L_2018069MT.01002301.xml

13.3.2018

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 69/23

REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2018/389

tas-27 ta' Novembru 2017

li jissupplimenta d-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta'standards tekniċi regolatorji għall-awtentikazzjoni qawwija tal-konsumatur u standards miftuħin ta' komunikazzjoni li jkunu komuni u sikuri

(Test b'rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta' Novembru 2015 dwar is-servizzi ta' pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (1) u b'mod partikolari l-Artikolu 98(4) tagħha,

Billi:

(1)

Is-servizzi ta' pagament offruti elettronikament jenħtieġ li jitwettqu b'mod sikur, bl-adozzjoni ta' teknoloġiji li kapaċi jiggarantixxu l-awtentikazzjoni sikura għall-utent u li jnaqqsu, sal-massimu possibbli, ir-riskju ta' frodi. Il-proċedura ta' awtentikazzjoni jenħtieġ li tinkludi, b'mod ġenerali, mekkaniżmi li jissorveljaw it-tranżazzjonijiet sabiex jinqabdu tentattivi biex jintużaw il-kredenzjali personalizzati ta' sigurtà ta' utent ta' servizz ta' pagament li kienu mitlufa, misruqa jew użati ħażin u jenħtieġ li tiżgura wkoll li l-utent ta' servizz ta' pagament ikun utent leġittimu u għalhekk qed jagħti l-kunsens għat-trasferiment tal-fondi u aċċess għall-informazzjoni dwar il-kont tiegħu bl-użu normali ta' kredenzjali personalizzati ta' sigurtà. Barra minn hekk, hemm bżonn li jiġu speċifikati r-rekwiżiti tal-awtentikazzjoni qawwija tal-konsumatur li jenħtieġ jiġu applikati kull darba li pagatur jaċċessa l-kont tal-pagament tiegħu onlajn, jagħti bidu għal tranżazzjoni ta' pagament elettroniku jew iwettaq xi azzjoni b'mezz mill-bogħod li jista' jimplika riskju ta' frodi tal-pagament jew abbuż ieħor, billi tintalab il-ġenerazzjoni ta' kodiċi ta' awtentikazzjoni li jenħtieġ li jkun reżistenti għar-riskju li jiġi ffalsifikat fl-intier tiegħu jew bl-iżvelar ta' xi wieħed mill-elementi li fuqhom il-kodiċi jkun ġie ġġenerat.

(2)

Peress li l-metodi tal-frodi qegħdin jinbidlu kontinwament, ir-rekwiżiti ta' awtentikazzjoni qawwija tal-konsumatur jenħtieġ li jippermettu innovazzjoni fis-soluzzjonijiet tekniċi li jindirizzaw il-feġġa ta' theddid ġdid għas-sigurtà tal-pagamenti elettroniċi. Sabiex jiġi żgurat li r-rekwiżiti li għandhom jiġu stipulati jiġu implimentati b'mod effettiv fuq bażi kontinwa, huwa xieraq ukoll li jkun meħtieġ li l-miżuri ta' sigurtà għall-applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur u l-eżenzjonijiet tagħha, il-miżuri li jipproteġu l-kunfidenzjalità u l-integrità tal-kredenzjali personalizzati ta' sigurtà, u l-miżuri li jistabbilixxu standards miftuħin ta' komunikazzjoni li jkunu komuni u sikuri jiġu ddokumentati, ittestjati perjodikament, evalwati u awditjati minn awdituri b'għarfien espert fis-sigurtà tal-IT u fil-pagamenti elettroniċi u li joperaw b'mod indipendenti. Sabiex l-awtoritajiet kompetenti jitħallew jissorveljaw il-kwalità tar-rieżami ta' dawn il-miżuri, tali rieżamijiet jenħtieġ li jkunulhom disponibbli meta jitolbuhom.

(3)

Peress li t-tranżazzjonijiet ta' pagamenti elettroniċi mill-bogħod huma soġġetti għal riskju ogħla ta' frodi, hemm bżonn li jiġu introdotti rekwiżiti addizzjonali għall-awtentikazzjoni b'saħħitha min-naħa tal-konsumatur ta' tali tranżazzjonijiet, billi jiġi żgurat li l-elementi jkunu jorbtu b'mod dinamiku t-tranżazzjoni ma' ammont u benefiċjarju speċifikati mill-pagatur meta jingħata bidu għat-tranżazzjoni.

(4)

Ir-rabta dinamika hija possibbli permezz tal-ġenerazzjoni ta' kodiċijiet ta' awtentikazzjoni, li hija soġġetta għal sett ta' rekwiżiti stretti ta' sigurtà. Sabiex tibqa' teknoloġikament newtrali, ma jinħtieġx li jkun hemm bżonn ta' teknoloġija speċifika għall-implimentazzjoni ta' kodiċijiet ta' awtentikazzjoni. Għalhekk, il-kodiċijiet ta' awtentikazzjoni ma jenħtieġx li jkunu bbażati fuq soluzzjonijiet bħall-ġenerazzjoni u l-validazzjoni ta' passwords ta' darba, firem diġitali jew affermazzjonijiet oħra ta' validità sostnuti b'kriptografika bl-użu ta' metodi jew materjali kripotgrafiċi maħżuna fl-elementi tal-awtentikazzjoni, diment li r-rekwiżiti tas-sigurtà jiġu ssodisfati.

(5)

Hemm bżonn li jiġu stabbiliti rekwiżiti speċifiċi għas-sitwazzjoni meta l-ammont finali ma jkunx magħruf fil-mument li l-pagatur jagħti bidu għal tranżazzjoni ta' pagament elettroniku mill-bogħod, sabiex jiġi żgurat li l-awtentikazzjoni b'saħħitha tal-konsumatur tkun speċifika għall-ammont massimu li l-pagatur ikun ta kunsens għalih kif imsemmi fid-Direttiva (UE) 2015/2366.

(6)

Sabiex tiġi żgurata l-applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur, hemm bżonn ukoll li jinkisbu karatteristiċi tas-sigurtà adegwati għall-elementi tal-awtentikazzjoni b'saħħitha tal-konsumatur ikkategorizzati bħala għarfien (xi ħaġa li l-utent biss jaf) bħat-tul jew il-kumplessità, għall-elementi kkategorizzati bħala pussess (xi ħaġa li l-utent biss jipposjedi), bħall-ispeċifikazzjonijiet tal-algoritmu, it-tul tal-kjavi u l-entropija tal-informazzjoni u għall-apparat u s-softwer li jaqraw elementi kkategorizzati bħala inerenza (xi ħaġa li huwa l-utent) bħall-ispeċifikazzjonijiet tal-algoritmu, sensur bijometriku u karatteristiċi tal-protezzjoni tal-mudell, b'mod partikolari sabiex jitnaqqas ir-riskju li dawk l-elementi jiġu skoperti, żvelati lil partijiet mhux awtorizzati u użati minnhom. Hemm bżonn ukoll li jiġu stabbiliti r-rekwiżiti li jiżguraw li dawn l-elementi jkunu indipendenti, sabiex b'hekk il-ksur ta' wieħed minnhom ma jikkompromettix l-affidabbiltà tal-oħrajn, b'mod partikolari meta xi element minn dawn jintuża permezz ta' apparat b'diversi użi, jiġifieri apparat bħal tablet jew mowbajl li jista' jintuża kemm biex jagħti l-istruzzjoni biex isir il-pagament kif ukoll fil-proċess tal-awtentikazzjoni.

(7)	Ir-rekwiżiti ta' awtentikazzjoni qawwija tal-konsumatur japplikaw għall-pagamenti mibdija mill-pagatur, irrispettivament minn jekk il-pagatur ikunx persuna fiżika jew entità ġuridika.

(8)

Minħabba n-natura tagħhom stess, il-pagamenti li jsiru bl-użu ta' strumenti ta' pagament anonimi mhumiex soġġetti għall-obbligu tal-awtentikazzjoni qawwija tal-konsumatur. Meta l-anonimità ta' tali strumenti titneħħa għal raġunijiet kuntrattwali jew leġiżlattivi, il-pagamenti jkunu soġġetti għar-rekwiżiti ta' sigurtà li jirriżultaw mid-Direttiva (UE) 2015/2366 u dan l-Istandard Tekniku Regolatorju.

(9)	Skont id-Direttiva (UE) 2015/2366, l-eżenzjonijiet għall-prinċipju tal-awtentikazzjoni b'saħħitha tal-konsumatur ġew iddefiniti abbażi tal-livell tar-riskju, l-ammont, ir-rikorrenza u l-mezz tal-pagament użat għall-eżekuzjoni tat-tranżazzjoni ta' pagament.

(10)

L-azzjonijiet li jimplikaw aċċess għall-bilanċ u għat-tranżazzjonijiet riċenti ta' kont ta' pagament mingħajr żvelar ta' data sensittiva dwar pagamenti, pagamenti rikorrenti lill-istess benefiċjarji li ġew stabbiliti jew ikkonfermati preċedentement mill-pagatur bl-użu ta' awtentikazzjoni b'saħħitha tal-konsumatur, u pagamenti lil u mingħand l-istess persuna fiżika jew ġuridika b'kontijiet mal-istess fornitur ta' servizz ta' pagament, għandhom livell baxx ta' riskju, u b'hekk il-fornituri ta' servizz ta' pagament jitħallew ma japplikawx awtentikazzjoni b'saħħitha tal-konsumatur. Dan iħalli barra l-fatt li skont l-Artikoli 65, 66 u 67 tad-Direttiva (UE) 2015/2366, il-fornituri ta' servizzi ta' bidu ta' pagament, il-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard u fornituri ta' servizz ta' informazzjoni dwar il-kontijiet jenħtieġ li jfittxu u jiksbu biss l-informazzjoni meħtieġa u essenzjali mill-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont għall-forniment ta' servizz ta' pagament partikolari bil-kunsens tal-utent ta' servizzi ta' pagament. Tali kunsens jista' jingħata individwalment għal kull talba għal informazzjoni jew għal kull pagament li għandu jinbeda jew, għal fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, bħala mandat għall-kontijiet ta' pagament indikati jew tranżazzjonijiet ta' pagament assoċjati kif stabbilit fil-ftehim kuntrattwali mal-utent ta' servizzi ta' pagament.

(11)

Eżenzjonijiet għal pagamenti mingħajr kuntatt ta' valur baxx fil-punti tal-bejgħ, li jqisu wkoll għadd massimu ta' tranżazzjonijiet konsekuttivi jew ċertu valur massimu fiss ta' tranżazzjonijiet konsekuttivi mingħajr ma tiġi applikata l-awtentikazzjoni b'saħħitha tal-konsumatur, jippermettu l-iżvilupp ta' servizzi ta' pagament faċli għall-utent u b'riskju baxx u għalhekk jeħtieġ li jkunu previsti. Huwa xieraq ukoll li tiġi stabbilita eżenzjoni għall-każ ta' tranżazzjonijiet ta' pagament elettroniku li jkunu nbdew f'terminals mhux ikkontrollati fejn l-użu ta' awtentikazzjoni b'saħħitha tal-konsumatur mhux dejjem jista' jiġi applikat faċilment minħabba raġunijiet operattivi (pereżempju biex jiġu evitati l-kjuwijiet u l-aċċidenti potenzjali fil-punti tal-ħlas tan-nollijiet jew għal riskji oħrajn ta' sikurezza jew sigurtà).

(12)

B'mod simili għall-eżenzjoni għal pagamenti mingħajr kuntatt b'valur baxx fil-punti ta' bejgħ, hemm bżonn li jinstab bilanċ adegwat bejn l-interess f'sigurtà mtejba f'pagamenti mill-bogħod u l-ħtiġijiet li l-pagamenti jkunu faċli biex jintużaw mill-utenti kif ukoll ikunu disponibbli fil-qasam tal-kummerċ elettroniku. F'konformità ma' dawn il-prinċipji, hemm bżonn jiġu stabbiliti b'mod prudenti livelli limitu li taħthom l-ebda awtentikazzjoni b'saħħitha tal-konsumatur ma jenħtieġ li tiġi applikata, sabiex jiġi kopert ix-xiri onlajn ta' valur baxx. Il-livelli limitu għax-xiri onlajn għandu jiġi stabbilit b'mod aktar prudenti, billi jitqies il-fatt li l-persuna ma tkunx preżenti fiżikament meta tagħmel ix-xiri u dan jippreżenta riskju kemxejn ogħla għas-sigurtà.

(13)

Ir-rekwiżiti ta' awtentikazzjoni qawwija tal-konsumatur japplikaw għall-pagamenti mibdija mill-pagatur, irrispettivament minn jekk il-pagatur ikunx persuna fiżika jew entità ġuridika. Bosta pagamenti korporattivi jinbdew permezz ta' proċessi jew protokolli ddedikati li jiggarantixxu livelli għoljin ta' sigurtà tal-pagamenti li d-Direttiva (UE) 2015/2366 timmira li tilħaq permezz tal-awtentikazzjoni b'saħħitha tal-konsumatur. Meta l-awtoritajiet kompetenti jistabbilixxu li dawk il-proċessi u l-protokolli tal-pagament li huma disponibbli biss għall-pagaturi li mhumiex konsumaturi jissodisfaw l-objettivi tad-Direttiva (UE) 2015/2366 f'termini ta' sigurtà, il-fornituri tas-servizzi ta' pagament jistgħu, fir-rigward ta' dawk il-proċessi jew protokolli, jiġu eżentati mir-rekwiżiti tal-awtentikazzjoni b'saħħitha tal-konsumatur.

(14)

Fil-każ ta' analiżi tar-riskju ta' tranżazzjoni f'ħin reali li tikkategorizza tranżazzjoni ta' pagament bħala riskju baxx, huwa xieraq ukoll li tiġi introdotta eżenzjoni għall-fornitur ta' servizzi ta' pagament li beħsiebu ma japplikax l-awtentikazzjoni b'saħħitha tal-konsumatur bl-adozzjoni ta' rekwiżiti effettivi u bbażati fuq ir-riskju li jiżguraw is-sigurtà tad-data dwar il-fondi u d-data personali tal-utent tas-servizzi ta' pagament. Dawn ir-rekwiżiti bbażati fuq ir-riskju jenħtieġ li jikkombinaw il-punteġġi tal-analiżi tar-riskju, u jikkonfermaw li ma jkun ġie identifikat l-ebda nfiq anormali jew mudell ta' mġiba anormali tal-pagatur, billi jitqiesu fatturi oħrajn ta' riskju, inkluż informazzjoni dwar il-post tal-pagatur u tal-benefiċjarju b'limiti monetarji bbażati fuq rati tal-frodi kkalkulati għall-pagamenti mill-bogħod. Meta, abbażi ta' analiżi tar-riskju ta' tranżazzjoni fil-ħin reali, pagament ma jistax jiġi kkwalifikat li jimponi livell baxx ta' riskju, il-fornitur ta' servizzi ta' pagament jenħtieġ li jirrikorri għall-awtentikazzjoni b'saħħitha tal-konsumatur. Il-valur massimu ta' tali eżenzjoni bbażata fuq ir-riskju jenħtieġ li jiġi stabbilit b'mod li jiżgura rata ta' frodi korrispondenti baxxa ħafna, anke bi tqabbil mar-rati tal-frodi tat-tranżazzjonijiet kollha ta' pagament tal-fornitur ta' servizzi ta' pagament, inklużi dawk awtentikati permezz tal-awtentikazzjoni b'saħħitha tal-konsumatur, f'perjodu ta' żmien partikolari u fuq bażi rikorrenti.

(15)

Sabiex jiġi żgurat infurzar effettiv, il-fornituri ta' servizzi ta' pagament li jkunu jixtiequ jibbenefikaw mill-eżenzjonijiet minn awtentikazzjoni b'saħħitha tal-konsumatur jentħieġ li jissorveljaw b'mod regolari u jagħmlu disponibbli għall-awtoritajiet kompetenti u għall-Awtorità Bankarja Ewropea (EBA), fuq talba tagħhom, għal kull tip ta' tranżazzjoni ta' pagament, il-valur tat-tranżazzjonijiet ta' pagament frodulenti jew mhux awtorizzati u r-rati tal-frodi osservati għat-tranżazzjonijiet ta' pagament kollha tagħhom, kemm jekk awtorizzati b'awtentikazzjoni b'saħħitha tal-konsumatur kif ukoll jekk ikunu ġew eżegwiti skont eżenzjoni rilevanti.

(16)

Il-ġbir ta' din l-evidenza storika ġdida dwar ir-rati tal-frodi ta' tranżazzjonijiet ta' pagament elettroniku ser jikkontribwixxi wkoll għal rieżami effettiv mill-EBA tal-limiti għall-eżenzjoni għal awtentikazzjoni b'saħħitha tal-konsumatur ibbażata fuq analiżi tar-riskju ta' tranżazzjoni f'ħin reali. L-EBA jenħtieġ li tagħmel rieżami u tippreżenta abbozz ta' aġġornamenti lill-Kummissjoni ta' dawn l-istandards tekniċi regolatorji, fejn ikun xieraq, billi tippreżenta abbozz ġdid ta' limiti u rati ta' frodi korrispondenti bl-għan li tissaħħaħ is-sigurtà tal-pagamenti elettroniċi mill-bogħod, skont l-Artikolu 98(5) tad-Direttiva (UE) 2015/2366 u l-Artikolu 10 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (2).

(17)

Il-fornituri ta' servizzi ta' pagament li jużaw xi waħda mill-eżenzjonijiet li jenħtieġ li jkunu previsti, jenħtieġ li jitħallew fi kwalunkwe ħin jagħżlu li japplikaw awtentikazzjoni b'saħħitha tal-konsumatur għall-azzjonijiet u għat-tranżazzjonijiet ta' pagament imsemmija f'dawk id-dispożizzjonijiet.

(18)

Il-miżuri li jipproteġu l-kunfidenzjalità u l-integrità tal-kredenzjali personalizzati ta' sigurtà, kif ukoll l-apparat u s-softwer ta' awtentikazzjoni, jenħtieġ li jillimitaw ir-riskji relatati mal-frodi b'użu mhux awtorizzat u frodulenti tal-istrumenti ta' pagament u aċċess mhux awtorizzat għall-kontijiet tal-pagament. Għal dan il-għan, hemm bżonn li jiġu introdotti rekwiżiti dwar il-ħolqien u l-kunsinna bla periklu tal-kredenzjali personalizzati ta' sigurtà u l-assoċjazzjoni tagħhom mal-utent ta' servizzi ta' pagament, u li jiġu previsti kundizzjonijiet għat-tiġdid u għad-diżattivazzjoni ta' dawk il-kredenzjali.

(19)

Sabiex tiġi żgurata komunikazzjoni effettiva u sikura bejn l-atturi rilevanti fil-kuntest ta' servizzi ta' informazzjoni dwar il-kontijiet, is-servizzi ta' bidu ta' pagament u l-konferma dwar id-disponibbiltà tal-fondi, hemm bżonn li jiġu speċifikati r-rekwiżiti għal standards miftuħin ta' komunikazzjoni li jkunu komuni u sikuri li għandhom jiġu ssodisfati mill-fornituri ta' servizzi ta' pagament kollha rilevanti. Id-Direttiva (UE) 2015/2366 tipprevedi l-aċċess u l-użu ta' informazzjoni dwar il-kont ta' pagament mill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet. Għalhekk, dan ir-Regolament ma jibdilx ir-regoli tal-aċċess għall-kontijiet għajr il-kontijiet tal-pagament.

(20)

Kull fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont b'kontijiet ta' pagament li huma aċċessibbli onlajn jenħtieġ li joffri tal-inqas interfaċċja tal-aċċess waħda li tippermetti komunikazzjoni sikura mal-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, mal-fornituri ta' servizzi ta' bidu ta' pagament u mal-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard. L-interfaċċja jenħtieġ li tippermetti lill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, lill-fornituri ta' servizzi ta' bidu ta' pagament li joħorġu strumenti ta' pagament b'kard biex jidentifikaw lilhom infushom mal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont. Dan jenħtieġ li jippermetti wkoll lill-fornituri ta' servizz ta' informazzjoni u lill-fornituri ta' servizzi ta' bidu ta' pagament biex jiddependu fuq il-proċeduri tal-awtentikazzjoni mogħtija mill-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont lill-utent ta' servizzi ta' pagament. Sabiex tiġi żgurata n-newtralità tat-teknoloġija u tal-mudell kummerċjali, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont jenħtieġ li jkunu liberi biex jiddeċiedu jekk joffrux interfaċċja li hija ddedikata għall-komunikazzjoni mal-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, mal-fornituri ta' servizzi ta' bidu ta' pagament, mal-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard, jew jekk jippermettux, għal dik il-komunikazzjoni, l-użu tal-interfaċċja għall-identifikazzjoni u l-komunikazzjoni mal-utenti ta' servizzi ta' pagament tal-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont.

(21)

Sabiex il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament u l-fornituri ta' servizz ta' pagament li joħorġu strumenti ta' pagament b'kard jiżviluppaw is-soluzzjonijiet tekniċi tagħhom, l-ispeċifikazzjoni teknika tal-interfaċċja jenħtieġ li tiġi ddokumenta b'mod adegwat u ssir disponibbli għall-pubbliku. Barra minn hekk, il-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont jenħtieġ li joffri faċilità li tippermetti lill-fornituri ta' servizzi ta' pagament jittestjaw is-soluzzjonijiet tekniċi tal-inqas sitt xhur qabel id-data tal-applikazzjoni ta' dawn l-istandards regolatorji jew, jekk it-tnedija ssir wara d-data tal-applikazzjoni ta' dawn l-istandards, qabel id-data li fiha l-interfaċċja tkun ser titnieda fis-suq. Sabiex tiġi żgurata l-interoperabilità ta' soluzzjonijiet differenti ta' komunikazzjoni teknoloġiċi, l-interfaċċja jenħtieġ li tuża standards ta' komunikazzjoni li huma żviluppati minn organizzazzjonijiet internazzjonali jew Ewropej ta' standardizzazzjoni.

(22)

Il-kwalità tas-servizzi mogħtija mill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u mill-fornituri ta' servizzi ta' bidu ta' pagament ser tiddependi fuq il-funzjonament xieraq tal-interfaċċji implimentati jew adattati minn fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont. Għalhekk, huwa importanti li f'każ ta' nuqqas ta' konformità ta' tali interfaċċji mad-dispożizzjonijiet inklużi f'dawn l-istandards, jittieħdu miżuri li jiggarantixxu l-kontinwità tan-negozju għall-benefiċċju tal-utenti ta' dawk is-servizzi. Hija r-responsabbiltà tal-awtoritajiet kompetenti nazzjonali li jiżguraw li l-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornituri ta' servizz ta' bidu ta' pagament ma jiġux imblukkati jew ostakolati fil-forniment tas-servizzi tagħhom.

(23)

Meta l-aċċess għall-kontijiet tal-pagament jkun offrut b'mezzi ta' interfaċċja ddedikata, sabiex jiġi żgurat id-dritt tal-utenti ta' servizz ta' pagament li jagħmlu użu minn fornituri ta' servizz ta' bidu ta' pagament u minn servizzi li jippermettu l-aċċess għall-informazzjoni dwar il-kontijiet, kif previst fid-Direttiva (UE) 2015/2366, hemm bżonn li jkun meħtieġ li l-interfaċċji ddedikati jkollhom l-istess livell ta' affidabbiltà u prestazzjoni bħall-interfaċċja disponibbli għall-utent ta' servizzi ta' pagament. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont jenħtieġ li jiddefinixxu wkoll indikaturi tal-prestazzjoni ewlenin trasparenti u miri tal-livell tas-servizz għad-disponibbiltà u l-prestazzjoni ta' interfaċċji ddedikati li tal-inqas huma stretti daqs dawk għall-interfaċċja użata għall-utenti ta' servizzi ta' pagament tagħhom. Dawk l-interfaċċji jenħtieġ li jiġu ttestjati mill-fornituri ta' servizzi ta' pagament li ser jużawhom u jenħtieġ li jiġu ttestjati għall-istress u għandhom jiġu ssorveljati mill-awtoritajiet kompetenti.

(24)

Sabiex jiġi żgurat li l-fornturi ta' servizzi ta' pagament li jiddependu fuq l-interfaċċja ddedikata jkunu jistgħu jkomplu jipprovdu s-servizzi tagħhom f'każ ta' problemi ta' disponibbiltà jew prestazzjoni inadegwata, hemm bżonn li jiġi pprovdut, soġġett għal kundizzjonijiet stretti, mekkaniżmu ta' riżerva li ser jippermetti lil tali fornituri jużaw l-interfaċċja li l-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont iżomm għall-identifikazzjoni tal-utenti ta' servizzi ta' pagament tiegħu stess u għall-komunikazzjoni magħhom. Ċerti fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont ser jiġu eżentati milli jkollhom jipprovdu tali mekkaniżmu ta' riżerva permezz tal-interfaċċji immirati lejn il-klijenti tagħhom meta l-awtoritajiet kompetenti tagħhom jistabbilixxu li l-interfaċċji ddedikati jikkonformaw ma' kundizzjonijiet speċifiċi li jiżguraw kompetizzjoni bla tfixkil. F'każ li l-interfaċċji ddedikati eżentati jonqsu milli jikkonformaw mal-kundizzjonijiet meħtieġa, l-eżenzjonijiet mogħtija għandhom jiġu revokati mill-awtoritajiet kompetenti rilevanti.

(25)

Sabiex l-awtoritajiet kompetenti jitħallew jissorveljaw u jimmonitorjaw b'mod effettiv l-implimentazzjoni u l-ġestjoni tal-interfaċċji tal-komunikazzjoni, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont jenħtieġ li jagħmlu sommarju tad-dokumentazzjoni rilevanti disponibbli fuq is-sit web tagħhom u jipprovdu, fuq talba, lill-awtoritajiet kompetenti b'dokumentazzjoni tas-soluzzjonijiet f'każ ta' emerġenzi. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont jenħtieġ li ukoll jagħmlu disponibbli għall-pubbliku l-istatistika dwar id-disponibbiltà u l-prestazzjoni ta' dik l-interfaċċja.

(26)

Sabiex jiġu ssalvagwardjati l-kunfidenzjalità u l-integrità tad-data, hemm bżonn li tiġi żgurata s-sigurtà tas-sessjonijiet ta' komunikazzjoni bejn il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont, il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament u l-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard. B'mod partikolari, huwa neċessarju li l-kriptaġġ sikur ikun meħtieġ li jiġi applikat bejn il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament, il-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard u l-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont meta jiskambjaw id-data.

(27)

Sabiex tittejjeb il-fiduċja tal-utenti u tiġi żgurata l-awtentikazzjoni b'saħħitha tal-konsumatur, l-użu ta' mezzi ta' identifikazzjoni elettronika u servizzi ta' fiduċjarji kif stipulat fir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill (3) jenħtieġ li jitqies b'mod partikolari fir-rigward tal-iskemi ta' identifikazzjoni elettronika notifikati

(28)	Sabiex jiġu żgurati dati tal-applikazzjoni allinjati, dan ir-Regolament jenħtieġ li jkun applikabbli mill-istess data li fiha l-Istati Membri jridu jiżguraw l-applikazzjoni tal-miżuri ta' sigurtà msemmija fl-Artikoli 65, 66, 67 u 97 tad-Direttiva (UE) 2015/2366.

(29)	Dan ir-Regolament huwa msejjes fuq l-abbozz ta' standards tekniċi regolatorji ppreżentat mill-Awtorità Bankarja Ewropea (EBA) lill-Kummissjoni.

(30)

L-EBA wettqet konsultazzjonijiet pubbliċi miftuħin u trasparenti dwar l-abbozz ta' standards tekniċi regolatorji li fuqu huwa bbażat dan ir-Regolament, analizzat il-kostijiet u l-benefiċċji potenzjali relatati u talbet l-opinjoni tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f'konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010,

ADOTTAT DAN IR-REGOLAMENT:

KAPITOLU I

DISPOŻIZZJONIJIET ĠENERALI

Artikolu 1

Suġġett

Dan ir-Regolament jistabbilixxi r-rekwiżiti li jridu jiġu rispettati mill-fornituri ta' servizzi ta' pagament għall-finijiet tal-implimentazzjoni tal-miżuri ta' sigurtà li jippermettulhom jagħmlu dan li ġej:

(a)	japplikaw il-proċedura ta' awtentikazzjoni qawwija tal-konsumatur skont l-Artikolu 97 tad-Direttiva (UE) 2015/2366;

(b)	jeżentaw l-applikazzjoni tar-rekwiżiti tas-sigurtà tal-awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għal kundizzjonijiet speċifiċi u limitati abbażi tal-livell tar-riskju, l-ammont u r-rikorrenza tat-tranżazzjoni tal-pagament u tal-mezz tal-pagament użat għall-eżekuzzjoni tiegħu;

(c)	jipproteġu l-kunfidenzjalità u l-integrità tal-kredenzjali personalizzati ta' sigurtà tal-utent ta' servizzi ta' pagament;

(d)

jistabbilixxu standards miftuħin li jkunu komuni u sikuri għall-komunikazzjoni bejn il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont, il-fornituri ta' servizzi ta' bidu ta' pagament, il-pagaturi, il-benefiċjarji u fornituri oħra ta' servizzi ta' pagament b'rabta mal-għoti u l-użu ta' servizzi ta' pagament fl-applikazzjoni tat-Titolu IV tad-Direttiva (UE) 2015/2366.

Artikolu 2

Rekwiżiti ġenerali tal-awtentikazzjoni

1. Il-fornituri ta' servizzi ta' pagament għandu jkollhom fis-seħħ mekkaniżmi li jimmonitorjaw it-tranżazzjonijiet li jippermettulhomjaqbdu tranżazzjonijiet tal-pagament mhux awtorizzati jew frodulenti għall-finijiet tal-implimentazzjoni tal-miżuri tas-sigurtà msemmija fil-punti (a) u (b) tal-Artikolu 1.

Dawn il-mekkaniżmi għandhom ikunu msejsa fuq l-analiżi tat-tranżazzjonijiet tal-pagament, filwaqt li jqisu elementi li huma tipiċi tal-utent ta' servizzi ta' pagament fiċ-ċirkustanzi ta' użu normali tal-kredenzjali personalizzati ta' sigurtà.

2. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-mekkaniżmi li jissorveljaw it-tranżazzjonijiet iqisu, tal-inqas, kull wieħed minn dawn il-fatturi bbażati fuq ir-riskju li ġejjin:

(a)	listi ta' elementi tal-awtentikazzjoni kompromessi jew misruqa;

(b)	l-ammont ta' kull tranżazzjoni ta' pagament;

(c)	xenarji tal-frodi magħrufa fl-għoti ta' servizzi ta' pagament;

(d)	sinjali ta' infezzjoni tal-malwer fi kwalunkwe sessjoni tal-proċedura ta' awtentikazzjoni;

(e)	f'każ li l-apparat jew is-softwer tal-aċċess jingħata mill-fornitur ta' servizzi ta' pagament, log tal-użu tal-apparat tal-aċċess jew tas-softwer mogħti lill-utent ta' servizzi ta' pagament u l-użu anormali tal-apparat tal-aċċess jew tas-softwer.

Artikolu 3

Rieżami tal-miżuri tas-sigurtà

1. L-implimentazzjoni tal-miżuri tas-sigurtà msemmija fl-Artikolu 1, għandhom jiġu ddokumentati, ittestjati perjodikament, evalwati u vverifikati skont il-qafas legali applikabbli tal-fornitur ta' servizzi ta' pagament mill-awdituri b'għarfien espert fis-sigurtà tal-IT u fil-pagamenti elettroniċi u li joperaw b'mod indipendenti mill-fornitur ta' servizzi ta' pagament jew fil-konfront tiegħu.

2. Il-perjodu bejn l-awditi msemmija fil-paragrafu 1 għandu jiġi ddeterminat billi jitqies il-qafas tal-kontabilità u l-qafas tal-verifika statutorja rilevanti applikabbli għall-fornitur ta' servizzi ta' pagament.

Madankollu, il-fornituri ta' servizzi ta' pagament li jagħmlu użu mill-eżenzjoni msemmija fl-Artikolu 18 għandhom ikunu soġġetti għal verifika tal-metodoloġija, il-mudell u r-rati tal-frodi rrappurtati tal-inqas fuq bażi annwali. L-awditur li jwettaq dan l-awditu għandu jkollu għarfien espert fis-sigurtà tal-IT u fil-pagamenti elettroniċi u għandu jopera b'mod indipendenti mill-fornitur ta' servizzi ta' pagament jew fil-konfront tiegħu. Matul l-ewwel sena mill-użu tal-eżenzjoni skont l-Artikolu 18 u tal-inqas kull tliet snin wara, jew aktar frekwenti fuq talba tal-awtorità kompetenti, dan l-awditu għandu jsir minn awditur estern indipendenti u kkwalifikat.

3. Dan l-awditu għandu jippreżenta evalwazzjoni u rapport dwar il-konformità tal-miżuri tas-sigurtà tal-fornitur tas-servizzi ta' pagament mar-rekwiżiti stabbiliti f'dan ir-Regolament.

Ir-rapport sħiħ għandu jsir disponibbli għall-awtoritajiet kompetenti fuq talba tagħhom.

KAPITOLU II

MIŻURI TA' SIGURTÀ GĦALL-APPLIKAZZJONI TAL-AWTENTIKAZZJONI QAWWIJA TAL-KONSUMATUR

Artikolu 4

Kodiċi tal-awtentikazzjoni

1. Meta l-fornituri ta' servizzi ta' pagament japplikaw l-awtentikazzjoni b'saħħitha tal-konsumatur skont l-Artikolu 97(1) tad-Direttiva (UE) 2015/2366, l-awtentikazzjoni għandha tkun imsejsa fuq żewġ elementi jew aktar li huma kkategorizzati bħala għarfien, pusses u inerenza u għandha tirriżulta fil-ġenerazzjoni ta' kodiċi ta' awtentikazzjoni.

Il-kodiċi ta' awtentikazzjoni għandu jiġi aċċettat darba biss mill-fornitur ta' servizzi ta' pagament meta l-pagatur juża l-kodiċi tal-awtentikazzjoni biex jaċċessa l-kont tal-pagament tiegħu onlajn, jibda tranżazzjoni ta' pagament elettroniku u jwettaq xi azzjoni b'mezz mill-bogħod li jista' jimplika riskju ta' frodi ta' pagament jew abbużi oħrajn.

2. Għall-finijiet ta' paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri ta' sigurtà li jiżguraw li jiġi ssodisfat kull wieħed mir-rekwiżiti li ġejjin:

(a)	ma tista' tiġi derivata l-ebda informazzjoni dwar kwalunkwe wieħed mill-elementi msemmija fil-paragafu 1 mill-iżvelar tal-kodiċi ta' awtentikazzjoni;

(b)	mhuwiex possibbli li jiġi ġġenerat kodiċi ġdid tal-awtentikazzjoni abbażi tal-għarfien ta' kwalunkwe kodiċi ieħor tal-awtentikazzjoni li jkun ġie iġġenerat qabel;

(c)	il-kodiċi tal-awtentikazzjoni ma jistax jiġi ffalsifikat.

3. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-awtentikazzjoni permezz tal-ġenerazzjoni ta' kodiċi tal-awtentifikazzjioni tinkludi kull waħda mill-miżuri li ġejjin:

(a)

meta l-awtentikazzjoni għal aċċess mill-bogħod, pagamenti elettroniċi mill-bogħod u kwalunkwe azzjoni oħra b'mezz mill-bogħod li jista' jimplika riskju ta' frodi ta' pagament jew abbużi oħrajn tkun falliet milli tiġġenera kodiċi tal-awtentikazzjoni għall-finijiet tal-paragrafu 1, ma għandux ikun possibbli li jiġi identifikat liema wieħed mill-elementi msemmija f'dak il-paragrafu ma kienx korrett;

(b)	l-għadd ta' tentattivi falluti tal-awtentikazzjoni li jistgħu jsiru b'mod konsekuttiv, li warajhom l-azzjonijiet imsemmija fl-Artikolu 97(1) tad-Direttiva (UE) 2015/2366 għandhom jiġu mblukkati b'mod temporanju jew permanenti, ma għandux ikun iktar minn ħamsa f'perjodu ta' żmien partikolari;

(c)	is-sessjonijiet ta' komunikazzjoni huma protetti kontra l-ksib tad-data tal-awtentikazzjoni trażmessa matul l-awtentikazzjoni u kontra l-manipulazzjoni minn partijiet mhux awtorizzati skont ir-rekwiżiti tal-Kapitolu V;

(d)	it-tul massimu ta' żmien mingħajr attività mill-pagatur wara li jkun ġie awtentikat biex jaċċessa l-kont tal-pagament tiegħu onlajn ma għandux jaqbeż ħames minuti.

4. Meta l-imblukkar imsemmi fil-paragrafu 3(b) ikun temporanju, id-durata massima ta' dak l-imblukkar u l-għadd ta' provi mill-ġdid għandhom jiġu stabbiliti abbażi tal-karatteristiċi tas-servizz mogħti lill-pagatur u r-riskji kollha rilevanti involuti, filwaqt li jitqiesu, tal-inqas, il-fatturi msemmija fl-Artikolu 2(2).

Il-pagatur għandu jiġi mwissi qabel ma l-imblukkar isir permanenti.

Meta l-imblukkar ikun sar permanenti, għandha tiġi stabbilita proċedura sikura li tippermetti li l-pagatur jerġa' jikseb l-użu tal-istrumenti elettroniċi ta' pagament imblukkati.

Artikolu 5

Rabta dinamika

1. Meta l-fornituri ta' servizzi ta' pagament japplikaw awtentikazzjoni b'saħħitha tal-konsumatur skont l-Artikolu 97(2) tad-Direttiva (UE) 2015/2366, flimkien mar-rekwiżiti tal-Artikolu 4 ta' dan ir-Regolament, dawn għandhom jadottaw ukoll miżuri ta' sigurtà li jissodisfaw kull wieħed mir-rekwiżiti li ġejjin:

(a)	il-pagatur isir jaf bl-ammont tat-tranżazzjoni tal-pagament u tal-benefiċjarju;

(b)	il-kodiċi tal-awtentikazzjoni ġġenerata tkun speċifika għall-ammont tat-tranżazzjoni ta' pagament u l-benefiċjarju miftiehem mill-pagatur meta jibda t-tranżazzjoni;

(c)	il-kodiċi tal-awtentikazzjoni aċċettat mill-fornitur ta' servizzi ta' pagament jikkorrispondi għall-ammont speċifiku oriġinali tat-tranżazzjoni ta' pagament u għall-identità tal-benefiċjarju maqbul mill-pagatur;

(d)	kull bidla fl-ammont jew fil-benefiċjarju tirriżulta fl-invalidazzjoni tal-kodiċi tal-awtentikazzjoni ġġenerata.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri tas-sigurtà li jiżguraw il-kunfidenzjalità, l-awtentiċità u l-integrità ta' kull wieħed minn dawn li ġejjin:

(a)	l-ammont tat-tranżazzjoni u l-benefiċjarju fil-fażijiet kollha tal-awtentikazzjoni;

(b)	l-informazzjoni murija lill-pagatur fil-fażijiet kollha tal-awtentikazzjoni, inklużi l-ġenerazzjoni, it-trażmissjoni u l-użu ta' kodiċi ta' awtentikazzjoni.

3. Għall-finijiet tal-paragrafu 1(b) u meta l-fornituri ta' servizzi ta' pagament japplikaw awtentikazzjoni b'saħħitha tal-konsumatur skont l-Artikolu 97(2) tad-Direttiva (UE) 2015/2366, għandhom japplikaw ir-rekwiżiti li ġejjin għall-kodiċi tal-awtentikazzjoni:

(a)

b'rabta ma' tranżazzjoni ta' pagament b'kard li għaliha l-pagatur ikun ta l-kunsens għall-ammont eżatt tal-fondi li għandu jiġi mblukkat skont l-Artikolu 75(1) ta' dik id-Direttiva, il-kodiċi tal-awtentikazzjoni għandu jkun speċifiku għall-ammont li l-pagatur ikun ta l-kunsens biex jiġi imblukkat jew li jkun ġie miftiehem mill-pagatur meta jibda t-tranżazzjoni;

(b)

b'rabta ma' tranżazzjonijiet ta' pagament li għalihom il-pagatur ikun ta l-kunsens biex jiġi eżegwit lott ta' tranżazzjonijiet ta' pagament elettroniku mill-bogħod lil benefiċjarju wieħed jew lil diversi benefiċjarji, il-kodiċi tal-awtentikazzjoni għandu jkun speċifiku għall-ammont totali tal-lott ta' tranżazzjonijiet ta' pagament u għall-benefiċjarji speċifikati.

Artikolu 6

Rekwiżiti tal-elementi kkategorizzati bħala għarfien

1. Il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri biex inaqqsu r-riskju li l-elementi ta' awtentikazzjoni b'saħħitha tal-konsumatur ikkategorizzati bħala għarfien jinkixfu minn partijiet mhux awtorizzati jew jiġu żvelati lilhom.

2. L-użu mill-pagatur ta' dawk l-elementi għandu jkun soġġett għal miżuri ta' mitigazzjoni sabiex jiġi evitat l-iżvelar tagħhom lil partijiet mhux awtorizzati.

Artikolu 7

Rekwiżiti tal-elementi kkategorizzati bħala pusses

1. Il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri biex inaqqsu r-riskju li l-elementi ta' awtentikazzjoni b'saħħithom tal-kunsumatur ikkategorizzati bħala pussess jintużaw minn partijiet mhux awtorizzati.

2. L-użu mill-pagatur ta' dawk l-elementi għandu jkun soġġett għal miżuri mfassla biex jipprevjenu r-replika tal-elementi.

Artikolu 8

Rekwiżiti ta' apparat u softwer marbuta ma' elementi kkategorizzati bħala inerenza

1. Il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri biex itaffu r-riskju li l-elementi tal-awtentikazzjoni kkategorizzati bħala inerenza u li jinqraw minn apparat u softwer ta' aċċess, mogħtija lill-pagatur, jiġu skoperti minn partijiet mhux awtorizzati. Tal-inqas, il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li dak l-apparat ta' aċċess u dak is-softwer ikollhom probabbiltà baxxa ħafna li parti mhux awtorizzata tiġi awtentikata bħala l-pagatur.

2. L-użu mill-pagatur ta' dawk l-elementi għandu jkun soġġett għal miżuri li jiżguraw li dak l-apparat u s-softwer jiggarantixxu reżistenza kontra l-użu mhux awtorizzat tal-elementi permezz tal-aċċess għall-aparat u s-softwer.

Artikolu 9

Indipendenza tal-elementi

1. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-użu tal-elementi tal-awtentikazzjoni b'saħħitha tal-konsumatur imsemmija fl-Artikoli 6, 7 u 8 ikun soġġett għal miżuri li jiżguraw li, f'termini tat-teknoloġija, l-algoritmi u l-parametri, il-ksur ta' wieħed mill-elementi ma jikkompromettix l-affidabbiltà tal-elementi l-oħrajn.

2. Il-fornituri ta' servizzi ta' pagament għandhom jadottaw miżuri tas-sigurtà, meta xi wieħed mill-elementi tal-awtentikazzjoni b'saħħitha tal-konsumatur jew il-kodiċi tal-awtentikazzjoni nnifsu jintużaw permezz ta' apparat b'diversi użi, biex inaqqsu r-riskju li jirriżulta minn dak l-apparat b'diversi użi li jkun qiegħed jiġi kompromess.

3. Għall-finijiet tal-paragrafu 2, il-miżuri ta' mitigazzjoni għandhom jinkludu kull wieħed minn dawn li ġejjin:

(a)	l-użu ta' ambjenti ta' eżekuzzjoni sikuri separati permezz tas-softwer installat fl-apparat b'diversi użi;

(b)	mekkaniżmi li jiżguraw li s-softwer jew l-apparat ma jkunux ġew mibdula mill-pagatur jew minn parti terza;

(c)	meta jkunu saru alterazzjonijiet, mekkaniżmi li jtaffu l-konsegwenzi tagħhom.

KAPITOLU III

EŻENZJONIJIET MINN AWTENTIKAZZJONI QAWWIJA TAL-KONSUMATUR

Artikolu 10

Informazzjoni dwar il-kont ta' pagament

1. Il-fornituri ta' servizz ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, soġġett għall-konformità mar-rekwiżiti stipulati fl-Artikolu 2 u fil-paragrafu 2 ta' dan l-Artikolu u, meta utent ta' servizzi ta' pagament ikun limitat biex jaċċessa wieħed minn dawn l-oġġetti li ġejjin onlajn jew it-tnejn li huma mingħajr l-iżvelar ta' data sensittiva dwar pagamenti:

(a)	il-bilanċ ta' kont ta' pagament wieħed jew aktar magħżul/a;

(b)	it-tranżazzjonijiet ta' pagament eżegwiti fl-aħħar 90 jum permezz ta' kont ta' pagament wieħed jew aktar magħżul/a.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament ma għandhomx ikunu eżentati mill-applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur meta tiġi ssodisfata waħda mill-kundizzjonijiet li ġejjin:

(a)	l-utent ta' servizzi ta' pagament ikun qiegħed jaċċessa onlajn l-informazzjoni speċifikata fil-paragrafu 1 għall-ewwel darba;

(b)	ikunu għaddew aktar minn 90 jum mill-aħħar darba li l-utent ta' servizzi ta' pagament ikun aċċessa l-informazzjoni speċifikata fil-paragrafu 1(b) u tkun ġiet applikata l-awtentikazzjoni b'saħħitha tal-konsumatur.

Artikolu 11

Pagamenti mingħajr kuntatt fil-punt tal-bejgħ

Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għall-konformità mar-rekwiżiti stipulati fl-Artikolu 2, meta l-pagatur jibda tranżazzjoni ta' pagament elettroniku mingħajr kuntatt diment li jiġu ssodisfati l-kundizzjonijiet li ġejjin:

(a)	l-ammont individwali tat-tranżazzjoni ta' pagament elettroniku mingħajr kuntatt ma jaqbiżx EUR 50; u

(b)	l-ammont kumulattiv ta' tranżazzjonijiet preċedenti ta' pagament elettroniku mingħajr kuntatt mibdija permezz ta' strument ta' pagament b'funzjonalità ta' mingħajr kuntatt mid-data tal-aħħar applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur ma jaqbiżx EUR 150; jew

(c)	l-għadd ta' tranżazzjonijiet konsekuttivi ta' pagament elettroniku mingħajr kuntatt mibdija permezz ta' strument ta' pagament li joffri funzjonalità ta' mingħajr kuntatt mill-aħħar applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur ma jaqbiżx ħamsa.

Artikolu 12

Terminali mhux ikkontrollati għan-nollijiet tat-trasport u t-tariffi tal-ipparkjar

Il-fornituri ta' servizzi ta' pagament ma għandhomx jitħallew japplikaw awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għall-konformità mar-rekwiżiti stipulati fl-Artikolu 2, meta l-pagatur jibda tranżazzjoni ta' pagament elettroniku f'terminal ta' pagament mhux ikkontrollat bl-iskop li jħallas noll tat-trasport jew tariffa tal-ipparkjar.

Artikolu 13

Benefiċjarji ta' fiduċja

1. Il-fornituri ta' servizz ta' pagament għandhom japplikaw l-awtentikazzjoni b'saħħitha tal-konsumatur meta l-pagatur joħloq jew jemenda lista ta' benefiċjarji fdati permezz tal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont tal-pagatur.

2. Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għall-konformità mar-rekwiżiti ġenerali tal-awtentikazzjoni, meta l-pagatur jibda tranżazzjoni ta' pagament u l-benefiċjarju jkun inkluż f'lista ta' benefiċjarji ta' fiduċja li nħolqot preċedentement mill-pagatur.

Artikolu 14

Tranżazzjonijiet rikorrenti

1. Il-fornituri ta' servizzi ta' pagament għandhom japplikaw l-awtentikazzjoni b'saħħitha tal-konsumatur meta pagatur joħloq, jemenda jew jibda għall-ewwel darba, serje ta' tranżazzjonijiet rikorrenti bl-istess ammont u mal-istess benefiċjarju.

2. Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għall-konformità mar-rekwiżiti ġenerali tal-awtentikazzjoni, għall-bidu tat-tranżazzjonijiet ta' pagament sussegwenti kollha inklużi fis-serje ta' tranżazzjonijiet ta' pagament imsemmija fil-paragrafu 1.

Artikolu 15

Trasferimenti tal-kreditu bejn kontijiet miżmuma mill-istess persuna fiżika jew ġuridika

Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, soġġetti għall-konformità mar-rekwiżiti stipulati fl-Artikolu 2, meta l-pagatur jibda trasferiment ta' kreditu f'ċirkostanzi meta l-pagatur u l-benefiċjarju jkunu l-istess persuna fiżika jew ġuridika u ż-żewġ kontijiet ta' pagament ikunu miżmuma mill-istess fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont.

Artikolu 16

Tanżazzjonijiet ta' valur baxx

Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur meta l-pagatur jibda tranżazzjoni ta' pagament elettroniku mill-bogħod diment li jiġu ssodisfati l-kundizzjonijiet li ġejjin:

(a)	l-ammont tat-tranżazzjoni ta' pagament elettroniku mill-bogħod ma jaqbiżx EUR 30; u

(b)	l-ammont kumulattiv ta' tranżazzjonijiet ta' pagament elettroniku mill-bogħod preċedenti mibdija mill-pagatur mill-aħħar applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur ma jaqbiżx EUR 100; jew

(c)	l-għadd ta' tranżazzjonijiet ta' pagament elettroniku mill-bogħod preċedenti mibdija mill-pagatur mill-aħħar applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur ma jaqbiżx ħames (5) tranżazzjonijiet ta' pagamenti elettroniċi mill-bogħod konsekuttivi u individwali.

Artikolu 17

Proċessi u protokolli ta' pagament korporattivi sikuri

Il-fornituri ta' servizzi ta' pagament għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur, fir-rigward ta' persuni ġuridiċi li jibdew tranżazzjonijiet ta' pagament elettroniku permezz tal-użu ta' proċessi jew protokolli ta' pagament iddedikati li jsiru disponibbli biss għall-pagaturi li mhumiex konsumaturi, meta l-awtoritajiet kompetenti jkunu ċerti li dawk il-proċessi jew il-protokolli jiggarantixxu tal-inqas livelli ekwivalenti ta' sigurtà ta' dawk previsti mid-Direttiva (UE) 2015/2366.

Artikolu 18

Analiżi tar-riskju tat-tranżazzjoni

1. Il-fornituri ta' servizzi ta' tranżazzjoni għandhom jitħallew ma japplikawx l-awtentikazzjoni b'saħħitha tal-konsumatur meta l-pagatur jibda tranżazzjoni ta' pagament elettroniku mill-bogħod, identifikata mill-fornitur ta' servizzi ta' pagament bħala li toħloq livell ta' riskju baxx skont il-mekkaniżmi li jissorveljaw it-tranżazzjonijiet imsemmija fl-Artikolu 2 u fil-paragrafu 2(c) ta' dan l-Artikolu.

2. Tranżazzjoni ta' pagament elettroniku msemmija fil-paragrafu 1 għandha titqies li timponi livell baxx ta' riskju meta jiġu ssodisfati l-kundizzjonijiet kollha li ġejjin:

(a)

ir-rata tal-frodi għal dik it-tip ta' tranżazzjoni, irrappurtata mill-fornitur ta' servizzi ta' pagament u kkalkulata skont l-Artikolu 19, tkun ekwivalenti għal jew inqas mir-rati tal-frodi ta' referenzi speċifikati fit-tabella stabbilita fl-Anness għal “pagamenti elettroniċi mill-bogħod b'kard” u “trasferimenti ta' kreditu b'mod elettroniku mill-bogħod” rispettivament;

(b)	l-ammont tat-tranżazzjoni ma jaqbiżx il-Valur ta' Limitu tal-Eżenzjoni (Exemption Threshold Value - “ETV”) rilevanti speċifikat fit-tabella stabbilita fl-Anness;

(c)

il-fornituri ta' servizzi ta' pagament b'riżultat tat-twettiq ta' analiżi tar-riskju f'ħin reali ma jkunux identifikaw xi waħda minn dawn li ġejjin:

(i)	infiq jew imġiba anormali tal-pagatur;

(ii)	informazzjoni mhux tas-soltu dwar l-aċċess tal-apparat/tas-softwer tal-pagatur;

(iii)

infezzjoni malwer fi kwalunkwe sessjoni tal-proċedura ta' awtentikazzjoni;

(iv)	xenarju magħruf ta' frodi fl-għoti ta' servizzi ta' pagament;

(v)	post anormali tal-pagatur;

(vi)	post ta' riskju għoli tal-benefiċjarju.

3. Il-fornituri ta' servizzi ta' pagament li beħsiebhom jeżentaw tranżazzjonijiet ta' pagament elettroniku mill-bogħod minn awtentikazzjoni b'saħħitha tal-konsumatur minħabba li dawn joħolqu riskju baxx għandhom tal-inqas iqisu l-fatturi bbażati fuq ir-riskju li ġejjin:

(a)	il-mudelli preċedenti ta' nfiq tal-utent ta' servizzi ta' pagament individwali;

(b)	l-istorja tat-tranżazzjoni ta' pagament ta' kull utent ta' servizzi ta' pagament tal-fornitur ta' servizzi ta' pagament;

(c)	il-post tal-pagatur u tal-benefiċjarju fil-ħin tat-tranżazzjoni ta' pagament f'każijiet fejn l-apparat jew is-softwer tal-aċċess jiġu pprovduti mill-fornitur ta' servizzi ta' pagament;

(d)	l-identifikazzjoni ta' mudelli ta' pagament anormali tal-utent ta' servizzi ta' pagament fir-rigward tal-istorja tat-tranżazzjoni ta' pagament tal-utent.

Il-valutazzjoni li ssir minn fornitur ta' servizzi ta' pagament għandha tikkombina dawk il-fatturi kollha bbażati fuq ir-riskju fl-għoti tal-punti tar-riskju għal kull tranżazzjoni individwali sabiex jiġi ddeterminat jekk pagament speċifiku jenħtieġx li ikun permess mingħajr awtentikazzjoni b'saħħitha tal-konsumatur.

Artikolu 19

Kalkolu tar-rati ta' frodi

1. Għal kull tip ta' tranżazzjoni msemmija fit-tabella stabbilita fl-Anness, il-fornitur ta' servizzi ta' pagament għandu jiżgura li r-rati ġenerali tal-frodi li jkopru kemm it-tranżazzjonijiet ta' pagament awtentikati permezz tal-awtentikazzjoni b'saħħitha tal-konsumatur kif ukoll dawk eżegwiti skont kwalunkwe eżenzjoni msemmija fl-Artikoli 13 sa 18 ikunu ekwivalenti għar-rata tal-frodi ta' referenza għall-istess tip ta' tranżazzjoni ta' pagament indikata fit-tabella stabbilita fl-Anness jew inqas minnha.

Ir-rata ġenerali tal-frodi għal kull tip ta' tranżazzjoni għandha tiġi kkalkulata bħala l-valur totali ta' tranżazzjonijiet mill-bogħod mhux awtorizzati jew frodulenti, kemm jekk il-fondi jkunu ġew irkuprati kif ukoll jekk le, diviża bil-valur totali tat-tranżazzjonijiet kollha mill-bogħod għall-istess tip ta' tranżazzjonijiet, kemm jekk ġew awtentikati bl-applikazzjoni tal-awtentikazzjoni b'saħħitha tal-konsumatur jew ġew eżegwiti skont xi eżenzjoni msemmija fl-Artikoli 13 sa 18 fuq bażi regolari ta' kull tliet xhur (90 jum).

2. Il-kalkolu tar-rati tal-frodi u ċ-ċifri li jirriżultaw għandhom jiġu vvalutati mir-rieżami tal-awditu msemmi fl-Artikolu 3(2), li għandu jiżgura li dawn ikunu kompluti u preċiżi.

3. Il-metodoloġija u kwalunkwe mudell użati mill-fornitur ta' servizzi ta' pagament biex jiġu kkalkulati r-rati tal-frodi, kif ukoll ir-rati tal-frodi nfushom, għandhom jiġu ddokumentati b'mod adegwat u għandhom isiru disponibbli kompletament għall-awtoritajiet kompetenti u l-EBA, b'notifika minn qabel lill-awtorità(awtoritajiet) rilevanti, fuq talba tagħhom.

Artikolu 20

Twaqqif tal-eżenzjonijiet abbażi ta' analiżi tar-riskju tat-tranżazzjoni

1. Il-fornituri ta' servizzi ta' pagament li jużaw eżenzjoni msemmija fl-Artikolu 18 għandhom immedjatament jirrappurtaw lill-awtoritajiet kompetenti meta waħda mir-rati tal-frodi ssorveljati tagħhom, għal kwalunkwe tip ta' tranżazzjoni ta' pagament indikat fit-tabella stabbilita fl-Anness, taqbeż ir-rata tal-frodi ta' referenza applikabbli u għandhom jipprovdu lill-awtoritajiet kompetenti deskrizzjoni tal-miżuri li huma beħsiebhom jadottaw biex jerġgħu jistabbilixxu l-konformità tar-rata tal-frodi ssorveljata tagħhom mar-rati tal-frodi ta' referenza applikabbli.

2. Il-fornituri ta' servizzi ta' pagament għandhom immedjatament jieqfu milli jużaw l-eżenzjoni msemmija fl-Artikolu 18 għal kwalunkwe tip ta' tranżazzjoni ta' pagament indikat fit-tabella stabbilita fl-Anness fil-firxa speċifika tal-livell limitu tal-eżenzjoni meta r-rata tal-frodi ssorveljata tagħhom teċċedi għal żewġ trimestri konsekuttivi r-rata tal-frodi ta' referenza applikabbli għal dak l-istrument ta' pagament jew it-tip ta' tranżazzjoni ta' pagament f'dik il-firxa tal-livell limitu tal-eżenzjoni.

3. Wara l-waqfien tal-eżenzjoni msemmija fl-Artikolu 18 skont il-paragrafu 2 ta' dan l-Artikolu, il-fornituri ta' servizzi ta' pagament ma għandhomx jerġgħu jużaw dik l-eżenzjoni, sakemm ir-rata tal-frodi tagħhom ikkalkulata ma tkunx ekwivalenti għal, jew tkun inqas mir-rati tal-frodi ta' referenza applikabbli għal dik it-tip ta' tranżazzjoni ta' pagament f'dik il-firxa tal-livell limitu tal-eżenzjoni għal perjodu wieħed ta' tliet xhur.

4. Meta l-fornituri ta' servizzi ta' pagament ikunu beħsiebhom jerġgħu jużaw l-eżenzjoni msemmija fl-Artikolu 18, dawn għandhom jinnotifikaw lill-awtoritajiet kompetenti fi żmien raġonevoli u qabel ma jerġgħu jużaw l-eżenzjoni, għandhom jipprovdu evidenza tar-restawr tal-konformità tar-rata tal-frodi ssorveljata tagħhom mar-rata tal-frodi ta' referenza applikabbli għal dik il-firxa tal-livell limitu tal-eżenzjoni skont il-paragrafu 3 ta' dan l-Artikolu.

Artikolu 21

Monitoraġġ

1. Sabiex jużaw l-eżenzjonijiet stabbiliti fl-Artikoli 10 sa 18, il-fornituri ta' servizzi ta' pagament għandhom jirreġistraw u jissorveljaw id-data li ġejja għal kull tip ta' tranżazzjoni ta' pagament, b'analiżi tat-tranżazzjonijiet ta' pagament mill-bogħod kif ukoll dawk mhux mill-bogħod, tal-inqas fuq bażi ta' kull tliet xhur:

(a)

il-valur totali ta' tranżazzjonijiet ta' pagament mhux awtorizzati jew frodulenti skont l-Artikolu 64(2) tad-Direttiva (UE) 2015/2366, il-valur totali tat-tranżazzjonijiet kollha ta' pagament u r-rata tal-frodi li tirriżulta, inkluż tqassim tat-tranżazzjonijiet ta' pagament mibdija permezz tal-awtentikazzjoni b'saħħitha tal-konsumatur u skont kull waħda mill-eżenzjonijiet;

(b)	il-valur medju tat-tranżazzjoni, inkluż tqassim ta' tranżazzjonijiet ta' pagament mibdija permezz ta' awtentikazzjoni qawwija tal-konsumatur u skont kull waħda mill-eżenzjonijiet;

(c)	l-għadd ta' tranżazzjonijiet ta' pagament meta tkun ġiet applikata kull waħda mill-eżenzjonijiet u l-perċentwal tagħhom fir-rigward tal-għadd totali ta' tranżazzjonijiet ta' pagament.

2. Il-fornituri ta' servizzi ta' pagament għandhom jagħmlu r-riżultati tal-monitoraġġ skont il-paragarafu 1 disponibbli għall-awtoritajiet kompetenti u għall-EBA, b'notifika minn qabel lill-awtorità(awtoritajiet) kompetenti rilevanti, fuq talba tagħhom.

KAPITOLU IV

Il-KUNFIDENZJALITÀ U L-INTEGRITÀ TAL-KREDENZJALI PERSONALIZZATI TA' SIGURTÀ TAL-UTENTI TA' SERVIZZI TA' PAGAMENT

Artikolu 22

Rekwiżiti ġenerali

1. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw il-kunfidenzjalità u l-integrità tal-kredenzjali personalizzati ta' sigurtà tal-utent ta' servizzi ta' pagament, inklużi kodiċijiet tal-awtentikazzjoni, matul il-fażijiet kollha tal-awtentikazzjoni.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li jiġi ssodisfat kull wieħed mir-rekwiżiti li ġejjin:

(a)	il-kredenzjali personalizzati ta' sigurtà jiġu moħbija meta dawn jintwerew u ma jkunux jistgħu jinqraw għalkollox, meta jiddaħħlu mill-utent ta' servizzi ta' pagament matul l-awtentikazzjoni;

(b)	il-kredenzjali personalizzati ta' sigurtà fil-format tad-data, kif ukoll materjali kriptografiċi relatati mal-kriptaġġ tal-kredenzjali personalizzati ta' sigurtà ma jinħażnux f'data mhux iċċifrata;

(c)	il-materjal kriptografiku sigriet jiġi protett minn żvelar mhux awtorizzat.

3. Il-fornituri ta' servizzi ta' pagament għandhom jiddokumentaw kompletament il-proċess relatat mal-ġestjoni tal-materjal kriptografiku użat biex isir kriptaġġ jew inkella biex jinbidlu l-kredenzjali personalizzati ta' sigurtà b'mod li ma jkunux jistgħu jinqraw.

4. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-ipproċessar u d-direzzjonar tal-kredenzjali personalizzati ta' sigurtà u tal-kodiċijiet tal-awtentikazzjoni ġġenerati skont il-Kapitolu II isiru f'ambjenti sikuri skont standards tal-industrija b'saħħithom u rikonoxxuti b'mod wiesa'.

Artikolu 23

Ħolqien u trażmissjoni tal-kredenzjali

Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-ħolqien ta' kredenzjali personalizzati ta' sigurtà jitwettaq f'ambjent sikur.

Dawn għandhom inaqqsu r-riskji ta' użu mhux awtorizzat tal-kredenzjali personalizzati ta' sigurtà u tal-apparat u s-softwer tal-awtentikazzjoni wara t-telf, is-serq jew l-ikkupjar tagħhom qabel il-kunsinna tagħhom lill-pagatur.

Artikolu 24

Assoċjazzjoni mal-utent ta' servizzi ta' pagament

1. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-utent ta' servizzi ta' pagament biss jiġi assoċjat, b'mod sikur, mal-kredenzjali personalizzati ta' sigurtà, l-apparat u s-softwer ta' awtentikazzjoni.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li jiġi ssodisfat kull wieħed mir-rekwiżiti li ġejjin:

(a)

l-assoċjazzjoni tal-identità tal-utent ta' servizzi ta' pagament mal-kredenzjali personalizzati ta' sigurtà, l-apparat u s-softwer tal-awtentikazzjoni titwettaq f'ambjenti sikuri taħt ir-responsabbiltà tal-fornitur ta' servizzi ta' pagament li tinkludi tal-inqas il-bini tal-fornitur ta' servizzi ta' pagament, l-ambjent tal-Internet ipprovdut mill-fornitur ta' servizzi ta' pagament jew siti web sikuri oħrajn simili użati mill-fornitur ta' servizzi ta' pagament u s-servizzi tal-magni awtomatiċi għall-ġbid tal-flus tiegħu u b'kunsiderazzjoni tar-riskji assoċjati mal-apparat u l-komponenti sottostanti użati matul il-proċess tal-assoċjazzjoni li mhumiex taħt r-responsabbiltà tal-fornitur ta' servizzi ta' pagament;

(b)	l-assoċjazzjoni permezz ta' mezz mill-bogħod tal-identità tal-utent ta' servizzi ta' pagament mal-kredenzjali personalizzati ta' sigurtà u mal-apparat jew is-softwer tal-awtentikazzjoni titwettaq bl-użu ta' awtentikazzjoni b'saħħitha tal-konsumatur.

Artikolu 25

Forniment ta' kredenzjali, apparat u softwer tal-awtentikazzjoni

1. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li l-forniment ta' kredenzjali personalizzati ta' sigurtà, apparat u softwer tal-awtentikazzjoni lill-utent ta' servizzi ta' pagament jitwettaq b'mod sikur, imfassal biex jindirizza r-riskji marbuta mal-użu tagħhom mhux awtorizzat minħabba t-telf, is-serq jew l-ikkupjar tagħhom.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom tal-inqas japplikaw il-miżuri kollha li ġejjin:

(a)	mekkaniżmi ta' forniment effettivi u sikuri li jiżguraw li l-kredenzjali personalizzati ta' sigurtà, l-apparat u s-softwer ta' awtentikazzjoni jiġu fornuti lill-utent ta' servizzi ta' pagament leġittimu;

(b)	mekkaniżmi li jippermettu lill-fornitur ta' servizzi ta' pagament jivverifika l-awtentiċità tas-softwer ta' awtentikazzjoni li jkun ġie fornut lill-utent ta' servizzi ta' pagament permezz tal-Internet;

(c)

ftehimiet li jiżguraw li, meta l-forniment tal-kredenzjali personalizzati ta' sigurtà jiġi eżegwit barra l-bini tal-fornitur ta' servizzi ta' pagament jew b'mezz mill-bogħod:

(i)	l-ebda parti mhux awtorizzata ma tista' tikseb aktar minn karatteristika waħda tal-kredenzjali personalizzati ta' sigurtà, l-apparat jew is-softwer ta' awtentikazzjoni meta jiġu fornuti bl-istess mezz;

(ii)	il-kredenzjali personalizzati ta' sigurtà, l-apparat jew is-softwer tal-awtentikazzjoni fornuti, jesieġu attivazzjoni qabel l-użu;

(d)	ftehimiet li jiżguraw li, f'każijiet meta l-kredenzjali personalizzati ta' sigurtà, l-apparat jew is-softwer ta' awtentikazzjoni jridu jiġu attivati qabel l-ewwel użu tagħhom, l-attivazzjoni għandha ssir f'ambjent sikur skont il-proċeduri ta' assoċjazzjoni msemmija fl-Artikolu 24.

Artikolu 26

Tiġdid ta' kredenzjali personalizzati ta' sigurtà

Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li t-tiġdid jew l-attivazzjoni mill-ġdid tal-kredenzjali personalizzati ta' sigurtà jikkonformaw mal-proċeduri għall-ħolqien, l-assoċjazzjoni u l-forniment tal-kredenzjali u tal-apparat ta' awtentikazzjoni skont l-Artikoli 23, 24 u 25.

Artikolu 27

Qerda, diżattivazzjoni u revoka

Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li dawn ikollhom proċessi effettivi fis-seħħ biex japplikaw il-miżuri tas-sigurtà kollha li ġejjin:

(a)	il-qerda, id-diżattivazzjoni u r-revoka sikuri tal-kredenzjali personalizzati ta' sigurtà, l-apparat u s-softwer ta' awtentikazzjoni;

(b)	meta l-fornitur ta' servizzi ta' pagament iqassam apparat u softwer ta' awtentikazzjoni li jistgħu jerġgħu jintużaw mill-ġdid, l-użu mill-ġdid sikur ta' apparat jew softwer jiġi stabbilit, iddokumentat u implimentat qabel ma dan isir disponibbli għal utent ta' servizzi ta' pagament ieħor;

(c)	id-diżattivazzjoni jew ir-revoka tal-informazzjoni marbuta mal-kredenzjali personalizzati ta' sigurtà maħżuna fis-sistemi u fil-bażijiet tad-data tal-fornitur ta' servizzi ta' pagament u, fejn rilevanti, f'repożitorji pubbliċi.

KAPITOLU V

STANDARDS MIFTUĦIN TA' KOMUNIKAZZJONI LI JKUNU KOMUNI U SIKURI

Taqsima 1

Rekwiżiti ġenerali għall-komunikazzjoni

Artikolu 28

Rekwiżiti għall-identifikazzjoni

1. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw identifikazzjoni sikura meta jikkomunikaw bejn l-apparat tal-pagatur u l-apparat ta' aċċettazzjoni tal-benefiċjarju għal pagamenti elettroniċi, inklużi iżda mhux limitati għal terminals tal-pagament.

2. Il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li r-riskji ta' direzzjonar ħażin tal-komunikazzjoni lil partijiet mhux awtorizzati f'applikazzjonijiet mobbli u interfaċċji oħra ta' utenti ta' servizzi ta' pagament li joffru servizzi ta' pagament elettroniku jiġu mitigati b'mod effettiv.

Artikolu 29

Traċċabbiltà

1. Il-fornituri ta' servizzi ta' pagament għandu jkollhom fis-seħħ proċessi li jiżguraw li t-tranżazzjonijiet kollha ta' pagament u interazzjonijiet oħrajn ma' utent ta' servizzi ta' pagament, ma' fornituri ta' servizzi ta' pagament oħrajn u ma' entitajiet oħrajn, inklużi n-negozjanti, fil-kuntest tal-għoti tas-servizzi ta' pagament ikunu traċċabbli, filwaqt li jiżguraw għarfien ex-post tal-avvenimenti kollha rilevanti għat-tranżazzjoni elettronika fid-diversi stadji kollha.

2. Għall-finijiet tal-paragrafu 1, il-fornituri ta' servizzi ta' pagament għandhom jiżguraw li kwalunkwe sessjoni ta' komunikazzjoni stabbilita mal-utent ta' servizzi ta' pagament, fornituri ta' servizzi ta' pagament oħrajn u entitajiet oħrajn, inklużi n-negozjanti, tkun tiddependi fuq dawn kollha li ġejjin:

(a)	identifikatur uniku tas-sessjoni.

(b)	mekkaniżmi ta' sigurtà għall-illoggjar dettaljat tat-tranżazzjoni, inklużi n-numru tat-tranżazzjoni, it-timbri tal-ħin (timestamps) u d-data kollha rilevanti tat-tranżazzjoni;

(c)	timbri tal-ħin li għandhom ikunu bbażati fuq sistema ta' referenza tal-ħin unifikata u li għandhom jiġu sinkronizzati skont sinjal tal-ħin uffiċjali.

Taqsima 2

Rekwiżiti speċifiċi għall-istandards miftuħin ta' komunikazzjoni li jkunu komuni u sikuri

Artikolu 30

Obbligi ġenerali għall-interfaċċji tal-aċċess

1. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li joffru lil pagatur kont ta' pagament li jkun aċċessibbli onlajn, għandu jkollhom fis-seħħ tal-inqas interfaċċja waħda li tissodisfa r-rekwiżiti kollha li ġejjin:

(a)	il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament u l-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard jistgħu jidentifikaw lilhom infushom quddiem il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont;

(b)	il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet jistgħu jikkomunikaw b'mod sikur biex jitolbu u jirċievu informazzjoni dwar wieħed mill-kontijiet ta' pagament magħżula u tranżazzjonijiet ta' pagament assoċjati jew aktar;

(c)

il-fornituri ta' servizzi ta' bidu ta' pagament jistgħu jikkomunikaw b'mod sikur biex jibdew ordni ta' pagament mill-kont tal-pagament tal-pagatur u jirċievu l-informazzjoni kollha dwar il-bidu tat-tranżazzjoni ta' pagament u l-informazzjoni kollha aċċessibbli għall-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont fir-rigward tal-eżekuzzjoni tat-tranżazzjoni ta' pagament.

2. Għall-finijiet tal-awtentikazzjoni tal-utent ta' servizzi ta' pagament, l-interfaċċja msemmija fil-paragrafu 1, għandha tippermetti lill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u lill-fornitur ta' servizzi ta' bidu ta' pagament jibbażaw fuq il-proċeduri kollha tal-awtentikazzjoni pprovduti mingħand il-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont lill-utent ta' servizzi ta' pagament.

L-interfaċċja għandha mill-inqas tissodisfa r-rekwiżiti kollha li ġejjin:

(a)	fornitur ta' servizzi ta' bidu ta' pagament jew fornitur ta' servizz ta' informazzjoni dwar il-kontijiet għandu jkun kapaċi jagħti istruzzjonijiet lill-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont biex jibda l-awtentikazzjoni abbażi tal-kunsens tal-utent ta' servizzi ta' pagament;

(b)

is-sessjonijiet ta' komunikazzjoni bejn il-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont, il-fornitur ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornitur ta' servizzi ta' bidu ta' pagament u kwalunkwe utent ta' servizzi ta' pagament ikkonċernat għandhom jiġu stabbiliti u miżmuma tul l-awtentikazzjoni;

(c)	l-integrità u l-kunfidenzjalità tal-kredenzjali personalizzati ta' sigurtà u tal-kodiċijiet tal-awtentikazzjoni trażmessi mill-fornitur ta' servizzi ta' bidu ta' pagament jew mill-fornitur ta' servizz ta' informazzjoni dwar il-kontijiet jew permezz tagħhom għandhom jiġu żgurati.

3. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jiżguraw li l-interfaċċji tagħhom isegwu standards ta' komunikazzjoni li jinħarġu minn organizzazzjonijiet internazzjonali jew Ewropej tal-istandardizzazzjoni.

Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jiżguraw ukoll li l-ispeċifikazzjoni teknika ta' kwalunkwe interfaċċja tiġi ddokumentata billi jiġi speċifikat sett ta' rutini, protokolli u għodod meħtieġa mill-fornituri ta' servizzi ta' bidu ta' pagament, mill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u mill-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard biex jippermettu lis-softwer u l-applikazzjonijiet tagħhom joperaw flimkien mas-sistemi tal-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont.

Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom bħala minimu u mhux inqas minn sitt xhur qabel id-data tal-applikazzjoni msemmija fl-Artikolu 38(2), jew qabel id-data mmirata għat-tnedija tas-suq tal-interfaċċja tal-aċċess meta t-tnedija ssir wara d-data msemmija fl-Artikolu 38(2), jagħmlu d-dokumentazzjoni disponibbli, mingħajr ħlas, fuq talba tal-fornituri awtorizzati ta' servizzi ta' bidu ta' pagament, tal-fornituri awtorizzati ta' servizz ta' informazzjoni dwar il-kontijiet u tal-fornituri awtorizzati ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard jew fornituri awtorizzati ta' servizzi ta' pagament li applikaw mal-awtoritajiet kompetenti tagħhom għall-awtorizzazzjoni rilevanti u għandhom jagħmlu sommarju tad-dokumentazzjoni disponibbli għall-pubbliku fuq is-sit web tagħhom.

4. Flimkien mal-paragrafu 3, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jiżguraw li, minbarra f'sitwazzjonijiet ta' emerġenza, kwalunkwe bidla fl-ispeċifikazzjoni teknika tal-interfaċċja tagħhom issir disponibbli għall-fornituri awtorizzati ta' servizzi ta' bidu ta' pagament, il-fornituri awtorizzati ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornituri awtorizzati ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard jew il-fornituri awtorizzati ta' servizzi ta' pagament li jkunu applikaw mal-awtoritajiet kompetenti tagħhom għall-awtorizzazzjoni rilevanti, bil-quddiem mill-aktar fis possibbli u mhux inqas minn tliet (3) xhur qabel ma tiġi implimentata l-bidla.

Il-fornituri ta' servizz ta' pagament għandhom jiddokumentaw sitwazzjonijiet ta' emerġenza meta jkunu ġew implimentati bidliet u jagħmlu d-dokumentazzjoni disponibbli għall-awtoritajiet kompetenti fuq talba.

5. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jagħmlu disponibbli faċilità tal-ittestjar, inkluż l-appoġġ, għall-ittestjar tal-konnessjoni u dak funzjonali sabiex jippermettu lill-fornituri awtorizzati ta' servizzi ta' bidu ta' pagament, il-fornituri awtorizzati ta' servizzi ta' pagament li joħorġu għodod ta' pagament b'kard u l-fornituri awtorizzati ta' servizz ta' informazzjoni dwar il-kontijiet jew il-fornituri awtorizzati ta' servizzi ta' pagament li jkunu applikaw għall-awtorizzazzjoni rilevanti biex jittestjaw is-softwer u l-applikazzjonijiet tagħhom użati biex joffru servizz ta' pagament lill-utenti. Il-faċilità tal-ittestjar jenħtieġ li ssir disponibbli sa mhux aktar tard minn sitt xhur qabel id-data tal-applikazzjoni msemmija fl-Artikolu 38(2) jew qabel id-data fil-mira għat-tnedija tas-suq tal-interfaċċja tal-aċċess meta t-tnedija ssir wara d-data msemmija fl-Artikolu 38(2).

Madankollu, ma għandha tiġi kondiviża l-ebda informazzjoni sensittiva permezz tal-faċilità tal-ittestjar.

6. L-awtoritajiet kompetenti għandhom jiżguraw li l-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont jikkonformaw il-ħin kollu mal-obbligi inklużi f'dawn l-istandards fir-rigward tal-interfaċċja(i) li huma daħħlu fis-seħħ. F'każ li fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont jonqos milli jikkonforma mar-rekwiżiti għall-interfaċċji stipulati f'dawn l-istandards, l-awtoritajiet kompetenti għandhom jiżguraw li l-għoti tas-servizzi ta' bidu ta' pagament u s-servizzi ta' informazzjoni dwar il-kontijiet ma jitwaqqafx jew jiġi mxekkel sal-punt li l-fornituri rispettivi ta' tali servizzi jikkonformaw mal-kundizzjonijiet ddefiniti skont l-Artikolu 33(5).

Artikolu 31

Għażliet tal-interfaċċja tal-aċċess

Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jistabbilixxu l-interfaċċja(i) msemmija fl-Artikolu 30 permezz ta' interfaċċja ddedikata jew billi jippermettu l-użu mill-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) tal-interfaċċji użati għall-awtentikazzjoni u l-komunikazzjoni mal-utenti ta' servizzi ta' pagament tal-fornitur ta' servizzi ta' pagament li jiġġestixxu l-kont.

Artikolu 32

Obbligi għal interfaċċja ddedikata

1. Soġġett għall-konformità mal-Artikoli 30 u 31, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li jkunu implimentaw interfaċċja ddedikata għandhom jiżguraw li l-interfaċċja ddedikata toffri l-ħin kollu l-istess livell ta' disponibbiltà u prestazzjoni, inkluż l-appoġġ, bħall-interfaċċji magħmulin disponibbli għall-utent ta' servizzi ta' pagament għall-aċċess dirett għall-kont ta' pagament tiegħu onlajn.

2. Fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li jkunu implimentaw interfaċċja ddedikata għandhom jiddefinixxu indikaturi tal-prestazzjoni ewlenin trasparenti u miri tal-livell tas-servizz, tal-inqas stretti daqs dawk stabbiliti għall-interfaċċja użata mill-utenti ta' servizzi ta' pagament tagħhom kemm f'termini ta' disponibbiltà kif ukoll f'termini ta' data mogħtija skont l-Artikolu 36. Dawn l-interfaċċji, l-indikaturi u l-miri għandhom jiġu ssorveljati mill-awtoritajiet kompetenti u ttestjati għall-istress.

3. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li jkunu implimentaw interfaċċja ddedikata għandhom jiżguraw li din l-interfaċċja ma toħloqx ostakoli għall-għoti ta' servizzi ta' bidu ta' pagament u servizzi ta' informazzjoni dwar il-kontijiet. Tali ostakoli, jistgħu jinkludu, fost l-oħrajn, il-prevenzjoni tal-użu mill-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) tal-kredenzjali maħruġa mill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont lill-konsumaturi tagħhom, l-impożizzjoni tar-ridirezzjonar għall-awtentikazzjoni jew funzjonijiet oħrajn tal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont, jintalbu awtorizzazzjonijiet u reġistrazzjonijiet addizzjonali apparti dawk previsti fl-Artikoli 11, 14 u 15 tad-Direttiva (UE) 2015/2366, jew jintalbu verifiki addizzjonali tal-kunsens mogħti mill-utenti ta' servizzi ta' pagament lil fornituri ta' servizzi ta' bidu ta' pagament u servizzi ta' informazzjoni dwar il-kontijiet.

4. Għall-finijiet tal-paragarafi 1 u 2, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jissorveljaw id-disponibbiltà u l-prestazzjoni tal-interfaċċja ddedikata. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jippubblikaw fuq is-sit web tagħhom statistika trimestrali dwar id-disponibbiltà u l-prestazzjoni tal-interfaċċja ddedikata u tal-interfaċċja użata mill-utenti ta' servizzi ta' pagament tagħha.

Artikolu 33

Miżuri ta' kontinġenza għal interfaċċja ddedikata

1. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jinkludu, fit-tfassil ta' interfaċċja ddedikata, strateġija u pjan għal miżuri ta' kontinġenza f'każ li l-interfaċċja ma taħdimx f'konformità mal-Artikolu 32, li jkun hemm nuqqas ta' disponibbiltà mhux ippjanat tal-interfaċċja u f'każ li s-sistema tieqaf taħdem. Jista' jiġi preżunt li n-nuqqas ta' disponibbiltà mhux ippjanat jew il-waqfien tas-sistema rriżultaw meta ħames talbiet konsekuttivi għall-aċċess għall-informazzjoni għall-għoti ta' servizzi ta' bidu ta' pagament jew servizzi ta' informazzjoni dwar il-kontijiet ma jintwiġbux fi żmien 30 sekonda.

2. Il-miżuri ta' kontinġenza għandhom jinkludu pjanijiet ta' komunikazzjoni sabiex il-fornituri ta' servizzi ta' pagament li jużaw interfaċċja ddedikata tal-miżuri jiġu infurmati biex jirrestawraw is-sistema u deskrizzjoni tal-għażliet alternattivi immedjati disponibbli li l-fornituri ta' servizzi ta' pagament jista' jkollhom matul dan iż-żmien.

3. Kemm il-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont kif ukoll il-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) għandhom jirrappurtaw il-problemi bl-interfaċċji ddedikati kif deskritt fil-paragrafu 1 lill-aworitajiet nazzjonali kompetenti rispettivi tagħhom mingħajr dewmien.

4. Bħala parti mill-mekkaniżmu ta' kontinġenza, il-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) għandhom jitħallew jużaw l-interfaċċji li jkunu saru disponibbli għall-utenti ta' servizzi ta' pagament għall-awtentikazzjoni jew il-komunikazzjoni mal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont tagħhom, sakemm l-interfaċċja ddedikata ma tiġix restawrata sal-livell tad-disponibbiltà u l-prestazzjoni previst fl-Artikolu 32.

5. Għal dan il-għan, il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jiżguraw li l-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) ikunu jistgħu jiġu identifikati u jkunu jistgħu jiddependu fuq il-proċeduri ta' awtentikazzjoni pprovduti mill-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont għall-utent ta' servizzi ta' pagament. Meta l-fornituri ta' servizzi ta' pagament imsemmija fl-Artikolu 30(1) jużaw l-interfaċċja msemmija fil-paragrafu 4, dawn għandhom:

(a)	jieħdu l-miżuri meħtieġa biex jiżguraw li dawn ma jaċċessawx, jaħżnu jew jipproċessaw data għal finijiet oħrajn għajr għall-għoti tas-servizz mitlub mill-utent ta' servizzi ta' pagament;

(b)	ikomplu jikkonformaw mal-obbligi li jirriżultaw mill-Artikolu 66(3) u l-Artikolu 67(2) tad-Direttiva (UE) 2015/2366 rispettivament;

(c)	jirreġistraw id-data li tiġi aċċessata permezz tal-interfaċċja operata mill-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont għall-utenti ta' servizzi ta' pagament tiegħu, u jipprovdu, fuq talba u mingħajr dewmien żejjed, il-log fajl lill-awtorità nazzjonali kompetenti tagħhom;

(d)	jiġġustifikaw kif xieraq lill-awtoritajiet nazzjonali kompetenti tagħhom, fuq talba u mingħajr dewmien żejjed, l-użu tal-interfaċċja li tkun saret disponibbli għall-utenti ta' servizzi ta' pagament biex jaċċessaw direttament il-kontijiet tal-pagament tagħhom onlajn;

(e)	jinfurmaw kif xieraq lill-fornitur ta' servizzi ta' pagament li jġestixxi l-kont.

6. L-awtoritajiet kompetenti, wara li jikkonsultaw mal-EBA biex jiżguraw applikazzjoni konsistenti tal-kundizzjonijiet li ġejjin, għandhom jeżentaw lill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li jkunu għażlu interfaċċja ddedikata, mill-obbligu li jistabbilixxu mekkaniżmu ta' kontinġenza deskritt fil-paragarafu 4 meta l-interfaċċja ddedikata tissodisfa l-kundizzjonijiet kollha li ġejjin:

(a)	din tikkonforma mal-obbligi kollha għall-interfaċċji ddedikati kif stipulat fl-Artikolu 32;

(b)	din tkun ġiet imfassla u ttestjata skont l-Artikolu 30(5) għas-sodisfazzjon tal-fornituri ta' servizzi ta' pagament imsemmija fih;

(c)	din tkun intużat b'mod wiesa' għal mill-inqas tliet xhur mill-fornituri ta' servizzi ta' pagament biex joffru servizzi ta' informazzjoni dwar il-kontijiet, servizzi ta' bidu ta' pagament u biex jipprovdu konferma dwar id-disponibbiltà tal-fondi għal pagamenti b'kard;

(d)	kwalunkwe problema marbuta mal-interfaċċja ddedikata tkun ġiet solvuta mingħajr dewmien żejjed.

7. L-awtoritajiet kompetenti għandhom jirrevokaw l-eżenzjoni msemmija fil-paragrafu 6 meta l-kundizzjonijiet (a) u (d) ma jiġux issodisfati mill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għal aktar minn gimagħtejn kalendarji konsekuttivi. L-awtoritajiet kompetenti għandhom jinfurmaw lill-EBA b'din ir-revoka u għandhom jiżguraw li l-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont jistabbilixxi, fl-inqas żmien possibbli u sa mhux aktar tard minn xahrejn, il-mekkaniżmu ta' kontinġenza msemmi fil-paragrafu 4.

Artikolu 34

Ċertifikati

1. Għall-finijiet tal-identifikazzjoni, kif imsemmi fl-Artikolu 30(1)(a), il-fornituri ta' servizzi ta' pagament għandhom jibbażaw fuq ċertifikati kkwalifikati għal siġilli elettroniċi kif imsemmi fl-Aritkolu 3(30) tar-Regolament (UE) Nru 910/2014 jew għall-awtentikazzjoni tas-sit web kif imsemmi fl-Artikolu 3(39) ta' dak ir-Regolament.

2. Għall-finijiet ta' dan ir-Regolament, in-numru tar-reġistrazzjoni kif imsemmi fir-reġistri uffiċjali skont l-Anness III (c) jew l-Anness IV (c) tar-Regolament (UE) Nru 910/2014 għandu jkun in-numru tal-awtorizzazzjoni tal-fornitur ta' servizzi ta' pagament li joħroġ strumenti ta' pagament b'kard, tal-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u tal-fornituri ta' servizzi ta' bidu ta' pagament, inklużi l-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont li jipprovdu tali servizzi, disponibbli fir-reġistru pubbliku tal-Istati Membri tad-domiċilju skont l-Artikolu 14 tad-Direttiva (UE) 2015/2366 jew li jirriżulta min-notifiki ta' kull awtorizzazzjoni mogħtija skont l-Artikolu 8 tad-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill (4) f'konformità mal-Artikolu 20 ta' dik id-Direttiva.

3. Għall-finijiet ta' dan ir-Regolament, iċ-ċertifikati kkwalifikati għas-siġilli elettroniċi jew għall-awtentikazzjoni tas-sit web imsemmija fil-paragrafu 1 għandhom jinkludu, b'lingwaġġ użat fil-qasam finanzjarju internazzjonali, attributi speċifiċi addizzjonali fir-rigward ta' dawn kollha li ġejjin:

(a)

ir-rwol tal-fornitur ta' servizzi ta' pagament, li jista' jkun wieħed jew aktar minn dawn li ġejjin:

(i)	il-ġestjoni ta' kontijiet;

(ii)	il-bidu ta' pagament;

(iii)

l-informazzjoni dwar il-kontijiet;

(iv)	il-ħruġ ta' strumenti ta' pagament b'kard;

(b)	l-isem tal-awtoritajiet kompetenti meta jiġi rreġistrat il-fornitur ta' servizzi ta' pagament.

4. L-attributi msemmija fil-paragrafu 3 ma għandhomx jaffettwaw l-interoperabbiltà u r-rikonoxximent taċ-ċertifikati kkwalifikati għas-siġilli elettroniċi jew għall-awtentikazzjoni tas-sit web.

Artikolu 35

Sigurtà tas-sessjoni ta' komunikazzjoni

1. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont, il-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard, il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornituri ta' servizzi ta' bidu ta' pagament għandhom jiżguraw li, meta jiskambjaw data permezz tal-Internet, jiġi applikat kriptaġġ sikur bejn il-partijiet ta' komunikazzjoni tul is-sessjoni ta' komunikazzjoni rispettiva sabiex jiġu ssalvagwardjati l-kunfidenzjalità u l-integrità tad-data, bl-użu ta' tekniki ta' kriptaġġ qawwija u ġeneralment rikonoxxuti.

2. Il-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard, il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornituri ta' servizzi ta' bidu ta' pagament għandhom iżommu s-sessjonijiet ta' aċċess offruti mill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont kemm jista' jkun qosra u dawn għandhom attivament itemmu kwalunkwe sessjoni bħal din malli titlesta l-azzjoni mitluba.

3. Meta jsiru sessjonijiet ta' netwerk paralleli mal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont, il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornituri ta' servizzi ta' bidu ta' pagament għandhom jiżguraw li dawk is-sessjonijiet ikunu konnessi b'mod sikur mas-sessjonijiet rilevanti stabbiliti mal-utent(i) tas-servizzi ta' pagament sabiex tiġi evitata l-possibblità li kwalunkwe messaġġ jew informazzjoni kkomunikati bejniethom jiġu direzzjonati ħażin.

4. Il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament u l-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard mal-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont, għandhom jinkludu referenzi mingħajr ambigwità f'kull waħda mill-entrati li ġejjin:

(a)	l-utent jew l-utenti ta' servizzi ta' pagament u s-sessjoni ta' komunikazzjoni korrispondenti sabiex issir distinzjoni bejn diversi talbiet mill-istess utent jew utenti ta' servizzi ta' pagament;

(b)	għal servizzi ta' bidu ta' pagament, it-tranżazzjoni ta' pagament identifikata b'mod uniku mibdija;

(c)	għal konferma dwar id-disponibbiltà tal-fondi, it-talba identifikata b'mod adegwat marbuta mal-ammont meħtieġ għall-eżekuzzjoni tat-tranżazzjoni ta' pagament b'kard.

5. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont, il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet, il-fornituri ta' servizzi ta' bidu ta' pagament u l-fornituri ta' servizzi ta' pagament li joħorġu strumenti ta' pagament b'kard għandhom jiżguraw li meta dawn jikkomunikaw kredenzjali personalizzati ta' sigurtà u kodiċijiet tal-awtentikazzjoni, dawn fl-ebda ħin ma jkunu jistgħu jinqraw, direttament jew indirettament, minn xi membru tal-persunal.

F'każ ta' nuqqas ta' kunfidenzjalità ta' kredenzjali personalizzati ta' sigurtà fl-ambitu tal-kompetenza tagħhom, dawn il-fornituri għandhom jinfurmaw bla telf ta' żmien lill-utent ta' servizzi ta' pagament assoċjati magħhom u lill-emittent tal-kredenzjali personalizzati ta' sigurtà.

Artikolu 36

Skambju ta' data

1. Il-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont għandhom jikkonformaw mar-rekwiżiti kollha li ġejjin:

(a)

dawn għandhom jipprovdu lill-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet bl-istess informazzjoni mill-kontijiet tal-pagament magħżula u tranżazzjonijiet ta' pagament assoċjati li jkunu saru disponibbli għall-utent ta' servizz ta' pagament meta jitlob direttament l-aċċess għall-informazzjoni dwar il-kontijiet, diment li din l-informazzjoni ma tkunx tinkludi data sensittiva dwar pagamenti;

(b)

dawn għandhom, immedjatament wara l-wasla tal-ordni ta' pagament, jipprovdu lill-fornituri ta' servizzi ta' bidu ta' pagament bl-istess informazzjoni dwar il-bidu u t-twettiq tat-tranżazzjoni ta' pagament li tkun ingħatat jew saret disponibbli lill-utent ta' servizzi ta' pagament meta t-tranżazzjoni tinbeda direttament minn dan tal-aħħar;

(c)	dawn għandhom, fuq talba, immedjatament jipprovdu lill-fornituri ta' servizzi ta' pagament konferma f'format sempliċi ta' “iva” jew “le”, jekk l-ammont neċessarju għall-eżekuzzjoni tat-tranżazzjoni ta' pagament huwiex disponibbli fuq il-kont ta' pagament tal-pagatur.

2. F'każ li matul il-proċess tal-identifikazzjoni, l-awtentikazzjoni jew l-iskambju tal-elementi tad-data jseħħ avveniment jew żball mhux mistenni, il-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont għandu jibgħat messaġġ ta' notifika lill-fornitur ta' servizzi ta' bidu ta' pagament jew lill-fornitur ta' servizz ta' informazzjoni dwar il-kontijiet u lill-fornitur ta' servizzi ta' pagament li joħroġ strument ta' pagament b'kard li fih jispjega r-raġuni għall-avveniment jew l-iżball mhux mistenni.

Meta fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont joffri interfaċċja ddedikata skont l-Artikolu 32, l-interfaċċja għandha tipprovdi messaġġi ta' notifika li jikkonċernaw l-avvenimenti jew l-iżbalji mhux mistennija li għandhom jiġu kkomunikati minn kull fornitur ta' servizzi ta' pagament li jsib l-avveniment jew l-iżball, lill-fornituri l-oħrajn ta' servizzi ta' pagament li jieħdu sehem fis-sessjoni ta' komunikazzjoni.

3. Il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet għandhom jimplimentaw mekkaniżmi xierqa u effettivi li jipprevjenu l-aċċess għall-informazzjoni għajr minn kontijiet ta' pagament magħżula u tranżazzjonijiet ta' pagament assoċjati, skont il-kunsens espliċitu tal-utent.

4. Il-fornituri ta' servizzi ta' bidu ta' pagament għandhom jipprovdu lill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont bl-istess informazzjoni bħal dik mitluba mill-utent ta' servizzi ta' pagament meta jibdew it-tranżazzjoni ta' pagament b'mod dirett.

5. Il-fornituri ta' servizz ta' informazzjoni dwar il-kontijiet għandhom ikunu jistgħu jaċċessaw l-informazzjoni minn kontijiet ta' pagament magħżula u tranżazzjonijiet ta' pagament assoċjati miżmuma mill-fornituri ta' servizzi ta' pagament li jiġġestixxu l-kont bl-għan li jwettqu servizz ta' informazzjoni dwar il-kontijiet f'waħda miċ-ċirkostanzi li ġejjin:

(a)	kull meta l-utent ta' servizzi ta' pagament jitlob b'mod attiv tali informazzjoni;

(b)

meta l-utent ta' servizzi ta' pagament ma jitlobx b'mod attiv tali informazzjoni, sa mhux aktar tard minn erba' darbiet f'perjodu ta' 24 siegħa, sakemm ma tiġix miftiehma frekwenza ogħla bejn il-fornitur ta' servizz ta' informazzjoni dwar il-kontijiet u l-fornitur ta' servizzi ta' pagament li jiġġestixxi l-kont, bil-kunsens tal-utent ta' servizzi ta' pagament.

KAPITOLU VI

DISPOŻIZZJONIJIET FINALI

Artikolu 37

Rieżami

Mingħajr preġudizzju għall-Artikolu 98(5) tad-Direttiva (UE) 2015/2366, l-EBA għandha tagħmel rieżami sa mill-14 ta' Marzu 2021 ir-rati tal-frodi msemmija fl-Anness ta' dan ir-Regolament kif ukoll l-eżenzjonijiet mogħtija skont l-Artikolu 33(6) fir-rigward tal-interfaċċji ddedikati u, jekk xieraq, ippreżenta abbozz ta' aġġornamenti tagħhom lill-Kummissjoni skont l-Artikolu 10 tar-Regolament (UE) Nru 1093/2010.

Artikolu 38

Dħul fis-seħħ

1. Dan ir-Regolament għandu jidħol fis-seħħ fil-jum wara dak tal-pubblikazzjoni tiegħu f'Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

2. Dan ir-Regolament għandu japplika minn mill-14 ta' Settembru 2019.

3. Madankollu, il-paragrafi 3 u 5 tal-Artikolu 30 għandhom japplikaw mill-14 ta' Marzu 2019.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, is-27 ta' Novembru 2017.

Għall-Kummissjoni

Il-President

Jean-Claude JUNCKER

(1) ĠU L 337, 23.12.2015, p. 35.

(2) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta' Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12).

(3) Ir-Regolament (UE) Nru 910/2014 tal-Parlament Ewropew u tal-Kunsill tat-23 ta' Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji għal tranżazzjonijiet elettroniċi fis-suq intern u li jħassar id-Direttiva 1999/93/KE (ĠU L 257, 28.8.2014, p. 53)

(4) Id-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill tas-26 ta' Ġunju 2013 dwar l-aċċess għall-attività tal-istituzzjonijiet ta' kreditu u s-superviżjoni prudenzjali tal-istituzzjonijiet ta' kreditu u tad-ditti tal-investiment, li temenda d-Direttiva 2002/87/KE u li tħassar id-Direttivi 2006/48/KE u 2006/49/KE (ĠU L 176, 27.6.2013, p. 338).

ANNESS

	Rata tal-frodi ta' referenza (%) għal:
Valur ta' Limitu tal-Eżenzjoni	Pagamenti elettroniċi mill-bogħod b'kard	Trasferimenti ta' kreditu elettroniċi mill-bogħod
EUR 500	0,01	0,005
EUR 250	0,06	0,01
EUR 100	0,13	0,015