatności.

(121)Państwa członkowskie powinny wyznaczyć właściwe organy do celów udzielania zezwoleń instytucjom płatniczym oraz na potrzeby uznawania i monitorowania procedur alternatywnych metod rozstrzygania sporów.

(122)Bez uszczerbku dla prawa klientów do wniesienia skargi do sądu, państwa członkowskie powinny zapewnić istnienie łatwo dostępnych, odpowiednich, niezależnych, bezstronnych, przejrzystych i skutecznych procedur alternatywnego rozstrzygania sporów między dostawcami usług płatniczych a użytkownikami usług płatniczych. Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 593/2008 53 stanowi, że żadne warunki umowne dotyczące prawa mającego zastosowanie do umowy nie mogą prowadzić do pozbawienia konsumenta ochrony przysługującej mu na podstawie bezwzględnie obowiązujących przepisów państwa, w którym ma on miejsce zwykłego pobytu. Jeśli chodzi o ustanowienie skutecznej i wydajnej procedury rozstrzygania sporów, państwa członkowskie powinny zapewnić, aby dostawcy usług płatniczych przystąpili do procedury alternatywnego rozstrzygania sporów, spełniającej wymogi jakości określone w dyrektywie Parlamentu Europejskiego i Rady 2013/11/UE 54 , w celu rozstrzygania sporów przed wniesieniem sprawy do sądu. Wyznaczone właściwe organy powinny powiadomić Komisję o wysokiej jakości podmiocie lub podmiotach ADR na ich terytorium właściwych do rozstrzygania sporów krajowych i transgranicznych oraz współpracy w kwestiach sporów dotyczących praw i obowiązków zgodnie z niniejszym rozporządzeniem.

(123)Konsumenci powinni być uprawnieni do egzekwowania swoich praw w odniesieniu do obowiązków nałożonych na dostawców usług płatniczych i usług związanych z pieniądzem elektronicznym na podstawie niniejszego rozporządzenia w drodze powództw przedstawicielskich zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2020/1828 55 .

(124)Należy ustanowić odpowiednie procedury, które umożliwią składanie skarg na dostawców usług płatniczych nieprzestrzegających swoich zobowiązań i zapewnią, by w stosownych przypadkach nakładane były skuteczne, proporcjonalne i odstraszające sankcje. W celu zapewnienia faktycznego przestrzegania przepisów niniejszego rozporządzenia państwa członkowskie powinny wyznaczyć właściwe organy, które spełniają warunki określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 1093/2010 56 oraz które w swoich działaniach są niezależne od dostawców usług płatniczych. Państwa członkowskie powinny powiadomić Komisję o wyznaczonych organach, przekazując wyraźny opis ich zadań.

(125)Bez uszczerbku dla prawa do wniesienia skargi do sądu w celu zapewnienia przestrzegania niniejszego rozporządzenia, właściwe organy powinny wykonywać niezbędne uprawnienia przyznane na mocy niniejszego rozporządzenia, w tym uprawnienia do badania domniemanych naruszeń oraz nakładania kar administracyjnych i stosowania środków administracyjnych, w przypadku gdy dostawca usług płatniczych nie przestrzega praw i obowiązków określonych w niniejszym rozporządzeniu, w szczególności gdy istnieje ryzyko ponownego naruszenia przepisów lub inne zagrożenie dla zbiorowych interesów konsumentów. Właściwe organy powinny ustanowić skuteczne mechanizmy zachęcające do zgłaszania potencjalnych lub rzeczywistych naruszeń. Mechanizmy te powinny funkcjonować bez uszczerbku dla prawa do obrony przysługującego oskarżonym.

(126)Państwa członkowskie powinny być zobowiązane do określenia skutecznych, proporcjonalnych i odstraszających kar administracyjnych i innych środków administracyjnych w związku z naruszeniem przepisów niniejszego rozporządzenia. Przedmiotowe kary administracyjne, okresowe kary pieniężne i środki administracyjne powinny spełniać pewne minimalne wymogi, w tym w zakresie minimalnych uprawnień, które należy przyznać właściwym organom, aby mogły je nakładać, kryteriów, które właściwe organy powinny uwzględniać przy ich stosowaniu, publikacji oraz składaniu sprawozdań na ich temat. Państwa członkowskie powinny ustanowić przepisy szczegółowe i skuteczne mechanizmy dotyczące stosowania okresowych kar pieniężnych.

(127)Właściwe organy powinny mieć prawo do nakładania administracyjnych kar pieniężnych, które są wystarczająco wysokie, aby zniwelować korzyści, których można oczekiwać w wyniku naruszenia, oraz aby były odstraszające nawet dla większych instytucji.