02018R0389 — EL — 12.09.2023 — 002.001

Το κείμενο αυτό αποτελεί απλώς εργαλείο τεκμηρίωσης και δεν έχει καμία νομική ισχύ. Τα θεσμικά όργανα της Ένωσης δεν φέρουν καμία ευθύνη για το περιεχόμενό του. Τα αυθεντικά κείμενα των σχετικών πράξεων, συμπεριλαμβανομένων των προοιμίων τους, είναι εκείνα που δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και είναι διαθέσιμα στο EUR-Lex. Αυτά τα επίσημα κείμενα είναι άμεσα προσβάσιμα μέσω των συνδέσμων που περιέχονται στο παρόν έγγραφο

►B

ΚΑΤ' ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2018/389 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 27ης Νοεμβρίου 2017

για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(ΕΕ L 069 της 13.3.2018, σ. 23)

Τροποποιείται από:

 

 

Επίσημη Εφημερίδα

  αριθ.

σελίδα

ημερομηνία

►M1

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2022/2360 ΤΗΣ ΕΠΙΤΡΟΠΗΣ  της 3ης Αυγούστου 2022

  L 312

1

5.12.2022

 M2

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2023/1650 ΤΗΣ ΕΠΙΤΡΟΠΗΣ  της 15ης Μαίου 2023

  L 208

1

23.8.2023



▼B

ΚΑΤ' ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2018/389 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 27ης Νοεμβρίου 2017

για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)



ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1

Αντικείμενο

Ο παρών κανονισμός καθορίζει τις απαιτήσεις προς τις οποίες οφείλουν να συμμορφώνονται οι πάροχοι υπηρεσιών πληρωμών για τον σκοπό της εφαρμογής μέτρων ασφαλείας που τους επιτρέπουν να πράττουν τα ακόλουθα:

α) 

να εφαρμόζουν τη διαδικασία αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 της οδηγίας (ΕΕ) 2015/2366·

β) 

να εφαρμόζουν τις εξαιρέσεις που προβλέπονται σε σχέση με την εφαρμογή των απαιτήσεων ασφαλείας της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, υπό συγκεκριμένες και περιορισμένες προϋποθέσεις που βασίζονται στο επίπεδο κινδύνου, στο ύψος του ποσού και την επανεμφάνιση της πράξης πληρωμής, καθώς και στον δίαυλο πληρωμής που χρησιμοποιήθηκε για την εκτέλεσή της·

γ) 

να προστατεύουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας των χρηστών υπηρεσιών πληρωμών·

δ) 

να καθορίζουν κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών εκκίνησης πληρωμής, παρόχων υπηρεσιών πληροφοριών λογαριασμού, πληρωτών, δικαιούχων και άλλων παρόχων υπηρεσιών πληρωμών σχετικά με την παροχή και τη χρήση υπηρεσιών πληρωμών, κατ' εφαρμογή του τίτλου IV της οδηγίας (ΕΕ) 2015/2366.

Άρθρο 2

Γενικές απαιτήσεις εξακρίβωσης

1.  
Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν μηχανισμούς παρακολούθησης συναλλαγών που τους επιτρέπουν να εντοπίζουν μη εγκεκριμένες ή δόλιες πράξεις πληρωμής, για τον σκοπό της εφαρμογής των μέτρων ασφαλείας που αναφέρονται στο άρθρο 1 στοιχεία α) και β).

Οι εν λόγω μηχανισμοί βασίζονται στην ανάλυση πράξεων πληρωμής, λαμβάνοντας υπόψη στοιχεία τα οποία είναι αντιπροσωπευτικά του χρήστη υπηρεσιών πληρωμών υπό συνθήκες συνήθους χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας.

2.  

Οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι οι μηχανισμοί παρακολούθησης συναλλαγών λαμβάνουν υπόψη, τουλάχιστον, όλους ανεξαιρέτως τους ακόλουθους παράγοντες συναρτήσει του κινδύνου:

α) 

καταλόγους στοιχείων εξακρίβωσης των οποίων η ασφάλεια έχει τεθεί σε κίνδυνο ή τα οποία έχουν κλαπεί·

β) 

το ποσό κάθε πράξης πληρωμής·

γ) 

γνωστά σενάρια απάτης στον τομέα της παροχής υπηρεσιών πληρωμών·

δ) 

ενδείξεις προσβολής από κακόβουλο λογισμικό σε οποιοδήποτε στάδιο της διαδικασίας εξακρίβωσης·

ε) 

σε περίπτωση που η συσκευή ή το λογισμικό πρόσβασης παρέχεται από τον πάροχο υπηρεσιών πληρωμών, ημερολογιακή καταγραφή της χρήσης της συσκευής ή του λογισμικού πρόσβασης που παρέχεται στον χρήστη υπηρεσιών πληρωμών και της μη συνηθισμένης χρήσης της συσκευής ή του λογισμικού πρόσβασης.

Άρθρο 3

Επανεξέταση των μέτρων ασφαλείας

1.  
Τα μέτρα ασφαλείας που εφαρμόζονται δυνάμει του άρθρου 1 τεκμηριώνονται, υποβάλλονται περιοδικά σε δοκιμές, αξιολογούνται και ελέγχονται, σύμφωνα με το ισχύον νομικό πλαίσιο του παρόχου υπηρεσιών πληρωμών, από ελεγκτές με εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, οι οποίοι είναι επιχειρησιακά ανεξάρτητοι από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού.
2.  
Το χρονικό διάστημα μεταξύ των ελέγχων που αναφέρονται στην παράγραφο 1 καθορίζεται λαμβάνοντας υπόψη το οικείο πλαίσιο λογιστικής και υποχρεωτικού ελέγχου που διέπει τον πάροχο υπηρεσιών πληρωμών.

Πάντως, οι πάροχοι υπηρεσιών πληρωμών οι οποίοι κάνουν χρήση της εξαίρεσης που αναφέρεται στο άρθρο 18 υπόκεινται σε έλεγχο της μεθοδολογίας, του μοντέλου και των δηλωθέντων ποσοστών απάτης τουλάχιστον μία φορά ετησίως. Ο ελεγκτής που διενεργεί τον εν λόγω έλεγχο διαθέτει εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, και είναι επιχειρησιακά ανεξάρτητος από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού. Κατά τη διάρκεια του πρώτου έτους χρήσης της εξαίρεσης που προβλέπεται στο άρθρο 18 και τουλάχιστον κάθε τρία χρόνια εφεξής, ή συχνότερα κατόπιν αιτήματος της αρμόδιας αρχής, ο εν λόγω έλεγχος διενεργείται από ανεξάρτητο και εξειδικευμένο εξωτερικό ελεγκτή.

3.  
Ο εν λόγω έλεγχος ολοκληρώνεται με αξιολόγηση της συμμόρφωσης των μέτρων ασφαλείας που εφαρμόζει ο πάροχος υπηρεσιών πληρωμών προς τις απαιτήσεις του παρόντος κανονισμού, και με την υποβολή συναφούς έκθεσης.

Ολόκληρη η έκθεση διατίθεται στις αρμόδιες αρχές κατόπιν αιτήματός τους.

ΚΕΦΑΛΑΙΟ II

ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΗΣ ΑΥΣΤΗΡΗΣ ΕΞΑΚΡΙΒΩΣΗΣ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ

Άρθρο 4

Αναγνωριστικός κωδικός

1.  
Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, η εξακρίβωση της ταυτότητας βασίζεται σε δύο ή περισσότερα στοιχεία που αφορούν γνώση, κατοχή και κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, και οδηγεί στη δημιουργία αναγνωριστικού κωδικού.

Ο αναγνωριστικός κωδικός γίνεται δεκτός μία μόνο φορά από τον πάροχο υπηρεσιών πληρωμών, όταν ο πληρωτής χρησιμοποιεί τον αναγνωριστικό κωδικό για να έχει πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά, να διενεργήσει την έναρξη πράξης πληρωμής ηλεκτρονικά ή να εκτελέσει οιαδήποτε ενέργεια, μέσω εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων.

2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:

α) 

να μην είναι δυνατή η εξαγωγή καμίας πληροφορίας για οποιοδήποτε από τα στοιχεία που αναφέρονται στην παράγραφο 1 από τη δημοσιοποίηση του αναγνωριστικού κωδικού·

β) 

να μην είναι δυνατή η δημιουργία νέου αναγνωριστικού κωδικού με βάση τη γνώση οποιουδήποτε άλλου αναγνωριστικού κωδικού που έχει δημιουργηθεί παλαιότερα·

γ) 

να μην είναι δυνατή η πλαστογράφηση του αναγνωριστικού κωδικού.

3.  

Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η εξακρίβωση της ταυτότητας μέσω της δημιουργίας αναγνωριστικού κωδικού να περιλαμβάνει καθένα από τα ακόλουθα μέτρα:

α) 

όταν η εξακρίβωση της ταυτότητας για πρόσβαση εξ αποστάσεως, ηλεκτρονικές πληρωμές εξ αποστάσεως και οιαδήποτε άλλη ενέργεια μέσω εξ αποστάσεως διαύλου, που μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων, δεν οδηγεί στη δημιουργία αναγνωριστικού κωδικού για τους σκοπούς της παραγράφου 1, δεν είναι εφικτό να προσδιοριστεί ποια από τα στοιχεία που αναφέρονται στην εν λόγω παράγραφο ήταν εσφαλμένα·

β) 

οι αποτυχημένες προσπάθειες εξακρίβωσης της ταυτότητας που μπορούν να πραγματοποιηθούν διαδοχικά εντός συγκεκριμένου χρονικού διαστήματος, μετά την ολοκλήρωση των οποίων επιβάλλεται προσωρινή ή μόνιμη φραγή στις ενέργειες που αναφέρονται στο άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, δεν υπερβαίνουν σε αριθμό τις πέντε·

γ) 

οι κύκλοι επικοινωνίας προστατεύονται έναντι της συλλογής δεδομένων εξακρίβωσης που διαβιβάζονται κατά την εξακρίβωση της ταυτότητας, καθώς και έναντι της χρησιμοποίησης από μη εξουσιοδοτημένα πρόσωπα, σύμφωνα με τις απαιτήσεις του κεφαλαίου V·

δ) 

ο μέγιστος χρόνος άνευ δραστηριότητας που έχει στη διάθεσή του ο πληρωτής, μετά την εξακρίβωση της ταυτότητάς του για τον σκοπό της πρόσβασης στον λογαριασμό πληρωμών του διαδικτυακά, δεν υπερβαίνει τα πέντε λεπτά.

4.  
Όταν η επιβολή της φραγής που αναφέρεται στην παράγραφο 3 στοιχείο β) είναι προσωρινή, η διάρκειά της και ο αριθμός των νέων προσπαθειών καθορίζονται με βάση τα χαρακτηριστικά της υπηρεσίας που παρέχεται στον πληρωτή και όλους τους σχετικούς συνεπαγόμενους κινδύνους, λαμβάνοντας υπόψη, τουλάχιστον, τους παράγοντες που αναφέρονται στο άρθρο 2 παράγραφος 2.

Ο πληρωτής λαμβάνει ειδοποίηση προτού καταστεί μόνιμη η φραγή.

Όταν η φραγή έχει καταστεί μόνιμη, προβλέπεται ασφαλής διαδικασία που επιτρέπει στον πληρωτή να μπορέσει να χρησιμοποιήσει εκ νέου τα μέσα ηλεκτρονικής πληρωμής στα οποία είχε επιβληθεί φραγή.

Άρθρο 5

Δυναμική σύνδεση

1.  

Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, επιπροσθέτως των απαιτήσεων του άρθρου 4 του παρόντος κανονισμού, λαμβάνουν επιπλέον μέτρα ασφαλείας που πληρούν όλες ανεξαιρέτως τις ακόλουθες απαιτήσεις:

α) 

ο πληρωτής ενημερώνεται για το ποσό της πράξης πληρωμής και για τον δικαιούχο·

β) 

ο αναγνωριστικός κωδικός που δημιουργείται αφορά συγκεκριμένα το ποσό της πράξης πληρωμής και τον δικαιούχο τον οποίον ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής·

γ) 

ο αναγνωριστικός κωδικός τον οποίον κάνει δεκτό ο πάροχος υπηρεσιών πληρωμών αντιστοιχεί στο αρχικό συγκεκριμένο ποσό της πράξης πληρωμής και στην ταυτότητα του δικαιούχου τον οποίον ενέκρινε ο πληρωτής·

δ) 

τυχόν μεταβολή του ποσού ή του δικαιούχου συνεπάγεται την ακύρωση του δημιουργηθέντος αναγνωριστικού κωδικού.

2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν την εμπιστευτικότητα, την αυθεντικότητα και την ακεραιότητα καθενός εκ των ακολούθων:

α) 

του ποσού της συναλλαγής και του δικαιούχου σε όλα τα στάδια της εξακρίβωσης·

β) 

των πληροφοριών που εμφανίζονται στον πληρωτή σε όλα τα στάδια της εξακρίβωσης, περιλαμβανομένων της δημιουργίας, της διαβίβασης και της χρήσης του αναγνωριστικού κωδικού.

3.  

Για τον σκοπό της παραγράφου 1 στοιχείο β), και στις περιπτώσεις όπου οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, εφαρμόζονται οι ακόλουθες απαιτήσεις για τον αναγνωριστικό κωδικό:

α) 

για πράξη πληρωμής με κάρτα σχετικά με την οποία ο πληρωτής έχει δώσει τη συγκατάθεσή του για το ακριβές ύψος του προς δέσμευση ποσού, σύμφωνα με το άρθρο 75 παράγραφος 1 της προαναφερθείσας οδηγίας, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το ποσό για τη δέσμευση του οποίου έδωσε τη συγκατάθεσή του ο πληρωτής και το οποίο ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής·

β) 

για πράξεις πληρωμής σχετικά με τις οποίες ο πληρωτής έχει δώσει τη συγκατάθεσή του να εκτελεστεί σειρά πράξεων ηλεκτρονικής πληρωμής εξ αποστάσεως προς έναν ή περισσότερους δικαιούχους, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το συνολικό ποσό της σειράς πράξεων πληρωμής και τους ορισθέντες δικαιούχους.

Άρθρο 6

Απαιτήσεις των στοιχείων που αφορούν γνώση

1.  
Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν γνώση από μη εξουσιοδοτημένα πρόσωπα, ή δημοσιοποίησης των εν λόγω στοιχείων στα πρόσωπα αυτά.
2.  
Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα μείωσης των κινδύνων, προκειμένου να αποτραπεί η δημοσιοποίησή τους σε μη εξουσιοδοτημένα πρόσωπα.

Άρθρο 7

Απαιτήσεις των στοιχείων που αφορούν κατοχή

1.  
Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου χρήσης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν κατοχή.
2.  
Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα αποτροπής της αντιγραφής τους.

Άρθρο 8

Απαιτήσεις συσκευών και λογισμικών που συνδέονται με στοιχεία που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη

1.  
Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων εξακρίβωσης που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, τα οποία αναγιγνώσκονται από συσκευές και λογισμικά πρόσβασης που παρέχονται στον πληρωτή. Κατ' ελάχιστον, οι πάροχοι υπηρεσιών πληρωμών φροντίζουν να περιορίσουν στο ελάχιστο δυνατό την πιθανότητα να εξακριβωθεί κάποιο μη εξουσιοδοτημένο πρόσωπο ως πληρωτής, μέσω των εν λόγω συσκευών και λογισμικών πρόσβασης.
2.  
Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα που διασφαλίζουν εγγυημένα την ανθεκτικότητα των εν λόγω συσκευών και λογισμικών κατά της μη εγκεκριμένης χρήσης των στοιχείων, μέσω της πρόσβασης στις συσκευές και τα λογισμικά.

Άρθρο 9

Ανεξαρτησία των στοιχείων

1.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η χρήση των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, που αναφέρονται στα άρθρα 6, 7 και 8, να υπόκειται σε μέτρα τα οποία διασφαλίζουν ότι, από πλευράς τεχνολογίας, αλγορίθμων και παραμέτρων, η παραβίαση ενός εκ των στοιχείων δεν θέτει σε κίνδυνο την αξιοπιστία των υπόλοιπων στοιχείων.
2.  
Σε περίπτωση χρήσης μέσω συσκευής πολλαπλών χρήσεων οποιουδήποτε εκ των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή του ίδιου του αναγνωριστικού κωδικού, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας για τη μείωση του κινδύνου που δύναται να προκύψει από ενδεχόμενη δόλια χρήση της συγκεκριμένης συσκευής πολλαπλών χρήσεων.
3.  

Για τους σκοπούς της παραγράφου 2, τα μέτρα μείωσης των κινδύνων περιλαμβάνουν όλα ανεξαιρέτως τα ακόλουθα:

α) 

τη χρήση χωριστών ασφαλών περιβαλλόντων εκτέλεσης μέσω του εγκατεστημένου λογισμικού στη συσκευή πολλαπλών χρήσεων·

β) 

μηχανισμούς που διασφαλίζουν ότι το λογισμικό ή η συσκευή δεν έχουν υποστεί τροποποίηση από τον πληρωτή ή από τρίτο πρόσωπο·

γ) 

όπου έχουν επέλθει τροποποιήσεις, μηχανισμούς μείωσης των επιπτώσεών τους.

ΚΕΦΑΛΑΙΟ III

ΕΞΑΙΡΕΣΕΙΣ ΑΠΟ ΤΗΝ ΑΥΣΤΗΡΗ ΕΞΑΚΡΙΒΩΣΗ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ

▼M1

Άρθρο 10

Πρόσβαση στις πληροφορίες λογαριασμού πληρωμών απευθείας με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού

1.  

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, με την επιφύλαξη της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν απευθείας διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους, υπό την προϋπόθεση ότι η διαδικτυακή πρόσβαση περιορίζεται σε ένα από τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών:

α) 

στο υπόλοιπο ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών·

β) 

στις πράξεις πληρωμής που εκτελέστηκαν τις τελευταίες 90 ημέρες μέσω ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών.

2.  

Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών δεν εξαιρούνται από την εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη όταν πληρούται μία από τις ακόλουθες προϋποθέσεις:

α) 

ο χρήστης υπηρεσιών πληρωμών αποκτά διαδικτυακή πρόσβαση στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 για πρώτη φορά·

β) 

έχουν παρέλθει περισσότερες από 180 ημέρες από την τελευταία φορά που ο χρήστης υπηρεσιών πληρωμών απέκτησε διαδικτυακή πρόσβαση στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 και εφαρμόστηκε αυστηρή εξακρίβωση της ταυτότητας του πελάτη.

▼M1

Άρθρο 10α

Πρόσβαση στις πληροφορίες λογαριασμού πληρωμών μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού

1.  

Οι πάροχοι υπηρεσιών πληρωμών δεν εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού, υπό την προϋπόθεση ότι η διαδικτυακή πρόσβαση περιορίζεται σε ένα από τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών:

α) 

στο υπόλοιπο ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών·

β) 

στις πράξεις πληρωμής που εκτελέστηκαν τις τελευταίες 90 ημέρες μέσω ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών.

2.  

Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν πληρούται μία από τις ακόλουθες προϋποθέσεις:

α) 

ο χρήστης υπηρεσιών πληρωμών αποκτά διαδικτυακή πρόσβαση στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 για πρώτη φορά μέσω του παρόχου υπηρεσιών πληροφοριών λογαριασμού·

β) 

έχουν παρέλθει περισσότερες από 180 ημέρες από την τελευταία φορά που ο χρήστης υπηρεσιών πληρωμών απέκτησε διαδικτυακή πρόσβαση στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 μέσω του παρόχου υπηρεσιών πληροφοριών λογαριασμού και εφαρμόστηκε αυστηρή εξακρίβωση της ταυτότητας του πελάτη.

3.  
Κατά παρέκκλιση από την παράγραφο 1, οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη όταν οι χρήστες υπηρεσιών πληρωμών αποκτούν διαδικτυακή πρόσβαση στον λογαριασμό πληρωμών τους μέσω παρόχου υπηρεσιών πληροφοριών λογαριασμού και ο πάροχος υπηρεσιών πληρωμών διαθέτει αντικειμενικά αιτιολογημένες και δεόντως τεκμηριωμένες ενδείξεις μη εγκεκριμένης ή δόλιας πρόσβαση στον λογαριασμό πληρωμών. Σε τέτοια περίπτωση, ο πάροχος υπηρεσιών πληρωμών τεκμηριώνει και εξηγεί δεόντως στην αρμόδια εθνική αρχή του, κατόπιν αιτήματός της, τους λόγους για τους οποίους εφαρμόζει αυστηρή εξακρίβωση της ταυτότητας του πελάτη.
4.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που προσφέρουν ειδική διεπαφή όπως αναφέρεται στο άρθρο 31 δεν υποχρεούνται να εφαρμόζουν την εξαίρεση που προβλέπεται στην παράγραφο 1 του παρόντος άρθρου για τους σκοπούς του μηχανισμού έκτακτης ανάγκης που αναφέρεται στο άρθρο 33 παράγραφος 4, εφόσον δεν εφαρμόζουν την εξαίρεση που προβλέπεται στο άρθρο 10 στην άμεση διεπαφή που χρησιμοποιείται για την εξακρίβωση της ταυτότητας και την επικοινωνία με τους χρήστες υπηρεσιών πληρωμών τους.

▼B

Άρθρο 11

Ανέπαφες πληρωμές στο σημείο πώλησης

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης ανέπαφης πληρωμής, υπό την προϋπόθεση ότι πληρούνται οι ακόλουθες προϋποθέσεις:

α) 

το ύψος της μεμονωμένης πράξης ανέπαφης ηλεκτρονικής πληρωμής δεν υπερβαίνει το ποσό των 50 ευρώ, και

β) 

το ύψος προηγούμενων πράξεων ανέπαφης ηλεκτρονικής πληρωμής, των οποίων η έναρξη διενεργήθηκε μέσω του μέσου πληρωμής με λειτουργική δυνατότητα μη επαφής, από την ημερομηνία της τελευταίας εφαρμογής αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνει αθροιστικά το ποσό των 150 ευρώ, ή

γ) 

οι διαδοχικές πράξεις ανέπαφης ηλεκτρονικής πληρωμής, των οποίων η έναρξη διενεργήθηκε μέσω του μέσου πληρωμής που διαθέτει λειτουργική δυνατότητα μη επαφής, από την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνουν σε αριθμό τις πέντε.

Άρθρο 12

Αυτόματα τερματικά για ναύλους μεταφοράς και τέλη στάθμευσης

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής σε αυτόματο τερματικό πληρωμής για τον σκοπό της πληρωμής ναύλου μεταφοράς ή τέλους στάθμευσης.

Άρθρο 13

Έμπιστοι δικαιούχοι

1.  
Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής δημιουργεί ή τροποποιεί κατάλογο έμπιστων δικαιούχων μέσω του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού του πληρωτή.
2.  
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις γενικές απαιτήσεις εξακρίβωσης, όταν ο πληρωτής διενεργεί την έναρξη πράξης πληρωμής και ο δικαιούχος περιλαμβάνεται σε κατάλογο έμπιστων δικαιούχων, που έχει δημιουργηθεί προηγουμένως από τον πληρωτή.

Άρθρο 14

Επαναλαμβανόμενες συναλλαγές

1.  
Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ένας πληρωτής προβαίνει στη δημιουργία, την τροποποίηση ή τη διενέργεια της έναρξης, για πρώτη φορά, σειράς επαναλαμβανόμενων συναλλαγών με το ίδιο ποσό και με τον ίδιο δικαιούχο.
2.  
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις γενικές απαιτήσεις εξακρίβωσης, για τη διενέργεια της έναρξης όλων των επακόλουθων πράξεων πληρωμής που περιλαμβάνονται στη σειρά πράξεων πληρωμής που αναφέρεται στην παράγραφο 1.

Άρθρο 15

Μεταφορές πιστώσεων μεταξύ λογαριασμών που τηρούνται από το ίδιο φυσικό ή νομικό πρόσωπο

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί την έναρξη μεταφοράς πίστωσης σε περιπτώσεις όπου ο πληρωτής και ο δικαιούχος είναι το ίδιο φυσικό ή νομικό πρόσωπο, και αμφότεροι οι λογαριασμοί πληρωμών τηρούνται στον ίδιο πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.

Άρθρο 16

Συναλλαγές μικρής αξίας

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής εξ αποστάσεως, υπό την προϋπόθεση ότι πληρούνται οι ακόλουθες προϋποθέσεις:

α) 

το ύψος της πράξης ηλεκτρονικής πληρωμής εξ αποστάσεως δεν υπερβαίνει το ποσό των 30 ευρώ, και

β) 

το ύψος προηγούμενων πράξεων ηλεκτρονικής πληρωμής εξ αποστάσεως, των οποίων η έναρξη διενεργήθηκε από τον πληρωτή μετά την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνει αθροιστικά το ποσό των 100 ευρώ, ή

γ) 

οι προηγούμενες πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως, των οποίων η έναρξη διενεργήθηκε από τον πληρωτή μετά την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνουν σε αριθμό τις πέντε διαδοχικές μεμονωμένες πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως.

Άρθρο 17

Ασφαλείς διαδικασίες και πρωτόκολλα εταιρικών πληρωμών

Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όσον αφορά νομικά πρόσωπα που διενεργούν την έναρξη πράξεων πληρωμής ηλεκτρονικά μέσω της χρήσης ειδικών διαδικασιών ή πρωτοκόλλων πληρωμής, που διατίθενται μόνο σε πληρωτές οι οποίοι δεν είναι καταναλωτές, όταν οι αρμόδιες αρχές κρίνουν ότι οι εν λόγω διαδικασίες ή τα πρωτόκολλα διασφαλίζουν τουλάχιστον αντίστοιχα επίπεδα ασφαλείας με τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366.

Άρθρο 18

Ανάλυση κινδύνου συναλλαγής

1.  
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής εξ αποστάσεως η οποία κρίνεται από τον πάροχο υπηρεσιών πληρωμών ως έχουσα κίνδυνο χαμηλού επιπέδου, σύμφωνα με τους μηχανισμούς παρακολούθησης συναλλαγών που αναφέρονται στο άρθρο 2 και στην παράγραφο 2 στοιχείο γ) του παρόντος άρθρου.
2.  

Οι πράξεις ηλεκτρονικής πληρωμής που αναφέρονται στην παράγραφο 1 θεωρείται ότι ενέχουν κίνδυνο χαμηλού επιπέδου, όταν πληρούνται όλες οι ακόλουθες προϋποθέσεις:

α) 

το ποσοστό απάτης για τον συγκεκριμένο τύπο συναλλαγής, που δηλώνεται από τον πάροχο υπηρεσιών πληρωμών και υπολογίζεται σύμφωνα με το άρθρο 19, ισούται με ή είναι χαμηλότερο από τα ποσοστά αναφοράς περιπτώσεων απάτης τα οποία προσδιορίζονται στον πίνακα που παρατίθεται στο παράρτημα, για τις «ηλεκτρονικές πληρωμές εξ αποστάσεως με κάρτα» και τις «ηλεκτρονικές μεταφορές πιστώσεων εξ αποστάσεως», αντίστοιχα·

β) 

το ύψος της συναλλαγής δεν υπερβαίνει τη συναφή οριακή τιμή εξαίρεσης που προσδιορίζεται στον πίνακα του παραρτήματος·

γ) 

οι πάροχοι υπηρεσιών πληρωμών δεν εντόπισαν, ως αποτέλεσμα της ανάλυσης κινδύνου που διενήργησαν σε πραγματικό χρόνο, οποιοδήποτε από τα ακόλουθα:

i) 

μη συνηθισμένη χρέωση ή μη συνηθισμένη συμπεριφορά του πληρωτή·

ii) 

ασυνήθιστες πληροφορίες για την πρόσβαση του πληρωτή μέσω της συσκευής/του λογισμικού·

iii) 

προσβολή από κακόβουλο λογισμικό σε οποιοδήποτε στάδιο της διαδικασίας εξακρίβωσης·

iv) 

γνωστό σενάριο απάτης στον τομέα της παροχής υπηρεσιών πληρωμών·

v) 

μη συνηθισμένη τοποθεσία του πληρωτή·

vi) 

τοποθεσία υψηλού κινδύνου του δικαιούχου.

3.  

Οι πάροχοι υπηρεσιών πληρωμών που σκοπεύουν να εξαιρέσουν τις πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη, με την αιτιολογία ότι παρουσιάζουν χαμηλό κίνδυνο, λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους παράγοντες συναρτήσει του κινδύνου:

α) 

τις προηγούμενες χρεώσεις του μεμονωμένου χρήστη υπηρεσιών πληρωμών·

β) 

το ιστορικό των πράξεων πληρωμής καθενός εκ των χρηστών υπηρεσιών πληρωμών του παρόχου υπηρεσιών πληρωμών·

γ) 

την τοποθεσία του πληρωτή και του δικαιούχου κατά τον χρόνο της πράξης πληρωμής, στις περιπτώσεις όπου η συσκευή ή το λογισμικό πρόσβασης παρέχεται από τον πάροχο υπηρεσιών πληρωμών·

δ) 

τον εντοπισμό μη συνηθισμένων πληρωμών του χρήστη υπηρεσιών πληρωμών σε σχέση με το ιστορικό των πράξεων πληρωμής του.

Η αξιολόγηση που γίνεται από τον πάροχο υπηρεσιών πληρωμών συνδυάζει όλους αυτούς τους παράγοντες συναρτήσει του κινδύνου σε μια βαθμολογία κινδύνου για κάθε επιμέρους συναλλαγή, με στόχο να προσδιοριστεί αν πρέπει ή όχι να επιτραπεί μια συγκεκριμένη πληρωμή, χωρίς αυστηρή εξακρίβωση της ταυτότητας του πελάτη.

Άρθρο 19

Υπολογισμός των ποσοστών απάτης

1.  
Για κάθε τύπο συναλλαγής που αναφέρεται στον πίνακα του παραρτήματος, ο πάροχος υπηρεσιών πληρωμών διασφαλίζει ότι τα συνολικά ποσοστά απάτης, που καλύπτουν τόσο τις πράξεις πληρωμής των οποίων η γνησιότητα εξακριβώνεται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη όσο και τις πράξεις πληρωμής που εκτελούνται δυνάμει οποιασδήποτε εκ των εξαιρέσεων που αναφέρονται στα άρθρα 13 έως 18, ισούνται με, ή είναι χαμηλότερα από, το ποσοστό αναφοράς περιπτώσεων απάτης για τον ίδιο τύπο πράξης πληρωμής που αναφέρεται στον πίνακα του παραρτήματος.

Το συνολικό ποσοστό απάτης για κάθε τύπο συναλλαγής υπολογίζεται ως η συνολική αξία μη εγκεκριμένων ή δόλιων συναλλαγών εξ αποστάσεως, ανεξάρτητα από το αν ανακτήθηκαν ή όχι τα κεφάλαια, διαιρούμενη με τη συνολική αξία όλων των συναλλαγών εξ αποστάσεως για τον ίδιο τύπο συναλλαγών, ανεξάρτητα από το αν η γνησιότητά τους εξακριβώνεται με την εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή αν εκτελούνται δυνάμει οποιασδήποτε εκ των εξαιρέσεων που αναφέρονται στα άρθρα 13 έως 18 σε κυλιόμενη τριμηνιαία βάση (90 ημέρες).

2.  
Ο υπολογισμός των ποσοστών απάτης και τα προκύπτοντα ποσοτικά στοιχεία αξιολογούνται μέσω της επανεξέτασης του ελέγχου, που αναφέρεται στο άρθρο 3 παράγραφος 2, η οποία διασφαλίζει την πληρότητα και την ακρίβειά τους.
3.  
Η μεθοδολογία και ενδεχομένως το μοντέλο που χρησιμοποιεί ο πάροχος υπηρεσιών πληρωμών για τον υπολογισμό των ποσοστών απάτης, καθώς και τα ίδια τα ποσοστά απάτης, τεκμηριώνονται επαρκώς και καθίστανται πλήρως διαθέσιμα στις αρμόδιες αρχές και στην ΕΑΤ με προηγούμενη γνωστοποίηση στην/στις αρμόδια/-ες αρχή/-ές, κατόπιν αιτήματός της/τους.

Άρθρο 20

Διακοπή εφαρμογής εξαιρέσεων βάσει ανάλυσης κινδύνου συναλλαγής

1.  
Οι πάροχοι υπηρεσιών πληρωμών που κάνουν χρήση της εξαίρεσης του άρθρου 18 ενημερώνουν αμέσως τις αρμόδιες αρχές, όταν ένα από τα παρακολουθούμενα ποσοστά απάτης τους, για οποιονδήποτε τύπο πράξεων πληρωμής που αναφέρεται στον πίνακα του παραρτήματος, υπερβαίνει το ισχύον ποσοστό αναφοράς περιπτώσεων απάτης, και υποβάλλουν στις αρμόδιες αρχές περιγραφή των μέτρων που σκοπεύουν να λάβουν για την αποκατάσταση της συμμόρφωσης του παρακολουθούμενου ποσοστού απάτης τους με τα ισχύοντα ποσοστά αναφοράς περιπτώσεων απάτης.
2.  
Οι πάροχοι υπηρεσιών πληρωμών παύουν αμέσως να χρησιμοποιούν την εξαίρεση του άρθρου 18, για οποιονδήποτε τύπο πράξεων πληρωμής που αναφέρεται στον πίνακα του παραρτήματος, στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης, όταν το παρακολουθούμενο ποσοστό απάτης τους υπερβαίνει για δύο διαδοχικά τρίμηνα το ποσοστό αναφοράς περιπτώσεων απάτης που ισχύει για το συγκεκριμένο μέσο πληρωμής ή τύπο πράξης πληρωμής στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης.
3.  
Μετά τη διακοπή χρήσης της εξαίρεσης του άρθρου 18, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, οι πάροχοι υπηρεσιών πληρωμών δεν χρησιμοποιούν ξανά τη συγκεκριμένη εξαίρεση, μέχρις ότου το ποσοστό αναφοράς περιπτώσεων απάτης που υπολογίζουν να ισούται με, ή να είναι χαμηλότερο από, τα ποσοστά αναφοράς περιπτώσεων απάτης που ισχύουν για τον συγκεκριμένο τύπο πράξης πληρωμής στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης για ένα τρίμηνο.
4.  
Σε περίπτωση που οι πάροχοι υπηρεσιών πληρωμών σκοπεύουν να χρησιμοποιήσουν ξανά την εξαίρεση του άρθρου 18, ενημερώνουν σχετικά τις αρμόδιες αρχές εντός εύλογου χρονοδιαγράμματος και, προτού κάνουν εκ νέου χρήση της εξαίρεσης, υποβάλλουν στοιχεία από τα οποία αποδεικνύεται η αποκατάσταση της συμμόρφωσης του παρακολουθούμενου ποσοστού απάτης τους με το ισχύον ποσοστό αναφοράς περιπτώσεων απάτης για το συγκεκριμένο εύρος οριακών τιμών εξαίρεσης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου.

Άρθρο 21

Παρακολούθηση

1.  

Για να κάνουν χρήση των εξαιρέσεων που προβλέπονται στα άρθρα 10 έως 18, οι πάροχοι υπηρεσιών πληρωμών καταγράφουν και παρακολουθούν, τουλάχιστον σε τριμηνιαία βάση, τα ακόλουθα δεδομένα για κάθε τύπο πράξεων πληρωμής, με ανάλυση για τις πράξεις πληρωμής εξ αποστάσεως και μη:

α) 

τη συνολική αξία των μη εγκεκριμένων ή δόλιων πράξεων πληρωμής, σύμφωνα με το άρθρο 64 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, τη συνολική αξία όλων των πράξεων πληρωμής και το προκύπτον ποσοστό απάτης, περιλαμβανομένης της ανάλυσης των πράξεων πληρωμής των οποίων η έναρξη διενεργείται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και δυνάμει καθεμιάς εκ των εξαιρέσεων·

β) 

τη μέση τιμή συναλλαγής, περιλαμβανομένης της ανάλυσης των πράξεων πληρωμής των οποίων η έναρξη διενεργείται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και δυνάμει καθεμιάς εκ των εξαιρέσεων·

γ) 

το πλήθος των πράξεων πληρωμής στις οποίες εφαρμόστηκε καθεμιά από τις εξαιρέσεις και το ποσοστό τους επί του συνολικού αριθμού των πράξεων πληρωμής.

2.  
Οι πάροχοι υπηρεσιών πληρωμών καθιστούν διαθέσιμα τα αποτελέσματα της παρακολούθησης σύμφωνα με την παράγραφο 1 στις αρμόδιες αρχές και την ΕΑΤ, με προηγούμενη κοινοποίηση στην/στις αρμόδια/-ες αρχή/-ές, κατόπιν αιτήματός της/τους.

ΚΕΦΑΛΑΙΟ IV

ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΚΑΙ ΑΚΕΡΑΙΟΤΗΤΑ ΤΩΝ ΕΞΑΤΟΜΙΚΕΥΜΕΝΩΝ ΔΙΑΠΙΣΤΕΥΤΗΡΙΩΝ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΧΡΗΣΤΩΝ ΥΠΗΡΕΣΙΩΝ ΠΛΗΡΩΜΩΝ

Άρθρο 22

Γενικές απαιτήσεις

1.  
Οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας του χρήστη υπηρεσιών πληρωμών, περιλαμβανομένων των αναγνωριστικών κωδικών, κατά τη διάρκεια όλων των σταδίων της εξακρίβωσης.
2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:

α) 

τα εξατομικευμένα διαπιστευτήρια ασφαλείας εμφανίζονται καλυμμένα στην οθόνη και δεν είναι αναγνώσιμα πλήρως κατά την πληκτρολόγησή τους από τον χρήστη υπηρεσιών πληρωμών στο πλαίσιο της εξακρίβωσης·

β) 

τα εξατομικευμένα διαπιστευτήρια ασφαλείας σε μορφότυπο δεδομένων, καθώς και τα υλικά κρυπτογράφησης που σχετίζονται με την κρυπτογράφηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας δεν αποθηκεύονται σε ακρυπτογράφητο κείμενο·

γ) 

τα απόρρητα υλικά κρυπτογράφησης προστατεύονται από μη εγκεκριμένη δημοσιοποίηση.

3.  
Οι πάροχοι υπηρεσιών πληρωμών τηρούν πλήρη τεκμηρίωση για τη διαδικασία διαχείρισης των υλικών κρυπτογράφησης που χρησιμοποιούνται για να κρυπτογραφηθούν ή να καταστούν με άλλον τρόπο μη αναγνώσιμα τα εξατομικευμένα διαπιστευτήρια ασφαλείας.
4.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η επεξεργασία και η δρομολόγηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και των αναγνωριστικών κωδικών, που δημιουργούνται σύμφωνα με το κεφάλαιο II, να λαμβάνουν χώρα σε ασφαλή περιβάλλοντα σύμφωνα με αξιόπιστα και ευρέως αναγνωρισμένα πρότυπα του συναφούς κλάδου.

Άρθρο 23

Δημιουργία και διαβίβαση των εξατομικευμένων διαπιστευτηρίων ασφαλείας

Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η δημιουργία των εξατομικευμένων διαπιστευτηρίων ασφαλείας να πραγματοποιείται σε ασφαλές περιβάλλον.

Μεριμνούν για τη μείωση των κινδύνων μη εγκεκριμένης χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των συσκευών και των λογισμικών εξακρίβωσης, σε περίπτωση απώλειας, κλοπής ή αντιγραφής τους, πριν από την παράδοσή τους στον πληρωτή.

Άρθρο 24

Συσχέτιση με τον χρήστη υπηρεσιών πληρωμών

1.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την, με ασφαλή τρόπο, συσχέτιση μόνο του χρήστη υπηρεσιών πληρωμών με τα εξατομικευμένα διαπιστευτήρια ασφαλείας, τις συσκευές και τα λογισμικά εξακρίβωσης.
2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:

α) 

η συσχέτιση της ταυτότητας του χρήστη υπηρεσιών πληρωμών με τα εξατομικευμένα διαπιστευτήρια ασφαλείας, τις συσκευές και τα λογισμικά εξακρίβωσης πραγματοποιείται υπό την ευθύνη του παρόχου υπηρεσιών πληρωμών σε ασφαλή περιβάλλοντα, στα οποία περιλαμβάνονται τουλάχιστον οι εγκαταστάσεις του παρόχου υπηρεσιών πληρωμών, το διαδικτυακό περιβάλλον που παρέχεται από τον πάροχο υπηρεσιών πληρωμών ή άλλοι παρεμφερείς ασφαλείς δικτυακοί τόποι, που χρησιμοποιούνται από τον πάροχο υπηρεσιών πληρωμών και από τις υπηρεσίες που αυτός παρέχει μέσω των αυτόματων ταμειολογιστικών μηχανών, ενώ λαμβάνονται επιπλέον υπόψη οι κίνδυνοι που σχετίζονται με τις συσκευές και τα υποκείμενα συστατικά στοιχεία, που χρησιμοποιούνται κατά τη διαδικασία συσχέτισης, και που δεν εμπίπτουν στην ευθύνη του παρόχου υπηρεσιών πληρωμών·

β) 

η συσχέτιση, μέσω εξ αποστάσεως διαύλου, της ταυτότητας του χρήστη υπηρεσιών πληρωμών, με τα εξατομικευμένα διαπιστευτήρια ασφαλείας και με τις συσκευές ή τα λογισμικά εξακρίβωσης, πραγματοποιείται με τη χρήση αυστηρής εξακρίβωσης της ταυτότητας του πελάτη.

Άρθρο 25

Παράδοση διαπιστευτηρίων, συσκευών και λογισμικών εξακρίβωσης

1.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης, στον χρήστη υπηρεσιών πληρωμών να πραγματοποιείται με ασφαλή τρόπο, ειδικά σχεδιασμένο για την αντιμετώπιση των κινδύνων που σχετίζονται με τη μη εγκεκριμένη χρήση τους λόγω απώλειας, κλοπής ή αντιγραφής τους.
2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν τουλάχιστον καθένα από τα ακόλουθα μέτρα:

α) 

αποτελεσματικούς και ασφαλείς μηχανισμούς παράδοσης, που διασφαλίζουν την παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης, στον νόμιμο χρήστη υπηρεσιών πληρωμών·

β) 

μηχανισμούς που επιτρέπουν στον πάροχο υπηρεσιών πληρωμών να επαληθεύει την αυθεντικότητα του λογισμικού εξακρίβωσης που παραδίδεται στον χρήστη υπηρεσιών πληρωμών μέσω του διαδικτύου·

γ) 

ρυθμίσεις που διασφαλίζουν ότι, όταν η παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας πραγματοποιείται εκτός των εγκαταστάσεων του παρόχου υπηρεσιών πληρωμών ή μέσω εξ αποστάσεως διαύλου:

i) 

κανένα μη εξουσιοδοτημένο πρόσωπο δεν μπορεί να λάβει περισσότερα από ένα στοιχεία των εξατομικευμένων διαπιστευτηρίων ασφαλείας, των συσκευών ή των λογισμικών εξακρίβωσης, όταν η παράδοσή τους γίνεται μέσω του ίδιου διαύλου·

ii) 

απαιτείται ενεργοποίηση των παραδιδόμενων εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών ή των λογισμικών εξακρίβωσης πριν από τη χρήση·

δ) 

ρυθμίσεις που διασφαλίζουν ότι, στις περιπτώσεις όπου απαιτείται ενεργοποίηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών ή των λογισμικών εξακρίβωσης πριν από την πρώτη χρήση τους, η ενεργοποίηση λαμβάνει χώρα σε ασφαλές περιβάλλον σύμφωνα με τις διαδικασίες συσχέτισης που αναφέρονται στο άρθρο 24.

Άρθρο 26

Ανανέωση των εξατομικευμένων διαπιστευτηρίων ασφαλείας

Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η ανανέωση ή η επανενεργοποίηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας να ακολουθεί πιστά τις διαδικασίες δημιουργίας, συσχέτισης και παράδοσης των διαπιστευτηρίων και των συσκευών εξακρίβωσης, σύμφωνα με τα άρθρα 23, 24 και 25.

Άρθρο 27

Καταστροφή, απενεργοποίηση και ανάκληση

Οι πάροχοι υπηρεσιών πληρωμών φροντίζουν να διαθέτουν αποτελεσματικές διαδικασίες για την εφαρμογή καθενός από τα ακόλουθα μέτρα ασφαλείας:

α) 

ασφαλή καταστροφή, απενεργοποίηση ή ανάκληση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης·

β) 

σε περίπτωση που ο πάροχος υπηρεσιών πληρωμών διανέμει επαναχρησιμοποιούμενες συσκευές και λογισμικά εξακρίβωσης, η ασφαλής επαναχρησιμοποίηση της συσκευής ή του λογισμικού διαπιστώνεται, τεκμηριώνεται και τίθεται σε εφαρμογή προτού η συσκευή ή το λογισμικό διατεθεί σε άλλον χρήστη υπηρεσιών πληρωμών·

γ) 

απενεργοποίηση ή ανάκληση των πληροφοριών που σχετίζονται με τα εξατομικευμένα διαπιστευτήρια ασφαλείας τα οποία είναι αποθηκευμένα στα συστήματα και τις βάσεις δεδομένων του παρόχου υπηρεσιών πληρωμών και, κατά περίπτωση, σε δημόσια αποθετήρια.

ΚΕΦΑΛΑΙΟ V

ΚΟΙΝΑ ΚΑΙ ΑΣΦΑΛΗ ΑΝΟΙΚΤΑ ΠΡΟΤΥΠΑ ΕΠΙΚΟΙΝΩΝΙΑΣ

Τμήμα 1

Γενικές απαιτήσεις επικοινωνίας

Άρθρο 28

Απαιτήσεις ταυτοποίησης

1.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την ασφαλή ταυτοποίηση, κατά την επικοινωνία ανάμεσα στη συσκευή του πληρωτή και τις συσκευές αποδοχής ηλεκτρονικών πληρωμών του δικαιούχου, περιλαμβανομένων, αλλά όχι αποκλειστικά, των τερματικών πληρωμής.
2.  
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την αποτελεσματική μείωση των κινδύνων εσφαλμένης αποστολής της επικοινωνίας σε μη εξουσιοδοτημένα πρόσωπα, οι οποίοι ελλοχεύουν σε εφαρμογές για φορητές συσκευές και λοιπές διεπαφές χρηστών υπηρεσιών πληρωμών, που παρέχουν ηλεκτρονικές υπηρεσίες πληρωμών.

Άρθρο 29

Ιχνηλασιμότητα

1.  
Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν διαδικασίες που εξασφαλίζουν την ιχνηλασιμότητα όλων των πράξεων πληρωμής και των λοιπών αλληλεπιδράσεων με τον χρήστη υπηρεσιών πληρωμών, με λοιπούς παρόχους υπηρεσιών πληρωμών και με άλλες οντότητες, όπως ενδεικτικά εμπόρους, στο πλαίσιο της παροχής της υπηρεσίας πληρωμής, διασφαλίζοντας την εκ των υστέρων γνώση όλων των γεγονότων που σχετίζονται με την ηλεκτρονική συναλλαγή σε όλα τα επιμέρους στάδια.
2.  

Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε κάθε κύκλος επικοινωνίας που δημιουργείται με τον χρήστη υπηρεσιών πληρωμών, λοιπούς παρόχους υπηρεσιών πληρωμών και άλλες οντότητες, όπως ενδεικτικά εμπόρους, να βασίζεται σε καθένα από τα ακόλουθα:

α) 

αποκλειστικό μέσο ταυτοποίησης του κύκλου·

β) 

μηχανισμούς ασφαλείας για την αναλυτική ημερολογιακή καταγραφή της συναλλαγής, περιλαμβανομένων του αριθμού της συναλλαγής, των χρονοσφραγίδων και όλων των συναφών δεδομένων της συναλλαγής·

γ) 

χρονοσφραγίδες που βασίζονται σε ενοποιημένο σύστημα χρονικής αναφοράς και είναι συγχρονισμένες με την επίσημη ώρα.

Τμήμα 2

Ειδικές απαιτήσεις για τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας

Άρθρο 30

Γενικές υποχρεώσεις για διεπαφές πρόσβασης

1.  

Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, που παρέχουν σε πληρωτή λογαριασμό πληρωμών προσβάσιμο διαδικτυακά, διαθέτουν τουλάχιστον μία διεπαφή η οποία πληροί καθεμία από τις ακόλουθες απαιτήσεις:

α) 

οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα δύνανται να ταυτοποιούνται στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού·

β) 

οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού δύνανται να επικοινωνούν με ασφάλεια, προκειμένου να ζητούν και να λαμβάνουν πληροφορίες για έναν ή περισσότερους καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής·

γ) 

οι πάροχοι υπηρεσιών εκκίνησης πληρωμών δύνανται να επικοινωνούν με ασφάλεια, προκειμένου να διενεργούν την έναρξη εντολής πληρωμής από τον λογαριασμό πληρωμών του πληρωτή και να λαμβάνουν όλες τις πληροφορίες σχετικά με την έναρξη της πράξης πληρωμής και όλες τις πληροφορίες που είναι προσβάσιμες στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για την εκτέλεση της πράξης πληρωμής.

2.  
Για τους σκοπούς της εξακρίβωσης της ταυτότητας του χρήστη υπηρεσιών πληρωμών, η διεπαφή που αναφέρεται στην παράγραφο 1 επιτρέπει στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών εκκίνησης πληρωμών να επαφίενται σε όλες τις διαδικασίες εξακρίβωσης που παρέχει ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη της υπηρεσίας πληρωμών.

Η διεπαφή πληροί τουλάχιστον όλες τις ακόλουθες απαιτήσεις:

α) 

ο πάροχος υπηρεσιών εκκίνησης πληρωμών ή ο πάροχος υπηρεσιών πληροφοριών λογαριασμού δύναται να ζητήσει από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να διενεργήσει την έναρξη της εξακρίβωσης με βάση τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών·

β) 

καθ' όλη τη διάρκεια της εξακρίβωσης δημιουργούνται και διατηρούνται κύκλοι επικοινωνίας ανάμεσα στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, τον πάροχο υπηρεσιών πληροφοριών λογαριασμού, τον πάροχο υπηρεσιών εκκίνησης πληρωμών και κάθε ενδιαφερόμενο χρήστη υπηρεσιών πληρωμών·

γ) 

διασφαλίζεται η ακεραιότητα και η εμπιστευτικότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας και των αναγνωριστικών κωδικών, που διαβιβάζονται από τον πάροχο υπηρεσιών εκκίνησης πληρωμών ή τον πάροχο υπηρεσιών πληροφοριών λογαριασμού ή μέσω αυτών.

3.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε οι διεπαφές τους να ακολουθούν πρότυπα επικοινωνίας που εκδίδονται από διεθνείς ή ευρωπαϊκούς οργανισμούς τυποποίησης.

Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ακόμη ώστε οι τεχνικές προδιαγραφές όλων των διεπαφών να είναι τεκμηριωμένες και να ορίζουν μια δέσμη ρουτινών πρωτοκόλλων και εργαλείων που είναι αναγκαία για να μπορούν οι πάροχοι υπηρεσιών εκκίνησης πληρωμών, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να επιτρέπουν στα λογισμικά και τις εφαρμογές τους να διαλειτουργήσουν με τα συστήματα των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.

Κατ' ελάχιστον, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού καθιστούν διαθέσιμη την τεκμηρίωση δωρεάν, τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής που αναφέρεται στο άρθρο 38 παράγραφος 2, ή πριν από την ημερομηνία-στόχο διάθεσης της διεπαφής πρόσβασης στην αγορά, όταν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία που αναφέρεται στο άρθρο 38 παράγραφος 2, κατόπιν αιτήματος αδειοδοτημένων παρόχων υπηρεσιών εκκίνησης πληρωμών, παρόχων υπηρεσιών πληροφοριών λογαριασμού και παρόχων υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα ή παρόχων υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, και παρέχουν περίληψη της τεκμηρίωσης που διατίθεται στο κοινό μέσω του δικτυακού τους τόπου.

4.  
Επιπροσθέτως της παραγράφου 3, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε, με εξαίρεση τις καταστάσεις έκτακτης ανάγκης, οποιαδήποτε αλλαγή των τεχνικών προδιαγραφών της διεπαφής τους να καθίσταται διαθέσιμη στους αδειοδοτημένους παρόχους υπηρεσιών εκκίνησης πληρωμών, παρόχους υπηρεσιών πληροφοριών λογαριασμού και παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα ή στους παρόχους υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, εκ των προτέρων το ταχύτερο δυνατό και τουλάχιστον τρεις μήνες πριν από την εφαρμογή της αλλαγής.

Οι πάροχοι υπηρεσιών πληρωμών τηρούν τεκμηρίωση για τις καταστάσεις έκτακτης ανάγκης στις οποίες εφαρμόστηκαν αλλαγές και καθιστούν διαθέσιμη τη σχετική τεκμηρίωση στις αρμόδιες αρχές, κατόπιν αιτήματος.

▼M1

4α.  
Κατά παρέκκλιση από την παράγραφο 4, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτουν στη διάθεση των παρόχων υπηρεσιών πληρωμών που αναφέρονται στο παρόν άρθρο τις αλλαγές που πραγματοποιούνται στις τεχνικές προδιαγραφές των διεπαφών τους προκειμένου να συμμορφώνονται με το άρθρο 10α τουλάχιστον 2 μήνες πριν από την εφαρμογή των εν λόγω αλλαγών.

▼B

5.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού καθιστούν διαθέσιμη λειτουργική δυνατότητα δοκιμής, και μεταξύ άλλων παροχής υποστήριξης, για τη σύνδεση και δοκιμή λειτουργίας, προκειμένου να μπορούν οι αδειοδοτημένοι πάροχοι υπηρεσιών εκκίνησης πληρωμών, πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα και πάροχοι υπηρεσιών πληροφοριών λογαριασμού ή οι πάροχοι υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, να δοκιμάζουν τα λογισμικά και τις εφαρμογές που χρησιμοποιούν για την παροχή υπηρεσιών πληρωμών στους χρήστες. Η εν λόγω λειτουργική δυνατότητα δοκιμής θα πρέπει να καθίσταται διαθέσιμη τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής που αναφέρεται στο άρθρο 38 παράγραφος 2, ή πριν από την ημερομηνία-στόχο διάθεσης της διεπαφής πρόσβασης στην αγορά, όταν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία που αναφέρεται στο άρθρο 38 παράγραφος 2.

Μέσω της λειτουργικής δυνατότητας δοκιμής δεν πρέπει, πάντως, να ανταλλάσσονται ευαίσθητες πληροφορίες.

6.  
Οι αρμόδιες αρχές μεριμνούν ώστε οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να συμμορφώνονται ανά πάσα στιγμή με τις υποχρεώσεις που περιλαμβάνονται στα παρόντα πρότυπα σε σχέση με τη/-ις διεπαφή/-ές που θέτουν σε εφαρμογή. Σε περίπτωση που κάποιος πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δεν συμμορφώνεται με τις απαιτήσεις για τις διεπαφές που προβλέπονται στα παρόντα πρότυπα, οι αρμόδιες αρχές μεριμνούν ώστε η παροχή υπηρεσιών εκκίνησης πληρωμών και υπηρεσιών πληροφοριών λογαριασμού να μην παρεμποδίζεται ούτε να διακόπτεται, εφόσον οι αντίστοιχοι πάροχοι των εν λόγω υπηρεσιών συμμορφώνονται με τις προϋποθέσεις του άρθρου 33 παράγραφος 5.

Άρθρο 31

Εναλλακτικές επιλογές ως προς τη διεπαφή πρόσβασης

Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού εγκαθιστούν τη/-ις διεπαφή/-ές που αναφέρεται/-ονται στο άρθρο 30 μέσω ειδικής διεπαφής ή επιτρέποντας τη χρήση, από τους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1, των διεπαφών που χρησιμοποιούνται για την εξακρίβωση της γνησιότητας και την επικοινωνία με τους χρήστες υπηρεσιών πληρωμών του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.

Άρθρο 32

Υποχρεώσεις σε σχέση με την ειδική διεπαφή

1.  
Υπό την προϋπόθεση της συμμόρφωσης με τις διατάξεις των άρθρων 30 και 31, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή μεριμνούν ώστε η τελευταία να παρέχει ανά πάσα στιγμή το ίδιο επίπεδο διαθεσιμότητας και επίδοσης, και μεταξύ άλλων υποστήριξης, με τις διεπαφές που διατίθενται στον χρήστη υπηρεσιών πληρωμών για απευθείας πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά.
2.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή ορίζουν διαφανείς κύριους δείκτες επίδοσης και στόχους παροχής υπηρεσιών, οι οποίοι είναι τουλάχιστον εξίσου αυστηροί με τους προβλεπόμενους για τη διεπαφή που χρησιμοποιείται από τους χρήστες υπηρεσιών πληρωμών τους, τόσο ως προς τη διαθεσιμότητα όσο και ως προς τα παρεχόμενα δεδομένα σύμφωνα με το άρθρο 36. Οι εν λόγω διεπαφές, δείκτες και στόχοι παρακολουθούνται από τις αρμόδιες αρχές και υποβάλλονται σε προσομοιώσεις ακραίων καταστάσεων.
3.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή μεριμνούν ώστε η τελευταία να μην παρεμποδίζει την παροχή υπηρεσιών εκκίνησης πληρωμών και πληροφοριών λογαριασμού. Τέτοια εμπόδια μπορεί να είναι, μεταξύ άλλων, η παρεμπόδιση της χρήσης από τους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 των διαπιστευτηρίων που εκδίδουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στους πελάτες τους, η επιβολή ανακατεύθυνσης στη λειτουργία εξακρίβωσης ή σε άλλες λειτουργίες του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, η απαίτηση για πρόσθετες άδειες και καταχωρίσεις πέραν των προβλεπόμενων στα άρθρα 11, 14 και 15 της οδηγίας (ΕΕ) 2015/2366, ή η απαίτηση για διενέργεια πρόσθετων ελέγχων όσον αφορά τη συγκατάθεση που δίδουν οι χρήστες υπηρεσιών πληρωμών στους παρόχους υπηρεσιών εκκίνησης πληρωμών και πληροφοριών λογαριασμού.
4.  
Για τον σκοπό των παραγράφων 1 και 2, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού παρακολουθούν τη διαθεσιμότητα και την επίδοση της ειδικής διεπαφής. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δημοσιεύουν στον δικτυακό τους τόπο τριμηνιαίες στατιστικές για τη διαθεσιμότητα και την επίδοση της ειδικής διεπαφής και της διεπαφής που χρησιμοποιείται από τους χρήστες υπηρεσιών πληρωμών τους.

Άρθρο 33

Μέτρα έκτακτης ανάγκης σε σχέση με την ειδική διεπαφή

1.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού περιλαμβάνουν, στον σχεδιασμό της ειδικής διεπαφής, στρατηγική και σχέδια για μέτρα έκτακτης ανάγκης για τις περιπτώσεις μη λειτουργίας της διεπαφής σύμφωνα με το άρθρο 32, μη προγραμματισμένης έλλειψης διαθεσιμότητας της διεπαφής και κατάρρευσης των συστημάτων. Μη προγραμματισμένη έλλειψη διαθεσιμότητας ή κατάρρευση των συστημάτων είναι δυνατό να θεωρηθεί ότι υφίσταται όταν δεν δίδεται απάντηση εντός 30 δευτερολέπτων σε πέντε διαδοχικά αιτήματα για πρόσβαση σε πληροφορίες σχετικά με την παροχή υπηρεσιών εκκίνησης πληρωμών ή υπηρεσιών πληροφοριών λογαριασμού.
2.  
Στα μέτρα έκτακτης ανάγκης περιλαμβάνονται σχέδια επικοινωνίας τα οποία αποσκοπούν στην ενημέρωση των παρόχων υπηρεσιών πληρωμών που κάνουν χρήση της ειδικής διεπαφής για την ύπαρξη μέτρων αποκατάστασης του συστήματος, καθώς και περιγραφή των άμεσα διαθέσιμων εναλλακτικών επιλογών που έχουν ενδεχομένως στη διάθεσή τους οι πάροχοι υπηρεσιών πληρωμών κατά το συγκεκριμένο χρονικό διάστημα.
3.  
Τόσο ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού όσο και οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 γνωστοποιούν αμελλητί στις αντίστοιχες αρμόδιες εθνικές αρχές τους τυχόν προβλήματα με τις ειδικές διεπαφές κατά τα περιγραφόμενα στην παράγραφο 1.
4.  
Στο πλαίσιο του μηχανισμού έκτακτης ανάγκης, οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 επιτρέπεται να κάνουν χρήση των διεπαφών που διατίθενται στους χρήστες υπηρεσιών πληρωμών για την εξακρίβωση της γνησιότητας και την επικοινωνία με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού τους, έως ότου αποκατασταθεί το επίπεδο διαθεσιμότητας και επίδοσης της ειδικής διεπαφής σύμφωνα με τα προβλεπόμενα στο άρθρο 32.
5.  

Για τον σκοπό αυτόν, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 να μπορούν να ταυτοποιηθούν και να μπορούν να βασιστούν στις διαδικασίες εξακρίβωσης που παρέχονται από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη υπηρεσιών πληρωμών. Όταν οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 κάνουν χρήση της διεπαφής που αναφέρεται στην παράγραφο 4:

α) 

λαμβάνουν τα απαιτούμενα μέτρα προκειμένου να διασφαλίσουν ότι δεν έχουν πρόσβαση σε, δεν αποθηκεύουν ούτε επεξεργάζονται δεδομένα για σκοπούς άλλους πέραν της παροχής της υπηρεσίας που έχει ζητήσει ο χρήστης υπηρεσιών πληρωμών·

β) 

συμμορφώνονται αδιαλείπτως με τις υποχρεώσεις που απορρέουν από το άρθρο 66 παράγραφος 3 και από το άρθρο 67 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366 αντίστοιχα·

γ) 

προβαίνουν σε ημερολογιακή καταγραφή των δεδομένων στα οποία παρέχεται πρόσβαση μέσω της διεπαφής που ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτει στη διάθεση των χρηστών υπηρεσιών πληρωμών του, και παρέχουν, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τα αρχεία ημερολογιακής καταγραφής στην αρμόδια εθνική αρχή τους·

δ) 

αιτιολογούν δεόντως στην αρμόδια εθνική αρχή τους, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τη χρήση της διεπαφής που τίθεται στη διάθεση των χρηστών υπηρεσιών πληρωμών για απευθείας πρόσβαση στον λογαριασμό πληρωμών τους διαδικτυακά·

ε) 

ενημερώνουν σχετικά τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.

6.  

Οι αρμόδιες αρχές, μετά από διαβούλευση με την ΕΑΤ για τη διασφάλιση της συνεπούς εφαρμογής των ακόλουθων προϋποθέσεων, εξαιρούν τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν επιλέξει τη λύση της ειδικής διεπαφής από την υποχρέωση ανάπτυξης του μηχανισμού έκτακτης ανάγκης που περιγράφεται στην παράγραφο 4 όταν η ειδική διεπαφή πληροί όλες τις ακόλουθες προϋποθέσεις:

α) 

συμμορφώνεται με όλες τις υποχρεώσεις για τις ειδικές διεπαφές κατά τα προβλεπόμενα στο άρθρο 32·

β) 

έχει σχεδιαστεί και υποβληθεί σε δοκιμές σύμφωνα με το άρθρο 30 παράγραφος 5 κατά τρόπο ικανοποιητικό για τους παρόχους υπηρεσιών πληρωμών που αναφέρονται σε αυτό·

γ) 

έχει χρησιμοποιηθεί ευρέως για διάστημα τουλάχιστον τριών μηνών από τους παρόχους υπηρεσιών πληρωμών για την παροχή υπηρεσιών πληροφοριών λογαριασμού, υπηρεσιών εκκίνησης πληρωμών και για την παροχή επιβεβαίωσης σχετικά με τη διαθεσιμότητα των κεφαλαίων για πληρωμές με κάρτα·

δ) 

τυχόν πρόβλημα σχετικό με την ειδική διεπαφή έχει επιλυθεί χωρίς αδικαιολόγητη καθυστέρηση.

7.  
Οι αρμόδιες αρχές ανακαλούν την εξαίρεση που αναφέρεται στην παράγραφο 6 όταν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δεν πληρούν τις προϋποθέσεις α) και δ) για περισσότερες από δύο διαδοχικές ημερολογιακές εβδομάδες. Οι αρμόδιες αρχές ενημερώνουν την ΕΑΤ για την εν λόγω ανάκληση και μεριμνούν ώστε ο πάροχος να εγκαθιδρύσει, το συντομότερο δυνατό και το αργότερο εντός διμήνου, τον μηχανισμό έκτακτης ανάγκης που αναφέρεται στην παράγραφο 4.

Άρθρο 34

Πιστοποιητικά

1.  
Για τον σκοπό της ταυτοποίησης, κατά τα αναφερόμενα στο άρθρο 30 παράγραφος 1 στοιχείο α), οι πάροχοι υπηρεσιών πληρωμών βασίζονται σε εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων κατά τα αναφερόμενα στο άρθρο 3 σημείο 30 του κανονισμού (ΕΕ) αριθ. 910/2014 ή σε εγκεκριμένα πιστοποιητικά για την επαλήθευση της γνησιότητας ιστότοπου κατά τα αναφερόμενα στο άρθρο 3 σημείο 39 του προαναφερόμενου κανονισμού.
2.  
Για τον σκοπό του παρόντος κανονισμού, ο αριθμός μητρώου όπως αναφέρεται στα επίσημα αρχεία σύμφωνα με το παράρτημα III στοιχείο γ) ή το παράρτημα IV στοιχείο γ) του κανονισμού (ΕΕ) αριθ. 910/2014 είναι ο αριθμός άδειας του παρόχου υπηρεσιών πληρωμών που εκδίδει μέσα πληρωμής με κάρτα, των παρόχων υπηρεσιών πληροφοριών λογαριασμού και των παρόχων υπηρεσιών εκκίνησης πληρωμών, περιλαμβανομένων των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που παρέχουν τέτοιες υπηρεσίες, που είναι καταχωρισμένος στο δημόσιο μητρώο του κράτους μέλους προέλευσης δυνάμει του άρθρου 14 της οδηγίας (ΕΕ) 2015/2366 ή που προκύπτει από τις κοινοποιήσεις κάθε χορηγούμενης άδειας λειτουργίας δυνάμει του άρθρου 8 της οδηγίας 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 1 ) σύμφωνα με το άρθρο 20 της προαναφερόμενης οδηγίας.
3.  

Για τους σκοπούς του παρόντος κανονισμού, τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων ή τα εγκεκριμένα πιστοποιητικά για την επαλήθευση της γνησιότητας ιστότοπου που αναφέρονται στην παράγραφο 1 περιλαμβάνουν, σε γλώσσα που συνηθίζεται στον διεθνή χρηματοπιστωτικό τομέα, πρόσθετα ειδικά χαρακτηριστικά σε σχέση με καθένα από τα ακόλουθα:

α) 

τον ρόλο του παρόχου υπηρεσιών πληρωμών, ο οποίος μπορεί να συνίσταται σε ένα ή περισσότερα από τα ακόλουθα:

i) 

εξυπηρέτηση λογαριασμού·

ii) 

εκκίνηση πληρωμής·

iii) 

πληροφορίες λογαριασμού·

iv) 

έκδοση μέσων πληρωμών με κάρτα·

β) 

την ονομασία των αρμόδιων αρχών στις οποίες είναι καταχωρισμένος ο πάροχος υπηρεσιών πληρωμών.

4.  
Τα χαρακτηριστικά που αναφέρονται στην παράγραφο 3 δεν επηρεάζουν τη διαλειτουργικότητα και την αναγνώριση των εγκεκριμένων πιστοποιητικών ηλεκτρονικών σφραγίδων ή των εγκεκριμένων πιστοποιητικών για την επαλήθευση της γνησιότητας δικτυακού τόπου.

Άρθρο 35

Ασφάλεια κύκλου επικοινωνίας

1.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών μεριμνούν ώστε, κατά την ανταλλαγή δεδομένων μέσω του διαδικτύου, να εφαρμόζεται ασφαλής κρυπτογράφηση ανάμεσα στα επικοινωνούντα μέρη καθ' όλη τη διάρκεια του αντίστοιχου κύκλου επικοινωνίας ώστε να προστατεύεται η εμπιστευτικότητα και η ακεραιότητα των δεδομένων, με τη χρήση αξιόπιστων και ευρέως αναγνωρισμένων τεχνικών κρυπτογράφησης.
2.  
Οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών διατηρούν όσο το δυνατόν συντομότερους τους κύκλους πρόσβασης που παρέχονται από τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού και τερματίζουν οι ίδιοι κάθε τέτοιον κύκλο αμέσως μετά την ολοκλήρωση της ζητηθείσας ενέργειας.
3.  
Σε περίπτωση διενέργειας ταυτόχρονων διαδικτυακών κύκλων με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών μεριμνούν ώστε οι εν λόγω κύκλοι να συνδέονται με ασφαλή τρόπο με τους συναφείς κύκλους που δημιουργούνται με τον/-ους χρήστη/-ες υπηρεσιών πληρωμών, ώστε να αποτρέπεται το ενδεχόμενο εσφαλμένης δρομολόγησης των μηνυμάτων ή πληροφοριών που ανταλλάσσονται μεταξύ τους.
4.  

Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν για την ύπαρξη απολύτως σαφών αναφορών σε καθένα από τα ακόλουθα στοιχεία:

α) 

τον χρήστη ή τους χρήστες υπηρεσιών πληρωμών και τον αντίστοιχο κύκλο επικοινωνίας με σκοπό τη διάκριση των διαφόρων αιτημάτων από τον ίδιο ή τους ίδιους χρήστες υπηρεσιών πληρωμών·

β) 

για υπηρεσίες εκκίνησης πληρωμών, τη φέρουσα αποκλειστικό μέσο ταυτοποίησης πράξη πληρωμής της οποίας διενεργήθηκε η έναρξη·

γ) 

για επιβεβαίωση σχετικά με τη διαθεσιμότητα των κεφαλαίων, το φέρον αποκλειστικό μέσο ταυτοποίησης αίτημα που σχετίζεται με το απαιτούμενο ποσό για την εκτέλεση της πράξης πληρωμής με κάρτα.

5.  
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα μεριμνούν ώστε, κατά την κοινοποίησή τους, τα εξατομικευμένα διαπιστευτήρια ασφαλείας και οι αναγνωριστικοί κωδικοί να μην μπορούν να αναγνωστούν, άμεσα ή έμμεσα, από κανένα μέλος του προσωπικού σε καμία στιγμή.

Σε περίπτωση απώλειας της εμπιστευτικότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας στο πλαίσιο των οικείων αρμοδιοτήτων τους, οι εν λόγω πάροχοι ενημερώνουν αμελλητί τον χρήστη υπηρεσιών πληρωμών που συνδέεται με αυτά, καθώς και τον εκδότη των εξατομικευμένων διαπιστευτηρίων ασφαλείας.

Άρθρο 36

Ανταλλαγές δεδομένων

1.  

Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού συμμορφώνονται με καθεμία από τις ακόλουθες απαιτήσεις:

α) 

παρέχουν στους παρόχους υπηρεσιών πληροφοριών λογαριασμού τις ίδιες ακριβώς πληροφορίες από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής που διατίθενται στον χρήστη υπηρεσιών πληρωμών όταν ζητά απευθείας πρόσβαση στις πληροφορίες λογαριασμού, υπό την προϋπόθεση ότι οι εν λόγω πληροφορίες δεν περιλαμβάνουν ευαίσθητα δεδομένα πληρωμών·

β) 

παρέχουν, αμέσως μετά τη λήψη της εντολής πληρωμής, στους παρόχους υπηρεσιών εκκίνησης πληρωμών τις ίδιες ακριβώς πληροφορίες για την εκκίνηση και την εκτέλεση της πράξης πληρωμής που παρέχονται ή τίθενται στη διάθεση του χρήστη υπηρεσιών πληρωμών όταν ο τελευταίος διενεργεί απευθείας την έναρξη της πράξης πληρωμής·

γ) 

επιβεβαιώνουν αμέσως, κατόπιν αιτήματος, στους παρόχους υπηρεσιών πληρωμών, με ένα απλό «ναι» ή «όχι», αν το απαιτούμενο ποσό για την εκτέλεση μιας πράξης πληρωμής είναι διαθέσιμο ή όχι στον λογαριασμό πληρωμών του πληρωτή.

2.  
Σε περίπτωση απροσδόκητου συμβάντος ή σφάλματος κατά τη διαδικασία ταυτοποίησης, εξακρίβωσης, ή κατά την ανταλλαγή των στοιχείων δεδομένων, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού αποστέλλει μήνυμα κοινοποίησης στον πάροχο υπηρεσιών εκκίνησης πληρωμών ή στον πάροχο υπηρεσιών πληροφοριών λογαριασμού και στον πάροχο υπηρεσιών πληρωμών που εκδίδει μέσα πληρωμής με κάρτα στο οποίο επεξηγείται ο λόγος για το απροσδόκητο συμβάν ή σφάλμα.

Στις περιπτώσεις όπου ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού παρέχει ειδική διεπαφή σύμφωνα με το άρθρο 32, η εν λόγω διεπαφή προβλέπει την έκδοση μηνυμάτων κοινοποίησης για τη γνωστοποίηση απροσδόκητων συμβάντων ή σφαλμάτων από οποιονδήποτε πάροχο υπηρεσιών πληρωμών ανιχνεύει το συμβάν ή το σφάλμα στους λοιπούς παρόχους υπηρεσιών πληρωμών που συμμετέχουν στον κύκλο επικοινωνίας.

3.  
Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού εφαρμόζουν κατάλληλους και αποτελεσματικούς μηχανισμούς που αποτρέπουν την πρόσβαση σε άλλες πληροφορίες πλην εκείνων που προέρχονται από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής, σύμφωνα με τη ρητή συγκατάθεση του χρήστη.
4.  
Οι πάροχοι υπηρεσιών εκκίνησης πληρωμών παρέχουν στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού τις ίδιες ακριβώς πληροφορίες που ζητούνται από τον χρήστη υπηρεσιών πληρωμών όταν διενεργεί απευθείας την έναρξη της πράξης πληρωμής.
5.  

Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού δύνανται να έχουν πρόσβαση στις πληροφορίες από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής τις οποίες διαθέτουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για τους σκοπούς της παροχής της υπηρεσίας πληροφοριών λογαριασμού σε καθεμία από τις ακόλουθες περιστάσεις:

α) 

οσάκις ο χρήστης υπηρεσιών πληρωμών ζητά ο ίδιος τις εν λόγω πληροφορίες·

β) 

όταν ο χρήστης υπηρεσιών πληρωμών δεν ζητά ο ίδιος τις εν λόγω πληροφορίες, όχι περισσότερες από τέσσερις φορές εντός 24 ωρών, εκτός εάν έχει συμφωνηθεί μεγαλύτερη συχνότητα μεταξύ του παρόχου υπηρεσιών πληροφοριών λογαριασμού και του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, με τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών.

ΚΕΦΑΛΑΙΟ VI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 37

Επανεξέταση

Με την επιφύλαξη του άρθρου 98 παράγραφος 5 της οδηγίας (ΕΕ) 2015/2366, η ΕΑΤ επανεξετάζει, μέχρι τις 14 Μαρτίου 2021, τα ποσοστά απάτης που αναφέρονται στο παράρτημα του παρόντος κανονισμού, καθώς και τις εξαιρέσεις που χορηγούνται δυνάμει του άρθρου 33 παράγραφος 6 σε σχέση με τις ειδικές διεπαφές, και, εφόσον απαιτείται, υποβάλλει επικαιροποιημένα σχέδια αυτών στην Επιτροπή σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010.

Άρθρο 38

Έναρξη ισχύος

1.  
Ο παρών κανονισμός αρχίζει να ισχύει την επομένη της δημοσίευσής του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2.  
O παρών κανονισμός εφαρμόζεται από τις 14 Σεπτεμβρίου 2019.
3.  
Ωστόσο, οι παράγραφοι 3 και 5 του άρθρου 30 εφαρμόζονται τις 14 Μαρτίου 2019.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.



ΠΑΡΑΡΤΗΜΑ



 

Ποσοστό αναφοράς περιπτώσεων απάτης (%) για:

ETV (Exemption Threshold Value — Οριακή Τιμή Εξαίρεσης)

Ηλεκτρονικές πληρωμές εξ αποστάσεως με κάρτα

Ηλεκτρονικές μεταφορές πιστώσεων εξ αποστάσεως

500 EUR

0,01

0,005

250 EUR

0,06

0,01

100 EUR

0,13

0,015


( 1 ) Οδηγία 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με την πρόσβαση στη δραστηριότητα πιστωτικών ιδρυμάτων και την προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων, για την τροποποίηση της οδηγίας 2002/87/ΕΚ και για την κατάργηση των οδηγιών 2006/48/ΕΚ και 2006/49/ΕΚ (ΕΕ L 176 της 27.6.2013, σ. 338).