02018R0389 — RO — 12.09.2023 — 002.001
Acest document are doar scop informativ și nu produce efecte juridice. Instituțiile Uniunii nu își asumă răspunderea pentru conținutul său. Versiunile autentice ale actelor relevante, inclusiv preambulul acestora, sunt cele publicate în Jurnalul Oficial al Uniunii Europene și disponibile pe site-ul EUR-Lex. Aceste texte oficiale pot fi consultate accesând linkurile integrate în prezentul document.
REGULAMENTUL DELEGAT (UE) 2018/389 AL COMISIEI din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare (Text cu relevanță pentru SEE) (JO L 069 13.3.2018, p. 23) |
Astfel cum a fost modificat prin:
|
|
Jurnalul Oficial |
||
NR. |
Pagina |
Data |
||
REGULAMENTUL DELEGAT (UE) 2022/2360 AL COMISIEI din 3 august 2022 |
L 312 |
1 |
5.12.2022 |
|
REGULAMENTUL DELEGAT (UE) 2023/1650 AL COMISIEI din 15 mai 2023 |
L 208 |
1 |
23.8.2023 |
Rectificat prin:
REGULAMENTUL DELEGAT (UE) 2018/389 AL COMISIEI
din 27 noiembrie 2017
de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare
(Text cu relevanță pentru SEE)
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect
Prezentul regulament stabilește cerințele care trebuie respectate de prestatorii de servicii de plată în scopul punerii în aplicare a măsurilor de securitate care le permit următoarele:
să aplice procedura de autentificare strictă a clienților, în conformitate cu articolul 97 din Directiva (UE) 2015/2366;
să fie exceptați de la aplicarea cerințelor de securitate privind autentificarea strictă a clienților, sub rezerva unor condiții specifice și limitate în funcție de nivelul de risc, valoarea și frecvența operațiunii de plată și de canalul de plată utilizat pentru executarea acesteia;
să protejeze confidențialitatea și integritatea elementelor de securitate personalizate ale utilizatorului serviciilor de plată;
să stabilească standarde deschise, comune și sigure de comunicare între prestatorii de servicii de plată care oferă servicii de administrare cont, prestatorii de servicii de inițiere a plății, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plății și alți prestatori de servicii de plată în ceea ce privește furnizarea și utilizarea serviciilor de plată în conformitate cu titlul IV din Directiva (UE) 2015/2366.
Articolul 2
Cerințe generale de autentificare
Mecanismele respective se bazează pe analiza operațiunilor de plată, ținând seama de elemente specifice ale utilizatorului serviciilor de plată în condiții de utilizare normală a elementelor de securitate personalizate.
Prestatorii de servicii de plată se asigură că mecanismele de monitorizare a operațiunilor iau în considerare, ca o condiție minimă, fiecare dintre următorii factori bazați pe riscuri:
listele de elemente de autentificare compromise sau furate;
valoarea fiecărei operațiuni de plată;
scenariile de fraudă cunoscute în ceea ce privește furnizarea de servicii de plată;
semne de infectare cu programe malware în oricare sesiune din procedura de autentificare;
în cazul în care dispozitivul de acces sau programul informatic este furnizat de prestatorul de servicii de plată, un registru de utilizare a dispozitivului de acces sau a programului informatic furnizat utilizatorului serviciilor de plată și utilizarea anormală a dispozitivului de acces sau a programului informatic.
Articolul 3
Revizuirea măsurilor de securitate
Cu toate acestea, prestatorii de servicii de plată care recurg la derogarea prevăzută la articolul 18 fac obiectul unui audit, cel puțin o dată pe an, cu privire la metodologia, modelul și ratele de fraudă raportate. Auditorul care efectuează acest audit are competențe în domeniul securității informatice și al plăților și este independent din punct de vedere operațional de prestatorul de servicii de plată. În cursul primului an în care se aplică derogarea prevăzută la articolul 18 și, ulterior, cel puțin o dată la trei ani sau mai frecvent, la cererea autorității competente, acest audit este efectuat de către un auditor extern independent și calificat.
Întregul raport este pus la dispoziția autorităților competente, la cererea acestora.
CAPITOLUL II
MĂSURI DE SECURITATE PENTRU APLICAREA AUTENTIFICĂRII STRICTE A CLIENȚILOR
Articolul 4
Codul de autentificare
Codul de autentificare este acceptat numai o singură dată de către prestatorul de servicii de plată atunci când plătitorul utilizează codul de autentificare pentru a-și accesa contul de plăți online, pentru a iniția o operațiune electronică de plată sau pentru a întreprinde orice acțiune, printr-un canal la distanță, care poate implica un risc de fraudare a plății sau alte abuzuri.
În sensul alineatului (1), prestatorii de servicii de plată adoptă măsuri de securitate, asigurându-se că este îndeplinită fiecare dintre următoarele cerințe:
nicio informație cu privire la oricare dintre elementele menționate la alineatul (1) nu poate fi derivată din divulgarea codului de autentificare;
nu este posibilă generarea unui nou cod de autentificare bazat pe cunoașterea oricărui alt cod de autentificare generat anterior;
codul de autentificare nu poate fi falsificat.
Prestatorii de servicii de plată se asigură că autentificarea prin generarea unui cod de autentificare include fiecare dintre următoarele măsuri:
în cazul în care autentificarea pentru accesul de la distanță, pentru plățile electronice la distanță și pentru orice alte acțiuni printr-un canal la distanță care pot implica un risc de fraudare a plății sau alte abuzuri nu a reușit să genereze un cod de autentificare în sensul alineatului (1), nu este posibil să se identifice care dintre elementele menționate la alineatul respectiv a fost incorect;
numărul de încercări de autentificare eșuate care pot avea loc consecutiv, după care acțiunile menționate la articolul 97 alineatul (1) din Directiva (UE) 2015/2366 sunt blocate temporar sau permanent, nu trebuie să depășească cinci într-o anumită perioadă de timp;
sesiunile de comunicare sunt protejate împotriva capturării datelor de autentificare transmise în cursul autentificării și împotriva manipulării de către părți neautorizate, în conformitate cu cerințele prevăzute în capitolul V;
durata maximă de timp fără activitate desfășurată de plătitor după ce s-a autentificat pentru accesarea contului său online nu depășește cinci minute.
Plătitorul este informat înainte ca blocarea să devină permanentă.
În cazul în care blocarea a devenit permanentă, se stabilește o procedură securizată care îi permite plătitorului să redobândească accesul la instrumentele electronice de plată blocate.
Articolul 5
Corelarea dinamică
În cazul în care prestatorii de servicii de plată aplică autentificarea strictă a clienților în conformitate cu articolul 97 alineatul (2) din Directiva (UE) 2015/2366, în plus față de cerințele prevăzute la articolul 4 din prezentul regulament, aceștia adoptă și măsuri de securitate care îndeplinesc fiecare dintre cerințele următoare:
plătitorul este informat cu privire la valoarea operațiunii de plată și cu privire la beneficiarul plății;
codul de autentificare generat este specific valorii operațiunii de plată și beneficiarului plății asupra cărora plătitorul a convenit în momentul inițierii operațiunii;
codul de autentificare acceptat de către prestatorul de servicii de plată corespunde valorii specifice inițiale a operațiunii de plată și identității beneficiarului plății asupra cărora a convenit plătitorul;
orice modificare a valorii sau a beneficiarului plății duce la invalidarea codului de autentificare generat.
În sensul alineatului (1), prestatorii de servicii de plată adoptă măsuri de securitate care să asigure confidențialitatea, autenticitatea și integritatea fiecăruia dintre următoarele elemente:
valoarea operațiunii de plată și beneficiarul plății în toate fazele procesului de autentificare;
informațiile afișate plătitorului pe parcursul tuturor fazelor procesului de autentificare, inclusiv generarea, transmiterea și utilizarea codului de autentificare.
În sensul alineatului (1) litera (b) și în cazul în care prestatorii de servicii de plată aplică autentificarea strictă a clienților în conformitate cu articolul 97 alineatul (2) din Directiva (UE) 2015/2366, se aplică următoarele cerințe pentru codul de autentificare:
în legătură cu o operațiune de plată pe bază de card pentru care plătitorul și-a dat consimțământul în legătură cu cuantumul exact al fondurilor care urmează să fie blocate în temeiul articolului 75 alineatul (1) din directiva respectivă, codul de autentificare este specific cuantumului pentru blocarea căruia plătitorul și-a exprimat consimțământul și care a fost convenit de plătitor în momentul inițierii operațiunii;
în legătură cu operațiunile de plată pentru care plătitorul și-a exprimat consimțământul referitor la executarea unui lot de operațiuni electronice de plată la distanță către unul sau mai mulți beneficiari, codul de autentificare este specific cuantumului total al lotului de operațiuni de plată și beneficiarilor specificați ai plății.
Articolul 6
Cerințele privind elementele clasificate drept cunoștințe
Articolul 7
Cerințele privind elementele clasificate drept posesie
Articolul 8
Cerințele privind dispozitivele și programele informatice legate de elementele clasificate drept inerență
Articolul 9
Independența elementelor
În sensul alineatului (2), măsurile de atenuare includ fiecare dintre următoarele:
utilizarea unor medii de executare sigure, separate cu ajutorul programelor informatice instalate pe dispozitivul universal;
mecanisme prin care să se asigure că programele informatice sau dispozitivul nu au fost modificate de către plătitor sau de către un terț;
în cazul în care au avut loc modificări, mecanisme pentru a atenua consecințele acestora.
CAPITOLUL III
DEROGĂRI DE LA AUTENTIFICAREA STRICTĂ A CLIENȚILOR
Articolul 10
Accesul la informațiile privind contul de plăți direct la prestatorul de servicii de plată care oferă servicii de administrare cont
Prestatorii de servicii de plată sunt autorizați să nu aplice autentificarea strictă a clienților, sub rezerva respectării cerințelor prevăzute la articolul 2, în cazul în care un utilizator al serviciilor de plată își accesează contul de plăți online în mod direct, cu condiția ca accesul să fie limitat la unul dintre următoarele elemente online, fără divulgarea de date sensibile privind plățile:
soldul unuia sau al mai multor conturi de plată desemnate;
operațiunile de plată executate în ultimele 90 de zile prin intermediul unuia sau al mai multor conturi de plată desemnate.
Prin derogare de la alineatul (1), prestatorii de servicii de plată nu sunt scutiți de la aplicarea autentificării stricte a clienților în cazul în care este îndeplinită una dintre următoarele condiții:
utilizatorul serviciilor de plată accesează online, pentru prima dată, informațiile specificate la alineatul (1);
s-au scurs mai mult de 180 de zile de când utilizatorul serviciilor de plată a accesat online ultima dată informațiile menționate la alineatul (1) și de când a fost aplicată autentificarea strictă a clienților.
Articolul 10a
Accesul la informațiile privind contul de plăți prin intermediul unui prestator de servicii de informare cu privire la conturi
Prestatorii de servicii de plată nu aplică autentificarea strictă a clienților în cazul în care un utilizator al serviciilor de plată își accesează contul de plăți online prin intermediul unui prestator de servicii de informare cu privire la conturi, cu condiția ca accesul să fie limitat la unul dintre următoarele elemente online, fără divulgarea de date sensibile privind plățile:
soldul unuia sau al mai multor conturi de plată desemnate;
operațiunile de plată executate în ultimele 90 de zile prin intermediul unuia sau al mai multor conturi de plată desemnate.
Prin derogare de la alineatul (1), prestatorii de servicii de plată aplică autentificarea strictă a clienților în cazul în care este îndeplinită una dintre următoarele condiții:
utilizatorul serviciilor de plată accesează online, pentru prima dată, informațiile specificate la alineatul (1) prin intermediul prestatorului de servicii de informare cu privire la conturi;
s-au scurs mai mult de 180 de zile de când utilizatorul serviciilor de plată a accesat online ultima dată informațiile menționate la alineatul (1) prin intermediul prestatorului de servicii de informare cu privire la conturi și de când a fost aplicată autentificarea strictă a clienților.
Articolul 11
Plățile contactless efectuate la punctul de vânzare
Prestatorii de servicii de plată au dreptul să nu aplice autentificarea strictă a clienților, sub rezerva respectării cerințelor prevăzute la articolul 2, în cazul în care plătitorul inițiază o operațiune electronică de plată contactless, cu condiția ca următoarele condiții să fie îndeplinite:
valoarea individuală a operațiunii electronice de plată contactless nu depășește 50 EUR și
valoarea cumulată a operațiunilor electronice de plată contactless anterioare inițiate de la data ultimei aplicări a autentificării stricte a clienților prin intermediul unui instrument de plată cu o funcționalitate contactless nu depășește 150 EUR sau
numărul operațiunilor electronice de plată contactless consecutive inițiate de la data ultimei aplicări a autentificării stricte a clienților prin intermediul unui instrument de plată cu o funcționalitate contactless nu este mai mare de cinci.
Articolul 12
Terminale neasistate pentru bilete de transport și taxe de parcare
Prestatorii de servicii de plată au dreptul să nu aplice autentificarea strictă a clienților, sub rezerva respectării cerințelor prevăzute la articolul 2, în cazul în care plătitorul inițiază o operațiune electronică de plată la un terminal de plată neasistat, cu scopul de a plăti un bilet de transport sau o taxă de parcare.
Articolul 13
Beneficiarii agreați
Articolul 14
Operațiuni recurente
Articolul 15
Operațiunile de transfer de credit între conturile deținute de aceeași persoană fizică sau juridică
Prestatorii de servicii de plată au dreptul să nu aplice autentificarea strictă a clienților, sub rezerva respectării cerințelor prevăzute la articolul 2, în cazul în care plătitorul inițiază o operațiune de transfer de credit în cadrul căreia plătitorul și beneficiarul plății sunt una și aceeași persoană fizică sau juridică, iar ambele conturi de plăți sunt deținute de același prestator de servicii de plată care administrează contul.
Articolul 16
Operațiuni cu valoare scăzută
Prestatorii de servicii de plată au dreptul să nu aplice autentificarea strictă a clienților în cazul în care plătitorul inițiază o operațiune electronică de plată la distanță, cu condiția ca următoarele condiții să fie îndeplinite:
valoarea operațiunii electronice de plată la distanță nu depășește 30 EUR și
valoarea cumulată a operațiunilor electronice de plată la distanță anterioare inițiate de plătitor de la ultima aplicare a autentificării stricte a clienților nu depășește 100 EUR sau
numărul operațiunilor electronice de plată la distanță anterioare inițiate de plătitor de la ultima aplicare a autentificării stricte a clienților nu depășește 5 astfel de operațiuni individuale consecutive.
Articolul 17
Procese și protocoale de plată sigure în mediul întreprinderilor
Prestatorii de servicii de plată au dreptul să nu aplice autentificarea strictă a clienților în ceea ce privește persoanele juridice care inițiază operațiuni electronice de plată prin utilizarea unor procese sau protocoale de plată specifice care sunt puse doar la dispoziția plătitorilor ce nu sunt consumatori, în cazul în care autoritățile competente consideră că aceste procese sau protocoale garantează niveluri de securitate cel puțin echivalente cu cele prevăzute în Directiva (UE) 2015/2366.
Articolul 18
Analiza de risc a operațiunilor
Se consideră că operațiunile electronice de plată menționate la alineatul (1) prezintă un nivel scăzut de risc în cazul în care sunt îndeplinite toate condițiile următoare:
rata de fraudă pentru acest tip de operațiuni, raportată de către prestatorul de servicii de plată și calculată în conformitate cu articolul 19, este egală sau mai mică decât rata de referință a fraudelor specificată în tabelul prevăzut în anexă pentru „plățile electronice la distanță pe bază de card” și, respectiv, pentru „operațiunile electronice la distanță de transfer de credit”;
valoarea operațiunii nu depășește valoarea relevantă a pragului de derogare menționată în tabelul din anexă;
prestatorii de servicii de plată, în urma realizării unei analize de risc în timp real, nu au identificat niciunul dintre următoarele elemente:
cheltuieli anormale sau un model anormal de comportament al plătitorului;
informații neobișnuite cu privire la accesul plătitorului la dispozitiv/programul informatic;
infectarea cu programe malware în oricare sesiune din procedura de autentificare;
scenarii de fraudă cunoscute în ceea ce privește furnizarea de servicii de plată;
poziția geografică anormală a plătitorului;
poziția geografică cu risc ridicat a beneficiarului plății.
Prestatorii de servicii de plată care intenționează să scutească operațiunile electronice de plată la distanță de la autentificarea strictă a clienților pe motivul că acestea prezintă un risc redus iau în considerare cel puțin următorii factorii bazați pe riscuri:
modelele anterioare de cheltuieli ale fiecărui utilizator al serviciilor de plată;
istoricul operațiunilor de plată pentru fiecare utilizator de servicii de plată al prestatorilor de servicii de plată;
poziția geografică a plătitorului și a beneficiarului plății în momentul operațiunii de plată, în cazul în care dispozitivul de acces sau programul informatic este furnizat de prestatorul de servicii de plată;
identificarea modelelor anormale de plată ale utilizatorului serviciilor de plată în raport cu istoricul operațiunilor de plată ale utilizatorului.
Evaluarea efectuată de către un prestator de servicii de plată combină toți acești factori bazați pe riscuri într-un singur sistem de notare a riscurilor pentru fiecare operațiune individuală, pentru a stabili dacă o anumită plată ar trebui permisă fără autentificarea strictă a clienților.
Articolul 19
Calcularea ratelor fraudelor
Rata globală a fraudelor pentru fiecare tip de operațiune se calculează ca fiind valoarea totală a operațiunilor la distanță neautorizate sau frauduloase, indiferent dacă fondurile au fost recuperate sau nu, împărțită la valoarea totală a tuturor operațiunilor la distanță pentru același tip de operațiune, indiferent dacă sunt autentificate cu aplicarea autentificării stricte a clienților sau executate în temeiul oricăreia dintre derogările menționate la articolele 13-18, pe o bază periodică trimestrială (90 de zile).
Articolul 20
Încetarea derogărilor pe baza analizei de risc a operațiunilor
Articolul 21
Monitorizare
Pentru a face uz de derogările prevăzute la articolele 10-18, prestatorii de servicii de plată înregistrează și monitorizează datele de mai jos, pentru fiecare tip de operațiune de plată, cu o defalcare atât pentru operațiunile de plată efectuate la distanță, cât și pentru cele neefectuate la distanță, cel puțin o dată pe trimestru:
valoarea totală a operațiunilor de plată neautorizate sau frauduloase în conformitate cu articolul 64 alineatul (2) din Directiva (UE) 2015/2366, valoarea totală a tuturor operațiunilor de plată și rata de fraudă aferentă, inclusiv o defalcare a operațiunilor de plată inițiate prin autentificarea strictă a clienților și a celor inițiate în temeiul fiecărei derogări;
valoarea medie a operațiunii, inclusiv o defalcare a operațiunilor de plată inițiate prin autentificarea strictă a clienților și a celor inițiate în temeiul fiecărei derogări;
numărul de operațiuni de plată pentru care a fost aplicată fiecare dintre derogări și proporția acestora în raport cu numărul total al operațiunilor de plată.
CAPITOLUL IV
CONFIDENȚIALITATEA ȘI INTEGRITATEA ELEMENTELOR DE SECURITATE PERSONALIZATE ALE UTILIZATORILOR SERVICIILOR DE PLATĂ
Articolul 22
Cerințe generale
În sensul alineatului (1), prestatorii de servicii de plată se asigură că este îndeplinită fiecare dintre următoarele cerințe:
elementele de securitate personalizate sunt mascate atunci când sunt afișate și nu pot fi citite în integralitatea lor atunci când sunt introduse de către utilizatorul serviciilor de plată în cursul autentificării;
nici elementele de securitate personalizate în formatul datelor și nici materialele criptografice legate de criptarea elementelor de securitate personalizate nu sunt stocate în text simplu;
materialele criptografice secrete sunt protejate împotriva divulgării neautorizate.
Articolul 23
Crearea și transmiterea elementelor de securitate
Prestatorii de servicii de plată se asigură că elementele de securitate personalizate sunt create într-un mediu sigur.
Aceștia atenuează riscurile utilizării neautorizate a elementelor de securitate personalizate și a dispozitivelor și programelor informatice de autentificare în urma pierderii, furtului sau copierii, înainte de a le transmite plătitorului.
Articolul 24
Asocierea cu utilizatorul serviciilor de plată
În sensul alineatului (1), prestatorii de servicii de plată se asigură că este îndeplinită fiecare dintre următoarele cerințe:
asocierea identității utilizatorului serviciilor de plată cu elementele de securitate personalizate și cu dispozitivele și programele informatice de autentificare se desfășoară în medii sigure, sub responsabilitatea prestatorului de servicii de plată; este vorba, cel puțin, de sediul prestatorului de servicii de plată, de mediul internet furnizat de prestatorul de servicii de plată sau de alte site-uri web securizate similare utilizate de prestatorul de servicii de plată, precum și de serviciile de bancomate ale acestuia; trebuie avute în vedere riscurile asociate dispozitivelor și componentelor acestora care sunt utilizate în timpul procesului de asociere și care nu se află sub responsabilitatea prestatorului de servicii de plată;
asocierea printr-un canal la distanță a identității utilizatorului serviciilor de plată cu elementele de securitate personalizate și cu dispozitivele sau programele informatice de autentificare se efectuează prin aplicarea autentificării stricte a clienților.
Articolul 25
Transmiterea elementelor de securitate și a dispozitivelor și programelor informatice de autentificare
În sensul alineatului (1), prestatorii de servicii de plată pun în aplicare, ca o cerință minimă, fiecare dintre următoarele măsuri:
mecanisme de transmitere eficace și sigure, care să garanteze că elementele de securitate personalizate și dispozitivele și programele informatice de autentificare sunt transmise utilizatorului legitim al serviciilor de plată;
mecanisme care permit prestatorului de servicii de plată să verifice autenticitatea programelor informatice de autentificare transmise utilizatorului de servicii de plată prin intermediul internetului;
dispoziții care să garanteze că, în cazul în care transmiterea elementelor de securitate personalizate este executată în afara sediilor prestatorului de servicii de plată sau printr-un canal la distanță:
nicio parte neautorizată nu poate obține mai mult de o singură componentă a elementelor de securitate personalizate sau a dispozitivelor ori programelor informatice de autentificare, atunci când acestea sunt transmise prin intermediul aceluiași canal;
elementele de securitate personalizate sau dispozitivele ori programele informatice de autentificare transmise trebuie activate înainte de utilizare;
dispoziții care să garanteze că, în cazul în care elementele de securitate personalizate sau dispozitivele ori programele informatice de autentificare trebuie activate înainte de prima utilizare, activarea are loc într-un mediu sigur, în conformitate cu procedurile de asociere menționate la articolul 24.
Articolul 26
Reînnoirea elementelor de securitate personalizate
Prestatorii de servicii de plată se asigură că reînnoirea sau reactivarea elementelor de securitate personalizate respectă procedurile pentru crearea, asocierea și transmiterea elementelor de securitate și a dispozitivelor de autentificare în conformitate cu articolele 23, 24 și 25.
Articolul 27
Distrugerea, dezactivarea și revocarea
Prestatorii de servicii de plată se asigură că dispun de proceduri eficace pentru a aplica fiecare dintre următoarele măsuri de securitate:
distrugerea, dezactivarea sau revocarea în condiții de siguranță a elementelor de securitate personalizate și a dispozitivelor și programelor informatice de autentificare;
în cazul în care prestatorul de servicii de plată distribuie dispozitive și programe informatice de autentificare reutilizabile, reutilizarea în condiții de siguranță a unui dispozitiv sau a unui program informatic este stabilită, documentată și pusă în aplicare înainte ca acesta să fie pus la dispoziția unui alt utilizator al serviciilor de plată;
dezactivarea sau revocarea informațiilor legate de elementele de securitate personalizate stocate în sistemele și bazele de date ale prestatorului de servicii de plată și, dacă este relevant, în registrele publice.
CAPITOLUL V
STANDARDE DESCHISE, COMUNE ȘI SIGURE DE COMUNICARE
Articolul 28
Cerințe privind identificarea
Articolul 29
Trasabilitatea
În sensul alineatului (1), prestatorii de servicii de plată se asigură că orice sesiune de comunicare realizată cu utilizatorul serviciilor de plată, cu alți prestatori de servicii de plată și cu alte entități, inclusiv comercianți, se bazează pe fiecare dintre următoarele elemente:
un identificator unic al sesiunii;
mecanisme de securitate pentru înregistrarea detaliată a operațiunii, inclusiv numărul operațiunii, mărcile temporale și toate datele relevante privind operațiunea;
mărci temporale care se bazează pe un sistem temporal de referință unic și care sunt sincronizate în conformitate cu un semnal temporal oficial.
Articolul 30
Obligații generale pentru interfețele de acces
Prestatorii de servicii de plată care oferă servicii de administrare cont și care oferă unui plătitor un cont de plăți accesibil online trebuie să dispună de cel puțin o interfață care îndeplinește fiecare dintre cerințele următoare:
prestatorii de servicii de informare cu privire la conturi, prestatorii de servicii de inițiere a plății și prestatorii de servicii de plată care emit instrumente de plată pe bază de card sunt în măsură să se identifice față de prestatorul de servicii de plată care oferă servicii de administrare cont;
prestatorii de servicii de informare cu privire la conturi sunt în măsură să comunice în condiții de siguranță pentru a solicita și a primi informații cu privire la unul sau mai multe conturi de plată desemnate și la operațiunile de plată aferente;
prestatorii de servicii de inițiere a plății sunt în măsură să comunice în condiții de siguranță pentru a iniția un ordin de plată din contul de plăți al plătitorului și a primi toate informațiile privind inițierea operațiunii de plată și toate informațiile la care au acces prestatorii de servicii de plată care oferă servicii de administrare cont cu privire la executarea operațiunii de plată.
Interfața îndeplinește cel puțin următoarele cerințe:
un prestator de servicii de inițiere a plății sau un prestator de servicii de informare cu privire la conturi trebuie să fie în măsură să ceară prestatorului de servicii de plată care oferă servicii de administrare cont să înceapă autentificarea pe baza consimțământului utilizatorului serviciilor de plată;
sesiunile de comunicare dintre prestatorul de servicii de plată care oferă servicii de administrare cont, prestatorul de servicii de informare cu privire la conturi, prestatorul de servicii de inițiere a plății și orice utilizator al serviciilor de plată în cauză trebuie stabilite și menținute pe întreaga durată a autentificării;
integritatea și confidențialitatea elementelor de securitate personalizate și a codurilor de autentificare transmise de către sau prin intermediul prestatorului de servicii de inițiere a plății sau al prestatorului de servicii de informare cu privire la conturi trebuie garantate.
Prestatorii de servicii de plată care oferă servicii de administrare cont se asigură, de asemenea, că specificațiile tehnice ale oricărei interfețe sunt documentate cu informații care precizează care sunt procesele de rutină, protocoalele și instrumentele de care au nevoie prestatorii de servicii de inițiere a plății, prestatorii de servicii de informare cu privire la conturi și prestatorii de servicii de plată care emit instrumente de plată pe bază de card pentru a permite programelor informatice și aplicațiilor lor să fie interoperabile cu sistemele prestatorilor de servicii de plată care oferă servicii de administrare cont.
Ca o condiție minimă și cel târziu cu șase luni înainte de data aplicării menționată la articolul 38 alineatul (2) sau înainte de data prevăzută pentru lansarea pe piață a interfeței de acces, atunci când lansarea are loc după data menționată la articolul 38 alineatul (2), prestatorii de servicii de plată care oferă servicii de administrare cont pun la dispoziție documentația, în mod gratuit, la cererea prestatorilor de servicii de inițiere a plății autorizați, a prestatorilor de servicii de informare cu privire la conturi autorizați și a prestatorilor de servicii de plată care emit instrumente de plată pe bază de card autorizați sau a prestatorilor de servicii de plată care au depus o cerere la autoritățile lor competente pentru autorizația relevantă și pun rezumatul documentației la dispoziția publicului pe site-ul lor web.
Prestatorii de servicii de plată documentează situațiile de urgență în care au fost operate modificări și pun documentația la dispoziția autorităților competente, la cerere.
Cu toate acestea, nicio informație sensibilă nu este pusă la dispoziție prin platforma de testare.
Articolul 31
Opțiuni privind interfețele de acces
Prestatorii de servicii de plată care oferă servicii de administrare cont instituie interfața menționată (interfețele menționate) la articolul 30 prin intermediul unei interfețe specifice sau acordându-le prestatorilor de servicii de plată menționați la articolul 30 alineatul (1) dreptul de a folosi interfețele utilizate pentru autentificare și pentru comunicarea cu utilizatorii serviciilor de plată ai prestatorului de servicii de plată care oferă servicii de administrare cont.
Articolul 32
Obligații privind interfața specifică
Articolul 33
Măsuri de urgență pentru interfața specifică
În acest scop, prestatorii de servicii de plată care oferă servicii de administrare cont se asigură că prestatorii de servicii de plată menționați la articolul 30 alineatul (1) pot fi identificați și se pot baza pe procedurile de autentificare furnizate de prestatorul de servicii de plată care oferă servicii de administrare cont utilizatorilor serviciilor de plată. În cazul în care utilizează interfața menționată la alineatul (4), prestatorii de servicii de plată menționați la articolul 30 alineatu (1):
iau măsurile necesare pentru a se asigura că nu accesează, stochează sau prelucrează date în alte scopuri decât pentru furnizarea serviciului solicitat de utilizatorul serviciilor de plată;
continuă să respecte obligațiile care decurg din articolul 66 alineatul (3) și din articolul 67 alineatul (2) din Directiva (UE) 2015/2366;
înregistrează datele care sunt accesate prin intermediul interfeței operate de către prestatorul de servicii de plată care oferă servicii de administrare cont utilizatorilor serviciilor sale de plată și furnizează datele înregistrate autorității lor naționale competente, la cerere și fără întârzieri nejustificate;
justifică în mod corespunzător autorității lor naționale competente, la cerere și fără întârzieri nejustificate, utilizarea interfeței puse la dispoziția utilizatorilor serviciilor de plată în scopul accesării directe a contului lor de plăți online;
informează în acest sens prestatorul de servicii de plată care oferă servicii de administrare cont.
Autoritățile competente, după consultarea ABE în vederea asigurării unei aplicări consecvente a următoarelor condiții, scutesc prestatorii de servicii de plată care oferă servicii de administrare cont și care au optat pentru o interfață specifică de obligația de a crea mecanismul de urgență descris la alineatul (4), în cazul în care interfața specifică îndeplinește toate condițiile următoare:
respectă toate obligațiile privind interfețele specifice prevăzute la articolul 32;
a fost proiectată și testată în conformitate cu articolul 30 alineatul (5) într-un mod pe care prestatorul serviciilor de plată menționat la articolul respectiv îl consideră satisfăcător;
a fost utilizată la scară largă timp de cel puțin trei luni de către prestatorii de servicii de plată în vederea furnizării de servicii de informare cu privire la conturi și de servicii de inițiere a plății și în vederea confirmării disponibilității fondurilor pentru plățile pe bază de card;
orice problemă legată de interfața specifică a fost rezolvată fără întârzieri nejustificate.
Articolul 34
Certificate
În sensul prezentului regulament, certificatele calificate pentru sigiliile electronice sau pentru autentificarea site-urilor internet menționate la alineatul (1) includ, într-o limbă utilizată în mod obișnuit în domeniul finanțelor internaționale, atribute specifice suplimentare în legătură cu fiecare dintre următoarele elemente:
rolul prestatorului de servicii de plată, care poate fi unul sau mai multe dintre următoarele:
furnizarea de servicii de administrare cont;
furnizarea de servicii de inițiere a plății;
furnizarea de servicii de informare cu privire la conturi;
emiterea de instrumente de plată pe bază de card;
denumirea autorităților competente la care este înregistrat prestatorul de servicii de plată.
Articolul 35
Securitatea sesiunilor de comunicare
Prestatorii de servicii de informare cu privire la conturi, prestatorii de servicii de inițiere a plății și prestatorii de servicii de plată care emit instrumente de plată pe bază de card împreună cu prestatorul de servicii de plată care oferă servicii de administrare cont indică trimiteri explicite la fiecare dintre următoarele elemente:
utilizatorul sau utilizatorii serviciilor de plată și sesiunile de comunicare corespunzătoare, pentru a face distincția între mai multe cereri din partea aceluiași utilizator (acelorași utilizatori) al (ai) serviciilor de plată;
pentru serviciile de inițiere a plății, operațiunea de plată inițiată identificată în mod unic;
pentru confirmarea disponibilității fondurilor, cererea identificată în mod unic referitoare la suma necesară pentru executarea operațiunii de plată pe bază de card.
În cazul pierderii caracterului confidențial al elementelor de securitate personalizate atunci când se află în sfera lor de competență, prestatorii în cauză informează fără întârziere în acest sens utilizatorul serviciilor de plată aferente acestora și emitentul elementelor de securitate personalizate.
Articolul 36
Schimburi de date
Prestatorii de servicii de plată care oferă servicii de administrare cont respectă fiecare dintre următoarele cerințe:
aceștia furnizează prestatorilor serviciilor de informare cu privire la conturi aceleași informații provenind de la conturile de plată desemnate și de la operațiunile de plată aferente ca și cele puse la dispoziția utilizatorului serviciilor de plată atunci când acesta solicită acces direct la informațiile despre cont, cu condiția ca informațiile respective să nu includă date sensibile privind plățile;
aceștia furnizează prestatorilor de servicii de inițiere a plății, imediat după primirea ordinului de plată, aceleași informații cu privire la inițierea și executarea operațiunii de plată ca și cele furnizate sau puse la dispoziția utilizatorului serviciilor de plată în cazul în care operațiunea este inițiată în mod direct de către acesta din urmă;
aceștia informează imediat, la cerere, prestatorii de servicii de plată, printr-o confirmare într-un format simplu de tipul „da” sau „nu”, dacă suma necesară pentru executarea unei operațiuni de plată este disponibilă în contul de plăți al plătitorului.
În cazul în care prestatorul de servicii de plată care oferă servicii de administrare cont furnizează o interfață specifică în conformitate cu articolul 32, interfața pune la dispoziție mesajele de notificare referitoare la evenimente sau erori neprevăzute care trebuie comunicate de către orice prestator de servicii de plată ce detectează evenimentul sau eroarea celorlalți prestatori de servicii de plată care participă la sesiunea de comunicare.
Prestatorii de servicii de informare cu privire la conturi sunt în măsură să acceseze informații provenind de la conturile de plată desemnate și de la operațiunile de plată aferente deținute de prestatorii de servicii de plată care oferă servicii de administrare cont, pentru executarea serviciului de informare cu privire la conturi, în oricare dintre următoarele circumstanțe:
ori de câte ori utilizatorul serviciilor de plată solicită astfel de informații în mod activ;
în cazul în care utilizatorul serviciilor de plată nu solicită astfel de informații în mod activ, nu mai mult de patru ori într-o perioadă de 24 de ore, cu excepția cazului în care prestatorul de servicii de informare cu privire la conturi și prestatorul de servicii de plată care oferă servicii de administrare cont au convenit asupra unei frecvențe mai ridicate, cu consimțământul utilizatorului serviciilor de plată.
CAPITOLUL VI
DISPOZIȚII FINALE
Articolul 37
Revizuire
Fără a aduce atingere articolului 98 alineatul (5) din Directiva (UE) 2015/2366, ABE revizuiește până la 14 martie 2021 ratele fraudelor menționate în anexa la prezentul regulament, precum și derogările acordate în temeiul articolului 33 alineatul (6) în ceea ce privește interfețele specifice și, dacă este cazul, transmite Comisiei proiectul de actualizare a acestora, în conformitate cu articolul 10 din Regulamentul (UE) nr. 1093/2010.
Articolul 38
Intrare în vigoare
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
ANEXĂ
|
Rata de referință a fraudei (%) pentru: |
|
ETV (valoarea pragului de derogare) |
Plățile electronice la distanță pe bază de card |
Operațiunile electronice la distanță de transfer de credit |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Directiva 2013/36/UE a Parlamentului European și a Consiliului din 26 iunie 2013 cu privire la accesul la activitatea instituțiilor de credit și supravegherea prudențială a instituțiilor de credit și a firmelor de investiții, de modificare a Directivei 2002/87/CE și de abrogare a Directivelor 2006/48/CE și 2006/49/CE (JO L 176, 27.6.2013, p. 338).