5.12.2022   

SL

Uradni list Evropske unije

L 312/1

DELEGIRANA UREDBA KOMISIJE (EU) 2022/2360

z dne 3. avgusta 2022

o spremembi regulativnih tehničnih standardov iz Delegirane uredbe (EU) 2018/389 glede 90-dnevne izjeme za dostop do računa

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o plačilnih storitvah na notranjem trgu, spremembah direktiv 2002/65/ES, 2009/110/ES ter 2013/36/EU in Uredbe (EU) št. 1093/2010 ter razveljavitvi Direktive 2007/64/ES (1) in zlasti člena 98(4), drugi pododstavek, Direktive,

ob upoštevanju naslednjega:

(1)

Člen 10 Delegirane uredbe Komisije (EU) 2018/389 (2) določa izjemo od zahteve iz člena 97 Direktive (EU) 2015/2366 glede uporabe močne avtentikacije strank, kadar uporabnik plačilnih storitev dostopa do stanja na računu in nedavnih transakcij plačilnega računa brez razkritja občutljivih podatkov o plačilih. V tem primeru je ponudnikom plačilnih storitev dovoljeno, da ne uporabljajo močne avtentikacije strank za dostop do informacij o računu, če je bila ob prvem dostopu do informacij o računu in vsaj vsakih 90 dni po tem uporabljena močna avtentikacija strank.

(2)

Uporaba navedene izjeme je povzročila zelo različne prakse pri uporabi Delegirane uredbe (EU) 2018/389, v skladu s katero nekateri ponudniki plačilnih storitev, ki vodijo račune, zahtevajo močno avtentikacijo strank vsakih 90 dni, drugi v krajših časovnih intervalih, nekateri pa niso uporabili izjeme in zahtevajo močno avtentikacijo strank za vsak dostop do računa. Zaradi tega razhajanja je pri storitvah zagotavljanja informacij o računih strankam prišlo do neželenega trenja in negativnega vpliva na storitve ponudnikov storitev zagotavljanja informacij o računih.

(3)

Za zagotovitev ustreznega ravnovesja med cilji Direktive (EU) 2015/2366, ki so povečanje varnosti, spodbujanje inovacij in krepitev konkurence na notranjem trgu, je treba podrobneje določiti uporabo izjeme iz člena 10 Delegirane uredbe (EU) 2018/389 za primere, ko se do informacij o računu dostopa prek ponudnika storitev zagotavljanja informacij o računih. Zato v takem primeru ponudnikom plačilnih storitev ne bi smelo biti dovoljeno, da se odločijo, ali bodo uporabljali močno avtentikacijo strank ali ne, izjema pa bi morala postati obvezna pod pogoji, katerih cilj je zagotoviti, da se spoštujeta varnost in zaščita podatkov uporabnikov plačilnih storitev.

(4)

Izjema bi morala biti omejena na dostop do stanja na računu in nedavnih transakcij plačilnega računa brez razkritja občutljivih podatkov o plačilih. Uporabljati bi se morala le, kadar so ponudniki plačilnih storitev že uporabili močno avtentikacijo strank za prvi dostop prek zadevnega ponudnika storitev zagotavljanja informacij o računih, in bi jo bilo treba redno obnavljati.

(5)

Za zagotovitev varnosti in zaščite podatkov uporabnikov plačilnih storitev bi bilo treba ponudnikom plačilnih storitev omogočiti, da kadar koli uporabijo močno avtentikacijo strank, kadar imajo objektivno utemeljene in ustrezno dokazane razloge, ki se nanašajo na nepooblaščen ali goljufiv dostop. Do tega lahko pride, kadar mehanizmi za spremljanje transakcij ponudnika plačilnih storitev, ki vodi račun, odkrijejo povečano tveganje nepooblaščenega ali goljufivega dostopa. Da bi se izjema dosledno uporabljala, bi morali ponudniki plačilnih storitev, ki vodijo račune, v takih primerih dokumentirati in svojemu pristojnemu nacionalnemu organu na njegovo zahtevo ustrezno utemeljiti razloge za uporabo močne avtentikacije strank.

(6)

Kadar uporabnik plačilnih storitev neposredno dostopa do informacij o računu, bi moralo biti ponudnikom plačilnih storitev še naprej dovoljeno, da se odločijo, ali bodo uporabljali močno avtentikacijo strank. V takih primerih namreč, v nasprotju z dostopom prek ponudnika storitev zagotavljanja informacij o računih, niso bile ugotovljene nobene posebne težave, ki bi zahtevale spremembo izjeme iz člena 10 Delegirane uredbe (EU) 2018/389.

(7)

Za zagotovitev enakih konkurenčnih pogojev za vse ponudnike plačilnih storitev in v skladu s cilji Direktive (EU) 2015/2366 glede omogočanja razvoja uporabnikom prijaznih in inovativnih storitev je sorazmerno, da se za dostop do informacij o računu neposredno s ponudnikom plačilnih storitev, ki vodi račun, in za dostop prek ponudnika storitev zagotavljanja informacij o računih za obnovitev močne avtentikacije strank določi isti 180-dnevni časovni okvir. Obnavljanje močne avtentikacije strank s sedanjo pogostostjo bi lahko povzročilo neželena trenja, kar zadeva izkušnje strank, in ponudnikom storitev zagotavljanja informacij o računih preprečilo, da bi ponujali svoje storitve, uporabnikom pa uporabo teh storitev.

(8)

Od ponudnikov plačilnih storitev, ki vodijo račune in ki ponujajo namenski vmesnik ter so vzpostavili nadomestni mehanizem iz člena 33(4) Delegirane uredbe (EU) 2018/389, se ne bi smelo zahtevati, da v svojih neposrednih vmesnikih za stranke uvedejo novo obvezno izjemo za namene nadomestnega mehanizma, če v svojih neposrednih vmesnikih za stranke ne uporabljajo izjeme iz člena 10 Delegirane uredbe (EU) 2018/389. Nesorazmerno bi bilo od ponudnikov plačilnih storitev, ki vodijo račune in ki ponujajo namenski vmesnik, v katerem morajo izvajati novo obvezno izjemo, zahtevati, da izjemo izvajajo tudi v svojih neposrednih vmesnikih za stranke za namene nadomestnega mehanizma.

(9)

Za zagotovitev, da imajo ponudniki plačilnih storitev na voljo dovolj časa za potrebne spremembe svojih sistemov, bi jim morali ponudniki plačilnih storitev, ki vodijo račune, dati na voljo spremembe, ki so jih uvedli glede tehničnih specifikacij svojih vmesnikov, da bi bili skladni s to uredbo, in sicer najmanj dva meseca pred uvedbo takih sprememb.

(10)

Delegirano uredbo (EU) 2018/389 bi bilo zato treba ustrezno spremeniti.

(11)

Ta uredba temelji na osnutku regulativnih tehničnih standardov, ki ga je Komisiji predložil Evropski bančni organ.

(12)

Evropski bančni organ je opravil javna posvetovanja o osnutku regulativnih tehničnih standardov, na katerem temelji ta uredba, analiziral morebitne povezane stroške in koristi ter zaprosil za mnenje interesno skupino za bančništvo, ustanovljeno v skladu s členom 37 Uredbe (EU) št. 1093/2010 Evropskega parlamenta in Sveta (3).

(13)

V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je uradne pripombe podal 7. junija 2022.

(14)

Da se omogoči nemoten prehod na nove zahteve iz te uredbe, bi bilo treba ponudnikom plačilnih storitev, ki so uporabili izjemo iz člena 10 Delegirane uredbe (EU) 2018/389 pred datumom začetka uporabe te uredbe, dovoliti, da navedeno izjemo še naprej uporabljajo do 90 dni od zadnje uporabe močne avtentikacije strank –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Spremembe Delegirane uredbe (EU) 2018/389

Delegirana uredba (EU) 2018/389 se spremeni:

(1)

člen 10 se nadomesti z naslednjim:

„Člen 10

Dostop do informacij o plačilnem računu neposredno pri ponudniku plačilnih storitev, ki vodi račun

1.   Ponudnikom plačilnih storitev se dovoli, da ne uporabljajo močne avtentikacije strank, če so izpolnjene zahteve iz člena 2, kadar uporabnik plačilnih storitev neposredno dostopa do svojega plačilnega računa prek spleta, pod pogojem, da je dostop omejen na enega od naslednjih podatkov prek spleta brez razkritja občutljivih podatkov o plačilih:

(a)

stanje na enem ali več določenih plačilnih računih;

(b)

plačilne transakcije, izvršene v zadnjih 90 dneh prek enega ali več določenih plačilnih računov.

2.   Z odstopanjem od odstavka 1 ponudniki plačilnih storitev niso izvzeti iz uporabe močne avtentikacije strank, kadar je izpolnjen eden od naslednjih pogojev:

(a)

uporabnik plačilnih storitev do informacij iz odstavka 1 prek spleta dostopa prvič;

(b)

od zadnjega dostopa uporabnika plačilnih storitev do informacij iz odstavka 1 prek spleta in uporabe močne avtentikacije strank je minilo več kot 180 dni.“
;

(2)

vstavi se naslednji člen 10a:

„Člen 10a

Dostop do informacij o plačilnem računu prek ponudnika storitev zagotavljanja informacij o računih

1.   Ponudniki plačilnih storitev ne uporabljajo močne avtentikacije strank, kadar uporabnik plačilnih storitev dostopa do svojega plačilnega računa prek spleta prek ponudnika storitev zagotavljanja informacij o računih, pod pogojem, da je dostop omejen na enega od naslednjih podatkov prek spleta brez razkritja občutljivih podatkov o plačilih:

(a)

stanje na enem ali več določenih plačilnih računih;

(b)

plačilne transakcije, izvršene v zadnjih 90 dneh prek enega ali več določenih plačilnih računov.

2.   Z odstopanjem od odstavka 1 ponudniki plačilnih storitev uporabljajo močno avtentikacijo strank, kadar je izpolnjen eden od naslednjih pogojev:

(a)

uporabnik plačilnih storitev do informacij iz odstavka 1 prek spleta prek ponudnika storitev zagotavljanja informacij o računih dostopa prvič;

(b)

od zadnjega dostopa uporabnika plačilnih storitev do informacij iz odstavka 1 prek spleta prek ponudnika storitev zagotavljanja informacij o računih in uporabe močne avtentikacije strank je minilo več kot 180 dni.

3.   Z odstopanjem od odstavka 1 se ponudnikom plačilnih storitev dovoli uporaba močne avtentikacije strank, kadar uporabnik plačilnih storitev dostopa do svojega plačilnega računa prek spleta prek ponudnika storitev zagotavljanja informacij o računih in kadar ponudnik plačilnih storitev objektivno utemelji in ustrezno dokaže razloge, ki se nanašajo na nepooblaščen ali goljufiv dostop do plačilnega računa. V takem primeru ponudnik plačilnih storitev svojemu pristojnemu nacionalnemu organu na zahtevo dokumentira in ustrezno utemelji razloge za uporabo močne avtentikacije strank.

4.   Ponudnikom plačilnih storitev, ki vodijo račune in ki ponujajo namenski vmesnik iz člena 31, ni treba izvajati izjeme iz odstavka 1 tega člena za namene nadomestnega mehanizma iz člena 33(4), kadar ne uporabljajo izjeme iz člena 10 v neposrednem vmesniku, ki se uporablja za avtentikacijo in komunikacijo z njihovimi uporabniki plačilnih storitev.“

;

(3)

v členu 30 se vstavi naslednji odstavek 4a:

„4a.   Z odstopanjem od odstavka 4 ponudniki plačilnih storitev, ki vodijo račune, ponudnikom plačilnih storitev iz tega člena dajo na voljo spremembe tehničnih specifikacij svojih vmesnikov, da se zagotovi skladnost s členom 10a, in sicer najmanj dva meseca pred uvedbo takih sprememb.“

.

Člen 2

Prehodne določbe

1.   Ponudniki plačilnih storitev, ki so uporabili izjemo iz člena 10 Delegirane uredbe (EU) 2018/389 pred 25. julijem 2023 lahko še naprej uporabljajo navedeno izjemo za zahteve za dostop, prejete prek ponudnika storitev zagotavljanja informacij o računih, do izteka obdobja, ki ga zajema navedena izjema.

2.   Z odstopanjem od odstavka 1 se uporablja člen 10a, kakor je uveden s to uredbo, kadar se za zahtevo za dostop prek ponudnika storitev zagotavljanja informacij o računih uporabi nova močna avtentikacija strank pred iztekom obdobja, za katero velja izjema iz odstavka 1.

Člen 3

Začetek veljavnosti in uporaba

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Uporablja se od 25. julija 2023.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 3. avgusta 2022

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1)  UL L 337, 23.12.2015, str. 35.

(2)  Delegirana uredba Komisije (EU) 2018/389 z dne 27. novembra 2017 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije (UL L 69, 13.3.2018, str. 23).

(3)  Uredba (EU) št. 1093/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski bančni organ) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/78/ES (UL L 331, 15.12.2010, str. 12).