EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230912
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: Delegirana uredba Komisije (EU) 2018/389 оd 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije (Tekst značajan za EGP)Tekst značajan za EGP
Delegirana uredba Komisije (EU) 2018/389 оd 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije (Tekst značajan za EGP)Tekst značajan za EGP
02018R0389 — HR — 12.09.2023 — 002.001
Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.
DELEGIRANA UREDBA KOMISIJE (EU) 2018/389 оd 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije ( L 069 13.3.2018, 23) |
Koju je izmijenila:
|
|
|||
br. |
stranica |
datum |
||
DELEGIRANA UREDBA KOMISIJE (EU) 2022/2360 оd 3. kolovoza 2022. |
L 312 |
1 |
5.12.2022 |
|
DELEGIRANA UREDBA KOMISIJE (EU) 2023/1650 оd 15. svibnja 2023. |
L 208 |
1 |
23.8.2023 |
Koju je ispravio:
DELEGIRANA UREDBA KOMISIJE (EU) 2018/389
оd 27. studenoga 2017.
o dopuni Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije
(Tekst značajan za EGP)
POGLAVLJE I.
OPĆE ODREDBE
Članak 1.
Predmet
Ovom Uredbom utvrđuju se zahtjevi koje trebaju ispunjavati pružatelji platnih usluga za potrebe provedbe sigurnosnih mjera koje im omogućuju sljedeće:
primjenu pouzdane autentifikacije klijenta u skladu s člankom 97. Direktive (EU) 2015/2366;
izuzeće od primjene sigurnosnih zahtjeva za pouzdanu autentifikaciju klijenta, koje podliježe određenim i ograničenim uvjetima koji se temelje na razini rizika, iznosu i ponavljanju platne transakcije te kanalu plaćanja koji se koristi za izvršenje transakcije;
zaštitu povjerljivosti i cjelovitosti personaliziranih sigurnosnih podataka korisnika platnih usluga;
uspostavu zajedničkih i sigurnih otvorenih standarda komunikacije među pružateljima platnih usluga koji vode račune, pružateljima usluga iniciranja plaćanja, pružateljima usluga pružanja informacija o računu, platiteljima, primateljima plaćanja i drugim pružateljima platnih usluga u vezi s pružanjem i uporabom platnih usluga u svrhu primjene glave IV. Direktive (EU) 2015/2366.
Članak 2.
Opći zahtjevi za autentifikaciju
Ti se mehanizmi temelje na analizi platnih transakcija kojom se uzimaju u obzir elementi tipični za korisnika platnih usluga u okviru uobičajene upotrebe personaliziranih sigurnosnih podataka.
Pružatelji platnih usluga osiguravaju da se mehanizmima za praćenje transakcija nužno uzimaju u obzir barem svi sljedeći čimbenici rizika:
popis ugroženih ili ukradenih elemenata za autentifikaciju;
iznos svake platne transakcije;
poznati scenariji prijevare pri pružanju platnih usluga;
znakovi infekcije zlonamjernim programima u bilo kojoj sesiji postupka autentifikacije;
ako pružatelj platnih usluga osigurava uređaj ili softver za pristup, zapis upotrebe uređaja ili softvera za pristup koji su dostavljeni korisniku platnih usluga i neuobičajene upotrebe uređaja ili softvera za pristup.
Članak 3.
Preispitivanje sigurnosnih mjera
Međutim, pružatelji platnih usluga koji se koriste izuzećem iz članka 18. podliježu reviziji metodologije, modela i prijavljene stope prijevara najmanje jednom godišnje. Revizor koji provodi predmetnu reviziju ima iskustvo u području IT sigurnosti i platnog prometa i djeluje neovisno unutar pružatelja platnih usluga ili neovisno o njemu. Tijekom prve godine primjene izuzeća na temelju članka 18. i najmanje tri godine nakon toga ili češće, na zahtjev nadležnog tijela, tu reviziju provodi neovisni i kvalificirani vanjski revizor.
Cjelovito izvješće stavlja se na raspolaganje nadležnim tijelima na njihov zahtjev.
POGLAVLJE II.
SIGURNOSNE MJERE ZA PRIMJENU POUZDANE AUTENTIFIKACIJE KLIJENTA
Članak 4.
Kôd za autentifikaciju
Pružatelj platnih usluga prihvaća kôd za autentifikaciju samo jednom kada platitelj koristi kôd za autentifikaciju kako bi svojem računu za plaćanje pristupio online, inicirao elektroničku platnu transakciju ili izvršio bilo koju radnju s udaljenosti koja može podrazumijevati rizik u smislu prijevara povezanih s plaćanjem ili drugih oblika zlouporabe.
Za potrebe stavka 1. pružatelji platnih usluga uspostavljaju sigurnosne mjere kojima se osigurava ispunjavanje svih sljedećih zahtjeva:
otkrivanjem kôda za autentifikaciju nije moguće utvrditi informacije o bilo kojem elementu iz stavka 1.;
novi kôd za autentifikaciju ne može se generirati na temelju saznanja o bilo kojem prethodno generiranom kôdu za autentifikaciju;
kôd za autentifikaciju ne može se krivotvoriti.
Pružatelji platnih usluga osiguravaju da autentifikacija na temelju generiranja kôda za autentifikaciju obuhvaća sve sljedeće mjere:
ako se kod za autentifikaciju za potrebe stavka 1. nije generirao autentifikacijom za potrebe pristupa s udaljenosti, elektroničkog plaćanja s udaljenosti i svih drugih radnji koje se izvršavaju s udaljenosti i koje mogu podrazumijevati rizik u pogledu prijevara povezanih s plaćanjem ili drugih oblika zlouporabe, nije moguće utvrditi koji je element iz tog stavka bio pogrešan;
broj uzastopnih neuspješnih pokušaja autentifikacije, nakon kojih se radnje iz članka 97. stavka 1. Direktive (EU) 2015/2366 privremeno ili trajno blokiraju, ne smije biti veći od pet tijekom određenog razdoblja;
komunikacijske sesije zaštićene su od bilježenja podataka o autentifikaciji koji se prenose tijekom autentifikacije i od manipulacije neovlaštenih osoba u skladu sa zahtjevima iz poglavlja V.;
najdulje razdoblje bez aktivnosti platitelja nakon što je autentificiran za online pristup svojem računu za plaćanje ne smije biti dulje od pet minuta.
Platitelja se obavješćuje prije nego što blokada postane trajna.
Ako blokada postane trajna, uspostavlja se sigurnosni postupak kojim se platitelju omogućuje ponovna upotreba blokiranih elektroničkih platnih instrumenata.
Članak 5.
Dinamično povezivanje
Ako pružatelji platnih usluga primjenjuju pouzdanu autentifikaciju klijenta u skladu s člankom 97. stavkom 2. Direktive (EU) 2015/2366, oni uz zahtjeve iz članka 4. ove Uredbe uvode i sigurnosne mjere koje ispunjavaju sve sljedeće zahtjeve:
platitelj je obaviješten o iznosu platne transakcije i o primatelju plaćanja;
generirani kôd za autentifikaciju određen je za iznos platne transakcije i primatelja plaćanja koje je platitelj naznačio pri iniciranju transakcije;
kôd za autentifikaciju koji je pružatelj platnih usluga prihvatio odgovara izvorno navedenom iznosu platne transakcije i identitetu primatelja plaćanja koje je platitelj naznačio;
svaka promjena iznosa ili primatelja plaćanja dovodi do neispravnosti generiranog kôda za autentifikaciju.
Za potrebe stavka 1. pružatelji platnih usluga uspostavljaju sigurnosne mjere kojima se osigurava povjerljivost, autentičnost i cjelovitost svih podataka u nastavku:
iznosa transakcije i primatelja plaćanja tijekom svih faza autentifikacije;
informacija koje se platitelju prikazuju tijekom svih faza autentifikacije, uključujući generiranje, prijenos i upotrebu kôda za autentifikaciju.
Za potrebe stavka 1. točke (b) i ako pružatelji platnih usluga primjenjuju pouzdanu autentifikaciju klijenta u skladu s člankom 97. stavkom 2. Direktive (EU) 2015/2366, primjenjuju se sljedeći zahtjevi za kôd za autentifikaciju:
u pogledu platne transakcije na temelju kartica za koju je platitelj dao suglasnost za točan iznos novčanih sredstava koja će se blokirati u skladu s člankom 75. stavkom 1. te Direktive, kôd za autentifikaciju specifičan je za iznos za čije je blokiranje platitelj dao suglasnost i koji je pri iniciranju transakcije naznačio;
u pogledu platnih transakcija za koje je platitelj dao suglasnost za izvršenje skupine elektroničkih platnih transakcija s udaljenosti upućenih jednom ili više primatelja plaćanja, kôd za autentifikaciju specifičan je za ukupni iznos skupine platnih transakcija i za naznačene primatelje plaćanja.
Članak 6.
Zahtjevi za elemente koji pripadaju kategoriji znanja
Članak 7.
Zahtjevi za elemente koji pripadaju kategoriji posjedovanja
Članak 8.
Zahtjevi za uređaje i softver koji su povezani s elementima koji pripadaju kategoriji svojstvenosti
Članak 9.
Neovisnost elemenata
Za potrebe stavka 2. mjere smanjenja rizika uključuju sve mjere navedene u nastavku:
upotreba odvojenih sigurnih okruženja za izvršavanje s pomoću softvera instaliranog na višenamjenskom uređaju;
mehanizmi kojima se osigurava da platitelj ili treća strana ne mogu preinačiti softver ili uređaj;
u slučaju njihove preinake, mehanizmi kojima se ublažavaju posljedice preinake.
POGLAVLJE III.
IZUZEĆA OD POUZDANE AUTENTIFIKACIJE KLIJENTA
Članak 10.
Pristup informacijama o računu za plaćanje izravno kod pružatelja platnih usluga koji vodi račun
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta u skladu sa zahtjevima iz članka 2. ako korisnik platnih usluga izravno pristupa svojem računu za plaćanje putem interneta, pod uvjetom da je pristup ograničen na jednu od sljedećih stavki na internetu bez otkrivanja osjetljivih podataka o plaćanju:
stanje na jednom ili više utvrđenih računa za plaćanje;
platne transakcije izvršene u posljednjih 90 dana preko jednog ili više utvrđenih računa za plaćanje.
Odstupajući od stavka 1., pružatelji platnih usluga nisu izuzeti od primjene pouzdane autentifikacije klijenta ako je ispunjen bilo koji od sljedeća dva uvjeta:
korisnik platnih usluga putem interneta prvi put pristupa informacijama iz stavka 1.;
prošlo je više od 180 dana od kada je korisnik platnih usluga posljednji put putem interneta pristupio informacijama iz stavka 1. uz primjenu pouzdane autentifikacije klijenta.
Članak 10.a
Pristup informacijama o računu za plaćanje preko pružatelja usluga pružanja informacija o računu
Pružatelji platnih usluga ne primjenjuju pouzdanu autentifikaciju klijenta ako korisnik platnih usluga putem interneta pristupa svojem računu za plaćanje preko pružatelja usluga pružanja informacija o računu, pod uvjetom da je pristup ograničen na jednu od sljedećih stavki na internetu bez otkrivanja osjetljivih podataka o plaćanju:
stanje na jednom ili više utvrđenih računa za plaćanje;
platne transakcije izvršene u posljednjih 90 dana preko jednog ili više utvrđenih računa za plaćanje.
Odstupajući od stavka 1., pružatelji platnih usluga primjenjuju pouzdanu autentifikaciju klijenta ako je ispunjen jedan od sljedećih uvjeta:
korisnik platnih usluga putem interneta prvi put pristupa informacijama iz stavka 1. preko pružatelja usluga pružanja informacija o računu;
prošlo je više od 180 dana od kada je korisnik platnih usluga posljednji put putem interneta pristupio informacijama iz stavka 1. preko pružatelja usluga pružanja informacija o računu uz primjenu pouzdane autentifikacije klijenta.
Članak 11.
Beskontaktna plaćanja na prodajnom mjestu
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta uz uvjet da poštuju zahtjeve iz članka 2. ako platitelj inicira beskontaktnu elektroničku platnu transakciju i ispunjeni su sljedeći uvjeti:
pojedinačni iznos beskontaktne elektroničke platne transakcije ne prelazi 50 EUR; i
ukupna vrijednost prethodnih beskontaktnih elektroničkih platnih transakcija koje su inicirane platnim instrumentom s beskontaktnom funkcijom u razdoblju od datuma posljednje primjene pouzdane autentifikacije klijenta ne prelazi 150 EUR; ili
broj uzastopnih beskontaktnih elektroničkih platnih transakcija iniciranih platnim instrumentom opremljenim beskontaktnom funkcijom u razdoblju od posljednje primjene pouzdane autentifikacije klijenta nije veći od pet.
Članak 12.
Samoposlužni terminali za plaćanje prijevoza i naknada za parkiranje
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta uz uvjet da poštuju zahtjeve iz članka 2. ako platitelj inicira elektroničku platnu transakciju na samoposlužnom terminalu za potrebe plaćanje prijevoza i naknada za parkiranje.
Članak 13.
Provjereni korisnici
Članak 14.
Ponavljajuće transakcije
Članak 15.
Kreditni transferi između računa koje posjeduje ista fizička ili pravna osoba
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta uz uvjet da poštuju zahtjeve iz članka 2. ako platitelj inicira kreditni transfer u okolnostima gdje su platitelj i primatelj plaćanja ista fizička ili pravna osoba i oba računa za plaćanje drži isti pružatelj platnih usluga koji vodi račun.
Članak 16.
Transakcije male vrijednosti
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta ako platitelj inicira elektroničku platnu transakciju s udaljenosti i ispunjeni su sljedeći uvjeti:
iznos elektroničke platne transakcije s udaljenosti ne prelazi 30 EUR; i
ukupna vrijednost prethodnih elektroničkih platnih transakcija s udaljenosti koje je platitelj inicirao od posljednje primjene pouzdane autentifikacije klijenta ne prelazi 100 EUR; ili
broj prethodnih elektroničkih platnih transakcija s udaljenosti koje je platitelj inicirao od posljednje primjene pouzdane autentifikacije klijenta nije veći od 5 uzastopnih pojedinačnih elektroničkih platnih transakcija s udaljenosti.
Članak 17.
Sigurni korporativni postupci i protokoli plaćanja
Pružateljima platnih usluga dopušteno je ne primjenjivati pouzdanu autentifikaciju klijenta u pogledu pravnih osoba koje iniciraju elektroničke platne transakcije s pomoću namjenskih postupaka i protokola plaćanja koji su stavljeni na raspolaganje isključivo platiteljima koji nisu potrošači, a nadležna tijela utvrdila su da se tim postupcima ili protokolima jamče razine sigurnosti koje su barem jednakovrijedne onima iz Direktive (EU) 2015/2366.
Članak 18.
Analiza rizika transakcije
Smatra se da elektronička platna transakcija iz stavka 1. predstavlja niski rizik ako su ispunjeni svi sljedeći uvjeti:
stopa prijevare za tu vrstu transakcije, prema izvješćima pružatelja platnih usluga i izračunana u skladu s člankom 19., jednaka je ili niža od referentnih stopa prijevare iz tablice u Prilogu za stavke „elektronička plaćanja na temelju kartica s daljine” odnosno „elektronički kreditni transferi s udaljenosti”;
iznos transakcije ne prelazi relevantnu vrijednost praga za izuzeće navedenu u tablici iz Priloga;
pružatelji platnih usluga nakon provedbe analize rizika u realnom vremenu nisu utvrdili nijedno od sljedećeg:
neuobičajeni obrazac potrošnje ili ponašanja platitelja;
neuobičajene informacije o pristupu uređaja/softvera platitelja;
infekciju zlonamjernim programima u bilo kojoj sesiji postupka autentifikacije;
poznati scenarij prijevare pri pružanju platnih usluga;
neuobičajenu lokaciju platitelja;
visokorizičnu lokaciju primatelja plaćanja.
Pružatelji platnih usluga koji namjeravaju ne primjenjivati pouzdanu autentifikaciju klijenta za elektroničke platne transakcije s udaljenosti na temelju toga što predstavljaju niski rizik uzimaju u obzir najmanje sljedeće čimbenike rizika:
prethodne obrasce potrošnje pojedinačnog korisnika platnih usluga;
povijest platnih transakcija svakog od korisnika platnih usluga pružatelja platnih usluga;
lokaciju platitelja i primatelja plaćanja u vrijeme platne transakcije u slučajevima kad pružatelj platnih usluga osigurava uređaj ili softver za pristup;
identifikaciju neuobičajenih obrazaca plaćanja korisnika platnih usluga s obzirom na korisnikovu povijest platnih transakcija.
Pružatelj platnih usluga sve navedene čimbenike rizika u svojoj procjeni objedinjuje u ocjenu rizika za svaku pojedinačnu transakciju kako bi utvrdio treba li konkretno plaćanje odobriti bez pouzdane autentifikacije klijenta.
Članak 19.
Izračun stope prijevara
Ukupna stopa prijevare za svaku vrstu transakcije izračunava se kao ukupna vrijednost neautoriziranih ili prijevarnih transakcija s udaljenosti, bez obzira na to jesu li sredstva vraćena ili ne, podijeljena s ukupnom vrijednošću svih transakcija s udaljenosti za istu vrstu transakcije, bez obzira na to jesu li autentificirane primjenom pouzdane autentifikacije klijenta ili su izvršene u skladu s izuzećem iz članaka od 13. do 18. na pomičnoj tromjesečnoj osnovi (90 dana).
Članak 20.
Prestanak primjene izuzeća na temelju analize rizika transakcije
Članak 21.
Praćenje
Kako bi se koristili izuzećima iz članaka od 10. do 18., pružatelji platnih usluga bilježe i prate sljedeće podatke za svaku vrstu platne transakcije, uz raščlambu na platne transakcije s udaljenosti i platne transakcije koje se ne izvršavaju s udaljenosti, najmanje svaka tri mjeseca:
ukupna vrijednost neautoriziranih ili prijevarnih platnih transakcija u skladu s člankom 64. stavkom 2. Direktive (EU) 2015/2366, ukupna vrijednost svih platnih transakcija i dobivene stope prijevare, uključujući raščlambu platnih transakcija koje su inicirane uz pouzdanu autentifikaciju klijenta i u okviru svakog izuzeća;
prosječna vrijednost transakcije, uključujući raščlambu platnih transakcija koje su inicirane uz pouzdanu autentifikaciju klijenta i u okviru svakog izuzeća;
broj platnih transakcija u kojima su primijenjeno pojedino izuzeće i njihov postotak u odnosu na ukupan broj platnih transakcija.
POGLAVLJE IV.
POVJERLJIVOST I CJELOVITOST PERSONALIZIRANIH SIGURNOSNIH PODATAKA KORISNIKA PLATNIH USLUGA
Članak 22.
Opći zahtjevi
Za potrebe stavka 1. pružatelji platnih usluga osiguravaju da su ispunjeni svi sljedeći zahtjevi:
personalizirani sigurnosni podaci prikriveni su tijekom prikaza i nisu u potpunosti čitljivi kad ih korisnik platnih usluga unosi tijekom autentifikacije;
personalizirani sigurnosni podaci u formatu podataka i kriptografski materijali povezani sa šifriranjem personaliziranih sigurnosnih podataka ne spremaju se u čitljivom obliku;
tajni kriptografski materijal zaštićen je od neovlaštenog otkrivanja.
Članak 23.
Nastanak i prijenos sigurnosnih podataka
Pružatelji platnih usluga osiguravaju da se personalizirani sigurnosni podaci stvaraju u sigurnom okruženju.
Oni smanjuju rizik od neovlaštene upotrebe personaliziranih sigurnosnih podataka te uređaja i softvera za autentifikaciju nakon njihova gubitka, krađe ili kopiranja prije isporuke platitelju.
Članak 24.
Povezivanje s korisnikom platnih usluga
Za potrebe stavka 1. pružatelji platnih usluga osiguravaju da su ispunjeni svi sljedeći zahtjevi:
povezivanje identiteta korisnika platnih usluga s personaliziranim sigurnosnim podacima te uređajima i softverom za autentifikaciju obavlja se u sigurnim okruženjima za koje je odgovoran pružatelj platnih usluga, što obuhvaća barem poslovne prostore pružatelja platnih usluga, internetsko okruženje koje osigurava pružatelj platnih usluga ili slična sigurna web-mjesta kojima se koristi pružatelj platnih usluga i njegove usluge bankomata, uzimajući u obzir rizike povezane s uređajima i povezanim komponentama koji se upotrebljavaju tijekom postupka povezivanja za koje nije odgovoran pružatelj platnih usluga;
povezivanje s udaljenosti identiteta korisnika platnih usluga s personaliziranim sigurnosnim podacima te uređajima i softverom za autentifikaciju obavlja se uz primjenu pouzdane autentifikacije klijenta.
Članak 25.
Isporuka sigurnosnih podataka i uređajâ i softvera za autentifikaciju
Pružatelji platnih usluga za potrebe stavka 1. nužno primjenjuju sve sljedeće mjere:
učinkovite i sigurne mehanizme isporuke kojima se osigurava isporuka personaliziranih sigurnosnih podataka te uređajâ i softvera za autentifikaciju zakonitom korisniku platnih usluga;
mehanizme koji pružatelju platnih usluga omogućuju provjeru autentičnosti softvera za autentifikaciju koji je korisniku platnih usluga isporučen online;
aranžmane kojima se u slučaju isporuke personaliziranih sigurnosnih podataka izvan prostorija pružatelja platnih usluga ili s udaljenosti osigurava sljedeće:
neovlaštena osoba ne može dobiti više od jednog obilježja personaliziranih sigurnosnih podataka i uređajâ ili softvera za autentifikaciju kada se isporučuju istim kanalom;
isporučeni personalizirani sigurnosni podaci te uređaji i softver za autentifikaciju prije upotrebe zahtijevaju aktivaciju;
aranžmane kojima se u slučaju obvezne aktivacije personaliziranih sigurnosnih podataka i uređajâ ili softvera za autentifikaciju prije njihove prve upotrebe osigurava da se aktivacija odvija u sigurnom okruženju u skladu s postupcima povezivanja iz članka 24.
Članak 26.
Obnavljanje personaliziranih sigurnosnih podataka
Pružatelji platnih usluga osiguravaju da se obnavljanje ili ponovna aktivacija personaliziranih sigurnosnih podataka provodi u skladu s postupcima za stvaranje, povezivanje i isporuku sigurnosnih podataka i uređajâ za autentifikaciju u skladu s člancima 23., 24. i 25.
Članak 27.
Uništenje, deaktivacija i opoziv
Pružatelji platnih usluga osiguravaju uspostavu učinkovitih postupaka za primjenu svih sigurnosnih mjera navedenih u nastavku:
sigurno uništenje, deaktivacija ili opoziv personaliziranih sigurnosnih podataka te uređajâ i softvera za autentifikaciju;
ako pružatelj platnih usluga distribuira uređaje i softver za autentifikaciju za višekratnu uporabu, prije ponovnog stavljanja na raspolaganje drugom korisniku platnih usluga uspostavlja se, dokumentira i provodi sigurna ponovna upotreba uređaja ili softvera;
deaktivacija ili opoziv informacija povezanih s personaliziranim sigurnosnim podacima pohranjenima u sustavima i bazama podataka pružatelja platnih usluga i, ovisno o slučaju, javnim repozitorijima.
POGLAVLJE V.
ZAJEDNIČKI I SIGURNI OTVORENI STANDARDI KOMUNIKACIJE
Članak 28.
Zahtjevi za identifikaciju
Članak 29.
Sljedivost
Za potrebe stavka 1. pružatelji platnih usluga osiguravaju da se svaka komunikacijska sesija koja je uspostavljena prema korisniku platnih usluga, drugim pružateljima platnih usluga i subjektima, uključujući trgovce, oslanja na svaku od sljedećih stavki:
jedinstvenu identifikacijsku oznaku sesije;
sigurnosne mehanizme za podrobno evidentiranje transakcije, uključujući broj transakcije, vremenske žigove i sve relevantne podatke o transakciji;
vremenske žigove koji se temelje na jedinstvenom vremenskom referentnom sustavu i koji se sinkroniziraju sa službenim vremenskim signalom.
Članak 30.
Opće obveze u pogledu sučelja za pristup
pružatelji usluga pružanja informacija o računu, pružatelji usluga iniciranja plaćanja i pružatelji platnih usluga koji izdaju kartične platne instrumente mogu se identificirati prema pružatelju platnih usluga koji vodi račun;
pružatelji usluga pružanja informacija o računu mogu sigurno komunicirati kad zahtijevaju i primaju informacije o jednom ili više utvrđenih računa za plaćanje i s njima povezanim platnim transakcijama;
pružatelji usluga iniciranja plaćanja mogu sigurno komunicirati kad iniciraju nalog za plaćanje s platiteljeva računa za plaćanje i primaju sve informacije o iniciranju platne transakcije i sve informacije o izvršenju platne transakcije koje su dostupne pružateljima platnih usluga koji vode račune.
Sučelje kao minimum ispunjava sve sljedeće zahtjeve:
pružatelj usluga iniciranja plaćanja ili pružatelj usluga pružanja informacija o računu mogu dati uputu pružatelju platnih usluga koji vodi račun da pokrene autentifikaciju na temelju suglasnosti korisnika platnih usluga;
komunikacijske sesije između pružatelja platnih usluga koji vodi račun, pružatelja usluga pružanja informacija o računu, pružatelja usluga iniciranja plaćanja i bilo kojeg predmetnog korisnika platnih usluga uspostavljaju se i održavaju tijekom cjelokupne autentifikacije;
osigurana je cjelovitost i povjerljivost personaliziranih sigurnosnih podataka i kodova za autentifikaciju koje pružatelj usluga iniciranja plaćanja ili pružatelj usluga pružanja informacija o računu prenose ili koji se preko njih prenose.
Pružatelji platnih usluga koji vode račune osiguravaju i dokumentiranje tehničkih specifikacija svih svojih sučelja uz navođenje skupa rutina, protokola i alata koji su pružateljima usluga iniciranja plaćanja, pružateljima usluga pružanja informacija o računu i pružateljima platnih usluga koji izdaju kartične platne instrumente potrebni kako bi mogli uspostaviti interoperabilnost između svojeg softvera i aplikacija i sustavâ pružatelja platnih usluga koji vode račune.
Kao minimalan zahtjev, pružatelji platnih usluga koji vode račune na zahtjev ovlaštenih pružatelja usluga iniciranja plaćanja, pružatelja usluga pružanja informacija o računu i pružatelja platnih usluga koji izdaju kartične platne instrumente ili pružatelja platnih usluga koji su svojim nadležnim tijelima podnijeli zahtjev za izdavanje relevantnog odobrenja bez naknade stavljaju na raspolaganje dokumentaciju i na svojem web-mjestu objavljuju javno dostupan sažetak dokumentacije najkasnije šest mjeseci prije datuma primjene iz članka 38. stavka 2. ili prije ciljnog datuma stavljanja na tržište sučelja za pristup ako je datum stavljanja na tržište kasniji od datuma iz članka 38. stavka 2.
Pružatelji platnih usluga u slučaju izmjena dokumentiraju izvanredne situacije i tu dokumentaciju na zahtjev stavljaju na raspolaganje nadležnim tijelima.
Na toj se platformi ne smiju dijeliti osjetljive informacije.
Članak 31.
Mogućnosti u pogledu sučelja za pristup
Pružatelji platnih usluga koji vode račune uspostavljaju sučelje (ili sučelja) iz članka 30. na način da osiguraju namjensko sučelje ili da pružateljima platnih usluga iz članka 30. stavka 1. omoguće uporabu sučelja koja se koriste za autentifikaciju i komunikaciju s korisnicima platnih usluga koje pruža pružatelj platnih usluga koji vodi račun.
Članak 32.
Obveze u pogledu namjenskog sučelja
Članak 33.
Izvanredne mjere povezane s namjenskim sučeljem
U tu svrhu pružatelji platnih usluga koji vode račune osiguravaju da se pružatelji platnih usluga iz članka 30. stavka 1. mogu identificirati te da se mogu oslanjati na postupke autentifikacije koje pružatelj platnih usluga koji vodi račun pruža korisniku platnih usluga. Ako se pružatelji platnih usluga iz članka 30. stavka 1. koriste sučeljem iz stavka 4., dužni su sljedeće:
poduzeti potrebne mjere kako bi osigurali da ne pristupaju podacima, ne pohranjuju podatke i ne obrađuju podatke za druge svrhe osim pružanja usluge koju je zatražio korisnik platne usluge;
nastaviti ispunjavati obveze iz članka 66. stavka 3. i članka 67. stavka 2. Direktive (EU) 2015/2366;
evidentirati podatke kojima se pristupa putem sučelja kojim pružatelj platnih usluga koji vodi račun upravlja za potrebe korisnika svojih platnih usluga te na zahtjev i bez odgađanja svojim nadležnim nacionalnim tijelima dostaviti datoteke zapisnika;
nadležnim nacionalnim tijelima na zahtjev i bez neopravdanog odgađanja propisno obrazložiti uporabu sučelja koje je korisnicima platnih usluga stavljeno na raspolaganje za direktan online pristup svojem računu za plaćanje;
na odgovarajući način obavijestiti pružatelja platnih usluga koji vodi račun.
Nadležna tijela, nakon savjetovanja s EBA-om radi osiguravanja dosljedne primjene sljedećih uvjeta, pružatelje platnih usluga koji vode račune koji su se odlučili za namjensko sučelje izuzimaju od obveze uspostave mehanizma za izvanredne situacije iz stavka 4. ako namjensko sučelje ispunjava sve sljedeće uvjete:
ispunjuje sve obveze koje se odnose na namjenska sučelja iz članka 32.;
koncipirano je i ispitano u skladu s člankom 30. stavkom 5. na zadovoljstvo pružatelja platnih usluga iz tog članka i stavka;
pružatelji platnih usluga njime su se tijekom najmanje tri mjeseca u velikoj mjeri koristili za pružanje usluga pružanja informacija o računu, usluga iniciranja plaćanja i potvrđivanje raspoloživosti sredstava za kartična plaćanja;
svi problemi povezani s namjenskim sučeljem riješeni su bez neopravdanog odgađanja.
Članak 34.
Certifikati
Za potrebe ove Uredbe kvalificirani certifikati za elektroničke pečate ili za autentifikaciju mrežnih stranica iz stavka 1. uključuju, na jeziku uobičajenom u području međunarodnih financija, dodatna posebna obilježja za svaku od sljedećih stavki:
ulogu pružatelja platnih usluga, koji može imati jednu ili više od sljedećih uloga:
vođenje računa;
iniciranje plaćanja;
pružanje informacija o računu;
izdavanje kartičnih platnih instrumenata;
ime nadležnih tijela kod kojih je pružatelj platnih usluga registriran.
Članak 35.
Sigurnost komunikacijske sesije
Pružatelji usluga pružanja informacija o računu, pružatelji usluga iniciranja plaćanja i pružatelji platnih usluga koji izdaju kartične platne instrumente s pružateljem platnih usluga koji vodi račun sadržavaju jedinstvena upućivanja na svaku od sljedećih stavki:
korisnika ili korisnike platnih usluga i odgovarajuću komunikacijsku sesiju kako bi se razlikovali različiti zahtjevi istog korisnika platnih usluga odnosno istih korisnika platnih usluga;
za usluge iniciranja plaćanja, jedinstveno identificiranu iniciranu platnu transakciju;
za potvrdu raspoloživosti sredstava, jedinstveno identificirani zahtjev koji se odnosi na iznos potreban za izvršenje kartične platne transakcije.
U slučaju gubitka povjerljivosti personaliziranih sigurnosnih podataka koji su pod njihovom nadležnošću, ti pružatelji bez nepotrebnog odgađanja informiraju dotičnog korisnika platnih usluga i izdavatelja personaliziranih sigurnosnih podataka.
Članak 36.
Razmjene podataka
Pružatelji platnih usluga koji vode račune ispunjavaju svaki od sljedećih zahtjeva:
pružateljima usluga pružanja informacija o računu pružaju iste informacije s utvrđenih računa za plaćanje i s njima povezanih platnih transakcija koje su stavljene na raspolaganje korisniku platnih usluga pri izravnom zahtjevu za pristup informacijama o računu, pod uvjetom da te informacije ne uključuju osjetljive podatke o plaćanju;
odmah nakon primitka naloga za plaćanje pružateljima usluga iniciranja plaćanja pružaju iste informacije o iniciranju i izvršenju platne transakcije pružene ili stavljene na raspolaganje korisniku platnih usluga kada transakciju izravno inicira korisnik platnih usluga;
na zahtjev pružatelja platnih usluga odmah u jednostavnom „da” ili „ne” formatu potvrđuju je li iznos potreban za izvršenje platne transakcije raspoloživ na platiteljevu računu za plaćanje.
Ako pružatelj platnih usluga koji vodi račun osigurava namjensko sučelje u skladu s člankom 32., sučelje omogućuje bilo kojem pružatelju platnih usluga koji otkrije neočekivani događaj ili pogrešku da poruku s tom obavijesti dostavi drugim pružateljima platnih usluga koji sudjeluju u komunikacijskoj sesiji.
Pružatelji usluga pružanja informacija o računu mogu za potrebe pružanja usluge pružanja informacija o računu u bilo kojoj od sljedećih situacija pristupiti informacijama s utvrđenih računa za plaćanje i s njima povezanih platnih transakcija koje drže pružatelji platnih usluga koji vode račune:
kad god korisnik platnih usluga aktivno zahtijeva te informacije;
ako korisnik platnih usluga ne zahtijeva aktivno te informacije, ne više od četiri puta tijekom 24 sata, osim ako veću učestalost ne dogovore pružatelj usluga pružanja informacija o računu i pružatelj platnih usluga koji vodi račun, uz suglasnost korisnika platnih usluga.
POGLAVLJE VI.
ZAVRŠNE ODREDBE
Članak 37.
Preispitivanje
Ne dovodeći u pitanje članak 98. stavak 5. Uredbe (EU) 2015/2366, EBA do 14. ožujka 2021. preispituje stope prijevare iz Priloga ovoj Uredbi i izuzeća odobrena na temelju članka 33. stavka 6. u vezi s namjenskim sučeljima i, prema potrebi, Komisiji podnosi nacrt njihova ažuriranja u skladu s člankom 10. Uredbe (EU) br. 1093/2010.
Članak 38.
Stupanje na snagu
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
PRILOG
|
Referentna stopa prijevara (%) za: |
|
Vrijednost praga izuzeća (ETV) |
Elektronička plaćanja na temelju kartica s daljine |
Elektronički kreditni transferi s udaljenosti |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Direktiva 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama i investicijskim društvima, izmjeni Direktive 2002/87/EZ te stavljanju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27.6.2013., str. 338.).