|
5.12.2022 |
PT |
Jornal Oficial da União Europeia |
L 312/1 |
REGULAMENTO DELEGADO (UE) 2022/2360 DA COMISSÃO
de 3 de agosto de 2022
que altera as normas técnicas de regulamentação estabelecidas no Regulamento Delegado (UE) 2018/389 no que respeita à isenção de 90 dias para o acesso a contas
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.o 1093/2010, e que revoga a Diretiva 2007/64/CE (1), nomeadamente o artigo 98.o, n.o 4, segundo parágrafo,
Considerando o seguinte:
|
(1) |
O artigo 10.o do Regulamento Delegado (UE) 2018/389 da Comissão (2) prevê uma isenção do requisito estabelecido no artigo 97.o da Diretiva (UE) 2015/2366 no sentido de aplicar a autenticação forte do cliente sempre que um utilizador de serviços de pagamento esteja a aceder ao saldo e às operações recentes de uma conta de pagamento sem a divulgação de dados de pagamento sensíveis. Nesse caso, os prestadores de serviços de pagamento podem não aplicar uma autenticação forte do cliente para o acesso às informações sobre contas, desde que a autenticação forte do cliente tenha sido aplicada quando as informações sobre contas foram acedidas pela primeira vez e, pelo menos, de 90 em 90 dias após essa autenticação. |
|
(2) |
A utilização dessa isenção conduziu a práticas muito divergentes na aplicação do Regulamento Delegado (UE) 2018/389, sendo que alguns prestadores de serviços de pagamento gestores de contas solicitam uma autenticação forte do cliente a cada 90 dias, outros a intervalos mais curtos e outros não aplicaram a isenção e solicitam uma autenticação forte do cliente para cada acesso à conta. Esta divergência conduziu a dificuldades indesejáveis para o cliente na utilização de serviços de informação sobre contas e a um impacto negativo nos serviços dos prestadores de serviços de informação sobre contas. |
|
(3) |
A fim de assegurar um equilíbrio adequado entre os objetivos da Diretiva (UE) 2015/2366 de reforçar a segurança, facilitar a inovação e intensificar a concorrência no mercado interno, é necessário especificar mais pormenorizadamente a aplicação da isenção prevista no artigo 10.o do Regulamento Delegado (UE) 2018/389, nos casos em que as informações sobre contas são acedidas através de um prestador de serviços de informação sobre contas. Por conseguinte, nesse caso, os prestadores de serviços de pagamento não poderão optar por aplicar ou não a autenticação forte do cliente, e a isenção deverá ser tornada obrigatória, sob reserva de condições que visem garantir a segurança e a proteção dos dados dos utilizadores de serviços de pagamento. |
|
(4) |
A isenção deve ser limitada ao acesso ao saldo e às operações recentes de uma conta de pagamento sem a divulgação de dados de pagamento sensíveis. A isenção só deve aplicar-se nos casos em que os prestadores de serviços de pagamento já tenham aplicado a autenticação forte do cliente para o primeiro acesso através do respetivo prestador de serviços de informação sobre contas, devendo ser renovada periodicamente. |
|
(5) |
A fim de garantir a segurança e a proteção dos dados dos utilizadores de serviços de pagamento, os prestadores de serviços de pagamento devem poder, a qualquer momento, aplicar uma autenticação forte do cliente se tiverem motivos objetivamente justificados e devidamente comprovados relacionados com o acesso não autorizado ou fraudulento. Tal poderá ser o caso se os mecanismos de controlo das operações do prestador de serviços de pagamento gestor de contas detetarem um risco elevado de acesso não autorizado ou fraudulento. A fim de assegurar uma aplicação coerente da isenção, os prestadores de serviços de pagamento gestores de contas devem, nesses casos, documentar e justificar devidamente à sua autoridade nacional competente, a pedido desta, os motivos para aplicar a autenticação forte do cliente. |
|
(6) |
Caso o utilizador de serviços de pagamento aceda diretamente às informações sobre as contas, os prestadores de serviços de pagamento devem continuar a poder optar por aplicar a autenticação forte do cliente. Tal deve-se ao facto de, nesses casos, não terem sido detetados problemas específicos que exijam uma alteração da isenção prevista no artigo 10.o do Regulamento Delegado (UE) 2018/389, contrariamente ao caso do acesso através de um prestador de serviços de informação sobre contas. |
|
(7) |
A fim de assegurar condições de concorrência equitativas entre todos os prestadores de serviços de pagamento, e em consonância com os objetivos da Diretiva (UE) 2015/2366 de permitir o desenvolvimento de serviços inovadores e de fácil utilização, afigura-se proporcionado estabelecer o mesmo prazo de 180 dias para a renovação da autenticação forte do cliente a fim de aceder às informações sobre contas diretamente junto do prestador de serviços de pagamento gestor de contas e através de um prestador de serviços de informação sobre contas. A atual frequência de renovação da autenticação forte do cliente pode causar dificuldades indesejáveis para o cliente, bem como impedir os prestadores de serviços de informação sobre contas de prestarem os seus serviços e os utilizadores de beneficiarem desses serviços. |
|
(8) |
Os prestadores de serviços de pagamento gestores de contas que oferecem uma interface dedicada e que implementaram um mecanismo de contingência como previsto no artigo 33.o, n.o 4, do Regulamento Delegado (UE) 2018/389 não devem ser obrigados a aplicar a nova isenção obrigatória nas suas interfaces diretas com clientes para efeitos do mecanismo de contingência, desde que não apliquem a isenção prevista no artigo 10.o do Regulamento Delegado (UE) 2018/389 nas suas interfaces diretas com clientes. Seria desproporcionado exigir que os prestadores de serviços de pagamento gestores de contas que oferecem uma interface dedicada na qual tenham de aplicar a nova isenção obrigatória também apliquem a isenção nas suas interfaces diretas com clientes para efeitos do mecanismo de contingência. |
|
(9) |
A fim de assegurar que os prestadores de serviços de pagamento disponham de tempo suficiente para introduzir as alterações necessárias nos seus sistemas, os prestadores de serviços de pagamento gestores de contas devem colocar à disposição dos prestadores de serviços de pagamento as alterações introduzidas nas especificações técnicas das suas interfaces, a fim de dar cumprimento ao presente regulamento, pelo menos 2 meses antes de essas alterações serem introduzidas. |
|
(10) |
O Regulamento Delegado (UE) 2018/389 deve, por conseguinte, ser alterado em conformidade. |
|
(11) |
O presente regulamento baseia-se no projeto de normas técnicas de regulamentação apresentado à Comissão pela Autoridade Bancária Europeia. |
|
(12) |
A Autoridade Bancária Europeia procedeu a consultas públicas abertas sobre os projetos de normas técnicas de regulamentação que servem de base ao presente regulamento, analisou os potenciais custos e benefícios a eles associados e solicitou o parecer do Grupo das Partes Interessadas do Setor Bancário, criado em conformidade com o artigo 37.o do Regulamento (UE) n.o 1093/2010 do Parlamento Europeu e do Conselho (3). |
|
(13) |
A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e apresentou observações formais em 7 de junho de 2022. |
|
(14) |
A fim de permitir uma transição eficiente para os novos requisitos estabelecidos no presente regulamento, os prestadores de serviços de pagamento que tenham aplicado a isenção prevista no artigo 10.o do Regulamento Delegado (UE) 2018/389 antes da data de aplicação do presente regulamento devem ser autorizados a continuar a aplicar essa isenção até 90 dias a contar da última vez que foi aplicada a autenticação forte do cliente, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Alterações do Regulamento Delegado (UE) 2018/389
O Regulamento Delegado (UE) 2018/389 é alterado do seguinte modo:
|
1) |
O artigo 10.o passa a ter a seguinte redação: «Artigo 10.o Acesso às informações sobre contas de pagamento diretamente junto do prestador de serviços de pagamento gestor de contas 1. Os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos previstos no artigo 2.o, caso um utilizador de serviços de pagamento esteja a aceder diretamente à sua conta de pagamento em linha, desde que o acesso seja limitado a um dos seguintes elementos em linha sem a divulgação de dados de pagamento sensíveis:
2. Em derrogação do disposto no n.o 1, os prestadores de serviços de pagamento não ficam isentos da aplicação da autenticação forte do cliente sempre que uma das seguintes condições estiver preenchida:
|
|
2) |
É inserido o seguinte artigo 10.o-A: «Artigo 10.o-A Acesso às informações sobre contas de pagamento através de um prestador de serviços de informação sobre contas 1. Os prestadores de serviços de pagamento não podem aplicar a autenticação forte do cliente caso um utilizador de serviços de pagamento esteja a aceder à sua conta de pagamento em linha através de um prestador de serviços de informação sobre contas, desde que o acesso seja limitado a um dos seguintes elementos em linha sem a divulgação de dados de pagamento sensíveis:
2. Em derrogação do disposto no n.o 1, os prestadores de serviços de pagamento devem aplicar a autenticação forte do cliente sempre que uma das seguintes condições estiver preenchida:
3. Em derrogação do disposto no n.o 1, os prestadores de serviços de pagamento podem aplicar a autenticação forte do cliente caso um utilizador de serviços de pagamento esteja a aceder à sua conta de pagamento em linha através de um prestador de serviços de informação sobre contas e o prestador de serviços de pagamento tenha motivos objetivamente justificados e devidamente comprovados relacionados com o acesso não autorizado ou fraudulento à conta de pagamento. Nesse caso, o prestador de serviços de pagamento deve documentar e justificar devidamente à sua autoridade nacional competente, a pedido desta, os motivos para aplicar a autenticação forte do cliente. 4. Os prestadores de serviços de pagamento gestores de contas que oferecem uma interface dedicada como referido no artigo 31.o não são obrigados a aplicar a isenção prevista no n.o 1 do presente artigo para efeitos do mecanismo de contingência a que se refere o artigo 33.o, n.o 4, caso não apliquem a isenção prevista no artigo 10.o na interface direta utilizada para autenticação e comunicação com os seus utilizadores de serviços de pagamento.» |
|
3) |
No artigo 30.o, é inserido o seguinte número 4-A: «4-A. Em derrogação do disposto no n.o 4, os prestadores de serviços de pagamento gestores de contas devem disponibilizar aos prestadores de serviços de pagamento a que se refere o presente artigo as alterações introduzidas nas especificações técnicas das suas interfaces a fim de dar cumprimento ao artigo 10.o-A, pelo menos 2 meses antes de essas alterações serem introduzidas.» |
Artigo 2.o
Disposições transitórias
1. Os prestadores de serviços de pagamento que aplicavam a isenção prevista no artigo 10.o do Regulamento Delegado (UE) 2018/389 antes de 25 de julho de 2023 podem continuar a aplicar essa isenção para os pedidos de acesso recebidos através de um prestador de serviços de informação sobre contas até ao termo do período abrangido por essa isenção.
2. Em derrogação do disposto no n.o 1, sempre que seja aplicada uma nova autenticação forte do cliente para um pedido de acesso através de um prestador de serviços de informação sobre contas antes do termo do período abrangido pela isenção a que se refere o n.o 1, é aplicável o artigo 10.o-A introduzido pelo presente regulamento.
Artigo 3.o
Entrada em vigor e aplicação
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é aplicável a partir de 25 de julho de 2023.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 3 de agosto de 2022.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 337 de 23.12.2015, p. 35.
(2) Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, que complementa a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras (JO L 69 de 13.3.2018, p. 23).
(3) Regulamento (UE) n.o 1093/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Bancária Europeia), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/78/CE da Comissão (JO L 331 de 15.12.2010, p. 12).