02018R0389 — PT — 12.09.2023 — 002.001
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
REGULAMENTO DELEGADO (UE) 2018/389 DA COMISSÃO de 27 de novembro de 2017 que complementa a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras (Texto relevante para efeitos do EEE) (JO L 069 de 13.3.2018, p. 23) |
Alterado por:
|
|
Jornal Oficial |
||
n.° |
página |
data |
||
REGULAMENTO DELEGADO (UE) 2022/2360 DA COMISSÃO de 3 de agosto de 2022 |
L 312 |
1 |
5.12.2022 |
|
REGULAMENTO DELEGADO (UE) 2023/1650 DA COMISSÃO de 15 de maio de 2023 |
L 208 |
1 |
23.8.2023 |
REGULAMENTO DELEGADO (UE) 2018/389 DA COMISSÃO
de 27 de novembro de 2017
que complementa a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras
(Texto relevante para efeitos do EEE)
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.o
Objeto
O presente regulamento estabelece os requisitos a cumprir pelos prestadores de serviços de pagamento a fim de implementarem medidas de segurança que lhes permitam efetuar o seguinte:
Aplicar o procedimento da autenticação forte do cliente nos termos do artigo 97.o da Diretiva (UE) 2015/2366;
Isentar da aplicação dos requisitos de segurança da autenticação forte do cliente, sob reserva de condições específicas e limitadas tendo por base o nível de risco, o montante e a recorrência da operação de pagamento e o canal de pagamento utilizado para a sua execução;
Proteger a confidencialidade e a integridade das credenciais de segurança personalizadas do utilizador de serviços de pagamento;
Estabelecer normas abertas comuns e seguras para as comunicações entre os prestadores de serviços de pagamento gestores de contas, os prestadores de serviços de iniciação de pagamentos, os prestadores de serviços de informação sobre contas, os ordenantes, os beneficiários e outros prestadores de serviços de pagamento, relativamente à prestação e utilização de serviços de pagamento em aplicação do título IV da Diretiva (UE) 2015/2366.
Artigo 2.o
Requisitos gerais de autenticação
Esses mecanismos devem basear-se na análise das operações de pagamento, tendo em conta os elementos específicos do utilizador de serviços de pagamento em circunstâncias de utilização normal das credenciais de segurança personalizadas.
Os prestadores de serviços de pagamento devem assegurar que os mecanismos de controlo das operações têm em conta, no mínimo, cada um dos seguintes fatores baseados no risco:
Listas de elementos de autenticação que foram objeto de utilização fraudulenta ou furto;
O montante de cada operação de pagamento;
Cenários de fraude conhecidos no contexto da prestação de serviços de pagamento;
Sinais de infeção por software maligno (malware) em sessões do procedimento de autenticação;
Caso o dispositivo ou software de acesso seja fornecido pelo prestador de serviços de pagamento, um registo da utilização do dispositivo ou software de acesso fornecido ao utilizador de serviços de pagamento e da utilização anormal desse dispositivo ou software.
Artigo 3.o
Revisão das medidas de segurança
No entanto, os prestadores de serviços de pagamento que utilizarem a isenção referida no artigo 18.o devem ser objeto de uma auditoria à metodologia, ao modelo e às taxas de fraude comunicadas, no mínimo uma vez por ano. O revisor oficial de contas que efetuar esta auditoria deve ter conhecimentos especializados em segurança informática e pagamentos eletrónicos e ser operacionalmente independente do prestador de serviços de pagamento. Durante o primeiro ano de aplicação da isenção prevista no artigo 18.o e, posteriormente, pelo menos de três em três anos, ou, a pedido da autoridade competente, com maior frequência, a auditoria deve ser efetuada por um revisor oficial de contas externo independente e qualificado.
O relatório deve ser disponibilizado na íntegra às autoridades competentes, a pedido destas.
CAPÍTULO II
MEDIDAS DE SEGURANÇA PARA A APLICAÇÃO DA AUTENTICAÇÃO FORTE DO CLIENTE
Artigo 4.o
Código de autenticação
O código de autenticação só deve ser aceite uma vez pelo prestador de serviços de pagamento quando o ordenante o utilizar para aceder em linha à sua conta de pagamento, iniciar uma operação de pagamento eletrónico ou realizar uma ação, através de um canal remoto, suscetível de envolver um risco de fraude no pagamento ou outros abusos.
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem adotar medidas de segurança para garantir o cumprimento de cada um dos seguintes requisitos:
Não pode ser obtida qualquer informação sobre nenhum dos elementos a que se refere o n.o 1 com a divulgação do código de autenticação;
Não é possível gerar um novo código de autenticação baseado no conhecimento de qualquer outro código de autenticação gerado anteriormente;
O código de autenticação não pode ser falsificado.
Os prestadores de serviços de pagamento devem assegurar que a autenticação por meio da geração de um código de autenticação inclui cada uma das seguintes medidas:
Caso a autenticação para acesso remoto, pagamentos eletrónicos remotos e outras ações, através de um canal remoto, suscetíveis de envolver um risco de fraude no pagamento ou outros abusos, não permita gerar um código de autenticação para efeitos do disposto no n.o 1, não deve ser possível identificar qual dos elementos referidos nesse número estava incorreto;
Não devem ser possíveis mais de cinco tentativas de autenticação falhadas consecutivas num determinado período de tempo, após o que as ações referidas no artigo 97.o, n.o 1, da Diretiva (UE) 2015/2366 devem ser temporária ou permanentemente bloqueadas;
As sessões de comunicação devem ser protegidas contra a captura dos dados de autenticação transmitidos durante o processo de autenticação e contra a manipulação por partes não autorizadas, em conformidade com os requisitos estabelecidos no capítulo V;
O tempo máximo de inatividade após o ordenante ser autenticado para aceder em linha à sua conta de pagamento não deve exceder cinco minutos.
O ordenante deve ser avisado antes de o bloqueio se tornar permanente.
Caso o bloqueio passe a ser permanente, deve ser estabelecido um procedimento seguro que permita ao ordenante voltar a utilizar os instrumentos de pagamento eletrónico bloqueados.
Artigo 5.o
Ligação dinâmica
Caso apliquem a autenticação forte do cliente nos termos do artigo 97.o, n.o 2, da Diretiva (UE) 2015/2366, os prestadores de serviços de pagamento devem, para além dos requisitos enunciados no artigo 4.o do presente regulamento, adotar igualmente medidas de segurança que satisfaçam cada uma das condições seguintes:
O ordenante deve tomar conhecimento do montante da operação de pagamento e do beneficiário;
O código de autenticação gerado deve ser específico do montante da operação de pagamento e do beneficiário aceite pelo ordenante ao iniciar a operação;
O código de autenticação aceite pelo prestador de serviços de pagamento deve corresponder ao montante específico inicial da operação de pagamento e à identidade do beneficiário aceite pelo ordenante;
Qualquer alteração do montante ou do beneficiário resulta na invalidação do código de autenticação gerado.
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem adotar medidas de segurança que assegurem a confidencialidade, a autenticidade e a integridade de cada um dos seguintes elementos:
O montante da operação e o beneficiário, em todas as fases da autenticação;
As informações mostradas ao ordenante em todas as fases da autenticação, nomeadamente a geração, a transmissão e a utilização do código de autenticação.
Para efeitos do disposto no n.o 1, alínea b), e caso os prestadores de serviços de pagamento apliquem a autenticação forte do cliente nos termos do artigo 97.o, n.o 2, da Diretiva (UE) 2015/2366, são aplicáveis os seguintes requisitos ao código de autenticação:
Relativamente a uma operação de pagamento baseada em cartão para a qual o ordenante tenha dado o seu consentimento quanto ao montante exato dos fundos a bloquear nos termos do artigo 75.o, n.o 1, da referida diretiva, o código de autenticação deve ser específico do montante cujo bloqueio e aceitação tenham sido consentidos pelo ordenante no início da operação;
Relativamente a operações de pagamento para as quais o ordenante tenha consentido a execução de um lote de operações de pagamento eletrónico remotas para um ou vários beneficiários, o código de autenticação deve ser específico do montante total do lote de operações de pagamento e dos beneficiários indicados.
Artigo 6.o
Requisitos dos elementos pertencentes à categoria do conhecimento
Artigo 7.o
Requisitos dos elementos pertencentes à categoria da posse
Artigo 8.o
Requisitos dos dispositivos e software associados aos elementos pertencentes à categoria da inerência
Artigo 9.o
Independência dos elementos
Para efeitos do n.o 2, as medidas de atenuação de riscos devem incluir cada um dos seguintes elementos:
A utilização de ambientes de execução seguros e distintos através do software instalado no dispositivo multifuncional;
Mecanismos que assegurem que o software ou o dispositivo não foi alterado pelo ordenante ou por terceiros;
Caso tenham ocorrido alterações, mecanismos para atenuar as suas consequências.
CAPÍTULO III
ISENÇÕES DA AUTENTICAÇÃO FORTE DO CLIENTE
Artigo 10.o
Acesso às informações sobre contas de pagamento diretamente junto do prestador de serviços de pagamento gestor de contas
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos previstos no artigo 2.o, caso um utilizador de serviços de pagamento esteja a aceder diretamente à sua conta de pagamento em linha, desde que o acesso seja limitado a um dos seguintes elementos em linha sem a divulgação de dados de pagamento sensíveis:
O saldo de uma ou mais contas de pagamento designadas;
As operações de pagamento executadas nos últimos 90 dias através de uma ou mais contas de pagamento designadas.
Em derrogação do disposto no n.o 1, os prestadores de serviços de pagamento não ficam isentos da aplicação da autenticação forte do cliente sempre que uma das seguintes condições estiver preenchida:
O utilizador de serviços de pagamento está a aceder em linha pela primeira vez às informações especificadas no n.o 1;
Decorreram mais de 180 dias desde a última vez que o utilizador de serviços de pagamento acedeu em linha às informações especificadas no n.o 1 e a autenticação forte do cliente foi aplicada.
Artigo 10.o-A
Acesso às informações sobre contas de pagamento através de um prestador de serviços de informação sobre contas
Os prestadores de serviços de pagamento não podem aplicar a autenticação forte do cliente caso um utilizador de serviços de pagamento esteja a aceder à sua conta de pagamento em linha através de um prestador de serviços de informação sobre contas, desde que o acesso seja limitado a um dos seguintes elementos em linha sem a divulgação de dados de pagamento sensíveis:
O saldo de uma ou mais contas de pagamento designadas;
As operações de pagamento executadas nos últimos 90 dias através de uma ou mais contas de pagamento designadas.
Em derrogação do disposto no n.o 1, os prestadores de serviços de pagamento devem aplicar a autenticação forte do cliente sempre que uma das seguintes condições estiver preenchida:
O utilizador de serviços de pagamento está a aceder em linha pela primeira vez às informações especificadas no n.o 1 através do prestador de serviços de informação sobre contas;
Decorreram mais de 180 dias desde a última vez que o utilizador de serviços de pagamento acedeu em linha às informações especificadas no n.o 1 através do prestador de serviços de informação sobre contas e a autenticação forte do cliente foi aplicada.
Artigo 11.o
Pagamentos sem contacto no ponto de venda
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos previstos no artigo 2.o, sempre que o ordenante inicie uma operação de pagamento eletrónico sem contacto, desde que estejam preenchidas as seguintes condições:
O montante da operação de pagamento eletrónico sem contacto não ultrapassa 50 EUR; e
O montante acumulado das anteriores operações de pagamento eletrónico sem contacto iniciadas por meio de um instrumento de pagamento com uma funcionalidade sem contacto desde a data da última aplicação da autenticação forte do cliente não ultrapassa 150 EUR; ou
Não ocorreram mais de cinco operações de pagamento eletrónico sem contacto sucessivas iniciadas por meio de um instrumento de pagamento com uma funcionalidade sem contacto desde a última aplicação da autenticação forte do cliente.
Artigo 12.o
Terminais automáticos para o pagamento de tarifas de transporte e de estacionamento
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos previstos no artigo 2.o, sempre que o ordenante inicie uma operação de pagamento eletrónico num terminal automático de pagamento de uma tarifa de transporte ou de estacionamento.
Artigo 13.o
Beneficiários fiáveis
Artigo 14.o
Operações recorrentes
Artigo 15.o
Transferências a crédito entre contas detidas pela mesma pessoa singular ou coletiva
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos previstos no artigo 2.o, sempre que o ordenante inicie uma transferência a crédito em circunstâncias nas quais o ordenante e o beneficiário sejam a mesma pessoa singular ou coletiva e as duas contas de pagamento sejam detidas pelo mesmo prestador de serviços de pagamento gestor de contas.
Artigo 16.o
Operações de pequeno valor
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente sempre que o ordenante inicie uma operação de pagamento eletrónico remoto, desde que estejam preenchidas as seguintes condições:
O montante da operação de pagamento eletrónico remoto não ultrapassa 30 EUR; e
O montante acumulado das anteriores operações de pagamento eletrónico remoto iniciadas pelo ordenante desde a última aplicação da autenticação forte do cliente não ultrapassa 100 EUR; ou
Não ocorreram mais de cinco operações de pagamento eletrónico remoto sucessivas iniciadas pelo ordenante desde a última aplicação da autenticação forte do cliente.
Artigo 17.o
Processos e protocolos de pagamento seguros para empresas
Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente às pessoas coletivas que iniciem operações de pagamento eletrónico utilizando processos ou protocolos de pagamento específicos só disponibilizados a ordenantes que não sejam consumidores, caso as autoridades competentes considerem que tais processos ou protocolos garantem níveis de segurança pelo menos equivalentes aos previstos na Diretiva (UE) 2015/2366.
Artigo 18.o
Análise de risco das operações
Considera-se que uma operação de pagamento eletrónico como a referida no n.o 1 apresenta um baixo nível de risco se estiverem preenchidas todas as seguintes condições:
A taxa de fraudes do tipo de operação em causa, comunicada pelo prestador de serviços de pagamento e calculada nos termos do artigo 19.o, é equivalente ou inferior às taxas de fraude de referência indicadas no quadro constante do anexo relativo aos «pagamentos eletrónicos remotos baseados em cartões» e às «transferências a crédito eletrónicas remotas», respetivamente;
O montante da operação não ultrapassa o valor-limiar de isenção («VLI») indicado no quadro que consta do anexo;
A análise de risco em tempo real efetuada pelos prestadores de serviços de pagamento não detetou nenhuma das seguintes situações:
despesas ou padrões de comportamento anormais do ordenante,
informações invulgares sobre o acesso do ordenante com o dispositivo ou software por ele utilizado,
infeção por software maligno (malware) numa sessão do procedimento de autenticação,
cenário de fraude conhecido no contexto da prestação de serviços de pagamento,
localização anormal do ordenante,
localização de alto risco do beneficiário.
Os prestadores de serviços de pagamento que tencionem isentar operações de pagamento eletrónico remoto da autenticação forte do cliente por essas operações apresentarem um baixo risco devem ter em conta, no mínimo, os seguintes fatores baseados no risco:
O perfil de despesas anterior do utilizador de serviços de pagamento em causa;
O histórico de operações de pagamento de cada um dos utilizadores de serviços de pagamento do prestador de serviços de pagamento;
A localização do ordenante e do beneficiário no momento da operação de pagamento, caso o dispositivo ou software de acesso seja fornecido pelo prestador de serviços de pagamento;
A identificação de padrões de pagamento anormais do utilizador de serviços de pagamento em relação ao seu histórico de operações de pagamento.
A avaliação efetuada por um prestador de serviços de pagamento deve combinar todos estes fatores baseados no risco e atribuir uma classificação de risco a cada operação para determinar se um pagamento específico deve ser autorizado sem autenticação forte do cliente.
Artigo 19.o
Cálculo das taxas de fraude
A taxa de fraude geral de cada tipo de operação deve ser calculada como sendo o valor total das operações remotas não autorizadas ou fraudulentas, com ou sem recuperação dos fundos, dividido pelo valor total de todas as operações remotas do mesmo tipo de operação, tenham sido elas autenticadas com a aplicação da autenticação forte do cliente ou executadas ao abrigo de uma das isenções previstas nos artigos 13.o a 18.o, num período trimestral contínuo (90 dias).
Artigo 20.o
Cessação das isenções com base na análise de risco das operações
Artigo 21.o
Controlo
A fim de aplicar as isenções previstas nos artigos 10.o a 18.o, os prestadores de serviços de pagamento devem registar e controlar os seguintes dados relativamente a cada tipo de operações de pagamento, distinguindo entre operações de pagamento remoto e não remoto, pelo menos com uma periodicidade trimestral:
O valor total das operações de pagamento não autorizadas ou fraudulentas nos termos do artigo 64.o, n.o 2, da Diretiva (UE) 2015/2366, o valor total de todas as operações de pagamento e a taxa de fraude resultante, discriminando as operações de pagamento iniciadas através da autenticação forte do cliente e ao abrigo de cada uma das isenções;
O valor médio por operação, discriminando as operações de pagamento iniciadas através da autenticação forte do cliente e ao abrigo de cada uma das isenções;
O número de operações de pagamento em que foi aplicada cada uma das isenções e a sua percentagem em relação ao número total de operações de pagamento.
CAPÍTULO IV
CONFIDENCIALIDADE E INTEGRIDADE DAS CREDENCIAIS DE SEGURANÇA PERSONALIZADAS DOS UTILIZADORES DE SERVIÇOS DE PAGAMENTO
Artigo 22.o
Requisitos gerais
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem assegurar o cumprimento de cada um dos seguintes requisitos:
As credenciais de segurança personalizadas devem ser dissimuladas ao serem visualizadas e não devem ser legíveis na totalidade aquando da sua introdução pelo utilizador de serviços de pagamento durante a autenticação;
As credenciais de segurança personalizadas em formato de dados, assim como os elementos criptográficos relacionados com a encriptação das credenciais de segurança personalizadas, não devem ser armazenadas em texto simples;
Os elementos criptográficos secretos devem ser protegidos da divulgação não autorizada.
Artigo 23.o
Geração e transmissão de credenciais
Os prestadores de serviços de pagamento devem garantir que a geração das credenciais de segurança personalizadas é efetuada num ambiente seguro.
De igual modo, devem reduzir os riscos de utilização não autorizada das credenciais de segurança personalizadas e dos dispositivos e software de autenticação que tenham sido perdidos, furtados ou copiados antes de serem fornecidos ao ordenante.
Artigo 24.o
Associação ao utilizador de serviços de pagamento
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem assegurar o cumprimento de cada um dos seguintes requisitos:
A associação da identidade do utilizador de serviços de pagamento a credenciais de segurança personalizadas, dispositivos e software de autenticação deve ser efetuada em ambientes seguros sob a responsabilidade do prestador de serviços de pagamento, incluindo, pelo menos, as instalações do prestador de serviços de pagamento, o ambiente de Internet disponibilizado pelo prestador de serviços de pagamento ou outros sítios Web seguros semelhantes por ele utilizados e os seus serviços de caixas automáticos, tendo em conta os riscos associados aos dispositivos e componentes subjacentes utilizados durante o processo de associação que não estejam sob a responsabilidade do prestador de serviços de pagamento;
A associação, através de um canal remoto, da identidade do utilizador de serviços de pagamento às credenciais de segurança personalizadas, aos dispositivos ou software de autenticação deve ser efetuada aplicando a autenticação forte do cliente.
Artigo 25.o
Fornecimento de credenciais, dispositivos e software de autenticação
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem aplicar, pelo menos, cada uma das seguintes medidas:
Mecanismos eficazes e seguros que garantam o fornecimento das credenciais de segurança personalizadas e dos dispositivos e software de autenticação ao utilizador de serviços de pagamento legítimo;
Mecanismos que permitam ao prestador de serviços de pagamento verificar a autenticidade do software de autenticação fornecido ao utilizador de serviços de pagamento através da Internet;
Medidas que garantam que, caso o fornecimento das credenciais de segurança personalizadas seja executado fora das instalações do prestador de serviços de pagamento ou através de um canal remoto:
nenhuma parte não autorizada possa obter mais do que um elemento das credenciais de segurança personalizadas e dos dispositivos ou software de autenticação quando forem fornecidos através do mesmo canal,
as credenciais de segurança personalizadas e os dispositivos ou software de autenticação tenham de ser ativados antes da sua utilização;
Medidas que garantam que, nos casos em que as credenciais de segurança personalizadas e os dispositivos ou software de autenticação tenham de ser ativados antes da sua primeira utilização, a ativação seja efetuada num ambiente seguro, em conformidade com os procedimentos de associação referidos no artigo 24.o.
Artigo 26.o
Renovação de credenciais de segurança personalizadas
Os prestadores de serviços de pagamento devem assegurar que a renovação ou reativação das credenciais de segurança personalizadas respeita os procedimentos de geração, associação e fornecimento das credenciais e dos dispositivos de autenticação, nos termos dos artigos 23.o, 24.o e 25.o.
Artigo 27.o
Destruição, desativação e revogação
Os prestadores de serviços de pagamento devem assegurar a existência de processos eficazes para aplicar cada uma das medidas de segurança seguintes:
A destruição, desativação ou revogação segura das credenciais de segurança personalizadas e dos dispositivos e software de autenticação;
Caso distribua dispositivos e software de autenticação reutilizáveis, o prestador de serviços de pagamento deve determinar, documentar e aplicar a reutilização segura de um dispositivo ou software antes de o disponibilizar a outro utilizador de serviços de pagamento;
A desativação ou revogação de informações relacionadas com as credenciais de segurança personalizadas armazenadas nos sistemas e bases de dados do prestador de serviços de pagamento e, se for esse o caso, em repositórios públicos.
CAPÍTULO V
NORMAS ABERTAS DE COMUNICAÇÃO COMUNS E SEGURAS
Artigo 28.o
Requisitos de identificação
Artigo 29.o
Rastreabilidade
Para efeitos do disposto no n.o 1, os prestadores de serviços de pagamento devem assegurar que qualquer sessão de comunicação estabelecida com o utilizador de serviços de pagamento, com outros prestadores de serviços de pagamento e com outras entidades, incluindo comerciantes, tem por base cada um dos seguintes elementos:
Um identificador único da sessão;
Mecanismos de segurança para o registo pormenorizado da operação, nomeadamente o número, marcas temporais e todos os dados relevantes da mesma;
Marcas temporais baseadas num sistema horário de referência uniforme e sincronizados de acordo com um sinal horário oficial.
Artigo 30.o
Obrigações gerais para as interfaces de acesso
Os prestadores de serviços de pagamento gestores de contas que ofereçam a um ordenante uma conta de pagamento acessível em linha devem dispor de pelo menos uma interface que satisfaça cada um dos seguintes requisitos:
Os prestadores de serviços de informação sobre contas, os prestadores de serviços de iniciação de pagamentos e os prestadores de serviços de pagamento que emitem instrumentos de pagamento baseados em cartões devem poder identificar-se junto do prestador de serviços de pagamento gestor de contas;
Os prestadores de serviços de informação sobre contas devem poder comunicar de forma segura para pedir e receber informações sobre uma ou mais contas de pagamento designadas e as operações de pagamento associadas;
Os prestadores de serviços de iniciação de pagamentos devem poder comunicar de forma segura para iniciar uma ordem de pagamento a partir da conta de pagamento do ordenante e receber todas as informações sobre a iniciação da operação de pagamento e todas as informações acessíveis aos prestadores de serviços de pagamento gestores de contas sobre a execução da operação de pagamento.
A interface deve satisfazer pelo menos todos os seguintes requisitos:
Um prestador de serviços de iniciação de pagamentos ou um prestador de serviços de informação sobre contas deve poder instruir o prestador de serviços de pagamento gestor de contas no sentido de iniciar a autenticação com base no consentimento do utilizador de serviços de pagamento;
As sessões de comunicação entre o prestador de serviços de pagamento gestor de contas, o prestador de serviços de informação sobre contas, o prestador de serviços de iniciação de pagamentos e o utilizador de serviços de pagamento em causa devem ser estabelecidas e mantidas ao longo do processo de autenticação;
É necessário assegurar a integridade e a confidencialidade das credenciais de segurança personalizadas e dos códigos de autenticação transmitidos pelo ou através do prestador de serviços de iniciação de pagamentos ou do prestador de serviços de informação sobre contas.
Os prestadores de serviços de pagamento gestores de contas devem igualmente assegurar que as especificações técnicas de qualquer uma das interfaces são documentadas especificando um conjunto de rotinas, protocolos e ferramentas necessários para permitir a interoperabilidade do software e das aplicações dos prestadores de serviços de iniciação de pagamentos, dos prestadores de serviços de informação sobre contas e dos prestadores de serviços de pagamento que emitem instrumentos de pagamento baseados em cartões com os sistemas dos prestadores de serviços de pagamento que gerem as contas.
Os prestadores de serviços de pagamento gestores de contas devem, no mínimo, e pelo menos seis meses antes da data de aplicação indicada no artigo 38.o, n.o 2, ou antes da data fixada para o lançamento no mercado da interface de acesso, caso este lançamento tenha lugar após a data indicada no artigo 38.o, n.o 2, apresentar a documentação disponível, a título gratuito, a pedido dos prestadores de serviços de iniciação de pagamentos, prestadores de serviços de informação sobre contas e prestadores de serviços de pagamento que emitem instrumentos de pagamento baseados em cartões autorizados, ou de prestadores de serviços de pagamento que tenham pedido junto das respetivas autoridades competentes a autorização em causa, e disponibilizar publicamente um resumo da documentação no seu sítio Web.
Os prestadores de serviços de pagamento devem documentar as situações de emergência em que sejam aplicadas alterações e disponibilizar a documentação às autoridades competentes, a pedido destas.
No entanto, não podem ser partilhadas informações sensíveis através do dispositivo de teste.
Artigo 31.o
Opções de interface de acesso
Os prestadores de serviços de pagamento gestores de contas devem criar a(s) interface(s) a que se refere o artigo 30.o através de uma interface dedicada ou permitindo aos prestadores de serviços de pagamento referidos no artigo 30.o, n.o 1, que utilizem as interfaces destinadas à autenticação e comunicação com os utilizadores de serviços de pagamento do prestador de serviços de pagamento gestor de contas.
Artigo 32.o
Obrigações para uma interface dedicada
Artigo 33.o
Medidas de contingência para uma interface dedicada
Para este efeito, os prestadores de serviços de pagamento gestores de contas devem assegurar que os prestadores de serviços de pagamento referidos no artigo 30.o, n.o 1, podem ser identificados e basear-se nos procedimentos de autenticação facultados pelo prestador de serviços de pagamento gestor de contas ao utilizador de serviços de pagamento. Sempre que utilizem a interface a que se refere o n.o 4, os prestadores de serviços de pagamento referidos no artigo 30.o, n.o 1, devem:
Tomar as medidas necessárias para assegurar que não tenham acesso, armazenem ou tratem dados para outros fins que não a prestação do serviço solicitado pelo utilizador de serviços de pagamento;
Continuar a cumprir as obrigações decorrentes do artigo 66.o, n.o 3, e do artigo 67.o, n.o 2, da Diretiva (UE) 2015/2366, respetivamente;
Registar os dados acedidos através da interface operada pelo prestador de serviços de pagamento gestor de contas para prestar serviços aos seus utilizadores de serviços de pagamento e fornecer, a pedido e sem demora injustificada, os ficheiros de registo à respetiva autoridade nacional competente;
Justificar devidamente junto da respetiva autoridade nacional competente, a pedido e sem demora injustificada, a utilização da interface disponibilizada aos utilizadores de serviços de pagamento para estes acederem diretamente em linha à sua conta de pagamento;
Informar o prestador de serviços de pagamento gestor de contas em conformidade.
As autoridades competentes, depois de consultarem a EBA para garantir uma aplicação coerente das seguintes condições, devem isentar os prestadores de serviços de pagamento gestores de contas que tenham optado por uma interface dedicada da obrigação de criar o mecanismo de contingência descrito no n.o 4, caso a interface dedicada satisfaça todas as seguintes condições:
Cumpre todas as obrigações relativas a interfaces dedicadas estabelecidas no artigo 32.o;
Foi concebida e testada em conformidade com o artigo 30.o, n.o 5, a contento dos prestadores de serviços de pagamento nele referidos;
Foi amplamente utilizada, durante pelo menos três meses, pelos prestadores de serviços de pagamento para oferecer serviços de informação sobre contas e serviços de iniciação de pagamentos e confirmar a disponibilidade de fundos para pagamentos baseados em cartões;
Os problemas relacionados com a interface dedicada foram resolvidos sem demoras injustificadas.
Artigo 34.o
Certificados
Para efeitos do presente regulamento, os certificados qualificados de selos eletrónicos ou de autenticação de sítios Web a que se refere o n.o 1 devem incluir, numa língua de uso corrente no setor financeiro internacional, atributos específicos adicionais em relação a cada um dos seguintes elementos:
O papel do prestador de serviços de pagamento, que pode consistir num ou mais dos seguintes serviços:
gestão de contas,
iniciação de pagamentos,
informação sobre contas,
emissão de instrumentos de pagamento baseados em cartões;
O nome das autoridades competentes em que o prestador de serviços de pagamento se encontra registado.
Artigo 35.o
Segurança da sessão de comunicação
Os prestadores de serviços de informação sobre contas, os prestadores de serviços de iniciação de pagamentos e os prestadores de serviços de pagamento que emitem instrumentos de pagamento baseados em cartões com o prestador de serviços de pagamento gestor de contas devem incluir referências inequívocas a cada um dos seguintes elementos:
O(s) utilizador(es) de serviços de pagamento e a sessão de comunicação correspondente, de modo a distinguir os vários pedidos do(s) mesmo(s) utilizador(es) de serviços de pagamento;
Relativamente aos serviços de iniciação de pagamentos, a identificação única da operação de pagamento iniciada;
Relativamente à confirmação da disponibilidade de fundos, a identificação única do pedido relativo ao montante necessário para a execução da operação de pagamento baseada em cartão.
Em caso de perda de confidencialidade de credenciais de segurança personalizadas sob a sua responsabilidade, esses prestadores devem informar, sem demora injustificada, o utilizador de serviços de pagamento associado às credenciais de segurança personalizadas e o emitente das mesmas.
Artigo 36.o
Intercâmbio de dados
Os prestadores de serviços de pagamento gestores de contas devem cumprir cada um dos seguintes requisitos:
Fornecer aos prestadores de serviços de informação sobre contas as mesmas informações sobre contas de pagamento designadas e operações de pagamento associadas disponibilizadas ao utilizador de serviços de pagamento quando for diretamente pedido o acesso à informação sobre contas, desde que esta não inclua dados de pagamento sensíveis;
Logo após a receção da ordem de pagamento, fornecer aos prestadores de serviços de iniciação de pagamentos as mesmas informações sobre a iniciação e execução da operação de pagamento fornecidas ou disponibilizadas ao utilizador de serviços de pagamento, quando a operação for iniciada diretamente por este último;
A pedido, fornecer imediatamente aos prestadores de serviços de pagamento a confirmação, sob a forma de um simples «sim» ou «não», da disponibilidade ou não na conta de pagamento do ordenante do montante necessário para a execução de uma operação de pagamento.
Caso o prestador de serviços de pagamento gestor de contas disponibilize uma interface dedicada nos termos do artigo 32.o, a interface deve assegurar que o prestador de serviços de pagamento que deteta o evento ou erro em causa comunica as mensagens de notificação de eventos ou erros imprevistos aos outros prestadores de serviços de pagamento participantes na sessão de comunicação.
Para efeitos da prestação do serviço de informação sobre contas, os prestadores de serviços de informação sobre contas devem poder aceder às informações de contas de pagamento designadas e operações de pagamento associadas detidas pelos prestadores de serviços de pagamento gestores de contas em qualquer uma das seguintes circunstâncias:
Sempre que o utilizador de serviços de pagamento solicitar ativamente tais informações;
Caso o utilizador de serviços de pagamento não solicite ativamente tais informações, não mais de quatro vezes num período de 24 horas, salvo se for acordada uma frequência mais elevada entre o prestador de serviços de informação sobre contas e o prestador de serviços de pagamento gestor de contas, com o consentimento do utilizador de serviços de pagamento.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Artigo 37.o
Revisão
Sem prejuízo do disposto no artigo 98.o, n.o 5, da Diretiva (UE) 2015/2366, a EBA revê até 14 de março de 2021 as taxas de fraude referidas no anexo ao presente regulamento, bem como as isenções concedidas ao abrigo do artigo 33.o, n.o 6, em relação às interfaces dedicadas, e, se necessário, apresenta à Comissão projetos de atualização das mesmas nos termos do artigo 10.o do Regulamento (UE) n.o 1093/2010.
Artigo 38.o
Entrada em vigor
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
ANEXO
|
Taxa de fraude de referência (%) para: |
|
VLI (valor limiar de isenção) |
Pagamentos eletrónicos remotos baseados em cartões |
Transferências a crédito eletrónicas remotas |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE (JO L 176 de 27.6.2013, p. 338).