02018R0389 — SL — 12.09.2023 — 002.001
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
DELEGIRANA UREDBA KOMISIJE (EU) 2018/389 z dne 27. novembra 2017 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije (UL L 069 13.3.2018, str. 23) |
spremenjena z:
|
|
Uradni list |
||
št. |
stran |
datum |
||
DELEGIRANA UREDBA KOMISIJE (EU) 2022/2360 z dne 3. avgusta 2022 |
L 312 |
1 |
5.12.2022 |
|
DELEGIRANA UREDBA KOMISIJE (EU) 2023/1650 z dne 15. maja 2023 |
L 208 |
1 |
23.8.2023 |
popravljena z:
DELEGIRANA UREDBA KOMISIJE (EU) 2018/389
z dne 27. novembra 2017
o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije
(Besedilo velja za EGP)
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
Ta uredba določa zahteve, ki jih morajo izpolnjevati ponudniki plačilnih storitev, in sicer za izvajanje varnostnih ukrepov, ki jim omogočajo:
uporabo postopka močne avtentikacije stranke v skladu s členom 97 Direktive (EU) 2015/2366;
izjeme od uporabe varnostnih zahtev po močni avtentikaciji stranke, za katere veljajo določeni in omejeni pogoji na podlagi stopnje tveganja, zneska in ponovitev plačilne transakcije ter plačilnega kanala, ki se uporablja za izvršitev plačilne transakcije;
zaščito zaupnosti in celovitosti osebnih varnostnih elementov uporabnika plačilnih storitev;
vzpostavitev skupnih in varnih odprtih standardov za komuniciranje med ponudniki plačilnih storitev, ki vodijo račune, ponudniki storitev odreditve plačil, ponudniki storitev zagotavljanja informacij o računih, plačniki, prejemniki plačil in drugimi ponudniki plačilnih storitev glede opravljanja in uporabe plačilnih storitev v skladu z naslovom IV Direktive (EU) 2015/2366.
Člen 2
Splošne zahteve glede avtentikacije
Navedeni mehanizmi temeljijo na analizi plačilnih transakcij ob upoštevanju elementov, ki so tipični za uporabnika plačilnih storitev v okoliščinah običajne uporabe osebnih varnostnih elementov.
Ponudniki plačilnih storitev zagotovijo, da mehanizmi za spremljanje transakcij upoštevajo vsaj vse naslednje dejavnike na podlagi tveganja:
seznam zlorabljenih ali ukradenih avtentikacijskih elementov;
znesek vsake plačilne transakcije;
znane scenarije goljufij pri opravljanju plačilnih storitev;
znake okužbe z zlonamerno programsko opremo v kateri koli seji postopka avtentikacije;
kadar napravo ali programsko opremo za dostop zagotovi ponudnik plačilnih storitev, dnevnik uporabe naprave ali programske opreme za dostop, zagotovljene uporabniku plačilnih storitev, ter neobičajne uporabe naprave ali programske opreme za dostop.
Člen 3
Pregled varnostnih ukrepov
Vendar za ponudnike plačilnih storitev, ki uporabljajo izjemo iz člena 18, velja obveznost pregleda metodologije, modela in sporočenih stopenj goljufije vsaj enkrat letno. Revizor, ki opravi to revizijo, ima strokovno znanje s področja informacijsko-tehnološke varnosti in plačil ter je operativno neodvisen znotraj ponudnika plačilnih storitev ali od njega. To revizijo v prvem letu po uporabi izjeme iz člena 18 in vsaj vsaka tri leta po tem ali pogosteje, če to zahteva pristojni organ, opravi neodvisen in kvalificiran zunanji revizor.
Celotno poročilo je na zahtevo na voljo pristojnim organom.
POGLAVJE II
VARNOSTNI UKREPI ZA UPORABO MOČNE AVTENTIKACIJE STRANKE
Člen 4
Šifra za avtentikacijo
Ponudnik plačilnih storitev šifro za avtentikacijo sprejme samo enkrat, ko jo plačnik uporabi za dostop do svojega plačilnega računa prek spleta, odredi elektronsko plačilno transakcijo ali opravi kakršno koli dejavnost prek kanala na daljavo, ki lahko pomeni tveganje plačilne goljufije ali drugih zlorab.
Za namen odstavka 1 ponudnik plačilnih storitev sprejme varnostne ukrepe, pri čemer zagotovi, da so izpolnjene vse naslednje zahteve:
iz razkritja šifre za avtentikacijo ni mogoče izpeljati nobenih informacij o katerem koli elementu iz odstavka 1;
na podlagi poznavanja katere koli druge predhodno ustvarjene šifre za avtentikacijo ni mogoče ustvariti nove šifre za avtentikacijo;
šifre za avtentikacijo ni mogoče ponarediti.
Ponudniki plačilnih storitev zagotovijo, da avtentikacija z ustvarjanjem šifre za avtentikacijo vključuje vse naslednje ukrepe:
kadar pri avtentikaciji za dostop na daljavo, elektronska plačila na daljavo in kakršne koli druge dejavnosti prek kanala na daljavo, ki lahko pomenijo tveganje plačilne goljufije ali drugih zlorab, ni bila ustvarjena šifra za avtentikacijo za namene iz odstavka 1, ni mogoče ugotoviti, kateri od elementov iz navedenega odstavka je bil nepravilen;
število neuspešnih poskusov avtentikacije, do katerih lahko pride zaporedoma, po katerem se dejavnosti iz člena 97(1) Direktive (EU) 2015/2366 začasno ali stalno blokirajo, ne presega petih poskusov v danem obdobju;
komunikacijske seje so zaščitene pred zajemom podatkov za avtentikacijo, posredovanih med avtentikacijo, in pred posegi nepooblaščenih oseb v skladu z zahtevami iz poglavja V;
najdaljši čas neaktivnosti plačnika po avtentikaciji za dostop do plačilnega računa prek spleta ni daljši od petih minut.
Plačnika se opozori, preden blokada postane stalna.
Kadar blokada postane stalna, se vzpostavi varen postopek, ki plačniku omogoča, da ponovno pridobi možnost uporabe blokiranih elektronskih plačilnih instrumentov.
Člen 5
Dinamično povezovanje
Kadar ponudniki plačilnih storitev uporabljajo močno avtentikacijo stranke v skladu s členom 97(2) Direktive (EU) 2015/2366, poleg zahtev iz člena 4 te uredbe sprejmejo tudi varnostne ukrepe, ki izpolnjujejo vse naslednje zahteve:
plačnika se obvesti o znesku plačilne transakcije in o prejemniku plačila;
ustvarjena šifra za avtentikacijo je vezana na znesek plačilne transakcije in prejemnika plačila, ki ju je določil plačnik, ko je odredil transakcijo;
šifra za avtentikacijo, ki jo ponudnik plačilnih storitev sprejme, ustreza izvirnemu določenemu znesku plačilne transakcije in identiteti prejemnika plačila, ki ju je določil plačnik;
vsaka sprememba zneska ali prejemnika plačila pomeni razveljavitev ustvarjene šifre za avtentikacijo.
Ponudniki plačilnih storitev za namene odstavka 1 sprejmejo varnostne ukrepe, ki zagotavljajo zaupnost, avtentičnost in celovitost vseh naslednjih elementov:
zneska transakcije in prejemnika plačila v vseh fazah avtentikacije;
informacij, ki so plačniku prikazane v vseh fazah avtentikacije, vključno z ustvarjanjem, prenosom in uporabo šifre za avtentikacijo.
Za namene odstavka 1(b) in kadar ponudniki plačilnih storitev uporabljajo močno avtentikacijo stranke v skladu s členom 97(2) Direktive (EU) 2015/2366, za šifro za avtentikacijo veljajo naslednje zahteve:
v zvezi s kartičnimi plačilnimi transakcijami, za katere je plačnik dal soglasje za točen znesek sredstev, ki jih je treba blokirati, v skladu s členom 75(1) navedene direktive, je šifra za avtentikacijo vezana na znesek, za katerega je plačnik dal soglasje, da se blokira, in s katerim se je plačnik strinjal, ko je odredil transakcijo;
v zvezi s plačilnimi transakcijami, za katere je plačnik dal soglasje za izvršitev serije elektronskih plačilnih transakcij na daljavo enemu ali več prejemnikom plačil, je šifra za avtentikacijo vezana na skupni znesek serije plačilnih transakcij in na določene prejemnike plačil.
Člen 6
Zahteve za elemente, ki spadajo v kategorijo znanja
Člen 7
Zahteve za elemente, ki spadajo v kategorijo lastništva
Člen 8
Zahteve za naprave in programsko opremo, povezano z elementi, ki spadajo v kategorijo inherence
Člen 9
Neodvisnost elementov
Ukrepi za zmanjševanje tveganj za namene iz odstavka 2 vključujejo vse naslednje:
uporabo ločenega varnega okolja za izvršitev prek programske opreme, nameščene na večnamenski napravi;
mehanizme za zagotavljanje, da plačnik ali tretja oseba ni spremenil programske opreme ali naprave;
kadar je prišlo do sprememb, mehanizme za zmanjševanje njihovih posledic.
POGLAVJE III
IZJEME OD MOČNE AVTENTIKACIJE STRANKE
Člen 10
Dostop do informacij o plačilnem računu neposredno pri ponudniku plačilnih storitev, ki vodi račun
Ponudnikom plačilnih storitev se dovoli, da ne uporabljajo močne avtentikacije strank, če so izpolnjene zahteve iz člena 2, kadar uporabnik plačilnih storitev neposredno dostopa do svojega plačilnega računa prek spleta, pod pogojem, da je dostop omejen na enega od naslednjih podatkov prek spleta brez razkritja občutljivih podatkov o plačilih:
stanje na enem ali več določenih plačilnih računih;
plačilne transakcije, izvršene v zadnjih 90 dneh prek enega ali več določenih plačilnih računov.
Z odstopanjem od odstavka 1 ponudniki plačilnih storitev niso izvzeti iz uporabe močne avtentikacije strank, kadar je izpolnjen eden od naslednjih pogojev:
uporabnik plačilnih storitev do informacij iz odstavka 1 prek spleta dostopa prvič;
od zadnjega dostopa uporabnika plačilnih storitev do informacij iz odstavka 1 prek spleta in uporabe močne avtentikacije strank je minilo več kot 180 dni.
Člen 10a
Dostop do informacij o plačilnem računu prek ponudnika storitev zagotavljanja informacij o računih
Ponudniki plačilnih storitev ne uporabljajo močne avtentikacije strank, kadar uporabnik plačilnih storitev dostopa do svojega plačilnega računa prek spleta prek ponudnika storitev zagotavljanja informacij o računih, pod pogojem, da je dostop omejen na enega od naslednjih podatkov prek spleta brez razkritja občutljivih podatkov o plačilih:
stanje na enem ali več določenih plačilnih računih;
plačilne transakcije, izvršene v zadnjih 90 dneh prek enega ali več določenih plačilnih računov.
Z odstopanjem od odstavka 1 ponudniki plačilnih storitev uporabljajo močno avtentikacijo strank, kadar je izpolnjen eden od naslednjih pogojev:
uporabnik plačilnih storitev do informacij iz odstavka 1 prek spleta prek ponudnika storitev zagotavljanja informacij o računih dostopa prvič;
od zadnjega dostopa uporabnika plačilnih storitev do informacij iz odstavka 1 prek spleta prek ponudnika storitev zagotavljanja informacij o računih in uporabe močne avtentikacije strank je minilo več kot 180 dni.
Člen 11
Brezstična plačila na prodajnih mestih
Ponudnikom plačilnih storitev je dovoljeno, da ne uporabljajo močne avtentikacije stranke, če izpolnjujejo zahteve iz člena 2, kadar plačnik odredi brezstično elektronsko plačilno transakcijo, če so izpolnjeni naslednji pogoji:
posamezen znesek brezstične elektronske plačilne transakcije ne presega 50 EUR in
skupni znesek predhodnih brezstičnih elektronskih plačilnih transakcij, odrejenih s plačilnim instrumentom, ki ima brezstično funkcijo, od datuma zadnje uporabe močne avtentikacije stranke, ne presega 150 EUR ali
število zaporednih brezstičnih elektronskih plačilnih transakcij, odrejenih s plačilnim instrumentom, ki ponuja brezstično funkcijo, od zadnje uporabe močne avtentikacije stranke, ne presega pet.
Člen 12
Samopostrežni terminali za javni prevoz in parkirnine
Ponudnikom plačilnih storitev je dovoljeno, da ne uporabljajo močne avtentikacije stranke, če izpolnjujejo zahteve iz člena 2, kadar plačnik odredi elektronsko plačilno transakcijo na samopostrežnem plačilnem terminalu zaradi plačila vozovnice za javni prevoz ali parkirnine.
Člen 13
Preverjeni prejemniki plačil
Člen 14
Ponavljajoče se transakcije
Člen 15
Kreditna plačila med računi iste fizične ali pravne osebe
Ponudnikom plačilnih storitev je dovoljeno, da ne uporabljajo močne avtentikacije strank, če izpolnjujejo zahteve iz člena 2, kadar plačnik odredi kreditni prenos v primeru, ko sta plačnik in prejemnik plačila ista fizična ali pravna oseba in se oba plačilna računa vodita pri istem ponudniku plačilnih storitev, ki vodi račune.
Člen 16
Transakcije majhnih vrednosti
Ponudnikom plačilnih storitev je dovoljeno, da ne uporabljajo močne avtentikacije strank, kadar plačnik odredi elektronsko plačilno transakcijo na daljavo, pod pogojem da so izpolnjeni naslednji pogoji:
znesek elektronske plačilne transakcije na daljavo ne presega 30 EUR in
skupni znesek predhodnih elektronskih plačilnih transakcij na daljavo, ki jih je plačnik odredil od zadnje uporabe močne avtentikacije stranke, ne presega 100 EUR ali
število predhodnih elektronskih plačilnih transakcij na daljavo, ki jih je plačnik odredil od zadnje uporabe močne avtentikacije stranke, ne presega pet zaporednih posameznih elektronskih plačilnih transakcij na daljavo.
Člen 17
Varni plačilni postopki in protokoli za podjetja
Ponudnikom plačilnih storitev se dovoli, da ne uporabljajo močne avtentikacije stranke pri pravnih osebah, ki elektronske plačilne transakcije odrejajo z uporabo namenskih plačilnih postopkov ali protokolov, ki so na voljo samo plačnikom, ki niso potrošniki, kadar se pristojnim organom zadovoljivo dokaže, da navedeni postopki ali protokoli jamčijo vsaj enakovredno raven varnosti kot tisti, določeni v Direktivi (EU) 2015/2366.
Člen 18
Analiza tveganja transakcije
Za elektronsko plačilno transakcijo iz odstavka 1 se šteje, da predstavlja nizko stopnjo tveganja, kadar so izpolnjeni vsi naslednji pogoji:
stopnja goljufije za to vrsto transakcij, ki jo sporoči ponudnik plačilnih storitev in se izračuna v skladu s členom 19, je enaka ali nižja od referenčne stopnje goljufije iz preglednice v Prilogi za „elektronske kartične transakcije na daljavo“ oziroma „elektronska kreditna plačila na daljavo“;
znesek transakcije ne presega zadevne mejne vrednosti za izjemo, določene v preglednici v Prilogi;
ponudniki plačilnih storitev po opravljeni analizi tveganja v realnem času niso ugotovili ničesar od naslednjega:
neobičajnega vzorca porabe ali vedenja plačnika;
nenavadnih informacij o dostopu do plačnikove naprave/programske opreme;
okužbe z zlonamerno programsko opremo v kateri koli seji postopka avtentikacije;
znanega scenarija goljufije pri opravljanju plačilnih storitev;
neobičajne lokacije plačnika;
visoko tvegane lokacije prejemnika plačila.
Ponudniki plačilnih storitev, ki nameravajo elektronske plačilne transakcije na daljavo izvzeti iz obveznosti močne avtentikacije stranke, ker predstavljajo nizko tveganje, upoštevajo vsaj naslednje dejavnike na podlagi tveganja:
predhodni vzorec porabe posameznega uporabnika plačilnih storitev;
zgodovino plačilnih transakcij vsakega uporabnika plačilnih storitev ponudnika plačilnih storitev;
lokacijo plačnika in prejemnika plačila v trenutku plačilne transakcije, kadar napravo ali programsko opremo za dostop zagotovi ponudnik plačilnih storitev;
identifikacijo neobičajnih plačilnih vzorcev uporabnika plačilnih storitev glede na njegovo zgodovino transakcij.
Ponudnik plačilnih storitev vse navedene dejavnike na podlagi tveganja v svoji oceni združi v oceno tveganja za vsako posamezno transakcijo, da določi, ali se lahko določeno plačilo dovoli brez močne avtentikacije stranke.
Člen 19
Izračun stopenj goljufije
Splošna stopnja goljufije za vsako vrsto transakcije se izračuna kot skupna vrednost neodobrenih ali goljufivih transakcij na daljavo, in sicer ne glede na to, ali so bila sredstva izterjana ali ne, deljena s skupno vrednostjo vseh transakcij na daljavo za enako vrsto transakcij, odobrenih z uporabo močne avtentikacije stranke ali izvršenih na podlagi katere koli od izjem iz členov 13 do 18, na drseči četrtletni osnovi (90 dni).
Člen 20
Prenehanje izjem na podlagi analize tveganja transakcije
Člen 21
Spremljanje
Ponudniki plačilnih storitev za uporabo izjem iz členov 10 do 18 evidentirajo in spremljajo naslednje podatke za vsako vrsto plačilnih transakcij, pri čemer jih razčlenijo na plačilne transakcije na daljavo in plačilne transakcije, ki se ne izvajajo na daljavo, vsaj četrtletno:
skupno vrednost neodobrenih ali goljufivih plačilnih transakcij v skladu s členom 64(2) Direktive (EU) 2015/2366, skupno vrednost vseh plačilnih transakcij in posledično stopnjo goljufije, vključno z razčlenitvijo za plačilne transakcije, odrejene z močno avtentikacijo stranke in v okviru vsake izjeme;
povprečno vrednost transakcije, vključno z razčlenitvijo plačilnih transakcij, odrejenih z močno avtentikacijo stranke in v okviru vsake izjeme;
število plačilnih transakcij, pri katerih so se uporabile izjeme, in njihov delež glede na skupno število plačilnih transakcij.
POGLAVJE IV
ZAUPNOST IN CELOVITOST OSEBNIH VARNOSTNIH ELEMENTOV UPORABNIKA PLAČILNIH STORITEV
Člen 22
Splošne zahteve
Ponudniki plačilnih storitev za namene odstavka 1 zagotovijo, da so izpolnjene vse naslednje zahteve:
osebni varnostni elementi so med prikazom zakriti in niso v celoti berljivi, ko jih uporabnik plačilnih storitev vnese med avtentikacijo;
osebni varnostni elementi v podatkovni obliki ter kriptografski material, povezan s šifriranjem osebnih varnostnih elementov, niso shranjeni v nešifriranem besedilu;
zaupni kriptografski material je zaščiten pred nedovoljenim razkritjem.
Člen 23
Ustvarjanje in prenos varnostnih elementov
Ponudniki plačilnih storitev zagotovijo, da ustvarjanje osebnih varnostnih elementov poteka v varnem okolju.
Ponudniki plačilnih storitev zmanjšajo tveganje nedovoljene uporabe osebnih varnostnih elementov ter naprav in programske opreme za avtentikacijo po njihovi izgubi, kraji ali kopiranju pred dostavo plačniku.
Člen 24
Povezava z uporabnikom plačilnih storitev
Ponudniki plačilnih storitev za namene odstavka 1 zagotovijo, da so izpolnjene vse naslednje zahteve:
povezava identitete uporabnika plačilnih storitev z osebnimi varnostnimi elementi, napravami in programsko opremo za avtentikacijo se opravi v varnih okoljih, za katera je odgovoren ponudnik plačilnih storitev in ki vključujejo vsaj prostore ponudnika plačilnih storitev, spletno okolje, ki ga zagotavlja ponudnik plačilnih storitev, ali druga podobna varna spletna mesta, ki jih uporablja ponudnik plačilnih storitev, ter njegove bankomate, in ob upoštevanju tveganj, povezanih z napravami in temeljnimi komponentami, uporabljenimi med postopkom povezovanja, za katere ni odgovoren ponudnik plačilnih storitev;
povezava identitete uporabnika plačilnih storitev z osebnimi varnostnimi elementi ter napravami ali programsko opremo za avtentikacijo prek kanala na daljavo se opravi z uporabo močne avtentikacije stranke.
Člen 25
Dostava varnostnih elementov ter naprav in programske opreme za avtentikacijo
Ponudniki plačilnih storitev za namene odstavka 1 uvedejo vsaj vse naslednje ukrepe:
učinkovite in varne mehanizme dostave, ki zagotavljajo, da se osebni varnostni elementi ter naprave in programska oprema za avtentikacijo dostavijo legitimnemu uporabniku plačilnih storitev;
mehanizme, ki ponudniku plačilnih storitev omogočajo, da preveri avtentičnost programske opreme za avtentikacijo, ki se je uporabniku plačilnih storitev dostavila prek spleta;
ureditve, ki zagotavljajo, da v primerih, kadar se dostava osebnih varnostnih elementov izvede zunaj prostorov ponudnika plačilnih storitev ali prek kanala na daljavo:
nepooblaščena oseba ne more pridobiti več kot en element osebnih varnostnih elementov, naprav ali programske opreme za avtentikacijo, kadar se ti dostavijo prek istega kanala;
dostavljeni osebni varnostni elementi, naprave ali programska oprema za avtentikacijo pred uporabo zahtevajo aktivacijo;
ureditve, ki zagotavljajo, da v primerih, ko je treba osebne varnostne elemente, naprave ali programsko opremo za avtentikacijo pred prvo uporabo aktivirati, aktivacija poteka v varnem okolju v skladu s postopki povezave iz člena 24.
Člen 26
Obnovitev osebnih varnostnih elementov
Ponudniki plačilnih storitev zagotovijo, da se pri obnovitvi ali ponovni aktivaciji osebnih varnostnih elementov upoštevajo postopki za ustvarjenje, povezavo in dostavo osebnih varnostnih elementov ter naprav za avtentikacijo v skladu s členi 23, 24 in 25.
Člen 27
Uničenje, deaktivacija in preklic
Ponudniki plačilnih storitev zagotovijo, da imajo vzpostavljene učinkovite postopke za uporabo vseh naslednjih varnostnih ukrepov:
varno uničenje, deaktivacijo ali preklic osebnih varnostnih elementov, naprav in programske opreme za avtentikacijo;
kadar ponudnik plačilnih storitev razširja naprave in programsko opremo za avtentikacijo, ki jih je mogoče ponovno uporabiti, se zagotovi, dokumentira in izvede varna ponovna uporaba naprave ali programske opreme, preden se da na voljo drugemu uporabniku plačilnih storitev;
deaktivacijo ali preklic informacij, povezanih z osebnimi varnostnimi elementi, ki so shranjene v sistemih in podatkovnih zbirkah ponudnika plačilnih storitev ter, kadar je primerno, javnih registrih.
POGLAVJE V
SKUPNI IN VARNI ODPRTI STANDARDI KOMUNIKACIJE
Člen 28
Zahteve za identifikacijo
Člen 29
Sledljivost
Ponudniki plačilnih storitev za namen odstavka 1 zagotovijo, da vsaka komunikacijska seja z uporabnikom plačilnih storitev, drugimi ponudniki plačilnih storitev in drugimi subjekti, vključno s trgovci, temelji na vseh naslednjih elementih:
edinstvenem identifikatorju seje;
varnostnih mehanizmih za natančno beleženje transakcije, vključno s številko transakcije, časovnimi žigi in vsemi relevantnimi podatki o transakciji;
časovnih žigih, ki temeljijo na enotnem časovnem referenčnem sistemu in ki so sinhronizirani v skladu z uradnim časovnim signalom.
Člen 30
Splošne obveznosti za vmesnike za dostop
Ponudniki plačilnih storitev, ki vodijo račune, ki plačniku ponujajo plačilni račun, ki je dostopen prek spleta, imajo vzpostavljen vsaj en vmesnik, ki izpolnjuje vse naslednje zahteve:
ponudniki storitev zagotavljanja informacij o računih, ponudniki storitev odreditve plačil in ponudniki plačilnih storitev, ki izdajajo kartične plačilne instrumente, se lahko identificirajo pri ponudniku plačilnih storitev, ki vodi račune;
ponudniki storitev zagotavljanja informacij o računih lahko varno komunicirajo, da zahtevajo in prejmejo informacije o enem ali več določenih plačilnih računih in povezanih plačilnih transakcijah;
ponudniki storitev odreditve plačil lahko varno komunicirajo, da odredijo plačilni nalog s plačnikovega plačilnega računa in prejmejo vse informacije o odreditvi plačilne transakcije ter vse informacije o izvršitvi plačilne transakcije, dostopne ponudnikom plačilnih storitev, ki vodijo račune.
Vmesniki izpolnjujejo vsaj vse naslednje zahteve:
ponudnik storitev odreditve plačil ali ponudnik storitev zagotavljanja informacij o računih lahko ponudniku plačilnih storitev, ki vodi račune, na podlagi soglasja uporabnika plačilnih storitev naroči, naj začne avtentikacijo;
komunikacijska seja med ponudnikom plačilnih storitev, ki vodi račune, ponudnikom storitev zagotavljanja informacij o računih, ponudnikom storitev odreditve plačil in katerim koli zadevnim uporabnikom plačilnih storitev se vzpostavi in ohrani med celotno avtentikacijo;
zagotovi se celovitost in zaupnost osebnih varnostnih elementov in šifer za avtentikacijo, ki jih prenese ponudnik storitev odreditve plačil ali ponudnik storitev zagotavljanja informacij o računih ali ki se prenesejo preko njiju.
Ponudniki plačilnih storitev, ki vodijo račune, zagotovijo tudi, da so tehnične specifikacije vseh vmesnikov dokumentirane, pri čemer navedejo sklope rutin, protokolov in orodij, ki jih ponudniki storitev odreditve plačil, ponudniki storitev zagotavljanja informacij o računih in ponudniki plačilnih storitev, ki izdajajo kartične plačilne instrumente, potrebujejo, da zagotovijo interoperabilnost svoje programske opreme in aplikacij s sistemi ponudnikov plačilnih storitev, ki vodijo račune.
Ponudniki plačilnih storitev, ki vodijo račune, dajo na zahtevo ponudnikov storitev odreditve plačil, ponudnikov storitev zagotavljanja informacij o računih in ponudnikov plačilnih storitev, ki izdajajo kartične plačilne instrumente, ki imajo dovoljenje, ali ponudnikov plačilnih storitev, ki so pri svojih pristojnih organih zaprosili za ustrezno dovoljenje, brezplačno na voljo dokumentacijo in na svojem spletnem mestu objavijo povzetek dokumentacije vsaj in ne manj kot šest mesecev pred začetkom datuma uporabe iz člena 38(2) ali pred ciljnim datumom za začetek uporabe vmesnika za dostop na trgu, kadar do začetka uporabe pride po datumu iz člena 38(2).
Ponudniki plačilnih storitev dokumentirajo izredne razmere, v katerih so bile izvedene spremembe, in dokumentacijo na zahtevo dajo na voljo pristojnim organom.
Prek testne platforme se ne izmenjujejo občutljive informacije.
Člen 31
Možnosti dostopa do vmesnika
Ponudniki plačilnih storitev, ki vodijo račune, vzpostavijo vmesnik ali vmesnike iz člena 30 prek namenskega vmesnika ali tako, da ponudnikom plačilnih storitev iz člena 30(1) dovolijo uporabo vmesnikov, ki se uporabljajo za avtentikacijo in komunikacijo z uporabniki plačilnih storitev ponudnika plačilnih storitev, ki vodi račune.
Člen 32
Zahteve za namenski vmesnik
Člen 33
Ukrepi za namenski vmesnik ob nepredvidljivih dogodkih
Ponudniki plačilnih storitev, ki vodijo račune, v ta namen zagotovijo, da je ponudnike plačilnih storitev iz člena 30(1) mogoče identificirati in da lahko uporabljajo postopke avtentikacije, ki jih je uporabniku plačilnih storitev zagotovil ponudnik plačilnih storitev, ki vodi račun. Kadar ponudniki plačilnih storitev iz člena 30(1) uporabljajo vmesnik iz odstavka 4:
sprejmejo potrebne ukrepe za zagotovitev, da ne dostopajo do podatkov, jih shranjujejo in obdelujejo v druge namene kot za opravljanje storitev, za katere je zaprosil uporabnik plačilnih storitev;
še naprej izpolnjujejo obveznosti iz člena 66(3) oziroma člena 67(2) Direktive (EU) 2015/2366;
beležijo podatke, do katerih se dostopa prek vmesnika, ki ga za svoje uporabnike plačilnih storitev upravlja ponudnik plačilnih storitev, ki vodi račune, in na zahtevo ter brez nepotrebnega odlašanja dnevniške datoteke predložijo nacionalnemu pristojnemu organu;
svojemu nacionalnemu pristojnemu organu na zahtevo in brez nepotrebnega odlašanja ustrezno utemeljijo uporabo vmesnika, ki je uporabnikom plačilnih storitev na voljo za neposreden dostop do njihovih plačilnih računov prek spleta;
ustrezno obvestijo ponudnika plačilnih storitev, ki vodi račune.
Pristojni organi po posvetovanju z EBA za zagotavljanje dosledne uporabe naslednjih pogojev iz obveznosti vzpostavitve nadomestnega mehanizma iz odstavka 4 izvzamejo ponudnike plačilnih storitev, ki vodijo račune in ki so se odločili za namenski vmesnik, kadar namenski vmesnik izpolnjuje vse naslednje pogoje:
skladen je z vsemi zahtevami za namenske vmesnike iz člena 32;
zasnovan in testiran je bil v skladu s členom 30(5), njegovo ustreznost pa so potrdili ponudniki plačilnih storitev iz navedenega člena;
ponudniki plačilnih storitev so ga vsaj tri mesece redno uporabljali za ponujanje storitev zagotavljanja informacij o računih, storitev odreditve plačil in potrjevanje razpoložljivosti sredstev za kartična plačila;
vse težave, povezane z namenskim vmesnikom, so bile rešene brez nepotrebnega odlašanja.
Člen 34
Potrdila
Za namene te uredbe kvalificirana potrdila za elektronske žige ali za avtentikacijo spletišč iz odstavka 1 vključujejo, in sicer v jeziku, ki se običajno uporablja na področju mednarodnih financ, dodatne posebne značilnosti glede vsega naslednjega:
vloge ponudnika plačilnih storitev, ki lahko ima eno ali več od naslednjih vlog:
vodenje računov;
odrejanje plačil;
zagotavljanje informacij o plačilnih računih;
izdajanje kartičnih plačilnih instrumentov;
naziv pristojnih organov, pri katerih je ponudnik plačilnih storitev registriran.
Člen 35
Varnost komunikacijske seje
Ponudniki storitev zagotavljanja informacij o računih, ponudniki storitev odreditve plačil in ponudniki plačilnih storitev, ki izdajajo kartične plačilne instrumente, s ponudniki plačilnih storitev, ki vodijo račune, vsebujejo nedvoumne sklice na vse naslednje elemente:
uporabnika ali uporabnike plačilnih storitev in ustrezno komunikacijsko sejo, da se razlikuje med več zahtevami istega uporabnika ali uporabnikov plačilnih storitev;
za storitve odreditve plačil enolično identificirano odrejeno plačilno transakcijo;
za potrditev razpoložljivosti sredstev enolično identificirano zahtevo, povezano z zneskom, potrebnim za izvršitev kartične plačilne transakcije.
V primeru izgube zaupnosti osebnih varnostnih elementov v njihovi pristojnosti navedeni ponudniki brez nepotrebnega odlašanja obvestijo uporabnika plačilnih storitev, ki je povezan z njimi, ter izdajatelja osebnih varnostnih elementov.
Člen 36
Izmenjava podatkov
Ponudniki plačilnih storitev, ki vodijo račune, izpolnjujejo vse naslednje zahteve:
ponudnikom storitev zagotavljanja informacij o računih zagotovijo iste informacije o določenih plačilnih računih in povezanih plačilnih transakcijah, ki so na voljo uporabniku plačilnih storitev, kadar zahteva neposreden dostop do informacij o računu, pod pogojem, da te informacije ne vključujejo občutljivih podatkov o plačilih;
takoj po prejemu plačilnega naloga ponudniku storitev odreditve plačil zagotovijo iste informacije o odreditvi in izvršitvi plačilne transakcije, ki se zagotovijo ali dajo na voljo uporabniku plačilnih storitev, kadar transakcijo odredi neposredno uporabnik plačilnih transakcij;
na zahtevo ponudnikom plačilnih storitev v obliki preprostega „da“ ali „ne“ takoj sporočijo, ali je znesek, potreben za izvršitev plačilne transakcije, na voljo na plačilnem računu plačnika.
Kadar ponudnik plačilnih storitev, ki vodi račun, zagotavlja namenski vmesnik v skladu s členom 32, ta vmesnik omogoča, da vsak ponudnik plačilnih storitev, ki zazna nepričakovan dogodek ali napako, drugim ponudnikom plačilnih storitev, ki sodelujejo v komunikacijski seji, pošlje obvestilo o nepričakovanem dogodku ali napaki.
Ponudniki storitev zagotavljanja informacij o računih imajo dostop do informacij o določenih plačilnih računih in povezanih plačilnih transakcijah, ki jih vodijo ponudniki plačilnih storitev, ki vodijo račune, za opravljanje storitve zagotavljanja informacij o računih v naslednjih okoliščinah:
kadar uporabnik plačilnih storitev aktivno zahteva take informacije;
kadar uporabnik plačilnih storitev ne zahteva takih informacij aktivno, ne več kot štirikrat v 24-urnem obdobju, razen če se ponudnik storitev zagotavljanja informacij o računih in ponudnik plačilnih storitev, ki vodi račun, ne dogovorita drugače, in sicer s soglasjem uporabnika plačilnih storitev.
POGLAVJE VI
KONČNE DOLOČBE
Člen 37
Pregled
Brez poseganja v člen 98(5) Direktive (EU) 2015/2366 EBA do 14. marca 2021 pregleda stopnje goljufije iz Priloge k tej uredbi ter izjeme, odobrene na podlagi člena 33(6), v zvezi z namenskimi vmesniki in, kadar je primerno, Komisiji predloži osnutke njihovih posodobitev v skladu s členom 10 Uredbe (EU) št. 1093/2010.
Člen 38
Začetek veljavnosti
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
PRILOGA
|
Referenčna stopnja goljufije (v %) za: |
|
Mejna vrednost za izjemo |
Elektronske kartične transakcije na daljavo |
Elektronska kreditna plačila na daljavo |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Direktiva 2013/36/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o dostopu do dejavnosti kreditnih institucij in bonitetnem nadzoru kreditnih institucij in investicijskih podjetij, spremembi Direktive 2002/87/ES in razveljavitvi direktiv 2006/48/ES in 2006/49/ES (UL L 176, 27.6.2013, str. 338).