(1)

Sedan Europaparlamentets och rådets direktiv (EU) 2015/2366 (3) antogs har marknaden för massbetalningstjänster genomgått betydande förändringar till följd av främst ökad användning av kort och andra digitala betalningsmedel, minskad användning av kontanter och ett växande antal nya aktörer och tjänster, däribland digitala plånböcker och kontaktlösa betalningar. Covid-19-pandemin och de förändringar av konsumtions- och betalningspraxis som den förde med sig har gjort det ännu viktigare att säkerställa att digitala betalningar är säkra och effektiva.

(2)

I kommissionens meddelande om en EU-strategi för massbetalningar (4) aviserades en omfattande översyn av tillämpningen och effekterna av direktiv (EU) 2015/2366, ”däribland en övergripande bedömning av huruvida direktivet fortfarande är ändamålsenligt, med hänsyn till marknadsutvecklingen”.

(3)

Syftet med direktiv (EU) 2015/2366 var att få bort hinder för nya typer av betaltjänster samt att stärka konsumentskydd och konsumentsäkerhet. I kommissionens utvärdering av effekterna och tillämpningen av direktiv (EU) 2015/2366 konstaterades att direktivet i fråga om många av sina mål har varit framgångsrikt, men att det fanns vissa områden där direktivets mål inte har uppnåtts fullt ut. I utvärderingen identifierades till exempel ökningen av nya typer av bedrägerier som oroande när det gäller konsumentskyddsmålen. Brister har även konstaterats när det gäller målet att förbättra konkurrensen på marknaden med hjälp av så kallade öppna banktjänster (kontoinformationstjänster och betalningsinitieringstjänster) genom att minska de marknadshinder som tredjepartsleverantörer ställs inför. Framstegen mot målet att förbättra tillhandahållandet av gränsöverskridande betaltjänster har även varit begränsade, främst på grund av skillnader i tillsynspraxis och efterlevnadskontroll inom unionen. I utvärderingen identifierades även faktorer som bromsar framstegen mot målet att skapa lika spelregler för alla betaltjänstleverantörer.

(4)

I utvärderingen identifierades även problem som beror på att direktiv (EU) 2015/2366 genomförs och tillämpas på olika sätt, vilket har en direkt inverkan på konkurrensen mellan betaltjänstleverantörer eftersom det skapar olika rättsliga villkor i olika medlemsstater och därmed uppmuntrar regelarbitrage. Det bör inte finnas något utrymme för ”forumshopping”, dvs. att betaltjänstleverantörer som ”hemland” väljer medlemsstater med en för dem mer fördelaktig tillämpning av unionens regler om betaltjänster, samtidigt som de tillhandahåller gränsöverskridande tjänster i andra medlemsstater som tillämpar en striktare tolkning av reglerna eller har en mer aktiv efterlevnadskontroll gentemot betaltjänstleverantörer som är etablerade där. Sådana metoder snedvrider konkurrensen. Unionens regler om betaltjänster bör därför harmoniseras ytterligare genom att reglerna för bedrivande av betaltjänstverksamhet, inbegripet berörda parters rättigheter och skyldigheter, samlas i en förordning. Dessa regler bör, med undantag för reglerna om auktorisation och tillsyn av betalningsinstitut som även fortsättningsvis bör ingå i ett direktiv, förtydligas och preciseras så att tolkningsutrymmet minimeras.

(5)

Även om utgivning av elektroniska pengar regleras av Europaparlamentets och rådets direktiv 2009/110/EG (5) regleras användningen av elektroniska pengar för att finansiera betalningstransaktioner i mycket stor utsträckning av direktiv (EU) 2015/2366. Den rättsliga ramen för institut för elektroniska pengar och betalningsinstitut, särskilt reglerna om god affärssed, har därför i väsentlig grad redan anpassats. För att hantera problemen med extern samstämmighet och med tanke på att det blir allt svårare att skilja mellan e-penningtjänster och betaltjänster bör de rättsliga ramarna för institut för elektroniska pengar och betalningsinstitut sammanjämkas ytterligare. När det gäller licenskrav, särskilt kraven på startkapital och kapitalbas, och vissa grundläggande begrepp inom e-penningverksamhet, såsom utgivning, distribution och inlösen av elektroniska pengar, finns det dock skillnader jämfört med de tjänster som tillhandahålls av betalningsinstitut. Dessa särdrag bör även fortsättningsvis beaktas när bestämmelserna i direktiv (EU) 2015/2366 och direktiv 2009/110/EG slås ihop. Eftersom direktiv 2009/110/EG upphävs genom direktiv (EU) XXXX [PSD3] bör dess bestämmelser, med undantag för bestämmelserna om auktorisation och tillsyn, som har införlivats i direktiv (EU) XXX [PSD3], med lämpliga anpassningar samlas i ett enda regelverk genom denna förordning.

(6)

För att säkerställa rättssäkerhet och förtydliga tillämpningsområdet för reglerna för utövande av verksamhet som består i att tillhandahålla betaltjänster och e-penningtjänster är det nödvändigt att specificera vilka kategorier av betaltjänstleverantörer som omfattas av de skyldigheter som gäller vid utövande av verksamhet som består i att tillhandahålla betaltjänster och e-penningtjänster inom unionen.

(7)

Det finns flera kategorier av betaltjänstleverantörer. Kreditinstitut tar emot insättningar från användare som kan användas för att genomföra betalningstransaktioner. De auktoriseras i enlighet med Europaparlamentets och rådets direktiv 2013/36/EU (6). Betalningsinstitut tar inte emot insättningar. De kan hålla användares medel och ge ut elektroniska pengar som kan användas för att genomföra betalningstransaktioner. De auktoriseras i enlighet med direktiv (EU) XXX [PSD3]. Postgiroinstitut kan även tillhandahålla elektroniska pengar och betaltjänster om de har rätt till detta enligt nationell lagstiftning. Andra kategorier av betaltjänstleverantörer är Europeiska centralbanken (ECB) och nationella centralbanker när de inte agerar i egenskap av monetär myndighet eller andra offentliga myndigheter, och medlemsstater eller deras regionala eller lokala myndigheter när de inte agerar i egenskap av offentliga myndigheter.

(8)

Den tjänst som möjliggör kontantuttag från ett betalkonto bör skiljas från förvaltningen av ett betalkonto, eftersom leverantörer av kontantuttagstjänster inte nödvändigtvis även förvaltar betalkonton. Utgivning av betalningsinstrument och inlösen av betalningstransaktioner, vilka förtecknas tillsammans i punkt 5 i bilagan till direktiv (EU) 2015/2366 som om den ena tjänsten inte kan erbjudas utan den andra, bör presenteras som två olika betaltjänster. Om utgivnings- och inlösentjänster förtecknas var för sig bör detta, i kombination med tydliga definitioner av varje tjänst, klargöra att betaltjänstleverantörer kan erbjuda utgivnings- och inlösentjänster var för sig.

(9)

Det har visat sig vara svårt i praktiken att undanta vissa kategorier av operatörer av uttagsautomater från tillämpningsområdet för direktiv (EU) 2015/2366. Därför bör den kategori av operatörer av uttagsautomater som undantas från kravet på auktorisation som betaltjänstleverantör enligt direktiv (EU) 2015/2366 ersättas med en ny kategori av operatörer av uttagsautomater som inte förvaltar betalkonton. Även om dessa operatörer inte omfattas av auktorisationskraven enligt direktiv (EU) XXX [PSD3] bör de dock omfattas av krav på avgiftstransparens i situationer där sådana operatörer av uttagsautomater tar ut avgifter för kontantuttag.

(10)

För att ytterligare förbättra tillgången till kontanter, vilket är en prioritering för kommissionen, bör handlare tillåtas att i fysiska butiker erbjuda kontanttjänster även om kunden inte gör något köp och utan att behöva erhålla auktorisation som betaltjänstleverantör eller vara ombud för ett betalningsinstitut. Dessa kontanttjänster bör dock omfattas av skyldigheten att upplysa kunden om eventuella avgifter. Dessa tjänster bör tillhandahållas av detaljhandlarna på frivillig basis och bör vara beroende av detaljhandlarens tillgång till kontanter.

(11)

Undantaget från tillämpningsområdet för direktiv (EU) 2015/2366 för betalningstransaktioner från betalare till betalningsmottagare via en handelsagent som agerar på betalarens eller betalningsmottagarens vägnar har tillämpats på mycket olika sätt i medlemsstaterna. Begreppet handelsagent definieras i regel i nationell civilrätt, som kan skilja sig åt mellan medlemsstaterna och därmed leda till att samma tjänster behandlas olika i olika jurisdiktioner. När det gäller detta undantag bör begreppet handelsagent därför harmoniseras och förtydligas genom en hänvisning till definitionen av handelsagent i rådets direktiv 86/653/EEG (7). Det bör vidare klargöras på vilka villkor betalningstransaktioner från betalare till betalningsmottagare via handelsagenter får undantas från denna förordnings tillämpningsområde. Detta uppnås genom ett krav på att agenter genom ett avtal med antingen betalaren eller betalningsmottagaren bör vara auktoriserade att förhandla om, eller genomföra, försäljning eller köp av varor eller tjänster på endast betalarens eller endast betalningsmottagarens vägnar, men inte på bådas vägnar, oavsett om handelsagenten är i besittning av kundens medel. Elektroniska handelsplattformar som agerar som handelsagenter på både enskilda köpares och säljares vägnar utan att köpare eller säljare har något verkligt utrymme att förhandla om, eller slutföra, försäljning eller köp av varor eller tjänster bör inte undantas från denna förordnings tillämpningsområde. Europeiska bankmyndigheten (EBA) bör utarbeta riktlinjer om undantaget för betalningstransaktioner från betalare till betalningsmottagare genom en handelsagent för att skapa ytterligare klarhet och konvergens för behöriga myndigheter. Dessa riktlinjer kan omfatta ett register över användningsfall som normalt omfattas av undantaget för handelsagenter.

(12)

Undantaget från tillämpningsområdet för direktiv (EU) 2015/2366 för särskilda förskottsbetalda betalningsinstrument har tillämpats på olika sätt i medlemsstaterna, även om tjänsteleverantörer vars instrument omfattats av undantaget varit skyldiga att anmäla sin verksamhet till behöriga myndigheter. EBA gav ytterligare vägledning i sina riktlinjer av den 24 februari 2022 om undantaget för begränsade nätverk enligt andra betaltjänstdirektivet (8). Trots dessa försök att klargöra tillämpningen av undantaget för särskilda förskottsbetalda betalningsinstrument finns det fortfarande tjänsteleverantörer, vars tjänster omfattar betydande betalningsvolymer och som erbjuder många olika produkter till ett stort antal kunder, vilka försöker utnyttja detta undantag. I dessa fall omfattas konsumenterna inte av nödvändiga skyddsåtgärder och tjänsterna bör inte omfattas av undantaget för särskilda förskottsbetalda betalningsinstrument. Det är därför nödvändigt att klargöra att det inte bör vara möjligt att använda samma särskilda förskottsbetalda betalningsinstrument för att göra betalningstransaktioner i syfte att förvärva varor och tjänster inom mer än ett begränsat nätverk eller för att förvärva ett obegränsat utbud av varor och tjänster.

(13)

Vid bedömningen av om ett begränsat nätverk bör undantas från tillämpningsområdet bör hänsyn tas till antalet försäljningsställen där nätverkets betalningsinstrument accepteras och deras geografiska läge. Särskilda förskottsbetalda betalningsinstrument bör göra det möjligt för innehavaren att förvärva varor eller tjänster endast i utgivarens fysiska lokaler, medan användning i en nätbutiksmiljö inte bör omfattas av begreppet utgivarens lokaler. Särskilda förskottsbetalda betalningsinstrument (vouchrar) bör, beroende på respektive avtalssystem, omfatta kort som endast kan användas i en viss butikskedja eller ett visst köpcentrum, bränslekort, medlemskort, kollektivtrafikkort, parkeringsbiljetter, rabattkuponger för måltider eller kuponger för särskilda tjänster som kan omfattas av särskild beskattning eller en arbetsrättslig ram som är avsedd att främja användningen av sådana instrument för att uppnå målen i social lagstiftning, såsom kuponger för barnomsorg eller miljökuponger. Samtidigt bör medlemsstaternas lagstiftning om vouchrar säkerställa att sådana vouchrar godtas.

(14)

Undantaget för vissa betalningstransaktioner som genomförs med hjälp av telekom- eller it-enheter bör särskilt inriktas på mikrobetalningar för digitalt innehåll och röstbaserade tjänster. En tydlig hänvisning till betalningstransaktioner för köp av elektroniska biljetter bör behållas så att kunder fortfarande på ett enkelt sätt kan beställa, betala för, erhålla och godkänna elektroniska biljetter med mobiltelefoner eller andra enheter när som helst och oavsett var de befinner sig. Elektroniska biljetter möjliggör och underlättar tillhandahållandet av tjänster som konsumenter annars skulle kunna köpa i form av pappersbiljetter och omfattar transporter, nöjen, bilparkering och inträde till lokaler men inte fysiska varor. Även betalningstransaktioner av en angiven leverantör av elektroniska kommunikationsnät som genomförs från eller via en elektronisk enhet och som debiteras i därmed förbunden faktura i syfte att samla in bidrag till välgörenhet bör undantas. Undantaget bör endast gälla om betalningstransaktionerna understiger ett angivet tröskelvärde.

(15)

Det gemensamma eurobetalningsområdet (Sepa) har underlättat inrättandet i hela unionen av betalnings- och insamlingsfabriker som gör det möjligt för koncerner att centralisera sina betalningstransaktioner. I detta sammanhang bör betalningstransaktioner mellan ett moderföretag och dess dotterföretag, eller mellan ett moderföretags dotterföretag, som tillhandahålls av en betaltjänstleverantör som tillhör samma koncern undantas från tillämpningsområdet för denna förordning. Om ett moderföretag eller dess dotterföretag samlar in betalningsorder och mottar medel för en koncerns räkning för att vidarebefordra dem till en annan betaltjänstleverantör bör detta inte betraktas som en betaltjänst.

(16)

Det krävs tekniska tjänster för att tillhandahålla betaltjänster. Det handlar om bland annat behandling och lagring av uppgifter, betalningsportar, tillits- och integritetsskyddstjänster, autentisering av uppgifter och enheter, it- och kommunikationsnät samt tillhandahållande och underhåll av konsumentgränssnitt som används för att samla in betalningsinformation, inbegripet terminaler och enheter som används för betaltjänster. Betalningsinitieringstjänster och kontoinformationstjänster räknas inte som tekniska tjänster.

(17)

Tekniska tjänster utgör inte betaltjänster eftersom leverantörer av tekniska tjänster inte vid någon tidpunkt kommer i besittning av de medel som överförs. De bör därför undantas från definitionen av betaltjänster. Dessa tjänster bör dock omfattas av vissa krav, såsom krav på ansvar för underlåtenhet att möjliggöra stark kundautentisering▌.

(18)

Med tanke på massbetalningsmarknadens snabba utveckling och framväxten av nya betaltjänster och betalningslösningar bör vissa av definitionerna i direktiv (EU) 2015/2366 anpassas till förhållandena på marknaden för att säkerställa att unionslagstiftningen förblir ändamålsenlig och teknikneutral.

(19)

Ett förtydligande av processen och de olika åtgärder som måste vidtas vid genomförandet av en betalningstransaktion är av stor betydelse för rättigheterna och skyldigheterna för de parter som deltar i en betalningstransaktion och för tillämpningen av stark kundautentisering. Den process som leder till genomförandet av en betalningstransaktion initieras antingen av betalaren, eller för dennes räkning, eller av betalningsmottagaren. Betalaren initierar betalningstransaktionen genom att lägga en betalningsorder. När betalningsordern har lagts kontrollerar betaltjänstleverantören om transaktionen har auktoriserats och autentiserats, inbegripet, i tillämpliga fall, genom att tillämpa stark kundautentisering, och betaltjänstleverantören godkänner sedan betalningsordern. Betaltjänstleverantören vidtar därefter relevanta åtgärder för att genomföra betalningstransaktionen, inbegripet överföringen av medel.

(20)

Den brist på samsyn som kommissionen kunde konstatera i sin översyn av genomförandet av direktiv (EU) 2015/2366, och som EBA framhöll i sitt yttrande av den 23 juni 2022 om översynen av direktiv (EU) 2015/2366, gör det nödvändigt att förtydliga definitionen av betalkonton. Det avgörande kriteriet för att kategorisera ett konto som ett betalkonto är om det är möjligt att från detta konto utföra dagliga betalningstransaktioner. Ett utmärkande drag för betalkonton är att de gör det möjligt att göra betalningstransaktioner till en tredje part eller att ta emot sådana transaktioner från en tredje part. Ett betalkonto bör därför definieras som ett konto som används för att sända och ta emot medel till och från tredje part. Alla konton som har dessa egenskaper bör betraktas som betalkonton och användas för att tillhanda betalningsinitierings- och kontoinformationstjänster. Situationer där ett mellanliggande konto behövs för att genomföra betalningstransaktioner till eller från tredje part bör inte omfattas av definitionen av betalkonton. Sparkonton används inte för att sända och ta emot medel till och från tredje part och omfattas således inte av definitionen av betalkonton.

(21)

Med tanke på framväxten av nya typer av betalningsinstrument och den osäkerhet som råder på marknaden när det gäller deras rättsliga kvalificering bör definitionen av betalningsinstrument specificeras ytterligare genom att exempel ges på vad som utgör eller inte utgör ett betalningsinstrument, under det att hänsyn tas till principen om teknikneutralitet.

(22)

Trots att närfältskommunikation (NFC) möjliggör initiering av betalningstransaktioner skulle det innebära vissa problem att betrakta NFC som ett fullt utvecklat betalningsinstrument, till exempel när det gäller tillämpningen av stark kundautentisering vid kontaktlösa betalningar på försäljningsstället och betaltjänstleverantörens ansvarsordning. NFC bör därför snarare betraktas som en funktion i ett betalningsinstrument och inte som ett betalningsinstrument i sig.

(23)

I definitionen av betalningsinstrument i direktiv (EU) 2015/2366 hänvisas till en ”personlig enhet”. Eftersom det finns förbetalda kort där namnet på innehavaren av instrumentet inte är tryckt på kortet kan denna hänvisning leda till att dessa typer av kort inte omfattas av definitionen av ett betalningsinstrument. Definitionen av betalningsinstrument bör därför ändras så att det hänvisas till en ”individualiserad” i stället för ”personlig” enhet för att klargöra att förbetalda kort där namnet på innehavaren av instrumentet inte är tryckt på kortet omfattas av denna förordning.

(24)

Digitala plånböcker (pass-through wallets) som tokeniserar ett befintligt betalningsinstrument, till exempel ett betalkort, bör betraktas som tekniska tjänster och därför undantas från definitionen av betalningsinstrument, eftersom en token enligt kommissionens uppfattning inte i sig kan betraktas som ett betalningsinstrument utan snarare är en betalningsapplikation i den mening som avses i artikel 2.21 i Europaparlamentets och rådets förordning (EU) 2015/751 (9). Vissa andra kategorier av digitala plånböcker, nämligen förbetalda elektroniska plånböcker, till exempel staged wallets, där användare kan lagra pengar för framtida onlinetransaktioner, bör dock betraktas som betalningsinstrument och utgivningen av dem som en betaltjänst.

(25)

Den tekniska utvecklingen sedan direktiv (EU) 2015/2366 antogs har förändrat det sätt på vilket kontoinformationstjänster tillhandahålls. Företag som erbjuder dessa tjänster ger betaltjänstanvändare samlad nätbaserad information om ett eller flera av deras betalkonton som innehas hos en eller flera betaltjänstleverantörer och som nås via den kontoförvaltande betaltjänstleverantörens webbaserade gränssnitt. Betaltjänstanvändare kan därmed närsomhelst snabbt få en samlad och strukturerad överblick över sina betalkonton.

(26)

Kommissionens översyn visade att auktoriserade leverantörer av kontoinformationstjänster ibland tillhandahåller aggregerade betalkontouppgifter till en annan part än den konsument som har gett dem tillstånd att få tillgång till och aggregera uppgifterna, så att den andra parten med hjälp av uppgifterna kan tillhandahålla konsumenten andra tjänster. Det råder dock delade meningar om huruvida denna verksamhet omfattas av den reglerade kontoinformationstjänsten. Kommissionen anser att denna ”licens som tjänst”-utveckling av affärsmodellen med öppna banktjänster kan vara en källa till innovativa, databaserade tjänster som i sista hand gynnar slutanvändarna. Genom denna affärsmodell kan slutanvändarna nämligen ge tillgång till sina betalkontouppgifter för att få tillgång till andra tjänster än betaltjänster, till exempel utlåning, redovisning och kreditprövning. Det är dock viktigt att betaltjänstanvändare vet exakt vem som får tillgång till deras betalkontouppgifter, på vilka rättsliga grunder och i vilket syfte. Betaltjänstanvändare bör upplysas om och godkänna att deras uppgifter överförs till ett annat företag. Denna nya affärsmodell med öppna banktjänster kräver att definitionen av kontoinformationstjänster ändras, så att det klargörs att den information som aggregeras av den auktoriserade leverantören av kontoinformationstjänster får överföras, med slutanvändarens tillstånd, till en tredje part för att göra det möjligt för denna tredje part att tillhandahålla slutanvändaren en annan tjänst. För att ge konsumenter tillräckligt skydd för sina betalkontouppgifter och rättssäkerhet när det gäller statusen för enheter som får tillgång till deras uppgifter bör aggregering av uppgifter från betalkonton alltid tillhandahållas av en reglerad enhet på grundval av en licens, även om uppgifterna i slutändan överförs till en annan tjänsteleverantör.

(27)

Penningöverföring är en betaltjänst som normalt grundas på att en betalare lämnar kontanter till en betaltjänstleverantör utan att något betalkonto skapas i betalarens eller betalningsmottagarens namn och att denna överför motsvarande belopp till en betalningsmottagare eller till en annan betaltjänstleverantör som agerar på betalningsmottagarens vägnar. I vissa medlemsstater erbjuder snabbköp, handlare och andra detaljhandlare allmänheten en tjänst som innebär att de kan betala för allmännyttiga tjänster och andra återkommande hushållsräkningar. Sådana betaltjänster bör behandlas som penningöverföringar.

(28)

Definitionen av medel bör omfatta▌ centralbankspengar som ges ut för privat bruk, inbegripet sedlar och mynt, och eventuella framtida digitala centralbanksvalutor, e-pengar och affärsbankspengar. Centralbankspengar som ges ut för användning mellan centralbanker och affärsbanker, dvs. för institutionella transaktioner, bör inte omfattas.

(29)

Enligt förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar betraktas e-pengatoken som elektroniska pengar vid tillämpning av den förordningen. För att undvika överlappande krav är det viktigt att bestämmelserna i denna förordning tydligt anger i vilka fall e-pengatoken i stället bör omfattas av denna förordning.

(30)

För att bevara förtroendet hos innehavare av elektroniska pengar måste elektroniska pengar kunna lösas in. Möjligheten till inlösen innebär inte att de medel som erhålls i utbyte mot elektroniska pengar bör betraktas som insättningar eller andra återbetalbara medel enligt direktiv 2013/36/EU (10). Inlösen bör alltid vara möjlig och göras till det nominella beloppet utan möjlighet att komma överens om ett minimibelopp. Inlösen bör generellt sett vara avgiftsfri. Det bör dock vara möjligt att kräva en proportionerlig och kostnadsbaserad avgift utan att detta påverkar nationell skatte- eller sociallagstiftning eller utgivarens eventuella förpliktelser enligt annan relevant unionslagstiftning eller nationell lagstiftning, till exempel regler för att förhindra penningtvätt och finansiering av terrorism, åtgärder för att frysa tillgångar eller specifika åtgärder för att förhindra eller utreda brott.

(31)

Betaltjänstleverantörer måst ha tillträde till betalningssystem för att kunna tillhandahålla betaltjänster till användarna. I dessa betalningssystem ingår ofta fyrpartsordningar för kortbetalningar samt andra större system för behandling av betalningar och autogirering. För att i hela unionen säkerställa lika behandling av de olika kategorierna av auktoriserade betaltjänstleverantörer är det nödvändigt att klargöra reglerna för tillträde till betalningssystem. Tillträdet kan vara direkt eller indirekt via en annan deltagare i betalningssystemet. Tillträdet bör vara underställt krav som säkerställer betalningssystemens integritet och stabilitet. Operatören av betalningssystemet bör därför göra en riskbedömning av en betaltjänstleverantör som ansöker om direkt deltagande. I samband med riskbedömningen bör alla relevanta risker granskas, vilket innefattar avvecklingsrisk, operativ risk, kreditrisk, likviditetsrisk och affärsrisk, beroende på vad som är tillämpligt. Varje betaltjänstleverantör som ansöker om att få delta i ett betalningssystem bör bära risken för sitt val av system och för systemet styrka att dess interna organisation har tillräcklig motståndskraft mot dessa typer av risker. Operatörer av betalningssystem bör endast avslå en ansökan om direkt deltagande från en betaltjänstleverantör om betaltjänstleverantören inte kan följa systemets regler eller utgör en oacceptabelt hög risk.

(31a)

För att hantera digitala betalningar online eller offline är det viktigt att leverantörer av frontendtjänster får tillgång till NFC-teknik på mobila enheter. Komponenterna i sådan teknik omfattar i synnerhet, men inte enbart, NFC-antenner och så kallade säkra element i mobila enheter (t.ex. UICC (universalkort med integrerade kretsar), inbäddat SE (eSE) och microSD etc.) Det är därför nödvändigt att säkerställa att tillverkare av originalutrustning för mobila enheter eller leverantörer av elektroniska kommunikationstjänster inte nekar tillgång till NFC-antenner eller säkra element, när en sådan tillgång är nödvändig för att tillhandahålla betaltjänster. För detta ändamål bör leverantörer av frontendtjänster inom den digitala ekonomin ha rätt att lagra programvara på mobila enheters relevanta maskinvara för att tekniskt möjliggöra transaktioner både online och offline. I detta syfte bör tillverkare av originalutrustning för mobila enheter och leverantörer av elektroniska kommunikationstjänster vara skyldiga att på rättvisa, rimliga och icke-diskriminerande villkor ge tillgång till alla maskinvaru- och programvarukomponenter när detta krävs för online- och offlinetransaktioner. Under alla omständigheter bör sådana operatörer vara skyldiga att tillhandahålla tillräcklig kapacitet i relevanta maskinvaru- och programvarufunktioner på mobila enheter för att hantera betalningstransaktioner online och för att lagra medel på mobila enheter för betalningstransaktioner offline. Denna skyldighet bör inte påverka tillämpningen av artikel 6.7 i Europaparlamentets och rådets förordning (EU) 2022/1925 (11), som ålägger grindvakter att kostnadsfritt ge möjlighet till effektiv interoperabilitet med, och för interoperabilitetsändamål ge tillgång till, operativsystem och maskinvaru- och programvarufunktioner på mobila enheter, något som gäller för befintliga och nya digitala betalningsmedel.

(32)

Operatörer av betalningssystem bör ha regler och förfaranden för tillträde som är proportionerliga, objektiva, icke-diskriminerande och transparenta. Operatörer av betalningssystem bör inte diskriminera betalningsinstitut när det gäller deltagande om systemets regler kan följas och det inte föreligger någon oacceptabel risk för systemet. Till sådana system hör bland annat de som anges i Europaparlamentets och rådets direktiv 98/26/EG (12). I fall där betalningssystemet i fråga redan står under tillsyn av Europeiska centralbankssystemet enligt Europeiska centralbankens förordning (EU) nr 795/2014 (13) bör den eller de centralbanker som utövar denna tillsyn kontrollera efterlevnaden av dessa regler inom ramen för sin tillsyn. När det gäller andra betalningssystem bör medlemsstaterna utse nationella behöriga myndigheter för att säkerställa att operatörer av betalningssystem uppfyller dessa krav.

(33)

I syfte att säkerställa rättvis konkurrens mellan betaltjänstleverantörer bör en deltagare i ett betalningssystem som tillhandahåller tjänster med anknytning till ett sådant system till en auktoriserad eller registrerad betaltjänstleverantör på begäran även ge tillgång till sådana tjänster på ett objektivt, proportionellt och icke-diskriminerande sätt för andra auktoriserade eller registrerade betaltjänstleverantörer.

(34)

Bestämmelserna om tillträde till betalningssystem bör inte tillämpas på system som inrättas och handhas av en enda betaltjänstleverantör. Sådana betalningssystem kan handhas antingen i direkt konkurrens med andra betalningssystem eller, vilket är vanligare, i en marknadsnisch där det inte finns andra betalningssystem. Till sådana system hör trepartsordningar, inbegripet trepartsordningar för kortbetalningar, i den utsträckning som dessa ordningar i själva verket aldrig fungerar som fyrpartsordningar för kortbetalningar, till exempel genom att de använder sig av licensinnehavare, ombud eller co-brandingpartner. Sådana system omfattar normalt även betaltjänster som tillhandahålls av teleoperatörer där systemets operatör är både betalarens och betalningsmottagarens betaltjänstleverantör, samt bankgruppers interna system. För att uppmuntra den konkurrens som sådana slutna betalningssystem kan erbjuda etablerade traditionella betalningssystem bör tredje parter inte beviljas tillträde till dessa slutna privata betalningssystem. Sådana slutna system bör emellertid alltid omfattas av unionens konkurrensregler och nationella konkurrensregler enligt vilka det kan krävas att tillträde beviljas till dessa system för att upprätthålla effektiv konkurrens på betalningsmarknaderna.

(35)

Betalningsinstitut måste kunna öppna och inneha ett konto hos ett kreditinstitut för att uppfylla sina licenskrav när det gäller skydd av kundmedel. Trots bestämmelserna om betalningsinstituts konton hos affärsbanker i direktiv (EU) 2015/2366 visar inte minst EBA:s yttrande av den 5 januari 2022 (14) att vissa betalningsinstitut eller företag som ansöker om licens som betalningsinstitut fortfarande ställs inför att vissa kreditinstitut antingen nekar dem att öppna ett konto eller avslutar ett konto som redan finns genom att hänvisa till en upplevd högre risk för penningtvätt eller finansiering av terrorism. En sådan praxis att helt avhända sig risk (de-risking) skapar betydande konkurrensproblem för betalningsinstituten.

(36)

Kreditinstitut bör därför tillhandahålla betalkonton till betalningsinstitut och till dem som ansöker om licens som betalningsinstitut samt till deras ombud och distributörer, utom under exceptionella omständigheter där det finns mycket starka skäl att neka dem. Det är nödvändigt att de som ansöker om licens som betalningsinstitut omfattas av den bestämmelsen, med tanke på att ett bankkonto där kundernas medel är skyddade är en förutsättning för att erhålla licens som betalningsinstitut. Skälen för avslag bör inbegripa mycket starka skäl att misstänka att olaglig verksamhet bedrivs av eller via betalningsinstitutet, eller att affärsmodellen eller riskprofilen medför allvarliga risker eller orimliga kostnader för regelefterlevnad för kreditinstitutet. Till exempel kan affärsmodeller som innebär att betalningsinstituten använder ett omfattande nätverk av agenter leda till betydande kostnader för att efterleva regler som syftar till att förhindra penningtvätt och finansiering av terrorism. Ett betalningsinstitut bör ha rätt att överklaga ett kreditinstituts avslag till en behörig myndighet som utsetts av en medlemsstat. För att underlätta utövandet av denna rätt att överklaga bör kreditinstitut skriftligen och i detalj motivera när öppnande av ett konto nekas eller ett konto senare avslutas. Motiveringen bör ange specifika faktorer som rör betalningsinstitutet i fråga och inte allmänna eller generiska överväganden. För att underlätta behöriga myndigheters handläggning av överklaganden av ett avslag eller ett avslutande av konto och motiveringen av detta bör EBA utarbeta tekniska standarder för genomförande som harmoniserar utformningen av sådana motiveringar.

(37)

För att göra välgrundade val och enkelt kunna välja betaltjänstleverantörer inom unionen bör betaltjänstanvändare få jämförbar och tydlig information om betaltjänster. För att säkerställa att nödvändig, tillräcklig och omfattande information lämnas till betaltjänstanvändare om betaltjänstavtalet och betalningstransaktionerna är det nödvändigt att specificera och harmonisera betaltjänstleverantörers upplysningsplikt i förhållande till betaltjänstanvändare.

(38)

När betaltjänstleverantörer tillhandahåller den information som krävs till betaltjänstanvändare bör de ta hänsyn till betaltjänstanvändares behov och till praktiska aspekter och kostnadseffektivitet med hänsyn till det berörda betaltjänstavtalet. Betaltjänstleverantörer bör antingen aktivt lämna informationen vid lämplig tidpunkt utan att betaltjänstanvändaren bett om detta eller göra informationen tillgänglig på betaltjänstanvändarens begäran. I det senare fallet bör betaltjänstanvändare vidta aktiva åtgärder för att få informationen, inbegripet genom att uttryckligen begära denna information från betaltjänstleverantörer, logga in till en bankkontobrevlåda eller föra in ett bankkort i en kontoutdragsskrivare. Betaltjänstleverantörer bör i detta syfte säkerställa åtkomst till informationen och att informationen är tillgänglig för betaltjänstanvändare.

(39)

Eftersom konsumenter och företag inte är lika sårbara behöver de inte samma skyddsnivå. Även om det är viktigt att garantera konsumenträttigheter genom bestämmelser som inte gör det möjligt att komma överens om undantag är det rimligt att låta företag och organisationer komma överens om andra villkor när de inte kommer i kontakt med konsumenter. Sådana överenskommelser skulle kunna reglera huruvida stark kundautentisering tillämpas. Mikroföretag enligt definitionen i kommissionens rekommendation 2003/361/EG (15) får behandlas på samma sätt som konsumenter. Vissa regler bör alltid gälla, oavsett användarens ställning.

(40)

För att upprätthålla ett starkt konsumentskydd bör konsumenterna ha rätt till kostnadsfri information om villkor och priser för tjänster innan de binds av något betaltjänstavtal. För att göra det möjligt för konsumenterna att jämföra de tjänster och villkor som betaltjänstleverantörer erbjuder och att i händelse av tvister kontrollera sina avtalsenliga rättigheter och skyldigheter bör konsumenterna när som helst under avtalsförhållandet kunna begära att utan kostnad få denna information och ramavtalet på papper.

(41)

För att öka transparensen bör betaltjänstleverantörer lämna grundläggande information om genomförda betalningstransaktioner utan extra kostnad för konsumenten. Vid enstaka betalningstransaktioner bör betaltjänstleverantören inte ta ut en särskild avgift för denna information. Betaltjänstleverantörer bör även därefter lämna information om betalningstransaktioner enligt ett ramavtal månatligen och utan kostnad. Med tanke på vikten av pristransparens och kunders olika behov bör parterna i avtalet emellertid kunna komma överens om avgifter för ytterligare eller mer frekvent information.

(42)

Betalningsinstrument för låga belopp bör vara ett billigt alternativ som är lätt att använda för varor och tjänster till låga priser och bör inte överbelastas med alltför stränga krav. Informationskrav och genomföranderegler bör därför begränsas till väsentlig information, men även beakta de tekniska utvecklingsmöjligheter som instrument avsedda för betalning av låga belopp på goda grunder kan förväntas ha. Trots mindre stränga bestämmelser bör betaltjänstanvändare ha ett tillräckligt skydd med avseende på de begränsade riskerna med dessa betalningsinstrument, särskilt vad gäller förskottsbetalade betalningsinstrument.

(43)

Vid enstaka betalningstransaktioner bör den viktigaste informationen alltid ges på betaltjänstleverantörernas eget initiativ. Eftersom betalare normalt är närvarande när betalningsordern ges bör information inte alltid behöva tillhandahållas på papper eller annat varaktigt medium. Betaltjänstleverantörer bör kunna lämna information muntligen eller på annat sätt göra den lätt åtkomlig, till exempel genom att sätta upp villkoren på en anslagstavla i lokalerna. Det bör även informeras om var närmare övriga upplysningar finns att tillgå, exempelvis på en webbplats. Betaltjänstleverantörer bör dock på kundens begäran lämna den viktigaste informationen även på papper eller annat varaktigt medium.

(44)

Den begärda informationen bör stå i proportion till användarnas behov. Informationskraven för enstaka betalningstransaktioner bör skilja sig från informationskraven för ramavtal om en rad betalningstransaktioner.

(45)

Betaltjänstanvändare bör för att kunna göra välgrundade val ha möjlighet att jämföra uttagsautomatavgifter med de avgifter som tas ut av andra leverantörer. För att göra uttagsautomatavgifter mer transparenta för betaltjänstanvändare bör betaltjänstleverantörer ge betaltjänstanvändare information om alla tillämpliga avgifter i samband med initiering av en transaktion för uttag i uttagsautomater inom unionen i olika situationer, beroende av från vilken uttagsautomat betaltjänstanvändare tar ut kontanter. Uttagsautomater som drivs av kreditinstitut bör närmare bestämt i monetär form visa alla fasta avgifter som en användare förväntas betala vid uttag av kontanter från detta kreditinstituts uttagsautomat. Denna fasta avgift bör visas vid eller före den tidpunkt då användaren sätter in eller håller sitt kort mot uttagsautomaten för att inleda processen med kontantuttag. Ökad transparens innebär också, i förekommande fall, bättre information om valutaväxling från betaltjänstleverantören.

(46)

Ramavtal och betalningstransaktioner som omfattas av sådana avtal är vanligare och mer ekonomiskt betydande än enstaka betalningstransaktioner. Om det finns ett betalkonto eller ett särskilt betalningsinstrument krävs ett ramavtal. Kraven på förhandsinformation om ramavtal bör därför vara utförliga och informationen alltid lämnas på papper eller via något annat varaktigt medium. Betaltjänstleverantörer och betaltjänstanvändare bör dock i ramavtalet kunna komma överens om på vilket sätt information om genomförda betalningstransaktioner därefter kommer att lämnas.

(47)

Avtalsbestämmelser bör inte diskriminera konsumenter som är lagligen bosatta i unionen på grund av deras nationalitet eller bosättningsort. Om ett ramavtal föreskriver rätten att av objektivt motiverade skäl spärra betalningsinstrumentet bör betaltjänstleverantören inte ha möjlighet att åberopa denna rätt endast på grund av att betaltjänstanvändaren har bytt bosättningsort inom unionen.

(48)

För att säkerställa ett starkt konsumentskydd bör medlemsstaterna av hänsyn till konsumentintresset kunna behålla eller införa restriktioner eller förbud mot ensidiga ändringar av villkoren i ett ramavtal, till exempel om det inte finns något berättigat skäl till en sådan ändring.

(49)

För att underlätta betaltjänstanvändares mobilitet bör användarna kunna avsluta ett ramavtal utan att debiteras avgifter. För avtal som avslutas av betaltjänstanvändare mindre än sex månader efter deras ikraftträdande bör betaltjänstleverantörer dock få att ta ut avgifter som motsvarar de kostnader som uppstått på grund av att användaren avslutat ramavtalet. Om betaltjänster enligt ett ramavtal erbjuds tillsammans med tekniska tjänster som möjliggör tillhandahållandet av betaltjänster, såsom hyra av terminaler som används för betaltjänster, bör betaltjänstanvändare inte låsas till sin betaltjänstleverantör genom strängare villkor som fastställs i de avtalsklausuler som reglerar de tekniska tjänsterna. För att upprätthålla konkurrensen bör sådana avtalsvillkor omfattas av ramavtalets krav på uppsägningsavgifter. För konsumenter bör den avtalade uppsägningstiden inte vara längre än en månad och för betaltjänstleverantörer inte kortare än två månader. Dessa regler bör inte påverka betaltjänstleverantörens skyldighet att när det föreligger exceptionella omständigheter avsluta ett betaltjänstavtal enligt annan relevant unionslagstiftning eller nationell lagstiftning, till exempel regler för att förhindra penningtvätt och finansiering av terrorism, åtgärder för att frysa tillgångar eller specifika åtgärder för att förhindra eller utreda brott.

(50)

För att möjliggöra jämförelser bör de beräknade avgifterna för valutakonvertering för betalningar och penningöverföringar som görs inom unionen och från unionen till ett tredjeland anges på samma sätt, dvs. som ett procentuellt påslag i förhållande till en referensväxelkurs i enlighet med bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/1011 (16), och den resulterande valutakonverteringsavgift som visas som ett monetärt belopp i den valuta som kunden använder för att initiera valutakonverteringen . Att dessa referensvärden är rättvisande och inte utsätts för otillbörlig påverkan säkerställs genom det system för administratörer av referensvärden som införs genom den förordningen och skyddar intressena för betaltjänstleverantörers kunder och parter som tillhandahåller valutakonverteringstjänster. En betaltjänstleverantör bör använda samma riktmärke konsekvent och för konvertering i båda riktningarna. Hänvisningar till avgifter i denna förordning bör i tillämpliga fall även omfatta avgifter för valutakonvertering.

(51)

Erfarenheten visar att det effektivaste systemet är att avgifterna delas mellan betalare och betalningsmottagare, eftersom detta underlättar automatiserad förmedling av betalningar (straight-through processing). Det bör därför fastställas bestämmelser om att avgifter tas ut direkt av betalare och betalningsmottagare av respektive betaltjänstleverantör. De avgifter som tas ut kan även vara lika med noll, eftersom reglerna inte påverkar den praxis som innebär att betaltjänstleverantören inte debiterar konsumenterna för kreditering av deras konton. Beroende på avtalsvillkoren kan en betaltjänstleverantör likaså ta ut en avgift för användning av betaltjänsten endast av betalningsmottagaren och alltså inte påföra betalaren någon avgift. Betalningssystem kan ta ut avgifter i form av en abonnemangsavgift. Bestämmelserna om överfört belopp eller avgifter får inga direkta följder för prissättningen mellan betaltjänstleverantörer eller eventuella mellanhänder.

(52)

En tilläggsavgift är en avgift som handlare tar ut av konsumenterna och som läggs på det begärda priset för varor och tjänster när konsumenten använder en viss betalningsmetod. Ett av skälen till att ta ut tilläggsavgifter är att styra konsumenterna mot billigare eller effektivare betalningsinstrument och på så sätt främja konkurrensen mellan alternativa betalningsmetoder. Enligt det system som infördes genom direktiv (EU) 2015/2366 hindrades betalningsmottagarna från att ta ut avgifter för användning av betalningsinstrument vars förmedlingsavgifter regleras i kapitel II i förordning (EU) 2015/751, dvs. för konsumenters betal- och kreditkort som utfärdas inom ramen för fyrpartsordningar för kortbetalningar, och för de betaltjänster som omfattas av Europaparlamentets och rådets förordning (EU) nr 260/2012 (17), dvs. betalningstransaktioner och autogireringstransaktioner i euro inom unionen. Enligt direktiv (EU) 2015/2366 fick medlemsstaterna dessutom förbjuda eller begränsa betalningsmottagares rätt att ta ut avgifter med hänsyn till vikten av att uppmuntra konkurrens och främja användning av effektiva betalningsinstrument. Det är nödvändigt att harmonisera detta tillvägagångssätt för att främja lika spelregler i unionen, och därmed anta ett fullständigt förbud mot tilläggsavgifter i hela unionen.

(53)

I sin översyn av direktiv (EU) 2015/2366 konstaterade kommissionen att avsaknaden av en harmonisering möjliggör tilläggsavgifter för betalningsinstrument och att det görs olika tolkningar av vilka betalningsinstrument som omfattas av förbudet mot tilläggsavgifter. Det är därför nödvändigt att uttryckligen utvidga förbudet mot tilläggsavgifter till att omfatta alla betalningar och autogireringar och inte bara betalningar och autogireringar som omfattas av förordning (EU) nr 260/2012, såsom var fallet med direktiv (EU) 2015/2366.

(54)

Kontoinformationstjänster och betalningsinitieringstjänster, som ofta går under samlingsnamnet öppna banktjänster, är betaltjänster som innebär att betaltjänstleverantörer som varken innehar kontoinnehavarens medel eller förvaltar ett betalkonto får åtkomst till betaltjänstanvändarens uppgifter. Kontoinformationstjänster gör det möjligt att på betaltjänstanvändarens begäran aggregera dennes uppgifter hos olika kontoförvaltande betaltjänstleverantörer på ett och samma ställe. Betalningsinitieringstjänster gör det möjligt att på ett för användaren och betalningsmottagaren bekvämt sätt initiera en betalning från användarens konto, till exempel en betalning eller en autogirering, utan att använda ett instrument, till exempel ett betalkort.

(55)

Kontoförvaltande betaltjänstleverantörer bör ge leverantörer av kontoinformationstjänster och betalningsinitieringstjänster åtkomst till betalkontouppgifter om betaltjänstanvändaren kan få tillgång till betalkontot online och om betaltjänstanvändaren har gett tillstånd till sådan åtkomst. Direktiv (EU) 2015/2366 grundades på principen om åtkomst till betalkontouppgifter utan krav på ett avtalsförhållande mellan den kontoförvaltande betaltjänstleverantören och leverantörerna av kontoinformationstjänster och betalningsinitieringstjänster, vilket fick till följd att det i praktiken inte var möjligt att ta betalt för åtkomst till uppgifter. Sedan direktiv (EU) 2015/2366 började tillämpas har åtkomst till data genom öppna banktjänster ägt rum utan avtal och varit avgiftsfri. Om reglerad dataåtkomst skulle beläggas med en avgift när det hittills inte tagits ut någon avgift skulle konsekvenserna för det fortsatta tillhandahållandet av dessa tjänster, och därmed för konkurrensen och innovationen på betalningsmarknaderna, kunna bli mycket betydande. Denna princip bör därför bibehållas. Att bibehålla detta förhållningssätt är i linje med kapitlen III och IV i förslaget till förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) (18), särskilt artikel 9.3 i det förslaget om ersättning, som denna förordning inte påverkar. I kommissionens förslag till förordning om åtkomst till finansdata föreskrivs en möjlig ersättning för dataåtkomst som kommer att omfattas av den förordningen. Ett sådant system skulle således skilja sig från det som föreskrivs i denna förordning. Denna skillnad i behandling motiveras av det faktum att medan åtkomst till betalkontouppgifter regleras av unionslagstiftningen sedan direktiv (EU) 2015/2366 trädde i kraft har åtkomst till andra finansdata ännu inte reglerats på unionsnivå. Det finns därför ingen risk för störningar eftersom denna marknad, till skillnad från åtkomsten till betalkontouppgifter, är under framväxt och kommer att regleras för första gången genom förordningen om åtkomst till finansdata.

(56)

Kontoförvaltande betaltjänstleverantörer och leverantörer av kontoinformationstjänster och betalningsinitieringstjänster får upprätta ett avtalsförhållande, även inom ramen för ett multilateralt avtal (till exempel ett system), med eventuell ersättning, för åtkomst till betalkontouppgifter och tillhandahållande av andra öppna banktjänster än de som krävs enligt denna förordning. Ett exempel på sådana mervärdestjänster som erbjuds via så kallade ”premium”-programmeringsgränssnitt är möjligheten att planera framtida rörliga återkommande betalningar. All ersättning för sådana tjänster måste vara förenlig med kapitlen III och IV i förslaget till dataakt från och med den dag då den börjar tillämpas, särskilt när det gäller artikel 9.1 och 9.2 om ersättning. Det bör alltid vara möjligt för leverantörer av kontoinformationstjänster och betalningsinitieringstjänster att få åtkomst till betalkontouppgifter som regleras enligt denna förordning utan krav på ett avtalsförhållande, och därmed avgiftsfritt, även i fall då ett multilateralt avtal (till exempel ett system) finns och samma uppgifter även finns tillgängliga som en del av det multilaterala avtalet.

(57)

För att säkerställa en hög säkerhetsnivå vid åtkomst till och utbyte av data bör leverantörer av kontoinformationstjänster och betalningsinitieringstjänster, såvida det inte föreligger särskilda omständigheter, få åtkomst till betalkonton och betalkontouppgifter via ett gränssnitt som är utformat och avsett för öppna banktjänster, till exempel ett API. Den kontoförvaltande betaltjänstleverantören bör för detta ändamål upprätta en säker kommunikation med leverantörer av kontoinformationstjänster och betalningsinitieringstjänster. För att undvika osäkerhet om vem som har åtkomst till betaltjänstanvändarens uppgifter bör det särskilda gränssnittet göra det möjligt för leverantörer av kontoinformationstjänster och betalningsinitieringstjänster att identifiera sig gentemot den kontoförvaltande betaltjänstleverantören och utgå från alla de autentiseringsförfaranden som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändaren. Leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör i regel använda det gränssnitt som är avsett för deras åtkomst och alltså inte använda en kontoförvaltande betaltjänstleverantörs kundgränssnitt för att få åtkomst till data, utom i fall då det särskilda gränssnittet inte fungerar eller inte är tillgängligt på de villkor som fastställs i denna förordning. Under sådana omständigheter skulle affärskontinuiteten äventyras om de inte kan få tillgång till de data för vilka de har beviljats tillstånd. Det är absolut nödvändigt att leverantörer av kontoinformationstjänster och betalningsinitieringstjänster alltid har tillgång till data som de behöver för att kunna betjäna sina kunder.

(57a)

Kontoförvaltande betaltjänstleverantörer bör inte vara skyldiga att erbjuda något alternativt gränssnitt om det särskilda gränssnittet inte är tillgängligt, annat än det gränssnitt som den kontoförvaltande betaltjänstleverantören använder för autentisering och kommunikation med sina användare för att få åtkomst till betalkontouppgifter.

(58)

För att underlätta en problemfri användning av det särskilda gränssnittet bör dess tekniska specifikationer dokumenteras på lämpligt sätt och en sammanfattning offentliggöras av den kontoförvaltande betaltjänstleverantören. För att göra det möjligt för leverantörer av öppna banktjänster att på lämpligt sätt förbereda sin framtida åtkomst och lösa eventuella tekniska problem bör den kontoförvaltande betaltjänstleverantören ge leverantörer av kontoinformationstjänster och betalningsinitieringstjänster möjlighet att testa ett gränssnitt före den dag då det aktiveras. Endast auktoriserade leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör få åtkomst till betalkontouppgifter via detta gränssnitt, även om de som ansöker om auktorisation som leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör kunna ta del av de tekniska specifikationerna. För att säkerställa driftskompatibilitet mellan olika tekniska kommunikationslösningar bör gränssnittet använda standarder som tagits fram av internationella eller europeiska standardiseringsorganisationer, däribland Europeiska standardiseringskommittén (CEN) eller Internationella standardiseringsorganisationen (ISO).

(59)

För att göra det möjligt för leverantörer av kontoinformationstjänster och betalningsinitieringstjänster att alltid säkerställa affärskontinuitet och tillhandahålla sina kunder tjänster av hög kvalitet bör det särskilda gränssnitt som de förväntas använda uppfylla höga krav på prestanda och funktioner. Det bör åtminstone säkerställa dataparitet med det kundgränssnitt som den kontoförvaltande betaltjänstleverantören tillhandahåller sina användare och därmed inkludera de betalkontouppgifter som även är tillgängliga för betaltjänstanvändare i det gränssnitt som den kontoförvaltande betaltjänstleverantören tillhandahåller dem. När det gäller betalningsinitieringstjänster bör det särskilda gränssnittet inte bara möjliggöra initiering av enstaka betalningar utan även stående överföringar och autogireringar. Mer detaljerade krav på särskilda gränssnitt bör fastställas i tekniska standarder för tillsyn utarbetade av EBA.

(60)

Med tanke på hur omfattande konsekvenserna skulle bli för affärskontinuiteten hos leverantörer av kontoinformationstjänster och betalningsinitieringstjänster om ett särskilt gränssnitt inte var tillgängligt under en längre tid bör kontoförvaltande betaltjänstleverantörer utan dröjsmål åtgärda en sådan otillgänglighet. Kontoförvaltande betaltjänstleverantörer bör utan dröjsmål informera leverantörer av kontoinformationstjänster och betalningsinitieringstjänster om deras särskilda gränssnitt inte är tillgängligt och om de åtgärder som vidtagits för att åtgärda detta. Om ett särskilt gränssnitt inte är tillgängligt, och om den kontoförvaltande betaltjänstleverantören inte erbjuder någon effektiv alternativ lösning, bör leverantörer av kontoinformationstjänster och betalningsinitieringstjänster kunna upprätthålla sin affärskontinuitet. De bör ha rätt att begära att deras nationella behöriga myndighet använder det gränssnitt som den kontoförvaltande betaltjänstleverantören tillhandahåller sina användare till dess att det särskilda gränssnittet åter är tillgängligt. Den behöriga myndigheten bör, efter att ha mottagit begäran, skyndsamt fatta ett beslut. I avvaktan på myndighetens beslut bör de begärande leverantörerna av kontoinformationstjänster och betalningsinitieringstjänster tillåtas att tillfälligt använda det gränssnitt som den kontoförvaltande betaltjänstleverantören tillhandahåller sina användare. Den relevanta behöriga myndigheten bör fastställa en tidsfrist inom vilken den kontoförvaltande betaltjänstleverantören måste återställa det särskilda gränssnittets fullständiga funktion, med möjlighet till sanktioner om detta inte uppnås. Alla leverantörer av kontoinformationstjänster och betalningsinitieringstjänster, inte bara de som lämnade in begäran, bör ges åtkomst till data som de behöver för att säkerställa sin affärskontinuitet.

(61)

Sådan tillfällig direkt åtkomst bör inte ha någon negativ inverkan på konsumenterna. Leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör därför alltid vederbörligen identifiera sig och respektera alla sina skyldigheter, såsom gränserna för det tillstånd som de beviljats, och bör i synnerhet endast ha åtkomst till data som de behöver för att uppfylla sina avtalsenliga skyldigheter och tillhandahålla den reglerade tjänsten. Åtkomst till betalkontouppgifter utan korrekt identifiering (s.k. webbskrapning) bör under inga omständigheter ges.

(62)

Med tanke på att inrättandet av ett särskilt gränssnitt för vissa kontoförvaltande betaltjänstleverantörer kan anses vara oproportionellt betungande bör en nationell behörig myndighet kunna undanta en kontoförvaltande betaltjänstleverantör, på dennes begäran, från skyldigheten att ha ett särskilt gränssnitt för dataåtkomst och i stället antingen endast erbjuda åtkomst till betalningsuppgifter via sitt ”kundgränssnitt” eller inte erbjuda något gränssnitt för öppna banktjänster i form av dataåtkomst överhuvudtaget. Dataåtkomst via kundgränssnittet (utan något särskilt gränssnitt) kan vara lämpligt för mycket små kontoförvaltande betaltjänstleverantörer för vilka ett särskilt gränssnitt skulle vara mycket kostnads- och resurskrävande. Att undantas från skyldigheten att ha ett gränssnitt för öppna banktjänster i form av dataåtkomst kan vara motiverat om den kontoförvaltande betaltjänstleverantören har en särskild affärsmodell, till exempel om öppna banktjänster inte skulle ha vara relevant för dess kunder. Närmare kriterier för beviljande av sådana olika typer av beslut om undantag bör fastställas i tekniska standarder för tillsyn utarbetade av EBA.

(63)

För att fullt ut utnyttja potentialen hos öppna banktjänster i unionen är det viktigt att förhindra att kontoförvaltande betaltjänstleverantörer diskriminerar leverantörer av kontoinformationstjänster och betalningsinitieringstjänster. Om betaltjänstanvändaren har beslutat att använda tjänster som tillhandahålls av en leverantör av kontoinformationstjänster eller en leverantör av betalningsinitieringstjänster bör den kontoförvaltande betaltjänstleverantören behandla ordern på samma sätt som den skulle behandla en sådan begäran om den gjorts av betaltjänstanvändaren direkt i dennes ”kundgränssnitt”, såvida inte den kontoförvaltande betaltjänstleverantören har objektiva skäl att behandla begäran om tillgång till kontot på ett annat sätt, till exempel om det föreligger allvarliga misstankar om bedrägeri.

(64)

Vid tillhandahållande av betalningsinitieringstjänster bör den kontoförvaltande betaltjänstleverantören ge leverantören av betalningsinitieringstjänster all information om genomförandet av betalningstransaktionen som är tillgänglig för den kontoförvaltande betaltjänstleverantören omedelbart efter mottagandet av betalningsordern. Ibland blir mer information tillgänglig för den kontoförvaltande betaltjänstleverantören efter att betalningsordern har mottagits men innan betalningstransaktionen har genomförts. Om det är relevant för betalningsordern och genomförandet av betalningstransaktionen bör den kontoförvaltande betaltjänstleverantören lämna denna information till leverantören av betalningsinitieringstjänster. Leverantören av betalningsinitieringstjänster bör få tillgång endast till den information som krävs för att bedöma riskerna för att den initierade transaktionen inte kommer att genomföras. Denna information är nödvändig för att göra det möjligt för leverantören av betalningsinitieringstjänster att erbjuda en betalningsmottagare på vars vägnar den initierar transaktionen en tjänst vars kvalitet kan konkurrera med andra elektroniska betalningsmedel som är tillgängliga för betalningsmottagaren, inbegripet betalkort.

(65)

För att stärka förtroendet för öppna banktjänster är det viktigt att betaltjänstanvändare som använder kontoinformationstjänster och betalningsinitieringstjänster har full kontroll över sina data och tillgång till klar och tydlig information om de tillstånd till dataåtkomst som dessa betaltjänstanvändare har beviljat betaltjänstleverantörer, inbegripet syftet med tillståndet och de berörda kategorierna av betalkontouppgifter, till exempel kontots identitetsuppgifter, transaktioner och kontosaldo. Kontoförvaltande betaltjänstleverantörer bör därför tillhandahålla en ”manöverpanel” för betaltjänstanvändare som använder sådana tjänster, så att de kan övervaka och återkalla ▌dataåtkomst som beviljats leverantörer av öppna banktjänster. Manöverpanelen bör inte visa tillstånd för initiering av engångsbetalningar. En manöverpanel får inte göra det möjligt för en betaltjänstanvändare att upprätta nya tillstånd till dataåtkomst hos en leverantör av kontoinformationstjänster eller betalningsinitieringstjänster som inte tidigare beviljats dataåtkomst. Kontoförvaltande betaltjänstleverantörer bör omgående informera leverantörer av kontoinformationstjänster och betalningsinitieringstjänster om dataåtkomst som återkallas. Leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör omgående informera kontoförvaltande betaltjänstleverantörer om nya och återupprättade tillstånd till dataåtkomst som beviljats av betaltjänstanvändare, inbegripet tillståndets giltighetstid och syfte (särskilt huruvida konsolideringen av data sker till förmån för användaren eller för överföring till en tredje part). En kontoförvaltande betaltjänstleverantör bör inte på något sätt uppmuntra en betaltjänstanvändare att återkalla tillstånd som beviljats leverantörer av kontoinformationstjänster och betalningsinitieringstjänster. Manöverpanelen bör på ett standardiserat sätt varna betaltjänstanvändaren för risken för eventuella avtalsmässiga konsekvenser av att återkalla dataåtkomst för en leverantör av öppna banktjänster, eftersom manöverpanelen inte hanterar avtalsförhållandet mellan användaren och en leverantör av öppna banktjänster och det är betaltjänstanvändarens ansvar att bedöma denna risk. En manöverpanel för tillstånd bör ge kunderna möjlighet att hantera sina tillstånd på ett välinformerat och opartiskt sätt och ge kunderna stor kontroll över hur deras personuppgifter och andra uppgifter används. En manöverpanel för tillstånd bör i lämpliga fall beakta tillgänglighetskraven enligt Europaparlamentets och rådets direktiv (EU) 2019/882.

(65a)

Begreppet ”tillstånd” i denna förordning bör inte tolkas på samma sätt som ”medgivande” enligt förordning (EU) 2016/679, för vilket kraven i den förordningen gäller. Tillstånd enligt denna förordning avser betaltjänstanvändarens godkännande av genomförande av en betalningstransaktion eller av tillgång till uppgifter om kontoinformation. Detta krav påverkar inte tillämpningen av förordning (EU) 2016/679 eller av Europaparlamentets och rådets direktiv 2005/29/EG (19).

(65b)

EBA bör utarbeta förslag till tekniska standarder för tillsyn med en standardiserad förteckning över uppgiftskategorier som ska anges på manöverpanelen.

(66)

Översynen av direktiv (EU) 2015/2366 har visat att leverantörer av kontoinformationstjänster och betalningsinitieringstjänster fortfarande ställs inför många omotiverade hinder, trots den harmonisering som uppnåtts och förbudet mot sådana hinder enligt artikel 32.3 i kommissionens delegerade förordning (EU) 2018/389 (20). Dessa hinder hämmar fortfarande i hög grad den fulla potentialen hos öppna banktjänster i unionen. Leverantörer av kontoinformationstjänster och betalningsinitieringstjänster rapporterar regelbundet om dessa hinder till tillsynsmyndigheter, lagstiftare och kommissionen. EBA analyserade dessa hinder i sitt yttrande Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC från juni 2020. Trots de klargöranden som gjorts råder det fortfarande stor osäkerhet på marknaden och hos tillsynsmyndigheterna om vad som utgör ett ”förbjudet hinder” för reglerade öppna banktjänster. Det är därför nödvändigt att tillhandahålla en tydlig och icke uttömmande förteckning över sådana förbjudna hinder för öppna banktjänster som särskilt beaktar det arbete som EBA har utfört.

(67)

Skyldigheten att hålla personliga behörighetsfunktioner säkra är av allra största vikt för att skydda betaltjänstanvändarens medel och begränsa risker med avseende på bedrägeri och icke auktoriserad tillgång till betalkontona. De villkor eller andra skyldigheter som betaltjänstleverantörer ålägger betaltjänstanvändare att skydda sina personliga behörighetsfunktioner bör inte vara formulerade på ett sätt som hindrar betaltjänstanvändarna från att utnyttja tjänster som tillhandahålls av andra betaltjänstleverantörer, inbegripet betalningsinitieringstjänster och kontoinformationstjänster. Sådana villkor bör inte innehålla några bestämmelser som på något sätt gör det svårare att använda betaltjänster från andra betaltjänstleverantörer som är auktoriserade eller registrerade enligt direktiv (EU) XXX (PSD3). Vad beträffar verksamhet som bedrivs av leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster är det dessutom lämpligt att precisera att kontoinnehavarens namn och kontonumret inte utgör känsliga betalningsuppgifter.

(68)

Det är en förutsättning för fullt fungerande öppna banktjänster att det finns en stark och effektiv kontroll av att reglerna för denna verksamhet efterlevs. Eftersom det inte finns någon gemensam myndighet på unionsnivå som kan kontrollera att rättigheter och skyldigheter i samband med öppna banktjänster respekteras är nationella behöriga myndigheter den första nivån för efterlevnadskontroll när det gäller öppna banktjänster. Det är viktigt att nationella behöriga myndigheter aktivt och noggrant säkerställer att unionens regelverk för öppna banktjänster respekteras. Bristande efterlevnadskontroll från relevanta myndigheters sida framhålls regelbundet av operatörer inom öppna banktjänster som ett av skälen till att dessa tjänster fortfarande har begränsad spridning i unionen. Nationella behöriga myndigheter bör ha lämpliga resurser för att kunna utföra sitt kontrolluppdrag på ett ändamålsenligt och effektivt sätt. Nationella behöriga myndigheter bör främja och verka för en smidig och regelbunden dialog mellan de olika aktörerna i ekosystemet för öppna banktjänster. Kontoförvaltande betaltjänstleverantörer och leverantörer av kontoinformationstjänster och betalningsinitieringstjänster som inte uppfyller sina skyldigheter bör bli föremål för lämpliga sanktioner. Genom att behöriga myndigheter regelbundet övervakar marknaden för öppna banktjänster i unionen och detta samordnas av EBA bör efterlevnadskontrollen underlättas, och insamlingen av uppgifter om marknaden för öppna banktjänster kommer att bidra till att åtgärda den nuvarande bristen på uppgifter som hindrar en effektiv mätning av det faktiska utnyttjandet av öppna banktjänster i unionen. Kontoförvaltande betaltjänstleverantörer och leverantörer av kontoinformationstjänster och betalningsinitieringstjänster bör ha tillgång till tvistlösningsorgan i enlighet med artikel 10 i förslaget till dataakt, så snart den förordningen träder i kraft.

(69)

Den parallella användningen av begreppen ”uttryckligt medgivande” och ”uttryckligt samtycke” i direktiv (EU) 2015/2366 och Europaparlamentets och rådets förordning (EU) 2016/679 (21) har lett till feltolkningar. Syftet med det uttryckliga medgivandet enligt artikel 94.2 i direktiv (EU) 2015/2366 är att få tillgång till dessa personuppgifter för att kunna behandla och lagra de personuppgifter som är nödvändiga för att kunna tillhandahålla betaltjänsten. Ett förtydligande bör därför göras för att öka rättssäkerheten och skapa en tydlig åtskillnad i förhållande till dataskyddsreglerna. Begreppet ”tillstånd” bör användas i denna förordning när begreppet ”uttryckligt medgivande” användes i direktiv (EU) 2015/2366. När det hänvisas till ”tillstånd” bör hänvisningen inte påverka betaltjänstleverantörers skyldigheter enligt artikel 6 i förordning (EU) 2016/679. Tillstånd bör därför inte enbart tolkas som ”samtycke” eller ”uttryckligt samtycke” enligt definitionen i förordning (EU) 2016/679.

(70)

Säkerhet i samband med betalningar är grundläggande för att stärka betaltjänstanvändares förtroende för sådana tjänster och säkerställa att de används. Betalare som avser att sända en betalning till en viss betalningsmottagare kanske på grund av bedrägeri eller fel anger en unik identifikationskod som inte motsvarar ett konto som innehas av den betalningsmottagaren. För att minska bedrägerier och fel bör betaltjänstanvändare ha tillgång till en tjänst som kontrollerar om betalningsmottagarens unika identifikationskod inte stämmer överens med det namn eller den identifiering av annat slag, såsom ett skattenummer, en europeisk unik identifiering enligt artikel 16.1 andra stycket i Europaparlamentets och rådets direktiv (EU) 2017/1132 (22) eller en identifieringskod för juridiska personer, vilken otvetydigt identifierar betalningsmottagaren, som betalaren har angett och, om så är fallet, underrättar betalaren om detta. Den unika identifikationskoden behöver inte vara det internationella bankkontonumret (Iban-numret). I länder där sådana tjänster finns har de haft en betydande positiv inverkan på antalet bedrägerier och fel. Med tanke på hur viktig denna tjänst är för att förebygga bedrägerier och fel bör konsumenter ha tillgång till den utan kostnad. För att undvika onödig friktion eller förseningar i hanteringen av transaktionen bör betalarens betaltjänstleverantör lämna en sådan underrättelse inom högst några få sekunder från den tidpunkt då betalaren har lämnat uppgifter om betalningsmottagaren. För att göra det möjligt för betalaren att besluta om den planerade transaktionen bör genomföras bör betalarens betaltjänstleverantör lämna en sådan underrättelse innan betalaren auktoriserar transaktionen. Betalarna kan ha tillgång till vissa lösningar för betalningsinitiering som gör det möjligt för dem att lägga en betalningsorder utan att själva ange den unika identifikationskoden. I stället tillhandahålls sådana dataelement av leverantören av denna initieringslösning. I sådana fall finns det inget behov av att kontrollera att den unika identifikationskoden överensstämmer med betalningsmottagarens namn, eftersom risken för bedrägeri eller fel är betydligt mindre.

(71)

I förordning (EU) XXX om ändring av förordning (EU) nr 260/2012 föreskrivs att användare av omedelbara betalningar i euro måste erbjudas kontroll av att den unika identifikationskoden överensstämmer med namnet på eller identifiering av annat slag av betalningsmottagaren. För att skapa en enhetlig ram för alla betalningar och samtidigt undvika onödiga överlappningar bör den verifieringstjänst som avses i denna förordning endast tillämpas på betalningar som inte omfattas av förordning (EU) XXX om ändring av förordning (EU) nr 260/2012.

(72)

Vissa attribut för namnet på den betalningsmottagare till vars konto betalaren vill göra en betalning kan öka sannolikheten för att betaltjänstleverantören upptäcker en avvikelse, till exempel förekomsten av diakritiska tecken eller olika möjliga translittereringar av namn enligt olika alfabet, skillnader mellan tilltalsnamn och namn som anges på formella identitetshandlingar när det gäller fysiska personer eller skillnader mellan kommersiella och juridiska namn när det gäller juridiska personer. För att undvika onödig friktion i hanteringen av betalningar och underlätta betalarens beslut att genomföra eller inte genomföra den planerade transaktionen bör betaltjänstleverantörer ange graden av sådana avvikelser genom att i underrättelsen ange ”överensstämmelse saknas” eller ”stark överensstämmelse”.

(73)

Om en betalningstransaktion auktoriseras trots att en avvikelse har konstaterats i samband med kontrollen och betaltjänstanvändaren har underrättats om denna avvikelse kan detta leda till att medlen överförs till fel betalningsmottagare. Betaltjänstleverantörer bör informera betaltjänstanvändare om de möjliga konsekvenserna av att de väljer att ignorera en konstaterad avvikelse och fortsätta att genomföra transaktionen. Betaltjänstanvändare bör när som helst under avtalsförhållandet med betaltjänstleverantören kunna välja bort denna kontrolltjänst. Efter att ha valt bort kontrolltjänsten bör betaltjänstanvändaren kunna välja att börja utnyttja den igen.

(74)

Betaltjänstanvändaren bör utan dröjsmål informera betaltjänstleverantören om eventuella bestridanden av påstått icke auktoriserade, felaktigt genomförda betalningstransaktioner eller auktoriserade betalningar om kontrollen av överensstämmelse inte har fungerat, förutsatt att betaltjänstleverantören har fullgjort sina informationsskyldigheter. Om tidsfristen för att underrätta betaltjänstleverantören har respekterats av betaltjänstanvändaren bör denne ha möjlighet att föra talan inom de nationella preskriptionstiderna. Detta bör inte påverka andra tvister mellan betaltjänstanvändare och betaltjänstleverantörer.

(75)

Bestämmelser bör införas om fördelning av förluster som är en följd av icke auktoriserade betalningstransaktioner eller särskilda auktoriserade betalningar. Olika bestämmelser kan gälla för betaltjänstanvändare som inte är konsumenter, eftersom sådana användare normalt har bättre förutsättningar att bedöma bedrägeririsken och vidta motåtgärder. För att säkerställa ett starkt konsumentskydd bör betalarna alltid ha rätt att rikta ett återbetalningskrav till sin kontoförvaltande betaltjänstleverantör även om en leverantör av betalningsinitieringstjänster deltar i betalningstransaktionen. Detta bör inte påverka ansvarsfördelningen mellan betaltjänstleverantörerna.

(76)

När det gäller betalningsinitieringstjänster bör ansvarsfördelningen mellan den betaltjänstleverantör som förvaltar kontot och den leverantör av betalningsinitieringstjänster som deltar i transaktionen innebära att varje part tar ansvar för den del av transaktionen som de kontrollerar.

(76a)

För att betaltjänstanvändaren ska få enklare tillgång till betaltjänstleverantören bör denna skapa och sköta en kommunikationskanal som gör det möjligt för betaltjänstanvändaren att göra en anmälan eller begära att betalningsinstrumentet frigörs i enlighet med denna förordning. Det bör också vara möjligt för betaltjänstanvändaren att via kanalen anmäla en bedräglig transaktion, få kvalificerad rådgivning vid misstanke om att man har blivit utsatt för ett bedrägeriangrepp och anmäla problem i samband med genomförda betalningar, t.ex. fel på betalningsutrustningen under betalningen.

(77)

I händelse av en icke auktoriserad betalningstransaktion bör betaltjänstleverantören omedelbart återbetala beloppet för den transaktionen till betalaren. Om det finns allvarlig misstanke om att en icke auktoriserad transaktion är resultatet av betalarens bedrägliga beteende och om den misstanken bygger på objektiva grunder som betaltjänstleverantören har meddelat den berörda nationella myndigheten, bör betaltjänstleverantören ha möjlighet att genomföra en undersökning innan betalaren återbetalas. Betaltjänstleverantören bör inom 14 arbetsdagar efter att ha upptäckt, eller blivit underrättad om, transaktionen antingen betala tillbaka den icke auktoriserade betalningstransaktionens belopp till betalaren eller tillhandahålla denne skäl och styrkande handlingar för varför återbetalning nekas samt ange till vilka organ betalaren kan hänskjuta ärendet om betalaren inte godtar de angivna skälen. För att skydda betalaren från nackdelar bör valuteringsdagen för krediteringen av återbetalningen inte infalla senare än det datum då beloppet debiterades. För att skapa incitament för betaltjänstanvändaren att utan oskäligt dröjsmål underrätta sin betaltjänstleverantör om ett stulet eller förlorat betalningsinstrument och således minska risken för icke auktoriserade betalningstransaktioner, bör användaren enbart vara ansvarig för ett mycket begränsat belopp, såvida inte denne har handlat bedrägligt eller visat grov vårdslöshet. I detta sammanhang förefaller ett belopp på 50 EUR vara lämpligt för att garantera ett harmoniserat och starkt skydd för användare inom unionen. Inget ansvar bör föreligga om betalaren inte kunnat känna till förlusten, stölden eller missbruket av betalningsinstrumentet. Så snart en betaltjänstanvändare har underrättat en betaltjänstleverantör om att vederbörandes betalningsinstrument har kommit i orätta händer bör betaltjänstanvändaren dessutom inte vara skyldig att täcka några ytterligare förluster till följd av icke auktoriserad användning av instrumentet. Betaltjänstleverantörer bör vara ansvariga för den tekniska säkerheten för sina egna produkter.

(78)

Bestämmelser om ansvar i samband med auktoriserade betalningar där den tjänst som kontrollerar om det finns avvikelser mellan en betalningsmottagares namn eller identifieringen av annat slag och unika identifikationskod inte har tillämpats eller inte fungerat skulle skapa rätt incitament för betaltjänstleverantörer att tillhandahålla en fullt fungerande tjänst i syfte att minska risken för dåligt underbyggda betalningsauktorisationer. Om betalaren beslutat sig för att använda sig av denna tjänst bör betalarens betaltjänstleverantör hållas ansvarig för hela betalningsbeloppet i fall där betaltjänstleverantören, trots att den borde ha gjort det om tjänsten fungerat korrekt, underlåtit att underrätta betalaren om en avvikelse mellan den unika identifikationskoden eller en annan alternativ kod som fastställts av EBA och namnet på den betalningsmottagare som betalaren angett, och denna underlåtenhet åsamkat betalaren ekonomisk skada. Om ansvaret för betalarens betaltjänstleverantör kan hänföras till betalningsmottagarens betaltjänstleverantör bör betalningsmottagarens betaltjänstleverantör ersätta betalarens betaltjänstleverantör för den ekonomiska skada som uppstått. Detta bör ske i enlighet med Europaparlamentets och rådets förordning (EU) [202X/...] om ändring av förordningarna (EU) nr 260/2012 och (EU) 2021/1230 vad gäller omedelbara betalningar i euro (23).

(78a)

Betaltjänstleverantören bör alltid samarbeta med betaltjänstanvändaren om eventuella avvikelser i betalningarna ska bevisas.

(79)

Betaltjänstanvändare bör ha ett tillräckligt skydd i fråga om så kallade bedrägerier genom social manipulation, där bedragaren manipulerar betaltjänstanvändaren till att utföra en viss åtgärd, såsom att initiera en betalningstransaktion eller överlämna sina behörighetsfunktioner till bedragarna. Antalet fall av denna typ av ”social manipulation” ▌har ökat avsevärt under de senaste åren. ”Spoofing”-fall, där bedragare låtsas vara anställda hos en kunds betaltjänstleverantör , eller en relevant enhet som rimligen skulle kunna kopplas till en tillförlitlig källa till kunden, såsom en centralbank eller statlig myndighet, och missbrukar betaltjänstleverantörens namn, e- postadress eller telefonnummer för att vinna kundernas förtroende och lura dem att utföra vissa handlingar, blir tyvärr allt vanligare i unionen. Dessa nya typer av ”spoofing”- eller identitetsbedrägerier gör att gränsen mellan auktoriserade och icke auktoriserade transaktioner i direktiv (EU) 2015/2366 blir alltmer otydlig. De omständigheter under vilka kunden ▌gett sitt tillstånd till att göra en betalning bör vederbörligen beaktas, inbegripet av domstolar, för att fastställa om en transaktion är auktoriserad eller icke auktoriserad. En transaktion kan ha auktoriserats under omständigheter där auktorisationen beviljades på falska premisser som påverkar auktorisationens integritet. Det är därför inte längre möjligt, såsom var fallet i direktiv (EU) 2015/2366, att begränsa återbetalningarna till enbart icke auktoriserade transaktioner. ▌

(79a)

När det gäller auktorisation av betalningstransaktioner bör tillståndet uttrycka betalarens avsikt på grundval av fullständig kännedom om relevanta fakta, inbegripet transaktionens belopp, mottagare och syfte. Betalarens avsikt, på grundval av full kännedom om relevanta fakta, vid tidpunkten för transaktionen bör bedömas i enlighet med nationell rätt.

(80)

Betaltjänstleverantörer har ▌större möjligheter än konsumenter att sätta stopp för ”spoofing”-bedrägerier genom lämpliga förebyggande åtgärder och robusta tekniska skyddsåtgärder som tas fram tillsammans med leverantörer av elektroniska kommunikationstjänster, till exempel mobilnätsoperatörer, internetplattformar etc. Dessa leverantörer av elektroniska kommunikationstjänster bör åläggas att samarbeta med betaltjänstleverantörer i kampen mot bedrägerier. Om de inte gör detta, bör de hållas gemensamt ansvariga i händelse av ett bedrägeri. Identitetsbedrägerier där bedragare utger sig för att vara bankanställda påverkar bankers anseende, banksektorn som helhet och kan åsamka unionens konsumenter betydande ekonomisk skada, vilket påverkar deras förtroende för elektroniska betalningar och för banksystemet. En konsument som i god tro har utsatts för ett sådant ”spoofing”-bedrägeri där bedragare utgett sig för att vara anställda hos en kunds betaltjänstleverantör och missbrukat betaltjänstleverantörens namn, postadress eller telefonnummer bör därför ha rätt till återbetalning av den bedrägliga betalningstransaktionens hela belopp från betaltjänstleverantören, såvida inte betalaren har handlat bedrägligt eller med ”grov vårdslöshet”. Så snart konsumenten blir medveten om att vederbörande har utsatts för denna typ av bedrägeri bör konsumenten utan oskäligt dröjsmål rapportera incidenten till polisen, helst via klagomålsförfaranden online, om polisen tillhandahåller sådana, och till sin betaltjänstleverantör, samt lägga fram all nödvändig bevisning. ▌

(81)

Med tanke på de skyldigheter som leverantörer av elektroniska kommunikationstjänster har enligt Europaparlamentets och rådets direktiv 2002/58/EG (24) för att säkerställa att deras tjänster är säkra har de kapacitet att bidra till den kollektiva kampen mot ”spoofing”-bedrägerier. Leverantörer av elektroniska kommunikationstjänster bör därför också , utan att det påverkar skyldigheter som fastställs i nationell lagstiftning om införlivande av det direktivet , när så är lämpligt, ha ansvar och samarbeta med betaltjänstleverantörer i syfte att förhindra ytterligare bedrägerier av denna typ, bland annat genom att agera skyndsamt för att säkerställa att lämpliga organisatoriska och tekniska åtgärder vidtas för att skydda säkerheten och konfidentialiteten vid kommunikation i enlighet med direktiv 2002/58/EG. Eventuella anspråk för bedrägerier på andra leverantörer, såsom leverantörer av elektroniska kommunikationstjänster eller onlineplattformar , för ekonomisk skada som åsamkats i samband med denna typ av bedrägeri bör framställas i enlighet med denna förordning .

(81a)

Onlineplattformar kan också bidra till ett ökande antal bedrägerier. Utan att det påverkar deras skyldigheter enligt Europaparlamentets och rådets förordning (EU) 2022/2065 (25) (förordningen om digitala tjänster), bör onlineplattformar därför hållas ansvariga om bedrägeri har uppstått som en direkt följd av att bedragare använt deras plattform för att vilseleda konsumenter, om de informerades om bedrägligt innehåll på deras plattform och inte avlägsnade det.

(82)

Alla omständigheter bör beaktas för att bedöma eventuell vårdslöshet eller grov vårdslöshet från betaltjänstanvändarens sida. Bevis för den påstådda vårdslösheten och graden av vårdslöshet bör i regel prövas enligt nationell rätt. Medan begreppet vårdslöshet inbegriper ett åsidosättande av en aktsamhetsplikt bör grov vårdslöshet emellertid innebära mer än enbart vårdslöshet och omfatta ett handlande som uppvisar en betydande grad av oaktsamhet, till exempel att göra en betalning till en bedragare utan att ha något rimligt skäl att tro att den betalningsmottagare som betalningen varit avsedd för är legitim , förvara de behörighetsuppgifter som används för att auktorisera en betalningstransaktion i nära anslutning till betalningsinstrumentet och i ett format som är öppet och lätt att upptäcka för tredje man , övertala en bank att häva en spärr som införts efter en bedrägerivarning med vägledning från en obekant tredje part eller ge en olåst smarttelefon till en tredje part .

(82a)

Med tanke på det faktum att begreppet grov vårdslöshet tolkas på mycket olika sätt i unionen bör EBA utfärda riktlinjer för hur detta begrepp ska tolkas vid tillämpningen av denna förordning.

(83)

Som ogiltiga bör sådana avtalsbestämmelser och avtalsvillkor betraktas som för tillhandahållandet och användningen av ett betalningsinstrument innebär en ökad bevisbörda för konsumenten eller en mindre bevisbörda för utgivaren. I vissa situationer, särskilt när betalningsinstrumentet inte är på plats på försäljningsstället, vilket är fallet med onlinebetalningar, är det lämpligt att kräva att betaltjänstleverantören bevisar påstådd vårdslöshet, eftersom betalarens möjligheter att göra detta i sådana fall är mycket begränsade.

(84)

Konsumenterna är särskilt sårbara i samband med kortbaserade betalningstransaktioner där det exakta transaktionsbeloppet inte är känt vid den tidpunkt då betalaren ger sitt tillstånd till genomförandet av betalningstransaktionen, till exempel på obemannade bensinstationer, i biluthyrningsavtal eller vid hotellbokningar. Betalarens betaltjänstleverantör bör kunna reservera ett belopp på betalarens betalkonto som står i proportion till det belopp för betalningstransaktionen som betalaren rimligen kan förvänta, men endast om betalaren har gett sitt samtycke till att exakt detta belopp reserveras. Dessa medel bör frigöras omedelbart efter mottagandet av informationen om betalningstransaktionens exakta slutliga belopp och senast omedelbart efter mottagandet av betalningsordern. För att säkerställa att skillnaden mellan det reserverade beloppet och betalningstransaktionens exakta belopp snabbt frigörs bör betalningsmottagaren informera betaltjänstleverantören omedelbart efter det att tjänsten utförts eller varorna levererats till betalaren.

(85)

I medlemsstater som inte har euron som valuta finns fortfarande äldre autogirosystem för transaktioner i andra valutor än euro. Dessa system har visat sig vara effektiva och säkerställer samma höga nivå av skydd för betalaren genom andra skyddsåtgärder som inte alltid baseras på en ovillkorlig rätt till återbetalning. I detta fall bör betalaren skyddas genom den allmänna regeln om återbetalning när den genomförda betalningstransaktionen överstiger det belopp som rimligen kunde ha förväntats. Dessutom bör det vara möjligt för medlemsstaterna att fastställa regler om återbetalningsrättigheter som är mer fördelaktiga för betalaren än de som fastställs i denna förordning. Det skulle vara rimligt att tillåta att betalaren och dennes betaltjänstleverantör i ett ramavtal enas om att betalaren inte har rätt till återbetalning i situationer där betalaren är skyddad. Detta kan bero antingen på att betalaren direkt till sin betaltjänstleverantör givit sitt tillstånd till att en transaktion genomförs, inbegripet när den senare handlar för betalningsmottagarens räkning eller på att betaltjänstleverantören eller betalningsmottagaren på avtalat sätt gett betalaren information om den framtida betalningstransaktionen eller gjort informationen tillgänglig för denne minst fyra veckor före sista betalningsdagen. Betalaren bör under alla omständigheter skyddas genom den allmänna återbetalningsregeln i händelse av icke auktoriserade eller felaktigt genomförda betalningstransaktioner eller auktoriserade betalningar som beror på en felaktig tillämpning av kontrollen av överensstämmelse eller i händelse av att betaltjänstleverantören utsatts för identitetsbedrägeri.

(86)

För att kunna planera sin ekonomi och fullgöra sina betalningsförpliktelser i tid måste konsumenter och företag vara säkra på hur lång tid det tar att genomföra en betalningsorder. Det är därför nödvändigt att fastställa när rättigheter och skyldigheter börjar gälla, dvs. då betaltjänstleverantören tar emot betalningsordern, inbegripet den tidpunkt då betaltjänstleverantören hade möjlighet att ta emot den genom de kommunikationsmedel som avtalats i betaltjänstavtalet. Detta påverkar inte eventuellt tidigare deltagande i det förfarande som leder fram till upprättandet och överföringen av betalningsordern, till exempel säkerhetskontroller och kontroller av att medel finns tillgängliga, information om användning av det personliga identifieringsnumret eller utfärdande av ett betalningslöfte. Vidare bör mottagande av en betalningsorder anses inträffa när betalarens betaltjänstleverantör tar emot den betalningsorder som kommer att debiteras betalarens konto. Den tidpunkt då en betalningsmottagare till sin betaltjänstleverantör överför betalningsorder för inkassering av exempelvis kortbetalningar eller autogireringar, eller då betalningsmottagaren beviljas en förskottsfinansiering av de aktuella beloppen av sin betaltjänstleverantör genom en kredit kopplad till sitt konto, bör i detta sammanhang sakna relevans. Användarna bör kunna lita på att en betalningsorder genomförs korrekt och fullständigt om inte betaltjänstleverantören har avtalsenlig eller laga grund för avvisa den. Om betaltjänstleverantören avvisar en betalningsorder bör, om inte annat följer av krav i unionslagstiftning eller nationell lagstiftning, betaltjänstanvändaren snarast möjligt underrättas om detta och om skälet till att den avvisats. Om ramavtalet innefattar villkor som innebär att betaltjänstleverantören får ta ut en avgift för avvisande bör denna vara objektivt motiverad och så låg som möjligt.

(87)

Med tanke på hur snabbt helautomatiserade betalningssystem hanterar betalningstransaktioner, vilket gör att betalningsorder inte kan återkallas efter en viss tidpunkt utan höga kostnader för manuella insatser, är det nödvändigt att fastställa en tydlig tidsfrist för återkallelse av betalningar. Beroende på typen av betaltjänst och betalningsorder bör det dock vara möjligt att variera tidpunkten för återkallelse av betalningar genom ett avtal mellan parterna. Återkallelse bör i detta sammanhang endast gälla mellan betaltjänstanvändaren och betaltjänstleverantören och inte påverka det faktum att betalningstransaktioner i betalningssystem är oåterkalleliga och slutliga.

(88)

Betalningsorderns oåterkallelighet bör inte påverka en betaltjänstleverantörs rättigheter eller skyldigheter enligt medlemsstaternas lagar, på grundval av betalarens ramavtal eller nationella lagar och andra författningar eller riktlinjer att återbetala den genomförda betalningstransaktionens belopp till betalaren om det uppstår en tvist mellan betalaren och betalningsmottagaren. En sådan återbetalning bör betraktas som en ny betalningsorder. Utom i dessa fall bör rättsliga tvister som uppstår inom det förhållande som ligger till grund för betalningsordern avgöras endast mellan betalaren och betalningsmottagaren.

(89)

Att hela det belopp som betalaren överför krediteras betalningsmottagarens konto är av avgörande betydelse för en helt integrerad automatiserad förmedling av betalningar (straight-through processing) och för rättssäkerheten vad gäller underliggande inbördes skyldigheter mellan betaltjänstanvändare. Det bör därför inte vara möjligt för någon av de mellanhänder som deltar i genomförandet av betalningstransaktioner att göra avdrag från det överförda beloppet. Det bör dock vara möjligt för betalningsmottagaren att ingå ett avtal med sin betaltjänstleverantör som ger den sistnämnda möjlighet att dra av sina egna avgifter. För att göra det möjligt för betalningsmottagaren att kontrollera att det utestående beloppet betalas korrekt bör det emellertid i den efterföljande informationen om betalningstransaktionen lämnas uppgift inte bara om hela det överförda beloppet, utan även om storleken på eventuella avgifter som har dragits av.

(90)

För att effektivisera betalningarna inom unionen bör en maximal genomförandetid på en dag tillämpas för alla betalningsorder som initierats av betalaren i euro eller i valutan i en medlemsstat som inte har euron som valuta, inbegripet traditionella betalningar och penningöverföringar. För alla övriga betalningar, exempelvis betalningar som initierats av eller via en betalningsmottagare, däribland autogireringar och kortbetalningar, bör samma genomförandetid på en dag tillämpas om det inte föreligger ett uttryckligt avtal mellan betaltjänstleverantören och betalaren om längre genomförandetid. Det bör vara möjligt att förlänga ovannämnda tider med ytterligare en bankdag om betalningsordern görs på papper, för att göra det möjligt att fortsätta att tillhandahålla betaltjänster till kunder som endast är vana vid pappersdokument. Om autogirosystem används, bör betalningsmottagarens betaltjänstleverantör överföra inkasseringsordern inom de tidsgränser som har överenskommits mellan denne och betalningsmottagaren, så att betalning sker på överenskommen dag. Utgiftsgränserna bör anges i avtalet mellan betaltjänstleverantören och betalaren, men kunna justeras. Det bör vara möjligt att behålla eller fastställa bestämmelser om kortare genomförandetider än en bankdag.

(91)

Bestämmelserna om betalning av beloppet i dess helhet och om genomförandetid bör ses som god praxis om någon av betaltjänstleverantörerna inte är etablerad inom unionen. När en betalning eller penningöverföring görs till en betalningsmottagare utanför unionen bör betalarens betaltjänstleverantör ge betalaren en uppskattning av hur lång tid det tar innan betalningen eller penningöverföringen krediteras betalningsmottagarens betaltjänstleverantör utanför unionen. En betaltjänstleverantör i unionen kan inte förväntas uppskatta hur lång tid det tar för en betaltjänstleverantör utanför unionen att, efter att ha mottagit medlen, kreditera dessa medel på betalningsmottagarens konto.

(92)

För att stärka betaltjänstanvändares förtroende för betalningsmarknaderna är det viktigt att de känner till de faktiska avgifterna för betaltjänster. I linje med detta bör icke-transparenta prissättningsmetoder vara förbjudna, eftersom det är allmänt vedertaget att sådana metoder gör det ytterst svårt för användarna att fastställa det faktiska priset för en betaltjänst. I synnerhet bör användning av valutadagar som missgynnar användarna inte tillåtas.

(93)

Det bör vara möjligt för betaltjänstleverantören att klart och tydligt ange vilken information som krävs för att genomföra betalningsordern korrekt. Betalarens betaltjänstleverantör bör iaktta tillbörlig försiktighet och, när det är tekniskt möjligt och inte kräver manuellt ingripande, kontrollera att den unika identifikationskoden stämmer och, om så inte är fallet, vägra att genomföra betalningsordern och informera betalaren om detta.

(94)

Det är en förutsättning för betalningssystemens problemfria och effektiva funktion att användaren kan lita på att betaltjänstleverantören genomför betalningstransaktionen korrekt och inom avtalad tid. Betaltjänstleverantören har i regel förutsättningar att bedöma riskerna med en betalningstransaktion. Det är den betaltjänstleverantör som tillhandahåller betalningssystemet som vidtar åtgärder för att återkalla felaktigt placerade medel och i de flesta fall beslutar vilka mellanhänder som deltar i genomförandet av en betalningstransaktion. Mot denna bakgrund är det, utom under onormala och oförutsägbara förhållanden, lämpligt att betaltjänstleverantören åläggs att genomföra en betalningstransaktion som denne har tagit emot från användaren, utom när det gäller handlingar och försummelser som betalningsmottagarens betaltjänstleverantör, som är utvald endast av betalningsmottagaren, begår. För att undvika att betalaren står utan skydd i det osannolika fallet att det inte står klart att betalningsbeloppet mottagits av betalningsmottagarens betaltjänstleverantör bör emellertid bevisbördan i sådana fall vila på betalarens betaltjänstleverantör. Det förmedlande institutet, vanligtvis ett opartiskt organ såsom en centralbank eller en clearingorganisation, som överför betalningsbeloppet från den sändande till den mottagande betaltjänstleverantören, kan i regel förväntas lagra kontouppgifterna och vid behov kunna tillhandahålla dem. Om betalningsbeloppet har krediterats den mottagande betaltjänstleverantörens konto bör betalningsmottagaren omedelbart ha en fordran på sin betaltjänstleverantör för kreditering av sitt konto.

(95)

Betalarens betaltjänstleverantör, dvs. den kontoförvaltande betaltjänstleverantören eller, i förekommande fall, leverantören av betalningsinitieringstjänster, bör ha ansvar för att betalningar utförs korrekt, inbegripet betalning av betalningstransaktionens hela belopp och genomförandetid, samt fullt ansvar om andra parter i betalningskedjan fram till betalningsmottagarens konto inte agerar på rätt sätt. Om hela beloppet inte krediteras betalningsmottagarens betaltjänstleverantör eller krediteras denne för sent följer av detta ansvar att betalarens betaltjänstleverantör bör korrigera betalningstransaktionen eller utan oskäligt dröjsmål återbetala den berörda delen av transaktionsbeloppet till betalaren, utan att detta påverkar eventuella andra anspråk som kan framställas enligt nationell rätt. Till följd av betaltjänstleverantörens ansvar bör varken betalaren eller betalningsmottagaren behöva bära eventuella kostnader i samband med en felaktig betalning. I händelse av icke genomförda, bristfälliga eller sent gjorda betalningstransaktioner bör valuteringsdagen för de korrigerande betalningar som görs av betaltjänstleverantören alltid vara densamma som valuteringsdagen för en korrekt genomförd transaktion.

(96)

Det är en förutsättning för väl fungerande betalningar och andra betaltjänster att betaltjänstleverantörer och deras mellanhänder, inbegripet registerförare, har avtal i vilka deras ömsesidiga rättigheter och skyldigheter fastställs. Ansvarsfrågor utgör en väsentlig del av dessa avtal. För att säkerställa ömsesidigt förtroende mellan betaltjänstleverantörer och mellanhänder som deltar i en betalningstransaktion krävs rättssäkerhet om att icke ansvariga betaltjänstleverantörer enligt reglerna om ansvar kommer att ersättas för uppkomna förluster eller utbetalda belopp. Ytterligare rättigheter och närmare bestämmelser om regressrätt och hanteringen av anspråk på en betaltjänstleverantör eller mellanhand rörande en felaktig betalningstransaktion bör vara föremål för ett avtal.

(97)

Betaltjänstleverantörers tillhandahållande av betaltjänster kan förutsätta behandling av personuppgifter. Sådan behandling bör endast kunna utföras medbetaltjänstanvändarens tillstånd. Tillhandahållande av kontoinformationstjänster kan innebära behandling av personuppgifter från en registrerad som inte använder en särskild betaltjänstleverantör, men vars personuppgifter måste behandlas av denna särskilda betaltjänstleverantör för att fullgöra ett avtal mellan leverantören och betaltjänstanvändaren. Om personuppgifter behandlas bör behandlingen vara förenlig med förordning (EU) 2016/679 och Europaparlamentets och rådets förordning (EU) 2018/1725 (26), inbegripet principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering. Inbyggt uppgiftsskydd och dataskydd bör ingå som standard i alla databehandlingssystem som utvecklas och används inom ramen för denna förordning. Tillsynsmyndigheterna enligt förordningarna (EU) 2016/679 och (EU) 2018/1725 bör därför ansvara för tillsynen av den behandling av personuppgifter som utförs inom ramen för denna förordning.

(98)

Såsom konstateras i kommissionens meddelande om en EU-strategi för massbetalningar är det av stort allmänintresse att EU:s betalningsmarknader fungerar väl. När det är nödvändigt inom ramen för denna förordning för tillhandahållande av betaltjänster och för efterlevnad av denna förordning bör betaltjänstleverantörer och operatörer av betalningssystem därför kunna behandla särskilda kategorier av personuppgifter enligt definitionen i artikel 9.1 i förordning (EU) 2016/679 och artikel 10.1 i förordning (EU) 2018/1725. Vid behandling av särskilda kategorier av personuppgifter bör betaltjänstleverantörer och operatörer av betalningssystem vidta lämpliga tekniska och organisatoriska åtgärder för att skydda fysiska personers grundläggande fri- och rättigheter. Dessa åtgärder bör omfatta tekniska begränsningar för vidareutnyttjande av uppgifter samt användning av moderna säkerhetsåtgärder och integritetsbevarande åtgärder, inbegripet , men inte begränsat till, pseudonymisering, eller kryptering för att säkerställa efterlevnad av principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering, i enlighet med förordning (EU) 2016/679. Betaltjänstleverantörer och operatörer av betalningssystem bör även vidta särskilda åtgärder inom sina organisationer, till exempel säkerställa utbildning i behandling av sådana data, begränsa åtkomsten till särskilda datakategorier och registrera sådan åtkomst.

(99)

Information till enskilda personer om behandlingen av personuppgifter bör tillhandahållas i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725.

(100)

Bedragare riktar ofta in sig på de mest sårbara personerna i samhället. Det är mycket viktigt att bedrägliga betalningstransaktioner upptäcks utan oskäligt dröjsmål och transaktionsövervakning spelar i detta sammanhang en viktig roll. Det är därför lämpligt att kräva att betaltjänstleverantörer inrättar transaktionsövervakningsmekanismer, eftersom dessa mekanismer på ett avgörande sätt bidrar till att förebygga bedrägerier och går utöver det skydd som erbjuds genom stark kundautentisering när det gäller betalningstransaktioner, inbegripet transaktioner som innefattar betalningsinitieringstjänster. Om betaltjänstleverantörer inte har inrättat lämpliga mekanismer för att förebygga bedrägerier bör de hållas ansvariga för att täcka betaltjänstanvändarnas ekonomiska förluster till följd av bedrägerier.

(100a)

Medlemsstaterna bör samarbeta med betaltjänstleverantörer och leverantörer av elektroniska kommunikationstjänster för att finansiera utbildningskampanjer riktade till medborgarna om hur man upptäcker betalningsbedrägerier och hur man undviker att bli offer för bedragare i samband med betalningar. Betaltjänstleverantörer och leverantörer av elektroniska kommunikationstjänster bör samarbeta kostnadsfritt med medlemsstaterna i denna fråga.

(101)

EBA bör utarbeta förslag till tekniska standarder för tillsyn avseende särskilda tekniska krav för transaktionsövervakningsmekanismer. Sådana krav bör utgå från det mervärde som härrör från miljö- och beteenderelaterade kännetecken hos betaltjänstanvändarens betalningsvanor.

(102)

För att säkerställa att transaktionsövervakningsmekanismerna verkligen fungerar så att betaltjänstleverantörer kan upptäcka och förebygga bedrägerier, särskilt genom att upptäcka atypisk användning av betaltjänster som skulle kunna tyda på en potentiellt bedräglig transaktion, bör betaltjänstleverantörer kunna behandla information om sina kunders transaktioner och betalkonton. Betaltjänstleverantörer bör dock fastställa lämpliga lagringstider för olika typer av uppgifter som används för att förebygga bedrägerier. Lagringstiderna bör inte vara längre än vad som krävs för att upptäcka atypiska och potentiellt bedrägliga beteenden, och betaltjänstleverantörer bör regelbundet radera uppgifter som inte längre behövs för att upptäcka och förebygga bedrägerier. Uppgifter som behandlas för transaktionsövervakningsändamål bör inte användas efter det att betaltjänstanvändaren har upphört att vara betaltjänstleverantörens kund.

(103)

Bedrägerier i samband med betalningar är till sin natur anpassningsbara och omfattar en mängd olika metoder och tekniker, bland annat stöld av autentiseringsuppgifter, manipulering av fakturor och social manipulation. För att kunna förebygga nya typer av bedrägerier bör transaktionsövervakningen därför ständigt förbättras och teknik som artificiell intelligens utnyttjas fullt ut. Betaltjänstleverantörer har ofta inte en fullständig bild av alla faktorer som kan leda till att bedrägerier upptäcks utan oskäligt dröjsmål. De kan dock få bättre förutsättningar om de får mer information om potentiellt bedräglig verksamhet från andra betaltjänstleverantörer. Det bör därför vara obligatoriskt för betaltjänstleverantörer att utbyta all relevant information med varandra. För att göra det lättare att upptäcka bedrägliga betalningstransaktioner och skydda kunderna bör betaltjänstleverantörer, i syfte att övervaka transaktioner, använda sig av uppgifter om betalningsbedrägerier som delas av andra betaltjänstleverantörer på multilateral basis, såsom särskilda it-plattformar inom ramen för arrangemang för informationsutbyte. För att förbättra skyddet för betalare mot bedrägerier i samband med betalningar bör betaltjänstleverantörer kunna förlita sig på så uttömmande och uppdaterad information som möjligt, dvs. genom att kollektivt använda information om unika identifikationskoder, manipulationstekniker och andra omständigheter i samband med bedrägliga betalningar som identifieras individuellt av varje betaltjänstleverantör. Innan de etablerar ett arrangemang för informationsutbyte bör betaltjänstleverantörer genomföra en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 i förordning (EU) 2016/679. Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, bör betaltjänstleverantörer samråda med den relevanta dataskyddsmyndigheten i enlighet med artikel 36 i förordning (EU) 2016/679. En ny konsekvensbedömning bör inte krävas när en betaltjänstleverantör ansluter sig till ett befintligt arrangemang för informationsutbyte för vilket en konsekvensbedömning avseende dataskydd redan har genomförts. Arrangemanget för informationsutbyte bör innefatta tekniska och organisatoriska åtgärder för att skydda personuppgifter. Arrangemanget bör ange alla betaltjänstleverantörers roller och ansvarsområden i enlighet med dataskyddslagstiftningen, samt om det finns gemensamt personuppgiftsansvariga.

(103a)

EBA bör inrätta en särskild it-plattform för att utbyta information om bedrägliga konton.

(103b)

När övervakningsmekanismerna ger starka bevis för att misstänka en bedräglig transaktion, eller när användaren underrättar betaltjänstleverantören om en polisanmälan, bör betaltjänstleverantörerna ha rätt att avbryta genomförandet av betalningsordern eller att spärra och återvinna de tillhörande medlen. Dessa bevis bör förstås som att de omfattar objektivt motiverade skäl som rör betalningstransaktionens säkerhet och en misstanke om icke-auktoriserade eller bedrägliga transaktioner. Om en betaltjänstleverantör underlåter att avbryta genomförandet av betalningsordern bör betaltjänstleverantören täcka eventuella ekonomiska förluster som orsakas en betaltjänstanvändare, om betaltjänstanvändaren är offer för ett sådant bedrägeri.

▌

(104a)

I enlighet med denna förordning bör den unika identifikationskoden kontrolleras för alla betalningar.

(104b)

EBA bör utarbeta förslag till tekniska standarder för tillsyn som specificerar vilka andra identifieringskoder än Iban-nummer som bör godtas som unika identifikationskoder.

(105)

Skyddsåtgärder bör införas för att förhindra att legitimt utbyte av information om potentiellt bedräglig verksamhet leder till ett överdrivet avhändande av risk (de-risking) eller till att betaltjänstanvändare stängs av från betalkontotjänster utan förklaring eller möjlighet till regress. Uppgifter om betalningsbedrägerier som delas inom ramen för ett multilateralt arrangemang för informationsutbyte som kan innebära att personuppgifter lämnas ut, inbegripet unika identifikationskoder för betalningsmottagare som kan vara inblandade i betalningsbedrägerier, bör endast användas av betaltjänstleverantörer i syfte att förbättra transaktionsövervakningen. En betaltjänstleverantör bör införa ytterligare skyddsåtgärder, såsom att kontakta kunden om denne är betalare av en betalning som kan antas vara bedräglig, och närmare övervaka ett konto om den unika identifikationskod som delats som potentiellt bedräglig anger en kund hos denna betaltjänstleverantör. Uppgifter om betalningsbedrägerier som delas mellan betaltjänstleverantörer inom ramen för sådana arrangemang bör inte utgöra skäl för avstängning från banktjänster utan en noggrann utredning.

(106)

Betalningsbedrägerier blir alltmer sofistikerade och bedragare använder manipulativa metoder och imitationstekniker som det är svårt för betaltjänstanvändare att upptäcka om de inte har tillräcklig kunskap och kännedom om bedrägerier. Betaltjänstleverantörer kan spela en viktig roll för att stärka förebyggandet av bedrägerier genom att regelbundet ta alla nödvändiga initiativ för att öka kunskapen och medvetenheten hos sina betaltjänstanvändare om riskerna och trenderna för betalningsbedrägerier. Betaltjänstleverantörer bör särskilt genomföra lämpliga program och kampanjer för att öka kunskaperna om bedrägeritrender och bedrägeririsker bland betaltjänstleverantörers kunder och anställda, så att kunderna lättare kan upptäcka om de utsätts för ett bedrägeriförsök. Betaltjänstleverantörer bör via olika kanaler ge sina konsumenter anpassad information om bedrägerier med tydliga uppmaningar och varningar, så att de får hjälp att agera på rätt sätt när de utsätts för potentiellt bedrägliga situationer. EBA bör utarbeta riktlinjer för de olika typer av program som betaltjänstleverantörer bör utveckla om risker för betalningsbedrägerier och i detta sammanhang ta hänsyn till att bedrägerirelaterade risker ständigt förändras.

(107)

Säkerhet i samband med elektroniska betalningar är grundläggande för att säkerställa skydd för användarna och skapa en sund e-handelsmiljö. Alla betaltjänster som tillhandahålls elektroniskt bör genomföras på ett säkert sätt med hjälp av teknik som garanterar säker autentisering av användaren och i största möjliga mån minskar risken för bedrägeri. När det gäller bedrägerier var den främsta nyheten i direktiv (EU) 2015/2366 införandet av stark kundautentisering. I kommissionens utvärdering av genomförandet av direktiv (EU) 2015/2366 drogs slutsatsen att stark kundautentisering redan på ett mycket framgångsrikt sätt har bidragit till att minska bedrägerierna.

(107a)

För att konsumenterna ska kunna dra nytta av en fortsatt stark kundautentisering och för att stark kundautentisering ska förbli ett effektivt verktyg i kampen mot bedrägerier vid elektroniska betalningar, är det lämpligt att tillämpningen av en stark kundautentisering är riskbaserad. Reglerna för stark kundautentisering bör i sin tur medge tillräcklig flexibilitet för innovation inom betalningssektorn, även inom utveckling av nya lösningar för stark kundautentisering.

(108)

Stark kundautentisering bör inte kringgås genom ett oberättigat utnyttjande av undantagen från stark kundautentisering. Tydliga definitioner av MIT-transaktioner (transaktioner som initieras av handlare) och MOTO-betalningsorder (betalningsorder via brev eller telefon) bör införas av EBA eftersom dessa begrepp, som kan användas för att motivera ett undantag från stark kundautentisering, tolkas och tillämpas på olika sätt och därmed missbrukas. När det gäller MIT-transaktioner bör stark kundautentisering tillämpas när det ursprungliga medgivandet ges, men det är inte nödvändigt att tillämpa stark kundautentisering i samband med efterföljande MIT-transaktioner. När det gäller MOTO-betalningsorder bör endast initieringen av betalningstransaktioner – inte genomförandet av dem – behöva vara icke-digital för att undanta dem från skyldigheten att tillämpa stark kundautentisering. Betalningstransaktioner som baseras på pappersbaserade betalningsorder eller betalningsorder via brev eller telefon som lagts av betalaren bör dock även framöver omfattas av säkerhetskrav och kontroller av betalarens betaltjänstleverantör som möjliggör autentisering av betalningstransaktionen. Kravet på stark kundautentisering bör inte heller kunna kringgås genom till exempel användning av en förvärvare som är etablerad utanför unionen. Samtidigt bör stark kundautentisering alltid tillhandahållas kostnadsfritt.

(109)

Eftersom den betaltjänstleverantör som bör tillämpa stark kundautentisering är den betaltjänstleverantör som utfärdar de personliga behörighetsfunktionerna bör betalningstransaktioner som inte initieras av betalaren utan endast av betalningsmottagaren inte omfattas av stark kundautentisering i den mån dessa transaktioner initieras utan någon interaktion med eller medverkan från betalaren. Regleringen av ▌autogireringar ▌bör anpassas och omfattas av samma konsumentskyddsåtgärder, inbegripet återbetalningar.

(109a)

När det gäller betalningar mellan företag (B2B) eller betalningar från företag till myndigheter (B2G) bör den starka kundautentiseringen vara anpassad till risknivån för sådana transaktioner, särskilt med beaktande av redan befintliga kontroller bland dessa aktörer. För att minska den administrativa bördan bör det inte krävas stark kundautentisering för varje sådan transaktion, utan denna bör vara anpassad efter en riskbaserad metod.

(110)

För att förbättra den finansiella inkluderingen, och i linje med Europaparlamentets och rådets direktiv (EU) 2019/882 (27) om tillgänglighetskrav för produkter och tjänster, bör alla betaltjänstanvändare, inbegripet personer med funktionsnedsättning, äldre, personer med begränsad digital kompetens och personer som inte har tillgång till digitala enheter såsom smarttelefoner, omfattas av det skydd mot bedrägerier som tillhandahålls genom stark kundautentisering, särskilt när det gäller användningen av digitala betalningstransaktioner på distans och onlineåtkomst till betalkonton som grundläggande finansiella tjänster. Införandet av stark kundautentisering har gjort att vissa konsumenter i unionen inte har kunnat genomföra onlinetransaktioner eftersom de är fysiskt oförmögna att utföra stark kundautentisering. Betaltjänstleverantörer bör därför säkerställa att deras kunder kan använda olika metoder för att utföra stark kundautentisering som är anpassade till deras behov och omständigheter. Dessa metoder bör inte vara beroende av en enda teknik, enhet eller mekanism eller av innehav av en smarttelefon eller en annan smart enhet .

(111)

Europeiska digitala identitetsplånböcker, som genomförs enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 (28), ändrad genom förordning [XXX], är medel för elektronisk identifiering som erbjuder identifierings- och autentiseringsverktyg för åtkomst till finansiella tjänster över gränserna, inbegripet betaltjänster. Införandet av den europeiska digitala identitetsplånboken skulle ytterligare underlätta gränsöverskridande digital identifiering och autentisering för säkra digitala betalningar och främja utvecklingen av ett alleuropeiskt digitalt betalningslandskap.

(112)

Ökningen av elektronisk handel och mobilbetalningar bör åtföljas av en generell förstärkning av säkerhetsåtgärder. Om en betalningstransaktion initieras på distans, dvs. när en betalningsorder läggs via internet, bör autentiseringen av transaktionen baseras på dynamiska koder, så att användarna alltid känner till beloppet och betalningsmottagaren för den transaktion som de auktoriserar.

(113)

Kravet på stark kundautentisering vid betalningstransaktioner på distans genom koder som på ett dynamiskt sätt kopplar transaktionen till ett specifikt belopp och en specifik betalningsmottagare bör ta hänsyn till ökningen av mobilbetalningar och uppkomsten av en rad olika modeller genom vilka mobilbetalningar utförs.

(114)

Eftersom dynamiska kopplingar hanterar riskerna för manipulering av betalningsmottagarens namn och transaktionens specifika belopp mellan den tidpunkt då en betalningsorder läggs och autentiseringen av betalningen, men även risken för bedrägeri mer generellt, bör betaltjänstleverantörer för mobilbetalningar för vilka genomförandet av stark kundautentisering kräver att betalarens enhet är uppkopplad mot internet även utgå från element som på ett dynamiskt sätt kopplar transaktionen till ett specifikt belopp och en specifik betalningsmottagare eller harmoniserade säkerhetsåtgärder med samma verkan, som säkerställer transaktionens konfidentialitet, autenticitet och integritet under alla faser av initieringen.

(115)

Enligt undantaget från stark kundautentisering enligt artikel 18 i delegerad förordning (EU) 2018/389 behövde betaltjänstleverantörer inte tillämpa stark kundautentisering om betalaren initierade en elektronisk betalningstransaktion på distans som betaltjänstleverantören bedömde utgöra en låg risk enligt transaktionsövervakningsmekanismen. Återkopplingen från marknaden visade dock att för att få fler betaltjänstleverantörer att genomföra transaktionsriskanalyser är det nödvändigt att anta lämpliga regler om transaktionsriskanalysers omfattning, införa tydliga revisionskrav, tillhandahålla närmare information om och bättre definitioner av kraven på riskövervakning och de data som delas, samt att bedöma de potentiella fördelarna med att låta betaltjänstleverantörer rapportera bedrägliga transaktioner för vilka de ensamma bär ansvar. EBA bör utarbeta förslag till tekniska standarder för tillsyn med regler för transaktionsriskanalyser. För att öka användningen av undantaget från transaktionsriskanalys bör man i förslaget till tekniska standarder för tillsyn överväga ytterligare tröskelvärden för det undantaget. Dessutom bör man i standarderna överväga om det är nödvändigt att förtydliga huruvida betaltjänstleverantörer i sina bedrägerifrekvenser endast bör räkna med ansvaret gentemot betalaren.

(116)

Säkerhetsåtgärderna bör vara förenliga med den risknivå som betaltjänsterna medför. För att möjliggöra utveckling av användarvänliga och tillgängliga betalningsmedel för lågriskbetalningar, såsom kontaktfria betalningar av låga belopp på försäljningsstället eller betalningar som görs av ett betalande företag i ett företagssammanhang, oavsett om dessa betalningar görs från mobiltelefon eller inte, bör undantagen från tillämpningen av säkerhetskrav specificeras i tekniska standarder för tillsyn. För att begränsa riskerna för spoofing, nätfiske och andra bedrägerier krävs en säker användning av personliga behörighetsfunktioner. Användarna bör kunna lita sig på att åtgärder vidtas som skyddar konfidentialiteten och integriteten hos deras personliga behörighetsfunktioner.

(117)

Betaltjänstleverantörer bör tillämpa stark kundautentisering bland annat när betaltjänstanvändaren genomför en åtgärd på distans som kan innebära en risk för betalningsbedrägeri eller annat missbruk. Betaltjänstleverantörer bör ha infört lämpliga säkerhetsåtgärder för att skydda konfidentialiteten och integriteten hos betaltjänstanvändares personliga behörighetsfunktioner.

(118)

Det finns ingen samstämmig tolkning bland marknadsaktörerna i medlemsstaterna av de krav på stark kundautentisering som gäller för registrering av betalningsinstrument, särskilt betalkort, i digitala plånböcker. Skapandet av en token eller ersättningsprocessen för en token kan ge upphov till risker för betalningsbedrägeri eller annat missbruk. När en token för ett betalningsinstrument skapas eller ersätts och detta sker på distans med deltagande av betaltjänstanvändaren bör det därför krävas att betaltjänstanvändarens betaltjänstleverantör tillämpar stark kundautentisering vid tidpunkten för utfärdandet eller ersättningen av token. Om stark kundautentisering tillämpas när en token skapas eller ersätts bör betaltjänstleverantören på distans kontrollera att betaltjänstanvändaren är den rättmätige användaren av betalningsinstrumentet och koppla användaren och den digitaliserade versionen av betalningsinstrumentet till respektive enhet.

(119)

Operatörer av digitala plånböcker av typen pass-through wallets som kontrollerar elementen i stark kundautentisering när tokeniserade instrument som lagras i digitala plånböcker används för betalningar bör vara skyldiga att ingå underleverantörsavtal med betalarnas betaltjänstleverantörer för att göra det möjligt för dem att fortsätta att utföra sådana kontroller, men även kräva att de uppfyller grundläggande säkerhetskrav. Betalarens betaltjänstleverantörer bör enligt sådana avtal behålla det fulla ansvaret för eventuell underlåtenhet av operatörer av digitala plånböcker av typen pass-through wallet att tillämpa stark kundautentisering och ha rätt att granska och kontrollera plånboksoperatörens säkerhetsbestämmelser.

(120)

Om leverantörer av tekniska tjänster eller operatörer av betalningssystem tillhandahåller tjänster till betalningsmottagare eller till betalningsmottagares eller betalares betaltjänstleverantörer bör de möjliggöra tillämpning av stark kundautentisering inom den del av initieringen eller genomförandet av betalningstransaktioner som de ansvarar för. Med tanke på den roll som de spelar för att säkerställa att grundläggande säkerhetskrav för massbetalningar uppfylls på ett korrekt sätt, bland annat genom att tillhandahålla lämpliga it-lösningar, bör leverantörer av tekniska tjänster och operatörer av betalningssystem hållas ansvariga för direkt ekonomisk skada som åsamkas betalningsmottagaren eller betalningsmottagarens eller betalarens betaltjänstleverantör för, och i proportion till, att de inom ramen för sitt avtalsförhållande, men inte överstigande transaktionsbeloppet i fråga, underlåtit att tillhandahålla de tjänster som är nödvändiga för att möjliggöra tillämpningen av stark kundautentisering.

(121)

Medlemsstaterna bör utse behöriga myndigheter för auktorisation av betalningsinstitut och ackreditering och övervakning av förfaranden för alternativ tvistlösning.

(122)

Medlemsstaterna bör, utan att det påverkar kundernas rätt att väcka talan inför domstol, säkerställa att det vid tvister mellan betaltjänstleverantörer och betaltjänstanvändare finns lättillgängliga, tillräckliga, oberoende, opartiska, transparenta och effektiva förfaranden för alternativ tvistlösning. Genom Europaparlamentets och rådets förordning (EG) nr 593/2008 (29) fastställs att det skydd som tillförsäkras konsumenten enligt tvingande lagregler i det land där denne har sin hemvist inte får undergrävas genom avtalsbestämmelser om tillämplig lag för avtalet. För att fastställa ett effektivt och ändamålsenligt tvistlösningsförfarande bör medlemsstaterna säkerställa att betaltjänstleverantörer samtycker till att lösa tvister genom ett förfarande för alternativ tvistlösning som uppfyller kvalitetskraven i Europaparlamentets och rådets direktiv 2013/11/EU (30) innan de vänder sig till domstol. Utsedda behöriga myndigheter bör underrätta kommissionen om ett eller flera behöriga alternativa tvistlösningsorgan av hög kvalitet på deras territorium som kan lösa nationella och gränsöverskridande tvister och samarbeta när det gäller tvister som rör rättigheter och skyldigheter enligt denna förordning. Förfarandena för alternativ tvistlösning bör vara obligatoriska för betaltjänstleverantörer.

(123)

Konsumenter bör ha rätt att hävda sina rättigheter i förhållande till skyldigheterna för betaltjänstleverantörer och leverantörer av e-penningtjänster enligt denna förordning genom grupptalan i enlighet med Europaparlamentets och rådets direktiv (EU) 2020/1828 (31).

(124)

Lämpliga förfaranden bör inrättas för att göra det möjligt att inge klagomål mot betaltjänstleverantörer som inte uppfyller sina skyldigheter och för att säkerställa att lämpliga, effektiva, proportionella och avskräckande sanktioner i förekommande fall påförs. För att säkerställa efterlevnad av denna förordning bör medlemsstaterna utse behöriga myndigheter som uppfyller villkoren som föreskrivs i Europaparlamentets och rådets förordning (EU) nr 1093/2010 (32) och är självständiga i förhållande till betaltjänstleverantörerna. Medlemsstaterna bör underrätta kommissionen om vilka myndigheter som har utsetts och tydligt beskriva deras uppdrag.

(125)

De behöriga myndigheterna bör, utan att det påverkar rätten att väcka talan inför domstol för att säkerställa att denna förordning uppfylls, utöva de befogenheter som krävs och som beviljas enligt denna förordning, däribland befogenheten att utreda påstådda överträdelser och att påföra administrativa sanktioner och administrativa åtgärder, om en betaltjänstleverantör inte respekterar de rättigheter och skyldigheter som föreskrivs i denna förordning, i synnerhet om det föreligger risk för återfall i brottslighet eller andra risker för konsumentkollektivet. De behöriga myndigheterna bör inrätta effektiva mekanismer för att uppmuntra rapportering av potentiella eller faktiska överträdelser. Dessa mekanismer bör inte påverka rätten till försvar för var och en som har blivit anklagad för en lagöverträdelse.

(126)

Medlemsstaterna bör vara skyldiga att föreskriva effektiva, proportionella och avskräckande administrativa sanktioner och administrativa åtgärder vid överträdelser av bestämmelserna i denna förordning. Dessa administrativa sanktioner, viten och administrativa åtgärder bör uppfylla vissa minimikrav, inbegripet de befogenheter som behöriga myndigheter åtminstone bör ha för att kunna påföra dem och de kriterier som behöriga myndigheter bör beakta när de tillämpar, offentliggör och rapporterar om dem. Medlemsstaterna bör fastställa särskilda regler och effektiva mekanismer för tillämpningen av viten.

(127)

Behöriga myndigheter bör få befogenheter att utdöma administrativa sanktionsavgifter som är tillräckligt höga för att uppväga de fördelar som kan förväntas och vara avskräckande även för större institut.

(128)

När behöriga myndigheter påför administrativa sanktioner och åtgärder bör de ta hänsyn till tidigare straffrättsliga påföljder som kan ha ålagts samma fysiska eller juridiska person som är ansvarig för samma överträdelse när de fastställer typen av administrativ sanktion eller annan administrativ åtgärd och nivån på de administrativa sanktionsavgifterna. Detta säkerställer att strängheten hos alla påföljder och andra administrativa åtgärder som tillämpas i bestraffningssyfte vid dubbla administrativa och straffrättsliga förfaranden begränsas till vad som är nödvändigt mot bakgrund av överträdelsens allvar.

(129)

Ett ändamålsenligt tillsynssystem förutsätter att tillsynsmyndigheterna känner till brister i betaltjänstleverantörers efterlevnad av reglerna i denna förordning. Det är därför viktigt att tillsynsmyndigheterna kan underrätta varandra om administrativa sanktioner och åtgärder som de har påfört betaltjänstleverantörer i fall där denna information kan vara betydelsefull även för andra tillsynsmyndigheter.

(130)

Ändamålsenligheten hos unionens regelverk för betaltjänster förutsätter att en rad behöriga myndigheter samarbetar, däribland nationella myndigheter med ansvar för beskattning, dataskydd, konkurrens, konsumentskydd, revision, polisverksamhet och andra brottsbekämpande myndigheter. Medlemsstaterna bör säkerställa att deras rättsliga ramar möjliggör och underlättar sådant samarbete på det sätt som krävs för att uppnå målen i unionens regelverk för betaltjänster, även genom en korrekt tillämpning av dess regler. Sådant samarbete bör inbegripa informationsutbyte samt ömsesidigt bistånd för effektiv verkställighet av administrativa sanktioner, särskilt när det gäller gränsöverskridande indrivning av böter.

(131)

Oavsett hur de benämns enligt nationell lagstiftning finns det i många medlemsstater olika former av påskyndade verkställighetsförfaranden eller förlikningsavtal som används som ett alternativ till formella förfaranden för att uppnå ett snabbare antagande av beslut som syftar till att påföra en administrativ sanktion eller administrativ åtgärd eller sätta stopp för den påstådda överträdelsen och dess konsekvenser innan formella sanktionsförfaranden inleds. Även om det inte förefaller lämpligt att sträva efter att på unionsnivå harmonisera sådana verkställighetsmetoder som införts av många medlemsstater, på grund av de mycket varierande rättsliga strategier som antagits på nationell nivå, bör det erkännas att sådana metoder gör det möjligt för behöriga myndigheter som kan tillämpa dem att under vissa omständigheter hantera överträdelseärenden på ett snabbare, mindre kostsamt och överlag effektivt sätt, och att de därför bör uppmuntras. Medlemsstaterna bör dock inte vara skyldiga att införa sådana verkställighetsmetoder i sina rättsliga ramar eller att tvinga de behöriga myndigheterna att använda dem om de inte anser det lämpligt.

(132)

Medlemsstaterna har infört och föreskriver för närvarande många olika administrativa sanktioner och åtgärder för brott mot de grundläggande bestämmelser som reglerar betaltjänster och uppvisar stor variation vad gäller hur brott mot dessa bestämmelser utreds och bestraffas. Om det inte klargörs tydligare vilka grundläggande bestämmelser som måste leda till tillräckligt avskräckande påföljder överallt i unionen skulle detta motverka förverkligandet av den inre marknaden för betaltjänster och riskera att uppmuntra till forumshopping i den mån behöriga myndigheter inte har samma förutsättningar att snabbt vidta lika avskräckande påföljder mot dessa överträdelser i medlemsstaterna.

(133)

Eftersom syftet med viten är att tvinga fysiska eller juridiska personer som identifierats som ansvariga för en pågående överträdelse eller som är skyldiga att följa ett föreläggande från den utredande behöriga myndigheten att följa detta föreläggande eller upphöra med den pågående överträdelsen bör tillämpningen av viten inte hindra behöriga myndigheter från att påföra efterföljande administrativa sanktioner för samma överträdelse.

(134)

Om inte annat föreskrivs av medlemsstaterna bör viten beräknas dagligen.

(135)

Behöriga myndigheter bör av medlemsstaterna ges befogenhet att i händelse av överträdelser i relevanta fall påföra betaltjänstleverantörer eller andra fysiska eller juridiska personer sådana administrativa sanktioner och administrativa åtgärder. Urvalet av sanktioner och åtgärder bör vara så stort att medlemsstaterna och behöriga myndigheter kan beakta skillnaderna mellan betaltjänstleverantörer, särskilt skillnaderna mellan kreditinstitut och andra betalningsinstitut, när det gäller storlek, egenskaper och verksamhetens natur.

(136)

Offentliggörandet av administrativa sanktioner och åtgärder som har utdömts för överträdelse av bestämmelserna i denna förordning kan ha stor avskräckande effekt och förhindra att överträdelsen upprepas. Offentliggörandet ger även andra enheter information om vilka risker som är förknippade med de betaltjänstleverantörer som ålagts sanktioner som kan vara bra att känna till innan en affärsförbindelse med dem inleds, samtidigt som det är till hjälp för behöriga myndigheter i andra medlemsstater där den aktuella betaltjänstleverantören också bedriver verksamhet. Av dessa skäl bör offentliggörande av beslut om administrativa sanktioner och administrativa åtgärder tillåtas om de gäller juridiska personer. När behöriga myndigheter fattar beslut om att offentliggöra eller inte offentliggöra en administrativ sanktion eller åtgärd bör de ta hänsyn till hur allvarlig överträdelsen är och till den avskräckande effekt som offentliggörandet sannolikt kommer att få. Varje sådant offentliggörande som avser fysiska personer kan dock på ett oproportionellt sätt inkräkta på deras rättigheter enligt stadgan om de grundläggande rättigheterna och unionens tillämpliga dataskyddslagstiftning. Därför bör offentliggörandet ske på ett anonymt sätt, såvida inte den behöriga myndigheten anser att det är nödvändigt att offentliggöra beslut som innehåller personuppgifter för en verkningsfull tillämpning av denna förordning, inbegripet genom offentliga uttalanden eller tillfälliga förbud. I sådana fall bör den behöriga myndigheten motivera sitt beslut.

(137)

För att samla in mer exakt information om efterlevnaden av unionsrätten i praktiken, samtidigt som de behöriga myndigheternas tillsynsverksamhet synliggörs på ett bättre sätt, är det nödvändigt att utvidga tillämpningsområdet för och förbättra kvaliteten på de uppgifter som behöriga myndigheter rapporterar till EBA. Den information som måste rapporteras bör anonymiseras för att följa gällande dataskyddsregler och tillhandahållas i aggregerad form för att följa reglerna om tystnadsplikt och konfidentialitet när det gäller förfaranden. EBA bör regelbundet rapportera till kommissionen om hur verkställighetsåtgärderna fortskrider i medlemsstaterna.

(138)

Befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt bör delegeras till kommissionen för att med hänsyn till inflationen räkna upp de belopp upp till vilka en betalare kan åläggas att bära förluster i samband med icke auktoriserade betalningstransaktioner som är en följd av att ett förlorat eller stulet betalningsinstrument använts eller av att ett betalningsinstrument missbrukats. När kommissionen förbereder och utarbetar delegerade akter bör den säkerställa att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snart som möjligt och på lämpligt sätt.

(139)

För att säkerställa en konsekvent tillämpning av denna förordning bör kommissionen kunna förlita sig sakkunskap och stöd från EBA, som bör få i uppdrag att utarbeta riktlinjer och förslag till tekniska standarder för tillsyn och genomförande. Kommissionen bör ges befogenhet att anta dessa förslag till tekniska standarder för tillsyn. Vid utarbetande av riktlinjer, förslag till tekniska standarder för tillsyn och förslag till tekniska standarder för genomförande enligt denna förordning, och i enlighet med förordning (EU) nr 1093/2010, bör EBA samråda med alla relevanta intressenter, inbegripet intressenter på marknaden för betaltjänster, så att alla berörda intressen återspeglas.

(140)

EBA bör, i enlighet med artikel 9.5 i förordning (EU) nr 1093/2010, ges befogenheter att ingripa när det gäller produkter för att i unionen tillfälligt kunna förbjuda eller begränsa en vis typ av eller ett särskilt särdrag hos en betaltjänst eller en e-penningtjänst som konstaterats kunna skada konsumenterna eller som hotar finansmarknadernas korrekta funktion och integritet. Förordning (EU) nr 1093/2010 bör därför ändras i enlighet med detta. Innan EBA utövar dessa befogenheter bör myndigheten, när så är möjligt, säkerställa att den har samrått med betaltjänstleverantörer eller tredjepartsleverantörer.

(140a)

EBA bör beviljas alla nödvändiga resurser, inbegripet personalresurser, för att fullgöra sitt uppdrag enligt denna förordning.

(141)

Bilagan till Europaparlamentets och rådets förordning (EU) 2017/2394 (33) bör ändras genom införande av en hänvisning till den här förordningen i syfte att underlätta det gränsöverskridande samarbetet om tillämpningen av denna förordning.

(142)

Eftersom målet för denna förordning, det vill säga den ytterligare integreringen av en inre marknad för betaltjänster, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, eftersom det krävs en harmonisering av ett stort antal skilda regler i unionsrätten och nationell rätt, utan snarare, på grund av dess omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(143)

Med tanke på att denna förordning och direktiv (EU) XXX (PSD3) fastställer den rättsliga ramen för tillhandahållande av massbetalningstjänster och e-penningtjänster inom unionen bör den, för att säkerställa en rättssäker och samstämmig rättslig ram i unionen, börja tillämpas samma dag som de lagar och andra författningar som medlemsstaterna måste anta för att följa direktiv (EU) XXX (PSD3). De bestämmelser genom vilka betaltjänstleverantörer åläggs att i samband med betalningar kontrollera avvikelser mellan en betalningsmottagares namn och unika identifikationskod samt respektive ansvarsordning bör dock tillämpas från och med 24 månader efter dagen för denna förordnings ikraftträdande för att ge betaltjänstleverantörer tillräckligt med tid för att vidta de åtgärder som krävs för att anpassa sina interna system och därmed uppfylla dessa krav.

(144)

I enlighet med principerna om bättre lagstiftning bör denna förordning ses över med avseende på dess ändamålsenlighet och effektivitet när det gäller att uppnå sina mål. För att säkerställa ett tillräckligt uppgiftsunderlag för översynen bör den äga rum när tillräckligt lång tid har förflutit från det att denna förordning börjat tillämpas. Fem år anses vara en lämplig tid. Vid översynen bör förordningen beaktas i sin helhet, men vissa frågor bör ägnas särskild uppmärksamhet, nämligen hur öppna banktjänster fungerar, avgifter för betaltjänster och ytterligare lösningar för att bekämpa bedrägerier. När det gäller denna förordnings tillämpningsområde är det med tanke på den vikt som fästs vid detta i artikel 58.2 i Europaparlamentets och rådets förordning (EU) 2022/2554 (34) dock lämpligt att en översyn äger rum tidigare, närmare bestämt tre år efter det att den börjar tillämpas. Denna översyn av tillämpningsområdet bör beakta både den eventuella utvidgningen av förteckningen över betaltjänster till att omfatta tjänster som de som utförs av betalningssystem och betalningsordningar och det eventuella inkluderandet i tillämpningsområdet för vissa tekniska tjänster som för närvarande undantas.

(145)

Denna förordning är förenlig med de grundläggande rättigheter och de principer som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna, däribland rätten till ett privatliv och familjeliv, rätten till skydd av personuppgifter, näringsfrihet, rätten till ett effektivt rättsmedel och rätten att inte bli dömd eller straffad två gånger för samma brott. Denna förordning bör tillämpas i enlighet med dessa rättigheter och principer.

(146)

Hänvisningar till belopp i euro bör anses vara motvärdet uttryckt i nationell valuta i enlighet med vad som fastställs av varje medlemsstat som inte har euron som valuta.

(146a)

Konsumenterna bör ha tillgång till proportionella och effektiva rättsmedel, inbegripet ersättning för skada som de lidit. Dessa rättsmedel bör inte påverka tillämpningen av andra rättsmedel som finns tillgängliga för konsumenter enligt unionsrätten eller nationell rätt.

(147)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (35) och avgav ett yttrande den [XX XX 2023] (36).

1.

hemmedlemsstat:

2.

värdmedlemsstat: en annan medlemsstat än hemmedlemsstaten där en betaltjänstleverantör har ett ombud, en distributör eller en filial eller tillhandahåller betaltjänster.

3.

betaltjänst: en eller flera av de affärsverksamheter som anges i bilaga I.

4.

betalningsinstitut: en juridisk person som i enlighet med artikel 13 i direktiv (EU) [PSD3] har auktoriserats att tillhandahålla betaltjänster eller e-penningtjänster inom unionen.

5.

betalningstransaktion: en åtgärd som innebär placering, överföring eller uttag av medel på grundval av en betalningsorder som läggs av betalaren eller på dennas vägnar, eller av betalningsmottagaren eller på dennas vägnar, oberoende av eventuella underliggande förpliktelser mellan betalaren och betalningsmottagaren.

6.

initiering av en betalningstransaktion: de åtgärder som krävs inför genomförandet av en betalningstransaktion, inbegripet läggandet av en betalningsorder och slutförandet av autentiseringsprocessen.

7.

initiering av en betalningstransaktion på distans: en betalningstransaktion för vilken en betalningsorder läggs via internet.

8.

genomförande av en betalningstransaktion: den process som inleds när initieringen av en betalningstransaktion har slutförts och som avslutas när de medel som placerats, tagits ut eller överförts är tillgängliga för betalningsmottagaren.

9.

betalningssystem: ett system för överföring av medel med formella och standardiserade rutiner och gemensamma regler för behandling, clearing eller avveckling av betalningstransaktioner.

10.

operatör av betalningssystem: den juridiska enhet som är juridiskt ansvarig för att handha ett betalningssystem.

11.

betalare: en fysisk eller juridisk person som är betalkontoinnehavare och som lägger en betalningsorder från detta betalkonto eller, om det inte finns något betalkonto, en fysisk eller juridisk person som lägger en betalningsorder.

12.

betalningsmottagare: en fysisk eller juridisk person som är den avsedda mottagaren av medel som omfattas av en betalningstransaktion.

13.

betaltjänstanvändare: en fysisk eller en juridisk person som utnyttjar en betaltjänst eller en e-penningtjänst i egenskap av betalare, betalningsmottagare eller båda.

14.

betaltjänstleverantör: ett organ som avses i artikel 2.1 eller en fysisk eller juridisk person som omfattas av ett undantag enligt artiklarna 34, 36 och 38 i direktiv (EU) [PSD3].

15.

betalkonto: ett konto som innehas av en betaltjänstleverantör i en eller flera betaltjänstanvändares namn och som används för att genomföra en eller flera betalningstransaktioner och som gör det möjligt att sända och ta emot medel till och från tredje part.

16.

betalningsorder: en instruktion som en betalare eller betalningsmottagare ger sin betaltjänstleverantör om att en betalningstransaktion ska genomföras.

17.

medgivande: uttryck för betalarens godkännande gentemot betalningsmottagaren och (direkt eller indirekt via betalningsmottagaren) gentemot betalarens betaltjänstleverantör av att betalningsmottagaren har rätt att initiera en betalningstransaktion för att debitera betalarens specificerade betalkonto och att betalarens betaltjänstleverantör har rätt att följa dessa instruktioner.

18.

betalningsinstrument: en eller flera individualiserade enheter och/eller rutiner som betaltjänstanvändaren och betaltjänstleverantören har träffat avtal om och som gör det möjligt att initiera en betalningstransaktion.

19.

kontoförvaltande betaltjänstleverantör: en betaltjänstleverantör som tillhandahåller och förvaltar ett betalkonto för en betalare.

20.

betalningsinitieringstjänst: en tjänst för att lägga en betalningsorder på begäran av betalaren eller betalningsmottagaren med avseende på ett betalkonto hos en annan betaltjänstleverantör.

21.

kontoinformationstjänst: en onlinetjänst som består i att, antingen direkt eller via en leverantör av tekniska tjänster, samla in och sammanställa information om ett eller flera betalkonton som en betaltjänstanvändare innehar hos en eller flera kontoförvaltande betaltjänstleverantörer.

22.

leverantör av betalningsinitieringstjänster: en betaltjänstleverantör som tillhandahåller betalningsinitieringstjänster.

23.

leverantör av kontoinformationstjänster: en betaltjänstleverantör som tillhandahåller kontoinformationstjänster.

24.

konsument: en fysisk person som enligt de betaltjänstavtal som omfattas av denna förordning agerar för ändamål som ligger utanför hans eller hennes närings- eller yrkesverksamhet.

25.

ramavtal: ett betaltjänstavtal som reglerar det kommande genomförandet av enskilda och successiva betalningstransaktioner och som kan innehålla skyldigheter och villkor för att öppna ett betalkonto.

26.

penningöverföring: en betaltjänst där medel tas emot från en betalare, utan att något betalkonto öppnas i betalarens eller betalningsmottagarens namn, uteslutande i syfte att överföra motsvarande belopp till en betalningsmottagare eller en annan betaltjänstleverantör som agerar på betalningsmottagarens vägnar, eller där dessa medel tas emot på betalningsmottagarens vägnar och ställs till dennes förfogande.

27.

autogiro: en betaltjänst för debitering av en betalares betalkonto, där en betalningstransaktion initieras av betalningsmottagaren på grundval av betalarens medgivande till betalningsmottagaren, betalningsmottagarens betaltjänstleverantör eller betalarens egen betaltjänstleverantör.

28.

betalning: en betaltjänst, inbegripet omedelbara betalningar, för kreditering av en betalningsmottagares betalkonto med en betalningstransaktion eller en rad betalningstransaktioner från en betalares betalkonto, som utförs av en betaltjänstleverantör som har tillgång till betalarens betalkonto eller av den betaltjänstleverantör som är innehavare av betalningsmottagarens betalkonto på grundval av en instruktion som lämnats av betalaren.

29.

omedelbar betalning: en betalning som genomförs omedelbart, oavsett dag eller tid.

30.

medel: centralbankspengar som ges ut för allmänt bruk, kontotillgodohavanden och elektroniska pengar.

31.

valuteringsdag: den referenstidpunkt som en betaltjänstleverantör använder för beräkningen av räntan på de medel som debiterats eller krediterats ett betalkonto.

32.

referensväxelkurs: den växelkurs som ligger till grund för beräkningen av eventuella valutakonverteringskostnader och som betaltjänstleverantören offentliggör eller som härrör från en offentligt tillgänglig källa.

33.

referensräntesats: en räntesats som ligger till grund för beräkningen av eventuell tillämplig ränta och som härrör från en offentligt tillgänglig källa som kan kontrolleras av båda parterna i ett betaltjänstavtal.

34.

autentisering: ett förfarande genom vilket en betaltjänstleverantör kan kontrollera en betaltjänstanvändares identitet eller giltighet när det gäller användningen av ett specifikt betalningsinstrument, inbegripet användarens personliga behörighetsfunktioner.

34a.

auktorisation: ett tillstånd som beviljas i ett förfarande om betaltjänstanvändaren autentiserar en viss transaktion frivilligt och med full kännedom om alla relevanta fakta.

35.

stark kundautentisering: en autentisering som grundas på användning av två eller flera element, kategoriserade som kunskap (något som bara användaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det faktum att någon har kommit över ett av elementen inte äventyrar de andra elementens tillförlitlighet, och som är utformad för att skydda autentiseringsuppgifternas sekretess.

36.

leverantör av tekniska tjänster: en leverantör av tjänster som stöder tillhandahållandet av betaltjänster, utan att vid någon tidpunkt komma i besittning av de medel som ska överföras.

37.

personliga behörighetsfunktioner: personligt anpassade funktioner som betaltjänstleverantören tillhandahåller betaltjänstanvändaren för autentiseringsändamål.

38.

känsliga betalningsuppgifter: uppgifter som kan användas för bedrägerier, inbegripet personliga behörighetsfunktioner.

39.

unik identifikationskod: en kombination av bokstäver, siffror eller symboler som betaltjänstleverantören tillhandahåller betaltjänstanvändaren , eller en proxy som på ett unikt sätt är kopplad till denna kombination, och som denne ska uppge för att på ett otvetydigt sätt identifiera en annan betaltjänstanvändare eller dennes betalkonto för en betalningstransaktion.

40.

teknik för distanskommunikation: en metod som kan användas för att ingå betaltjänstavtal, utan att betaltjänstleverantören och betaltjänstanvändaren samtidigt är fysiskt närvarande på samma plats.

41.

varaktigt medium: ett instrument som betaltjänstanvändaren kan använda för att lagra information som är riktad till den betaltjänstanvändaren personligen, på ett sådant sätt att informationen är tillgänglig för användning i framtiden under en tid som är lämplig för informationens syfte och som gör det möjligt att återge informationen oförändrad.

42.

mikroföretag: företag som, när betaltjänstavtalet ingås, är ett företag enligt definitionen i artiklarna 1, 2.1 och 2.3 i bilagan till rekommendation 2003/361/EG.

43.

bankdag: en dag på vilken betalarens eller betalningsmottagarens betaltjänstleverantör, när denne medverkar till genomförandet av en betalningstransaktion, har öppet för verksamhet för genomförande av en betalningstransaktion.

44.

ombud: en fysisk eller juridisk person som agerar för ett betalningsinstituts räkning vid tillhandahållandet av betaltjänster, med undantag för e-penningtjänster.

45.

filial: ett annat driftsställe än huvudkontoret, som utgör en del av ett betalningsinstitut och inte är en juridisk person och som självständigt genomför alla eller vissa av de transaktioner som hänför sig till betalningsinstitutets verksamhet. Alla de driftsställen i en medlemsstat som är inrättade av ett betalningsinstitut med huvudkontor i en annan medlemsstat ska anses utgöra en enda filial.

46.

koncern: en grupp av företag som är knutna till varandra genom ett sådant förhållande som avses i artikel 22.1, 22.2 eller 22.7 i Europaparlamentets och rådets direktiv 2013/34/EU (40) eller företag enligt definitionen i artiklarna 4, 5, 6 och 7 i kommissionens delegerade förordning (EU) nr 241/2014 (41), som är knutna till varandra genom ett sådant förhållande som avses i artikel 10.1 eller artikel 113.6 första stycket eller 113.7 första stycket i förordning (EU) nr 575/2013.

47.

digitalt innehåll: varor eller tjänster som framställs och tillhandahålls i digital form, vars användning eller konsumtion är begränsad till en teknisk enhet och som inte på något sätt innefattar användning eller konsumtion av fysiska varor eller tjänster.

48.

inlösen av betalningstransaktioner: en betaltjänst som tillhandahålls av en betaltjänstleverantör som har ingått avtal med en betalningsmottagare om att denne ska acceptera och behandla betalningsmottagarens betalningstransaktioner och som leder till överföring av medel till betalningsmottagaren.

49.

utgivning av betalningsinstrument: en betaltjänst hos en betaltjänstleverantör som har ingått avtal om att tillhandahålla betalaren ett betalningsinstrument för att initiera och behandla betalarens betalningstransaktioner.

50.

elektroniska pengar: varje elektroniskt eller magnetiskt lagrat penningvärde i form av en fordran på utgivaren som ges ut mot erhållande av medel i syfte att genomföra betalningstransaktioner och som godtas av andra fysiska eller juridiska personer än utgivaren.

51.

distributör: en fysisk eller juridisk person som distribuerar eller löser in elektroniska pengar för ett betalningsinstituts räkning.

52.

e-penningtjänster: utgivning av elektroniska pengar, underhåll av betalkonton där e-penningenheter lagras och överföring av e-penningenheter.

53.

handelsnamn: det namn som vanligen används av betalningsmottagaren vid handel och marknadsföring av sin verksamhet för att identifiera sig för betalaren.

54.

uttagsautomataktörer: operatörer av uttagsautomater som inte är innehavare av betalkonton.

55.

betalningsinstitut som tillhandahåller e-penningtjänster: ett betalningsinstitut som tillhandahåller tjänster avseende utgivning av elektroniska pengar, underhåll av betalkonton som lagrar e-penningenheter och överföring av e-penningenheter, oavsett om det också tillhandahåller någon av de tjänster som avses i bilaga I.

55a.

leverantör av elektroniska kommunikationstjänster: varje leverantör som omfattas av

a)

ska betaltjänstleverantören, genom undantag från artiklarna 19, 20 och 24, endast ge betalaren information om betaltjänstens viktigaste kännetecken, inbegripet hur betalningsinstrumentet kan användas, om ansvar, uttagna avgifter och annan väsentlig information som behövs för att betalaren ska kunna fatta ett väl underbyggt beslut samt meddela var eventuell övrig information och villkor enligt artikel 20 gjorts tillgängliga på ett lättåtkomligt sätt,

b)

får parterna i ramavtalet komma överens om att betaltjänstleverantören, genom undantag från artikel 22, inte behöver föreslå ändringar av villkoren i ramavtalet på det sätt som föreskrivs i artikel 19.1,

c)

får parterna i ramavtalet komma överens om att betaltjänstleverantören, genom undantag från artiklarna 25, och 26 efter genomförandet av en betalningstransaktion

a)

En bekräftelse av att betalningsordern lagts hos betalarens kontoförvaltande betaltjänstleverantör.

b)

En referens som gör det möjligt för betalaren och betalningsmottagaren att identifiera betalningstransaktionen och, i förekommande fall, för betalningsmottagaren att identifiera betalaren och all information som överförts tillsammans med betalningstransaktionen.

c)

Betalningstransaktionens belopp.

d)

I tillämpliga fall alla avgiftsbelopp som ska betalas till leverantören av betalningsinitieringstjänster för transaktionen och i tillämpliga fall en specificering av beloppen för sådana avgifter.

a)

En referens som gör det möjligt för betalaren att identifiera betalningstransaktionen och den information som krävs för att betalaren på ett otvetydigt sätt ska kunna identifiera betalningsmottagaren, inbegripet betalningsmottagarens handelsnamn.

b)

Betalningstransaktionens belopp i den valuta som används i betalningsordern.

c)

Betalningstransaktionens eventuella avgifter som betalaren ska betala och, i tillämpliga fall, en specificering av beloppen för sådana avgifter.

d)

I tillämpliga fall den växelkurs som betalarens betaltjänstleverantör använde i betalningstransaktionen eller en hänvisning till denna, om den skiljer sig från den kurs som fastställs i enlighet med artikel 13.1 e, samt betalningstransaktionens belopp efter denna valutakonvertering.

e)

Den dag då betalningsordern togs emot.

a)

En referens som gör det möjligt för betalningsmottagaren att identifiera betalningstransaktionen samt, i förekommande fall, betalaren och all information som överförts tillsammans med betalningstransaktionen.

b)

Betalningstransaktionens belopp i den valuta i vilken medlen står till betalningsmottagarens förfogande.

c)

Betalningstransaktionens eventuella avgifter som betalningsmottagaren ska betala och, i tillämpliga fall, en specificering av beloppen för sådana avgifter.

d)

I tillämpliga fall den växelkurs som betalningsmottagarens betaltjänstleverantör använde vid betalningstransaktionen samt betalningstransaktionens belopp före denna valutakonvertering.

e)

Krediteringens valuteringsdag.

a)

Om betaltjänstleverantören:

b)

Om användningen av betaltjänsten:

c)

Om avgifter, räntesatser och växelkurser:

d)

Om kommunikation:

e)

Om skydds- och korrigeringsåtgärder:

f)

Om ändringar i, och avslutande av, ramavtalet:

g)

Om tvistlösning:

a)

Den maximala genomförandetiden.

b)

De avgifter som betalaren ska betala , vilka ska anges i betalningsvalutan, och i tillämpliga fall det procentuella påslaget i förhållande till eventuella tillämpliga växelkurser jämfört med en referensväxelkurs som är förenlig med förordning (EU) 2016/1011.

c)

I tillämpliga fall en specificering av alla avgiftsbelopp innan betalaren genomför betalningen .

a)

Kommunicera säkert med leverantörer av betalningsinitieringstjänster.

b)

Omedelbart efter mottagande av betalningsordern från en leverantör av betalningsinitieringstjänster, till leverantören av betalningsintitieringstjänsten lämna eller göra tillgänglig all information om initieringen av betalningstransaktionen och all information om genomförandet av betalningstransaktionen som är tillgänglig för den kontoförvaltande betaltjänstleverantören.

c)

Behandla betalningsorder som överförs via en leverantör av betalningsinitieringstjänster som om dessa betalningsorder hade överförts direkt av betalaren eller betalningsmottagaren, särskilt när det gäller val av tidpunkt, prioritering eller avgifter.

a)

använda betalningsinstrumentet i enlighet med villkoren för utgivande och användning av betalningsinstrumentet, som ska vara objektiva, icke-diskriminerande och proportionella,

b)

utan oskäligt dröjsmål underrätta betaltjänstleverantören eller den enhet som betaltjänstleverantören angett, så snart de erfar att betalningsinstrumentet eller dess relevanta personliga behörighetsfunktioner förlorats, stulits, missbrukats eller använts utan auktorisation.

a)

Tekniska åtgärder för att säkerställa överensstämmelse med principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering enligt förordning (EU) 2016/679, däribland tekniska begränsningar för vidareutnyttjande av uppgifter samt användning av säkerhetsåtgärder och integritetsbevarande åtgärder på aktuell teknisk nivå, såsom pseudonymisering, eller kryptering.

b)

Organisatoriska åtgärder, däribland utbildning i behandling av särskilda kategorier av uppgifter, begränsning av tillgången till särskilda kategorier av uppgifter och registrering av sådan tillgång.